NAT and PAT toàn tập

Chia sẻ: Phạm Văn Thuân | Ngày: | Loại File: DOCX | Số trang:7

Thêm vào BST

Báo xấu

217
lượt xem 91
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

NAT (Network Address Translation) là một chức năng của Router, cho phép chuyển dịch từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường NAT được dùng để chuyển dịch từ địa chỉ IP private sang IP public, cho phép các host từ mạng bên trong truy cập đến mạng công cộng (internet). Vị trí thực hiện NAT là nơi (router) kết nối giữa hai mạng.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: NAT and PAT toàn tập

NAT and PAT toàn tập NAT TRÊN THIẾT BỊ ROUTER 1. Giới thiệu NAT (Network Address Translation) là một chức năng của Router, cho phép chuyển dịch từ một địa chỉ IP này thành một địa chỉ IP khác. Thông th ường NAT được dùng để chuyển dịch từ địa chỉ IP private sang IP public, cho phép các host từ mạng bên trong truy cập đến mạng công cộng (internet). Vị trí thực hi ện NAT là nơi (router) kết nối giữa hai mạng. Địa chỉ private và địa chỉ public Địa chỉ private Được định nghĩa trong RFC 1918 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255 · Địa chỉ public Các địa chỉ còn lại. Các địa chỉ public là các địa chỉ được cung cấp b ởi các t ổ ch ức có thẩm quyền 2. Static NAT Giới thiệu Static NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa ch ỉ khác, thông thường là từ một địa chỉ nội bộ sang một địa chỉ công cộng và quá trình này đ ược cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ được ánh xạ đ ược ch ỉ đ ịnh rõ ràng tương ứng duy nhất. Static NAT rất hữu ích trong trường hợp những host cần phải có đ ịa ch ỉ c ố đ ịnh đ ể truy cập từ internet. Những host này có thể là những public server: mail server, web server,.... Cấu hình static - NAT Các lệnh được sử dụng trong cấu hình Static-NAT: Router(config)#ip nat inside source static local_ip global_ip
Router(config-if)#ip nat inside Router(config-if)#ip nat outside Ý nghĩa các câu lệnh: - Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và đ ịa ch ỉ đ ại di ện bên ngoài. Router(config)#ip nat inside source static local-ip global-ip - Xác định interface kết nối vào mạng bên trong Router(config-if)#ip nat inside - Xác định interface kết nối ra mạng công cộng bên ngoài Router(config-fi)#ip nat outside Ví dụ: Cấu hình trên Router: Router(config)#ip nat inside sourece static 10.1.1.2 172.69.68.10 Router(config)#interface Ethernet 0 Router(config-if)#ip nat inside Router(config)#interface serial 0 Router(config-if)#ip nat outside 2. Dynamic NAT Giới thiệu Dynamic NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa ch ỉ khác m ột cách tự động, thông thường là ánh xạ từ một địa chỉ private sang m ột đ ịa ch ỉ public. Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng (public) đã đ ược đ ịnh trước đều có thể được gán cho một host bên trong mạng (private). Cấu hình Dynamic NAT - Các câu lệnh dùng trong dynamic NAT Router(config)#ip nat pool name start_ip end_ip { netmask netmask | prefix-length prefix-length } Router(config)#access-list access-list-number permit source [source-wildcard] Router(config)#ip nat inside source list access-number pool pool-name Ý nghĩa sử dụng của các câu lệnh như sau: - Xác định dải địa chỉ đại diện bên ngoài (public): các đ ịa ch ỉ NAT Router(config)# ip nat pool name start-ip end-ip [netmask netmask/prefix-length prefix-
length] - Thiết lập ACL cho phép những địa chỉ nội bộ bên trong (private) nào đ ược chuy ển đ ổi : các địa chỉ được NAT Router(config)# access-list access-list-number pertmit source [source-wildcard] -Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL v ới dải đ ịa ch ỉ đại diện ra bên ngoài Router(config)# ip nat inside source list access-list-number pool name - Xác định interface kết nối vào mạng nội bộ Router(config-if)# ip nat inside - Xác định interface kết nối ra bên ngoài Router(config-if)#ip nat outside Ví dụ: 3. NAT Overload Giới thiệu NAT Overload là một dạng của Dynamic NAT, nó thực hi ện ánh xạ nhi ều đ ịa ch ỉ private thành một địa chỉ public (many – to – one) bằng cách s ử d ụng các ch ỉ s ố port khác nhau để phân biệt từng chuyển dịch. NAT Overload còn có tên g ọi là PAT (Port Address Translation). PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong đ ể phân bi ệt khi chuy ển đổi. Số port được mã hóa 16 bit, do đó có t ới 65536 đ ịa ch ỉ n ội b ộ có th ể đ ược chuy ển đổi sang một địa chỉ công cộng. Cấu hình NAT Overload - Dạng 1: Sử dụng chung một địa chỉ IP công cộng duy nhất. Router(config)#access-list access-number permit source source-wildcard Router(config)#ip nat inside source list access-list-number interface interface overload - Dạng 2: ISP cung cấp nhiều địa chỉ IP công cộng Xác định dãy địa chỉ bên trong cần chuyển dịch ra ngoài (private ip addresses range) Router(config)# access-list access-list-number permit source source-wildcard Xác định dãy địa chỉ sẽ đại diện ra bên ngoài (public ip addresses pool)
Router(config)# ip nat pool name start-ip end-ip [netmask netmask/prefix-length prefix- length] Thiết lập chuyển dịch động từ các địa chỉ bên trong thành địa ch ỉ bên ngoài Router(config)# ip nat inside source list acl-number pool name overload Xác định interface inside và outside Đối với interface inside: router(config-if)#ip nat inside Đối với interface outside: router(config-if)#ip nat outside * PAP : R1------------------R2 + R1 : #conf t #hostname R1 #username R2 password cisco (lệnh này có ý nghĩa tạo 1 cặp username và password đ ể khi R2 g ửi đ ến thì so sánh để authen) #int s0 #ip add......... #encapsulation PPP #ppp authentication pap ( chọn kiểu authen là pap ) #ppp pap sent-username R1 password cisco (lệnh này có ý nghĩa là mình gửi cặp username password c ủa chính mình đ ến router R2 đê authen ) #clock rate.......(nếu là DCE) #no shut +R2 : #conf t #hostname R2 #username R1 pass cisco #int s0
#ip add #encapsulation PPP #PPP authentication pap #ppp pap sent-username R2 pass cisco #no shut Cấu hình CHAP : 2 route R1 và R2 được kết nối trực tiếp với nhau nh ư trong c ấu hình PAP + Cấu hình R1 : #conf t #hostname R1 #username R2 password cisco #int s0 #ip add < ip address & subnet mask > #encapsulation ppp #ppp authentication chap #ppp chap hostname R1 #ppp chap password cisco #clockrate 64000 #no shut Ctrl+z #copy run start + cấu hình R2 : #conf t #hostname R2 #username R1 password cisco #int s0 #ip add < ip address & subnet mask > #encapsulation ppp #ppp authentication chap #ppp chap hostname R2 #ppp chap password cisco #clockrate 64000
#no shut Ctrl+z #copy run start Khi cấu hình CHAP: R1----------------------R2 Mỗi đầu phải có khai báo username và password, username bên R1 ph ải là tên hostname của R2 và username khai báo bên R2 là hostname c ủa R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname" Quá trình diễn ra xác thực bằng CHAP như sau: R1: hostname R1 username R2 password cisco R2: hostname R2 username R1 password cisco username R3 password cisco1 1. R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đ ồng th ời dùng thu ật toán hashing để mã hóa password (ở đây là cisco), nh ưng ko g ửi password này đi 2. R2 check danh sách username (nếu cấu hình nhiều username) đ ể tìm ra username nào giống hostname R1 (ở đây là username R1) 3. Sau khi tìm được username đó, nó dùng thu ật toán hashing đ ể mã hóa password tương ứng với username đó (ở đây password là cisco)
4. Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó t ự mã hóa trong bước 1 với password mã hóa mà nó vừa nhận đ ược t ừ R2, nếu 2 cái này giống nhau thì xác thực thành công. Không giống như PAP truyền password clear-text, CHAP không truyền password d ạng clear-text mà password chỉ được truyền sau khi đã mã hóa. Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? ng ười ta dùng l ệnh này trong trường hợp tên hostname và username khác nhau. Theo ví d ụ ở trên khi xác th ực thì R1 sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" n ữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco". Ph ải làm nh ư th ế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong m ạng c ủa ĐV1 thì đặt tên hostname Router theo một quy t ắc của họ, và mạng ĐV2 l ại đ ặt Database username theo quy tắc của họ và không bên nào muốn sửa lại giá tr ị này. Khi đó n ếu ĐV 1 muốn quay số sang ĐV 2 thì phải có lệnh: "ppp chap hostname " Còn trong trường hợp người ta chỉ muốn xác thực một chiều. VD nh ư khi thuê bao quay số từ Router của mình sang Router của ISP thì ch ỉ cần Router c ủa ISP xác th ực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng l ệnh sau trong c ấu hình c ủa thuê bao: "ppp authentication chap callin"