I.Sơ đồ:
1.1 Mô hình triển khai:
1.2 Yêu cầu:
Cấu hình NAT trên ASA để:
II.Triển khai:
2.1 Cấu hình trên DrayTek:
DrayTek cấu hình chỉ chạy route (ko NAT), ASA sẽ được dùng để NAT cho các client ra ngoài Internet và từ bên ngoài Internet truy cập web vào trong cty. Từ bên ngoài có thể truy cập trực tiếp vào ASA mà không cần bất kỳ cấu hình NAT/ Port forwading, Vì mình đã mua dãy địa chỉ IP public 120.138.69.0/29 từ ISP nên những truy cập mà bên ngoài đến địa dãy địa chỉ này sẽ được ISP route tới địa chỉ IP trên cổng WAN của DrayTek và DrayTek sẽ tiếp tục route vào bên trong tới địa chỉ trên Interface outside của ASA..
2.2 Cấu hình ASA
2.3 WebServer
2.5 Client
III. Kết quả:
Client trong inside: truy cập web 24h.com.vn, 192.16.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com đều OK…
Các Server trong vù DMZ ra ngoài Internt bình thường, và truy cập vào Web server bằng địa chỉ IP local, địa chỉ IP public, tên host:
Web Server trong vùng DMZ truy cập web 192.168.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com kết quả đều OK
Người dùng từ bên ngoài Internet truy cập vào:
Chỉ cần truy cập web vào địa chỉ IP public 120.138.69.2, hoặc truy cập bằng tên host
1.1 Mô hình triển khai:
1.2 Yêu cầu:
Cấu hình NAT trên ASA để:
- inside truy cập interternet.
- inside truy cập các dịch vụ bên trong dmz bằng tên host.
- dmz truy cập internet.
- inside truy cập máy chủ dns và các tài nguyên chia sẻ bên dmz.
- dmz không truy cập các dịch vụ bên trong dmz bằng tên host được (ví dụ từ trên máy chủ web trong dmz mình gõ vào trình duyệt www.svuit.com).
II.Triển khai:
2.1 Cấu hình trên DrayTek:
DrayTek cấu hình chỉ chạy route (ko NAT), ASA sẽ được dùng để NAT cho các client ra ngoài Internet và từ bên ngoài Internet truy cập web vào trong cty. Từ bên ngoài có thể truy cập trực tiếp vào ASA mà không cần bất kỳ cấu hình NAT/ Port forwading, Vì mình đã mua dãy địa chỉ IP public 120.138.69.0/29 từ ISP nên những truy cập mà bên ngoài đến địa dãy địa chỉ này sẽ được ISP route tới địa chỉ IP trên cổng WAN của DrayTek và DrayTek sẽ tiếp tục route vào bên trong tới địa chỉ trên Interface outside của ASA..
2.2 Cấu hình ASA
ASA1# show run interface ! interface GigabitEthernet0 nameif outside security-level 0 ip address 120.138.69.2 255.255.255.248 ! interface GigabitEthernet1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! |
ASA1# show run route route outside 0.0.0.0 0.0.0.0 120.138.69.1 1 |
ASA1# show run obj object network INSIDE-SUBNET subnet 192.168.1.0 255.255.255.0 object network DMZ-SUBNET subnet 192.168.2.0 255.255.255.0 object network WEB-SERVER host 192.168.2.20 object network DNS-SERVER host 192.168.2.10 object network WEB-SERVER-PUB host 120.138.69.2 object service WWWSVUIT service tcp destination eq www |
ASA1# show run nat ! object network INSIDE-SUBNET nat (inside,outside) dynamic interface object network DMZ-SUBNET nat (dmz,outside) dynamic interface object network WEB-SERVER nat (dmz,outside) static interface service tcp www www ! nat (inside,dmz) after-auto source static INSIDE-SUBNET WEB-SERVER-PUB destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUIT nat (dmz,dmz) after-auto source static DMZ-SUBNET WEB-SERVER-PUB destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUT |
ASA1# show run access-list access-list Outside_In extended permit tcp any object WEB-SERVER eq www access-list Outside_In extended permit icmp any any ASA1# show run access-group access-group Outside_In in interface outside |
2.3 WebServer
2.4 DNS Server:2.5 Client
III. Kết quả:
Client trong inside: truy cập web 24h.com.vn, 192.16.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com đều OK…
Các Server trong vù DMZ ra ngoài Internt bình thường, và truy cập vào Web server bằng địa chỉ IP local, địa chỉ IP public, tên host:
Web Server trong vùng DMZ truy cập web 192.168.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com kết quả đều OK
Người dùng từ bên ngoài Internet truy cập vào:
Chỉ cần truy cập web vào địa chỉ IP public 120.138.69.2, hoặc truy cập bằng tên host
Last edited by a moderator: