Lab 2.2 Mô hình kết hợp giữa ASA và DrayTek (Static Route, Open Ports)

T

thanhdc

Super Moderator
I. Tổng quan:
1.1 Sơ đồ:


Mô hình bài Lab 2.2 khá giống với bài Lab 2.1 http://svuit.com/showthread.php?729-Lab-2-1-Mô-hình-kết-hợp-giữa-NAT-trên-ASA-và-Route-trên-DrayTek

1.2 Yêu cầu:

+ Cấu hình trên LAN, WAN, Static Route, Open Ports trên DrayTek để Insise, DMZ ra Internet bình thường và người dùng từ bên ngoài có thể truy cập vào Website của Cty (Server Web đặt ở DMZ).
+ ASA dùng để thiết lập access-list, access-group,... (ko NAT trên ASA):rolleyes:

II.Triển khai:

2.1 Trên DrayTek:

Cấu hình LAN:






Cấu hình WAN, PPPoE




Cấu hình Static Route










Cấu hình Open Ports:









2.1 WebServer



2.1 DNS Server:



2.3 Client





Cấu hình ASA

ASA1# show run interface
!
interface GigabitEthernet0
nameif outside
security-level 0
ip address 120.138.69.2 255.255.255.248
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
!


ASA1# show run route
route outside 0.0.0.0 0.0.0.0 172.16.1.1


ASA1# show run obj
object network INSIDE-SUBNET
subnet 192.168.1.0 255.255.255.0
object network DMZ-SUBNET
subnet 192.168.2.0 255.255.255.0
object network WEB-SERVER
host 192.168.2.20
object network DNS-SERVER
host 192.168.2.10
object network WEB-SERVER-PUB
host 120.138.69.2
object network WEB-SERVER-PUB
host 120.138.69.2
object service WWWSVUIT
service tcp destination eq www


ASA1# show run access-list
access-list Outside_In extended permit tcp any object WEB-SERVER
access-list Outside_In extended permit icmp any any
access-list Outsidetodmz extended permit tcp any host 192.168.2.20 eq www


ASA1# show run access-group
access-group Outside_In in interface outside



III. Kết quả:
Client trong inside: truy cap web 24h.com.vn, 192.16.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com đều OK…


Web Server trong vùng DMZ truy cập web 192.168.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com kết quả đều OK.



Người dùng từ bên ngoài Internet truy cập vào:
Chỉ cần truy cập web vào địa chỉ IP public 120.138.69.2, hoặc truy cập bằng tên host


 
Last edited:
T

thanhdc

Super Moderator
Địa chỉ đó phải mua mới có. Mình chơi sang mua luôn 1 subnet 120.138.69.0/29 :rolleyes:. Nếu bạn đang dùng mạng của VPNT thì nên mua địa chỉ IP public của VNPT luôn, khi đó VNPT sẽ tạo một đường route trỏ về IP hoặc sunet mà bạn đã mua.
 
V

vson89

Member
Xin hỏi, mình không sử dụng con Draytek mà sử dụng con Linksys cisco, mình làm như trong bài lab, kết quả là từ trong dmz mình ping ra được địa chỉ ip public của link sys, nhưng lại k ping được 8.8.8.8, phần card mạng (biểu tượng máy tính) của các máy trong dmz đều thể hiện đã kết nối internet nhưng khi lên trình duyệt thì không truy cập được các trang web.
Mong bạn có thể cho mình hỏi tại sao mình lại bị như vậy
 
V

vson89

Member
Xin hỏi, mình không sử dụng con Draytek mà sử dụng con Linksys cisco, mình làm như trong bài lab, kết quả là từ trong dmz mình ping ra được địa chỉ ip public của link sys, nhưng lại k ping được 8.8.8.8, phần card mạng (biểu tượng máy tính) của các máy trong dmz đều thể hiện đã kết nối internet nhưng khi lên trình duyệt thì không truy cập được các trang web.
Mong bạn có thể cho mình hỏi tại sao mình lại bị như vậy
 
V

vson89

Member
Cho mình hỏi, tại sao mình cấu hình như mô hình trên, đến bước open port thì vigor báo lỗi Private IP invalid, please check ! mong bạn giúp đỡ
 
You must log in or register to reply here.
Top