500

Router (config) # access-list 1 permit 10.0.0.0.0.0.255.255

•
Khai báo dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài với tên là nat-pool2, bao gồm các
đ
ị
a

chỉ trong subnet 179.9.8.20/28:
Router (config) # ip nat pool nat-pool2 179.9.8.20 netmask

255.255.255.240
•
Thiết lập sự chuyển
đ
ổ
i
Overload
đ
ị
a

phép chuyển
đ
ổ
i
đư
ợ
c
xác
đ
ị
nh
trong access-list 1 là 192.168.2.0/24 và 192.168.3.0/24.
Đ
ị
a
chỉ
đ
ạ
i
diện bên
ngoài là
đ
ị
a
chỉ của cổng serial 0, cổng kết nối ra Internet. Như vậy phải toàn bộ
đ
ị
a
chỉ bên trong
đư

đ
ể

kiểm
tra hoạt
đ
ộ
ng
của NAT.
Mặc
đ
ị
nh,
trong bảng chuyển
đ
ổ
i
NAT
đ
ộ
ng,
mỗi một cặp chuyển
đ
ổ
i
đ
ị
a
chỉ sẽ bị
xóa

c
hiển thị bằng các lệnh sau:
Lệnh
Clear ip nat translation *

Giải Thích
Xóa mọi cặp chuyển
đ
ổ
i
đ
ị
a
chỉ
đ
ộ
ng

trong bảng NAT.
Clear ip nat translation inside
global- Xóa một cặp chuyển
đ
ổ
i
đ
ị
a
chỉ
đ
ộ

ng

global
-ip global-port local-ip local-port mở rộng.
[outside local-ip local-port global-ip
global
-port]
Show ip nat translations

Show ip nat statistics
Hiển thị bảng NAT
đ
ang
hoạt
đ
ộ
ng.

Hiển thị trạng thái hoạt
đ
ộ
ng
của NAT.
502

Hình 1.1.5.a
Hình 1.1.5.b
Chúng ta có thể dùng lệnh
show run
đ

ể

kiểm tra hoạt
đ
ộ
ng
của NAT:
1. Dựa vào tập tin cấu hình, xác
đ
ị
nh
rõ ràng NAT thực hiện những gì.
2. Kiểm tra bảng NAT xem các chuyển
đ
ổ
i
đ
ị
a
chỉ có
đ
úng
không.
3. Kiểm tra hoạt
đ
ộ
ng
NAT xảy ra như thế nào bằng các lệnh
show
và

i
NAT bởi router. Lệnh
debug ip nat
detal còn cung
cấp thêm một số thông tin liên quan
đ
ế
n
sự chuyển của mỗi gói giúp chúng ta xác
đ
ị
nh
lỗi, ví dụ như lỗi không xác
đ
ị
nh
đư
ợ
c
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài.
Hình 1.1.6

Xét ví dụ hình 1.1.6. Hai dòng

ang
đư
ợ
c
thực hiện trên
đư
ờ
ng
chuyển mạch nhanh. Gói dữ liệu
đ
ầ
u
tiên của một phiên
đ
ố
i
thoại
luôn
đư
ợ
c
xử lý chuyển mạch nên chuyển mạch chậm. Các gói dữ liệu tiếp
theo
đư
ợ
c
truyền chuyển mạch nhanh với bộ
đ
ệ
m,

ích.

•
Giá trị trong giấu ngoặc vuông là chỉ số danh
đ
inh
IP. Thông tin này có thể
sẽ hữu dụng vì dựa vào
đ
ó
chúng ta sẽ tìm
đư
ợ
c
những gói dữ liệu tương
ứ
ng
đư
ợ
c
phân tích từ những phần mền phân tích giao thức khác.
1.1.7. Những vấn đề của NAT

NAT có nh
ững
ư
u
đ
i
ể

đ
ộ

tin cậy của kết nối mạng công
cộng.
•
Nhất quán hồ sơ
đ
ị
a
chỉ mạng nội bộ. Nếu mạng không sử dụng
đ
ị
a
chỉ IP
riêng và NAT mà sử dụng
đ
ị
a
chỉ công cộng thì khi thay
đ
ổ
i
đ
ị
a
chỉ công
cộng, toàn bộ hệ thống mạng phải
đ
ặ

i
ể
m.
Khi chuyển
đ
ổ
i
đ
ị
a
chỉ như vậy sẽ
làm mất
đ
i
một số chức năng
đ
ặ
c
biệt của giao thức và
ứ
ng
dụng có cần
đ
ế
n
các
thông tin
đ
ị
a

Hiệu suất hoạt
đ
ộ
ng
cũng là một vấn
đ
ề

cần
đư
ợ
c
quan tâm vì NAT
đư
ợ
c
thực hiện
trong tiến trình chuyển mạch. CPU phải
đư
ợ
c
kiểm tra từng gói dữ liệu
đ
ể

quyết
đ
ị
nh
gói dữ liệu

ị
a
chỉ
IP
đ
ầ
u
cuối-đến-đầu cuối. Việc truy theo gói dữ liệu sẽ trở nên khó hơn do gói dữ
liệu thay
đ
ổ
i
đ
ị
a
chỉ nhiều lần qua nhiều trạm NAT. Hacker sẽ rất khó khăn khi
muốn xác
đ
ị
nh
đ
ị
a
chỉ nguồn hoặc
đ
ích
của gói dữ liệu.
NAT c
ũng làm cho một số
ứ

đ
ế
n
đư
ợ
c
đ
ích
nằm sau router NAT.
Đ
ôi
khi, sự
cố này có thể tránh
đư
ợ
c
bằng cách ánh xạ NAT cố
đ
ị
nh.

Cisco IOS NAT hỗ trợ các loại lưu lượng sau:
•
ICMP
•
File Transfer Protocol (FTP), bao gồm lệnh PPRRT và PÁV.
•
Dịch vụ NetBIOS qua TCP/IP, gói dự liệu, tên và phiên giao tiếp.
•
RealNetworks’ RealAudio

Cisco IOS NAT không hỗ trợ các loại giao thức sau:
506

•
Thông tin cập nhật bảng
đ
ị
nh
tuyến.
•
Chuyển
đ
ổ
i
vùng DNS.
•
BOOTP
•
Giao thức talk and ntalk.
•
Giao thức quản lý mạng
đơ
n
giản – Simple Network Management Protocol
(SNMP)
1.2. DHCP

1.2.1. Giới thiệu DHCP

Giao thức cấu hình họat

a
chỉ cho
nó. Server này quản lý việc cấp phát
đ
ị
a
chỉ IP, sẽ gửi trả lời cấu hình IP cho client.
Một DHCP có thể phục vụ cho nhiều subnet khác nhau nhưng không phục vụ cho
cấu hình router, switch và các server khác vì những thiết bị này cần phải có
đ
ị
a
chỉ
IP cố
đ
ị
nh.

507

Hình 1.2.1.a.
Client gửi trực tiếp quảng bá một yêu cầu DHCP. Trường hợp
đơ
n

gi
ản nhất là có DHCP server nằm trong cùng subnet với client, server DHCP này
sẽ nhận
đư
ợ

cấp cho
client. Sau
đ
ó
server dùng
đ
ị
a
chỉ của vật lý của client
đ
ể

gửi gói trả lời lại cho
client.
508

Hình 1.2.1.c.
Hệ
đ
i
ề
u
hành trên DHCP client sẽ dùng những thông tin nhận
đư
ợ
c

trong gói trả lời server
đ
ể

Khi thời này hết hạn thì client phải yêu cầu cấp lại
đ
ị
a
chỉ
mới mặc dù thông thường client sẽ vẫn
đư
ợ
c
cấp lại
đ
ị
a
chỉ cũ.
Các nhà quản trị mạng thường sử dụng dịch vụ DHCP vì giải pháp này giúp quản
lý hệ thống mạng dễ và có khả năng mở rộng. Cisco router có thể sử dụng Cisco
IOS có hỗ trợ Easy IP
đ
ể

làm DHCP server. Mặc
đ
ị
nh
, Easy IP cấp cấu hình IP
cho client sử dụng trong 24 tiếng. Cơ chế này rất tiện lợi cho các văn phòng nhỏ
hoặc những văn phòng tại nhà, người sử dụgn tại nhà có thể tận dụng diạhc vụ
DHCP và NAT của router mà không cần phải có thêm một server NT hoặc UNIX.
Ngư
ời quản trị mạng cài

cấp cho những
đ
ị
a
chỉ MAC này
đ
ị
a
chỉ IP
không thay
đ
ổ
i
mỗi lần chúng yêu cầu.
DHCP sử dụng giao thức UDP (User Datagram Protocol) làm giao thức vận
chuyển của nó. Client gửi thông
đ
i
ệ
p
cho server trên port 67. Server gửi thông
đ
i
ệ
p

cho client trên port 68.
509

1.2.2. Những điểm khác nhau giữa BOOTP và DHCP

đ
ặ
c
đ
i
ể
m
họat
đ
ộ
ng

tương tự như DHCP. Cả hai giao thức này
đ
êgu
dựa trên cơ sở client-server và sử
dụng port UDP 67, 68. Hai port này hiện vẫn
đư
ợ
c
biết
đ
ế
n
như là port BOOTP.
Một cấu hình IP cơ bản bao gồm 4 thông tin sau:
•
Đ
ị
a

c
cấu hình trước xem có hàng nào
tương
ứ
ng
với
đ
ị
a
chỉ MAC của client hay không.Nếu có thì
đ
ị
a
chỉ IP tương
ứ
ng

sẽ
đư
ợ
c
cung cấp cho client.
Đ
i
ề
u
này có nghĩa là
đ
ị
a

Hết khoảng thời gian này
đ
ị
a
chỉ IP có thể
đư
ợ
c
cấp cho client khác.
Client có thể lấy
đ
ị
a
chỉ mới hoặc vẫn có thể tiếp tục giữ
đ
ị
a
chỉ cũ.
•
DHCP cung cấp cho client nhiều thông tin cấu hình IP khác như
đ
ị
a
chỉ
WINS server, tên miền.