Tweet
Lab 2: SNPA NAT và Inbound ACL
- Các bạn có thể dùng sơ đồ địa chỉ thường dùng trong quyển lab-guide. Không nhất thiết dùng theo địa chỉ này. Trong bài lab này, thay tương ứng P=1,2 hay 3.
Yêu cầu:
- Gắn cáp các thiết bị như hình vẽ. Kết nối từ ASA đến các thiết bị khác dùng cáp chéo.
- Gán tên cho các thiết bị ASA, các router như yêu cầu hình vẽ.
- Gán địa chỉ IP, các nameif cho các interface của ASA.
- Cấu hình để bật telnet trên các router DMZ, WAN.
- Bật HTTP server trên các router DMZ, WAN router.
NAT:
- Cấu hình NAT cho mạng inside sao cho những người dùng trong địa chỉ 10.0.P.1 đến 10.0.P.128 sẽ dùng địa chỉ 192.168.P.11 khi đi ra ngoài. User trong dãy địa chỉ 10.0.P.129 đến .P.254 sẽ dùng địa chỉ 192.168.P.12.
- Cấu hình NAT tĩnh sao cho từ internet, truy cập web server thông qua địa chỉ 192.168.P.14, truy cập telnet host theo địa chỉ 192.168.P.15.
- Cấu hinh sao cho người dùng trong mạng inside có thể truy cập DMZ mà không cần dùng NAT.
INBOUND ACL:
- Cho phép web traffic từ ngoài Internet vào các server trong DMZ.
- Cho phép FTP, Telnet từ ngoài Internet vào các server trong DMZ.
- Cho phép web traffic vào student PC.
- Cho phép PING vào inside host và các host trong DMZ.
- Cho phép các ICMP echo-reply tù các máy outside interface và từ DMZ interface.
Cấu hình trên ASA
ciscoasa(config)# show run
ASA Version 8.0(3)
!
hostname ciscoasa
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.4.1 255.255.255.0
!
interface Ethernet0/1
nameif dmz
security-level 50
ip address 172.16.4.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 192.168.4.1 255.255.255.0
!
access-list allInternetToDMZ extended permit tcp 192.168.4.0 255.255.255.0 host
192.168.4.14 eq telnet
access-list allInternetToDMZ extended permit tcp 192.168.4.0 255.255.255.0 host
192.168.4.14 eq www
access-list allInternetToDMZ extended permit icmp any any echo
access-list allInternetToDMZ extended permit icmp any any echo-reply
access-list DMZpingALL extended permit icmp any any echo
access-list DMZpingALL extended permit icmp any any echo-reply
nat-control
global (outside) 1 192.168.4.11
global (outside) 2 192.168.4.12
nat (inside) 1 10.0.4.0 255.255.255.128
nat (inside) 2 10.0.4.128 255.255.255.128
static (dmz,outside) 192.168.4.14 172.16.4.2 netmask 255.255.255.255
static (dmz,outside) 192.168.4.15 172.16.4.3 netmask 255.255.255.255
static (inside,dmz) 172.16.4.0 10.0.4.0 netmask 255.255.255.0
access-group allInternetToDMZ in interface outside
access-group DMZpingALL in interface dmz
!
: end
- Các bạn có thể dùng sơ đồ địa chỉ thường dùng trong quyển lab-guide. Không nhất thiết dùng theo địa chỉ này. Trong bài lab này, thay tương ứng P=1,2 hay 3.
Yêu cầu:
- Gắn cáp các thiết bị như hình vẽ. Kết nối từ ASA đến các thiết bị khác dùng cáp chéo.
- Gán tên cho các thiết bị ASA, các router như yêu cầu hình vẽ.
- Gán địa chỉ IP, các nameif cho các interface của ASA.
- Cấu hình để bật telnet trên các router DMZ, WAN.
- Bật HTTP server trên các router DMZ, WAN router.
NAT:
- Cấu hình NAT cho mạng inside sao cho những người dùng trong địa chỉ 10.0.P.1 đến 10.0.P.128 sẽ dùng địa chỉ 192.168.P.11 khi đi ra ngoài. User trong dãy địa chỉ 10.0.P.129 đến .P.254 sẽ dùng địa chỉ 192.168.P.12.
- Cấu hình NAT tĩnh sao cho từ internet, truy cập web server thông qua địa chỉ 192.168.P.14, truy cập telnet host theo địa chỉ 192.168.P.15.
- Cấu hinh sao cho người dùng trong mạng inside có thể truy cập DMZ mà không cần dùng NAT.
INBOUND ACL:
- Cho phép web traffic từ ngoài Internet vào các server trong DMZ.
- Cho phép FTP, Telnet từ ngoài Internet vào các server trong DMZ.
- Cho phép web traffic vào student PC.
- Cho phép PING vào inside host và các host trong DMZ.
- Cho phép các ICMP echo-reply tù các máy outside interface và từ DMZ interface.
Cấu hình trên ASA
ciscoasa(config)# show run
ASA Version 8.0(3)
!
hostname ciscoasa
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.4.1 255.255.255.0
!
interface Ethernet0/1
nameif dmz
security-level 50
ip address 172.16.4.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 192.168.4.1 255.255.255.0
!
access-list allInternetToDMZ extended permit tcp 192.168.4.0 255.255.255.0 host
192.168.4.14 eq telnet
access-list allInternetToDMZ extended permit tcp 192.168.4.0 255.255.255.0 host
192.168.4.14 eq www
access-list allInternetToDMZ extended permit icmp any any echo
access-list allInternetToDMZ extended permit icmp any any echo-reply
access-list DMZpingALL extended permit icmp any any echo
access-list DMZpingALL extended permit icmp any any echo-reply
nat-control
global (outside) 1 192.168.4.11
global (outside) 2 192.168.4.12
nat (inside) 1 10.0.4.0 255.255.255.128
nat (inside) 2 10.0.4.128 255.255.255.128
static (dmz,outside) 192.168.4.14 172.16.4.2 netmask 255.255.255.255
static (dmz,outside) 192.168.4.15 172.16.4.3 netmask 255.255.255.255
static (inside,dmz) 172.16.4.0 10.0.4.0 netmask 255.255.255.0
access-group allInternetToDMZ in interface outside
access-group DMZpingALL in interface dmz
!
: end
Comment