Tweet
I. Mô tả
Sơ đồ mạng, phân bổ IP, cổng nối tương ứng các thiết bị của cty A:
- Cho phép người dùng trong vùng Inside truy cập được dịch vụ Web, FTP trong vùng DMZ thực hiện NAT 0.
- Cho phép người dùng bên ngoài truy cập dịch vụ Web, FTP và remote Desktop vào Web server với PAT tĩnh (Static PAT) trong vùng DMZ.
II. Gỉa lập
- GNS3 với IOS Router 3725, IOS ASA 8.0(2), Vmware chạy WinXP
- File topo .net đính kèm
III. Cấu hình
ASA:
Đặt tên cho thiết bị
ciscoasa(config)#hostname ASA
ASA(config)#
Gán IP và đặt tên cho ethernet0/0
ASA(config)#interface e0/0
ASA(config-if)#ip add 10.0.2.1 255.255.255.0
ASA(config-if)#nameif dmz
ASA(config-if)#description “Ket noi toi vung Server DMZ”
ASA(config-if)#security-level 50
ASA(config-if )#no shut
ASA(config-if)#exit
ASA(config)#
Gán IP và đặt tên cho ethernet0/1
ASA(config)#interface e0/1
ASA(config-if)#ip add 10.0.3.1 255.255.255.0
ASA(config-if)#nameif outside
ASA(config-if)#description “Ket noi toi Router”
ASA(config-if )#no shut
ASA(config-if)#exit
ASA(c onfig-)#
Gán IP và đặt tên cho ethernet0/1
ASA(config)#interface e0/2
ASA(config-if)#ip add 10.0.1.1 255.255.255.0
ASA(config-if)#nameif inside
ASA(config-if)#description “Ket noi toi vung mang LAN noi bo Inside”
ASA(config-if )#no shut
ASA(config-if)#exit
ASA(config)#
Định tuyến
ASA(config)#route outside 0 0 10.0.3.2
NAT,PAT, ACL
PAT tĩnh Web Server (10.0.2.2), Ftp Server (10.0.2.3)
ASA(config)# static (dmz,outside) tcp 202.151.161.65 www 10.0.2.2 www
ASA(config)#static (dmz,outside) tcp 202.151.161.65 3389 10.0.2.2 3389
ASA(config)#static (dmz,outside) tcp 202.151.161.65 ftp 10.0.2.3 ftp
ACL cho phép bên ngoài internet có thể truy cập webserver, ftp server, remote vào Webserver.
ASA(config)#access-list outside-dmz permit tcp any host 202.151.161.65 eq 3389
ASA(config)#access-list outside-dmz permit tcp any host 202.151.161.65 eq www
ASA(config)#access-list outside-dmz permit tcp any host 202.151.161.65 eq ftp
ASA(config)#access-group outside-dmz in interface outside
Cho phép vùng inside ping được ra ngoài internet
ASA(config)#access-list ping permit icmp any any echo-reply
ASA(config)#access-group ping in interface outside
NAT 0 vùng inside vào dmz và cho phép vùng inside truy cập ftp, web server trong vùng dmz
ASA(config)#access-list inside-dmz permit ip 10.0.1.0 255.255.255.0 host 10.0.2.2
ASA(config)#access-list inside-dmz permit ip 10.0.1.0 255.255.255.0 host 10.0.2.3
ASA(config)#nat (inside) 0 access-list inside-dmz
PAT động vùng inside ra vùng outside để cho phép vùng inside truy cập ra internet
ASA(config)#nat (inside) 1 10.0.1.0 255.255.255.0
ASA(config)#global (outside) 1 interface
Cho phép máy tr ạm 10.0.1.2 được phép ssh vào ASA
ASA(config)# enable password huannh
ASA(config)# username huannh password huannh privilege 15
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# ssh 10.0.1.2 255.255.255.255 inside
ASA(config)# crypto key generate rsa modulus 1024
ASA(config)#
Ghi lại cấu hình vừa thiết lập
ASA# write memory
Router:
Đặt tên cho thiết bị
Router(config)#hostname Router
Router(config)#
Gán IP và đặt tên cho fastethernet0/1
Router(config)#interface fa0/1
Router(config-if)#ip add 10.0.3.2 255.255.255.0
Router(config-if)#description “Ket noi ra Internet”
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#
Gán IP và đặt tên cho fastethernet0/1
Router(config)#interface fa0/0
Router(config-if)#ip add 202.151.164.1 255.255.255.0
Router(config-if)#description “Ket noi toi ASA”
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#
Định tuyến
Router(config)#ip route 202.151.161.64 255.255.255.240 10.0.3.1
Router(config)#ip route 0.0.0.0 0.0.0.0 202.151.164.254
Cho phép vùng inside được phép ssh vào Router
ASA(config)#enable password huannh
ASA(config)#username huannh password huannh
ASA(config)#crypto key generate rsa general-keys modulus 1024
ASA(config)#ip ssh time-out 60
ASA(config)#ip ssh authentication-retries 2
ASA(config)#ip ssh version 2
ASA(config)#line vty 0 4
ASA(config)#transport input ssh
ASA(config)#login local
ASA(config)#exit
ASA(config)#
Ghi lại cấu hình vừa thiết lập
Router# write
Internet:
Đặt tên cho thiết bị
Router(config)#hostname internet
internet(config)#
Gán IP và đặt tên cho fastethernet0/0
internet(config)#interface fa0/0
internet(config-if)#ip add 202.151.164.254 255.255.255.0
internet(config-if)#description “Ket noi voi Router”
internet (config-if)#no shut
internet (config-if)#exit
internet (config)#
Gán IP và đặt tên cho fastethernet0/1
internet (config)#interface fa0/1
internet (config-if)#ip add 202.151.162.254 255.255.255.0
internet (config-if)#description “Ket noi voi Test”
internet config-if)#no shut
internet (config-if)#exit
internet (config)#
Định tuyến
internet(config)#ip route 0.0.0.0 0.0.0.0 202.151.164.1
Ghi lại cấu hình vừa thiết lập
Internet# write
IV. Thử nghiệm
- Trên máy FTP, Web Server cài dịch vụ tương ứng. bật remote desktop trên máy 10.0.2.2. Trên máy Test cài dịch vụ Web.
Kiểm tra như sau:
- Trên máy trạm 10.0.1.2:
+ Truy cập vào dịch vụ ftp, web trong vùng DMZ với địa chỉ tương ứng: http://10.0.2.2, ftp://10.0.2.3
>> Nếu OK tức NAT 0 là đúng, ngược lại là chưa đúng
+ Truy cập vào trang web http://202.151.162.2 >> Nếu OK tức PAT mạng inside là đúng, ngược lại là
chưa đúng.
+ ping tới địa chỉ 202.151.162.2 >> Nếu OK tức ACL ping là đúng, ngược lại là chưa đúng.
- Trên máy Test:
+ Truy cập http://202.151.161.65,ftp://202.151.161.65,remote desktop tới 202.151.161.65 >> Nếu
OK tức PAT tĩnh, ACL outside-dmz là đúng, ngược lại là chưa đúng.
+ ping đến địa chỉ 202.151.161.65, 10.0.1.2 >> không thành công >> Cấu hình đúng
Sơ đồ mạng, phân bổ IP, cổng nối tương ứng các thiết bị của cty A:
- Cho phép người dùng trong vùng Inside truy cập được dịch vụ Web, FTP trong vùng DMZ thực hiện NAT 0.
- Cho phép người dùng bên ngoài truy cập dịch vụ Web, FTP và remote Desktop vào Web server với PAT tĩnh (Static PAT) trong vùng DMZ.
II. Gỉa lập
- GNS3 với IOS Router 3725, IOS ASA 8.0(2), Vmware chạy WinXP
- File topo .net đính kèm
III. Cấu hình
ASA:
Đặt tên cho thiết bị
ciscoasa(config)#hostname ASA
ASA(config)#
Gán IP và đặt tên cho ethernet0/0
ASA(config)#interface e0/0
ASA(config-if)#ip add 10.0.2.1 255.255.255.0
ASA(config-if)#nameif dmz
ASA(config-if)#description “Ket noi toi vung Server DMZ”
ASA(config-if)#security-level 50
ASA(config-if )#no shut
ASA(config-if)#exit
ASA(config)#
Gán IP và đặt tên cho ethernet0/1
ASA(config)#interface e0/1
ASA(config-if)#ip add 10.0.3.1 255.255.255.0
ASA(config-if)#nameif outside
ASA(config-if)#description “Ket noi toi Router”
ASA(config-if )#no shut
ASA(config-if)#exit
ASA(c onfig-)#
Gán IP và đặt tên cho ethernet0/1
ASA(config)#interface e0/2
ASA(config-if)#ip add 10.0.1.1 255.255.255.0
ASA(config-if)#nameif inside
ASA(config-if)#description “Ket noi toi vung mang LAN noi bo Inside”
ASA(config-if )#no shut
ASA(config-if)#exit
ASA(config)#
Định tuyến
ASA(config)#route outside 0 0 10.0.3.2
NAT,PAT, ACL
PAT tĩnh Web Server (10.0.2.2), Ftp Server (10.0.2.3)
ASA(config)# static (dmz,outside) tcp 202.151.161.65 www 10.0.2.2 www
ASA(config)#static (dmz,outside) tcp 202.151.161.65 3389 10.0.2.2 3389
ASA(config)#static (dmz,outside) tcp 202.151.161.65 ftp 10.0.2.3 ftp
ACL cho phép bên ngoài internet có thể truy cập webserver, ftp server, remote vào Webserver.
ASA(config)#access-list outside-dmz permit tcp any host 202.151.161.65 eq 3389
ASA(config)#access-list outside-dmz permit tcp any host 202.151.161.65 eq www
ASA(config)#access-list outside-dmz permit tcp any host 202.151.161.65 eq ftp
ASA(config)#access-group outside-dmz in interface outside
Cho phép vùng inside ping được ra ngoài internet
ASA(config)#access-list ping permit icmp any any echo-reply
ASA(config)#access-group ping in interface outside
NAT 0 vùng inside vào dmz và cho phép vùng inside truy cập ftp, web server trong vùng dmz
ASA(config)#access-list inside-dmz permit ip 10.0.1.0 255.255.255.0 host 10.0.2.2
ASA(config)#access-list inside-dmz permit ip 10.0.1.0 255.255.255.0 host 10.0.2.3
ASA(config)#nat (inside) 0 access-list inside-dmz
PAT động vùng inside ra vùng outside để cho phép vùng inside truy cập ra internet
ASA(config)#nat (inside) 1 10.0.1.0 255.255.255.0
ASA(config)#global (outside) 1 interface
Cho phép máy tr ạm 10.0.1.2 được phép ssh vào ASA
ASA(config)# enable password huannh
ASA(config)# username huannh password huannh privilege 15
ASA(config)# aaa authentication ssh console LOCAL
ASA(config)# ssh 10.0.1.2 255.255.255.255 inside
ASA(config)# crypto key generate rsa modulus 1024
ASA(config)#
Ghi lại cấu hình vừa thiết lập
ASA# write memory
Router:
Đặt tên cho thiết bị
Router(config)#hostname Router
Router(config)#
Gán IP và đặt tên cho fastethernet0/1
Router(config)#interface fa0/1
Router(config-if)#ip add 10.0.3.2 255.255.255.0
Router(config-if)#description “Ket noi ra Internet”
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#
Gán IP và đặt tên cho fastethernet0/1
Router(config)#interface fa0/0
Router(config-if)#ip add 202.151.164.1 255.255.255.0
Router(config-if)#description “Ket noi toi ASA”
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#
Định tuyến
Router(config)#ip route 202.151.161.64 255.255.255.240 10.0.3.1
Router(config)#ip route 0.0.0.0 0.0.0.0 202.151.164.254
Cho phép vùng inside được phép ssh vào Router
ASA(config)#enable password huannh
ASA(config)#username huannh password huannh
ASA(config)#crypto key generate rsa general-keys modulus 1024
ASA(config)#ip ssh time-out 60
ASA(config)#ip ssh authentication-retries 2
ASA(config)#ip ssh version 2
ASA(config)#line vty 0 4
ASA(config)#transport input ssh
ASA(config)#login local
ASA(config)#exit
ASA(config)#
Ghi lại cấu hình vừa thiết lập
Router# write
Internet:
Đặt tên cho thiết bị
Router(config)#hostname internet
internet(config)#
Gán IP và đặt tên cho fastethernet0/0
internet(config)#interface fa0/0
internet(config-if)#ip add 202.151.164.254 255.255.255.0
internet(config-if)#description “Ket noi voi Router”
internet (config-if)#no shut
internet (config-if)#exit
internet (config)#
Gán IP và đặt tên cho fastethernet0/1
internet (config)#interface fa0/1
internet (config-if)#ip add 202.151.162.254 255.255.255.0
internet (config-if)#description “Ket noi voi Test”
internet config-if)#no shut
internet (config-if)#exit
internet (config)#
Định tuyến
internet(config)#ip route 0.0.0.0 0.0.0.0 202.151.164.1
Ghi lại cấu hình vừa thiết lập
Internet# write
IV. Thử nghiệm
- Trên máy FTP, Web Server cài dịch vụ tương ứng. bật remote desktop trên máy 10.0.2.2. Trên máy Test cài dịch vụ Web.
Kiểm tra như sau:
- Trên máy trạm 10.0.1.2:
+ Truy cập vào dịch vụ ftp, web trong vùng DMZ với địa chỉ tương ứng: http://10.0.2.2, ftp://10.0.2.3
>> Nếu OK tức NAT 0 là đúng, ngược lại là chưa đúng
+ Truy cập vào trang web http://202.151.162.2 >> Nếu OK tức PAT mạng inside là đúng, ngược lại là
chưa đúng.
+ ping tới địa chỉ 202.151.162.2 >> Nếu OK tức ACL ping là đúng, ngược lại là chưa đúng.
- Trên máy Test:
+ Truy cập http://202.151.161.65,ftp://202.151.161.65,remote desktop tới 202.151.161.65 >> Nếu
OK tức PAT tĩnh, ACL outside-dmz là đúng, ngược lại là chưa đúng.
+ ping đến địa chỉ 202.151.161.65, 10.0.1.2 >> không thành công >> Cấu hình đúng
Comment