490 Hình 1.1.3.a. . Hình 1.1.3.b. 491 Hình 1.1.3.c. Host 10.0.0.3 gửi gói dữ liệu ra internet. Trong gói dữ liệu này, đ ị a chỉ IP nguồn là 10.0.0.3, port là 1444 Hình 1.1.3.d. Router thực hiện chuyển đ ổ i đ ị a chỉ IP nguồn từ 10.0.0.3 sang đ ị a chỉ 179.9.8.80, port nguồn vẫn giữ nguyên là 1444. Hình 1.1.3.e. Bây giờ Host 10.0.0.4 cũng gửi gói dữ liệu ra internet với đ ị a chỉ nguồn là 10.0.0.4, port nguồn là 1444 492 Hình 1.1.3.f. Router thực hiện chuyển đ ổ i đ ị a chỉ IP nguồn từ 10.0.0.4 sang 179.9.8.80. Port nguồn là 1444 lúc này phải đ ổ i sang 1445. Như vậy theo như bảng NAT trong hình ta thấy đ ị a chỉ công cộng 179.9.8.80: 1444 là tương ứ ng với 10.0.0.3:1444, 179.9.8.80:1445 tương ứ ng với 10.0.0.4:1444. Bằng cách sử dụng kết hợp với số port như vậy, PAT có thể ánh xạ một đ ị a chỉ IP công cộng cho nhiều đ ị a chỉ riêng bên trong. NAT cung c ấp những lợi đ i ể m sau: • Không cần phải gán đ ị a chỉ IP mới cho từng host khi thay đ ổ i sang một ISP mới. Nhờ đ ó có thể tiết kiệm đư ợ c thời gian và tiền bạc. • Tiết kiệm đ ị a chỉ thông qua ứ ng dụng ghép kênh cấp đ ộ port. Với PAT, các host bên trong có thể chia sẻ một đ ị a chỉ IP công cộng đ ể giao tiếp với bên ngoài. Với cách cấu hình này, chúng ta cần rất ít đ ị a chỉ công cộng, nhờ đ ó có thể tiết kiệm đ ị a chỉ IP. • Bảo vệ mạng an toàn vì mạng nội bộ không đ ể lộ đ ị a chỉ và cấu trúc bên trong ra ngoài. 1.1.4. Cấu hình NAT và PAT 493 1.1.4.1. Chuyển đổi cố định Đ ể cấu hình chuyển đ ổ i cố đ ị nh đ ị a chỉ nguồn bên trong, chúng ta cấu hình các bước như sau: Bước 1 Thực hiện Ghi chú Thiết lập mối quan hệ chuyển đ ổ i giữa đ ị a Trong chế đ ộ cấu hình toàn chỉ nội bộ bên trong và đ ị a chỉ đ ạ i diện cục, bạn dùng câu lệnh no ip bên ngoài Router (config) # ip nat inside source static local-ip global-ip nat inside source static để xóa sụ chuyển đ ổ i đ ị a chỉ cố định. 2 Xác đ ị nh cổng kết nối vòa mạng bên Sau khi gõ lệnh interface, trong. Router (config) # interface type number dấu nhắc của dòng lệnh sẽ chuyển từ (config) # sang (config-if) # 3 Đ ánh dấu cổng này là cổng kết nối vào mạng nội bộ bên trong. Router (config -if) # ip nat inside 4 Thóat khỏi chế đ ộ cấu hình cổng hiện tại. Router (config -if) # exit 5 Xác đ ị nh cổng kết nối ra mạng công cộng bên ngoài. Router (config) # interface type number 494 6 Đ ánh dấu cổng này là cổng kết nối ra mạng công cộng bên ngoài. Router (config -if) # ip nat outside Hình v ẽ - 2 hình Hình 1.1.4.a Sự chuyển đ ổ i đ ị a chỉ sẽ đư ợ c thưc hiện giữa hai cổng inside và outside 495 Hình 1.1.4.b. Cấu hình NAT chuyển đ ổ i cố đ ị nh từ đ ị a chỉ 10.1.1.2 sang 192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2 đư ợ c gửi ra ngoài internet, router GW sẽ chuyển đ ổ i đ ị a chỉ nguồn 10.1.1.2 của gói dữ liệu sang đ ị a chỉ 192.168.1.2 trước khi phát gói ra cổng s0. 1.1.4.2. Chuyển đổi động Đ ể Chuyển đ ổ i đ ộ ng đ ị a chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau: Bước 1 Thực hiện Xác đ ị nh dải đ ị a chỉ đ ạ i diện bên ngoài Rourter (config) # ip nat pool name start-ip end-ip [netmask netmask /prefix-length prefix -length] 2 Ghi chú Trong chế đ ộ cấu hình toàn cục, gõ lệnh no ip na t pool name đ ể xóa dải đ ị a chỉ đ ạ i diên bên ngoài. Thiết lập ACL cơ bản cho phép những đ ị a Trong chế đ ộ cấu hình chỉ nội bộ bên trong nào đư ợ c chuyển đ ổ i. Router (config) # access - list access-list- number permit source [source-wildcard] toàn cục, gõ lệnh n o access-list access-list- number đ ể xóa ACL đ ó. 3 Thiết lập mối liên quan giữa đ ị a chỉ nguồn Trong chế đ ộ cấu hình đ ã đư ợ c xác đ ị nh trong ACL ở bước trên với toàn cục, gõ lênh no ip dải đ ị a chỉ đ ạ i diện bên ngoài: Router (config) # ip nat inside source li st access-list-number pool name nat inside source đ ể xóa sự chuyển đ ổ i đ ộ ng này 4 Xác đ ị nh cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh 496 Router (config) # interface type number interface, dấu nhắc của dòng lệnh sẽ chuyển đ ổ i từ config sang (config-if)# 5 Đ ánh dấu cổng này là cổng kết nối vào mạng nội bộ. Router (config -if) # ip nat inside 6 Thóat khỏi chế đ ộ cổng hiện tại. Router (config) # exit 7 Xác đ ị nh cổng kết nối ra bên ngoài. Router (config) # interface type number 8 Đ ánh dấu cổng này là cổng kết nối ra bên ngoài. Router (config) # ip nat outside Danh sách đ i ề u khiển truy cập (ACL – Access Control List) cho phép khai báo những đ ị a chỉ nào đư ợ c chuyển đ ổ i. Bạn nên nhớ là kết thúc một ACL luôn có câu lệnh ẩ n cấm tuyệt đ ố i đ ể tránh những kết quả không dự tính đư ợ c khi một ACL có quá nhiều đ i ề u kiện cho phép. Cisco khuyến cáo là không nên dùng đ i ề u kiện cho phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn quá nhiều tài nguyên của Router và do đ ó có thể gây ra sự cố mạng. 497 Hình 1.1.4.c Xét ví dụ hình 1.1.4.c: Dải đ ị a chỉ công cộng đ ạ i diện ben ngoài có tên là nat- pool1, bao gồm các đ ị a chỉ từ 179.9.8.80 đ ế n 179.9.95. Đ ị a chỉ nội bộ bên trong đư ợ c phép chuyển đ ổ i đư ợ c đ ị nh nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255. Như v ậy, gói dữ liệu nào trong mạng nội bộ đ i ra ngoài Internet có đ ị a chỉ nguồn nằm trong dải đ ị a chỉ 10.1.0.0 – 10.1.0.255 sẽ đư ợ c chuyển đ ổ i đ ị a chỉ nguồn sang một trong bất kỳ đ ị a chỉ nào còn trống trong dải đ ị a chỉ công cộng 179.9.8.80 – 179.9.8.95. Host 10.1.1.2 sẽ không đư ợ c chuyển đ ổ i đ ị a chỉ vì đ ị a chỉ của nó không đư ợ c cho phép trong acces-list 1, do đ ó nó không truy cập đư ợ c Internet. Overloading hay PAT Overloading đư ợ c cấu hình theo hai cách tùy theo đ ị a chỉ IP công cộng đư ợ c cấp phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng chung một đ ị a chỉ IP công cộng duy nhất, đ ia jchỉ IP công cộng này chính là đ ị a chỉ của cổng giao tiểp trên Router nối về ISP. Sau đ ây là ví dụ cấu hình cho tình huống này: 498 Router (config) # access-list 1 permit 10.0.0.0 0.0.255.255 Router (config) ip nat inside source list 1 interface serial0/0 overload Bước Thực hiện 1 Ghi chú Tạo ACL đ ể cho phép những đ ị a chỉ nội bộ Trong chế đ ộ cấu hình nào đư ợ c chuyển đ ổ i. Router(config) # access-list acl-number toàn cục, gõ lệnh no access-list tương ứ ng. access-list- number đ ể xóa access-list permit source [source-wildcard] 2A Thiết lập mối liên quan giữa đ ị a chỉ nguồn đ ã Trong chế đ ộ cấu hình đư ợ c xác đ ị nh trong access-list ở bước trên với toàn cục, gõ lệnh no ip đ ị a chỉ đ ạ i diện là đ ị a chỉ của cổng kết nối với nat inside source đ ể xóa bên ngoài. Router (config) # ip nat inside source list acl- number interface interface overload sự chuyển đ ổ i đ ộ ng này. Từ khóa overload đ ể cho phép chạy PAT Hoặc 2B Khai báo dải đ ị a chỉ đ ạ i diện bên ngoài dùng overload. Router (config) ip nat pool name start-ip end- ip [netmask netmask / prefix - length prefix- length] Thiết lập chuyển đ ổ i overload giữa đ ị a chỉ nội bộ đ ã đư ợ c xác đ ị nh trong ACL ở bước 1 với dải đ ị a chỉ đ ạ i diện bên ngoài mới khai báo ở 499 trên. Router (config) # ip nat inside source list acl- number pool name overload 3 Xác đ ị nh cổng kết nối với mạng nội bộ. Router (config) # interface type number Router (config-if) # ip nat inside Sau khi gõ lệnh interface, dấu nhắc của dòng lệnh sẽ đư ợ c đ ổ i từ (config)# sang (config-if)# 4 Xác đ ị nh cổng kết nối với bên ngoài. Router (config) # interface type number Router (config-if) # ip nat outside. Một cách khác đ ể cấu hình Overload là khi ISP cung cấp một hoặc nhiều đ ị a chỉ IP công cộng đ ể cho hệ thống mạng khách hàng sử dụng làm dải đ ị a chỉ chuyển đ ổ i PAT. Cấu hình ví dụ cho tình huống này như sau: • Xác đ ị nh đ ị a chỉ nội bộ đư ợ c phép chuyển đ ổ i là 10.0.0.0/16: . chỉ IP. • Bảo vệ mạng an toàn vì mạng nội bộ không đ ể lộ đ ị a chỉ và cấu trúc bên trong ra ngoài. 1.1.4. Cấu hình NAT và PAT 493 1.1.4.1. Chuyển đổi cố định Đ ể cấu hình chuyển. nguồn 10.1.1 .2 của gói dữ liệu sang đ ị a chỉ 1 92. 168.1 .2 trước khi phát gói ra cổng s0. 1.1.4 .2. Chuyển đổi động Đ ể Chuyển đ ổ i đ ộ ng đ ị a chỉ nguồn bên trong, chúng ta cấu hình. inside và outside 495 Hình 1.1.4.b. Cấu hình NAT chuyển đ ổ i cố đ ị nh từ đ ị a chỉ 10.1.1 .2 sang 1 92. 168.1 .2. Khi có một gói dữ liệu từ host 10.1.1 .2 đư ợ c gửi ra ngoài internet, router