Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cấu hình 6 IP route trên đường FTTH FPT

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cấu hình 6 IP route trên đường FTTH FPT

    Tôi đang sử dụng đường FTTH của FTP. Nhờ các bác chỉ giúp cách cấu hình 6 IP route này trên router và nat IP internal ra IP route. cám ơn

  • #2
    Chào bạn,

    Bạn có mô hình thì đưa lên cho các bạn khác xem.
    Thường các IP route là ISP đã route sẵn cho bạn (bạn chỉ cần cấu hình default-route trên router). Vì thế bạn chỉ cần dùng NAT bình thường tương tự bạn NAT với các IP đặt trên router là có thể thông với Internet.
    Bạn cũng có thể đặt IP route này trực tiếp trên các internal server. với điều kiện là internal server trỏ dedault-route qua IP của router (IP route của router)
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      Lan --- Firewall --- R2821 --- Internet FTTH

      Mặc định đã có 1 IP static trên đường FTTH : 118.68.120.x
      6 IP route: 118.63.234.1 - 118.63.234.6
      làm thế nào để config sử dụng các IP route này để NAT server (Mail ,web, FTP) từ LAN ra IP Route. Mong các bác chỉ giúp . Cám ơn

      Comment


      • #4
        Chào bạn.

        Với mô hình bạn đưa thì ta có thể cấu hình cổng ngoài của 2821 là 1 IP static: 118.68.120.x
        Cổng bên trong thì cấu hình IP route.

        Các máy bên trong Lan có thể đặt 5 IP route con lại. Còn nếu muốn NAT thì bạn vẫn NAT bình thường với IP static hoặc IP route đều được hết.

        Chú ý: nhớ là trên 2821 phải có default-route ra interface bên ngoài (hoặc next-hop của mạng 118.68.120.x)
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment


        • #5
          Thanks bạn logmein support rất nhiệt tình.

          Server Farm --- ASA 5520 --- SW4503 --- Firewall -- R2821 --> Internet FTTH

          Bài toán đưa ra là Nat Service server mail port 25, web 80 ...vùng server farm ra IP route. (R2821 Dial PPOE trên cổng Gigabit ethernet ) trong mạng đều chia VLAN cho từng vùng. Server farm (192.168.18.x/24) client (10.0.0.0/24)

          Comment


          • #6
            Chào bạn,

            Cổng ngoài của ASA 5520 hiên tại bạn đang đặt IP public (IP route) hay đặt IP private.
            Nếu cổng ngoài của ASA 5520 (nối với SW4503) là IP private thì bạn hãy đưa cụ thể IP đó ra cho mọi người cùng xem.
            Và IP của các vlan switch 4503 nếu bạn có làm định tuyến thông qua switch này.
            Cụ thể bạn show run để xem làm tới đâu rồi (ASA, switch, 2821).
            Phạm Minh Tuấn

            Email : phamminhtuan@vnpro.org
            Yahoo : phamminhtuan_vnpro
            -----------------------------------------------------------------------------------------------
            Trung Tâm Tin Học VnPro
            149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
            Tel : (08) 35124257 (5 lines)
            Fax: (08) 35124314

            Home page: http://www.vnpro.vn
            Support Forum: http://www.vnpro.org
            - Chuyên đào tạo quản trị mạng và hạ tầng Internet
            - Phát hành sách chuyên môn
            - Tư vấn và tuyển dụng nhân sự IT
            - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

            Network channel: http://www.dancisco.com
            Blog: http://www.vnpro.org/blog

            Comment


            • #7
              IP LAN la private không đặt public. SW 4503 routing & Vlan. Routing giữa SW, Firewall, R2821 la RIP.

              Server Farm (192.168.18.x) --- ASA (192.168.2.2) --- (192.168.2.1) SW4503 (192.168.1.2 --- (192.168.1.1) Firewall (10.1.0.2) --- (10.1.0.1) R2821 (Dial PPOE --> Internet FTTH)

              Nat Port của 1 số server (192.168.18.x) ra internet sử dụng IP Public route (118.68.234.x).

              Comment


              • #8
                Chào bạn,

                TH1:
                Trên router R2821 dùng PAT static như sau: (NAT port cho các server)
                R2821(config)#ip nat inside source static tcp 192.168.18.x 80 118.68.234.x 80
                Chú ý: Trường hợp này từ server frame thông tới được R2821 (giữa đường không bị firewall hay ASA NAT trước đó)

                TH2:
                Trên ASA đã NAT IP của Server farm. (có thể NAT tĩnh hay PAT)

                ASA:
                ASA(config)# static (farm,outside) tcp 192.168.2.y 80 192.168.18.x 80
                Hoặc
                ASA(config)# static (farm,outside) tcp 192.168.2.y 192.168.18.x
                Với frame là interface nối với vùng server farm, outside là interface nối với sw4503

                Lúc này thì router cần thay đổi lại địa chỉ inside local trong lúc PAT static
                R2821(config)#ip nat inside source static tcp 192.168.2.y 80 118.68.234.x 80

                Ở trên là ví dụ với port 80 (HTTP), nếu cần NAT port khác thì bạn tự thay đổi port cho phù hợp.
                Phạm Minh Tuấn

                Email : phamminhtuan@vnpro.org
                Yahoo : phamminhtuan_vnpro
                -----------------------------------------------------------------------------------------------
                Trung Tâm Tin Học VnPro
                149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                Tel : (08) 35124257 (5 lines)
                Fax: (08) 35124314

                Home page: http://www.vnpro.vn
                Support Forum: http://www.vnpro.org
                - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                - Phát hành sách chuyên môn
                - Tư vấn và tuyển dụng nhân sự IT
                - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                Network channel: http://www.dancisco.com
                Blog: http://www.vnpro.org/blog

                Comment


                • #9
                  6 IP route cần phải khai báo vùng pool trên router không bạn.

                  Comment


                  • #10
                    Tiện thể thầy Minh Tuấn cho Voi hỏi ké 01 câu:

                    Trong các gói FTTH của FPT có kèm 01 IP Front + 08 IP Route. Theo Voi hiểu thì:
                    - IP Front là IP Public của mình mà người khác có thể nhìn thấy khi mình ra internet.
                    - IP Route là những IP mình có thể dùng NAT để từ internet có thể truy cập vào các servers.

                    Như vậy có đúng không? Mong các thầy và các bạn có kinh nghiệm bổ sung, giải thích lại hộ Voi.
                    CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
                    64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
                    www.ennolite.com.vn

                    Comment


                    • #11
                      Chào bạn smtq và convoi,
                      Hai bạn xem mô hình dưới đây sẽ rõ hết mọi thắc mắc và biết ISP cho bạn 8 IP route lấy từ đâu.


                      Frame(f0/0)----(f0/0)Router 2821(f0/1)----(f0/0)ISP
                      Trong mô hình này
                      + front IP = 23.0.0.2
                      + Route IP = 118.63.234.0/29

                      ISP
                      ip route 118.63.234.0 255.255.255.248 23.0.0.2
                      interface Loopback3
                      ip address 3.3.3.3 255.0.0.0
                      !
                      interface FastEthernet0/0
                      ip address 23.0.0.3 255.0.0.0


                      ISP#sh ip route
                      118.0.0.0/29 is subnetted, 1 subnets
                      S 118.63.234.0 [1/0] via 23.0.0.2
                      C 3.0.0.0/8 is directly connected, Loopback3
                      C 23.0.0.0/8 is directly connected, FastEthernet0/0


                      Router 2821

                      interface Loopback1
                      ip address 118.63.234.1 255.255.255.248

                      interface FastEthernet0/0
                      ip address 12.0.0.2 255.0.0.0
                      ip nat inside

                      interface FastEthernet0/1
                      ip address 23.0.0.2 255.0.0.0
                      ip nat outside

                      ip route 0.0.0.0 0.0.0.0 23.0.0.3
                      ip route 1.0.0.0 255.0.0.0 12.0.0.1

                      ip nat inside source static 1.0.0.1 118.63.234.7

                      R2821#sh ip route
                      Gateway of last resort is 23.0.0.3 to network 0.0.0.0

                      S 1.0.0.0/8 [1/0] via 12.0.0.1
                      118.0.0.0/29 is subnetted, 1 subnets
                      C 118.63.234.0 is directly connected, Loopback1
                      C 23.0.0.0/8 is directly connected, FastEthernet0/1
                      C 12.0.0.0/8 is directly connected, FastEthernet0/0
                      S* 0.0.0.0/0 [1/0] via 23.0.0.3



                      Frame

                      interface Loopback1
                      ip address 1.0.0.1 255.0.0.0
                      !
                      interface FastEthernet0/0
                      ip address 12.0.0.1 255.0.0.0

                      ip route 0.0.0.0 0.0.0.0 12.0.0.2


                      Kiểm tra route và NAT giúp các IP từ vùng server Farm có thể tới được ISP.

                      FARM#ping 3.3.3.3 source 1.0.0.1

                      Type escape sequence to abort.
                      Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
                      Packet sent with a source address of 1.0.0.1
                      !!!!!
                      Success rate is 100 percent (5/5), round-trip min/avg/max = 20/88/144 ms

                      R2821#sh ip nat translations
                      Pro Inside global Inside local Outside local Outside global
                      icmp 118.63.234.7:13 1.0.0.1:13 3.3.3.3:13 3.3.3.3:13
                      --- 118.63.234.7 1.0.0.1 --- ---
                      Phạm Minh Tuấn

                      Email : phamminhtuan@vnpro.org
                      Yahoo : phamminhtuan_vnpro
                      -----------------------------------------------------------------------------------------------
                      Trung Tâm Tin Học VnPro
                      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                      Tel : (08) 35124257 (5 lines)
                      Fax: (08) 35124314

                      Home page: http://www.vnpro.vn
                      Support Forum: http://www.vnpro.org
                      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                      - Phát hành sách chuyên môn
                      - Tư vấn và tuyển dụng nhân sự IT
                      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                      Network channel: http://www.dancisco.com
                      Blog: http://www.vnpro.org/blog

                      Comment


                      • #12
                        Chài, dùng cấu hình lằng nhằng quá.

                        IP route được là 1 subnet (subnet /248, là 8 IP, trừ đi 1 là mạng, 1 là broadcast nên còn 6 xài được), là subnet mà bên ISP sẽ định tuyến cho mình đi vào kênh FTTH của mình, ngoài địa chỉ đấu nối FTTH ra (địa chỉ đấu nối này cũng xài được làm server luôn). Tức là ISP nó coi như sau con router của mình còn 1 mạng LAN với địa chỉ subnet do nó cấp, mình có thể tuỳ ý đặt mạng LAN đó ra sao tuỳ mình.

                        Kiểu như thế này:

                        các server -- (LAN với các IP được cấp, mask/.248) --- (Ip defaut gateway) [Router] (IP đấu nối) ----- FTTH

                        Các máy server (hoặc thiết bị mạng) trong LAN đó đặt luôn 1 trong số IP của nhà cung cấp cho, netmask là 255.255.255.248 trong trường hợp của bạn, gateway do bạn chọn 1 trong 6 cái kia, lấy cái đầu tiên đi. Tất nhiên là bạn đặt cái IP cho default gateway đó trên router của bạn, phần Interface nối với LAN (Ethernet đó).
                        Bạn chỉ có 5 IP đặt cho các server, đặt luôn lên card mạng của chúng các thông số này.
                        Không cần phải NAT thêm 1 lần làm gì, NAT vừa làm giảm performance, có thể gây thêm tải cho router làm nhiệm vụ NAT. Thực chất NAT là gán tất cả các IP route đó cho con router (alias hay secondary IP), rồi nó sẽ NAT vào trong theo rule. Cái này thật ra không phải là cách hay trong trường hợp bạn có dư giả IP, vì như thế, router sẽ phải tracking các connection để NAT/deNAT. NAT chỉ nên áp dụng khi phải share 1 IP hoặc vì 1 số lý do đặc biệt như sự trùng lặp IP giữa 2 mạng với nhau.
                        Nếu 5 IP kia bạn xài 1 cho 1 thiết bị firewall khác, thì dùng nó để NAT chia sẻ lại IP đó cho các server nằm bên trong 1 lớp nữa.
                        Nếu theo cách mình làm, để tối ưu (tiền bạc, thiết bị, tốc độ, độ an toàn), như những thiết bị bạn có, thì mình ko xài router trong trường hợp này, mình chỉ cần 1 con ASA để làm vừa router, vừa là firewall chạy chế độ non-NAT, và cái subnet (6 IP route kia) được gọi là DMZ cho các server và được gắn vào 1 giao tiếp mạng Ethernet của ASA (ASA hay các FW thường có nhiều giao tiếp mạng Ethernet).
                        Nhiều thiết bị rối rắm và hiệu quả thấp, lãng phí tiền mua thiết bị.
                        Last edited by myquartz; 09-01-2010, 11:28 AM. Reason: Sửa lại cho rõ nghĩa.

                        Comment


                        • #13
                          Nguyên lý Firewall ko nên đặt bên ngoài wan,vì firewall rất ít tính năng so với router,
                          Hugo

                          Comment


                          • #14
                            Theo e biết thì Front IP là IP wan( 1 địa chỉ cho cổng quan Router, còn lại thì cho ISP. Cái này thường là /30).

                            Còn Route IP là IP ở trong, thường thì em thấy /29. Là dc 6 cái, 1 cái đặt cho Gateway, e nghĩ là gán cho Int Vlan1 chứ ko fai gán cho Loop back. Còn 5 cái còn lại thường đặt cho các Server để ở các chi nhánh truy cập vào.

                            Thường thì ko fai NAT Route IP này, vì trên ISP sẽ route cho mình loại IP này vào bảng định tuyến trên ISP.

                            Còn chuyện những địa chỉ Private khác thì là chiện của Công ty và thiết bị khác.:D
                            One Heart One Love

                            Comment


                            • #15
                              Originally posted by thanhnam0707 View Post
                              Nguyên lý Firewall ko nên đặt bên ngoài wan,vì firewall rất ít tính năng so với router,
                              Hugo à, ở lớp mạng (lớp 3) và thấp hơn, firewall thường thua router có 2 thứ thôi: định tuyến động (OSPF, BGP) và khả năng kết nối nhiều loại kênh vật lý (ví dụ serial v35, isdn, atm xDSL hay kênh quang SFP). Do đó, nếu mạng Wan - Internet đó, xài peering BGP, hoặc kết nối leased line qua serial v.35, thì mới hay cần đến router.
                              Một số loại firewall nó tích hợp mạnh mẽ khả năng routing này, ví dụ dòng SSG của Juniper có rất nhiều loại kênh vật lý, với lại khả năng định tuyến động Ospf và Bgp.
                              Đường FTTH của FPT chỉ cần kênh Ethernet, với lại định tuyến tĩnh, firewall là quá đủ.
                              Về mặt bảo mật, thêm router là thêm 1 mối rủi ro, thêm mối quan tâm về bảo mật, phải chăm sóc. Và tất nhiên, chi phí tăng lên không cần thiết. Firewall nó thường được harden rất kỹ, đánh phá không phải dễ,trong khi đó router việc này không kỹ bằng, rủi ro cao hơn.

                              Comment

                              Working...
                              X