Cơ chế NAT - PAT, tìm hiểu, cấu hình (phần 2). Bài viết này mình viết tiếp theo về phần Tìm hiểu, cấu hình, cơ chế NAT - PAT
4.2. Chuyển đổi độngĐể Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau:
Bước | Thực hiện | Ghi chú |
1 | Xác định dải địa chỉ đại diện bên ngoài Rourter (config) # ip nat pool name start-ip end-ip [netmask netmask /prefix-length prefix-length] | Trong chế độ cấu hình toàn cục, gõ lệnh no ip nat pool name để xóa dải địa chỉ đại diên bên ngoài. |
2 | Thiết lập ACL cơ bản cho phép những địa chỉ nội bộ bên trong nào được chuyển đổi. Router (config) # access-list access-list- number permit source [source-wildcard] | Trong chế độ cấu hình toàn cục, gõ lệnh no access-list access-list- number để xóa ACL đó. |
3 | Thiết lập mối liên quan giữa địa chỉ nguồn đã được xác định trong ACL ở bước trên với dải địa chỉ đại diện bên ngoài: Router (config) # ip nat inside source list access-list-number pool name | Trong chế độ cấu hình toàn cục, gõ lênh no ip nat inside source để xóa sự chuyển đổi động này |
4 | Xác định cổng kết nối vào mạng nội bộ Router (config) # interface type number | Sau khi gõ xong lệnh interface, dấu nhắc của dòng lệnh sẽ chuyển đổi từ config sang (config-if)# |
5 | Đánh dấu cổng này là cổng kết nối vào mạng nội bộ. Router (config-if) # ip nat inside | |
6 | Thóat khỏi chế độ cổng hiện tại. Router (config) # exit | |
7 | Xác định cổng kết nối ra bên ngoài. Router (config) # interface type number | |
8 | Đánh dấu cổng này là cổng kết nối ra bên ngoài. Router (config) # ip nat outside |
Danh sách điều khiển truy cập (ACL – Access Control List) cho phép khai báo những địa chỉ nào được chuyển đổi. Bạn nên nhớ là kết thúc một ACL luôn có câu lệnh ẩn cấm tuyệt đối để tránh những kết quả không dự tính được khi một ACL có quá nhiều điều kiện cho phép. Cisco khuyến cáo là không nên dùng điều kiện cho phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn quá nhiều tài nguyên của Router và do đó có thể gây ra sự cố mạng.
Hình 8 |
Xét ví dụ hình 1.1.4.c: Dải địa chỉ công cộng đại diện ben ngoài có tên là nat-pool1, bao gồm các địa chỉ từ 179.9.8.80 đến 179.9.95. Địa chỉ nội bộ bên trong được phép chuyển đổi được định nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255.
Như vậy, gói dữ liệu nào trong mạng nội bộ đi ra ngoài Internet có địa chỉ nguồn
nằm trong dải địa chỉ 10.1.0.0 – 10.1.0.255 sẽ được chuyển đổi địa chỉ nguồn sang một trong bất kỳ địa chỉ nào còn trống trong dải địa chỉ công cộng 179.9.8.80 - 179.9.8.95. Host 10.1.1.2 sẽ không được chuyển đổi địa chỉ vì địa chỉ của nó không được cho phép trong acces-list 1, do đó nó không truy cập được Internet.
Overloading hay PAT
Overloading được cấu hình theo hai cách tùy theo địa chỉ IP công cộng được cấp phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng chung một địa chỉ IP công cộng duy nhất, đia jchỉ IP công cộng này chính là địa chỉ của cổng giao tiểp trên Router nối về ISP. Sau đây là ví dụ cấu hình cho tình huống này:
Router (config) # access-list 1 permit 10.0.0.0 0.0.255.255
Router (config) ip nat inside source list 1 interface serial0/0 overload
Bước | Thực hiện | Ghi chú |
1 | Tạo ACL để cho phép những địa chỉ nội bộ nào được chuyển đổi. Router(config) # access-list acl-number permit source [source-wildcard] | Trong chế độ cấu hình toàn cục, gõ lệnh no access-list access-list- number để xóa access-list tương ứng. |
2A | Thiết lập mối liên quan giữa địa chỉ nguồn đã được xác định trong access-list ở bước trên với địa chỉ đại diện là địa chỉ của cổng kết nối với bên ngoài. Router (config) # ip nat inside source list acl- number interface interface overload | Trong chế độ cấu hình toàn cục, gõ lệnh no ip nat inside source để xóa sự chuyển đổi động này. Từ khóa overload để cho phép chạy PAT |
Hoặc 2B | Khai báo dải địa chỉ đại diện bên ngoài dùng overload. Router (config) ip nat pool name start-ip end- ip [netmask netmask / prefix-length prefix- length] Thiết lập chuyển đổi overload giữa địa chỉ nội bộ đã được xác định trong ACL ở bước 1 với dải địa chỉ đại diện bên ngoài mới khai báo ở trên. Router (config) # ip nat inside source list acl- number pool name overload | |
3 | Xác định cổng kết nối với mạng nội bộ. Router (config) # interface type number Router (config-if) # ip nat inside | Sau khi gõ lệnh interface, dấu nhắc của dòng lệnh sẽ được đổi từ (config)# sang (config-if)# |
4 | Xác định cổng kết nối với bên ngoài. Router (config) # interface type number Router (config-if) # ip nat outside. |
Một cách khác để cấu hình Overload là khi ISP cung cấp một hoặc nhiều địa chỉ IP công cộng để cho hệ thống mạng khách hàng sử dụng làm dải địa chỉ chuyển đổi PAT. Cấu hình ví dụ cho tình huống này như sau:
• Xác định địa chỉ nội bộ được phép chuyển đổi là 10.0.0.0/16:
Router (config) # access-list 1 permit 10.0.0.0.0.0.255.255
• Khai báo dải địa chỉ đại diện bên ngoài với tên là nat-pool2, bao gồm các địa
chỉ trong subnet 179.9.8.20/28:
Router (config) # ip nat pool nat-pool2 179.9.8.20 netmask 255.255.255.240
• Thiết lập sự chuyển đổi Overload địa chỉ nội bộ được xác định trong access-list 1 với dải địa chỉ đại diện nat pool2:
Router (config) # ip nat inside source list 1 pool nat-pool2 overload
Hình 9 |
Xét ví dụ hình 1.1.4.d: địa chỉ nội bộ bên trong được phép chuyển đổi được xác định trong access-list 1 là 192.168.2.0/24 và 192.168.3.0/24. Địa chỉ đại diện bên ngoài là địa chỉ của cổng serial 0, cổng kết nối ra Internet. Như vậy phải toàn bộ địa chỉ bên trong được chuyển đổi PAT với một địa chỉ IP đại diện duy nhất là địa chỉ của cổng kết nối ra Internet, cổng serial 0.
5. Kiểm tra cấu hình PAT
Sau khi NAT đã được cấu hình, chúng ta có thể dùng lệnh clear và show để kiểm tra hoạt động của NAT.
Mặc định, trong bảng chuyển đổi NAT động, mỗi một cặp chuyển đổi địa chỉ sẽ bị xóa đi sau một khoảng thời gian không sử dụng. Với chuyển đổi không sử dụng chỉ số Port thì khoảng thời gian mặc định là 24 giờ. Chúng ta có thể thay đổi khoảng thời gian này bằng lệnh ip nat translation timeout timeout_seconds trong chế độ cấu hình toàn cục.
Các thông tin về sự chuyển đổi có thể được hiển thị bằng các lệnh sau:
Lệnh | Giải Thích |
Clear ip nat translation * | Xóa mọi cặp chuyển đổi địa chỉ động trong bảng NAT. |
Clear ip nat translation inside global- ip local-ip [outside local-ip global-ip] | Xóa một cặp chuyển đổi địa chỉ động bên trong hoặc cả bên trong và bên ngoài tương ứng với địa chỉ cụ thể được khai báo trong câu lệnh. |
Clear ip nat translation protocol inside global-ip global-port local-ip local-port [outside local-ip local-port global-ip global-port] | Xóa một cặp chuyển đổi địa chỉ động mở rộng. |
Show ip nat translations | Hiển thị bảng NAT đang hoạt động. |
Show ip nat statistics | Hiển thị trạng thái hoạt động của NAT. |
Router#show ip nat translations
Pro inside global Inside local Outside local Outside global
172.16.131.1 10.10.10.1 ------ ------
Hình 10 |
Chúng ta có thể dùng lệnh show run để kiểm tra lại các giá trị cần khai báo trong các câu lệnh cấu hình NAT, access-list, interface.
-----------------------------------------
Phần đặc điểm + những vấn đề hạn chế của NAT mình sẽ gửi tới các bạn sau.
!
theo tài liệu CCNA.
0 nhận xét:
Post a Comment