Loading...
Home>Kiến thức - Kỹ thuật>Cấu hình Cisco ASA chạy 2 đường PPPoE (Dual ISP) để dự phòng Internet

Cấu hình Cisco ASA chạy 2 đường PPPoE (Dual ISP) để dự phòng Internet

Bài viết hướng dẫn cách cấu hình Cisco ASA kết nối hai đường Internet PPPoE từ hai ISP khác nhau. Nội dung trình bày mô hình triển khai, cách cấu hình PPPoE client, NAT, SLA Monitor và cơ chế failover để đảm bảo hệ thống mạng luôn duy trì kết nối Internet khi đường truyền chính gặp sự cố.

1. Mô hình triển khai ASA chạy 2 đường PPPoE

Trong nhiều hệ thống mạng doanh nghiệp hoặc chi nhánh, firewall cần kết nối hai đường Internet từ hai ISP khác nhau để:

  • đảm bảo dự phòng đường truyền

  • giảm downtime khi ISP chính gặp sự cố

  • duy trì kết nối VPN hoặc dịch vụ nội bộ.

Với firewall Cisco ASA, thiết bị không hỗ trợ load balancing Internet, do đó cách triển khai phổ biến là:

  • ISP1: đường chính

  • ISP2: đường dự phòng

Thiết bị sẽ theo dõi trạng thái đường truyền chính. Khi ISP1 bị lỗi, ASA sẽ tự động chuyển traffic sang ISP2.

Sơ đồ mô hình

Cấu hình Cisco ASA chạy 2 đường PPPoE (Dual ISP) để dự phòng Internet

Nguyên lý hoạt động

  • ASA quay PPPoE tới hai ISP

  • đường ISP1 được ưu tiên

  • ASA dùng SLA Monitor + Track để theo dõi đường chính

  • nếu ping ra Internet thất bại → route ISP1 bị remove

  • traffic chuyển sang ISP2.

2. Tổng quan cơ chế PPPoE trên Cisco ASA

PPPoE (Point-to-Point Protocol over Ethernet) là giao thức thường được ISP sử dụng để cung cấp kết nối Internet qua DSL hoặc FTTH.

Quá trình thiết lập PPPoE gồm hai giai đoạn:

  1. Discovery phase

    • client tìm Access Concentrator của ISP

    • tạo Session ID

  2. PPP Session phase

    • xác thực (PAP / CHAP)

    • cấp IP address

    • bắt đầu truyền dữ liệu.

Sau khi PPPoE session được thiết lập, firewall sẽ nhận:

  • IP public

  • gateway của ISP

  • các thông tin PPP session.

3. Cấu hình PPPoE client trên ASA

Trước tiên cần khai báo PPPoE account của ISP.

3.1 Khai báo VPDN group

vpdn group ISP-1-PPPOE request dialout pppoe
vpdn group ISP-1-PPPOE localname username_isp_1 
vpdn group ISP-1-PPPOE ppp authentication pap 
vpdn group ISP-2-PPPOE request dialout pppoe
vpdn group ISP-2-PPPOE localname username_isp_2
vpdn group ISP-2-PPPOE ppp authentication pap

Sau đó khai báo tài khoản PPPoE.

vpdn username username_isp_1 password ***** store-local
vpdn username username_isp_2 password ***** store-local

4. Cấu hình interface WAN PPPoE

Sau khi tạo PPPoE group, ta áp cấu hình vào interface WAN.

4.1 Interface ISP1 (đường chính)

interface GigabitEthernet1/1
 description ISP-1
 nameif outside
 security-level 0
 pppoe client vpdn group ISP-1-PPPOE
 pppoe client route track 123
 ip address pppoe setroute

Giải thích:

  • pppoe client vpdn group
    áp PPPoE profile

  • ip address pppoe
    nhận IP từ ISP

  • setroute
    tự động tạo default route.

4.2 Interface ISP2 (đường dự phòng)

interface GigabitEthernet1/2
 description ISP-2
 nameif backup
 security-level 0
 pppoe client vpdn group ISP-2-PPPOE
 pppoe client route distance 254
 ip address pppoe setroute

Ở đây:

  • distance 254
    tạo default route với độ ưu tiên thấp hơn ISP1.

5. Cấu hình SLA Monitor và Track

ASA sử dụng SLA Monitor để kiểm tra đường truyền ISP1.

Ví dụ ping tới Google DNS.

sla monitor 123
 type echo protocol ipIcmpEcho 8.8.8.8 interface outside
 num-packets 3
 frequency 120

Kích hoạt SLA:

sla monitor schedule 123 life forever start-time now

Tạo track object:

track 123 rtr 123 reachability

Cơ chế hoạt động:

  • nếu ping 8.8.8.8 thất bại

  • track object bị down

  • default route ISP1 bị remove

  • traffic chuyển sang ISP2.

6. Cấu hình NAT cho hai đường Internet

Để LAN có thể truy cập Internet qua cả hai ISP, cần cấu hình NAT.

object network Inside
 subnet 192.168.100.0 255.255.255.0
 nat (inside,outside) dynamic interface

NAT cho ISP2:

object network Inside
 subnet 192.168.100.0 255.255.255.0
 nat (inside,backup) dynamic interface

Như vậy:

  • traffic sẽ NAT qua ISP1

  • nếu failover → NAT qua ISP2.

7. Kiểm tra trạng thái PPPoE

Sau khi cấu hình, có thể kiểm tra trạng thái PPPoE.

Kiểm tra PPPoE session

show vpdn session

Kiểm tra interface

show interface ip brief

Kiểm tra route

show route

8. Một số lưu ý khi triển khai

Khi triển khai PPPoE trên ASA cần lưu ý:

  • PPPoE chỉ hỗ trợ trong routed mode

  • không hỗ trợ failover mode

  • MTU thường phải đặt 1492 để tránh fragmentation.

Ngoài ra cần đảm bảo:

  • username/password PPPoE chính xác

  • ISP hỗ trợ PPPoE client.

9. Kết luận

Cấu hình Cisco ASA chạy hai đường PPPoE là giải pháp phổ biến để:

  • tăng độ ổn định Internet

  • đảm bảo tính sẵn sàng của hệ thống mạng

  • duy trì kết nối VPN và dịch vụ nội bộ.

Trong mô hình này:

  • ISP1 hoạt động như đường chính

  • ISP2 làm dự phòng

Khi đường truyền chính gặp sự cố, firewall sẽ tự động chuyển lưu lượng sang đường backup, giúp hệ thống luôn duy trì kết nối Internet.

Danh mục sản phẩm