Cấu Hình Nat Overload Trên Router Cisco

      43

Tiếp theo chuỗi nội dung bài viết về NAT, trong bài viết này, bọn họ sẽ cùng nhau khảo sát về nghệ thuật NAT overload. Như thường lệ, việc khảo sát được thực hiện thông qua 1 bài lab ví dụ như .

Bạn đang xem: Cấu hình nat overload trên router cisco

Sơ đồ
*
Hình 1 – Sơ đồ bài lab ví dụ.
Mô tả

Trên hình một là mô hình lab mô bỏng một mạng doanh nghiệp có một mặt đường truyền đi Internet. Trong đó:

R1, R2 là những router ở trong về mạng nội bộ của người sử dụng (mạng Private):Router R2 nhập vai trò là router biên, thực hiện cung cấp đường ra Internet cho các thiết bị bên trong.Router R1 sử dụng những sub – interface đấu nối đến những VLAN của mạng doanh nghiệp và tiến hành định tuyến đường giữa các VLAN; trong những số đó VLAN 10 là VLAN để server, những VLAN 20 và 30 là các VLAN tín đồ dùng.Router hệ thống được áp dụng để mang lập một server để tại VLAN 10, server này sẽ tiến hành public lên môi trường Internet thông sang một IP Public được cấp vì chưng ISP.Router ISP giả lập môi trường thiên nhiên Internet cùng đóng phương châm là gateway của ISP đấu nối xuống mạng công ty để hỗ trợ đường đi Internet; Loopback 0 được tạo nên thêm trên ISP để giả lập một subnet bên trên Internet.Quy hoạch IP cho sơ đồ được chỉ ra như hình 1. Kế bên ra, ISP được thông số kỹ thuật để rót về cho bạn này một dải IP Public trực thuộc subnet 199.99.9.0/29 để phục vụ cho câu hỏi đi mạng internet của doanh nghiệp.

Trên mô hình lab này, chúng ta sẽ cùng nhau điều tra việc thực hiện NAT overload để cung ứng việc đi Internet cho các user trên những VLAN, đồng thời triển khai public server trên VLAN 10 lên Internet bởi Static NAT. Như vậy, các user vẫn đi internet thông sang một số add public được chỉ định và hướng dẫn và server sẽ được hosting lên mạng bằng một địa chỉ cửa hàng public tĩnh khác.

Thực hiện

Bước 1: Xây dựng mô hình ban đầu:

Cấu hình đặt các địa chỉ IP trên các kết nối giữa các router theo quy hoạch IP đã có được chỉ ra.R1 và R2 thực hiện chạy định con đường EIGRP 100 bảo đảm mọi add trong mạng thấy nhau. R2 cấu hình một mặc định – route đi internet và quảng bá default route này vào trong.R1 tạo những sub – interface đấu nối đến các VLAN 10, 20, 30 và thực hiện đặt IP trên các sub – interface tương ứng như được chỉ ra trên hình 1.Cấu hình router Server giả lập server của subnet 192.168.10.0/24 , nhận showroom là 192.168.10.2.Cấu hình router ISP rót về cho mạng công ty lớn range IP 199.99.9.0/29.

Cấu hình

Đầu tiên, ta để IP cho các các thiết bị:


R1(config)#int f0/0

R1(config-if)#no shutdown

R1(config-if)#ip address 192.168.10.1 255.255.255.0

R1(config-if)#exit

R1(config)#interface f0/0.20

R1(config-subif)#encapsulation dot1Q 20

R1(config-subif)#ip address 192.168.20.1 255.255.255.0

R1(config-subif)#exit

R1(config)#interface f0/0.30

R1(config-subif)#encapsulation dot1Q 30

R1(config-subif)#ip address 192.168.30.1 255.255.255.0

R1(config-subif)#exit

R1(config)#int f0/1

R1(config-if)#no shutdown

R1(config-if)#ip address 192.168.12.1 255.255.255.252

R1(config-if)#exit

R2(config)#int f0/0

R2(config-if)#ip add 192.168.12.2 255.255.255.252

R2(config-if)#exit

R2(config)#int f0/1

R2(config-if)#ip address 200.0.0.1 255.255.255.252

R2(config-if)#exit

ISP(config)#interface f0/1

ISP(config-if)#no shutdown

ISP(config-if)#ip address 200.0.0.2 255.255.255.252

ISP(config-if)#exit


Tiếp theo, ta triển khai chạy định tuyến đường EIGRP 100 trên những router R1 và R2 để bảo đảm an toàn các địa chỉ trên các mạng nội cỗ thấy nhau và rất có thể đi được Internet:


R1(config)#router eigrp 100

R1(config-router)#no auto-summary

R1(config-router)#network 192.168.12.0

R1(config-router)#network 192.168.10.0

R1(config-router)#network 192.168.20.0

R1(config-router)#network 192.168.30.0

R1(config-router)#exit

R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

R2(config)#router eigrp 100

R2(config-router)#no auto-summary

R2(config-router)#network 192.168.12.0

R2(config-router)#redistribute static

R2(config-router)#exit


Server(config)#interface f0/0

Server(config-if)#no shutdown

Server(config-if)#ip address 192.168.10.2 255.255.255.0

Server(config-if)#exit

Server(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1


Khi một ISP rót một range IP như thế nào đó đến doanh nghiệp, ISP sẽ bảo đảm về mặt định đường rằng hồ hết gói tin trên mạng internet đi mang lại range này sẽ được chuyển tới tay router biên của mạng doanh nghiệp. Vào trường hợp của bài lab này, chúng ta chỉ cần thông số kỹ thuật một route tĩnh cho subnet 199.99.9.0/29 như nghỉ ngơi trên nhằm giả lập tình huống “rót IP public mang lại doanh nghiệp”.

Kiểm tra

Chúng ta cùng soát sổ cấu hình thuở đầu đã thực hiện.

Định đường nội bộ đã hội tụ:


R1#sh ip route eigrp

D*EX 0.0.0.0/0 <170/307200> via 192.168.12.2, 00:01:09, FastEthernet0/1

R2#sh ip route eigrp

D 192.168.30.0/24 <90/307200> via 192.168.12.1, 00:00:10, FastEthernet0/0

D 192.168.10.0/24 <90/307200> via 192.168.12.1, 00:11:19, FastEthernet0/0

D 192.168.20.0/24 <90/307200> via 192.168.12.1, 00:00:12, FastEthernet0/0


R2#ping 192.168.10.2

Type escape sequence to lớn abort.

Sending 5, 100-byte ICMP Echos lớn 192.168.10.2, timeout is 2 seconds:

!!!!!

R2#ping 192.168.20.1

Type escape sequence khổng lồ abort.

Sending 5, 100-byte ICMP Echos to lớn 192.168.20.1, timeout is 2 seconds:

!!!!!

R2#ping 192.168.30.1

Type escape sequence lớn abort.

Sending 5, 100-byte ICMP Echos khổng lồ 192.168.30.1, timeout is 2 seconds:

!!!!!


R2#ping 1.1.1.1

Type escape sequence khổng lồ abort.

Sending 5, 100-byte ICMP Echos lớn 1.1.1.1, timeout is 2 seconds:

!!!!!


Bước 2: Public server 192.168.10.2 lên môi trường Internet

Thực hiện cấu hình trên R2 bảo đảm an toàn các user trên Internet rất có thể truy nhập mang đến Server bằng cách đi đến địa chỉ cửa hàng 199.99.9.2.

Cấu hình

Ta thực hiện cấu hình NAT trên router R2 để đáp ứng yêu cầu đặt ra:


R2(config)#ip nat inside source static 192.168.10.2 199.99.9.2

R2(config)#interface f0/0

R2(config-if)#ip nat inside

R2(config-if)#exit

R2(config)#interface f0/1

R2(config-if)#ip nat outside

R2(config-if)#exit


Để public một hệ thống nội bộ lên Internet, họ thực hiện nay NAT tĩnh showroom nội cỗ của vps này ở bên phía trong mạng thành một showroom public tĩnh được cấp do ISP; trong bài xích lab này là 192.168.10.2 được NAT thành 199.99.9.2. Dịp này, các user bên trên Internet hy vọng đi đến server này sẽ triển khai truy nhập đến địa chỉ public 199.99.9.2. Ta nói add 199.99.9.2 là địa chỉ cửa hàng đại diện của vps trên Internet. Những user vào mạng nội cỗ vẫn thực hiện truy nhập đến server này bằng showroom nội cỗ 192.168.10.2.

Kỹ thuật Static NAT này đã có được khảo sát chi tiết trong bài viết số 2 về chuyên đề NAT yêu cầu ta sẽ không phân tích kỹ hơn trong bài viết này. Việc public server bởi Static NAT được tái diễn trong bài bác lab này chỉ với mục đích làm đa dạng mẫu mã thêm kịch phiên bản lab. Chúng ta không khảo sát lại kỹ thuật Static NAT.

Kiểm tra

Sau khi thông số kỹ thuật xong, bọn họ thực hiện tại một số thao tác kiểm tra.

Trước hết, bọn họ quan gần kề bảng NAT của router R2:


R2#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 199.99.9.2 192.168.10.2 --- ---


ISP#ping 199.99.9.2

Type escape sequence lớn abort.

Sending 5, 100-byte ICMP Echos khổng lồ 199.99.9.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 88/102/124 ms


Server#ping 1.1.1.1

Type escape sequence to lớn abort.

Sending 5, 100-byte ICMP Echos to lớn 1.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 108/132/172 ms


Bước 3: NAT overload thành showroom cổng outside

Cấu hình NAT để tất cả các địa chỉ còn lại vào mạng nội bộ rất có thể đi được Internet bằng phương pháp sử dụng add đấu nối trên cổng outside F0/1 của router biên R2.

Xem thêm: Ưu Nhược Điểm Của Phần Mềm Kế Toán Misa, Đánh Giá Phần Mềm Misa

Cấu hình

Ta cấu hình NAT overload bên trên R2 để tiến hành yêu mong trên:


Như đã trình diễn trong nội dung bài viết lý thuyết tổng quan, NAT overload chất nhận được NAT nhiều địa chỉ cửa hàng bên trong thành một add bên ngoài bằng cách sử dụng thêm thông số port trong thao tác NAT. Vì đó, ta nói một cách khác NAT overload là PAT (Port Address Translation). Trong lấy ví dụ như này, chúng ta thực hiện tại NAT toàn thể các địa chỉ cửa hàng bên trong thành add IP đấu nối trên cổng F0/1 của R2. Để bộc lộ “tất cả các add bên trong”, họ sử dụng một access – danh mục permit toàn bộ (“access-list 1 permit any”). Tiếp theo, họ chỉ bài toán yêu mong router NAT ACL “tất cả” này thành add cổng outside F0/1 của router (“ip nat inside source list 1 interface f0/1 overload”).

Kiểm tra

Ta thực hiện kiểm tra rằng các địa chỉ bên vào mạng nội cỗ đã đi được Internet:


R1#ping 1.1.1.1 source 192.168.20.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.20.1

!!!!!

R1#ping 1.1.1.1 source 192.168.30.1

Type escape sequence lớn abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.30.1

!!!!!

R1#ping 1.1.1.1

Type escape sequence lớn abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

!!!!!


R2#sh ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 199.99.9.2 192.168.10.2 --- ---

icmp 200.0.0.1:9 192.168.12.1:9 1.1.1.1:9 1.1.1.1:9

icmp 200.0.0.1:7 192.168.20.1:7 1.1.1.1:7 1.1.1.1:7

icmp 200.0.0.1:8 192.168.30.1:8 1.1.1.1:8 1.1.1.1:8


Từ bảng NAT ta thấy, tuy tất cả các địa chỉ bên trong các được NAT phổ biến thành một địa chỉ đấu nối nhưng các session không giống nhau được NAT sử dụng các port không giống nhau nên bọn chúng được phân biệt hoàn toàn và không ảnh hưởng đến nhau.

Ta cũng lưu ý rằng NAT overload không tạo ra các entry NAT non – extendable như cùng với Dynamic NAT nên các host từ bên phía ngoài không thể khởi tạo kết nối đến những host bên phía trong mà chỉ hoàn toàn có thể đi đến các host bên phía trong thông qua kết nối trả về cho những kết nối đang khởi chế tạo ra trước đó từ các host bên trong.

Bước 4: NAT overload cùng với pool

Hiệu chỉnh lại cấu hình NAT overload đang thực hiện đảm bảo yêu ước sau:

VLAN trăng tròn sẽ đi internet bằng showroom 199.99.9.3 vào range IP được cấp bởi vì ISP.VLAN 30 đang đi mạng internet bằng địa chỉ 199.99.9.4 trong range IP được cấp vị ISP.Các user không giống vẫn thường xuyên đi internet bằng add trên cổng outside của R2.

Cấu hình

Trên R2:


R2(config)#ip nat pool VLAN20 199.99.9.3 199.99.9.3 prefix-length 24

R2(config)#ip nat pool VLAN30 199.99.9.4 199.99.9.4 prefix-length 24

R2(config)#no access-list 1

R2(config)#access-list 1 deny 192.168.20.0 0.0.0.255

R2(config)#access-list 1 deny 192.168.30.0 0.0.0.255

R2(config)#access-list 1 permit any

R2(config)#access-list 20 permit 192.168.20.0 0.0.0.255

R2(config)#ip nat inside source list 20 pool VLAN20 overload

R2(config)#access-list 30 permit 192.168.30.0 0.0.0.255

R2(config)#ip nat inside source menu 30 pool VLAN30 overload


Một yêu cầu đặt ra khi doanh nghiệp gồm nhiều địa chỉ cửa hàng IP public được cấp phép là họ có nhu cầu sử dụng những IP public không giống nhau cho các subnet khác nhau ở bên trong đi internet thay vày chỉ thực hiện một showroom bên ngoài cho tất cả các địa chỉ cửa hàng bên vào như đã tiến hành ở bước 3. Điều này giúp công ty tận dụng được toàn bộ các IP được cấp phép cũng như hoàn toàn có thể thực hiện xuất sắc hơn các vấn đề về làm chủ và bảo mật.

Giải pháp được thực hiện cho trường hợp này là ta rất có thể chia range IP public được cấp cho thành các pool và thực hiện NAT các subnet nội cỗ thành các pool tương ứng, từ kia mỗi subnet vẫn đi Internet bằng phương pháp sử dụng IP public vào pool riêng rẽ của mình. Trong ví dụ sẽ xét, họ tạo pool VLAN đôi mươi chứa địa chỉ cửa hàng 199.99.9.3 dành cho subnet của VLAN 20 và pool VLAN 30 chứa địa chỉ cửa hàng 199.99.9.4 dành riêng cho subnet của VLAN 30. Kế tiếp, họ viết các ACL đôi mươi và 30 kể đến những subnet IP của VLAN trăng tròn và 30 rồi tiến hành NAT những ACL này thành những pool tương xứng đã khai báo. Điểm khác biệt so cùng với NAT pool của cấu hình Dynamic NAT one – to lớn – one là vào trường đúng theo này ta cần sử dụng thêm tùy chọn “overload” cho các câu lệnh NAT để cho phép NAT một ACL nhiều add thành một pool ít địa chỉ hơn.

Kiểm tra

Ta triển khai kiểm tra cấu hình NAT đã thực hiện.

Thực hiện tại đi mạng internet từ VLAN 20:


R1#ping 1.1.1.1 source 192.168.20.1

Type escape sequence to lớn abort.

Sending 5, 100-byte ICMP Echos khổng lồ 1.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.20.1

!!!!!


R2#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 199.99.9.2 192.168.10.2 --- ---

icmp 199.99.9.3:2 192.168.20.1:2 1.1.1.1:2 1.1.1.1:2


Ta thấy rằng VLAN đôi mươi đã sử dụng địa chỉ cửa hàng 199.99.9.3 nhằm đi Internet.

Ta liên tục kiểm tra với vấn đề đi internet của VLAN 30:


R1#ping 1.1.1.1 source 192.168.30.1

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos khổng lồ 1.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.30.1

!!!!!

R2#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 199.99.9.2 192.168.10.2 --- ---

icmp 199.99.9.4:3 192.168.30.1:3 1.1.1.1:3 1.1.1.1:3


Ta thấy rằng VLAN 30 đang sử dụng địa chỉ cửa hàng 199.99.9.4 hòa hợp yêu mong đặt ra.

Ta cũng thử kiểm soát rằng các IP thuộc các subnet khác vẫn đi Internet bằng phương pháp sử dụng IP public trên cổng outside:


R1#ping 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to lớn 1.1.1.1, timeout is 2 seconds:

!!!!!

R2#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 199.99.9.2 192.168.10.2 --- ---

icmp 200.0.0.1:4 192.168.12.1:4 1.1.1.1:4 1.1.1.1:4


Như vậy, việc đi Internet của những user trong mạng nội bộ đã ra mắt đúng theo yêu mong đặt ra.

Trên đây, bọn họ đã thực hiện xong một kịch bản lab lấy một ví dụ về triển khai NAT trong mạng doanh nghiệp; trong đó, server của doanh nghiệp được public lên Internet bằng Static NAT còn các user sót lại đi Internet bằng phương pháp sử dụng bình thường một IP Public trải qua NAT overload. Ta cũng thực hiện chiến thuật chia cài đặt trên các IP Public thông qua NAT overload những pool không giống nhau cho các subnet nội bộ khác nhau. Vào các nội dung bài viết sắp tới, bọn họ sẽ tiếp tục tò mò một số kỹ thuật dị kì được sử dụng trong NAT.

hotlive