Lab 2.1 Mô hình kết hợp giữa NAT trên ASA và Route trên DrayTek

Discussion in 'Draytek' started by thanhdc, Sep 8, 2014.

  1. thanhdc

    thanhdc Super Moderator

    Joined:
    Aug 10, 2014
    Messages:
    139
    Likes Received:
    1
    Trophy Points:
    18
    I.Sơ đồ:
    1.1 Mô hình triển khai:
    [​IMG]

    1.2 Yêu cầu:
    Cấu hình NAT trên ASA để:
    • inside truy cập interternet.
    • inside truy cập các dịch vụ bên trong dmz bằng tên host.
    • dmz truy cập internet.
    • inside truy cập máy chủ dns và các tài nguyên chia sẻ bên dmz.
    • dmz không truy cập các dịch vụ bên trong dmz bằng tên host được(ví dụ từ trên máy chủ web trong dmz mình gõ vào trình duyệt www.svuit.com).
    Lưu ý: DrayTek chỉ dùng để route (ko NAT) vì nếu mà NAT trên DrayTek nữa thì hệ thống mạng sẽ NAT hai lần làm giảm hiệu suất hoạt động của mạng...

    II.Triển khai:


    2.1 Cấu hình trên DrayTek:
    DrayTek cấu hình chỉ chạy route (ko NAT), ASA sẽ được dùng để NAT cho các client ra ngoài Internet và từ bên ngoài Internet truy cập web vào trong cty. Từ bên ngoài có thể truy cập trực tiếp vào ASA mà không cần bất kỳ cấu hình NAT/ Port forwading, Vì mình đã mua dãy địa chỉ IP public 120.138.69.0/29 từ ISP nên những truy cập mà bên ngoài đến địa dãy địa chỉ này sẽ được ISP route tới địa chỉ IP trên cổng WAN của DrayTek và DrayTek sẽ tiếp tục route vào bên trong tới địa chỉ trên Interface outside của ASA..

    [​IMG]


    [​IMG]



    2.2 Cấu hình ASA

    [TABLE="class: grid, width: 700, align: left"]

    ASA1# show run interface
    !
    interface GigabitEthernet0
    nameif outside
    security-level 0
    ip address 120.138.69.2 255.255.255.248
    !
    interface GigabitEthernet1
    nameif inside
    security-level 100
    ip address 192.168.1.1 255.255.255.0
    !
    interface GigabitEthernet2
    nameif dmz
    security-level 50
    ip address 192.168.2.1 255.255.255.0
    !

    ASA1# show run route
    route outside 0.0.0.0 0.0.0.0 120.138.69.1 1

    ASA1# show run obj
    object network INSIDE-SUBNET
    subnet 192.168.1.0 255.255.255.0
    object network DMZ-SUBNET
    subnet 192.168.2.0 255.255.255.0
    object network WEB-SERVER
    host 192.168.2.20
    object network DNS-SERVER
    host 192.168.2.10
    object network WEB-SERVER-PUB
    host 120.138.69.2
    object service WWWSVUIT
    service tcp destination eq www

    ASA1# show run nat
    !
    object network INSIDE-SUBNET
    nat (inside,outside) dynamic interface
    object network DMZ-SUBNET
    nat (dmz,outside) dynamic interface
    object network WEB-SERVER
    nat (dmz,outside) static interface service tcp www www
    !
    nat (inside,dmz) after-auto source static INSIDE-SUBNET WEB-SERVER-PUB
    destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUIT
    nat (dmz,dmz) after-auto source static DMZ-SUBNET WEB-SERVER-PUB
    destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUT

    ASA1# show run access-list
    access-list Outside_In extended permit tcp any object WEB-SERVER eq www
    access-list Outside_In extended permit icmp any any

    ASA1# show run access-group
    access-group Outside_In in interface outside
    [/TABLE]


    2.3 WebServer

    [​IMG]


    2.4 DNS Server:

    [​IMG]



    2.5 Client

    [​IMG]





    III. Kết quả:

    Client trong inside: truy cập web 24h.com.vn, 192.16.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com đều OK…

    [​IMG]


    Các Server trong vù DMZ ra ngoài Internt bình thường, và truy cập vào Web server bằng địa chỉ IP local, địa chỉ IP public, tên host:
    Web Server trong vùng DMZ truy cập web 192.168.2.20, 120.138.69.2,
    www.svuit.com, www2.svuit.com kết quả đều OK

    [​IMG]


    Người dùng từ bên ngoài Internet truy cập vào:
    Chỉ cần truy cập web vào địa chỉ IP public 120.138.69.2, hoặc truy cập bằng tên host

    [​IMG]

     
    Last edited: Sep 8, 2014

Share This Page