Hotline: 01628228880 Tìm kiếm
Showing posts with label router Cisco. Show all posts
Showing posts with label router Cisco. Show all posts

Các lệnh cấu hình Router Cisco - Router Cisco configuration

Cấu hình router để cho router thực hiện nhiều chức năng mạng phức tạp là một công việc đầy thử thách. Tuy nhiên bước bắt đầu cấu hình router thì không khó lắm. Trong bài viết này sẽ giới thiệu về các chế độ cấu hình cơ bản của router và một số lệnh cấu hình đơn giản. Bài viết này trình bày các vấn đề:
• Đặt tên cho router.
• Cài đặt mật mã cho router.
• Khảo sát các lệnh show.
• Cấu hình cổng Ethernet trên router.
• Thực hiện một số thay đổi trên router.
• Lưu các thay đổi đó lại.
• Cấu hình câu chú thích cho các cổng giao tiếp trên router.
• Cấu hình thông điệp hàng ngày cho router.
• Cấu hình bảng host cho router.
• Hiểu được tầm quan trọng của việc ghi nhận lại và lưu dự phòng cấu hình của router.
cau hinh router, cac lenh cau hinh router co ban
Chế độ giao tiếp dòng lệnh CLI
Tất cả các câu lệnh làm thay đổi cấu hình router đều xuất phát từ chế cầu hình toàn cục. Tuỳ theo ý bạn muốn thay đổi thay đổi phần cấu hình đặc biệt nào của router thì bạn chuyển vào chế độ chuyên biệt tương ứng. Các chế độ cấu hình chuyên biệt
này đều là chế độ con của chế độ cấu hình toàn cục.
Chế độ cấu hình toàn cục là chế độ cấu hình chính. Từ chế độ này bạn có thể chuyển vào các chế độ chuyên biệt như:
  • Chế độ cấu hình cổng giao tiếp.
  • Chế độ cấu hình đường truy cập.
  • Chế độ cấu hình router.
  • Chế độ cấu hình cổng con.
  • Chế độ cấu hình bộ điều khiển.
1. Cấu hình đặt tên cho Router
Công việc đầu tiên khi cấu hình router là đặt tên cho router. Trong chế độ cấu hình toàn cục, bạn dùng lệnh sau:
Router(config)#hostname VietNam
VietNam(config)#

Ngay sau khi bạn nhấn phím Enter để thực thi câu lệnh bạn sẽ thấy dấu nhắc đổi từ tên mặc định (Router) sang tên mà bạn vừa mới đặt.
2. Cấu hình đặt mật mã (mật khẩu - Password) cho Router
- Đặt mật mã cho đường console:
Router(config)#line console 0
Router(config-line)#password (password)
Router(config-line)#login

Chúng ta cũng cần đặt mật mã cho một hoặc nhièu đương vty để kiểm soát các user truy nhập từ xa vào router và Telnet. Thông thường Cisco router có 5 đường vty với thứ tự từ 0 đến 4. Chúng ta thường sử dụng một mật mã cho tất cả các đường vty, nhưng đôi khi chúng ta nên đặt thêm mật mã riêng cho một đường để dự phòng khi cả 4 đường kia đều đang được sủ dụng. Sau đây là các lệnh cần sử dụng để đặt mật mã cho đường vty:
Router(config)#line vty 0 4
Router(config-line)#password (password)
Router(config-line)#login

Mật mã enable và enable secret được sử dụng để hạn chế việc truy cập vào chế độ EXEC đặc quyền. Mật mã enable chỉ được sử dụng khi chúng ta cài đặt mật mã enable secret vì mật mã này được mã hoá còn mật mã enable thì không. Sau đây là các lệnh dùng để đặt mật mã enable secret:
Router(config)#enable password (password)
Router(config)#enable secret (password)

Đôi khi bạn sẽ thấy là rất không an toàn khi mật mã được hiển thị rõ ràng khi sử dụng lệnh show running-config hoặc show startup-config. Để tránh điều này bạn nên dùng lệnh sau để mã hoá tất cả các mật mã hiển thị trên tập tin cấu hình của router:
Router(config)#service password-encryption
Đặt mật mã cho Router
3. Kiểm tra cấu hình Router bằng các lệnh Show
Chúng ta có rất nhiều lệnh show được dùng để kiểm tra nội dung các tập tin trên router và để tìm ra sự cố. Trong cả hai chế độ EXEC đặc quyền và EXEC người dùng, khi bạn gõ show? Thì bạn sẽ xem được danh sách các lệnh show. Đương nhiên là số lệnh show dùng được trong chế độ EXEC đặc quyền sẽ nhiều hơn trong chế độ EXEC người dùng.
Show interface - hiển thị trạng thái của tất cả các cổng giao tiếp trên router. Để xem trạng thái của một cổng nào đó thì bạn thêm tên và số thứ tự của cổng đó sau lệnh show interface. Ví dụ như:
Router#show interface serial 0/1
• Show controllers serial - hiển thị các thông tin chuyên biệt về phần cứng của các cổng serial.
• Show clock - hiển thị đồng hồ được cài đặt trên router.
• Show hosts - hiển thị danh sách tên và địa chỉ tương ứng.
• Show users - hiển thị tất cả các user đang kết nối vảo router.
• Show history - hiển thị danh sách các câu lệnh vừa mới được sử dụng.
• Show flash – hiển thị thông tin bộ nhớ flash và tập tin IOS chứa trong đó.
• Show version - hiển thị thông tin về router và IOS đang chạy trên RAM.
• Show ARP - hiển thị bảng ARP trên router.
• Show protocol - hiển thị trạng thái toàn cục và trạng thái của các cổng giao tiếp đã được cấu hình giao thức lớp 3.
• Show startup-configuration - hiển thị tập tin cấu hình đăng chạy trên RAM.
4. Cấu hình cổng Serial
Chúng ta có thẻ cấuhình cổng serial bẳng đường console hoặc vty. Sau đây là các bước cần thực hiện khi cấu hình cổng serial:
- Vào chế độ cấu hình toàn cục.
- Vào chế độ cấu hình cổng serial.
- Khai báo địa chỉ và subnet mask.
- Đặt tốc độ clock nếu đầu cáp cắm vào cổng serial là DCE. Nếu đầu cáp là DTE thì chúng ta có thể bỏ qua này.
- Khởi động serial.
Mỗi một cổng serial đều phải có một địa chỉ IP và subnet mask để chúng có thể định tuyến các gói IP. Để cấu hình địa chỉ IP chúng ta dùng lệnh sau:
Router(config)#interface serial 0/0
Router(config)#ip address (ip address) (netmask)

Cổng serial cần phải có tín hiệu clock để điều khiển thời gian thực hiện thông tin liên lạc. Trong hầu hết các trường hợp, thiết bị DCE, ví dụ như CSU, sẽ là thiết bị cung cấp tín hiệu clock. Mặc định thì Cisco router lad thiết bị DTE nhưng chúng ta có thể cấu hình chúng thành thiết bị DCE.
Mặc định thì các cổng giao tiếp trên router đều đóng. Nếu bạn muốn mở hay khởi động các cổng này thì bạn phải dùng lệnh no shutdown. Nếu bạn muốn đóng cổng lại để bảo trì hoặc xử lý sự cố thì bạn dùng lệnh shutdown.
Router(config)#interface serial 0/0
Router(config-if)#clock rate 56000
Router(config-if)#no shutdown

5. Cấu hình cổng Ethernet
Tương tự như cổng serial, chúng ta có thể cấu hình cổng Ethernet bằng đường
console hoặc vty.
Mỗi cổng Ethernet cũng cần phải có một địa chỉ IP và subnet mask để có thể thực
hiện định tuyến các gói IP qua cổng đó.
Sau đây là các bước thực hiện cấu hình Ethernet:
•Vào chế độ cấu hình toàn cục.
•Vào chế độ cấu hình cổng Ethernet.
•Khai báo địa chỉ và subnet mask.
•Khởi động cổng Ethernet.
Măc định là các cổng trên router đều đóng. Do đó, bạn phải dùng lệnh no
shutdown để mở hay khởi động cổng. Nếu bạn cần đóng cổng lại để bảo trì hay xử
lý sự cố thì bạn dùng lệnh shutdown.

-------------------------------------------
Chúc các bạn học tập tốt !

Cơ chế NAT - PAT, tìm hiểu, cấu hình (phần 2)

Cơ chế NAT - PAT, tìm hiểu, cấu hình (phần 2). Bài viết này mình viết tiếp theo về phần Tìm hiểu, cấu hình, cơ chế NAT - PAT
4.2. Chuyển đổi động
Để Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau:

Bước Thực hiện Ghi chú
1 Xác định dải địa chỉ đại diện bên ngoài

Rourter (config) # ip nat pool name start-ip

end-ip [netmask netmask /prefix-length
prefix-length]
Trong chế độ cấu hình

toàn cục, gõ lệnh no ip

nat pool name để xóa dải
địa chỉ đại diên bên ngoài.
2 Thiết lập ACL cơ bản cho phép những địa

chỉ nội bộ bên trong nào được chuyển đổi.

Router (config) # access-list access-list-
number permit source [source-wildcard]
Trong chế độ cấu hình

toàn cục, gõ lệnh no

access-list    access-list-
number để xóa ACL đó.
3 Thiết lập mối liên quan giữa địa chỉ nguồn

đã được xác định trong ACL ở bước trên với

dải địa chỉ đại diện bên ngoài:

Router (config) # ip nat inside source list
access-list-number pool name
Trong chế độ cấu hình

toàn cục, gõ lênh no ip

nat inside source để xóa
sự chuyển đổi động này
4 Xác định cổng kết nối vào mạng nội bộ
Router (config) # interface type number
Sau khi gõ xong lệnh
interface, dấu nhắc của

dòng lệnh sẽ chuyển đổi
từ config sang (config-if)#
5 Đánh dấu cổng này là cổng kết nối vào mạng

nội bộ.
Router (config-if) # ip nat inside
6 Thóat khỏi chế độ cổng hiện tại.
Router (config) # exit
7 Xác định cổng kết nối ra bên ngoài.
Router (config) # interface type number
8 Đánh dấu cổng này là cổng kết nối ra bên

ngoài.
Router (config) # ip nat outside
Danh sách điều khiển truy cập (ACL – Access Control List) cho phép khai báo những địa chỉ nào được chuyển đổi. Bạn nên nhớ là kết thúc một ACL luôn có câu lệnh ẩn cấm tuyệt đối để tránh những kết quả không dự tính được khi một ACL có quá nhiều điều kiện cho phép. Cisco khuyến cáo là không nên dùng điều kiện cho phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn quá nhiều tài nguyên của Router và do đó có thể gây ra sự cố mạng.
Hình 8
Xét ví dụ hình 1.1.4.c: Dải địa chỉ công cộng đại diện ben ngoài có tên là nat-pool1, bao gồm các địa chỉ từ 179.9.8.80 đến 179.9.95. Địa chỉ nội bộ bên trong được phép chuyển đổi được định nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255.
Như vậy, gói dữ liệu nào trong mạng nội bộ đi ra ngoài Internet có địa chỉ nguồn
nằm trong dải địa chỉ 10.1.0.0 – 10.1.0.255 sẽ được chuyển đổi địa chỉ nguồn sang một trong bất kỳ địa chỉ nào còn trống trong dải địa chỉ công cộng 179.9.8.80 - 179.9.8.95. Host 10.1.1.2 sẽ không được chuyển đổi địa chỉ vì địa chỉ của nó không được cho phép trong acces-list 1, do đó nó không truy cập được Internet.
Overloading hay PAT
Overloading được cấu hình theo hai cách tùy theo địa chỉ IP công cộng được cấp phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng chung một địa chỉ IP công cộng duy nhất, đia jchỉ IP công cộng này chính là địa chỉ của cổng giao tiểp trên Router nối về ISP. Sau đây là ví dụ cấu hình cho tình huống này:

Router (config) # access-list 1 permit 10.0.0.0 0.0.255.255
Router (config) ip nat inside source list 1 interface serial0/0 overload

Bước Thực hiện Ghi chú
1 Tạo ACL để cho phép những địa chỉ nội bộ

nào được chuyển đổi.

Router(config)  #  access-list  acl-number
permit source [source-wildcard]
Trong chế độ cấu hình

toàn cục, gõ lệnh no

access-list    access-list-

number để xóa access-list
tương ứng.
2A Thiết lập mối liên quan giữa địa chỉ nguồn đã

được xác định trong access-list ở bước trên với

địa chỉ đại diện là địa chỉ của cổng kết nối với

bên ngoài.

Router (config) # ip nat inside source list acl-
number interface interface overload
Trong chế độ cấu hình

toàn cục, gõ lệnh no ip

nat inside source để xóa

sự chuyển đổi động này.

Từ khóa overload để cho
phép chạy PAT
Hoặc
2B
Khai báo dải địa chỉ đại diện bên ngoài dùng

overload.

Router (config) ip nat pool name start-ip end-

ip

[netmask netmask / prefix-length prefix-

length]

Thiết lập chuyển đổi overload giữa địa chỉ nội

bộ đã được xác định trong ACL ở bước 1 với
dải địa chỉ đại diện bên ngoài mới khai báo ở trên.
Router (config) # ip nat inside source list acl- number pool name overload
3 Xác định cổng kết nối với mạng nội bộ.

Router (config) # interface type number
Router (config-if) # ip nat inside
Sau khi gõ lệnh interface,

dấu nhắc của dòng lệnh sẽ

được đổi từ (config)#
sang (config-if)#
4 Xác định cổng kết nối với bên ngoài.

Router (config) # interface type number
Router (config-if) # ip nat outside.
Một cách khác để cấu hình Overload là khi ISP cung cấp một hoặc nhiều địa chỉ IP công cộng để cho hệ thống mạng khách hàng sử dụng làm dải địa chỉ chuyển đổi PAT. Cấu hình ví dụ cho tình huống này như sau:
• Xác định địa chỉ nội bộ được phép chuyển đổi là 10.0.0.0/16:

Router (config) # access-list 1 permit 10.0.0.0.0.0.255.255

• Khai báo dải địa chỉ đại diện bên ngoài với tên là nat-pool2, bao gồm các địa
chỉ trong subnet 179.9.8.20/28:

Router (config) # ip nat pool nat-pool2 179.9.8.20 netmask 255.255.255.240

• Thiết lập sự chuyển đổi Overload địa chỉ nội bộ được xác định trong access-list 1 với dải địa chỉ đại diện nat pool2:

Router (config) # ip nat inside source list 1 pool nat-pool2 overload

Hình 9
Xét ví dụ hình 1.1.4.d: địa chỉ nội bộ bên trong được phép chuyển đổi được xác định trong access-list 1 là 192.168.2.0/24 và 192.168.3.0/24. Địa chỉ đại diện bên ngoài là địa chỉ của cổng serial 0, cổng kết nối ra Internet. Như vậy phải toàn bộ địa chỉ bên trong được chuyển đổi PAT với một địa chỉ IP đại diện duy nhất là địa chỉ của cổng kết nối ra Internet, cổng serial 0.
5. Kiểm tra cấu hình PAT
Sau khi NAT đã được cấu hình, chúng ta có thể dùng lệnh clear và show để kiểm tra hoạt động của NAT.

Mặc định, trong bảng chuyển đổi NAT động, mỗi một cặp chuyển đổi địa chỉ sẽ bị xóa đi sau một khoảng thời gian không sử dụng. Với chuyển đổi không sử dụng chỉ số Port thì khoảng thời gian mặc định là 24 giờ. Chúng ta có thể thay đổi khoảng thời gian này bằng lệnh ip nat translation timeout timeout_seconds trong chế độ cấu hình toàn cục.
Các thông tin về sự chuyển đổi có thể được hiển thị bằng các lệnh sau:
Lệnh Giải Thích
Clear ip nat translation * Xóa mọi cặp chuyển đổi địa chỉ động
trong bảng NAT.
Clear ip nat translation inside global-
ip local-ip [outside local-ip global-ip]
Xóa một cặp chuyển đổi địa chỉ động bên trong hoặc cả bên trong và bên ngoài tương ứng với địa chỉ cụ thể được khai báo trong câu lệnh.
Clear ip nat translation protocol inside

global-ip global-port local-ip local-port

[outside local-ip local-port global-ip
global-port]
Xóa một cặp chuyển đổi địa chỉ động
mở rộng.
Show ip nat translations Hiển thị bảng NAT đang hoạt động.
Show ip nat statistics Hiển thị trạng thái hoạt động của NAT.

Router#show ip nat translations
Pro inside global  Inside local   Outside local     Outside global
172.16.131.1       10.10.10.1       ------              ------

Hình 10
Chúng ta có thể dùng lệnh show run để kiểm tra lại các giá trị cần khai báo trong các câu lệnh cấu hình NAT, access-list, interface.
-----------------------------------------
Phần đặc điểm + những vấn đề hạn chế của NAT mình sẽ gửi tới các bạn sau.

!
theo tài liệu CCNA.

Cơ chế NAT - PAT, tìm hiểu, cấu hình (phần 1)

Vấn đề chúng ta  phải hiểu được NAT là gì? Cơ chế NAT có tác dụng gì, hoạt động của NAT như thế nào?
Ở bài viết về Cơ Chế NAT này mình sẽ đi sâu vào tìm hiểu những vấn đề về NAT.
Phần bài viết này trình bày bao gồm các vấn đề về NAT:
- Khái niệm NAT - PAT
- Chia địa chỉ mạng với NAT - PAT
- Đặc điểm của NAT - PAT
- Cấu hình NAT - PAT
- Những vấn đề của NAT - PAT
1. Khái niệm NAT - PAT:
NAT (Network Address Translation) là một cơ chế để tiết kiệm địa chỉ IP đăng ký trong một mạng lớn và giúp đơn giản hóa việc quản lý địa chỉ IP. Khi 1 gói dữ liệu được định tuyến trong 1 thiết bị mạng, thường là firewall hoặc các router biên, địa chỉ IP nguồn sẽ được chuyển đổi từ địa chỉ mạng riêng thành địa chỉ IP công cộng định tuyến được. Điều này cho phép gói dữ liệu được truyền đi trong trong mạng công cộng, ví dụ như Internet. Sau đó, địa chỉ công cộng trong gói trả lời lại được chuyển đổi thành địa chỉ riêng để phát vào trong mạng nội bộ. Một dạng của NAT, được gọi là PAT(Port Address Translation), cho phép nhiều địa chỉ riêng được dịch sang một địa chỉ công cộng duy nhất.
2. Chia địa chỉ với NAT - PAT
2.1 Địa chỉ riêng (Private address)
RFC 1918 dành riêng 3 dải địa chỉ IP sau:
• 1 địa chỉ lớp A: 10.0.0.0/8.
• 16 địa chỉ lớp B: 172.16.0.0 – 172.31.255.255 (172.16.0.0/12).
• 256 địa chỉ lớp C: 192.168.0.0-192.168.255.255 (192.168.0.0/16).
Những địa chỉ trên chỉ dùng cho mạng riêng, mạng nội bộ. Các gói dữ liệu có địa chỉ như trên sẽ không định tuyến được trên Internet. Địa chỉ Internet công cộng phải được đăng ký với một công ty có thẩm quyền Internet, ví dụ như American Registry for Internet Numbers (ARIN) hoặc Réseaux IP Européens (RIPE) và The Regional Internet Registry phụ trách khu vực Châu Âu và Bắc Phi. Địa chỉ IP công cộng còn có thể được thuê từ một nhà cung cấp dịch vụ Internet (ISP). Địa chỉ IP riêng được dành riêng và có thể được sử dụng bởi bất kỳ ai. Điều này có nghĩa là có thể có 2 mạng hoặc 2 triệu mạng sử dụng cùng một địa chỉ mạng riêng. Router trên Internet sẽ không định tuyến các địa chỉ RFC 1918.ISP cấu hình Router biên ngăn không cho các lưu lượng của địa chỉ riêng được phát ra ngoài.
NAT mang đến rất nhiều lợi ích cho các công ty và Internet. Trước đây, khi không
có NAT, một máy tính không thể truy cập Internet với địa chỉ riêng. Bây giờ, sau
khi có NAT, các công ty có thể cấu hình địa chỉ riêng cho một hoặc tất cả các máy
tính và sử dụng NAT để truy cập Internet.
2.2 Giới thiệu NAT - PAT
NAT được thiết kế để tiết kiệm địa chỉ IP và cho phép mạng nội bộ sử dụng địa chỉ IP riêng. Các địa chỉ IP riêng sẽ được chuyển đổi sang địa chỉ công cộng định tuyến được bằng cách chạy phần mềm NAT đặc biệt trên thiết bị mạng. Điều này giúp cho mạng riêng càng được tách biệt và giấu được địa chỉ IP nội bộ.
NAT thường được sử dụng trên Router biên của mạng một cửa. Mạng một cửa là mạng chỉ có một kết nối duy nhất ra bên ngoài. Khi một host nằm trong mạng một cửa muốn truyền dữ liệu cho một host nằm bên ngoài nó sẽ truyền gói dữ liệu đến Router biên giới. Router biên giới sẽ thực hiện tiến trình NAT, chuyển đổi địa chỉ riêng của host nguồn sang một địa chỉ công cộng định tuyến được. Trong thuật ngữ NAT, mạng nội bộ có nghĩa là tập hợp các địa chỉ mạng cần chuyển đổi địa chỉ. Mạng bên ngoài là tất cả các địa chỉ khác còn lại.
Mạng một cửa
Cisco định nghĩa các thuật ngữ NAT như sau:
• Địa chỉ cục bộ bên trong (Inside local address): là địa chỉ được phân phối cho các host bên trong mạng nội bộ. Các địa chỉ này thường không phải là địa chỉ được cung cấp bởi InterNIC (Internet Network Information Center)hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này thường là địa chỉ riêng RFC 1918.
• Địa chỉ toàn cục bên trong (Inside global address): là địa chỉ IP hợp pháp được cung cấp bởi InterNIC hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này đại diện cho một hoặc nhiều địa chỉ nội bộ bên trong đối với thế giới bên ngoài.
• Địa chỉ cục bộ bên ngoài (Outside local address): là địa chỉ riêng của host nằm bên ngoài mạng nội bộ.
• Địa chỉ toàn cục bên ngoài (Outside global address): là địa chỉ công cộng hợp pháp của host nằm bên ngoài mạng nội bộ
Hình 2: Host nội bộ 10.0.0.3 muốn gửi gói dữ liệu cho một host nằm ngoài 128.23.2.2. Gói dữ liệu được gửi tới router biên giới RTA.
Hình 3: RTA nhận thấy gói dữ liệu này đươc gửi ra ngoài internet nên nó thực hiên tiến trình NAT, chuyến đổi địa chỉ nguồn 10.0.0.3 thành địa chỉ công cộng là 179.9.8.80. Sauk hi thực hiện NAT xong, gói dữ liệu từ RTA đi ra sẽ có địa chỉ nguồn là một địa chỉ công cộng hợp pháp 179.9.8.80.
Hình 4: Sau đó server 128..23.2.2 có thể gửi lại một gói trả lời. Khi đó gói trả lời sẽ có địa chỉ đích là 179.9.8.80.
Hình 5: RTA nhận thấy gói dữ liệu này được gửi từ bên ngoài vào trong mạng nội bộ. RTA sẽ tìm trong bảng NAT để ánh xạ từ địa chỉ đích công cộng sang địa chỉ riêng tương ứng. Sau khi thực hiên NAT xong, gói dữ liệu từ RTA phát vào trong mạng nội bộ sẽ có địa chỉ đích là địa chỉ riêng của host đích 10.0.0.3.
3. Đặc điểm của NAT và PAT
Chuyển đổi NAT rất hữu ích cho nhiều mục đích khác nhau và có thể chuyển đổi động hoặc cố định. NAT cố định được thiết kế để ánh xạ một-một, từ một địa chỉ nội bộ sang một địa chỉ công cộng tương ứng duy nhất. Điều này rất tốt đối với những host cần phải có địa chỉ nhất định để truy cập từ Internet. Những host này có thể là các server toàn hệ thống hoặc các thiết bị mạng.

NAT động được thiết kế để ánh xạ một địa chỉ IP riêng sang một địa chỉ công cộng một cách tự động. Bất kỳ địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định trước đều có thể được gán cho một host bên trong mạng. Overloading hoặc PAT có thể ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ IP công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port.

PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển đổi. Số port được mã hóa 16 bit. Do đó có tới 65.536 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng. Thực tế thì số lượng port có thể gán cho một địa chỉ IP là khoảng 4000 port. PAT sẽ cố gắng giữ nguyên số port nguồn ban đầu. Nhưng nếu số port này đã bị sử dụng thi PAT sẽ lấy số port còn trống đầu tiên trong các nhóm port 0-511, 512-1023, 1024-65535.

Khi không còn số port nào còn trống và vẫn còn địa chỉ IP công cộng khác đã được cấu hình thì PAT sẽ chuyển sang địa chỉ IP công cộng kế tiếp và bắt đàu xác định số port nguồn như trên. Quá trình này sẽ được thực hiện cho đến khi nào hết số port và địa chỉ IP công cộng còn trống.
NAT cung cấp những lợi điểm sau:
• Không cần phải gán địa chỉ IP mới cho từng host khi thay đổi sang một ISP mới. Nhờ đó có thể tiết kiệm được thời gian và tiền bạc.
• Tiết kiệm địa chỉ thông qua ứng dụng ghép kênh cấp độ port. Với PAT, các host bên trong có thể chia sẻ một địa chỉ IP công cộng để giao tiếp với bên ngoài. Với cách cấu hình này, chúng ta cần rất ít địa chỉ công cộng, nhờ đó có thể tiết kiệm địa chỉ IP.
• Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên trong ra ngoài.
4.  Cấu hình NAT - PAT
4.1 Chuyển đổi cố định
Để cấu hình chuyển đổi cố định địa chỉ nguồn bên trong, chúng ta cấu hình các bước như sau:

Bước Thực hiện Ghi chú
1 Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và địa chỉ đại diện bên ngoài

Router (config) # ip nat inside
source static local-ip global-ip
Trong chế độ cấu hình toàn cục, bạn dùng câu lệnh 
no ip nat inside source static
để xóa sự chuyển đổi địa chỉ cố định.
2 Xác định cổng kết nối vòa mạng bên trong.
Router(config) # interface type number
Sau khi gõ lệnh interface, dấu nhắc của dòng lệnh sẽ chuyển từ (config) # sang (config-if) #
3 Đánh dấu cổng này là cổng kết nối vào mạng nội bộ bên trong.
Router (config-if) # ip nat inside
4 Thóat khỏi chế độ cấu hình cổng hiện tại.
Router (config-if) # exit
5 Xác định cổng kết nối ra mạng công cộng bên ngoài.
Router (config) # interface type number
6 Đánh dấu cổng này là cổng kết nối ra mạng công cộng bên ngoài.
Router (config-if) # ip nat outside


Hình 6: Sự chuyển đổi địa chỉ sẽ được thưc hiện giữa hai cổng inside và outside
Hình 7: Cấu hình NAT chuyển đổi cố định từ địa chỉ 10.1.1.2 sang 192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2 được gửi ra ngoài internet,router GW sẽ chuyển đổi địa chỉ nguồn 10.1.1.2 của gói dữ liệu sang địa chỉ 192.168.1.2 trước khi phát gói ra cổng s0.
Xem tiếp phần 2
BACK TO TOP