I/. NAT [Network Address Translation] là một kỹ thuật cho phép chuyển đổi từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường, NAT được dùng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy cập đến mạng công cộng [Internet]. Vị trí thực hiện NAT là router biên kết nối giữa hai mạng.
NAT giải quyết những vấn đề gì ?
Ban đầu, NAT được đưa ra nhằm giải quyết vấn đề thiếu hụt địa chỉ của IPv4, nhưng sau đó được phát triển nhằm giải quyết
• NAT giúp chia
sẻ kết nối internet [hay 1 mạng khác] với nhiều máy trong LAN chỉ với 1 IP duy nhất, hay 1 dãy IP cụ thể.
• NAT che giấu IP bên trong LAN.
• NAT giúp quản trị mạng lọc được các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể.
NAT có Những nhược điểm gì ?
• NAT khiến cho một số ứng dụng sử dụng địa chỉ IP không làm
việc được do nó giấu địa chỉ IP, đặc biệt là những ứng dụng sử dụng địa chỉ vật lý mà không sử dụng tên miền.
• Khi dùng kỹ thuật NAT, CPU sẽ phải kiểm tra và tốn thời gian để thay đổi địa chỉ IP. Điều này làm tăng độ trễ trong quá trình switching. Làm ảnh hưởng đến tốc độ đường truyền của mạng internet.
• NAT có khả năng che giấu địa chỉ IP trong mạng LAN nên kỹ thuật viên sẽ gặp khó khăn khi cần kiểm tra nguồn gốc IP hoặc truy tìm dấu vết của gói tin.
II/. Phân loại NAT
1.NAT tĩnh - Static NAT
NAT tĩnh hay còn gọi là Static NAT là phương thức NAT một đổi một. Nghĩa là một địa chỉ IP cố định trong LAN sẽ được ánh xạ ra một địa chỉ IP Public cố định trước khi gói tin đi ra Internet. Phương pháp này không nhằm tiết kiệm địa chỉ IP mà chỉ có mục đích ánh xạ một IP trong LAN ra một IP Public để ẩn IP nguồn trước khi đi ra Internet làm giảm nguy cơ bị tấn công trên mạng.
2. NAT động – Dynamic NAT
NAT động [Dynamic NAT] là một giải pháp tiết kiệm IP Public cho NAT tĩnh. Thay vì ánh xạ từng IP cố định trong LAN ra từng IP Public cố định. LAN động cho phép NAT cả dải IP trong LAN ra một dải IP Public cố định ra bên ngoài.
3. NAT Overload – PAT
NAT overload – PAT là giải pháp được dùng nhiều nhất đặc biệt là trong các Modem ADSL, đây là giải pháp mang lại cả hai ưu điểm của NAT đó là:
- Ẩn địa chỉ IP trong hệ thống mạng nội bộ trước khi gói tin đi ra Internet giằm giảm thiểu nguy cơ tấn công trên mạng
- Tiết kiệm không gian địa chỉ IP
Bản chất PAT là kết hợp IP Public và số hiệu cổng [port] trước khi đi ra Internet. Lúc này mỗi IP trong LAN khi đi ra Internet sẽ được ánh xạ ra một IP Public kết hợp với số hiệu cổng.
Không phải ai cũng đều biết NAT là gì? Vì vậy, bài viết này sẽ chia sẻ đầy đủ các thông tin về NAT và hướng dẫn cấu hình từng loại NAT giúp các bạn dễ hiểu và thao tác đơn giản hơn. Xem ngay bài viết dưới đây.
NAT [Network Address Translation] – Biên dịch địa chỉ mạng là một kỹ thuật có phép chuyển đổi từ một địa chỉ IP này thành một địa chỉ IP khác. Network Address Translation giúp địa chỉ mạng cục bộ [Private] truy cập đến mạng công cộng [Internet]. Vị trí thực hiện NAT là Router biên, nơi kết nối hai loại mạng này.
NAT là hình thức Network Translation phổ biến nhất liên quan đến một private network sử dụng các địa chỉ trong range private [10.0.0.0 đến 10.255.255.255, 172.16.0.0 đến 172.31.255.255 hoặc 192.168.0 0 đến 192.168.255.255]. Địa chỉ private hoạt động tốt cho các máy tính chỉ phải truy cập tài nguyên trong mạng.
Như máy trạm cần truy cập vào máy chủ file và máy in. Router trong mạng riêng có thể định tuyến lưu lượng giữa các địa chỉ private mà không gặp sự cố. Tuy nhiên, để truy cập các tài nguyên bên ngoài mạng, như Internet, các máy tính này phải có địa chỉ public và đây được xem là nơi NAT phát huy tác dụng.
Hoạt động của NAT
Để hiểu hơn về NAT là gì? Cùng tìm hiểu sâu hơn về cách thức hoạt động của Network Address Translation với một số thông tin cần nằm ở đây.
Trong một hệ thống, NAT có nhiệm vụ thực hiện truyền gói tin từ lớp mạng này sang lớp mạng khác. Ở đó, NAT sẽ thực hiện việc thay đổi địa chỉ IP bên trong gói tin và sau đó chuyển qua router và các thiết bị mạng khác. Trong quá trình gói tin được truyền từ mạng internet về NAT thì NAT sẽ thực hiện thay đổi địa chỉ IP đích thành địa chỉ IP mạng cục bộ [Private] trong hệ thống rồi mới chuyển đi.
Với cách thức hoạt động như vậy, cho thấy NAT đóng vai trò rất quan trọng, giúp bảo vệ đucợ các thông tin liên quan đến địa chỉ IP của máy tính. Nếu xảy ra tình trạng mất kết nối internet thì địa chỉ IP [Public] sẽ thay thế cho địa chỉ IP [Private].
Ứng dụng của NAT là gì?
Có nhiều cách sử dụng khác nhau cho NAT. Ngoài việc đơn giản là cho phép các máy trạm có địa chỉ IP [Private] truy cập Internet. Trong các mạng lớn, một số máy chủ trong mạng nội bộ có thể hoạt động như máy chủ Web và yêu cầu truy cập từ Internet. Các máy chủ này được gán địa chỉ IP Public trên tường lửa [Firewall]. Cho phép người dùng chỉ truy cập vào máy chủ thông qua địa chỉ IP public đó.
Tuy nhiên, là một lớp bảo mật bổ sung, tường lửa hoạt động như một trung gian giữa thế giới bên ngoài [external] và mạng nội bộ bên trong [internal]Các rule bổ sung có thể được thêm vào, bao gồm các port nào có thể được truy cập tại địa chỉ IP đó. Sử dụng NAT theo cách này cho phép các kỹ sư mạng định tuyến lưu lượng truy cập mạng nội bộ hiệu quả hơn đến cùng các tài nguyên và cho phép truy cập vào nhiều port hơn, đồng thời hạn chế quyền truy cập tại tường lửa.
Ngoài ra, NAT cũng có thể được sử dụng để cho phép truy cập có kiểm soát ra bên ngoài mạng. Máy trạm hoặc các máy tính khác cần truy cập đặc biệt bên ngoài mạng có thể được chỉ định IP public cụ thể bằng NAT. Một lần nữa, tường lửa hoạt động như một trung gian và có thể kiểm soát phiên theo cả hai hướng, kiểm soát port và prototol truy cập
Tìm hiểu NAT là gì giúp cho bạn hiểu thêm về tầm quan trọng của tường lửa. Nó tiết kiệm số lượng IP public được sử dụng trong một tổ chức. Và cho phép kiểm soát chặt chẽ hơn quyền truy cập vào tài nguyên trên cả hai mặt của tường lửa: Public [external] và Private [internal].
Địa chỉ Private và địa chỉ Public là gì?
Địa chỉ IP Public là gì?
Địa chỉ IP Public [IP Public] là một loại địa chỉ được cung cấp bởi các tổ chức có thẩm quyền. Ví dụ như các nhà cung cấp dịch vụ Internet mà bạn có thể biết.
Địa chỉ IP Private là gì?
Địa chỉ IP Private [IP Private] là loại mạng IP chỉ kết nối nội bộ trong hệ thống mạng LAN thông qua router. Thường được sử dụng trong trường học, công ty, tổ chức,… Nếu muốn kết nối được thì IP Private phải chuyển đổi thành IP Public thông qua NAT.
Địa chỉ private được định nghĩa trong RFC 1918
- 10.0.0.0 – 10.255.255.255
- 172.16.0.0 – 172.31.255.255
- 192.168.0.0 – 192.168.255.255
Phân loại NAT
Stactic NAT là gì?
Stactic NAT được dùng để chuyển đổi một địa chỉ IP này sang một địa chỉ IP khác. Thông qua cách cố định địa chỉ IP cục bộ sang địa chỉ IP công khai [Public]. Quá trình này được thiết lập và cài đặt thủ công.
Cách cấu hình Stactic NAT như sau:
- Thiết lập mối quan hệ chuyển đổi giữa địa chỉ IP cục bộ và IP Public ở ngoài:
Router [config] # ip nat inside source static [local ip] [global ip]
- Xác định các cổng kết nối với mạng cục bộ:
Router [config-if] # ip nat inside
- Xác định cổng kết nối với mạng bên ngoài với lệnh sau:
Router [config-if] # ip nat outside
Ví dụ:
Router [config] # ip nat inside source static 192.168.1.100 202.1.1.10
Router [config] # interface fa0/0
Router [config-if] # ip nat inside
Router [config] # interface s0/0/0
Router [config-if] # ip nat outsideDynamic NAT là gì?
Dynamic NAT dùng để ánh xạ một địa chỉ IP này sang một địa chỉ IP khác bằng cách thức tự động. Theo thường lệ, thì Dyanmic NAT sẽ chuyển đổi từ IP mạng cục bộ sang địa chỉ IP đã được đăng ký. Bất kỳ một địa chỉ IP nào nằm trong dải IP Public đã được định trước đều đucợ gán với một địa chỉ bên trong mạng.
Cấu hình Dynamic NAT:
- Xác định địa chỉ IP Public:
Router [config] # ip nat pool [name start ip] [name end ip] netmask [netmask]/prefix-lenght [prefix-lenght]
- Thiết lập ACL để tạo danh sách các địa chỉ Private được phép chuyển đổi IP:
Router [config] # access-list [access-list-number-permit] source [source-wildcard]
- Thiết lập mối quan hệ giữa địa chỉ nguồn và đại chỉ IP bên ngoài:
Router [config] # ip nat inside source list pool
- Xác định cổng kết nối với mạng cục bộ:
Router [config-if] # ip nat inside
- Xác định cổng kết nối với mạng bên ngoài:
Router [config-if] # ip nat outside
Ví dụ cho mô hình trên:
Router [config] # ip nat pool abc 202.1.1.177 202.1.1.185 netmask 255.255.255.0
Router [config] # access-list 1 permit 192.168.1.0 0.0.0.255
Router [config] # ip nat inside source list 1 pool abc
Router [config] # interface fa0/0
Router [config-if] # ip nat inside
Router [config] # interface s0/0/0
Router [config-if] # ip nat outsideNAT Overload là gì?
NAT Overload hay gọi là PAT [Port Address Translation]. Đây được xem là dạng biến đổi của Dynamic NAT có thể chuyển đổi IP bằng cách tự động. Nhưng về hoạt động thì NAT Overload là ánh xạ nhiều địa chỉ IP thành 1 địa chỉ IP bằng cách dùng các port khác nhau để phân biệt.
Cấu hình NAT Overload:
- Xác định địa chỉ IP mạng nội bộ cần ánh xạ bên ngoài:
Router [config] # access-list permit
- Cấu hình để chuyển IP đến cổng kết nối bên ngoài:
Router [config] # ip nat inside source list interface overload
- Xác định nết nối với mạng nội bộ:
Router [config-if] # ip nat inside- Xác định các cổng kết nối với mạng bên ngoài:
Router [config-if] # ip nat outside
Ví dụ:
Router [config] # access-list permit
Router [config] # ip nat inside source list interface overload
Router [config-if] # ip nat inside
Router [config-if] # ip nat outside
SNAT là gì?
SNAT là viết tắt của Source Network Address Translation. SNAT thường được sử dụng khi máy chủ nội bộ/private cần bắt đầu kết nối với máy chủ bên ngoài/public. Thiết bị thực hiện NAT thay đổi địa chỉ IP riêng của máy chủ nguồn thành IP Public. Nó cũng có thể thay đổi cổng nguồn trong TCP/ UDP.
Một tình huống điển hình của SNAT là khi được yêu cầu thay đổi địa chỉ hay cổng riêng thành public khi các gói rời khỏi mạng. Về thứ tự hoạt động, SNAT xuất hiện sau khi quyết định định tuyến được đưa ra. Bên cạnh đó, khi có nhiều máy chủ trên mạng “bên trong” muốn truy cập vào “bên ngoài”, SNAT sẽ được sử dụng.
DNAT là gì?
DNAT là viết tắt của Destination Network Address Translation. Nó có chức năng thay đổi địa chỉ đích trong IP của gói tin.
Ngoài ra, DNAT cũng có thể thay đổi cổng đích trong TCP / UDP. Ứng dụng điển hình của nó là chuyển hướng các gói đến với đích là một địa chỉ/ cổng public, đi đến một địa chỉ/ cổng IP private bên trong mạng.
Người dùng qua internet truy cập máy chủ web được lưu trữ trong trung tâm dữ liệu là một ví dụ điển hình mà DNAT được sử dụng để ẩn địa chỉ private. Đồng thời, thiết bị NAT chuyển IP đích public mà người dùng internet có thể truy cập thành địa chỉ IP private của máy chủ web.
Sự khác nhau giữa SNAT và DNAT
| SNAT | DNAT | |
| Viết tắt cho – | Source NAT | Destination NAT |
| Thuật ngữ | SNAT đổi địa chỉ IP của nguồn kết nối thành công cộng. Ngoài ra có thể đổi cổng nguồn trong TCP / UDP. Thường được dùng bởi người dùng nội bộ. | DNAT đổi địa chỉ đích trong IP. Có thể thay đổi cổng đích trong TCP / UDP. Thường sử dụng khi cần chuyển hướng các gói đến có đích là địa chỉ/ cổng public đến địa chỉ / cổng IP private bên trong mạng. |
| Trường hợp sử dụng | Khi một client bên trong mạng LAN hay sau firewall muốn sử dụng internet. | Khi một website được lưu trữ bên trong trung tâm dữ liệu, sau firewall cần cho người dùng bên ngoài [public] kết nối đến thông qua mạng . |
| Thay đổi về địa chỉ | SNAT thay đổi địa chỉ nguồn của gói đi qua thiết bị NAT. | DNAT thay đổi địa chỉ đích của gói đi qua Router. |
| Thứ tự hoạt động | Sau khi quyết định định tuyến được thực hiện. | Trước khi xác định việc định tuyến. |
| Luồng giao tiếp | Xảy ra khi bên trong mạng được bảo mật bắt đầu giao tiếp với bên ngoài. | Xảy ra khi mạng không an toàn bên ngoài [public network] bắt đầu giao tiếp với bên trong [private network]. |
| Đơn/ đa máy chủ | SNAT cho phép nhiều máy chủ bên trong mạng truy cập vào bất ký máy chủ nào bên ngoài. | DNAT cho phép máy chủ bên ngoài truy cập vào một máy chủ bên trong. |
Lời kết
Hy vọng bài viết trên sẽ giúp bạn hiểu hơn NAT là gì? Nếu có thắc mắc hay đóng góp ý kiến, mời bạn để lại bình luận phía dưới bài viết này. Vietnix xin chân thành cảm ơn bạn!