Sử dụng hiệu quả tài nguyên IP, các phương pháp chuyển đổi địa chỉ NAT
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (420.33 KB, 16 trang )
1
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP,c
IP,c
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
Sinh
Sinh
viên
viên
th
th
ự
ự
c
c
hi
hi
ệ
ệ
n
n
Lê
Lê
Văn
Văn
Huy
Huy
V
V
ũ
ũ
Huy
Huy
Cư
Cư
ờ
ờ
ng
ng
Đ
Đ
ỗ
ỗ
Xuân
Xuân
Huy
Huy
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
Hai
Hai
mươi
mươi
năm
năm
trư
trư
ớ
ớ
c
c
đây
đây
,IPv4
,IPv4
đưa
đưa
ra
ra
m
m
ộ
ộ
t
t
mô
mô
h
h
ì
ì
nh
nh
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
v
v
à
à
c
c
ũ
ũ
ng
ng
đ
đ
á
á
p
p
ứ
ứ
ng
ng
đư
đư
ợ
ợ
c
c
m
m
ộ
ộ
t
t
trong
trong
kho
kho
ả
ả
ng
ng
th
th
ờ
ờ
i
i
gian
gian
nhưng
nhưng
trong
trong
tương
tương
lai
lai
g
g
ầ
ầ
n
n
không
không
đ
đ
á
á
p
p
ứ
ứ
ng
ng
đ
đ
ủ
ủ
.Trong
.Trong
khi
khi
đ
đ
ó
ó
,IPv6
,IPv6
đư
đư
ợ
ợ
c
c
xem
xem
l
l
à
à
m
m
ộ
ộ
t
t
không
không
gian
gian
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
không
không
gi
gi
ớ
ớ
i
i
h
h
ạ
ạ
n
n
,
,
th
th
ì
ì
đư
đư
ợ
ợ
c
c
tri
tri
ể
ể
n
n
khai
khai
th
th
ử
ử
nghi
nghi
ệ
ệ
m
m
ch
ch
ậ
ậ
m
m
ch
ch
ạ
ạ
p
p
v
v
à
à
c
c
ó
ó
th
th
ể
ể
thay
thay
th
th
ế
ế
IPv4.Trong
IPv4.Trong
th
th
ờ
ờ
i
i
gian
gian
ch
ch
ờ
ờ
đ
đ
ợ
ợ
i
i
s
s
ự
ự
thay
thay
đ
đ
ổ
ổ
i
i
đ
đ
ó
ó
.VLSM
.VLSM
l
l
à
à
m
m
ộ
ộ
t
t
trong
trong
nh
nh
ữ
ữ
ng
ng
k
k
ỹ
ỹ
thu
thu
ậ
ậ
t
t
t
t
ậ
ậ
n
n
d
d
ụ
ụ
ng
ng
t
t
à
à
i
i
nguyên
nguyên
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
IP
IP
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
2
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Khái niệmVLSM
• Sự phí phạm không gian địachỉ
• Khi nào sử dụng VLSM
• Tổng hợp địachỉ vớiVLSM
• CấuhìnhVLSM
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Khái niệm VLSM(Variable-Length subnet mask)
• VớiVLSM,Ngườiquảntrị mạng có thể chia địachỉ mạng có
subnet mask dài cho mạng có ít host và địachỉ mạng có subnet
mask ngắnchomạng nhiều host
• Khi sử dụng VLSM thì hệ thống mạng phảichạygiaothức định
tuyếncóhỗ trợ VLSM như: PSPF(open shotest path
First),Integrated IS-IS(integrated intermediate system to
intermediated system),EIGRP(Enhanced interior Gateway
routing protocol),RIPv2 và định tuyếncốđịnh
• VLSM cho phép mộttổ chứcsử dụng chiều dài subnet mask
khác nhau trong một địachỉ mạng lớn.VLSM còn đượcgọi
là”chia subnet trong một subnet lớnhơn” giúp tậndụng tối đa
tài nguyên địachỉ
3
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Với VLSM thì chúng ta có thể chia một địachỉ mạng lớn
thành nhiều địachỉ mạng con có kích thước khác nhau
như:địachỉ mạng có 30 bit subnet mask,
255.255.255.252,để dành cho các kếtnốimạng; địachỉ
mạng có 24 bit subnet mask,255.255.255.0, để dành cho
các mạng có dưới 254 user, các địachỉ mạng có 22 bit
subnet mask,255.255.252.0,để dành cho các mạng có
tới 1000 user.
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Hình vẽ
ví dụ về chia địachỉ IP theo VLSM
4
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Sự phí phạm tài nguyên IP
• Trước đây, khi chia subnet cho địachỉ mạng IP,subnet
đầu tiên và subnet cuốicùngđược khuyếncáolàkhông
sử dụng.Hiện nay,Với VLSM chúng ta có thể tậndụng
subnet đầutiênvàsubnet cuối cùng.
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Hình vẽ
5
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Ngườiquảntrị mạng quyết định mượn 3 bit để chia subnet cho địa
chỉ lớp C 192.168.187.0.Nếu sử dụng luôn subnet đầutiênbằng cách
thêm lệnh no ip subnet-zero vào cấu hình router ,ngườiquảntrị
mạng sẽ có 7subnet sử dụng được,mỗi subnet có 30 địachỉ
host.Mỗi subnet được phân phốichomộtmạng LAN trên router
Sydney,Brisbane,Perth và Melbourne.3 subnet còn lại được phân
phốicho3 đường kếtnối serial giữa các router.Như vậy là không
còn subnet nào để dự phòng cho sự
mở rộng mạng về sau.trong khi
đó,kếtnối serial giữa 2 router là kếtnối điểm-đến-điểm nên chỉ cần2
địachỉ host là đủ.Như vậy là phí mất 28 địachỉ host trong mỗi subnet
được phân phốichokếtnốiWAN của router.Với cách chia đều,tấtcả
các subnet có chiều dài subnet bằng nhau như vậy,1/3 không gian
địachỉđã phí phạm
Cách phân phối địachỉ như trên chỉ phù hợpvớimạ
ng nhỏ.Nhưng
dù sao thì sơđồđịachỉ này cũng thựcsử phí phạm địachỉ cho các
kếtnối điểm-đến-điểm
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Khi nào sử dụng VLSM
Thiếtkế sơđồđịachỉ IP sao cho đáp ứng được
sự mở rộng sau này và không phí phạm địachỉ là
mộtviệchếtsức quan trọng.Trong phần này
chúng ta sẽ trình bày cách sử dụng VLSM để
không lãng phí địachỉ trên các kếtnối điểm-nối-
điểm.
Cũng vớihệ thống mạng ví dụởphầntrước,lần
này ngườiquảntrị mạ
ng sử dụng VLSM để chia
địachỉ mạng lớp C 192.168.187.0 thành nhiều
subnet có kích thước khác nhau
.
6
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ể
ể
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Hình vẽ
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Trước tiên,ta xét mạng có nhiềuuser nhất trong hệ thống
mạng.Mỗimạng LAN ở Sydney,brisbane,Perth và
Melbourne có khoảng 30 host.Do đó, để đáp ứng cho các
mạng LAN này,ngườiquảntrị mạng mượn 3 bit để chia
subnet cho địachỉ mạng có 7 subnet /27 sử dụng
được.Lấy 4 subnet đầutiên/27 để phân phốichocác
mạng LAN trên router.Sau đó,ngườiquảntrị mạng lấy
subnet thứ 6, mượntiếp 3 bit nữa để chia thành 8
subnet/30, mỗi subnet/30 phân phối cho 3 kếtnối serial
giữa các router.Các subnet/27 và /30 còn lại được để
dành sử dụng về sau.
7
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Tổng hợp địachỉ vớiVLSM
Khi sử dụng VLSM,chúng ta nên cố gắng phân bố các
subnet liền nhau ở gần nhau để có thể tổng hợp địa
chỉ,Trướcnăm 1997, không có tổng hợp địachỉ, hệ
thống định tuyếnxương sống của Internet gầnnhư bị
sụp đổ mấylần
hình vẽ
S
S
ử
ử
d
d
ụ
ụ
ng
ng
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• Mộtsố nguyên tắccầnnhớ khi tổng hợp địachỉ vớiVLSM:
Mỗi router phảibiết địachỉ subnet cụ thể củatấtcả các mạng
kếtnốitrựctiếpvàonó
Mỗi router không cầnphảigửi thông tin chi tiếtvề mỗi subnet
của nó cho các router khác nếunhư nó có thể như nó có thể
tổng hợp các subnet thành một địachỉđạidiện được
Khi tổng hợp địachỉ như vậy, bảng định tuyếncủa các router
tầng trên sẽđượcrútgọnlại
8
S
S
ử
ử
dung
dung
hi
hi
ệ
ệ
u
u
qu
qu
ả
ả
t
t
à
à
i
i
nguyên
nguyên
IP
IP
• CấuhìnhVLSM
Sau khi chia địachỉ IP theo VLSM xong thì
bướctiếp theo là bạncungcấp địachỉ IP
cho từng thiếtbị trong hệ thống.Việccấu
hình địachỉ IP cho các cổng giao tiếpcủa
router vẫnnhư vậy,không có gì đặcbiệt
Hình vẽ
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• GiớithiệuNAT
• Các phương pháp chuyển đổi địachỉ NAT
9
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Giớithiệuvề NAT
NAT đượcthiếtkếđểtiếtkiệm địachỉ IP và cho phép mạng nộibộ
sử dụng địachỉ IP riêng.Các địachỉ IP riêng sẽđược chuyển đổi
sang địachỉ công cộng định tuyến đượcbằng cách chạyphầnmềm
NAT đặcbiệttrênthiếtbị liên mạng.Điều này giúp cho mạng riêng
càng đượctáchbiệtvìgiấu được địachỉ IP nộibộ
NAT thường đượcsử dụ
ng trên router biên củamạng mộtcửa.Mạng
mộtcửalàmạng chỉ có mộtkếtnối duy nhất ra bên ngoài.Khi một
host nằmtrongmạng mộtcửamuốntruyềndữ liệu đến router biên
giới.Router biên giớisẽ thựchiệntiến trình NAT,chuyển đổi địachỉ
riêng của host nguồn sang một địachỉ công cộng định tuyến
được.Trong thuậtngữ NAT, mạng nộibộ có nghĩalàtậ
phợpcác
địachỉ mạng cầnchuyển đổi địachỉ.Mạng bên ngoài là tấtcả các
địachỉ khác còn lại
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Các phương pháp chuyển đổi địachỉ NAT
• Chuyển đổicốđịnh
• Chuyển đổi động
• Overloading hay PAT
10
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Chuyển đổicốđịnh
• Để cấuhìnhchuyển đổicốđịnh địachỉ nguồn bên trong, chúng ta
cấuhìnhcácbướcsau:
• Bước1: Thiếtlậpmối quan hệ chuyển đổigiữa địachỉ nộibộ bên
trong và địachỉđạidiện bên ngoài.
Router(config) # ip nat inside source static local-ip global-ip
Ghi chú: Trong chếđộcấu hình toàn cục,dùng lênh no ip nat inside
source static để xóa chuyển đổi địachỉ cốđịnh
• Bước2: Xácđịnh cổng kếtnốivàomạng bên trong
Router(config) # interface type number
Chúý: Saukhigỡ lệnh
interface, dấunhắccủadònglệnh sẽ chuyển
từ (config) # sang (config-if) #
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Bước3: Đánh dấucổng này là cổng kếtnốivàomạng
nộibộ bên trong
router(config-if) # ip nat inside
• Bước 4: thoát khỏichếđộcấuhìnhcổng hiệntại.
router(config-if) # exit
• Bước5: Xácđịnh cổng kếtnốiramạng công cộng bên
ngoài
Router(config) # interface type number
• Bước6: đánh dấucổng này là cổng kếtnốiramạng
công cộng bên ngoài
Router(config-if) # ip nat outside
11
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Ví dụ về chuyển đổicốđịnh
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Chuyển đổi động
Để chuyển đổi động địachỉ nguồn bên trong, chúng ta cấuhìnhtheo
các bướcsau:
• Bước1: Xácđịnh dải địachỉđạidiện bên ngoài
Router(config) # ip nat pool name start-ip end-ip (netmask netmask
/prefix-length)
Ghi chú: trong chếđộcấu hình toàn cục, gõ lệnh no ip nat pool name
để xóa dải địachỉđạidiện bên ngoài
• Bước2: ThiếtlậpACL cơ bản cho phép những địachỉ nộibộ bên
trong nào đượcchuyển đổi
router(config) # access-list access-list-number permit source[source-
wildcard]
Ghi chú: trong chếđộcấu hình toàn cục,gõ lệnh no access-list access-
list-number để xóa ACL đó
12
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Bước3: Thiếtlậpmối liên quan giữa địachỉ nguồn đã
đượcxácđịnh trong ACL ở bướctrênvớidải địachỉ bên
ngoài.
Router(config) # ip nat inside source list access-list-number pool
name
Ghi chú: Trong chếđộcấuhìnhtoàncục,gõ lệnh no ip nat
inside source để xóa sự chuyển đổi động này.
• Bước4: Xácđịnh cổng kếtnốivàomạng nộibộ
Router(config) # interface type number
Ghi chú: Sau khi gõ lệnh interface, dấunhắccủa dòng
lệnh sẽ chuyển đổitừ (config) # sang (config-ip) #
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Bước5: Đánh dấucổng này là cổng kếtnốivàomạng
nộibộ
Router(config) # interface type number
Ghi chú: Sau khi gõ xong lệnh interface, dấunhắccủa
dòng lệnh sẽ chuyển đổitừ (config) # sang (config-ip) #
• Bước 6: Thoát khỏichếđộcổng hiệntại
Router(config) # exit
• Bước7: Xácđịnh cổng kếtnối ra bên ngoài
Router(config) # interface type number
• Bước8: Đánh dấucổng này là cổng kếtnối ra bên ngoài
Router(config) # ip nat outside
13
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
Ví dụ về chuyển đổi động
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Overloading hay PAT
Overloading đượccấu hình theo hai cách tùy theo địachỉ
công cộng đượccấp phát như thế nào.Một ISP có thể cho
mộthệ thống mạng của khách hàng sử dụng chung một địa
chỉ IP công cộng duy nhất, địachỉ IP công cộng này chính là
địachỉ củacổng giao tiếptrênrouter nốivề ISP.Sau đây là
ví dụ cấuhìnhchotìnhhuống này
Router(config) # access-list 1 permit 10.0.0.0 0.0.255.255
Router(config) # ip nat inside source list 1 interface serial 0/0 coverload
14
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Bước1: TạoACL để cho phép những địachỉ nộibộ nào được
chuyển đổi
Router(config) # access-list acl-number permit source (source-
wildcard)
Ghi chú: Trong chếđộcấuhìnhtoàncục, gõ lệnh no access-list
access-list-number để xóa access-list tương ứng
* Bước2: Thiếtlậpmối liên quan giữa địachỉ nguồn đã đượcxácđịnh
trong access-list ở bướctrênvới địachỉ củacổng kểtnốivới bên
ngoài.
Router(config) # ip nat inside source list acl-number interface
interface overload
Ghi chú: trong chếđộcấuhìnhtoàncục,gõ lệnh no ip nat inside
source
để xóa sự chuyển đổi động này.Từ khóa overload để cho
phép chạy PAT
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Bước3: Xácđịnh cổng kếtnốivớimạng nộibộ
Router(config) # interface type number
Router(config-if) # ip nat inside
Ghi chú: Sau khi gõ lệnh interface,dấunhắccủa
dòng lệnh sẽđổitừ (config) # sang (config-if) #
• Bước4: Xácđịnh cổng kếtnốivới bên ngoài.
Router(config) # interface type number
Router(config-if) # ip nat outside
15
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
• Mộtcáchkhácđể cấu hình overload là khi ISP cung cấpmộthoặc
nhiều địachỉ IP công cộng để cho hệ thống mạng khách hàng sử
dụng làm dải địachỉ chuyển đổi PAT.Cấuhìnhvídụ cho tình huống
này như sau:
• Xác định địachỉ nộibộđược phép chuyển đổi là 10.0.0.0/16:
Router(config) # access-list 1 permit 10.0.0.0.0.0.255.255
• Khai báo dải địachỉđạidiện bên ngoài với tên là nat-pool2, bao
gồmcácđịachỉ trong subnet 179.9.8.20/28:
Router(config) # ip nat pool nat-pool2 179.9.8.20 netmask
255.255.255.240
• Thiếtlậpsự chuy
ển đổi overload giữa địachỉ nộibộđượcxácđịnh
trong access-list 1 vớidải địachỉđạidiện nat-pool2:
Router(config) # ip nat inside source list 1 pool nat-pool2 overload
C
C
á
á
c
c
phương
phương
ph
ph
á
á
p
p
chuy
chuy
ể
ể
n
n
đ
đ
ổ
ổ
i
i
đ
đ
ị
ị
a
a
ch
ch
ỉ
ỉ
NAT
NAT
16
T
T
ổ
ổ
ng
ng
k
k
ế
ế
t
t
• Bài viếtcósử dụng tài liệu tham khảotrên
mạng,nhóm seminar xin chân thành cảm
ơnsự giúp đỡ củacácbạn
• Nhóm seminar mong thầy góp ý cho đề
tài của chúng em được hoàn thiệnhơn.
nhóm em xin chân thành cảm ơn!
