10/13/12

Cơ chế NAT - PAT, tìm hiểu, cấu hình (phần 2)

Cơ chế NAT - PAT, tìm hiểu, cấu hình (phần 2). Bài viết này mình viết tiếp theo về phần Tìm hiểu, cấu hình, cơ chế NAT - PAT
4.2. Chuyển đổi động
Để Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau:

Bước Thực hiện Ghi chú
1 Xác định dải địa chỉ đại diện bên ngoài

Rourter (config) # ip nat pool name start-ip

end-ip [netmask netmask /prefix-length
prefix-length]
Trong chế độ cấu hình

toàn cục, gõ lệnh no ip

nat pool name để xóa dải
địa chỉ đại diên bên ngoài.
2 Thiết lập ACL cơ bản cho phép những địa

chỉ nội bộ bên trong nào được chuyển đổi.

Router (config) # access-list access-list-
number permit source [source-wildcard]
Trong chế độ cấu hình

toàn cục, gõ lệnh no

access-list    access-list-
number để xóa ACL đó.
3 Thiết lập mối liên quan giữa địa chỉ nguồn

đã được xác định trong ACL ở bước trên với

dải địa chỉ đại diện bên ngoài:

Router (config) # ip nat inside source list
access-list-number pool name
Trong chế độ cấu hình

toàn cục, gõ lênh no ip

nat inside source để xóa
sự chuyển đổi động này
4 Xác định cổng kết nối vào mạng nội bộ
Router (config) # interface type number
Sau khi gõ xong lệnh
interface, dấu nhắc của

dòng lệnh sẽ chuyển đổi
từ config sang (config-if)#
5 Đánh dấu cổng này là cổng kết nối vào mạng

nội bộ.
Router (config-if) # ip nat inside
6 Thóat khỏi chế độ cổng hiện tại.
Router (config) # exit
7 Xác định cổng kết nối ra bên ngoài.
Router (config) # interface type number
8 Đánh dấu cổng này là cổng kết nối ra bên

ngoài.
Router (config) # ip nat outside
Danh sách điều khiển truy cập (ACL – Access Control List) cho phép khai báo những địa chỉ nào được chuyển đổi. Bạn nên nhớ là kết thúc một ACL luôn có câu lệnh ẩn cấm tuyệt đối để tránh những kết quả không dự tính được khi một ACL có quá nhiều điều kiện cho phép. Cisco khuyến cáo là không nên dùng điều kiện cho phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn quá nhiều tài nguyên của Router và do đó có thể gây ra sự cố mạng.
Hình 8
Xét ví dụ hình 1.1.4.c: Dải địa chỉ công cộng đại diện ben ngoài có tên là nat-pool1, bao gồm các địa chỉ từ 179.9.8.80 đến 179.9.95. Địa chỉ nội bộ bên trong được phép chuyển đổi được định nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255.
Như vậy, gói dữ liệu nào trong mạng nội bộ đi ra ngoài Internet có địa chỉ nguồn
nằm trong dải địa chỉ 10.1.0.0 – 10.1.0.255 sẽ được chuyển đổi địa chỉ nguồn sang một trong bất kỳ địa chỉ nào còn trống trong dải địa chỉ công cộng 179.9.8.80 - 179.9.8.95. Host 10.1.1.2 sẽ không được chuyển đổi địa chỉ vì địa chỉ của nó không được cho phép trong acces-list 1, do đó nó không truy cập được Internet.
Overloading hay PAT
Overloading được cấu hình theo hai cách tùy theo địa chỉ IP công cộng được cấp phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng chung một địa chỉ IP công cộng duy nhất, đia jchỉ IP công cộng này chính là địa chỉ của cổng giao tiểp trên Router nối về ISP. Sau đây là ví dụ cấu hình cho tình huống này:

Router (config) # access-list 1 permit 10.0.0.0 0.0.255.255
Router (config) ip nat inside source list 1 interface serial0/0 overload

Bước Thực hiện Ghi chú
1 Tạo ACL để cho phép những địa chỉ nội bộ

nào được chuyển đổi.

Router(config)  #  access-list  acl-number
permit source [source-wildcard]
Trong chế độ cấu hình

toàn cục, gõ lệnh no

access-list    access-list-

number để xóa access-list
tương ứng.
2A Thiết lập mối liên quan giữa địa chỉ nguồn đã

được xác định trong access-list ở bước trên với

địa chỉ đại diện là địa chỉ của cổng kết nối với

bên ngoài.

Router (config) # ip nat inside source list acl-
number interface interface overload
Trong chế độ cấu hình

toàn cục, gõ lệnh no ip

nat inside source để xóa

sự chuyển đổi động này.

Từ khóa overload để cho
phép chạy PAT
Hoặc
2B
Khai báo dải địa chỉ đại diện bên ngoài dùng

overload.

Router (config) ip nat pool name start-ip end-

ip

[netmask netmask / prefix-length prefix-

length]

Thiết lập chuyển đổi overload giữa địa chỉ nội

bộ đã được xác định trong ACL ở bước 1 với
dải địa chỉ đại diện bên ngoài mới khai báo ở trên.
Router (config) # ip nat inside source list acl- number pool name overload
3 Xác định cổng kết nối với mạng nội bộ.

Router (config) # interface type number
Router (config-if) # ip nat inside
Sau khi gõ lệnh interface,

dấu nhắc của dòng lệnh sẽ

được đổi từ (config)#
sang (config-if)#
4 Xác định cổng kết nối với bên ngoài.

Router (config) # interface type number
Router (config-if) # ip nat outside.
Một cách khác để cấu hình Overload là khi ISP cung cấp một hoặc nhiều địa chỉ IP công cộng để cho hệ thống mạng khách hàng sử dụng làm dải địa chỉ chuyển đổi PAT. Cấu hình ví dụ cho tình huống này như sau:
• Xác định địa chỉ nội bộ được phép chuyển đổi là 10.0.0.0/16:

Router (config) # access-list 1 permit 10.0.0.0.0.0.255.255

• Khai báo dải địa chỉ đại diện bên ngoài với tên là nat-pool2, bao gồm các địa
chỉ trong subnet 179.9.8.20/28:

Router (config) # ip nat pool nat-pool2 179.9.8.20 netmask 255.255.255.240

• Thiết lập sự chuyển đổi Overload địa chỉ nội bộ được xác định trong access-list 1 với dải địa chỉ đại diện nat pool2:

Router (config) # ip nat inside source list 1 pool nat-pool2 overload

Hình 9
Xét ví dụ hình 1.1.4.d: địa chỉ nội bộ bên trong được phép chuyển đổi được xác định trong access-list 1 là 192.168.2.0/24 và 192.168.3.0/24. Địa chỉ đại diện bên ngoài là địa chỉ của cổng serial 0, cổng kết nối ra Internet. Như vậy phải toàn bộ địa chỉ bên trong được chuyển đổi PAT với một địa chỉ IP đại diện duy nhất là địa chỉ của cổng kết nối ra Internet, cổng serial 0.
5. Kiểm tra cấu hình PAT
Sau khi NAT đã được cấu hình, chúng ta có thể dùng lệnh clear và show để kiểm tra hoạt động của NAT.

Mặc định, trong bảng chuyển đổi NAT động, mỗi một cặp chuyển đổi địa chỉ sẽ bị xóa đi sau một khoảng thời gian không sử dụng. Với chuyển đổi không sử dụng chỉ số Port thì khoảng thời gian mặc định là 24 giờ. Chúng ta có thể thay đổi khoảng thời gian này bằng lệnh ip nat translation timeout timeout_seconds trong chế độ cấu hình toàn cục.
Các thông tin về sự chuyển đổi có thể được hiển thị bằng các lệnh sau:
Lệnh Giải Thích
Clear ip nat translation * Xóa mọi cặp chuyển đổi địa chỉ động
trong bảng NAT.
Clear ip nat translation inside global-
ip local-ip [outside local-ip global-ip]
Xóa một cặp chuyển đổi địa chỉ động bên trong hoặc cả bên trong và bên ngoài tương ứng với địa chỉ cụ thể được khai báo trong câu lệnh.
Clear ip nat translation protocol inside

global-ip global-port local-ip local-port

[outside local-ip local-port global-ip
global-port]
Xóa một cặp chuyển đổi địa chỉ động
mở rộng.
Show ip nat translations Hiển thị bảng NAT đang hoạt động.
Show ip nat statistics Hiển thị trạng thái hoạt động của NAT.

Router#show ip nat translations
Pro inside global  Inside local   Outside local     Outside global
172.16.131.1       10.10.10.1       ------              ------

Hình 10
Chúng ta có thể dùng lệnh show run để kiểm tra lại các giá trị cần khai báo trong các câu lệnh cấu hình NAT, access-list, interface.
-----------------------------------------
Phần đặc điểm + những vấn đề hạn chế của NAT mình sẽ gửi tới các bạn sau.

!
theo tài liệu CCNA.

0 nhận xét:

Post a Comment