Mạng máy tính nâng cao - Công nghệ thông tin | Đại học Công nghệ Giao thông vận tải

NAT
1. Cấu hình NAT là gì? NAT (Network Address Translation) là một kỹ thuật cho
phép chuyển đổi từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường NAT được
sử dụng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy cập đến mạng công cộng
(Internet). Vị trí thực hiện NAT là Router biên kết nối giữa 2 mạng.
2. Ưu điểm và nhược điểm của NAT - Về ưu điểm
● Tiết kiệm địa chỉ IPv4: lượng người dùng truy cập internet ngày càng
tăng cao. Điều này dẫn đến nguy cơ thiếu hụt địa chỉ IPv4. Kỹ thuật NAT
sẽ giúp giảm thiểu được số lượng địa chỉ IP cần sử dụng
● Giúp che giấu IP bên trong mạng LAN
● NAT có thể chia sẻ kết nối internet cho nhiều máy tính, thiết bị di động
khác nhau trong mạng LAN chỉ với một địa chỉ IP public duy nhất
● NAT giúp nhà quản trị mạng lọc được các gói tin đến và xét duyệt quyền
truy cập của IP public đến 1 port bất kỳ - Về nhược điểm
Bên cạnh những ưu điểm dễ nhận thấy trên, NAT cũng tồn tại một số nhược điểm, hạn chế sau:
● Khi dùng kỹ thuật NAT, CPU sẽ phải kiểm tra và tốn thời gian để thay
đổi địa chỉ IP. Điều này làm tăng độ trễ trong quá trình switching. Làm
ảnh hưởng đến tốc độ đường truyền của mạng internet
● NAT có khả năng che giấu địa chỉ IP trong mạng LAN nên kỹ thuật viên
sẽ gặp khó khăn khi cần kiểm tra nguồn gốc IP hoặc truy tìm dấu vết của gói tin
● NAT giấu địa chỉ IP nên sẽ khiến cho 1 vài ứng dụng cần sử dụng IP
không thể hoạt động được 3. Phân loại NAT a) Static Nat: -
Static NAT được dùng để chuyển đổi một địa chỉ IP này sang một địa chỉ khác một
cách cố định, thông thường là từ một địa chỉ cục bộ sang một địa chỉ công cộng và
quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ ánh xạ chỉ định
rõ ràng tương ứng duy nhất. Static NAT rất hữu ích trong trường hợp những thiết bị
cần phải có địa chỉ cố định để có thể truy cập từ bên ngoài Internet. Những thiết bị
này phổ biến là những Server như Web, Mail,... - Cấu hình Static NAT
● Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và địa chỉ đại điện bên ngoài.
Router (config) # ip nat inside source static [local ip] [global ip]
● Xác định các cổng kết nối vào mạng bên trong và thực hiện lệnh
Router (config-if) # ip nat inside
● Xác định các cổng kết nối ra mạng công cộng bên ngoài thực hiện lệnh Router(config- if) # ip nat outside - Ví dụ:
Router (config) # ip nat inside source static 192.168.1.100 202.1.1.10
Router (config) # interface fa0/0
Router (config-if) # ip nat inside
Router (config) # interface s0/0/0
Router (config-if) # ip nat outside b) Dynamic NAT -
Dynamic NAT được dùng để ánh xạ một địa chỉ IP này sang một địa chỉ khác một
cách tự động, thông thường là ánh xạ từ một địa chỉ cục bộ sang một địa chỉ được
đăng ký. Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định
trước đều có thể được gán một thiết bị bên trong mạng. - Cấu hình Dynamic NAT
● Xác định dải địa chỉ đại diện bên ngoài (public):các địa chỉ NAT
Router (config) # ip nat pool [name start ip] [name end ip] netmask [netmask]/prefix-lenght [prefix-lenght]
● Thiết lập ACL cho phép những địa chỉ nội bộ bên trong nào được chuyển đổi: các địa chỉ được NAT
Router (config) # access-list [access-list-number-permit] source [source-wildcard]
● Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL với dải địa chỉ đại diện ra bên ngoài.
Router (config) # ip nat inside source list pool
● Xác định các cổng kết nối vào mạng nội bộ
Router (config-if) # ip nat inside
● Xác định các cổng kết nối ra bên ngoài
Router (config-if) # ip nat outside -
Ví dụ: Cấu hình cho mô hình trong hình trên
Router (config) # ip nat pool abc 202.1.1.177 202.1.1.185 netmask 255.255.255.0
Router (config) # access-list 1 permit 192.168.1.0 0.0.0.255
Router (config) # ip nat inside source list 1 pool abc
Router (config) # interface fa0/0
Router (config-if) # ip nat inside
Router (config) # interface s0/0/0
Router (config-if) # ip nat outside c) NAT Overload -
Nat Overload là một dạng của Dynamic NAT, nó thực hiện ánh xạ nhiều địa chỉ IP
thành một địa chỉ (many - to - one) và sử dụng các địa chỉ số cổng khác nhau để phân
biệt cho từng chuyển đổi. NAT Overload còn có tên gọi là PAT (Port Address
Translation). Chỉ số cổng được mã hóa 16 bit, do đó có tới 65536 địa chỉ nội bộ có thể
được chuyển đổi sang một địa chỉ công cộng. - Cấu hình NAT Overload
● Xác định dãy địa chỉ bên trong cần chuyển dịch ra ngoài (private ip addresses range)
Router (config) # access-list permit
● Cấu hình chuyển đổi địa chỉ IP sang cổng nối ra ngoài
Router (config) # ip nat inside source list interface overload
● Xác định các cổng nối vào mạng bên trong và nối ra mạng bên ngoài đối với các cổng
nối vào mạng bên trong: Router (config-if) # ip nat inside
● Đối với nối ra mạng bên ngoài: Router (config-if) # ip nat outside Frame relay
1. Giới thiệu về Frame Relay
Khi một doanh nghiệp có nhiều chi nhánh nằm cách xa nhau cần phải kết nối thì ta có thể thuê các đường
Leased-Line sử dụng công nghệ PPP. Đường Leased-Line có ưu điểm là một đường vật lý riêng biệt cho
chúng ta, nhưng chi phí cao và đắt.
Ngoài công nghệ PPP người ta còn sử dụng công nghệ Frame Relay, ATM để đấu nối WAN.
Frame Relay là một dạng công nghệ mở rộng LAN vào trong mạng WAN.
● Frame Relay hoạt động ở tầng 2 của mô hình OSI.
● Khi kết nối nhiều mạng chi nhánh lại ta chỉ cần một đường vật lý từ Switch chạy Frame Relay. Từ
một đường vậy lý này Swich chạy Frame Relay sẽ chạy tạo ra nhiều đường kết nối ảo (Virtual Circuits).
● Các gói tin này sẽ được đóng theo dạng Frame Relay.
● Frame Relay trên Switch sẽ thiết lập trước các đường đi. Đảm bảo độ tin cậy cho truyền tin.
2. Thuật ngữ của công nghệ Frame Relay
a. Xét các Router kết nối các mạng của một doanh nghiệp
Nếu sử dụng đường Leased-Line thì 4 Router phải mất 12 đường vật lý kết nối.
Nếu sử dụng Frame Relay thì 4 Router chỉ mất 4 đường vật lý kết nối tới Swich chạy Frame Relay của nhà cung cấp dịch vụ. b. Các thuật ngữ
Đường vật lý kết nối các router về Switch Frame Relay gọi là Local Access Loop.
● Đường Local Access Loop có tốc độ bằng một đường T1 = 1,544 Mbps/s
● Tốc độ truy nhập của đường Local Access Loop được gọi là Access Rate, nó chỉ nằm ở phần truy
cập từ Router tới nhà cung cấp dịch vụ ISP mà thôi.
Các Router trao đổi thông tin với Switch Frame Relay bằng các bản tin LMI (Local Management Interface):
● LMI dùng để theo dõi kết nối từ Router khách hàng lên Frame Relay Switch.
● Các giá trị trong LMI là DLCI (Data Link connection Identifier). DLCI dùng để định danh các
đường mạch ảo thường trực PVC (Permanent Virtual Circuits). Bốn đường ảo sẽ có 4 DLCI khác nhau.
● DLCI chỉ có giá trị trong nội bộ một đường vật lý (từ Switch Frame Relay về Router). Sang đường
vật lý khác có thể điền giá trị DLCI giống nhau.
Đường PVC (Permanent Virtual Circuits): là đường mạch ảo thường trực, nó được thiết kế liên tục ổn
định. Khi các Router không trao đổi dữ liệu đường này vẫn tồn tại.
● Khi thuê đường PVC thì chúng ta sẽ có cam kết với nhà cung cấp dịch vụ về tốc độ đường truyền, được gọi là CIR
● CIR (committed information rate): là tốc độ thực sự của đường PVC đơn vị là (bps). Nếu người
dùng gửi quá tốc độ cho phép của CIR thì sẽ có bít DE bật lên xử lý.
● Bit DE (Discard Eligibility): khi người dùng gửi các Frame vào lớn hơn tốc độ cho phép thì sẽ
được đánh dấu bằng bit DE, bình thường truyền sẽ không sao nhưng khi có sự nghẽn mạng thì
những Frame này sẽ bị hủy bỏ.
● Bit FECN (Forward Explicit Congestion Notification): là bit chỉ báo đang có nghẽ. Khi frame đi
vào sẽ được đánh bit này. Khi bị nghẽn nó sẽ chuyển lên các tầng bên trên cho các giao thức
TCP/UDP xử lý để truyền chậm lại
● Bit BECN (Backward Explicit Congestion Notification): là báo nghẽn chiều ngược lại (FECN là
chiều gói tin đi, BECN là chiều về)
Đường SVC (switched virtual circuits): có tính chất quay số. Khi Router gửi dữ liệu thì được thiết lập. Khi
Router gửi xong thì ngắt kết nối.
3. Các kiểu sơ đồ đấu nối Frame Relay
Kiểu Full Mesh: Các Router có các đường kết nối dùng để backup cho nhau
Kiểu Star (Hub-and-Spoke): Các Router có một đường kết nối tới một Router chính. Khả năng dự phòng
không cao (giống mạng LAN của chúng ta nhưng thay bằng Router. Nhưng giá thành thuê đường truyền
lại thấp hơn nhiều so với Full Mesh
Kiểu Partial-Mesh: Một số node nào quan trọng thì cho kết nối backup, cái nào không quan trọng thì bỏ qua.
Môi trường Frame Relay: là môi trường đa truy nhập. Nó không thể gửi gói tin Broadcast từ các Router
này tới Router kia được.
4. Frame Relay Subinterfaces
Giả sử sau khi các Router chạy định tuyến với nhau bằng giao thức Distance Vector nào đó (RIP, EIGRP).
Thì Router R thấy được mạng A, R thấy được B, R thấy được C. Nhưng các Router sẽ không thấy được
mạng của nhau vì nó sử dụng tính năng Split Horizon. Tính năng Split Horizone sẽ không gửi quảng bá
những bảng định tuyến nó đã học trở về cổng đó.
Giải pháp khắc phục là người ta chia Subinterfaces: Chia Subinterface trên cổng S0/0 tương ứng với 3
đường. Ở đây chia Subinterface trên cổng WAN.
5. Frame Relay Address Mapping
Khi đưa dữ liệu xuống đóng thì cần phải tương quan giữa lớp 3 và lớp 2
Số DLCI sẽ gán cho các đường PVC kết nối tới Router
Khi chuyển gói tin tương quan giữa IP đầu xa và DLCI đầu gần sẽ sử dụng 2 cơ chế: Inverse ARP (tự động
map) hoặc Frame Relay Map (điền bằng tay)
6. Cấu hình Frame Relay
a. Cấu hình cơ bản: R1(config)# int s0/0/0 R1(config-if)# no shut
R1(config-if)# ip add 10.0.0.1 255.255.2550
R1(config-if)# encapsulation Frame-Relay (không dùng câu lệnh này nó sẽ đóng gói theo HDLC)
R1(config-if)# no Frame-relay IARP
R1(config-if)# Frame-relay map IP 10.0.0.2 102 broadcast (Frame relay không gửi broadcast nên nó phải giả broadcast).
b. Cấu hình Point to Point R1(config)# int s0/0/0 R1(config-if)# no shut
R1(config-if)# encapsulation Frame-Relay R1(config-if)# exit
R1(config)#interface serial 0/0/0 102 point-to-point
R1(config-if)#ip address 10.0.0.1 255.255.2550
R1(config-if)# frame-relay interface-dlci 102 R1(config-if)# exit
R1(config)#interface serial 0/0/0 103 point-to-point
R1(config-if)#ip address 10.0.0.1 255.255.2550
R1(config-if)# frame-relay interface-dlci 103 R2(config)# int s0/0/0 R2(config-if)# no shut
R2(config-if)# encapsulation Frame-Relay R2(config-if)# exit
R2(config)#interface serial 0/0/0 201 point-to-point
R2(config-if)#ip address 10.0.0.2 255.255.2550
R2(config-if)# frame-relay interface-dlci 201 R2(config-if)# exit
R2(config)#interface serial 0/0/0 103 point-to-point
R2(config-if)#ip address 10.0.0.2 255.255.2550
R2(config-if)# frame-relay interface-dlci 203
c. Cấu hình Multipoint R1(config)# int s0/0/0 R1(config-if)# no shut
R1(config-if)# encapsulation Frame-Relay => R1(config-if)# exit
=> R1(config)#interface s0/0/0.102 multipoint
=> R1(config-if)#ip address 10.17.0.1 255.255.2550
=> R1(config-if)# frame-relay map ip 10.17.0.2 120 broadcast
=> R1(config-if)# frame-relay map ip 10.17.0.3 130 broadcast
=> R1(config-if)# frame-relay map ip 10.17.0.4 140 broadcast
d. Các lệnh kiểm tra
R1# show interface s0/0/0 (kiểm tra Frame relay trên cổng) R1# show frame-relay LMI R1# Show frame-relay map
7 Hiệu suất của Frame Relay
Frame Relay hỗ trợ tốc độ dữ liệu của các dòng T1 và T3 tiêu chuẩn - 1,544 Mbps và 45
Mbps, tương ứng, với các kết nối riêng lẻ xuống tới 56 Kbps. Nó cũng hỗ trợ kết nối cáp lên đến 2,4 Gbps.
Mỗi kết nối có thể được cấu hình với tỷ lệ thông tin cam kết (CIR) mà giao thức duy trì
theo mặc định. CIR đề cập đến tốc độ dữ liệu tối thiểu mà kết nối sẽ nhận được trong điều
kiện sân khấu ổn định (và có thể vượt quá khi liên kết vật lý cơ bản có đủ dung lượng dự
phòng để bù cho tit). Frame Relay không hạn chế hiệu năng tối đa của CIR mà còn cho phép
lưu lượng bùng nổ, nơi kết nối có thể tạm thời (thường trong tối đa 2 giây) vượt quá CIR của nó.
8. Các vấn đề với Frame Relay
Frame Relay truyền thống cung cấp một cách hiệu quả về chi phí cho các công ty viễn thông
để truyền dữ liệu qua một khoảng cách dài. Công nghệ này đã giảm phổ biến khi các công ty
đang dần dần di chuyển các triển khai của họ sang các giải pháp dựa trên Giao thức Internet (IP) khác .
Nhiều năm trước, nhiều chế độ chuyển không đồng bộ (ATM) và Frame Relay là đối thủ
cạnh tranh trực tiếp. Công nghệ ATM khác đáng kể so với Frame Relay, tuy nhiên - sử dụng
độ dài cố định thay vì các gói có độ dài thay đổi và đòi hỏi phần cứng đắt hơn để hoạt động.
Frame Relay cuối cùng phải đối mặt với sự cạnh tranh mạnh mẽ hơn từ MPLS - Chuyển đổi
nhãn đa giao thức. Các kỹ thuật MPLS đã trở nên được sử dụng rộng rãi trên các bộ định
tuyến Internet để cho phép các giải pháp Mạng Riêng Ảo (VPN) hiệu quả mà trước đó đã yêu
cầu Frame Relay hoặc các giải pháp tương tự.
Giao thức xác thực CHAP (Challenge-handshake authentication protocol)
Tạm dịch là giao thức xác thực thử thách-bắt tay. Tại sao lại thử thách - bắt tay. Ta sẽ đi tìm
hiểu từng khái niệm để làm rõ giáo thức này. Chap là mô hình xác thực dựa trên username và
password. Ta xét trường hợp 2 router sử dụng giao thức xác thực Chap. Router 1 và Router 2
có cùng một password chung được thiết lập trước đó. Router 1 muốn kết nối đến router 2 thì
nó phải chứng minh được rằng nó nắm bí mật (chính là password) giữa chúng. Khác với giao
thức PAP truyền pass dưới dạng clear text. Giao thức Chap truyên một giá trị hash mà giá trị
đầu vào là password và các trường khác. Để vượt qua được thử thách thì giá trị hash sau khi
tính toán của 2 bên phải giống nhau Các bước như sau
Bước 1: Router1 Gửi yêu cầu kết nối tới Router 2
Bước 2: Router2 sẽ gửi lại Router 1 một bản tin có các trường chính sau đây: -
01 - Xác định loại bản tin là: challenge -
ID - Xác định phiên đó - trường này có tác dụng chống hình thức tấn công gửi lại khi
bên thứ 3 bắt được gói tin -
random - số ngẫu nhiên sinh bởi Router 2 -
Router2 - Tên xác thực của nó - Tên của router 2 .tên này sẽ có trong cơ sở dữ liệu
của router 1 và tương ứng sẽ là password kèm theo user này.
Bước 3: Route1 nhận được bản tin challenge(code=01) sẽ xử lý như sau: -
Lấy ID, random ở bản tin challenge gửi sang, rồi căn cứ vào tên xác thực là router2 để
tìm ra password xác thực. - lúc này router 1 đã có các thông tin như : ID, số ngẫu
nhiên và password tương ứng với username router 2 -
3 thông số đó được lấy làm đầu vào hàm băm MD5 Hash. Đầu ra là một giá trị gọi là số hash. -
Sau khi xử lý xong, Router 1 sẽ gửi lại Router2 một bản tin có code =02, gọi là bản tin response. -
Trong bản tin này có 2 trường vẫn giữ nguyên giá trị như bản tin challenge là: ID và
random. Ngoài ra còn có thêm kết quả của hàm hash, tên xác thực của Router1 cũng được gửi đi.
Bước 4: Router 2 nhận được kết bản tin response từ Router1. Nó tìm kiếm password tương
ứng với username mà nó nhận được. -
Sau đó nó cũng tính toán giá trị MD5 Hash với 3 thông số đầu vào: ID, random và password vừa tim. -
Cuối cùng nó so sánh giá trị 2 hàm Hash: giá trị nó tự tính toán và giá trị nó nhận được. Bước 5: -
Nếu giá trị nó tính và giá trị nó nhận được giống nhau thì gửi bản tin có code=03, success -
Nếu không giống nhau thì gửi bản tin có code=04, faild
Nếu Router1 nhận được bản tin code=03 thì quá trình xác thực kết thúc.s
Còn không thì xác thực ko thành công và kết nối bị faild