Tweet
CISCO IOS NAT ON A STICK: CHIÊU THỨC "BẺ HƯỚNG" TRAFFIC ĐỘC ĐÁO CHUẨN CCIE LAB
🚀 CISCO IOS NAT ON A STICK: CHIÊU THỨC "BẺ HƯỚNG" TRAFFIC ĐỘC ĐÁO CHUẨN CCIE LAB 🚀
Khi nhắc đến NAT (Network Address Translation), 99% chúng ta nghĩ ngay đến việc giúp các máy con trong LAN ra Internet, hoặc Public một con Web Server ra ngoài. Thế nhưng, NAT còn là một công cụ cực kỳ mạnh mẽ để "thao túng" và điều khiển luồng dữ liệu theo những kịch bản không tưởng.
"Hãy cấu hình làm sao để bất cứ khi nào Router R2 phản hồi gói tin Traceroute, nó BẮT BUỘC phải trả lời bằng địa chỉ IP của giao diện Loopback 0 chứ không được dùng IP cổng vật lý".
Nghe thì đơn giản, nhưng thực tế Cisco IOS không hề có câu lệnh kiểu như traceroute source loopback 0 để ép thiết bị phản hồi như vậy. Để giải bài toán này, chúng ta phải sử dụng một kỹ thuật đỉnh cao gọi là: NAT on a Stick (NAT trên một giao diện). Hôm nay, hãy cùng tôi phân tích giải thuật này nhé!
1. MÔ HÌNH TOPO VÀ CẤU HÌNH BAN ĐẦU (BÁM SÁT TÀI LIỆU)
Mô hình Lab của chúng ta cực kỳ tối giản nhưng chứa đựng tư duy logic cao:
Trước tiên, chúng ta thực hiện cấu hình IP cơ bản trên hai Router:
Cấu hình trên R1: R1(config)# interface fa0/0 R1(config-if)# no shutdown R1(config-if)# ip address 192.168.12.1 255.255.255.0
Cấu hình trên R2: R2(config)# interface fa0/0 R2(config-if)# no shutdown R2(config-if)# ip address 192.168.12.2 255.255.255.0 R2(config)# interface loopback 0 R2(config-if)# ip address 2.2.2.2 255.255.255.0
2. PHÂN TÍCH BẢN CHẤT VẤN ĐỀ: TẠI SAO TRACEROUTE KHÔNG THEO Ý MUỐN?
Bình thường, khi đứng từ R1 thực hiện lệnh traceroute 2.2.2.2, gói tin ICMP TTL Exceeded trả về từ R2 sẽ lấy IP của cổng vật lý nhận gói tin – tức là 192.168.12.2.
Để ép R2 phải trả về IP 2.2.2.2, chiến thuật của chúng ta là: Đánh lừa R1. Chúng ta không cho R1 gửi thẳng gói tin đến 2.2.2.2 nữa. Thay vào đó, chúng ta sẽ NAT địa chỉ 2.2.2.2 thành một địa chỉ ảo là 192.168.12.100.
Khi R1 thực hiện traceroute đến 192.168.12.100, gói tin đi đến R2. R2 sẽ dùng cơ chế NAT để dịch ngược từ 192.168.12.100 thành 2.2.2.2. Lúc này, điểm cuối của chặng đường chính là Loopback 0, và R2 buộc phải dùng chính IP 2.2.2.2 để phản hồi về cho R1!
Tuy nhiên, cạm bẫy nằm ở chỗ: Cả địa chỉ IP vật lý và địa chỉ NAT ảo 192.168.12.100 đều nằm trên cùng một cổng FastEthernet 0/0. Thông thường, NAT yêu cầu phải có một cổng Inside và một cổng Outside riêng biệt. Nhưng ở đây, gói tin đi vào cổng Fa0/0 và cũng đi ra cổng Fa0/0. Đó là lý do kỹ thuật này có tên là NAT on a Stick.
3. TIẾN TRÌNH CẤU HÌNH CHI TIẾT "NAT ON A STICK" TRÊN R2
Để cấu hình NAT trên cùng một giao diện, chúng ta triển khai 3 bước mạch lạc trên Router R2:
Bước 1: Xác định vùng NAT Inside và Outside trên cùng một cổng vật lý Cisco IOS cho phép bạn biến một cổng vừa làm nhiệm vụ Inside, vừa làm nhiệm vụ Outside thông qua các câu lệnh: R2(config)# interface fa0/0 R2(config-if)# ip nat inside R2(config-if)# ip nat outside
Bước 2: Cấu hình Static NAT ánh xạ địa chỉ ảo sang Loopback Chúng ta ra lệnh cho Router: Khi có traffic từ ngoài (Outside) đi vào nhắm tới IP ảo 192.168.12.100, hãy dịch nó thành IP Inside local là 2.2.2.2: R2(config)# ip nat inside source static 2.2.2.2 192.168.12.100
Bước 3: Giải quyết bài toán định tuyến bằng PBR (Policy-Based Routing) Tài liệu chỉ ra một lỗi logic rất nặng nếu bạn chỉ cấu hình đến bước 2: Vì IP ảo 192.168.12.100 thuộc cùng subnet với cổng Fa0/0, nên khi R1 gửi gói tin ARP tìm MAC của 192.168.12.100, cổng Fa0/0 của R2 sẽ trả lời ngay lập tức và xử lý tại chỗ mà không chịu đẩy gói tin vào "vòng xoáy" xử lý NAT.
Để khắc phục, chúng ta bắt buộc phải cấu hình PBR để ép các gói tin ICMP đi từ R1 vào phải đi xuyên qua tiến trình NAT: R2(config)# access-list 100 permit icmp host 192.168.12.1 host 192.168.12.100
Tạo một Route-map để bẻ hướng traffic, ép gói tin phải đi qua cổng FastEthernet 0/0: R2(config)# route-map NAT-STICK permit 10 R2(config-route-map)# match ip address 100 R2(config-route-map)# set interface fa0/0
Cuối cùng, áp Route-map này vào chính interface FastEthernet 0/0 để giám sát traffic đi vào: R2(config)# interface fa0/0 R2(config-if)# ip policy route-map NAT-STICK
4. XÁC MINH KẾT QUẢ KỸ THUẬT (VERIFICATION)
Bây giờ, chúng ta đứng từ Router R1 để kiểm chứng thành quả. Thay vì traceroute đến IP Loopback gốc, chúng ta sẽ gõ lệnh hướng tới IP đã được NAT:
R1# traceroute 192.168.12.100
Màn hình hiển thị kết quả mỹ mãn: Chặng 1 (Hop 1): Vòng phản hồi trả về hiển thị chính xác địa chỉ IP 2.2.2.2! Mục tiêu của bài toán đã được giải quyết trọn vẹn.
Nếu anh em quay trở lại Router R2 và bật lệnh kiểm tra bảng NAT: R2# show ip nat translations
Mọi người sẽ thấy một dòng trạng thái biên dịch đặc biệt: Địa chỉ Inside Global 192.168.12.100 đã được ánh xạ thành công sang Inside Local 2.2.2.2. Đồng thời, do traffic đi vào và đi ra trên cùng một cổng, trường Outside Local và Outside Global sẽ tự động hiển thị khớp với thông tin IP nguồn của R1 (192.168.12.1).
🌟 LỜI KẾT
Kỹ thuật NAT on a Stick phối hợp với Policy-Based Routing (PBR) chứng minh rằng: Hệ điều hành Cisco IOS cực kỳ linh hoạt. Bản chất của việc Router phản hồi bằng IP nào phụ thuộc vào việc gói tin đó "chạm" vào interface nào cuối cùng trước khi sinh ra gói tin trả về. Việc chúng ta ép luồng dữ liệu đi luẩn quẩn trên một cổng thông qua NAT đã giúp chúng ta đạt được mục đích cấu hình mà không cần thêm bất kỳ kết nối vật lý nào.
#VnPro#CCNA#CCNP#CCIE#NAT#NATonaStick#PBR#PolicyBasedRouting#TrafficEngineering#CiscoIOS
Khi nhắc đến NAT (Network Address Translation), 99% chúng ta nghĩ ngay đến việc giúp các máy con trong LAN ra Internet, hoặc Public một con Web Server ra ngoài. Thế nhưng, NAT còn là một công cụ cực kỳ mạnh mẽ để "thao túng" và điều khiển luồng dữ liệu theo những kịch bản không tưởng.
"Hãy cấu hình làm sao để bất cứ khi nào Router R2 phản hồi gói tin Traceroute, nó BẮT BUỘC phải trả lời bằng địa chỉ IP của giao diện Loopback 0 chứ không được dùng IP cổng vật lý".
Nghe thì đơn giản, nhưng thực tế Cisco IOS không hề có câu lệnh kiểu như traceroute source loopback 0 để ép thiết bị phản hồi như vậy. Để giải bài toán này, chúng ta phải sử dụng một kỹ thuật đỉnh cao gọi là: NAT on a Stick (NAT trên một giao diện). Hôm nay, hãy cùng tôi phân tích giải thuật này nhé!
1. MÔ HÌNH TOPO VÀ CẤU HÌNH BAN ĐẦU (BÁM SÁT TÀI LIỆU)
Mô hình Lab của chúng ta cực kỳ tối giản nhưng chứa đựng tư duy logic cao:
- Router R1: Kết nối trực tiếp với R2 qua cổng FastEthernet 0/0 với IP 192.168.12.1/24.
- Router R2: Cổng FastEthernet 0/0 kết nối với R1 sở hữu IP 192.168.12.2/24. Đồng thời, R2 có một giao diện ảo Loopback 0 đại diện cho dải mạng 2.2.2.0/24 (Cụ thể đặt IP là 2.2.2.2/24).
Trước tiên, chúng ta thực hiện cấu hình IP cơ bản trên hai Router:
Cấu hình trên R1: R1(config)# interface fa0/0 R1(config-if)# no shutdown R1(config-if)# ip address 192.168.12.1 255.255.255.0
Cấu hình trên R2: R2(config)# interface fa0/0 R2(config-if)# no shutdown R2(config-if)# ip address 192.168.12.2 255.255.255.0 R2(config)# interface loopback 0 R2(config-if)# ip address 2.2.2.2 255.255.255.0
2. PHÂN TÍCH BẢN CHẤT VẤN ĐỀ: TẠI SAO TRACEROUTE KHÔNG THEO Ý MUỐN?
Bình thường, khi đứng từ R1 thực hiện lệnh traceroute 2.2.2.2, gói tin ICMP TTL Exceeded trả về từ R2 sẽ lấy IP của cổng vật lý nhận gói tin – tức là 192.168.12.2.
Để ép R2 phải trả về IP 2.2.2.2, chiến thuật của chúng ta là: Đánh lừa R1. Chúng ta không cho R1 gửi thẳng gói tin đến 2.2.2.2 nữa. Thay vào đó, chúng ta sẽ NAT địa chỉ 2.2.2.2 thành một địa chỉ ảo là 192.168.12.100.
Khi R1 thực hiện traceroute đến 192.168.12.100, gói tin đi đến R2. R2 sẽ dùng cơ chế NAT để dịch ngược từ 192.168.12.100 thành 2.2.2.2. Lúc này, điểm cuối của chặng đường chính là Loopback 0, và R2 buộc phải dùng chính IP 2.2.2.2 để phản hồi về cho R1!
Tuy nhiên, cạm bẫy nằm ở chỗ: Cả địa chỉ IP vật lý và địa chỉ NAT ảo 192.168.12.100 đều nằm trên cùng một cổng FastEthernet 0/0. Thông thường, NAT yêu cầu phải có một cổng Inside và một cổng Outside riêng biệt. Nhưng ở đây, gói tin đi vào cổng Fa0/0 và cũng đi ra cổng Fa0/0. Đó là lý do kỹ thuật này có tên là NAT on a Stick.
3. TIẾN TRÌNH CẤU HÌNH CHI TIẾT "NAT ON A STICK" TRÊN R2
Để cấu hình NAT trên cùng một giao diện, chúng ta triển khai 3 bước mạch lạc trên Router R2:
Bước 1: Xác định vùng NAT Inside và Outside trên cùng một cổng vật lý Cisco IOS cho phép bạn biến một cổng vừa làm nhiệm vụ Inside, vừa làm nhiệm vụ Outside thông qua các câu lệnh: R2(config)# interface fa0/0 R2(config-if)# ip nat inside R2(config-if)# ip nat outside
Bước 2: Cấu hình Static NAT ánh xạ địa chỉ ảo sang Loopback Chúng ta ra lệnh cho Router: Khi có traffic từ ngoài (Outside) đi vào nhắm tới IP ảo 192.168.12.100, hãy dịch nó thành IP Inside local là 2.2.2.2: R2(config)# ip nat inside source static 2.2.2.2 192.168.12.100
Bước 3: Giải quyết bài toán định tuyến bằng PBR (Policy-Based Routing) Tài liệu chỉ ra một lỗi logic rất nặng nếu bạn chỉ cấu hình đến bước 2: Vì IP ảo 192.168.12.100 thuộc cùng subnet với cổng Fa0/0, nên khi R1 gửi gói tin ARP tìm MAC của 192.168.12.100, cổng Fa0/0 của R2 sẽ trả lời ngay lập tức và xử lý tại chỗ mà không chịu đẩy gói tin vào "vòng xoáy" xử lý NAT.
Để khắc phục, chúng ta bắt buộc phải cấu hình PBR để ép các gói tin ICMP đi từ R1 vào phải đi xuyên qua tiến trình NAT: R2(config)# access-list 100 permit icmp host 192.168.12.1 host 192.168.12.100
Tạo một Route-map để bẻ hướng traffic, ép gói tin phải đi qua cổng FastEthernet 0/0: R2(config)# route-map NAT-STICK permit 10 R2(config-route-map)# match ip address 100 R2(config-route-map)# set interface fa0/0
Cuối cùng, áp Route-map này vào chính interface FastEthernet 0/0 để giám sát traffic đi vào: R2(config)# interface fa0/0 R2(config-if)# ip policy route-map NAT-STICK
4. XÁC MINH KẾT QUẢ KỸ THUẬT (VERIFICATION)
Bây giờ, chúng ta đứng từ Router R1 để kiểm chứng thành quả. Thay vì traceroute đến IP Loopback gốc, chúng ta sẽ gõ lệnh hướng tới IP đã được NAT:
R1# traceroute 192.168.12.100
Màn hình hiển thị kết quả mỹ mãn: Chặng 1 (Hop 1): Vòng phản hồi trả về hiển thị chính xác địa chỉ IP 2.2.2.2! Mục tiêu của bài toán đã được giải quyết trọn vẹn.
Nếu anh em quay trở lại Router R2 và bật lệnh kiểm tra bảng NAT: R2# show ip nat translations
Mọi người sẽ thấy một dòng trạng thái biên dịch đặc biệt: Địa chỉ Inside Global 192.168.12.100 đã được ánh xạ thành công sang Inside Local 2.2.2.2. Đồng thời, do traffic đi vào và đi ra trên cùng một cổng, trường Outside Local và Outside Global sẽ tự động hiển thị khớp với thông tin IP nguồn của R1 (192.168.12.1).
🌟 LỜI KẾT
Kỹ thuật NAT on a Stick phối hợp với Policy-Based Routing (PBR) chứng minh rằng: Hệ điều hành Cisco IOS cực kỳ linh hoạt. Bản chất của việc Router phản hồi bằng IP nào phụ thuộc vào việc gói tin đó "chạm" vào interface nào cuối cùng trước khi sinh ra gói tin trả về. Việc chúng ta ép luồng dữ liệu đi luẩn quẩn trên một cổng thông qua NAT đã giúp chúng ta đạt được mục đích cấu hình mà không cần thêm bất kỳ kết nối vật lý nào.
#VnPro#CCNA#CCNP#CCIE#NAT#NATonaStick#PBR#PolicyBasedRouting#TrafficEngineering#CiscoIOS
Attached Files