งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

Translation Network Address แปลงไอพีบนเฮดเดอร์ด้วย.

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "Translation Network Address แปลงไอพีบนเฮดเดอร์ด้วย."— ใบสำเนางานนำเสนอ:

1 Translation Network Address แปลงไอพีบนเฮดเดอร์ด้วย

2 13-1  ความจำเป็นที่ต้องแปลงที่อยู่ไอพี  หลักการทำงาน และเขต Inside/Outside  การตั้งค่า  การระบุอินเตอร์เฟสฝั่ง Inside/Outside  การกำหนดขอบเขตข้อมูลจากฝั่ง Inside ที่จะแปลงออกไป  การระบุกลุ่มที่อยู่ไอพีที่จะแปลงเป็นเมื่อส่งออกฝั่ง Outside  คำสั่งเปิดใช้การแปลงที่อยู่ไอพี

3 13-2 Private IP และการเชื่อมต่ออินเตอร์เน็ต ISP LAN / / /16 ไม่รับ Private IP ต้องแปลง ไอพีต้นทาง Inside Outside  จากการกำหนดช่วงที่อยู่ไอพีส่วนตัว (Private IP) ซึ่งใช้ซ้ำกันได้บน LAN แต่ละองค์กร เพื่อ เป็นหนทางประหยัด IPv4  เพื่อป้องกันความวุ่นวายบนอินเตอร์เน็ต ISP จึงป้องกันไม่ให้แพ๊กเก็ตที่ระบุที่อยู่ไอพีต้นทาง เป็น Private IP ออกมาสู่อินเตอร์เน็ต  เราท์เตอร์จึงมีฟีเจอร์สำหรับแปลงที่อยู่ ไอพี บน Header ของแพ๊กเก็ตที่สื่อสารระหว่าง LAN (เขต Inside) กับอินเตอร์เน็ต (เขต Outside) เรียก NAT (Network Address Translation)

4 13-3 หลักการทำงาน Network Address Translation InsideOutside Fa0/0 S0 Local Addresses Global Addresses Local Addresses นิยามขอบเขต ฟีเจอร์ NAT แบ่งฝั่งของเราท์เตอร์เป็น 2 ฝั่ง ได้แก่ ฝั่งด้านใน (Inside) และ ฝั่งด้านนอก (Outside) โดยแยกฝั่งด้วยอินเตอร์เฟส นิยามชนิดที่อยู่ ทุก Node ในแต่ละฝั่ง จะมีที่อยู่ 2 แบบ ได้แก่  Local : เป็นที่อยู่สำหรับสื่อสารภายในฝั่งตัวเอง  Global : เป็นที่อยู่สำหรับสื่อสารข้ามฝั่ง

5 13-4 หลักการทำงาน Network Address Translation  หน้าที่ของฟีเจอร์ NAT ก็คือ การแปลงที่อยู่ไอพีบนแพ๊กเก็ตระหว่าง Local-Global  ดูที่อยู่ไอพีที่แต่ละชนิดได้จากคำสั่ง show ip nat translation บนโหมดอีนาเบิล Router# show ip nat translation Pro Inside global Inside local Outside local Outside global udp : : : :53 tcp : : : :80 tcp : : : :80 ฝั่ง Inside มีการแปลงที่อยู่ ฝั่ง Outside ไม่แปลงที่อยู่  ในการใช้งานสำหรับองค์กรทั่วไป ที่ต้องการให้เครื่องลูกข่ายภายใน LAN สื่อสารออกมาฝั่งอินเตอร์เน็ตได้ จึงเลือกนำ NAT เฉพาะฝั่ง Local  เรียกการทำ NAT ฝั่งตัวเองนี้ว่า “NAT inside”

6 13-5 การตั้งค่า NAT Inside ip nat “inside”  จากนิยามที่เกี่ยวข้องกับการทำ NAT inside. ในการตั้งค่าจึงต้องระบุองค์ประกอบให้ครบ 5 ส่วนดังต่อไปนี้  ระบุอินเตอร์เฟสที่เป็นฝั่ง “inside”  ระบุอินเตอร์เฟสที่เป็นฝั่ง “outside”  ระบุกลุ่มไอพีที่ใช้อยู่ในฝั่งตนเอง (Local Address) ที่ต้องการทำ NAT  ระบุกลุ่มไอพีที่แปลงเป็น เพื่อใช้สื่อสาร กับฝั่งภายนอกได้ (Global Address)  ใส่คำสั่งให้เราท์เตอร์ทำ NAT ที่ฝั่ง “inside”

7 13-6 กำหนดฝั่ง Inside/Outside  เราจำเป็นต้องกำหนดฝั่งบนอินเตอร์เฟส เพื่อให้ NAT รู้ทิศทางการแปลงไอพี  ใช้คำสั่ง “ip nat inside” บนโหมดคอนฟิก อินเตอร์เฟสที่เป็นฝั่ง LAN เช่น  Router(config)# interface fa0/0  Router(config-if)# ip nat inside  ใช้คำสั่ง “ip nat outside” บนโหมดคอนฟิก อินเตอร์เฟสที่เป็นฝั่งออกอินเตอร์เน็ต เช่น  Router(config)# interface S0  Router(config-if)# ip nat outside Src. IP x.x NAT Src. IP Fa0/0S0 ไปฝั่ง Outside มาจาก Outside S0 Des. IP NAT Des. IP x.x Fa0/0

8 13-7 กำหนดกลุ่มที่อยู่ Local Address  การกำหนดกลุ่มที่อยู่ Local Address ที่จะแปลงที่อยู่ไอพีเป็น Global ก็คือ การระบุ เงื่อนไข (Access List) ของแพ๊กเก็ตข้อมูลที่จะเข้าอินเตอร์เฟสฝั่ง Inside ที่จะให้ ทำ NAT เปลี่ยนที่อยู่ไอพีต้นทาง (Source IP address) นั่นเอง (แล้วจึงนำ ACL no. ไปใช้กำกับคำสั่งเปิดการ NAT อีกที)  จึงใช้การกำหนด Access List แบบ Standard (ตามหลักการ เพราะต้องการกรอง ข้อมูลที่จะออกไปใช้ NAT ไม่ใช่กรองข้อมูลที่จะเข้าเราท์เตอร์) เช่น  ต้องการให้เครื่องทั้งหมดในวงแลน /24 ต้องทำ NAT ออกอินเตอร์เน็ต  access-list 1 permit  ต้องการให้เครื่องทั้งหมดในวงแลน /27 ยกเว้นเครื่องไอพี ต้องทำ NAT ออกอินเตอร์เน็ต  access-list 2 deny  access-list 2 permit

9 13-8 กำหนดกลุ่มที่อยู่ Global Address Global Network (from ISP) /29 Route /29 ISP  กลุ่มที่อยู่ที่ใช้เป็น Inside Global ซึ่งเป็นที่อยู่ที่ สามารถออกอินเตอร์เน็ตได้ จะต้องได้รับการ จัดสรรจากผู้ให้บริการอินเตอร์เน็ต (ISP)  โดยจากมุมมอง ISP ถือว่า เครือข่าย LAN ของ เรา กำลังใช้เครือข่าย (หรือไอพี) แบบ Public ที่เขาจ่ายให้ ไม่สนใจว่าเราใช้ Private IP เป็นอะไร  ดังนั้น เราต้องกำหนดกลุ่มที่อยู่ (Pool) ที่จะใช้เป็น Inside Global ตามที่ ISP กำหนด ทั้งรายชื่อไอพี และ Subnet Mask

10 13-9 กำหนดกลุ่มที่อยู่ Global Address Global Network (from ISP) /29 Route /29 ISP การตั้งค่า  ใช้คำสั่ง ip nat pool ตามด้วยชื่อ กลุ่มที่อยู่อ้างอิงตามต้องการ และ กลุ่มไอพี/mask ที่ ISP กำหนดให้ ในโหมดโกลบัลคอนฟิก Router(config)# ip nat pool (ชื่อ Pool) (ไอพีเริ่มต้น) (ไอพีสุดท้าย) netmask (Subnet Mask ที่ ISP กำหนด) ตัวอย่าง  ISP จัดสรรกลุ่มไอพีตั้งแต่ – /30 Router(config)# ip nat pool Ranet netmask คำแนะนำ : ถ้าโจทย์ไม่กำหนดซับเน็ตมาให้ ให้ตั้งค่าโดยใช้เครือข่ายที่แคบที่สุด

11 13-10 คำสั่งเปิดการทำ NAT Inside  ใช้คำสั่งต่อไปนี้บนโหมดโกลบัลคอนฟิก เพื่อเปิดการทำ NAT บนอินเตอร์เฟสฝั่ง Inside ตาม Local และ Global Address ที่เราตั้งค่ารอไว้ Router(config)# ip nat inside source list (ACL no.) pool (ชื่อ Pool) overload  โดยที่ ACL no. คือ เลขอ้างอิงของ Access-list ที่เราตั้งค่าไว้จำกัดกลุ่มแพ๊กเก็ตที่จะใช้ เป็น Local Address ชื่อ Pool คือ ชื่อกลุ่มไอพี (Pool) ที่เราตั้งค่าไปด้วยคำสั่ง ip nat pool (ชื่อ Pool) เพื่อใช้เป็น Global Address ตัวอย่าง  ต้องการทำ NAT inside ที่ใช้ ACL no.10 เป็นที่อยู่ Local และ Pool Ranet เป็นที่อยู่ Global Router(config)# ip nat inside source list 10 pool Ranet overload

12 13-11 การใช้เลข Port ช่วย Port Address Translation Inside GlobalInside Local NAT-PT Trans. “Overload” : : : : : : : : : :9034  เนื่องจาก ISP มักจัดสรร Global Address มาให้เพียงไม่กี่ไอพี ย่อมไม่ เพียงพอต่อการแปลง Local Address ที่มีโฮสใช้จำนวนมาก  จึงมีวิธีการแปลง โดยใช้เลขพอร์ทเข้าช่วย เนื่องจากจะทำให้ Global Address 1 ตัว แทน Local Address ได้หลายตัวดังภาพ เรียก ความสามารถนี้ว่า PAT หรือ NAT-PT (Port Translation)  คำสั่งที่ให้ทำ PAT คือการต่อท้ายคำสั่ง NAT inside ด้วย “Overload” Router(config)# ip nat inside source list 10 pool Ranet overload

13 13-12 ตัวอย่างการใช้ ISP Global Network: /29 Local Network: /27 Fa0 S0 IP: /30 IP: /30  บริษัทราเน็ท ได้รับ IP address จาก ISP มาใช้ 6 หมายเลข ตั้งแต่ จงตั้งค่า NAT ให้ เครื่องโฮสภายใน LAN ที่มีไอพีเฉพาะ สามารถออกมาใช้อินเตอร์เน็ตได้ Router(config)# interface S0 Router(config-if)# ip nat outside Router(config-if)# interface Fa0 Router(config-if)# ip nat inside Router(config-if)# exit Router(config)# access-list 1 deny Router(config)# access-list 1 permit Router(config)# ip nat pool RanetPool netmask Router(config)# ip nat inside source list 1 pool RanetPool overload ทวนสอบโดย Ping ไปยังเราท์เตอร์ของ ISP จากเครื่องโฮสในแลน LAN

14 13-13 การ NAT ออกอินเตอร์เฟส  ถ้าเราซื้อบริการอินเตอร์เน็ตจาก ISP แต่ไม่ได้ซื้อ Global IP ตายตัวมาด้วย ISP จะสุ่มตั้งค่า IP address ชั่วคราว ให้ที่ขาฝั่ง Outside ของเราท์เตอร์เราแทนเพียงตัวเดียว  เช่น การที่ให้เราตั้งค่า IP address negotiated ที่ อินเตอร์เฟสฝั่ง Outside เพื่อให้ PPP server จ่ายไอพีมา ให้อินเตอร์เฟสของเรา เป็นต้น  ดังนั้น การ NAT inside จะต้องใช้ Global IP ที่ ISP ตั้งค่า ให้อินเตอร์เฟสของเรา ซึ่งไม่สามารถกำหนด Global Address ตายตัวได้ จึงต้องตั้งค่าเป็นชื่ออินเตอร์เฟสแทน ชื่อกลุ่มไอพี (Pool) ดังนี้ ISP Local Network: /27 Fa0 S0 IP address negotiated IP: /30 LAN Router(config)# ip nat inside source list (ACL no.) interface (ชื่ออินเตอร์เฟส) overload เช่น Router(config)# ip nat inside source list 1 interface S0 overload

15 13-14 การ Forward Port NAT inside Static  บางครั้ง เราต้องการให้การจับคู่กันระหว่าง Local Address+Port กับ Global Address+Port ตายตัว  เช่น ต้องการให้ผู้ที่เชื่อมต่อมายัง Global IP Port 80 ให้แปลงที่อยู่ ปลายทางมาเป็นไอพีของเว็บเซิร์ฟเวอร์ภายใน Port 80 ตลอด  เราสามารถใช้คำสั่ง ip nat inside source static สร้างการจับคู่ Local/Global address แบบตายตัว (Static) ได้ ดังนี้ Router(config)# ip nat inside source static (tcp/udp) (Local add.) (Local Port) (Global add.) (Global Port)  เช่น จากตัวอย่างด้านบน พิมพ์คำสั่งได้ว่า: Router(config)# ip nat inside source static tcp


ดาวน์โหลด ppt Translation Network Address แปลงไอพีบนเฮดเดอร์ด้วย.

งานนำเสนอที่คล้ายกัน


Ads by Google