• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cấu hình ASA 5540

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cấu hình ASA 5540

    Em đang sử dụng ASA 5540 cho một mô hình mang của một công ty gồm 3 vùng DMZ, LAN, và Internet.
    Bình thường thì các vùng DMZ không thể ping được vào mạng Lan. Em muốn hỏi là làm thế nào để cấu hình cho vùng DMZ ping được vào mạng LAN . Em mặc định là các access-list permit icmp any any
    Mong mọi người giúp đỡ !

  • #2
    Mình có ý kiến như thế này.
    Bạn tham khảo các bước sau nhé !

    1, bạn tạo static mapping (dùng để ánh xạ địa chỉ trong vùng DMZ với vùng inside)
    2, Thiết lập access list (cho phép vùng DMZ truy cập vùng Inside)
    3, Gắn access-list vào interface kết nối với vùng DMZ

    Chúc bạn vui !

    Comment


    • #3
      Cám ơn bạn đã trả lời

      Mình thắc mắc là : + sử dụng static map thì có cần dùng một đỉa chỉ khác ngoải 2 địa chỉ thuộc 2 vùng trên không ?

      Comment


      • #4
        Originally posted by NgocNgao View Post
        Em đang sử dụng ASA 5540 cho một mô hình mang của một công ty gồm 3 vùng DMZ, LAN, và Internet.
        Bình thường thì các vùng DMZ không thể ping được vào mạng Lan. Em muốn hỏi là làm thế nào để cấu hình cho vùng DMZ ping được vào mạng LAN . Em mặc định là các access-list permit icmp any any
        Mong mọi người giúp đỡ !
        Chào bạn,

        Nếu muốn DMZ -> truy cập vào mạng nội bộ được thì làm 2 cái
        1. Dùng Identity NAT (NAT 0)
        2. Tạo ACL cho phép DMZ vào trong LAN trên interface DMZ.


        Tham khảo thêm
        http://vnpro.org/forum/showthread.ph...0-Identity-NAT

        Ví dụ về Identity
        Định nghĩa luồng dữ liệu không thực hiện NAT
        ASA(config)# access-list ACCESS_DMZ permit ip 192.168.1.0 255.255.255.0 host 192.168.2.2
        ASA(config)# nat (inside) 0 access-list ACCESS_DMZ
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment


      • #5
        Cám ơn anh phamminhtuan !

        Em đã thử nhưng vẫn không được anh ạ !
        Cấu hình nat em đã dùng :
        nat-control
        global (OUTSIDE) 1 interface
        global (DMZ) 1 interface
        nat (INSIDE) 1 0.0.0.0 0.0.0.0
        nat (DMZ) 0 access-list DMZ_LAN
        nat (DMZ) 1 192.168.1.192 255.255.255.240

        Cấu hình access-list :

        Vùng INSIDE :
        access-list INSIDE extended permit icmp any any
        access-list INSIDE extended permit ip any any

        Vùng DMZ :
        access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any eq domain
        access-list DMZ extended permit icmp any any
        access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any object-group DMZ_SERVICES
        access-list DMZ remark website ciren ban tin ra ngoai
        access-list DMZ extended deny ip any host ipcam
        access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any object-group DMZ_SERVICES1
        access-list DMZ extended permit ip host 192.168.1.207 172.16.0.0 255.255.0.0

        Comment


        • #6
          Đã thử đi thử lại mà vẫn không được !

          Comment


          • #7
            Giải pháp như anh phamminhtuan đưa ra, cấu hình cụ thể như sau:
            NAT 0:
            ASA(config)#access-list NAT0_DMZ_to_Inside permit ip 192.168.1.0 255.255.255.0 any
            ASA(config)#nat (DMZ) 0 access-list NAT0_DMZ_to_Inside

            ACL để vùng DMZ có thể ping đc vùng INSIDE:

            ASA(config)#access-list PING_DMZ_to_Inside permit icmp any any
            ASA(config)#access-group PING in interface DMZ
            Last edited by hoangtu_congngheIT; 01-06-2011, 08:44 PM.
            Nhiệt tình + Không biết >> Phá hoại

            Comment


            • #8
              Em đã làm theo ý kiển của mọi người nhu trên !
              Nhưng không hiểu tại sao vẫn không thể ping được từ vùng DMZ tới vùng LAN !
              Đây là cấu hình phần access-list :

              access-list INSIDE extended permit icmp any any
              access-list INSIDE extended permit ip any any
              access-list INSIDE extended permit icmp any any echo
              access-list INSIDE extended permit icmp any any echo-reply
              access-list INSIDE extended permit icmp any any time-exceeded
              access-list INSIDE extended permit icmp any any unreachable
              access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any eq domain
              access-list DMZ extended permit icmp any any
              access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any object-group DMZ_SERVICES
              access-list DMZ remark website ciren ban tin ra ngoai
              access-list DMZ extended deny ip any host ipcam
              access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any object-group DMZ_SERVICES1
              access-list DMZ extended permit icmp any any echo-reply
              access-list DMZ extended permit icmp any any time-exceeded
              access-list DMZ extended permit icmp any any unreachable
              access-list OUTSIDE extended permit tcp any object-group DMZ_NETWORK object-group DMZ_SERVICES
              access-list OUTSIDE extended permit udp any any
              access-list OUTSIDE extended permit icmp any any
              access-list OUTSIDE extended deny ip host ipcam any
              access-list OUTSIDE extended permit tcp any object-group DMZ_NETWORK_REAL object-group DMZ_SERVICES
              access-list OUTSIDE extended permit udp any host 202.151.164.115 eq snmp
              access-list OUTSIDE extended permit udp any host 202.151.164.115 eq snmptrap
              access-list DMZ_TO_INSIDE extended permit ip 192.168.1.0 255.255.255.0 any
              access-list PING_DMZ_TO_INSIDE extended permit icmp any any
              pager lines 24

              Đây là cấu hình NAT :
              nat-control
              global (OUTSIDE) 1 interface
              global (DMZ) 1 interface
              nat (INSIDE) 1 0.0.0.0 0.0.0.0
              nat (DMZ) 0 access-list DMZ_TO_INSIDE
              nat (DMZ) 1 192.168.1.192 255.255.255.240

              Địa chỉ DMZ : 192.168.1.0/24
              Địa chỉ vùng INSIDE : 172.16.0.0/16 chia ra làm 2 miền : GREEN : 172.16.4.0/23 và RED ( miền còn lại )

              Ngoài ra giữa con ASA và vùng máy local em còn sử dụng một firewall mềm Edian , mặc định em đã permit hết từ DMZ TO LAN và từ LAN TO DMZ

              Có khi nào tại IOS không ạ ?

              Comment


              • #9
                bạn thử route giữa 2 vùng lan và dmz đi

                Comment


                • #10
                  Cám ơn bạn !

                  Tớ đã route trước rồi nhưng vẫn không được bạn ạ :(

                  Comment


                  • #11
                    Originally posted by canhky View Post
                    bạn thử route giữa 2 vùng lan và dmz đi
                    giữa 2 vùng DMZ và LAN bạn không cần route. Hình như vùng Inside không connected vào 1 interface của ASA mà phải thông qua 1 dải IP khác đúng không, ví dụ INSIDE---ISA----ASA-----DMZ >> bạn up topo lên có j mình sẽ up file config cụ thể hộ bạn
                    Nhiệt tình + Không biết >> Phá hoại

                    Comment


                    • #12
                      Cám ơn bạn đã trả lời

                      TOPO cụ thể của em như sau :

                      INSIDE (172.16.4.X) ------- (172.16.4.17) ENDIAN FIREWALL ( 172.16.8.20) -------(172.16.8.1) ASA (192.168.1.1) ------(192.168.1.X) DMZ

                      Mong bạn giúp đỡ ^^ !
                      Last edited by NgocNgao; 04-06-2011, 07:31 AM.

                      Comment

                      • Working...
                        X