Giáo trình tổng hợp những biện pháp nhằm khắc phục những lỗi cơ bản trong VLAN phần 3 pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (693.98 KB, 6 trang )
492
Hình 1.1.3.f.
Router thực hiện chuyển
đ
ổ
i
đ
ị
a
chỉ IP nguồn từ 10.0.0.4 sang
179.9.8.80. Port nguồn là 1444 lúc này phải
đ
ổ
i
sang 1445. Như vậy theo như
bảng NAT trong hình ta thấy
đ
ị
a
chỉ công cộng 179.9.8.80: 1444 là tương
ứ
ng
với
10.0.0.3:1444, 179.9.8.80:1445 tương
ứ
ng
với 10.0.0.4:1444. Bằng cách sử dụng
kết hợp với số port như vậy, PAT có thể ánh xạ một
đ
ị
a
chỉ IP công cộng cho nhiều
đ
ị
a
chỉ riêng bên trong.
NAT cung c
ấp những lợi
đ
i
ể
m
sau:
•
Không cần phải gán
đ
ị
a
chỉ IP mới cho từng host khi thay
đ
ổ
i
sang một ISP
mới. Nhờ
đ
ó
có thể tiết kiệm
đư
ợ
c
thời gian và tiền bạc.
•
Tiết kiệm
đ
ị
a
chỉ thông qua
ứ
ng
dụng ghép kênh cấp
đ
ộ
port. Với PAT, các
host bên trong có thể chia sẻ một
đ
ị
a
chỉ IP công cộng
đ
ể
giao tiếp với bên
ngoài. Với cách cấu hình này, chúng ta cần rất ít
đ
ị
a
chỉ công cộng, nhờ
đ
ó
có thể tiết kiệm
đ
ị
a
chỉ IP.
•
Bảo vệ mạng an toàn vì mạng nội bộ không
đ
ể
lộ
đ
ị
a
chỉ và cấu trúc bên
trong ra ngoài.
1.1.4. Cấu hình NAT và PAT
493
1.1.4.1. Chuyển đổi cố định
Đ
ể
cấu hình chuyển
đ
ổ
i
cố
đ
ị
nh
đ
ị
a
chỉ nguồn bên trong, chúng ta cấu hình các
bước như sau:
Bước
1
Thực hiện Ghi chú
Thiết lập mối quan hệ chuyển
đ
ổ
i
giữa
đ
ị
a
Trong chế
đ
ộ
cấu hình toàn
chỉ nội bộ bên trong và
đ
ị
a
chỉ
đ
ạ
i
diện cục, bạn dùng câu lệnh
no ip
bên ngoài
Router (config) #
ip nat inside
source static
local-ip global-ip
nat inside source static để
xóa sụ chuyển
đ
ổ
i
đ
ị
a
chỉ cố
định.
2
Xác
đ
ị
nh
cổng kết nối vòa mạng bên Sau khi gõ lệnh
interface,
trong.
Router (config) #
interface
type number
dấu nhắc của dòng lệnh sẽ
chuyển từ (config) # sang
(config-if) #
3
Đ
ánh
dấu cổng này là cổng kết nối vào
mạng nội bộ bên trong.
Router (config
-if) #
ip nat inside
4 Thóat khỏi chế
đ
ộ
cấu hình cổng hiện tại.
Router (config
-if) #
exit
5 Xác
đ
ị
nh
cổng kết nối ra mạng công cộng
bên ngoài.
Router (config) #
interface
type number
494
6
Đ
ánh
dấu cổng này là cổng kết nối ra
mạng công cộng bên ngoài.
Router (config
-if) #
ip nat outside
Hình v
ẽ - 2 hình
Hình 1.1.4.a
Sự chuyển
đ
ổ
i
đ
ị
a
chỉ sẽ
đư
ợ
c
thưc hiện giữa hai cổng inside và
outside
495
Hình 1.1.4.b.
Cấu hình NAT chuyển
đ
ổ
i
cố
đ
ị
nh
từ
đ
ị
a
chỉ 10.1.1.2 sang
192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2
đư
ợ
c
gửi ra ngoài internet,
router GW sẽ chuyển
đ
ổ
i
đ
ị
a
chỉ nguồn 10.1.1.2 của gói dữ liệu sang
đ
ị
a
chỉ
192.168.1.2 trước khi phát gói ra cổng s0.
1.1.4.2. Chuyển đổi động
Đ
ể
Chuyển
đ
ổ
i
đ
ộ
ng
đ
ị
a
chỉ nguồn bên trong, chúng ta cấu hình theo các bước như
sau:
Bước
1
Thực hiện
Xác
đ
ị
nh
dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài
Rourter (config) #
ip nat pool
name start-ip
end-ip [netmask netmask /prefix-length
prefix
-length]
2
Ghi chú
Trong chế
đ
ộ
cấu hình
toàn cục, gõ lệnh
no ip
na
t pool
name
đ
ể
xóa dải
đ
ị
a
chỉ
đ
ạ
i
diên bên ngoài.
Thiết lập ACL cơ bản cho phép những
đ
ị
a
Trong chế
đ
ộ
cấu hình
chỉ nội bộ bên trong nào
đư
ợ
c
chuyển
đ
ổ
i.
Router (config)
#
access
-
list
access-list-
number
permit
source [source-wildcard]
toàn cục, gõ lệnh
n
o
access-list
access-list-
number
đ
ể
xóa ACL
đ
ó.
3 Thiết lập mối liên quan giữa
đ
ị
a
chỉ nguồn Trong chế
đ
ộ
cấu hình
đ
ã
đư
ợ
c
xác
đ
ị
nh
trong ACL
ở
bước trên với toàn cục, gõ lênh
no ip
dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài:
Router (config) #
ip nat inside source li
st
access-list-number
pool
name
nat inside source
đ
ể
xóa
sự chuyển
đ
ổ
i
đ
ộ
ng
này
4 Xác
đ
ị
nh
cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh
496
Router (config) #
interface
type number
interface,
dấu nhắc của
dòng lệnh sẽ chuyển
đ
ổ
i
từ config sang (config-if)#
5
Đ
ánh
dấu cổng này là cổng kết nối vào mạng
nội bộ.
Router (config
-if) #
ip nat inside
6 Thóat khỏi chế
đ
ộ
cổng hiện tại.
Router (config) #
exit
7 Xác
đ
ị
nh
cổng kết nối ra bên ngoài.
Router (config) #
interface
type number
8
Đ
ánh
dấu cổng này là cổng kết nối ra bên
ngoài.
Router (config) #
ip nat outside
Danh sách
đ
i
ề
u
khiển truy cập (ACL – Access Control List) cho phép khai báo
những
đ
ị
a
chỉ nào
đư
ợ
c
chuyển
đ
ổ
i.
Bạn nên nhớ là kết thúc một ACL luôn có câu
lệnh
ẩ
n
cấm tuyệt
đ
ố
i
đ
ể
tránh những kết quả không dự tính
đư
ợ
c
khi một ACL có
quá nhiều
đ
i
ề
u
kiện cho phép. Cisco khuyến cáo là không nên dùng
đ
i
ề
u
kiện cho
phép tất cả
permit any
trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn
quá nhiều tài nguyên của Router và do
đ
ó
có thể gây ra sự cố mạng.
497
Hình 1.1.4.c
Xét ví dụ hình 1.1.4.c: Dải
đ
ị
a
chỉ công cộng
đ
ạ
i
diện ben ngoài có tên là nat-
pool1, bao gồm các
đ
ị
a
chỉ từ 179.9.8.80
đ
ế
n
179.9.95.
Đ
ị
a
chỉ nội bộ bên trong
đư
ợ
c
phép chuyển
đ
ổ
i
đư
ợ
c
đ
ị
nh
nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255.
Như v
ậy, gói dữ liệu nào trong mạng nội bộ
đ
i
ra ngoài Internet có
đ
ị
a
chỉ nguồn
nằm trong dải
đ
ị
a
chỉ 10.1.0.0 – 10.1.0.255 sẽ
đư
ợ
c
chuyển
đ
ổ
i
đ
ị
a
chỉ nguồn sang
một trong bất kỳ
đ
ị
a
chỉ nào còn trống trong dải
đ
ị
a
chỉ công cộng 179.9.8.80 –
179.9.8.95. Host 10.1.1.2 sẽ không
đư
ợ
c
chuyển
đ
ổ
i
đ
ị
a
chỉ vì
đ
ị
a
chỉ của nó
không
đư
ợ
c
cho phép trong acces-list 1, do
đ
ó
nó không truy cập
đư
ợ
c
Internet.
Overloading hay PAT
Overloading
đư
ợ
c
cấu hình theo hai cách tùy theo
đ
ị
a
chỉ IP công cộng
đư
ợ
c
cấp
phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng
chung một
đ
ị
a
chỉ IP công cộng duy nhất,
đ
ia
jchỉ IP công cộng này chính là
đ
ị
a
chỉ của cổng giao tiểp trên Router nối về ISP. Sau
đ
ây
là ví dụ cấu hình cho tình
huống này:
