Announcement

**hoanggialiem** · 12-03-2012, 02:55 PM

Dãy IP của em trong internal được NAT ra 20.2
Sao em lại truy cập internal bằng 20.3

**ogryffgo** · 12-03-2012, 03:00 PM

Trên Switch Core em thực hiện cấu hình VRF, - Mỗi VRF ứng với một cặp dải IP LAN và Server như trong hình vẽ. - Tuy nhiên tất cả đều được NAT chung ra ngoài qua Firewall. - Trường hợp em vẽ ở trên là để có thể đứng từ trong LAN của một VRF và truy nhập vào IP public của một Server trong VRF khác.

**hoanggialiem** · 12-03-2012, 03:59 PM

Trong trường hợp này em có cấu hình Nat từ vùng inside sang vùng dmz chưa.

**namphuong2310** · 13-03-2012, 11:04 AM

Ai đã Lap thành công bài này up lên cho anh em học hỏi với. Thanks Pro

**luancb** · 13-03-2012, 03:20 PM

Bạn show cái cấu hình NAT lên xem thử nhé

**ogryffgo** · 14-03-2012, 02:28 PM

Đây là cấu hình NAT trên Firewall:

access-list Internet extended permit ip 10.0.0.0 255.255.255.0 any
nat (inside) 1 access-list Internet
global (outside) 1 20.20.20.2

static (inside,outside) 10.0.1.2 20.20.20.3 netmask 255.255.255.255

**cuongcat** · 15-03-2012, 05:21 PM

Hoanham ngu vai

CMC cho thang nay nghi viec luon thoi, moi case day ko lam duoc.

**lamvantu** · 15-03-2012, 06:29 PM

Originally posted by ogryffgo View Post

Em có cái mô hình như bên dưới
- dải 10.0.0.0/24 được NAT overload ra địa chỉ 20.20.20.2.
- Server 10.0.1.2 được NAT static ra địa chỉ 20.20.20.3.

Với mô hình này thì hiện tại em ko thể connect được bằng địa chỉ private của dải 10.0.0.0/24 vào địa chỉ IP bên ngoài của server (20.20.20.3).
Mong các cao thủ giải thích hộ em với. Có thể khắc phục được việc này không ạ?

[ATTACH=CONFIG]4170[/ATTACH]

Hi bạn, bạn có thể cho mình biết bạn test bằng cách nào được không ạh?

**lenguyen1988** · 16-03-2012, 12:09 AM

1.Cho việc truy cập ra internet
access-list Internet extended permit ip 10.0.0.0 255.255.255.0 any
nat (inside) 1 access-list Internet
global (outside) 1 20.20.20.2
Đây là cấu hình cho mạng 10.0.0.0 ra được internet (bạn đã làm đúng)

2. Từ internet vào DMZ
static (inside,outside) 10.0.1.2 20.20.20.3 netmask 255.255.255.255
Đây là câu lệnh dùng để NAT 10.0.1.2 sang 20.20.20.3 bạn đã cấu hình sai
Bạn sữa lại như sau :
- (mình giả sử 10.0.1.2 được nối với cổng asa đặt DMZ được gọi là Real-Interface )
- ( Còn 20.20.20.3 là cổng ngoài Outside được gọi là Map-interface)
static (real-interface,Map-interface) map-ip-address real-ip-address netmask .......
=>> static (DMZ,Outside) 20.20.20.3 10.0.1.2 netmask 255.255.255.255
Để cho việc truy cập từ ngoài Internet vào được 10.0.1.2 thì bạn cần cấu hình thêm ACL để cho phép việc truy cấp đó
Giả sử 10.0.1.2được NAT thành 20.20.20.3 là web-server thì mình sẽ tạo ACL như sau cho việc truy cập vào được 10.0.1.2
access-list OUT_DMZ permit tcp any host 20.20.20.3 eq 80 (dung cho http)
access-list OUT_DMZ permit tcp any host 20.20.20.3 eq 8080 (dùng cho https)
Sau đó bạn gán vào cổng Outside:
access-group OUT_DMZ in interface Outside

3. Từ inside vào DMZ :(từ 10.0.0.0/24 vào 10.0.1.2)
Địa chỉ 20.20.20.3 là địa chỉ NAT cho 10.0.1.2
Trên bản thân ASA thì cho phép vùng bảo mật cao sang vùng bảo mật thấp nên tao không cần NAT cho địa chỉ 10.0.0.0/24
Để làm được điều này thì ta dùng một trường hợp đặc biết của NAT (hay gọi là NAT 0 có nghĩa giữ nguyên địa chỉ khi đi qua ASA)
Bạn cấu hình như sau:
access-list NO_NAT permit ip 10.0.0.0 255.255.255.0 host 10.0.1.2
nat ( inside) 0 access-list NO_NAT

**dante04** · 16-03-2012, 08:30 AM

mình nghĩ vấn đề của bạn này nằm ở chỗ.. từ bên ngoài truy cập được 20.20.20.3, từ inside ra được bên ngoài, nhưng từ inside không thể truy cập được server bằng 20.20.20.3. :D. cái này thì ngay cả router cisco cũng ko thể làm được ( truy cập server trong inside bằng ip wan), chỉ có 1 cách giải quyết nếu có domain là tạo dns server trên router và tạo 1 record trên router trỏ về ip lan của server, nhưng asa và core switch thì ko cấu hình DNS server được :D

**ogryffgo** · 16-03-2012, 08:43 AM

Cảm ơn Lenguyen1988. Tuy nhiên bạn đã hiểu sai vấn đề.
- ở đây ko có cái gì gọi là dmz cả. Vẽ như vậy là mang tính logic thôi. Cả 2 dải đều nằm trong inside, bình thường có thể truy cập giữa các IP private với nhau. Tuy nhiên mình ko muốn thế.
- Bạn Dante04 thì đã hiểu đúng cái mình muốn làm, nhưng mà lại chưa có cách giải quyết. Hic.

**dante04** · 16-03-2012, 11:05 AM

bạn cần truy cập những service nào trong server.. nếu service bạn truy cập có sử dụng domain thì có thể làm được bằng cách cấu hình dns server trong LAN, trỏ tất cả các máy trong LAN chạy theo DNS này, tạo record trên DNS server trỏ domain theo địa chỉ LAN của server....còn thiết bị cisco ko thể giải quyết vấn đề này của bạn được, do cơ chế của nó thế rồi, trong khi các thiết bị rẻ tiền hơn thì lại chạy OK :D

**SonND1989** · 16-03-2012, 05:35 PM

Originally posted by ogryffgo View Post

Cảm ơn Lenguyen1988. Tuy nhiên bạn đã hiểu sai vấn đề.
- ở đây ko có cái gì gọi là dmz cả. Vẽ như vậy là mang tính logic thôi. Cả 2 dải đều nằm trong inside, bình thường có thể truy cập giữa các IP private với nhau. Tuy nhiên mình ko muốn thế.
- Bạn Dante04 thì đã hiểu đúng cái mình muốn làm, nhưng mà lại chưa có cách giải quyết. Hic.

Hi all,
cho mình hỏi 2 dải mạng khi đi ra ngoài có cùng 1 interface trên FW hay 2 interface khác nhau (or subinter)

**lenguyen1988** · 17-03-2012, 10:31 AM

- 2 mạng khác nhau cho ra ngoài trên cùng interface đều đc

Announcement

Hỏi về NAT trên Firewall Cisco (FWSM)

Hỏi về NAT trên Firewall Cisco (FWSM)

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment