NAT-Network Address Translation

Go down

NAT-Network Address Translation

Post  telecom1988 on Thu Jul 30, 2009 11:45 pm



Last edited by telecom1988 on Fri Jul 31, 2009 1:46 am; edited 1 time in total
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Thu Jul 30, 2009 11:46 pm

NAT TRÊN THIẾT BỊ ROUTER



1. Giới thiệu

NAT (Network Address Translation) là một chức năng của Router, cho phép chuyển dịch từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường NAT được dùng để chuyển dịch từ địa chỉ IP private sang IP public, cho phép các host từ mạng bên trong truy cập đến mạng công cộng (internet). Vị trí thực hiện NAT là nơi (router) kết nối giữa hai mạng.








Địa chỉ private và địa chỉ public


· Địa chỉ private
Được định nghĩa trong RFC 1918
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
· Địa chỉ public
Các địa chỉ còn lại. Các địa chỉ public là các địa chỉ được cung cấp bởi các tổ chức có thẩm quyền

2. Static NAT

Giới thiệu
Static NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ khác, thông thường là từ một địa chỉ nội bộ sang một địa chỉ công cộng và quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ được ánh xạ được chỉ định rõ ràng tương ứng duy nhất.
Static NAT rất hữu ích trong trường hợp những host cần phải có địa chỉ cố định để truy cập từ internet. Những host này có thể là những public server: mail server, web server,....








Cấu hình static - NAT
Các lệnh được sử dụng trong cấu hình Static-NAT:
Router(config)#ip nat inside source static local_ip global_ip
Router(config-if)#ip nat inside
Router(config-if)#ip nat outside
Ý nghĩa các câu lệnh:
- Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và địa chỉ đại diện bên ngoài.
Router(config)#ip nat inside source static local-ip global-ip
- Xác định interface kết nối vào mạng bên trong
Router(config-if)#ip nat inside
- Xác định interface kết nối ra mạng công cộng bên ngoài
Router(config-fi)#ip nat outside
Ví dụ:








Cấu hình trên Router:
Router(config)#ip nat inside sourece static 10.1.1.2 172.69.68.10
Router(config)#interface Ethernet 0
Router(config-if)#ip nat inside
Router(config)#interface serial 0
Router(config-if)#ip nat outside

2. Dynamic NAT

Giới thiệu
Dynamic NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ khác một cách tự động, thông thường là ánh xạ từ một địa chỉ private sang một địa chỉ public. Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng (public) đã được định trước đều có thể được gán cho một host bên trong mạng (private).



Cấu hình Dynamic NAT
- Các câu lệnh dùng trong dynamic NAT
Router(config)#ip nat pool name start_ip end_ip { netmask netmask | prefix-length prefix-length }
Router(config)#access-list access-list-number permit source [source-wildcard]
Router(config)#ip nat inside source list access-number pool pool-name
Ý nghĩa sử dụng của các câu lệnh như sau:
- Xác định dải địa chỉ đại diện bên ngoài (public): các địa chỉ NAT
Router(config)# ip nat pool name start-ip end-ip [netmask netmask/prefix-length prefix-length]
- Thiết lập ACL cho phép những địa chỉ nội bộ bên trong (private) nào được chuyển đổi : các địa chỉ được NAT
Router(config)# access-list access-list-number pertmit source [source-wildcard]
-Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL với dải địa chỉ đại diện ra bên ngoài
Router(config)# ip nat inside source list access-list-number pool name
- Xác định interface kết nối vào mạng nội bộ
Router(config-if)# ip nat inside
- Xác định interface kết nối ra bên ngoài
Router(config-if)#ip nat outside
Ví dụ:





3. NAT Overload



Giới thiệu
NAT Overload là một dạng của Dynamic NAT, nó thực hiện ánh xạ nhiều địa chỉ private thành một địa chỉ public (many – to – one) bằng cách sử dụng các chỉ số port khác nhau để phân biệt từng chuyển dịch. NAT Overload còn có tên gọi là PAT (Port Address Translation).

PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển đổi. Số port được mã hóa 16 bit, do đó có tới 65536 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng.







Cấu hình NAT Overload
- Dạng 1: Sử dụng chung một địa chỉ IP công cộng duy nhất.
Router(config)#access-list access-number permit source source-wildcard
Router(config)#ip nat inside source list access-list-number interface interface overload

- Dạng 2: ISP cung cấp nhiều địa chỉ IP công cộng
Xác định dãy địa chỉ bên trong cần chuyển dịch ra ngoài (private ip addresses range)
Router(config)# access-list access-list-number permit source source-wildcard

Xác định dãy địa chỉ sẽ đại diện ra bên ngoài (public ip addresses pool)
Router(config)# ip nat pool name start-ip end-ip [netmask netmask/prefix-length prefix-length]

Thiết lập chuyển dịch động từ các địa chỉ bên trong thành địa chỉ bên ngoài
Router(config)# ip nat inside source list acl-number pool name overload

Xác định interface inside và outside
Đối với interface inside: router(config-if)#ip nat inside
Đối với interface outside: router(config-if)#ip nat outside
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Cấu hình PAP và CHAP

Post  telecom1988 on Fri Jul 31, 2009 12:01 am

* PAP :
R1------------------R2

+ R1 :
#conf t
#hostname R1
#username R2 password cisco
(lệnh này có ý nghĩa tạo 1 cặp username và password để khi R2 gửi đến thì so sánh để authen)
#int s0
#ip add.........
#encapsulation PPP
#ppp authentication pap ( chọn kiểu authen là pap )
#ppp pap sent-username R1 password cisco
(lệnh này có ý nghĩa là mình gửi cặp username password của chính mình đến router R2 đê authen )
#clock rate.......(nếu là DCE)
#no shut

+R2 :
#conf t
#hostname R2
#username R1 pass cisco
#int s0
#ip add
#encapsulation PPP
#PPP authentication pap
#ppp pap sent-username R2 pass cisco
#no shut

Cấu hình CHAP : 2 route R1 và R2 được kết nối trực tiếp với nhau như trong cấu hình PAP
+ Cấu hình R1 :
#conf t
#hostname R1
#username R2 password cisco
#int s0
#ip add < ip address & subnet mask >
#encapsulation ppp
#ppp authentication chap
#ppp chap hostname R1
#ppp chap password cisco
#clockrate 64000
#no shut
Ctrl+z
#copy run start

+ cấu hình R2 :
#conf t
#hostname R2
#username R1 password cisco
#int s0
#ip add < ip address & subnet mask >
#encapsulation ppp
#ppp authentication chap
#ppp chap hostname R2
#ppp chap password cisco
#clockrate 64000
#no shut
Ctrl+z
#copy run start



Khi cấu hình CHAP:

R1----------------------R2

Mỗi đầu phải có khai báo username và password, username bên R1 phải là tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname"

Quá trình diễn ra xác thực bằng CHAP như sau:

R1:
hostname R1

username R2 password cisco

R2:
hostname R2

username R1 password cisco
username R3 password cisco1

1. R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hashing để mã hóa password (ở đây là cisco), nhưng ko gửi password này đi

2. R2 check danh sách username (nếu cấu hình nhiều username) để tìm ra username nào giống hostname R1 (ở đây là username R1)

3. Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa password tương ứng với username đó (ở đây password là cisco)

4. Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự mã hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này giống nhau thì xác thực thành công.

Không giống như PAP truyền password clear-text, CHAP không truyền password dạng clear-text mà password chỉ được truyền sau khi đã mã hóa.

Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong trường hợp tên hostname và username khác nhau. Theo ví dụ ở trên khi xác thực thì R1 sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco". Phải làm như thế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database username theo quy tắc của họ và không bên nào muốn sửa lại giá trị này. Khi đó nếu ĐV 1 muốn quay số sang ĐV 2 thì phải có lệnh:
"ppp chap hostname <username khai bao ben DV2>"

Còn trong trường hợp người ta chỉ muốn xác thực một chiều. VD như khi thuê bao quay số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao:
"ppp authentication chap callin"
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Lý thuyết NAT

Post  telecom1988 on Fri Jul 31, 2009 12:25 am

Nội dung:

-1-Giới thiệu
-2-Các kỹ thuật NAT cổ điển
* NAT tĩnh
* NAT động
* Masquerading(NAPT)
-3-Các kỹ thuật NAT khác
* Virtual Server(Load balancing)
* Multiple routes per Destination
-4-Các vấn đề cần giải quyết cho kỹ thuật NAT
* Lưu giữ thông tin trạng thái
* Phân chia (fragmentation)
* Định ra giao thức (protocol) cụ thể
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Fri Jul 31, 2009 12:26 am

1) Giới thiệu:
Lúc đầu, khi NAT được phát minh ra nó chỉ để giải quyết cho vấn đề thiếu IP .Vào lúc ấy không ai nghĩ rằng NAT có nhiều hữu ích và có lẽ nhiều ứng dụng trong những vấn đề khác của NAT vẫn chưa được tìm thấy.
Trong ngữ cảnh đó nhiều người đã cố gắng tìm hiểu vai trò của NAT và lợi ích của nó trong tương lai.Khi mà IPv6 được hiện thực thì nó không chỉ giải quyết cho vấn đề thiếu IP.Qua nhiều cuộc thử nghiệm họ đã chỉ ra rằng viêc chuyển hoàn toàn qua IPv6 thì không có vấn đề gì và mau lẹ nhưng để giải quyết những vấn đề liên qua giữa IPv6 và IPv4 là khó khăn.Bởi vậy có khả năng IPv4 sẽ là giao thức chủ yếu cho Internet và Intranet … lâu dài hơn những gì họ mong muốn.
Trước khi giải thích vai trò của NAT ngày nay và trong tương lai ,những người này muốn chỉ ra sự khác nhau về phạm vi của NAT được sủ dụng vào ngày đó.Sự giải thích sẽ đưa ra một cái nhìn tổng quan và họ không khuyên rằng làm thế nào và nên dùng loại NAT nào.Sau đây chỉ là giới thiệu và phân loại các NAT phần chi tiết sẽ được thảo luận và đề cập trong chương sau khi hiện thực NAT là một laid out.
Phần trình bày được chia làm 2 phần :
- Phần đầu được đặt tên là CLASSIC NAT nó là các kỹ thuật NAT vào những thời kỳ sơ khai (đầu những năm 90) được trình bày chi tiết trong RFC 1931. Ứng dụng của nó chủ yếu giải quyết cho bài toán thiếu IP trên Internet.
- Phần hai trình bày những kỹ thuật NAT được tìm ra gần đây và ứng dụng trong nhiều mục đích khác.

2)Các kỹ thuật NAT cổ điển:
Nói về NAT chúng ta phải biết rằng có 2 cách là tĩnh và động .Trong trường hợp đầu thì sự phân chia IP là rõ ràng còn trường hợp sau thì ngược lại.Với NAT tĩnh thì một IP nguồn luôn được chuyển thành chỉ một IP
đích mà thôi trong bất kỳ thời gian nào.Trong khi đó NAT động thì IP này là thay đổi trong các thời gian và trong các kết nối khác nhau.
Trong phần này chúng ta định nghia :
m: số IP cần được chuyển đổi (IP nguồn)
n: số IP sẵn có cho việc chuyển đổi (IP NATs hay gọi là IP đích)
* NAT tĩnh
Yêu cầu m,n>=1;m=n(m,n là số tự nhiên)
Với cơ chế IP tinh chúng ta có thể chuyển đổi cùng một số lượng các IP nguồn và đích .Trường hợp đặc biệt là khi cả 2 chỉ chứa duy nhất một IP ví dụ netmask là 255.255.255.255 .Cách thức hiện thực NAT tĩnh thì dễ dàng vì toàn bộ cơ chế dịch địa chỉ được thực hiện bởI một công thức đơn giản:
Địa chỉ đích =Địa chỉ mạng mới OR (địa chỉ nguồn AND ( NOT netmask))
Không có thông tin về trạng thái kết nối.Nó chỉ cần tìm các IP đích thích hợp là đủ.
Các kết nối từ bên ngoài hệ thống vào bên trong hệ thống thì chỉ khác nhau về IP vì thế cơ chế NAT tĩnh thì hầu như hoàn toàn trong suốt.
Ví dụ một rule cho NAT tĩnh:
Dịch toàn bộ IP trong mạng 138.201.148.0 đến mạng có địa chỉ là 94.64.15.0,netmask là 255.255.255.0 cho cả hai mạng.
Dưới đây là mô tả việc dịch từ địa chỉ có IP là 138.201.148.27 đến 94.64.15.27,các cái khác tương tự.
10001010.11001001.10010100.00011011 (host 138.201.148.0)
AND
00000000.00000000.00000000.11111111 (reverse netmask)
01011110.01000000.00001111 (new net: 94.64.15.0)
01011110.01000000.00001111.00011011 (địa chỉ mới )
* NAT động
Yêu cầu m>=1 và m>=n
NAT động được sử dụng khi số IP nguồn không bằng số IP đích.Số host chia sẻ nói chung bị giới hạn bởi số IP đích có sẵn.NAT động phức tạp hơn NAT tĩnh vì thế chúng phải lưu giữ lại thông tin kết nối và thậm chí tìm thông tin của TCP trong packet.
Như đã đề cập ở trên NAT động cũng có thể sử dụng như một NAT tĩnh khi m=n.Một số người dùng nó thay cho NAT tĩnh vì mục đích bảo mật.Những kẻ từ bên ngoài không thể tìm được IP nào kết nối với host chỉ định vì tại thời điểm tiếp theo host này có thể nhận một IP hoàn toàn khác.Trong trường hợp đặc biệt thậm chí có nhiều địa chỉ đích hơn địa chỉ nguồn (m<n)
Những kết nối từ bên ngoài thì chỉ có thể khi những host này vẫn còn nắm giữ một IP trong bảng NAT động.Nơi mà NAT router lưu giữ những thông tin về IP bên trong (IP nguồn )được liên kết với NAT-IP(IP đích).Cho một ví dụ trong một session của FPT non-passive.Nơi mà server cố gắng thiết lập một kênh truyền dữ liệu vì thế khi server cố gắng gửi một IP packet đến FTP client thì phải có một entry cho client trong bảng NAT.Nó vẫn phải còn liên kết một IPclient với cùng một NAT-IPs khi client bắt đầu một kênh truyền control trừ khi FTP session rỗi sau một thời gian timeout.Xin nói thêm giao thức FTP có 2 cơ chế là passive và non-passive .Giao thức FTP luôn dùng 2 port (control và data) .Với cơ chế passive (thụ động ) host kết nối sẽ nhận thông tin về data port từ server và ngược lại non-passive thì host kết nối sẽ chỉ định dataport yêu cầu server lắng nghe kết nối tới.Tham khảo thêm về FTP protocol trong RFC 959
Bất cứ khi nào nếu một kẻ từ bên ngoài muốn kết nối vào một host chỉ định ở bên trong mạng tại một thời điểm tùy ý chỉ có 2 trường hợp :
+ Host bên trong không có một entry trong bảng NAT khi đó sẽ nhận được thông tin “host unreachable” hoặc có một entry nhưng NAT-IPs là không biết.
+ Biết được IP của một kết nối bởi vì có một kết nối từ host bên trong ra ngoài mạng.Tuy nhiên đó chỉ là NAT-IPs và không phải là IP thật của host.Và thông tin này sẽ bị mất sau một thờii gian timeout của entry này trong bảng NAT router.
Ví dụ về một rule cho NAT động:
Dịch toàn bộ những IP trong class B ,địa chỉ mạng 138.201.0.0 đến IP trong class C 178.201.112.0.Mỗi kết nối mới từ bên trong sẽ được liên kết với tập IP của class C khi mà IP đó không được sử dụng.
– Xem thêm hình vẽ mô tả trong tài liệu NAT của SuSe –
*Masquerading(NAPT)
Yêu cầu m>=1 và n=1
Đây là một trường hợp đặc biệt của NAT động.Thuật ngữ Masquerading trở nên nổi tiếng bởi vì nó được hiện thực trong thế giới Linux .Nó là loại NAT được sử dụng hầu hết vào thời điểm đó.Với cơ chế này nhiều địa chỉ IP được ẩn đi dưới một địa chỉ duy nhất.Nó tương phản với NAT động ,rằng chỉ có một kết nối cho một IP duy nhất tại một thời điểm .Trong masquerading nhiều kết nối đến cùng một IP sẽ được phân chia thông qua TCP Port.Vấn đề đặc biệt của Masquerading là một số service trên host chỉ định chỉ chấp nhận kết nối từ những port đặc quyền để đảm bảo rằng kết nối đi vào không phải là từ một user bình thường.Có lẽ chỉ superuser có thể xử lý những port này.Vì trên DOS hoặc Window mọi người đều có thể sử dụng chúng nên một số chương trình không thể sử dụng kết nối masquerading.Masquerading thường sử dụng những port ở một tầm vực cao.Trong Linux ,bắt đầu là 61000 và kết thúc là 61000+4096.Mặc định này có thể thay đổi bằng cách edit /linux/include/net/ip_masq.h
Điều này cũng chỉ ra rằng Linux hiện thực masquerading chỉ cho đồng thời 4096 kết nốI masquerading .Kết nối masquerading cần phải lưu giữ nhiều thông tin về trạng thái kêt nối.Ví dụ trên Linux, nó xem như tất cả các packet với Destination IP= Local IP và Destination port nằm trong tầm port cho phép của Masquerading khi phải demasqueraded(phân giải những packet đã được masqueraded) Thực chất là việc thay đổi destination address và source address trong header packet.
Rõ ràng Masquerading chỉ có một chiều . Những kết nối vào thì không thể Masquerading .Vì thậm chí khi một host có một entry trong masquerading table của NAT device thì entry này chỉ hợp lệ khi một kết nối đang được active.Ngay cả một ICMP-Reply liên quan đến kết nối (host/port unreachable) cũng phải được filter và relay bởi NAT router.
Trong khi thật sự kết nối vào không thể Masquerading nhưng chúng ta có thể thêm vào để cho phép điều đó tuy nhiên chúng không phải là một phần thuộc về Masquerading .Chúng ta có thể làm điều đó ví dụ setup một NAT device để nó relay tất cả các kết nối từ bên ngoài đến port telnet của một host bên trong Tuy nhiên vì chúng ta chỉ có một IP được thấy từ bên ngoài cho phép kết nối vào cho cùng một service nhưng cho các host khác nhau bên trong mạng .Chúng ta phải cho lắng nghe trên một port khác Vì nhiều service trên những well-known port thì không thể thay đổi hoặc việc thay đổi là bất tiện đặc biệt trên những pulic server.Ví dụ 80 cho HTTP , 23 cho TELNET. Chỉ có một cách giải quyết là phải có nhiều IP đích khi các service này tăng lên.Một IP đích có thể vẫn đuợc chia sẻ bởi những service khác nhau và rồi được remap với những IP nguồn khác bên trong mạng .Nhưng đây không phải là Masquerading.
Ví dụ cho một rule của Masquerading
- Masquerading cho mạng 138.201.0.0 dùng NAT đến IP local
- Cho mỗi packet IP đi ra source IP sẽ được thay bởi IP của NAT router.Source port sẽ được đổi thành một port nằm trong tầm của Masquerading.
– Xem thêm hình vẽ mô tả trong tài liệu NAT của SuSe –
Lợi ích lớn nhất của Masquerading là chỉ cần một IP được cấp mà toàn mạng vẫn có thể kết nối trực tiếp đến Internet ,điều này là quan trọng vì địa chỉ IP thì qúa mắc.Mặc dù đối với những ứng dụng mức gateway chúng ta không cần thêm bất kỳ IP và bất kỳ loại NAT nào và một IP thì vẫn đủ nhưng cho một số giao thức thí dụ tất cả UDP based service nó thì không chỉ là mức gateway mà cần phải kết nối IP trực tiếp. Tham khảo thêm RFC 1631(NAT) được đề cập là Network Address Port Translation (NAPT)
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Fri Jul 31, 2009 12:39 am

3)Các kỹ thuật NAT khác
*Virtual Server (Loadbalancing)
NAT router đóng vai trò là một virtual server và các kết nối vào sẽ được chuyển đến 2 hay nhiều server thật .Phụ thuộc vào giải thuật được xây dựng mà kết nối này sẽ đi vào server nào ở bên trong.
Ví dụ một NAT rule như sau:
- Tạo một virtual server với IP là 138.201.14.100
- Sử dụng 2 host là 138.201.14.111 và 148.201.14.112 là những real server cho virtual server.
- Một kết nối từ bên ngoài sẽ được remap bởi NAT router để sử dụng một trong 2 host (realserver)
– Xem thêm hình vẽ mô tả trong tài liệu NAT của SuSe –
+ Load Balancing
Giải thuật để quyết định real server nào được kết nối. Cho ví dụ kiểm tra tải trên những realserver dựa trên việc đếm số packet trên mỗi giây đi qua NAT device đến real server sau đó sẽ chọn ra realserver có hiệu năng nhất.Bằng cách ấy sẽ điều chỉnh được traffic trên mạng và giảm tải cho các server.Số giải thuật được sử dụng ở đây thì không thể đếm được và dựa trên những cách tính toán khác nhau nhưng tất cả đều có chung mục đích là giảm tải cho server.Khái niệm “tải” ở đây thì không rõ ràng và không được đĩnh nghĩa duy nhất.
Cho ví dụ về loadbalancing:
Chạy một deamon trên mỗi server cung cấp thông tin cho NAT router về tải (load) trên máy này và remap những kết nối mới đến hệ thống nơi mà số này là thấp nhất.
Điều này đòi hỏi sự liên lạc giữa những host(real server) và NAT router vì thế chúng ta nên sử dụng những thông tin có trên NAT router như là số kết nối hiện tại đang được remap đến một host hoặc ta phải sử dụng những thông tin vốn không có trên server nhưng có thể dễ dàng được tìm thấy như là số byte hoặc packet mỗi giây của một host hiện tại handle.Yếu tố được đề cập ở đây sẽ là một vài ý niệm để quyết định việc đạt được sự cân bằng trong việc phân bố tải Chính xác hơn là chúng ta cố gắng đo lường và tính toán tải cho mỗi host.Có một số giải thuật ví dụ như giải thuật dựa trên học thuyết về nguyên lý không chắc chắn trong định lượng của Heisenberg.
Vì thế chúng ta phải tìm cách làm tối thiểu chi phí của host để quyết định tải và host sẽ được kết nối.
Ngay cả khi chúng ta giả sử đã tìm ra một phương thức chính xác và tốt để quyết định tải được sử dụng dựa trên việc định nghĩa “tải” là gì thì thực tiễn vẫn chưa phải là giải pháp tốt nhất vì một IP packet có kích thước nhỏ nhất chỉ được xác định bằng cách định lượng vật lý.Chúng ta có thể chỉ mới chọn được host nào chúng ta cần gửi kết nối đến khi một kết nối mới được mở mà chưa thật sự tối ưu.Tuy nhiên dù sao đi nữa các phương thức đề cập ở trên cũng có thể được áp dụng vào thực tiễn cho việc xác định cân bằng tải ngoài ra có thể có một cách tính toán nào đó tốt nhất mà chúng ta chưa tìm ra.
Có nhiều cách tiếp cận để giải quyết cho bài toán Load balancing ,hầu hết trong số chúng đều ở mức application.Một ví dụ được mô tả trong RFC 1794 đó là dùng DNS support cho Load balancing.Trong tài liệu này đề cập đến việc dùng DNS cho việc điều khiển tải của máy bằng cách tìm ra IP của máy ít bận rộn nhất khi được chất vấn (queried) Vì DNS-queries sẽ được cache bởi liên tiếp các DNS-server với việc điều khiển các giới hạn một cách khắt khe.Nó làm việc hoàn toàn tốt khi có nhiều chất vấn và ngay cả khi chúng đến từ nhiều máy client.Tuy nhiên dù cho Load balancing có làm việc trong trạng thái tốt thì cách tiếp cận này sẽ không giúp được gì một khi server bị fail vì thậm chí ngay cả khi các IP được phân chia riêng biệt trong việc chất vấn thì nó vẫn còn được cache do đó khi server bị fail thì có thể server này là hiệu năng nhất và cơ chế load balancing hoàn toàn bị phá vỡ .Một ví dụ cho chương trình cache nổi tiếng là Squid nó sử dụng giải thuật phức tạp để tìm ra một mục tiêu tốt nhất.Giải quyết này chưa hẳn đã giống trên NAT nhưng mục tiêu của nó là như nhau.Với NAT chúng ta có thể phân bố tải cho những service lớn và đa dạng dựa trên IP còn Squid phục vụ cho một mục đích khác và sự so sánh này chưa hẳn đã hoàn toàn hợp lý.Người viết chọn squid là một ví dụ vì trong squid thực hiện việc load balancing để tìm ra một dữ liệu sao cho tối ưu một cách thông minh.
+ Backup Systems
Virtual server cũng có thể được sử dụng để đạt được khả năng phục vụ tốt nhất nếu giải quyết được bài toán một real server bất kỳ bị fail ở trên.Vì các service được cung cấp bởi Virtual server thì có khả năng trên bất kỳ real server . Đặt trường hợp một real server bị fail có xác suất là p thì một virtual server sử dụng N real server trong trường hợp bị fail có thể được tính toán như sau:
Đặt
+ p1..pn là khả năng xảy ra lỗi của server n trên N (N là số server được cung cấp cho virtual server)
+ pNAT: khả năng xảy ra lỗi của NAT router,lỗi này không phụ thuộc vào thiết bị khác
+ pvirt: khả năng xảy ra lỗi của virtual server khi một realserver bị fail
Công thức được tính toán là:
Pvirt=1-((1- [tích(pi) chạy từ 1->n]) X (1-pNAT))
Dĩ nhiên setup hệ thống sử dụng công thức trên cho việc tính toán load balancing phải thay đổi danh sách server được sử dụng bởi NAT router ngay khi một real server bị fail . Điều này không thuộc về NAT-code nhưng có thể thực hiện tốt ở mức cao ,thậm chí từ shell scripts.Quan trọng là phải có cơ chế remove server bị fail từ bảng virtual server vì thế phải xây dựng bảng virtual server có khả năng thay đổi dễ dàng
để những IP có thể thêm vào hoặc loại bỏ trong thời gian thực thi (runtime)
Như vậy với cách làm này chúng ta đã có một liên kết giữa 2 khả năng là load balancing và high availability dùng virtual server.Nó thì hoàn toàn trong suốt đốI với tất cả các host ,người sử dụng và những chương trình dùng virtual service.
*Multiple routers per Destination
Như ở trên chúng ta thấy chúng ta có thể dùng NAT để phân bố tải qua nhiều host và đạt được khả năng sẵn dùng cao (high availability) .Chúng ta có thể sử dụng NAT để làm điều này cho nhiều mạng không? Vâng chúng ta có thể. Ở phần trên chúng ta thấy chúng ta đã sử dụng virtual server thay thế cho nhiều host thật sự (real server)
Chúng ta cũng có thể tạo ra kết nối mạng ảo (virtual network) gồm nhiều mạch thật sự (real wire) dùng kỹ thuật virtual server.
Chúng ta có thể làm điều này với NAT như thế nào? Hãy tưởng tượng chúng ta có 2 nguồn cung cấp Internet (Internet provider).Chọn 2 bởi vì chúng ta không muốn xảy ra lỗi khi một nguồn bị hỏng.Mỗi host cần kết nối Internet phải có một IP duy nhất vì thế chúng ta mua cho mỗi host một IP từ 2 nhà cung cấp khác nhau.Như vậy chúng ta có thể sử dụng một trong 2 host để gửi packet đến cùng một vị trí.Bây giờ chúng ta sẽ setup cho hệ thống mô tả ở trên,chúng ta sẽ phân bố tải bằng cách sử dụng một ít host thông qua provider 1 và một vài cái khác thông qua provider 2 và chúng ta có “higher availibility” của kết nối đến Internet .Tuy nhiên chúng ta cũng có thể hình dung ra rằng rất khó thực hiện load balancing khi mỗi host quyết định gửi packet đi. Chúng ta không đề cập đến làm thế nào để một mạng dùng IP này hay IP khác. Ở đây vấn đề là sẽ sử dụng một “central authority” để quyết định host nào sẽ sử dụng provider nào dĩ nhiên thông qua một special NAT router.Sử dụng Nat máy tính Local của chúng ta chỉ cần một IP.Nếu chúng ta có một provider tin cậy chúng ta có thể sử dụng IP của provider này cung cấp đồng thời vẫn có thể sử dụng các IP bên trong mạng.Bây giờ nếu một host bên trong mạng muốn thiết lập một kết nối mới tới Internet nó chỉ cần gửi packet đến default router (NAT-router) với source IP là IP của host này.Do NAT-router biết được tất cả những kết nối đi ra,nó sẽ quyết định provider để gửi packet đi sao cho tối ưu.Nó sẽ thay source IP là IP của provider đã chọn và gửi packet đến router của provider này.Vì source IP là IP của provider cung cấp nên con đường đi tiếp theo của packet sẽ do provider quyết định thông qua provider router .Host gửi packet đi sẽ không bao giờ biết provider nào được chọn bởI NAT router vì thế xử lý là trong suốt.
Chúng ta có thể sử dụng cùng một giải thuật đã sử dụng cho Virtual server. Điểm khác nhau giữa ứng dụng là ở ứng dụng này chúng ta đã can thiệp vào xử lý routing.








___________
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Fri Jul 31, 2009 12:40 am

4) Các vấn đề cần giải quyết cho kỹ thuật NAT
Có 5 khái niệm liên quan đến một connection cho NAT đó làrotocol,source IP và port ,Destination IP và port.Vì cơ chê NAT thay đổi các thông tin trong một packet nên ta có thể tạm chia thành 3 section:
-section 1: tiến trình packet đi từ source đến NAT-router
-section 2: tiến trình packet đi từ NAT-router đến Destination
-section 3: hoạt động diễn ra trong NAT-router,NAT router phải biết cả 2 section 1 và 2
Như vậy chỉ có NAT-router biết những gì thật sự xảy ra cho một packet. Điều đó cũng có nghĩa là NAT-device phải lưu giữ hầu hết thông tin về một kết nối để quyết định con đường đi của packet.
Chúng ta thấy NAT-router phần nào đó giống như một firewall bởi vì nó không chỉ relay packet từ nơi này đến nơi khác ,mà nó còn điều khiển luồng dữ liệu.NAT-router biết nhiều về mỗi kết nối như thể các thiết bị mạng biết về kết nối của nó.Nghĩa là chúng phải lưu giữ thông tin trạng thái .Chúng có thể đọc thông tin từ các packet ,so sánh và thay đổi nó.
* Lưu giữ thông tin trạng thái
Ngoại trừ NAT tĩnh,các cái còn lạI đòi hỏi chúng ta cần phảI lưu trữ và quản lý thông tin động từ client đang sử dụng hệ thống là một router.Thông tin này phảI được mất đi sau một thời gian timeout để NAT-IP được gắn cho một host còn có thể được sử dụng lại.Thời gian timeout cũng là một lý do tạI sao phảI đọc thông tin TCP-header.Timeout có thể ngắn cho một TCP-connection vừa được đóng và cao cho TCP-connection vẫn còn được thiết lập.Ví dụ nhiều telnet session có thể treo trong một thờI gian dài không có sự trao đổI bất kỳ packet nào .Trong trường hợp này,nếu chúng ta có đủ NAT-IP chúng ta không cần ngắt kết nốI này ,nhưng giả sử trong trường hợp nhiều kết nốI mớI được yêu cầu và NAT-IP cần có thêm IP thì chúng ta sẽ cho telnet session này bị chết để lấy lạI IP.
Một cách khác là chúng ta không giữ thông tin trạng thái mà chỉ cần tìm IP chỉ định (NAT-ip) Nó thì đơn giản hơn cho việc hiện thực NAT và trong nhiều trường hợp sẽ làm việc tốt cho các giải quyết ở trên.Khi luôn có đủ NAT-IP còn dư cho việc sử dụng chúng ta không chú ý tới chi tiết khác nhau của 2 cách ,ngoại trừ trong một telnet session hoặc các chương trình liên quan chẳng hạn như ssh.Chỉ khi số NAT-IP không nhiều và không đủ ,chúng ta mới cần lưu giữ thông tin trạng thái vì chúng ta có thể nhận ra ngay chính xác một kết nối vừa mới đóng và có thể lấy lại ngay IP đã cấp phát mà không cần hết thời gian timeout.Việc lưu giữ dấu vết của các kết nối khác nhau phục vụ cho mục đích bảo mật nếu nó được sử dụng bởI firewall, đây không hẳn chỉ là NAT.
Có một số trường hợp việc NAT chỉ truy tìm chỉ IP thì hoàn toàn không hiệu qủa. Đó là trong các ứng dụng virtual server và virtual network bởI vì traffic được sinh ra bởI một IP thì không thể nào phân chia được nữa.Khi chúng ta yêu cầu NAT truy tìm thêm cả TCP/UDP port thì chúng ta có thể cân bằng tảI và giảm traffic tốt hơn bằng cách remap các kết nốI đến một IP thích hợp
– Xem thêm hình vẽ mô tả trong tài liệu NAT của SuSe –
* Phân chia (fragmentation)
Quan hệ mật thiết vớI việc lưu giữ thông tin trạng thái về TCP và có thể là UDP là vấn đề IP fragment.Nó quyết định việc thay đổI không phảI chỉ IP address mà còn TCP/UDP port.Telnet packet có thể được đốI xử khác vớI HTTP packet.Cho một ví dụ chỉ sử dụng một virtual server hoặc DNS cho tất cả các service nó được map tới các host cung cấp service thực sự ,nhiều service thậm chí được cung cấp bởI virtual host.Một firewall là gateway mức application có thể làm được điều này nhưng gateway thì hầu như là không trong suốt.
Vấn đề là ngay khi một packet được fragment đến NAT-router ,nó không thể cung cấp thông tin về port ngoạI trừ fragment đầu tiên chứa TCP-header. Đó là lý do tạI sao chúng ta phảI lưu giữ những thông tin trạng thái về mỗI fragment.Chúng ta phảI lưu giữ tất cả thông dữ liệu của fragment đầu tiên gồm TCP/UDP port của nó để mà chúng ta có thể biết port của những fragment khác đang hoạt động.Nhiều khi phương pháp này không thích đáng vì IP layer không đảm bảo packet tới với đúng số thứ tự (sequence) Ví dụ fragment thứ 3 của packet đã được fragment có thể đi qua NAT router đầu tiên trước khi fragment đầu tiên vẫn còn lưu giữ thông tin port .Trong trường hợp này chúng ta sẽ ngăn lạI các fragment không phảI là fragment số 1 đến khi fragment số 1 đã tớI đích để chúng ta biết chúng ta có cần phảI thay đổI thông tin của packet hay không .Xem thêm về “IP fragment” ở các tài liệu khác.Việc thay đổI không chỉ IP mà còn TCP/UDP port thì không quan trọng nhưng chắc chắn hữu ích.
Ví dụ chúng ta sử dụng một virtual server .Giả sử chúng ta muốn tạo một virtual webserver và deamon của webserver thật sự đang chạy trên những máy khác nhau và lắng nghe trên những port khác nhau vì một số lý do.Khi đó nếu chúng ta không ghi nhận lạI destination port trong packet , default là port 80 đến virtual server và thay destination port là port mà real webserver đang lắng nghe vào packet reply thì chúng ta không thể có được những gì chúng ta mong muốn.Khi đó tất cả các real webserver phảI lắng nghe trên cùng một port mà virtual server cung cấp dịch vụ web (default là port 80).Xin nói thêm là một TCP connection thực hiện cơ chế handshaking 3 lần như vậy nếu packet reply không chỉ ra đúng port để kết nốI tớI thì kết nốI sẽ không được thiết lập.
* Định ra giao thức (protocol) cụ thể
NAT không phảI luôn luôn trong suốt như đã nói ,nó chỉ hoàn toàn trong suốt khi mà IP là giao thức nắm giữ thông tin về IP của một packet.Có một số giao thức chúng gửI IP là một phần của dữ liệu truyền đi.Như vậy nếu IP này đã được thay đổI vớI NAT router thì chúng ta sẽ gặp nhiều vấn đề trục trặc khi gửI tớI ngườI nhận .Nó không thể đúng IP đã được truyền đi.Một cách giảI quyết cho vấn đề này là tìm thông tin data truyền đi dựa trên một giao thức nào đó để biết được thông tin về IP đã được thêm vào.Qúa trình này chỉ làm thêm overhead và phức tạp hơn.
*Một số ví dụ cho những Protocol làm việc vớI NAT
FTP
FTP command PORT và response PASV cả 2 đều send một IP và port cho đầu kết nốI bên kia .Cho FTP để làm việc vớI một kết nốI đã bị thay đổI chúng ta phảI thay thế IP trong message . Điều này rất phức tạp vì IP và port được truyền đi dướI dạng mã ASSCII mô tả cho một số thập phân.Tức là mỗI số thập phân đơn lẻ được mô tả là một byte trong packet .Vì lý do này IP thì không có một chiều dài cố định trong một FTP-packet, bây giờ chúng ta thay thế IP hiện tạI bởI một IP khác ít hoặc nhiều số hơn ,packet sẽ lớn hoặc nhỏ đi điều này buộc phảI chỉnh lạI TCP –sequence number vì thế chúng ta phảI giữ một số thông tin về những kết nốI này để điều chỉnh các sequence number thích hợp trong mỗI packet . Đây không chỉ là vấn đề cho giao thức FTP mà còn cho nhiều giao thức khác mà khi thay đổI IP thì nó làm thay đổI chiều dài packet
ICMP
Một số ICMP message phụ thuộc vào loạI message ,nếu thêm vào header của packet có thể gây ra những vấn đề .Nếu packet này được thay đổI thì header này sẽ chứa NAT-Ip chứ không phảI IP của host sẽ nhận message ICMP này .Dựa trên điều này nếu bây giờ chúng ta không thay local IP mà là thêm vào NAT-Ip vào header thì điều này sẽ được giảI quyết.
DNS
Dễ thấy vấn đề ở đây là nếu một name service của một IP bên trong muốn cung cấp ra ngoài NAT-domain.Một cách giảI quyết là sẽ dùng 2 DNS service .Một cho việc giảI đáp cho các IP bên trong và một cái khác giảI đáp cho các IP ngoài mạng .Dĩ nhiên các IP được giảI đáp bởI DNS server thứ 2 không được đưa vào danh sách nhóm IP động cho NAT.NAT router thì hầu hết được đặt trên ranh giới giữa các mạng
phân chia internal DNS và external DNS và được mở rộng sử dụng cho lý do bảo mật
Nếu sử dụng một cách tiếp cận phức tạp hơn là ghi lại tất cả các DNS data đã được relay bởI NAT router chúng ta nên sử dụng một gateway mức ứng dụng hơn là hiện thực một NAT bởI vì DNS thích hợp vớI mức gateway hơn và chúng ta chỉ nên tác động tớI kernel khi thật sự cần thiết(xây dựng NAT)
BOOTP
Giao thức này không có vấn đề gì vớI NAT vì nó không đi ra khỏI ranh giớI của một NAT-domain.
Routing Protocol (RIP,EGP…)
Không cần phảI giảI thích tạI sao routing protocol gặp rất nhiều vấn đề vớI NAT .Có nhiều giao thức tìm đường khác nhau và làm việc vớI nó thì không dễ dàng chút nào
Có 3 cách giảI quyết là:
- Không sử dụng những giao thức này ,chỉ sử dụng static routing. Đây là cách chọn lựa tốt cho phần lớn các kết nốI từ mạng chúng ta ra bên ngoài thông qua NAT router
- Sử dụng một gateway mức ứng dụng
- Ghi lạI thông tin của packet
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Fri Jul 31, 2009 12:41 am

Time-Based Access-Lists


Mục đích :


Bạn muốn lọc ứng dụng theo thời gian trong 1 ngày.

Giải pháp


Để lọc theo thời gian trong ngày bạn dùng những lệnh sau :

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#time-range NOSURF
Router1(config-time-range)# periodic weekdays 9:00 to 17:00
Router1(config-time-range)#exit
Router1(config)#ip access-list extended NOSURFING
Router1(config-ext-nacl)# deny tcp any any eq www time-range NOSURF
Router1(config-ext-nacl)# permit ip any any
Router1(config-ext-nacl)#exit
Router1(config)#interface FastEthernet0/1
Router1(config-if)#ip access-group NOSURFING in
Router1(config-if)#end
Router1# Giải thích


Timed-based access-lists cho phép bạn có thể lọc dữ liệu của ứng dụng dựa trên thời gian trong ngày. Trong ví dụ trên , chúng ta xây dựng một access-list cấm HTTP traffic trong suốt giờ làm việc của công ty từ thứ 2 đến thứ 6 trong khoảng thời gian cụ thể là 9:00 -17:00. Timed-based access-lists cũng có thể giúp ta điểu khiển trên những ứng dụng khác của router dựa vào thời gian trong ngày như policy-based routing, CAR statements, ACL logging, on-demand link activation, hay security policies.

Việc đầu tiên khi cấu hình một timed-based access-list là bạn phải cấu hình một time-range:

Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#time-range Phúc_đẹp
Router2(config-time-range)#periodic monday 9:00 to 17:00
Router2(config-time-range)#end
Router2#

Trong ví dụ này , chúng ta đặt tên cho time-range là Phúc_đẹp và gán cho nó một time-range bắt đầu từ thứ 2 lúc 9:00-17:00. Periodic dùng để định nghĩa một time range. Tuy nhiên vẫn còn một cách khác để gán một giới hạn về thời gian bằng cách dùng lệnh absolute . Cách này ta phải đưa ra một khoảng thời gian thật cụ thể. Các bạn xem ví dụ bên dưới

Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#time-range Phúc_đẹp_wa
Router2(config-time-range)#absolute start 9:00 1 October 1988 end 18:00 31 December 1988
Router2(config-time-range)#end
Router2#

Chú ý là bạn có thể thiết lập cả 2 Periodic và absolute trên cùng một time-range. Và absolute được ưu tiên hơn :

Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#time-range Phúc_đẹp
Router2(config-time-range)#absolute start 9:00 1 October 1988 end 18:00 31 December 1988 # được ưu tiên
Router2(config-time-range)#periodic monday 9:00 to 17:00
Router2(config-time-range)#end
Router2#

Notice in this example that we've included a periodic and absolute statement within the same time range. In this case, the periodic statement is ignored until the absolute start time is reached, and then each Monday the time range will become active. The same holds true for the absolute end time. Once we reach the absolute end time of 18:00 on December 31, then the periodic statements will again be ignored.

Chúc ý là trong trường hợp trên, Periodic sẽ không active mãi cho đến khi absolute bắt đầu (có nghĩa là cho dù thứ 2 là ngày 31/9 đi nữa những sẽ không có tác dụng mà phải đợi đến đúng 9:00 1 October 1988
thì mới có tác dụng.) Sau khi absolute bắt đầu , đến mỗi thứ 2 thì time range sẽ được active.Sau khi absolute kết thúc tại 18:00 31 December 1988 thì Periodic tiếp tục không active (time range không active).


Quote:
Bạn có thể dùng nhiều câu lệnh Periodic nhưng chỉ có thể dùng duy nhất 1 absolute cho một range-time

Sau khi đã cấu hình time range, bây giờ bạn đã có thể cấu hình ACL:

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip access-list extended Phúc
Router1(config-ext-nacl)# deny tcp any any eq www time-range Phúc_đẹp
Router1(config-ext-nacl)# permit ip any any
Router1(config-ext-nacl)#end
Router1#

Chú ý là bạn gán time range vào đúng câu lệnh ACLs đầu tiên. ACLs sẽ bắt đầu active khi time-range đúng. Khi time-range active thì ACLs sẽ bắt đầu thực hiện những gì mà ta đã cấu hình. Trong ví dụ trên, ACL sẽ cắm tất cả HTTP traffice trong giờ làm việc.

Chúng ta thử xem ACLs sau giờ làm việc sẽ như thế nào (tất nhiên là inactive rồi !!!!):

Router1#show clock
20:10:50.985 EDT Tue Aug 22 1988
Router1#
Router1#show ip access-list
Extended IP access list Phúc
10 deny tcp any any eq www time-range Phúc_đẹp (inactive)
20 permit ip any any
Router1#

During this period, the timed ACL entry is marked inactive and HTTP-based traffic is allowed to pass. During normal workday hours, however, the timed ACL entry is changed to active and HTTP traffic is now blocked:

Router1#show clock
09:39:22.279 EDT Wed Aug 23 1988
Router1#
Router1#show ip access-list
Extended IP access list Phúc
10 deny tcp any any eq www time-range Phúc_đẹp (active)
20 permit ip any any
Router1#

Mở rộng :

Bạn cũng có thể cấu hình nhiều time-range và dùng chúng cho cùng một ACLs như ví dụ sau : Phúc_cấm_HTTP cấm HTTP traffic mỗio ngày từ9:00 AM - 5:00 PM; Phúc_cấm_Telnet, cấm telnet từ 5:00 PM - 9:00 AM:

Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#time-range Phúc_cấm_HTTP
Router(config-time-range)# periodic weekdays 9:00 to 17:00
Router1(config-time-range #exit
Router1(config)#time-range Phúc_cấm_Telnet
Router1(config-time-range)# periodic weekdays 17:00 to 9:00
Router1(config-time-range)#exit
Router1(config)#ip access-list extended Phúc
Router1(config-ext-nacl)# deny tcp any any eq www time-range
Phúc_cấm_HTTP
Router1(config-ext-nacl)# deny tcp any any eq telnet time-range
Phúc_cấm_Telnet
Router1(config-ext-nacl)# permit ip any any
Router1(config-ext-nacl)#end
Router1#

Sau đó tôi kiểm tra :

Router1#show ip access-list Phúc
Extended IP access list Phúc
10 deny tcp any any eq www time-range Phúc_cấm_HTTP (inactive)
20 deny tcp any any eq telnet time-range Phúc_cấm_Telnet (active)
20 permit ip any any
Router1#
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Cau Hinh NAT and PAT

Post  telecom1988 on Fri Jul 31, 2009 1:07 am

I. CẤU HÌNH NAT STATIC
1. Giới thiệu :
Nat (Network Address Translation) là một giao thức dùng để cung cấp sự chuyển đổi IP trong 1 miền để đưa ra một môi trường khác thông qua một IP đã được đăng ký để chuyển đổi thông tin giữa 2 môi trường (either Local or Global) .
Ưu điểm của NAT( Network Nat Translation ) là chuyển đổi các IP adress riêng trong mạng đến IP adress inside được Cung cấp khi đã đăng ký .
Các loại địa chỉ :
Inside Local : là các địa chỉ bên trong mạng nội bộ ( gateway)
Inside Global :là các địa chỉ ngoài cổng GATEWAY , đó là địa chỉ Nat đã được đăng ký. Trong bài nay là :172.17.0.1/24
Outside Global : là các hệ thống mạng bên ngoài các môi trường
Cách thức chuyển đổi một IP public và một IP private sẽ không có hiệu quả khi chúng ta triển khai rộng cho tất cả các host trong mạng, bởi vì khi làm như vậy ta sẽ không có đủ địa chỉ để cung cấp. Nat tĩnh thường được áp dụng khi ta sử dụng địa chỉ public làm WebServer hay FTP Server,v.v.

2. Mô tả bài lab và đồ hình :

avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Fri Jul 31, 2009 1:10 am

Các PC nối với router bằng cáp chéo, hai router nối với nhau bằng cáp serial. Địa chỉ IP của các interface và PC được cho trên hình vẽ
Trong bài lab này, router TTG2 được cấu hình như một ISP, router TTG1 đươc cấu hình như một gateway

3. Cấu hình :
Chúng ta cấu hình cho các router như sau :

Router#conf t
TTG2(config)#enable password cisco
Route r(config)#hostname TTG2
TTG2(config)#interface serial 0
TTG2(config-if)#ip address 192.168.0.1 255.255.255.0
TTG2(config-if)# no shut
TTG2(config-if)#clock rate 64000
TTG2(config)#interface ethernet 0
TTG2(config-if)#ip address 10.1.0.1 255.255.0.0
TTG2(config-if)#no shut

TTG1(config)#interface serial 0
TTG1(config-if)#ip address 192.168.0.2 255.255.255.0
TTG1(config)#ip nat outside //cấu hình interface S0 là interface outside
TTG1(config)#interface ethernet 0
TTG1(config-if)#ip address 11.1.0.1 255.255.0.0
TTG1(config-if)#no shut
TTG1(config-if)#ip nat intside //Cấu hình interface E0 là interface inside

Chúng ta tiến hành cấu hình Static NAT cho TTG1 bằng câu lệnh :
TTG1(config)#ip nat inside source static 10.1.0.2 172.17.0.1
Câu lệnh trên có ý nghĩa là : các gói tin xuất phát từ PC2 khi qua router( vào từ interface E0) TTG1 ra ngoài( ra khỏi interface S0) sẽ được đổi địa chỉ IP source từ 11.1.0.2 thành địa chỉ 172.17.0.1 (đây là địa chỉ đã được đăng ký với ISP)
Chúng ta tiến hành đặt Static Route cho 2 Router TTG2 và TTG1.
TTG1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1

TTG2(config)#ip route 172.17.0.0 255.255.0.0 192.168.0.2

Địa chỉ 172.17.0.1 là Address đã được đăng ký. Trên thực tế ISP chỉ route xuống user bằng địa chỉ đã đăng ký này.
Để kiểm tra việc NAT của router TTG1 như thế nào chúng ta sử dụng câu lệnh sau:
TTG1#sh ip nat translation

Pro Inside global Inside local Outside local Outside global
--- 172.17.0.1 11.1.0.2 --- ---

Để kiểm tra router TTG1 chuyển đổi địa chỉ như thế nào chúng ta sử dụng câu lệnh debug ip nat trên router TTG1 và và ping từ PC1 đến PC2( hay interface loopback giả lập).



avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Fri Jul 31, 2009 1:12 am

Ta có thể sử dụng lệnh ping từ Router TTG2 vào bên trong Server( địa chỉ 172.17.0.1) của chúng ta,




Như vậy ở bên ngoài muốn tương tác được với Server ở bên trong phải truy cập vào địa chỉ IP là 172.17.0.1.
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

PAT

Post  telecom1988 on Fri Jul 31, 2009 1:15 am

II. CẤU HÌNH NAT OVERLOAD
1. Giới thiệu :
NAT (Network Address Translation) dùng để chuyển đổi các private address thành địa chỉ public address. Các gói tin từ mạng nội bộ của user gửi ra ngoài, khi đến router biên địa chỉ IP source sẽ được chuyển đổi thành địa chỉ public mà user đã đăng ký với ISP. Điều này cho phép các gói tin từ mạng nội bộ có thể được gửi ra mạng ngoài (Internet).
NAT có các loại : NAT static, NAT pool, NAT overload.
NAT static cho phép chuyển đổi một địa chỉ nội bộ thành một địa chỉ public.
NAT pool cho phép chuyển đổi các địa chỉ nội bộ thành một trong dãy địa chỉ public.
NAT overload cho phép chuyển đổi các địa chỉ nội bộ thành một địa chỉ public
Trong kỹ thuật NAT overload, router sẽ sử dụng thêm các port cho các địa chỉ khi chuyển đổi.

2. Các câu lệnh sử dụng trong bài lab :

ip nat {inside | outside}
Cấu hình interface là inside hay outside
ip nat inside source {list {access−list−number | name} pool name [overload] | static local−ip global−ip}
Cho phép chuyển địa chỉ nội bộ thành địa chỉ public
ip nat pool name start−ip end−ip {netmask | prefix−length prefix−length} [type rotary]
Tạo NAT pool
show ip nat translations
Xem các thông tin về NAT
debug ip nat
Xem hoạt động của NAT

3. Mô tả bài lab và đồ hình :








__
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Fri Jul 31, 2009 1:16 am

Đồ hình bài lab như hình trên. Router TTG1 được cấu hình inteface loopback0, loopback1, loopback2. Router TTG2 được cấu hình interface loopback 0. Hai router được nối với nhau bằng cáp Serial. Ta giả lập 3 lớp mạng lo0, lo1, lo2 là những mạng bên trong, khi các traffic ở bên trong mạng này đi ra ngoài ( ra khỏi S0) sẽ được chuyển đổi địa chỉ.

4. Cấu hình router :
Hai router được cấu hình các interface như sau :
TTG1#sh run
Building configuration...
Current configuration : 630 bytes
hostname TTG1
interface Loopback0
ip address 10.1.0.1 255.255.0.0
interface Loopback1
ip address 11.1.0.1 255.255.0.0
interface Loopback2
ip address 12.1.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
end

TTG2#sh run
Building configuration...
Current configuration : 644 bytes
hostname TTG2
interface Loopback0
ip address 13.1.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
end

Chúng ta cấu hình NAT trên router TTG1 theo các bước sau :
Bước 1 : Cấu hình các interface inside và outside
Trong bài lab này, chúng ta cấu hình cho các interface loopback của TTG1 là inside còn interface serial 0 là out side.
TTG1(config)#in lo0
TTG1(config-if)#ip nat inside
TTG1(config)#in lo1
TTG1(config-if)#ip nat inside
TTG1(config-if)#in lo2
TTG1(config-if)#ip nat inside
TTG1(config-if)#in s0
TTG1(config-if)#ip nat outside
TTG1(config-if)#exit

Bước 2 : Tạo access list cho phép mạng nào được NAT.
Chúng ta cấu hình cho phép mạng 10.1.0.0/16 và mạng 11.1.0.0/16 được cho phép, cấm mạng 12.1.0.0/16
TTG1(config)# access-list 1 deny 12.1.0.0 0.0.255.255
TTG1(config)#access-list 1 permit any

Bước 3 : Tạo NAT pool cho router TTG1
Cấu hình NAT pool tên TTG1 có địa chỉ từ 172.1.1.1/24 đến 172.1.1.5/24
TTG1(config)#ip nat pool TTG1 172.1.1.1 172.1.1.5 netmask 255.255.255.0

Bước 4 : Cấu hình NAT cho router
TTG1(config)#ip nat inside source list 1 pool TTG1 overload
Câu lệnh trên cấu hình overload cho NAT pool

Bước 5 : Định tuyến cho router
TTG1(config)#ip route 13.1.0.0 255.255.0.0 192.168.1.2
TTG2(config)#ip route 172.1.1.0 255.255.255.0 192.168.1.1
Lưu ý : đối với router TTG2, nếu ta định tuyến theo dạng :
TTG2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
thì chúng ta có thể ping thấy được các mạng ở trong router TTG1 (10.1.0.0/16, 11.1.0.0/16). Nhưng thực tế, ISP chỉ định tuyến xuống cho user bằng địa chỉ mà user đã đăng ký (Inside global address).

Bước 6 : Kiểm tra hoạt động của NAT
Chúng ta sẽ kiểm tra NAT bằng câu lệnh debug ip nat
TTG1#debug ip nat
IP NAT debugging is on
Sau khi bật debug NAT, chúng ta sẽ ping đến loopback0 của TTG2 từ loopback0 của TTG1.
Ta giả lập traffic từ host 10.1.0.1 đến mạng 13.1.0.1. Lúc này khi traffic của 10.1.0.1 qua S0 sẽ chuyển đổi địa chỉ.
TTG1#ping
Protocol [ip]:
Target IP address: 13.1.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 13.1.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/44 ms

TTG1#
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [190]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [190]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [191]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [191]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [192]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [192]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [193]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [193]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [194]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [194]
Từ kết quả trên ta thấy được, các gói tin từ mạng 10.1.0.1 đã được đổi source IP thành 171.1.1.1.
Sử dụng câu lệnh show ip nat translations để xem các thông về NAT
TTG1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 172.1.1.1:2459 10.1.0.1:2459 13.1.0.1:2459 13.1.0.1:2459
icmp 172.1.1.1:2460 10.1.0.1:2460 13.1.0.1:2460 13.1.0.1:2460
icmp 172.1.1.1:2461 10.1.0.1:2461 13.1.0.1:2461 13.1.0.1:2461
icmp 172.1.1.1:2462 10.1.0.1:2462 13.1.0.1:2462 13.1.0.1:2462
icmp 172.1.1.1:2463 10.1.0.1:2463 13.1.0.1:2463 13.1.0.1:2463
Các số được in đậm là port NAT sử dụng cho địa chỉ 10.1.0.1.
Lập lại các bước trên để kiểm tra NAT cho loopback 1, loopback 2 của router TTG1
TTG1#ping
Protocol [ip]:
Target IP address: 13.1.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 11.1.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 13.1.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/40/44 ms

TTG1#
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [210]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [210]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [211]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [211]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [212]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [212]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [213]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [213]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [214]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [214]

TTG1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 172.1.1.1:6407 11.1.0.1:6407 13.1.0.1:6407 13.1.0.1:6407
icmp 172.1.1.1:6408 11.1.0.1:6408 13.1.0.1:6408 13.1.0.1:6408
icmp 172.1.1.1:6409 11.1.0.1:6409 13.1.0.1:6409 13.1.0.1:6409
icmp 172.1.1.1:6410 11.1.0.1:6410 13.1.0.1:6410 13.1.0.1:6410
icmp 172.1.1.1:6411 11.1.0.1:6411 13.1.0.1:6411 13.1.0.1:6411

TTG1#ping
Protocol [ip]:
Target IP address: 13.1.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 12.1.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 13.1.0.1, timeout is 2 seconds:
…..
Success rate is 0 percent (0/5)
Đối với 12.1.0.1, chúng ta không ping ra ngoài được vì mạng 12.1.0.0/16 đã bị cấm
trong access list 1.
Đứng ở router TTG2, chúng ta ping xuống các loopback của router TTG1
TTG2#ping 10.1.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
TTG2#ping 11.1.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 11.1.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
TTG2#ping 12.1.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 12.1.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Nhận xét : tất cả đều không thành công Nguyên nhân là router TTG2 không có route nào đến các loopback của router TTG1. Trong thực tế, ta cũng có kết quả tương tự do ISP chỉ định tuyến xuống địa chỉ mà user đăng ký, còn các địa chỉ mạng bên trong của user thì không được ISP định tuyến.




___
avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  telecom1988 on Fri Aug 14, 2009 11:51 pm

avatar
telecom1988
Admin

Posts : 317
Join date : 2009-04-08
Age : 30
Location : 144 Xuan Thuy - Cau Giay - Ha Noi

View user profile http://banks.forum.st

Back to top Go down

Re: NAT-Network Address Translation

Post  Sponsored content


Sponsored content


Back to top Go down

Back to top

- Similar topics

 
Permissions in this forum:
You cannot reply to topics in this forum