Cart is empty
Kiến thức - Kỹ thuậtCấu hình NAT trên Router Cisco: Static NAT, Dynamic NAT và PAT (NAT Overload)
Cấu hình NAT trên Router Cisco: Static NAT, Dynamic NAT và PAT (NAT Overload)
Bài viết hướng dẫn cách cấu hình NAT trên router Cisco bao gồm các phương pháp phổ biến như Static NAT, Dynamic NAT và PAT (NAT Overload). Nội dung trình bày nguyên lý hoạt động của NAT, các bước cấu hình trên Cisco IOS và cách kiểm tra bảng NAT trong hệ thống mạng doanh nghiệp.
1. NAT trên Router Cisco là gì?
Network Address Translation (NAT) là cơ chế cho phép router chuyển đổi địa chỉ IP từ private IP trong mạng nội bộsang public IP khi truy cập Internet và ngược lại.
Mục đích chính của NAT gồm:
-
Tiết kiệm địa chỉ IPv4 công cộng
-
Ẩn địa chỉ IP nội bộ của hệ thống mạng
-
Cho phép nhiều thiết bị nội bộ truy cập Internet thông qua một hoặc vài địa chỉ public IP
Khi gói tin đi qua router, NAT sẽ thay đổi địa chỉ IP nguồn hoặc địa chỉ IP đích trước khi gửi ra ngoài mạng.
2. Các loại NAT phổ biến trên Cisco Router
Trong Cisco IOS, NAT thường được triển khai dưới ba dạng chính.
2.1 Static NAT
Static NAT là ánh xạ 1-1 giữa private IP và public IP.
Ví dụ
INTERNET
Public Network
|
203.0.113.10
|
+-------------------+
| Cisco Router |
| Static NAT |
+-------------------+
|
192.168.1.10
Web Server
|
192.168.1.0/24
Local Network
Static NAT Mapping
Inside Local Inside Global
--------------------------------
192.168.1.10 → 203.0.113.10
| Private IP | Public IP |
|---|---|
| 192.168.1.10 | 203.0.113.10 |
Static NAT thường được sử dụng cho:
-
Web server
-
Mail server
-
FTP server
Vì các dịch vụ này cần địa chỉ public cố định để truy cập từ Internet.
Ví dụ cấu hình:
ip nat inside source static 192.168.1.10 203.0.113.10
Cấu hình này tạo một ánh xạ vĩnh viễn giữa hai địa chỉ IP.
2.2 Dynamic NAT
Dynamic NAT sử dụng pool địa chỉ public IP để chuyển đổi cho các thiết bị trong mạng nội bộ.
Khi một thiết bị gửi traffic ra Internet:
-
Router sẽ lấy một địa chỉ từ NAT pool
-
Ánh xạ tạm thời với private IP
Sau khi kết nối kết thúc, mapping sẽ bị xóa khỏi bảng NAT.
Ví dụ cấu hình:
INTERNET
Public Network
|
NAT Pool: 203.0.113.100-110
|
+-------------------+
| Cisco Router |
| Dynamic NAT |
+-------------------+
| | |
192.168.1.10 192.168.1.11 192.168.1.12
PC-1 PC-2 PC-3
\ | /
\ | /
\ | /
192.168.1.0/24
Local Network
Dynamic NAT Table
Inside Local Inside Global
--------------------------------
192.168.1.10 → 203.0.113.100
192.168.1.11 → 203.0.113.101
192.168.1.12 → 203.0.113.102
ip nat pool PUBLIC_POOL 203.0.113.100 203.0.113.110 netmask 255.255.255.0
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 pool PUBLIC_POOL
2.3 PAT (NAT Overload)
PAT (Port Address Translation) là dạng NAT phổ biến nhất hiện nay.
PAT cho phép:
-
nhiều thiết bị nội bộ
-
sử dụng cùng một địa chỉ public IP
Router sẽ phân biệt các phiên kết nối bằng port number.
Ví dụ:
INTERNET
Public Network
|
203.0.113.5
|
+-------------------+
| Cisco Router |
| PAT NAT |
+-------------------+
| | |
192.168.1.10 192.168.1.11 192.168.1.12
PC-1 PC-2 PC-3
\ | /
\ | /
\ | /
192.168.1.0/24
Local Network
PAT Translation Table
Inside Local Inside Global
------------------------------------------
192.168.1.10:1025 → 203.0.113.5:30001
192.168.1.11:1026 → 203.0.113.5:30002
192.168.1.12:1027 → 203.0.113.5:30003
| Private IP | Port | Public IP |
|---|---|---|
| 192.168.1.10 | 1025 | 203.0.113.5 |
| 192.168.1.11 | 1026 | 203.0.113.5 |
Ví dụ cấu hình PAT:
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface GigabitEthernet0/1 overload
Trong cấu hình này:
-
tất cả thiết bị trong mạng 192.168.1.0/24
-
sẽ truy cập Internet bằng IP của interface WAN.
3. Các bước cấu hình NAT trên Cisco Router
Để cấu hình NAT trên Cisco IOS, cần thực hiện các bước sau.
3.1 Xác định interface inside và outside
Trước tiên cần xác định:
-
Inside interface: mạng nội bộ
-
Outside interface: mạng Internet
Ví dụ:
interface GigabitEthernet0/0
ip nat inside
interface GigabitEthernet0/1
ip nat outside
3.2 Tạo Access Control List
ACL được dùng để xác định những địa chỉ IP nội bộ nào sẽ được NAT.
Ví dụ:
access-list 1 permit 192.168.1.0 0.0.0.255
ACL này cho phép toàn bộ mạng 192.168.1.0/24 được NAT.
3.3 Cấu hình NAT
Sau khi tạo ACL, router sẽ sử dụng ACL để thực hiện NAT.
Ví dụ PAT phổ biến:
ip nat inside source list 1 interface GigabitEthernet0/1 overload
Cấu hình này cho phép toàn bộ mạng LAN truy cập Internet bằng IP WAN của router.
4. Cấu hình Static PAT (Port Forwarding)
Static PAT được dùng khi cần public một dịch vụ từ mạng nội bộ ra Internet.
Ví dụ:
-
Web server nội bộ: 192.168.1.10:80
-
Public IP: 203.0.113.10
Cấu hình:
ip nat inside source static tcp 192.168.1.10 80 203.0.113.10 80
Router sẽ chuyển tất cả traffic:
203.0.113.10:80 → 192.168.1.10:80
Phương pháp này thường dùng để:
-
mở port web server
-
publish mail server
-
publish camera hoặc hệ thống nội bộ.
5. Kiểm tra trạng thái NAT
Sau khi cấu hình NAT, có thể kiểm tra bằng các lệnh sau.
5.1 Kiểm tra bảng NAT
show ip nat translations
Lệnh này hiển thị:
-
địa chỉ private IP
-
địa chỉ public IP
-
port mapping
5.2 Kiểm tra thống kê NAT
show ip nat statistics
Hiển thị:
-
số lượng NAT translation
-
số packet đã được NAT.
5.3 Debug NAT
debug ip nat
Lệnh này giúp theo dõi quá trình NAT khi router xử lý packet.
6. Xóa bảng NAT
Trong một số trường hợp cần reset bảng NAT.
Ví dụ:
clear ip nat translation *
Lệnh này sẽ xóa toàn bộ các NAT translation hiện có trên router.
7. Kết luận
NAT là một tính năng quan trọng trên router Cisco giúp:
-
cho phép nhiều thiết bị nội bộ truy cập Internet
-
tiết kiệm địa chỉ IPv4
-
bảo vệ hệ thống mạng nội bộ
Trong Cisco IOS, NAT thường được triển khai dưới ba dạng chính:
-
Static NAT
-
Dynamic NAT
-
PAT (NAT Overload)
Trong thực tế triển khai mạng doanh nghiệp, PAT là phương pháp được sử dụng phổ biến nhất để cho phép toàn bộ mạng LAN truy cập Internet thông qua một địa chỉ public IP.
