Cisco ASA再分配示例

先决条件：自适应安全设备（ASA）
在实际情况中，一个组织可能会同时使用多种路由协议（如 EIGRP、OSPF 或 RIP）。此外，该组织还可能使用静态或默认路由。此时，通过某种方式获得的路由信息（无论是动态路由还是静态路由）需要被重新分配到其他路由协议中。这个过程就被称为“重新分配”。
例如，如果某个路由器在一个接口上使用EIGRP协议进行路由配置，而在另一个接口上则使用RIP协议进行路由配置，那么通过EIGRP协议获得的路由信息应该被重新分发到RIP协议中，反之亦然。
重新分配—— 
这是一种将通过静态路由、直接连接路由或动态路由协议所确定的路由信息，转换到其他路由协议中的过程。

例如，在这种情况下，路由器2的一个接口（fa0/0）使用EIGRP协议进行路由处理，而另一个接口（fa0/1）则使用OSPF协议进行路由处理。因此，我们需要把OSPF协议所发现的路由信息重新传输到EIGRP协议中，反之亦然。这个过程就叫做“路由重分发”。
否则，路由器1将无法获取路由器3的路由信息，而路由器3也无法获取路由器1的路由信息。因此，路由器3就无法与路由器1建立连接。
再分配（在ASA中） 
我们知道，Cisco ASA可以运行在两种模式下：路由模式与透明模式。

1. 路由型防火墙模式 – 
   默认情况下，ASA处于路由防火墙模式。在这种模式下，Cisco ASA会充当路由器角色，因此可以在这种模式下进行路由处理。
    
2. 透明防火墙模式 – 
   在这种模式下，防火墙的行为类似于第2层设备。在路由模式下，ASA上的路由和重新分配操作方式与Cisco路由器上的操作方式相同。

配置示例 – 
在开始配置之前，请记住以下几点：

1. 默认情况下，来自较高安全级别的数据传输是被允许的。但是，如果数据传输是从较低安全级别发起并试图到达较高安全级别的话，那么这种传输请求会被拒绝。
    
2. 默认情况下，从安全性较高的级别到较低级别的传输方式，都是使用TCP和UDP协议进行的。

共有4台路由器，它们的IP地址分别为：Router1（IP地址：10.1.1.1/24）、Router2（IP地址：10.1.2.1/24）、Router3（IP地址：10.1.3.1/24）以及Router4（IP地址：10.1.4.1/24）。此外，还有一台名为ASA的路由器，其IP地址为：10.1.1.2/24，名称“INSIDE”，用于连接e0接口；10.1.2.2/24，名称“OUTSIDE”，用于连接e1接口；10.1.3.2/24，名称“DMZ2”，用于连接e2接口；10.1.4.2/24，名称“DMZ1”。
在E3上。在这个任务中，我们将从内部到外部来检查ICMP信息。
需要注意的是，可以通过检查或利用访问列表来允许来自较低安全级别的网络流量进入较高的安全级别区域。
在Router1上配置IP地址：

Router1(config)#int fa0/0Router1(config-if)#ip address 10.1.1.1 255.255.255.0 Router1(config-if)#no shut 

在Router2上配置IP地址。

Router2(config)#int fa0/0Router2(config-if)#ip address 10.1.2.1 255.255.255.0 Router2(config-if)#no shut 

在路由器3上配置IP地址。

Router3(config)#int fa0/0Router3(config-if)#ip address 10.1.3.1 255.255.255.0 Router3(config-if)#no shut 

在Router2上配置IP地址。

Router4(config)#int fa0/0Router4(config-if)#ip address 10.1.4.1 255.255.255.0 Router4(config-if)#no shut 

现在，我们需要在ASA的各个接口上配置IP地址和名称。

asa(config)#int e0asa(config-if)#no shutasa(config-if)#ip address 10.1.1.2 255.255.255.0asa(config-if)#nameif INSIDEasa(config-if)#security level 100asa(config-if)#exitasa(config)#int e1asa(config-if)#no shutasa(config-if)#ip address 10.1.2.2 255.255.255.0asa(config-if)#nameif OUTSIDEasa(config-if)#security level 0asa(config-if)#exitasa(config)#int e2asa(config-if)#no shutasa(config-if)#ip address 10.1.3.2 255.255.255.0asa(config-if)#nameif DMZ2asa(config-if)#security level 60asa(config-if)#exitasa(config)#int e3asa(config-if)#no shutasa(config-if)#ip address 10.1.4.2 255.255.255.0asa(config-if)#nameif DMZ1asa(config-if)#security level 50

现在，我们需要在Router1上配置EIGRP协议。

Router1(config)#router eigrp 100Router1(config-router)#network 10.1.1.0Router1(config-router)#no auto-summary

现在，需要在Router2上配置默认路由。

Router2(config)#ip route 0.0.0.0 0.0.0.0 10.1.2.2

在路由器3上配置RIP。

Router3(config)#router ripRouter3(config-router)#network 10.1.3.0Router3(config-router)#no auto-summary

在Router4上配置OSPF。

Router4(config)#router OSPF 1Router4(config-router)#network 10.1.4.0 0.0.0.255 area 0

现在，我们必须在 ASA上启用路由功能。

asa(config)#router rip asa(config-router)#network 10.1.3.0asa(config-router)#no auto-summaryasa(config-router)#exitasa(config)#router OSPF 1asa(config-router)#network 10.1.4.0 0.0.0.255 area 0asa(config-router)#exitasa(config)#router eigrp 100asa(config-router)#network 10.1.1.0asa(config-router)#exit

在ASA上设置默认路由

asa(config)#route outside 0 0 10.1.2.1

在这里，“OUTSIDE”表示接口名称。而“0 0”则表示任意的IP地址和掩码。最后，10.1.2.1则是下一跳的IP地址。
现在，需要在ASA上重新分配eigrp路由。

asa(config)#router eigrp 100asa(config-router)#redistribute ospf 1 metric 1 1 1 1 1asa(config-router)#redistribute rip metric 1 1 1 1 1 asa(config-router)#redistribute static metric 1 1 1 1 1

现在，让我们来重新分配OSPF中的路由路径吧。

asa(config)#router ospf 1asa(config-router)#redistribute rip subnetsasa(config-router)#redistribute eigrp 100 subnetsasa(config-router)#default-information originate 

在RIP中重新分配路由。

asa(config)#router ripasa(config-router)#redistribute eigrp 100 metric 1asa(config-router)#redistribute ospf 1 metric 1asa(config-router)#default-information originate 

既然我们已经完成了路由相关的操作，现在我们来检查一下ICMP协议的情况吧。

asa(config)#fixup protocol ICMP 

现在，防火墙能够允许来自较低安全级别的设备发送的ICMP回显请求被转发到较高安全级别的设备。

Router1#ping 10.1.2.1

不仅来自外部，如果流量是从内部发起的，那么DMZ1和DMZ2也可以发送回复。