Hôm nay chúng ta sẽ nghiên cứu PAT (Dịch địa chỉ cổng), một công nghệ dịch địa chỉ IP bằng cổng và NAT (Dịch địa chỉ mạng), một công nghệ dịch địa chỉ IP của các gói chuyển tuyến. PAT là trường hợp đặc biệt của NAT. Chúng tôi sẽ đề cập đến ba chủ đề:
- địa chỉ IP riêng hoặc nội bộ (mạng nội bộ, cục bộ) và địa chỉ IP công cộng hoặc bên ngoài;
- NAT và PAT;
- Cấu hình NAT/PAT.
Hãy bắt đầu với các địa chỉ IP riêng nội bộ. Chúng ta biết rằng họ được chia thành ba lớp: A, B và C.
Các địa chỉ Lớp A bên trong chiếm phạm vi hàng chục từ 10.0.0.0 đến 10.255.255.255 và các địa chỉ bên ngoài chiếm phạm vi từ 1.0.0.0 đến 9 và từ 255.255.255 đến 11.0.0.0.
Địa chỉ lớp B bên trong chiếm phạm vi từ 172.16.0.0 đến 172.31.255.255 và địa chỉ bên ngoài nằm trong khoảng từ 128.0.0.0 đến 172.15.255.255 và từ 172.32.0.0 đến 191.255.255.255.
Các địa chỉ lớp C bên trong chiếm phạm vi từ 192.168.0.0 đến 192.168.255.255 và các địa chỉ bên ngoài nằm trong khoảng từ 192.0.0 đến 192.167.255.255 và từ 192.169.0.0 đến 223.255.255.255.
Địa chỉ lớp A là /8, lớp B là /12 và lớp C là /16. Do đó, địa chỉ IP bên ngoài và bên trong của các lớp khác nhau chiếm các phạm vi khác nhau.
Chúng tôi đã thảo luận nhiều lần về sự khác biệt giữa địa chỉ IP riêng tư và công cộng. Nói chung, nếu chúng ta có một bộ định tuyến và một nhóm địa chỉ IP nội bộ, khi họ cố gắng truy cập Internet, bộ định tuyến sẽ chuyển đổi chúng thành địa chỉ IP bên ngoài. Địa chỉ nội bộ được sử dụng riêng trên mạng cục bộ, không phải trên Internet.
Nếu tôi xem các thông số mạng của máy tính bằng dòng lệnh, tôi sẽ thấy địa chỉ IP LAN nội bộ của mình 192.168.1.103.
Để tìm ra địa chỉ IP công cộng của bạn, bạn có thể sử dụng dịch vụ Internet như “IP của tôi là gì?” Như bạn có thể thấy, địa chỉ bên ngoài của máy tính 78.100.196.163 khác với địa chỉ bên trong của nó.
Trong mọi trường hợp, máy tính của tôi hiển thị chính xác trên Internet bằng địa chỉ IP bên ngoài của nó. Vì vậy, địa chỉ bên trong máy tính của tôi là 192.168.1.103 và địa chỉ bên ngoài là 78.100.196.163. Địa chỉ nội bộ chỉ được sử dụng cho liên lạc cục bộ, bạn không thể truy cập Internet bằng địa chỉ đó, vì điều này bạn cần có địa chỉ IP công cộng. Bạn có thể nhớ lý do tại sao việc phân chia thành địa chỉ riêng tư và công cộng được thực hiện bằng cách xem lại video hướng dẫn Ngày 3.
Hãy xem NAT là gì. Có ba loại NAT: NAT tĩnh, động và NAT “quá tải” hay còn gọi là PAT.
Cisco có 4 thuật ngữ mô tả NAT. Như tôi đã nói, NAT là một cơ chế chuyển đổi địa chỉ nội bộ sang địa chỉ bên ngoài. Nếu một thiết bị kết nối Internet nhận được gói từ một thiết bị khác trên mạng cục bộ, thiết bị đó sẽ loại bỏ gói này vì định dạng địa chỉ nội bộ không khớp với định dạng địa chỉ được sử dụng trên Internet toàn cầu. Do đó, thiết bị phải có địa chỉ IP công cộng để truy cập Internet.
Vì vậy, thuật ngữ đầu tiên là Inside Local, nghĩa là địa chỉ IP của máy chủ trên mạng cục bộ nội bộ. Nói một cách đơn giản, đây là địa chỉ nguồn chính của loại 192.168.1.10. Thuật ngữ thứ hai, Inside Global, là địa chỉ IP của máy chủ cục bộ mà nó hiển thị trên mạng bên ngoài. Trong trường hợp của chúng tôi, đây là địa chỉ IP của cổng ngoài của bộ định tuyến 200.124.22.10.
Có thể nói Inside Local là địa chỉ IP riêng còn Inside Global là địa chỉ IP công cộng. Hãy nhớ rằng thuật ngữ Bên trong đề cập đến nguồn lưu lượng và Bên ngoài đề cập đến đích của lưu lượng. Bên ngoài cục bộ là địa chỉ IP của máy chủ trên mạng bên ngoài, theo đó nó được hiển thị với mạng nội bộ. Nói một cách đơn giản, đây là địa chỉ của người nhận hiển thị từ mạng nội bộ. Một ví dụ về địa chỉ như vậy là địa chỉ IP 200.124.22.100 của thiết bị trên Internet.
Bên ngoài toàn cầu là địa chỉ IP của máy chủ hiển thị trên mạng bên ngoài. Trong hầu hết các trường hợp, địa chỉ Inside Local và Outside Global trông giống nhau vì ngay cả sau khi dịch, địa chỉ IP đích vẫn hiển thị với nguồn như trước khi dịch.
Hãy xem NAT tĩnh là gì. NAT tĩnh có nghĩa là bản dịch một-một các địa chỉ IP nội bộ sang địa chỉ bên ngoài hoặc bản dịch một-một. Khi thiết bị gửi lưu lượng truy cập tới Internet, địa chỉ Inside Local của chúng sẽ được dịch thành địa chỉ Inside Global.
Có 3 thiết bị trên mạng cục bộ của chúng tôi và khi chúng trực tuyến, mỗi thiết bị sẽ có địa chỉ Inside Global riêng. Các địa chỉ này được gán tĩnh cho các nguồn lưu lượng. Nguyên tắc một-một có nghĩa là nếu có 100 thiết bị trên mạng cục bộ, chúng sẽ nhận được 100 địa chỉ bên ngoài.
NAT ra đời để cứu mạng Internet đang cạn kiệt địa chỉ IP công cộng. Nhờ NAT, nhiều công ty và nhiều mạng có thể có một địa chỉ IP bên ngoài chung, địa chỉ cục bộ của các thiết bị sẽ được chuyển đổi khi truy cập Internet. Bạn có thể nói rằng trong trường hợp NAT tĩnh này không có sự tiết kiệm số lượng địa chỉ, vì một trăm máy tính cục bộ được gán một trăm địa chỉ bên ngoài, và bạn sẽ hoàn toàn đúng. Tuy nhiên, NAT tĩnh vẫn có một số ưu điểm.
Ví dụ: chúng tôi có một máy chủ có địa chỉ IP nội bộ là 192.168.1.100. Nếu bất kỳ thiết bị nào từ Internet muốn liên hệ với nó, thiết bị đó không thể thực hiện việc đó bằng địa chỉ đích bên trong, để làm được điều này, thiết bị đó cần sử dụng địa chỉ máy chủ bên ngoài 200.124.22.3. Nếu bộ định tuyến của bạn được định cấu hình với NAT tĩnh, tất cả lưu lượng truy cập có địa chỉ 200.124.22.3 sẽ tự động được chuyển tiếp đến 192.168.1.100. Điều này cung cấp quyền truy cập bên ngoài vào các thiết bị mạng cục bộ, trong trường hợp này là tới máy chủ web của công ty, điều này có thể cần thiết trong một số trường hợp.
Hãy xem xét NAT động. Nó rất giống với tĩnh, nhưng không gán địa chỉ cố định bên ngoài cho từng thiết bị cục bộ. Ví dụ: chúng tôi có 3 thiết bị cục bộ và chỉ có 2 địa chỉ bên ngoài. Nếu thiết bị thứ hai muốn truy cập Internet, nó sẽ được gán địa chỉ IP miễn phí đầu tiên. Nếu một máy chủ web muốn truy cập Internet sau nó, bộ định tuyến sẽ gán cho nó một địa chỉ bên ngoài khả dụng thứ hai. Nếu sau đó, thiết bị đầu tiên muốn kết nối với mạng bên ngoài, sẽ không còn địa chỉ IP nào cho thiết bị đó và bộ định tuyến sẽ loại bỏ gói của nó.
Chúng ta có thể có hàng trăm thiết bị có địa chỉ IP nội bộ và mỗi thiết bị này đều có thể truy cập Internet. Nhưng vì chúng tôi không gán địa chỉ bên ngoài tĩnh, nên không quá 2 trong số một trăm thiết bị có thể truy cập Internet cùng lúc, vì chúng tôi chỉ có hai địa chỉ bên ngoài được gán động.
Các thiết bị của Cisco có thời gian dịch địa chỉ cố định, mặc định là 24 giờ. Nó có thể được thay đổi thành 1,2,3, 10 phút, bất cứ lúc nào bạn muốn. Sau thời gian này, các địa chỉ bên ngoài sẽ được giải phóng và tự động quay trở lại nhóm địa chỉ. Nếu tại thời điểm này thiết bị đầu tiên muốn truy cập Internet và có bất kỳ địa chỉ bên ngoài nào thì thiết bị đó sẽ nhận được địa chỉ đó. Bộ định tuyến chứa bảng NAT được cập nhật động và cho đến khi hết thời gian dịch, địa chỉ được chỉ định sẽ được thiết bị giữ lại. Nói một cách đơn giản, NAT động hoạt động theo nguyên tắc “đến trước được phục vụ trước”.
Chúng ta hãy xem NAT hoặc PAT bị quá tải là gì. Đây là loại NAT phổ biến nhất. Có thể có nhiều thiết bị trên mạng gia đình của bạn - PC, điện thoại thông minh, máy tính xách tay, máy tính bảng và tất cả chúng đều kết nối với bộ định tuyến có một địa chỉ IP bên ngoài. Vì vậy, PAT cho phép nhiều thiết bị có địa chỉ IP nội bộ truy cập Internet đồng thời dưới một địa chỉ IP bên ngoài. Điều này có thể thực hiện được do thực tế là mỗi địa chỉ IP nội bộ, riêng tư sử dụng một số cổng cụ thể trong phiên giao tiếp.
Giả sử chúng ta có một địa chỉ công cộng 200.124.22.1 và nhiều thiết bị cục bộ. Vì vậy, khi truy cập Internet, tất cả các máy chủ này sẽ nhận được cùng một địa chỉ 200.124.22.1. Điều duy nhất có thể phân biệt chúng với nhau là số cổng.
Nếu bạn còn nhớ phần thảo luận về lớp vận chuyển, bạn sẽ biết rằng lớp vận chuyển chứa số cổng, với số cổng nguồn là một số ngẫu nhiên.
Giả sử có một máy chủ trên mạng bên ngoài có địa chỉ IP 200.124.22.10, được kết nối với Internet. Nếu máy tính 192.168.1.11 muốn giao tiếp với máy tính 200.124.22.10 thì nó sẽ tạo cổng nguồn ngẫu nhiên 51772. Trong trường hợp này, cổng đích của máy tính mạng bên ngoài sẽ là 80.
Khi bộ định tuyến nhận được một gói máy tính cục bộ hướng tới mạng bên ngoài, nó sẽ dịch địa chỉ Inside Local của nó sang địa chỉ Inside Global 200.124.22.1 và gán số cổng 23556. Gói này sẽ đến máy tính 200.124.22.10 và nó sẽ phải gửi lại phản hồi theo thủ tục bắt tay, trong trường hợp này đích đến sẽ là địa chỉ 200.124.22.1 và cổng 23556.
Router có bảng dịch NAT nên khi nhận được một gói tin từ máy tính bên ngoài, nó sẽ xác định địa chỉ Inside Local tương ứng với địa chỉ Inside Global là 192.168.1.11:51772 và chuyển tiếp gói tin đến đó. Sau đó, kết nối giữa hai máy tính có thể được coi là thiết lập.
Đồng thời, bạn có thể có hàng trăm thiết bị sử dụng cùng một địa chỉ 200.124.22.1 để liên lạc nhưng số cổng khác nhau nên tất cả chúng đều có thể truy cập Internet cùng một lúc. Đây là lý do tại sao PAT là một phương pháp phát sóng phổ biến như vậy.
Hãy xem xét việc thiết lập NAT tĩnh. Đối với bất kỳ mạng nào, trước hết cần xác định giao diện đầu vào và đầu ra. Sơ đồ hiển thị một bộ định tuyến qua đó lưu lượng được truyền từ cổng G0/0 đến cổng G0/1, nghĩa là từ mạng nội bộ đến mạng bên ngoài. Vì vậy, chúng ta có giao diện đầu vào là 192.168.1.1 và giao diện đầu ra là 200.124.22.1.
Để định cấu hình NAT, chúng ta đi đến giao diện G0/0 và đặt tham số địa chỉ ip 192.168.1.1 255.255.255.0 và chỉ ra rằng giao diện này là giao diện đầu vào bằng lệnh ip nat Inside.
Theo cách tương tự, chúng tôi định cấu hình NAT trên giao diện đầu ra G0/1, chỉ định địa chỉ IP 200.124.22.1, mặt nạ mạng con 255.255.255.0 và ip nat bên ngoài. Hãy nhớ rằng dịch NAT động luôn được thực hiện từ giao diện đầu vào đến giao diện đầu ra, từ trong ra ngoài. Đương nhiên, đối với NAT động, phản hồi sẽ đến giao diện đầu vào thông qua giao diện đầu ra, nhưng khi lưu lượng truy cập được bắt đầu, hướng vào ra sẽ được kích hoạt. Trong trường hợp NAT tĩnh, việc bắt đầu lưu lượng truy cập có thể xảy ra theo một trong hai hướng - vào hoặc ra.
Tiếp theo, chúng ta cần tạo một bảng NAT tĩnh, trong đó mỗi địa chỉ cục bộ tương ứng với một địa chỉ toàn cầu riêng biệt. Trong trường hợp của chúng tôi, có 3 thiết bị, vì vậy bảng sẽ bao gồm 3 bản ghi, trong đó cho biết địa chỉ IP Inside Local của nguồn, được chuyển đổi thành địa chỉ Inside Global: ip nat Inside static 192.168.1.10 200.124.22.1.
Do đó, trong NAT tĩnh, bạn viết bản dịch thủ công cho từng địa chỉ máy chủ cục bộ. Bây giờ tôi sẽ vào Packet Tracer và thực hiện các cài đặt được mô tả ở trên.
Ở trên cùng chúng ta có máy chủ 192.168.1.100, bên dưới là máy tính 192.168.1.10 và ở dưới cùng là máy tính 192.168.1.11. Cổng G0/0 của Router0 có địa chỉ IP là 192.168.1.1 và cổng G0/1 có địa chỉ IP là 200.124.22.1. Trong “đám mây” đại diện cho Internet, tôi đặt Router1, nơi tôi đã gán địa chỉ IP 200.124.22.10.
Tôi vào cài đặt của Router1 và gõ lệnh debug ip icmp. Bây giờ, khi ping đến thiết bị đó, một thông báo gỡ lỗi sẽ xuất hiện trong cửa sổ cài đặt hiển thị gói đó là gì.
Hãy bắt đầu thiết lập bộ định tuyến Router0. Tôi chuyển sang chế độ cài đặt chung và gọi giao diện G0/0. Tiếp theo mình nhập lệnh ip nat inside rồi vào giao diện g0/1 nhập lệnh ip nat bên ngoài. Vì vậy, tôi đã chỉ định giao diện đầu vào và đầu ra của bộ định tuyến. Bây giờ tôi cần định cấu hình địa chỉ IP theo cách thủ công, nghĩa là chuyển các dòng từ bảng trên sang cài đặt:
Ip nat bên trong nguồn tĩnh 192.168.1.10 200.124.22.1
Ip nat bên trong nguồn tĩnh 192.168.1.11 200.124.22.2
Ip nat bên trong nguồn tĩnh 192.168.1.100 200.124.22.3
Bây giờ tôi sẽ ping Router1 từ mỗi thiết bị của chúng tôi và xem địa chỉ IP mà ping nhận được sẽ hiển thị. Để thực hiện việc này, tôi đặt cửa sổ CLI đang mở của bộ định tuyến R1 ở bên phải màn hình để có thể xem các thông báo gỡ lỗi. Bây giờ tôi đi đến thiết bị đầu cuối dòng lệnh PC0 và ping địa chỉ 200.124.22.10. Sau đó, một thông báo xuất hiện trong cửa sổ cho biết ping đã được nhận từ địa chỉ IP 200.124.22.1. Điều này có nghĩa là địa chỉ IP của máy tính cục bộ 192.168.1.10 đã được dịch sang địa chỉ chung 200.124.22.1.
Tôi làm tương tự với máy tính cục bộ tiếp theo và thấy rằng địa chỉ của nó đã được dịch sang 200.124.22.2. Sau đó tôi ping máy chủ và thấy địa chỉ 200.124.22.3.
Do đó, khi lưu lượng truy cập từ thiết bị mạng cục bộ đến bộ định tuyến có cấu hình NAT tĩnh, bộ định tuyến, theo bảng, sẽ chuyển đổi địa chỉ IP cục bộ thành địa chỉ toàn cầu và gửi lưu lượng truy cập đến mạng bên ngoài. Để kiểm tra bảng NAT mình nhập lệnh show ip nat Translations.
Bây giờ chúng ta có thể xem tất cả các chuyển đổi mà bộ định tuyến thực hiện. Cột đầu tiên Inside Global chứa địa chỉ của thiết bị trước khi phát sóng, tức là địa chỉ mà thiết bị được hiển thị từ mạng bên ngoài, theo sau là địa chỉ Inside Local, tức là địa chỉ của thiết bị trên mạng cục bộ. Cột thứ ba hiển thị địa chỉ Bên ngoài Địa phương và cột thứ tư hiển thị địa chỉ Bên ngoài Toàn cầu, cả hai đều giống nhau vì chúng tôi không dịch địa chỉ IP đích. Như bạn có thể thấy, sau vài giây, bảng sẽ bị xóa vì Packet Tracer đã đặt thời gian chờ ping ngắn.
Tôi có thể ping máy chủ tại 1 từ bộ định tuyến R200.124.22.3 và nếu tôi quay lại cài đặt bộ định tuyến, tôi có thể thấy rằng bảng lại chứa đầy bốn dòng ping với địa chỉ đích được dịch là 192.168.1.100.
Như tôi đã nói, ngay cả khi thời gian chờ dịch được kích hoạt, khi lưu lượng truy cập được bắt đầu từ nguồn bên ngoài, cơ chế NAT sẽ tự động được kích hoạt. Điều này chỉ xảy ra khi sử dụng NAT tĩnh.
Bây giờ hãy xem NAT động hoạt động như thế nào. Trong ví dụ của chúng tôi, có 2 địa chỉ công cộng cho ba thiết bị mạng cục bộ, nhưng có thể có hàng chục hoặc hàng trăm máy chủ riêng như vậy. Đồng thời, chỉ có 2 thiết bị có thể truy cập Internet cùng lúc. Ngoài ra, chúng ta hãy xem xét sự khác biệt giữa NAT tĩnh và động.
Như trong trường hợp trước, trước tiên bạn cần xác định giao diện đầu vào và đầu ra của bộ định tuyến. Tiếp theo, chúng ta tạo một loại danh sách truy cập, nhưng đây không phải là ACL mà chúng ta đã nói trong bài học trước. Danh sách truy cập này được sử dụng để xác định lưu lượng truy cập mà chúng tôi muốn chuyển đổi. Ở đây một thuật ngữ mới “giao thông thú vị” hoặc “giao thông thú vị” xuất hiện. Đây là lưu lượng truy cập mà bạn quan tâm vì lý do nào đó và khi lưu lượng truy cập đó phù hợp với các điều kiện của danh sách truy cập, nó sẽ thuộc NAT và được dịch. Thuật ngữ này áp dụng cho lưu lượng truy cập trong nhiều trường hợp, ví dụ, trong trường hợp VPN, “thú vị” là lưu lượng truy cập sẽ đi qua đường hầm VPN.
Chúng tôi phải tạo một ACL xác định lưu lượng truy cập thú vị, trong trường hợp của chúng tôi đây là lưu lượng truy cập của toàn bộ mạng 192.168.1.0, cùng với đó mặt nạ trả về 0.0.0.255 được chỉ định.
Sau đó, chúng ta phải tạo một nhóm NAT, trong đó chúng ta sử dụng lệnh ip nat pool <pool name> và chỉ định nhóm địa chỉ IP 200.124.22.1 200.124.22.2. Điều này có nghĩa là chúng tôi chỉ cung cấp hai địa chỉ IP bên ngoài. Tiếp theo, lệnh sử dụng từ khóa netmask và nhập subnetmask 255.255.255.252. Octet cuối cùng của mặt nạ là (255 - số địa chỉ nhóm - 1), vì vậy nếu bạn có 254 địa chỉ trong nhóm thì mặt nạ mạng con sẽ là 255.255.255.0. Đây là cài đặt rất quan trọng, vì vậy hãy đảm bảo nhập đúng giá trị mặt nạ mạng khi thiết lập NAT động.
Tiếp theo, chúng ta sử dụng lệnh khởi động cơ chế NAT: ip nat bên trong danh sách nguồn 1 pool NWKING, trong đó NWKING là tên của pool và list 1 có nghĩa là ACL số 1. Hãy nhớ - để lệnh này hoạt động, trước tiên bạn phải tạo nhóm địa chỉ động và danh sách truy cập.
Vì vậy, trong điều kiện của chúng tôi, thiết bị đầu tiên muốn truy cập Internet sẽ có thể thực hiện việc này, thiết bị thứ hai sẽ có thể làm được điều này, nhưng thiết bị thứ ba sẽ phải đợi cho đến khi một trong các địa chỉ nhóm trống. Thiết lập NAT động bao gồm 4 bước: xác định giao diện đầu vào và đầu ra, xác định lưu lượng truy cập “thú vị”, tạo nhóm NAT và cấu hình thực tế.
Bây giờ chúng ta sẽ chuyển sang Packet Tracer và thử định cấu hình NAT động. Trước tiên, chúng ta phải xóa cài đặt NAT tĩnh mà chúng ta nhập các lệnh theo tuần tự:
không có Ip nat bên trong nguồn tĩnh 192.168.1.10 200.124.22.1
không có Ip nat bên trong nguồn tĩnh 192.168.1.11 200.124.22.2
không có Ip nat bên trong nguồn tĩnh 192.168.1.100 200.124.22.3.
Tiếp theo, tôi tạo danh sách truy cập Danh sách 1 cho toàn bộ mạng bằng lệnh access-list 1 allow 192.168.1.0 0.0.0.255 và tạo nhóm NAT bằng lệnh ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 255.255.255.252. Trong lệnh này, tôi đã chỉ định tên của nhóm, các địa chỉ có trong đó và mặt nạ mạng.
Sau đó, tôi chỉ định đó là NAT nào - bên trong hay bên ngoài và nguồn mà NAT sẽ lấy thông tin, trong trường hợp của chúng tôi là danh sách, sử dụng lệnh ip nat bên trong danh sách nguồn 1. Sau đó, hệ thống sẽ nhắc bạn xem bạn có cần toàn bộ nhóm hoặc một giao diện cụ thể. Tôi chọn nhóm vì chúng tôi có nhiều hơn 1 địa chỉ bên ngoài. Nếu bạn chọn giao diện, bạn sẽ cần chỉ định một cổng có địa chỉ IP cụ thể. Ở dạng cuối cùng, lệnh sẽ có dạng như sau: ip nat bên trong danh sách nguồn 1 pool NWKING. Hiện tại nhóm này bao gồm hai địa chỉ 200.124.22.1 200.124.22.2, nhưng bạn có thể tự do thay đổi chúng hoặc thêm địa chỉ mới không liên quan đến một giao diện cụ thể.
Bạn phải đảm bảo rằng bảng định tuyến của mình được cập nhật để bất kỳ địa chỉ IP nào trong nhóm này phải được định tuyến đến thiết bị này, nếu không bạn sẽ không nhận được lưu lượng truy cập quay lại. Để đảm bảo cài đặt đang hoạt động, chúng tôi sẽ lặp lại quy trình ping bộ định tuyến đám mây mà chúng tôi đã thực hiện đối với NAT tĩnh. Tôi sẽ mở cửa sổ của Bộ định tuyến 1 để có thể xem các thông báo chế độ gỡ lỗi và ping nó từ mỗi thiết bị trong số 3 thiết bị.
Chúng tôi thấy rằng tất cả các địa chỉ nguồn mà các gói ping đến đều tương ứng với cài đặt. Đồng thời, ping từ máy tính PC0 không hoạt động do không có đủ địa chỉ bên ngoài miễn phí. Nếu vào cài đặt của Bộ định tuyến 1, bạn có thể thấy địa chỉ nhóm 200.124.22.1 và 200.124.22.2 hiện đang được sử dụng. Bây giờ tôi sẽ tắt chương trình phát sóng và bạn sẽ thấy các dòng biến mất từng dòng một. Tôi ping lại PC0 và như bạn có thể thấy, mọi thứ hiện đã hoạt động vì nó có thể nhận được địa chỉ bên ngoài miễn phí 200.124.22.1.
Làm cách nào tôi có thể xóa bảng NAT và hoàn tác bản dịch địa chỉ đã cho? Đi tới cài đặt của bộ định tuyến Router0 và gõ lệnh clear ip nat dịch * có dấu hoa thị ở cuối dòng. Nếu bây giờ chúng ta xem trạng thái dịch bằng lệnh show ip nat dịch, hệ thống sẽ cung cấp cho chúng ta một dòng trống.
Để xem số liệu thống kê NAT, hãy sử dụng lệnh show ip nat stats.
Đây là một lệnh rất hữu ích cho phép bạn tìm ra tổng số bản dịch NAT/PAT động, tĩnh và nâng cao. Bạn có thể thấy nó bằng 0 vì chúng ta đã xóa dữ liệu phát sóng bằng lệnh trước đó. Điều này hiển thị giao diện đầu vào và đầu ra, số lần chuyển đổi thành công và không thành công và bỏ lỡ (số lần thất bại là do thiếu địa chỉ bên ngoài miễn phí cho máy chủ nội bộ), tên của danh sách truy cập và nhóm.
Bây giờ chúng ta sẽ chuyển sang loại dịch địa chỉ IP phổ biến nhất - NAT nâng cao hoặc PAT. Để định cấu hình PAT, bạn cần làm theo các bước tương tự như định cấu hình NAT động: xác định giao diện đầu vào và đầu ra của bộ định tuyến, xác định lưu lượng truy cập “thú vị”, tạo nhóm NAT và định cấu hình PAT. Chúng ta có thể tạo cùng một nhóm nhiều địa chỉ như trong trường hợp trước, nhưng điều này là không cần thiết vì PAT luôn sử dụng cùng một địa chỉ bên ngoài. Sự khác biệt duy nhất giữa cấu hình NAT động và PAT là từ khóa quá tải kết thúc lệnh cấu hình cuối cùng. Sau khi nhập từ này, NAT động sẽ tự động chuyển thành PAT.
Ngoài ra, bạn chỉ sử dụng một địa chỉ trong nhóm NWKING, ví dụ 200.124.22.1, nhưng chỉ định địa chỉ đó hai lần làm địa chỉ bên ngoài bắt đầu và kết thúc với mặt nạ mạng là 255.255.255.0. Bạn có thể thực hiện điều đó dễ dàng hơn bằng cách sử dụng tham số giao diện nguồn và địa chỉ cố định 1 của giao diện G200.124.22.1/200.124.22.1 thay vì dòng ip nat 255.255.255.0 pool NWKING 200.124.22.1 0 netmask 1. Trong trường hợp này, tất cả các địa chỉ cục bộ khi truy cập Internet sẽ được chuyển đổi sang địa chỉ IP này.
Bạn cũng có thể sử dụng bất kỳ địa chỉ IP nào khác trong nhóm, không nhất thiết phải tương ứng với một giao diện vật lý cụ thể. Tuy nhiên, trong trường hợp này, bạn phải đảm bảo rằng tất cả các bộ định tuyến trên mạng có thể chuyển tiếp lưu lượng quay trở lại thiết bị bạn chọn. Nhược điểm của NAT là nó không thể được sử dụng để đánh địa chỉ end-to-end, vì khi gói tin quay trở lại thiết bị cục bộ, địa chỉ IP NAT động của nó có thể có thời gian để thay đổi. Nghĩa là, bạn phải chắc chắn rằng địa chỉ IP đã chọn sẽ vẫn khả dụng trong toàn bộ thời gian của phiên giao tiếp.
Chúng ta hãy xem xét điều này thông qua Packet Tracer. Đầu tiên tôi phải xóa NAT động bằng lệnh no Ip nat bên trong danh sách nguồn 1 NWKING và xóa nhóm NAT bằng lệnh no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252.
Sau đó, tôi phải tạo một nhóm PAT bằng lệnh Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255. Lần này tôi đang sử dụng địa chỉ IP không thuộc về thiết bị vật lý vì thiết bị vật lý có địa chỉ 200.124.22.1 và tôi muốn sử dụng 200.124.22.2. Trong trường hợp của chúng tôi, nó hoạt động vì chúng tôi có mạng cục bộ.
Tiếp theo, tôi định cấu hình PAT bằng lệnh Ip nat bên trong danh sách nguồn 1 nhóm NWKING quá tải. Sau khi nhập lệnh này, dịch địa chỉ PAT được kích hoạt. Để kiểm tra xem thiết lập có chính xác hay không, tôi đi tới thiết bị của chúng tôi, máy chủ và hai máy tính, đồng thời ping PC0 Router1 theo địa chỉ 200.124.22.10 từ máy tính. Trong cửa sổ cài đặt bộ định tuyến, bạn có thể thấy các dòng gỡ lỗi cho biết nguồn ping, như chúng tôi mong đợi, là địa chỉ IP 200.124.22.2. Một ping được gửi bởi máy tính PC1 và máy chủ Server0 đến từ cùng một địa chỉ.
Hãy xem điều gì xảy ra trong bảng chuyển đổi của Router0. Bạn có thể thấy rằng tất cả các bản dịch đều thành công, mỗi thiết bị được gán cổng riêng và tất cả các địa chỉ cục bộ được liên kết với Router1 thông qua địa chỉ IP nhóm 200.124.22.2.
Tôi sử dụng lệnh show ip nat stats để xem số liệu thống kê PAT.
Chúng tôi thấy rằng tổng số chuyển đổi hoặc bản dịch địa chỉ là 12, chúng tôi thấy các đặc điểm của nhóm và các thông tin khác.
Bây giờ tôi sẽ làm điều gì khác - Tôi sẽ nhập lệnh Ip nat bên trong danh sách nguồn 1 giao diện gigabit Ethernet g0/1 quá tải. Sau đó, nếu bạn ping bộ định tuyến từ PC0, bạn sẽ thấy gói đến từ địa chỉ 200.124.22.1, tức là từ giao diện vật lý! Đây là một cách dễ dàng hơn: nếu bạn không muốn tạo nhóm, điều thường xảy ra nhất khi sử dụng bộ định tuyến gia đình, thì bạn có thể sử dụng địa chỉ IP của giao diện vật lý của bộ định tuyến làm địa chỉ NAT bên ngoài. Đây là cách dịch địa chỉ máy chủ riêng của bạn cho mạng công cộng thường được dịch nhất.
Hôm nay chúng ta đã học một chủ đề rất quan trọng nên các bạn cần phải thực hành nó. Sử dụng Packet Tracer để kiểm tra kiến thức lý thuyết của bạn trước các vấn đề cấu hình NAT và PAT thực tế. Chúng ta đã học xong chủ đề ICND1 - kỳ thi đầu tiên của khóa học CCNA nên chắc mình sẽ dành video bài học tiếp theo để tổng hợp kết quả.
Cảm ơn bạn đã ở với chúng tôi. Bạn có thích bài viết của chúng tôi? Bạn muốn xem nội dung thú vị hơn? Hỗ trợ chúng tôi bằng cách đặt hàng hoặc giới thiệu cho bạn bè, Giảm giá 30% cho người dùng Habr trên một máy chủ tương tự duy nhất của máy chủ cấp đầu vào do chúng tôi phát minh ra dành cho bạn: (có sẵn với RAID1 và RAID10, tối đa 24 lõi và tối đa 40GB DDR4).
Dell R730xd rẻ gấp 2 lần? Chỉ ở đây ở Hà Lan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - từ $99! Đọc về
Nguồn: www.habr.com