Embed Size (px)
Citation preview
Cấu hình NAT – PT version 1.0
updates 03.05.2009
Biên tập : Trần Mỹ Phúc
Email : [email protected]
Tel : 0168.5656.400
1. Tổng Quan
• Nat-PT cho phép 2 thiết bị truyền thông được với nhau : một chỉ hỗ trợ Ipv6 và một thiết bị chỉ hỗ trợ Ipv4.
• Tùy thuộc vào yêu cầu , bạn có thể dùng 4 cách sau : (Tương tự với NAT cho Ipv4)– Static NAT-PT.– Dynamic NAT-PT.– PAT (NAT overload.)– IPv4 mapped.
2. Mô hình mạng
Mô tả về bài thực hành• Tình huống : Một hôm nào đó , sau khi đi hội thảo về triển khai Ipv6,
sếp vội kêu bạn lên bàn làm việc và phân công : “ Anh triển khai một phần bộ mạng công ty chúng ta sang Ipv6 hết! Tôi thấy nó hay đấy..” Thôi , đành phải bấm bụng làm rồi . Hì hục một thời gian chuyển đổi hết nhưng giờ thì lại phát sinh chuyện rằng , “ Những phần kia vẫn dùng Ipv4 mà , sao để cho nó truyền thông đây? Bởi vì :
– Tất cả các host bên trong phần này nhìn ra thế giới với tấm áo của Ipv6– Thế giới không biết chuyện gì đã xảy ra trong phần mạng nội bộ .
• Cả 2 mạng Ipv6 và Ipv4 nói chuyện với nhau chỉ có 1 cách duy nhất là thông qua Router biên (Border router)—công cụ biết cả 2 ngôn ngữ, Chính vì vậy, router biên mặc nhiên phải chạy dual-stack Ipv4 và Ipv6, border router sẽ dịch ngôn ngữ Ipv6 <->Ipv4.
• Nhiệm vụ chúng ta là cho các interface fa0/0 trên các Routerv6_ truyền thông được với interface fa0/0 : 192.168.40.200/24 Routerv4_1
Mạng được nhìn dưới ngôn ngữ Ipv4
Mạng được nhìn dưới ngôn ngữ Ipv6
3.Điểm lưu ý
• Trong phần mạng còn lại – chạy IPv4 sẽ được dịch ra Ipv6 hosts như sau :– XXXX::YYYY/96 , YYYY là dạng HEX của địa chỉ Ipv4 mạng
ngoài, vì thế 192.168.40.200 sẽ là c0a8:28c8.
• Trong bài LAB của chúng ta 192.168.40.200 sẽ được nhìn thấy bằng ngôn ngữ Ipv6 là : 2001::c0a8:28c8/96 và lập luận trên được cấu hình trong IOS bằng cách apply NAT-prefix (Configuration hay interface mode)
• ipv6 nat prefix 2001::/96• ipv6 nat v4v6 source 192.168.40.200 2001::C0A8:28C8
• Điều trên được áp dụng cho tất cả những phương pháp NAT-PT ngoại trừ Ipv4-mapped (Chúng ta sẽ xem xét sau)
Type 1 : STATIC NAT-PT
Address translation
Mạng bên trong
Hướng chuyển đổi
Mạng IPv4
Giao thức IPv6 IPv4
v6v4
2001:a:b:c::1/64 ====> 192.168.40.1
2001:a:b:c::2/64 ====> 192.168.40.2
2001:a:b:c::3/64 ====> 192.168.40.3
v4v6 2001:c018:28c8/96 <==== 192.168.40.200
Cấu hình
!! Interface nằm bên side Ipv6interface FastEthernet0/0
no ip addressipv6 address 2001:A:B:C::4/64!! Bật IPv6 NAT
ipv6 nat!!! Interface nằm bên side Ipv4interface FastEthernet1/0
ip address 192.168.40.199 255.255.255.0!! Bật IPv6 NAT
ipv6 nat!!!! Bất kỳ packet Ipv6 nào có đích 2001::c0a8:28c8 sẽ được dịch thành một địa chỉ đích Ipv4 :
192.168.40.200ipv6 nat v4v6 source 192.168.40.200 2001::C0A8:28C8!! Bất kỳ packet Ipv6 nào với source là 2001:a:b:c:X với X=1,2,3 sẽ được dịch lần lượt thành một địa chỉ
Ipv4 192.168.40.X with X=1,2,3ipv6 nat v6v4 source 2001:A:B:C::1 192.168.40.1ipv6 nat v6v4 source 2001:A:B:C::2 192.168.40.2ipv6 nat v6v4 source 2001:A:B:C::3 192.168.40.3!! Tất cả những địa chỉ đích 2001::/96 sẽ được kiểm tra bởi NAT-PT thay vì drop.ipv6 nat prefix 2001::/96
Kiểm tra
Mỗi traffic từ mỗi Ipv6 host được dịch , chấp nhận cấu hình static NAT-PT
Type 2 : Dynamic NAT-PTVới Dynamic Translation : một Ipv6 prefix cụ thể sẽ được dịch ra một dãy (pool) địa chỉ Ipv4 như địa chỉ nguồn và đích được dịch thông qua “ipv6 nat v4v6 source “.
Kiểm tra
DebugNAT-PT(config)#
*Mar 1 04:44:15.454: IPv6 NAT: icmp src (2001:A:B:C::1) -> (192.168.40.1), dst (2001::C0A8:28C8) -> (192.168.40.200)
*Mar 1 04:44:15.586: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.1) -> (2001:A:B:C::1)*Mar 1 04:44:15.650: IPv6 NAT: icmp src (2001:A:B:C::1) -> (192.168.40.1), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:44:15.730: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.1) -> (2001:A:B:C::1)*Mar 1 04:44:15.794: IPv6 NAT: icmp src (2001:A:B:C::1) -> (192.168.40.1), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:44:15.810: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.1) -> (2001:A:B:C::1)NAT-PT(config)#*Mar 1 04:44:29.122: IPv6 NAT: icmp src (2001:A:B:C::2) -> (192.168.40.2), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:44:29.230: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.2) -> (2001:A:B:C::2)*Mar 1 04:44:29.262: IPv6 NAT: icmp src (2001:A:B:C::2) -> (192.168.40.2), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:44:29.326: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.2) -> (2001:A:B:C::2)*Mar 1 04:44:29.386: IPv6 NAT: icmp src (2001:A:B:C::2) -> (192.168.40.2), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:44:29.410: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.2) -> (2001:A:B:C::2)NAT-PT(config)#*Mar 1 04:44:42.434: IPv6 NAT: icmp src (2001:A:B:C::3) -> (192.168.40.3), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:44:42.514: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.3) -> (2001:A:B:C::3)*Mar 1 04:44:42.546: IPv6 NAT: icmp src (2001:A:B:C::3) -> (192.168.40.3), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:44:42.574: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.3) -> (2001:A:B:C::3)*Mar 1 04:44:42.622: IPv6 NAT: icmp src (2001:A:B:C::3) -> (192.168.40.3), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:44:42.678: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.3) -> (2001:A:B:C::3)NAT-PT(config)#
Type 3 : PAT NAT-PT• Trước khi cấu hình , các bạn vui lòng xóa cấu hình cũ
của những bài trước.Xem cụ thể bên dưới :
Address translation
Mạng bên trong
Hướng chuyển đổi
Mạng IPv4
Giao thức IPv6 IPv4
v6v4
2001:a:b:c::1/64 ====>
192.168.40.199
2001:a:b:c::2/64 ====>
2001:a:b:c::3/64 ====>
v4v6 2001:c018:28c8/96 <==== 192.168.40.200
Cấu hình
Kiểm tra
Debug
NAT-PT(config)#*Mar 1 04:59:10.218: IPv6 NAT: icmp src (2001:A:B:C::1) -> (192.168.40.199), dst (2001::C0A8:28C8)
-> (192.168.40.200)*Mar 1 04:59:10.310: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::1)*Mar 1 04:59:10.366: IPv6 NAT: icmp src (2001:A:B:C::1) -> (192.168.40.199), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:59:10.418: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::1)*Mar 1 04:59:10.466: IPv6 NAT: icmp src (2001:A:B:C::1) -> (192.168.40.199), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:59:10.514: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::1)NAT-PT(config)#NAT-PT(config)#*Mar 1 04:59:20.674: IPv6 NAT: icmp src (2001:A:B:C::2) -> (192.168.40.199), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:59:20.766: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::2)*Mar 1 04:59:20.826: IPv6 NAT: icmp src (2001:A:B:C::2) -> (192.168.40.199), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:59:20.882: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::2)*Mar 1 04:59:20.918: IPv6 NAT: icmp src (2001:A:B:C::2) -> (192.168.40.199), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:59:20.950: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::2)NAT-PT(config)#NAT-PT(config)#*Mar 1 04:59:24.266: IPv6 NAT: icmp src (2001:A:B:C::3) -> (192.168.40.199), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:59:24.354: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::3)*Mar 1 04:59:24.402: IPv6 NAT: icmp src (2001:A:B:C::3) -> (192.168.40.199), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:59:24.450: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::3)*Mar 1 04:59:24.482: IPv6 NAT: icmp src (2001:A:B:C::3) -> (192.168.40.199), dst (2001::C0A8:28C8) -> (192.168.40.200)*Mar 1 04:59:24.526: IPv6 NAT: src (192.168.40.200) -> (2001::C0A8:28C8), dst (192.168.40.199) -> (2001:A:B:C::3)NAT-PT(config)#
Type 4 : IPv4 mapped
• Thực tế đặc ra là : Số lượng host bên ngoài chạy IPv4 rất nhiều và việc dùng các dạng 1,2,3 ở trên sẽ rất tốn công sức trong việc cấu hình bằng tay chuyển đổi.
• IPv4 mapped sẽ đáp ứng nhu cầu này của chúng ta.
Cấu hình
• Tôi đã cố gắng tóm gọn lại phần cấu hình NAT-PT này.
• Để có thể hiểu rõ slides này , có thể bạn sẽ phải đọc nhiều lần do tôi muốn các bạn suy nghĩ nhiều hơn.
• Tài liệu này tham khảo từ nhiều nguồn tài liệu , chủ yếu từ cisco.com và bài thực hành LAB của tôi.
• Để test bài LAB này bạn có thể dùng mô hình 3 routers chạy trên packet tracer 5.1.
