• Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên trong ra ngoài.. Chuyển đổi cố định Để cấu hình chuyển đổi cố định địa chỉ nguồn bên trong, chúng ta cấu hình các
Trang 1Hình 1.1.3.f Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.4 sang
179.9.8.80 Port nguồn là 1444 lúc này phải đổi sang 1445 Như vậy theo như
bảng NAT trong hình ta thấy địa chỉ công cộng 179.9.8.80: 1444 là tương ứng với
10.0.0.3:1444, 179.9.8.80:1445 tương ứng với 10.0.0.4:1444 Bằng cách sử dụng
kết hợp với số port như vậy, PAT có thể ánh xạ một địa chỉ IP công cộng cho nhiều
địa chỉ riêng bên trong
NAT cung cấp những lợi điểm sau:
• Không cần phải gán địa chỉ IP mới cho từng host khi thay đổi sang một ISP
mới Nhờ đó có thể tiết kiệm được thời gian và tiền bạc
• Tiết kiệm địa chỉ thông qua ứng dụng ghép kênh cấp độ port Với PAT, các
host bên trong có thể chia sẻ một địa chỉ IP công cộng để giao tiếp với bên
ngoài Với cách cấu hình này, chúng ta cần rất ít địa chỉ công cộng, nhờ đó
có thể tiết kiệm địa chỉ IP
• Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên
trong ra ngoài
1.1.4 Cấu hình NAT và PAT
Trang 21.1.4.1 Chuyển đổi cố định
Để cấu hình chuyển đổi cố định địa chỉ nguồn bên trong, chúng ta cấu hình các
bước như sau:
Bước
1
Thiết lập mối quan hệ chuyển đổi giữa địa Trong chế độ cấu hình toàn
chỉ nội bộ bên trong và địa chỉ đại diện cục, bạn dùng câu lệnh no ip
bên ngoài
Router (config) # ip nat inside
source static local-ip global-ip
nat inside source static để
xóa sụ chuyển đổi địa chỉ cố định
2 Xác định cổng kết nối vòa mạng bên Sau khi gõ lệnh interface,
trong
Router (config) # interface type number
dấu nhắc của dòng lệnh sẽ chuyển từ (config) # sang (config-if) #
3 Đánh dấu cổng này là cổng kết nối vào
mạng nội bộ bên trong
Router (config-if) # ip nat inside
4 Thóat khỏi chế độ cấu hình cổng hiện tại
Router (config-if) # exit
5 Xác định cổng kết nối ra mạng công cộng
bên ngoài
Router (config) # interface type number
Trang 36 Đánh dấu cổng này là cổng kết nối ra
mạng công cộng bên ngoài
Router (config-if) # ip nat outside
Hình vẽ - 2 hình
Hình 1.1.4.a Sự chuyển đổi địa chỉ sẽ được thưc hiện giữa hai cổng inside và
outside
Trang 4Hình 1.1.4.b Cấu hình NAT chuyển đổi cố định từ địa chỉ 10.1.1.2 sang
192.168.1.2 Khi có một gói dữ liệu từ host 10.1.1.2 được gửi ra ngoài internet,
router GW sẽ chuyển đổi địa chỉ nguồn 10.1.1.2 của gói dữ liệu sang địa chỉ
192.168.1.2 trước khi phát gói ra cổng s0
1.1.4.2 Chuyển đổi động
Để Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như
sau:
Bước
1
Thực hiện
Xác định dải địa chỉ đại diện bên ngoài
Rourter (config) # ip nat pool name start-ip
end-ip [netmask netmask /prefix-length
prefix-length]
2
Ghi chú
Trong chế độ cấu hình
toàn cục, gõ lệnh no ip
nat pool name để xóa dải
địa chỉ đại diên bên ngoài
Thiết lập ACL cơ bản cho phép những địa Trong chế độ cấu hình
chỉ nội bộ bên trong nào được chuyển đổi
Router (config) # access-list access-list-
number permit source [source-wildcard]
toàn cục, gõ lệnh no access-list access-list- number để xóa ACL đó
3 Thiết lập mối liên quan giữa địa chỉ nguồn Trong chế độ cấu hình
đã được xác định trong ACL ở bước trên với toàn cục, gõ lênh no ip
dải địa chỉ đại diện bên ngoài:
Router (config) # ip nat inside source list
access-list-number pool name
nat inside source để xóa
sự chuyển đổi động này
4 Xác định cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh
Trang 5Router (config) # interface type number interface, dấu nhắc của
dòng lệnh sẽ chuyển đổi
từ config sang (config-if)#
5 Đánh dấu cổng này là cổng kết nối vào mạng
nội bộ
Router (config-if) # ip nat inside
6 Thóat khỏi chế độ cổng hiện tại
Router (config) # exit
7 Xác định cổng kết nối ra bên ngoài
Router (config) # interface type number
8 Đánh dấu cổng này là cổng kết nối ra bên
ngoài
Router (config) # ip nat outside
Danh sách điều khiển truy cập (ACL – Access Control List) cho phép khai báo
những địa chỉ nào được chuyển đổi Bạn nên nhớ là kết thúc một ACL luôn có câu
lệnh ẩn cấm tuyệt đối để tránh những kết quả không dự tính được khi một ACL có
quá nhiều điều kiện cho phép Cisco khuyến cáo là không nên dùng điều kiện cho
phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn
quá nhiều tài nguyên của Router và do đó có thể gây ra sự cố mạng
Trang 6Hình 1.1.4.c
Xét ví dụ hình 1.1.4.c: Dải địa chỉ công cộng đại diện ben ngoài có tên là nat-
pool1, bao gồm các địa chỉ từ 179.9.8.80 đến 179.9.95 Địa chỉ nội bộ bên trong
được phép chuyển đổi được định nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255
Như vậy, gói dữ liệu nào trong mạng nội bộ đi ra ngoài Internet có địa chỉ nguồn
nằm trong dải địa chỉ 10.1.0.0 – 10.1.0.255 sẽ được chuyển đổi địa chỉ nguồn sang
một trong bất kỳ địa chỉ nào còn trống trong dải địa chỉ công cộng 179.9.8.80 –
179.9.8.95 Host 10.1.1.2 sẽ không được chuyển đổi địa chỉ vì địa chỉ của nó
không được cho phép trong acces-list 1, do đó nó không truy cập được Internet
Overloading hay PAT
Overloading được cấu hình theo hai cách tùy theo địa chỉ IP công cộng được cấp
phát như thể nào Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng
chung một địa chỉ IP công cộng duy nhất, đia jchỉ IP công cộng này chính là địa
chỉ của cổng giao tiểp trên Router nối về ISP Sau đây là ví dụ cấu hình cho tình
huống này:
