Author Topic: Cisco ASA inside to dmz  (Read 12913 times)

0 Members และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

alpacino

  • Layer 1
  • *
  • Posts: 1
  • จิตพิสัย +0/-0
Cisco ASA inside to dmz
« on: 19 ตุลาคม , 2013, 07:49:30 pm »


จาก network ดังรูปครับ ใช้ Cisco ASA5510 Version 8.3

ถ้าจะให้ network  192.168.5.5 -7 จะไป 10.50.1.20 โดยผ่านไปทาง interface dmz ครับ ต้องทำ NAT หรือเปล่า ผมทำ static route ดังนี้ไว้แล้วครับ และต้องเพิ่ม access list จาก inside ไป dmz ยังงัยครับ

route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
route dmz 10.50.1.20 255.255.255.255 10.1.10.2 1

แล้วก็ทำ static NAT map กับ ip private ดังนี้ไว้แล้ว

192.168.5.5 NAT TO 2.2.2.2
192.168.5.6 NAT TO 3.3.3.3
192.168.5.7 NAT TO 4.4.4.4

ขอบคุณล่วงหน้าเลยครับ
« Last Edit: 20 ตุลาคม , 2013, 09:14:16 am by alpacino »

ReFeeL

  • Head Master
  • Layer 4
  • *
  • Posts: 484
  • จิตพิสัย +9/-0
    • Email
Re: Cisco ASA inside to dmz
« Reply #1 on: 21 ตุลาคม , 2013, 07:25:54 am »
จาก Inside ไป DMZ ไม่ต้อง NAT ทำเป็น NAT Exempt แล้ว Router ตัว DMZ ทำ Route กลับมาด้วยครับ

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
Re: Cisco ASA inside to dmz
« Reply #2 on: 21 ตุลาคม , 2013, 02:45:08 pm »
ปกติ แล้วเราจะไม่ทำ nat ถ้าไม่จำเป็นฮะ เพราะถ้าทำแล้วจะมีปัญหาตามมามากมายเช่น

1. resource limit
2. hard to tshoot
3. policy problem
4. alg problem

อย่าทำฮะ ถ้าไม่อยากปวดหัว ขนาดใน ipv6 ยังยกเลิก nat เลย แสดงว่า มันไม่มีประโยชน์ใดๆ ในการออกแบบ
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---