Tweet
Mô hình:
Giả sử :
+ R5 là Internet
+ R0 là Mail server
+ R1 là Web
+ R2 là PC thuộc VLAN10
+ R3 là PC thuộc VLAN20
+ R4 là PC thuộc VLAN30
File cấu hình PIX:
Em làm một bài lab đơn giản để học về ACL trên PIX nhưng gặp phải khó khăn:
+ Mục đích là VLAN10 ping thấy tất cả các lan khác, và các lan khác không ping được mà chỉ reply lại cho vlan10.
+ Nhưng config thì khi không config dòng in đậm thì: R2,R3... ping ra R5(giả sử là Internet) đều nhận được reply.
+ Bây giờ em có thêm một rule: cấm R3 ping và chỉ cho phép trả lời (echo-reply) khi có địa chỉ thuộc VLAN10(R2) ping tới R3. Nhưng khi config thêm hai lệnh thì R2 ping tới R3 không nhận được reply, và debug icmp trace trên PIX thì không thấy một dòng debug nào cả?
+ Khi em thêm rule tương tự cho R4 (VLAN30) cũng không nhận được reply khi ping từ R2 tới R4...???
+ Vì R2 thuộc VLAN10 có security-level cao nhất nên trong trường hợp ping đơn giản không dùng acl.
Em mong mọi người giúp đỡ, có thể chỉ cho em biết em đã sai ở đâu? và config thiếu những gì ???
Giả sử :
+ R5 là Internet
+ R0 là Mail server
+ R1 là Web
+ R2 là PC thuộc VLAN10
+ R3 là PC thuộc VLAN20
+ R4 là PC thuộc VLAN30
File cấu hình PIX:
PIX# sh run
: Saved
:
PIX Version 8.0(3)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 209.165.201.1 255.255.255.0
!
interface Ethernet1
no nameif
no security-level
no ip address
!
interface Ethernet1.10
vlan 10
nameif VLAN10
security-level 90
ip address 192.168.10.1 255.255.255.0
!
interface Ethernet1.20
vlan 20
nameif VLAN20
security-level 80
ip address 192.168.20.1 255.255.255.0
!
interface Ethernet1.30
vlan 30
nameif VLAN30
security-level 70
ip address 192.168.30.1 255.255.255.0
!
interface Ethernet2
nameif server
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list outside_in extended permit icmp 209.165.201.0 255.255.255.0 any echo-reply
access-list vlan20_in extended permit icmp any any echo-reply
pager lines 24
mtu outside 1500
mtu VLAN10 1500
mtu VLAN20 1500
mtu VLAN30 1500
mtu server 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 209.165.201.10-209.165.201.110 netmask 255.255.255.0
nat (VLAN10) 1 0.0.0.0 0.0.0.0
nat (VLAN20) 1 0.0.0.0 0.0.0.0
nat (VLAN30) 1 0.0.0.0 0.0.0.0
access-group outside_in in interface outside
access-group vlan20_in in interface VLAN20
!
router ospf 1
network 192.168.1.0 255.255.255.0 area 0
network 192.168.10.0 255.255.255.0 area 0
network 192.168.20.0 255.255.255.0 area 0
network 192.168.30.0 255.255.255.0 area 0
network 209.165.201.0 255.255.255.0 area 0
log-adj-changes
default-information originate
!
route outside 0.0.0.0 0.0.0.0 209.165.201.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
prompt hostname context
Cryptochecksum:c73cea58887e5314e31db452bc1fcf63
: end
PIX#
: Saved
:
PIX Version 8.0(3)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 209.165.201.1 255.255.255.0
!
interface Ethernet1
no nameif
no security-level
no ip address
!
interface Ethernet1.10
vlan 10
nameif VLAN10
security-level 90
ip address 192.168.10.1 255.255.255.0
!
interface Ethernet1.20
vlan 20
nameif VLAN20
security-level 80
ip address 192.168.20.1 255.255.255.0
!
interface Ethernet1.30
vlan 30
nameif VLAN30
security-level 70
ip address 192.168.30.1 255.255.255.0
!
interface Ethernet2
nameif server
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list outside_in extended permit icmp 209.165.201.0 255.255.255.0 any echo-reply
access-list vlan20_in extended permit icmp any any echo-reply
pager lines 24
mtu outside 1500
mtu VLAN10 1500
mtu VLAN20 1500
mtu VLAN30 1500
mtu server 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 209.165.201.10-209.165.201.110 netmask 255.255.255.0
nat (VLAN10) 1 0.0.0.0 0.0.0.0
nat (VLAN20) 1 0.0.0.0 0.0.0.0
nat (VLAN30) 1 0.0.0.0 0.0.0.0
access-group outside_in in interface outside
access-group vlan20_in in interface VLAN20
!
router ospf 1
network 192.168.1.0 255.255.255.0 area 0
network 192.168.10.0 255.255.255.0 area 0
network 192.168.20.0 255.255.255.0 area 0
network 192.168.30.0 255.255.255.0 area 0
network 209.165.201.0 255.255.255.0 area 0
log-adj-changes
default-information originate
!
route outside 0.0.0.0 0.0.0.0 209.165.201.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
prompt hostname context
Cryptochecksum:c73cea58887e5314e31db452bc1fcf63
: end
PIX#
+ Mục đích là VLAN10 ping thấy tất cả các lan khác, và các lan khác không ping được mà chỉ reply lại cho vlan10.
+ Nhưng config thì khi không config dòng in đậm thì: R2,R3... ping ra R5(giả sử là Internet) đều nhận được reply.
+ Bây giờ em có thêm một rule: cấm R3 ping và chỉ cho phép trả lời (echo-reply) khi có địa chỉ thuộc VLAN10(R2) ping tới R3. Nhưng khi config thêm hai lệnh thì R2 ping tới R3 không nhận được reply, và debug icmp trace trên PIX thì không thấy một dòng debug nào cả?
+ Khi em thêm rule tương tự cho R4 (VLAN30) cũng không nhận được reply khi ping từ R2 tới R4...???
+ Vì R2 thuộc VLAN10 có security-level cao nhất nên trong trường hợp ping đơn giản không dùng acl.
Em mong mọi người giúp đỡ, có thể chỉ cho em biết em đã sai ở đâu? và config thiếu những gì ???
Comment