Lab 2.1 Mô hình kết hợp giữa NAT trên ASA và Route trên DrayTek

Discussion in 'Draytek' started by thanhdc, Sep 8, 2014.

 1. thanhdc

  thanhdc Super Moderator

  Joined:
  Aug 10, 2014
  Messages:
  139
  Likes Received:
  2
  Trophy Points:
  18
  I.Sơ đồ:
  1.1 Mô hình triển khai:
  [​IMG]

  1.2 Yêu cầu:
  Cấu hình NAT trên ASA để:
  • inside truy cập interternet.
  • inside truy cập các dịch vụ bên trong dmz bằng tên host.
  • dmz truy cập internet.
  • inside truy cập máy chủ dns và các tài nguyên chia sẻ bên dmz.
  • dmz không truy cập các dịch vụ bên trong dmz bằng tên host được(ví dụ từ trên máy chủ web trong dmz mình gõ vào trình duyệt www.svuit.com).
  Lưu ý: DrayTek chỉ dùng để route (ko NAT) vì nếu mà NAT trên DrayTek nữa thì hệ thống mạng sẽ NAT hai lần làm giảm hiệu suất hoạt động của mạng...

  II.Triển khai:


  2.1 Cấu hình trên DrayTek:
  DrayTek cấu hình chỉ chạy route (ko NAT), ASA sẽ được dùng để NAT cho các client ra ngoài Internet và từ bên ngoài Internet truy cập web vào trong cty. Từ bên ngoài có thể truy cập trực tiếp vào ASA mà không cần bất kỳ cấu hình NAT/ Port forwading, Vì mình đã mua dãy địa chỉ IP public 120.138.69.0/29 từ ISP nên những truy cập mà bên ngoài đến địa dãy địa chỉ này sẽ được ISP route tới địa chỉ IP trên cổng WAN của DrayTek và DrayTek sẽ tiếp tục route vào bên trong tới địa chỉ trên Interface outside của ASA..

  [​IMG]


  [​IMG]  2.2 Cấu hình ASA

  [TABLE="class: grid, width: 700, align: left"]

  ASA1# show run interface
  !
  interface GigabitEthernet0
  nameif outside
  security-level 0
  ip address 120.138.69.2 255.255.255.248
  !
  interface GigabitEthernet1
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  !
  interface GigabitEthernet2
  nameif dmz
  security-level 50
  ip address 192.168.2.1 255.255.255.0
  !

  ASA1# show run route
  route outside 0.0.0.0 0.0.0.0 120.138.69.1 1

  ASA1# show run obj
  object network INSIDE-SUBNET
  subnet 192.168.1.0 255.255.255.0
  object network DMZ-SUBNET
  subnet 192.168.2.0 255.255.255.0
  object network WEB-SERVER
  host 192.168.2.20
  object network DNS-SERVER
  host 192.168.2.10
  object network WEB-SERVER-PUB
  host 120.138.69.2
  object service WWWSVUIT
  service tcp destination eq www

  ASA1# show run nat
  !
  object network INSIDE-SUBNET
  nat (inside,outside) dynamic interface
  object network DMZ-SUBNET
  nat (dmz,outside) dynamic interface
  object network WEB-SERVER
  nat (dmz,outside) static interface service tcp www www
  !
  nat (inside,dmz) after-auto source static INSIDE-SUBNET WEB-SERVER-PUB
  destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUIT
  nat (dmz,dmz) after-auto source static DMZ-SUBNET WEB-SERVER-PUB
  destination static WEB-SERVER-PUB WEB-SERVER service WWWSVUIT WWWSVUT

  ASA1# show run access-list
  access-list Outside_In extended permit tcp any object WEB-SERVER eq www
  access-list Outside_In extended permit icmp any any

  ASA1# show run access-group
  access-group Outside_In in interface outside
  [/TABLE]


  2.3 WebServer

  [​IMG]


  2.4 DNS Server:

  [​IMG]  2.5 Client

  [​IMG]

  III. Kết quả:

  Client trong inside: truy cập web 24h.com.vn, 192.16.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com đều OK…

  [​IMG]


  Các Server trong vù DMZ ra ngoài Internt bình thường, và truy cập vào Web server bằng địa chỉ IP local, địa chỉ IP public, tên host:
  Web Server trong vùng DMZ truy cập web 192.168.2.20, 120.138.69.2,
  www.svuit.com, www2.svuit.com kết quả đều OK

  [​IMG]


  Người dùng từ bên ngoài Internet truy cập vào:
  Chỉ cần truy cập web vào địa chỉ IP public 120.138.69.2, hoặc truy cập bằng tên host

  [​IMG]

   
  Last edited: Sep 8, 2014

Share This Page