• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Hỏi về vấn đề NAT-PAT ?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Hỏi về vấn đề NAT-PAT ?

    Chào tất cả,
    Mình có mô hình mạng basic như sao Sw-----RouterCisco 1800-----Convert quang----Internet.



    Config router như sau để user bên trong ra internet (Nat overload):
    // config nat insite cho interface bên trong mạng LAN
    router(config)#int f0/0
    router(config-if)# ip add 192.168.1.1 255.255.255.0
    router(config-if)#no shut
    router(config)#ip nat insite
    // config nat outsite cho interface bên ngoài
    router(config)#int f0/1
    router(config-if)# ip add 123.20.55.201 255.255.255.248
    router(config-if)#no shut
    router(config)#ip nat outsite
    // config nat overload
    router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    router(config)#ip nat pool IPTINH 123.30.95.60 123.30.95.65 netmask 255.255.255.248
    router(config)#ip nat insite source list 1 pool IPTINH overload


    (ip chi mang tinh minh hoa, khong dung that)
    Ip mình bôi đỏ là ip tinh nhà cung cap dich vu cấp. Nhưng mình vẫn chưa hiểu rõ chỗ cấu hình đó. Mong các bạn giải thích. Ip đó khác với ip tĩnh ở int f0/1 ở chỗ nào?

    Mình có nhu cầu Nat inbound để các máy trên internet có thể truy cập vào máy local bên trong (web, mail.....). Ví dụ: Khi máy bên ngoài gõ địa chỉ ip public tĩnh http://123.30.95.61:8080 hoặc http://123.30.95.61:8081 thì nó sẽ forward đến máy 192.168.1.200 or 192.168.1.201
    Mình không rành về cisco nên rất mong được các pro chỉ dẫn. Thanks !!

  • #2
    // config nat overload
    router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    router(config)#ip nat pool IPTINH 123.30.95.60 123.30.95.65 netmask 255.255.255.248
    router(config)#ip nat insite source list 1 pool IPTINH overload
    Trong thực tế không ai lại dùng lãng phí dải địa chỉ ip public như trên cả. Trong phần này để mạng nội bộ truy cập ra internet. bạn chỉ cần cấu hình overload theo interface outside, ko cần dùng đến dải ip public 123.30.95.60 - 123.30.95.65. Cấu hình như sau:

    // config nat overload
    router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    router(config)#ip nat insite source list 1 interface fa0/1 overload

    Mình có nhu cầu Nat inbound để các máy trên internet có thể truy cập vào máy local bên trong (web, mail.....). Ví dụ: Khi máy bên ngoài gõ địa chỉ ip public tĩnh http://123.30.95.61:8080 hoặc http://123.30.95.61:8081 thì nó sẽ forward đến máy 192.168.1.200 or 192.168.1.201
    .

    Đến phần này bạn mới cần dùng đến dải ip public 123.30.95.60 - 123.30.95.65. Bạn tiến hành NAT tĩnh như sau:


    Router(config)#ip nat inside source static tcp 192.168.1.200 8080 123.30.95.61 8080
    Router(config)#ip nat inside source static tcp 192.168.1.200 8081 123.30.95.61 8081
    Router(config)#ip nat inside source static udp 192.168.1.200 8081 123.30.95.61 8081
    Nhiệt tình + Không biết >> Phá hoại

    Comment


    • #3
      Cám ơn bạn nhiều !!!
      Ở phần NAT tĩnh mình muốn xác định rõ thêm chút nữa. Nhu cầu là trong mạng local có các máy sau : 192.168.1.200, 192.168.1.201, 192.168.1.202 và mình có chỉ cấp 1 ip tĩnh là 123.30.95.61
      Khi ở bên ngoài truy cập với địa chỉ sau :
      - http://123.30.95.61:8080 thì sẽ vào máy 192.168.1.200
      - http://123.30.95.61:8081 thì sẽ vào máy 192.168.1.201
      - http://123.30.95.61:8082 thì sẽ vào máy 192.168.1.202
      Vậy mình sẽ config như sau:

      Router(config)#ip nat inside source static tcp 192.168.1.200 8080 123.30.95.61 8080
      Router(config)#ip nat inside source static tcp 192.168.1.201 8081 123.30.95.61 8081
      Router(config)#ip nat inside source static tcp 192.168.1.202 8082 123.30.95.61 8082

      Như vậy đúng không bạn? Vì mình dùng chương trình giả lập, bị thiếu lệnh nên mình không test được ?? :D
      Thanks bạn nhiều :)

      Comment


      • #4
        Ở phần NAT tĩnh mình muốn xác định rõ thêm chút nữa. Nhu cầu là trong mạng local có các máy sau : 192.168.1.200, 192.168.1.201, 192.168.1.202 và mình có chỉ cấp 1 ip tĩnh là 123.30.95.61
        Khi ở bên ngoài truy cập với địa chỉ sau :
        - http://123.30.95.61:8080 thì sẽ vào máy 192.168.1.200
        - http://123.30.95.61:8081 thì sẽ vào máy 192.168.1.201
        - http://123.30.95.61:8082 thì sẽ vào máy 192.168.1.202
        Vậy mình sẽ config như sau:

        Router(config)#ip nat inside source static tcp 192.168.1.200 8080 123.30.95.61 8080
        Router(config)#ip nat inside source static tcp 192.168.1.201 8081 123.30.95.61 8081
        Router(config)#ip nat inside source static tcp 192.168.1.202 8082 123.30.95.61 8082

        Như vậy đúng không bạn?
        Bạn cần thêm 1 nat tĩnh nữa vì port 8081 chay trên cả tcp và udp >> như vậy là okie
        Router(config)#ip nat inside source static tcp 192.168.1.200 8080 123.30.95.61 8080
        Router(config)#ip nat inside source static tcp 192.168.1.201 8081 123.30.95.61 8081
        Router(config)#ip nat inside source static udp 192.168.1.201 8081 123.30.95.61 8081
        Router(config)#ip nat inside source static tcp 192.168.1.202 8082 123.30.95.61 8082
        Nhiệt tình + Không biết >> Phá hoại

        Comment


        • #5
          Mình xin hỏi thêm vấn đề nữa là cách mở port trên router cisco ( ví dụ mở các port trên 8080,8081.....). Mình đang gấp nên phiền bạn. Mình vẫn đang search trên google. Thanks bạn nhiều

          Comment


          • #6
            Originally posted by mrroit View Post
            Mình xin hỏi thêm vấn đề nữa là cách mở port trên router cisco ( ví dụ mở các port trên 8080,8081.....). Mình đang gấp nên phiền bạn. Mình vẫn đang search trên google. Thanks bạn nhiều
            Bạn cần nói rõ là mở port nhằm mục đích j ? để người dùng internet chỉ truy cập vào các server nat tĩnh với port nat tương ứng và người dùng trong mạng nội bộ vẫn truy cập ra internet bình thường or j j đó.
            Ở đây mình ví dụ như trường hợp mình nêu ở trên, nghĩa là người dùng internet chỉ truy cập vào các server nat tĩnh với port nat tương ứng và người dùng trong mạng nội bộ vẫn truy cập ra internet bình thường

            Router(config)#access-list 101 permit tcp host 192.168.1.200 any eq 8080
            Router(config)#access-list 101 permit tcp host 192.168.1.201 any eq 8081
            Router(config)#access-list 101 permit udp host 192.168.1.201 any eq 8081
            Router(config)#access-list 101 deny ip host 192.168.1.200 any
            Router(config)#access-list 101 deny ip host 192.168.1.201 any
            Router(config)#access-list 101 permit ip any any
            Router(config)#access-list 101 permit icmp any any
            Router(config)#interface fa0/0
            Router(config-if)#ip access-group 101 in
            Router(config-if)#exit
            Nhiệt tình + Không biết >> Phá hoại

            Comment


            • #7
              Cám ơn bạn đã chỉ dẫn nhiệt tình. Nhu cầu của mình là đã cấu hình Nat overload cho các user bên trong ra được internet. Nay phát sinh thêm một số máy nội bộ bên trong ( hệ thống camera) cần public để các user trên internet có thể truy cập vào. Mình đã lên canyouseeme.org check thì trên router có mở port 80 và 443, còn 8080,8081...và các port khác đều đã block. Router này đã có người cấu hình trước, mình chỉ nhận cấu hình thêm để Nat inbound cho các user internet truy cập vào hế thống camera. Thanks. :)

              Comment


              • #8
                Đây là cấu hình router hiện tại: (ip chi mang tính minh họa)

                interface FastEthernet0/0
                description Connect To ISP(VDC)
                ip address 123.43.67.202 255.255.255.248

                ip nat outside
                ip virtual-reassembly
                duplex auto
                speed auto
                !
                interface FastEthernet0/1
                description Connect Your LAN
                ip address 192.168.1.1 255.255.255.0
                ip nat inside
                ip virtual-reassembly
                duplex auto
                speed auto
                !
                ip forward-protocol nd
                ip route 0.0.0.0 0.0.0.0 123.43.67.201
                !
                !
                ip http server
                no ip http secure-server
                ip nat pool LAN 124.30.96.92 124.30.96.98 netmask 255.255.255.248
                ip nat inside source list 1 pool LAN overload
                !
                access-list 1 permit 192.168.1.0 0.0.0.255
                !
                !
                !
                !
                !
                !
                control-plane
                !
                !
                !
                line con 0
                line aux 0
                line vty 0 4
                password 7 121A5404115B
                login
                !
                scheduler allocate 20000 1000



                Khi check trên canyouseeme.org thì nó nhận ip public tĩnh là 124.30.96.98, mặc dù được isp cấp cho 1 dãy IP tĩnh. Thật sự mình không hiểu lắm về câu lệnh cấu hình này (ip nat pool LAN 124.30.96.92 124.30.96.98 netmask 255.255.255.248 ) . Và ip tĩnh mình NAT cho máy nội bộ là ip thuộc trong dãy đó. Nhu cầu cần Nat như trên. Bạn có thể hướng dẫn mình hướng để config không? Cám ơn bạn nhiều. :)

                Comment


                • #9
                  Mình thấy trên thiết bị router của bạn chỉ dùng để PAT overload và định tuyến, không làm nhiệm vụ PAT tĩnh, cũng như mở port như bạn nói >> Bạn kiểm tra lại xem thiết bị mạng nào làm chức năng này.

                  Thật sự mình không hiểu lắm về câu lệnh cấu hình này (ip nat pool LAN 124.30.96.92 124.30.96.98 netmask 255.255.255.248 ) .
                  Câu lệnh trên định nghĩa những ip public nào mà mạng LAN 192.168.0.0/24 dùng để NAT khi ra khỏi interface outside của router. Router sẽ sử dụng lần lượt từng địa chỉ 1 theo thứ tự 124.30.96.92 -> 124.30.96.92. Do mỗi địa chỉ ip public có thể cho phép 65,536 địa chỉ mạng nội bộ NAT qua nó >> do vậy mạng của bạn cấu hình như trên là rất lãng phí.
                  Nhiệt tình + Không biết >> Phá hoại

                  Comment


                  • #10
                    Thanks bạn nhiều. Đúng là hiện tại router chỉ config để các máy inside ra mạng internet bằng cách PAT overload và default route ( trỏ gateway về router của ISP). Và mình có nhu cầu NAT tĩnh vào inside ngay trên con router này. Mình sẽ vẽ mô hình và up lên đễ rõ ràng hơn. Cám ơn bạn rất nhiều. Mình chưa cấu hình trên router cisco thiệt bao giờ nên rất nhiều bỡ ngỡ. :)

                    Comment


                    • #11
                      Còn một chỗ này mình muốn hỏi. Int f0/0 có đỉa chỉ ip public, địa chỉ này dùng để kết nối tới router của ISP. Nếu dùng câu lệnh ip nat inside source list 1 int f0/0 overload là cũng có thể ra được internet mà không cần dùng đến địa dãy địa chỉ tĩnh isp cung cấp (124.30.96.92 124.30.96.98). Mình rất mơ hồ ở chỗ này. Với cấu hình hiện tại của router mình thì khi đứng từ internet gõ địa chỉ http://123.43.67.202 (ip int f0/0) thì nó sẽ vào router thông qua giao diện web ( do có config ip http server). Còn nếu gõ địa chỉ http://124.30.96.98 thì nó tự động NAT vào cục quản lý wifi có địa chỉ là 192.168.1.100. Thanks bạn nhiều :)



                      Click image for larger version

Name:	mohinhmang.jpg
Views:	1
Size:	41.7 KB
ID:	205555

                      Comment


                      • #12
                        Còn một chỗ này mình muốn hỏi. Int f0/0 có đỉa chỉ ip public, địa chỉ này dùng để kết nối tới router của ISP. Nếu dùng câu lệnh ip nat inside source list 1 int f0/0 overload là cũng có thể ra được internet mà không cần dùng đến địa dãy địa chỉ tĩnh isp cung cấp (124.30.96.92 124.30.96.98).
                        Đúng rồi đó bạn.

                        Mình rất mơ hồ ở chỗ này. Với cấu hình hiện tại của router mình thì khi đứng từ internet gõ địa chỉ http://123.43.67.202 (ip int f0/0) thì nó sẽ vào router thông qua giao diện web ( do có config ip http server). Còn nếu gõ địa chỉ http://124.30.96.98 thì nó tự động NAT vào cục quản lý wifi có địa chỉ là 192.168.1.100.
                        Điều này chứng tỏ cục wifi của bạn đã được NAT tĩnh tại 1 thiết bị mạng nào đó. Bạn thử kiểm tra tại chính cục wifi xem có thực hiện cấu hình NAT or gán địa chỉ ip public quản trị tại đó ko ?
                        Nhiệt tình + Không biết >> Phá hoại

                        Comment


                        • #13
                          Sorry lại phiền bạn và hỏi thêm một câu nửa :D
                          Bây giờ mình sẽ config lại và cho user ra net thông qua PAT oveload "ip nat inside source list 1 int f0/0 overload". Như vậy user sẽ ra net bằng địa chỉ 123.43.67.202
                          Vậy nếu mình muốn sử dụng pool 124.30.96.92- 124.30.96.98 thì mình sẽ config như thế nào trên router. (đỉa chỉ này isp đã route xuống cho mình và vấn đề mình cần hỏi là mình config như thế nào để sử dũng nó??). Mục đích sử dụng vẫn như trên (Nat tĩnh để sử dụng hệ thống camera).

                          Comment


                          • #14
                            mình muốn sử dụng pool 124.30.96.92- 124.30.96.98 thì mình sẽ config như thế nào trên router. (đỉa chỉ này isp đã route xuống cho mình và vấn đề mình cần hỏi là mình config như thế nào để sử dũng nó??). Mục đích sử dụng vẫn như trên (Nat tĩnh để sử dụng hệ thống camera).
                            Nếu như theo như bản mô tả ở các bài viết ở trên, file cấu hình Router và theo sơ đồ mạng bạn cung cấp >> Trên thiết bị quản lý wifi bạn cũng cấu hình NAT ở đây >> bạn ghi rõ tên sản phẩm của thiết bị quản lý wifi để mình hỗ trợ bạn chính xác :)
                            Nhiệt tình + Không biết >> Phá hoại

                            Comment

                            Working...
                            X