Senin, 07 September 2009

Configure a Cisco ASA 5505 with Dual ISP Backup Connection

Harris Andrea is a Cisco Certified Network Professional (CCNP) and Cisco Certified Security Professional (CCSP) with more than 10 years experience in the networking field.

Configure a Cisco ASA 5505 with Dual ISP Backup Connection

In this article I will explain how to configure a Cisco ASA 5505 firewall to connect to dual ISPs for redundancy purposes. Suppose that we have a primary high-speed ISP connection, and a cheaper DSL line connected to a Secondary ISP. Normally all of our traffic should flow through the primary ISP. If the primary link fails, the secondary DSL connection should be utilized for Internet access. Please note that the above scenario is valid only for Outbound traffic (i.e. from our internal network towards the Internet). The functionality that I will describe below works for ASA 5505 version 7.2(1) and above.

Assume that we are assigned a static Public IP address of 100.100.100.1 from Primary ISP and another static Public IP address of 200.200.200.1 from our Backup ISP. We will use Ethernet 0/0 for connecting to Primary ISP, Ethernet 0/1 for connecting to our Internal LAN, and Ethernet 0/2 for connecting to our Backup ISP. We will create three VLANs to support our configuration. VLAN1 (the default Vlan) will be assigned to Ethernet 0/1 (inside), VLAN2 will be assigned to Ethernet 0/0 (primary-isp) and VLAN3 will be assigned to Ethernet 0/2 (backup-isp). We also have to configure two static default routes pointing to the ISP gateway address. The primary ISP default route shall have a metric of 1 and the backup ISP default route shall have a metric bigger than 1 (let's say 2). Let us see the configuration below:

ASA5505(config)# interface ethernet 0/0
ASA5505(config-if)# switchport access vlan 2
ASA5505(config-if)# no shutdown

ASA5505(config)# interface ethernet 0/1
ASA5505(config-if)# switchport access vlan 1
ASA5505(config-if)# no shutdown

ASA5505(config)# interface ethernet 0/2
ASA5505(config-if)# switchport access vlan 3
ASA5505(config-if)# no shutdown

ASA5505(config)# interface vlan 1
ASA5505(config-if)# nameif inside
ASA5505(config-if)# security-level 100
ASA5505(config-if)# ip address 192.168.1.1 255.255.255.0
ASA5505(config-if)# no shutdown

ASA5505(config)# interface vlan 2
ASA5505(config-if)# nameif primary-isp
ASA5505(config-if)# security-level 0
ASA5505(config-if)# ip address 100.100.100.1 255.255.255.0
ASA5505(config-if)# backup interface vlan 3
ASA5505(config-if)# no shutdown

ASA5505(config)# interface vlan 3
ASA5505(config-if)# nameif backup-isp
ASA5505(config-if)# security-level 1
ASA5505(config-if)# ip address 200.200.200.1 255.255.255.0
ASA5505(config-if)# no shutdown

ASA5505(config)# route primary-isp 0.0.0.0 0.0.0.0 100.100.100.2 1
ASA5505(config)# route backup-isp 0.0.0.0 0.0.0.0 200.200.200.2 2
Diposting oleh di Tidak ada komentar:

Failover ASA

asa5500(config)# sla monitor 100
asa5500(config-sla-monitor)# type echo protocol ipIcmpEcho 100.100.100.2 interface outside
asa5500(config-sla-monitor-echo)# timeout 3000
asa5500(config-sla-monitor-echo)# frequency 10
asa5500(config)# sla monitor schedule 100 life forever start-time now
asa5500(config)# track 1 rtr 100 reachability
asa5500(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 track 1
asa5500(config)# route backup-isp 0.0.0.0 0.0.0.0 200.200.200.2 254
Diposting oleh di Tidak ada komentar:

2 Default Gateway

Berdasarkan pengalaman pribadi, mungkin berguna..
1. Buat access list

access-list 1 permit xxx.xxx.xxx.xxx aaa.aaa.aaa.aaa
access-list 2 permit yyy.yyy.yyy.yyy aaa.aaa.aaa.aaa

dimana xxx dan yyy adalah ip public dari masing-masing provider dan aaa adalah subnetmask-nya wildcard mask (reverse mask)

2. Buat route-map

route-map 2GW permit 10
match ip address 1
set ip default next-hop ip_serial_0
!
route-map 2GW permit 20
match ip address 2
set ip default next-hop ip_serial_1
!
route-map 2GW permit 30
set default interface Null0

3. Tidak usah diberikan Ip route 0.0.0.0

Maka bila diberikan command sh ip route tidak terdapat 0.0.0.0, hal ini tidak masalah karena sudah diatur oleh rules access list yg kita buat…

4. Coba tracert dari masing-masing ip subnet mask tersebut
Diposting oleh di Tidak ada komentar:

Load Balancing Web server dengan DNS

Load balancing (pembagian beban) adalah salah satu metode untuk mengurangi beban pada server, karena permintaan dari client akan dibagi ke server lain.
ada beberapa software dan hardware yang mampu menjalankan service ini, tapi pada kesempatan ini akan membahas load balancing web server dengan DNS sebagai load balancernya.

sebagai contoh konfigurasi load balancing dengan DNS sebagai load balancernya.
misalkan

  1. DNS, mempunyai IP address 10.10.10.2
  2. NS1, mempunyai IP address 10.10.10.3
  3. NS2, mempunyai IP address 10.10.10.4
  4. NS3, mempunyai IP address 10.10.10.5
  5. NS4, mempunyai IP address 10.10.10.6
berikut adalah konfigurasi pada DNS :

DNS IN A 10.10.10.2
NS1 IN A 10.10.10.3
NS2 IN A 10.10.10.4
NS3 IN A 10.10.10.5
NS6 IN A 10.10.10.6

www0 IN CNAME NS1
www1 IN CNAME NS2
www2 IN CNAME NS3
www3 IN CNAME NS4

www IN CNAME www0
www IN CNAME www1
www IN CNAME www2
www IN CNAME www3

jadi ketika client mengetikkan www.namadomain.com, maka permintaan client akan di lempar ke salah satu server tersebut.


Diposting oleh di Tidak ada komentar:

VRRP Virtual Router Redundancy Protocol [Mikrotik]

Virtual Router atau VRRP Group merupakan sekumpulan router yang berfungsi untuk kebutuhan redundancy. Secara konseptual VRRP mempunyai satu device yang berperan sebagai master dan beberapa router yang akan berfungsi sebagai backup. Pada VRRP, Router Master prioritynya diset 255, sedangkan pada Backup diset antara 1-254, dengan nilai default prioritynya adalah 100 yang masing-masingnya mempunyai sebuah VRID (Virtual Router ID) yang unik.
A. Konfigurasi sebagai Master State
  1. Login sebagai admin dengan password sesuai yang anda set
  2. Aktifkan program winbox dan masuk ke tab terminal / console mode jika anda menguasai.
  3. Buat ip pada masing-masing interface pada router master.
  4. Masuk ke ip vrrp, lalu masukan interface dan prioritynya. (Pada router Master prioritynya 255)
  5. Kemudian lihat dengan perintah print, apakah router tersebut sudah menjadi master atau belum. Apabila sudah terdapat flag ‘M’ pada sisi sebelah kiri, maka sudah berfungsi sebagai master.
  6. Setelah itu masukan alamat ipnya yang akan difungsikan sebagai ip aliasing pada router tersebut.
  7. Terakhir lihat status ip tersebut apakah sudah aktif atau belum dengan melihat flag ‘A’ yang ada pada sisi sebelah kiri.

B. Konfigurasi sebagai Backup State
Konfigurasi pada router Backup tidak berbeda halnya dengan konfigurasi router master.

  1. Login sebagai admin sesuai password yang sudah anda set.
  2. Aktifkan program winbox dan masuk ke terminal atau consolemode jika anda menguasai
  3. Buat ip pada masing-masing interface di router backup.
  4. Masuk ke ip vrrp, lalu masukan interface dan prioritynya.(Pada router backup prioritynya dari 1-254)
  5. Kemudian lihat dengan perintah print. Apabila sudah terdapat flag ‘B’ pada sisi sebelah kiri, maka sudah berfungsi sebagai Backup.
  6. Setelah itu masukan alamat ipnya yang akan difungsikan sebagai ip aliasing pada router tersebut.

Terakhir lihat status IP tersebut apakah sudah aktif atau belum dengan melihat flag ‘A’ yang ada pada sisi sebelah kiri.

Secara singkat setelah anda pusing melakukan konfigurasi tersebut diatas, sebenarnya fungsi utama dari feature VRPP ini adalah kita akan mempunyai router cadangan. Jadi apabila router master kita terkena gangguan / rusak entah apapun penyebabe maka kita masih mempunyai router cadangan yang dapat berfungsi sebagai router master.

Diposting oleh di Tidak ada komentar:

Rabu, 22 Juli 2009

iptables - Firewall sebenar2 nya..

Satu hal lagi yang baru kupelajari dalam rangka menambah ilmuku tentang jaringan adalah IPtables. Dari yang kubaca, pembahasan iptables secara keseluruhan cukup luas, jadi kali ini ku persempit dulu pembahasannya menjadi firewall with iptables. Walaupun sebenarnya ga lengkap-lengkap kali, soalnya yang kutulis adalah yang aku udah ngerti dulu, bukan sekedar copas hehe..

Sebelum nulis ini, tadi uda sempat coba-coba dikit, dan ternyata berhasil. Nah sekarang aku ingin mengabadikan kenangan ini, usaha ini, kerja keras ini (hoho kaya’ betul aja..) menjadi bait-bait tulisan yang bisa ku nikmati di hari tua nanti..amin.. klo nyampe tua..

Sebenarnya di iptables ada beberapa table, ada filter, nat, mangle, dan raw, tapi karena pembahasan kita dipersempit, jadi yang digunakan kali ini adalah bagian filternya.

Mulai….:

Dalam tabel filter terdapat 3 buah build-in chains (susah dibahasa indonesiakan) dimana kita bisa meletakkan aturan-aturan untuk firewall kita. Bingung? lanjutin aja dulu ya..
Berikut 3 buah “rantai” tersebut :
1. INPUT (untuk paket yang ditujukan ke firewall kita)
2. FORWARD (untuk paket yang di route lewat firewall kita, misalnya sebagai server yang menghubungkan jaringan local ke jaringan internet.
3. OUTPUT (untuk paket yang berasal dari firewall)

Target And Jumps
Setiap rule yang ada di firewall akan mencoba mengidentifikasi setiap paket yang ada di “rantai”, jika sesuai maka akan dianggap sebagai target, yang selanjutnya akan diarahkan ke proses selanjutnya, atau istilahnya di jump over ke proses seanjutnya. Atau sederhananya, apa yang akan dilakukan jika terdapat paket yang cocok dengan rule.
Berikut adalah beberapa Jumps yang populer :
1. ACCEPT (proses di iptables selesai, dan paket dilanjutkan ke tempat seharusnya, misalnya applikasi tujuan)
2. DROP (proses di iptables selesai, dan paket diblock)
3. REJECT (proses di iptables selesai, dan paket diblock lalu mengirimkan pesan ke host pengirim bahwa paket diblock)

Selanjutnya adalah COMMANDS yang bias digunakan :
o ya, ni aturan penulisannya untuk masing-masing commands yang digunakan.
iptables [-t table] -[AD] chain rule-specification [options]
iptables [-t table] -I chain [rulenum] rule-specification [options]
iptables [-t table] -R chain rulenum rule-specification [options]
iptables [-t table] -D chain rulenum [options]
iptables [-t table] -[LFZ] [chain] [options]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target [options]
iptables [-t table] -E old-chain-name new-chain-name

-t = menentukan nama tabel (filter, nat, mangle, raw). jika tidak ditulis, maka defaultnya adalah “filter”.

ket : chain ==> misalnya INPUT, OUTPUT, atau FORWARD
rulenum ==> nomor urut aturan dalam chain
target==> seperti yang dijelaskan pada bagian target and jumps di atas

nah, ini commandsnya :
1. -A ==> menambahkan rule di baris terakhir chain yang ditentukan.
(iptables -A INPUT -j DROP : semua paket yang masuk ke chain INPUT akan di DROP)
2. -D ==> menghapus rule yang ada di chain tertentu, ada dua jenis penghapusan, yaitu dengan nomor urut rule (rulenum) atau dengan pencocokan rule-specification.
(iptables -D INPUT 1, atau iptables -D INPUT -s 10.14.210.100 -j DROP : yg pertama adalah menghapus rule pertama di chain input, yang kedua adalah menghapus rule yang cocok dengan spesifikasi tersebut di chain INPUT)
3. -I ==> menambahkan rule di baris dan chain yang ditentukan.
(iptables -I INPUT 1 –dport 80 -j ACCEPT : menambahkan rule di urutan pertama pada chain INPUT)
4. -R ==> mereplace rule yang ada di chain berdasarkan rulenum.
(iptables -R INPUT 1 -s 192.168.0.1 -j DROP : menimpa rule nomor satu di chain INPUT dengan rule baru tersebut)
5. -L ==> menampilkan daftar rule seluruhnya atau di chain tertentu jika jenis chain ditentukan.
(iptables -L INPUT : menampilkan semua rule yang ada di chain INPUT)
6. -F ==> menghapus semua rule atau semua rule di chain tertentu jika jenis chain ditentukan.
(iptables -F : menghapus semua rule yang ada di semua chain)
7. -Z ==> untuk meng-nol-kan semua counter yang di chain tertentu, misalkan coba -v, setelah itu gunakan -Z, lalu lihat beda -v setelah di -Z.
(iptables -Z INPUT)
8. -N ==> membuat sebuah chain baru.
(iptables -N ALLOW : membuat sebuah chain bernama ALLOW)
9. -X ==> menghapus chain tertentu.
(iptables -X ALLOW : menghapus chain bernama ALLOW)
10. -P ==> untuk menentukan default target dari chain tertentu.
(iptables -P INPUT ACCEPT : jika paket tidak ada yang cocok dengan semua rule yang ada, maka akan dipaksa mengikuti rule default ini)
11. -E ==> mengubah nama chain.
(iptaables -E ALLOW ALLOWAH : mengubah nama chain dari ALLOW jadi ALLOWAH)
Catatan : Nomor rule dimulai dari satu.

Selanjutnya adalah daftar parameter pembentuk rule-specification :
-s ==> source
(iptables -A INPUT -s 192.168.1.1)
-d ==> destination
(iptables -A INPUT -d 192.168.1.1)
-p ==> protocol
(iptables -A INPUT -s 192.168.1.1 -p tcp)
-i ==> in-interface
(iptables -A INPUT -i eth0)
-o ==> out-interface
(iptables -A FORWARD -o eth0)
–sport ==> source port
(iptables -A INPUT -s 192.168.1.1 -p tcp –sport 22)
–dport ==> destination port
(iptables -A INPUT -p tcp –dport 22)
–sys ==> untuk identifikasi new connection request
(iptables -A INPUT -i ppp0 -p tcp –syn –dport ! 80 -j DROP)
Catatan : Gunakan tanda ! untuk negasi/ pernyataan tidak/ selain.
Gunakan tanda : untuk menyatakan sampai, misal port 10 sampai 20, maka ditulis 10:20.

Contoh-Contoh Script IPTables :
iptables -A INPUT -p icmp –icmp-type 8 -j DROP
(DROP semua paket icmp-request yang masuk ke server kita, dengan kata lain komputer kita ga bisa di ping)
=> –icmp-type 0 for reply 8 for request.
iptables -A OUTPUT -p udp -o eth0 –dport 53 –sport 1024:65535 -j ACCEPT
(ACCEPT paket yang dengan protokol UDP, out-interface eth0, destination port 53, source port 1024-65535)
iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -d $SERVER_IP -m state –state NEW, ESTABLISHED, RELATED -j ACCEPT
($SERVER_IP adalah variable, bisa digantikan dengan IP server. -m state –state adalah untuk mengetest keadaan paket, ada 4 yang bisa digunakan, yaitu NEW, ESTABLISHED, RELATED, dan INVALID. NEW : paket memulai koneksi baru. ESTABLISHED : paket adalah bagian dari koneksi yang terjadi antara dua host, misalnya ICMP reply message, yang merupakan balasan dari ICMP request. RELATED : koneksi yang termasuk RELATED adalah jika ia berhubungan dengan koneksi ESTABLISHED yang telah ada. INVALID : paket tidak teridentifikasi atau tidak memiliki state, ini mungkin terjadi karena system running out memory atau karena ICMP error messages yang tidak merespon ke known connections.

hhuaaaa.. uda ngantuk nih,, sampai disini dulu yah, ntar klo masih ada waktu n ilmunya semakin banyak, ntar ditulis lagi deh biar ga ilang..hehe..

Kata bijak : ilmu itu kaya’ kambing, klo ga diikat ntar hilang lho..,klo kambing diikat dengan tali, klo ilmu diikat dengan ditulis..

Diposting oleh di Tidak ada komentar:

Senin, 20 Juli 2009

CISCO ASA 5510 - mainan baru Firewall dari CISCO







Cisco ASA 5510 adalah salah satu seri firewall keluaran cisco.
Firewall only, itu yang terbersit saat saya mengconfigure firewall ini, tidak ada nya smart defense, url filtering seperti pada firewall jenis UTM yang tersedia di pasaran.tapi hal ini dapat di akali dengan menggunakan macafee dengan membayar licensi lg.fitur nya menjadi UTM lengkap lah sudah.

penggunaan ASDM menurut saya sangat membatu sekali dalam memonitoring kinerja firewall ini.banyak fungsi dari configuring interface sampe create vpn ipsec yg di dukung oleh firewall ini.

Diposting oleh di 1 komentar:
Langganan: Postingan (Atom)