KHi min`h cau hi`nh mot cai' NAT, mi`nh su*? du.ng dia chi IP cua?
interface cua? Router la`m La`m NAT pool address luon thi` kho^ng biet
co bi. sao ko??? xin ca'c cao thu? chi? gia'o du`m

Vấn đề của bạn hỏi có phải là bạn chỉ có 1 địa chỉ IP public được gán cho cổng WAN của Router, nhưng bạn muốn mạng riêng của bạn vẫn có thể truy nhập Internet có phải không?
Sử dụng NAT overloading với chính địa chỉ IP của Router vẫn được. Tôi đã cấu hình và chạy thử mô hình như vậy, thấy chạy tốt.

Cám ơn anh Tuấn gia nhiều. :P

có thể sử dụng kỹ thuật IP unnumber để mượn IP của cổng ethernet cho serial, sau đó cài 1 phần mềm proxy-firewall như ISA để cho phép truy cập internet,publish các server bên trong ra ngoài

Cấu hình NAT động và PAT

Cũng giống như cấu hình NAT tĩnh, cấu hình NAT động bắt đầu bằng cách chỉ ra cổng bên trong và cổng bên ngoài. Thêm vào đó, tập hợp các địa chỉ Inside Loval được cấu hình bằng lệnh ip nat inside. Nếu bạn đang cấu hình một dãy các địa chỉ công cộng, tập hợp các địa chỉ này được định nghĩa bằng lệnh ip nat pool.

Ví dụ dưới đây mô tả một cấu hình NAT động. Ví dụ này định nghĩa một dãy gồm 256 địa chỉ cục bộ bên trong và hai địa chỉ toàn cục Inside Global.

Đầu tiên, lệnh ip nat pool vnpro liệt kê một dãy các địa chỉ IP. Lệnh

ip nat inside source list 1 pool vnpro

tham chiếu đến ACL 1 như là địa chỉ Inside Local, tham chiếu đến tên của dãy địa chỉ.

interface Ethernet0/0
ip address 10.1.1.3 255.255.55.0
ip nat inside
!
interface Serial0/0
ip address 200.1.1.251 255.255255.0
ip nat outside
!
ip nat pool vnpro 200.1.1.1 200.1.1.254 netmask 255.255.255.0
ip nat inside source list 1 pool vnpro
!
access-list 1 permit 10.1.1.0 0.0.0.255

Kế tiếp, bảng NAT bắt đầu bằng một bảng trống, bởi vì không có phiên nào đã được tạo ra ở thời điểm đó.

NAT# show ip nat translations

Ban đầu lệnh trên không cho ra một kết quả nào. Các thông kế NAT hiển thi rằng không có các hiện tượng dò trúng (hit) hoặc trượt (miss) một phiên có sẵn trong bảng NAT. Hiện tượng hit xảy ra khi NAT tìm kiếm một bảng ánh xạ và tìm thấy một hàng. Hiện tượng miss xảy ra khi NAT tìm kiếm một hàng trong bảng NAT nhưng không tìm thấy và cần phảI thêm vào.

NAT# show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
Ethernet0/0
Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
access-list 1 pool fred refcount 0
pool fred: netmask 255.255.255.252
start 200.1.1.1 end 200.1.1.254
type generic, total addresses 2, allocated 0 (0%), misses 0

Ở thời điểm này, một phiên telnet từ địa chỉ nguồn 10.1.1.1 đến 170.1.1.1 bắt đầu. NAT bắt đầu được kích hoạt.

Dưới đây, một “miss” có nghĩa là gói tin đầu tiên từ địa chỉ 10.1.1.2 không có một hàng nào so trùng trong bảng NAT và gói tin đó kích hoạt NAT để thêm một entry vào bảng NAT. Máy 10.1.1.2 đã gửi thêm 69 gói tin, được ghi chú như “hits” bởi vì đã có một hàng trong bảng NAT.

NAT# show ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
Ethernet0/0
Hits: 69 Misses: 1
Expired translations: 0
Dynamic mappings:
-- Inside Source
access-list 1 pool fred refcount 1
pool fred: netmask 255.255.255.0
start 200.1.1.1 end 200.1.1.2
type generic, total addresses 2, allocated 1 (50%), misses 0
! The dynamic NAT entry is now displayed in the table.

NAT# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 200.1.1.1 10.1.1.2 --- ---

Cấu hình dưới đây dùng PAT thông qua thông số quá tải overload. Ta có thể dùng lệnh ip nat inside source list 1 interface s0/0 overload để thay thé, dùng một địa chỉ thật duy nhất.

NAT(config)# no ip nat inside source list 1 pool vnpro
NAT(config)# ip nat iside source list 1 pool vnpro overload

Để kiểm tra, các hàng NAT sẽ được xóa sau khi thay đổi cấu hình NAT. Trước khi lệnh kế tiếp được thực thi, máy 10.1.1.1 đã tạo ra hai phiên telnet và máy 10.1.1.2 đã tạo ra thêm một kết nối TCP.

NAT# clear ip nat translations *

Trước khi lệnh kế tiếp show ip nat trans được thực thi, máy 10.1.1.1 đã tạo ra hai phiên Telnet, và máy 10.1.1.2 tạo ra thêm một phiên TCP. Chú ý rằng cả ba phiên làm việc này dùng địa chỉ chung là 200.1.1.1.

NAT# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 200.1.1.1:3212 10.1.1.1:3212 170.1.1.1:23 170.1.1.1:23
tcp 200.1.1.1:3213 10.1.1.1:3213 170.1.1.1:23 170.1.1.1:23
tcp 200.1.1.1:38913 10.1.1.2:38913 170.1.1.1:23 170.1.1.1:23

Vậy, ta có thể tạo ra một dãy địa chỉ trong đó địa chỉ của cổng outside có thể nằm trong dãy địa chỉ này.

các anh cho em hỏi ?
trong nat pool thì pool được gán cho một ip range. Thế giả sử mình gán một IP range nào đó mà mình ko sở hữu (có thể đã tồn tại trên internet). Nếu thế thì NAT có chạy ko ạ ?
nếu chạy thì sẽ có 2 IP giống nhau trên Internet ?

thanks

batigol

hi

NAT vẫn chạy nhưng gói tin của em sẽ bị drop.

hi

NAT vẫn chạy nhưng gói tin của em sẽ bị drop.

Em ko hiểu lắm ?

làm thể nào mà destination Node có thể phân biệt được packet nào là hợp lệ để allow or drop, khi mà hai packet có cung source IP ?
anh giải thích cẵn cẽ giùm em.
thanks anh.

thanks

batigol

Destination node hoàn toàn không biết (và cũng không quan tâm) đến việc có nhiều nodes trùng địa chỉ IP trên Internet. Nó chỉ đơn thuần gửi gói tin trả lời và việc truyền gói tin sẽ do routing trên Internet đảm trách.
Như vậy, trong tình huống bạn nêu ra, sẽ có kết quả sau:

1. gói tin từ source (host A) trên network của bạn sẽ đến destination (host B)

2. gói tin trả lời từ host B sẽ đến host C trên Internet có địa chỉ mà bạn đã config trong lệnh NAT/PAT. Host C này sẽ drop gói tin này vì bản thân nó đâu có yêu cầu đâu :)

3. Host A không nhận được gói tin trả lời từ host B và điều đó cũng đồng nghĩa với việc session không thể thiết lập.

Nếu việc này xảy ra thường xuyên và dồn dập thì có thể được xem là 1 dạng tấn công từ chối dịch vụ cho host C.