안녕하세요 허언증입니다.
Router 3725 / ASAv 9.8.1 / GNS3 2.2.9 / VMware 14 pro
목표
ASAv 방화벽을 사용하여
R1, R2 ,R3 ,R4 간 서로 Ping이 전달 되게 하기
1. 라우터 설정 ( IP설정, 정적 라우팅)
(1)R1
(2)R2
(3)R3
(4)R4
2. ASAv 설정 ( IP설정, ACL 정책 설정 )
(1) IP설정
(2) ACL 정책 설정
R1 설정
R1# conf t
R1(config) # int f0/0
R1(config-if) # ip add 1.1.12.1 255.255.255.0
R1(config-if) # no sh
R1(config-if) # exit
=> 인터페이스에 IP 값을 부여 포트 오픈!
R1(config) # ip route 1.1.23.0 255.255.255.0 1.1.12.2
R1(config) # ip route 1.1.34.0 255.255.255.0 1.1.23.254
R1(config) # ip route 1.1.45.0 255.255.255.0 1.1.23.254
R1(config) # end
R1 # show ip ro
=> 정적으로 라우팅 테이블 설정
R2 설정
R2# conf t
R2(config) # int f0/0
R2(config-if) # ip add 1.1.12.2 255.255.255.0
R2(config-if) # no sh
R2(config-if) # exit
R2(config) # int f0/1
R2(config-if) # ip add 1.1.23.1 255.255.255.0
R2(config-if) # no sh
R2(config-if) # exit
=> R1과 달리 f0/0, f0/1 두개를 사용하기 때문에 두 개 모두해줘야 함
R2(config-if) # exit
=> 인터페이스에 IP 값을 부여 포트 오픈!
R2(config) # ip route 1.1.34.0 255.255.255.0 1.1.23.254
R2(config) # ip route 1.1.45.0 255.255.255.0 1.1.23.254
R2(config) # end
R2 # show ip ro
=> 1.1.12.0 대역을 설정 하지 않는 이유는 이미 연결되어 있기 때문에 1.1.34.0 과 1.1.45.0 추가만 해주면 된다
R3 , R4 IP 대역만 바꿔 주고 R1 = R4 , R2 = R3 같이 해주면 되기 때문에 상관없다.
현재까지 모두 정적 라우팅을 완료가 되면 R1->R2 or R2->R1 / R3->R4 or R4->R3 간 Ping 가능해진다.
하지만 반대 영역으로 핑을 보낼 때 안되는데 아직 ASAv를 설정하지 않아서 그렇다!
ASAv 설정
라우터와 마찬가지로 g0/0, g0/1에 IP를 할당 해줘야 한다.
ASAv> en
Password: [enter]
-> 초기 P/W는 없기 때문에 엔터 누르고 진입
ASAv# conf t
ASAv(config)# int G0/0
ASAv(config-if)# ip add 1.1.23.254 255.255.255.0
ASAv(config-if)# no sh
ASAv(config-if)# nameif inside
ASAv(config-if)# exit
ASAv(config)# int G0/1
ASAv(config-if)# ip add 1.1.34.254 255.255.255.0
ASAv(config-if)# no sh
ASAv(config-if)# nameif outside
ASAv(config-if)# exit
=> 각 인터페이스 설정 끝 / 라우터와 매우 흡사 하지만 nameif [inside/outside]가 추가가 되었다.
ASAv를 이용해서 접근권한을 두기 위해서 영역을 나눈다고 생각하면 된다.
보통 외부 망 (인터넷) , 사내 망 , 각 종 서버 이렇게 3가지로 나누게 되는데 각 영영별 진입 권한을 달리해야 보안적으로 안전하게 하기때문에 nameif를 이용해서 각 영역별 권한설정을 따로 한다.
이제 라우터에서 1.인터페이스 설정 / 2.라우팅을 했으니 ASAv도 라우팅을 해야할 차례이다.
①ASAv(config)# route inside 1.1.12.0 255.255.255.0 1.1.23.1
②ASAv(config)# route outside 1.1.45.0 255.255.255.0 1.1.34.1
③ASAv(config)# route outside 0.0.0.0 0.0.0.0 1.1.34.1
①,② 과는 ASAv 방화벽이랑 맞다아 있지 않기 때문에 설정을 통해 라우터 통신시 지정을 해줘야 한다.
③은 default를 줘서 통신 접근이 가능하게 한 것이다. / R1,R2에 있는 라우터가 정보를 모를때 해당 주소로 ping을 보내기 때문에?
ASAv(config)# show running route
or
ASAv(config)# show ro
명령어를 입력하면 라우팅 설정 값을 볼 수 있다.
라우터 경우 정적라우팅 혹은 동적라우팅 후 Ping을 보내면 서로 통신이 가능합니다. 하지만
ASAv (방화벽은) 라우팅만 한다고해서 Ping이 안 됩니다. 세부적인 ACL를 설정 해줘야 합니다.
ACL 설정
ASAv(config)#access-list icmp extended permit icmp 1.1.23.0 255.255.255.0 any
ASAv(config)#access-list icmp extended permit icmp 1.1.12.0 255.255.255.0 any
ASAv(config)#access-group icmp in interface inside (= access-group icmp in in inside )
-> 1.1.12.0 , 1.1.23.0 IP대역에 ICMP 접근을 허용한다
ASAv(config)#access-list icmp-outside extended permit icmp 1.1.34.0 255.255.255.0 any
ASAv(config)#access-list icmp-outside extended permit icmp 1.1.45.0 255.255.255.0 any
ASAv(config)#access-group icmp-outside in interface outside ( access-group icmp in in outside)
-> 1.1.34.0 , 1.1.45.0 IP대역에 ICMP 접근을 허용한다 (out
ASAv(config)#policy-map global_policy
ASAv(config-pmap)#class inspection_default
ASAv(config-pmap-c)#inspect icmp
ASAv(config)#
access-list [you want anythings name] extended [permit/Deny] [protocols] [IP address] [subnet] [any?]
ASAv(config)#
access-group icmp in interface inside (= access-group icmp in in inside )
-> icmp 이름을 가진 access-list를 그룹으로 묶고 nameif로 설정한 것과 정책을 연결 한다.
위에서 nameif 설정할 때 inside/outside 를 설정했습니다. 각 영역별 허가 해주는 CLI 설정이며, 특정 허가권을 설정 하지 않으면 나머지 프로토콜에 대해서 Deny로 설정이 되어있다.
any 대신 특정 IP를 지정해 한 IP에 대해서만 접근을 허가할 수 있다.
nameif 설정 때 security-level에 대해 언급을 하지 않았지만 inside -> outside 쪽으로 통신이 가능하다.
원래는 반대는 안되지만 icmp에 대해 any 값을 설정 했기 때문에 현재는 모두 Ping 통신이 가능하다.
