492 Hình 1.1.3.f. Router thực hiện chuyển đ ổ i đ ị a chỉ IP nguồn từ 10.0.0.4 sang 179.9.8.80. Port nguồn là 1444 lúc này phải đ ổ i sang 1445. Như vậy theo như bảng NAT trong hình ta thấy đ ị a chỉ công cộng 179.9.8.80: 1444 là tương ứ ng với 10.0.0.3:1444, 179.9.8.80:1445 tương ứ ng với 10.0.0.4:1444. Bằng cách sử dụng kết hợp với số port như vậy, PAT có thể ánh xạ một đ ị a chỉ IP công cộng cho nhiều đ ị a chỉ riêng bên trong. NAT cung c ấp những lợi đ i ể m sau: • Không cần phải gán đ ị a chỉ IP mới cho từng host khi thay đ ổ i sang một ISP mới. Nhờ đ ó có thể tiết kiệm đư ợ c thời gian và tiền bạc. • Tiết kiệm đ ị a chỉ thông qua ứ ng dụng ghép kênh cấp đ ộ port. Với PAT, các host bên trong có thể chia sẻ một đ ị a chỉ IP công cộng đ ể giao tiếp với bên ngoài. Với cách cấu hình này, chúng ta cần rất ít đ ị a chỉ công cộng, nhờ đ ó có thể tiết kiệm đ ị a chỉ IP. • Bảo vệ mạng an toàn vì mạng nội bộ không đ ể lộ đ ị a chỉ và cấu trúc bên trong ra ngoài. 1.1.4. Cấu hình NAT và PAT 493 1.1.4.1. Chuyển đổi cố định Đ ể cấu hình chuyển đ ổ i cố đ ị nh đ ị a chỉ nguồn bên trong, chúng ta cấu hình các bước như sau: Bước 1 Thực hiện Ghi chú Thiết lập mối quan hệ chuyển đ ổ i giữa đ ị a Trong chế đ ộ cấu hình toàn chỉ nội bộ bên trong và đ ị a chỉ đ ạ i diện cục, bạn dùng câu lệnh no ip bên ngoài Router (config) # ip nat inside source static local-ip global-ip nat inside source static để xóa sụ chuyển đ ổ i đ ị a chỉ cố định. 2 Xác đ ị nh cổng kết nối vòa mạng bên Sau khi gõ lệnh interface, trong. Router (config) # interface type number dấu nhắc của dòng lệnh sẽ chuyển từ (config) # sang (config-if) # 3 Đ ánh dấu cổng này là cổng kết nối vào mạng nội bộ bên trong. Router (config -if) # ip nat inside 4 Thóat khỏi chế đ ộ cấu hình cổng hiện tại. Router (config -if) # exit 5 Xác đ ị nh cổng kết nối ra mạng công cộng bên ngoài. Router (config) # interface type number 494 6 Đ ánh dấu cổng này là cổng kết nối ra mạng công cộng bên ngoài. Router (config -if) # ip nat outside Hình v ẽ - 2 hình Hình 1.1.4.a Sự chuyển đ ổ i đ ị a chỉ sẽ đư ợ c thưc hiện giữa hai cổng inside và outside 495 Hình 1.1.4.b. Cấu hình NAT chuyển đ ổ i cố đ ị nh từ đ ị a chỉ 10.1.1.2 sang 192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2 đư ợ c gửi ra ngoài internet, router GW sẽ chuyển đ ổ i đ ị a chỉ nguồn 10.1.1.2 của gói dữ liệu sang đ ị a chỉ 192.168.1.2 trước khi phát gói ra cổng s0. 1.1.4.2. Chuyển đổi động Đ ể Chuyển đ ổ i đ ộ ng đ ị a chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau: Bước 1 Thực hiện Xác đ ị nh dải đ ị a chỉ đ ạ i diện bên ngoài Rourter (config) # ip nat pool name start-ip end-ip [netmask netmask /prefix-length prefix -length] 2 Ghi chú Trong chế đ ộ cấu hình toàn cục, gõ lệnh no ip na t pool name đ ể xóa dải đ ị a chỉ đ ạ i diên bên ngoài. Thiết lập ACL cơ bản cho phép những đ ị a Trong chế đ ộ cấu hình chỉ nội bộ bên trong nào đư ợ c chuyển đ ổ i. Router (config) # access - list access-list- number permit source [source-wildcard] toàn cục, gõ lệnh n o access-list access-list- number đ ể xóa ACL đ ó. 3 Thiết lập mối liên quan giữa đ ị a chỉ nguồn Trong chế đ ộ cấu hình đ ã đư ợ c xác đ ị nh trong ACL ở bước trên với toàn cục, gõ lênh no ip dải đ ị a chỉ đ ạ i diện bên ngoài: Router (config) # ip nat inside source li st access-list-number pool name nat inside source đ ể xóa sự chuyển đ ổ i đ ộ ng này 4 Xác đ ị nh cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh 496 Router (config) # interface type number interface, dấu nhắc của dòng lệnh sẽ chuyển đ ổ i từ config sang (config-if)# 5 Đ ánh dấu cổng này là cổng kết nối vào mạng nội bộ. Router (config -if) # ip nat inside 6 Thóat khỏi chế đ ộ cổng hiện tại. Router (config) # exit 7 Xác đ ị nh cổng kết nối ra bên ngoài. Router (config) # interface type number 8 Đ ánh dấu cổng này là cổng kết nối ra bên ngoài. Router (config) # ip nat outside Danh sách đ i ề u khiển truy cập (ACL – Access Control List) cho phép khai báo những đ ị a chỉ nào đư ợ c chuyển đ ổ i. Bạn nên nhớ là kết thúc một ACL luôn có câu lệnh ẩ n cấm tuyệt đ ố i đ ể tránh những kết quả không dự tính đư ợ c khi một ACL có quá nhiều đ i ề u kiện cho phép. Cisco khuyến cáo là không nên dùng đ i ề u kiện cho phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn quá nhiều tài nguyên của Router và do đ ó có thể gây ra sự cố mạng. 497 Hình 1.1.4.c Xét ví dụ hình 1.1.4.c: Dải đ ị a chỉ công cộng đ ạ i diện ben ngoài có tên là nat- pool1, bao gồm các đ ị a chỉ từ 179.9.8.80 đ ế n 179.9.95. Đ ị a chỉ nội bộ bên trong đư ợ c phép chuyển đ ổ i đư ợ c đ ị nh nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255. Như v ậy, gói dữ liệu nào trong mạng nội bộ đ i ra ngoài Internet có đ ị a chỉ nguồn nằm trong dải đ ị a chỉ 10.1.0.0 – 10.1.0.255 sẽ đư ợ c chuyển đ ổ i đ ị a chỉ nguồn sang một trong bất kỳ đ ị a chỉ nào còn trống trong dải đ ị a chỉ công cộng 179.9.8.80 – 179.9.8.95. Host 10.1.1.2 sẽ không đư ợ c chuyển đ ổ i đ ị a chỉ vì đ ị a chỉ của nó không đư ợ c cho phép trong acces-list 1, do đ ó nó không truy cập đư ợ c Internet. Overloading hay PAT Overloading đư ợ c cấu hình theo hai cách tùy theo đ ị a chỉ IP công cộng đư ợ c cấp phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng chung một đ ị a chỉ IP công cộng duy nhất, đ ia jchỉ IP công cộng này chính là đ ị a chỉ của cổng giao tiểp trên Router nối về ISP. Sau đ ây là ví dụ cấu hình cho tình huống này: . vệ mạng an toàn vì mạng nội bộ không đ ể lộ đ ị a chỉ và cấu trúc bên trong ra ngoài. 1.1.4. Cấu hình NAT và PAT 493 1.1.4.1. Chuyển đổi cố định Đ ể cấu hình chuyển đ ổ i cố. sụ chuyển đ ổ i đ ị a chỉ cố định. 2 Xác đ ị nh cổng kết nối vòa mạng bên Sau khi gõ lệnh interface, trong. Router (config) # interface type number dấu nhắc của dòng lệnh sẽ chuyển. 179.9.95. Đ ị a chỉ nội bộ bên trong đư ợ c phép chuyển đ ổ i đư ợ c đ ị nh nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255. Như v ậy, gói dữ liệu nào trong mạng nội bộ đ i ra ngoài Internet