Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Load Balance!

Collapse
X
Collapse
 
  • Page of 2
  • Filter
  • Time
  • Show
Clear All
new posts
Previous 1 2 template Next
  • #16
    Originally posted by lphoang View Post
    Chào thầy Bình,
    Thật là một ví dụ rất rõ ràng. Cám ơn thông tin của thầy. Nhưng em muốn xin hỏi thêm là, trong ví dụ trên, em muốn áp dụng thêm firewall CBAC nữa thì ảnh hưởng của các access-list như thế nào vậy thầy? Ở đây,em muốn áp dụng ip inspect [...] IN vào interface F0/0 thì tác dụng của nó sẽ như thế nào?
    Xin thầy giải thích giùm em.

    Cám ơn thầy.
    hi,
    nếu bạn dùng thêm CBAC (IOS Firewall) lúc đó thứ tự xử lý packet trong ví dụ trên như sau:
    - ở interface f0/0 (interface inside):
    + Policy-routing
    + Routing
    + NAT
    + CBAC
    - Ở interface dialer0, dialer1, s0/0/0 (interface outside):
    + NAT
    + Policy-routing
    + Routing
    + CBAC

    Như vậy nếu muốn apply CBAC vào interface f0/0 thì sẽ cấu hình như sau:
    config t
    ip inspect name CBAC_DEMO tcp
    ip inspect name CBAC_DEMO udp
    !
    !cho phép connect khởi tạo từ Internet vào internal mail server
    access-list 130 permit tcp any host 192.168.90.100
    access-list 130 deny ip any any
    !
    interface f0/0
    ip inspect CBAC in
    ip access-group 130 out
    !
    end
    wr

    bạn tham khảo thêm thứ tự xử lý packet trên cisco router ở link dưới nhé:
    Understand the NAT Order of Operation
    http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml
    This document describes that the order transactions are processed with NAT is based on the direction a packet travels inside or outside the network.

    Comment

    • #17
      Theo mô hình mạng hiện tại và kinh nghiệm của thầy, thì khi chúng ta muốn sử dụng thêm CBAC trong mô hình này, chúng ta nên apply CBAC vào interface inside (giống như thầy đã giải thích) hay là apply vào interface outside(dialer0, dialer1 và serial0/0/0) và mình nên apply theo chiều IN hay OUT của interface outside?

      Cám on thầy.

      Comment

      • #18
        Originally posted by lphoang View Post
        Theo mô hình mạng hiện tại và kinh nghiệm của thầy, thì khi chúng ta muốn sử dụng thêm CBAC trong mô hình này, chúng ta nên apply CBAC vào interface inside (giống như thầy đã giải thích) hay là apply vào interface outside(dialer0, dialer1 và serial0/0/0) và mình nên apply theo chiều IN hay OUT của interface outside?

        Cám on thầy.
        nếu là cái hay làm thì dùng ... firewall cứng (ASA5500 series chẳng hạn). còn trong trường hợp của bạn, có thể apply firewall ở interface f0/0 chiều in (lúc đó không cần phải apply nhiều CBAC lên cả 3 interface outside)

        Comment

        • #19
          Cám ơn thầy Bình nhiều.

          Comment

          • #20
            Ah`, một vấn đề nữa là thầy có thể cho em một ví dụ cụ thể trong việc cấu hình Cisco Easy VPN, chứng thực AAA bằng RADIUS server (Windows server 2003 dùng Active Directory làm RADIUS server) qua interface S0/0/0 được không vậy?

            Cám ơn thầy.

            Comment

            • #21
              Originally posted by lphoang View Post
              Ah`, một vấn đề nữa là thầy có thể cho em một ví dụ cụ thể trong việc cấu hình Cisco Easy VPN, chứng thực AAA bằng RADIUS server (Windows server 2003 dùng Active Directory làm RADIUS server) qua interface S0/0/0 được không vậy?

              Cám ơn thầy.
              lphoang tham khảo cấu hình mẩu sau nhé, rất đầy đủ và chi tiết:
              Configuring Cisco IOS Easy VPN Remote with 802.1x Authentication  [IPSec Negotiation/IKE Protocols]
              http://www.cisco.com/en/US/technologies/tk583/tk372/technologies_white_paper09186a00801fdef9.html

              Comment

              • #22
                Originally posted by binhhd View Post
                lphoang tham khảo cấu hình mẩu sau nhé, rất đầy đủ và chi tiết:
                http://www.cisco.com/en/US/technolog...0801fdef9.html
                Cám ơn sự chỉ dẫn của thầy nhiều lắm.Thân!

                Comment

                • #23
                  Originally posted by binhhd View Post
                  một ví dụ như sau:
                  cấu hình Router 2811 với 2 đường ADSL cho người dùng truy cập Internet (2 interface tương ứng là: dialer0, dialer1). Đường leaseline 256Kbps (IP: 203.162.90.100 được NAT vào Mail Server có IP:192.168.90.100) dành riêng cho Mail (SMTP, POP3) traffic. Interface F0/0 của Router kết nối vào mạng LAN với địa chỉ IP: 192.168.90.1/24
                  !!Cấu hình như sau:
                  config t
                  !Cấu hình định tuyến:
                  ip route 0.0.0.0 0.0.0.0 dialer 0
                  ip route 0.0.0.0 0.0.0.0 dialer 1
                  !
                  !Cấu hình policy-based routing
                  access-list 110 permit ip host 192.168.90.100 any
                  !
                  route-map RM_POLICY_ROUTING permit 10
                  match ip address 110
                  set interface s0/0/0
                  !
                  !apply policy-based routing vao interface f0/0
                  interface f0/0
                  ip policy route-map RM_POLICY_ROUTING
                  !
                  !Cấu hình NAT
                  interface dialer 0
                  ip nat outside
                  !
                  interface dialer 1
                  ip nat outside
                  !
                  interface s0/0/0
                  ip nat outside
                  !
                  interface f0/0
                  ip nat inside
                  !
                  !Cấu hình static NAT từ IP Leaseline vào Mail Server
                  ip nat inside source static 192.168.90.100 203.162.90.100

                  !Cấu hình NAT/PAT cho các client truy cập Internet qua 2 đường ADSL
                  access-list 120 deny host 192.168.90.100 any
                  access-list 120 permit ip any any
                  !
                  route-map RM_DIALER0 permit 10
                  match ip address 120
                  match interface dialer 0
                  !
                  route-map RM_DIALER1 permit 10
                  match ip address 120
                  match interface dialer 1
                  !
                  ip nat inside source route-map RM_DIALER0 interface dialer0 overload
                  ip nat inside source route-map RM_DIALER1 interface dialer1 overload
                  !
                  end
                  wr


                  tham khảo thêm link:
                  http://www.cisco.com/en/US/tech/tk64...808d2b72.shtml
                  Chào thầy Bình,

                  Theo file cấu hình em đính kèm sau đây, traffic từ trong LAN đã đi theo như mong muốn (mail cho leased line và web cho adsl) nhưng về phía bên ngoài vào em không thể kết nối được các protocols như telnet, pptp,ssh qua interface s0/0/0.
                  Mong thầy xem qua, sửa chữa giúp em và cho em ý kiến thêm về file cấu hình này.

                  Cám ơn thầy.
                  Attached Files

                  Comment

                  • #24
                    hi lphoang,
                    cụ thể bạn muốn dùng các protocol telnet, ssh, pptp như thế nào? bạn muốn truy cập từ Internet qua các protocol này đến server nào?
                    để troubleshooting điểm này, bạn chú ý, để thực hiện giao tiếp thành công từ internet vào mạng qua interface s0/0/0, ngoài luồn traffic đi từ internet vào mạng bạn còn phải chú ý policy để luồn traffic trả về internet đi đúng đường mong muốn, chú ý các rule của firewall có deny traffic đi và về hay không, để test tốt nhất bạn nên tắt firewall để kiểm tra có thành công hay không sau khi thành công mới dựng lại firewall.

                    Comment

                    • #25
                      Load balancing như trên chỉ có thể dễ dàng share tải khi connect tới các server đặt trên Internet , còn với các Server mail, Web, hoặc các daemon Telnet , SSH ... đặt tại local nếu không dùng BGP thì hơi bị khó share tải.

                      Trong trường hợp của bạn lphoang, nếu muốn Telnet, SSH từ ngoài vào thì bạn cần cấu hình NAT/Portforwarding về các host cần telnet & SSH, tất nhiên nên để ý các FW rules nữa.

                      Comment

                      Previous 1 2 template Next
                      Working...
                      X