Q&A Nhờ mọi người giúp đỡ cấu hình dùm bài lap này với!!!Cảm ơn mọi người.

D

daibang88dn

Intern
Mô hình này dùng ASA 8.4 các bạn nhé!!!!!!!!! mohinh.jpg
 
Bài viết liên quan
Thay đổi IP của Cisco FMC bởi HanaLink,
config parser view on Cisco bởi root,
Authentication and authorization privilege level Telnet switch bởi root,
Chào mọi người!! Mọi người có thể cấu hình bài lab này hoản chình dùm với được không? bởi daibang88dn,
Bài viết mới
Thay đổi IP của Cisco FMC bởi HanaLink,
config parser view on Cisco bởi root,
Authentication and authorization privilege level Telnet switch bởi root,
Cmd bởi thanhdc,
Chào mọi người!! Mọi người có thể cấu hình bài lab này hoản chình dùm với được không? bởi daibang88dn,
[dell6400note]: Hỏi về LAB VPN ASA + NAT bởi dell6400note,
hi daibang88dn,
ở đây có mấy vấn đề cần làm rõ là
- URL độc hại mà bạn định nghĩa là như thế nào
- Cấm 1 số trang web xấu, như thế nào là web xấu.
- Cấm IP nước ngoài là IP nước nào, nó có nguyên 1 list dài cấm cũng hơi vất vả mà không hiểu ý đồ cấm của bạn như thế để làm gì
 
I. Sơ đồ
1. Sơ đồ




2. Sơ đồ IP

[TABLE="class: grid, width: 600"]
[TR]
[TD]PC[/TD]
[TD]IP: 192.168.20.2/25
gateway: 192.168.20.1[/TD]
[/TR]
[TR]
[TD]Web-server[/TD]
[TD]IP: 172.16.10.2/24
Gateway: 172.16.10.1[/TD]
[/TR]
[TR]
[TD]ASA[/TD]
[TD]g0, outside: 100.0.0.1/24
g1, inside: 192.168.20.1/24
g2, dmz: 172.16.10.1/24[/TD]
[/TR]
[TR]
[TD]Client[/TD]
[TD]IP: 200.0.0.3/24
gateway: 200.0.0.1[/TD]
[/TR]
[/TABLE]

3. yêu cầu
- Inside:
  • PC truy cập internet thành công
  • PC truy cập DMZ thành công
- DMZ
  • outside truy cập DMZ thành công
- Outside
  • cấm truy cập inside
- ACL
  • Cấm các URL độc hại
  • cấm các trang web xấu
  • cấm các IP nước ngoài
  • cấm truy cập internet từ 7 -11h từ thứ 2 đến thứ 6

II. Triển khai
1. Cấu hình ISP
- Cấu hình router ISP

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]R1(config)#hostname ISP
ISP(config)#int f0/0
ISP(config-if)#ip address 200.0.0.2 255.255.255.0
ISP(config-if)#no shutdown

ISP(config-if)#int f0/1
ISP(config-if)#ip address dhcp

ISP(config)#access-list 1 permit any
ISP(config)#ip nat inside source list 1 interface f0/1 overload
ISP(config)#int f0/1
ISP(config-if)#ip nat outside
ISP(config-if)#int f0/0
ISP(config-if)#ip nat inside[/TD]
[/TR]
[/TABLE]

2. Cấu hình ASA
- Cấu hình IP và trỏ default route tới ISP

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 200.0.0.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.20.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 172.16.10.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config)# route outside 0 0 200.0.0.2
ciscoasa(config)# fixup protocol icmp[/TD]
[/TR]
[/TABLE]

- Kiếm tra ASA ping ra internet thành công

ciscoasa(config)# ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 70/120/190 ms
Nhấn để mở rộng...

3. NAT
- Thực hiện NAT để inside đi internet thành công

[TABLE="class: outer_border, width: 500"]
[TR]
[TD]ciscoasa(config)# object network INSIDE-INTERNET
ciscoasa(config-network-object)# subnet 192.168.20.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface[/TD]
[/TR]
[/TABLE]

- PC trong inside ping ra internet và truy cập dmz thành công





- Thực hiện NAT - port Redirection cho outisde truy cập vào DMZ

[TABLE="class: outer_border, width: 650"]
[TR]
[TD]ciscoasa(config)# object network PORT-FORWARD
ciscoasa(config-network-object)# host 172.16.10.2
ciscoasa(config-network-object)# nat (dmz,outside) static interface service tcp 80 80[/TD]
[/TR]
[/TABLE]


- Tạo 1 ACL cho phép outside truy cập DMZ

[TABLE="class: outer_border, width: 700"]
[TR]
[TD]ciscoasa(config)# access-list OUTSIDE-DMZ extended permit tcp any host 172.16.10.2 eq http
ciscoasa(config)# access-group OUTSIDE-DMZ in interface outside[/TD]
[/TR]
[/TABLE]

- Dùng client ngoài internet truy cập DMZ thành công



4. ACL
- Tạo ACL cho phép truy cập internet từ thứ 2 đến thứ 6 từ 7-> 11h

[TABLE="class: outer_border, width: 750"]
[TR]
[TD]ciscoasa(config)# time-range SVUIT
ASA(config-time-range)# periodic weekdays 07:00 to 11:00

ciscoasa(config)# access-list WORK extended deny tcp 192.168.20.0 255.255.255.0 any time-range SVUIT
ciscoasa(config)# access-list WORK line 2 extended permit ip 192.168.20.0 255.255.255.0 any
ciscoasa(config)# access-group WORK in interface inside[/TD]
[/TR]
[/TABLE]

- PC truy cập được internet lúc tra lúc 3h thứ 6


- Sau đó chỉnh thời gian lúc 8:00 thứ 6 thì PC không truy cập được internet nữa




"Mình làm tới đây thôi, các câu hỏi còn lại mình không hiểu ý tưởng lắm nên dành cho các cao thủ khác vào trả lời hộ."
 
Hi,root!!!
Trước tiên mình xin cảm ơn bạn đã trả lời cho mình về vấn đề này!!! Mình đang làm khóa luận mà bí quá , không biết cấu hình như thế nào??
Yêu cầu 1 bạn làm như zậy là OK rồi, còn mình zin giải thích về yêu cầu 2 là
- Cấm các URL độc hại là ở đây bạn chỉ cần cho ví dụ thôi,như mấy trang web không lành mạnh thôi, trang web nào cũng được..
- Cấm IP nước ngoài là cho đại cái IP public nào cũng được vì mình chỉ làm mô tả thôi mà..
- Cấm Inside ra internet trong khoảng thời gian 7h-11h00 hằng ngày là đủ rồi(vì mô hình mình làm mô phỏng cho công ty XXX)

Mình cảm ơn bạn!!Mong bạn giúp mình với nha!! thời gian gấp quá rồi.
Bạn có thể co mình số điện thoại của bạn được không, để mình liên hệ bạn cho tiện!!

Mình ở Đà Nẵng , số điện thoại của mình : 01222424577(Phụng) .
 
hi daibang88dn,

- Cấm Inside ra internet trong khoảng thời gian 7h-11h00 hằng ngày là đủ rồi(vì mô hình mình làm mô phỏng cho công ty XXX)
Nhấn để mở rộng...
câu này mình đã làm bạn đọc ở phía trên sẽ rõ

- Cấm các URL độc hại là ở đây bạn chỉ cần cho ví dụ thôi,như mấy trang web không lành mạnh thôi, trang web nào cũng được..
- Cấm IP nước ngoài là cho đại cái IP public nào cũng được vì mình chỉ làm mô tả thôi mà..
Nhấn để mở rộng...
bài lab của bạn mình chưa làm 2 câu này, vì mình chưa rõ mục đích lắm. Có phải ý bạn là cấm URL vs mấy trang ko lành mạnh ... là các trang web mà bạn đã có url rồi hay bạn muốn cấm theo từ khóa
vd: lauxanh.us :)
- Cấm IP nước ngoài là cho đại cái IP public là bạn đã định nghĩa IP public đó rồi hay sao

mình hay dùng Skype và facebook nếu được bạn inbox cho mình nhé :)
 
root nói:
hi daibang88dn,


câu này mình đã làm bạn đọc ở phía trên sẽ rõ


bài lab của bạn mình chưa làm 2 câu này, vì mình chưa rõ mục đích lắm. Có phải ý bạn là cấm URL vs mấy trang ko lành mạnh ... là các trang web mà bạn đã có url rồi hay bạn muốn cấm theo từ khóa
vd: lauxanh.us :)
- Cấm IP nước ngoài là cho đại cái IP public là bạn đã định nghĩa IP public đó rồi hay sao

mình hay dùng Skype và facebook nếu được bạn inbox cho mình nhé :)
Nhấn để mở rộng...

Cảm ơn bạn nhiều lắm!! Skyper của mình là ducphungpham, còn của bạn?? fack:Thần Sầu Quỷ Khóc.
 
Hi , Root!!!

Sao mình làm giống như bạn ở bước 2 và ping 8.8.8.8 không ra được Internet zậy!!!
Untitled1.png
ASA# sh run
ASA# sh running-config
: Saved
:
ASA Version 8.4(2)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif outside
security-level 0
ip address 200.0.0.1 255.255.255.0
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 172.16.10.1 255.255.255.0
!
interface GigabitEthernet3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 200.0.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect icmp
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous prompt 2
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:54152b0ca4857512294b957f72d79037
: end

Mô hình của mình đây!!
Untitled2.jpg

Nhờ bạn giúp mình với!! gần 1 tháng này mình khổ vi cái đề tài này quá!!!:(
 
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top