Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Thực hiện PAT với địa chỉ cổng

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Thực hiện PAT với địa chỉ cổng

    Bùi Nguyễn Hoàng Long


    Thực hiện PAT với địa chỉ cổng


    I. Mô tả:
    Cho phép truy cập dịch vụ ngoài Internet với PAT dùng địa chỉ cổng.
    Lưu ý: Router GATEWAY nhận địa chỉ động từ DHCP (dãy địa chỉ 10.215.219.0/24) do Router ADSL cấp và địa chỉ của Router ADSL là 10.215.219.254, Router ADSL không thể hiện trong mô hình nhằm mục đích đơn giản, mô hình này cũng sử dụng cho những kịch bản sau.

    II. Cấu hình
    1. Cấu hình trên GATEWAY
    GATEWAY(config)#interface fa0/0
    GATEWAY(config-if)#ip address 192.168.2.2 255.255.255.0
    Cho phép nhận địa chi qua DHCP
    GATEWAY(config)#interface fa0/1
    GATEWAY(config-if)#ip address dhcp

    Định nghĩa mạng đuợc NAT hoặc PAT
    GATEWAY(config)#access-list 1 permit 192.168.2.0 0.0.0.255
    GATEWAY(config)#ip nat inside source list 1 interface fa0/1

    GATEWAY(config)#interface fa0/0
    GATEWAY(config-if)#ip nat inside
    GATEWAY(config)#interface fa0/1
    GATEWAY(config-if)#ip nat outside

    2. Cấu hình trên ASA
    ciscoasa(config)# hostname ASA

    Định nghĩa thông tin cổng inside
    ASA(config)# interface e0/0
    ASA(config-if)# ip address 192.168.1.1 255.255.255.0
    ASA(config-if)# nameif inside
    INFO: Security level for "inside" set to 100 by default.
    ASA(config-if)# no shut

    Định nghĩa thông tin cổng outsde
    ASA(config)# interface e0/1
    ASA(config-if)# ip address 192.168.2.1 255.255.255.0
    ASA(config-if)# nameif outside
    INFO: Security level for "outside" set to 0 by default.
    ASA(config-if)# no shut

    Trong truờng hợp này security-level được xác định sẵn, để thay đổi lại có thể dùng câu lệnh
    security-level

    Định nghĩa tuyến mặc định
    ASA(config)# route outside 0 0 192.168.2.2

    Xác định mạng được NAT hoặc PAT
    ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0

    Xác định NAT hoặc PAT trên cổng outside
    ASA(config)# global (outside) 1 interface
    INFO: outside interface address added to PAT pool

    III. Cấu hình đầy đủ
    ASA
    ASA Version 8.0(2)
    !
    hostname ASA
    enable password 8Ry2YjIyt7RRXU24 encrypted
    names
    !
    interface Ethernet0/0
    nameif inside
    security-level 100
    ip address 192.168.1.1 255.255.255.0
    !
    interface Ethernet0/1
    nameif outside
    security-level 0
    ip address 192.168.2.1 255.255.255.0
    !
    interface Ethernet0/2
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Management0/0
    shutdown
    no nameif
    no security-level
    no ip address
    management-only
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    ftp mode passive
    access-list PING extended permit icmp any any echo-reply
    global (outside) 1 interface
    nat (inside) 1 192.168.1.0 255.255.255.0
    access-group PING in interface outside
    route outside 0.0.0.0 0.0.0.0 192.168.2.2 1
    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect rsh
    inspect rtsp
    inspect esmtp
    inspect sqlnet
    inspect skinny
    inspect sunrpc
    inspect xdmcp
    inspect sip
    inspect netbios
    inspect tftp
    !
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:dba2db98f02aa720ff5cea67b371a558
    : end

    GATEWAY
    Building configuration...

    Current configuration : 726 bytes
    hostname GATEWAY
    !
    interface FastEthernet0/0
    ip address 192.168.2.2 255.255.255.0
    ip nat inside
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address dhcp
    ip nat outside
    duplex auto
    speed auto
    !
    ip nat inside source list 1 interface FastEthernet0/1 overload
    ip classless
    ip http server
    no ip http secure-server
    !
    access-list 1 permit 192.168.2.0 0.0.0.255
    !
    line con 0
    line aux 0
    line vty 0 4
    login
    !
    end


    IV. Kiểm tra
    Địa chỉ được nhận qua DHCP
    GATEWAY#sh ip interface brief
    Interface IP-Address OK? Method Status Protocol
    FastEthernet0/0 192.168.2.2 YES manual up up
    FastEthernet0/1 10.215.219.80 YES DHCP up up

    Trong truờng hợp một tuyến mặc định sẽ được tự động tạo ra, do đó không cần định nghĩa tuyến mặc định trong phần cấu hình

    GATEWAY#sh ip route static
    10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
    S 10.215.219.254/32 [254/0] via 10.215.219.254, FastEthernet0/1
    S* 0.0.0.0/0 [254/0] via 10.215.219.254

    Xác địng địa chỉ IP cho PC

    Truy cập Web thành công


    Trạng thái bảng NAT
    ASA(config)# sh xlate
    7 in use, 8 most used
    PAT Global 192.168.2.1(1028) Local 192.168.1.2(1066)
    PAT Global 192.168.2.1(1027) Local 192.168.1.2(1065)
    PAT Global 192.168.2.1(1026) Local 192.168.1.2(1064)
    PAT Global 192.168.2.1(1025) Local 192.168.1.2(1063)
    PAT Global 192.168.2.1(1026) Local 192.168.1.2(1060)
    PAT Global 192.168.2.1(1) Local 192.168.1.2(123)
    PAT Global 192.168.2.1(1025) Local 192.168.1.2(1054)

    Trạng thái kết nối
    ASA(config)# sh conn
    6 in use, 10 most used
    TCP out 118.214.2.70:80 in 192.168.1.2:1066 idle 0:00:44 bytes 1702 flags UIO
    TCP out 59.37.173.11:80 in 192.168.1.2:1065 idle 0:00:44 bytes 5849 flags UIO
    TCP out 69.89.22.108:80 in 192.168.1.2:1064 idle 0:00:44 bytes 137684 flags UIO
    TCP out 69.89.22.108:80 in 192.168.1.2:1063 idle 0:00:44 bytes 74999 flags UIO
    UDP out 192.168.4.9:6161 in 192.168.1.2:1060 idle 0:00:45 flags -
    UDP out 207.46.232.182:123 in 192.168.1.2:123 idle 0:01:20 flags -

    Mặc dù có thể truy phần lớn những dịch vị cần thiết ngòai Internet như http, pop3, smtp, ftp...
    Nhưng với icmp thì ASA không cho phép gói echo-reply được trả về



    Để giải quyết trường hợp này cần tạo chính sách cho echo-reply được trả về

    ASA(config)# access-list PING permit icmp any any echo-reply
    ASA(config)# access-group PING in interface outside




    ASA(config)# sh xlate
    1 in use, 8 most used
    PAT Global 192.168.2.1(2) Local 192.168.1.2 ICMP id 512

    Trạng thái bảng NAT
    GATEWAY#sh ip nat translations
    Pro Inside global Inside local Outside local Outside global
    tcp 10.215.219.80:1027 192.168.2.1:1027 59.37.173.11:80 59.37.173.11:80
    tcp 10.215.219.80:1028 192.168.2.1:1028 118.214.2.70:80 118.214.2.70:80
    tcp 10.215.219.80:1025 192.168.2.1:1025 69.89.22.108:80 69.89.22.108:80
    tcp 10.215.219.80:1026 192.168.2.1:1026 69.89.22.108:80 69.89.22.108:80
    udp 10.215.219.80:1026 192.168.2.1:1026 192.168.4.9:6161 192.168.4.9:6161
    tcp 10.215.219.80:1024 192.168.2.1:1024 64.4.52.189:80 64.4.52.189:80
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    thank cái nha.............................
    Kho Lanh - Cho Thue May Lanh - Phong Tru Lanh

    Comment


    • #3
      Cảm ơn thầy Long. Bài viết của thầy rất hữu ích với em

      Comment


      • #4
        Originally posted by
        [B
        1. Cấu hình trên GATEWAY[/B]
        GATEWAY(config)#interface fa0/0
        GATEWAY(config-if)#ip address 192.168.2.2 255.255.255.0
        Cho phép nhận địa chi qua DHCP
        GATEWAY(config)#interface fa0/1
        GATEWAY(config-if)#ip address dhcp

        Định nghĩa mạng đuợc NAT hoặc PAT
        GATEWAY(config)#access-list 1 permit 192.168.2.0 0.0.0.255
        GATEWAY(config)#ip nat inside source list 1 interface fa0/1

        GATEWAY(config)#interface fa0/0
        GATEWAY(config-if)#ip nat inside
        GATEWAY(config)#interface fa0/1
        GATEWAY(config-if)#ip nat outside
        Thầy Tuấn cho em hỏi là hình như trên Gataway này mình thiếu route để định tuyến đến mạng đích là internet???,do vậy cụ thể mình cần thêm lệnh ip route 0 0 fa0/1.
        Last edited by hoangtu_congngheIT; 16-03-2011, 01:30 AM.
        Nhiệt tình + Không biết >> Phá hoại

        Comment


        • #5
          Chào bạn,

          Trên cổng f0/1 của gateway có lệnh ip add dhcp =>cổng f0/1 sẽ nhận IP động, thường sẽ có luôn default-route nên không cần làm thêm câu lệnh ip route ...

          Đã có ghi chú thích phần trên
          Trong truờng hợp một tuyến mặc định sẽ được tự động tạo ra, do đó không cần định nghĩa tuyến mặc định trong phần cấu hình

          GATEWAY#sh ip route static
          10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
          S 10.215.219.254/32 [254/0] via 10.215.219.254, FastEthernet0/1
          S* 0.0.0.0/0 [254/0] via 10.215.219.254
          Phạm Minh Tuấn

          Email : phamminhtuan@vnpro.org
          Yahoo : phamminhtuan_vnpro
          -----------------------------------------------------------------------------------------------
          Trung Tâm Tin Học VnPro
          149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
          Tel : (08) 35124257 (5 lines)
          Fax: (08) 35124314

          Home page: http://www.vnpro.vn
          Support Forum: http://www.vnpro.org
          - Chuyên đào tạo quản trị mạng và hạ tầng Internet
          - Phát hành sách chuyên môn
          - Tư vấn và tuyển dụng nhân sự IT
          - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

          Network channel: http://www.dancisco.com
          Blog: http://www.vnpro.org/blog

          Comment


          • #6
            Originally posted by phamminhtuan View Post
            Chào bạn,

            Trên cổng f0/1 của gateway có lệnh ip add dhcp =>cổng f0/1 sẽ nhận IP động, thường sẽ có luôn default-route nên không cần làm thêm câu lệnh ip route ...

            Đã có ghi chú thích phần trên
            Em cũng đã xem qua thông tin trong phần "show ip route", thì thấy có S* nên em mới thắc mắc như vậy vì khi cấu hình ko thấy lệnh route nào.Thầy cho em hỏi, nghĩa là khi có lệnh ip add dhcp >> cổng f0/1 sẽ nhận ip động, đồng thời sẽ tạo luôn default-route đúng không ạ ?

            Ngoài cách cấu hình NAT trên Router trên. Mình có thể cấu hình Gateway đơn giản như sau:

            GATEWAY(config)#interface fa0/0
            GATEWAY(config-if)#ip address 192.168.2.2 255.255.255.0

            Cho phép nhận địa chi qua DHCP
            GATEWAY(config)#interface fa0/1
            GATEWAY(config-if)#ip address dhcp

            GATEWAY(config)#ip route 0 0 fa0/1
            Last edited by hoangtu_congngheIT; 16-03-2011, 07:01 PM.
            Nhiệt tình + Không biết >> Phá hoại

            Comment


            • #7
              Chào bạn,

              Bạn đúng rồi đó.
              Cách nào cũng được. Nếu dùng ip add dhcp thì dùng phù hợp khi có DHCP server cấp IP xuống cổng f0/1.

              Đối với dùng ip route 0 0 f0/1 thì có một số trường hợp gặp khó khăn trong môi trường multiaccess. (ví dụ cổng f0/1 nối với switch chẳng hạn)

              Tối ưu nhất là dùng lệnh ip route 0.0.0.0 0.0.0.0 x.x.x.x
              Phạm Minh Tuấn

              Email : phamminhtuan@vnpro.org
              Yahoo : phamminhtuan_vnpro
              -----------------------------------------------------------------------------------------------
              Trung Tâm Tin Học VnPro
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel : (08) 35124257 (5 lines)
              Fax: (08) 35124314

              Home page: http://www.vnpro.vn
              Support Forum: http://www.vnpro.org
              - Chuyên đào tạo quản trị mạng và hạ tầng Internet
              - Phát hành sách chuyên môn
              - Tư vấn và tuyển dụng nhân sự IT
              - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

              Network channel: http://www.dancisco.com
              Blog: http://www.vnpro.org/blog

              Comment


              • #8
                Thanks Thầy !
                Tối ưu nhất là dùng lệnh ip route 0.0.0.0 0.0.0.0 x.x.x.x
                Hi, trong cấu hình em cũng định làm theo như thầy nói, nhưng nhìn không thấy địa chỉ next-hop đâu, nên điền interface :D
                Nhiệt tình + Không biết >> Phá hoại

                Comment


                • #9
                  Làm ơn cho em hỏi chút. Trong bài cũng như phần show run ASA em không thấy chỗ nào là cho phép INSIDE sử dụng http mà đến phần test có máy truy cập web thành công là sao ạ???

                  Comment


                  • #10
                    Đối với thiết bị ASA, mặc định truy vấn các dịch vụ mạng từ vùng security-level sang vùng thấp hơn đều được allowed, ko cần ACL, trừ dịch vụ ICMP
                    Nhiệt tình + Không biết >> Phá hoại

                    Comment

                    Working...
                    X