494

6
Đ
ánh
dấu cổng này là cổng kết nối ra
mạng công cộng bên ngoài.
Router (config
-if) #
ip nat outside

Hình v
ẽ - 2 hình
Hình 1.1.4.a
Sự chuyển
đ
ổ
i
đ
ị
a
chỉ sẽ
đư
ợ
c
thưc hiện giữa hai cổng inside và
outside
495

Hình 1.1.4.b.
Cấu hình NAT chuyển

1.1.4.2. Chuyển đổi động

Đ
ể

Chuyển
đ
ổ
i
đ
ộ
ng
đ
ị
a
chỉ nguồn bên trong, chúng ta cấu hình theo các bước như
sau:
Bước
1
Thực hiện
Xác
đ
ị
nh
dải
đ
ị
a
chỉ
đ

đ
ạ
i
diên bên ngoài.
Thiết lập ACL cơ bản cho phép những
đ
ị
a
Trong chế
đ
ộ

cấu hình
chỉ nội bộ bên trong nào
đư
ợ
c
chuyển
đ
ổ
i.

Router (config)
#
access
-
list
access-list-
number
permit

xác
đ
ị
nh
trong ACL
ở

bước trên với toàn cục, gõ lênh
no ip

dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài:
Router (config) #
ip nat inside source li
st

access-list-number
pool
name
nat inside source
đ
ể


dấu cổng này là cổng kết nối vào mạng
nội bộ.
Router (config
-if) #
ip nat inside

6 Thóat khỏi chế
đ
ộ

cổng hiện tại.
Router (config) #
exit

7 Xác
đ
ị
nh
cổng kết nối ra bên ngoài.
Router (config) #
interface
type number
8
Đ
ánh
dấu cổng này là cổng kết nối ra bên
ngoài.
Router (config) #
ip nat outside


đư
ợ
c
khi một ACL có
quá nhiều
đ
i
ề
u
kiện cho phép. Cisco khuyến cáo là không nên dùng
đ
i
ề
u
kiện cho
phép tất cả
permit any
trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn
quá nhiều tài nguyên của Router và do
đ
ó
có thể gây ra sự cố mạng.
497

Hình 1.1.4.c
Xét ví dụ hình 1.1.4.c: Dải
đ
ị
a
chỉ công cộng

nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255.
Như v
ậy, gói dữ liệu nào trong mạng nội bộ
đ
i
ra ngoài Internet có
đ
ị
a
chỉ nguồn
nằm trong dải
đ
ị
a
chỉ 10.1.0.0 – 10.1.0.255 sẽ
đư
ợ
c
chuyển
đ
ổ
i
đ
ị
a
chỉ nguồn sang
một trong bất kỳ
đ
ị
a

ợ
c
Internet.
Overloading hay PAT
Overloading
đư
ợ
c
cấu hình theo hai cách tùy theo
đ
ị
a
chỉ IP công cộng
đư
ợ
c
cấp
phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng
chung một
đ
ị
a
chỉ IP công cộng duy nhất,
đ
ia
jchỉ IP công cộng này chính là
đ
ị
a


ợ
c
chuyển
đ
ổ
i.

Router(config)
#
access-list

acl-number
toàn cục, gõ lệnh
no

access-list
tương
ứ
ng.

access-list-
number
đ
ể

xóa access-list
permit
source [source-wildcard]
2A Thiết lập mối liên quan giữa
đ

diện là
đ
ị
a
chỉ của cổng kết nối với
nat inside source
đ
ể

xóa
bên ngoài.
Router (config) #
ip nat inside source list
acl-
number
interface
interface
overload

sự chuyển
đ
ổ
i
đ
ộ
ng
này.
Từ khóa
overload
đ

overload giữa
đ
ị
a
chỉ nội
bộ
đ
ã
đư
ợ
c
xác
đ
ị
nh
trong ACL
ở

bước 1 với
dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài mới khai báo
ở


ổ
i
từ (config)#
sang (config-if)#
4 Xác
đ
ị
nh
cổng kết nối với bên ngoài.
Router (config) #
interface
type number
Router (config-if) #
ip nat outside.

Một cách khác
đ
ể

cấu hình Overload là khi ISP cung cấp một hoặc nhiều
đ
ị
a
chỉ IP
công cộng
đ
ể

cho hệ thống mạng khách hàng sử dụng làm dải
đ

Khai báo dải
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài với tên là nat-pool2, bao gồm các
đ
ị
a

chỉ trong subnet 179.9.8.20/28:
Router (config) # ip nat pool nat-pool2 179.9.8.20 netmask

255.255.255.240
•
Thiết lập sự chuyển
đ
ổ
i
Overload
đ
ị
a
chỉ nội bộ
đư
ợ
c

đư
ợ
c
xác
đ
ị
nh
trong access-list 1 là 192.168.2.0/24 và 192.168.3.0/24.
Đ
ị
a
chỉ
đ
ạ
i
diện bên
ngoài là
đ
ị
a
chỉ của cổng serial 0, cổng kết nối ra Internet. Như vậy phải toàn bộ
đ
ị
a
chỉ bên trong
đư
ợ
c
chuyển
đ

tra hoạt
đ
ộ
ng
của NAT.
Mặc
đ
ị
nh,
trong bảng chuyển
đ
ổ
i
NAT
đ
ộ
ng,
mỗi một cặp chuyển
đ
ổ
i
đ
ị
a
chỉ sẽ bị
xóa
đ
i
sau một khoảng thời gian không sử dụng. Với chuyển
đ


Giải Thích
Xóa mọi cặp chuyển
đ
ổ
i
đ
ị
a
chỉ
đ
ộ
ng

trong bảng NAT.
Clear ip nat translation inside
global- Xóa một cặp chuyển
đ
ổ
i
đ
ị
a
chỉ
đ
ộ
ng

ip local-ip [outside local-ip global-ip]
bên trong hoặc cả bên trong và bên

[outside local-ip local-port global-ip
global
-port]
Show ip nat translations

Show ip nat statistics
Hiển thị bảng NAT
đ
ang
hoạt
đ
ộ
ng.

Hiển thị trạng thái hoạt
đ
ộ
ng
của NAT.
502

Hình 1.1.5.a
Hình 1.1.5.b
Chúng ta có thể dùng lệnh
show run
đ
ể

kiểm tra lại các giá trị cần khai báo trong
các câu lệnh cấu hình NAT, access-list, interface.

ộ
ng
của NAT:
1. Dựa vào tập tin cấu hình, xác
đ
ị
nh
rõ ràng NAT thực hiện những gì.
2. Kiểm tra bảng NAT xem các chuyển
đ
ổ
i
đ
ị
a
chỉ có
đ
úng
không.
3. Kiểm tra hoạt
đ
ộ
ng
NAT xảy ra như thế nào bằng các lệnh
show
và
debug.

4. Xem chi tiết những gì xảy ra cho một gói dữ liệu và kiểm tra xem router
có

cấp thêm một số thông tin liên quan
đ
ế
n
sự chuyển của mỗi gói giúp chúng ta xác
đ
ị
nh
lỗi, ví dụ như lỗi không xác
đ
ị
nh
đư
ợ
c
đ
ị
a
chỉ
đ
ạ
i
diện bên ngoài.
Hình 1.1.6

Xét ví dụ hình 1.1.6. Hai dòng
đ
ầ
u
tiên cho thấy các gói yêu cầu và trả lời DNS

thực hiện trên
đư
ờ
ng
chuyển mạch nhanh. Gói dữ liệu
đ
ầ
u
tiên của một phiên
đ
ố
i
thoại
luôn
đư
ợ
c
xử lý chuyển mạch nên chuyển mạch chậm. Các gói dữ liệu tiếp
theo
đư
ợ
c
truyền chuyển mạch nhanh với bộ
đ
ệ
m,
không cần xử lý nhiều
như gói
đ
ầ