500 Router (config) # access-list 1 permit 10.0.0.0.0.0.255.255 • Khai báo dải đ ị a chỉ đ ạ i diện bên ngoài với tên là nat-pool2, bao gồm các đ ị a chỉ trong subnet 179.9.8.20/28: Router (config) # ip nat pool nat-pool2 179.9.8.20 netmask 255.255.255.240 • Thiết lập sự chuyển đ ổ i Overload đ ị a chỉ nội bộ đư ợ c xác đ ị nh trong access- list 1 với dải đ ị a chỉ đ ạ i diện nat pool2: Router (config) # ip nat inside source list 1 pool nat-pool2 overload Hình 1.1.4.d. Xét ví dụ hình 1.1.4.d: đ ị a chỉ nội bộ bên trong đư ợ c phép chuyển đ ổ i đư ợ c xác đ ị nh trong access-list 1 là 192.168.2.0/24 và 192.168.3.0/24. Đ ị a chỉ đ ạ i diện bên ngoài là đ ị a chỉ của cổng serial 0, cổng kết nối ra Internet. Như vậy phải toàn bộ đ ị a chỉ bên trong đư ợ c chuyển đ ổ i PAT với một đ ị a chỉ IP đ ạ i diện duy nhất là đ ị a chỉ của cổng kết nối ra Internet, cổng serial 0. 501 1.1.5. Kiểm tra cấu hình PAT Sau khi NAT đ ã đư ợ c cấu hình, chúng ta có thể dùng lệnh clear và show đ ể kiểm tra hoạt đ ộ ng của NAT. Mặc đ ị nh, trong bảng chuyển đ ổ i NAT đ ộ ng, mỗi một cặp chuyển đ ổ i đ ị a chỉ sẽ bị xóa đ i sau một khoảng thời gian không sử dụng. Với chuyển đ ổ i không sử dụng chỉ số Port thì khoảng thời gian mặc đ ị nh là 24 giờ. Chúng ta có thể thay đ ổ i khoảng thời gian này bằng lệnh ip nat translation timeout timeout_seconds trong chế đ ộ cấu hình toàn cục. Các thông tin về sự chuyển đ ổ i có thể đư ợ c hiển thị bằng các lệnh sau: Lệnh Clear ip nat translation * Giải Thích Xóa mọi cặp chuyển đ ổ i đ ị a chỉ đ ộ ng trong bảng NAT. Clear ip nat translation inside global- Xóa một cặp chuyển đ ổ i đ ị a chỉ đ ộ ng ip local-ip [outside local-ip global-ip] bên trong hoặc cả bên trong và bên ngoài tương ứ ng với đ ị a chỉ cụ thể đư ợ c khai báo trong câu lệnh. Clear ip nat translation protocol inside Xóa một cặp chuyển đ ổ i đ ị a chỉ đ ộ ng global -ip global-port local-ip local-port mở rộng. [outside local-ip local-port global-ip global -port] Show ip nat translations Show ip nat statistics Hiển thị bảng NAT đ ang hoạt đ ộ ng. Hiển thị trạng thái hoạt đ ộ ng của NAT. 502 Hình 1.1.5.a Hình 1.1.5.b Chúng ta có thể dùng lệnh show run đ ể kiểm tra lại các giá trị cần khai báo trong các câu lệnh cấu hình NAT, access-list, interface. 1.1.6. Xử lý sự cố cấu hình NAT và PAT Thường rất khó xác đ ị nh nguyên nhân của sự cố khi kết nối IP bị sự cố trong môi trường NAT. Nhiều khi chúng ta nhầm lẫn là do NAT gây ra nhưng thực sự nguyên nhân lại nằm ở chỗ khác. Khi cố gắng xác đ ị nh nguyên nhân sự cố của một kết nối IP, chung ta nên cố gắng xác đ ị nh loại trừ khả năng từ NAT trước. Sau đ ay là các bước đ ể kiểm tra hoạt đ ộ ng của NAT: 1. Dựa vào tập tin cấu hình, xác đ ị nh rõ ràng NAT thực hiện những gì. 2. Kiểm tra bảng NAT xem các chuyển đ ổ i đ ị a chỉ có đ úng không. 3. Kiểm tra hoạt đ ộ ng NAT xảy ra như thế nào bằng các lệnh show và debug. 4. Xem chi tiết những gì xảy ra cho một gói dữ liệu và kiểm tra xem router có đ ị nh tuyến đ úng cho gói dữ liệu hay không. 503 Sử dụng lệnh debug ip nat đ ể kiểm tra hoạt đ ộ ng của NAT, hiển thị các thông tin về mỗi gói đư ợ c chuyển đ ổ i NAT bởi router. Lệnh debug ip nat detal còn cung cấp thêm một số thông tin liên quan đ ế n sự chuyển của mỗi gói giúp chúng ta xác đ ị nh lỗi, ví dụ như lỗi không xác đ ị nh đư ợ c đ ị a chỉ đ ạ i diện bên ngoài. Hình 1.1.6 Xét ví dụ hình 1.1.6. Hai dòng đ ầ u tiên cho thấy các gói yêu cầu và trả lời DNS đư ợ c phát đ i. Những dòng còn lại cho biết về một kết nối Telnet từ một host bên trong tới một host bên ngoài mạng. Đ ể giải mã những thông tin hiển thị của lệnh debug, chúng ta dựa vào những đ i ể m mấu chốt sau: • Dấu * kế bên từ NAT cho biết sự chuyển đ ổ i đ ang đư ợ c thực hiện trên đư ờ ng chuyển mạch nhanh. Gói dữ liệu đ ầ u tiên của một phiên đ ố i thoại luôn đư ợ c xử lý chuyển mạch nên chuyển mạch chậm. Các gói dữ liệu tiếp theo đư ợ c truyền chuyển mạch nhanh với bộ đ ệ m, không cần xử lý nhiều như gói đ ầ u tiên. 504 • S= a.b.c.d là đ ị a chỉ nguồn. • Đ ị a chỉ nguồn a.b.c.d đư ợ c dịch sang w.x.y.z. • D=e.f.g.h là đ ị a chỉ đ ích. • Giá trị trong giấu ngoặc vuông là chỉ số danh đ inh IP. Thông tin này có thể sẽ hữu dụng vì dựa vào đ ó chúng ta sẽ tìm đư ợ c những gói dữ liệu tương ứ ng đư ợ c phân tích từ những phần mền phân tích giao thức khác. 1.1.7. Những vấn đề của NAT NAT có nh ững ư u đ i ể m sau: • Tiết kiệm đ ị a chỉ đă ng ký hợp pháp bằng cách cho phép sử dụng đ ị a chỉ riêng. • Tăng tính linh hoạt của các kết nối ra mạng công cộng. Chúng ta có thể triển khai nhiều dải đ ị a chỉ chia tải đ ể đ ả m bảo đ ộ tin cậy của kết nối mạng công cộng. • Nhất quán hồ sơ đ ị a chỉ mạng nội bộ. Nếu mạng không sử dụng đ ị a chỉ IP riêng và NAT mà sử dụng đ ị a chỉ công cộng thì khi thay đ ổ i đ ị a chỉ công cộng, toàn bộ hệ thống mạng phải đ ặ t lại đ ị a chỉ. Chi phí cho việc đ ặ t lại đ ị a chỉ toàn bộ các thiết bịi mạng nội bộ đư ợ c giữ nguyên khi thay đ ổ i đ ị a chỉ công cộng. NAT c ũng không phải là không có nhược đ i ể m. Khi chuyển đ ổ i đ ị a chỉ như vậy sẽ làm mất đ i một số chức năng đ ặ c biệt của giao thức và ứ ng dụng có cần đ ế n các thông tin đ ị a chỉ IP trong gói IP. Do đ ó cần phải có thêm các hỗ trợ khác cho thiết bị NAT. NAT làm tăng th ời gian trễ. Thời gian trễ chuyển mạch sẽ lớn hưon do đ ó phải chuyển đ ổ i từng đ ị a chỉ IP trong mỗi dữ liệu. Gói dữ liệu đ ầ u tiên luôn phải sử lý chuyển mạch nên thời gian chuyển mạch nhanh hơnnếu có bộ đ ệ m. 505 Hiệu suất hoạt đ ộ ng cũng là một vấn đ ề cần đư ợ c quan tâm vì NAT đư ợ c thực hiện trong tiến trình chuyển mạch. CPU phải đư ợ c kiểm tra từng gói dữ liệu đ ể quyết đ ị nh gói dữ liệu đ ó có cần chuyển đ ổ i đ ị a chỉ hay không. CPU phải thay đ ổ i phần gói IP của gói dữ liệu và cũng có htể phải thay cả phần đ óng gói TCP hoặc UDP. Một nhược đ i ể m đ áng kể khi sử dụng NAT là sự mất đ i khả nặng truy tìm đ ị a chỉ IP đ ầ u cuối-đến-đầu cuối. Việc truy theo gói dữ liệu sẽ trở nên khó hơn do gói dữ liệu thay đ ổ i đ ị a chỉ nhiều lần qua nhiều trạm NAT. Hacker sẽ rất khó khăn khi muốn xác đ ị nh đ ị a chỉ nguồn hoặc đ ích của gói dữ liệu. NAT c ũng làm cho một số ứ ng dụng sử dụng đ ị a chỉ IP không hoạt đ ộ ng đư ợ c vì nó giấu đ ị a chỉ IP đ ầ u cuối-đến-đầu cuối. Những ứ ng dụng sử dụng đ ị a chỉ vật lý thay vì sử dụng tên miền sẽ không đ ế n đư ợ c đ ích nằm sau router NAT. Đ ôi khi, sự cố này có thể tránh đư ợ c bằng cách ánh xạ NAT cố đ ị nh. Cisco IOS NAT hỗ trợ các loại lưu lượng sau: • ICMP • File Transfer Protocol (FTP), bao gồm lệnh PPRRT và PÁV. • Dịch vụ NetBIOS qua TCP/IP, gói dự liệu, tên và phiên giao tiếp. • RealNetworks’ RealAudio • White Pines’ CUSeeMe • Xing Technologies’ StreamWorks • DNS “A” and “PTR” queries • H.323/Microsoft NetMeeting, IOS versions 12.0(1)/ 12.0(1) T và sau đ ó. • VDOnet’s VDOLive, IOS version 11.3(4)11.3(4)T và sau đ ó. • VXtreme’s Web Theater, IOS versions 11.3(4)11.3(4)T và sau đ ó. • IP Multicast, IOS version 12.0(1)T chỉ chuyển đ ổ i đ ị a chỉ nguồn. Cisco IOS NAT không hỗ trợ các loại giao thức sau: 506 • Thông tin cập nhật bảng đ ị nh tuyến. • Chuyển đ ổ i vùng DNS. • BOOTP • Giao thức talk and ntalk. • Giao thức quản lý mạng đơ n giản – Simple Network Management Protocol (SNMP) 1.2. DHCP 1.2.1. Giới thiệu DHCP Giao thức cấu hình họat đ ộ ng (DHCP – Dynamic Host Configuration Protocol) làm việc theo chế đ ộ client-server. DHCP cho phép các DHCP client trong một mạng IP nhận cấu hình IP của mình từ một DHCP server. Khi sử dụng DHCP thì công việc quản lý mạng IP sẽ ít hơn vì phần lớn cấu hình IP của client đ ư ợ c lấy về từ server. Giao thức DHCP đư ợ c mô tả trong RFC 2131. Một DHCP client có thể chạy hầu hết các hệ đ i ề u hành Windows, Netvell Netửae, Sun Solaris, Linux và MAC OS. Client yêu cầu server DHCP cấp một đ ị a chỉ cho nó. Server này quản lý việc cấp phát đ ị a chỉ IP, sẽ gửi trả lời cấu hình IP cho client. Một DHCP có thể phục vụ cho nhiều subnet khác nhau nhưng không phục vụ cho cấu hình router, switch và các server khác vì những thiết bị này cần phải có đ ị a chỉ IP cố đ ị nh. 507 Hình 1.2.1.a. Client gửi trực tiếp quảng bá một yêu cầu DHCP. Trường hợp đơ n gi ản nhất là có DHCP server nằm trong cùng subnet với client, server DHCP này sẽ nhận đư ợ c gói yêu cầu. Server thấy phần GIADDR bỏ trống thì biết client nằm trong cùng subnet với server. Đ ồ ng thời server sẽ đ ọ c đ ị a chỉ vật lý (địa chỉ MAC) của client. Hình 1.2.1.b. Server sẽ lấy một đ ị a chỉ IP trong dải đ ị a chỉ tương ứ ng đ ể cấp cho client. Sau đ ó server dùng đ ị a chỉ của vật lý của client đ ể gửi gói trả lời lại cho client. 508 Hình 1.2.1.c. Hệ đ i ề u hành trên DHCP client sẽ dùng những thông tin nhận đư ợ c trong gói trả lời server đ ể cấu hình IP cho client đ ó. Server chạy DHCP thực hiện tiến trình xác đ ị nh đ ị a chỉ IP cấp cho client. Client sử dụng đ ị a chỉ đư ợ c cấp từ server trong một khoảng thời gian nhất đ ị nh do người quản trị mạng quy đ ị nh. Khi thời này hết hạn thì client phải yêu cầu cấp lại đ ị a chỉ mới mặc dù thông thường client sẽ vẫn đư ợ c cấp lại đ ị a chỉ cũ. Các nhà quản trị mạng thường sử dụng dịch vụ DHCP vì giải pháp này giúp quản lý hệ thống mạng dễ và có khả năng mở rộng. Cisco router có thể sử dụng Cisco IOS có hỗ trợ Easy IP đ ể làm DHCP server. Mặc đ ị nh , Easy IP cấp cấu hình IP cho client sử dụng trong 24 tiếng. Cơ chế này rất tiện lợi cho các văn phòng nhỏ hoặc những văn phòng tại nhà, người sử dụgn tại nhà có thể tận dụng diạhc vụ DHCP và NAT của router mà không cần phải có thêm một server NT hoặc UNIX. Ngư ời quản trị mạng cài đ ặ t dải đ ị a chỉ cho DHCP server còn có thể cung cấp nhiều thông tin khác như đ ị a chỉ DNS server, đ ị a chỉ WINS server và tên miền. Hầu hết các DHCP server đ ề u cho phép người quản trị mạng khai báo những đ ị a chỉ MAC nào cần phục vụ và tự đ ộ ng cấp cho những đ ị a chỉ MAC này đ ị a chỉ IP không thay đ ổ i mỗi lần chúng yêu cầu. DHCP sử dụng giao thức UDP (User Datagram Protocol) làm giao thức vận chuyển của nó. Client gửi thông đ i ệ p cho server trên port 67. Server gửi thông đ i ệ p cho client trên port 68. 509 1.2.2. Những điểm khác nhau giữa BOOTP và DHCP Đ ầ u tiên cộng đ ồ ng Internet phát triển giao thức BOOTP đ ể cấu hình cho máy trạm không có ổ đ ĩ a. BOOTP đư ợ c đ ị nh nghĩa trong RFC 951 vào năm 1985. Là một phiên bản đ i trước của DHCP nên BOOTP cũng có nhiều đ ặ c đ i ể m họat đ ộ ng tương tự như DHCP. Cả hai giao thức này đ êgu dựa trên cơ sở client-server và sử dụng port UDP 67, 68. Hai port này hiện vẫn đư ợ c biết đ ế n như là port BOOTP. Một cấu hình IP cơ bản bao gồm 4 thông tin sau: • Đ ị a chỉ IP. • Đ ị a chỉ Gateway. • Subnet mask. • Đ ị a chỉ DNS server. BOOTP không tự đ ộ ng cấp phát đ ị a chỉ IP cho một host. Khi client yêu cầu một đ ị a chỉ IP, BOOTP server tìm trong bảng đ ã đư ợ c cấu hình trước xem có hàng nào tương ứ ng với đ ị a chỉ MAC của client hay không.Nếu có thì đ ị a chỉ IP tương ứ ng sẽ đư ợ c cung cấp cho client. Đ i ề u này có nghĩa là đ ị a chỉ MAC và đ ị a chỉ IP tương ứ ng phải đư ợ c cấu hình trước trên BOOTP server. Sau đ ây là hai đ i ể m khác nhau cơ bản giữa BOOTP và DHCP: • DHCP cấp một đ ị a chỉ IP cho một client trong một khoảng thời gian nhất đ ị nh. Hết khoảng thời gian này đ ị a chỉ IP có thể đư ợ c cấp cho client khác. Client có thể lấy đ ị a chỉ mới hoặc vẫn có thể tiếp tục giữ đ ị a chỉ cũ. • DHCP cung cấp cho client nhiều thông tin cấu hình IP khác như đ ị a chỉ WINS server, tên miền. . H .32 3/Microsoft NetMeeting, IOS versions 12.0(1)/ 12.0(1) T và sau đ ó. • VDOnet’s VDOLive, IOS version 11 .3( 4)11 .3( 4)T và sau đ ó. • VXtreme’s Web Theater, IOS versions 11 .3( 4)11 .3( 4)T. chỉ của cổng kết nối ra Internet, cổng serial 0. 501 1.1.5. Kiểm tra cấu hình PAT Sau khi NAT đ ã đư ợ c cấu hình, chúng ta có thể dùng lệnh clear và show đ ể kiểm tra hoạt đ ộ ng của. mạng IP sẽ ít hơn vì phần lớn cấu hình IP của client đ ư ợ c lấy về từ server. Giao thức DHCP đư ợ c mô tả trong RFC 2 131 . Một DHCP client có thể chạy hầu hết các hệ đ i ề u hành Windows,