Lab 2.1 Mô hình kết hợp giữa NAT trên ASA và Route trên DrayTek

thanhdc

Super Moderator
I.Sơ đồ:
1.1 Mô hình triển khai:

1.2 Yêu cầu:
Cấu hình NAT trên ASA để:
  • inside truy cập interternet.
  • inside truy cập các dịch vụ bên trong dmz bằng tên host.
  • dmz truy cập internet.
  • inside truy cập máy chủ dns và các tài nguyên chia sẻ bên dmz.
  • dmz không truy cập các dịch vụ bên trong dmz bằng tên host được(ví dụ từ trên máy chủ web trong dmz mình gõ vào trình duyệt www.svuit.com).
Lưu ý: DrayTek chỉ dùng để route (ko NAT) vì nếu mà NAT trên DrayTek nữa thì hệ thống mạng sẽ NAT hai lần làm giảm hiệu suất hoạt động của mạng...

II.Triển khai:


2.1 Cấu hình trên DrayTek:
DrayTek cấu hình chỉ chạy route (ko NAT), ASA sẽ được dùng để NAT cho các client ra ngoài Internet và từ bên ngoài Internet truy cập web vào trong cty. Từ bên ngoài có thể truy cập trực tiếp vào ASA mà không cần bất kỳ cấu hình NAT/ Port forwading, Vì mình đã mua dãy địa chỉ IP public 120.138.69.0/29 từ ISP nên những truy cập mà bên ngoài đến địa dãy địa chỉ này sẽ được ISP route tới địa chỉ IP trên cổng WAN của DrayTek và DrayTek sẽ tiếp tục route vào bên trong tới địa chỉ trên Interface outside của ASA..







2.2 Cấu hình ASA

ASA1# show run interface
!
interface GigabitEthernet0
nameif outside
security-level 0
ip address 120.138.69.2 255.255.255.248
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
!
ASA1# show run route
route outside 0.0.0.0 0.0.0.0 120.138.69.1 1
ASA1# show run obj
object network INSIDE-SUBNET
subnet 192.168.1.0 255.255.255.0
object network DMZ-SUBNET
subnet 192.168.2.0 255.255.255.0
object network WEB-SERVER
host 192.168.2.20
object network DNS-SERVER
host 192.168.2.10
object network WEB-SERVER-PUB
host 120.138.69.2
object service WWWSVUIT
service tcp destination eq www
ASA1# show run nat
!
object network INSIDE-SUBNET
nat (inside,outside) dynamic interface
object network DMZ-SUBNET
nat (dmz,outside) dynamic interface
object network WEB-SERVER
nat (dmz,outside) static interface service tcp www www
!
nat (inside,dmz) after-auto source static INSIDE-SUBNET WEB-SERVER-PUB
destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUIT
nat (dmz,dmz) after-auto source static DMZ-SUBNET WEB-SERVER-PUB
destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUT
ASA1# show run access-list
access-list Outside_In extended permit tcp any object WEB-SERVER eq www
access-list Outside_In extended permit icmp any any

ASA1# show run access-group
access-group Outside_In in interface outside


2.3 WebServer




2.4 DNS Server:




2.5 Client






III. Kết quả:

Client trong inside: truy cập web 24h.com.vn, 192.16.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com đều OK…



Các Server trong vù DMZ ra ngoài Internt bình thường, và truy cập vào Web server bằng địa chỉ IP local, địa chỉ IP public, tên host:
Web Server trong vùng DMZ truy cập web 192.168.2.20, 120.138.69.2,
www.svuit.com, www2.svuit.com kết quả đều OK



Người dùng từ bên ngoài Internet truy cập vào:
Chỉ cần truy cập web vào địa chỉ IP public 120.138.69.2, hoặc truy cập bằng tên host


 
Last edited:
Top