Minh dang su dung mot mang LAN, mot Router Cisco 1700, mot firewall SonicWAll. He thong cua minh noi truc tiep Internet qua duong Leased line. De an toan minh can phai NAT vay Cac ban co the cho minh biet phai NAT dia chi IP nhu the nao day? Mong cac ban giup minh nha. Cam on cac ban rat nhieu.

Cấu hình NAT cơ bản:

---(10.1.1.5/24:E0)---RouterA---(s0:195.1.1.4)--------Internet

Giả sử bạn có 4 máy mang địa chỉ 10.1.1.1, 10.1.1.2, 10.1.1.3, 10.1.1.4 khi đi ra ngoài sẽ đổi thành địa chỉ 195.1.1.1.

hostname routerA
!
ip nat pool globalpool 195.1.1.1 195.1.1.1 netmask 255.255.255.0 <- định nghĩa 1 pool địa chỉ mạng ngoài
!
ip nat inside source list 1 pool globalpool overload<- định nghĩa 1 pool địa chỉ mạng trong

!
interface Ethernet0
ip address 10.1.1.5 255.255.255.0
ip nat inside

!
interface Serial0
ip address 195.1.1.4 255.255.255.0
ip nat outside
!
access-list 1 permit 10.1.1.2
access-list 1 permit 10.1.1.3
access-list 1 permit 10.1.1.1
access-list 1 permit 10.1.1.4
! Định nghĩa IP được phép NAT
!
line con 0
line vty 0 4
login
!
end

:roll: :roll: :roll:
chào Andri !
NAT k chỉ để antoàn,mà còn để bạn giao tiếp với bên ngoài Internet và ngược lại.
Lý do là trên Internet các địa chỉ đều là public IP ,bạn phải bỏ tiền ra thuê,và có sự quản lý chặt chẽ.
Còn bên trong LAN,bạn dùng private IP,cái này free,thường nằm ở những dạng sau:192.168....., 172.16.....,10.....bạn có thể dùng chúng tùy thích!
Chình vì lẽ đó,ai ai cũng dùng.Khi ấy làm sao bạncó thể nhận biết 1 IP 10.10.10.10 là đến từ đâu giống như nhận biết 203.162.39.190là đến từ vùng Đông Nam Á (quy định chung trên toàn thế giơi)!
Chút kiến thức mọn,mong chia xẻ.
Mến

hi
Mình không rõ là SonicWAll firewall là thiết bị phải cấ hình ra sao, nhưng nối vơi hệ thống có Pix cisco và router cisco thì thông thuong là Nat trên PIX. Bạn sẽ không có nhiều Ip thực do đó bạn dùng PAT cho các PC ra internet.
thân chào

Cám ơn các bạn rất nhiều về các thông tin bổ ích. SonicWALL firewall config truc tiep trên Web va nó tự động NAT luôn nhưng có một vấn đề là khi mình tháo firewall ra thì mạng của mình không truy xuất ra bên ngoài được. Các bạn cho mình hỏi là mình phải config trên Router thế nào để không cần firewall mà vẩn truy xuất Internet, mail được ( NAT va sercurity luôn).

hi andri,
Khi bạn bỏ pix , muốn các PC ra internet thì bạn phải cấu hình Nat trên router, cách cấu hình như là Neo đã hướng dẫn đó.
Thân chào

Cám ơn bạn. Cho mình hỏi về lổi của Router mình đang xài. Mình config ok rồi nhưng serial 0/1 luon change từ up sang down, khi mình dùng shut va no shut thi nó up trở lại, một lát sau thi nó lại change to down. Các bạn có thể cho mình biết có fải cổng serial bị lổi không, mình đã chuyển sang serial 0/2 0/3 nhưng vẩn bị như vậy.Thanks.

Interface up, line down -> đường truyền
Interface down, line down -> cổng.

hi
Minh thì nghĩ khác với TGA_Certificationteam
Interface up, line down : lỗi logic, có thể là encapsulation sai
Interface down, line down , lỗi do đường truyền hay cáp hư, cũng có thể là csu/dsu hư
(hu ve mat vat ly)
Mong các bạn cho thêm ý kiến
thân chào

Hi Andri,
Bạn thử dùng lệnh (config-if)#clock rate 64000 trên router của bạn xem còn bị lỗi này không.

hi Neo,
Router cấu hình internet thì không bao giờ bạn được quyền phát clock đâu :D
Thân chào

Đúng vậy khi đó clock là do thiết bị đầu cuối của nhà cung cấp dịch vụ cung cấp trên đường truyền mà họ cho mình thuê

Hi all,
Mình có một vấn đề:
Khi sử dụng NAT/PAT trên cisco router, mình có thể từ bên ngoài trỏ gateway đến router làm NAT/PAT, sau đó ping vào bên trong NAT/PAT được khi mình biết chính xác số IP bên trong.
Vấn đề là như thế nào, mong được sự trà lời của các anh chị.

Vuongxibul

Mình không nghĩ như bạn nói, nếu từ môi trường global (với IP thực) bạn chỉ có thể dùng lệnh ping đến các IP thực được NAT 1=1 mà thôi, còn đối với các Private IP dùng PAT (dùng 1 IP thực cho tất cả các client) thi bạn sẽ không thể ping đến được dù bạn biết được chi tiết về các private IP đó.


Thân.

Hi Huynhle,
Đúng theo lý thuyết thì chúng ta không thể ping như thế được,
nhưng mình đã làm một lab như sau:

host1 ---- PAT(Router) ----- PAT(Router) ----- host2

từ host2 có thể ping được host1 một cách ngon lành. chẳng có trở ngại nào. Không hiểu nổi.
Nhưng đối với Cisco PIX thì tất nhiên là không được.

Thân chào.

Wow..

Vụ này mình chưa thử bao giờ, nhưng nó cũng được xem như là một kinh nghiệm trong thực tế. :D

Thân

Quan điểm của Huynhle hoàn toàn chính xác

Xin hỏi:

mặc dù không được quyền phát clock khi kết nối Internet, nhưng trong config vẫn có dòng lệnh phát Clock thì nó có hoạt động không?

Vẫn hoạt động bình thường , Khi router được cắm vào NTU có cấp clock từ nhà cung cấp dịch vụ thì trên cấu hình của router sẽ không nhìn thấy clock trên đó nữa ,

Khi cấu hình router khi Serial Interface dạng DTE thì dùng lệnh clock rate sẽ báo là câu lệnh này chỉ áp dụng cho DCE.