• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Hỏi cách cấu hình ASA 5510 truy cập Internet

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Hỏi cách cấu hình ASA 5510 truy cập Internet

    Hiện tại em đang có mô hình mạng sau:

    LAN --> ASA 5510 --> Load Balancing --> Internet
    10.0.0.0/24 e1: 10.0.0.1,e0: 192.168.1.1 192.168.1.2

    Cấu hình hiện tại trên ASA:

    ASA Version 7.2(4)
    !
    hostname asa
    domain-name
    enable password tnlAVbMupP5foFMn encrypted
    passwd 2KFQnbNIdI.2KYOU encrypted
    names
    name 192.168.1.0 Internet
    name 10.0.0.0 LAN
    name 192.168.10.0 Management
    !
    interface Ethernet0/0
    nameif Internet
    security-level 0
    ip address 192.168.1.1 255.255.255.0
    !
    interface Ethernet0/1
    nameif LAN
    security-level 50
    ip address 10.0.0.1 255.255.255.0
    !
    interface Ethernet0/2
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Management0/0
    nameif management
    security-level 100
    ip address 192.168.10.1 255.255.255.0
    !
    ftp mode passive
    dns server-group DefaultDNS
    domain-name
    pager lines 24
    logging enable
    logging asdm informational
    logging ftp-bufferwrap
    logging ftp-server 192.168.10.2 ftp://192.168.10.2/log asalog ****
    mtu Internet 1500
    mtu LAN 1500
    mtu management 1500
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-524.bin
    no asdm history enable
    arp timeout 14400
    static (LAN,Internet) Internet LAN netmask 255.255.255.0
    route Internet 0.0.0.0 0.0.0.0 192.168.1.2 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    http server enable
    http Management 255.255.255.0 management
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect netbios
    inspect rsh
    inspect rtsp
    inspect skinny
    inspect esmtp
    inspect sqlnet
    inspect sunrpc
    inspect tftp
    inspect sip
    inspect xdmcp
    !
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:e75f3d00ef0c5bed9e750173e8b2b18a


    Xin mọi người chỉ giúp cách cấu hình để PC trong LAN có thể truy cập Internet. Hiện tại đứng từ ASA đều Ping được LAN và Load Balancing. Nhưng từ LAN không ping được địa chỉ Load Balancing, đã chỉ default gateway của PC về ASA (10.0.0.1)

    Cám ơn mọi người

  • #2
    bạn sửa lại cấu hình nat. Dùng câu lệnh global và câu lệnh nat (inside).
    Attached Files
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment


    • #3
      Mô hình mạng của bạn giống hệt của tôi nên tôi share cho bạn một số lệnh cấu hình ASA quan trọng hy vọng có thể giúp được bạn.
      Code:
      ciscoasa# show run
      !
      interface Ethernet0/0
       nameif outside
       security-level 0
       ip address 192.168.200.2 255.255.255.0
      !
      interface Ethernet0/1
       nameif inside
       security-level 100
       ip address 192.168.1.1 255.255.255.0
      !
      interface Ethernet0/2
       shutdown
       no nameif
       no security-level
       no ip address
      !
      interface Ethernet0/3
       shutdown
       no nameif
       no security-level
       no ip address
      !
      interface Management0/0
       shutdown
       nameif management
       security-level 100
       ip address 192.168.100.1 255.255.255.0
       management-only
      !
      Code:
      global (outside) 1 interface
      nat (inside) 1 0.0.0.0 0.0.0.0
      route outside 0.0.0.0 0.0.0.0 192.168.200.1 1
      CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
      64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
      www.ennolite.com.vn

      Comment


      • #4
        bạn bổ sung thêm cái ACL cho phép ping ở outside,chứ ko cấu hình rồi mà ko ping test đc!
        ACL 100 permit icmp any any echo-reply
        Access-group 100 in interface outside

        Thanks,
        Hugo

        Comment


        • #5
          Mặc định Cisco ASA chặn ICMP, muốn ping được ra ngoài cần phải thêm 2 dòng lệnh sau
          Code:
          access-list 100 extended permit icmp any any echo-reply 
          access-group 100 in interface outside
          Tham khảo: http://tinyurl.com/2q4np
          Last edited by convoi; 01-01-2010, 10:02 PM.
          CÔNG TY CỔ PHẦN THẾ GIỚI NĂNG LƯỢNG MỚI
          64 Huỳnh Khương An, phường 3, Tp. Vũng Tàu
          www.ennolite.com.vn

          Comment

          Working...
          X