Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Giúp xây dựng mô hình ASA có 1 đường truyền Internet?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Giúp xây dựng mô hình ASA có 1 đường truyền Internet?

    Xin các thầy cô giúp đỡ em xây dựng mô hình như sau:
    Mô hình mạng gồm có 1 đường truyền Internet, 1 Switch, 1 Router và 1 ASA 5500 Series.
    Yêu cầu:
    Hãy kết nối các thiết bị trên lại với nhau và cấu hình sao cho các user trong mạng LAN có thể truy cập được Internet và các user bên ngoài Internet có thể truy cập dịch vụ mạng (www,ftp,smtp,pop3,icmp...) vào trong mạng LAN.
    ***Em kết nối nhiều kiểu khác nhau nhưng vẫn chưa được, em không biết là Router đứng trước hay đứng sau ASA. Đường truyền Internet không biết kết nối vào Switch hay ASA để có Internet. Em làm hoài mà không được.
    Hiên em rất cần gấp, xin hướng dẫn chi tiết giúp em!
    xin cám ơn!

  • #2
    Hy vọng có thể giúp bạnClick image for larger version

Name:	helpVNPRO.jpg
Views:	1
Size:	19.5 KB
ID:	206574

    Hãy kết nối các thiết bị trên lại với nhau và cấu hình sao cho các user trong mạng LAN có thể truy cập được Internet và các user bên ngoài Internet có thể truy cập dịch vụ mạng (www,ftp,smtp,pop3,icmp...) vào trong mạng LAN.
    Ngoài việc xây dựng topo (như trên chẳng hạn) bạn còn phải thiết lập các chính sách (ACLs) để có thể thỏa mãn các yêu cầu của đề
    Chúc bạn thành công ! Nếu vẫn gặp vấn đề bạn có thể hỏi tại đây. Nếu trong khả năng của mình thì mình sẵn sàng giúp bạn :D

    Comment


    • #3
      Vậy dây cáp đường truyền internet kết nối vào đâu trong mô hình này để PC trong mạng LAN có internet? Nếu PC trong LAN đặt IP tĩnh sẽ không ra được internet, user bên ngoài internet chính là ISP trong mô hình này hả? và phải cấu hình ACLs như thế nào để đáp ứng yêu cầu bài? mình làm hoài mà không được, bạn cho mình xem file cấu hình được không?
      xin cám ơn bạn nhiều!

      Comment


      • #4
        Bạn nhìn topo trên mà không hiểu sao ?
        Vậy dây cáp đường truyền internet kết nối vào đâu trong mô hình này để PC trong mạng LAN có internet?
        Dây cáp từ nhà cung cấp dịch vụ internet (gọi là ISP) sẽ được kết nối vào modem. Còn để LAN có mạng thì bạn cẫn cài đặt modem và thiết lập cơ bản cho ASA thì bên trong mạng LAN của bạn sẽ có mạng internet
        Nếu PC trong LAN đặt IP tĩnh sẽ không ra được internet, user bên ngoài internet chính là ISP trong mô hình này hả?
        Thường thì khi cấu hình modem máy tính của bạn sẽ được cấp phát IP tự động. Bạn đặt IP tĩnh vẫn có thể có mạng trong trường hợp : bạn đặt cùng dải IP với mạng LAN và địa chỉ đó không bị trùng với máy tính khác trong mạng. ISP như mình nói ở trên nó là nhà cung cấp dịch vụ ! Muốn có 1 user bên ngoài (để test chức năng user ngoài truy cập các dịch vụ như đề bài ) bạn có thể gắn thêm 1 Router vào bên phải ISP và tiếp đó là 1 PC .
        Phải cấu hình ACLs như thế nào để đáp ứng yêu cầu bài?bạn cho mình xem file cấu hình được không?
        Bạn tạo ACLs như thế nào ? bạn đã gán nó vào cổng chưa ? Mình sẽ không post code. Mình sẽ hướng dẫn bạn làm

        Comment


        • #5
          Originally posted by trungductk8utehy View Post
          Bạn nhìn topo trên mà không hiểu sao ?
          Còn để LAN có mạng thì bạn cẫn cài đặt modem và thiết lập cơ bản cho ASA thì bên trong mạng LAN của bạn sẽ có mạng internet
          Nếu mình kết nối như mô hình của bạn và định tuyến trên ASA và Modem thì trong mạng LAN có internet không bạn? mô hình mình dựng được rồi mà chỉ không biết dây mạng có đường truyền Internet cắm vào Switch hay ASA để LAN có Internet mà vẫn đảm bảo tất cả mọi traffic đều phải đi qua ASA.
          cám ơn bạn đã hướng dẫn!

          Comment


          • #6
            Nếu mình kết nối như mô hình của bạn và định tuyến trên ASA và Modem thì trong mạng LAN có internet không bạn?
            Chắc chắn có bạn à
            mô hình mình dựng được rồi mà chỉ không biết dây mạng có đường truyền Internet cắm vào Switch hay ASA để LAN có Internet mà vẫn đảm bảo tất cả mọi traffic đều phải đi qua ASA
            Thế này nhé nhà cung cấp sẽ kéo đến cho bạn 1 cái đầu dây (RJ11) - đầu dây này bạn sẽ kết nối với modem của bạn (Thông qua cổng RJ11 trên modem) - Tiếp đó trên modem còn 1 cổng RJ45 - lấy dây RJ45 kết nối với cổng G0 trên ASA - Nối tiếp cổng G1 của ASA với 1 cổng bất kì của Switch bằng cáp RJ45 - và từ Switch bạn kết nối với các máy trong mạng LAN. Như vậy thì mọi kết nối từ ngoài vào hay từ trong ra đều phải đi qua ASA

            Comment


            • #7
              Originally posted by trungductk8utehy View Post
              lấy dây RJ45 kết nối với cổng G0 trên ASA - Nối tiếp cổng G1 của ASA với 1 cổng bất kì của Switch bằng cáp RJ45 - và từ Switch bạn kết nối với các máy trong mạng LAN. Như vậy thì mọi kết nối từ ngoài vào hay từ trong ra đều phải đi qua ASA
              lúc đầu mình cứ tưởng kết nối đường truyền internet vào cổng ra trên modem chứ, thì ra là phải kết nối vào bên trong LAN mới đúng.
              ASA của mình chỉ có cổng Ethernet không có cổng GigabitEthernet, vậy mình kết nối vào 1 trong 4 cổng Ethernet vẫn được phải không? mình đã định tuyến và đã show route rip thành công rồi, mình có cần trỏ Default Route ra ISP trên Modem không bạn, trên ASA không cần default route đúng không?
              để các PC trong mạng LAN ra được Internet mình cần phải tạo ACLs nữa đúng không? nếu chỉ định tuyến cơ bản vẫn chưa truy cập internet được vì gói tin từ trong ra ngoài thì được, còn gói tin trả về từ ngoài vào trong sẽ bị chặn lại là drop gói tin đúng không? và mình phải tạo ACLs có source là các máy trong mạng LAN là destination là any và gán lên cổng outside đúng không?
              cám ơn bạn nhiều!
              Last edited by ccnp642-618; 22-04-2014, 07:53 PM.

              Comment


              • #8
                Ok gần hết rùi :D trên ASA bạn đẩy hết Default route ra internet. Nếu trong mạng của bạn có 1 Lan như topo của mình thì ko cần tạo route mà chỉ cần đẩy route ra internet thôi.
                nếu chỉ định tuyến cơ bản vẫn chưa truy cập internet được vì gói tin từ trong ra ngoài thì được, còn gói tin trả về từ ngoài vào trong sẽ bị chặn lại là drop gói tin đúng không?
                Chuẩn xác
                mình phải tạo ACLs có source là các máy trong mạng LAN là destination là any và gán lên cổng outside đúng không?
                Source : bạn hãy để là dải mạng hoặc nếu chỉ để test ra được internet thì bạn có thể để là any và permit luôn ip chứ ko cần chỉ định riêng cho từng dịch vụ nữa :D
                Sau khi tạo ACLs xong thì bạn theo chiều in của cổng outside :D

                Comment


                • #9
                  chuẩn không phải chỉnh, nhưng mà ý của bạn ccnp642-618 hỏi bạn trungductk8utehy là RJ45 có đường truyền Internet kết nối vào cổng exit interface trên Modem thay vì kết nối với ASA có được không? có đảm bảo kết nối Internet cho mạng LAN không và có đảm bảo tất cả mọi gói tin đều phải thông qua ASA? bạn trungductk8utehy vẫn chưa làm rõ ý này!
                  Last edited by lucandat; 22-04-2014, 08:47 PM.

                  Comment


                  • #10
                    đẩy bằng câu lệnh default route originate đúng không?
                    Vậy còn để user bên có thể truy cập www vào mạng LAN thì phải làm sao?
                    Route 0 đó anh :D
                    để user bên ngoài truy cập được vào www của mạng LAN thì có 2 cách ạ : Thứ nhất là permit ip dùng extended và áp theo chiều in của cổng out như em nói ở trên. Nếu lo vấn đề bảo mật thì tạo 1 ACLs chỉ cho phép truy cập http (www hoặc 80) ạ

                    Comment


                    • #11
                      Originally posted by trungductk8utehy View Post
                      để user bên ngoài truy cập được vào www của mạng LAN thì có 2 cách ạ : Thứ nhất là permit ip dùng extended và áp theo chiều in của cổng out như em nói ở trên. Nếu lo vấn đề bảo mật thì tạo 1 ACLs chỉ cho phép truy cập http (www hoặc 80) ạ
                      vậy có cần phải STATIC (INSIDE,OUTSIDE) không bạn trungductk8utehy? và nếu truy cập www hay ftp thì có cần phải tạo Public server không? có cần tạo ACLs để cho user bên ngoài truy cập vào không?

                      Comment


                      • #12
                        theo mình thì không cần phải đầy default route trên ASA cũng được, vì đã cấu hình trên Modem rồi, nếu cấu hình trên ASA nữa sẽ gây tốn bộ nhớ! đúng không?

                        Comment


                        • #13
                          vậy có cần phải STATIC (INSIDE,OUTSIDE) không bạn trungductk8utehy? và nếu truy cập www hay ftp thì có cần phải tạo Public server không? có cần tạo ACLs để cho user bên ngoài truy cập vào không?
                          Ý của anh là NAT(inside,outside) phải ko ạ ?
                          Các bài lab em đã làm thì toàn bộ là trên GNS3 chứ không được lab thật bao giờ cả. Nên em sẽ trả lời theo 2 hướng. Có gì anh chỉnh sửa theo thực tế giúp em nhé . Hì
                          - Khi làm trên GNS3 : Có thể NAT hoặc không. Nếu sử dụng NAT thì các máy ngoài mạng sẽ truy cập trực tiếp đến IP được NAT để truy cập dịch vụ, còn nếu ko thì trỏ thẳng đến IP của server để sử dụng và cũng ko cấn publish server (Không biết em nhớ lộn ko nữa. cách đây gần năm rùi)
                          - Theo ý hiểu của em : Chắc chắn sẽ phải NAT và publish server (Thường thì các công ty không đặt web hay ftp vào trong mô hình của công ty mà họ thuê host và đẩy lên đó)

                          Comment


                          • #14
                            Trong mô hình GNS3 thì chuẩn không cần chỉnh, nhưng trong mô hình thực tế hình không chạy được đâu, để truy cập từ ngoài vào trong phải cấu hình ACLs, Static và Publish Server nếu truy cập dịch vụ mạng. Mô hình bạn làm gần giống với LAB mini bên topic CCNP FIREWALL TIẾNG VIỆT của mình thì phải, trong mô hình GNS3 bạn nên để ASA đứng trước Modem, còn trong thực tế thì ngược lại, thậm chí bỏ luôn router cũng ko vấn đề gì cả.
                            bạn ccnp642-618 có hỏi bạn là RJ45 có internet kết nối vào Modem hay ASA để mạng LAN có internet mà không thấy bạn trả lời??? nếu kết nối vào ASA thì các máy tính trong LAN sẽ có IP động. còn nếu kết nối vào Modem ở exit interface thì sẽ ra sao? bạn có thể nói hơn 2 trường hợp này không?
                            Last edited by lucandat; 22-04-2014, 09:14 PM.

                            Comment


                            • #15
                              Vậy còn user bên ngoài Internet kết nối vào đâu để truy cập dịch vụ mạng bên trong mạng LAN?

                              Comment

                              Working...
                              X