BÀI 5: CONFIGURING THE ADVANCED FUNCTIONS ON CISCO IOS

1. NAT-PAT:
a. Giới thiệu về NAT-PAT:
NAT (Network Address Translation) được đề xuất bởi RFC 1631 trở nên phổ biến trong các hệ thống mạng ngày nay, nó hỗ trợ hầu hết các hệ thống mạng, các thiết bị firewall và ứng dụng.

NAT ra đời giúp cho việc sử dụng địa chỉ IP hiệu quả hơn. Như ta đã biết địa chỉ IPv4 có 24 biết về mặt lý thuyết ta có thể sử dụng lên đến 4,294,967,296 địa chỉ IP (2^32). Nhưng trên thực tế số địa chỉ sử dụng được khoảng 3.2 tỉ, bởi vì các địa chỉ IP được phân chia theo lớp A, B, C, D (multicasting), E (broadcasting và các chức năng khác). Chúng ta cũng đã nghe nói về không gian địa chỉ IP lớn hơn là IPv6. Lược đồ địa chỉ mới này đang được đón dùng nhưng tuy nhiên còn khá nhiều khó khăn.

NAT cho phép các host ở mạng trong có thể truy xuất mạng Internet được gán bởi không gian địa chỉ IP Public.




______________________________________________________________________________________________________________________

b. Static NAT:
Static NAT còn được gọi là inbound mapping.


Trong mô hình thì ta dễ dàng thấy mỗi địa chỉ IP Private được map bởi một địa chỉ IP Public.

Ví dụ: Triển khai Static NAT như hình dưới đây
Mạng nội bộ nối đến Router qua cổng Fast Ethernet f0/0, Router nối đến ISP qua cổng Serial s0/1/0



Cấu hình Static NAT:
Bước 1:
Kích hoạt Static NAT:

Router(config)# ip nat inside source static 192.168.0.10 203.31.218.60
Router(config)# ip nat inside source static 192.168.0.20 203.31.218.55

Bước 2:
Thiết lập NAT inside và outside:
- Thiết lập cổng f0/0 là cổng inside:

Router(config)# interface f0/0
Router(config-if)# ip nat inside

- Thiết lập cổng s0/1/0 là cổng outside:

Router(config-if)# interface s0/1/0
Router(config-if)# ip nat outside


______________________________________________________________________________________________________________________

c. Dynamic NAT:
Dynamic NAT cho phép nhiều host nội bộ truy cập Internet bởi việc gán cho mỗi host với một địa chỉ IP public duy nhất trong một session. Một khi host nội bộ ngừng gửi và nhận từ Internet, thì NAT router sẽ xoá các giá trị đã gán cho host đó trong NAT table để dành địa chỉ IP public đó cho host nội bộ kế tiếp.

Mô hình LAB:
Trong hình dưới đây mô tả các máy tinh nội bộ truy cập Internet thông qua Router, Router được kết nối đến ISP thông qua cổng serial. Công ty thuê bao một range số IP public Class C: 200.2.2.0/29 (255.255.255.248). Điều đó có nghĩa là công ty được sử dụng các địa chỉ IP Public sau đây: 200.2.2.1 - 200.2.2.6.



Trong trường hợp trên, chúng ta dùng hai địa chỉ IP: một cho cổng serial trên Router 200.2.2.1 và một cho Router của ISP 200.2.2.6. Do đó pool địa chỉ IP Public có thể dùng cho dynamic NAT là: 200.2.2.2 - 200.2.2.5.

Cấu hình Dynamic NAT
Bước 1: Chúng ta cần tạo một Access Control List (ACL) cho phép các host các mạng nội bộ sẽ truy cập Internet. Việc tạo ACL sử dụng Standard hay Extended là tuỳ vào yêu cầu của hệ thống mạng. Trong trường hợp này tôi tạo Extended ACL như sau:

R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any

Bước 2: Tạo một pool các địa chỉ IP Public để Router gán cho các host nội bộ khi truy cập ra Internet. Mỗi lần một host gửi một packet ra Internet, Router se tự động gán một địa chỉ IP Public cho session đó. Khi session kết thúc, dữ liệu NAT của session đó sẽ ngừng và địa chỉ IP Public đó được rảnh rỗi và trả về cho Dynamic NAT pool.
Cách định nghĩa một NAT Pool:

R1(config)# ip nat pool Dynamic_NAT 200.2.2.2 200.2.2.5 prefix-length 29

Bước 3: Chúng ta gán ACL đã tạo ở bước 1 vào NAT pool tên Dynamic_NAT để điều khiển các host sẽ được gán một địa chi IP Public khi truy cập Internet.

R1(config)# ip nat inside source list 100 pool Dynamic_NAT

Bước 4: Thiết lập NAT inside và ouside trên các cổng của Router.
Thiết lập cổng fast ethernet 0/0 là cổng inside:

R1# configure terminal
R1(config)# interface fastethernet0/0
R1(config-if)# ip nat inside

Bước kế tiếp ta thiết lập cổng serial S0/0 là cổng outside:

R1(config-if)# interface serial0/0
R1(config-if)# ip nat outside
R1(config-if)# exit


Kiểm tra hoạt động của Dynamic NAT
Khi xem Dynamic NAT table bạn có thể dễ dàng kiểm tra được các host bên trong có được gán một địa chỉ IP Public tự động trong pool mà bạn đã cấu hình chưa.

R1# show ip nat translations
Pro.. Inside global .......Inside local .......Outside local .......Outside global
---.. 200.2.2.2.......... 192.168.0.6........---....................---
---.. 200.2.2.3...........192.168.0.8........--- ...................---

Như hình hiển thị ở trên, hai host bên trong 192.168.0.6 & 192.168.0.8 đã được gán một địa chỉ IP Public bên ngoài từ pool mà ta đã tạo trước ở trên.

Chúng ta có thế xoá bảng các tranlation ở trên bằng lệnh:

R1#clear ip nat translation *

Cuối cùng, bạn có thể xem bảng thống kê dịch vụ Dynamic NAT. Điều này sẽ giúp cho bạn giám sát Dynamic NAT pool và các địa chỉ IP Public:

R1# show ip nat statistics
Total active translations: 2 (0 static, 2 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
FastEthernet0/0
Hits: 8968 Misses: 2
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 100 pool Public_IPS refcount 2
pool PUBLIC: netmask 255.255.255.0
start 200.2.2.2 end 200.2.2.5
type generic, total addresses 4, allocated 2 (50%), misses 0



______________________________________________________________________________________________________________________

d. Nat Overload - PAT:
NAT Overload còn được xem là PAT (Port Address Translation).

Mục đích chính của PAT là che giấu địa chỉ IP private của mạng inside sử dụng địa chỉ IP Public. Và giả như ta có một mạng nội bộ có khoảng 100 host với 100 địa chỉ IP private thì khi truy cập internet sử dụng một địa chỉ mặt ngoài để giao tiếp cùng với các TCP/UDP port. Do đó NAT overload thường được sử dụng trong các doanh nghiệp.

Mô hình LAB:
Hình bên dưới gồm có một mạng nội bô kết nối đến Router và Router kết nối đến ISP thông qua cổng serial. Công ty thuê bao địa chỉ IP Class C: 200.2.2.0/30 (255.255.255.252). Địa chỉ 200.2.2.1 được gán lên cổng serial của Router trong công ty còn địa chỉ 200.2.2.2 sẽ được dùng ở Router ISP.

Mục đích của chúng ta trong bài Lab này là cấu hình NAT Overload (PAT) để cung cấp cho các máy trạm ở mạng trong truy cập Internet sử dụng chỉ một địa chỉ IP Public 200.2.2.1 kết hợp với TCP/UDP port ứng dụng nguồn.



Configure NAT Overload - PAT (Port Address Translation)
Bước 1:
Chúng ta tạo một Access Control List (ACL) cho phép các host trong mạng truy xuất các mạng và các giao thức. Bạn có thể sử dụng standard hoặc extended access lists tuỳ thuộc vào yêu cầu của hệ thống mạng công ty. Trong trường hợp này tôi tạo extended access-list:

R1(config)# access-list 100 permit ip 192.168.0.0 0.0.0.255 any

Bước 2:
Kích hoạt NAT overload và bind no lên outside interface:

R1(config)# ip nat inside source list 100 interface serial 0/0 overload

Bước 3:
Thiết lập NAT inside và outside:
- Thiết lập cổng fast ethernet 0/0 là cổng inside:

R1(config)# interface fastethernet0/0
R1(config-if)# ip nat inside

- Thiết lập cổng serial S0/0 là cổng outside:

R1(config-if)# interface serial0/0
R1(config-if)# ip nat outside


Kiểm tra hoạt động NAT Overload:

R1# show ip nat translations
Pro Inside global ...........Inside local .........Outside local .......Outside global
udp 200.2.2.1:53427 .192.168.0.6:53427 ..74.200.84.4:53 ...74.200.84.4:53
udp 200.2.2.1:53427 .192.168.0.6:53427 ..195.170.0.1:53 ...195.170.0.1:53
tcp 200.2.2.1:53638 .192.168.0.6:53638 ..64.233.189.99:80 .64.233.189.99:80
tcp 200.2.2.1:57585 .192.168.0.7:57585 ..69.65.106.48:110 .69.65.106.48:110
tcp 200.2.2.1:57586 .192.168.0.7:57586 ..69.65.106.48:110 .69.65.106.48:110

Các hiển thị ở trên chúng ta thấy có hai host Inside local là 192.168.0.6 và 192.168.0.7 được gán bởi chỉ một địa chi IP Public 200.2.2.1 kết hợp với TCP/UDP port ứng dụng nguồn khi truy cập ra Internet.

a. Hoạt động của DHCP:




b. Các bước cấu hình DHCP:
Bước 1: Định nghĩa các dãy các địa chỉ loại trừ dành đặt tĩnh cho các cổng Router, Servers, Printers...



Bước 2: Tạo DHCP pool sử dụng lệnh ip dhcp pool



Bước 3: Cấu hình các đặc tính của pool đã tạo.




Ví dụ minh hoạ:



Ta cấu hình DHCP trên Router R1 cấp IP tự động cho mạng LAN1 192.168.10.0 như sau:




c. Cấu hình DHCP Relay:
Giả sử trong hệ thống mạng đã có DHCP Server đặt ở LAN2, khi đó ta chỉ cần cấu hình DHCP Relay trên Cisco Router để cấp phát IP tự động cho LAN1.
Bước 1: Trước tiên trên DHCP bạn cũng phải xây dựng LAN1 pool để cấp địa chỉ IP tự động cho LAN1 (xem hướng dẫn ở phần b.).
Bước 2: Cấu hình DHCP Relay sử dụng tính năng ip helper-address <dhcp_server_IP_address> trên Cisco Router như sau:

I. Mô hình LAB:




II. Yêu cầu thực hiện:
1. Cấu hình trên NAT Router:
a. Cấu hình DHCP cấp cho các LAN1, LAN2 và LAN3.
b. Cấu hình định tuyến.
c Cấu hình NAT sao cho các LAN truy cập được internet.

2. Cấu hình trên R1 Router:
a. Cấu hình DHCP Relay.
b. Cấu hình định tuyến với default route.


Hướng dẫn thực hiện:

1. Cấu hình trên NAT Router:
a. Cấu hình DHCP cho các LAN:
----------------------------Tạo pool cấp IP cho LAN1------------------------------
NAT_Router(config)# ip dhcp pool LAN1
NAT_Router(dhcp-config)# network 192.168.1.0 255.255.255.128
NAT_Router(dhcp-config)# default-router 192.168.1.1
NAT_Router(dhcp-config)# dns-server 192.168.1.100
NAT_Router(dhcp-config)# exit
NAT_Router(config)# ip dhcp excluded-address 192.168.1.100
NAT_Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9

----------------------------Tạo pool cấp IP cho LAN2------------------------------
NAT_Router(config)# ip dhcp pool LAN2
NAT_Router(dhcp-config)# network 192.168.2.0 255.255.255.192
NAT_Router(dhcp-config)# default-router 192.168.2.1
NAT_Router(dhcp-config)# dns-server 192.168.1.100
NAT_Router(dhcp-config)# exit
NAT_Router(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.9

----------------------------Tạo pool cấp IP cho LAN3------------------------------
NAT_Router(config)# ip dhcp pool LAN3
NAT_Router(dhcp-config)# network 192.168.3.0 255.255.255.224
NAT_Router(dhcp-config)# default-router 192.168.3.1
NAT_Router(dhcp-config)# dns-server 192.168.1.100
NAT_Router(dhcp-config)# exit
NAT_Router(config)# ip dhcp excluded-address 192.168.3.1 192.168.3.9

b. Cấu hình định tuyến tĩnh:
NAT_Router(config)# ip route 192.168.2.0 255.255.255.192 s1/0
NAT_Router(config)# ip route 192.168.3.0 255.255.255.224 s1/0

c. Cấu hình NAT Overload qua interface s1/1 (PAT):
NAT_Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.127 any
NAT_Router(config)# access-list 100 permit ip 192.168.2.0 0.0.0.63 any
NAT_Router(config)# access-list 100 permit ip 192.168.3.0 0.0.0.31 any
NAT_Router(config)# ip nat inside source list 100 interface s1/1 overload
NAT_Router(config)# interface s1/1
NAT_Router(config-if)# ip nat outside
NAT_Router(config-if)# interface f0/0
NAT_Router(config-if)# ip nat inside
NAT_Router(config-if)# interface s1/0
NAT_Router(config-if)# ip nat inside


2. Cấu hình trên Router R1:
a. Cấu hình DHCP Relay:
R1(config)# interface f0/0
R1(config-if)# ip helper-address 1.0.0.1
R1(config-if)# interface f1/0
R1(config-if)# ip helper-address 1.0.0.1

b. Cấu hình default route:
R1(config)# ip route 0.0.0.0 0.0.0.0 s2/0


Các bạn có thể tham khảo bài làm mẫu trên Cisco Packet Tracer 5.3 tại đây: [url=http://www.mediafire.com/file/xc4gwg2eyqd59xd/LAB1-DHCP, ROUTE, NAT- Ung dung cho he thong mang doanh nghiep.pkt]LAB1-DHCP, Route, NAT[/url]

Cisco Discovery Protocol (CDP) là giao độc quyền của Cisco dùng để thu thập thông tin về các thiết bị lân cận. Khi sử dụng giao thức CDP, bạn có thể biết được thông tin phần cứng, phần mềm của các thiết bị gần kề. Thông tin này rất hữu ích trong quá trình xử lý sự cố hay kiểm soát các thiết bị trong một hệ thống mạng.

Xét mô hình mạng dưới đây:




1. Để xem thông tin mặc định của CDP trên thiết bị Cisco ta dùng lệnh show cdp:
R1# show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
R1#

Chúng ta có thể dùng lệnh cdp timer và cdp holdtime để đặt lại thời gian gởi và thời gian giữ gói cho router.
– CDP timer là chu kỳ gởi gói CDP tới tới tất cả cổng đang hoạt động.
– CDP holdtime là khoảng thời gian thiết bị giữ gói nhận được từ láng giềng.

R1(config)#cdp timer 30
R1(config)#cdp holdtime 90

Bạn có thể tắt hòan tòan giao thức CDP trong thiết bị Cisco với lệnh no cdp run. Để tắt CDP trên một cổng sử dụng câu lệnh no cdp enable trên cổng đó.


2. Xem thông tin về thiết bị nối trực tiếp bằng lệnh show cdp neighbor .

R1#show cdp neighbors

Code:

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID    Local Intrfce  Holdtme    Capability  Platform    Port ID
Switch      Fas 0/0          159            S      2950        Fas 0/1
Switch      Fas 1/0          158            S      2950        Fas 0/1
Router      Ser 2/0          160            R      C2800      Ser 1/0

Một lệnh khác cho biết thông tin về các thiết bị láng giềng là show cdp neighbor detail, cũng có thể chạy trên router và switch.
Ngoài ra, lệnh show cdp entry * cũng hiển thị thông tin tương tư.̣
Lệnh show cdp traffic hiển thị lưu lượng tại cổng gồm cả số gói CDP gởi nhận và bị lỗi :


3. Xem thông tin trạng thái CDP trên port hay interface bằng lệnh show cdp interface.
Chúng ta có thể tắt CDP hoàn toàn trên router bằng lệnh no cdp run. Tuy nhiên, muốn tắt CDP trên từng cổng ta dùng lệnh no cdp enable.
Trên router, show cdp interface cho thông tin về từng cổng dùng CDP, gồm cả dạng đóng gói trên đường truyền, timer và holdtime trên mỗi cổng.

R1#show cdp interface

Code:

R1#show cdp interface
FastEthernet0/0 is up, line protocol is up
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
FastEthernet1/0 is up, line protocol is up
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
Serial2/0 is up, line protocol is up
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
Serial3/0 is administratively down, line protocol is down
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
FastEthernet4/0 is administratively down, line protocol is down
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
FastEthernet5/0 is administratively down, line protocol is down
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds

Tắt CDP trên một cổng

R1(config)#interface f0/0
R1(config-if)#no cdp enable

Ta dùng lệnh show cdp interface để kiểm tra lại sự thay đổi đó.

R1#show cdp interface

Code:

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#int f0/0
R1(config-if)#no cdp enable
R1(config-if)#^Z
R1#
R1#show cdp int
R1#show cdp interface
FastEthernet1/0 is up, line protocol is up
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
Serial2/0 is up, line protocol is up
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
Serial3/0 is administratively down, line protocol is down
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
FastEthernet4/0 is administratively down, line protocol is down
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
FastEthernet5/0 is administratively down, line protocol is down
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds

Ta thấy cổng f0/0 không được liệt kê khi thực hiện lệnh trên, nếu dùng lệnh cdp enable trên f0/0, cổng này sẽ hiển thị lại.