Bài lab gồm 4 router được kết nối với nhau theo sơ đồ hình 1.
Các router R1 đến R3 đóng vai trò các router của một mạng doanh nghiệp.
Router ISP giả lập môi trường Internet. Mạng doanh nghiệp giả lập ở trên sử dụng hai đường kết nối Internet cho mục đích dự phòng lẫn nhau (multihoming).
Trong bài lab này, học viên sẽ khảo sát một số kỹ thuật NAT nâng cao trên router và tính năng uRPF (unicast Reverse Path Forwarding).
Yêu cầu:
1. Cấu hình ban đầu:
Học viên thực hiện cấu hình các địa chỉ IP trên các interface của các router như được chỉ ra trên hình 1.
Trên phần mạng Inside Network, thực hiện cấu hình OSPF Area 0 đảm bảo mọi địa chỉ trong mạng Inside có thể đi đến được nhau.
Hiệu chỉnh OSPF đảm bảo R1 đi đến R2 theo đường link nối giữa hai cổng G1.12 của R1 và R2 nhưng R2 đi về R1 theo đường trung chuyển qua router R3.
Trên R1 thực hiện cấu hình hai static defaut – route trỏ đến ISP:
Trong đó, đảm bảo R1 sẽ sử dụng đường link G1.15 làm đường chính đi Internet, đường G1.51 chỉ sử dụng để dự phòng.
Thực hiện cơ chế track bằng IP SLA để đảm bảo hoạt động dự phòng diễn ra.
2. Dự phòng với NAT (1):
Cấu hình NAT trên R1 đảm bảo server 172.16.22.1 bên trong Inside Network sẽ được NAT thành địa chỉ public 100.0.15.22 khi đường đi Internet chính của mạng doanh nghiệp đang được sử dụng.
Bên cạnh đó, cũng thực hiện cấu hình NAT trên R1 đảm bảo server 172.16.22.1 sẽ được NAT thành địa chỉ public 100.0.51.22 khi đường Internet chính down và đường Internet dự phòng của mạng doanh nghiệp được sử dụng.
3. Dự phòng với NAT (2):
Cấu hình NAT overload trên R1 đảm bảo mọi địa chỉ còn lại trong mạng Inside sẽ được NAT thành địa chỉ trên cổng G1.15 của R1 để có thể truy nhập Internet.
Khi đường Internet chính down và đường dự phòng được sử dụng, các địa chỉ trong mạng Inside sẽ được NAT thành địa chỉ trên cổng G1.51 của R1 để có thể truy nhập Internet.
4. Ngăn chặn IP không hợp lệ với uRPF:
Cấu hình tính năng uRPF trên các cổng outside của router biên R1 chặn mọi gói tin đi đến mà có source IP thuộc về dải IP Private của mạng doanh nghiệp.
Bên cạnh đó, cũng thực hiện cấu hình uRPF trên các cổng inside chặn mọi gói tin đi ra Internet mà có source IP không thuộc về dải IP đang sử dụng trên mạng doanh nghiệp.
