|
Hiểu một cách đơn giản NAT (Network Address Translation) nhầm thay đổi địa chỉ IP này sang IP khác cho phù hợp để thực hiện trao đổi dữ liệu qua mạng. VD: Khi một máy tính đi ra internet, trên mỗi modem chúng ta có một địa chỉ IP thật, và chỉ có địa chỉ này mới thực hiện việc trao đổi dữ liệu qua mạng internet, trong trường hợp này, các ip bên trong muốn tham gia vào internet thì phải tiến hành NAT ip máy tính mạng trong trở thành ip thật của modem. Hay cũng có thể áp dụng trong các mô hình khác tùy thuộc vào ý đồ của người thiết kế mạng. Để dễ hình dung tôi giả định chúng ta có các kết nối giữa hai cty A và B theo sơ đồ bên dưới 
Hình 1 Theo Hình 1 chúng ta có 2 công ty A và công ty B là đối tác của nhau Vì một lý dó nào đó, máy PC0 ( 192.168.1.24 ) và PC ( 1192.168.1.23 ) của công ty A cần truy cập vào máy tính PC2 (172.18.15.15) của công ty B, nhưng theo quy hoạch của công ty B thì chỉ cho ip đối tác có dãy là 172.28.1.0/24 được phép truy cập. Và ở công ty A thì cũng có máy PC4(172.18.15.15) trùng với địa chỉ máy PC2 của cty B Giải pháp: Là admin của công ty A, admin đưa ra giải pháp như sau: Bước 1 là thỏa thuận để đạt được kết nối sao cho 2 router của 2 công ty thông mạng được với nhau Bước 2 tiến hành Nat ip 192.168.1.24, 192.168.1.23 thành ip thuộc dãy 172.28.1.0 để hợp lệ truy cập vào công ty B, nhưng cũng đồng thời cũng phải tiến hành Nat ip 172.18.15.15 của công ty B thành một ip khác để tránh trùng với PC4 của công ty A, ở bài lap này tôi NAT ip 172.18.15.15 thành một ip của dãy 172.17.1.0. Xem bảng ip NAT sau: | Công Ty A | Công Ty B | | Inside local | Inside global | Outside local | Outside global | | 192.168.1.24 | 172.28.1.14 | 172.17.1.15 | 172.18.15.15 | | 192.168.1.23 | 172.28.1.13 | | | Tiến hành cấu hình Trước tiên chúng tao setup bước 1 để chuẩn bị Nat Cấu hình để router0 và router1 thông nhau, trên router1 đặt access list chỉ cho ip 172.28.1.0 đi vào | | Router0 | Router1 | | Cấu hình công Wan | interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.252 duplex auto speed auto | interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.252 ip access-group AccessIn in duplex auto speed auto | | Cấu hình cổng Lan (vì có nhiều Vlan, nên cấu hình subinterface) Access list | interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.1 encapsulation dot1Q 1 native ip address 192.168.1.254 255.255.255.0 ! interface FastEthernet0/1.801 encapsulation dot1Q 801 ip address 172.28.1.254 255.255.255.0 ! interface FastEthernet0/1.802 encapsulation dot1Q 802 ip address 172.18.15.254 255.255.255.0 ! | interface FastEthernet0/1 ip address 172.18.15.254 255.255.255.0 duplex auto speed auto | | ip access-list extended AccessIn permit ip 172.28.1.0 0.0.0.255 any deny ip any any | | Cấu hình route | ip route 172.18.15.0 255.255.255.0 10.1.1.2 | ip route 192.168.1.0 255.255.255.0 10.1.1.1 ip route 172.28.1.0 255.255.255.0 10.1.1.1 | Cấu hình vlan trên switch0 ở công ty B Tạo vlan 801, 802, gán các port kết nối pc vào vlan | | Switch 0 | | | | interface FastEthernet0/21 switchport access vlan 802 switchport mode access ! | Gán port cho PC4 vào vlan 802 | | | interface FastEthernet0/22 switchport access vlan 801 switchport mode access ! | Gán port cho PC3 vào vlan 801 | | | interface FastEthernet0/23 switchport mode access ! interface FastEthernet0/24 switchport mode access ! | Mặc định port cho PC0,PC1 là vlan 1 | Đặt các ip cho PC theo mô hình ở hình 1 Tiến hành Nat như sau: Có 3 kiểu NAT, static, dynamic, và nat overload Static NAT Trên router0 | | Router0 | Ghi chú | | NAT | ip nat inside source static 192.168.1.24 172.28.1.24 ip nat inside source static 192.168.1.23 172.28.1.23 | Nat ip 192.168.1.24 thành 172.28.1.24 Nat ip 192.168.1.23 thành 172.28.1.23 | | ip nat outside source static 172.18.15.15 172.17.1.15 | Nat ip của công ty B (172.18.15.15) thành 172.17.1.15 | | Route | ip route 172.17.1.0 255.255.255.0 10.1.1.2 | Muốn thấy mạng 172.17.1.0/24 thì đến ip 10.1.1.2 trên router của công ty B | | Đặt Nat inside vào cổng LAN | interface FastEthernet0/1.1 encapsulation dot1Q 1 native ip address 192.168.1.254 255.255.255.0 ip nat inside | | | Đặt NAT outside vào cổng WAN | interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.252 ip nat outside duplex auto speed auto | | Trên router1 chỉ them dòng route | | Router1 | Ghi chú | | Route | ip route 172.28.1.0 255.255.255.0 10.1.1.1 | Muốn thấy mạng 172.28.1.0/24 thì đến ip 10.1.1.1 trên router của công ty A | Kiểm tra Từ PC0 tiến hành ping vào PC2 lúc này công ty A xem PC2 của công ty B có ip là 172.17.1.15 
Hình 2 Xem bảng NAT trên router0 
Hình 3 Theo hình này ta thấy trên Router0: Ip 192.168.1.23 khi ra ngoài sẽ trở thành ip 172.18.1.23 Ip 192.168.1.24 khi ra ngoài sẽ trở thành ip 172.28.1.24 IP từ công ty B 172.18.15.15 khi đi vào router0 sẽ trở thành 172.17.1.15 Chúng ta đã hiểu được phần nào về NAT, đối với static NAT, thì mỗi ip sẽ được gán thành một ip, nên nếu đối tác không cấp đủ số máy mà chỉ cấp 1 ip mà chúng ta lại có nhu cầu nhiều máy tính thay phiên (không kết nối đồng thời)kết nối vào máy của đối tác thì không đủ số lượng. Để giải quyết vấn đề này chúng ta phải tiến hành cấu hình Dynamin NAT NAT Dynamic Tạo pool là dãy ip sẽ được gán cho ip lớp mạng local Router(config)# ip nat pool net1 172.28.1.24 172.28.1.24 netmask 255.255.255.255 Tạo accesslist cho phép dãy ip local xác định nào đó đi được nat Router(config)# access-list 1 permit host 192.168.1.23 Router(config)# access-list 1 permit host 192.168.1.24 Nat dãy ip ở access list 1 vào net1 Router(config)# ip nat inside source list 1 pool net1 Chúng ta tiến hành kiểm tra bằng cách ping và xem bản nat trong router bằng lệnh Router# show ip nat translations Nhận thấy rất rỏ rằng 2 PC không thể nào ping vào PC2 của công ty B cùng một lúc, lý do là đối với dynamic thì trong một lúc nếu ta định nghĩa pool là một dãy gồm 10 ip thì ở công ty A cùng một lúc chỉ có 10 máy tính được nat thành 10 ip trong pool, nếu muốn nhiều hơn 10 PC cùng lúc sẽ thất bại, và để giải quyết vấn đề này, chúng ta tiếp tục với một cách cấu hình NAT overload sau NAT overload Cũng cấu hình định nghĩa pool và accesslist như dynamic Nhưng khi tiến hành NAT thì thêm chữ overload như sau: Router(config)# ip nat inside source list 1 pool net1 overload Tiến hành kiểm tra, từ 2 máy PC0 và PC1 ở công ty A, chúng ta ping 172.17.1.15 (ip sau khi nat) của công ty B Xem bản NAT bằng lệnh Router# show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 172.28.1.24:17 192.168.1.23:17 172.17.1.15:17 172.18.15.15:17 icmp 172.28.1.24:18 192.168.1.23:18 172.17.1.15:18 172.18.15.15:18 icmp 172.28.1.24:19 192.168.1.23:19 172.17.1.15:19 172.18.15.15:19 icmp 172.28.1.24:20 192.168.1.23:20 172.17.1.15:20 172.18.15.15:20 icmp 172.28.1.24:26 192.168.1.24:26 172.17.1.15:26 172.18.15.15:26 icmp 172.28.1.24:27 192.168.1.24:27 172.17.1.15:27 172.18.15.15:27 icmp 172.28.1.24:28 192.168.1.24:28 172.17.1.15:28 172.18.15.15:28 --- --- --- 172.17.1.15 172.18.15.15 Chúng ta thấy ip của PC0 và PC1 được NAT thành 172.28.1.24 Đối với Nat overload thì chúng ta dễ thấy trong cấu hình để ip local đi ra ngoài Internet Tôi có giả lập và cấu hình trên Cisco Packet Tracer, bạn nào cần thì mail cho mình, mình sẽ gởi file! Nếu phát hiện sai sót xin vui lòng gởi mail cho mình, xin cảm ơn!
|
