CCNA [Lab 12] Lab cấu hình NAT cho Router Cisco

Discussion in 'Lab' started by root, Feb 28, 2014.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,159
    Likes Received:
    18
    Trophy Points:
    38

    Lab cấu hình NAT cho Router cisco

    Trong bài Lab cấu hình NAT cho Router Cisco chúng ta sẽ cấu hình làm sao để cho phép toàn bộ hệ thống mạng LAN của mình có thể truy cập internet. Đây thực ra là cơ chế Nat port hay còn gọi là Nat overload trên Router kết nối với ISP.
    Các bạn có thể tham khảo lại phần lý thuyết về tìm hiểu NAT để biết NAT là gì, cách thức hoạt động ra sao...

    I. Sơ đồ và yêu cầu lab cấu hình NAT cho Router Cisco

    1. Sơ đồ
    - Đây là mô hình để cấu hình NAT cho Router kết nối với ISP. Mô hình này chúng ta sẽ cho Router R1 làm vai trò Router kết nối với Router ISP.

    cau hinh NAT cho Router Cisco
    2. Yêu cầu
    - Thiết lập sơ đồ
    - Cấu hình VLAN
    • Sw1 làm VTP server
    • Sw2 làm VTP client
    • Tạo 2 VLAN 20,30 và đồng bộ 2 Switch
    • port 5 active VLAN 20
    • port 10 active VLAN 30
    - Routing
    • R2 thuộc VLAN 20
    • R3 thuộc VLAN 30
    • R1 cấu hình intervlan-Routing cho các VLAN dùng OSPF
    - NAT
    • PC2 và PC3 ra được internet
    - Acess-list
    • Các PC ping được lẫn nhau nhưng không ping được Router
    • Các PC vào được trang bing.com nhưng không vào được trang google.com
    - tham khảo thêm các bài lab liên quan.
    1. [Lab 9] Cấu hình inter vlan trên Router Cisco
    2. [Lab 9.1] Cấu hình inter vlan switch layer 3
    3. [Lab 11] Cấu hình Access Control List
    - Các bài lý thuyết tham khảo:
    1. [Bài 21] Tìm hiểu về Network Address Translation
    2. [Bài 20] Hướng dẫn cấu hình ACL Router Cisco
    3. [Bài 11] Tìm hiểu các giao thức định truyến mạng
    Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
     
    Last edited: Aug 4, 2016
  2. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,159
    Likes Received:
    18
    Trophy Points:
    38

    II. Triển khai Lab Cấu hình NAT cho Router cisco


    1. Sw1
    - Cấu hình VTP server, tạo VLAN
    Code:
    Sw1(config)#vtp mode server
    Sw1(config)#vtp domain svuit.com
    Sw1(config)#vtp password 123
    Sw1(config)#vlan 20
    Sw1(config-vlan)#name R2
    Sw1(config-vlan)#vlan 30
    Sw1(config-vlan)#name R3
    - Kiểm tra port trunk ta thấy f0/5 và f0/10 đã lên trunk nhưng nó cho các VLAN từ 1-1005 đi qua

    cau hinh nat cho router Cisco(1)

    - Cấu hình f0/5 và f0/10 chỉ cho VLAN 20 và VLAN 30 đi qua
    Code:
    Sw1(config-if)#interface f0/5
    Sw1(config-if)#switchport mode trunk
    Sw1(config-if)#switchport trunk allowed vlan 20
    Sw1(config-if)#interface f0/10
    Sw1(config-if)#switchport mode trunk
    Sw1(config-if)#switchport trunk allowed vlan 30

    cau hinh nat cho router Cisco(2)

    2. Sw2
    - Cấu hình VLAN mode client tương tự như Sw1
    Code:
    Sw2(config)#vtp mode client
    Sw2(config)#vtp domain svuit.com
    Sw2(config)#vtp password 123
    Sw2(config-if)#interface f0/5
    Sw2(config-if)#switchport mode trunk
    Sw2(config-if)#switchport trunk allowed vlan 20
    Sw2(config-if)#interface f0/10
    Sw2(config-if)#switchport mode trunk
    Sw2(config-if)#switchport trunk allowed vlan 30
    - Cấu hình cho R2, R3 thuộc VLAN 20,30
    Code:
    Sw2(config-if)#interface f0/23
    Sw2(config-if)#switchport mode access
    Sw2(config-if)#switchport access vlan 20
    Sw2(config-if)#interface f0/24
    Sw2(config-if)#switchport mode access
    Sw2(config-if)#switchport access vlan 30

    3. Cấu hình NAT cho Router R1

    - Tạo sub-interface cho VLAN 20,30 trên Router R1
    Code:
    R1(config)#interface f0/1.20
    R1(config-subif)#encapsulation dot1Q 20
    R1(config-subif)#ip address 192.168.12.254 255.255.255.0
    R1(config-subif)#interface f0/1.30
    R1(config-subif)#encapsulation dot1Q 30
    R1(config-subif)#ip address 192.168.13.254 255.255.255.0
    R1(config-subif)#interface f0/1
    R1(config-if)#no shutdown
    R1(config)#interface f0/0
    R1(config-if)#ip address dhcp
    R1(config-if)#no shutdown
    - thực hiện định tuyến InterVLAN-Routing cho các VLAN
    Code:
    R1(config-router)#network 192.168.12.0 0.0.0.255 area 0
    R1(config-router)#network 192.168.13.0 0.0.0.255 area 0
    R1(config-router)#default-information originate
    - Cấu hình NAT cho các sub-interface để các PC trong các VLAN có thể ra internet
    Code:
    R1(config)#access-list 1 permit any
    R1(config)#ip nat inside source list 1 interface f0/0 overload
    R1(config)#interface f0/0
    R1(config-if)#ip nat outside
    R1(config-if)#interface f0/1.20
    R1(config-subif)#ip nat inside
    R1(config-subif)#interface f0/1.30
    R1(config-subif)#ip nat inside
    4. Cấu hình Router R2
    - Cấu hình IP và định tuyến trên R2
    Code:
    R2(config)#interface f0/0
    R2(config-if)#ip address 192.168.12.2 255.255.255.0
    R2(config-if)#no shutdown
    R2(config-if)#interface f0/1
    R2(config-if)#ip address 192.168.2.254 255.255.255.0
    R2(config-if)#no shutdown
    
    R2(config)#router ospf 2
    R2(config-router)#network 192.168.2.0 0.0.0.255 area 0
    R2(config-router)#network 192.168.12.0 0.0.0.255 area 0

    cau hinh nat cho router Cisco(3)

    5. Cấu hình Router R3

    - Cấu hình IP và định tuyến trên R3
    Code:
    R3(config)#interface f0/0
    R3(config-if)#ip address 192.168.13.3 255.255.255.0
    R3(config-if)#no shutdown
    R3(config-if)#interface f0/1
    R3(config-if)#ip address 192.168.3.254 255.255.255.0
    R3(config-if)#no shutdown
    
    R3(config)#router ospf 3
    R3(config-router)#network 192.168.3.0 0.0.0.255 area 0
    R3(config-router)#network 192.168.13.0 0.0.0.255 area 0
    6. Cấu hình Router ISP
    Code:
    ISP(config)#interface f0/0
    ISP(config-if)#ip address 123.123.123.123 255.255.0.0
    ISP(config-if)#no shutdown
    ISP(config-if)#interface f0/1
    ISP(config-if)#ip address 8.8.8.254 255.0.0.0
    ISP(config-if)#no shutdown
    ISP(dhcp-config)#interface f1/0
    ISP(config-if)#ip address 9.9.9.254 255.0.0.0
    ISP(config-if)#no shutdown
    
    ISP(config)#ip dhcp pool ISP
    ISP(dhcp-config)#network 123.123.0.0 255.255.0.0
    ISP(dhcp-config)#default-router 123.123.123.123
    ISP(dhcp-config)#dns-server 8.8.8.8
     
    Last edited: Jul 25, 2016
  3. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,159
    Likes Received:
    18
    Trophy Points:
    38
    III. Cấu hình Access List trên Router
    1. Cấm các PC ping Router và các ping được ping lẫn nhau
    - Thực hiện viết ACL dạng name-extended trên router R2
    Code:
    R2(config)#ip access-list extended ping
    R2(config-ext-nacl)#deny icmp 192.168.2.0 0.0.0.255 host 192.168.2.254
    R2(config-ext-nacl)#deny icmp 192.168.2.0 0.0.0.255 host 192.168.3.254
    R2(config-ext-nacl)#deny icmp 192.168.2.0 0.0.0.255 192.168.12.0 0.0.0.255
    R2(config-ext-nacl)#deny icmp 192.168.2.0 0.0.0.255 192.168.13.0 0.0.0.255
    R2(config-ext-nacl)#deny icmp 192.168.2.0 0.0.0.255 123.123.0.0 0.0.255.255
    R2(config-ext-nacl)#permit ip any any
    R2(config-ext-nacl)#interface f0/1
    R2(config-if)#ip access-group ping in
    • Trên PC thuộc VLAN 2 ta thực hiện ping Router R2,R3 và PC thuộc VLAN 3
    cau hinh nat cho router Cisco(4)

    - Tương tự ta viết tiếp ACL cho R3
    Code:
    R3(config)#ip access-list extended ping
    R3(config-ext-nacl)#deny icmp 192.168.3.0 0.0.0.255 host 192.168.2.254
    R3(config-ext-nacl)#deny icmp 192.168.3.0 0.0.0.255 host 192.168.3.254
    R3(config-ext-nacl)#deny icmp 192.168.3.0 0.0.0.255 192.168.12.0 0.0.0.255
    R3(config-ext-nacl)#deny icmp 192.168.3.0 0.0.0.255 192.168.13.0 0.0.0.255
    R3(config-ext-nacl)#deny icmp 192.168.3.0 0.0.0.255 123.123.0.0 0.0.255.255
    R3(config-ext-nacl)#permit ip any any
    R3(config-ext-nacl)#interface f0/1
    R3(config-if)#ip access-group ping in
    2. Cấm các PC truy cập trang google.com
    - Thực hiện viết ACL trên router biên R1 và áp vào các sub-interface f0/1.20 và f0/1.30
    Code:
    R1(config)#ip access-list extended internet
    R1(config-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 host 8.8.8.8 eq 80
    R1(config-ext-nacl)#deny tcp 192.168.3.0 0.0.0.255 host 8.8.8.8 eq 80
    R1(config-ext-nacl)#permit ip any any
    R1(config-if)#interface f0/1.20
    R1(config-subif)#ip access-group internet in
    R1(config-subif)#interface f0/1.30
    R1(config-subif)#ip access-group internet in
    • Dùng PC truy cấp google.com không được
    cau hinh nat cho router Cisco(5)

    • nhưng vẫn cho phép truy cấp trang bing.com
    cau hinh nat cho router Cisco(6)
     
    Last edited: Jul 25, 2016
  4. khoa.ntk01

    khoa.ntk01 New Member

    Joined:
    Jan 4, 2015
    Messages:
    36
    Likes Received:
    0
    Trophy Points:
    0
    mất hết ảnh rồi, root ơi, hix, up lại nha root
     
  5. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,159
    Likes Received:
    18
    Trophy Points:
    38
    hi bạn,

    Đã upload lại hình ảnh bài lab này. Chúc bạn làm lab vui vẻ nhé!

    Thanks,
     
  6. thelovemyth

    thelovemyth New Member

    Joined:
    Apr 16, 2015
    Messages:
    2
    Likes Received:
    0
    Trophy Points:
    0
    Bạn có thể ký hiệu R1 R2 Sw1 2 vào hình ảnh được không ?
     
  7. thelovemyth

    thelovemyth New Member

    Joined:
    Apr 16, 2015
    Messages:
    2
    Likes Received:
    0
    Trophy Points:
    0
    Mình nghĩ là ở Switch bên phải (sw1) port F0/1 phải cấu hình trunk vlan 20 và 30 mới đến được R1 chứ phải k?

    Ngoài ra trên Router ISP cần cấu hình định tuyến gì nữa thì từ PC bên ngoài mới ping đc đến google hoặc Bing.
     
  8. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,159
    Likes Received:
    18
    Trophy Points:
    38
    đã vẽ lại diagram đúng bạn review lại nhé
     

Share This Page