- Em chỉ có thể nhận email mà không gởi email đi được. Còn các dịch vụ khác thì bình thường.
- Anh em xem cấu hình router và chỉ cho em những chổ sai với.

User Access Verification

Password:
router>ena
Password:
router#show run
Building configuration...

version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXX
enable password router
!
ip subnet-zero
ip name-server 203.162.0.11
!
ip audit notify log
ip audit po max-events 100
!
!
!
interface FastEthernet0/0
ip address 10.10.10.1 255.255.255.0
ip access-group 100 in
ip nat inside
duplex auto
speed auto
fair-queue
!
interface Serial0/0
ip address 210.245.28.6 255.255.255.252
ip access-group 101 in
ip nat outside
!
ip nat pool net-10 10.10.10.1 10.10.10.254 prefix-length 24
ip nat pool net 210.245.32.113 210.245.32.124 prefix-length 28
ip nat inside source list 1 pool net overload
ip nat inside source static 10.10.10.125 210.245.32.125
ip nat inside source static 10.10.10.126 210.245.32.126
ip nat outside source list 1 pool net-10
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0

ip http server
!
access-list 1 permit 0.0.0.0
access-list 1 permit 0.0.0.1 255.255.255.240
access-list 1 permit 10.0.0.0 0.255.255.255
access-list 2 permit 10.10.10.125
access-list 100 permit ip 10.10.10.0 0.0.0.127 any
access-list 100 permit ip 10.10.10.0 0.0.0.255 210.108.196.0 0.0.0.255
access-list 100 permit ip 10.10.10.0 0.0.0.255 host 203.162.0.11
access-list 100 permit ip 10.10.10.0 0.0.0.255 host 203.162.45.156
access-list 100 permit ip 10.10.10.0 0.0.0.255 207.46.0.0 0.0.255.255
access-list 100 permit ip 10.10.10.0 0.0.0.255 207.68.0.0 0.0.255.255
access-list 100 permit ip 10.10.10.0 0.0.0.255 65.54.0.0 0.0.255.255
access-list 100 permit ip 10.10.10.0 0.0.0.255 64.4.0.0 0.0.255.255
access-list 101 deny tcp any any eq telnet
access-list 101 permit ip any any
!
line con 0
line aux 0
line vty 0 4
password XXXXXXXXXXXX
login
!
end

router#

Bạn có thể nói tình trạng của mạng khi bạn dùng ACL này không, như thế mới biết đường mà tìm chỗ sai chứ.
------------
Thân

Vấn đề có lẽ nằm ở cái acl 100 của bạn.
Muốn giải quyết được vấn đề bạn cần nói rõ hơn. Ở đây thấy rằng bạn cho 1/2 mạng trong ra, tuy nhiên có một số IP lại cho cả mạng truy cập.
Bạn cần nói rõ bạn ở dải nào bên trong và đi đến đâu?

- Mình không tìm ra một lỗi nào trong ACLs, cho nên không biết tại sao tất cả các máy ở bên trong LAN (10.10.10.2 - 10.10.10.254) có thể duyệt Web nhưng không thể nào gởi đi ra ngoài bất cứ một tập tin đính kèm nào.
- Mình gởi tập tin đính kèm bằng MSN, OE, và cả forum riêng của Cty nữa.

Hi,

IP Address của Mail server là bao nhiêu? Đã được list là out trong ACL 100 chưa?

Để kiểm tra lỗi có phải của ACL không, em nên thử remove tất cả các lệnh ip access-group, rồi kiểm tra ok.
Sau đó add từng cái vào và kiểm tra ở mỗi lần add.

Nếu cần em nên sử dụng lệnh debug cho access-list để trace.

Hy vọng giúp được em.
Best.

Hi,

Configuration của bạn có một lỗi gọi là Overlap NATing:

ip nat pool net-10 10.10.10.1 10.10.10.254 prefix-length 24

Command trên conflict với hai command sau dây:

ip nat inside source static 10.10.10.125 210.245.32.125
ip nat inside source static 10.10.10.126 210.245.32.126

Hy vọng problem will be fixed.
Trân trọng

Xin chào,

Xin cảm ơn các anh đã chỉ ra những chổ sai. Nhưng em còn rất lơ mơ về kỹ thuật NAT. Anh em có thể hướng dẫn em về kỹ thuật NAT hay post cấu hình mẫu cũng được.

Chổ em được ISP cấp cho một range IP 210.245.30.112/28.
- Em cần Static map: 10.10.10.1 -> 210.245.30.113
10.10.10.125 -> 210.245.30.125
10.10.10.126 -> 210.245.30.126
- Còn lại 10.10.10.2 - 10.10.10.254 dùng pool 210.245.30.114 - 210.245.30.124

Xin các bậc tiền bối giúp em.

Bạn thử cấu hình này xem sao !

access-list 1 description inside pool
access-list 1 deny host 10.10.10.125
access-list 1 deny host 10.10.10.126
access-list 1 deny host 10.10.10.1
access-list 1 permit 10.10.10.0 0.0.0.255
ip nat pool NET 210.245.30.114 210.245.30.124 netmask 255.255.255.240
ip nat inside source list 1 pool NET
ip nat inside source static 10.10.10.1 210.245.30.113
ip nat inside source static 10.10.10.125 210.245.30.125
ip nat inside source static 10.10.10.126 210.245.30.126

Chào,

Cảm ơn các anh, nó chạy ngon lành rồi.

Anh phùng hải giải thích giúp phần access-list 1 với
access-list 1 description inside pool
access-list 1 deny host 10.10.10.125
access-list 1 deny host 10.10.10.126
access-list 1 deny host 10.10.10.1
access-list 1 permit 10.10.10.0 0.0.0.255

cám ơn anh nhiều

Hi,

Mạn phép Anh Phùng Hải, xin trả lời câu hởi của abc:

ip nat inside source list 1 pool NET
List 1 trong command trên refers to access-list 1 mà bạn abc hỏi.
Anh Hải dùng access-list 1 to exclude out static NATed addresses
(10.10.10.125, 10.10.10.126, and 10.10.10.1) of the pool named NET. Lý do Anh Hải làm thế, vì pool NET is for dynamical NATing. Nếu không làm như vậy, bạn sẽ bị "Overlap NAT Addressing".

To Mr. Phùng,
Your solution is beautiful!

Regards,