18.1 ការគំរាម កំហែង សុវត្ថិភាព មានការគំរាមកំហែងសុវត្ដិភាព
ដែលអាច ប៉ះពាល់ ណែតវឺករបស់យើង ហើយអ្នកគ្រប់គ្រង ប្រព័ន្ធ ណែតវឺក ត្រូវតែ
ការពារ ការគំរាម កំហែង សុវត្ថិភាពទាំងនោះ មិនអោយ អន្តរាយណែតវឺក។
មានប្រភេទមួយចំនួន នៃសុវត្ថិភាពគំរាមកំហែងត្រូវបានរាយបញ្ជី:
* ការវាយប្រហាតាម DOS (Denial of Service) និង DDoS (Distributed Denial of Service): អ្នកវាយប្រហារ network server ជាមួយចរន្តធ្វើចរាចរណ៍ ដែលចរាចរណ៍ អាចស្នើរ ping ឬប្រភេទ ស្នើរ ផ្សេងទៀត ដែលរក្សាទុក server វាធ្វើអោយ សណ្ឋាន ណែតវឺកយឺត ហើយខាច់ខូច
* IP spoofing: អ្នកវាយប្រហារ ធ្វើជាមាន IP address ដែលខុស ប្លែក ពីគ្នាពី IP address ពិតរបស់វា។ ធ្វើជាមាន IP address អាចជាអាស្រ័យ ដ្ឋាន នៃឧបករណ៍ ប្រភព ដើម ដែលជឿថាប្រព័ន្ធណែតវឺក ឬអាស្រ័យ ដ្ឋានដែលអនុញ្ញាតអោយ អ្នកវាយ ប្រហារ ចូលដល់។
* Packet sniffers: វាជាកម្មវិធីដែលអាច ចាប់បានចរាចរណ៍ប្រព័ន្ធ ណែតវឺក ហើយ វិភាគ។ អ្នកវាយប្រហារ អាចប្រើកម្មវិធី Packet sniffer ដើម្បីចាប់ចរាចរណ៍ប្រព័ន្ធ ណែត វឺក ដែលប្រុងផ្ញើទៅ ហើយដឹងពី ព័ត៌មាន ដែលនឹង មិនដឹង។
* Password attacks: អ្នកវាយប្រហារ ព្យាយាមដើម្បីចូល account password ដើម្បីធ្វើ ជា អ្នកមានសិទ្ធ។ ពួកគេអាច ទទួលលេខសម្ងាត់ ដោយស្មាន ដោយសាកល្បង និង error ឬដោយ ទាមទារសិទ្ធ ដែល បាន ភ្លេចលេខសម្ងាត់ ឬមានមធ្យោបាយជាច្រើនដែល បញ្ឆោតបន្លំ លើប្រព័ន្ធ។
* Brute force attacks:អ្នកវាយប្រហារ ព្យាយាមដើម្បី ដោះកូដទិន្នន័យ ដែលប្រើវិធី ជាច្រើន ដោយដោះលេខកូដទិន្នន័យ គេអាចដឹងព័ត៌មាន លេខសម្ងាត់ និងអាចដឹង ទិន្នន័យ ដែលលោកអ្នកមិនដឹង។
* មេរោគ virus: មេរោគគឺជាកម្មវិធីព្យាបាទ ដែលអាចធ្វើអោយ អន្តរាយ ដល់កុំព្យូទ័រ។ វាអាច ភ្ជាប់ចូលកុំព្យូទ័រឆ្លងកាត់តាមអ៊ីនធឺណែត និងតាមមធ្យោបាយផ្សេងៗ។
* មេរោគ Trojan horse: មេរោគ Trojan horse គឺជាកម្មវិធីមួយដែល ធ្វើជាកម្មវិធី ផ្តល់ អោយលោកអ្នក ដែលមានមុខងារច្រើន។ ទោះជា យ៉ាង ណា ក៍ដោយកម្មវិធីនេះ កូដ ព្យាបាទ ដែលអាច ធ្វើអោយ ខូច កុំព្យូទ័រ។
18.2 ការសម្រាល ការគំរាមកំហែងសុវត្ថិភាព អ្នកគ្រប់គ្រងប្រព័ន្ធណែតវឺក អាចប្រើ ប្រាស់ អាចដំឡើងលើ ប្រព័ន្ធ ណែតវឺក របស់គេក្នុងគោលបំណងសម្រាល ការគំរាម កំហែង ប៉ះពាល់ ដល់ប្រព័ន្ធណែតវឺក។
ជញ្ជាំងបាំង Firewall វាគឺជាឧបករណ៍ ដែលត្រូវបានដំឡើង លើប្រព័ន្ធណែតវឺក ឬ កម្មវិធី ដែលត្រូវបានដំឡើងលើ ឧបករណ៍។ firewall ការពារប្រព័ន្ធណែតវឺកពី អ្នកដែល គ្មានសិទ្ធ អនុញ្ញាត្តចូល ពីខាងក្រៅប្រព័ន្ធ ណែតវឺក។ វាត្រួតពិនិត្យការទំនាក់ទំនង រវាងប្រព័ន្ធ ណែតវឺក និងភ្ជាប់ពីក្រៅពិភពលោកដើម្បី អនុញ្ញាតអ្នកមានសិទ្ធ ការ ទំនាក់ ទំនងដើម្បីឆ្លងកាតវា។
IDS(Intrusion Detection System) ឧបករណ៍ ឬកម្មវិធីទន់ វា រកឃើញ សកម្មភាព ហើយបង្ហាញអ្នកគ្រប់អ្នកគ្រប់គ្រង។
IDS(Intrusion Prevention System)
គឺជាឧបករណ៍ ឬកម្មវិធីទន់ រកឃើញ ហើយការពារ រាល់សកម្មភាព និងប្រាប់ អ្នកគ្រប់ គ្រងប្រព័ន្ធ។ Antivirus គឺជាកម្មវិធីមួយ ដែល រកឃើញនិងដោះចេញ spyware ដែល ប្រមូលផ្តុំផ្ទាល់ពី កុំព្យូទ័រ។
18.3 Access Control List (ALC) Access Control List (ALC) គឺជាឧបករណ៍ ដែលមានអនុភាព ដែលអាចអោយអ្នកគ្រប់គ្រង ដើម្បីត្រួតពិនិត្យ ចរាចរណ៍ នៅ ក្នុង ប្រព័ន្ធ ណែតវឺករបស់ពួកគេ។ ប្រើ ALC អ្នកគ្រប់គ្រងណែតវឺក អាចមានសិទ្ធ លើ ណែតវឺក ច្បាស់ លាស់ អាចអនុញ្ញាតអោយចូលប្រភពដើម្បីពិតប្រាកដ៍។ ឧបមាថា យើងមាន ប្រព័ន្ធណែតវឺក។
មានប្រភេទមួយចំនួន នៃសុវត្ថិភាពគំរាមកំហែងត្រូវបានរាយបញ្ជី:
* ការវាយប្រហាតាម DOS (Denial of Service) និង DDoS (Distributed Denial of Service): អ្នកវាយប្រហារ network server ជាមួយចរន្តធ្វើចរាចរណ៍ ដែលចរាចរណ៍ អាចស្នើរ ping ឬប្រភេទ ស្នើរ ផ្សេងទៀត ដែលរក្សាទុក server វាធ្វើអោយ សណ្ឋាន ណែតវឺកយឺត ហើយខាច់ខូច
* IP spoofing: អ្នកវាយប្រហារ ធ្វើជាមាន IP address ដែលខុស ប្លែក ពីគ្នាពី IP address ពិតរបស់វា។ ធ្វើជាមាន IP address អាចជាអាស្រ័យ ដ្ឋាន នៃឧបករណ៍ ប្រភព ដើម ដែលជឿថាប្រព័ន្ធណែតវឺក ឬអាស្រ័យ ដ្ឋានដែលអនុញ្ញាតអោយ អ្នកវាយ ប្រហារ ចូលដល់។
* Packet sniffers: វាជាកម្មវិធីដែលអាច ចាប់បានចរាចរណ៍ប្រព័ន្ធ ណែតវឺក ហើយ វិភាគ។ អ្នកវាយប្រហារ អាចប្រើកម្មវិធី Packet sniffer ដើម្បីចាប់ចរាចរណ៍ប្រព័ន្ធ ណែត វឺក ដែលប្រុងផ្ញើទៅ ហើយដឹងពី ព័ត៌មាន ដែលនឹង មិនដឹង។
* Password attacks: អ្នកវាយប្រហារ ព្យាយាមដើម្បីចូល account password ដើម្បីធ្វើ ជា អ្នកមានសិទ្ធ។ ពួកគេអាច ទទួលលេខសម្ងាត់ ដោយស្មាន ដោយសាកល្បង និង error ឬដោយ ទាមទារសិទ្ធ ដែល បាន ភ្លេចលេខសម្ងាត់ ឬមានមធ្យោបាយជាច្រើនដែល បញ្ឆោតបន្លំ លើប្រព័ន្ធ។
* Brute force attacks:អ្នកវាយប្រហារ ព្យាយាមដើម្បី ដោះកូដទិន្នន័យ ដែលប្រើវិធី ជាច្រើន ដោយដោះលេខកូដទិន្នន័យ គេអាចដឹងព័ត៌មាន លេខសម្ងាត់ និងអាចដឹង ទិន្នន័យ ដែលលោកអ្នកមិនដឹង។
* មេរោគ virus: មេរោគគឺជាកម្មវិធីព្យាបាទ ដែលអាចធ្វើអោយ អន្តរាយ ដល់កុំព្យូទ័រ។ វាអាច ភ្ជាប់ចូលកុំព្យូទ័រឆ្លងកាត់តាមអ៊ីនធឺណែត និងតាមមធ្យោបាយផ្សេងៗ។
* មេរោគ Trojan horse: មេរោគ Trojan horse គឺជាកម្មវិធីមួយដែល ធ្វើជាកម្មវិធី ផ្តល់ អោយលោកអ្នក ដែលមានមុខងារច្រើន។ ទោះជា យ៉ាង ណា ក៍ដោយកម្មវិធីនេះ កូដ ព្យាបាទ ដែលអាច ធ្វើអោយ ខូច កុំព្យូទ័រ។
18.2 ការសម្រាល ការគំរាមកំហែងសុវត្ថិភាព អ្នកគ្រប់គ្រងប្រព័ន្ធណែតវឺក អាចប្រើ ប្រាស់ អាចដំឡើងលើ ប្រព័ន្ធ ណែតវឺក របស់គេក្នុងគោលបំណងសម្រាល ការគំរាម កំហែង ប៉ះពាល់ ដល់ប្រព័ន្ធណែតវឺក។
ជញ្ជាំងបាំង Firewall វាគឺជាឧបករណ៍ ដែលត្រូវបានដំឡើង លើប្រព័ន្ធណែតវឺក ឬ កម្មវិធី ដែលត្រូវបានដំឡើងលើ ឧបករណ៍។ firewall ការពារប្រព័ន្ធណែតវឺកពី អ្នកដែល គ្មានសិទ្ធ អនុញ្ញាត្តចូល ពីខាងក្រៅប្រព័ន្ធ ណែតវឺក។ វាត្រួតពិនិត្យការទំនាក់ទំនង រវាងប្រព័ន្ធ ណែតវឺក និងភ្ជាប់ពីក្រៅពិភពលោកដើម្បី អនុញ្ញាតអ្នកមានសិទ្ធ ការ ទំនាក់ ទំនងដើម្បីឆ្លងកាតវា។
IDS(Intrusion Detection System) ឧបករណ៍ ឬកម្មវិធីទន់ វា រកឃើញ សកម្មភាព ហើយបង្ហាញអ្នកគ្រប់អ្នកគ្រប់គ្រង។
IDS(Intrusion Prevention System)
គឺជាឧបករណ៍ ឬកម្មវិធីទន់ រកឃើញ ហើយការពារ រាល់សកម្មភាព និងប្រាប់ អ្នកគ្រប់ គ្រងប្រព័ន្ធ។ Antivirus គឺជាកម្មវិធីមួយ ដែល រកឃើញនិងដោះចេញ spyware ដែល ប្រមូលផ្តុំផ្ទាល់ពី កុំព្យូទ័រ។
18.3 Access Control List (ALC) Access Control List (ALC) គឺជាឧបករណ៍ ដែលមានអនុភាព ដែលអាចអោយអ្នកគ្រប់គ្រង ដើម្បីត្រួតពិនិត្យ ចរាចរណ៍ នៅ ក្នុង ប្រព័ន្ធ ណែតវឺករបស់ពួកគេ។ ប្រើ ALC អ្នកគ្រប់គ្រងណែតវឺក អាចមានសិទ្ធ លើ ណែតវឺក ច្បាស់ លាស់ អាចអនុញ្ញាតអោយចូលប្រភពដើម្បីពិតប្រាកដ៍។ ឧបមាថា យើងមាន ប្រព័ន្ធណែតវឺក។
ដោយ
ប្រើ ACL អ្នកគ្រប់គ្រងប្រព័ន្ធណែតវឺក អាចមានសិទ្ធ ចូលផ្នែក លក់ “sales”
ណែត វឺក ដើម្បីអនុញ្ញាតចូល server ពេលការពារ ប្រព័ន្ធ
ណែតវឺកកុំព្យូទ័រហរិញ្ញាវត្ថុ “finance” ដែលអនុញ្ញាតពី server ដូចគ្នា។
លើនោះ អ្នកគ្រប់គ្រងណែតវឺក អាចកំណត់ជាក់ ច្បាស់ ដែល protocol លើ server
អាចអនុញ្ញាតពីប្រព័ន្ធណែតវឺកកុំព្យូទ័រ ផ្នែកលក់ “sales”។
18.3.1 Standard access list គ្រប់ ACL ទាំងអស់ នឹងមានចំនួន តែមួយ។ ស្តង់ដា ACL ចំនួនអាចពី (1:99)
ស្តង់ដា ACL ប្រើប្រភពដើម IP address តែមួយគត់ ដើម្បីកំណត់ ប្រសិន បើ
packet ពិតប្រាកដ៍ ត្រូវបានអនុញ្ញាត ឬមិនត្រូវបាន អនុញ្ញាត ចូលប្រភពដើម។ដើម្បីដំឡើង ACL យើងប្របញ្ជា command ខាងក្រោម
Router(config)# access-list ACL number {deny | permit} source IP wildcard mask
ដើម្បីអនុវត្ត ACL interface របស់ router យើងប្របញ្ជា command ខាងក្រោម
Router(config-if)#ip access-group ACL number {in | out}
(in/out គឺជា ACL ផ្ទាល់ និងអនុវត្តប្រើ)
ក្នុងរូបភាពខាងលើ ឧបមានថា យើងត្រូវការដំឡើង router ដើម្បី ការពារ បណ្តា packet ដែលចូលមក ពីណែតវឺ ផ្នែក ហិរញ្ញវត្ថុ “finance” (11.0.0.0 255.255.255.0) ចូល អនុញ្ញាតពី server ដែលអនុញ្ញាត ចូលប្រភពដើម IP address។
បញ្ជា command ខាងក្រោមបង្ហាញពីរបៀបដំឡើង ACL និងរបៀប អនុវត្តវា លើ interface របស់ router។
Router(config)# access-list 1 deny 11.0.0.0 0.0.0.255
ប្រសិនបើ deny IP គឺមានតែ IP address មួយគត់ ឧទាហរណ៍ 11.0.0.1 យើងអាចសរសេរ host 11.0.0.1 ជំនួសអោយ 11.0.0.1 0.0.0.0)
Router(config)# access-list 1 permit any
(any: មានន័យថា IP address ជំនួស យើងអាចសរសេរ 0.0.0.0 255.255.255.255)
ដើម្បីអនុវត្តដំឡើង ACL លើ interface ពិត
Router(config)# interface fa 0/2
Router(config)# ip access-group 1 out
(out: មានន័យថា ACL និងអនុវត្តលើ packet ដែលមានរួចស្រេចពី interface fa0/2)
ចំណាំ: ក្នុង ACL ឧបករណ៍ router នឹង បញ្ជួន packet ជាមួយ តួនាទី ដែលបានដំឡើងរួច គោរពពីតួនាទីដំបូង ប្រសិនបើបានរកឃើញ packet វានឹងអនុវត្ត ប្រសិនបើរកមិនឃើញ packet និង deny ចោល។ ដូច្នេះ វាមានសារ:សំខាន់ណាស់ ដើម្បីសរសេរតួនាទី (access-list ACL number permit any) ដូចជាតួនាទីចុងក្រោយនៃ access list។
ចំណាំ: ក្នុង ACL ឧបករណ៍ router នឹង បញ្ជួន packet ជាមួយ តួនាទី ដែលបានដំឡើងរួច គោរពពីតួនាទីដំបូង ប្រសិនបើបានរកឃើញ packet វានឹងអនុវត្ត ប្រសិនបើរកមិនឃើញ packet និង deny ចោល។ ដូច្នេះ វាមានសារ:សំខាន់ណាស់ ដើម្បីសរសេរតួនាទី (access-list ACL number permit any) ដូចជាតួនាទីចុងក្រោយនៃ access list។
http://www.youtube.com/watch?feature=player_detailpage&v=XdBjnLppxB0#t=0
18.3.2 Extended access list
គ្រប់ ACL និងមានចំនួន ដែលចំនួននោះចាប់ពី (100:199) ដែល បាន បន្ត access list អាចប្រើ IP address ប្រភពដើមមួយ និង destination IP address បណ្តា protocol និងចំនួន port ដើម្បីកំណត់ ប្រសិនបើ packet ពិតប្រាកដ៍ ត្រូវបានអនុញ្ញាត ឬមិន អនុញ្ញាត។ ដើម្បីដំឡើង extended ACL យើងត្រូវប្រើបញ្ជា command ដូចខាងក្រោម
Router(config)# access-list ACL number protocol source IP wild card mask destinationគ្រប់ ACL និងមានចំនួន ដែលចំនួននោះចាប់ពី (100:199) ដែល បាន បន្ត access list អាចប្រើ IP address ប្រភពដើមមួយ និង destination IP address បណ្តា protocol និងចំនួន port ដើម្បីកំណត់ ប្រសិនបើ packet ពិតប្រាកដ៍ ត្រូវបានអនុញ្ញាត ឬមិន អនុញ្ញាត។ ដើម្បីដំឡើង extended ACL យើងត្រូវប្រើបញ្ជា command ដូចខាងក្រោម
IP wild card mask eq {the port number | the protocol name)
ACL number: ពី 100 ទៅ 199
Protocol: អាចជា TCP, UDP ឬ IP
Source IP: ប្រភព IP address
Wild card mask: wild card mask នៃប្រភព IP address
Destination IP: IP address ឆ្ពោះទៅ ចំនួន port ឬ ឈ្មោះ protocol: ចំនួន port នៃ protocol ឬករណីដែលវា ធ្លាប់ប្រើចំនួន port យើងអាចសរសេរ ឈ្មោះ protocol។ ដូច ឧទាហរណ៍ ប្រសិនបើចំនួន port គឺ 23 យើងអាចសរសេរ ឈ្មោះ protocol telnet ជំនួស ចំនួន port។
ដើម្បីអនុវត្ត ACL ទៅ interface របស់ router យើងប្រើបញ្ជា command ដូចខាងក្រោម
Router(config-if)# ip access-group ACL number {in | out}Protocol: អាចជា TCP, UDP ឬ IP
Source IP: ប្រភព IP address
Wild card mask: wild card mask នៃប្រភព IP address
Destination IP: IP address ឆ្ពោះទៅ ចំនួន port ឬ ឈ្មោះ protocol: ចំនួន port នៃ protocol ឬករណីដែលវា ធ្លាប់ប្រើចំនួន port យើងអាចសរសេរ ឈ្មោះ protocol។ ដូច ឧទាហរណ៍ ប្រសិនបើចំនួន port គឺ 23 យើងអាចសរសេរ ឈ្មោះ protocol telnet ជំនួស ចំនួន port។
ដើម្បីអនុវត្ត ACL ទៅ interface របស់ router យើងប្រើបញ្ជា command ដូចខាងក្រោម
(in/out គឺជា ACL ផ្ទាល់នឹងអនុវត្ត)
http://www.youtube.com/watch?feature=player_detailpage&v=cG13AoeBVLA#t=0
18.3.3 សិក្សាពីដំណើរការ រូបឧទាហរណ៍ខាងលើក្នុងរូបខាងលើ ឧបមាថា អ្នកគ្រប់គ្រងណែតវឺក ត្រូវការអនុញ្ញាត អោយ ផ្នែក sales ណែត វឺកចូល ទៅម៉ាស៊ីនមេ server គ្រាន់តែប្រើ telnet protocol ដែល telnet ប្រើលេខ port 23។ អ្នកគ្រប់គ្រងនិង ដំឡើង router ដោយបញ្ជា command ខាងក្រោម
Router(config)#access-list 101 permit tcp 10.0.0.0 0.0.0.255 20.0.0.0.2 0.0.0.0 eq 23
Router(config)#interface fa 0/2
Router(config-if)# ip access-group 101 out
18.4 NAT (Network Address Translation)
NAT គឺជា ដំណើរការនៃការប្តូរ ប្រភព IP address នៃ packet ពេល ដែលផ្ញើឆ្លងកាត់វា ឧបករណ៍ ស្រទាប់ “layer 3” ដូចជា router។ NAT ត្រូវបានអភិវឌ្ឍន៍ ហើយប្រើពីព្រោះ បណ្តា IP address លើពិភព លោកច្រើន។
18.4.1 Private IP និង Public IP
NAT បានចែកចាយ IP address ជាពីរប្រភេទ Private IP address និង Public IP
address ដែល Private IP គឺជាបណ្តា address នៅក្នុង លំដាប់ ដូចខាងក្រោម:NAT គឺជា ដំណើរការនៃការប្តូរ ប្រភព IP address នៃ packet ពេល ដែលផ្ញើឆ្លងកាត់វា ឧបករណ៍ ស្រទាប់ “layer 3” ដូចជា router។ NAT ត្រូវបានអភិវឌ្ឍន៍ ហើយប្រើពីព្រោះ បណ្តា IP address លើពិភព លោកច្រើន។
18.4.1 Private IP និង Public IP
10.0.0.0 : 10.255.255.255
172.16.0.0: 172.31.255.255
192.168.0.0: 192.168.255.255
បណ្តា IP address ផ្សេងទៀត គឺជា Public IP address
Public IP address អាចហៅថា “Real IP” ឬ “Global IP”
Private IP address អាចហៅថា “Virtual IP” ឬ “Local IP”
ក្នុងការដំឡើង NAT យើងអាចផ្តល់ Private IP address ទៅអោយ ឧបករណ៍ផ្សេងទៀត ដែលមិនមានលើអ៊ីនធឺណែត។ ខណ:ដែល ឧបករណ៍ផ្សេងដែលមាន ស្រេចលើ អ៊ីន ធឺណែត នឹង ផ្តល់ Public IP address។
ក្នុងរូបខាងលើ Private IP address នឹងផ្តល់ទៅឧបករណ៍ ទាំងអស់ ដែលមានស្រេច នៅ ក្នុង ណែតវឺកខាងក្នុង internal network ដូចចា PC_1, PC_2 ម៉ាស៊ីន Printer, ម៉ាស៊ីន Server និង interface របស់ router ខាងក្នុង fa 0/0។ ទោះជាយ៉ាងណាក៍ដោយ “Public IP address” នឹងផ្តល់ឧបករណ៍ ទាំងអស់ដែលមានស្រេចលើអ៊ីនធឺណែត ដូចជា interface របស់ router ខាងក្រៅ ser 0/0។
ក្រៅពីនេះ interface ជាច្រើន ឬឧបករណ៍ដែលនឹងអនុញ្ញាតពី អ៊ីនធឺ ណែតត្រូវបានផ្តល់ public IP address។ ខណ:ឧបករណ៍ជាច្រើន ឬ interface ដែលនឹងមិនអនុញ្ញាតពី អ៊ីនធឺ ណែត ត្រូវបានផ្តល់ Private IP address។
18.4.2 តើ NAT ដំណើរការរបៀបណា? ក្នុងរូបភាពខាងលើ កាលណាឧបករណ៍ ខាងក្រៅ ត្រូវការទំនាក់ទំនង ជាមួយឧបករណ៍ មួយដែលមានស្រេចលើ អ៊ីនធឺណែត (ដូចជា web server) ឧបករណ៍ខាងក្នុងនឹងផ្ញើ packet ទៅ interface របស់ router “fa 0/0”។ ពេល router និងប្តូរប្រភព IP address ដែលមានស្រេចក្នុង packet ទៅ public IP address ហើយពេលផ្ញើ packet ទៅ web server ដូច្នេះ កាលណា web server ត្រូវការដើម្បីឆ្លើយតប ទៅ packet វានឹងផ្ញើឆ្លើយតប public IP address នេះ។ ខណ: router នឹងផ្ញើ ឆ្លើយតបទៅ ឧបករណ៍ខាងក្រៅ។
18.5 Static NAT, Dynamic NAT និង PAT
18.5.1 Static NAT
នៅក្នុង Static NAT គ្រប់ private IP address ស្ថិតិបានបង្ហាញ ទៅ public IP addressអ្នកគ្រប់គ្រង ប្រព័ន្ធណែតវឺក ស្ថិតិដំឡើង router ដើម្បីប្តូរគ្រប់ private IP address ទៅ public IP address ពិតប្រាកដ៏។
សិក្សាប្រព័ន្ធណែតវឺក
ក្នុងរូបភាព ខាងក្រោម ឧបមាថា PC_1 ត្រូវការទំនាក់ទំនងជាមួយ web server លើប្រព័ន្ធ អ៊ីនធឺណែត។
Router និងប្តូរប្រភព IP address ក្នុង packet ដែលមកពី PC_1។ វានឹង បង្កើត ប្រភព IP address ក្នុង packet ទៅ “50.0.0.6” ជំនួស “10.0.0.3”។
ដូច្នេះ កាលណា web server ត្រូវការដើម្បីឆ្លើយតបទៅ PC_1 វានឹង ឆ្លើយតប “50.0.0.6” ហើយពេល router នឹងបញ្ជួនបន្ត ការឆ្លើយ តបនេះ ទៅ PC_1។
ការដំឡើង Static NAT
ដើម្បីដំឡើង static NAT លើ router យើងប្រើបញ្ជា command ដូចខាងក្រោម
Router(config)# ip nat inside source static private IP public IP
ដើម្បីដំឡើង NAT ក្នុង network យើងត្រូវប្រើបញ្ជា command ខាងក្រោម
Router(config)# ip nat inside source static 10.0.0.2 50.0.0.5
Router(config)# ip nat inside source static 10.0.0.3 50.0.0.6
Router(config)# interface fa 0/0
Router(config)# ip nat inside
នេះមានន័យថាការដំឡើង NAT នឹងអនុវត្តទៅ packet នៃប្រព័ន្ធ ណែតវឺក ខាងក្នុង ឆ្លងកាត interface នេះ។
Router(config-if)# interface ser 0/0
Router(config-if)# ip nat outside
នេះមានន័យថាការដំឡើង NAT នឹងអនុវត្តទៅបណ្តាបណ្តា packet នៃប្រព័ន្ធណែតវឺក ខាងក្រៅឆ្លងកាត interface។
18.5.2 Dynamic NAT ក្នុង dynamic NAT អ្នកគ្រប់គ្រង ប្រព័ន្ធ ណែតវឺក ដំឡើង IP pool លើ router។ ដែល pool នេះផ្ទុកលំដាប់ public IP នឹងប្រើក្នុងដំណើរការ NAT។
ការដំឡើង Dynamic NAT យើងប្រើបញ្ជា command ដើម្បី ដំឡើង dynamic NAT
Router(config)# ip nat outside source list ACL number pool pool name
ដើម្បីដំឡើងណែតវឺក ដែលមានស្រេចដូចក្នុងរូបខាងលើ ដើម្បីប្រើ dynamic NAT យើងប្រើបញ្ជ command ខាងក្រោម:
Router(config)# access-list 1permit 10.0.0.0 255.255.255.0
ដំឡើង Access list ដែលផ្ទុក private IP ដែលមាន NAT នឹងអនុវត្ត
Router(config)# ip nat inside source list 1 pool abc
ដំឡើង ប្រតិបត្តិការ NAT រវាង private IP ដែលបានផ្ទុកក្នុង “access-list 1” និង public IP ដែលបានផ្ទុកក្នុង pool “abc”។
Router(config)#interface fa 0/0
Router(config-if)#ip nat inside
នេះមានន័យថា ការដំឡើង NAT និងអនុវត្ត packet នៃប្រព័ន្ធ ណែតវឺក ខាងក្នុង ឆ្លងកាត់ interface នេះ។
Router(config-if)#interface ser 0/0
Router(config-if)#ip nat outside
នេះមានន័យថា ការដំឡើង NAT និងអនុវត្ត packet នៃប្រព័ន្ធ ណែតវឺកខាងក្រៅ ឆ្លងកាត់ interface នេះ។
18.5.3 PAT (Port Address Translation) វាក៏ដូចជា “overloading” ឬ “ច្រើន ទៅ NAT មួយ” ក្នុងប្រភេទ NAT នេះ យើងអាច បង្ហាញ ចំនួននៃ private IP address ទៅ public IP address មួយគត់។
ដូច្នេះ PAT រក្សាទុកចំនួននៃ public IP address ដែលប្រើក្នុង ណែតវឺក។ លើសពីនេះ វាជាបច្ចេកវិជ្ជាដែលគេប្រើបំផុត។ PAT បង្ហាញ private IP ទៅ public IP មួយគត់ដោយ ប្រើ port address ដូចខាងក្រោម:
ក្នុងរូបភាពខាងលើ ឧបមាថា PC_1 និង PC_2 ត្រូវការដើម្បីទំនាក់ ទំនងជាមួយ web server ដែលមានស្រេចលើអ៊ីនធឺណែត ហើយវា មាន IP address នៃ “136.123.1.45”។
router នឹងបង្ហាញទាំងម៉ាស៊ីន PC_1 និង PC_2 IP ចេញទៅ តែមួយ គត់ public IP “50.0.0.5”
ទោះជាយ៉ាងណាក៍ដោយ router នឹងផ្តល់ប្រភព លេខ port ទៅ packet នៃគ្រប់ session នៃពីរ session។ ដូចមើល ឃើញ លើ រូបខាងលើ router និងផ្តល់ប្រភពលេខ port “1234” ទៅ packet នៃ session របស់ PC_1 ជាមួយ web server។
បន្ថែមលើ router និងផ្តល់អោយប្រភពលេខ “1475” ទៅ packet នៃ session របស់ PC_2 ជាមួយ web server។ ដូច្នេះ កាលណា web server ឆ្លើយតបទៅ router និងដឹងតម្រូវ ការឆ្ពោះទៅខាងក្នុង ដោយរកមើល លេខ port ដែលឆ្ពោះទៅ។
ប្រសិនបើ port number ឆ្ពោះទៅគឺ “1342” router នឹងឆ្ពោះទៅ packet ទៅ PC_1
ប្រសិនបើ port number ឆ្ពោះទៅគឺ “1475” router និងបញ្ជួន packet ទៅ PC_2
អត្ថប្រយោជន៍នៃ PAT គ្រប់ឧបករណ៍ ខាងក្នុងអាចអនុញ្ញាត អ៊ីនធឺណែតដែលប្រើ public IP address។
ការដំឡើង PAT
ដើម្បីដំឡើង ណែតវឺក ដូចរូបខាងលើ យើងត្រូវប្រើបព្ជា command ដូចខាងក្រោម
Router(config)#access-list 1permit 10.0.0.0 255.255.255.0
ដំឡើង Access list ដែលផ្ទុក private IP ដែល NAT នឹងអនុវត្ត
Router(config)#ip nat pool abc 50.0.0.2 netmask 255.255.255.0
ដំឡើង pool របស់ IP public ដែលផ្ទុក IP មួយគត់ អាចជាលេខនៃ IP
Router(config)#ip nat inside source list 1 pool abc
ដំឡើងប្រតិបត្តិការ NAT រវាង private IP ដែលបានផ្ទុកក្នុង access-list 1 និង public IP ដែលបានផ្ទុក ក្នុង pool abc។
Router(config)#interface fa 0/0
Router(config-if)#ip nat inside
នេះមានន័យថាការដំឡើង NAT នឹងអនុវត្តទៅ packet នៃប្រព័ន្ធ ណែតវឺកខាងក្រៅ ឆ្លង កាត់ interface នេះ។
0 comments:
Post a Comment