Load balancing như trên chỉ có thể dễ dàng share tải khi connect tới các server đặt trên Internet , còn với các Server mail, Web, hoặc các daemon Telnet , SSH ... đặt tại local nếu không dùng BGP thì hơi bị khó share tải.

Trong trường hợp của bạn lphoang, nếu muốn Telnet, SSH từ ngoài vào thì bạn cần cấu hình NAT/Portforwarding về các host cần telnet & SSH, tất nhiên nên để ý các FW rules nữa.

hi lphoang,
cụ thể bạn muốn dùng các protocol telnet, ssh, pptp như thế nào? bạn muốn truy cập từ Internet qua các protocol này đến server nào?
để troubleshooting điểm này, bạn chú ý, để thực hiện giao tiếp thành công từ internet vào mạng qua interface s0/0/0, ngoài luồn traffic đi từ internet vào mạng bạn còn phải chú ý policy để luồn traffic trả về internet đi đúng đường mong muốn, chú ý các rule của firewall có deny traffic đi và về hay không, để test tốt nhất bạn nên tắt firewall để kiểm tra có thành công hay không sau khi thành công mới dựng lại firewall.

Chào thầy Bình,

Theo file cấu hình em đính kèm sau đây, traffic từ trong LAN đã đi theo như mong muốn (mail cho leased line và web cho adsl) nhưng về phía bên ngoài vào em không thể kết nối được các protocols như telnet, pptp,ssh qua interface s0/0/0.
Mong thầy xem qua, sửa chữa giúp em và cho em ý kiến thêm về file cấu hình này.

Cám ơn thầy.

Cám ơn sự chỉ dẫn của thầy nhiều lắm.Thân!

lphoang tham khảo cấu hình mẩu sau nhé, rất đầy đủ và chi tiết:

Ah`, một vấn đề nữa là thầy có thể cho em một ví dụ cụ thể trong việc cấu hình Cisco Easy VPN, chứng thực AAA bằng RADIUS server (Windows server 2003 dùng Active Directory làm RADIUS server) qua interface S0/0/0 được không vậy?

Cám ơn thầy.

Cám ơn thầy Bình nhiều.

nếu là cái hay làm thì dùng ... firewall cứng (ASA5500 series chẳng hạn). còn trong trường hợp của bạn, có thể apply firewall ở interface f0/0 chiều in (lúc đó không cần phải apply nhiều CBAC lên cả 3 interface outside)

Theo mô hình mạng hiện tại và kinh nghiệm của thầy, thì khi chúng ta muốn sử dụng thêm CBAC trong mô hình này, chúng ta nên apply CBAC vào interface inside (giống như thầy đã giải thích) hay là apply vào interface outside(dialer0, dialer1 và serial0/0/0) và mình nên apply theo chiều IN hay OUT của interface outside?

Cám on thầy.

hi,
nếu bạn dùng thêm CBAC (IOS Firewall) lúc đó thứ tự xử lý packet trong ví dụ trên như sau:
- ở interface f0/0 (interface inside):
+ Policy-routing
+ Routing
+ NAT
+ CBAC
- Ở interface dialer0, dialer1, s0/0/0 (interface outside):
+ NAT
+ Policy-routing
+ Routing
+ CBAC

Như vậy nếu muốn apply CBAC vào interface f0/0 thì sẽ cấu hình như sau:
config t
ip inspect name CBAC_DEMO tcp
ip inspect name CBAC_DEMO udp
!
!cho phép connect khởi tạo từ Internet vào internal mail server
access-list 130 permit tcp any host 192.168.90.100
access-list 130 deny ip any any
!
interface f0/0
ip inspect CBAC in
ip access-group 130 out
!
end
wr

bạn tham khảo thêm thứ tự xử lý packet trên cisco router ở link dưới nhé:

Chào thầy Bình,
Thật là một ví dụ rất rõ ràng. Cám ơn thông tin của thầy. Nhưng em muốn xin hỏi thêm là, trong ví dụ trên, em muốn áp dụng thêm firewall CBAC nữa thì ảnh hưởng của các access-list như thế nào vậy thầy? Ở đây,em muốn áp dụng ip inspect [...] IN vào interface F0/0 thì tác dụng của nó sẽ như thế nào?
Xin thầy giải thích giùm em.

Cám ơn thầy.

một ví dụ như sau:
cấu hình Router 2811 với 2 đường ADSL cho người dùng truy cập Internet (2 interface tương ứng là: dialer0, dialer1). Đường leaseline 256Kbps (IP: 203.162.90.100 được NAT vào Mail Server có IP:192.168.90.100) dành riêng cho Mail (SMTP, POP3) traffic. Interface F0/0 của Router kết nối vào mạng LAN với địa chỉ IP: 192.168.90.1/24
!!Cấu hình như sau:
config t
!Cấu hình định tuyến:
ip route 0.0.0.0 0.0.0.0 dialer 0
ip route 0.0.0.0 0.0.0.0 dialer 1
!
!Cấu hình policy-based routing
access-list 110 permit ip host 192.168.90.100 any
!
route-map RM_POLICY_ROUTING permit 10
match ip address 110
set interface s0/0/0
!
!apply policy-based routing vao interface f0/0
interface f0/0
ip policy route-map RM_POLICY_ROUTING
!
!Cấu hình NAT
interface dialer 0
ip nat outside
!
interface dialer 1
ip nat outside
!
interface s0/0/0
ip nat outside
!
interface f0/0
ip nat inside
!
!Cấu hình static NAT từ IP Leaseline vào Mail Server
ip nat inside source static 192.168.90.100 203.162.90.100

!Cấu hình NAT/PAT cho các client truy cập Internet qua 2 đường ADSL
access-list 120 deny host 192.168.90.100 any
access-list 120 permit ip any any
!
route-map RM_DIALER0 permit 10
match ip address 120
match interface dialer 0
!
route-map RM_DIALER1 permit 10
match ip address 120
match interface dialer 1
!
ip nat inside source route-map RM_DIALER0 interface dialer0 overload
ip nat inside source route-map RM_DIALER1 interface dialer1 overload
!
end
wr


tham khảo thêm link:

lúc này mình muốn Nat các mạng thõa access-list để ra internet(ra mail,ra web) thì làm sao thầy,câu lệnh như thế nào,nếu như làm như bình thường em sợ traffic nó đi ko đúng?
thầy post chi tiết giúp em với!
thanks,

hi Nam,
câu trả lời trên nhé.

câu lệnh:
set interface interface_type
có nghĩa là gì thầy,nó có thế default route ko?
Thanks,