• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cisxo PIX routing!

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cisxo PIX routing!

    Hi all, tranh thủ mấy ngày rảnh rỗi nhờ mọi người giúp mình chút. Mình có mô hình hệ thống như sau:

    Internet ------- (outside) PIX (inside) ------- DMZ
    (lan)
    |
    |
    LAN

    Và mình đã cấu hình con PIX của mình với cấu hình này:
    ################################################## ###
    PIX Version 6.3(3)
    interface ethernet0 auto
    interface ethernet1 auto
    interface ethernet2 auto
    nameif ethernet0 outside security0
    nameif ethernet1 inside security100
    nameif ethernet2 lan security50
    hostname pfw
    fixup protocol dns maximum-length 512
    fixup protocol ftp 21
    fixup protocol h323 h225 1720
    fixup protocol h323 ras 1718-1719
    fixup protocol http 80
    fixup protocol rsh 514
    fixup protocol rtsp 554
    fixup protocol sip 5060
    fixup protocol sip udp 5060
    fixup protocol skinny 2000
    fixup protocol smtp 25
    fixup protocol sqlnet 1521
    fixup protocol tftp 69
    names
    pager lines 24
    logging on
    logging timestamp
    logging trap warnings
    mtu outside 1500
    mtu inside 1500
    mtu lan 1500
    ip address outside 10.10.250.2 255.255.255.0
    ip address inside 10.10.254.1 255.255.255.0
    ip address lan 10.10.252.1 255.255.255.0
    ip audit info action alarm
    ip audit attack action alarm
    pdm history enable
    arp timeout 14400
    global (outside) 1 interface
    global (lan) 1 interface
    nat (inside) 1 10.10.254.0 255.255.255.0 0 0
    nat (lan) 1 10.10.252.0 255.255.255.0 0 0
    static (inside,lan) tcp interface www 10.10.254.80 www netmask 255.255.255.255 0 0
    static (inside,lan) tcp interface domain 10.10.254.53 domain netmask 255.255.255.255 0 0
    static (inside,lan) udp interface domain 10.10.254.53 domain netmask 255.255.255.255 0 0
    static (inside,lan) tcp interface smtp 10.10.254.25 smtp netmask 255.255.255.255 0 0
    static (inside,lan) tcp interface pop3 10.10.254.25 pop3 netmask 255.255.255.255 0 0
    static (inside,outside) tcp interface www 10.10.254.80 www netmask 255.255.255.255 0 0
    static (inside,outside) tcp interface domain 10.10.254.53 domain netmask 255.255.255.255 0 0
    static (inside,outside) udp interface domain 10.10.254.53 domain netmask 255.255.255.255 0 0
    static (inside,outside) tcp interface smtp 10.10.254.25 smtp netmask 255.255.255.255 0 0
    static (inside,outside) tcp interface pop3 10.10.254.25 pop3 netmask 255.255.255.255 0 0
    conduit permit tcp any any
    conduit permit udp any any
    conduit permit icmp any any
    rip inside passive version 1
    rip lan passive version 1
    route outside 0.0.0.0 0.0.0.0 10.10.250.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
    timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout uauth 0:05:00 absolute
    aaa-server TACACS+ protocol tacacs+
    aaa-server RADIUS protocol radius
    aaa-server LOCAL protocol local
    no snmp-server location
    no snmp-server contact
    snmp-server community public
    no snmp-server enable traps
    floodguard enable
    telnet 10.10.254.0 255.255.255.0 inside
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    terminal width 80
    Cryptochecksum:9a4831756d6e30d85cc49aff335cab34
    : end
    ################################################## ##

    Với cấu hình trên hệ thống đã chạy khá ổn, tuy nhiên mình có 1 vấn đề là tại 1 máy trong mạng LAN (10.10.252.xxx) đã đặt gateway tới PIX (10.10.252.1) nhưng lại không thể làm việc được với giao tiếp mạng outside của PIX (10.10.250.2), mình thử ping từ 1 máy trong mạng LAN tới địa chỉ 10.10.250.2 thì ko thông. Mĩnh cũng đã tìm hiểu qua thì hình như phải cấu hình RIP chi đó, bạn nào đã gặp trường hợp này giúp mình với .^_^.

    Cám ơn trước mọi sự giúp đỡ của mọi người .^_^.
    Tags: None
  • #2
    Cấu hình phần RIP của bạn đã để passive trong cổng LAN.
    Bạn có thể thay đổi lại bằng cách cũng cho RIP chạy trên cổng outside và gỡ bỏ cái passive trên RIP của cổng inside.

    Example 6-2. Configuring RIPv1 and RIPv2 on Two Different Interfaces
    Chicago# configure terminal

    Chicago(config)# rip inside version 2

    Chicago(config)# rip inside default version 2

    Chicago(config)# rip outside passive version 2

    Chicago(config)# exit

    default-route cũng sẽ được gửi về cho các thiết bị bên trong LAN.
    Long Nguyen

    Comment

    • #3
      Mình đã làm thử theo hướng dẫn của bạn nhưng vẫn ko được, bạn co thể giải thích chi tiết hơn về cách cấu hình trường hợp này được không!
      Cám ơn bạn nhiều.

      Comment

      • #4
        Hi

        Hi,
        Không biết Pix thì như thế nào chứ ASA thì không cho ping từ 1máy trong mạng Lan của bạn đến Interface Outside hoặc các Interface khác ngoại trừ ping trực tiếp ping trưch tiếp đến Interface Lan. Nhưng nếu NAT đúng bạn có thể ping đến 1 máy nằm trong vùng Outside.

        Comment

        Previous template Next
        Working...
        X