498

Router (config) # access-list 1 permit 10.0.0.0 0.0.255.255

Router (config) ip nat inside source list 1 interface serial0/0 overload

Bước Thực hiện
1

Ghi chú
Tạo ACL
đ
ể

cho phép những
đ
ị
a
chỉ nội bộ Trong chế
đ
ộ

cấu hình
nào
đư
ợ
c
chuyển
đ
ổ
i.

đ
ộ

cấu hình
đư
ợ
c
xác
đ
ị
nh
trong access-list
ở

bước trên với toàn cục, gõ lệnh
no ip

đ
ị
a
chỉ
đ
ạ
i
diện là
đ
ị
a
chỉ của cổng kết nối với
nat inside source

Khai báo dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài dùng
overload.
Router (config)
ip nat pool
name start-ip end-
ip
[netmask netmask /
prefix
-
length
prefix-
length]
Thiết lập chuyển
đ
ổ
i
overload giữa
đ
ị
a
chỉ nội
bộ

number
pool
name
overload

3 Xác
đ
ị
nh
cổng kết nối với mạng nội bộ.
Router (config) #
interface
type number
Router (config-if) #
ip nat inside

Sau khi gõ lệnh
interface,

dấu nhắc của dòng lệnh sẽ
đư
ợ
c
đ
ổ
i
từ (config)#
sang (config-if)#
4 Xác
đ


PAT. Cấu hình ví dụ cho tình huống này như sau:
•
Xác
đ
ị
nh
đ
ị
a
chỉ nội bộ
đư
ợ
c
phép chuyển
đ
ổ
i
là 10.0.0.0/16:
500

Router (config) # access-list 1 permit 10.0.0.0.0.0.255.255

•
Khai báo dải
đ
ị
a
chỉ
đ

đ
ị
a
chỉ
đ
ạ
i
diện nat pool2:
Router (config) # ip nat inside source list 1 pool nat-pool2 overload

Hình 1.1.4.d.

Xét ví dụ hình 1.1.4.d:
đ
ị
a
chỉ nội bộ bên trong
đư
ợ
c
phép chuyển
đ
ổ
i
đư
ợ
c
xác
đ
ị

chỉ IP
đ
ạ
i
diện duy nhất là
đ
ị
a

chỉ của cổng kết nối ra Internet, cổng serial 0.
501

1.1.5. Kiểm tra cấu hình PAT
Sau khi NAT
đ
ã
đư
ợ
c
cấu hình, chúng ta có thể dùng lệnh clear và show
đ
ể

kiểm
tra hoạt
đ
ộ
ng
của NAT.
Mặc

nh
là 24 giờ. Chúng ta có thể thay
đ
ổ
i
khoảng
thời gian này bằng lệnh
ip nat translation timeout
timeout_seconds trong chế
đ
ộ

cấu hình toàn cục.
Các thông tin về sự chuyển
đ
ổ
i
có thể
đư
ợ
c
hiển thị bằng các lệnh sau:
Lệnh
Clear ip nat translation *

Giải Thích
Xóa mọi cặp chuyển
đ
ổ
i

a
chỉ cụ thể
đư
ợ
c

khai báo trong câu lệnh.
Clear ip nat translation
protocol
inside
Xóa một cặp chuyển
đ
ổ
i
đ
ị
a
chỉ
đ
ộ
ng

global
-ip global-port local-ip local-port mở rộng.
[outside local-ip local-port global-ip
global
-port]
Show ip nat translations

Show ip nat statistics

nguyên nhân của sự cố khi kết nối IP bị sự cố trong môi
trường NAT. Nhiều khi chúng ta nhầm lẫn là do NAT gây ra nhưng thực sự
nguyên nhân lại nằm
ở

chỗ khác.
Khi cố gắng xác
đ
ị
nh
nguyên nhân sự cố của một kết nối IP, chung ta nên cố gắng
xác
đ
ị
nh
loại trừ khả năng từ NAT trước. Sau
đ
ay
là các bước
đ
ể

kiểm tra hoạt
đ
ộ
ng
của NAT:
1. Dựa vào tập tin cấu hình, xác
đ
ị

cho gói dữ liệu hay không.
503

Sử dụng lệnh
debug ip nat
đ
ể

kiểm tra hoạt
đ
ộ
ng
của NAT, hiển thị các thông tin
về mỗi gói
đư
ợ
c
chuyển
đ
ổ
i
NAT bởi router. Lệnh
debug ip nat
detal còn cung
cấp thêm một số thông tin liên quan
đ
ế
n
sự chuyển của mỗi gói giúp chúng ta xác
đ

Những dòng còn lại cho biết về một kết nối Telnet từ một host bên
trong tới một host bên ngoài mạng.
Đ
ể

giải mã những thông tin hiển thị của lệnh
debug,
chúng ta dựa vào những
đ
i
ể
m

mấu chốt sau:
•
Dấu * kế bên từ NAT cho biết sự chuyển
đ
ổ
i
đ
ang
đư
ợ
c
thực hiện trên
đư
ờ
ng
chuyển mạch nhanh. Gói dữ liệu
đ