Bài giảng NAT (Network Address Translation)

NAT ra bằng modem – Share Internet qua đường điện thoại. Dùng trong trường hợp không có đường nối kết Internet thường trực (dedicated). Hoặc dùng làm đường ra Internet dự phòng. a. Đặt vấn đề + Xem xét kịch bản 1: - Máy 1 gửi cho máy 2 một gói tin. Vì gói tin có địa chỉ nguồn và địa chỉ đích khác net nên sẽ ra default gateway E, tức là vào router R1.

pdf10 trang | Chia sẻ: vietpd | Lượt xem: 2577 | Lượt tải: 1download
Bạn đang xem nội dung tài liệu Bài giảng NAT (Network Address Translation), để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
291 Schedule & Contents.doc C - 1 Chủ đề 7 – NAT (Network Address Translation) Buổi 01 (12) – NAT 3. Routing on-Demand NAT ra bằng modem – Share Internet qua đường điện thoại. Dùng trong trường hợp không có đường nối kết Internet thường trực (dedicated). Hoặc dùng làm đường ra Internet dự phòng. a. Đặt vấn đề + Xem xét kịch bản 1: − Máy 1 gửi cho máy 2 một gói tin. Vì gói tin có địa chỉ nguồn và địa chỉ đích khác net nên sẽ ra default gateway E, tức là vào router R1. NAT − Tại R1, trong IP Routing Table chắc chắn phải có một route bình thường như sau để có thể route gói tin nói trên đến được máy 2: Switch Net 1 Router R1 A E Máy 1 Default Gateway về E Switch Net 2 B Máy 2 Router R2 Switch Net C / D Destination Network mask Interface Gateway C D A B Kịch bản này không có gì mới, chỉ là ôn lại kiến thức cũ (bài IP Routing). + Xem xét kịch bản 2: − Tại máy 1, user dùng Internet Explorer truy cập www.yahoo.com. Vì máy này có default gateway là E và prefer về DNS server của VNN, nên gói tin query DNS có địa chỉ đích public 203.162.4.1 sẽ đến router R1 để ra Internet. B LAN Switch Router R1 Modem ISP vnn1269 A Internet DNS Server của VNN 203.162.4.1 Máy 1 Web Client Default Gateway về E Prefer DNS về 203.162.4.1 E 291 Schedule & Contents.doc C - 2 − Hãy tạm gác các vấn đề về NAT tại router R1, chỉ xét khía cạnh routing. Như vậy trong IP Routing Table của R1 phải có một route như sau: Destination Network mask Interface Gateway 203.162.4.1 255.255.255.0 A B − Vấn đề thứ nhất cần phải xem xét, đó là không thể chứa quá nhiều route to network Destination Network mask Interface Gateway kiểu này trong IP Routing Table (làm sao biết trước các user sẽ gửi các gói tin đến những net nào trên Internet). Phải khai báo default route cho tổng quát: 0.0.0.0 0.0.0.0 A B − Vấn đề thứ hai là, nếu router R1 kết nối thường trực với Internet (leased-line, ADSL… ) thì địa chỉ IP public A và B có thể xem như là cố định và biết trước được. Tuy nhiên, nếu router R1 kết nối lên nhà cung cấp dịch vụ Internet (ISP) bằng modem qua đường điện thoại (PSTN)1 thì chuyện lại khác hẳn. Đó là tại thời điểm admin tạo default route trên, kết nối này vẫn chưa có – tức là A và B vẫn chưa được xác định – vì kết nối bằng modem qua đường PSTN không thể để thường trực được (không đủ tiền để trả cước điện thoại). Kết nối này sẽ chỉ được thiết lập khi cần ra Internet (on-demand), và trong mỗi lần kết nối như vậy, cặp địa chỉ IP public A và B không chắc gì giống như những lần trước. Nói cách khác, chính gói tin query DNS nói trên (hay những gói tin đi ra Internet tương tự) sẽ đi theo default route, kích hoạt modem quay số kết nối lên ISP để có được cặp địa chỉ public A và B. Cấu hình một default route trong tình thế như vậy gọi là routing on-demand. Destination Network mask Interface Gateway 0.0.0.0 0.0.0.0 ? ? cốt lõi n-dema ây dựng Interface theo một địa chỉ cụ thể, mà + Điểm của routing o nd là không x xây dựng theo tên của một demand-dial interface. Lúc đó giá trị Gateway sẽ bỏ trống luôn, hệ thống tự điền vào sau khi đã có kết nối. + đường điện thoại, phải theo các bước: rface public2. b. Lab Như vậy để share Internet bằng modem qua − Tạo một demand-dial interface hướng lên ISP. − Tạo default route đi ra từ interface này. − Khai báo interface này trong NAT là inte hực hiện hoàn chỉnh bài Lab này, cần có một line điện thoại, một máy tính làm router có một là đủ. ter trong bài NAT cũ sẽ disable Để t card LAN và một modem, một máy tính làm client có một card LAN. Trong lớp không có đủ line điện thoại, chỉ hướng dẫn cấu hình router Bước 1 - Chuẩn bị + Các máy làm rou server trong Routing and Remote Access. trắng default gateway. IP của card LAN chính là địa chỉ E trong hình + Control Panel chọn Phone and Modem Options để kiểm tra modem. + Disable card CROSS. + Enable card LAN, xóa minh họa bên trên (các máy tính client trong mạng LAN sẽ set default gateway về địa chỉ này). Trong 1 Kết nối với một server bằng modem qua đường PSTN chính là kết nối dial-up, một trong những dạng truy cập từ xa (Remote Acccess). Sẽ được học chi tiết về kết nối này trong bài sau. Ở đây ta chỉ là client, cấu hình hoàn toàn không có gì phức tạp, gần giống như ở máy tính gia đình tạo kết nối lên vnn1269. 2 Khai báo NAT ở đây y như đã học trong Phần 1 – NAT ra. NAT 291 Schedule & Contents.doc C - 3 − Nếu chưa có khai báo modem nào, tại trang Location Information chọn Vietnam, nhập code 84. Tab Modems, chọn nút Add để khai báo modem mới. Tại trang Add Hardware Wizard, nhớ chọn Don’t detect my modem. Chọn modem standard 56000 tại COM1. NAT 291 Schedule & Contents.doc C - 4 NAT − Nếu đã có khai báo sẵn các modem, remove các modem Not present. Bươ Access. Nhắp chuột phải tại server, chọn Configure and Enable Routing LAN routing để làm router và Demand-dial ùc 2 - Khai báo Demand-dial interface + Chạy chương trình Routing and Remote and Remote Access. − Tại trang Configuration, chọn Custom Configuration. − Trong trang Custom Configuration, chọn connections để làm routing on-demand. − Kết thúc wizard cấu hình, chọn Yes để start service. 291 Schedule & Contents.doc C - 5 NAT 291 Schedule & Contents.doc C - 6 + Trong console của Routing and Remote Access, tại node Network Interfaces, nhắp chuột phải để chọn New Demand-dial Interface. − Đặt tên cho interface này là vnn1269 vì sẽ hướng về ISP VNN. − Chọn kiểu kết nối dùng modem. − Chỉ ra modem đang có sẽ dùng để kết nối. − Nhập vào số điện thoại đã công bố của ISP. Ví dụ ở đây là 1269. − Trong trang Protocol and Security, để giá trị mặc định là Route IP packets on this interface. − Tại trang Static Routes for Remote Networks, không khai báo gì. − Khai báo Dial Out Credentials theo username và password mà ISP đã công bố. Ví dụ là vnn1269. NAT 291 Schedule & Contents.doc C - 7 (Chú ý: Vì ISP VNN không qui định mã hóa password khi gửi trên đường truyền, phải chỉnh lại properties của demand-dial interface vừa tạo: − Trong console Routing and Remote Access, chọn node Network Interfaces. Trong cửa Properties. ecured password tại sổ chi tiết bên phải, chọn interface vnn1269 vừa tạo. Nhắp chuột phải trên interface này, chọn − Trong tab Security, mục Security options, chọn lại Allow uns Validate my identity as follows.) NAT 291 Schedule & Contents.doc C - 8 Bước 3 - Tạo Default Route + Trong console Routing and Remote Access, bung node IP Routing ra, chọn subnode Static Routes. Nhắp chuột phải, chọn New Static Route. Khai báo default route qua interface vnn1269. Vì interface này thuộc loại demand-dial nên gateway sẽ có màu xám – không xác định. NAT 291 Schedule & Contents.doc C - 9 Bước 4 – Cấu hình NAT + Trong console Routing and Remote Access, bung node IP Routing, chọn subnode NAT/Basic Firewall. NAT 291 Schedule & Contents.doc C - 10 NAT − Nhắp chuột phải tại subnode NAT/Basic Firewall, chọn New Interface rồi chọn interface vnn1269. − Điều thú vị là chương trình Routing and Remote Access tự hiểu ngay đây là interface Public và đã enable NAT sẵn sàng luôn. − Nhắp chuột phải tại subnode NAT/Basic Firewall lần nữa, chọn New Interface rồi chọn interface LAN. Đương nhiên đây là interface private. + Để chắc ăn, đến đây phải restart service Routing and Remote Access. Với chương trình Routing and Remote Access, tại một thời điểm chỉ có một NAT interface được chọn làm public để giao tiếp với thế giới bên ngoài. Nếu muốn có hai NAT interface public (một giao tiếp bằng card, một giao tiếp bằng modem), bắt buộc phải setup hai máy tính làm NAT server riêng biệt. Với các chương trình firewall thương phẩm như ISA, cho phép tích hợp hai interface NAT public này vào một máy và hoàn toàn có thể switch qua lại giữa chúng.