nguyenquocle
06-08-2009, 09:38 AM
Cấu hình firewall có thể được dễ dàng kiểm tra đặc biệt là khi bạn nghĩ bạn đã cấu hình NAT, route, access control lists (ACLs) và nó không hoạt động như bạn mong đợi. Bạn đừng lo ngại vì đã có cisco ASA cung cấp cho bạn công cụ Packet Tracer.
Cisco ASA Packet Trace là công cụ tuyệt vời để biết một packet sẽ được xử lý như thế nào dựa trên cấu hình hiện tại. Nó cho phép bạn chọn cổng, hỗ trợ chọn 1 cặp địa chỉ IP address và ports, và nó sẽ phát hiện đường dẫn mà gói tin sẽ đi qua Firewall của bạn ,cung cấp chi tiết về kết quả.
Công cụ này có thể truy cập tại nhiều nơi khác nhau thông qua giao diện Cisco ASDM. Một trong những nơi đó là trong màn hình "Firewall configration" ở "NAT rules" tab. Bạn sẽ nhìn thấy nó ở đầu phía tay phải màn hình.
Đây là màn hình hiển thị thiết lập cấu hình packet trace lúc mới bắt đầu.
Hình A
http://content.techrepublic.com.com/2347-10878_11-303638-303640.html?seq=2
http://c.uploadanh.com/upload/0/658/0.695293001249527226.png
Tại hình B, tôi đã cấu hình để mô tả đường đi từ 1 địa chỉ nằm trong nội bộ đến 1 website nằm phía bên ngoài. Packet bị xử lý bởi Firewall, từng bước riêng biệt sẽ được hiển thị thời gian thực nếu bạn chọn vào ô "Show Animation". Các bước được hiển thị chi tiết trong phần hiển thị "Phase" của màn hỉnh. Trong thí dụ, mỗi tiến trình sau khi được kiểm tra bởi firewall sẽ được đánh dấu màu xanh và cuối cùng hiển thị kết quả "The packet is allowed"
HìnhB
http://c.uploadanh.com/upload/0/658/0.848570001249527225.png
Bạn kéo chuột xuống từng phần trong tiến trình sẽ nhìn thấy chính xác những bước firewall đã thực hiện như ACLs đã xử lý gói tin gì, route nào được sử dụng...Hình C,D, và E sẽ hiển thị đường dẫn gói tin thật sự đi qua và tiến trình xử lý luồng traffic của chúng.
Trong hình C, chúng ta sẽ nhìn thấy packet đi qua kiểm tra access list, kiểm tra flow đã có sẵn chưa, và kiểm tra để chọn route thích hơp.
Hình C
http://c.uploadanh.com/upload/0/658/0.924146001249527224.png
Trong hình D, chúng ta thấy cấu hình NAT sẽ được áp dụng đối với gói tin này và kết quả là dynamic translation (PAT) được sử dụng.
Hình D
http://c.uploadanh.com/upload/0/658/0.986784001249527223.png
Trong hình E, một Flow được tạo ra sinh ra số Flow ID, và kết quả là route được chọn.
Hình E
http://c.uploadanh.com/upload/0/658/0.042107001249527223.png
Trong thí dụ cuối cùng 1 flow không được cho phép đi qua firewall.
Hình F
http://c.uploadanh.com/upload/0/658/0.008007001249527222.png
Cisco ASA Packet Trace là công cụ tuyệt vời để biết một packet sẽ được xử lý như thế nào dựa trên cấu hình hiện tại. Nó cho phép bạn chọn cổng, hỗ trợ chọn 1 cặp địa chỉ IP address và ports, và nó sẽ phát hiện đường dẫn mà gói tin sẽ đi qua Firewall của bạn ,cung cấp chi tiết về kết quả.
Công cụ này có thể truy cập tại nhiều nơi khác nhau thông qua giao diện Cisco ASDM. Một trong những nơi đó là trong màn hình "Firewall configration" ở "NAT rules" tab. Bạn sẽ nhìn thấy nó ở đầu phía tay phải màn hình.
Đây là màn hình hiển thị thiết lập cấu hình packet trace lúc mới bắt đầu.
Hình A
http://content.techrepublic.com.com/2347-10878_11-303638-303640.html?seq=2
http://c.uploadanh.com/upload/0/658/0.695293001249527226.png
Tại hình B, tôi đã cấu hình để mô tả đường đi từ 1 địa chỉ nằm trong nội bộ đến 1 website nằm phía bên ngoài. Packet bị xử lý bởi Firewall, từng bước riêng biệt sẽ được hiển thị thời gian thực nếu bạn chọn vào ô "Show Animation". Các bước được hiển thị chi tiết trong phần hiển thị "Phase" của màn hỉnh. Trong thí dụ, mỗi tiến trình sau khi được kiểm tra bởi firewall sẽ được đánh dấu màu xanh và cuối cùng hiển thị kết quả "The packet is allowed"
HìnhB
http://c.uploadanh.com/upload/0/658/0.848570001249527225.png
Bạn kéo chuột xuống từng phần trong tiến trình sẽ nhìn thấy chính xác những bước firewall đã thực hiện như ACLs đã xử lý gói tin gì, route nào được sử dụng...Hình C,D, và E sẽ hiển thị đường dẫn gói tin thật sự đi qua và tiến trình xử lý luồng traffic của chúng.
Trong hình C, chúng ta sẽ nhìn thấy packet đi qua kiểm tra access list, kiểm tra flow đã có sẵn chưa, và kiểm tra để chọn route thích hơp.
Hình C
http://c.uploadanh.com/upload/0/658/0.924146001249527224.png
Trong hình D, chúng ta thấy cấu hình NAT sẽ được áp dụng đối với gói tin này và kết quả là dynamic translation (PAT) được sử dụng.
Hình D
http://c.uploadanh.com/upload/0/658/0.986784001249527223.png
Trong hình E, một Flow được tạo ra sinh ra số Flow ID, và kết quả là route được chọn.
Hình E
http://c.uploadanh.com/upload/0/658/0.042107001249527223.png
Trong thí dụ cuối cùng 1 flow không được cho phép đi qua firewall.
Hình F
http://c.uploadanh.com/upload/0/658/0.008007001249527222.png