Giao thức ICMP.

Thuật ngữ ICMP được viết tắt bởi Internetwork Control Message Protocol là một giao thức hoạt động trên layer 2 - Internetwork trong mô hình TCP/IP hoặc layer 3 - Network trong mô hình OSI cho phép kiểm tra

và xác định lỗi của Layer 3 Internetwork trong mô hình TCP/IP bằng cách định nghĩa ra các loại thông điệp có thể sử dụng để xác định xem mạng hiện tại có thể truyền được gói tin hay không. Trong thực tế, ICMP cần các thành phần của mọi gói tin IP để có thể hoạt động được.
- Thỉnh thoảng một gateway hoặc một máy đích sẽ liên lạc với máy nguồn để đưa ra những thông điệp lỗi về tiến trình xử lý các gói tin. Đó là mục đích chính của giao thức này. ICMP sử dụng với một mục đích đơn giản là hỗ trợ cho sự hoạt động của giao thức IP.
- Trong khi truyền các gói tin Ping, cũng được biết đến như các gói tin ICMP echo requests, và ICMP echo replies. ICMP bao gồm rất nhiều các loại thông điệp khác nhau cho những mục đích đa dạng khác nhau. Bảng 1.1 sẽ là danh sách các loại thông điệp quan trọng và thường sử dụng:

Hình 1.1: ICMP Message Type.

- Mỗi thông điệp của ICMP có chứa một trường Type và một trường Code. Trường Type là trường biểu diễn các loại thông điệp - xem trong bảng 1.1, còn trường Code chứa các thông điệp con (subtype). Cho ví dụ, có nhiều người cho rằng có hai loại thông điệp được đưa ra khi sử dụng câu lệnh Ping như: ICMP Echo Request và ICMP echo Reply, nhưng thực tế, hai loại thông điệp đó thuộc cùng một loại thông điệp là Echo và khác Code (Request và Reply). Các bạn có thể được giới thiệu chi tiết hơn về các loại thông điệp của ICMP như sau:

1. ICMP Unreachable
- Khi một thiết bị thực hiện việc truyền một gói tin đến máy đích nhưng không thực hiện được thì thiết bị đó sẽ gửi lại một thông điệp là ICMP Unreachable. Để trợ giúp cho việc xác định nguyên nhân chính của việc gói tin đó không thể gửi được, thì thông điệp ICMP Unreachable sẽ bao gồm một trọng năm giá trị Code để biểu diễn nguyên nhân việc truyền dữ liệu không thành công. Cho ví dụ: hình 1.2 máy VNE_1 đang cố gắng kết nối đến Web server, Web server này được gọi là Web. Bảng 1.3 sẽ đưa ra danh sách những loại Code của thông điệp ICMP Unreachable

Hình 1.2: Sample Network for ICMP Unreachable Examples

Bảng 1.3: ICMP Unreachable Codes

2. Time Exceeded ICMP Message.

- Thông điệp ICMP Time Exceeded đưa ra thông báo cho một máy nguồn khi một gói tin mà nó gửi bị hủy bỏ bởi vì thời gian truyền gói tin quá dài. Khi truyền dữ liệu trên mạng thì các gói tin truyền cần phải được định nghĩa thời gian truyền, để ngăn cản việc gói tin đó được truyền mãi sẽ gây ra lặp vòng, mỗi một gói tin đều có một IP header trong đó có một trường được gọi là TTL (Time to Live) - trường này sẽ định nghĩa ra một giá trị hop (tức là số router) mà gói tin có thể đi qua. Khi gói tin đi qua một router thì giá trị trường TTL này sẽ được giảm đi 1, cứ như vậy cho đến khi nào gói tin đó bị router giảm giá trị trường TTL xuống giá trị 0 thì gói tin đó sẽ bị hủy và router thực hiện việc hủy gói tin đó sẽ gửi một thông điệp ICMP Time Exceeded cho máy nguồn.
- Dùng câu lệnh Trace - Cisco IOS để xác định thông điệp Time Exceeded và trường IP TTL. Câu lệnh Trace sẽ gửi đi 3 gói tin, mỗi gói tin có trương TTL được đưa vào giá trị là 1, kết quả là một thông điệp ICMP Time Exceeded được trả lại bởi router đầu tiên trong đường đi đó. Câu lệnh Trace sau đó sẽ tiếp tục gửi 3 gói tin tiếp theo với trường TTL được đưa vào giá trị là 2, sau đó lại 3 gói tin khác được truyền đi với trường TTL được đưa vào giá trị là 3, và cứ tiếp tục như vậy, cho đến khi nó được trả lời bởi máy đích.

- Ví dụ: hình 1.4 ICMP debug trên Router B, Khi đang chạy câu lệnh Trace trên Router A.

3. ICMP Redirect

Thông điệp ICMP Redirect cho phép một router gateway nói cho một máy nào đó biết về một router tốt hơn có thể được sử dụng trong quá trình truyền dữ liệu đến một máy đích nào đó. Để có thể thực hiện được điều đó, một ICMP Redirect sẽ được gửi từ router gateway đến máy đó và nói cho máy đó biết về địa chỉ IP về router tốt hơn kia. Cho ví dụ, hình 1.5 một PC dùng địa chỉ IP của rRouter B như là default gateway của nó, nhưng Router A có một đường đi đến mạng 10.1.4.0/24 có chi phí tốt hơn của Router B. Khi đó Router B sẽ đưa ra một thông điệp ICMP Redirect cho PC đó theo các bước như sau:
- PC gửi một gói tin, máy đích thuộc mạng 10.1.4.0/24, qua Router B (Vì router B là default gatewary của PC này)
- Router B sẽ chuyển gói tin đó dựa vào bảng định tuyến của chính nó.
- Router B gửi một thông điệp ICMP Redirect đến PC đó, và nói cho PC đó biết rằng lần sau khi gửi dữ liệu đến mạng 10.1.4.0/24 thì gửi qua Router A (vì trong bảng định tuyến của RouterA cũng chứa đường đi tới mạng 10.1.4.0/24 và đường đi này có chi phí tốt hơn của Router B).
- Những gói tin tiếp theo được gửi từ PC đó đến mạng 10.1.4.0/24 sẽ được gửi trực tiếp qua Router A

Hình 1.5: Ví dụ về một ICMP Redirect


Với những kiến thức về các loại thông điệp của ICMP sẽ giúp các bạn có thể kiểm tra và sửa lỗi hệ thống mạng được tốt hơn.

các trang web học network

1-http://cisco-ccna-exploration-4.blogspot.com/
2-http://testccna-4u.blogspot.com/
3-http://allsoft247.blogspot.com/2009/03/ccna-all-answer-100100.html
4-http://babymilu.net/blog/index.php
5-http://certexam.blogspot.com/

Quá trình trao đổi dữ liệu giữa hai máy

Tác giả: Đặng Quang Minh



Tài liệu tham khảo cho học viên CCNA của VnPro



Máy A muốn liên lạc với máy X,phải biết IP address của nó (hoặc hostname/domainname).Máy A dò trong ARP cache để tìm địa chỉ MAC đích có chưa,nếu chưa sẽ dùng ARP gửi thông điệp (broadcast) đến tòan mạng .



Có 2 trường hợp:

1/ Host X cùng segment với nó :



Host A gửi thông điệp với địa chỉ IP đích (đã biết) và MAC đích là FF-FF-FF-FF-FF-FF để hỏi xem MAC của địa chỉ này là gì.Các host trên segment đều nhận và xử lý gói này ,host nào có địa chỉ IP trùng với yêu cầu sẽ gửi lại thông tin cho host A là "IP này có MAC là : ......".Host A nhập thông tin vào ARP cache (RAM).Khi muốn liên lạc với X thì lại tra trong ARP cache để biết địa chỉ MAC cần đến.



ARP là gì?
Trong protocol TCP/IP có ARP protocol. ARP tự động cập nhật các MAC tương ứng với các IP và xây dựng một bảng ARP table trong máy tính trong cùng mạng subnet.

Khi này , nếu A và X ở trong cùng LAN, thì khi A muốn gửi packet cho X, no' sẽ match IP của X với MAC tương ứng trong bang ARP của no'.
Nếu A biết IP của X , nhưng không match được MAC tương ứng trong bang ARP của no' , thì khi này nó sẽ gứi một packet , gọi là ARP request, với địa chỉ MAC broadcast FFFFFFFFFF . Khi này tất cả máy tính trên cùng một mạng sẽ nhận được gói này và chuyển lên lớp Network; nhưng chỉ có máy có IP match với IP destination address trong ARP request mới gửi trả lại gói tin có chứa dia chỉ MAC tương ứng mà máy A muộn tìm . Gói tin này là ARP reply.

Khi đó gói tin ARP request sẽ có MAC nguồn là MAC của A, MAC đích là FF-FF-FF-FF-FF-FF.

Nếu Host X available trên Segment thì nó sẽ biết là gói tin này gửi cho nó nhờ vào địa chỉ IP mà Host A ghi trong gói tin ARP request và nó sẽ trả lời bằng 1 gói tin ARP reply. Gói tin ARP reply sẽ có MAC nguồn là MAC của Host X, MAC đích là MAC của Host A, khi Host A nhận được gói tin này tự nhiên sẽ biết được MAC của X.


Sau khi A nhận được ARP reply , nó sẽ mở gói và update bảng ARP table của nó: IP và MAC của máy X.

2/ Host X không cùng segment với host A :



lúc đó phải nhờ đến router để forward yêu cầu này đến các segment khác. Trong trường hợp này, router sẽ gửi địa chỉ MAC của interface mà nhận gói ARP request trên Router cho máy gửi ( máy A ).

Một cách khác để liên lạc với một máy tính khác không cùng nằm trên 1 segment là "default gateway". Default Gateway là một phần của một host (máy tính). Nó là một địa chỉ IP của một interface trên router, và được cấu hình cho host. Địa chỉ IP của host và của Default Gateway phải cùng segment mạng. Khì này, máy gửi (A) sẽ kiểm tra xem nó và máy nhận (B) có cùng nằm trên một subnet hay không. Nếu không, nó sẽ đóng gói packet gửi với IP destination address là của máy nhận và MAC address destinaiton là của Router nối với subnet của nó.


Nếu Proxy ARP hay default gateway không được cấu hình, thì không có "traffic" nào có thê rời khỏi một subnet (một mạng cục bộ). Phải có một trong hai cái được cấu hình ( hay cho phép) để có thể giao tiếp với các segment mạng khac được.

"IP source và dest không bao giờ thay đổi, chỉ có MAC source và dest là thay đổi thôi".


Proxy ARP: Theo cách thức hoạt động của proxy ARP, ta có thể thấy rằng client khi muốn biết MAC của một host nào đó, nó chỉ đơn giản là broadcast ARP-Request lên mạng. Router sẽ có trách nhiệm đáp trả lại bằng ARP-Reply nếu nó nhận thấy IP-destination là thuộnc mạng khác. Như vậy, cấu hình IP cho client cực kỳ đơn giản, nhưng gánh nặng lại đè lên router. Thử tưởng tượng cứ sau 1p', ARP-entry bị hủy bỏ, thế là các client thi nhau broadcast lên mạng thì router "tiêu" như chơi. Ngoài ra, proxy ARP còn gặp một bất lợi nếu trong segment có tới hơn 1 router. Chọn router nào, nếu như các router đều có route đến mạng đích?


Default-Gateway: Nếu client biết rằng IP-dest không thuộc mạng của nó, nó dùng MAC của default-gateway để gửi gói tin, router default-gateway nhận lấy gói tin sẽ biết phải xử lý tiếp theo như thế nào (dựa trên IP source/destination). Cách này giảm tải cho router, giải quyết được trường hợp có nhiều router nối vào cùng segment, và đỡ gây nhầm lẫn.

Nếu Host A có cấu hình sử dụng Defaul gateway trong TCP/IP protocol thì gói tin ARP request sẽ không phải dạng Broadcast mà được gửi thẳng đến cho Router ( TCP/IP stack quy định như vậy). Tất nhiên để gửi được gói tin này đến cho Router thì nó cũng phải request MAC của defaul gateway trên Router trước, sau đó khi có MAC của default gateway thì Host A sẽ tạo 1 gói tin ARP request MAC của Host X với IP đích là IP Host X, MAC đích là MAC của default gateway.



Khi Router gateway nhận được gói tin này thì nó sẽ Forward qua interface trên segment thích hợp, tại đây phần Datalink header sẽ được lấy ra (Pull out) và phần Datalink header mới sẽ được gắn vào với mục đích để truyền trên Segment của Host B. Khi Host B nhận được gói tin ARP request thì cũng sẽ trả lời lại bằng gói tin ARP reply được gửi đến DF gateway trên Segment của nó. Khi Router nhận được gói tin này cũng làm việc tương tự như khi gửi đi từ Host A (pull out Datalink header, gắn datalink header mới v.v....)

Nếu Host A không có cấu hình default gateway (tất nhiên sẽ broadcast gói tin ARP request) nhưng nếu Router trên Segment của host A có chức năng ARP Proxy thì căn cứ trên IP mà gói tin ARP request yêu cầu ROUTER sẽ so sánh với Routing Table của nó và nhận gói tin này nếu Match trong Routing table, sau đó sẽ forward qua Segment thích hợp. Quá trình tiếp theo tương tự như trường hợp A.

Như vậy : nếu 1 trong 2 default gateway của 2 segment cấu hình sai thì sẽ dẫn đến việc Host A không thể liên lạc được với Host X và ngược lại. Ngoài ra nếu thời gian tồn tại của ARP cache trong memory quá lâu công với việc có thay đổi MAC của DF gateway sẽ dẫn đến việc tạm thời không thể thực hiện ARP request.

Ví dụ minh họa cho các lý thuyết nêu trên:

xin lưu ý các IP cùa source và destination là không thay đổi chỉ có mac là thay đổi thôi. các bạn xem một ví dụ sau để đễ hiểu hơn nhé

máy A-------Router1--------router2--------router3------máy B

đầu tiên máy A đóng gói gói tin như sau

IP nguồn là IP của máy A. IP đích là IP của máy B xuống đến tầng datalink máy A sẽ xem máy B có trong cùng subnet với mình không, trong truờng hợp này là không.

lúc này máy A sẽ dùng :

MAC nguồn là của máy A. MAC đích là mác của interface trên router1 nối với subnet A.

Router1 sẽ xem IP đích có nằm trong subnet của mình hay không trong truờng hợp này là không, lúc này router sẽ dóng gói địa chỉ MAC nguồn là mác cùa interface mà router này nối với router2, mác đích sẻ là mác trên interface của router2, router2 cũng xử lý giống router 1 và chuyển đến router3.

Router3 sẽ xem IP này có nằm trong subnet của mình không, nếu có thì nó sẽ xem xét địa chỉ mac tương ứng với IP này (router3 biết được vì nó tra trong bảng ARP của nó có chứa máy B vì B cùng subnet) ư1ng với IP này router3 xác định đưọc MAC là máy B lúc này máy B nhưng nó vẩn gửi Brodcast đến tất cả các máy trong subnet có máy B nhưng chỉ máy B nhận gói tin vì nó có MAC trùng với MAC đích trong gói tin.

A sẽ gửi 1 gói tin gọi là ARP request (ARP = Address Resolution Protocol) bằng cơ chế broadcast để tất cả các máy đều có thể nhận được gói tin này

VLSM_ VLSM là gì và tại sao phải dùng nó

Chào các bạn! Các bạn chác cũng biết hiện nay với sự phát triển rầm rộ của Internet thì phiên bản IP-v4 đang cạn kiệt địa chỉ. Khi người ta cấu hình mạng thường dùng các chia địa chỉ VLSM để tiết kiệm địa chỉ. Tôi sẽ viết một loạt bài về VLSM để chúgn ta tham khảo.
VLSM là gì và tại sao chúng ta phải dùng đến nó?
Khi mạng IP phát triển lớn hơn,người quản trị mạngphải có cách sử dụng không gian địa chỉ IP mộ cách hiệu quả hơn. Một trong những kỹ thuật đó là sử dụng kỹ thuật VLSM(Variable-Lengh Subnet Mask), với VLSM người quản trị có thể chia địa chỉ mạng có subnet mask dài cho mạng có ít host và địa chỉ mạng có Subnet mask ngắn cho mạng nhiều host. Khi chạy VLSM thì hệ thống mạng phải chạy các giao thức định tuyến hỗ trợ VLSM như : OSPF(Interggated Intermediate System to Intermediate System ), EIGRP, RIPv2 và định tuyến cố định.
VLSM cho phép một tổ chức sử dụng chiều dài subnet mask khác nhau trong một địa chỉ mạng lớn. VLSM còn được gọi là " chia subnet trong một subnet lớn hơn" giúp tận dụng tối đa không gian địa chỉ.
Giao thức định tuyến theo lớp địa chỉ đòi hỏi toàn bộ hệ thống mạng phải có cùng Subnet mask.
Với VLSM thì chúng ta có thể chia một địa chỉ mạng lớn thành nhiều địa chỉ mạng con có kích thước khác nhau như: địa chỉ mạng có 30 bit subnet mask, 255.255.255.252, để dành cho kết nối mạng;địa chỉ mạng có 24 bit subnet mask, 255.255.255.0, để dành cho các mạng có dưới 254 user, các địa chỉ mạng có 22 bit subnet mask, 255.255.252.0, để dành cho các mạng có tới 1000 user
Bài viết này tôi mới đưa được câu trả lời cho câu hỏi ở trên. Còn việc cấu hình VLSM như thế nào

Đề bài: Cho trước net 192.168.1.0 /24. Yêu cầu triển khai 3 network sau: HCM 100 máy, Cần Thơ 50 máy, Hà Nội 50 máy. Hỏi phải đặt IP như thế nào?

Lưu ý: Do đề bài yêu cầu phải dùng IP có dạng 192.168.1.x, nếu ko có yêu cầu này thì ta đặt HCM là 1.0, cần Thơ: 2.0 và Hà nội là 3.0 là tốt nhất

Lới giải:

Mượn 1 bit để chia subnet, như vậy giá trị netmask mới là /25 (255.255.255.128). Khi đó ta có 2 network:

Net 0:
192.168.1.0 (không dùng vì đây là địa chỉ đại diện cho net0)
192.168.1.1
192.168.1.2
.........

192.168.1.126
192.168.1.127 (không dùng vì đây là địa chỉ broadcast của net0)

Net 1:
192.168.1.128 (không dùng vì đây là địa chỉ đại diện cho net1)
192.168.1.129
192.168.1.130
.........

192.168.1.254
192.168.1.255 (không dùng vì đây là địa chỉ broadcast của net1)

Chọn Net0 cho HCM, lúc đó một máy ở HCM sẽ có IP dạng 192.168.1.x (x chạy từ 1 đến 126), netmask: 255.255.255.128.

Bây giờ ta chia net1 ra làm 2 bằng cách mượn thêm 1 bit nữa: /26 (255.255.255.192)

Ta sẽ có 2 net mới, mỗi net có 62 host (64 - 2)

net1a:
192.168.1.128 (không dùng vì đây là địa chỉ đại diện cho net1a)
192.168.1.129
192.168.1.130
.......
192.168.1.190
192.168.1.191 (không dùng vì đây là địa chỉ broadcast của net1a)

net1b:
192.168.1.192 (không dùng vì đây là địa chỉ đại diện cho net1b)
192.168.1.193
192.168.1.194
.....
192.168.1.254
192.168.1.255 (không dùng vì đây là địa chỉ broadcast của net1b)

Ta chọn net1a cho Cần Thơ và net1b cho Hà Nội.

Như vậy trong Việt nam tại HCM giá trị netmask là /25, cần thơ và hà nội là /26 nên ta gọi là variable lenght subnet mask - VLSM

Và 192.168.1.0 là supernet của HCM, HN và CT.


+ Đây là một cách tính VLSM mình cho là cũng hay lắm :
Ta có :

192.168.1.0 /24
1 SM 60host
2 SM 30host
1 SM 10host
3SM 2host

Giúp bạn hiểu hơn về NAT - PAT - VLSM

Tổng quan:

Hai mươi năm trước đây, IPv4 đưa ra một mô hình địa chỉ và cũng đáp ứng được một trong khoảng thời gian, nhưng trong tương lai gần không đáp ứng đủ.Trong khi đó, IPv6 được xem là một không gian địa chỉ không giới hạn, thì được triển khai thử nghiệm chậm chạp và chắc chắn sẽ thay thế IPv4 trong tương lai gần. Trong thời gian chờ đợi sự thay đổi đó, một số kỹ thuật để có thể sử dụng để sử dụng có hiệu quả tài nguyên IP đó là: NAT (Network Address Translation); PAT ( Port address translation ); VLSM ( Variable-Length Subnet Mask ).

Định nghĩa các thuật ngữ

 Địa chỉ riêng (private address) – là địa chỉ IP được dành riêng và có thể được sử dụng bởi bất kỳ ai cho các mạng mội bộ. các gói dữ liệu có địa chỉ riêng sẽ không định tuyến được trên Internet. RFC 1918 dành riêng 3 dải địa chỉ IP như sau:
• 1 địa chỉ lớp A : 10.0.0.0/8.
• 16 địa chỉ lớp B : 172.16.0.0 – 172.31.255.255 (172.16.0.0/12).
• 256 địa chỉ lớp C : 192.168.0.0 – 192.168.255.255 (192.168.0.0/16).

 Địa chỉ internet công cộng (public IP address) : là địa chỉ phải được đăng ký với một công ty có thẩm quyền internet, ví dụ như American Registry for Internet Number (ARIN)… public IP address có thể được thuê từ một nhà cung cấp dịch vụ ISP.

 NAT - Được thiết kế để tiết kiệm địa chỉ IP công cộng và cho phép mạng nội bộ sử dụng địa chỉ IP riêng . Các địa chỉ IP riêng sẽ được chuyển đổi sang địa chỉ công cộng bằng cách chạy phần mềm NAT hoặc cấu hình trong các Interface của route.

Host A sử dụng 1 địa chỉ dành riêng 192.168.2.23, host B sử dụng 1 địa chỉ công cộng 192.31.7.130. Khi Host A gửi một packet đến host B, backet sẽ được truyền qua router và router thực hiên qúa trình NAT. NAT sẽ thay thế địa chỉ nguồn private ip address (192.168.2.23) thành một public IP address (203.10.5.23) và forwards the packet., với địa chỉ này packet sẽ được định tuyến trên internet tới destination address (192.31.7.130). Khi host B gửi gói tin hồi đáp tới host A, destination address của gói tin sẽ là 203.10.5.23. gói tin này đi qua router và sẽ được NAT thành địa chỉ 192.168.2.23

 Inside local address - Địa chỉ IP được gán cho một host của mạng trong. Đây là địa chỉ được cấu hình như là một tham số của hệ điều hành trong máy tính hoặc được gán một cách tự động thông qua các giao thức như DHCP. Địa chỉ này không phải là những địa chỉ IP hợp lệ được cấp bởi NIC (Network Information Center) hoặc nhà cung cấp dịch vụ Internet.

 Inside global address - Là một địa chỉ hợp lệ được cấp bởi NIC hoặc một nhà cung cấp dịch vụ trung gian. Địa chỉ này đại diện cho một hay nhiều địa chỉ IP inside local trong việc giao tiếp với mạng bên ngoài

 Outside local address - Là địa chỉ IP của một host thuộc mạng bên ngoài, các host thuộc mạng bên trong sẽ nhìn host thuộc mạng bên ngoài thông qua địa chỉ này. Outside local không nhất thiết phải là một địa chỉ hợp lệ trên mạng IP (có thể là địa chỉ private).

 Outside global address - Là địa chỉ IP được gán cho một host thuộc mạng ngoài bởi người sở hữu host đó. Địa chỉ này được gán bằng một địa chỉ IP hợp lệ trên mạng Internet.

 Với sơ đồ mạng ( hinh 1) ta có NAT Table
Inside local address 192.168.2.23
Inside global address 205.10.5.23
Outside globaladdress 197.31.7.130

Các gói tin bắt nguồn từ phần mạng “inside” sẽ có địa chỉ source IP là địa chỉ kiểu “inside local” và destination IP là “ouside local” khi nó còn ở trong phần mạng “inside”. Cũng gói tin đó, khi được chuyển ra mạng “outside” source IP address sẽ được chuyển thành "inside global address" và địa destination IP của gói tin sẽ là “outside global address”.
Ngược lại, khi một gói tin bắt nguồn từ một mạng “outside”, khi nó còn đang ở mạng “outside” đó, địa chỉ source IP của nó sẽ là "outside global address", địa chỉ destination IP sẽ là "inside global address". Cũng gói tin đó khi được chuyển vào mạng “inside”, địa chỉ source sẽ là "outside local address" và địa chỉ destination của gói tin sẽ là "inside local address".

Các đặc điểm của NAT vàPAT

 Static NAT – dùng để ánh xạ một địa chỉ nội bộ(private address) sang một địa chỉ công cộng (public address)


Ví dụ: chuyển đổi một địa chỉ IP riêng 165.10.1.2 255.255.255.0 sang dải địa chỉ IP công cộng từ 169.10.1.50 dến 169.10.1.100 . mình đã dùng ( netsim ) để cấu hình. Sau khi cấu hình song ta dùng lệnh show ip nat translations sẽ có kế quả như sau.

 NAT Overloading hay PAT – dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port. Có tới 65.356 địa chỉ nội bộ có thể chuyển đổi sang 1 địa chỉ công cộng. Nhưng thực tế thì khỏang 4000 port.



 trong ví dụ trên pat sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển đổi. Router thực hiện chuyển đổi địa chỉ ip nguồn từ 10.0.0.4 sang 179.9.8.80. port nguồn 1331. tương tự ip nguồn từ 10.0.0.2 sang 179.9.8.80. port nguồn là 1555