Thông thường NAT được dùng để chuyển dịch từ địa chỉ IP private sang IP public, cho phép các host từ mạng bên trong truy cập đến mạng công cộng internet.. Static NAT Giới thiệu Static N
Trang 1NAT and PAT toàn tập
NAT TRÊN THIẾT BỊ ROUTER
1 Giới thiệu
NAT (Network Address Translation) là một chức năng của Router, cho phép
chuyển dịch từ một địa chỉ IP này thành một địa chỉ IP khác Thông thường NAT được dùng để chuyển dịch từ địa chỉ IP private sang IP public, cho phép các host
từ mạng bên trong truy cập đến mạng công cộng (internet) Vị trí thực hiện NAT
là nơi (router) kết nối giữa hai mạng.
Địa chỉ private và địa chỉ public
Địa chỉ private
Được định nghĩa trong RFC 1918
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
· Địa chỉ public
Các địa chỉ còn lại Các địa chỉ public là các địa chỉ được cung cấp bởi các tổ chức có thẩm quyền
2 Static NAT
Giới thiệu
Static NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ khác, thông thường là từ một địa chỉ nội bộ sang một địa chỉ công cộng và quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ được ánh xạ được chỉ định rõ ràng tương ứng duy nhất
Static NAT rất hữu ích trong trường hợp những host cần phải có địa chỉ cố định để truy cập từ internet Những host này có thể là những public server: mail server, web
server,
Cấu hình static - NAT
Các lệnh được sử dụng trong cấu hình Static-NAT:
Router(config)#ip nat inside source static local_ip global_ip
Router(config-if)#ip nat inside
Router(config-if)#ip nat outside
Trang 2Ý nghĩa các câu lệnh:
- Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và địa chỉ đại diện bên ngoài
Router(config)#ip nat inside source static local-ip global-ip
- Xác định interface kết nối vào mạng bên trong
Router(config-if)#ip nat inside
- Xác định interface kết nối ra mạng công cộng bên ngoài
Router(config-fi)#ip nat outside
Ví dụ:
Cấu hình trên Router:
Router(config)#ip nat inside sourece static 10.1.1.2 172.69.68.10
Router(config)#interface Ethernet 0
Router(config-if)#ip nat inside
Router(config)#interface serial 0
Router(config-if)#ip nat outside
2 Dynamic NAT
Giới thiệu
Dynamic NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ khác một cách tự động, thông thường là ánh xạ từ một địa chỉ private sang một địa chỉ public Bất
kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng (public) đã được định trước đều có thể được gán cho một host bên trong mạng (private)
Cấu hình Dynamic NAT
- Các câu lệnh dùng trong dynamic NAT
Router(config)#ip nat pool name start_ip end_ip { netmask netmask | prefix-length prefix-length }
Router(config)#access-list access-list-number permit source [source-wildcard]
Router(config)#ip nat inside source list access-number pool pool-name
Ý nghĩa sử dụng của các câu lệnh như sau:
- Xác định dải địa chỉ đại diện bên ngoài (public): các địa chỉ NAT
Router(config)# ip nat pool name start-ip end-ip [netmask netmask/length prefix-length]
- Thiết lập ACL cho phép những địa chỉ nội bộ bên trong (private) nào được chuyển
Trang 3đổi : các địa chỉ được NAT
Router(config)# access-list access-list-number pertmit source [source-wildcard]
-Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL với dải địa chỉ đại diện ra bên ngoài
Router(config)# ip nat inside source list access-list-number pool name
- Xác định interface kết nối vào mạng nội bộ
Router(config-if)# ip nat inside
- Xác định interface kết nối ra bên ngoài
Router(config-if)#ip nat outside
Ví dụ:
3 NAT Overload
Giới thiệu
NAT Overload là một dạng của Dynamic NAT, nó thực hiện ánh xạ nhiều địa chỉ private thành một địa chỉ public (many – to – one) bằng cách sử dụng các chỉ số port khác nhau để phân biệt từng chuyển dịch NAT Overload còn có tên gọi là PAT (Port Address Translation)
PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển đổi Số port được mã hóa 16 bit, do đó có tới 65536 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng
Cấu hình NAT Overload
- Dạng 1: Sử dụng chung một địa chỉ IP công cộng duy nhất
Router(config)#access-list access-number permit source source-wildcard
Router(config)#ip nat inside source list access-list-number interface interface overload
- Dạng 2: ISP cung cấp nhiều địa chỉ IP công cộng
Xác định dãy địa chỉ bên trong cần chuyển dịch ra ngoài (private ip addresses range) Router(config)# access-list access-list-number permit source source-wildcard
Xác định dãy địa chỉ sẽ đại diện ra bên ngoài (public ip addresses pool)
Router(config)# ip nat pool name start-ip end-ip [netmask netmask/length prefix-length]
Trang 4Thiết lập chuyển dịch động từ các địa chỉ bên trong thành địa chỉ bên ngoài
Router(config)# ip nat inside source list acl-number pool name overload
Xác định interface inside và outside
Đối với interface inside: router(config-if)#ip nat inside
Đối với interface outside: router(config-if)#ip nat outside
* PAP :
R1 -R2
+ R1 :
#conf t
#hostname R1
#username R2 password cisco
(lệnh này có ý nghĩa tạo 1 cặp username và password để khi R2 gửi đến thì so sánh để authen)
#int s0
#ip add
#encapsulation PPP
#ppp authentication pap ( chọn kiểu authen là pap )
#ppp pap sent-username R1 password cisco
(lệnh này có ý nghĩa là mình gửi cặp username password của chính mình đến router R2
đê authen )
#clock rate (nếu là DCE)
#no shut
+R2 :
#conf t
#hostname R2
#username R1 pass cisco
#int s0
#ip add
#encapsulation PPP
Trang 5#PPP authentication pap
#ppp pap sent-username R2 pass cisco
#no shut
Cấu hình CHAP : 2 route R1 và R2 được kết nối trực tiếp với nhau như trong cấu hình PAP
+ Cấu hình R1 :
#conf t
#hostname R1
#username R2 password cisco
#int s0
#ip add < ip address & subnet mask >
#encapsulation ppp
#ppp authentication chap
#ppp chap hostname R1
#ppp chap password cisco
#clockrate 64000
#no shut
Ctrl+z
#copy run start
+ cấu hình R2 :
#conf t
#hostname R2
#username R1 password cisco
#int s0
#ip add < ip address & subnet mask >
#encapsulation ppp
#ppp authentication chap
#ppp chap hostname R2
#ppp chap password cisco
#clockrate 64000
#no shut
Ctrl+z
Trang 6#copy run start
Khi cấu hình CHAP:
R1 -R2
Mỗi đầu phải có khai báo username và password, username bên R1 phải là tên
hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname"
Quá trình diễn ra xác thực bằng CHAP như sau:
R1:
hostname R1
username R2 password cisco
R2:
hostname R2
username R1 password cisco
username R3 password cisco1
1 R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hashing để mã hóa password (ở đây là cisco), nhưng ko gửi password này đi
2 R2 check danh sách username (nếu cấu hình nhiều username) để tìm ra username nào giống hostname R1 (ở đây là username R1)
3 Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa password tương ứng với username đó (ở đây password là cisco)
4 Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự
mã hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này
Trang 7giống nhau thì xác thực thành công.
Không giống như PAP truyền password clear-text, CHAP không truyền password dạng clear-text mà password chỉ được truyền sau khi đã mã hóa
Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong trường hợp tên hostname và username khác nhau Theo ví dụ ở trên khi xác thực thì R1 sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco" Phải làm như thế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database
username theo quy tắc của họ và không bên nào muốn sửa lại giá trị này Khi đó nếu
ĐV 1 muốn quay số sang ĐV 2 thì phải có lệnh:
"ppp chap hostname <username khai bao ben DV2>"
Còn trong trường hợp người ta chỉ muốn xác thực một chiều VD như khi thuê bao quay số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao:
"ppp authentication chap callin"