Bạn là một kỹ sư mạng và sếp của bạn hoặc khách hàng muốn bạn xây dựng một giải pháp rẻ và dễ dàng để lưu trữ một máy chủ có thể truy cập công cộng (chẳng hạn như Máy chủ web, máy chủ Email, máy chủ VPN, v.v.) chỉ sử dụng một bộ định tuyến Cisco Router thông thường. Trong hầu hết các thiết kế mạng, bạn sẽ thấy rằng cách thông thường và “thích hợp” để bảo vệ các máy chủ có thể truy cập công cộng là đặt chúng sau tường lửa mạng như Cisco ASA, SonicWall, Fortigate, Checkpoint, Palo Alto, v.v. Tuy nhiên, trong bài viết này, sẽ thảo luận và giải thích cách đạt được yêu cầu trên bằng cách sử dụng chuyển tiếp cổng (Port Forwarding) với bộ định tuyến Cisco Router. Tùy chọn này phù hợp với các mạng ngân sách thấp, tại các văn phòng ở xa hoặc trong các mạng SMB không có yêu cầu cao về bảo mật, v.v. Port Forwarding là một tính năng có thể được sử dụng để cung cấp quyền truy cập từ Internet đến các máy chủ nội bộ trong Mạng cục bộ (LAN). Port Forwarding dựa trên NAT tĩnh, theo đó địa chỉ IP công cộng được gán cho giao diện WAN bên ngoài của bộ định tuyến được chuyển thành địa chỉ IP riêng nội bộ và cổng được gán cho máy chủ nội bộ. Hãy xem sơ đồ mạng cơ bản sau để hiểu rõ hơn về kịch bản. Kịch bản mạng 1 Như được hiển thị từ mạng ở trên, chúng ta có Mạng LAN (192.168.1.0/24) với một số máy tính của người dùng và cũng có một Máy chủ Web. Bạn muốn cho phép truy cập từ Internet tới Máy chủ Web (192.168.1.10) tại cổng 80. Một yêu cầu khác là cấu hình PAT (NAT overload or Port Address Translation) để cho phép lưu lượng đi từ mạng LAN đến Internet. Vì vậy, bộ định tuyến sẽ có hai kiểu NAT khác nhau: 1. NAT Overload (PAT) để dịch tất cả các IP nguồn (192.168.1.x) cho lưu lượng Đi bằng IP WAN công cộng (50.50.50.1) được gán cho Giao diện Ge0 / 0 của bộ định tuyến. 2. Port Forwarding sẽ dịch IP đích và cổng 80 của lưu lượng đến từ Internet thành IP riêng và cổng 80 của Máy chủ web. Điều này có nghĩa là lưu lượng truy cập đến đạt 50.50.50.1 tại cổng 80 sẽ được dịch sang IP đích 192.168.1.10 tại cổng 80 (là địa chỉ Máy chủ Web). Cấu hình Port Forwarding 1 R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface gigabitEthernet 0/0 R1(config-if)#ip address 50.50.50.1 255.255.255.0 R1(config-if)#ip nat outside <– Cấu hình cổng WAN là NAT outside interface R1(config-if)#no shutdown R1(config-if)#exit R1(config)# R1(config)#interface gigabitEthernet 0/1 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#ip nat inside <– Cấu hình cổng LAN là NAT inside interface R1(config-if)#no shutdown R1(config-if)#exit R1(config)# R1(config)#ip route 0.0.0.0 0.0.0.0 50.50.50.2 <– Cấu hình default route R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 <– Cấu hình ACL sử dụng cho PAT R1(config)#ip nat inside source list 1 interface GigabitEthernet0/0 overload <– Cấu hình PAT (NAT overload) R1(config)#ip nat inside source static tcp 192.168.1.10 80 50.50.50.1 80 <– Cấu hình Port Forwarding R1(config)#end R1#write Ghi chú: Lệnh cấu hình port forwarding có định dạng sau: ip nat inside source static { tcp | udp } local-ip local-port global-ip global-port [extendable] R1(config)#ip nat inside source static tcp 192.168.1.10 80 50.50.50.1 80 <– Ví dụ cấu hình Port Forwarding Theo ví dụ cấu hình ở trên, ip toàn cầu (WAN IP) 50.50.50.1 và cổng 80 sẽ được dịch thành cổng 80 địa chỉ ip-local 192.168.1.10. Xác minh Hãy xác minh chuyển tiếp cổng bằng cách quan sát bảng bản dịch nat: R1#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 50.50.50.1:80 192.168.1.10:80 — — tcp 50.50.50.1:80 192.168.1.10:80 60.60.60.2:1026 60.60.60.2:1026 Bảng NAT ở trên cho thấy rằng Global IP 50.50.50.1 cổng 80 được ánh xạ (dịch) thành Inside local 192.168.1.10:80. Ngoài ra, bảng trên cho thấy máy chủ lưu trữ Internet (60.60.60.2) được hiển thị là Bên ngoài Outside global đã truy cập vào máy chủ Web và tạo một mục nhập NAT trong bảng. Kịch bản mạng 2 Bây giờ chúng ta hãy xem một cấu trúc liên kết hơi khác với việc sử dụng port forwarding: Trong mạng trên, chúng ta có hai máy chủ nội bộ mà chúng ta cần truy cập từ Internet. Máy chủ Web gốc (192.168.1.10) mà chúng ta đã thấy trong ví dụ trước và Máy chủ SMTP mới (192.168.1.11). Ta sẽ định cấu hình chuyển tiếp cổng trên bộ định tuyến Cisco Router để lưu lượng truy cập vào IP công cộng 50.50.50.1 tại cổng 80 sẽ được chuyển tiếp đến máy chủ Web và lưu lượng truy cập vào IP WAN tại cổng 25 (đối với SMTP) sẽ được chuyển tiếp đến máy chủ SMTP. Cấu hình Port Forwarding 2 Cấu hình ban đầu của địa chỉ IP, PAT, v.v. giống như ví dụ trước. Ta chỉ xem cách định cấu hình Port Forwarding cho hai máy chủ nội bộ. R1(config)#ip nat inside source static tcp 192.168.1.10 80 50.50.50.1 80 <– Cấu hình Port Forwarding cho Web Server R1(config)#ip nat inside source static tcp 192.168.1.11 25 50.50.50.1 25 <– Cấu hình Port Forwarding cho SMTP Server Xác minh Hãy xác minh lại quá trình chuyển tiếp cổng bằng cách quan sát bảng bản dịch nat: R1#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 50.50.50.1:25 192.168.1.11:25 — — tcp 50.50.50.1:25 192.168.1.11:25 65.12.60.10:1028 65.12.60.10:1028 tcp 50.50.50.1:80 192.168.1.10:80 — — tcp 50.50.50.1:80 192.168.1.10:80 60.60.60.2:1026 60.60.60.2:1026 Như được hiển thị từ đầu ra ở trên, ta có các mục NAT cho 50.50.50.1 cổng 25 được dịch thành 192.168.1.11 cổng 25. Ngoài ra, địa chỉ 50.50.50.1 cổng 80 được dịch thành 192.168.1.10 cổng 80. Các tùy chọn cấu hình khác Một tùy chọn cấu hình khác với port forwarding là có một cổng bên ngoài khác được chuyển tiếp đến một cổng bên trong khác trên máy chủ. R1(config)#ip nat inside source static tcp 192.168.1.10 80 50.50.50.1 8080 Ở trên cho thấy rằng lưu lượng truy cập vào IP công cộng 50.50.50.1 tại cổng 8080 sẽ được dịch sang IP riêng 192.168.1.10 tại cổng 80. Một tùy chọn khác là có hai cổng công cộng khác nhau được chuyển tiếp đến hai cổng khác nhau trên cùng một máy chủ nội bộ: R1(config)#ip nat inside source static tcp 192.168.1.10 80 50.50.50.1 80 R1(config)#ip nat inside source static tcp 192.168.1.10 22 50.50.50.1 22 Tùy chọn trên rất hữu ích khi cùng một máy chủ nội bộ (192.168.1.10) chạy hai dịch vụ khác nhau, ví dụ: máy chủ Web (cổng 80) và máy chủ SSH (cổng 22). Xóa bảng dịch NAT Nếu bạn muốn xóa bảng bản dịch NAT, hãy sử dụng như sau: R1#clear ip nat translation * Cám ơn các bạn đã theo dõi bài viết Port Forwarding trên Router Cisco. Chúc các bạn thực hiện thành công!
