2learningcisco: 2011

    ASA นั้นเป็นอุปกรณ์ Firewall ชนิดหนึ่งของ Cisco สามารถทำหน้าที่ได้หลายๆ อย่างทั้งกำหนด Policy ของระบบ, NAC Server เพื่อใช้กับ VPN รูปแบบต่างๆ หรือแม้กระทั่งการทำ URL Filtering แต่ในบทความนี้เราจะมาพูดถึง การใช้งาน ASA เพื่อทำหน้าที่ Inter VLAN Routing แทนการใช้ Router ครับ
      การทำงานของ ASA ในรูปแบบนี้จะใช้ในกรณีที่เราไม่มีอุปกรณ์ Router และ Switch ที่สามารถทำงานในระดับ Layer 3 ได้เลย แต่ต้องการให้ระบบนั้นมีการแบ่ง VLAN เพื่อลดการ Broadcast ของข้อมูลภายในระบบ และง่ายต่อการดูแลจัดการกับ IP Address

การ Configure มีดังนี้

Step 1. ระบุ Interface ที่ต้องการใช้งาน

hostname(config)# interface physical_interface
physical_interface หมายถึงหมายเลขพอร์ตเป็นชนิด [ช่อง /] พอร์ตดังต่อไปนี้

ตัวอย่าง

2learningcisco(config)# interface GigabitEthernet0/0

_______________________________________________________________________
Step 2. ระบุความเร็วบน Interface

hostname(config-if)# speed {auto | 10 | 100 | 1000 | nonegotiate}

ตัวอย่าง

2learningcisco(config)# speed 100

_________________________________________________________________________

Step 3. ระบุชนิดบน Interface

hostname(config-if)# duplex {auto | full | half}

ตัวอย่าง

2learningcisco(config)# duplex full

__________________________________________________________________________

Step 4. เปิดใช้งาน Interface

hostname(config-if)# no shutdown

ตัวอย่าง

2learningcisco(config)# no shutdown

_______________________________________________________________________

Step 5. ระบุ SubInterface ที่ต้องการใช้งาน

hostname(config)# interface physical_interface.subinterface

ตัวอย่าง

2learningcisco(config)# interface GigabitEthernet0/0.10

________________________________________________________________________

Step 6. ระบุ VLAN ลงใน SubInterface ที่ต้องการใช้งาน

hostname(config)# vlan vlan_id

ตัวอย่าง

2learningcisco(config)# vlan 10

_________________________________________________________________________

Step 7. เปิดใช้งาน SubInterface

hostname(config-if)# no shutdown

ตัวอย่าง

2learningcisco(config)# no shutdown

__________________________________________________________________________

Step 8. เพิ่ม Policy ระหว่าง Traffic

hostname(config-if)# same-security-traffic permit inter-interface
hostname(config-if)# same-security-traffic permit intra-interface

ตัวอย่าง

2learningcisco(config)# same-security-traffic permit inter-interface
2learningcisco(config)# same-security-traffic permit intra-interface

_________________________________________________________________________________

Step 9. ทำการ NAT ระหว่าง SubInterface

hostname(config-if)# static (physical_interface.subinterface,physical_interface.subinterface) ip_physical_interface.subinterface ip_physical_interface.subinterface netmask ip_subnetmask

ตัวอย่าง

2learningcisco(config)# static (Wire,Wireless) 10.10.10.0 10.10.10.0 netmask 255.255.255.0

__________________________________________________________________________________

ตัวอย่าง Configure สำหรับการใช้งานจริง

interface GigabitEthernet0/0
speed 100
duplex full
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/0.10
description Wire
vlan 10
nameif Wire
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
description Wireless
vlan 20
nameif Wireless
security-level 100
ip address 10.20.20.1 255.255.255.0
!
interface GigabitEthernet0/0.30
description DMZ
vlan 30
nameif DMZ
security-level 50
ip address 10.30.30.1 255.255.255.0
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
static (Wire,Wireless) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
static (Wire,DMZ) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
static (Wireless,Wire) 10.20.20.0 10.20.20.0 netmask 255.255.255.0
static (Wireless,DMZ) 10.20.20.0 10.20.20.0 netmask 255.255.255.0
static (DMZ,Wire) 10.30.30.0 10.30.30.0 netmask 255.255.255.0
static (DMZ,Wireless) 10.30.30.0 10.30.30.0 netmask 255.255.255.0
!

สวัสดีครับ ขอต้อนรับสู่ 2learningcisco ครับ

Blogger 2learningcisco นี้สร้างไว้เพื่อ Share เกี่ยวกับการ Configure อุปกรณ์เครือข่าย Cisco นะครับ ซึ่งส่วนมากจะเป็นจากประสบการณ์ตรงจากการ Implement ของผมเอง และบางอย่างอาจจะนำมาจากหลายๆ ที่ครับ โดยจะเป็นพวก Data Center Switch, Unified Computing System (UCS), Cisco Router, Catalyst Swtich, ASA Firewall, Firewall Service Module, Controller Access Point, Cisco Aironet ครับ

จริงๆ แล้ว ความรู้ต่างๆ ใน Blogger นี้ค่อนข้างจะไม่มีหลักการมากมายอะไร และอาจจะไม่ได้มีคำอธิบายอะไรมาก นอกจากแนวทางการ Configure เท่านั้น เนื่องจากการ Implement ของผมนั้นจะไม่ได้เน้นไปในอุปกรณ์ใดอุปกรณ์หนึ่ง หวังว่า Blogger นี้จะพอมีประโยชน์สำหรับ Engineer ที่ติดปัญหาใน Project ที่ต้องรับผิดชอบ Configure นะครับ ดังนั้นอาจจะมีข้อผิดพลาดประการใดก็ขอให้ผู้รู้จริงแนะนำด้วยนะครับ

2learningcisco

หน้าเว็บ

วันอาทิตย์ที่ 2 ตุลาคม พ.ศ. 2554

การแบ่ง Sub Interface ของ Cisco ASA เพื่อใช้ในการทำ Inter VLAN

วันอังคารที่ 27 กันยายน พ.ศ. 2554

สวัสดีครับ ขอต้อนรับสู่ 2learningcisco ครับ