Tải bản đầy đủ (.pdf) (6 trang)

Giáo trình tổng hợp những biện pháp nhằm khắc phục những lỗi cơ bản trong VLAN phần 3 pptx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (693.98 KB, 6 trang )

492

Hình 1.1.3.f.
Router thực hiện chuyển
đ

i
đ

a
chỉ IP nguồn từ 10.0.0.4 sang
179.9.8.80. Port nguồn là 1444 lúc này phải
đ

i
sang 1445. Như vậy theo như
bảng NAT trong hình ta thấy
đ

a
chỉ công cộng 179.9.8.80: 1444 là tương

ng
với
10.0.0.3:1444, 179.9.8.80:1445 tương

ng
với 10.0.0.4:1444. Bằng cách sử dụng
kết hợp với số port như vậy, PAT có thể ánh xạ một
đ


a
chỉ IP công cộng cho nhiều
đ

a
chỉ riêng bên trong.
NAT cung c
ấp những lợi
đ
i

m
sau:

Không cần phải gán
đ

a
chỉ IP mới cho từng host khi thay
đ

i
sang một ISP
mới. Nhờ
đ
ó
có thể tiết kiệm
đư

c

thời gian và tiền bạc.

Tiết kiệm
đ

a
chỉ thông qua

ng
dụng ghép kênh cấp
đ


port. Với PAT, các
host bên trong có thể chia sẻ một
đ

a
chỉ IP công cộng
đ


giao tiếp với bên
ngoài. Với cách cấu hình này, chúng ta cần rất ít
đ

a
chỉ công cộng, nhờ
đ
ó


có thể tiết kiệm
đ

a
chỉ IP.

Bảo vệ mạng an toàn vì mạng nội bộ không
đ


lộ
đ

a
chỉ và cấu trúc bên
trong ra ngoài.
1.1.4. Cấu hình NAT và PAT

493

1.1.4.1. Chuyển đổi cố định

Đ


cấu hình chuyển
đ

i

cố
đ

nh
đ

a
chỉ nguồn bên trong, chúng ta cấu hình các
bước như sau:
Bước
1
Thực hiện Ghi chú
Thiết lập mối quan hệ chuyển
đ

i
giữa
đ

a
Trong chế
đ


cấu hình toàn
chỉ nội bộ bên trong và
đ

a
chỉ

đ

i
diện cục, bạn dùng câu lệnh
no ip

bên ngoài
Router (config) #
ip nat inside

source static
local-ip global-ip
nat inside source static để

xóa sụ chuyển
đ

i
đ

a
chỉ cố
định.
2
Xác
đ

nh
cổng kết nối vòa mạng bên Sau khi gõ lệnh
interface,


trong.
Router (config) #
interface
type number
dấu nhắc của dòng lệnh sẽ
chuyển từ (config) # sang
(config-if) #
3
Đ
ánh
dấu cổng này là cổng kết nối vào
mạng nội bộ bên trong.
Router (config
-if) #
ip nat inside

4 Thóat khỏi chế
đ


cấu hình cổng hiện tại.
Router (config
-if) #
exit

5 Xác
đ

nh

cổng kết nối ra mạng công cộng
bên ngoài.
Router (config) #
interface
type number
494

6
Đ
ánh
dấu cổng này là cổng kết nối ra
mạng công cộng bên ngoài.
Router (config
-if) #
ip nat outside

Hình v
ẽ - 2 hình
Hình 1.1.4.a
Sự chuyển
đ

i
đ

a
chỉ sẽ
đư

c

thưc hiện giữa hai cổng inside và
outside
495

Hình 1.1.4.b.
Cấu hình NAT chuyển
đ

i
cố
đ

nh
từ
đ

a
chỉ 10.1.1.2 sang
192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2
đư

c
gửi ra ngoài internet,
router GW sẽ chuyển
đ

i
đ

a

chỉ nguồn 10.1.1.2 của gói dữ liệu sang
đ

a
chỉ
192.168.1.2 trước khi phát gói ra cổng s0.
1.1.4.2. Chuyển đổi động

Đ


Chuyển
đ

i
đ

ng
đ

a
chỉ nguồn bên trong, chúng ta cấu hình theo các bước như
sau:
Bước
1
Thực hiện
Xác
đ

nh

dải
đ

a
chỉ
đ

i
diện bên ngoài
Rourter (config) #
ip nat pool
name start-ip
end-ip [netmask netmask /prefix-length
prefix
-length]
2
Ghi chú
Trong chế
đ


cấu hình
toàn cục, gõ lệnh
no ip

na
t pool
name
đ



xóa dải
đ

a
chỉ
đ

i
diên bên ngoài.
Thiết lập ACL cơ bản cho phép những
đ

a
Trong chế
đ


cấu hình
chỉ nội bộ bên trong nào
đư

c
chuyển
đ

i.

Router (config)
#

access
-
list
access-list-
number
permit
source [source-wildcard]
toàn cục, gõ lệnh
n
o

access-list

access-list-
number
đ


xóa ACL
đ
ó.

3 Thiết lập mối liên quan giữa
đ

a
chỉ nguồn Trong chế
đ



cấu hình
đ
ã
đư

c
xác
đ

nh
trong ACL


bước trên với toàn cục, gõ lênh
no ip

dải
đ

a
chỉ
đ

i
diện bên ngoài:
Router (config) #
ip nat inside source li
st

access-list-number

pool
name
nat inside source
đ


xóa
sự chuyển
đ

i
đ

ng
này
4 Xác
đ

nh
cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh
496

Router (config) #
interface
type number
interface,
dấu nhắc của
dòng lệnh sẽ chuyển
đ


i

từ config sang (config-if)#
5
Đ
ánh
dấu cổng này là cổng kết nối vào mạng
nội bộ.
Router (config
-if) #
ip nat inside

6 Thóat khỏi chế
đ


cổng hiện tại.
Router (config) #
exit

7 Xác
đ

nh
cổng kết nối ra bên ngoài.
Router (config) #
interface
type number
8
Đ

ánh
dấu cổng này là cổng kết nối ra bên
ngoài.
Router (config) #
ip nat outside

Danh sách
đ
i

u
khiển truy cập (ACL – Access Control List) cho phép khai báo
những
đ

a
chỉ nào
đư

c
chuyển
đ

i.
Bạn nên nhớ là kết thúc một ACL luôn có câu
lệnh

n
cấm tuyệt
đ


i
đ


tránh những kết quả không dự tính
đư

c
khi một ACL có
quá nhiều
đ
i

u
kiện cho phép. Cisco khuyến cáo là không nên dùng
đ
i

u
kiện cho
phép tất cả
permit any
trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn
quá nhiều tài nguyên của Router và do
đ
ó
có thể gây ra sự cố mạng.
497


Hình 1.1.4.c
Xét ví dụ hình 1.1.4.c: Dải
đ

a
chỉ công cộng
đ

i
diện ben ngoài có tên là nat-
pool1, bao gồm các
đ

a
chỉ từ 179.9.8.80
đ
ế
n
179.9.95.
Đ

a
chỉ nội bộ bên trong
đư

c
phép chuyển
đ

i

đư

c
đ

nh
nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255.
Như v
ậy, gói dữ liệu nào trong mạng nội bộ
đ
i
ra ngoài Internet có
đ

a
chỉ nguồn
nằm trong dải
đ

a
chỉ 10.1.0.0 – 10.1.0.255 sẽ
đư

c
chuyển
đ

i
đ


a
chỉ nguồn sang
một trong bất kỳ
đ

a
chỉ nào còn trống trong dải
đ

a
chỉ công cộng 179.9.8.80 –
179.9.8.95. Host 10.1.1.2 sẽ không
đư

c
chuyển
đ

i
đ

a
chỉ vì
đ

a
chỉ của nó
không
đư


c
cho phép trong acces-list 1, do
đ
ó
nó không truy cập
đư

c
Internet.
Overloading hay PAT
Overloading
đư

c
cấu hình theo hai cách tùy theo
đ

a
chỉ IP công cộng
đư

c
cấp
phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng
chung một
đ

a
chỉ IP công cộng duy nhất,
đ

ia
jchỉ IP công cộng này chính là
đ

a

chỉ của cổng giao tiểp trên Router nối về ISP. Sau
đ
ây
là ví dụ cấu hình cho tình
huống này:

×