Tweet
Khác với thiết bị router truyền thống, FTD được thiết kế tập trung vào chức năng bảo mật, nên việc triển khai định tuyến động trên FTD cần tuân theo những nguyên tắc cụ thể. Bài viết này trình bày phương pháp để FTD quảng bá default route về core switch, giả định sử dụng OSPF làm giao thức định tuyến.
1. Điều kiện tiên quyết
Để FTD có thể gửi default route về core switch thông qua OSPF, cần thỏa mãn các điều kiện sau:
Tuyến mặc định có thể được định nghĩa trên FTD thông qua CLI như sau:
<next-hop-ip> là địa chỉ IP của router hoặc thiết bị upstream (thường là modem hoặc router ISP).
3. Cấu hình OSPF để quảng bá default route
Để FTD gửi default route vào OSPF, cần cấu hình như sau:
Tùy chọndefault-information originate cho phép FTD quảng bá tuyến mặc định vào OSPF nếu bản thân nó có tuyến mặc định trong bảng định tuyến.
Nếu muốn quảng bá tuyến mặc định ngay cả khi chưa có tuyến này trong bảng định tuyến, có thể sử dụng tùy chọn always:
4. Kiểm tra trên core switch
Sau khi cấu hình xong, trên thiết bị core switch (giả sử cũng chạy OSPF), có thể dùng lệnh sau để kiểm tra việc học tuyến mặc định:
Nếu cấu hình đúng, sẽ thấy tuyến 0.0.0.0/0 xuất hiện với next-hop là IP của FTD.
5. Một số lưu ý quan trọng
1. Điều kiện tiên quyết
Để FTD có thể gửi default route về core switch thông qua OSPF, cần thỏa mãn các điều kiện sau:
- FTD phải có tuyến mặc định trong bảng định tuyến (có thể được cấu hình tĩnh hoặc học được từ thiết bị khác).
- Giao thức OSPF phải được cấu hình và hoạt động trên FTD.
- FTD và core switch phải có quan hệ OSPF adjacency (tức là các interface kết nối giữa chúng cùng chạy OSPF).
- FTD phải được cấu hình để quảng bá tuyến mặc định thông qua lệnh default-information originate.
Tuyến mặc định có thể được định nghĩa trên FTD thông qua CLI như sau:
| route outside 0.0.0.0 0.0.0.0 <next-hop-ip> |
3. Cấu hình OSPF để quảng bá default route
Để FTD gửi default route vào OSPF, cần cấu hình như sau:
| router ospf 1 network <network-ip> <wildcard-mask> area 0 default-information originate |
Nếu muốn quảng bá tuyến mặc định ngay cả khi chưa có tuyến này trong bảng định tuyến, có thể sử dụng tùy chọn always:
| default-information originate always |
4. Kiểm tra trên core switch
Sau khi cấu hình xong, trên thiết bị core switch (giả sử cũng chạy OSPF), có thể dùng lệnh sau để kiểm tra việc học tuyến mặc định:
| show ip route ospf |
5. Một số lưu ý quan trọng
- Nếu FTD chưa có tuyến mặc định trong bảng định tuyến, thì lệnh default-information originate sẽ không phát huy tác dụng trừ khi có thêm tùy chọn always.
- Phải đảm bảo OSPF adjacency giữa FTD và core switch đã hình thành và ổn định.
- Trong các hệ thống sử dụng OSPF với nhiều area, cần bảo đảm tuyến mặc định được propagate đúng cách hoặc sử dụng tính năng redistribution nếu cần thiết.
- Tùy thuộc vào phiên bản phần mềm FTD, một số tính năng định tuyến có thể bị giới hạn nếu không sử dụng giấy phép phù hợp.