CHƯƠNG 8
421
NAT Network Address Translation
(cid:132) Khái niệm về NAT (cid:132) Static NAT (cid:132) Dynamic NAT (cid:132) PAT (Port Address Translation)
422
NAT Khái niệm về NAT
(cid:132) Được thiết kế để tiết kiệm địa chỉ IP. (cid:132) Cho phép mạng nội bộ sử dụng địa chỉ IP riêng. (cid:132) Địa chỉ IP riêng sẽ được chuyển đổi sang địa chỉ
công cộng định tuyến được.
(cid:132) Mạng riêng được tách biệt và giấu kín IP nội bộ. (cid:132) Thường sử dụng trên router biên của mạng một
cửa.
423
NAT Khái niệm về NAT
(cid:132) Địa chỉ cục bộ bên trong (Inside local
address): Địa chỉ được phân phối cho các host bên trong mạng nội bộ.
(cid:132) Địa chỉ toàn cục bên trong (Inside global
address): Địa chỉ hợp pháp được cung cấp bởi InterNIC (Internet Network Information Center) hoặc nhà cung cấp dịch vụ Internet, đại diện cho một hoặc nhiều địa chỉ nội bộ bên trong đối với thế giới bên ngoài.
424
NAT Khái niệm về NAT
(cid:132) Địa chỉ cục bộ bên ngoài (Outside local
address): Địa chỉ riêng của host nằm bên ngoài mạng nội bộ.
(cid:132) Địa chỉ toàn cục bên ngoài (Outside global address): Địa chỉ công cộng hợp pháp của host nằm bên ngoài mạng nội bộ.
425
NAT Khái niệm về NAT
426
NAT Khái niệm về NAT
WAN
Router
Router A with NAT Router A with NAT
SA = 193.50.30.4 SA = 193.50.30.4
DA = 192.50.20.5 DA = 192.50.20.5
SA = 10.47.10.10 SA = 10.47.10.10
Router Router Router B Router B
DA = 192.50.20.5 DA = 192.50.20.5
Router Router Net B
192.50.20.0 LAN LAN
S
I
E
M
E
N
S
N
I
X
D
O
R
F
S
I
E
M
E
N
S
N
IX
D
O
R
F
Net A
10.0.0.0
192.50.20.5 10.47.10.10
427
NAT Khái niệm về NAT
428
NAT Static NAT
429
Ánh xạ một – một
NAT Dynamic NAT và PAT
(cid:132) NAT động được thiết kế để ánh xạ một địa chỉ IP riêng sang một địa chỉ công cộng một cách tự động. Bất kỳ địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định trước đều có thể được gán cho một host bên trong mạng.
(cid:132) Overloading hoặc PAT (Port Address Translation) có thể ánh xạ nhiều địa chỉ IP sang một địa chỉ IP công cộng, mỗi địa chỉ riêng được phân biệt bằng số port.
430
WAN
NAT PAT
S
I
E
M
E
N
S
N
IX
D
O
R
F
PAT with PAT with WAN interface: WAN interface: 138.76.28.4 138.76.28.4
Router
138.76.29.7
Router
SA = 138.76.28.4, sport = 3017 SA = 138.76.28.4, sport = 3017 SA = 138.76.29.7, spor t= 23 SA = 138.76.29.7, spor t= 23
DA =138.76.29.7, dpor t= 23 DA =138.76.29.7, dpor t= 23 DA = 138.76.28.4, dport = 3017 DA = 138.76.28.4, dport = 3017
Router
SA = 10.0.0.10, sport = 3017 SA = 10.0.0.10, sport = 3017 SA = 138.76.29.7, spor t= 23 SA = 138.76.29.7, spor t= 23
S
I
E
M
E
N
S
N
IX
D
O
R
F
Net A 10.0.0.0/8
DA = 138.76.29.7, dpor t= 23 DA = 138.76.29.7, dpor t= 23 DA = 10.0.0.10, dport = 3017 DA = 10.0.0.10, dport = 3017
10.0.0.10
431
NAT PAT
432
NAT PAT
433
NAT Cấu hình Static NAT
• Tạo mối quan hệ chuyển đổi giữa địa chỉ local và global Router(config)#ip nat inside source static [local-ip] Router(config)#ip nat inside source static [local-ip] [global-ip] [global-ip] • Xác định cổng kết nối vào mạng bên trong
Router(config)#interface [type number] Router(config)#interface [type number]
• Đánh dấu cổng này là cổng kết nối vào mạng bên trong
Router(config-if)#ip nat inside Router(config-if)#ip nat inside
• Xác định cổng kết nối ra mạng bên ngoài Router(config-if)#exit Router(config-if)#exit Router(config)#interface [type number] Router(config)#interface [type number]
• Đánh dấu cổng này là cổng kết nối ra mạng bên ngoài
Router(config-if)#ip nat outside Router(config-if)#ip nat outside
434
NAT Cấu hình Static NAT
• Ví dụ:
Hostname GW Hostname GW
Ip nat inside source static 10.1.1.2 179.9.8.80 Ip nat inside source static 10.1.1.2 179.9.8.80
Interface ethernet 0 Interface ethernet 0 Ip address 10.1.1.1 255.0.0.0 Ip address 10.1.1.1 255.0.0.0 Ip nat inside Ip nat inside
Interface serial 0 Interface serial 0 Ip address 179.9.8.80 255.255.0.0 Ip address 179.9.8.80 255.255.0.0 Ip nat outside Ip nat outside
435
NAT Cấu hình Dynamic NAT
• Xác định dải địa chỉ đại diện bên ngoài
Router(config)#ip nat pool [name] [start-ip] [end-ip] Router(config)#ip nat pool [name] [start-ip] [end-ip] netmask [netmask] netmask [netmask] • Tạo ACL cơ bản để xác định dải địa chỉ bên trong Router(config)#access list [acl-number] permit source Router(config)#access list [acl-number] permit source [source-wildcard] [source-wildcard]
• Xác định quan hệ giữa địa chỉ nguồn và dải địa chỉ ngoài
Router(config)#ip nat inside source list [acl-number] pool Router(config)#ip nat inside source list [acl-number] pool [name] [name]
• Xác định cổng kết nối với mạng nội bộ và mạng ngoài
Router(config)#interface [type number] Router(config)#interface [type number] Router(config-if)#ip nat inside Router(config-if)#ip nat inside Router(config-if)#exit Router(config-if)#exit Router(config)#interface [type number] Router(config)#interface [type number] Router(config-if)#ip nat outside Router(config-if)#ip nat outside
436
NAT Cấu hình Dynamic NAT
437
NAT Cấu hình PAT
• Tạo ACL để xác định dải địa chỉ bên trong
Router(config)#access list [acl-number] permit Router(config)#access list [acl-number] permit source [source-wildcard] source [source-wildcard]
• Xác định mối quan hệ giữa địa chỉ nguồn và cổng kết nối
Router(config)#ip nat inside source list [acl- Router(config)#ip nat inside source list [acl- number] interface [interface] overload number] interface [interface] overload
• Xác định cổng kết nối với mạng nội bộ và mạng ngoài
Router(config)#interface [type number] Router(config)#interface [type number] Router(config-if)#ip nat inside Router(config-if)#ip nat inside Router(config-if)#exit Router(config-if)#exit Router(config)#interface [type number] Router(config)#interface [type number] Router(config-if)#ip nat outside Router(config-if)#ip nat outside
438
NAT Cấu hình PAT
439
NAT Xoá cấu hình NAT
440
NAT Kiểm tra cấu hình PAT
Hiển thị bảng NAT đang hoạt động: Hiển thị bảng NAT đang hoạt động:
Show ip nat translation Show ip nat translation
Hiển thị trạng thái hoạt động của NAT: Hiển thị trạng thái hoạt động của NAT:
Show ip nat statistics Show ip nat statistics
Kiểm tra hoạt động của NAT: Kiểm tra hoạt động của NAT:
Debug ip nat Debug ip nat
441
NAT Kiểm tra cấu hình PAT
442
