Ở bài này chúng ta sẽ tiến hành cấu hình NAT bao gồm Static NAT, Dynamic NAT, NAT Overload (PAT) mỗi lại chúng ta sẽ có mô hình demo riêng cho đơn giản dễ nhìn.
- Định nghĩa một tuyến NAT
- Chỉ định cổng inside và outside trên Router
Cấu hình ở privileged mode:
ip nat inside source static <ip private cần NAT> <ip public>
Vào interface chỉ định outside và inside:
ip nat <outside/inside>
LAB:
Yêu cầu máy tính có IP 192.168.1.2 trong mạng LAN ra ngoài với địa chỉ ISP cung cấp là 35.35.35.35
Cấu hình:
Router NAT:
ip nat inside source static 192.168.1.2 35.35.35.35
interface f0/1
ip nat outside
interface f0/0
ip nat inside
Cấu hình tuyến default route lên ISP:
ip route 0.0.0.0 0.0.0.0 f0/1
Trên Router ISP định tuyến về chúng ta với IP mà họ cung cấp:
ip route 35.35.35.35 255.255.255.255 f0/0
ip route 35.35.35.1 255.255.255.255 f0/0
ip route 35.35.35.2 255.255.255.255 f0/0
ip route 196.169.1.1 255.255.255.255 f0/0
Static NAT:
Gồm các bước:
Kỹ thuật NAT đơn giản nhất với 1 IP private NAT ra ngoài bằng 1 IP public.
- Định nghĩa một tuyến NAT
- Chỉ định cổng inside và outside trên Router
Cấu hình ở privileged mode:
ip nat inside source static <ip private cần NAT> <ip public>
Vào interface chỉ định outside và inside:
ip nat <outside/inside>
LAB:
Yêu cầu máy tính có IP 192.168.1.2 trong mạng LAN ra ngoài với địa chỉ ISP cung cấp là 35.35.35.35
Cấu hình:
Router NAT:
ip nat inside source static 192.168.1.2 35.35.35.35
interface f0/1
ip nat outside
interface f0/0
ip nat inside
Cấu hình tuyến default route lên ISP:
ip route 0.0.0.0 0.0.0.0 f0/1
Trên Router ISP định tuyến về chúng ta với IP mà họ cung cấp:
ip route 35.35.35.35 255.255.255.255 f0/0
Dynamic NAT:
Các IP private ra ngoài bằng một dãy IP public mà ISP cung cấp. Số IP private được NAT ra ngoài cùng một lúc phụ thuộc vào số IP public mà ISP cung cấp, ví du: có 4 PC trong mạng LAN mà chúng ta thuê 3 IP public, khi 4PC này cùng truy cập ra ngoài thì chỉ có 3 PC được NAT, PC còn lại không ra ngoài được, khi một trong 3 PC kia hết truy cập ra ngoài thì PC này mới được NAT.
Gồm các bước:
- Định nghĩa dãy IP mà ISP cung cấp (pool)
- Định nghĩa những IP nào được NAT bằng access-list
- Định nghĩa tuyến NAT khi đã có 2 điều trên
- Chỉ định cổng inside và outside trên Router
Cấu hình:
Ở privileged mode:
- Định nghĩa dãy IP mà ISP cung cấp (pool):
ip nat pool <pool_name> <địa chỉ IP đầu> <địa chỉ IP cuối> netmask <netmask của dãy IP>
- Định nghĩa những IP nào được NAT bằng access-list:
ip access-list standard <ACL_name>
permit <mạng cần NAT ra ngoài> <wirldcard mask>
- Định nghĩa tuyến NAT khi đã có 2 điều trên:
ip nat inside source list <ACL_name> pool <pool_name>
- Chỉ định cổng inside và outside trên Router:
ip nat <inside/outside>
LAB:
NAT mạng 192.168.1.0 ra ngoài với dãy IP mà ISP cung cấp là 35.35.35.1-35.35.35.2
Cấu hình:
Router NAT:
ip nat pool NAT_IP 35.35.35.1 35.35.35.2 netmask 255.0.0.0
ip access-list standard NAT_LAN
permit 192.168.1.0 0.0.0.255
ip nat inside source list NAT_LAN pool NAT_IP
in f0/1
ip nat outside
in f0/0
ip nat inside
Cấu hình tuyến default route lên ISP:
ip route 0.0.0.0 0.0.0.0 f0/1
Trên Router IPS định tuyến về chúng ta với IP mà họ cung cấp:
ip route 35.35.35.2 255.255.255.255 f0/0
NAT Overload (PAT):
Đây là kỹ thuật NAT tiết kiệm nhất chỉ với 1 IP public chúng ta có thể NAT cho tất các các máy tính trong mạng LAN ra ngoài ở bất cứ thời điểm nào.
NAT Overload chúng ta có 2 loại là NAT với IP thuê từ ISP và NAT với chính IP của cổng kết nối với ISP, vì IP này cũng là IP public (nhằm tiết kiệm chi phí).
Gồm các bước:
- Định nghĩa IP mà ISP cung cấp nếu là pool, đối với NAT trực tiếp trên Interface thì không cần.
- Định nghĩa những IP nào được NAT bằng access-list
- Định nghĩa tuyến NAT khi đã có 2 điều trên
- Chỉ định cổng inside và outside trên Router
Cấu hình:
Ở privileged mode:
- Định IP mà ISP cung cấp, do chỉ NAT bằng 1 IP nên địa chỉ đầu và cuối là như nhau:
ip nat pool <pool_name> <địa chỉ IP đầu> <địa chỉ IP cuối> netmask <netmask của IP>
Lưu ý: Đối với NAT trực tiếp trên cổng thì không cần sử dụng lệnh này.
- Định nghĩa những IP nào được NAT bằng access-list:
ip access-list standard <ACL_name>
permit <mạng cần NAT ra ngoài> <wirldcard mask>
- Định nghĩa tuyến NAT khi đã có 2 điều trên:
ip nat inside source list <ACL_name> pool <pool_name> overload (đối với pool)
hoặc
ip nat inside source list <ACL_name> interface <tên cổng> overload
- Chỉ định cổng inside và outside trên Router:
ip nat <inside/outside>
LAB:
Yêu cầu NAT cho 2 VLAN 10,20 ra ngoài với IP cổng f0/1 của Router NAT (196.169.1.1)
Trên Router NAT có cấu hình routing VLANs, encapsulation trên sub-interface f0/0.10 và f0/0.20
Cấu hình:
Router NAT:
ip access-list standard NAT_VLANs
permit 192.168.10.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
ip nat inside source list NAT_VLANs interface f0/1 overload
in f0/0.10
ip nat inside
in f0/0.20
ip nat inside
Lưu ý: khi cấu hình nat inside đối với VLAN thì phải vào từng sub-interface cấu hình. Nếu đứng ở interface chính cấu hình thì sẽ không NAT được.
in f0/1
ip nat outside
Cấu hình tuyến default route lên ISP:
ip route 0.0.0.0 0.0.0.0 f0/1
Trên Router ISP định tuyến về chúng ta với IP cổng kết nối:
EmoticonEmoticon