NAT and PAT toàn tập

NAT (Network Address Translation) là một chức năng của Router, cho phépchuyển dịch từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường NATđược dùng để chuyển dịch từ địa chỉ IP private sang IP public, cho phép cáchost từ mạng bên trong truy cập đến mạng công cộng (internet). Vị trí thực hiệnNAT là nơi (router) kết nối giữa hai mạng.
Nội dung trích xuất từ tài liệu:
NAT and PAT toàn tậpNAT and PAT toàn tậpNAT TRÊN THIẾT BỊ ROUTER1. Giới thiệuNAT (Network Address Translation) là một chức năng của Router, cho phépchuyển dịch từ một địa chỉ IP này thành một địa chỉ IP khác. Thông th ường NATđược dùng để chuyển dịch từ địa chỉ IP private sang IP public, cho phép cáchost từ mạng bên trong truy cập đến mạng công cộng (internet). Vị trí thực hi ệnNAT là nơi (router) kết nối giữa hai mạng.Địa chỉ private và địa chỉ publicĐịa chỉ privateĐược định nghĩa trong RFC 191810.0.0.0 – 10.255.255.255172.16.0.0 – 172.31.255.255192.168.0.0 – 192.168.255.255· Địa chỉ publicCác địa chỉ còn lại. Các địa chỉ public là các địa chỉ được cung cấp b ởi các t ổ ch ức cóthẩm quyền2. Static NATGiới thiệuStatic NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa ch ỉ khác, thôngthường là từ một địa chỉ nội bộ sang một địa chỉ công cộng và quá trình này đ ược càiđặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ được ánh xạ đ ược ch ỉ đ ịnh rõ ràngtương ứng duy nhất.Static NAT rất hữu ích trong trường hợp những host cần phải có đ ịa ch ỉ c ố đ ịnh đ ể truycập từ internet. Những host này có thể là những public server: mail server, webserver,....Cấu hình static - NATCác lệnh được sử dụng trong cấu hình Static-NAT:Router(config)#ip nat inside source static local_ip global_ipRouter(config-if)#ip nat insideRouter(config-if)#ip nat outsideÝ nghĩa các câu lệnh:- Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và đ ịa ch ỉ đ ại di ệnbên ngoài.Router(config)#ip nat inside source static local-ip global-ip- Xác định interface kết nối vào mạng bên trongRouter(config-if)#ip nat inside- Xác định interface kết nối ra mạng công cộng bên ngoàiRouter(config-fi)#ip nat outsideVí dụ:Cấu hình trên Router:Router(config)#ip nat inside sourece static 10.1.1.2 172.69.68.10Router(config)#interface Ethernet 0Router(config-if)#ip nat insideRouter(config)#interface serial 0Router(config-if)#ip nat outside2. Dynamic NATGiới thiệuDynamic NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa ch ỉ khác m ộtcách tự động, thông thường là ánh xạ từ một địa chỉ private sang m ột đ ịa ch ỉ public.Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng (public) đã đ ược đ ịnhtrước đều có thể được gán cho một host bên trong mạng (private).Cấu hình Dynamic NAT- Các câu lệnh dùng trong dynamic NATRouter(config)#ip nat pool name start_ip end_ip { netmask netmask | prefix-lengthprefix-length }Router(config)#access-list access-list-number permit source [source-wildcard]Router(config)#ip nat inside source list access-number pool pool-nameÝ nghĩa sử dụng của các câu lệnh như sau:- Xác định dải địa chỉ đại diện bên ngoài (public): các đ ịa ch ỉ NATRouter(config)# ip nat pool name start-ip end-ip [netmask netmask/prefix-length prefix-length]- Thiết lập ACL cho phép những địa chỉ nội bộ bên trong (private) nào đ ược chuy ển đ ổi: các địa chỉ được NATRouter(config)# access-list access-list-number pertmit source [source-wildcard]-Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL v ới dải đ ịa ch ỉđại diện ra bên ngoàiRouter(config)# ip nat inside source list access-list-number pool name- Xác định interface kết nối vào mạng nội bộRouter(config-if)# ip nat inside- Xác định interface kết nối ra bên ngoàiRouter(config-if)#ip nat outsideVí dụ:3. NAT OverloadGiới thiệuNAT Overload là một dạng của Dynamic NAT, nó thực hi ện ánh xạ nhi ều đ ịa ch ỉ privatethành một địa chỉ public (many – to – one) bằng cách s ử d ụng các ch ỉ s ố port khácnhau để phân biệt từng chuyển dịch. NAT Overload còn có tên g ọi là PAT (Port AddressTranslation).PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong đ ể phân bi ệt khi chuy ểnđổi. Số port được mã hóa 16 bit, do đó có t ới 65536 đ ịa ch ỉ n ội b ộ có th ể đ ược chuy ểnđổi sang một địa chỉ công cộng.Cấu hình NAT Overload- Dạng 1: Sử dụng chung một địa chỉ IP công cộng duy nhất.Router(config)#access-list access-number permit source source-wildcardRouter(config)#ip nat inside source list access-list-number interface interface overload- Dạng 2: ISP cung cấp nhiều địa chỉ IP công cộngXác định dãy địa chỉ bên trong cần chuyển dịch ra ngoài (private ip addresses range)Router(config)# access-list access-list-number permit source source-wildcardXác định dãy địa chỉ sẽ đại diện ra bên ngoài (public ip addresses pool)Router(config)# ip nat pool name start-ip end-ip [netmask netmask/prefix-length prefix-length]Thiết lập chuyển dịch động từ các địa chỉ bên trong thành địa ch ỉ bên ngoàiRouter(config)# ip nat inside source list acl-number pool name overloadXác định interface inside và outsideĐối với interface inside: router(config-if)#ip nat insideĐối với interface outside: router(config-if)#ip nat outside* PAP :R1------------------R2+ R1 :#conf t#hostname R1#username R2 password cisco(lệnh này có ý nghĩa tạo 1 cặp username và password đ ể khi R2 g ửi đ ến thì so sánhđể authen)#int s0#ip add.........#encapsulation PPP#ppp authentication pap ( chọn kiểu authen là pap )#ppp pap sent-username R1 password cisco(lệnh này có ý nghĩa là mình gửi cặp username password c ủa chính mình đ ến routerR2 đê authen )#clock rate.......(nếu là DCE)#no shut+R2 :#conf t#hostname R2#username R1 pass cisco#int s0#ip add#encapsulation PPP#PPP authentication pap#ppp pap sent-username R2 pass cisco#no shutCấu hình CHAP : 2 route R1 và R2 được kết nối trực tiếp với nhau nh ư trong c ấu hìnhPAP+ Cấu hình R1 :#conf t#hostname R1#username R2 password cisco#int s0#ip add < ip address & subnet mask >#encapsulation ppp#ppp authentication chap#ppp chap hostname R1#ppp chap password cisco#clockrate 64000#no shutCtrl+z#copy run start+ cấu hình R2 :#conf t#hostname R2#username R1 password cisco#int s0#ip add < ip address & subnet mask >#encapsulation ppp#ppp authen ...