[VN networking] DCM anh em học thụ động VL

[Đoàn Quang Hòa]

Mọi người cố gắng hoàn thành 3 LAB này, Đức chỉ cần làm 2 LAB (bỏ qua lab EIGRP)

Mọi người làm, suy nghĩ phương pháp cấu hình rồi hãy bắt tay vào làm. Cuối tuần sẽ chỉ cần 1 người LAB, nhưng tớ sẽ hỏi từng lệnh một trong cái LAB đó với từng người
Mong là mọi người chủ động trong 2 từ " nghiên cứu ". Học vì mình cơ mà. Sao lại thụ động thế nhỉ. Nếu cứ NP,SP,DP hay MCSA,SE hay gì gì , mà mấy cái cơ bản, thực tế không làm được thì mọi người nghĩ học để làm gì ???????????

THỤ ĐỘNG TRONG NGHIÊN CỨU QUÁ --------- DCM CHÚNG MÀY, thiện tai thiện tai............

--
Doan Quang Hoa
Cisco : NP, SP
Mobile : 09.444.3456.3
HPT VietNam Corp - HSI : System Integration Engineer
Tel : (04) 35738088  Ext : 4310
E-mail : ho...@hpt.vn
---------------------------------------------------
VNE - VnExperts Academy : Cisco Instructor (over 18h pm)
Tel : (04) 37623389

[ledungutehy 2010]

anh em thử xem mấy cái link này có giúp j được ko nhé. :D
http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/pppoe.html
http://www.cisco.com/en/US/docs/security/asa/asa70/quick/guide/70_ASAqk.html#wp33351
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008088517b.shtml
...............
Gửi riêng thằng Hoadq, mày không nên nói anh em như thế.
DKM mày chứ.
anh em sẽ cố gắng :))

2010/5/18 Đoàn Quang Hòa <hoad...@gmail.com>

--
Best Regard !
Nguyen Van Duc (Mr.)/ IT System
TIG Coporation JSC.
Add: 1907, 19th fl, 101 Lang Ha - Dong Da - Ha Noi.
Tel:  04 3562 6134  ext: 106
Mobile: (84) 98 697-5257
Email: du...@tig.vn
Website: http://www.tig.vn

[Đoàn Quang Hòa]

Mong là sẽ không phải nói lại lần nữa :( :( :(

3 Link thằng Duc gửi nhằm mục đích nghiên cứu, vì không áp dụng trong 3 LAB này. (có thời gian có thể tìm hiểu thêm, PPPoE(link 1) chỉ áp dụng đối với các router ngày trước (8XX,18XX...) vì loại này sẽ làm router thành modem và cắm line điện thoại vào, hiện nay hầu như không dùng nữa.)
3 Lab này chỉ nhỏ thôi, nhưng rất thực tế, hi vọng mọi người làm được và hiểu nó.

2010/5/19 ledungutehy 2010 <ledungu...@gmail.com>

[Nguyen Van Hoa]

Thêm một chút thông tin của bạn Hoadq đợt đi thực tập vừa qua tại VNPT thấy vẫn còn khá nhiều dòng 8xx, và nó vẫn được bọn trên tổng cấp về các huyện (tớ biết một chút về mấy huyện được đi), thấy bọn này cấu hình cả cổng ATM với mục đích gọi là cấu hình ADSL :D nhìn thì cũng đơn giản lắm, và vẫn cắm line điện thoại như bạn Hòadq bảo, bọn viễn thông vẫn dùng !

2010/5/19 Đoàn Quang Hòa <hoad...@gmail.com>

--
          Hỏi thế gian tình là chi ?
  Mà đôi lứa thề nguyền sống chết

[Đoàn Quang Hòa]

UH, ngoài ra cũng còn được dùng cho các ngân hàng trong việc nối từ chi nhánh ra các case ATM, nhưng tiến tới sẽ được thay thế bằng mega-wan hoặc kéo thẳng cable quang, vì xu thể không muốn phụ thuộc vào nhà cung cấp (VNPT, Viettel, FPT...)

Các anh em nên học các tech mới, tiếp cận những cái mà đang thịnh hành, sắp tới sẽ dùng, như vậy sẽ tạo lợi thế khi phỏng vấn và làm việc.

2010/5/19 Nguyen Van Hoa <vanho...@gmail.com>

[ledungutehy 2010]

Tớ làm thử rồi hôm trc test mãi mà nó ko ra đc ngoài.
Hôm nay mát trời tự nhiên làm cái được ngay.
Step by step.
Để có thể cho ASA ra ngoài Internet chỉ cần cấu hình.
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.1.125 255.255.255.0
dns domain-lookup outside
dns server-group DefaultDNS
 name-server 192.168.1.1
 name-server 208.67.222.222
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
Còn thêm cái máy pc nữa thì chúng ta thêm cấu hình này là ok PC ra ngoài Internet
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0
access-list toInternet extended permit tcp host 172.16.1.15 any eq www (Permit duy nhất IP 172.16.1.15 bên trong ra ngoài http )
nat (inside) 1 172.16.1.0 255.255.255.0 (NAT dải bên trong sử dụng id là 1)
global (outside) 1 192.168.1.241 (kết hợp với câu lệnh nat trên để inside ra ngoài với địa chỉ inside global .241 và hiểu đc cái .1 là ra Internet Ok)
Thế thôi. ko biết đúng không anh em góp ý giải thích thêm nhé.
Thanks

2010/5/20 Đoàn Quang Hòa <hoad...@gmail.com>

[Đoàn Quang Hòa]

Chưa áp file config của DucNV vào để test nhưng nhìn qua thấy không chạy được. Có 2 lý do chính.
Về config nat và global khai báo thế kia là chuẩn. Nhưng chính sách sử dụng qua ACLs không đúng và chưa gán ACLs đó vào interface nào???

access-list toInternet extended permit tcp host 172.16.1.15 any eq www (Permit duy nhất IP 172.16.1.15 bên trong ra ngoài http )

>>> Câu này nhìn qua thấy rất đúng, nhưng trong ASA sẽ là không đúng. vì 172.16.1.15 thuộc mạng inside, mặc định là ra được outside rồi, không cần câu này, câu mà nó cần là câu ACLs khác.

KhaiNV chưa tìm hiểu, nhưng HoaNV tìm hiểu rồi, vào giải thích tiếp, tại sao nó không được.

p/s: cấu hình như trên đảm bảo máy 172.16.1.15 không ra các site dantri.com, google.com..... được.

[ledungutehy 2010]

Ah. Công nhận là mình chưa apply cái ACLs vào interface
Nhưng test trong pc vẫn ra ngoài internet đc. vẫn vô đc google.com.vn cũng như dantri.com.vn ........... tất tần tật

access-list toInternet extended permit tcp host 172.16.1.15 any eq www (Permit duy nhất IP 172.16.1.15 bên trong ra ngoài http )

còn câu lệnh trên nếu như đổi ip thành 172.16.1.16 sẽ không ra ngoài Internet được vì tớ cấu hình đó là chỉ cho cái .15 ra ngoài thôi mà.
Đã test thử rồi.
còn cái câu lệnh ACLs khác như hoadq nói thì ko biết là cái j

2010/5/21 Đoàn Quang Hòa <hoad...@gmail.com>

[ledungutehy 2010]

Ah, sorry hoadq nhé. Máy apply hơi chậm nên tưởng là ko ra đc.
Đúng là mình đổi thành 172.16.1.xx đều ra ngoài đc.
Nhưng có điều là. Tớ ko apply access-list vào interface outside  thì vẫn ra ngoài bt. :P

2010/5/21 ledungutehy 2010 <ledungu...@gmail.com>

[Đoàn Quang Hòa]

Chính vì thế nên vì một lý do nào đó mà cái XP mà bạn DucNV test, kiểu gì cũng ra được ngoài, chẳng cần cái ACLs hay áp vào đâu cả :)) :)) :))

Nếu LAB đúng yêu cầu cho LAN ra ngoài internet (inside ra ngoài outside) thì với ACLs kia(kể cả đã apply vào interface) sẽ không ra được ngoài.
Cần hiểu được là mục đích tạo ACLs.


Phân tích thử nghe nhé

access-list toInternet extended permit tcp host 172.16.1.15 any eq www (Permit duy nhất IP 172.16.1.15 bên trong ra ngoài http )

Nếu với câu này(ko quan tâm đến asa) thì host 172.16.1.15 được ra ngoài tất cả các web ===> OK, chuẩn.

Nhưng tại sao lại cần câu này??? vì thực ra sau khi NAT thì nó sẽ ra được ngoài còn gì (inside với sec-level 100 luôn ra được outside với sec-level 0, vậy việc tạo cái ACLs này vô nghĩa)


Hiểu hiểu rồi đấy, cố gắng phân tích tiếp nhé.

[ledungutehy 2010]

Tớ hiểu mơ hồ thế này ko biết có đúng ko?
outbound access thì mặc định là đc permit rồi vì như Hoadq nói security 100 --> 0
inbound access thì mặc định là denied vì security ko cho chiều ngược lại từ 0 -->100
cái ACLs phải chăng là để cấu hình khi truy cập DMZ ah? :D
anh em giải thích rõ chút nhé.
Thanks

2010/5/21 Đoàn Quang Hòa <hoad...@gmail.com>

Chính vì thế nên vì một lý do nào đó mà cái XP mà bạn DucNV test, kiểu gì cũng ra được ngoài, chẳng cần cái ACLs hay áp vào đâu cả :)) :)) :))

[Đoàn Quang Hòa]

Bài này chưa có DMZ mà??? hiện tại hãy chỉ nói đến inside và outside cho đơn giản

[Nguyen Van Hoa]

:D hi giờ mới đọc thông tin bạn Đứcnv đưa ra !

bổ sung chút thông tin: đã có trong slide

"sec high -----được phép---->sec low"
"sec low------không được phép---->sec high" để "được phép: phải dùng ACL or Static

sec outside default = 0
sec insdie default =100

Bạn Đức thử áp dụng xem sao nha !

2010/5/21 Đoàn Quang Hòa <hoad...@gmail.com>