CÔNG VIỆC CỦA CHÚNG TÔI

+ Đào tạo & hỗ trợ thi & Cấp chứng chỉ Ứng dụng CNTT cơ bản, nâng cao
+ Cung cấp dịch vụ Thiết kế - Lập trình web
+ Các giải pháp triển khai - quản trị hệ thống mạng doanh nghiệp
+ ĐÀO TẠO CHUYÊN NGHIỆP: LẬP TRÌNH (C, .Net, ASP.net, PHP, Thiết kế Đồ họa

Lab cấu hình NAT trên thiết bị cisco






Ở bài này chúng ta sẽ tiến hành cấu hình NAT bao gồm Static NAT, Dynamic NAT, NAT Overload (PAT) mỗi lại chúng ta sẽ có mô hình demo riêng cho đơn giản dễ nhìn.

Static NAT:
Kỹ thuật NAT đơn giản nhất với 1 IP private NAT ra ngoài bằng 1 IP public.
Gồm các bước:
- Định nghĩa một tuyến NAT
- Chỉ định cổng inside và outside trên Router 
Cấu hình ở privileged mode:
ip nat inside source static <ip private cần NAT> <ip public>

Vào interface chỉ định outside và inside:
ip nat <outside/inside>

LAB:


Yêu cầu máy tính có IP 192.168.1.2 trong mạng LAN ra ngoài với địa chỉ ISP cung cấp là 35.35.35.35

Cấu hình:
Router NAT:
ip nat inside source static 192.168.1.2 35.35.35.35

interface f0/1
ip nat outside

interface f0/0
ip nat inside

Cấu hình tuyến default route lên ISP:
ip route 0.0.0.0 0.0.0.0 f0/1

Trên Router ISP định tuyến về chúng ta với IP mà họ cung cấp:

ip route 35.35.35.35 255.255.255.255 f0/0

Dynamic NAT:
Các IP private ra ngoài bằng một dãy IP public mà ISP cung cấp. Số IP private được NAT ra ngoài cùng một lúc phụ thuộc vào số IP public mà ISP cung cấp, ví du: có 4 PC trong mạng LAN mà chúng ta thuê 3 IP public, khi 4PC này cùng truy cập ra ngoài thì chỉ có 3 PC được NAT, PC còn lại không ra ngoài được, khi một trong 3 PC kia hết truy cập ra ngoài thì PC này mới được NAT.
Gồm các bước:
- Định nghĩa dãy IP mà ISP cung cấp (pool)
- Định nghĩa những IP nào được NAT bằng access-list
- Định nghĩa tuyến NAT khi đã có 2 điều trên
- Chỉ định cổng inside và outside trên Router

Cấu hình:
Ở privileged mode:
- Định nghĩa dãy IP mà ISP cung cấp (pool):
ip nat pool <pool_name> <địa chỉ  IP đầu> <địa chỉ IP cuối> netmask <netmask của dãy IP>

- Định nghĩa những IP nào được NAT bằng access-list:
ip access-list standard <ACL_name>
permit <mạng cần NAT ra ngoài> <wirldcard mask>

- Định nghĩa tuyến NAT khi đã có 2 điều trên:
ip nat inside source list <ACL_name> pool <pool_name>

- Chỉ định cổng inside và outside trên Router:
ip nat <inside/outside>

LAB:

NAT mạng 192.168.1.0 ra ngoài với dãy IP mà ISP cung cấp là 35.35.35.1-35.35.35.2

Cấu hình:
Router NAT:

ip nat pool NAT_IP 35.35.35.1 35.35.35.2 netmask 255.0.0.0



ip access-list standard NAT_LAN

permit 192.168.1.0 0.0.0.255



ip nat inside source list NAT_LAN pool NAT_IP



in f0/1

ip nat outside


in f0/0
ip nat inside

Cấu hình tuyến default route lên ISP:
ip route 0.0.0.0 0.0.0.0 f0/1

Trên Router IPS định tuyến về chúng ta với IP mà họ cung cấp:
ip route 35.35.35.1 255.255.255.255 f0/0
ip route 35.35.35.2 255.255.255.255 f0/0


NAT Overload (PAT):
Đây là kỹ thuật NAT tiết kiệm nhất chỉ với 1 IP public chúng ta có thể NAT cho tất các các máy tính trong mạng LAN ra ngoài ở bất cứ thời điểm nào.
NAT Overload chúng ta có 2 loại là NAT với IP thuê từ ISP và NAT với chính IP của cổng kết nối với ISP, vì IP này cũng là IP public (nhằm tiết kiệm chi phí).
Gồm các bước:
- Định nghĩa IP mà ISP cung cấp nếu là pool, đối với NAT trực tiếp trên Interface thì không cần.
- Định nghĩa những IP nào được NAT bằng access-list
- Định nghĩa tuyến NAT khi đã có 2 điều trên
- Chỉ định cổng inside và outside trên Router

Cấu hình:
Ở privileged mode:
- Định IP mà ISP cung cấp, do chỉ NAT bằng 1 IP nên địa chỉ đầu và cuối là như nhau:
ip nat pool <pool_name> <địa chỉ  IP đầu> <địa chỉ IP cuối> netmask <netmask của IP>
Lưu ý: Đối với NAT trực tiếp trên cổng thì không cần sử dụng lệnh này.

- Định nghĩa những IP nào được NAT bằng access-list:
ip access-list standard <ACL_name>
permit <mạng cần NAT ra ngoài> <wirldcard mask>

- Định nghĩa tuyến NAT khi đã có 2 điều trên:
ip nat inside source list <ACL_name> pool <pool_name> overload (đối với pool)
hoặc
ip nat inside source list <ACL_name> interface <tên cổng> overload

- Chỉ định cổng inside và outside trên Router:
ip nat <inside/outside>

LAB:

Yêu cầu NAT cho 2 VLAN 10,20 ra ngoài với IP cổng f0/1 của Router NAT (196.169.1.1)
Trên Router NAT có cấu hình routing VLANs, encapsulation trên sub-interface f0/0.10 và f0/0.20

Cấu hình:
Router NAT:
ip access-list standard NAT_VLANs

permit 192.168.10.0 0.0.0.255

permit 192.168.20.0 0.0.0.255



ip nat inside source list NAT_VLANs interface f0/1 overload

in f0/0.10
ip nat inside
in f0/0.20
ip nat inside
Lưu ý: khi cấu hình nat inside đối với VLAN thì phải vào từng sub-interface cấu hình. Nếu đứng ở interface chính cấu hình thì sẽ không NAT được.

in f0/1
ip nat outside



Cấu hình tuyến default route lên ISP:
ip route 0.0.0.0 0.0.0.0 f0/1

Trên Router ISP định tuyến về chúng ta với IP cổng kết nối:
ip route 196.169.1.1 255.255.255.255 f0/0






địa chỉ local và global trong NAT

Bài viết này cho phép các bạn định nghĩa và hiểu rõ các khái niệm sau về NAT (Network Address Translation): inside local,inside global, outside local, và outside global.
Định nghĩa các thuật ngữ: Cisco định nghĩa các thuật ngữ được sử dụng trong NAT như sau:

- Inside local address: Địa chỉ IP được gán cho một host của mạng trong. Đây là địa chỉ được cấu hình như là một tham số của hệ điều hành trong máy tính hoặc được gán một cách tự động thông qua các giao thức như DHCP. Địa chỉ này không phải là những địa chỉ IP hợp lệ được cấp bởi NIC (Network Information Center) hoặc nhà cung cấp dịch vụ Internet.

- Inside global address: Là một địa chỉ hợp lệ được cấp bởi NIC hoặc một nhà cung cấp dịch vụ trung gian. Địa chỉ này đại diện cho một hay nhiều địa chỉ IP inside local trong việc giao tiếp với mạng bên ngoài.

- Outside local address: Là địa chỉ IP của một host thuộc mạng bên ngoài, các host thuộc mạng bên trong sẽ nhìn host thuộc mạng bên ngoài thông qua địa chỉ này. Outside local không nhất thiết phải là một địa chỉ hợp lệ trên mạng IP (có thể là địa chỉ private).

- Outside global address: Là địa chỉ IP được gán cho một host thuộc mạng ngoài bởi người sở hữu host đó. Địa chỉ này được gán bằng một địa chỉ IP hợp lệ trên mạng Internet.

Trên đây là các định nghĩa kinh điển của Cisco, tuy nhiên nó không được dễ hiểu cho lắm và đôi khi gây cho chúng ta không ít nhầm lẫn. Trước khi đi vào các ví dụ, ta định nghĩa lại các thuật ngữ trên theo một cách dễ hiểu hơn. Trước hết bạn phải nhớ kỹ rằng khái niệm khái niệm “inside” và “outside” của NAT là các giao diện được cấu hình bởi câu lệnh ip nat inside and ip nat outside. Các mạng nào nối đến các giao diện này sẽ có vai trò inside và outside tương ứng.

- Local address: Là địa chỉ xuất hiện trong phần “inside” của một network.
- Global address: Là địa chỉ xuất hiện trong phần “outside” của một network.

Các gói tin bắt nguồn từ phần mạng “inside” sẽ có địa chỉ source IP là địa chỉ kiểu “inside local” và destination IP là “ouside local” khi nó còn ở trong phần mạng “inside”. Cũng gói tin đó, khi được chuyển ra mạng “outside” source IP address sẽ được chuyển thành "inside global address" và địa destination IP của gói tin sẽ là “outside global address”

Ngược lại, khi một gói tin bắt nguồn từ một mạng “outside”, khi nó còn đang ở mạng “outside” đó, địa chỉ source IP của nó sẽ là "outside global address", địa chỉ destination IP sẽ là "inside global address". Cũng gói tin đó khi được chuyển vào mạng “inside”, địa chỉ source sẽ là "outside local address" và địa chỉ destination của gói tin sẽ là "inside local address".

Ví dụ trong hình sau:


 Các ví dụ minh họa
Các phần sau đây sẽ tìm hiểu sâu hơn các thuật ngữ trên sử dụng topo đơn giản như sau
 Định nghĩa các địa chỉ inside local và inside global
Trong ví dụ này ở giữa sẽ được cấu hình NAT để phiên dịch địa chỉ . Khi nhận được một gói tin từ mạng trong đi ra ngoài có địa chỉ source IP là 10.10.10.1 thì địa chỉ này sẽ được router đổi thành 171.16.68.5 trước khi đi ra ngoài. Và ngược lại khi router nhận được gói tin có địa chỉ destination IP là 171.16.68.5 đi từ mạng ngoài vào thì nó sẽ phiên dịch thành địa chỉ destination IP là 10.10.10.1


ip nat inside source static 10.10.10.1    171.16.68.5
!--- Inside device A is known by the outside cloud as 171.16.68.5.

interface s0
ip nat inside

interface s1
ip nat outside
Khi thiết bị bên trong giao tiếp với thiết bị bên ngoài, các địa chỉ được định nghĩa như sau:


Như đã nói ở trên, các địa chỉ là địa chỉ xuất hiện trong đám mây mạng inside. Các địa chỉ global là địa chỉ xuất hiện trong đám mây outside. Do cách NAT được cấu hình trong ví dụ này chỉ để phiên dịch các địa chỉ inside, địa chỉ “inside local” sẽ khác địa chỉ “inside global” trong khi địa chỉ “outside local” và “outside global” thì hoàn toàn giống nhau.



Hình sau minh họa gọi tin khi nó ở trong mạng inside và outside.


Định nghĩa các địa chỉ outside local và outside global
Trong ví dụ cấu hình tiếp theo, khi NAT router nhận một packet ở giao diện outside với địa chỉ source là 171.16.68.1, địa chỉ này sẽ được phiên dịch là 10.10.10.5. Điều này cũng có nghĩa là nếu router NAT nhận được một packet trên giao diện inside của nó với một địa chỉ destination là 10.10.10.5, địa chỉ đích đó sẽ được phiên dịch thành 171.16.68.1

ip nat outside source static 171.16.68.1 10.10.10.5
!--- Outside device A is known to the inside cloud as 10.10.10.5.

interface s 0
ip nat inside

interface s 1
ip nat outside


Khi thiết bị bên trong giao tiếp với thiết bị bên ngoài, các địa chỉ được định nghĩa như sau:


Các địa chỉ là địa chỉ xuất hiện trong đám mây mạng inside. Các địa chỉ global là địa chỉ xuất hiện trong đám mây outside. Do cách NAT được cấu hình trong ví dụ này chỉ để phiên dịch các địa chỉ outside, địa chỉ “outside local” sẽ khác địa chỉ “outside global” trong khi địa chỉ “inside local” và “inside global” thì hoàn toàn giống nhau.

Hình sau minh họa gọi tin khi nó ở trong mạng inside và outside.


Định nghĩa địa chỉ Local và Global
Trong ví dụ cấu hình cuối cùng này, router NAT được cấu hình để thực hiện việc phiên dịch địa chỉ như sau: khi router này nhận được một packet ở giao diện inside với địa chỉ source là 10.10.10.1, địa chỉ này sẽ được phiên dịch thành 171.16.68.5. Khi NAT router này nhận được một gói tin ở giao diện outside với địa chỉ source là 171.16.68.1, địa chỉ này sẽ được phiên dịch thành 10.10.10.5.

Điều này cũng có nghĩa là khi NAT router nhận được một gói tin ở giao diện outside với địa chỉ destination là 171.16.68.5, địa chỉ này sẽ được phiên dịch thành 10.10.10.1. Đồng thời, khi NAT nhận được một gói tin ở giao diện inside của nó với một địa chỉ destination là 10.10.10.5 thì địa chỉ này sẽ được phiên dịch thành 171.16.68.1.

ip nat inside source static 10.10.10.1 171.16.68.5
!--- Inside device A is known to the outside cloud as 171.16.68.5.

ip nat outside source static 171.16.68.1 10.10.10.5
!--- device A is known to the inside cloud as 10.10.10.5.

interface s 0
ip nat inside

interface s 1
ip nat outside


Khi thiết bị bên trong giao tiếp với thiết bị bên ngoài, các địa chỉ được định nghĩa như sau:


Một lần nữa chúng ta để ý rằng địa chỉ local là các địa chỉ xuất hiện trong mạng inside và địa chỉ global là địa chỉ xuất hiện trong mạng outside. Trong trường hợp đặc biệt này, do cách cấu hình NAT, cả địa chỉ “inside” và địa chỉ “outside” đều được phiên dịch dó vậy địa chỉ “inside local” sẽ khác địa chỉ “inside global” và địa chỉ “outside local” cũng sẽ khác địa chỉ “outside global”

Hình sau minh họa gọi tin khi nó ở trong mạng inside và outside.



Nói tóm lại, các thuật ngữ “local” và “global” sẽ dế hiểu hơn rất nhiều nếu chúng ta xem xét đến vị trí của nó khi xuất hiệnt rong mạng. Địa chỉ local chỉ xuất hiện trong phần “inside” của mạng trong khi địa chỉ global chỉ xuất hiện trong phần “outside” của mạng. Đồng thời phụ thuộc vào cách mà NAT được cấu hình, các địa chỉ global và local trên mỗi giao diện (inside hay outside) sẽ có thể giống hoặc không giống nhau.