Tweet
CISCO IOS NAT PORT FORWARDING: CHIÊU THỨC "VẠN NĂNG" ĐƯA TÀI NGUYÊN NỘI BỘ RA TOÀN CẦU
🚀 CISCO IOS NAT PORT FORWARDING: CHIÊU THỨC "VẠN NĂNG" ĐƯA TÀI NGUYÊN NỘI BỘ RA TOÀN CẦU 🚀
Hãy tưởng tượng doanh nghiệp của bạn vừa xây dựng xong một hệ thống Web Server cực kỳ xịn sò hoặc một hệ thống camera giám sát đặt sâu bên trong mạng nội bộ (LAN) với dải IP Private. Mọi thứ vận hành hoàn hảo cho đến khi sếp đi công tác nước ngoài và ra lệnh: "Làm sao để tôi ngồi ở quán cafe bên Mỹ vẫn có thể truy cập vào con Web nội bộ này?".
Như chúng ta đã biết, các IP Private trong mạng LAN không thể định tuyến trên môi trường Internet. Nếu sử dụng Static NAT (NAT tĩnh) thông thường, bạn sẽ phải hy sinh nguyên một địa chỉ IP Public quý giá chỉ để đổi lấy một IP Private. Vậy nếu chúng ta chỉ có duy nhất một IP Public của nhà mạng cấp mà lại muốn mở cùng lúc nhiều dịch vụ (Web, FTP, Camera...) thì phải làm sao?
Câu trả lời chính là NAT Port Forwarding (hay còn gọi là Static NAT với Port). Hôm nay, hãy cùng tôi phân tích 3 tuyệt chiêu cấu hình Port Forwarding trên Cisco IOS từ cơ bản đến nâng cao nhé!
1. MÔ HÌNH LAB THỰC CHIẾN
Để mọi người dễ hình dung, chúng ta có mô hình 3 Router kết nối như sau:
Trước khi đi vào các kịch bản, việc đầu tiên là phải khai báo ranh giới Inside/Outside trên Router R2: R2(config)# interface fastEthernet 0/0 R2(config-if)# ip nat inside R2(config)# interface fastEthernet 1/0 R2(config-if)# ip nat outside
2. KỊCH BẢN 1: PORT FORWARDING SỬ DỤNG CHÍNH IP OUTSIDE CỦA ROUTER
Đây là kịch bản phổ biến nhất khi doanh nghiệp chỉ được ISP cấp cho một IP Public duy nhất nằm ngay trên cổng WAN của Router (Cụ thể ở đây là IP cổng Fa1/0 của R2: 192.168.23.2).
Chúng ta muốn khi Host R3 từ Internet gõ truy cập vào IP 192.168.23.2 với cổng Web (Port 80), Router R2 sẽ tự động chuyển tiếp toàn bộ dữ liệu vào cho Web Server R1 (192.168.12.1 cổng 80).
Câu lệnh cấu hình trên R2: R2(config)# ip nat inside source static tcp 192.168.12.1 80 192.168.23.2 80
Ví dụ giải thích: Khi R3 thực hiện lệnh telnet 192.168.23.2 80 (để kiểm tra cổng Web công cộng), Router R2 sẽ nhận gói tin, giữ nguyên số Port 80 nhưng thực hiện "thay ruột" địa chỉ đích từ 192.168.23.2 thành 192.168.12.1 rồi đẩy vào trong LAN.
3. KỊCH BẢN 2: PORT FORWARDING ĐỔI PORT (PORT TRANSLATION)
Trong thực tế, vì lý do bảo mật hoặc do nhà mạng ISP chặn cổng 80 mặc định, chúng ta không muốn lộ cổng 80 ra ngoài Internet. Chúng ta muốn người dùng bên ngoài phải truy cập qua một cổng khác – ví dụ cổng 8080, nhưng khi vào đến Server nội bộ thì vẫn phải trả về cổng đúng là 80.
Tài liệu hướng dẫn chúng ta cách "đổi màu" cổng cực kỳ linh hoạt như sau:
Câu lệnh cấu hình trên R2: R2(config)# ip nat inside source static tcp 192.168.12.1 80 192.168.23.2 8080
Ví dụ giải thích: Lúc này, nếu Host R3 cố tình truy cập vào cổng 80 cũ (telnet 192.168.23.2 80), kết nối sẽ thất bại hoàn toàn. R3 bắt buộc phải gõ đúng cổng công cộng mới là telnet 192.168.23.2 8080. Khi gói tin chạm vào R2, R2 sẽ thực hiện một cú đúp: Vừa dịch IP đích thành 192.168.12.1, vừa hạ số Port từ 8080 xuống 80 để Server R1 xử lý bình thường.
4. KỊCH BẢN 3: PORT FORWARDING SỬ DỤNG MỘT IP KHÁC KHÔNG NẰM TRÊN INTERFACE
Kịch bản này xảy ra khi doanh nghiệp của bạn thuê một đường truyền Lease Line và được ISP cấp cho một block gồm nhiều IP Public (ví dụ cấp cho dải dôi dư). Bạn muốn dành riêng một IP Public trống (không đặt trên cổng nào của Router) – ví dụ IP 192.168.23.4 – để làm đại diện cho Web Server nội bộ.
Câu lệnh cấu hình trên R2: R2(config)# ip nat inside source static tcp 192.168.12.1 80 192.168.23.4 80
Mẹo cấu hình nâng cao từ Cisco IOS: Khi bạn gõ câu lệnh này, hệ điều hành Cisco IOS sẽ tự động chèn thêm từ khóa extendable vào cuối dòng lệnh (ip nat inside source static tcp 192.168.12.1 80 192.168.23.4 80 extendable). Từ khóa này cho phép bạn tái sử dụng lại địa chỉ IP 192.168.23.4 cho các dịch vụ khác sau này (ví dụ bạn có thể cấu hình tiếp cổng 21 cho FTP Server: ip nat inside source static tcp 192.168.12.3 21 192.168.23.4 21 extendable).
5. XÁC MINH CẤU HÌNH (VERIFICATION)
Để đảm bảo các cổng dịch vụ đã được mở thành công, chúng ta sử dụng lệnh kiểm tra bảng NAT trên Router R2:
R2# show ip nat translations
Màn hình sẽ hiển thị chi tiết các dòng trạng thái biên dịch dạng tĩnh (Static). Mọi người sẽ thấy rõ sự ánh xạ giữa cặp IP:Port nội bộ (Inside Local) tương ứng với cặp IP:Port công cộng (Inside Global). Khi có traffic thực tế từ R3 ping hoặc telnet qua, các bộ đếm gói tin sẽ nhảy số liên tục, chứng minh luồng dữ liệu đã được thông suốt.
🌟 LỜI KẾT
NAT Port Forwarding chính là chìa khóa vàng giúp doanh nghiệp tối ưu hóa chi phí mua IP Public mà vẫn đảm bảo tính sẵn sàng của các dịch vụ nội bộ ra thế giới. Tuy nhiên, việc mở cổng đồng nghĩa với việc bạn đang mở một lối đi cho các hacker ngoài Internet nhòm ngó vào hệ thống. Do đó, hãy luôn kết hợp Port Forwarding với các chính sách Access List (ACL) nghiêm ngặt trên Router để bảo vệ an toàn cho Server của mình nhé!
#VnPro#CCNA#CCNP#CCIE#NAT#PortForwarding#PortTranslation#CiscoIOS#NetworkSecurity#NetworkServices
Hãy tưởng tượng doanh nghiệp của bạn vừa xây dựng xong một hệ thống Web Server cực kỳ xịn sò hoặc một hệ thống camera giám sát đặt sâu bên trong mạng nội bộ (LAN) với dải IP Private. Mọi thứ vận hành hoàn hảo cho đến khi sếp đi công tác nước ngoài và ra lệnh: "Làm sao để tôi ngồi ở quán cafe bên Mỹ vẫn có thể truy cập vào con Web nội bộ này?".
Như chúng ta đã biết, các IP Private trong mạng LAN không thể định tuyến trên môi trường Internet. Nếu sử dụng Static NAT (NAT tĩnh) thông thường, bạn sẽ phải hy sinh nguyên một địa chỉ IP Public quý giá chỉ để đổi lấy một IP Private. Vậy nếu chúng ta chỉ có duy nhất một IP Public của nhà mạng cấp mà lại muốn mở cùng lúc nhiều dịch vụ (Web, FTP, Camera...) thì phải làm sao?
Câu trả lời chính là NAT Port Forwarding (hay còn gọi là Static NAT với Port). Hôm nay, hãy cùng tôi phân tích 3 tuyệt chiêu cấu hình Port Forwarding trên Cisco IOS từ cơ bản đến nâng cao nhé!
1. MÔ HÌNH LAB THỰC CHIẾN
Để mọi người dễ hình dung, chúng ta có mô hình 3 Router kết nối như sau:
- Router R1 (HTTP Server): Đóng vai trò là máy chủ Web nằm trong mạng LAN với IP 192.168.12.1/24. Nó được trỏ Default Route về R2 qua lệnh: ip route 0.0.0.0 0.0.0.0 192.168.12.2.
- Router R2 (NAT Router): Thiết bị trung tâm xử lý NAT. Cổng FastEthernet 0/0 (Inside) nối vào LAN với IP 192.168.12.2/24. Cổng FastEthernet 1/0 (Outside) nối ra Internet với IP 192.168.23.2/24.
- Router R3 (Internet Host): Đóng vai trò là người dùng ngoài Internet muốn truy cập vào Web Server, sở hữu IP 192.168.23.3/24.
Trước khi đi vào các kịch bản, việc đầu tiên là phải khai báo ranh giới Inside/Outside trên Router R2: R2(config)# interface fastEthernet 0/0 R2(config-if)# ip nat inside R2(config)# interface fastEthernet 1/0 R2(config-if)# ip nat outside
2. KỊCH BẢN 1: PORT FORWARDING SỬ DỤNG CHÍNH IP OUTSIDE CỦA ROUTER
Đây là kịch bản phổ biến nhất khi doanh nghiệp chỉ được ISP cấp cho một IP Public duy nhất nằm ngay trên cổng WAN của Router (Cụ thể ở đây là IP cổng Fa1/0 của R2: 192.168.23.2).
Chúng ta muốn khi Host R3 từ Internet gõ truy cập vào IP 192.168.23.2 với cổng Web (Port 80), Router R2 sẽ tự động chuyển tiếp toàn bộ dữ liệu vào cho Web Server R1 (192.168.12.1 cổng 80).
Câu lệnh cấu hình trên R2: R2(config)# ip nat inside source static tcp 192.168.12.1 80 192.168.23.2 80
Ví dụ giải thích: Khi R3 thực hiện lệnh telnet 192.168.23.2 80 (để kiểm tra cổng Web công cộng), Router R2 sẽ nhận gói tin, giữ nguyên số Port 80 nhưng thực hiện "thay ruột" địa chỉ đích từ 192.168.23.2 thành 192.168.12.1 rồi đẩy vào trong LAN.
3. KỊCH BẢN 2: PORT FORWARDING ĐỔI PORT (PORT TRANSLATION)
Trong thực tế, vì lý do bảo mật hoặc do nhà mạng ISP chặn cổng 80 mặc định, chúng ta không muốn lộ cổng 80 ra ngoài Internet. Chúng ta muốn người dùng bên ngoài phải truy cập qua một cổng khác – ví dụ cổng 8080, nhưng khi vào đến Server nội bộ thì vẫn phải trả về cổng đúng là 80.
Tài liệu hướng dẫn chúng ta cách "đổi màu" cổng cực kỳ linh hoạt như sau:
Câu lệnh cấu hình trên R2: R2(config)# ip nat inside source static tcp 192.168.12.1 80 192.168.23.2 8080
Ví dụ giải thích: Lúc này, nếu Host R3 cố tình truy cập vào cổng 80 cũ (telnet 192.168.23.2 80), kết nối sẽ thất bại hoàn toàn. R3 bắt buộc phải gõ đúng cổng công cộng mới là telnet 192.168.23.2 8080. Khi gói tin chạm vào R2, R2 sẽ thực hiện một cú đúp: Vừa dịch IP đích thành 192.168.12.1, vừa hạ số Port từ 8080 xuống 80 để Server R1 xử lý bình thường.
4. KỊCH BẢN 3: PORT FORWARDING SỬ DỤNG MỘT IP KHÁC KHÔNG NẰM TRÊN INTERFACE
Kịch bản này xảy ra khi doanh nghiệp của bạn thuê một đường truyền Lease Line và được ISP cấp cho một block gồm nhiều IP Public (ví dụ cấp cho dải dôi dư). Bạn muốn dành riêng một IP Public trống (không đặt trên cổng nào của Router) – ví dụ IP 192.168.23.4 – để làm đại diện cho Web Server nội bộ.
Câu lệnh cấu hình trên R2: R2(config)# ip nat inside source static tcp 192.168.12.1 80 192.168.23.4 80
Mẹo cấu hình nâng cao từ Cisco IOS: Khi bạn gõ câu lệnh này, hệ điều hành Cisco IOS sẽ tự động chèn thêm từ khóa extendable vào cuối dòng lệnh (ip nat inside source static tcp 192.168.12.1 80 192.168.23.4 80 extendable). Từ khóa này cho phép bạn tái sử dụng lại địa chỉ IP 192.168.23.4 cho các dịch vụ khác sau này (ví dụ bạn có thể cấu hình tiếp cổng 21 cho FTP Server: ip nat inside source static tcp 192.168.12.3 21 192.168.23.4 21 extendable).
5. XÁC MINH CẤU HÌNH (VERIFICATION)
Để đảm bảo các cổng dịch vụ đã được mở thành công, chúng ta sử dụng lệnh kiểm tra bảng NAT trên Router R2:
R2# show ip nat translations
Màn hình sẽ hiển thị chi tiết các dòng trạng thái biên dịch dạng tĩnh (Static). Mọi người sẽ thấy rõ sự ánh xạ giữa cặp IP:Port nội bộ (Inside Local) tương ứng với cặp IP:Port công cộng (Inside Global). Khi có traffic thực tế từ R3 ping hoặc telnet qua, các bộ đếm gói tin sẽ nhảy số liên tục, chứng minh luồng dữ liệu đã được thông suốt.
🌟 LỜI KẾT
NAT Port Forwarding chính là chìa khóa vàng giúp doanh nghiệp tối ưu hóa chi phí mua IP Public mà vẫn đảm bảo tính sẵn sàng của các dịch vụ nội bộ ra thế giới. Tuy nhiên, việc mở cổng đồng nghĩa với việc bạn đang mở một lối đi cho các hacker ngoài Internet nhòm ngó vào hệ thống. Do đó, hãy luôn kết hợp Port Forwarding với các chính sách Access List (ACL) nghiêm ngặt trên Router để bảo vệ an toàn cho Server của mình nhé!
#VnPro#CCNA#CCNP#CCIE#NAT#PortForwarding#PortTranslation#CiscoIOS#NetworkSecurity#NetworkServices
Attached Files