II. Cisco 2500 Series Routers:
Một số tính năng nâng cao của NAT Cấu hình pool uyển chuyển hơn:
Cấu hình pool uyển chuyển hơn:
Cú pháp cấu hình dãy địa chỉ đã được mở rộng để cho phép một dãy không liên tục các địa chỉ. Cú pháp sau đây là cho phép:
ip nat pool <name> { netmask <mask> | prefix-length <length> } [ type { rotary }]
Lệnh này sẽ đưa người dùng vào IP NAT pool, trong đó một dãy địa chỉ có thể được cấu hình. Chỉ có một lệnh được cấu hình trong chế độ này:
address <start> <end> Example:
Router(config)#ip nat pool fred prefix-length 24
Router(config-ipnat-pool)#address 171.69.233.225 171.69.233.226 Router(config-ipnat-pool)#address 171.69.233.228 171.69.233.238
Cấu hình tạo ra một dãy chứa các địa chỉ 171.69.233.225-226 và dãy địa chỉ 171.69.233.228-238 (địa chỉ 171.69.233.227 đã bị loại bỏ).
Dịch sang địa chỉ của cổng:
Để giúp các người dùng muốn dịch tất cả các địa chỉ bên trong gán đến một cổng trên router, NAT cho phép ta đặt tên cho cổng của router khi cấu hình nat động.
ip nat inside source list <number> interface <interface> overload
Nếu không có địa chỉ nào trên cổng, hay nếu cổng là không up, NAT sẽ không xảy ra.
Ví dụ:
ip nat inside source list 1 interface Serial0 overload
Cấu hình NAT tĩnh với các cổng:
Khi chuyển dịch địa chỉ đến địa chỉ của một cổng, các kết nối đến router xuất phát từ bên ngoài (chẳng hạn như email) sẽ cần các cấu hình thêm để có thể chuyển các kết nối vào các máy bên trong. Lệnh này cho phép người dùng ánh xạ vài dịch vụ đến vài máy bên trong.
ip nat inside source static { tcp | udp } <localaddr> <localport> <globaladdr> <globalport>
Ví dụ:
ip nat inside source static tcp 192.168.10.1 25 171.69.232.209 25
Trong ví dụ này, các kết nối SMTP từ bên ngoài đến cổng 25 sẽ được gửi vào máy bên trong ở địa chỉ 192.168.10.1.
Hỗ trợ cho route maps:
Các lệnh thực hiện NAT động có thể chỉ ra một route map để xử lý thay vì là một access-list. Một route map cho phép người dùng lựa ra một kết hợp của access-list, next-hop và địa chỉ cổng ra (output interface) để xác định dãy địa chỉ nào sẽ được dùng.
ip nat inside source route-map <name> pool <name> Example:
ip nat pool provider1-space 171.69.232.1 171.69.232.254 prefix-length 24 ip nat pool provider2-space 131.108.43.1 131.108.43.254 prefix-length 24 ip nat inside source route-map provider1-map pool provider1-space ip nat inside source route-map provider2-map pool provider2-space ! interface Serial0/0 ip nat outside ! interface Serial0/1 ip nat outside ! interface Fddi1/0 ip nat inside !
route-map provider1-map permit 10 match ip address 1
match interface Serial0/0 !
route-map provider2-map permit 10 match ip address 1
match interface Serial0/1
Từ khóa “extendable”:
Từ khóa extandable cho phép người dùng cấu hình vài luật chuyển đổi không rõ ràng, ví dụ như các luật có cùng địa chỉ local và global.
ip nat inside source static <localaddr> <globaladdr> extendable
Một vài khách hàng muốn dùng nhiều hơn một nhà cung cấp dịch vụ và sẽ dịch vào từng không gian địa chỉ của nhà cung cấp dịch vụ. Ta có thể dùng route map để việc chọn lựa dựa trên địa chỉ toàn cục hay trên những cổng ra hoặc dựa vào access list. Dưới đây là một ví dụ:
ip nat pool provider1-space ... ip nat pool provider2-space ...
ip nat inside source route-map provider1-map pool provider1-space ip nat inside source route-map provider2-map pool provider2-space !
route-map provider1-map permit 10 match ip address 1
match interface Serial0/0 !
route-map provider2-map permit 10 match ip address 1
match interface Serial0/1
Ta cũng muốn định nghĩa các ánh xạ tĩnh cho một host đặc biệt trên từng không gian địa chỉ của người dùng. Hệ điều hành Cisco IOS không cho phép hai câu lệnh cấu hình tĩnh có cùng địa chỉ cục bộ vì nó sẽ gây ra sự nhập nhằng từ phía bên trong. Router sẽ chấp nhận các câu lệnh tĩnh này và giải quyết việc nhập nhằng bằng cách tạo ra các câu lệnh ánh xạ đầy đủ và nếu việc ánh xạ được đánh dấu như là “extendable”. Đối với một dòng từ bên ngoài vào, các luật route map động sẽ được dùng đến tạo ra việc chuyển đổi.
Tạo ra các tên cho các dãy địa chỉ:
Nhiều khách hàng muốn cấu hình NAT để dịch các địa chỉ cục bộ sang địa chỉ toàn cục được cấp phát từ những địa chỉ không dùng trong một dãy địa chỉ mạng. Điều này yêu cầu router trả lời những ARP request cho những địa chỉ này để các gói tin đi về địa chỉ toàn cục được chấp nhận bởi router và được thực hiện NAT. Tiến trình định tuyến routing trong router sẽ quản lý gói tin này khi địa chỉ toàn cục được cấp phát từ một địa chỉ ảo, không kết nối vào đâu. Khi một dãy địa chỉ NAT dùng một địa chỉ inside global hoặc outside local bao gồm các địa chỉ trên một subnet, phần mềm sẽ tạo ra một tên giả cho địa chỉ mà router sẽ trả lời ARP.
Quá trình đặt tên tự động này cũng diễn ra cho các địa chỉ inside global hay outside global trong các hàng cấu hình tĩnh. Cơ chế này có thể tắt bằng cách dùng lệnh no-alias:
ip nat inside source static <local-ip-address> <global-ip-address> no-alias
Host Number Preservation: Lưu giữ địa chỉ host.
Để dễ cho việc quản trị, một vài site chỉ muốn đổi phần địa chỉ mạng, không đổi phần địa chỉ. Nghĩa là họ muốn phần địa chỉ đã chuyển đổi phải có cùng địa chỉ phần host giống như ban đầu. Dĩ nhiên là hai địa chỉ mạng phải có cùng prefix length. Đặc điểm này có thể được bật bằng cách cấu hình nat động như thường lệ nhưng cấu hình phần dãy địa chỉ thêm vào từ khóa match-host.
ip nat pool fred <start> <end> prefix-length <len> type match-host
Cải tiến thời gian timeouts:
Các lệnh sau đây đã được hỗ trợ để mở rộng thời gian chuyển dịch
ip nat translation ?
icmp-timeout Specify timeout for NAT ICMP flows
Giới hạn số lượng NAT sessions:
Dùng các lệnh sau, Cisco IOS NAT có thể được cấu hình để giới hạn số lượng NAT tạo ra. Mặc định là không giới hạn.
ip nat translation max-entries <n>
--- Bài 37: