Giáo trình phân tích khả năng xử lý sự cố spaning system trong mạng chuyển mạch p3 potx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (693.98 KB, 6 trang )
492
Hình 1.1.3.f.
Router thực hiện chuyển
đ
ổ
i
đ
ị
a
chỉ IP nguồn từ 10.0.0.4 sang
179.9.8.80. Port nguồn là 1444 lúc này phải
đ
ổ
i
sang 1445. Như vậy theo như
bảng NAT trong hình ta thấy
đ
ị
a
chỉ công cộng 179.9.8.80: 1444 là tương
ứ
ng
với
10.0.0.3:1444, 179.9.8.80:1445 tương
ứ
ng
với 10.0.0.4:1444. Bằng cách sử dụng
kết hợp với số port như vậy, PAT có thể ánh xạ một
đ
ị
a
chỉ IP công cộng cho nhiều
đ
ị
a
chỉ riêng bên trong.
NAT cung c
ấp những lợi
đ
i
ể
m
sau:
•
Không cần phải gán
đ
ị
a
chỉ IP mới cho từng host khi thay
đ
ổ
i
sang một ISP
mới. Nhờ
đ
ó
có thể tiết kiệm
đư
ợ
c
thời gian và tiền bạc.
•
Tiết kiệm
đ
ị
a
chỉ thông qua
ứ
ng
dụng ghép kênh cấp
đ
ộ
port. Với PAT, các
host bên trong có thể chia sẻ một
đ
ị
a
chỉ IP công cộng
đ
ể
giao tiếp với bên
ngoài. Với cách cấu hình này, chúng ta cần rất ít
đ
ị
a
chỉ công cộng, nhờ
đ
ó
có thể tiết kiệm
đ
ị
a
chỉ IP.
•
Bảo vệ mạng an toàn vì mạng nội bộ không
đ
ể
lộ
đ
ị
a
chỉ và cấu trúc bên
trong ra ngoài.
1.1.4. Cấu hình NAT và PAT
493
1.1.4.1. Chuyển đổi cố định
Đ
ể
cấu hình chuyển
đ
ổ
i
cố
đ
ị
nh
đ
ị
a
chỉ nguồn bên trong, chúng ta cấu hình các
bước như sau:
Bước
1
Thực hiện Ghi chú
Thiết lập mối quan hệ chuyển
đ
ổ
i
giữa
đ
ị
a
Trong chế
đ
ộ
cấu hình toàn
chỉ nội bộ bên trong và
đ
ị
a
chỉ
đ
ạ
i
diện cục, bạn dùng câu lệnh
no ip
bên ngoài
Router (config) #
ip nat inside
source static
local-ip global-ip
nat inside source static để
xóa sụ chuyển
đ
ổ
i
đ
ị
a
chỉ cố
định.
2
Xác
đ
ị
nh
cổng kết nối vòa mạng bên Sau khi gõ lệnh
interface,
trong.
Router (config) #
interface
type number
dấu nhắc của dòng lệnh sẽ
chuyển từ (config) # sang
(config-if) #
3
Đ
ánh
dấu cổng này là cổng kết nối vào
mạng nội bộ bên trong.
Router (config
-if) #
ip nat inside
4 Thóat khỏi chế
đ
ộ
cấu hình cổng hiện tại.
Router (config
-if) #
exit
5 Xác
đ
ị
nh
cổng kết nối ra mạng công cộng
bên ngoài.
Router (config) #
interface
type number
494
6
Đ
ánh
dấu cổng này là cổng kết nối ra
mạng công cộng bên ngoài.
Router (config
-if) #
ip nat outside
Hình v
ẽ - 2 hình
Hình 1.1.4.a
Sự chuyển
đ
ổ
i
đ
ị
a
chỉ sẽ
đư
ợ
c
thưc hiện giữa hai cổng inside và
outside
495
Hình 1.1.4.b.
Cấu hình NAT chuyển
đ
ổ
i
cố
đ
ị
nh
từ
đ
ị
a
chỉ 10.1.1.2 sang
192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2
đư
ợ
c
gửi ra ngoài internet,
router GW sẽ chuyển
đ
ổ
i
đ
ị
a
chỉ nguồn 10.1.1.2 của gói dữ liệu sang
đ
ị
a
chỉ
192.168.1.2 trước khi phát gói ra cổng s0.
1.1.4.2. Chuyển đổi động
Đ
ể
Chuyển
đ
ổ
i
đ
ộ
ng
đ
ị
a
chỉ nguồn bên trong, chúng ta cấu hình theo các bước như
sau:
Bước
1
Thực hiện
Xác
đ
ị
nh
dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài
Rourter (config) #
ip nat pool
name start-ip
end-ip [netmask netmask /prefix-length
prefix
-length]
2
Ghi chú
Trong chế
đ
ộ
cấu hình
toàn cục, gõ lệnh
no ip
na
t pool
name
đ
ể
xóa dải
đ
ị
a
chỉ
đ
ạ
i
diên bên ngoài.
Thiết lập ACL cơ bản cho phép những
đ
ị
a
Trong chế
đ
ộ
cấu hình
chỉ nội bộ bên trong nào
đư
ợ
c
chuyển
đ
ổ
i.
Router (config)
#
access
-
list
access-list-
number
permit
source [source-wildcard]
toàn cục, gõ lệnh
n
o
access-list
access-list-
number
đ
ể
xóa ACL
đ
ó.
3 Thiết lập mối liên quan giữa
đ
ị
a
chỉ nguồn Trong chế
đ
ộ
cấu hình
đ
ã
đư
ợ
c
xác
đ
ị
nh
trong ACL
ở
bước trên với toàn cục, gõ lênh
no ip
dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài:
Router (config) #
ip nat inside source li
st
access-list-number
pool
name
nat inside source
đ
ể
xóa
sự chuyển
đ
ổ
i
đ
ộ
ng
này
4 Xác
đ
ị
nh
cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh
496
Router (config) #
interface
type number
interface,
dấu nhắc của
dòng lệnh sẽ chuyển
đ
ổ
i
từ config sang (config-if)#
5
Đ
ánh
dấu cổng này là cổng kết nối vào mạng
nội bộ.
Router (config
-if) #
ip nat inside
6 Thóat khỏi chế
đ
ộ
cổng hiện tại.
Router (config) #
exit
7 Xác
đ
ị
nh
cổng kết nối ra bên ngoài.
Router (config) #
interface
type number
8
Đ
ánh
dấu cổng này là cổng kết nối ra bên
ngoài.
Router (config) #
ip nat outside
Danh sách
đ
i
ề
u
khiển truy cập (ACL – Access Control List) cho phép khai báo
những
đ
ị
a
chỉ nào
đư
ợ
c
chuyển
đ
ổ
i.
Bạn nên nhớ là kết thúc một ACL luôn có câu
lệnh
ẩ
n
cấm tuyệt
đ
ố
i
đ
ể
tránh những kết quả không dự tính
đư
ợ
c
khi một ACL có
quá nhiều
đ
i
ề
u
kiện cho phép. Cisco khuyến cáo là không nên dùng
đ
i
ề
u
kiện cho
phép tất cả
permit any
trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn
quá nhiều tài nguyên của Router và do
đ
ó
có thể gây ra sự cố mạng.
497
Hình 1.1.4.c
Xét ví dụ hình 1.1.4.c: Dải
đ
ị
a
chỉ công cộng
đ
ạ
i
diện ben ngoài có tên là nat-
pool1, bao gồm các
đ
ị
a
chỉ từ 179.9.8.80
đ
ế
n
179.9.95.
Đ
ị
a
chỉ nội bộ bên trong
đư
ợ
c
phép chuyển
đ
ổ
i
đư
ợ
c
đ
ị
nh
nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255.
Như v
ậy, gói dữ liệu nào trong mạng nội bộ
đ
i
ra ngoài Internet có
đ
ị
a
chỉ nguồn
nằm trong dải
đ
ị
a
chỉ 10.1.0.0 – 10.1.0.255 sẽ
đư
ợ
c
chuyển
đ
ổ
i
đ
ị
a
chỉ nguồn sang
một trong bất kỳ
đ
ị
a
chỉ nào còn trống trong dải
đ
ị
a
chỉ công cộng 179.9.8.80 –
179.9.8.95. Host 10.1.1.2 sẽ không
đư
ợ
c
chuyển
đ
ổ
i
đ
ị
a
chỉ vì
đ
ị
a
chỉ của nó
không
đư
ợ
c
cho phép trong acces-list 1, do
đ
ó
nó không truy cập
đư
ợ
c
Internet.
Overloading hay PAT
Overloading
đư
ợ
c
cấu hình theo hai cách tùy theo
đ
ị
a
chỉ IP công cộng
đư
ợ
c
cấp
phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng
chung một
đ
ị
a
chỉ IP công cộng duy nhất,
đ
ia
jchỉ IP công cộng này chính là
đ
ị
a
chỉ của cổng giao tiểp trên Router nối về ISP. Sau
đ
ây
là ví dụ cấu hình cho tình
huống này:
