Chào các bạn, cơ quan mình hiện đang sử dụng một con FW ASA 5520 có 4 Interface.

Trước đây, đã sử dụng 3 Interface nối các mạng sau :
- Interface 0 : nối với Router ADSL kết nối Internet (IP : 192.168.1.0/24), Security Level 0.
- Interface 1 : nối với với Switch Layer 3 Cisco 3560 (để chia VLAN cho mạng 10.10.10.0/24) kết với LAN, Security Level 100.
- Interface 2 : nối với con Speedtouch 610S kết nối Megawan (Công nghệ G.SHDSL) (IP : 10.10.11.0/24), Security Level 50.

Hệ thống hiện đang hoạt động ổn định ở 3 interface này.

Hiện nay do nhu cầu mở rộng mạng, đơn vị mình thuê thêm 1 đường Megawan nữa sử dụng con Speedtouch 610S (thuê của VNPT), sử dụng công nghệ G.SHDSL, cấu hình Bridge (do bên VNPT làm), IP của lớp mạng này là 10.10.12.0/24. Gắn PC (10.10.12.10/24 vào cái Speedtouch 610S này thì ping thấy đầu bên kia (10.10.12.1/24) => coi như bên VNPT đã thiết lập mạng xong.

Nhưng khi gắn cái Modem Speedtouch 610S này vào FW ASA 5520, cấu hình cái Interface 3 với IP 10.10.12.2/24, Security Level 80 và tạo các access-list thì trong mạng LAN 10.10.10.0/24 không thể Ping "thấy" đầu 10.10.12.1/24. (Trong khi đó gắn 1 cái Laptop vào 1 cổng của con Speedtouch 610S và set IP là 10.10.12.100/24 thì mạng 10.10.10.0/24 có thể Ping thấy Laptop này).

Vậy các sư huynh đệ cho mình biết lỗi chỗ con ASA 5520 hay con Speedtouch 610S.

(Con ASA 5520 của đơn vị mình đang chạy ở chế độ Routed mode)

Mong các sư huynh đệ chỉ giáo.

Sao không ai ra tay giúp mình giải quyết cái vấn đề này hết vậy?

chào bạn!!! access-list bạn tạo viet the nào ,áp dụng vo cổng vào ,in or out!!!!!

chào bạn!!! access-list bạn tạo viet the nào ,áp dụng vo cổng vào ,in or out!!!!!

Cám ơn bạn nguyenquocle đã quan tâm!

Đây là config con ASA của mình :


ciscoasa# sh run
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name abc.com.vn
enable password .hQOPCWCbWEjkXvF encrypted
names
!
interface GigabitEthernet0/0
duplex full
nameif LAN
security-level 100
ip address 10.10.10.1 255.255.255.240
! Con ASA nam tren 1 VLAN cua Switch Layer 3 3560 (IP cua Port tren Switch noi voi ASA la 10.10.10.2/27)
!
interface GigabitEthernet0/1
nameif INTERNET
security-level 0
ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet0/2
nameif Megawan1
security-level 50
ip address 10.10.11.2 255.255.255.0
!
interface GigabitEthernet0/3
nameif Megawan2
security-level 60
ip address 10.10.12.2 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 10.0.0.1 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system disk0:/asa722-k8.bin
boot config disk0:/flash
no ftp mode passive
clock timezone ICT 7
dns domain-lookup LAN
dns domain-lookup INTERNET
dns server-group DefaultDNS
domain-name abc.com.vn
object-group icmp-type TestPing
description Test Ping
icmp-object echo
icmp-object echo-reply
access-list INTERNET_access_out extended permit tcp any any eq www
access-list INTERNET_access_out extended permit tcp any any eq https
access-list INTERNET_access_out extended permit tcp any any eq pop3
access-list INTERNET_access_out extended permit tcp any any eq smtp
access-list INTERNET_access_out extended permit tcp any any eq rtsp
access-list INTERNET_access_out extended permit tcp any any eq pptp
access-list INTERNET_access_out extended permit gre any any
access-list INTERNET_access_out extended permit tcp any any eq 8080
access-list Megawan1_access_out extended permit tcp any any eq domain
access-list Megawan1_access_out extended permit udp any any eq domain
access-list Megawan1_access_out extended permit tcp any any eq www
access-list Megawan1_access_out extended permit tcp any any eq https
access-list Megawan1_access_out extended permit tcp any any eq imap4
access-list Megawan1_access_out extended permit tcp any any eq ldap
access-list Megawan1_access_out extended permit tcp any any eq pop3
access-list Megawan1_access_out extended permit tcp any any eq smtp
access-list Megawan1_access_out extended permit tcp any any eq lotusnotes
access-list Megawan1_access_out extended permit icmp any any object-group TestPing
access-list Megawan1_access_in extended permit tcp any any eq domain
access-list Megawan1_access_in extended permit udp any any eq domain
access-list Megawan1_access_in extended permit tcp any any eq www
access-list Megawan1_access_in extended permit tcp any any eq ldap
access-list Megawan1_access_in extended permit tcp any any eq imap4
access-list Megawan1_access_in extended permit tcp any any eq lotusnotes
access-list Megawan1_access_in extended permit icmp any any object-group TestPing
access-list Megawan2_access_in extended permit ip any any
access-list Megawan2_access_in extended permit tcp any any
access-list Megawan2_access_in extended permit udp any any
access-list Megawan2_access_in extended permit icmp any any object-group TestPing
access-list Megawan2_access_out extended permit ip any any
access-list Megawan2_access_out extended permit tcp any any
access-list Megawan2_access_out extended permit udp any any
access-list Megawan2_access_out extended permit icmp any any object-group TestPing
access-list LAN_nat0_outbound extended permit ip any 10.10.10.0 255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu LAN 1500
mtu INTERNET 1500
mtu Megawan1 1500
mtu Megawan2 1500
mtu management 1500
ip verify reverse-path interface INTERNET
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (LAN) 1 interface
global (INTERNET) 1 interface
nat (LAN) 0 access-list LAN_nat0_outbound
nat (LAN) 1 10.10.10.0 255.255.255.0
static (LAN,Megawan1) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
static (LAN,Megawan2) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
access-group INTERNET_access_in in interface INTERNET
access-group INTERNET_access_out out interface INTERNET
access-group Megawan1_access_in in interface Megawan1
access-group Megawan1_access_out out interface Megawan1
access-group Megawan2_access_in in interface Megawan2
access-group Megawan2_access_out out interface Megawan2
route LAN 10.10.10.0 255.255.255.0 10.10.10.2 1
route INTERNET 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.10.10.0 255.255.255.0 LAN
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sysopt noproxyarp LAN
sysopt noproxyarp INTERNET
sysopt noproxyarp Megawan1
sysopt noproxyarp Megawan2
sysopt noproxyarp management
telnet 10.10.10.0 255.255.255.0 LAN
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect pptp
inspect icmp
!
service-policy global_policy global
tftp-server LAN 10.10.10.10 \TFTPRoot
prompt hostname context
Cryptochecksum:bfa10a1c21f1c8fe080bd28a2ec5f675
: end
ciscoasa#

chào bạn!!!!
access-list LAN_nat0_outbound extended permit ip any 10.10.10.0 255.255.255.0
nat (LAN) 0 access-list LAN_nat0_outbound
nat (LAN) 1 10.10.10.0 255.255.255.0
global (LAN) 1 interface
mình ko bít ý dinh từng câu lệnh trên là ý bạn mún viết gì, hosts trên mạng 10.10.10.0/24 bản thân chúng có thể liên lạc dc với nhau r mình thấy bạn ko cần phải NAT đâu. Câu lệnh "nat (LAN) 0 access-list LAN_nat0_outbound” ko sử dụng được,nếu mún sử dụng bạn nên viết lại access-list LAN_nat0_outbound.
Nhìn cấu hình thì chắc bạn viết lộn interface 3 của bạn security-level là 60 ko phải 80 như bạn nói và interface 0 có network subnetmask là 28 ko phải 27.

chào bạn!!!!
access-list LAN_nat0_outbound extended permit ip any 10.10.10.0 255.255.255.0
nat (LAN) 0 access-list LAN_nat0_outbound
nat (LAN) 1 10.10.10.0 255.255.255.0
global (LAN) 1 interface
mình ko bít ý dinh từng câu lệnh trên là ý bạn mún viết gì, hosts trên mạng 10.10.10.0/24 bản thân chúng có thể liên lạc dc với nhau r mình thấy bạn ko cần phải NAT đâu. Câu lệnh "nat (LAN) 0 access-list LAN_nat0_outbound” ko sử dụng được,nếu mún sử dụng bạn nên viết lại access-list LAN_nat0_outbound.
Nhìn cấu hình thì chắc bạn viết lộn interface 3 của bạn security-level là 60 ko phải 80 như bạn nói và interface 0 có network subnetmask là 28 ko phải 27.

Cám ơn bạn nguyenquocle đã đóng góp ý kiến.

Mạng 10.10.10.10.0 thật ra mình đã subnet ra nhiều VLAN, Quản lý các VLAN bên trong mạng 10.10.10.0 là do con Switch Layer 3 3560 đảm trách, bản thân cái ASA này nó nằm trong 1 VLAN của mạng (có IP netword là 10.10.10.0/28) (ở trên mình lộn là /27!). Nếu không có dòng NAT thì toàn bộ các VLAN còn lại không thể nào đi Internet được (Trừ VLAN 10.10.10.0/28) -> Cái này mình đã kiểm chứng.

Với config hiện tại, mạng mình hiện nay đang sử dụng tốt việc kết nối từ LAN (10.10.10.0/24) đi Internet, và từ LAN <-> Megawan1. Duy nhất là không ra được mạng LAN<-> Megawan2. (Nếu mình tạo 1 cái mạng dùng dãy IP của mạng Megawan 2 (Đặt tên là Temp chẳng hạn) và kết nối qua Interface 0/3 (Megawan2) thì truy cập từ LAN <-> Temp là rất tốt, còn gắn cái Modem G. SHDSL của Megawan2 vô là không thể kết nối với đầu bên kia (dù là cùng lớp mạng).

Mình nghĩ hay là đầu bên kia chưa tạo cái route mạng 10.10.10.0 về đầu Interface 0/3 ? (Mở Log lên để quan sát lệnh Ping từ mạng 10.10.10.0 ra đầu 10.10.12.1 (đầu bên kia của Mạng Megawan 2) thì chỉ thấy nó gởi các gói ICMP đi mà không trở lại! (Có thể nó không biết đường để đi về!)

uh,nếu ko thể gán default route or static trên đầu bên kia thì bạn chịu khó sử dụng NAT or PAT ngay trên cổng megawan2 là được r!!!!!

Cấu hình con firewall trên là OK, lỗi không đi được qua mạng Wan2 là do đầu kia của đường Megawan chưa tạo cái route mạng 10.10.10.0/24 về gateway 10.10.12.2 (IP của Interface GigabitEthernet0/3). Mình đã yêu cầu bên VNPT tạo câu lệnh route này và mạng đã hoạt động tốt!

congratulation!!!