Đề tài Router Cisco và các vấn đề định tuyến

Để kiểm tra hoạt động DHCP, ta dùng lệnh show ip dhcp binding. Lệnh này sẽ hiển thị danh sách các địa chỉ IP đã được dịch vụ DHCP cấp phát cho các host nào tương ứng.

Để xem các thông điệp DHCP mà router đã gửi đi và nhận vào, chúng ta dùng lệnh show ip dhcp server statistics. Lệnh này sẽ hiển thị các thông tin về số lượng các thông điệp DHCP mà Router đã gửi đi và nhận vào.

 

Để xử lý sự cố của họat động DHCP server chúng ta có thể dùng lệnh debug ig dhcp server events. Lệnh này sẽ cho biết chu kỳ kiểm tra của server để xem địa chỉ IP nào đã hết thời hạn được sử dụng và tiến trình lấy lại hoặc cấp phát một địa chỉ IP.

 

doc166 trang | Chia sẻ: netpro | Lượt xem: 7810 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Đề tài Router Cisco và các vấn đề định tuyến, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
vùng. Mỗi router xây dựng một cơ sở dữ liệu đầy đủ về trạng thái các đường liên kết trong một vùng . Một vùng trong mạng được cấp số từ [0 – 65535].Nếu OSPF đơn vùng thì vùng đó là vùng 0. Trong mạng OSPF đa vùng, tất cả các vùng đều phải kết nối vào vùng 0. Do đó vùng 0 được gọi là vùng xương sống. Ví dụ: Để khởi động định tuyến OSPF ta dùng lệnh sau trong chế độ cấu hình toàn cục: Router (config)#router ospf process-id Code: A(config)#router ospf 100 Process-id là chỉ số xác định tiến trình định tuyến OSPF trên router. Ta có thể khởi động nhiều tiến trình OSPF trên cùng một router. Chỉ số này có thể là bất kỳ giá trị nào trong khoảng từ 1 đến 65.535. Đa số các nhà quản trị mạng thường giữ chỉ số process-id này giống nhau trong cùng một hệ tự quản, nhưng điều này là không bắt buộc. Khai báo địa chỉ mạng cho OSPF như sau: Router(config-router)#network address wildcard-mask area area-id [0] Cách biểu diễn Wild-card mask: Bit 0:biểu diễn phần net Bit 1: biểu diễn phần host Ví dụ: 192.168.1.24/28 192.168.1.49/28 192.168.1.8/28 192.168.1.77/28 Router(config)#router ospf 100 Router(config-router)#network 192.168.1.0 0.0.0.15 area 0 Router(config-router)# network 192.168.1.16 0.0.0.15 area 0 Router(config-router)#network 192.168.1.48 0.0.0.15 area 0 Router(config-router)#network 192.168.1.64 0.0.0.15 area 0 Để active cổng f0/1:thì 4 bit 0 đầu tiên của Octet thứ 4 phải bằng 0 và không cần quan tâm đến 4 bit sau. IP:192.168.1.8 192.168.1.0 0 0 0 1000 WC:0.0.0.15 0 .0 .0 . 0 0 0 0 1111 Cấu hình địa chỉ router-id bằng cách gán tĩnh: R(config-router)#router-id 1.1.1.1 Ngoài cách thay đổi router-id để xác định DR còn một cách khác là đặt giá trị ưu tiên cho cổng của router kết nối vào mạng đó.Cổng của Router nào có giá trị ưu tiên cao nhất thì Router đó chắc chắn là DR.Cách thay đổi giá trị ưu tiên: Router(config-if)#ip ospf priority number Để xem giá trị ưu tiên của cổng và các thông tin quan trọng khác dùng câu lệnh Router#show ip ospf interface A#show ip ospf interface FastEthernet0/0 is up, line protocol is up Internet address is 10.1.1.1/24, Area 0 Process ID 100, Router ID 172.16.1.1, Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State BDR, Priority 1 Designated Router (ID) 192.168.1.1, Interface address 10.1.1.2 Backup Designated Router (ID) 172.16.1.1, Interface address 10.1.1.1 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:05 Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 10.1.1.2 (Designated Router) Suppress hello for 0 neighbor(s) Loopback1 is up, line protocol is up Internet address is 172.16.1.1/24, Area 0 Process ID 100, Router ID 172.16.1.1, Network Type LOOPBACK, Cost: 1 Loopback interface is treated as a stub Host Để xem giao thức OSPF của láng giềng xung quanh dùng lệnh: Router#show ip ospf neighbor A#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.1.1 1 FULL/DR 00:00:37 10.1.1.2 FastEthernet0/0 Để xem đang chạy giao thức gì dùng lệnh Router#show ip protocols A#show ip protocols Routing Protocol is "ospf 100" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 172.16.1.1 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 10.1.1.0 0.0.0.255 area 0 172.16.1.0 0.0.0.255 area 0 Routing Information Sources: Gateway Distance Last Update 10.1.1.2 110 00:00:39 Distance: (default is 110) Xem bảng định tuyến: Router#show ip route A#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/24 is subnetted, 1 subnets C 10.1.1.0 is directly connected, FastEthernet0/0 172.16.0.0/24 is subnetted, 1 subnets C 172.16.1.0 is directly connected, Loopback1 192.168.1.0/32 is subnetted, 1 subnets O 192.168.1.1 [110/2] via 10.1.1.2, 00:34:21, FastEthernet0/0 Báo cáo mọi sự kiện của OSPF Router#debug ip ospf events A#debug ip ospf events OSPF events debugging is on 00:43:37: OSPF: Rcv hello from 192.168.1.1 area 0 from FastEthernet0/0 10.1.1.2 00:43:37: OSPF: End of hello processing 2.3.2.2.7 Load balancing with OSPF:Vấn đề chia gói dữ liệu ra để gửi theo nhiều hướng khác nhau nhưng cùng tới một địa chỉ. Chi phí đường đi phải bằng nhau. Mặc định chỉ có bốn đường cùng tới một điểm dược đặt trong bảng định tuyến Bằng cách cấu hình ta có thể thay đổi lên đến 16 đường. Router(config-router)#maximum-paths Để đảm bảo chi phí cùng tới một địa điểm là như nhau , ta có thể thay đổi giá trị của nó như sau: Router(config-router)#ip ospf cost 2.3.2.2.8 OSPF Authentication:Chứng thực trong OSPF Mỗi một cổng OSPF trên Router cần có một chìa khóa xác minh để sử dụng khi gửi các thông tin OSPF cho các router khác cùng kết nối với cổng đó. Chìa khóa xác minh, hay còn gọi là mật mã, được chia sẻ giữa hai router. Chìa khoá này sử dụng để tạo ra dữ liệu xác minh (trường Authentication data) đặt trong phần header của gói OSPF. OSPF hỗ trợ 2 dạng xác thực:plaintext và MD5 Tạo key trên interface/router R(config-if)#ip ospf authentication-key Kích hoạt tính năng authen trên interface router R(config-if)#ip ospf authentication message-digest Mã hóa theo MD5 Mã hóa dạng plain text R(config-if)#ip ospf authentication Mã hóa dạng password trắng: R(config-if)#ip ospf authentication null Kích hoạt tính năng xác thực trên một vùng R(config-router)#area area-id authentication [message-digest|null] Sau khi ta đã cấu hình cho A và B là hàng xóm của nhau.Ping từ A qua B thành công nhưng khi cấu hình xác thực trên Router A thì A(config)#interface f0/0 A(config-if)#ip ospf authentication-key 123 A(config-if)#ip ospf authentication message-digest 02:12:54: %OSPF-5-ADJCHG: Process 100, Nbr 192.168.1.1 on FastEthernet0/0 from FULL to DOWN, Neighbor Down: Dead timer expired A#ping 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) Ta thấy khi B chưa được cấu hình thì A không thể ping đến địa chỉ loopback 2 của B và ngược lại. B(config)#interface f0/0 B(config-if)#ip ospf authentication-key 123 B(config-if)#ip ospf authentication message-digest 00:16:15: %OSPF-5-ADJCHG: Process 100, Nbr 172.16.1.1 on FastEthernet0/0 from LOADING to FULL, Loading Done B#ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/8 ms 2.3.2.3 EIGRP: Enhanced Interior Gateway Routing Protocol (EIGRP) là một giao thức định tuyến độc quyền của Cisco được phát triển từ Interior Gateway Routing Protocol (IGRP). Không giống như IGRP là một giao thức định tuyến theo lớp địa chỉ, EIGRP có hỗ trợ định tuyến liên miền không theo lớp địa chỉ (CIDR – Classless Interdomain Routing) và cho phép người thiết kế mạng tối ưu không gian sử dụng địa chỉ bằng VLSM. So với IGRP, EIGRP có thời gian hội tụ nhanh hơn, khả năng mở rộng tốt hơn và khả năng chống lặp vòng cao hơn. Hơn nữa, EIGRP còn thay thế được cho giao thức Novell Routing Information Protocol (Novell RIP) và Apple Talk Routing Table Maintenance Protocol (RTMP) để phục vụ hiệu quả cho cả hai mạng IPX và Apple Talk. EIGRP được xem là giao thức lai vì nó kết hợp các ưu điểm của cả giao thức định tuyến theo vector khỏang cách và giao thức trạng thái đường liên kết. EIGRP là một giao thức định tuyến nâng cao hơn dựa vào các đặc điểm cả giao thức định tuyến theo trạng thái đường liên kết. Những ưu điểm tốt nhất của OSPF như thông tin cập nhật một phần, phát hiện router láng giềng…được đưa vào EIGRP. Tuy nhiên, cấu hình EIGRP dễ hơn cấu hình OSPF. EIGRP là một lựa chọn lý tưởng cho các mạng lớn, đa giao thức được xây dựng dựa trên các Cisco router. 2.3.2.3.1 Các khái niệm của EIGRP: So sánh EIGRP và IGRP Cisco đưa ra giao thức EIGRP vào năm 1994 như là một phiên bản mới mở rộng và nâng cao hơn của giao thức IGRP .Kỹ thuật vector khoảng cách vẫn được sử dụng cho EIGRP. EIGRP cải tiến các đặc tính của quá trình hội tụ, họat động hiệu quả hơn IGRP. IGRP và EIGRP hoàn toàn tương thích với nhau. EIGRP router không có ranh giới khi họat động chung với IGRP router. Đặc điểm này rất quan trọng khi người sử dụng muốn tận dụng ưu điểm của cả hai giao thức. EIGRP có thể hỗ trợ nhiều loại giao thức khác nhau còn IGRP thì không. EIGRP và IGRP có cách tính thông số định tuyến khác nhau. EIGRP tăng thông số định tuyến của IGRP sử dụng thông số 24 bit. Bằng cách nhân lên hoặc chia đi 256 lần, EIGRP có thể dễ dàng chuyển đổi thông số định tuyến của IGRP. EIGRP và IGRP đều sử dụng công thức tính thông số định tuyến như sau: Thông số định tuyến = [K1 * băng thông + (K2 * băng thông/(256 – độ tải)+(K3*độ trễ )]* [K5/(độ tin cậy + K4)] Mặc định: K1=1, K2=0, K3=1, K4=0, K5=0. Khi K4=K5=0 thì phần [K5/ (độ tin cậy + K4)]trong công thức không còn là một nhân tố khi tính thông số định tuyến nữa.Do đó công thức tính lại như sau: Thông số định tuyến = băng thông + độ trễ IGRP và EIGRP sử dụng các biến đổi sau để tính toán thông sô định tuyến: Băng thông trong công thức trên áp dụng cho IGRP = 10 000 000 / băng thông thực sự. Băng thông trong công thức trên áp dụng cho EIGRP = (10 000 000 / băng thông thực sự) * 256 . Độ trễ trong công thức trên áp dụng cho IGRP = độ trễ thực sự/10 . Độ trễ trong công thức trên áp dụng cho EIGRP = (độ trễ thực sự/10) * 256. IGRP có số lượng hop tối đa là 255. EIGRP có số lượng hop tối đa là 224. Con số này dư sức đáp ứng cho một mạng được thiết kế hợp lí lớn nhất. EIGRP đánh dấu những đường mà nó học được từ IGRP hay từ bất kì nguồn bên ngoài nào khác là đường ngoại vi vì những con đường này không xuất phát từ EIGRP router. IGRP thì không phân biệt đường ngoại vi và nội vi. Các khái niệm và thuật ngữ của EIGRP: EIGRP router lưu giữ các thông tin về đường đi và cấu trúc mạng trên RAM EIGRP lưu các con đường mà nó học theo 1 cách đặc biệt EIGRP có 3 loại bảng sau: Bảng láng giềng Bảng cấu trúc mạng Bảng định tuyến Bảng láng giềng là bảng quan trọng nhất trong EIGRP .Mỗi router EIGRP lưu giữ một bảng láng giềng ,trong đó là danh sách các router thân mật với nó. Bảng cấu trúc mạng là bảng cung cấp dữ liệu để xây dưng lên mạng định tuyến của EIGRP. DUAL lấy thông tin từ bảng láng giềng và bảng cấu trúc mạng để tính toán chọn đường có chi phí thấp nhất đến từng mạng đích thông qua thuật toán DUAL. Những thông tin chứa trong bảng cấu trúc mạng: Feasible distance (FD): là thông tin định tuyến nhỏ nhất mà EIGRP tính được cho từng mạng đích. Route source: là nguồn khởi phát thông tin về một con đường nào đó. Phần thông tin này chỉ có với những đường được học từ ngoài mạng EIGRP. Reported disdiance (RD): là thông số định tuyến đến một router láng giềng thân mật thông báo qua. Thông tin về cổng giao tiếp mà router sử dụng để đi đến mạng đích. Trạng thái đường đi: Trạng thái không tác động (P – passive) là trạng thái ổn định, sẵn sàng sử dụng được, trạng thái tác động (A – active) là trạng thái đang trong tiến trình tính toán lại của DUAL. Bảng định tuyến EIGRP lưu giữ danh sách các đường tốt nhất đến các mạng đích Con đường được chọn làm đường chính đến mạng đích gọi là successor.Đến mạng đích có thể có đến 4 successor.Những đường này có chi phí bằng nhau hoặc không bằng nhau Đường Feasible successor (FS) là đường dự phòng cho successor .Đường này cũng được chọn ra cùng với các đường successor nhưng chúng chỉ được lưu trong bảng cấu trúc mạng nhưng điều này không bắt buộc. Đường màu đỏ là đường có metric nhỏ nhất tính từ R2 đến R3 và ta gọi đường này là successor route với FD=2000(Feasible Distance) AD(Advertised Distance):là metric từ R0 đến R3 và báo cho R2 biết là bao nhiêu.Trong trường hợp này AD=1000. Feasible Successor Route:là đường màu đen.Để là Feasible Successor Route phải thỏa mãn điều kiện : Metric >FD AD<FD Bảng tính toán của Router C theo EIGRP 2.3.2.3.2.Cấu hình: 1.Sử dụng lệnh sau để khởi động EIGRP và xác định con số của hệ tự quản: router(config)#router eigrp Thông số autonomous-system-number xác định các router trong hệ tự quản .Những router nào cùng một hệ thống mạng phải có cùng con số này. 2.Khai báo mạng nào của router đang cấu hình thuộc về hệ tự quản EIGRP: router(config-router)#network 3.Khi cấu hình cho cổng serial để sử dụng EIGRP cần đặt băng thông cho cổng này Nếu chúng ta không đổi băng thông của cổng ,EIGRP sẽ sử dụng băng thông mặc định của cổng thay vì băng thông thực sự .Nếu đường kết nối thực sự chậm hơn router có thể không hội tu được,thông tin định tuyến có thể bị mất hoặc là kết quả chọn đường không tối ưu.Để đặt băng thông dùng câu lệnh sau: router(config-if)#bandwidth kilobits 4.Cisco khuyến cáo nên thêm câu lệnh sau trong cấu hình EIGRP: router(config-if)#eigrp log-neighbor-changes Câu lệnh này xuất ra thông báo khi router láng giềng có sự thay đổi nhằm giúp theo dõi sự ổn định của hệ thống và phát hiện sự cố nếu có. 5.Cấu hình đường tổng hợp cho EIGRP: EIGRP tự động tổng hợp các đường lại theo lớp địa chỉ .Ví dụ như hình 5-1 ,RTC chỉ kết nối vào mạng con 2.1.1.0 nhưng nó sẽ phát quảng cáo là nó kết nối vào mạng lớp A 2.0.0.0/8 .Việc tự động tổng hơp giúp bảng định tuyến ngắn gọn. Hình 5-1:EIGRP tự động tổng hợp đường đi thành major network(mạng gốc) Tuy nhiên trong một số trường hợp thì không nên sử dụng chế độ tự tổng hợp đường đi này .Ví dụ trong sơ đố mạng không liên tục thì chế độ này phải tắt.Để tắt chế độ tự tổng hợp đường đó dùng câu lệnh sau: Router(config-router)#no auto-summary Hình 5-2.Mạng có sơ đồ địa chỉ không liên tục Hình 5-2.Khi có câu lệnh no auto-summary thì router sẽ quảng cáo. Hình 5-3.Việc tổng hợp đường đi của EIGRP có thể được cấu hình trên từng cổng của router. Router(config-if)#ip summary-address eigrp autonomous-system-number ip-address mask administrative-distance 6.Các câu lệnh kiểm tra hoạt động của EIGRP Hiển thị bảng định tuyến của EIGRP: Router#show ip route eigrp Hiển thị thông tin cổng đã cấu hình: Router#show ip eigrp interfaces Hiển thị bảng láng giềng của EIGRP : Router#Show ip eigrp neighbors [detail] Hiển thị tất cả các feasible successor trong bảng cấu trúc mạng của EIGRP: Router#Show ip eigrp topology [all] Hiển thị số gói EIGRP đã gửi đi và nhận được: Router#Show ip eigrp traffic Hiển thị các hoạt động của feasible successor: Router#debug ip eigrp 2.4 NAT và DHCP 2.4.1 NAT Sự phát triển không ngừng của Internet đã làm cho những nhà nghiên cứu bất ngờ. Một trong những nguyên nhân làm cho Internet phát triển nhanh chóng như vậy là do sự linh hoạt, uyển chuyển của thiết kế ban đầu. Nếu chúng ta không có các biện pháp phân phối địa chỉ IP thì sự phát triển của Internet sẽ làm cạn kiệt nguồn địa chỉ IP. Để giải quyết vấn đề thiếu hụt địa chỉ IP, nhiều biện pháp đã được triển khai. Trong đó, một biện pháp đã được triển khai rộng rãi là chuyển đổi địa chỉ mạng (Network Address Translation – NAT). NAT là một cơ chế để tiết kiệm địa chỉ IP đăng kí trong một mạng lớn và giúp đơn giản hóa việc quản lý địa chỉ IP. Khi một gói dữ liệu được định tuyến trong một thiết bị mạng, thường là firewall hoặc các router biên, địa chỉ IP nguồn sẽ được chuyển đổi từ địa chỉ mạng riêng thành địa chỉ IP công cộng định tuyến được. Điều này cho phép gói dữ liệu được truyền đi trong trong mạng công cộng, ví dụ như Internet. Sau đó, địa chỉ công cộng trong gói trả lời lại được chuyển đổi thành địa chỉ riêng để phát vào trong mạng nội bộ. Một dạng của NAT, được gọi là PAT (Port Address Translation), cho phép nhiều địa chỉ riêng được dịch sang một địa chỉ công cộng duy nhất. Router, server và các thiết bị quan trọng khác trong mạng thường đòi hỏi phải được cấu hình bằng tay địa chỉ IP cố định. Trong khi đó, các máy tính client không cần thiết phải đặt cố định một địa chỉ mà chỉ cần xác định một dải địa chỉ cho nó. Dải địa chỉ này thường là một subnet IP. Một máy tính nằm trong subnet có thể được phân phối bất kì địa chỉ nào nằm trong subnet đó 2.4.1.1 Chia địa chỉ mạng với NAT và PAT 2.4.1.1.1 Địa chỉ riêng: 1 địa chỉ lớp A: 10.0.0.0/8. 16 địa chỉ lớp B: 172.16.0.0 – 172.31.255.255 (172.16.0.0/12). 256 địa chỉ lớp C: 192.168.0.0-192.168.255.255 (192.168.0.0/16). Những địa chỉ trên chỉ dùng cho mạng riêng, mạng nội bộ. Các gói dữ liệu có địa chỉ như trên sẽ không định tuyến được trên Internet.Địa chỉ Internet công cộng phải được đăng ký với một công ty có thẩm quyền Internet, ví dụ như American Registry for Internet Numbers (ARIN) hoặc Réseaux IP Européens (RIPE) và The Regional Internet Registry phụ trách khu vực Châu Âu và Bắc Phi. Địa chỉ IP công cộng còn có thể được thuê từ một nhà cung cấp dịch vụ Internet (ISP). Địa chỉ IP riêng được dành riêng và có thể được sử dụng bởi bất kỳ ai. Điều này có nghĩa là có thể có 2 mạng hoặc 2 triệu mạng sử dụng cùng một địa chỉ mạng riêng. Router trên Internet sẽ không định tuyến các địa chỉ RFC 1918.ISP cấu hình Router biên ngăn không cho các lưu lượng của địa chỉ riêng được phát ra ngoài. NAT mang đến rất nhiều lợi ích cho các công ty và Internet. Trước đây, khi không có NAT, một máy tính không thể truy cập Internet với địa chỉ riêng. Bây giờ, sau khi có NAT, các công ty có thể cấu hình địa chỉ riêng cho một hoặc tất cả các máy tính và sử dụng NAT để truy cập Internet. 2.4.1.1.2 Giới thiệu NAT và PAT NAT được thiết kế để tiết kiệm địa chỉ IP và cho phép mạng nội bộ sử dụng địa chỉ IP riêng. Các địa chỉ IP riêng sẽ được chuyển đổi sang địa chỉ công cộng định tuyến được bằng cách chạy phần mềm NAT đặc biệt trên thiết bị mạng. Điều này giúp cho mạng riêng càng được tách biệt và giấu được địa chỉ IP nội bộ. NAT thường được sử dụng trên Router biên của mạng một cửa. Mạng một cửa là mạng chỉ có một kết nối duy nhất ra bên ngoài. Khi một host nằm trong mạng một cửa muốn truyền dữ liệu cho một host nằm bên ngoài nó sẽ truyền gói dữ liệu đến Router biên giới. Router biên giới sẽ thực hiện tiến trình NAT, chuyển đổi địa chỉ riêng của host nguồn sang một địa chỉ công cộng định tuyến được. Trong thuật ngữ NAT, mạng nội bộ có nghĩa là tập hợp các địa chỉ mạng cần chuyển đổi địa chỉ. Mạng bên ngoài là tất cả các địa chỉ khác còn lại. Cisco định nghĩa các thuật ngữ NAT như sau: Địa chỉ cục bộ bên trong (Inside local address): là địa chỉ được phân phối cho các host bên trong mạng nội bộ. Các địa chỉ này thường không phải là địa chỉ được cung cấp bởi InterNIC (Internet Network Information Center) hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này thường là địa chỉ riêng RFC 1918. Địa chỉ toàn cục bên trong (Inside global address): là địa chỉ IP hợp pháp được cung cấp bởi InterNIC hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này đại diện cho một hoặc nhiều địa chỉ nội bộ bên trong đối với thế giới bên ngoài. Địa chỉ cục bộ bên ngoài (Outside local address): là địa chỉ riêng của host nằm bên ngoài mạng nội bộ. Địa chỉ toàn cục bên ngoài (Outside global address): là địa chỉ công cộng hợp pháp của host nằm bên ngoài mạng nội bộ. Hình 1.1.2.b. Host nội bộ 10.0.0.3 muốn gửi gói dữ liệu cho một host nằm ngoài 128.23.2.2. Gói dữ liệu được gửi tới router biên giới RTA. Hình 1.1.2.c. RTA nhận thấy gói dữ liệu này đươc gửi ra ngoài internet nên nó thực hiên tiến trình NAT, chuyến đổi địa chỉ nguồn 10.0.0.3 thành địa chỉ công cộng là 179.9.8.80. Sau khi thực hiện NAT xong, gói dữ liệu từ RTA đi ra sẽ có địa chỉ nguồn là một địa chỉ công cộng hợp pháp 179.9.8.80. Hình 1.1.2.d. Sau đó server 128.23.2.2 có thể gửi lại một gói trả lời. Khi đó gói trả lời sẽ có địa chỉ đích là 179.9.8.80. Hình 1.1.2.e. RTA nhận thấy gói dữ liệu này được gửi từ bên ngoài vào trong mạng nội bộ. RTA sẽ tìm trong bảng NAT để ánh xạ từ địa chỉ đích công cộng sang địa chỉ riêng tương ứng. Sau khi thực hiên NAT xong, gói dữ liệu từ RTA phát vào trong mạng nội bộ sẽ có địa chỉ đích là địa chỉ riêng của host đích 10.0.0.3. Xét ví dụ hình 1.1.2.b, đối với RTA: Địa chỉ nội bộ bên trong là 10.0.0.3. Địa chỉ toàn cục bên trong là: 179.9.8.80. Địa chỉ toàn cục bên ngoài là: 128.23.2.2. 1.1.3 Các đặc điểm của NAT và PAT Chuyển đổi NAT rất hữu ích cho nhiều mục đích khác nhau và có thể chuyển đổi động hoặc cố định. NAT cố định được thiết kế để ánh xạ một-một, từ một địa chỉ nội bộ sang một địa chỉ công cộng tương ứng duy nhất. Điều này rất tốt đối với những host cần phải có địa chỉ nhất định để truy cập từ Internet. Những host này có thể là các server toàn hệ thống hoặc các thiết bị mạng. NAT động được thiết kế để ánh xạ một địa chỉ IP riêng sang một địa chỉ công cộng một cách tự động. Bất kỳ địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định trước đều có thể được gán cho một host bên trong mạng. Overloading hoặc PAT có thể ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ IP công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port. PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển đổi. Số port được mã hóa 16 bit. Do đó có tới 65.536 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng. Thực tế thì số lượng port có thể gán cho một địa chỉ IP là khoảng 4000 port. PAT sẽ cố gắng giữ nguyên số port nguồn ban đầu. Nhưng nếu số port này đã bị sử dụng thi PAT sẽ lấy số port còn trống đầu tiên trong các nhóm port 0-511, 512-1023, 1024-65535. Khi không còn số port nào còn trống và vẫn còn địa chỉ IP công cộng khác đã được cấu hình thì PAT sẽ chuyển sang địa chỉ IP công cộng kế tiếp và bắt đầu xác định số port nguồn như trên. Quá trình này sẽ được thực hiện cho đến khi nào hết số port và địa chỉ IP công cộng còn trống. Hình 1.1.3.c. Host 10.0.0.3 gửi gói dữ liệu ra internet. Trong gói dữ liệu này, địa chỉ IP nguồn là 10.0.0.3, port là 1444 Hình 1.1.3.d. Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.3 sang địa chỉ 179.9.8.80, port nguồn vẫn giữ nguyên là 1444. Hình 1.1.3.e. Bây giờ Host 10.0.0.4 cũng gửi gói dữ liệu ra internet với địa chỉ nguồn là 10.0.0.4, port nguồn là 1444 Hình 1.1.3.f. Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.4 sang 179.9.8.80. Port nguồn là 1444 lúc này phải đổi sang 1445. Như vậy theo như bảng NAT trong hình ta thấy địa chỉ công cộng 179.9.8.80: 1444 là tương ứng với 10.0.0.3:1444, 179.9.8.80:1445 tương ứng với 10.0.0.4:1444. Bằng cách sử dụng kết hợp với số port như vậy, PAT có thể ánh xạ một địa chỉ IP công cộng cho nhiều địa chỉ riêng bên trong. NAT cung cấp những lợi điểm sau: • Không cần phải gán địa chỉ IP mới cho từng host khi thay đổi sang một ISP mới. Nhờ đó có thể tiết kiệm được thời gian và tiền bạc. • Tiết kiệm địa chỉ thông qua ứng dụng ghép kênh cấp độ port. Với PAT, các host bên trong có thể chia sẻ một địa chỉ IP công cộng để giao tiếp với bên ngoài. Với cách cấu hình này, chúng ta cần rất ít địa chỉ công cộng, nhờ đó có thể tiết kiệm địa chỉ IP. • Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên trong ra ngoài. 2.4.1.1.4 Cấu hình NAT và PAT Chuyển đổi cố định: Để cấu hình chuyển đổi cố định địa chỉ nguồn bên trong, chúng ta cấu hình các bước như sau: Bước Thực hiện Ghi chú 1 Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và địa chỉ đại diện bên ngoài Router (config) # ip nat inside source static local-ip global-ip Trong chế độ cấu hình toàn cục, ta dùng câu lệnh no ip nat inside source static để xóa sự chuyển đổi địa chỉ cố định. 2 Xác định cổng kết nối vòa mạng bên trong. Router (config) # interface type number Sau khi gõ lệnh interface, dấu nhắc của dòng lệnh sẽ chuyển từ (config) # sang (config-if) # 3 Đánh dấu cổng này là cổng kết nối vào mạng nội bộ bên trong. Router (config-if) # ip nat inside 4 Thoát khỏi chế độ cấu hình cổng hiện tại. Router (config-if) # exit 5 Xác định cổng kết nối ra mạng công cộng bên ngoài. Router (config) # interface type number 6 Đánh dấu cổng này là cổng kết nối ra mạng công cộng bên ngoài. Router (config-if) # ip nat outside Chuyển đổi động: Để Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau: Bước Thực hiện Ghi chú 1 Xác định dải địa chỉ đại diện bên ngoài Rourter (config) # ip nat pool name start-ip end-ip [netmask netmask /prefix-length prefix-length] Trong chế độ cấu hình toàn cục, gõ lệnh no ip nat pool name để xóa dải địa chỉ đại diên bên ngoài. 2 Thiết lập ACL cơ bản cho

Các file đính kèm theo tài liệu này:

  • docTim hieu va thiet ke mang may tinh.doc