DrayTek Lab 2.1 Mô hình kết hợp giữa NAT trên ASA và Route trên DrayTek

thanhdc

Junior – IT Sơ cấp
Aug 10, 2014
124
3
18
I.Sơ đồ:
1.1 Mô hình triển khai:



1.2 Yêu cầu:
Cấu hình NAT trên ASA để:
  • inside truy cập interternet.
  • inside truy cập các dịch vụ bên trong dmz bằng tên host.
  • dmz truy cập internet.
  • inside truy cập máy chủ dns và các tài nguyên chia sẻ bên dmz.
  • dmz không truy cập các dịch vụ bên trong dmz bằng tên host được (ví dụ từ trên máy chủ web trong dmz mình gõ vào trình duyệt www.svuit.com).
Lưu ý: DrayTek chỉ dùng để route (ko NAT) vì nếu mà NAT trên DrayTek nữa thì hệ thống mạng sẽ NAT hai lần làm giảm hiệu suất hoạt động của mạng...

II.Triển khai:

2.1 Cấu hình trên DrayTek:
DrayTek cấu hình chỉ chạy route (ko NAT), ASA sẽ được dùng để NAT cho các client ra ngoài Internet và từ bên ngoài Internet truy cập web vào trong cty. Từ bên ngoài có thể truy cập trực tiếp vào ASA mà không cần bất kỳ cấu hình NAT/ Port forwading, Vì mình đã mua dãy địa chỉ IP public 120.138.69.0/29 từ ISP nên những truy cập mà bên ngoài đến địa dãy địa chỉ này sẽ được ISP route tới địa chỉ IP trên cổng WAN của DrayTek và DrayTek sẽ tiếp tục route vào bên trong tới địa chỉ trên Interface outside của ASA..




2.2 Cấu hình ASA
ASA1# show run interface
!
interface GigabitEthernet0
nameif outside
security-level 0

ip address 120.138.69.2 255.255.255.248
!
interface GigabitEthernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
!
ASA1# show run route
route outside 0.0.0.0 0.0.0.0 120.138.69.1 1
ASA1# show run obj
object network INSIDE-SUBNET
subnet 192.168.1.0 255.255.255.0
object network DMZ-SUBNET
subnet 192.168.2.0 255.255.255.0
object network WEB-SERVER
host 192.168.2.20
object network DNS-SERVER
host 192.168.2.10
object network WEB-SERVER-PUB
host 120.138.69.2
object service WWWSVUIT
service tcp destination eq www
ASA1# show run nat
!
object network INSIDE-SUBNET
nat (inside,outside) dynamic interface
object network DMZ-SUBNET
nat (dmz,outside) dynamic interface
object network WEB-SERVER
nat (dmz,outside) static interface service tcp www www
!
nat (inside,dmz) after-auto source static INSIDE-SUBNET WEB-SERVER-PUB
destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUIT
nat (dmz,dmz) after-auto source static DMZ-SUBNET WEB-SERVER-PUB
destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUT
ASA1# show run access-list
access-list Outside_In extended permit tcp any object WEB-SERVER eq www
access-list Outside_In extended permit icmp any any

ASA1# show run access-group
access-group Outside_In in interface outside



2.3 WebServer


2.4 DNS Server:





2.5 Client







III. Kết quả:
Client trong inside: truy cập web 24h.com.vn, 192.16.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com đều OK…




Các Server trong vù DMZ ra ngoài Internt bình thường, và truy cập vào Web server bằng địa chỉ IP local, địa chỉ IP public, tên host:
Web Server trong vùng DMZ truy cập web 192.168.2.20, 120.138.69.2,
www.svuit.com, www2.svuit.com kết quả đều OK




Người dùng từ bên ngoài Internet truy cập vào:
Chỉ cần truy cập web vào địa chỉ IP public 120.138.69.2, hoặc truy cập bằng tên host



 
Last edited by a moderator:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu