• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

config ACL trên PIX...cần giúp đỡ!

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    config ACL trên PIX...cần giúp đỡ!

    Mô hình:




    Giả sử :
    + R5 là Internet
    + R0 là Mail server
    + R1 là Web
    + R2 là PC thuộc VLAN10
    + R3 là PC thuộc VLAN20
    + R4 là PC thuộc VLAN30

    File cấu hình PIX:
    PIX# sh run
    : Saved
    :
    PIX Version 8.0(3)
    !
    hostname PIX
    enable password 8Ry2YjIyt7RRXU24 encrypted
    names
    !
    interface Ethernet0
    nameif outside
    security-level 0
    ip address 209.165.201.1 255.255.255.0
    !
    interface Ethernet1
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet1.10
    vlan 10
    nameif VLAN10
    security-level 90
    ip address 192.168.10.1 255.255.255.0
    !
    interface Ethernet1.20
    vlan 20
    nameif VLAN20
    security-level 80
    ip address 192.168.20.1 255.255.255.0
    !
    interface Ethernet1.30
    vlan 30
    nameif VLAN30
    security-level 70
    ip address 192.168.30.1 255.255.255.0
    !
    interface Ethernet2
    nameif server
    security-level 50
    ip address 192.168.1.1 255.255.255.0
    !
    interface Ethernet3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet4
    shutdown
    no nameif
    no security-level
    no ip address
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    ftp mode passive
    access-list outside_in extended permit icmp 209.165.201.0 255.255.255.0 any echo-reply
    access-list vlan20_in extended permit icmp any any echo-reply
    pager lines 24
    mtu outside 1500
    mtu VLAN10 1500
    mtu VLAN20 1500
    mtu VLAN30 1500
    mtu server 1500
    no failover
    icmp unreachable rate-limit 1 burst-size 1
    no asdm history enable
    arp timeout 14400
    global (outside) 1 209.165.201.10-209.165.201.110 netmask 255.255.255.0
    nat (VLAN10) 1 0.0.0.0 0.0.0.0
    nat (VLAN20) 1 0.0.0.0 0.0.0.0
    nat (VLAN30) 1 0.0.0.0 0.0.0.0
    access-group outside_in in interface outside
    access-group vlan20_in in interface VLAN20
    !
    router ospf 1
    network 192.168.1.0 255.255.255.0 area 0
    network 192.168.10.0 255.255.255.0 area 0
    network 192.168.20.0 255.255.255.0 area 0
    network 192.168.30.0 255.255.255.0 area 0
    network 209.165.201.0 255.255.255.0 area 0
    log-adj-changes
    default-information originate
    !
    route outside 0.0.0.0 0.0.0.0 209.165.201.2 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    dynamic-access-policy-record DfltAccessPolicy
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    threat-detection basic-threat
    threat-detection statistics access-list
    !
    !
    prompt hostname context
    Cryptochecksum:c73cea58887e5314e31db452bc1fcf63
    : end
    PIX#
    Em làm một bài lab đơn giản để học về ACL trên PIX nhưng gặp phải khó khăn:
    + Mục đích là VLAN10 ping thấy tất cả các lan khác, và các lan khác không ping được mà chỉ reply lại cho vlan10.
    + Nhưng config thì khi không config dòng in đậm thì: R2,R3... ping ra R5(giả sử là Internet) đều nhận được reply.
    + Bây giờ em có thêm một rule: cấm R3 ping và chỉ cho phép trả lời (echo-reply) khi có địa chỉ thuộc VLAN10(R2) ping tới R3. Nhưng khi config thêm hai lệnh thì R2 ping tới R3 không nhận được reply, và debug icmp trace trên PIX thì không thấy một dòng debug nào cả?
    + Khi em thêm rule tương tự cho R4 (VLAN30) cũng không nhận được reply khi ping từ R2 tới R4...???
    + Vì R2 thuộc VLAN10 có security-level cao nhất nên trong trường hợp ping đơn giản không dùng acl.

    Em mong mọi người giúp đỡ, có thể chỉ cho em biết em đã sai ở đâu? và config thiếu những gì ???
    Tags: None
  • #2
    Chào bạn, hiện tại mình chưa có thời gian dựng lại bài lab của bạn để test. Vì vậy bạn hãy cho mình thêm 1 chút thông tin nữa. Bạn hãy show route trước và sau khi thêm 2 lệnh tô đậm. Bạn hãy cho kết quả của ASDM Packet Tracer, protocol ICMP, từ source VLAN 10 đến VLAN 20, từ VLAN 20 đến Internet trước và sau khi có 2 dòng in đậm để mình xem packet bị drop ở giai đoạn nào.
    Co ai uong cafe voi tui khong

    Comment

    Previous template Next
    Working...
    X