Cấu Hình NAT, PAT Trên Thiết Bị định Tuyến Router Cisco

Trang chủ » Câu Lệnh Nat Trong Cisco » Cấu Hình NAT, PAT Trên Thiết Bị định Tuyến Router Cisco

Có thể bạn quan tâm

Đăng nhập

Trang chủ Diễn đàn > Diễn đàn mạng máy tính > Mạng-Network > Routing > Cấu hình NAT, PAT trên thiết bị định tuyến Router Cisco

Thảo luận trong 'Routing' bắt đầu bởi vankhoa, 4/10/17.

  1. vankhoa

    vankhoa New Member

    Bài viết sau sẽ giới thiệu đến bạn đọc một số lệnh cơ bản thông dụng, thường hay dùng khi cấu hình NAT trên thiết bị Router Cisco. upload_2017-10-4_15-13-27.jpeg ​ 1- Cấu hình Static NAT Router(config) # ip nat inside source static [inside_local_address] [inside_global_address] - Cấu hình Static PAT Router(config) # ip nat inside source static [protocol] [inside_local_address port] [inside_global_address port] Ví dụ: Router(config) # ip nat inside source static 10.0.0.1 202.103.2.1 (Địa chỉ 10.10.0.1 sẽ được chuyển thành 202.103.2.1 khi đi ra khỏi Router) Router(config) # ip nat inside source static tcp 10.0.0.1 8080 202.103.2.1 80 (Địa chỉ 10.10.0.1:8080 sẽ được chuyển thành 202.103.2.1:80 khi đi ra khỏi Router) - Sau khi cấu hình xong phải áp dụng vào cổng in và cổng out, trong ví dụ dưới đây, cổng Ethernet là công in, còn cổng Serial là cổng out Router(config) # interface ethernet 0 Router(config-if) # ip nat inside Router(config) # interface serial 0 Router(config-if) # ip nat outside 2- Cấu hình Dynamic NAT Router(config) # ip nat pool [tên pool] [start_IP end_IP] netmask [subnet mask] Router(config) # ip nat inside source list [#ACL] pool [tên pool] Router(config) # access-list [#ACL] permit [IP] [wildcard mask] Ví dụ: Router(config) # ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0 Router(config) # ip nat inside source list 1 pool nat-pool1 Router(config) # access-list 1 permit 10.1.0.0 0.0.0.255 +Sau đó áp vào cổng In và Out như Static NAT Router(config) # interface ethernet 0 Router(config-if) # ip nat inside Router(config) # interface serial 0 Router(config-if) # ip nat outside Note: Giải địa chỉ inside local address và inside global address phải nằm trong giải cho phép của ACL 3- Cấu hình NAT overload - Cấu hình overload với 1 địa chỉ IP cụ thể Router(config) # ip nat pool [tên_pool] [ip_global_inside] [subnet mask] Router(config) # ip nat inside source list [# ACL] pool [tên_pool] overload Router(config) # access-list [#ACL] permit [IP] [wildcard mask] Ví dụ: Router(config) # ip nat pool nat-pool2 179.9.8.20 255.255.255.240 Router(config) # ip nat inside source list 2 pool nat-pool2 overload Router(config) # access-list 2 permit 10.0.0.0 0.0.0.255 - Cấu hình overload dùng địa chỉ của cổng ra (Thường xuyên được dùng hơn là trường hợp trên) Router(config) # ip nat inside source list [#ACL] interface [cổng_ra] overload Router(config) # access-list [#ACL] permit [IP] [wildcard mask] Ví dụ: Router(config) # ip nat inside source list 3 interface serial 0 overload Router(config) # access-list 3 permit 10.0.0.0 0.0.0.255 4- Các lệnh Clear NAT/PAT Router # clear ip nat translation {* | [inside global-ip local-ip] [outside local-ip global-ip]} Router # clear ip nat translation protocol {[inside global-ip global-port local-ip local-port] | [outside local-ip global-ip]} - Lệnh xóa tất cả dynamic nat trên toàn bộ các interface. Router # clear ip nat translation * - Lệnh xóa các single nat trên từng interface Router # clear ip nat translation [inside/outside] [global ip - local ip] - Lệnh xóa các extended nat trên từng interface Router # clear ip nat translation protocol [inside/outside] [global ip - global port – local ip – local port] 5- Kiểm tra và Debug các NAT và PAT Router # show ip nat translation Router # show ip nat statistics Router # debug ip nat Hy vọng bài viết sẽ giúp ích cho các bạn trong việc quản trị hệ thông mạng IT. Bài viết liên quan: - Tìm hiểu về địa chỉ local và global trong NAT
    vankhoa, 4/10/17 #1 baogum thích bài này.
  2. bknet123

    bknet123 New Member

    Cấu hình NAT trên Bộ định tuyến Cisco Step-by-Step (PAT, Static NAT, Port Redirection) Việc cạn kiệt không gian địa chỉ IPv4 công cộng đã buộc cộng đồng internet phải suy nghĩ về các cách thay thế để xác định địa chỉ cho các máy chủ nối mạng. Network Address Translation (NAT) đã được giới thiệu để khắc phục các vấn đề giải quyết này xảy ra với sự mở rộng nhanh chóng của Internet. Ngay cả khi NAT được đề xuất như một giải pháp tạm thời, nó đã được tất cả các nhà sản xuất phần cứng mạng áp dụng và được coi là một công nghệ rất hữu ích, không chỉ để bảo tồn địa chỉ IP mà còn cho nhiều mục đích khác bao gồm cả bảo mật. Về cơ bản NAT cho phép một thiết bị mạng duy nhất (ví dụ như bộ định tuyến (Router Cisco), tường lửa(Firewall Cisco), v.v.) hoạt động như một tác nhân giữa mạng cục bộ riêng và mạng công cộng như Internet. Mục đích của thiết bị NAT này là dịch các địa chỉ IP nguồn của các máy chủ mạng nội bộ thành các địa chỉ IP có thể định tuyến công cộng để giao tiếp với Internet. Một số lợi ích của việc sử dụng NAT trong mạng IP như sau:
    • NAT giúp giảm thiểu sự cạn kiệt của không gian địa chỉ IP công cộng toàn cầu
    • Các mạng hiện có thể sử dụng không gian địa chỉ riêng RFC 1918 trong nội bộ và vẫn có cách truy cập Internet bằng NAT.
    • NAT tăng cường bảo mật bằng cách ẩn sơ đồ địa chỉ và cấu trúc liên kết mạng nội bộ.
    Các bộ định tuyến Cisco IOS hỗ trợ các loại NAT khác nhau sẽ được giải thích bên dưới. NAT có nhiều dạng và có thể hoạt động theo một số cách, nhưng trong bài đăng này, sẽ giải thích các dạng NAT quan trọng nhất. Đối với 2 tình huống tiếp theo, sẽ sử dụng mạng đơn giản sau: [​IMG]​1. Overloading or Port Address Translation (PAT) Đây là dạng NAT được sử dụng thường xuyên nhất trong mạng IP. Nó sử dụng khái niệm dịch “many-to-one” trong đó nhiều kết nối từ các máy chủ nội bộ khác nhau được “ghép” thành một địa chỉ IP đã đăng ký (public) sử dụng các ports nguồn khác nhau. Loại NAT này cho phép tối đa 65.536 kết nối nội bộ được dịch thành một IP công cộng (public). Loại NAT này rất hữu ích trong các tình huống mà ISP chỉ chỉ định cho chúng ta một địa chỉ IP công cộng, như thể hiện trên sơ đồ bên dưới. Tất cả các địa chỉ IP của mạng LAN (192.168.1.0/24) sẽ được dịch bằng cách sử dụng IP công cộng (public) của bộ định tuyến (20.20.20.1). interface FastEthernet0/0 ip address 20.20.20.1 255.255.255.0 ip nat outside ! interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 interface FastEthernet0/0 overload 2. Static Port Address Translation (Port Redirection) Giả sử bây giờ chúng ta chỉ có một địa chỉ IP công cộng là địa chỉ được cấu hình trên giao diện bên ngoài của bộ định tuyến biên. Các lưu lượng truy cập vào IP công cộng 20.20.20.1 của bộ định tuyến của trên cổng 80 được chuyển hướng đến Máy chủ web nội bộ tại IP 192.168.1.10 interface FastEthernet0/0 ip address 20.20.20.1 255.255.255.0 ip nat outside ! interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ! ip nat inside source static tcp 192.168.1.10 80 20.20.20.1 80 3. Cấu hình NAT tĩnh (Static NAT) NAT có thể được thực hiện cả tĩnh và động. NAT tĩnh chỉ đơn giản là ánh xạ một địa chỉ IP riêng thành một địa chỉ IP công cộng duy nhất và đây là NAT mà chúng ta đang thảo luận trong phần này. Một bộ định tuyến Cisco Router thực hiện NAT chia nó thành bên trong (inside) và bên ngoài (outside). Thông thường, bên trong là một doanh nghiệp, và bên ngoài là Internet công cộng. Ngoài khái niệm bên trong và bên ngoài, bộ định tuyến NAT của Cisco phân loại địa chỉ là cục bộ (local) hoặc toàn cầu (global). Địa chỉ cục bộ (local) là địa chỉ được các thiết bị bên trong nhìn thấy và địa chỉ toàn cầu (global) là địa chỉ được các thiết bị bên ngoài nhìn thấy. Với bốn thuật ngữ này, địa chỉ có thể là một trong bốn loại: 1. Địa chỉ cục bộ bên trong (Inside local addresses) được gán cho các thiết bị bên trong. Những địa chỉ này không được quảng cáo ra bên ngoài. 2. Địa chỉ toàn cầu bên trong (Inside global) là những địa chỉ mà bên trong các thiết bị được biết đến với bên ngoài. 3. Bên ngoài cục bộ (Outside local) là các địa chỉ mà các thiết bị bên ngoài được biết đến bên trong. 4. Địa chỉ toàn cầu bên ngoài (Outside global) được gán cho các thiết bị bên ngoài. Những địa chỉ này không được quảng cáo cho bên trong. Chúng ta hãy chuyển ngay sang cấu hình NAT tĩnh trên bộ định tuyến Cisco Router như thể hiện trong Hình bên dưới: [​IMG]​R1 là bộ định tuyến thực hiện dịch địa chỉ mạng (NAT) và có hai giao diện: Fa0 / 0 ở bên trong và Fa0 / 1 ở bên ngoài. Các địa chỉ IP cụ thể có liên quan là: [​IMG]​Bạn có thể biết rất rõ cách cấu hình địa chỉ IP trên giao diện bộ định tuyến, vì vậy ta bỏ qua các bước cấu hình đó. Đầu tiên, chúng ta phải gán Fa0 / 0 làm NAT bên trong giao diện và Fa0 / 1 làm NAT bên ngoài giao diện trên R1. Điều này sẽ cho bộ định tuyến biết rằng lưu lượng truy cập vào hoặc ra hai giao diện này sẽ phụ thuộc vào dịch địa chỉ. R1#conf terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Fa0/0 R1(config-if)#ip nat inside R1(config-if)#interface Fa0/1 R1(config-if)#ip nat outside R1(config-if)#end Bây giờ chúng ta sẽ cho bộ định tuyến biết cách thực hiện dịch địa chỉ và đề cập đến địa chỉ IP nào (nguồn hoặc đích) để ghi lại trong các gói di chuyển giữa giao diện bên trong và bên ngoài. R1(config)#ip nat inside source static 192.168.1.2 89.203.12.47 Ở đây, chúng ta đang yêu cầu bộ định tuyến thực hiện NAT trên các gói đi vào bộ định tuyến trên giao diện bên trong Fa0 / 0. Cụ thể hơn, bộ định tuyến sẽ xác định gói nào trong số các gói này có địa chỉ IP nguồn là 192.168.1.2 và sẽ thay đổi nó thành 89.203.12.47 trước khi chuyển tiếp gói ra giao diện bên ngoài Fa0 / 1. Tương tự, các gói trả về đến ở giao diện bên ngoài Fa0 / 1 sẽ trải qua quá trình dịch địa chỉ IP đích. Bây giờ chúng ta hãy xác minh xem NAT có thực sự hoạt động như nó được cho là hoạt động hay không. Có một số lệnh Cisco IOS rất hữu ích có thể được sử dụng để làm điều đó. Lệnh show ip nat statistics thống kê hiển thị số lượng bản dịch NAT tĩnh và động, giao diện bên trong và bên ngoài, và số lần truy cập và bỏ lỡ. R1#show ip nat statistics Total active translations: 1 (1 static, 0 dynamic; 0 extended) Outside interfaces: FastEthernet0/1 Inside interfaces: FastEthernet0/0 Hits: 0 Misses: 0 CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: Appl doors: 0 Normal doors: 0 Queued Packets: 0 Lệnh hiển thị show ip nat translations hiển thị địa chỉ IP cho bản dịch NAT. R1#show ip nat translations Pro Inside global Inside local Outside local Outside global — 89.203.12.47 192.168.1.2 — — Như bạn thấy trong đầu ra ở trên, chúng ta có một mục nhập NAT được cấu hình với địa chỉ Inside global 89.203.12.47 và địa chỉ Inside local 192.168.1.2 được chỉ định. Địa chỉ cục bộ bên ngoài (Outside local) và địa chỉ toàn cầu Bên ngoài (Outside global) đều trống vì cấu hình NAT của chúng tôi không thay đổi các địa chỉ đó. Bây giờ chúng ta hãy truy cập PC và ping Máy chủ trước khi chạy lại lệnh show ip nat translations để xem nó có tạo ra sự khác biệt nào không. R1#show ip nat statistics Total active translations: 2 (1 static, 1 dynamic; 1 extended) Outside interfaces: FastEthernet0/1 Inside interfaces: FastEthernet0/0 Hits: 10 Misses: 0 CEF Translated packets: 10, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: Appl doors: 0 Normal doors: 0 Queued Packets: 0 R1#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 89.203.12.47:1 192.168.1.2:1 202.14.35.28:1 202.14.35.28:1 — 89.203.12.47 192.168.1.2 — — Như bạn có thể thấy trong đầu ra ở trên, NAT đang hoạt động như được biểu hiện bằng sự xuất hiện của một mục nhập động bổ sung cho giao thức ICMP và một số lần truy cập bổ sung, tương ứng với nỗ lực ping từ PC đến Máy chủ. Chúng ta vừa định cấu hình và xác minh một kịch bản NAT đơn giản chỉ dịch địa chỉ IP nguồn hoặc đích (không phải cả hai cùng một lúc) của các gói di chuyển giữa các giao diện bên trong và bên ngoài. Loại cấu hình NAT này được gọi là NAT tĩnh vì một địa chỉ IP cục bộ bên trong (inside local IP address) được ánh xạ tĩnh tới một địa chỉ IP cục bộ bên ngoài (outside local IP address). Một tính năng quan trọng khác của NAT là static Port Address Translation (PAT). Static PAT được thiết kế để cho phép ánh xạ 1-1 giữa các địa chỉ cục bộ và địa chỉ toàn cầu. Cách sử dụng phổ biến của Static PAT là cho phép người dùng Internet từ mạng công cộng truy cập vào một máy chủ Web nằm trong mạng riêng. Giả sử chúng ta dự định lưu trữ một máy chủ Web ở bên trong trên cùng một PC, có địa chỉ IP 192.168.1.2. Dòng cấu hình sau sẽ cho phép chúng ta thực hiện điều đó: R1(config)#ip nat inside source static tcp 192.168.1.2 80 89.203.12.47 80 Dòng cấu hình này thực hiện dịch địa chỉ tĩnh cho máy chủ Web. Với dòng cấu hình này, người dùng cố gắng truy cập 89.203.12.47 cổng 80 (www) sẽ tự động được chuyển hướng đến 192.168.1.2 cổng 80 (www). Trong trường hợp này, 192.168.1.2 là địa chỉ IP của PC cũng là máy chủ Web. Cấu hình này có thể được xác minh bằng hai lệnh xác minh NAT giống nhau trên Router Cisco : show ip nat translations và show ip nat statistics. Lưu ý: địa chỉ 89.203.12.47 với số cổng 80 (HTTP) chuyển thành 192.168.1.2 cổng 80 và ngược lại. Do đó, người dùng Internet có thể duyệt máy chủ Web mặc dù máy chủ Web nằm trên mạng riêng với địa chỉ IP riêng. Cám ơn các bạn đã theo dõi bài viết!
    bknet123, 26/4/18 #2
  3. baogum

    baogum New Member

    Bài viết hay. Minh họa rõ ràng.
    baogum, 16/6/18 #3
  4. Tóc Tiên

    Tóc Tiên New Member

    Thanks.
    Tóc Tiên, 7/9/21 #4
(Bạn phải Đăng nhập hoặc Đăng ký để trả lời bài viết.) Show Ignored Content

Chia sẻ trang này

Tweet Tên tài khoản hoặc địa chỉ Email: Bạn đã có tài khoản rồi?
  • Tích vào đây để đăng ký
  • Vâng, Mật khẩu của tôi là:
  • Bạn đã quên mật khẩu?
Duy trì trạng thái đăng nhập Trang chủ Diễn đàn > Diễn đàn mạng máy tính > Mạng-Network > Routing >

Từ khóa » Câu Lệnh Nat Trong Cisco