Cấu hình Static NAT trên bộ định tuyến Router Cisco

Cấu hình NAT tĩnh (Static NAT)

NAT có thể được thực hiện cả tĩnh và động. NAT tĩnh chỉ đơn giản là ánh xạ một địa chỉ IP riêng thành một địa chỉ IP công cộng duy nhất và đây là NAT mà chúng ta đang thảo luận trong phần này.

Một bộ định tuyến Cisco Router thực hiện NAT chia nó thành bên trong (inside) và bên ngoài (outside). Thông thường, bên trong là một doanh nghiệp, và bên ngoài là Internet công cộng. Ngoài khái niệm bên trong và bên ngoài, bộ định tuyến NAT của Cisco phân loại địa chỉ là cục bộ (local) hoặc toàn cầu (global).

Địa chỉ cục bộ (local) là địa chỉ được các thiết bị bên trong nhìn thấy và địa chỉ toàn cầu (global) là địa chỉ được các thiết bị bên ngoài nhìn thấy. Với bốn thuật ngữ này, địa chỉ có thể là một trong bốn loại:

1. Địa chỉ cục bộ bên trong (Inside local addresses) được gán cho các thiết bị bên trong. Những địa chỉ này không được quảng cáo ra bên ngoài.

2. Địa chỉ toàn cầu bên trong (Inside global) là những địa chỉ mà bên trong các thiết bị được biết đến với bên ngoài.

3. Bên ngoài cục bộ (Outside local) là các địa chỉ mà các thiết bị bên ngoài được biết đến bên trong.

4. Địa chỉ toàn cầu bên ngoài (Outside global) được gán cho các thiết bị bên ngoài. Những địa chỉ này không được quảng cáo cho bên trong.

Chúng ta hãy chuyển ngay sang cấu hình NAT tĩnh trên bộ định tuyến Cisco Router như thể hiện trong Hình bên dưới:

​

R1 là bộ định tuyến thực hiện dịch địa chỉ mạng (NAT) và có hai giao diện: Fa0 / 0 ở bên trong và Fa0 / 1 ở bên ngoài. Các địa chỉ IP cụ thể có liên quan là:

​

Bạn có thể biết rất rõ cách cấu hình địa chỉ IP trên giao diện bộ định tuyến, vì vậy ta bỏ qua các bước cấu hình đó. Đầu tiên, chúng ta phải gán Fa0 / 0 làm NAT bên trong giao diện và Fa0 / 1 làm NAT bên ngoài giao diện trên R1. Điều này sẽ cho bộ định tuyến biết rằng lưu lượng truy cập vào hoặc ra hai giao diện này sẽ phụ thuộc vào dịch địa chỉ.

R1#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface Fa0/0
R1(config-if)#ip nat inside
R1(config-if)#interface Fa0/1
R1(config-if)#ip nat outside
R1(config-if)#end

Bây giờ chúng ta sẽ cho bộ định tuyến biết cách thực hiện dịch địa chỉ và đề cập đến địa chỉ IP nào (nguồn hoặc đích) để ghi lại trong các gói di chuyển giữa giao diện bên trong và bên ngoài.

R1(config)#ip nat inside source static 192.168.1.2 89.203.12.47

Ở đây, chúng ta đang yêu cầu bộ định tuyến thực hiện NAT trên các gói đi vào bộ định tuyến trên giao diện bên trong Fa0 / 0. Cụ thể hơn, bộ định tuyến sẽ xác định gói nào trong số các gói này có địa chỉ IP nguồn là 192.168.1.2 và sẽ thay đổi nó thành 89.203.12.47 trước khi chuyển tiếp gói ra giao diện bên ngoài Fa0 / 1. Tương tự, các gói trả về đến ở giao diện bên ngoài Fa0 / 1 sẽ trải qua quá trình dịch địa chỉ IP đích.

Bây giờ chúng ta hãy xác minh xem NAT có thực sự hoạt động như nó được cho là hoạt động hay không. Có một số lệnh Cisco IOS rất hữu ích có thể được sử dụng để làm điều đó. Lệnh show ip nat statistics thống kê hiển thị số lượng bản dịch NAT tĩnh và động, giao diện bên trong và bên ngoài, và số lần truy cập và bỏ lỡ.

R1#show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Hits: 0 Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
Appl doors: 0
Normal doors: 0
Queued Packets: 0

Lệnh hiển thị show ip nat translations hiển thị địa chỉ IP cho bản dịch NAT.

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

— 89.203.12.47 192.168.1.2 — —

Như bạn thấy trong đầu ra ở trên, chúng ta có một mục nhập NAT được cấu hình với địa chỉ Inside global 89.203.12.47 và địa chỉ Inside local 192.168.1.2 được chỉ định. Địa chỉ cục bộ bên ngoài (Outside local) và địa chỉ toàn cầu Bên ngoài (Outside global) đều trống vì cấu hình NAT của chúng tôi không thay đổi các địa chỉ đó.

Bây giờ chúng ta hãy truy cập PC và ping Máy chủ trước khi chạy lại lệnh show ip nat translations để xem nó có tạo ra sự khác biệt nào không.

R1#show ip nat statistics

Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Hits: 10 Misses: 0
CEF Translated packets: 10, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
Appl doors: 0
Normal doors: 0
Queued Packets: 0

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 89.203.12.47:1 192.168.1.2:1 202.14.35.28:1 202.14.35.28:1

— 89.203.12.47 192.168.1.2 — —

Như bạn có thể thấy trong đầu ra ở trên, NAT đang hoạt động như được biểu hiện bằng sự xuất hiện của một mục nhập động bổ sung cho giao thức ICMP và một số lần truy cập bổ sung, tương ứng với nỗ lực ping từ PC đến Máy chủ.

Chúng ta vừa định cấu hình và xác minh một kịch bản NAT đơn giản chỉ dịch địa chỉ IP nguồn hoặc đích (không phải cả hai cùng một lúc) của các gói di chuyển giữa các giao diện bên trong và bên ngoài.

Loại cấu hình NAT này được gọi là NAT tĩnh vì một địa chỉ IP cục bộ bên trong (inside local IP address) được ánh xạ tĩnh tới một địa chỉ IP cục bộ bên ngoài (outside local IP address).

Một tính năng quan trọng khác của NAT là static Port Address Translation (PAT). Static PAT được thiết kế để cho phép ánh xạ 1-1 giữa các địa chỉ cục bộ và địa chỉ toàn cầu.

Cách sử dụng phổ biến của Static PAT là cho phép người dùng Internet từ mạng công cộng truy cập vào một máy chủ Web nằm trong mạng riêng.

Giả sử chúng ta dự định lưu trữ một máy chủ Web ở bên trong trên cùng một PC, có địa chỉ IP 192.168.1.2. Dòng cấu hình sau sẽ cho phép chúng ta thực hiện điều đó:

R1(config)#ip nat inside source static tcp 192.168.1.2 80 89.203.12.47 80

Dòng cấu hình này thực hiện dịch địa chỉ tĩnh cho máy chủ Web. Với dòng cấu hình này, người dùng cố gắng truy cập 89.203.12.47 cổng 80 (www) sẽ tự động được chuyển hướng đến 192.168.1.2 cổng 80 (www). Trong trường hợp này, 192.168.1.2 là địa chỉ IP của PC cũng là máy chủ Web.

Cấu hình này có thể được xác minh bằng hai lệnh xác minh NAT giống nhau trên Router Cisco :

show ip nat translations và show ip nat statistics.

Lưu ý: địa chỉ 89.203.12.47 với số cổng 80 (HTTP) chuyển thành 192.168.1.2 cổng 80 và ngược lại. Do đó, người dùng Internet có thể duyệt máy chủ Web mặc dù máy chủ Web nằm trên mạng riêng với địa chỉ IP riêng.

Chi tiết xem tại: Cấu hình NAT, PAT trên thiết bị định tuyến Router Cisco