2. Case study 1
- Định ra hệ quy chiếu:
Code:
(config)#int f0/0
(config-if)#ip address 10.1.1.1 255.255.255.0
(config-if)#ip nat inside
(config)#int f0/1
(config-if)#ip address 10.5.1.1 255.255.255.0
(config-if)#ip nat outside
(config)#int s0/1.708
(config-if)#ip address 205.113.49.253 255.255.255.252
(config-if)#ip nat outside
- Tạo 2 pool IP inside global gồm 2 range IP của ISP1 và ISP2
Code:
(config)#ip nat pool ISP1 205.113.50.1 205.113.51.254 prefix-length 23
(config)#ip nat pool ISP2 207.36.76.1 207.36.77.254 prefix-length 23
- Tạo 2 ACL: ACL 1 chứa IP inside local, ACL 2 chứa IP next-hop của ISP 2
Code:
(config)#access-list 1 permit 10.0.0.0 0.255.255.255
(config)#access-list 2 permit 207.36.65.254
- Thực hiện NAT
Code:
(config)#ip nat inside source route-map ISP1_MAP pool ISP1
(config)#ip nat inside source route-map ISP2_MAP pool ISP2
- Route-map: là inside local nhưng ko đơn thuần là địa chỉ inside local mà nó đưa vào là 1 mệnh đề điều kiện
- ISP1, ISP2: là Pool inside global do ISP cấp
- Xét điều kiện của route-map:
Code:
Route-map ISP1_MAP permit 10
Match ip address 1
Match interface S0/1.708
Route-map ISP2_MAP permit 10
Match ip address 1
Match ip next-hop 2
- Mệnh đề điều kiện ISP1_MAP và phát biểu khẳng định số 10
Code:
Route-map ISP1_MAP permit 10
- Những lớp mạng được mô tả trong ACL số 1
- Interface thoát ra của nó là interface S0/1.708
- Nếu gói tin của anh là mạng 10.0.0.0 và Router điều khiển gói tin của anh thoát ra là interface s0/1.708 thì tôi sẽ dùng pool 1 để NAT ra cho anh
Code:
Ip nat inside source route-map ISP1_MAP pool ISP1
- Nghĩa là source IP của anh phải là mạng 10.0.0.0 và outgoing interface phải là s0/1.708 thì tôi mới NAT ra pool ISP1
- Nếu thỏa mãn điều kiện route-map ISP2_MAP thì tôi mới NAT ra pool ISP2 cho anh
Code:
Ip nat inside source route-map ISP2_MAP pool ISP2
- Nếu địa chỉ IP thuộc ACL 1 và IP next-hop của nó được mô tả trong ACL 2 thì tôi sẽ Nat bằng pool của ISP2
Code:
Route-map ISP2_MAP permit 10
- Những lớp mạng được mô tả trong ACL 1
- Địa chỉ IP trong next-hop trong ACL 2
- Match interface s0/1.708 chính là match next-hop. Interface s0/1.708 chính là interface outgoing
4. CASE Study 2: TCP Loadbalance
- Tạo Pool để mô tả IP inside Lobal và pool có thuộc tính “
rotary” nghĩa là xoay vòng giống như Round-Robin.
Code:
(config)#ip nat pool V-Server 192.168.1.2 192.168.1.4 prefix-length 24 type rotary
- Tạo ACL mô tả các IP inside Global
Code:
(config)#access-list 1 permit 199.198.5.1
- Địa chỉ inside Global của Router là 207.25.14.82 mà ở đây ACL lại sử dụng IP 199.198.5.1 vậy có sao ko ? nó nằm ở đây?
- 199.198.5.1 là do ISP cấp và nó ko cần thiết phải xuất hiện trọng hệ thống mạng của mình vì: Ở đây có 2 loại địa chỉ IP:
- Front IP: Là địa chỉ đấu nối với ISP. Vd: 207.35.14.82
- Route IP: Là range IP mà mình mua từ ISP. Hành động bán Range IP đó thực ra là ISP lên Route ISP thực hiện 1 lệnh Route range IP đó về Route của mình. Nghĩa là khi có ai đó muốn đến lớp mạng 199.198.5.1 thì gói tin sẽ chạy vể Router của mình. Khi đến Router mình thì Router của mình đã Route 199.198.5.1 vào bên trong của mình.
-Thực hiện NAT:
Code:
(config)#ip nat inside destination list 1 pool V-Server
- Destination: Ở đây ko phải source mà Destination vì mình sử dụng Pool để mô tả Inside Local, Acl mô tả inside Global nó bị ngược.
- Trong khi Source thì Pool là inside Global và Acl là inside Local. Nên ở đây phải đổi lại thành Destination.
- Vì ở đây đang thực hiện Roun-robin nên phải mượn Pool vì chỉ có Pool mới có chức năng xoay vòng “rotary”
5. CASE STUDY 3: Service Distribution
- Khi bên trong có nhiều server như : mail server, FTP/TFTP/syslog,web server …
- Địa chỉ inside globale: 199.198.5.1 là địa chỉ đại diện cho các server bên trong
Code:
(config)#interface f0/0
(config-if)#ip address 192.168.1.1 255.255.255.0
(config-if)#ip nat inside
(config)#interface s0/0
(config-if)#ip address 207.35.14.82 255.255.255.252
(config-if)#ip nat outside
- Thực hiện NAT
Code:
(config)#ip nat inside source static tcp 192.168.1.4 25 199.198.5.1 25 extendable
(config)#ip nat inside source static udp 192.168.1.3 514 199.198.5.1 514 extendable
(config)#ip nat inside source static udp 192.168.1.3 69 199.198.5.1 69 extendable
(config)#ip nat inside source static tcp 192.168.1.3 21 199.198.5.1 21 extendable
(config)#ip nat inside source static tcp 192.168.1.3 20 199.198.5.1 20 extendable
(config)#ip nat inside source static tcp 192.168.1.2 80 199.198.5.1 80 extendable
- Extendable: là từ khóa giúp các bạn gõ nhiều dòng tương tự
- Nếu ai gửi đến 199.198.5.1 port 25 thì Router sẽ chuyển cho thằng 192.168.1.4 port 25
- Nếu ai gửi đến 199.198.5.1 port 514 thì Router sẽ chuyển cho thằng 192.168.1.3 port 514
- Nếu ai gửi đến 199.198.5.1 port 69 thì Router sẽ chuyển cho thằng 192.168.1.3 port 69
- Giả sử WEB server ko mở port 80 mà mở port 8080 thì cần sửa lại câu lệnh như sau:
Code:
(config)#op nat inside source static tcp 192.168.1.2 8080 199.198.5.1 80 extendable
Code:
(config)#op nat inside source static tcp 192.168.1.2 8080 199.198.5.1 80 extendable