Nhập các lệnh sau để cấu hình IP: R1>enable R1#configure terminal Enter configuration commands, one per line.. Nhập các lệnh sau để cấu hình IP: R2>enable R2#configure terminal Enter con
Trang 1ĐẠ I HỌC QU C GIA THÀNH PHỐ HỒ CHÍ MINH Ố
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐIỆN TỬ-VIỄN THÔNG
BÀI T P TH C HÀNH AN NINH M Ậ Ự ẠNG
MÔN: THỰ C HÀNH AN NINH M ẠNG
Giảng viên hướng dẫn: Ngô Minh Ngh a ĩ
Sinh viên th c hi n: Nguy n Qu c Khánh ự ệ ễ ố
Mã s sinh viên : 19200111 ố
Trang 2Mục l c ụ
1 Thi t l p mô hình hế ậ ệ thống mạng 2
2 Cấu hình địa ch IP c a các thi t b theo bỉ ủ ế ị ảng bên dưới 2
3.Cấu hình cơ bản cho thi t bế ị ASA 5
4.Cấu hình interface cho thiết bị ASA theo b ng thông s ả ố 6
5.Cấu hình Static Default Route cho ASA 7
6.Cấu hình NAT cho subnet inside 8
7.Cấu hình MPF inspection để traffic ICMP t LAN inside có th ping ra ngoài Google DNS server ừ ể 9
8.Cấu hình DHCP server cho ASA 10
9.Cấu hình xác thực truy c p vào ASA s dậ ử ụng AAA 10
Kết nối qua SSH ho c Telnet ặ 11
1 Thi t l p mô hình h ế ậ ệ thố ng m ạng
2 C ấu hình đị a ch IP c a các thi t b theo b ỉ ủ ế ị ảng bên dưới
Devices Interface IP address Subnet mask Default gateway
R1 Fa0/0 115.73.223.85 255.255.255.248 N/A
S0/0/0 11.12.12.1 255.255.255.252 N/A
Trang 3R2 Fa0/0 8.8.8.1 255.255.255.0 N/A
S0/0/0 11.12.12.2 255.255.255.252 N/A
ASA VLAN 1 (Eth0/1) 115.73.223.86 255.255.255.248 N/A
VLAN 3 (Eth0/2) 192.168.2.1 255.255.255.0 N/A
VLAN 2 (Eth0/0) 192.168.1.1 255.255.255.0 N/A
PCA Fa0 DHCP DHCP 192.168.1.1
DMZ Server Fa0 192.168.2.200 255.255.255.0 192.168.2.1
Google DNS Fa0 8.8.8.8 255.255.255.0 8.8.8.1
Cấu hình địa chỉ IP cho các thiết bị
Cấu hình Router R1
1. Chọn Router R1 và vào chế độ CLI.
2. Nhập các lệnh sau để cấu hình IP:
R1>enable
R1#configure terminal
Enter configuration commands, one per line End with CNTL/Z
R1(config)#interface FastEthernet0/0
R1(config-if)#ip address 115.73.223.85 255.255.255.248
R1(config-if)#no shutdown
R1(config if)#exit
-R1(config)#interface Serial0/0/0
R1(config-if)#ip address 11.12.12.1 255.255.255.252
R1(config-if)#no shutdown
R1(config if)#exit
-R1(config)#end
Cấu hình Router R2
1. Chọn Router R2 và vào chế độ CLI.
2. Nhập các lệnh sau để cấu hình IP:
R2>enable
R2#configure terminal
Enter configuration commands, one per line End with CNTL/Z
R2(config)#interface FastEthernet0/0
R2(config-if)#ip address 8.8.8.1 255.255.255.0
R2(config-if)#no shutdown
R2(config if)#exit
Trang 4-R2(config)#interface Serial0/0/0
R2(config-if)#ip address 11.12.12.2 255.255.255.252
R2(config-if)#no shutdown
R2(config if)#exit
-R2(config)#end
Cấu hình ASA
1. Chọn thiết bị ASA và vào chế độ CLI.
2. Nhập các lệnh sau để cấu hình IP cho các VLAN:
ASA# configure terminal
ASA(config)# interface Vlan1
ASA(config-if)# ip address 192.168.1.1 255.255.255.0
ASA(config-if)# exit
ASA(config)# interface Vlan2
ASA(config-if)# ip address 115.73.223.86 255.255.255.248
ASA(config-if)# exit
ASA(config)# interface Vlan3
ASA(config-if)# no forward interface Vlan1
ASA(config-if)# ip address 192.168.2.1 255.255.255.0
ASA(config-if)# exit
ASA(config)# interface Ethernet0/0
ASA(config-if)# switchport access vlan 1
ASA(config-if)# no shutdown
ASA(config-if)# exit
ASA(config)# interface Ethernet0/1
ASA(config-if)# switchport access vlan 2
ASA(config-if)# no shutdown
ASA(config-if)# exit
ASA(config)# interface Ethernet0/2
ASA(config-if)# switchport access vlan 3
ASA(config-if)# no shutdown
ASA(config-if)# exit
ASA(config)# end
ASA# write memory
Cấu hình DMZ Server
Trang 51. Chọn DMZ Server cấu hình qua GUI.
2. Nhập địa chỉ IP:
ip address 192.168.2.200 255.255.255.0
gateway 192.168.2.1
Cấu hình Google DNS Server
1. Chọn Google DNS Server cấu hình qua GUI.
2 Nhập địa chỉ IP:
ip address 8.8.8.8 255.255.255.0
gateway 8.8.8.1
Cấu hình PC A nhận IP từ DHCP
-1. Chọn PC-A và vào cấu hình.
2. Chọn tab "IP Configuration" và chọn "DHCP"
3.Cấu hình cơ bản cho thiết b ASA ị
Bước 1: C u hình hostname cho ASA ấ
1 Chọn thi t b ASA ế ị và vào chế độ CLI
2 Nhập các l nh sau: ệ
enable
configure terminal
hostname K2020-ASA
Bước 2: Cấu hình domain name cho ASA
Nhập lệnh sau:
domain-name ccnasecuk20.com
Bước 3: Cấu hình mật khẩu enable cho ASA
Nhập lệnh sau:
enable password enciscok20
Bước 4: Lưu cấu hình
Trang 6Nhập lệnh sau:
end
write memory
4.Cấu hình interface cho thi t b ASA theo b ng thông s ế ị ả ố
Bướ c 1: K t n i vào thi t bị ASA và vào ch c u hình ế ố ế ế độ ấ
1 Chọn thi t b ASA ế ị và vào chế độ CLI
2 Nhập l ệnh sau:
C u hình interface cho VLAN 1 (inside)ấ
ASA(config)# interface Vlan1
ASA(config-if)# nameif inside
ASA(config-if)# security level 100
-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
ASA(config-if)# exit
ASA(config)# interface Ethernet0/0
ASA(config-if)# switchport access vlan 1
ASA(config-if)# no shutdown
ASA(config-if)# exit
C u hình interface cho VLAN 2 (outside)ấ
ASA(config)# interface Vlan2
ASA(config-if)# nameif outside
ASA(config-if)# security level 0
-ASA(config-if)# ip address 115.73.223.86 255.255.255.248
ASA(config-if)# exit
ASA(config)# interface Ethernet0/1
ASA(config-if)# switchport access vlan 2
ASA(config-if)# no shutdown
ASA(config-if)# exit
Trang 7C u hình interface cho VLAN 3 (dmz) ấ
ASA(config)# interface Vlan3
ASA(config-if)# no forward interface Vlan1
ASA(config-if)# nameif dmz
ASA(config-if)# security level 50
-ASA(config-if)# ip address 192.168.2.1 255.255.255.0
ASA(config-if)# exit
ASA(config)# interface Ethernet0/2
ASA(config-if)# switchport access vlan 3
ASA(config-if)# no shutdown
ASA(config-if)# exit
Bước : Lưu cấu hình2
Nhập lệnh sau:
end
write memory
5.Cấu hình Static Default Route cho ASA
Để cấu hình Static Default Route cho thiết bị ASA, bạn cần thực hiện các bước sau:
Bướ c 1: K t n i vào thi t bị ASA và vào ch c u hình ế ố ế ế độ ấ
1 Chọn thi t b ASA ế ị và vào chế độ CLI
2 Nhập l nh sau: ệ
enable
configure terminal
Bước 2: Cấu hình Static Default Route
Nhập lệnh sau để cấu hình Static Default Route để ra ngoài qua interface 'outside'
với IP của gateway:
route outside 0.0.0.0 0.0.0.0 115.73.223.85
Bước 3: Lưu cấu hình
Trang 8Nhập lệnh sau:
end
write memory
6.Cấu hình NAT cho subnet inside
Để cấu hình NAT cho subnet inside trên thiết bị ASA, bạn cần thực hiện các bước sau:
Bướ c 1: K t n i vào thi t bị ASA và vào ch c u hình ế ố ế ế độ ấ
1 Chọn thi t b ASA ế ị và vào chế độ CLI
2 Nhập l nh sau: ệ
enable
configure terminal
Bước 2: Cấu hình object network cho inside-net
Nhập các lệnh sau để tạo object network và xác định subnet inside:
K2020-ASA(config)#object network inside-net
K2020 ASA(config network- - -object)# subnet 192.168.1.0 255.255.255.0
Bước 3: Cấu hình dynamic NAT cho subnet inside ra outside
Nhập các lệnh sau để cấu hình dynamic NAT:
K2020 ASA(config network- - -object)#nat (inside,outside) dynamic
interface
Bước 4: Lưu cấu hình
Nhập lệnh sau:
end
write memory
Trang 97.Cấu hình MPF inspection để traffic ICMP t LAN inside có th ping ra ngoài ừ ể
Google DNS server
Để cấu hình MPF (Modular Policy Framework) inspection cho phép traffic ICMP từ mạng LAN
inside ping ra ngoài Google DNS server, bạn cần thực hiện các bước sau:
Bướ c 1: K t n i vào thi t bị ASA và vào ch c u hình ế ố ế ế độ ấ
1 Chọn thi t b ASA ế ị và vào chế độ CLI
Nhậ ệ p l nh sau:
enable
configure terminal
Bước 2: Cấu hình class-map cho ICMP
Nhập các lệnh sau để tạo class-map:
K2020 ASA(config)#class- -map lan_class
K2020 ASA(config- -cmap)# match default-inspection traffic
-Bước 3: Cấu hình policy map để áp dụng class- -map
Nhập các lệnh sau để tạo policy map và áp dụng class- -map:
K2020 ASA(config cmap)#policy- - -map in_out_policy
K2020 ASA(config- -pmap)# class lan_class
K2020 ASA(config pmap- - -c)# inspect icmp
Bước 4: Áp dụng policy-map vào service-policy
Nhập các lệnh sau để áp dụng policy-map vào interface:
K2020 ASA(config pmap c)#service- - - -policy in_out_policy global
Bước 5: Lưu cấu hình
Nhập lệnh sau:
end
write memory
Trang 108.Cấu hình DHCP server cho ASA
Bướ c 1: K t n i vào thi t bị ASA và vào ch c u hình ế ố ế ế độ ấ
1 Chọn thi t b ASA ế ị và vào chế độ CLI
2 Nhập l nh sau: ệ
enable
configure terminal
Bước 2: Cấu hình DHCP address pool
Nhập các lệnh sau để cấu hình DHCP address pool:
K2020-ASA(config)#dhcpd address 192.168.1.200 192.168.1.210 inside
-Bước 3: Cấu hình DNS server cho DHCP
Nhập lệnh sau để cấu hình DNS server:
K2020-ASA(config)#dhcpd dns 8.8.8.8 interface inside
Bước 4: Bật DHCP server trên interface inside
Nhập lệnh sau để bật DHCP server:
K2020-ASA(config)#dhcpd enable inside
Bước 5: Cấu hình cho PC A nhận IP qua DHCP
-1. Chọn PC-A trong mô hình và vào tab "Desktop".
2 Chọn "IP Configuration" và chọn "DHCP" để PC A nhận địa chỉ IP từ DHCP
-server
9.Cấu hình xác th c truy c p vào ASA s d ng AAA ự ậ ử ụ
Để cấu hình xác thực truy cập vào ASA bằng cách sử dụng AAA, bạn cần thực hiện các bước
sau:
Bướ c 1: K t n i vào thi t bị ASA và vào ch c u hình ế ố ế ế độ ấ
1 Chọn thi t b ASA ế ị và vào chế độ CLI
2 Nhập l nh sau: ệ
enable
Trang 11configure terminal
Bước 2: Tạo tài khoản người dùng local
Nhập lệnh sau để tạo tài khoản người dùng admin với mật khẩu admink20:
username admin password admink20
Bước 3: Cấu hình AAA authentication cho truy cập SSH và Telnet
Nhập các lệnh sau để cấu hình AAA authentication cho SSH và Telnet:
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
Bước 4: Bật SSH và Telnet trên ASA
Nhập các lệnh sau để bật SSH và Telnet:
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 5
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
Bước : Lưu cấu hình 5
Nhập lệnh sau để lưu cấu hình:
end
write memory
Kết n i qua SSH ho c Telnet ố ặ
1 Sử d ng m t công c ụ ộ ụ SSH (như PuTTY hoặc terminal) để kết nối đến địa chỉ IP c a ASA ủ
(192.168.1.1 cho VLAN1)
2 Đăng nhập b ng tài kho ằ ản admin v i m t kh ớ ậ ẩu admink20
3 Sử d ng l ụ ệnh enable và nh p m t kh ậ ậ ẩu enable (enciscok20) để vào ch ế độ enable.