Static NAT

Chào bạn,
Vẫn chạy được bình thường. Bạn thử phân tích với việc bạn NAT IP của server với IP Public
(khác IP của interface s0/0 dùng cho NAT Overload)

1. Client truy cập IP public
2. R1 của bạn chưa có mạng này trong bảng định tuyến -> đẩy ra default-route tới ISP.
3. ISP thấy mạng này của công ty bạn mua, ISP đẩy về lại router của bạn.
4. R1 của bạn lúc này mới NAT static để client của bạn có thể thông bằng IP public

Đính kèm là file PKT static NAT tương tự trường hợp bạn. Nhưng có giản lược bớt để bạn dễ hiểu hơn.
Bạn debug ip packet trên R1 và ISP để thấy rõ các gói tin đi ra sao.

Cám ơn bạn.

Dmz

Chào anh,

Cảm ơn anh đã dành thời gian trả lời câu hỏi của mình.

Nhưng trong mô hình của anh thì R1 chỉ có 2 interface, khi đó thì vẫn hoạt động bình thường.
Nếu sử dụng mô hình của mình (Server nằm trong vùng DMZ) gồm 3 Interface thì không được. (mình xin đính kèm theo mô hình Test-NAT.rar)

Khi bắt gói tin thì nó sẽ đi như sau:

• PC khởi tạo gói tin: SA=192.168.1.1, DA=1.1.1.1
• R1 Nat đi ra ngoài: SA=100.100.100.1, DA=1.1.1.1
• R1 định tuyến đến ISP: SA=100.100.100.1, DA=1.1.1.1
• ISP định tuyến ngược là R1: SA=100.100.100.1, DA=1.1.1.1
• R1 Nat đi vào: SA=100.100.100.1, DA=192.168.2.2
• Local Server nhận gói tin và trả lời lại: SA=192.168.2.2, DA=100.100.100.1
• Khi gói tin này tới R1, R1 sẽ phân tích như sau:
  • Interface tiếp nhận gói là f0/1 (NAT INSIDE)
  • Interface sẽ forward gói tin là s0/0 (NAT OUTSIDE)
  • Tuy nhiên địa chỉ Destination lại là R1 (s0/0)

Anh có thể cho mình thêm lời khuyên không?

Cám ơn anh.

Tiếp theo sau bước này,

Local Server nhận gói tin và trả lời lại: SA=192.168.2.2, DA=100.100.100.1

Mình xin mô tả tiếp.

Do 192.168.2.2 đẩy gói tin ra IP 100.100.100.1 (có next-hop là 100.100.100.1). Tức gói tin phải được đẩy ra 100.100.100.x (mạng thuộc interface se0/0). Mà cổng cần nhận gói là cổng f0/0. Do đó gói tin không thể nào đi tới 192.168.1.1 được.

Vì thế lúc này bạn cần nat overload trên IP khác lớp mạng với lớp mạng của interface serial 0/0. (như mình nói phía trả lời trên).
Ví dụ bạn có thể nat overload trên 1 IP cùng lớp mạng của dãy bạn đã nat static cho server (ví dụ nat overload trên IP 1.1.1.2 chẳng hạn)

Câu lệnh debug ip packet rất là hay cho việc troubleshooting nên bạn cần hiểu rõ các thông số trong lệnh nói lên điều gì

ví dụ:

Table 108 debug ip packet Field Descriptions

IP: Indicates that this is an IP packet.

s=172.69.13.44 (Fddi0): Indicates the source address of the packet and the name of the interface that received the packet.

d=10.125.254.1 (Serial2): Indicates the destination address of the packet and the name of the interface (in this case, S2) through which the packet is being sent out on the network.

g=172.69.16.2: Indicates the address of the next-hop gateway.

forward: Indicates that the router is forwarding the packet. If a filter denies a packet, "access denied" replaces "forward," as shown in the last line of output.

File đính kèm là bài router R1 có 3 interface đã làm và chạy ok cho việc bên trong nội bộ ping địa chỉ local hoặc địa chỉ public

Cám ơn bạn.

Cám ơn anh đã nhiệt tình trả lời, mình sẽ xem kỹ lại vấn đề này, nếu có gì thắc mắc sẽ làm phiền anh sau.
Chúc anh khỏe.

Chào anh Tuấn,

Mình vẫn còn thắc mắc, tại sao đối với các con Router ADSL bình thường, khi mình cấu hình một PC nào đó trong mạng LAN làm Webserver chẳng hạn, thì khi lấy 1 PC khác cũng trong mạng LAN truy cập vào địa chỉ Public của Router thì nó vẫn NAT vào Webserver được (Xem Web được).

Tuy nhiên với cấu hình NAT trên Router Cisco thì không được? (gói tin đến Router thì nó xác định là gói tin dành cho nó, nó trả lời luôn => Sai đối tượng)

Anh có thể hướng dẫn mình giải quyết vấn đề này không?

Cám ơn anh.

Up bài,
Sorry, không phải Spam nhen :(

Hic, có pro nào giải đáp giúp mình với :(

Mình vẫn chưa có hướng giải quyết vấn đề này, mong các bạn có thể giúp mình với...

mình xin trả lời thế này ko biết có đúng ko :D
bình thường khi bạn truy cập vào public IP của modem ADSL bình thường bạn sẽ vào trang quản trị của modem chứ ko phải webserver của bạn (cái này tùy modem :D)..trừ khi bạn dùng PAT port 80 trên modem trỏ về ip private của webserver..tương tự với cisco..nếu ko PAT trên cisco thì cisco sẽ nhận gói tin chứ ko gửi đến webserver

với mô hình trên của bạn thì vì bạn đã NAT inside trên 2 interface f0/0 và f0/1 của R1 nên ip public 1.1.1.1 là ko có tác dụng gì..mô hìn trên PC chỉ truy cập được vào server nếu trên cisco PAT port cần sử dụng vào ip server và PC truy cập vào server qua IP 100.100.100.1

Bạn chưa hiểu ý mình rồi,
Giờ mình chỉ lấy mô hình Router gồm có 2 Interface thôi, 1 mang địa chỉ Public (VD: 1.1.1.1), 1 mạng địa chỉ Private (VD: 172.16.1.200)

[LAN]-------------172.16.1.0/24--------------[ROUTER]---------------1.1.1.0/30--------------[Internet]

Để publish một máy tính trong mạng nội bộ ra ngoài (VD: Webserver) thì mình chỉ cần cấu hình PAT trên con Router là ok, nhưng:
- Nếu sử dụng Router ADSL bình thường thì các máy tính trong mạng LAN khi mở WebBrowser lên gõ địa chỉ Public (1.1.1.1) thì vào được trang web
- Nhưng nếu sử dụng Router Cisco, sau khi cấu hình xong thì mở WebBrowser lên gõ 1.1.1.1 thì không vào trang web được.

Giải thích cho vấn đề này là do Router Cisco thấy Destination IP Address là của nó => không forward gói tin ra ngoài => dịch vu PAT không hoạt động

Mình muốn cấu hình Router Cisco hoạt động giống Router ADSL bình thường, nhưng không biết cách nào hết, chương trình CCNA không đề cập đến, tham khảo trên mạng cũng không thấy.

Ai có kinh nghiệm thì chia sẻ với mình nghe.

Chân thành cám ơn các bạn đã quan tâm.

bạn cấu hình NAT tĩnh có kèm thêm port. Nếu từ ngoài truy cập vào thì phải chỉ thêm port. Ví dụ như

Cám ơn thầy Minh đã trả lời, tuy nhiên thầy vẫn chưa trả lời được vấn đề em thắc mắc.

Khi chúng ta cấu hình thực tế trên thiết bị thật (VD: Router ADSL Draytek) để publish 1 PC trong mạng LAN ra ngoài internet qua địa chỉ Public (VD:1.1.1.1) thì ta cấu hình PAT vào:
- 1.1.1.1:80 ---> 172.16.1.1:80 (địa chỉ của máy PC làm WebServer)

Sau khi cấu hình xong ta lấy 1 máy khác cùng mạng LAN với máy Webserver mở IE ra gõ: 1.1.1.1 (là địa chỉ Public) thì truy cập được bình thường

Nhưng khi cấu hình trên router Cisco thì lại không được => ngoài cấu hình PAT đơn thuần chắc phải còn cấu hình gì thêm nữa nhưng em kiếm không ra.

Mong thầy chỉ bảo.
Cám ơn thầy.

Hic, topic lai bị trùm mền nữa rồi [-o

traffic terminate tại router thì NAT ko xảy ra. Traffic transit qua lại router thì NAT mới bắt đầu thực hiện.