LAB thực hành Cisco: Chia IP không đồng đều (VLSM) - Cấu hình EIGRP - Cấu hình NAT - Cấu Hình PAT

Mô hình LAB như sau:

Yêu Cầu:

Phần 1: Chia subnet sao cho phù hợp.

Phần 2: Các mạng nội bộ của công ty giữa các Router R1 R2 R3 sử dụng định tuyến EIGRP. Giữa nhà cung cấp ISP và R2 dùng định tuyến tĩnh, trong đó R2 có sử dụng default route. Hãy viết các lệnh với đầy đủ tên router, chế độ … để thực hiện các yêu cầu sau đây:

1. Cấu hình định tuyến để tất cả các router và máy tính trong toàn mạng liên thông. Chú ý sử dụng wildcard mask khi quảng bá các mạng con.

2. Cấu hình PAT sử dụng interface S0/2 của R2 cho phép tất cả các máy tính thuộc NET1 truy cập ra ngoài Internet.

3. Giả sử công ty mua dãy địa chỉ IP 200.1.1.0/28. Hãy cấu hình NAT để ánh xạ IP của PC3-NET3-200.1.1.3 và máy PC7-NET2-200.1.1.4

4. Viết các lệnh cần thiết trên ISP để chặn tất cả các địa chỉ Private từ mạng của công ty.

Giải quyết:

Phần 1:

Ta có các mạng NET1 40 host, NET2 12 host, NET3 100 host và theo yêu cầu như trên thì ta sử dụng các chia mạng không đồng đều (VLSM)

Mình chọn mạng 192.168.0.0

NET3 100 host : vậy cần tìm số n sau cho 2^n – 2 > 100 và gần 100 nhất => n=7, vậy ta mượn 7 bit lúc này mạng NET3 là 192.168.0.0/25

NET3:

192.0.0.0/25 (network)

192.168.0.1/25 – 192.168.0.126/25 (IP cho host)

192.168.0.127/25 (broadcast)

NET1 40 host, tương tự như cách tính ở trên ta cần mượn 6 bit, lúc này mạng NET1 là 192.168.0.128/26

NET1:

192.168.0.128/26 (network)

192.168.0.129/26 – 192.168.0.190/26 (IP cho host)

192.168.0.191/26 (broadcast)

NET2 12 host, mượn 4 bit, lúc này mạng NET2 là 192.168.0.192/28

NET2:

192.168.0.192/28 (network)

192.168.0.193/28 – 192.168.0.206/28 (IP cho host)

192.168.0.207/28 (broastcast)

Lưu ý: Vì thực tế mô hình mạng không chỉ có máy tính mà còn có gateway, nên các bạn lưu ý đến số IP cần dùng để đặt cho máy tính là luôn cả gateway.

Mô hình sau khi đặt lại IP:

Các mạng giữa các router R1, R2, R3 mình tự đặt, các bạn có thể đặt tùy ý, ở đây mình chọn các mạng 172.16.0.0, 172.17.0.0, 172.18.0.0

Phần 2:

Cấu hình defaut route trên R2:

ip route 0.0.0.0 0.0.0.0 s0/2

Cấu hình IP trên các Router:

R1:
interface f0/0
ip add 192.168.0.129 255.255.255.192
no shutdown

interface s0/0
ip add 172.16.0.1 255.255.0.0
no shutdown

interface s0/1
ip add 172.18.0.1 255.255.0.0
clock rate 64000
no shutdown

R2:
interface f0/0
ip add 192.168.0.193 255.255.255.240
no shutdown

interface s0/0
ip add 172.16.0.2 255.255.0.0
clock rate 64000
no shutdown

interface s0/2
ip add 200.1.1.2 255.255.255.240
clock rate 64000
no shutdown

interface s0/1
ip add 172.17.0.2 255.255.0.0
no shutdown

R3:
interface f0/0
ip add 192.168.0.1 255.255.255.128
no shutdown

interface s0/0
ip add 172.18.0.2 255.255.0.0
no shutdown

interface s0/1
ip add 172.17.0.1 255.255.0.0
clock rate 64000
no shutdown

ISP:
interface f0/0
ip add 203.1.1.1 255.255.255.0
no shutdown

interface s0/0
ip add 200.1.1.1 255.255.255.240
no shutdown

Cấu hình EIGRP:

R1:
router eigrp 100
network 192.168.0.128 0.0.0.63
network 172.16.0.0 0.0.255.255
network 172.18.0.0 0.0.255.255
no auto-summary
passsive-interface f0/0

R3:
router eigrp 100
network 192.168.0.0 0.0.0.127
network 172.17.0.0 0.0.255.255
network 172.18.0.0 0.0.255.255
no auto-summary
passsive-interface f0/0

R2:
router eigrp 100
network 192.168.0.192 0.0.0.15
network 172.17.0.0 0.0.255.255
network 172.16.0.0 0.0.255.255
no auto-summary
passsive-interface f0/0
redistribute static

Câu lệnh no auto-summary để không cho EIGRP tự sum các mạng con lại.

Câu lệnh redistribute static nhằm quảng bá tuyến default route của R2 vào mạng trong thông qua EIGRP.

Show ip route EIGRP trên R1:

Cấu hình PAT cho NET1 ra internet :

Trên R2 cấu hình như sau:

Access-List cho NET1:

ip access-list standard NET1

permit 192.168.0.128 0.0.0.63

PAT:

ip nat inside source list NET1 interface s0/2 overload

Áp dụng cho cổng:

interface s0/2

ip nat outside

interface s0/0

ip nat inside

Ping máy Server từ NET1 và kết quả debug NAT trên R2:

Cấu hình Static NAT cho PC3-NET3 => 200.1.1.3 và máy PC7-NET2 => 200.1.1.4 :

ip nat inside source static 192.168.0.2 200.1.1.3

interface s0/1

ip nat inside

ip nat inside source static 192.168.0.200 200.1.1.4

interface f0/0

ip nat inside

ISP chặn địa chỉ Private:

ip access-list standard deny_private
deny 10.0.0.0 0.255.255.255
deny 172.16.0.0 0.15.255.255
deny 192.168.0.0 0.0.255.255
permit anyinterface s0/0
ip access-group deny_private in

Lưu ý: Đừng quên câu lệnh permit any nhé nếu không sẽ không có máy tính nào ra mạng được vì mạc định có Access-List có câu deny any cuối cùng.

FILE CẤU HÌNH (PACKET TRACER): lab1.zip