Sơ đồ bài lab
Cấu hình gán IP theo sơ đồ
– Lưu ý : Không được định tuyến network 192.168.100.0/24 của R1
– Cấu hình IP và stactic route tại R1
//R1
conf t
int g 0/0
ip add 192.1.12.1 255.255.255.252
no sh
int g 1/0
ip add 192.168.100.254 255.255.255.0
no sh
int lo 0
ip add 1.1.1.1 255.255.255.0
exit
ip route 2.2.2.0 255.255.255.0 192.1.12.2
end
– Cấu hình IP và stactic route tại R2
//R2
conf t
int g 0/0
ip add 192.1.12.2 255.255.255.252
no sh
int lo 0
ip add 2.2.2.2 255.255.255.0
exit
ip route 1.1.1.0 255.255.255.0 192.1.12.1
end
Cấu hình static Nat tại R1
– Bước 1: Xác định vùng inside vao outside
R1(config)#int g 0/0 R1(config-if)#ip nat outside R1(config-if)#int g 1/0 R1(config-if)#ip nat inside R1(config-if)#exit
– Bước 2 : Câu lệnh chuyển đổi IP 192.168.100.1 —> 1.1.1.1
R1(config)#ip nat inside source static 192.168.100.1 1.1.1.1
– Kiểm tra cấu hình
+ Tại máy client window đặt IP 192.168.100.1 và ping đến IP 2.2.2.2
C:\Users\admin>ping 2.2.2.2 -t Reply from 2.2.2.2: bytes=32 time=29ms TTL=254 Reply from 2.2.2.2: bytes=32 time=28ms TTL=254 ...
+ capture quá trình chuyển đổi IP của NAT
R1#debug ip nat *Sep 22 10:27:26.907: NAT*: s=192.168.100.1->1.1.1.1, d=2.2.2.2 [58262] *Sep 22 10:27:26.927: NAT*: s=2.2.2.2, d=1.1.1.1->192.168.100.1 [58262] *Sep 22 10:27:27.907: NAT*: s=192.168.100.1->1.1.1.1, d=2.2.2.2 [58263] ...
+ tắt đi tất cả các quá trình debug
R1#u all
+ kiểm tra bằng nat của R1
R1#show ip nat translations Pro Inside global Inside local Outside local Outside global --- 1.1.1.1 192.168.100.1 --- ---
– Cấu hình static Nat chuyển IP 192.168.100.2 -> 1.1.1.2
R1(config)#ip nat inside source static 192.168.100.2 1.1.1.2
+ Kiểm tra
R1#show ip nat translations Pro Inside global Inside local Outside local Outside global --- 1.1.1.1 192.168.100.1 --- --- --- 1.1.1.2 192.168.100.2 --- ---
+ Kiểm tra rote của 2 router
R1#show ip route static 2.0.0.0/24 is subnetted, 1 subnets S 2.2.2.0 [1/0] via 192.1.12.2
R2#show ip route static 1.0.0.0/24 is subnetted, 1 subnets S 1.1.1.0 [1/0] via 192.1.12.1
Cấu hình Dynamic NAT
– Cấu hình chuyển các IP 192.168.100.1-> 192.168.100.4 sang IP 1.1.1.1 -> 1.1.1.3
– Xóa bỏ toàn bộ các câu lệnh “ip nat inside static” tại R1
R1(config)#no ip nat inside source static 192.168.100.1 1.1.1.1
R1(config)#no ip nat inside source static 192.168.100.2 1.1.1.2
– Cấu hình Dynamic NAT
+ Bước 1 : Xác định vùng insite và outside
+ Bước 2 : Sử dụng standard access-list để định nghĩa các IP private được phép thực hiện quá trình NAT
R1(config)#access-list 1 permit host 192.168.100.1 R1(config)#access-list 1 permit host 192.168.100.2 R1(config)#access-list 1 permit host 192.168.100.3 R1(config)#access-list 1 permit host 192.168.100.4
+ Bước 3 : Định nghĩa NAT pool với 3 IP Public
R1(config)#ip nat pool nat1 1.1.1.1 1.1.1.3 netmask 255.255.255.0
+ Bước 4 : Câu lệnh chuyển đổi
R1(config)#ip nat inside source list 1 pool nat1
– Kiểm tra cấu hình
R1(config)#int fa 0/0 R1(config-if)#ip add 192.168.100.2 255.255.255.0 secondary R1(config-if)#ip add 192.168.100.3 255.255.255.0 secondary R1(config-if)#ip add 192.168.100.4 255.255.255.0 secondary R1#debug ip nat
+ Capture quá trình NAT
Ở PC IP 192.168.100.1 ping đến 2.2.2.2
Reply from 2.2.2.2: bytes=32 time=32ms TTL=254
…
R1#ping 2.2.2.2 source 192.168.100.2
!!!!
R1#ping 2.2.2.2 source 192.168.100.3
!!!!
R1#ping 2.2.2.2 source 192.168.100.4
….
R1#show ip nat translations Pro Inside global Inside local Outside local Outside global --- 1.1.1.1 192.168.100.1 --- --- --- 1.1.1.2 192.168.100.2 --- --- --- 1.1.1.3 192.168.100.3 --- ---
+ Nhận xét access-list thì có 4 IP 192.168.100.X. nat pool thì chỉ có 3 IP public. Cùng 1 thời điểm thì chỉ có 3 IP 192.168.100.X kết nối được Internet
– Cấu hình thời gian timeout cho kết nối NAT
+ Cấu hình phiên NAT tự mất sau 5 giây khi không có kết nối
R1(config)#ip nat translation timeout 5
+ xóa bảng NAT
R1#clear ip nat translation *
Cấu hình PAT ( Port Address Translation )
– PAT thì router sử dụng Port để phân biệt các kết nối. Giá trị TCP hoặc UDP port dài 6 bit, cung cấp 65536 port. Port trong PAT chỉ dùng phân biệt các session/
– Khi cấu hình PAT có 2 trường hợp
+ Nếu như IP Public là IP trên cổng outsite : thì câu lệnh “ip nat inside source list Số_hiệu_hoặc_tên_của_ACL interface tên-cổng overload”
+ Nếu như ta có sẵn các IP static thì ta sử dụng “nat pool” : “ip nat inside source list Số_hiệu_hoặc_tên_của_ACL pool Tên_pool overload”
Cấu hình PAT cách 1
– Xóa đi các phiên kết nối và xóa lệnh cấu hình “ip nat inside” ở router 1
R1#clear ip nat translation * R1(config)#no ip nat inside source list 1 pool nat1 R1(config)#no ip nat pool nat1 1.1.1.1 1.1.1.3 netmask 255.255.255.0
– Định nghĩa 1 pool IP Public cố định
R1(config)#ip nat pool nat2 1.1.1.1 1.1.1.1 netmask 255.255.255.0 R1(config)#ip nat inside source list 1 pool nat2 overload
– Kiểm tra
Ở PC IP 192.168.100.1 ping đến 2.2.2.2
Reply from 2.2.2.2: bytes=32 time=32ms TTL=254
…
R1#ping 2.2.2.2 source 192.168.100.2
!!!!
R1#ping 2.2.2.2 source 192.168.100.3
!!!!
R1#ping 2.2.2.2 source 192.168.100.4
!!!!
R1#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 1.1.1.1:1 192.168.100.1:1 2.2.2.2:1 2.2.2.2:1 icmp 1.1.1.1:3 192.168.100.2:3 2.2.2.2:3 2.2.2.2:3 icmp 1.1.1.1:4 192.168.100.3:4 2.2.2.2:4 2.2.2.2:4 icmp 1.1.1.1:5 192.168.100.4:5 2.2.2.2:5 2.2.2.2:5
Cấu hình PAT Cách 2
Sử dụng IP trên interface g 0/0 của R1 làm IP public
R1(config)#int g 0/0 R1(config-if)#ip nat outside R1(config-if)#int g 1/0 R1(config-if)#ip nat inside R1(config)#access-list 2 permit host 192.168.100.254 R1(config)#access-list 2 permit host 192.168.100.253 R1(config)#ip nat inside source list 2 interface g 0/0 overload R1#debug ip nat
R1#ping 2.2.2.2 source 192.168.100.254
!!!!
R1#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 192.1.12.1:6 192.168.100.254:6 2.2.2.2:6 2.2.2.2:6