Lab 2.2 Mô hình kết hợp giữa ASA và DrayTek (Static Route, Open Ports)

Discussion in 'Draytek' started by thanhdc, Sep 11, 2014.

  1. thanhdc

    thanhdc Super Moderator

    Joined:
    Aug 10, 2014
    Messages:
    139
    Likes Received:
    1
    Trophy Points:
    18
    I. Tổng quan:
    1.1 Sơ đồ:
    [​IMG]

    Mô hình bài Lab 2.2 khá giống với bài Lab 2.1 http://svuit.com/showthread.php?729-Lab-2-1-Mô-hình-kết-hợp-giữa-NAT-trên-ASA-và-Route-trên-DrayTek


    1.2 Yêu cầu:

    + Cấu hình trên LAN, WAN, Static Route, Open Ports trên DrayTek để Insise, DMZ ra Internet bình thường và người dùng từ bên ngoài có thể truy cập vào Website của Cty (Server Web đặt ở DMZ).
    + ASA dùng để thiết lập access-list, access-group,... (ko NAT trên ASA):rolleyes:

    II.Triển khai:

    2.1 Trên DrayTek:

    Cấu hình LAN:

    [​IMG]


    [​IMG]


    Cấu hình WAN, PPPoE

    [​IMG]



    Cấu hình Static Route

    [​IMG]


    [​IMG]


    [​IMG]


    Cấu hình Open Ports:

    [​IMG]


    [​IMG]


    [​IMG]


    2.1 WebServer

    [​IMG]


    2.1 DNS Server:

    [​IMG]


    2.3 Client

    [​IMG]




    Cấu hình ASA

    [TABLE="class: grid, width: 700, align: left"]

    ASA1# show run interface
    !
    interface GigabitEthernet0
    nameif outside
    security-level 0
    ip address 120.138.69.2 255.255.255.248
    !
    interface GigabitEthernet1
    nameif inside
    security-level 100
    ip address 192.168.1.1 255.255.255.0
    !
    interface GigabitEthernet2
    nameif dmz
    security-level 50
    ip address 192.168.2.1 255.255.255.0
    !


    ASA1# show run route
    route outside 0.0.0.0 0.0.0.0 172.16.1.1


    ASA1# show run obj
    object network INSIDE-SUBNET
    subnet 192.168.1.0 255.255.255.0
    object network DMZ-SUBNET
    subnet 192.168.2.0 255.255.255.0
    object network WEB-SERVER
    host 192.168.2.20
    object network DNS-SERVER
    host 192.168.2.10
    object network WEB-SERVER-PUB
    host 120.138.69.2
    object network WEB-SERVER-PUB
    host 120.138.69.2
    object service WWWSVUIT
    service tcp destination eq www


    ASA1# show run access-list
    access-list Outside_In extended permit tcp any object WEB-SERVER
    access-list Outside_In extended permit icmp any any
    access-list Outsidetodmz extended permit tcp any host 192.168.2.20 eq www


    ASA1# show run access-group
    access-group Outside_In in interface outside
    [/TABLE]



    III. Kết quả:
    Client trong inside: truy cap web 24h.com.vn, 192.16.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com đều OK…
    [​IMG]


    Web Server trong vùng DMZ truy cập web 192.168.2.20, 120.138.69.2, www.svuit.com, www2.svuit.com kết quả đều OK.

    [​IMG]


    Người dùng từ bên ngoài Internet truy cập vào:
    Chỉ cần truy cập web vào địa chỉ IP public 120.138.69.2, hoặc truy cập bằng tên host

    [​IMG]

     
    Last edited: Sep 11, 2014
  2. vson89

    vson89 Member

    Joined:
    Aug 14, 2014
    Messages:
    60
    Likes Received:
    0
    Trophy Points:
    6
    cho mình hỏi địa chỉ 120.138.69.2 là địa chỉ lấy ở đâu
     
  3. thanhdc

    thanhdc Super Moderator

    Joined:
    Aug 10, 2014
    Messages:
    139
    Likes Received:
    1
    Trophy Points:
    18
    Địa chỉ đó phải mua mới có. Mình chơi sang mua luôn 1 subnet 120.138.69.0/29 :rolleyes:. Nếu bạn đang dùng mạng của VPNT thì nên mua địa chỉ IP public của VNPT luôn, khi đó VNPT sẽ tạo một đường route trỏ về IP hoặc sunet mà bạn đã mua.
     
  4. vson89

    vson89 Member

    Joined:
    Aug 14, 2014
    Messages:
    60
    Likes Received:
    0
    Trophy Points:
    6
    Xin hỏi, mình không sử dụng con Draytek mà sử dụng con Linksys cisco, mình làm như trong bài lab, kết quả là từ trong dmz mình ping ra được địa chỉ ip public của link sys, nhưng lại k ping được 8.8.8.8, phần card mạng (biểu tượng máy tính) của các máy trong dmz đều thể hiện đã kết nối internet nhưng khi lên trình duyệt thì không truy cập được các trang web.
    Mong bạn có thể cho mình hỏi tại sao mình lại bị như vậy
     
  5. vson89

    vson89 Member

    Joined:
    Aug 14, 2014
    Messages:
    60
    Likes Received:
    0
    Trophy Points:
    6
    Xin hỏi, mình không sử dụng con Draytek mà sử dụng con Linksys cisco, mình làm như trong bài lab, kết quả là từ trong dmz mình ping ra được địa chỉ ip public của link sys, nhưng lại k ping được 8.8.8.8, phần card mạng (biểu tượng máy tính) của các máy trong dmz đều thể hiện đã kết nối internet nhưng khi lên trình duyệt thì không truy cập được các trang web.
    Mong bạn có thể cho mình hỏi tại sao mình lại bị như vậy
     
  6. vson89

    vson89 Member

    Joined:
    Aug 14, 2014
    Messages:
    60
    Likes Received:
    0
    Trophy Points:
    6
    Cho mình hỏi, tại sao mình cấu hình như mô hình trên, đến bước open port thì vigor báo lỗi Private IP invalid, please check ! mong bạn giúp đỡ
     

Share This Page