Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

MÔ hình gồm router 2811, firewall ASA 5505,switch layer 3 -3750 và switch L2- 2960..

Collapse
X
Collapse
 
  • Page of 2
  • Filter
  • Time
  • Show
Clear All
new posts
Previous 1 2 template Next
  • #16
    Originally posted by thanhnam0707 View Post
    Bạn vẻ lại mô hình chi tiết.để mọi người xem thử.
    Theo như mô tả của bạn,Có 2 hướng để từ Lan đến Web server :
    Thứ 1: từ Lan vào web server (nội bộ Lan-Dmz),đi từ miền có secirity level cao--> thấp.
    Thứ 2: từ Lan đi ra internet,rồi quay về web server.
    Bạn Tracert từ pc trong Lan để biết hướng đi vào web server.
    Chao anh thanhnam0707!

    Em da ve lai so do chi tiet nhu hinh duoi de moi nguoi tham khao giup nhe

    http://118.69.229.226/Mo hinh mang.jpg


    FTTH cua VNPT cung cap 6 IP route, em da NAT 1 IP route tren Load balancing va tren ASA em NAT tiep 1 lan nua vao dia chi cua Webserver.

    Ve muc do Secure tren ASA thi Vung LAN la 100, DMZ la 70 va vung Internet la cong ket noi voi Loadbalncing ra ngoai la 0

    Theo nhu cau hinh tren thi tu Internet ben ngoai co the truy cap vao Webserver binh thuong qua cac cong duoc mo tren ASA

    Tuy nhien tu vung LAN chi co the ket noi duoc toi dia chi IP Private 192.168.2.2 cua Webserver chu khong the ket noi toi dia chi IP Public cua Webserver. Vung LAN van truy cap Internet binh thuong

    Mong moi nguoi tham khao giup minh nhe!
    Last edited by binhvts; 27-06-2011, 10:07 AM.

    Comment

    • #17
      -->Em da test thu cac mang o noi khac deu ket noi vao vung DMZ rat OK nhung vung LAN va vung DMZ trong he thong lai khong thay duoc cac IP route nay

      -->Tuy nhien tu vung LAN chi co the ket noi duoc toi dia chi IP Private 192.168.2.2 cua Webserver chu khong the ket noi toi dia chi IP Public cua Webserver. Vung LAN van truy cap Internet binh thuong

      Bạn Binhvts gỏ bằng tiếng Việt có dấu cho dể hiểu nhé,gửi kèm sơ đồ mạng,có ip.Hai câu trên mình chưa hiểu rỏ policy cuối cùng của bạn.
      Hugo

      Comment

      • #18
        Chào anh thanhnam0707,

        Anh xem sơ đồ mạng qua link nay giúp em nhé:

        http://118.69.229.226/Mo hinh mang.jpg

        Ý của em là hiện giờ bên ngoài (tức là các mạng Internet ở nơi khác) đều có thể truy cập vào Webserver của bên em.

        Nhưng trong mạng nội bộ của Công ty (vùng LAN) lại không thể truy cập vào Webserver thong qua IP Public 113.161.100.193 mà chỉ kết nối được tới Webserver thong qua IP Private là 192.168.2.2

        Anh có thể test thử link Website mà em đang dựng tạm nhé:

        http://113.161.100.193
        Last edited by binhvts; 27-06-2011, 10:43 AM.

        Comment

        • #19
          Hi anh thanhnam0707

          Anh cho em xin địa chỉ email cua anh được không, để em gởi cho anh 1 số hình ảnh cấu hình trên Load balancing và ASA để anh có thể rõ hơn về hệ thống em đang làm nhé

          Thanks anh!

          Comment

          • #20
            bạn gửi vào thanhnam0707@yahoo.com

            Bạn kiểm tra lại bảng Nat trên asa và loadbalance.Theo ý bạn mô tả,mình đoán là có 1 dòng Nat không đúng.
            Hugo

            Comment

            • #21
              bạn dùng pc trong telnet 113.161.100.193 80 thử được hong?
              Hugo

              Comment

              • #22
                Không được anh ah

                Comment

                • #23
                  Bạn kiểm tra lại như bên dưới xem,làm xong test lại thử,nhớ đừng write, ko được thì trả lại cấu hình củ.

                  global (Internet) 1 interface
                  global (HNX) 1 interface
                  global (Lan) 1 interface
                  global (DMZ) 1 interface --> ko thấy câu lệnh nat (DMZ) 1 192.168.2.0 255.255.255.0,như vậy có thể server DMZ chưa đi internet được.
                  nat (Lan) 1 172.16.0.0 255.255.0.0 --> cho Lan đi internet-->ok
                  static (DMZ,Internet) 192.168.0.3 192.168.2.2 netmask 255.255.255.255 --> Nat --> ok


                  củ:
                  access-list Internet_access_in extended permit icmp any any
                  access-list Internet_access_in extended permit tcp any any object-group Internet

                  thay bằng:
                  access-list Internet_access_in extended permit icmp any any
                  access-list Internet_access_in extended permit tcp any host 192.168.0.3 object-group Internet

                  thêm mới:
                  static (Lan,DMZ) 172.16.0.0 172.16.0.0 netmask 255.255.0.0 --> giữ nguyên lớp mạng Lan khi đi qua DMZ.

                  Tks.
                  Hugo

                  Comment

                  • #24
                    Originally posted by thanhnam0707 View Post
                    Bạn kiểm tra lại như bên dưới xem,làm xong test lại thử,nhớ đừng write, ko được thì trả lại cấu hình củ.

                    global (Internet) 1 interface
                    global (HNX) 1 interface
                    global (Lan) 1 interface
                    global (DMZ) 1 interface --> ko thấy câu lệnh nat (DMZ) 1 192.168.2.0 255.255.255.0,như vậy có thể server DMZ chưa đi internet được.
                    nat (Lan) 1 172.16.0.0 255.255.0.0 --> cho Lan đi internet-->ok
                    static (DMZ,Internet) 192.168.0.3 192.168.2.2 netmask 255.255.255.255 --> Nat --> ok


                    củ:
                    access-list Internet_access_in extended permit icmp any any
                    access-list Internet_access_in extended permit tcp any any object-group Internet

                    thay bằng:
                    access-list Internet_access_in extended permit icmp any any
                    access-list Internet_access_in extended permit tcp any host 192.168.0.3 object-group Internet

                    thêm mới:
                    static (Lan,DMZ) 172.16.0.0 172.16.0.0 netmask 255.255.0.0 --> giữ nguyên lớp mạng Lan khi đi qua DMZ.

                    Tks.
                    Hi anh Nam,

                    Em đã thay đổi như trên nhưng LAN vẫn khong thấy IP public của Webserver và không thay luon Ip private 192.168.2.5

                    Comment

                    • #25
                      Hi anh,

                      Trên Webserver hiện tại vẫn chưa duyệt Web được nhưng em ping các IP Public bên ngoài thì vẫn được nhưng ping Domain thi chưa được, em đã cài DNS đầy đủ

                      Comment

                      • #26
                        Bạn nên tách các trường hợp:

                        1.Lan đi internet.
                        2.DMZ đi internet.
                        3.Lan đi qua DMZ.
                        4.Outside về DMZ(web).

                        Làm và test từng bước 1.Bạn định nghĩa các ACL riêng cho các vùng,các Object riêng cho dể kiểm tra nhé.Cứ từ từ làm,sẽ chạy thôi.
                        Hugo

                        Comment

                        • #27
                          Hi anh Nam,

                          Em đã làm đủ các bước, Lan, DMZ deu ra duoc internet, LAn cung toi duoc IP 192.168.2.2 cua DMZ và outsite cũng vào được DMZ.

                          Nhung sao LAN vãn không vào được IP Public của DMZ

                          Em nghĩ vấn đề nằm trên phần NAT của Load Balancing chứ không phải con ASA vì hiện tại em đứng trên con Load Balancing ping IP Public 113.161.100.193 của Webserver mà không được

                          Comment

                          • #28
                            Bình remove phần cấu hình Nat trên balance ra, thử ping ip 113.161.100.193 được không.Nếu ping được thì cấu hình Nat trên balance có vấn đề.

                            Từ Lan đi web server nên đi bằng ip 192.168.2.2 là đúng policy,ko nên đi bằng 113.161.100.193, tuy là vẩn có thể đi vòng ngược từ internet vào dmz được.
                            Last edited by thanhnam0707; 29-06-2011, 09:33 PM.
                            Hugo

                            Comment

                            • #29
                              Hi a Nam,

                              Em cau hinh duoc roi, van de loi la do con Load Balancing

                              Cảm ơn anh Nam đã nhiệt tình giúp đỡ

                              Chúc anh luôn luôn vui vẻ!

                              Comment

                              Previous 1 2 template Next
                              Working...
                              X