PART 2: Mở rộng quy mô

mạng với NAT và PAT

NAT là gì?

 Tương tự với Classless Inter-Domain Routing (CIDR),

mục đích chung của NAT là làm giảm sự cạn kiệt địa chỉ
IP bằng cách cho phép nhiều địa chỉ IP riêng được đại
diện bởi một vài địa chỉ công cộng.
Lợi ích của NAT
Bạn cần kết nối đến Internet và các host
của bạn không có đủ các địa chỉ global.
Bạn thay đổi đến một ISP mới và yêu cầu
đánh số lại hệ thống mạng của bạn.
Cần để kết nối hai intranets với nhiều địa
chỉ IP bị trùng với nhau.
Ba loại cơ bản của NAT
Nat tĩnh.
Nat động.
Nat overloading
Network Address Translation

 Một địa chỉ IP có thể là local hay global.

 Địa chỉ IPv4 nội bộ ở bên trong mạng.
 Địa chỉ Ipv4 toàn cầu ở bên ngoài mang.
Port Address Translation
Biên dịch địa chỉ nguồn bên trong
Cấu hình và kiểm tra biên dịch tĩnh
RouterX(config)# ip nat inside source static local-ip global-ip
 Xây dựng biên dịch tĩnh giữa địa chỉ nội bộ bên trong và địa chỉ toàn cầu bên trong

RouterX(config-if)# ip nat inside

 Đánh dấu cổng như là bên trong (inside)

RouterX(config-if)# ip nat outside

 Đánh dấu cổng như là kết nối bên ngoài (outside)

RouterX# show ip nat translations

 Hiện ra quá trình chuyển đổi
Ví dụ cơ chế NAT tĩnh

interface s0
ip address 192.168.1.1 255.255.255.0
ip nat outside
!
interface e0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
ip nat inside source static 10.1.1.2 192.168.1.2

RouterX# show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- 192.168.1.2 10.1.1.2 --- ---
Cấu hình và kiểm tra sự biên dịch động
RouterX(config)# ip nat pool name start-ip end-ip
{netmask netmask | prefix-length prefix-length}

 Định nghĩa một pool các địa chỉ toàn cầu được cấp phát khi cần

RouterX(config)# access-list access-list-number permit

source [source-wildcard]

 Định nghĩa một standard IP ACL cho phép những địa chỉ nội bộ bên trong
 được dịch
RouterX(config)# ip nat inside source list
access-list-number pool name

 Xây dựng sự biện dịch nguồn động

RouterX# show ip nat translations

 Hiện ra quá trình chuyển đổi

Ví dụ sự biên dịch địa chỉ động

RouterX# show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- 171.69.233.209 192.168.1.100 --- ---
--- 171.69.233.210 192.168.1.101 --- ---
Overloading một địa chỉ toàn cầu bên
trong
Cấu hình Overloading
RouterX(config)# access-list access-list-number permit
source source-wildcard
 Định nghĩa một standard IP ACL cho phép địa chỉ nội bộ bên trong
được biên dịch

RouterX(config)# ip nat inside source list

access-list-number interface interface overload
 Xây dựng sự biên dịch nguồn động

RouterX# show ip nat translations

 Hiện ra quá trình chuyển đổi
Ví dụ Overloading một địa chỉ toàn cục
bên trong

hostname RouterX
!
interface Ethernet0
ip address 192.168.3.1 255.255.255.0
ip nat inside
!
interface Ethernet1
ip address 192.168.4.1 255.255.255.0
ip nat inside
!
interface Serial0
description To ISP
ip address 172.17.38.1 255.255.255.0
ip nat outside
!
ip nat inside source list 1 interface Serial0 overload
!
ip route 0.0.0.0 0.0.0.0 Serial0
!
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 permit 192.168.4.0 0.0.0.255
!

RouterX# show ip nat translations

Pro Inside global Inside local Outside local Outside global
TCP 172.17.38.1:1050 192.168.3.7:1050 10.1.1.1:23 10.1.1.1:23
TCP 172.17.38.1:1776 192.168.4.12:1776 10.2.2.2:25 10.2.2.2:25
Xóa bảng biên dịch của NAT
RouterX# clear ip nat translation *
 Xóa tất cả sự biên dịch động

RouterX# clear ip nat translation inside global-ip

local-ip [outside local-ip global-ip]
 Xóa một biên dịch động chưa một sự biên dịch bên trong hoặc
sự biên dịch vào trong hay ra ngoài.

RouterX# clear ip nat translation outside

local-ip global-ip
 Xóa một sự biên dịch đơn giản chứa một sự biên dịch chiều ra

RouterX# clear ip nat translation protocol inside global-ip

global-port local-ip local-port [outside local-ip
local-port global-ip global-port]
 Xóa một sự biên dịch của PAT
Sự chuyển đổi không xuất hiện:
không tồn tại trong bảng NAT
Xác minh rằng:
◦ Không có một Acl chiều vào mà từ chối gói tin
đến NAT router.
◦ ACL được đối chiếu bởi lệnh NAT phải cho
phép tất cả các mạng cần thiết.
◦ Có đủ địa chỉ trong pool.
◦ Cổng router đã được định nghĩa outside hay
inside
Hiện thông tin với lệnh show và debug
RouterX# debug ip nat

NAT: s=192.168.1.95->172.31.233.209, d=172.31.2.132 [6825]

NAT: s=172.31.2.132, d=172.31.233.209->192.168.1.95 [21852]
NAT: s=192.168.1.95->172.31.233.209, d=172.31.1.161 [6826]
NAT*: s=172.31.1.161, d=172.31.233.209->192.168.1.95 [23311]
NAT*: s=192.168.1.95->172.31.233.209, d=172.31.1.161 [6827]
NAT*: s=192.168.1.95->172.31.233.209, d=172.31.1.161 [6828]
NAT*: s=172.31.1.161, d=172.31.233.209->192.168.1.95 [23312]
NAT*: s=172.31.1.161, d=172.31.233.209->192.168.1.95 [23313]
RouterX# show ip nat statistics
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
Ethernet0, Serial2
Inside interfaces:
Ethernet1
Hits: 5 Misses: 0
…
Chuyển đổi không xuất hiện: Nat entry
không được dùng
Xác minh:
◦ Cấu hình NAT nào đang được sử dụng
◦ NAT entry đã tồn tại trong bảng NAT
◦ Sự biên dịch đang diễn ra bởi quan sát vào bảng
thống kê NAT
◦ NAT có một đường đi tương ứng trong bảng đường
đi nếu gói tin đi từ bên trong ra bên ngoài.
◦ Cần thiết cho router có một đường về đến địa chỉ
được biên dịch
Vấn đề: không thể ping đến host ở xa
Vấn đề: không thể ping đến host ở xa

RouterA# show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- --- ---
--- --- ---

Không có sự chuyển đổi trong bảng NAT

Vấn đề: không thể ping đến host ở xa

RouterA# show ip nat statistics

Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Ethernet0
Inside interfaces:
Serial0
Hits: 0 Misses: 0
…

Cổng router không tương ứng với định nghĩa của NAT inside và outside
 Vấn đề: không thể ping đến host ở xa

RouterA# show access-list

Standard IP access list 20

10 permit 0.0.0.0, wildcard bits 255.255.255.0
 Pings vẫn còn thất bạivà không có sự biên dịch trong bảng.
 Có sự sai sót về wildcard bit mask trong ACL mà định nghĩa địa chỉ được biên dịch.
Vấn đề: không thể ping đến host ở xa

RouterA# show ip nat translations

Pro Inside global Inside local Outside local Outside global
--- 172.16.17.20 192.168.1.2 --- ---

 Sự biên dịch đã xuất hiện.

 Pings vẫn không thành công.
Vấn đề: không thể ping đến host ở xa

RouterB# sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

Gateway of last resort is not set

10.0.0.0/24 is subnetted, 1 subnets

C 10.1.1.0/24 is directly connected, Serial0
192.168.2.0/24 is subnetted, 1 subnets
R 192.168.2.0/24 is directly connected, Ethernet0
192.168.1.0/24 is variably subnetted, 3 subnets, 2 masks
R 192.168.1.0/24 [120/1] via 10.1.1.1, 2d19h, Serial0

Router B không có đường đi đến địa chỉ được dịch172.16.0.0.

Vấn đề: không thể ping đến host ở xa

RouterA# sh ip protocol
Routing Protocol is "rip"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Sending updates every 30 seconds, next due in 0 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Redistributing: rip
Default version control: send version 1, receive any version
Automatic network summarization is in effect
Maximum path: 4
Routing for Networks:
192.168.0.0
Routing Information Sources:
Gateway Distance Last Update
Distance: (default is 120)

Router A quảng bá lớp mạng được dịch, 192.168.1.0,

thay vì lớp mạng router dịch thành,172.16.0.0.
Cấu hình đúng cho mô hình
Tổng kết
◦ Có 3 loạiNAT: tĩnh, động, và overloading (PAT).
◦ NAT tĩnh là map đỉa chỉ theo dạng one-to-one. NAT
động thì lấy từ một pool địa chỉ.
◦ NAT overloading (PAT) cho phép bạn map nhiều địa
chỉ bên trong đến một địa chỉ bên ngoài.
◦ Dùng lệnh show ip nat translation để hiển thị bảng
biên dịch và xác minh sự biên dịch xuất hiện.
◦ Để xác minh có sự biên dịch, dùng lệnh show ip nat
statistics để kiểm tra bộ đếm.