Giáo trình hệ tính CCNA Tập 4 P2

NAT là một cơ chế để tiết kiệm địa chỉ IP đăng kí trong một mạng lớn và giúp đơn giản hóa việc quản lý địa chỉ IP. Khi một gói dữ liệu được định tuyến trong một thiết bị mạng.
Nội dung trích xuất từ tài liệu:
Giáo trình hệ tính CCNA Tập 4 P2 494 Đánh dấu cổng này là cổng kết nối ra 6 mạng công cộng bên ngoài. Router (config-if) # ip nat outside Hình vẽ - 2 hình Hình 1.1.4.a Sự chuyển đổi địa chỉ sẽ được thưc hiện giữa hai cổng inside và outside 495 Hình 1.1.4.b. Cấu hình NAT chuyển đổi cố định từ địa chỉ 10.1.1.2 sang 192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2 được gửi ra ngoài internet, router GW sẽ chuyển đổi địa chỉ nguồn 10.1.1.2 của gói dữ liệu sang địa chỉ 192.168.1.2 trước khi phát gói ra cổng s0. 1.1.4.2. Chuyển đổi động Để Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau: Bước Thực hiện Ghi chú Xác định dải địa chỉ đại diện bên ngoài Trong chế độ cấu hình 1 toàn cục, gõ lệnh no ip Rourter (config) # ip nat pool name start-ip nat pool name để xóa dải end-ip [netmask netmask /prefix-length địa chỉ đại diên bên ngoài. prefix-length] Thiết lập ACL cơ bản cho phép những địa Trong chế độ cấu hình 2 chỉ nội bộ bên trong nào được chuyển đổi. toàn cục, gõ lệnh no access-list access-list- Router (config) # access-list access-list- number để xóa ACL đó. number permit source [source-wildcard] Thiết lập mối liên quan giữa địa chỉ nguồn Trong chế độ cấu hình 3 đã được xác định trong ACL ở bước trên với toàn cục, gõ lênh no ip dải địa chỉ đại diện bên ngoài: nat inside source để xóa sự chuyển đổi động này Router (config) # ip nat inside source list access-list-number pool name Xác định cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh 4 496 interface, dấu nhắc của Router (config) # interface type number dòng lệnh sẽ chuyển đổi từ config sang (config-if)# Đánh dấu cổng này là cổng kết nối vào mạng 5 nội bộ. Router (config-if) # ip nat inside Thóat khỏi chế độ cổng hiện tại. 6 Router (config) # exit Xác định cổng kết nối ra bên ngoài. 7 Router (config) # interface type number Đánh dấu cổng này là cổng kết nối ra bên 8 ngoài. Router (config) # ip nat outside Danh sách điều khiển truy cập (ACL – Access Control List) cho phép khai báo những địa chỉ nào được chuyển đổi. Bạn nên nhớ là kết thúc một ACL luôn có câu lệnh ẩn cấm tuyệt đối để tránh những kết quả không dự tính được khi một ACL có quá nhiều điều kiện cho phép. Cisco khuyến cáo là không nên dùng điều kiện cho phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn quá nhiều tài nguyên của Router và do đó có thể gây ra sự cố mạng. 497 Hình 1.1.4.c Xét ví dụ hình 1.1.4.c: Dải địa chỉ công cộng đại diện ben ngoài có tên là nat- pool1, bao gồm các địa chỉ từ 179.9.8.80 đến 179.9.95. Địa chỉ nội bộ bên trong được phép chuyển đổi được định nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255. Như vậy, gói dữ liệu nào trong mạng nội bộ đi ra ngoài Internet có địa chỉ nguồn nằm trong dải địa chỉ 10.1.0.0 – 10.1.0.255 sẽ được chuyển đổi địa chỉ nguồn sang một trong bất kỳ địa chỉ nào còn trống trong dải địa chỉ công cộng 179.9.8.80 – 179.9.8.95. Host 10.1.1.2 sẽ không được chuyển đổi địa chỉ vì địa chỉ của nó không được cho phép trong acces-list 1, do đó nó không truy cập được Internet. Overloading hay PAT Overloading được cấu hình theo hai cách tùy theo địa chỉ IP công cộng được cấp phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng chung một địa chỉ IP công cộng duy nhất, đia jchỉ IP công cộng này chính là địa chỉ của cổng giao tiểp trên Router nối về ISP. Sau đây là ví dụ cấu hình cho tình huống này: 498 Router (config) # access-list 1 permit 10.0.0.0 0.0.255.255 Router (config) ip nat inside source list 1 interface serial0/0 overload Bước Thực hiện Ghi chú Tạo ACL để cho phép những địa chỉ nội bộ Trong chế độ cấu hình 1 nào được chuyển đổi. toàn cục, gõ lệnh no access-list access-list- Router(config) # access-list acl-number number để xóa access-list permit source [source-wildcard] tương ứng. Thiết lập mối liên quan giữa địa chỉ nguồn đã Trong chế độ cấu hình 2A được xác định trong access-list ở bước trên với toàn cục, gõ lệnh no ip địa chỉ đại diện là địa chỉ của cổng kết nối với nat inside source để xóa sự chuyển đổi động này. bên ngoài. Từ khóa overload để ch ...