Bạn xác định dịch vụ NAT để các phòng ban ra Internet đang nằm trên thiết bị nào, lên thiết bị đó NAT cho lớp mạng 2 phòng ban A, B và ko NAT lớp mạng phòng C ra Internet là được thôi mà.

đã làm gì thì gỡ bỏ hết lên con 5560 bỏ NAT Phòng C ko cho nó ra internet đó mà.

Nếu 3 phòng khác lớp mạng hoặc đã chia VLAN thì làm được chuyện đó. Vấn đề là cả 03 phòng đều cùng lớp mạng nên phải xử lý trên port của con 3560 để chặn thôi. Mong giúp đỡ tiếp

hi bạn!
theo mình thì thế này: khi bạn đã chia phòng ban rồi thì chắc chắn mỗi phòng ban sẽ là 1 vlan riêng. vậy thì với yêu cầu của bạn ko cần phải dùng acl đâu. bạn chỉ cần bỏ NAT ko cho translate Subnet của Vlan phòng C ra internet là được. cái này cài ASDM vào rồi config con ASA bằng giao diện đồ họa đơn giản lắm.
thân ái!

Cảm ơn nguyennghia198.

Vấn đề là mình chia phòng ban nhưng do có 1 phần mềm kg chạy được lớp ip khác nên cả 3 phòng này phải chạy cùng 1 VLAN; còn các phòng khác đã chia VLAN hoàn chỉnh nên nếu cần mình có thể chặn NET theo IP của VLAN trên ASA5520. Nếu 03 phòng mỗi phòng nằm trên 1 SW thì cũng có thể cấu hình ACL trên từng SW của mỗi phòng.

Vì cả 3 phòng cùng kết nối về 3 port trên SW 3560 nên không biết xử lý ACL như thế nào để chỉ chặn internet của 1 phòng.

bạn up cấu hình con sw lên mình và các bạn xem

Mình up thêm sơ đồ mạng. Mình muốn chặn internet của dãy mạng trên cổng G0/27

Theo mình hiểu thì cả 3 phòng ban A, B, C đang sử dụng chung 1 subnet là 192.168.5.0/24, do đó nếu ko NAT subnet này thì cả 3 phòng A, B, C đều ko ra Internet được, trong khi đó bạn chỉ muốn phòng C ko ra Internet được thôi, còn 2 phòng A, B vẫn ra Internet bình thường đúng ko? Theo mình dùng cách ko NAT địa chỉ IP của phòng C vẫn tốt hơn là dùng ACL. Bạn xem thử các máy tính của phòng C là những địa chỉ IP nào thì đừng NAT các địa chỉ IP đó là được.

Ví dụ như các máy phòng C có địa chỉ IP là từ 192.168.5.1 đến 192.168.5.10 thì có thể viết ACL là: (mình ko rành cấu hình NAT trên ASA nên mình viết theo cú pháp của router):

! Không NAT địa chỉ IP của phòng C
access-list 100 deny ip 192.168.5.0 0.0.0.7 any
access-list 100 deny ip host 192.168.5.8 any
access-list 100 deny ip host 192.168.5.9 any
access-list 100 deny ip host 192.168.5.10 any

! NAT địa chỉ IP các phòng còn lại
access-list 100 permit ip any any
ip nat inside source list 100 ... overload

- theo giải pháp của Snajdan thì cũng ko khả thi: mô hình trên là DHCP server cấp IP động nên ko thể chặn NAT như thế được.
- Bạn thử add 1 stand acl vào port G0/27 theo chiều out (permit 192.168.0.0/16 và deny any) xem giải quyết được vấn đề ko.

Đúng là chặn NAT như thế thì sẽ hợp lý nhất khi đặt IP tĩnh cho các máy phòng C, nhưng đối với DHCP thì trước khi địa chỉ IP hết hạn, client sẽ gửi request đến DHCP server để yêu cầu gia hạn địa chỉ IP cũ, và nếu như kết nối giữa client đến DHCP server ko gặp sự cố gì (nghĩa là client gia hạn thành công) thì client vẫn tiếp tục sử dụng địa chỉ IP đó, chứ ko đổi sang IP khác, vì vậy mình nghĩ cách này vẫn dùng được.

Việc sử dụng ACL theo mình khá phức tạp vì nếu viết ko cẩn thận thì sẽ khiến cho phòng C mất kết nối đến các phòng ban khác cũng như mail, web server của công ty.