Announcement

**hoanggialiem** · 17-11-2010, 11:45 AM

Theo như mô hình của bạn thì mình lấy con 3750 làm routing intervlan, và nếu cần DHCP thì lấy 3750 làm luôn

**ti_pro84** · 17-11-2010, 01:36 PM

Originally posted by LamPhuongHoang View Post

Theo như mô hình của bạn thì mình lấy con 3750 làm routing intervlan, và nếu cần DHCP thì lấy 3750 làm luôn

cám ơn bác nhé. mình cũng đang cấu hình như y kiến của bạn.
có bác nào có ý kiến khác tốt hơn không chỉ cho em.^^

**tienhung278** · 17-11-2010, 03:28 PM

theo mô hình trên bạn nên cấu hình trên router, dù biết rằng sl3 vẫn làm được nhưng dù gì thì nó vẫn đóng vai trò là switch nhiều hơn là router. Khi có thêm dhcp server và có 3 pool và dùng dhcp relay agent thì vẫn nhận đúng địa chỉ IP cho từng VLAN (cấu hình subinterface trên router)

**thanhnam0707** · 17-11-2010, 03:54 PM

mô hình này nếu để router làm dhcp thì ko hay,vì sau router là firewall asa5505,nên để dhcp trên switch l3,sau này khi có dhcp của windows thì trên từng interface vlan trên switch l3 chỉ ip helper-address đến windows server là đc,

**ti_pro84** · 18-11-2010, 08:46 AM

em cám ơn các đại ka nhé.

**ti_pro84** · 16-12-2010, 09:57 AM

Originally posted by ti_pro84 View Post

Kết nối :
internet-->router--->ASA--->L3--->L2
EM có 3 vlan: 10,20,30
em có một số câu hỏi xin các đại ca có kinh nghiệm chỉ giúp:
em nên cấu hình routing trên L3 hay router.
Khi có thêm server DHCP có 3 pool dành cho 3 vlan thì dùng DHCP relay agent thì có nhận đúng địa chỉ IP cho từng VLAN.

cám ơn các đại ca.

các bác cho em hỏi thêm 1 câu hỏi nữa.
ở sơ đồ trên em đã cấu hình routing ospf trên switch L3 rồi, bây giờ đến ASA , router
ASA:
-em muốn cấu hình DMZ: mail, web
- em muon cho các VLan ra ngoài internet
vậy có cần phải Nat không hay chỉ cần dùng ALC
ROUTER:
- sử dụng PAT
em cám ơn các bác trước nhé!

**phamminhtuan** · 16-12-2010, 08:59 PM

Chào bạn,

Router dùng PAT thì không NAT cho các server bên trong vùng DMZ của ASA được. Nên bạn phải để router chạy NAT STATIC hoặc đặt thẳng IP PUBLIC trên router.
Từ interface có mức độ bảo mật thấp lên interface có mức bảo mật cao thì phải dùng ACL + NAT.

Interface outside (mức bảo mật thấp)
Interface DMZ (mức độ bảo mật nằm giữa thấp và cao)
Interface inside (mức độ bảo mật cao, LAN bên trong)

**ti_pro84** · 17-12-2010, 01:12 PM

hi anh Tuan!
anh cho em hỏi chút.
theo mô hình trên thì phải nat 2 lần đúng không anh.
1> ASA nat từ inside ra outside
2> Router nat inside ra outside
thanks anh!

**phamminhtuan** · 17-12-2010, 06:18 PM

Chào bạn,

Bạn có thể cấu hình NAT 2 lần hoặc NAT 1 lần đều được:

1. Nat 1 lần:
Router NAT
ASA không NAT (lúc này trên ASA phải có câu lệnh no nat-control)

2. NAT 2 lần:
Router NAT
ASA NAT

Đối với vùng DMZ thì phải NAT vào cho các Server bên trong có IP Public để bên ngoài truy cập.

**ti_pro84** · 29-12-2010, 10:03 AM

cam on anh rat nhieu!

**phamminhtuan** · 07-01-2011, 07:22 PM

Chào bạn,

B1: Đầu tiên phải làm cho mạng thông từ các PC bạn muốn có IP Public tới Router. (trên SWL3 gõ thêm lệnh ip routing)
B2: Dùng Static NAT

Router(config)#ip nat inside source static 192.168.3.100 IP_PUBLIC

**binhvts** · 23-06-2011, 10:12 AM

Originally posted by phamminhtuan View Post

Chào bạn,

Bạn có thể cấu hình NAT 2 lần hoặc NAT 1 lần đều được:

1. Nat 1 lần:
Router NAT
ASA không NAT (lúc này trên ASA phải có câu lệnh no nat-control)

2. NAT 2 lần:
Router NAT
ASA NAT

Đối với vùng DMZ thì phải NAT vào cho các Server bên trong có IP Public để bên ngoài truy cập.

Hi anh Tuan,

Em cung NAT 2 lan tren router va tren ASA,

Nhung mang o ben ngoai thi van thay duoc Web Server ben trong, nhung cac may trong mang LAN lai khong thay duoc IP Public cua Web server

**binhvts** · 23-06-2011, 03:51 PM

Hoi ve NAT tren Load Balancing va ASA

Hi anh Tuan,

Mo hinh mang cua Cong ty em nhu sau:

Load Balancing - ASA 5520 - Switch Cisco 3560G - LAN

Tren cong WAN cua Load balancing em gan 1 duong FTTH cua VNPT voi 1 IP tinh va 6 IP route, tren ASA 5520 co 4 port tam thoi em chia phan vung LAN va DMZ, 1 port gan voi port LAN cua Load Balancing

Em cau hinh NAT tren Load Balancing voi 6 IP route va NAT tren ASA 5520

Em da test thu cac mang o noi khac deu ket noi vao vung DMZ rat OK nhung vung LAN va vung DMZ trong he thong lai khong thay duoc cac IP route nay

Nho anh Tuan xem ho giup em nha!!!

**thanhnam0707** · 24-06-2011, 12:31 PM

Bạn vẻ lại mô hình chi tiết.để mọi người xem thử.
Theo như mô tả của bạn,Có 2 hướng để từ Lan đến Web server :
Thứ 1: từ Lan vào web server (nội bộ Lan-Dmz),đi từ miền có secirity level cao--> thấp.
Thứ 2: từ Lan đi ra internet,rồi quay về web server.
Bạn Tracert từ pc trong Lan để biết hướng đi vào web server.

Announcement

MÔ hình gồm router 2811, firewall ASA 5505,switch layer 3 -3750 và switch L2- 2960..

MÔ hình gồm router 2811, firewall ASA 5505,switch layer 3 -3750 và switch L2- 2960..

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment