Tôi đang sử dụng đường FTTH của FTP. Nhờ các bác chỉ giúp cách cấu hình 6 IP route này trên router và nat IP internal ra IP route. cám ơn
Announcement
Collapse
No announcement yet.
Cấu hình 6 IP route trên đường FTTH FPT
Collapse
X
-
Chào bạn,
Bạn có mô hình thì đưa lên cho các bạn khác xem.
Thường các IP route là ISP đã route sẵn cho bạn (bạn chỉ cần cấu hình default-route trên router). Vì thế bạn chỉ cần dùng NAT bình thường tương tự bạn NAT với các IP đặt trên router là có thể thông với Internet.
Bạn cũng có thể đặt IP route này trực tiếp trên các internal server. với điều kiện là internal server trỏ dedault-route qua IP của router (IP route của router)Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
-
Lan --- Firewall --- R2821 --- Internet FTTH
Mặc định đã có 1 IP static trên đường FTTH : 118.68.120.x
6 IP route: 118.63.234.1 - 118.63.234.6
làm thế nào để config sử dụng các IP route này để NAT server (Mail ,web, FTP) từ LAN ra IP Route. Mong các bác chỉ giúp . Cám ơn
Comment
-
Chào bạn.
Với mô hình bạn đưa thì ta có thể cấu hình cổng ngoài của 2821 là 1 IP static: 118.68.120.x
Cổng bên trong thì cấu hình IP route.
Các máy bên trong Lan có thể đặt 5 IP route con lại. Còn nếu muốn NAT thì bạn vẫn NAT bình thường với IP static hoặc IP route đều được hết.
Chú ý: nhớ là trên 2821 phải có default-route ra interface bên ngoài (hoặc next-hop của mạng 118.68.120.x)Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Comment
-
Thanks bạn logmein support rất nhiệt tình.
Server Farm --- ASA 5520 --- SW4503 --- Firewall -- R2821 --> Internet FTTH
Bài toán đưa ra là Nat Service server mail port 25, web 80 ...vùng server farm ra IP route. (R2821 Dial PPOE trên cổng Gigabit ethernet ) trong mạng đều chia VLAN cho từng vùng. Server farm (192.168.18.x/24) client (10.0.0.0/24)
Comment
-
Chào bạn,
Cổng ngoài của ASA 5520 hiên tại bạn đang đặt IP public (IP route) hay đặt IP private.
Nếu cổng ngoài của ASA 5520 (nối với SW4503) là IP private thì bạn hãy đưa cụ thể IP đó ra cho mọi người cùng xem.
Và IP của các vlan switch 4503 nếu bạn có làm định tuyến thông qua switch này.
Cụ thể bạn show run để xem làm tới đâu rồi (ASA, switch, 2821).Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Comment
-
IP LAN la private không đặt public. SW 4503 routing & Vlan. Routing giữa SW, Firewall, R2821 la RIP.
Server Farm (192.168.18.x) --- ASA (192.168.2.2) --- (192.168.2.1) SW4503 (192.168.1.2 --- (192.168.1.1) Firewall (10.1.0.2) --- (10.1.0.1) R2821 (Dial PPOE --> Internet FTTH)
Nat Port của 1 số server (192.168.18.x) ra internet sử dụng IP Public route (118.68.234.x).
Comment
-
Chào bạn,
TH1:
Trên router R2821 dùng PAT static như sau: (NAT port cho các server)
R2821(config)#ip nat inside source static tcp 192.168.18.x 80 118.68.234.x 80
Chú ý: Trường hợp này từ server frame thông tới được R2821 (giữa đường không bị firewall hay ASA NAT trước đó)
TH2:
Trên ASA đã NAT IP của Server farm. (có thể NAT tĩnh hay PAT)
ASA:
ASA(config)# static (farm,outside) tcp 192.168.2.y 80 192.168.18.x 80
Hoặc
ASA(config)# static (farm,outside) tcp 192.168.2.y 192.168.18.x
Với frame là interface nối với vùng server farm, outside là interface nối với sw4503
Lúc này thì router cần thay đổi lại địa chỉ inside local trong lúc PAT static
R2821(config)#ip nat inside source static tcp 192.168.2.y 80 118.68.234.x 80
Ở trên là ví dụ với port 80 (HTTP), nếu cần NAT port khác thì bạn tự thay đổi port cho phù hợp.Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Comment
-
Tiện thể thầy Minh Tuấn cho Voi hỏi ké 01 câu:
Trong các gói FTTH của FPT có kèm 01 IP Front + 08 IP Route. Theo Voi hiểu thì:
- IP Front là IP Public của mình mà người khác có thể nhìn thấy khi mình ra internet.
- IP Route là những IP mình có thể dùng NAT để từ internet có thể truy cập vào các servers.
Như vậy có đúng không? Mong các thầy và các bạn có kinh nghiệm bổ sung, giải thích lại hộ Voi.CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
www.ennolite.com.vn
Comment
-
Chào bạn smtq và convoi,
Hai bạn xem mô hình dưới đây sẽ rõ hết mọi thắc mắc và biết ISP cho bạn 8 IP route lấy từ đâu.
Frame(f0/0)----(f0/0)Router 2821(f0/1)----(f0/0)ISP
Trong mô hình này
+ front IP = 23.0.0.2
+ Route IP = 118.63.234.0/29
ISP
ip route 118.63.234.0 255.255.255.248 23.0.0.2
interface Loopback3
ip address 3.3.3.3 255.0.0.0
!
interface FastEthernet0/0
ip address 23.0.0.3 255.0.0.0
ISP#sh ip route
118.0.0.0/29 is subnetted, 1 subnets
S 118.63.234.0 [1/0] via 23.0.0.2
C 3.0.0.0/8 is directly connected, Loopback3
C 23.0.0.0/8 is directly connected, FastEthernet0/0
Router 2821
interface Loopback1
ip address 118.63.234.1 255.255.255.248
interface FastEthernet0/0
ip address 12.0.0.2 255.0.0.0
ip nat inside
interface FastEthernet0/1
ip address 23.0.0.2 255.0.0.0
ip nat outside
ip route 0.0.0.0 0.0.0.0 23.0.0.3
ip route 1.0.0.0 255.0.0.0 12.0.0.1
ip nat inside source static 1.0.0.1 118.63.234.7
R2821#sh ip route
Gateway of last resort is 23.0.0.3 to network 0.0.0.0
S 1.0.0.0/8 [1/0] via 12.0.0.1
118.0.0.0/29 is subnetted, 1 subnets
C 118.63.234.0 is directly connected, Loopback1
C 23.0.0.0/8 is directly connected, FastEthernet0/1
C 12.0.0.0/8 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 23.0.0.3
Frame
interface Loopback1
ip address 1.0.0.1 255.0.0.0
!
interface FastEthernet0/0
ip address 12.0.0.1 255.0.0.0
ip route 0.0.0.0 0.0.0.0 12.0.0.2
Kiểm tra route và NAT giúp các IP từ vùng server Farm có thể tới được ISP.
FARM#ping 3.3.3.3 source 1.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.0.0.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/88/144 ms
R2821#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 118.63.234.7:13 1.0.0.1:13 3.3.3.3:13 3.3.3.3:13
--- 118.63.234.7 1.0.0.1 --- ---Phạm Minh Tuấn
Email : phamminhtuan@vnpro.org
Yahoo : phamminhtuan_vnpro
-----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314
Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng
Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog
Comment
-
Chài, dùng cấu hình lằng nhằng quá.
IP route được là 1 subnet (subnet /248, là 8 IP, trừ đi 1 là mạng, 1 là broadcast nên còn 6 xài được), là subnet mà bên ISP sẽ định tuyến cho mình đi vào kênh FTTH của mình, ngoài địa chỉ đấu nối FTTH ra (địa chỉ đấu nối này cũng xài được làm server luôn). Tức là ISP nó coi như sau con router của mình còn 1 mạng LAN với địa chỉ subnet do nó cấp, mình có thể tuỳ ý đặt mạng LAN đó ra sao tuỳ mình.
Kiểu như thế này:
các server -- (LAN với các IP được cấp, mask/.248) --- (Ip defaut gateway) [Router] (IP đấu nối) ----- FTTH
Các máy server (hoặc thiết bị mạng) trong LAN đó đặt luôn 1 trong số IP của nhà cung cấp cho, netmask là 255.255.255.248 trong trường hợp của bạn, gateway do bạn chọn 1 trong 6 cái kia, lấy cái đầu tiên đi. Tất nhiên là bạn đặt cái IP cho default gateway đó trên router của bạn, phần Interface nối với LAN (Ethernet đó).
Bạn chỉ có 5 IP đặt cho các server, đặt luôn lên card mạng của chúng các thông số này.
Không cần phải NAT thêm 1 lần làm gì, NAT vừa làm giảm performance, có thể gây thêm tải cho router làm nhiệm vụ NAT. Thực chất NAT là gán tất cả các IP route đó cho con router (alias hay secondary IP), rồi nó sẽ NAT vào trong theo rule. Cái này thật ra không phải là cách hay trong trường hợp bạn có dư giả IP, vì như thế, router sẽ phải tracking các connection để NAT/deNAT. NAT chỉ nên áp dụng khi phải share 1 IP hoặc vì 1 số lý do đặc biệt như sự trùng lặp IP giữa 2 mạng với nhau.
Nếu 5 IP kia bạn xài 1 cho 1 thiết bị firewall khác, thì dùng nó để NAT chia sẻ lại IP đó cho các server nằm bên trong 1 lớp nữa.
Nếu theo cách mình làm, để tối ưu (tiền bạc, thiết bị, tốc độ, độ an toàn), như những thiết bị bạn có, thì mình ko xài router trong trường hợp này, mình chỉ cần 1 con ASA để làm vừa router, vừa là firewall chạy chế độ non-NAT, và cái subnet (6 IP route kia) được gọi là DMZ cho các server và được gắn vào 1 giao tiếp mạng Ethernet của ASA (ASA hay các FW thường có nhiều giao tiếp mạng Ethernet).
Nhiều thiết bị rối rắm và hiệu quả thấp, lãng phí tiền mua thiết bị.
Comment
-
Theo e biết thì Front IP là IP wan( 1 địa chỉ cho cổng quan Router, còn lại thì cho ISP. Cái này thường là /30).
Còn Route IP là IP ở trong, thường thì em thấy /29. Là dc 6 cái, 1 cái đặt cho Gateway, e nghĩ là gán cho Int Vlan1 chứ ko fai gán cho Loop back. Còn 5 cái còn lại thường đặt cho các Server để ở các chi nhánh truy cập vào.
Thường thì ko fai NAT Route IP này, vì trên ISP sẽ route cho mình loại IP này vào bảng định tuyến trên ISP.
Còn chuyện những địa chỉ Private khác thì là chiện của Công ty và thiết bị khác.:DOne Heart One Love
Comment
-
Originally posted by thanhnam0707 View PostNguyên lý Firewall ko nên đặt bên ngoài wan,vì firewall rất ít tính năng so với router,
Một số loại firewall nó tích hợp mạnh mẽ khả năng routing này, ví dụ dòng SSG của Juniper có rất nhiều loại kênh vật lý, với lại khả năng định tuyến động Ospf và Bgp.
Đường FTTH của FPT chỉ cần kênh Ethernet, với lại định tuyến tĩnh, firewall là quá đủ.
Về mặt bảo mật, thêm router là thêm 1 mối rủi ro, thêm mối quan tâm về bảo mật, phải chăm sóc. Và tất nhiên, chi phí tăng lên không cần thiết. Firewall nó thường được harden rất kỹ, đánh phá không phải dễ,trong khi đó router việc này không kỹ bằng, rủi ro cao hơn.
Comment
Comment