Ask question

Ask Questions and Get Answers from Our Community

Answer

Answer Questions and Become an Expert on Your Topic

Contact Staff

Our Experts are Ready to Answer your Questions

Follow Us On Social Media

[dell6400note]: Hỏi về LAB VPN ASA + NAT

D

dell6400note

Member
Joined
Jul 3, 2014
Messages
11
Reaction score
0
Points
1
@ROOT: Mình đang làm bài Lab liên quan đến VPN client, còn vướng đoạn NAT các port để cho phép VPN client kết nối qua WAN1, và POOL VPN có thể kết nối tới VLAN_SRV như topo dưới đây, bạn chỉ giúp mình nhé:

I. TỔNG QUAN:
1. Mô hình:



2. Yêu cầu:
Mạng INSIDE:
VLAN_CLIENT; VLAN_APP kết nối dc INTERNET, chỉ telnet được SRV1 vùng DMZ.
VLAN_SRV: không kết nối INTERNET, chỉ giao tiếp với port 80 của SRV2, port 3389 của SRV1 trên vùng DMZ.

Mạng DMZ:
Kết nối được INTERNET và public các port 23 tại SRV1; port 1158 tại SRV2 qua WAN1

Mạng OUTSIDE:
Mở VPN client
Nat mạng INSIDE ra INTERNET
Forward các port 23 của SRV1, 1158 của SRV2

WAN1:
Đường chính ra INTERNET
Cho phép VPN client kết nối

WAN2:
Đường dự phòng ra INTERNET
Nat port public ra INTERNET

REMOTE:
Kết nối được các port của DMZ đã public
Kết nối VPN client có thể truy cập VLAN_SRV

II. TRIỂN KHAI:
1. WAN1:
interface FastEthernet0/0
description Connect to INTERNET
ip address 172.16.22.144 255.255.255.0
ip nat outside
!
interface FastEthernet0/1
description Connect to OUTSIDE ASA
ip address 192.168.1.2 255.255.255.0
ip nat inside
standby priority 110
standby 1 ip 192.168.1.254
standby 1 preempt
standby 1 track FastEthernet0/0
!
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static udp 192.168.1.1 10000 interface FastEthernet0/0 10000
ip nat inside source static udp 192.168.1.1 50 interface FastEthernet0/0 50
ip nat inside source static esp 192.168.1.1 interface FastEthernet0/0
ip nat inside source static udp 192.168.1.1 500 interface FastEthernet0/0 500
ip nat inside source static udp 192.168.1.1 4500 interface FastEthernet0/0 4500
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.22.1
ip route 10.1.1.0 255.255.255.0 192.168.1.1
ip route 172.16.1.0 255.255.255.0 192.168.1.1
!
access-list 1 permit any
!
end

2.WAN2:
!
interface FastEthernet0/0
description Connect to INTERNET
ip address 172.16.22.244 255.255.255.0
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
description Connect to OUTSIDE ASA
ip address 192.168.1.3 255.255.255.0
ip nat inside
duplex auto
speed auto
standby 1 ip 192.168.1.254
standby 1 preempt
standby 1 track FastEthernet0/0
!
ip nat inside source list 1 interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.22.1
ip route 10.1.1.0 255.255.255.0 192.168.1.1
ip route 172.16.1.0 255.255.255.0 192.168.1.1
no ip http server
!
access-list 1 permit any
!
end

3.FW:
!
interface GigabitEthernet0
description Connect to OUTSIDE
nameif OUTSIDE
security-level 0
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet1
description Connect to DMZ
nameif DMZ
security-level 50
ip address 172.16.1.1 255.255.255.0
!
interface GigabitEthernet2
description connect to INSIDE
nameif INSIDE
security-level 100
ip address 10.1.1.1 255.255.255.0
!
ftp mode passive
object network VLAN_CLIENT
subnet 10.10.3.0 255.255.255.0
object network VLAN_APP
subnet 10.10.4.0 255.255.255.0
access-list VPN-ACL extended permit ip 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0
access-list VPN-ACL extended permit ip 10.10.4.0 255.255.255.0 10.0.0.0 255.255.255.0
pager lines 24
mtu OUTSIDE 1500
mtu DMZ 1500
mtu INSIDE 1500
ip local pool VPN 10.0.0.10-10.0.0.20 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network VLAN_CLIENT
nat (INSIDE,OUTSIDE) dynamic 192.168.1.30
object network VLAN_APP
nat (INSIDE,OUTSIDE) dynamic 192.168.1.40
route OUTSIDE 0.0.0.0 0.0.0.0 192.168.1.254 1
route INSIDE 10.10.2.0 255.255.255.0 10.1.1.2 1
route INSIDE 10.10.3.0 255.255.255.0 10.1.1.2 1
route INSIDE 10.10.4.0 255.255.255.0 10.1.1.2 1
!
dynamic-access-policy-record DfltAccessPolicy
!
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set REMOTE esp-3des esp-md5-hmac
crypto dynamic-map MAP 10 set ikev1 transform-set REMOTE
crypto map MYMAP 10 ipsec-isakmp dynamic MAP
crypto map MYMAP interface OUTSIDE
no crypto isakmp nat-traversal
crypto ikev1 enable OUTSIDE
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
!
group-policy REMOTE-VPN internal
group-policy REMOTE-VPN attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value VPN-ACL
default-domain value test.local
address-pools value VPN
username test02 password KhFSDgWxn0rDWqrc encrypted
username test01 password iFBLEO4jejJz4.OK encrypted
tunnel-group REMOTE-VPN type remote-access
tunnel-group REMOTE-VPN general-attributes
default-group-policy REMOTE-VPN
tunnel-group REMOTE-VPN ipsec-attributes
ikev1 pre-shared-key *****
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
!
: end
 
Last edited:
hi dell6400note, đầu tiên rất cảm ơn bạn đã post bài lab này lên :). Mình xin phép được move nó thành 1 topic nhé để mọi người có thể cùng thảo luận dễ dàng hơn.

Nếu được bạn có thể inbox cho mình skype hay yahoo hoặc bất cứ cái gì có thể liên hệ nhanh hơn và thuận tiên hơn. Mình muốn hỏi vài vấn đề về yêu cầu bài lab của bạn vì có vài chỗ mình ko hiểu rõ lắm !
 
hi dell6400note, do cái GNS3 của mình mắc lỗi kỹ thuật nên giờ mới trả lời được ^^!. Mong bạn thông cảm, lab không khó nhưng để sửa cho cái GNS3 chạy là cả 1 vấn đề :). Mong ước có thiết bị thật phá cho sướng :)

II. Triển khai
1. ISP
- Mình sẽ dùng 1 Router giả lập làm ISP trong mô hình này
TOPOjpeg_zps4157846b.jpeg



[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ISP(config)#interface f0/0
ISP(config-if)#ip address 172.16.22.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#int f0/1
ISP(config-if)#ip address dhcp
ISP(config-if)#no shutdown
ISP(config)#int f1/0
ISP(config-if)#ip address 172.16.23.1 255.255.255.0
ISP(config-if)#no shutdown

---------- config NAT overload ------------------
ISP(config)#access-list 1 permit any
ISP(config)#ip nat inside source list 1 interface f0/1 over

ISP(config)#int f0/0
ISP(config-if)#ip nat inside
ISP(config-if)#int f0/1
ISP(config-if)#ip nat outside
ISP(config-if)#int f1/0
ISP(config-if)#ip nat inside[/TD]
[/TR]
[/TABLE]

2. Router WAN
- Theo file cấu hình của bạn dell6400notethì WAN1 và WAN2 bạn ấy sẽ triển khai các tính năng sau
  • HSRP với WAN1 làm Active, WAN2 làm Standby
  • NAT static để client ngoài internet có thể quay VPN vào ASA
  • Track interface để khi 1 đương WAN đứt thì đường kia lập tức lên thay thế
  • Cấu hình Static route các lớp mạng vùng inside cần ra internet
- Và sau đây là các lệnh cấu hình

[TABLE="class: outer_border, width: 800"]
[TR]
[TD]// Cấu hình IP
WAN1(config)#int f0/0
WAN1(config-if)#description Connect to INTERNET
WAN1(config-if)#ip address 172.16.22.144 255.255.255.0
WAN1(config-if)#no shutdown
WAN1(config-if)#int f0/1
WAN1(config-if)#description Connect to OUTSIDE ASA
WAN1(config-if)#ip address 192.168.1.2 255.255.255.0
WAN1(config-if)#no shutdown

------- config default-route ----------------
WAN1(config)#ip route 0.0.0.0 0.0.0.0 172.16.22.1

---------- config NAT overload ------------------
WAN1(config)#access-list 1 permit any
WAN1(config)#ip nat inside source list 1 interface f0/0 over

WAN1(config)#int f0/0
WAN1(config-if)#ip nat outside
WAN1(config-if)#int f0/1
WAN1(config-if)#ip nat inside

---------------- HSRP - WAN1 is Active --------------------
WAN1(config)#int f0/1
WAN1(config-if)#standby 1 priority 110
WAN1(config-if)#standby 1 ip 192.168.1.254
WAN1(config-if)#standby 1 preempt
WAN1(config-if)#standby 1 track f0/0

---------------Route DMZ to internet --------------
WAN1(config)#ip route 172.16.1.0 255.255.255.0 192.168.1.1

----------VLAN_CLIENT; VLAN_APP access INTERNET-----------
WAN1(config)#ip route 10.1.1.0 255.255.255.0 192.168.1.1
WAN1(config)#ip route 10.10.3.0 255.255.255.0 192.168.1.1
WAN1(config)#ip route 10.10.4.0 255.255.255.0 192.168.1.1
-------------- VPN NAT ---------------------
WAN1(config)#ip nat inside source static udp 192.168.1.1 10000 interface FastEthernet0/0 10000
WAN1(config)#ip nat inside source static udp 192.168.1.1 50 interface FastEthernet0/0 50
WAN1(config)#ip nat inside source static esp 192.168.1.1 interface FastEthernet0/0
WAN1(config)#ip nat inside source static udp 192.168.1.1 500 interface FastEthernet0/0 500
WAN1(config)#ip nat inside source static udp 192.168.1.1 4500 interface FastEthernet0/0 4500[/TD]
[/TR]
[/TABLE]

- Đảm bảo WAN1 ra internet thành công
WAN1(config)#do ping 8.8.8.8


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/76/92 ms
Click to expand...
3. Router WAN2
- Các bạn cấu hình tương tự cho Router WAN2

[TABLE="class: outer_border, width: 800"]
[TR]
[TD]WAN2(config)#int f0/0
WAN2(config-if)#description Connect to INTERNET
WAN2(config-if)#ip address 172.16.22.244 255.255.255.0
WAN2(config-if)#no shutdown
WAN2(config-if)#int f0/1
WAN2(config-if)#description Connect to OUTSIDE ASA
WAN2(config-if)#ip address 192.168.1.3 255.255.255.0
WAN2(config-if)#no shutdown

------- config default-route ----------------
WAN2(config)#ip route 0.0.0.0 0.0.0.0 172.16.22.1


---------- config NAT overload ------------------
WAN2(config)#access-list 1 permit any
WAN2(config)#ip nat inside source list 1 interface f0/0 over

WAN2(config)#int f0/0
WAN2(config-if)#ip nat outside
WAN2(config-if)#int f0/1
WAN2(config-if)#ip nat inside

------------------ HSRP-WAN2 is Standby ---------------------
WAN2(config)#int f0/1
WAN2(config-if)#standby 1 ip 192.168.1.254
WAN2(config-if)#standby 1 preempt
WAN2(config-if)#standby 1 track f0/0

---------------Route DMZ to internet --------------
WAN2(config)#ip route 172.16.1.0 255.255.255.0 192.168.1.1

----------VLAN_CLIENT; VLAN_APP access INTERNET-----------
WAN2(config)#ip route 10.1.1.0 255.255.255.0 192.168.1.1
WAN2(config)#ip route 10.10.3.0 255.255.255.0 192.168.1.1
WAN2(config)#ip route 10.10.4.0 255.255.255.0 192.168.1.1[/TD]
[/TR]
[/TABLE]

- Đảm bảo WAN2 ra internet thành công

WAN2(config)#do ping 8.8.8.8


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/76/92 ms
Click to expand...
4. Cấu hình ASA
- Cấu hình IP và default route ASA

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ciscoasa# conf t
ciscoasa(config)# int g0
ciscoasa(config-if)# description Connect to OUTSIDE
ciscoasa(config-if)# nameif OUTSIDE
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g1
ciscoasa(config-if)# description Connect to DMZ
ciscoasa(config-if)# nameif DMZ
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 172.16.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g2
ciscoasa(config-if)# description connect to INSIDE
ciscoasa(config-if)# nameif INSIDE
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown

------------------- default-route -------------------------
ciscoasa(config)# route OUTSIDE 0 0 192.168.1.254
ciscoasa(config)# fixup protocol icmp[/TD]
[/TR]
[/TABLE]

- Đảm bảo ASA ra internet thành công

ciscoasa(config)# ping 8.8.8.8


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
?!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 130/130/130 ms
Click to expand...
- Cấu hình IPSEC VPN trên ASA như các bài lab trước, ở đây mình ko giải thích lại, bạn có thể đọc lại các bài lab trong forum sẽ có giải thích chi tiết :)

[TABLE="class: outer_border, width: 800"]
[TR]
[TD]ciscoasa(config)# crypto ikev1 policy 10ciscoasa(config-ikev1-policy)# authentication pre-share
ciscoasa(config-ikev1-policy)# encryption 3des
ciscoasa(config-ikev1-policy)# hash md5
ciscoasa(config-ikev1-policy)# group 2
ciscoasa(config-ikev1-policy)# lifetime 86400
ciscoasa(config-ikev1-policy)# crypto ikev1 enable OUTSIDE

ciscoasa(config)# crypto ipsec ikev1 transform-set MYSET esp-3des esp-md5-hmac
ciscoasa(config)# crypto dynamic-map DYNAMIC-MAP 10 set ikev1 transform-set MYMAP
ciscoasa(config)# crypto map MYMAP 10 ipsec-isakmp dynamic DYNAMIC-MAP
ciscoasa(config)# crypto map MYMAP interface OUTSIDE

ciscoasa(config)# ip local pool MYPOOL 10.0.0.2-10.0.0.20 mask 255.255.255.0
ciscoasa(config)# group-policy REMOTE-VPN internal
ciscoasa(config)# group-policy REMOTE-VPN attributes
ciscoasa(config-group-policy)# default-domain value svuit.com
ciscoasa(config-group-policy)# address-pools value MYPOOL
ciscoasa(config-group-policy)# exit

ciscoasa(config)# tunnel-group REMOTE-VPN type remote-access
ciscoasa(config)# tunnel-group REMOTE-VPN general-attributes
ciscoasa(config-tunnel-general)# default-group-policy REMOTE-VPN
ciscoasa(config-tunnel-general)# tunnel-group REMOTE-VPN ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key 0 svuit
ciscoasa(config-tunnel-ipsec)# username svuit password svuit.com[/TD]
[/TR]
[/TABLE]

- Trên ASA thực hiện static route để thấy các VLAN

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]---------------Router INSIDE VLAN 20,30,40 ------------------
ciscoasa(config)#route INSIDE 10.10.2.0 255.255.255.0 10.1.1.10 1
ciscoasa(config)#route INSIDE 10.10.3.0 255.255.255.0 10.1.1.10 1
ciscoasa(config)#route INSIDE 10.10.4.0 255.255.255.0 10.1.1.10 1[/TD]
[/TR]
[/TABLE]

5. Switch layer 3
- Con SW_layer 3 này chịu trách nhiệm
  • Tạo các VLAN 20,30,40 tương ứng cho các VLAN_CLIENT; VLAN_APP, VLAN_SRV
  • Định tuyến các VLAN

[TABLE="class: outer_border, width: 800"]
[TR]
[TD]SW_Layer3(config)#int f1/0
SW_Layer3(config-if)#no switchport
SW_Layer3(config-if)#ip address 10.1.1.2 255.255.255.0

// tạo VLAN 20,30,40 tương tứng cho VLAN_CLIENT; VLAN_APP, VLAN_SRV
SW_Layer3#vlan database
SW_Layer3(vlan)#vlan 20
SW_Layer3(vlan)#vlan 30
SW_Layer3(vlan)#vlan 40

// int f1/1 nối với ASA nên mình cho nó thành port layer 3
SW_Layer3(config)#interface f1/1
SW_Layer3(config-if)#no switchport
SW_Layer3(config-if)#ip address 10.1.1.2 255.255.255.0
SW_Layer3(config-if)#no shutdown

// Định tuyến các VLAN
SW_Layer3(config)#ip routing

// Cấu hình ip cho vlan
SW_Layer3(config)#interface vlan 20
SW_Layer3(config-if)#ip address 10.10.2.254 255.255.255.0
SW_Layer3(config-if)#int vlan 30
SW_Layer3(config-if)#ip address 10.10.3.254 255.255.255.0
SW_Layer3(config-if)#int vlan 40
SW_Layer3(config-if)#ip address 10.10.4.254 255.255.255.0

// Gán port cho từng VLAN
SW_Layer3(config)#interface f1/2
SW_Layer3(config-if)#switchport mode access
SW_Layer3(config-if)#switchport access vlan 20
SW_Layer3(config-if)#interface f1/3
SW_Layer3(config-if)#switchport mode access
SW_Layer3(config-if)#switchport access vlan 30
SW_Layer3(config-if)#interface f1/4
SW_Layer3(config-if)#switchport mode access
SW_Layer3(config-if)#switchport access vlan 40[/TD]
[/TR]
[/TABLE]

 
III. Yêu cầu
1. VLAN_CLIENT; VLAN_APP kết nối dc INTERNET, chỉ telnet được SRV1 vùng DMZ.
- VLAN_CLIENT; VLAN_APP kết nối dc INTERNET đơn giản là Router WAN1 và WAN2 route 2 VLAN này là ok

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]WAN1(config)#ip route 10.10.3.0 255.255.255.0 192.168.1.1
WAN1(config)#ip route 10.10.4.0 255.255.255.0 192.168.1.1

WAN2(config)#ip route 10.10.3.0 255.255.255.0 192.168.1.1
WAN2(config)#ip route 10.10.4.0 255.255.255.0 192.168.1.1[/TD]
[/TR]
[/TABLE]



2. VLAN_CLIENT; VLAN_APP chỉ telnet được SRV1 vùng DMZ.
- Trên ASA cấu hình 1 ACL permit cho 2 VLAN này telnet vào SRV1

[TABLE="class: outer_border, width: 800"]
[TR]
[TD]ciscoasa(config)# access-list INSIDE extended permit tcp 10.10.3.0 255.255.255.0 host 172.16.1.10 eq telnet
ciscoasa(config)# access-list INSIDE line 2 extended permit tcp 10.10.4.0 255.255.255.0 host 172.16.1.10 eq telnet
ciscoasa(config)# access-group INSIDE in interface INSIDE[/TD]
[/TR]
[/TABLE]

- Trên PC thuộc VLAN APP bạn thực hiện telnet và remote destop vào server SRV1 vùng DMZ. Các bạn sẽ thấy nó chỉ cho VLAN APP và VLAN CLIENT telnet, còn remote destop và các dịch vụ khác sẽ bị deny



3. VLAN_SRV: không kết nối INTERNET, chỉ giao tiếp với port 80 của SRV2, port 3389 của SRV1 trên vùng DMZ.
  • VLAN_SRV mặc đinh là không ra net được vì 2 Router WAN1 và WAN2 không có route VLAN này
  • truy cập được port 80 của SRV2 và 3389 của SRV1 dmz. Đơn giản là thêm 2 dòng vào ACL permit 2 service này

[TABLE="class: outer_border, width: 800"]
[TR]
[TD]ciscoasa(config)# access-list INSIDE line 3 extended permit tcp 10.10.2.0 255.255.255.0 host 172.16.1.10 eq 3389

ciscoasa(config)# access-list INSIDE line 4 extended permit tcp 10.10.2.0 255.255.255.0 host 172.16.1.20 eq 80[/TD]
[/TR]
[/TABLE]


- Các bạn thấy PC thuộc VLAN_SRV truy cập port 3389 tới SRV1 thành công nhưng telnet và các service không không thành công




- Truy cập web tới SRV2 thành công, còn các dịch vụ khác thì thất bại



4. Kết nối được INTERNET và public các port 23 tại SRV1; port 1158 tại SRV2 qua WAN1
- Để DMZ ra internet thì Router WAN1 và WAN2 static route vùng DMZ là ra net thành công
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]WAN2(config)#ip route 172.16.1.0 255.255.255.0 192.168.1.1[/TD]
[/TR]
[/TABLE]


- Kiểm tra


- public các port 23 tại SRV1; port 1158 tại SRV2 qua WAN1 (ko hiểu câu này là như thế nào :(

6. REMOTE:
- Kết nối được các port của DMZ đã public. Cấu hình split-tunnel trên ASA để cho phép truy cập đến DMZ

[TABLE="class: outer_border, width: 800"]
[TR]
[TD]ciscoasa(config)# access-list VPN-ACL extended permit ip 172.16.1.0 255.255.255.0 10.0.0.0 255.255.255.0
ciscoasa(config)# group-policy REMOTE-VPN attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
ciscoasa(config-group-policy)# split-tunnel-network-list value VPN-ACL[/TD]
[/TR]
[/TABLE]

- Các bạn thấy client từ internet thực hiện VPN về interface outside của Router WAN1



- Client có thể truy cập các service vùng DMZ như telnet, remote destop, http


- Kết nối VPN client có thể truy cập VLAN_SRV. Các bạn chỉ thêm vào VPN-ACL sau

[TABLE="class: outer_border, width: 800"]
[TR]
[TD]ciscoasa(config)# access-list VPN-ACL line 2 permit ip 10.10.2.0 255.255.255.0 10.0.0.0 255.255.255.0[/TD]
[/TR]
[/TABLE]




- Kiểm tra và thành công

 
Hi ROOT, bài viết rất chi tiết!
Ý tưởng của mình từ đầu hơi khác so với bạn một chút về phần thực hiện cho VLAN_CLIENT và VLAN_APP ra INTERNET. Trên WAN1, WAN2 mình chỉ route đến interface INSIDE của ASA, ASA sẽ đảm nhiệm phần NAT các VLAN cần ra INTERNET.

Ngoài ra, mình bổ sung thêm vào access-list INSIDE của bạn để yêu cầu truy cập INTERNET của VLAN_CLIENT và VLAN_APP được đảm bảo khi gán access-list này lên interface:
ciscoasa(config)# access-list INSIDE line 5 extended permit tcp 10.10.3.0 255.255.255.0 any eq www
ciscoasa(config)# access-list INSIDE line 6 extended permit udp 10.10.3.0 255.255.255.0 any eq domain
ciscoasa(config)# access-list INSIDE line 7 extended permit udp 10.10.3.0 255.255.255.0 any eq nameserver
ciscoasa(config)# access-list INSIDE line 5 extended permit tcp 10.10.4.0 255.255.255.0 any eq www
ciscoasa(config)# access-list INSIDE line 6 extended permit udp 10.10.4.0 255.255.255.0 any eq domain
ciscoasa(config)# access-list INSIDE line 7 extended permit udp 10.10.4.0 255.255.255.0 any eq nameserver
ciscoasa(config)# access-group INSIDE in interface INSIDE


root said:


4. Kết nối được INTERNET và public các port 23 tại SRV1; port 1158 tại SRV2 qua WAN1

- public các port 23 tại SRV1; port 1158 tại SRV2 qua WAN1 (ko hiểu câu này là như thế nào :(

[/INDENT]
Click to expand...


Đoạn trên thì mình gõ nhầm ra WAN1, thực ra là muốn qua WAN2 :). Yêu cầu ở đây là cho phép vùng DMZ truy cập được INTERNET, và sử dụng WAN2 để nat các port 23 tại SRV1; port 1158 tại SRV2 cho bên ngoài kết nối :)

Có j thiếu sót ROOT bổ sung tiếp nhé
 
Nếu theo cách của chủ thớt hình như phải phải NAT 2 lần: 1 lần trên ASA, 1 lần trên Router nên có thể làm chậm traffic.
Cho mình hỏi chủ thớt là tại sao thớt cần NAT 2 lần ở đây
 
centos said:
Nếu theo cách của chủ thớt hình như phải phải NAT 2 lần: 1 lần trên ASA, 1 lần trên Router nên có thể làm chậm traffic.
Cho mình hỏi chủ thớt là tại sao thớt cần NAT 2 lần ở đây
Click to expand...

@Centos: trước ASA còn WAN2 (mô phỏng thiết bị khác) nên mình không muốn nat 2 lần nên thực hiện route để WAN2 thấy dc DMZ, sau đó trên WAN mới NAT các port đã mở ở DMZ ra ngoài.
Ý tưởng là thế :)
 
You must log in or register to reply here.

Follow Us On Social Media

About Us

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt.

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

What's new

New posts
New profile posts
Latest activity

Online statistics

Members online
0
Guests online
0
Total visitors
0
Totals may include hidden visitors.
Top