Tweet
[ccnp] phân biệt inside source vs outside source trong nat
🔥 [CCNP] PHÂN BIỆT INSIDE SOURCE VS OUTSIDE SOURCE TRONG NAT
Có tới 90% người làm quản trị mạng hiện nay hằng ngày đều gõ lệnh ip nat inside source... để đưa mạng LAN văn phòng ra Internet. Lệnh này quen thuộc đến mức nhiều người cứ nghĩ NAT thì chỉ có bấy nhiêu đó.
Thế nhưng, trong danh mục lệnh của Cisco IOS còn có một câu lệnh "anh em song sinh" nhưng mang tư duy hoàn toàn ngược lại: ip nat outside source.... Đã bao giờ bạn đứng hình mất vài phút khi gặp câu lệnh này trong các bài thi nâng cao CCNP, CCIE hay các dự án kết nối liên vùng doanh nghiệp chưa? Bản chất luồng đi của gói tin thay đổi ra sao khi chúng ta hoán đổi giữa hai câu lệnh này? Chúng ta cùng phân tích nhé! 1. ĐỊNH NGHĨA BẢN CHẤT: LUẬT BIÊN DỊCH HAI CHIỀU
Tài liệu vạch rõ ranh giới hoạt động cốt lõi của hai câu lệnh này dựa trên hướng di chuyển của gói tin (từ vùng Inside ra Outside hoặc ngược lại):
Để làm rõ sự khác biệt, chúng ta sử dụng một mô hình Lab tiêu chuẩn gồm 3 thiết bị:
Đầu tiên, chúng ta luôn phải định nghĩa ranh giới giao diện trên Router NAT: NAT(config)# interface fastEthernet 0/0 NAT(config-if)# ip nat inside NAT(config)# interface fastEthernet 1/0 NAT(config-if)# ip nat outside
Kịch bản 1: Thực chiến với ip nat inside source
Đây là kịch bản NAT tĩnh thông thường để biến đổi IP của Router R1 bên trong thành một IP đại diện bên ngoài là 192.168.23.10: NAT(config)# ip nat inside source static 192.168.12.1 192.168.23.10
Bây giờ chúng ta xóa cấu hình cũ đi và đổi góc nhìn. Chúng ta muốn giữ nguyên IP của mạng LAN, nhưng muốn "ngụy trang" IP của đối tác R3 bên ngoài (192.168.23.3) thành một địa chỉ IP ảo trông giống như đang ngồi trong mạng nội bộ của chúng ta là 192.168.12.30: NAT(config)# ip nat outside source static 192.168.23.3 192.168.12.30
Để kiểm tra sự hoán đổi vị trí của các trường dữ liệu trong bộ nhớ Router NAT sau khi các thiết bị thực hiện kết nối, chúng ta sử dụng câu lệnh xác minh quen thuộc:
NAT# show ip nat translations
Tại sao Cisco lại sinh ra lệnh ip nat outside source? Tài liệu đi đến kết luận rằng câu lệnh này cực kỳ hữu ích trong hai trường hợp thực tế:
#VnPro#CCNA#CCNP#CCIE#IPNAT#InsideSource#OutsideSource#TwiceNAT#CiscoIOS#NetworkServices#RoutingAndSwitching#EnterpriseInfrastructure
Có tới 90% người làm quản trị mạng hiện nay hằng ngày đều gõ lệnh ip nat inside source... để đưa mạng LAN văn phòng ra Internet. Lệnh này quen thuộc đến mức nhiều người cứ nghĩ NAT thì chỉ có bấy nhiêu đó.
Thế nhưng, trong danh mục lệnh của Cisco IOS còn có một câu lệnh "anh em song sinh" nhưng mang tư duy hoàn toàn ngược lại: ip nat outside source.... Đã bao giờ bạn đứng hình mất vài phút khi gặp câu lệnh này trong các bài thi nâng cao CCNP, CCIE hay các dự án kết nối liên vùng doanh nghiệp chưa? Bản chất luồng đi của gói tin thay đổi ra sao khi chúng ta hoán đổi giữa hai câu lệnh này? Chúng ta cùng phân tích nhé! 1. ĐỊNH NGHĨA BẢN CHẤT: LUẬT BIÊN DỊCH HAI CHIỀU
Tài liệu vạch rõ ranh giới hoạt động cốt lõi của hai câu lệnh này dựa trên hướng di chuyển của gói tin (từ vùng Inside ra Outside hoặc ngược lại):
- Câu lệnh ip nat inside source:
- Chiều đi (Inside -> Outside): Tiến hành biên dịch địa chỉ IP Nguồn (Source IP) của gói tin.
- Chiều về (Outside -> Inside): Tiến hành biên dịch địa chỉ IP Đích (Destination IP) của gói tin.
- Câu lệnh ip nat outside source:
- Chiều đi (Outside -> Inside): Tiến hành biên dịch địa chỉ IP Nguồn (Source IP) của gói tin.
- Chiều về (Inside -> Outside): Tiến hành biên dịch địa chỉ IP Đích (Destination IP) của gói tin.
Để làm rõ sự khác biệt, chúng ta sử dụng một mô hình Lab tiêu chuẩn gồm 3 thiết bị:
- Router R1 (Inside): Đại diện cho mạng nội bộ, sở hữu IP 192.168.12.1 trên cổng Fa0/0.
- Router NAT: Thiết bị xử lý biên dịch chính. Cổng Fa0/0 (vùng INSIDE) kết nối với R1. Cổng Fa1/0 (vùng OUTSIDE) kết nối ra ngoài với IP 192.168.23.2.
- Router R3 (Outside): Đại diện cho một đối tác hoặc một vùng mạng bên ngoài, sở hữu IP 192.168.23.3 trên cổng Fa1/0.
Đầu tiên, chúng ta luôn phải định nghĩa ranh giới giao diện trên Router NAT: NAT(config)# interface fastEthernet 0/0 NAT(config-if)# ip nat inside NAT(config)# interface fastEthernet 1/0 NAT(config-if)# ip nat outside
Kịch bản 1: Thực chiến với ip nat inside source
Đây là kịch bản NAT tĩnh thông thường để biến đổi IP của Router R1 bên trong thành một IP đại diện bên ngoài là 192.168.23.10: NAT(config)# ip nat inside source static 192.168.12.1 192.168.23.10
- Ví dụ giải thích luồng tin: Khi R1 (192.168.12.1) gửi gói tin ping đến R3 (192.168.23.3). Khi gói tin đi qua Router NAT, Router sẽ nhìn vào lệnh và đổi Source IP từ 192.168.12.1 thành 192.168.23.10. Khi R3 nhận được, nó thấy gói tin đến từ .10 nên nó phản hồi về cho .10. Lúc gói tin phản hồi này quay trở lại Router NAT, Router lại đổi Destination IP từ 192.168.23.10 trả lại thành 192.168.12.1 để chuyển về cho R1.
Bây giờ chúng ta xóa cấu hình cũ đi và đổi góc nhìn. Chúng ta muốn giữ nguyên IP của mạng LAN, nhưng muốn "ngụy trang" IP của đối tác R3 bên ngoài (192.168.23.3) thành một địa chỉ IP ảo trông giống như đang ngồi trong mạng nội bộ của chúng ta là 192.168.12.30: NAT(config)# ip nat outside source static 192.168.23.3 192.168.12.30
- Ví dụ giải thích luồng tin: Kịch bản này cực kỳ thú vị. Khi R3 (192.168.23.3) gửi gói tin vào vùng Inside. Ngay khi gói tin vừa chạm vào cổng Outside của Router NAT, câu lệnh trên lập tức can thiệp và đổi Source IP của R3 từ 192.168.23.3 thành 192.168.12.30. Khi gói tin này đi đến R1, R1 nhìn vào và nghĩ rằng: "À, người anh em 192.168.12.30 này đang ở cùng mạng LAN với mình". R1 sẽ gửi gói tin phản hồi về cho .30. Khi gói phản hồi chạm vào vùng Inside của Router NAT, Router sẽ đổi Destination IP từ 192.168.12.30 quay ngược lại thành IP thật 192.168.23.3 để trả về cho R3 ngoài Internet.
Để kiểm tra sự hoán đổi vị trí của các trường dữ liệu trong bộ nhớ Router NAT sau khi các thiết bị thực hiện kết nối, chúng ta sử dụng câu lệnh xác minh quen thuộc:
NAT# show ip nat translations
- Kết quả khi dùng lệnh Inside Source: Bảng dịch sẽ hiển thị địa chỉ Inside Local là 192.168.12.1 và Inside Global là 192.168.23.10. Router tập trung theo dõi và ánh xạ thực thể bên trong.
- Kết quả khi dùng lệnh Outside Source: Bảng dịch sẽ hiển thị một kiến trúc hoàn toàn khác. Lúc này, địa chỉ Outside Global (IP thật bên ngoài) là 192.168.23.3 sẽ được ánh xạ trực tiếp sang địa chỉ Outside Local (IP ảo bên trong) là 192.168.12.30.
Tại sao Cisco lại sinh ra lệnh ip nat outside source? Tài liệu đi đến kết luận rằng câu lệnh này cực kỳ hữu ích trong hai trường hợp thực tế:
- Tránh xung đột địa chỉ IP (IP Overlapping): Khi công ty của bạn tiến hành sáp nhập hoặc kết nối VPN Site-to-Site với một công ty đối tác, nhưng ngặt nỗi cả hai bên đều đang đặt dải mạng LAN trùng nhau (cùng là 192.168.1.0/24). Lúc này, lệnh ip nat outside source sẽ giúp bạn "che giấu" dải IP của đối tác thành một dải IP khác, giúp Router của bạn không bị xung đột định tuyến.
- Đơn giản hóa định tuyến nội bộ: Thay vì phải cấu hình các tuyến đường phức tạp trỏ ra ngoài Internet trên tất cả các Router nội bộ, bạn sử dụng lệnh này để biến các máy chủ bên ngoài thành một IP "nội bộ ảo". Các Router trong mạng LAN chỉ cần định tuyến thẳng đến IP ảo đó như một thiết bị LAN thông thường.
#VnPro#CCNA#CCNP#CCIE#IPNAT#InsideSource#OutsideSource#TwiceNAT#CiscoIOS#NetworkServices#RoutingAndSwitching#EnterpriseInfrastructure
Attached Files