Bạn có đặt default gatway cho Clients và Server chưa?
Bạn có cấu hình port giữa Switch và Router là mode Trunk chưa?

Chào bạn,

Trên SW và Router không biết bạn xài SW L2 hay L3. Nếu SW L3 bạn nên chạy định tuyến với router với cả ASA lun. Nhưng vậy mô hình mạng chạy sẽ rất đẹp, traffic chạy thông thoáng hơn, không phải add static nhìu.

Xong bước này, kiểm tra đặt Default-gateway cho PC. Kiểm tra xem PC ping được router hay không?

Xin chào,

Các bước cấu hình của mình như sau, mình dùng Switch L2
Switch(config)#vlan 10
Switch(config-vlan)#name VL10
Switch(config)#vlan 20
Switch(config-vlan)#name VL20
Add các port trên switch vào từng Vlan
Switch(config)#interface range fa0/2 – 12 (cho vung server)
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10
Switch(config)#interface range fa0/13 – 24 (cho vung clients)
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 20
Tao duong trunk
Switch(config)#interface fa0/1
Switch(config-if)#no shutdown
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all

Cau hinh tren router
Router_THT(config)#interface fa0/0
Router_THT(config-if)#no shutdown
Router(config-if)#exit
Router(config-if)#interface fa0/0.10
Router(config-subif)#encapsolution dot1Q 10
Router(config-subif)#ip address 172.16.2.1 255.255.255.240
Router(config-subif)#exit
Router(config-if)#interface fa0/0.20
Router_THT(config-subif)#encapsolution dot1Q 20
Router_THT(config-subif)#ip address 172.16.0.1 255.255.255.0
Kết nối với asa
Router(config)# interface fa0/1
Router(config-if)# no shutdown
Router(config-if)# ip address 172.16.3.145 255.255.255.240
Route
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.146

Cau hinh asa

ASA(config)#interface e0/1
ASA(config-if)#ip add 172.16.3.146 255.255.255.240
ASA(config-if)#nameif inside
ASA(config-if)#description “Ket noi toi Router”
ASA(config-if )#no shut
ASA(config)#interface e0/1
ASA(config-if)#ip add 10.0.0.2 255.255.255.0
ASA(config-if)#nameif outside
ASA(config-if)#description “Ket noi toi Modem”
ASA(config-if )#no shut
ASA(config)#route outside 0.0.0.0 0.0.0.0 10.0.0.1 1
Modem :LAN 10.0.0.1/24
???Mình bị các vấn đề như trên?

Chào bạn,

Bạn đặt DGW cho Client và Server Ip chưa?

Minh đã đặt default gateway rồi nhưng vẫn không được

Chào bạn lamvantu, bạn có thể cho mình biết sử dụng định tuyến trên cả Router ASA và sw L3 thì mình sử dụng loại định tuyến nào? có thể giúp mình những câu lệnh đó với được ko?
Hiện tại mình chỉ mới add static route trên ASA thì end user mới ra được internet, còn ko có thì ko ra được.
cảm ơn bạn nhiều.

Chào bạn, vấn đề của bạn gặp là ở chổ định tuyến. Các gói tin có thể gửi đi nhưng chưa thể gửi về. Bạn hình dung là bạn route thông đường từ router-->asa,asa trỏ về modem...tuy nhiên modem không biết nếu gặp mạng của router thì gửi gói tin về đâu nên gói tin sẽ bị drop.

Vậy nên theo mình, bạn nên:

Bước 1:

Cắm PC vào đúng port vlan, định tuyến Vlan, đặt IP cùng mạng với IP cổng sub router...ping đến địa chỉ cổng sub của router xem ok không?

Bước 2:

Cấu hình định tuyến OSPF cho router và ASA, ASA cấu hình quảng bá default-route vào cho mạng bên trong. Như vậy đễn bước này kiểm tra xem client ping được đến ASA hay không?

Xong bước này up lên cho mọi người biết nha bạn.

cảm ơn bạn Tú, bạn cho mình hỏi, vậy trên sw L3 mình ko chạy lệnh ip routing hay sao bạn? trên router mình phải đặt từng sub interface tương ứng với các VLAN? mô hình mình sẽ là
vlan<--->ASA<---->router<--->ISP.

Chào bạn, nếu hệ thống của bạn sử dụng SW L3 thì nên định tuyến Vlan ngay trên SW layer3,như vậy lưu lượng tối ưu hơn. Lưu lượng vlan này qua vlan kia không phải chạy qua lên tới router.

Mô hình nên như vầy: VLAN---Router----ASA---ISP (Vlan được định tuyến trên SW L3 luôn).

Security with ASA Firewall - help

Dear All,

Bạn làm cái này nữa nha!

access-list 100 permit ip any any
access-group 100 in interface outside

Ban làm thêm cái này nhé!

Thanks!

Dear All,

Bạn làm cái này nữa nha!

access-list 100 permit ip any any
access-group 100 in interface outside

Ban làm thêm cái này nhé!

Thanks!

Dear All,

làm thêm cái này nữa là chạy đó bạn!

access-list 100 extended permit ip any any
access-group 100 in interface outside

Thanks!

Them phan nay

Dear Ban,

Bạn cấu hình thêm cái này trên ASA nha!

access-list 100 extended permit ip any any
access-group 100 in interface outside


Thanks!

mình được khuyên rằng là ko nên để ASA ra đứng trước ROuter, vậy bạn có thể cho mình hỏi tại sao bạn lại đưa ASA ra đứng trước router? Có gì khác nhau trong việc security hệ thống khi đắt ASA trước và sau router ko? mong bạn giải thích giùm, cảm ơn bạn Tú.