Trong hệ thống mạng, chúng ta tạo nhiều kết nối giữa các Switch và Bridge để dự phòng. Các kết nối này sẽ tạo ra các vòng lặp vật lý trong mạng nhưng nếu có một kết nối bị đứt thì lưu lượng có thể được chuyển sang kết nối khác.
Switch hoạt động ở lớp 2 của mô hình OSI và thực hiện quyết định chuyển gói ở lớp này. Khi Switch không xác định được Port đích thì nó sẽ chuyển gói ra tất cả các Port. Gói quảng bá và Multicast cũng được gửi ra tất cả các Port trừ Port nhận gói vào. Do đó, mạng chuyển mạch không được có vòng lặp, vì như vậy sẽ gây ra nhiều sự cố.
Ở lớp 3, mỗi khi gói dữ liệu đi qua một Router, thông số TTL (Time To Live) sẽ giảm bớt đi một giá trị va gói dữ liệu sẽ bị hủy bỏ khi TTL đạt đến giá trị 0. Trong khi đó, phần thông tin lớp 2 trong gói dữ liệu không có thông số TTL. Do đó, nếu Frame bị rơi vào vòng lặp (Loop) lớp 2 của cấu trúc mạng chuyển mạch, nó sẽ bị lặp vòng đến vô tận vì không có thông tin nào trong Frame giúp loại bỏ Frame khi bị lặp vòng. Điều đó làm cho hệ thống mạng tiêu tốn băng thông và có thể dẫn đến bị tê liệt.
Tóm lại, mạng chuyển mạch với Switch không thể có vòng lặp nhưng chúng ta vẫn cần xây dựng cấu trúc mạng vật lý có vòng lặp để dự phòng khi xảy ra sự cố, nhằm đảm bảo hoạt động của hệ thống mạng.
Vậy giải pháp là vẫn cho phép cấu trúc vật lý có vòng lặp nhưng chúng ta sẽ tạo cấu trúc Logic không có vòng lặp. Ví dụ như hình trên, giao thông từ các User kết nối vào Cat-4 đến Server Frame kết nối vào Cat-5 sẽ đi qua đường nối giữa Cat-1 và Cat-2 mặc dù có tồn tại đường kết nối vật lý giữa Cat-4 và Cat-5.
Cấu trúc Logic không vòng lặp là một cấu trúc dạng phân nhánh cây, tương tự như cấu trúc Logic hình sao hay hình sao mở rộng.
235 trang |
Chia sẻ: lethao | Lượt xem: 2870 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Tìm hiểu và thiết kế mạng máy tính, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
%OSPF-5-ADJCHG: Process 100, Nbr 192.168.1.1 on FastEthernet0/0 from FULL to DOWN, Neighbor Down: Dead timer expired
A#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Ta thấy khi B chưa được cấu hình thì A không thể ping đến địa chỉ loopback 2 của B và ngược lại.
B(config)#interface f0/0
B(config-if)#ip ospf authentication-key 123
B(config-if)#ip ospf authentication message-digest
00:16:15: %OSPF-5-ADJCHG: Process 100, Nbr 172.16.1.1 on FastEthernet0/0 from LOADING to FULL, Loading Done
B#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/8 ms
Mọi liên lạc giữa hai router chỉ diển ra bình thường khi ta cấu hình xác thực trên cả 2 router với cùng một key.
3.3.2.3. EIGRP
Enhanced Interior Gateway Routing Protocol (EIGRP) là một giao thức định tuyến độc quyền của Cisco được phát triển từ Interior Gateway Routing Protocol (IGRP). Không giống như IGRP là một giao thức định tuyến theo lớp địa chỉ, EIGRP có hỗ trợ định tuyến liên miền không theo lớp địa chỉ (CIDR – Classless Interdomain Routing) và cho phép người thiết kế mạng tối ưu không gian sử dụng địa chỉ bằng VLSM. So với IGRP, EIGRP có thời gian hội tụ nhanh hơn, khả năng mở rộng tốt hơn và khả năng chống lặp vòng cao hơn.
Hơn nữa, EIGRP còn thay thế được cho giao thức Novell Routing Information Protocol (Novell RIP) và Apple Talk Routing Table Maintenance Protocol (RTMP) để phục vụ hiệu quả cho cả hai mạng IPX và Apple Talk.
EIGRP được xem là giao thức lai vì nó kết hợp các ưu điểm của cả giao thức định tuyến theo vector khỏang cách và giao thức trạng thái đường liên kết.
EIGRP là một giao thức định tuyến nâng cao hơn dựa vào các đặc điểm cả giao thức định tuyến theo trạng thái đường liên kết. Những ưu điểm tốt nhất của OSPF như thông tin cập nhật một phần, phát hiện router láng giềng…được đưa vào EIGRP. Tuy nhiên, cấu hình EIGRP dễ hơn cấu hình OSPF.
EIGRP là một lựa chọn lý tưởng cho các mạng lớn, đa giao thức được xây dựng dựa trên các Cisco router.
3.3.2.3.1. Các khái niệm của EIGRP
a. So sánh EIGRP và IGRP
Cisco đưa ra giao thức EIGRP vào năm 1994 như là một phiên bản mới mở rộng và nâng cao hơn của giao thức IGRP .Kỹ thuật vector khoảng cách vẫn được sử dụng cho EIGRP.
EIGRP cải tiến các đặc tính của quá trình hội tụ, họat động hiệu quả hơn IGRP.
IGRP và EIGRP hoàn toàn tương thích với nhau. EIGRP router không có ranh giới khi họat động chung với IGRP router. Đặc điểm này rất quan trọng khi người sử dụng muốn tận dụng ưu điểm của cả hai giao thức. EIGRP có thể hỗ trợ nhiều loại giao thức khác nhau còn IGRP thì không.
EIGRP và IGRP có cách tính thông số định tuyến khác nhau. EIGRP tăng thông số định tuyến của IGRP sử dụng thông số 24 bit. Bằng cách nhân lên hoặc chia đi 256 lần, EIGRP có thể dễ dàng chuyển đổi thông số định tuyến của IGRP.
EIGRP và IGRP đều sử dụng công thức tính thông số định tuyến như sau:
Thông số định tuyến = [K1 * băng thông + (K2 * băng thông/(256 – độ tải)+(K3*độ trễ )]* [K5/(độ tin cậy + K4)]
Mặc định: K1=1, K2=0, K3=1, K4=0, K5=0.
Khi K4=K5=0 thì phần [K5/ (độ tin cậy + K4)]trong công thức không còn là một nhân tố khi tính thông số định tuyến nữa.Do đó công thức tính lại như sau:
Thông số định tuyến = băng thông + độ trễ
IGRP và EIGRP sử dụng các biến đổi sau để tính toán thông sô định tuyến:
Băng thông trong công thức trên áp dụng cho IGRP = 10 000 000 / băng thông thực sự.
Băng thông trong công thức trên áp dụng cho EIGRP = (10 000 000 / băng thông thực sự) * 256 .
Độ trễ trong công thức trên áp dụng cho IGRP = độ trễ thực sự/10 .
Độ trễ trong công thức trên áp dụng cho EIGRP = (độ trễ thực sự/10) * 256.
IGRP có số lượng hop tối đa là 255. EIGRP có số lượng hop tối đa là 224. Con số này dư sức đáp ứng cho một mạng được thiết kế hợp lí lớn nhất.
EIGRP đánh dấu những đường mà nó học được từ IGRP hay từ bất kì nguồn bên ngoài nào khác là đường ngoại vi vì những con đường này không xuất phát từ EIGRP router. IGRP thì không phân biệt đường ngoại vi và nội vi.
b. Các khái niệm và thuật ngữ của EIGRP
EIGRP router lưu giữ các thông tin về đường đi và cấu trúc mạng trên RAM
EIGRP lưu các con đường mà nó học theo 1 cách đặc biệt
EIGRP có 3 loại bảng sau:
Bảng láng giềng
Bảng cấu trúc mạng
Bảng định tuyến
Hình 3.35. Các loại bảng trong EIGRP
Bảng láng giềng là bảng quan trọng nhất trong EIGRP .Mỗi router EIGRP lưu giữ một bảng láng giềng ,trong đó là danh sách các router thân mật với nó.
Bảng cấu trúc mạng là bảng cung cấp dữ liệu để xây dựng lên mạng định tuyến của EIGRP. DUAL lấy thông tin từ bảng láng giềng và bảng cấu trúc mạng để tính toán chọn đường có chi phí thấp nhất đến từng mạng đích thông qua thuật toán DUAL.
Những thông tin chứa trong bảng cấu trúc mạng:
Feasible distance (FD): là thông tin định tuyến nhỏ nhất mà EIGRP tính
được cho từng mạng đích.
Route source: là nguồn khởi phát thông tin về một con đường nào đó. Phần thông tin này chỉ có với những đường được học từ ngoài mạng EIGRP.
Reported disdiance (RD): là thông số định tuyến đến một router láng giềng thân mật thông báo qua.
Thông tin về cổng giao tiếp mà router sử dụng để đi đến mạng đích.
Trạng thái đường đi: Trạng thái không tác động (P – passive) là trạng thái ổn định, sẵn sàng sử dụng được, trạng thái tác động (A – active) là trạng thái đang trong tiến trình tính toán lại của DUAL.
Bảng định tuyến EIGRP lưu giữ danh sách các đường tốt nhất đến các mạng đích. Con đường được chọn làm đường chính đến mạng đích gọi là successor.Đến mạng đích có thể có đến 4 successor.Những đường này có chi phí bằng nhau hoặc không bằng nhau.
Đường Feasible successor (FS) là đường dự phòng cho successor .Đường này cũng được chọn ra cùng với các đường successor nhưng chúng chỉ được lưu trong bảng cấu trúc mạng nhưng điều này không bắt buộc.
Hình 3.36: Đường Feasible successor
Đường màu đỏ là đường có metric nhỏ nhất tính từ RC đến RX và ta gọi đường này là successor route với FD=2000(Feasible Distance)
AD(Advertised Distance):là metric từ RA đến RX và báo cho RC biết là bao nhiêu.Trong trường hợp này AD=1000.
Feasible Successor Route:là đường màu đen.Để là Feasible Successor Route phải thỏa mãn điều kiện :
Metric > FD
AD < FD
Hình 3.37: Bảng tính toán của Router C theo EIGRP
3.3.2.3.2. Cấu hình
1. Sử dụng lệnh sau để khởi động EIGRP và xác định con số của hệ tự quản:
router(config)#router eigrp
Thông số autonomous-system-number xác định các router trong hệ tự quản có giá trị từ [1 – 65.535]. Những router nào cùng một hệ thống mạng phải có cùng con số này.
2. Khai báo mạng nào của router đang cấu hình thuộc về hệ tự quản EIGRP:
router(config-router)#network
Hình 3.38: Cấu hình EIGRP
3. Khi cấu hình cho cổng serial để sử dụng EIGRP cần đặt băng thông cho cổng này. Nếu chúng ta không đổi băng thông của cổng, EIGRP sẽ sử dụng băng thông mặc định của cổng thay vì băng thông thực sự .Nếu đường kết nối thực sự chậm hơn router có thể không hội tu được,thông tin định tuyến có thể bị mất hoặc là kết quả chọn đường không tối ưu.Để đặt băng thông dùng câu lệnh sau:
router(config-if)#bandwidth
4. Cisco khuyến cáo nên thêm câu lệnh sau trong cấu hình EIGRP:
router(config-if)#eigrp log-neighbor-changes
Câu lệnh này xuất ra thông báo khi router láng giềng có sự thay đổi nhằm giúp theo dõi sự ổn định của hệ thống và phát hiện sự cố nếu có.
5. Cấu hình đường tổng hợp cho EIGRP:
EIGRP tự động tổng hợp các đường lại theo lớp địa chỉ .Ví dụ như hình 5-1, RTC chỉ kết nối vào mạng con 2.1.1.0 nhưng nó sẽ phát quảng cáo là nó kết nối vào mạng lớp A 2.0.0.0/8 .Việc tự động tổng hơp giúp bảng định tuyến ngắn gọn.
Hình 3.39a: EIGRP tự động tổng hợp đường đi thành major network(mạng gốc)
Tuy nhiên trong một số trường hợp thì không nên sử dụng chế độ tự tổng hợp đường đi này .Ví dụ trong sơ đố mạng không liên tục thì chế độ này phải tắt.Để tắt chế độ tự tổng hợp đường đó dùng câu lệnh sau:
Router(config-router)#no auto-summary
Hình 3.39b: Mạng có sơ đồ địa chỉ không liên tục
Hình 3.39c: Khi có câu lệnh no auto-summary thì router sẽ quảng cáo
Hình 3.39d: Việc tổng hợp đường đi của EIGRP có thể được cấu hình trên từng cổng của router.
Router(config-if)#ip summary-address eigrp autonomous-system-number ip-address mask administrative-distance
6. Các câu lệnh kiểm tra hoạt động của EIGRP
Hiển thị bảng định tuyến của EIGRP:
Router#show ip route eigrp
Hiển thị thông tin cổng đã cấu hình:
Router#show ip eigrp interfaces
Hiển thị bảng láng giềng của EIGRP :
Router#Show ip eigrp neighbors [detail]
Hiển thị tất cả các feasible successor trong bảng cấu trúc mạng của EIGRP:
Router#Show ip eigrp topology [all]
Hiển thị số gói EIGRP đã gửi đi và nhận được:
Router#Show ip eigrp traffic
Hiển thị các hoạt động của feasible successor:
Router#debug ip eigrp
3.4. Access Control List (ACL)
ACL là một dạng filter traffic trong các mô hình mạng. Sử dụng để điều khiển gói tin ra vào trong một đoạn mạng, lọc những gói tin không cần đến và có thể dùng để lập một chính sách bảo mật nào đó.
ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.
Chức năng của ACL
Quản lý các IP traffic.
Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router.
Hỗ trợ cho việc sử dụng NAT.
Hoạt động của ACL: ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit.
Cách đặt ACL
Inbound ACLs – những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound interface). Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao (transmission).
Outbound ACLs – những gói tin sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound queue).
ACL được chia thành 2 loại
Standard ACL.
Extended ACL.
3.4.1. Standard Access List
Sử dụng standard ACL khi ta muốn block hay allow tất cả các traffic từ một network xác định, hoặc deny toàn bộ protocol. Standard ACL quan tâm tới source address. Standard ACL kiểm tra địa chỉ nguồn của các packet. Nó chỉ làm việc với host và network address hay nói cách khác là nó deny hoặc permit tất cả các traffic từ một thiết bị nguồn xác định nào đó.
Có 2 bước để tạo standard ACL:
Định nghĩa danh sách ACL để đặt vào interface:
router(config)#access-list [#] [permit/deny] [source address] [wildcard mask]
Trong đó: # ( access-list-number) có giá trị từ 1 đến 99.
Wildcard-mask nếu không được cấu hình sẽ lấy giá trị mặc định là:0.0.0.0.
Dùng lệnh no ip access-list access-list-number để xóa entry access list.
Đặt vào interface:
router(config)#interface [interface-number]
router(config-if)#ip access-group [#] [in/out] - interface access control
router(config-line)#access-class [#] [in/out]- VTY access control
3.4.2. Extanded Access List
Extended ACL chức năng cũng giống như standard ACL nhưng cung cấp sự điều khiển linh hoạt hơn standard ACL. Nó kiểm tra cả địa chỉ nguồn và địa chỉ đích của packet. Nó cũng có thể kiểm tra cả protocol, port, và các tham số khác.
Extended ACL quan tâm tới source address, destination address, IP protocol (TCP, UDP) và một số thông tin khác như chỉ số port …(telnet :23, … ).
Cấu hình extended ACL: gồm 2 bước
Định nghĩa danh sách ACL để đặt vào interface:
router(config)#access-list [#] [permit/deny] [protocol] [source address] [wildcard mask] [operator source port] [destination address] [wildcard mask] [operator destination port]
Trong đó: # ( access-list-number) có giá trị từ 100 đến 199 hoặc 2000 đến 2699.
IP protocol: icmp tcp udp igrp.
Operators: port tcp or udp của một ứng dụng nào đó. Sử dụng các kí hiệu so sánh (lt, gt, neq, eq, range) để gán port.
Một số port thông dụng:-----------------------------------------------------------Port Number ------TCP port names ----UDP port names -----------------------------------------------------------6 ---------------------TCP1721-------------------- FTP23 --------------------TELNET25 --------------------SMTP53-------------------------------------------- DNS69 --------------------------------------------TFTP80 --------------------WWW161 -------------------------------------------SNMP520 -------------------------------------------RIP
Đặt vào interface:
router(config)#interface [interface-number]
router(config-if)#ip access-group [#] [in/out] - interface access control
Kiểm tra các ACL vừa tạo, ta dung các lệnh sau:
Hiển thị tất cả ACLs đang sử dụng:
Router(config)#show running-config
Xem ACLs hoạt động trên interface nào đó:
Router(config)#show interface [ # ]
Xem việc đặt và hướng đi của ip ACLs:
Router(config)#show ip interfaces [ # ]
Xem những câu lệnh ACLs:
Router(config)#show access-list [ # ]
Hiển thị tất cả ip ACLs:
Router#show ip access-list
Hiển thị ip ACL 100:
Router#show ip access-list 100
Xóa bộ đếm (to clear the counters use):
Router(config)#show access-list [ # ]
Router(config)#clear access-list counter [ # ]
3.5. NAT và DHCP
3.5.1. NAT
Sự phát triển không ngừng của Internet đã làm cho những nhà nghiên cứu bất ngờ. Một trong những nguyên nhân làm cho Internet phát triển nhanh chóng như vậy là do sự linh hoạt, uyển chuyển của thiết kế ban đầu. Nếu chúng ta không có các biện pháp phân phối địa chỉ IP thì sự phát triển của Internet sẽ làm cạn kiệt nguồn địa chỉ IP. Để giải quyết vấn đề thiếu hụt địa chỉ IP, nhiều biện pháp đã được triển khai. Trong đó, một biện pháp đã được triển khai rộng rãi là chuyển đổi địa chỉ mạng (Network Address Translation – NAT).
NAT là một cơ chế để tiết kiệm địa chỉ IP đăng kí trong một mạng lớn và giúp đơn giản hóa việc quản lý địa chỉ IP. Khi một gói dữ liệu được định tuyến trong một thiết bị mạng, thường là firewall hoặc các router biên, địa chỉ IP nguồn sẽ được chuyển đổi từ địa chỉ mạng riêng thành địa chỉ IP công cộng định tuyến được. Điều này cho phép gói dữ liệu được truyền đi trong mạng công cộng, ví dụ như Internet. Sau đó, địa chỉ công cộng trong gói trả lời lại được chuyển đổi thành địa chỉ riêng để phát vào trong mạng nội bộ. Một dạng của NAT, được gọi là PAT (Port Address Translation), cho phép nhiều địa chỉ riêng được dịch sang một địa chỉ công cộng duy nhất.
Router, server và các thiết bị quan trọng khác trong mạng thường đòi hỏi phải được cấu hình bằng tay địa chỉ IP cố định. Trong khi đó, các máy tính client không cần thiết phải đặt cố định một địa chỉ mà chỉ cần xác định một dải địa chỉ cho nó. Dải địa chỉ này thường là một subnet IP. Một máy tính nằm trong subnet có thể được phân phối bất kì địa chỉ nào nằm trong subnet đó.
3.5.1.1. Chia địa chỉ mạng với NAT và PAT
3.5.1.1.1. Địa chỉ riêng
1 địa chỉ lớp A: 10.0.0.0/8.
16 địa chỉ lớp B: 172.16.0.0 – 172.31.255.255 (172.16.0.0/12).
256 địa chỉ lớp C: 192.168.0.0-192.168.255.255 (192.168.0.0/16).
Những địa chỉ trên chỉ dùng cho mạng riêng, mạng nội bộ. Các gói dữ liệu có địa chỉ như trên sẽ không định tuyến được trên Internet.Địa chỉ Internet công cộng phải được đăng ký với một công ty có thẩm quyền Internet, ví dụ như American Registry for Internet Numbers (ARIN) hoặc Réseaux IP Européens (RIPE) và The Regional Internet Registry phụ trách khu vực Châu Âu và Bắc Phi. Địa chỉ IP công cộng còn có thể được thuê từ một nhà cung cấp dịch vụ Internet (ISP). Địa chỉ IP riêng được dành riêng và có thể được sử dụng bởi bất kỳ ai. Điều này có nghĩa là có thể có 2 mạng hoặc 2 triệu mạng sử dụng cùng một địa chỉ mạng riêng. Router trên Internet sẽ không định tuyến các địa chỉ RFC 1918.ISP cấu hình Router biên ngăn không cho các lưu lượng của địa chỉ riêng được phát ra ngoài.
NAT mang đến rất nhiều lợi ích cho các công ty và Internet. Trước đây, khi không có NAT, một máy tính không thể truy cập Internet với địa chỉ riêng. Bây giờ, sau khi có NAT, các công ty có thể cấu hình địa chỉ riêng cho một hoặc tất cả các máy tính và sử dụng NAT để truy cập Internet.
3.5.1.1.2. Giới thiệu NAT và PAT
NAT được thiết kế để tiết kiệm địa chỉ IP và cho phép mạng nội bộ sử dụng địa chỉ IP riêng. Các địa chỉ IP riêng sẽ được chuyển đổi sang địa chỉ công cộng định tuyến được bằng cách chạy phần mềm NAT đặc biệt trên thiết bị mạng. Điều này giúp cho mạng riêng càng được tách biệt và giấu được địa chỉ IP nội bộ.
NAT thường được sử dụng trên Router biên của mạng một cửa. Mạng một cửa là mạng chỉ có một kết nối duy nhất ra bên ngoài. Khi một host nằm trong mạng một cửa muốn truyền dữ liệu cho một host nằm bên ngoài nó sẽ truyền gói dữ liệu đến Router biên. Router biên sẽ thực hiện tiến trình NAT, chuyển đổi địa chỉ riêng của host nguồn sang một địa chỉ công cộng định tuyến được. Trong thuật ngữ NAT, mạng nội bộ có nghĩa là tập hợp các địa chỉ mạng cần chuyển đổi địa chỉ. Mạng bên ngoài là tất cả các địa chỉ khác còn lại.
Cisco định nghĩa các thuật ngữ NAT như sau:
Địa chỉ cục bộ bên trong (Inside local address): là địa chỉ được phân phối cho các host bên trong mạng nội bộ. Các địa chỉ này thường không phải là địa chỉ được cung cấp bởi InterNIC (Internet Network Information Center) hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này thường là địa chỉ riêng RFC 1918.
Địa chỉ toàn cục bên trong (Inside global address): là địa chỉ IP hợp pháp được cung cấp bởi InterNIC hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này đại diện cho một hoặc nhiều địa chỉ nội bộ bên trong đối với thế giới bên ngoài.
Địa chỉ cục bộ bên ngoài (Outside local address): là địa chỉ riêng của host nằm bên ngoài mạng nội bộ.
Địa chỉ toàn cục bên ngoài (Outside global address): là địa chỉ công cộng hợp pháp của host nằm bên ngoài mạng nội bộ.
Hình 3.40b. Host nội bộ 10.0.0.3 muốn gửi gói dữ liệu cho một host nằm ngoài 128.23.2.2. Gói dữ liệu được gửi tới router biên RTA.
Hình 3.40c. RTA nhận thấy gói dữ liệu này đươc gửi ra ngoài internet nên nó thực hiên tiến trình NAT, chuyến đổi địa chỉ nguồn 10.0.0.3 thành địa chỉ công cộng là 179.9.8.80. Sau khi thực hiện NAT xong, gói dữ liệu từ RTA đi ra sẽ có địa chỉ nguồn là một địa chỉ công cộng hợp pháp 179.9.8.80.
Hình 3.40d. Sau đó server 128.23.2.2 có thể gửi lại một gói trả lời. Khi đó gói trả lời sẽ có địa chỉ đích là 179.9.8.80.
Hình 3.40e. RTA nhận thấy gói dữ liệu này được gửi từ bên ngoài vào trong mạng nội bộ. RTA sẽ tìm trong bảng NAT để ánh xạ từ địa chỉ đích công cộng sang địa chỉ riêng tương ứng. Sau khi thực hiên NAT xong, gói dữ liệu từ RTA phát vào trong mạng nội bộ sẽ có địa chỉ đích là địa chỉ riêng của host đích 10.0.0.3.
Xét ví dụ hình 1.1.2.b, đối với RTA:
Địa chỉ nội bộ bên trong là 10.0.0.3.
Địa chỉ toàn cục bên trong là: 179.9.8.80.
Địa chỉ toàn cục bên ngoài là: 128.23.2.2.
3.5.1.1.3. Các đặc điểm của NAT và PAT
Chuyển đổi NAT rất hữu ích cho nhiều mục đích khác nhau và có thể chuyển đổi động hoặc cố định. NAT cố định được thiết kế để ánh xạ một-một, từ một địa chỉ nội bộ sang một địa chỉ công cộng tương ứng duy nhất. Điều này rất tốt đối với những host cần phải có địa chỉ nhất định để truy cập từ Internet. Những host này có thể là các server toàn hệ thống hoặc các thiết bị mạng.
NAT động được thiết kế để ánh xạ một địa chỉ IP riêng sang một địa chỉ công cộng một cách tự động. Bất kỳ địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định trước đều có thể được gán cho một host bên trong mạng. Overloading hoặc PAT có thể ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ IP công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port.
PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển đổi. Số port được mã hóa 16 bit. Do đó có tới 65.536 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng. Thực tế thì số lượng port có thể gán cho một địa chỉ IP là khoảng 4000 port. PAT sẽ cố gắng giữ nguyên số port nguồn ban đầu. Nhưng nếu số port này đã bị sử dụng thi PAT sẽ lấy số port còn trống đầu tiên trong các nhóm port 0-511, 512-1023, 1024-65535.
Khi không còn số port nào còn trống và vẫn còn địa chỉ IP công cộng khác đã được cấu hình thì PAT sẽ chuyển sang địa chỉ IP công cộng kế tiếp và bắt đầu xác định số port nguồn như trên. Quá trình này sẽ được thực hiện cho đến khi nào hết số port và địa chỉ IP công cộng còn trống.
Hình 3.41a. Host 10.0.0.3 gửi gói dữ liệu ra internet. Trong gói dữ liệu này, địa
chỉ IP nguồn là 10.0.0.3, port là 1444
Hình 3.41b. Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.3 sang địa
chỉ 179.9.8.80, port nguồn vẫn giữ nguyên là 1444.
Hình 3.41c: Bây giờ Host 10.0.0.4 cũng gửi gói dữ liệu ra internet với địa chỉ
nguồn là 10.0.0.4, port nguồn là 1444
Hình 3.41d. Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.4 sang 179.9.8.80. Port nguồn là 1444 lúc này phải đổi sang 1445. Như vậy theo như bảng NAT trong hình ta thấy địa chỉ công cộng 179.9.8.80: 1444 là tương ứng với 10.0.0.3:1444, 179.9.8.80:1445 tương ứng với 10.0.0.4:1444. Bằng cách sử dụng kết hợp với số port như vậy, PAT có thể ánh xạ một địa chỉ IP công cộng cho nhiều địa chỉ riêng bên trong.
NAT cung cấp những lợi điểm sau:
Không cần phải gán địa chỉ IP mới cho từng host khi thay đổi sang một ISP mới. Nhờ đó có thể tiết kiệm được thời gian và tiền bạc.
Tiết kiệm địa chỉ thông qua ứng dụng ghép kênh cấp độ port. Với PAT, các host bên trong có thể chia sẻ một địa chỉ IP công cộng để giao tiếp với bên ngoài. Với cách cấu hình này, chúng ta cần rất ít địa chỉ công cộng, nhờ đó có thể tiết kiệm địa chỉ IP.
Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên trong ra ngoài.
3.5.1.1.4. Cấu hình NAT và PAT
a. Chuyển đổi cố định
Để cấu hình chuyển đổi cố định địa chỉ nguồn bên trong, chúng ta cấu hình các bước như sau:
Bước
Thực hiện
Ghi chú
1
Thiết lập mối quan hệ chuyển đổi giữa địa
chỉ nội bộ bên trong và địa chỉ đại diện
bên ngoài
Router (config) # ip nat inside source static local-ip global-ip
Trong chế độ cấu hình toàn
cục, ta dùng câu lệnh no ip nat inside source static để xóa sự chuyển đổi địa chỉ cố định.
2
Xác định cổng kết nối vòa mạng bên
trong.
Router (config) # interface type number
Sau khi gõ lệnh interface,
dấu nhắc của dòng lệnh sẽ
chuyển từ (config) # sang
(config-if) #
3
Đánh dấu cổng này là cổng kết nối vào
mạng nội bộ bên trong.
Router (config-if) # ip nat inside
4
Thoát khỏi chế độ cấu hình cổng hiện tại.
Router (config-if) # exit
5
Xác định cổng kết nối ra mạng công cộng
bên ngoài.
Router (config) # interface type number
6
Đánh dấu cổng này là cổng kết nối ra
mạng công cộng bên ngoài.
Router (config-if) # ip nat outside
b. Chuyển đổi động
Để Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như sau:
Bước
Thực hiện
Ghi chú
1
Xác định dải địa chỉ đại diện bên ngoài
Rourter (config) # ip nat pool name start-ip
end-ip [netmask netmask /prefix-length
prefix-length]
Trong chế độ cấu hình
toàn cục, gõ lệnh no ip
nat pool name để xóa dải
địa chỉ đại diên bên ngoài.
2
Thiết lập ACL cơ bản cho phép những địa
chỉ nội bộ bên trong nào được chuyển đổi.
Router (config) # access-list access-list-
number permit source [source-wildcard]
Trong chế độ cấu hình
toàn cục, gõ lệnh no
access-list access-list-
number để xóa ACL đó.
3
Thiết lập mối liên quan giữa địa chỉ nguồn
đã được xác định trong ACL ở bước trên với
dải địa chỉ đại diện bên ngoài:
Router (config) # ip nat inside source list
access-list-number pool name
Trong chế độ cấu hình
toàn cục, gõ lênh no ip
nat inside source để xóa
sự chuyển đổi động này
4
Xác định cổng kết nối vào mạng nội bộ
Router (config) # interface type number
interface, dấu nhắc của
dòng lệnh sẽ chuyển đổi
từ config sang (config-if)#
5
Đánh dấu cổng này là cổng kết nối vào mạng
nội bộ.
Router (config-if) # ip nat inside
6
Thóat khỏi chế độ cổng hiện tại.
Router (config) # exit
7
Xác định cổng kết nối ra bên ngoài.
Router (config) # interface type number
8
Đánh dấu cổng này là cổng kết nối ra bên
ngoài.
Router (config) # ip nat outside
Danh sách điều khiển truy cập (ACL – Access Control List) cho phép khai báo những địa chỉ nào được chuyển đổi. Ta nên nhớ là kết thúc một ACL luôn có câu lệnh ẩn cấm tuyệt đối để tránh những kết quả không dự tính được khi một ACL có quá nhiều điều kiện cho phép. Cisco
Các file đính kèm theo tài liệu này:
- Tìm Hiểu Và Thiết Kế Mạng Máy Tính.doc