Network Address Translation (NAT) đóng vai trò như một người bảo vệ vô hình, đảm bảo sự riêng tư và an ninh cho các mạng máy tính. Song với đó, NAT có nhiều tính năng hữu ích trong việc tối ưu lưu lượng mạng. Cùng tôi khám phá chi tiết về NAT qua bài biết bên dưới.
NAT là gì?
NAT (Network Address Translation) là một kỹ thuật có phép chuyển đổi từ một địa chỉ IP này thành một địa chỉ IP khác. Network Address Translation giúp địa chỉ mạng cục bộ (Private) truy cập đến mạng công cộng (Internet). Vị trí thực hiện NAT là Router biên, nơi kết nối hai loại mạng này.
NAT là hình thức Network Translation phổ biến nhất liên quan đến một private network sử dụng các địa chỉ trong range private (10.0.0.0 đến 10.255.255.255, 172.16.0.0 đến 172.31.255.255 hoặc 192.168.0 0 đến 192.168.255.255). Địa chỉ private hoạt động tốt cho các máy tính chỉ phải truy cập tài nguyên trong mạng, như máy trạm cần truy cập vào máy chủ file và máy in.
Router trong mạng riêng có thể định tuyến lưu lượng giữa các địa chỉ private mà không gặp sự cố. Tuy nhiên, để truy cập các tài nguyên bên ngoài mạng như Internet, các máy tính này phải có địa chỉ public và đây được xem là nơi NAT phát huy tác dụng.
Hoạt động của NAT
Để hiểu hơn về NAT là gì? Cùng tôi tìm hiểu sâu hơn về cách thức hoạt động của Network Address Translation. Trong một hệ thống, NAT có nhiệm vụ thực hiện truyền gói tin từ lớp mạng này sang lớp mạng khác. Ở đó, NAT sẽ thực hiện việc thay đổi địa chỉ IP bên trong gói tin và sau đó chuyển qua router và các thiết bị mạng khác.
Trong quá trình gói tin được truyền từ mạng internet về NAT thì NAT sẽ thực hiện thay đổi địa chỉ IP đích thành địa chỉ IP mạng cục bộ (Private) trong hệ thống rồi mới chuyển đi. Với cách thức hoạt động như vậy, cho thấy NAT đóng vai trò rất quan trọng, giúp bảo vệ được các thông tin liên quan đến địa chỉ IP của máy tính. Nếu xảy ra tình trạng mất kết nối internet thì địa chỉ IP (Public) sẽ thay thế cho địa chỉ IP (Private).
Ứng dụng của NAT
Có nhiều cách sử dụng khác nhau cho NAT, ngoài việc đơn giản là cho phép các máy trạm có địa chỉ IP (Private) truy cập Internet. Trong các mạng lớn, một số máy chủ trong mạng nội bộ có thể hoạt động như máy chủ Web và yêu cầu truy cập từ Internet. Các máy chủ này được gán địa chỉ IP Public trên tường lửa (Firewall), cho phép người dùng chỉ truy cập vào máy chủ thông qua địa chỉ IP public đó.
Tuy nhiên, là một lớp bảo mật bổ sung, tường lửa hoạt động như một trung gian giữa thế giới bên ngoài (external) và mạng nội bộ bên trong (internal). Các rule bổ sung có thể được thêm vào, bao gồm các port nào có thể được truy cập tại địa chỉ IP đó. Sử dụng NAT theo cách này cho phép các kỹ sư mạng định tuyến lưu lượng truy cập mạng nội bộ hiệu quả hơn đến các tài nguyên và cho phép truy cập vào nhiều port hơn, đồng thời hạn chế quyền truy cập tại tường lửa.
Ngoài ra, NAT cũng có thể được sử dụng để cho phép truy cập có kiểm soát ra bên ngoài mạng. Máy trạm hoặc các máy tính khác cần truy cập đặc biệt bên ngoài mạng có thể được chỉ định IP public cụ thể bằng NAT. Một lần nữa, tường lửa hoạt động như một trung gian và có thể kiểm soát phiên theo cả hai hướng, kiểm soát port và prototol truy cập.
Tìm hiểu NAT giúp cho bạn hiểu thêm về tầm quan trọng của tường lửa. Nó tiết kiệm số lượng IP public được sử dụng trong một tổ chức và cho phép kiểm soát chặt chẽ hơn quyền truy cập vào tài nguyên trên cả hai mặt của tường lửa: Public (external) và Private (internal).
Địa chỉ Private và địa chỉ Public là gì?
Địa chỉ IP Public là gì?
Địa chỉ IP Public (IP Public) là một loại địa chỉ được cung cấp bởi các tổ chức có thẩm quyền. Ví dụ như các nhà cung cấp dịch vụ Internet mà bạn có thể biết.
Địa chỉ IP Private là gì?
Địa chỉ IP Private (IP Private) là loại mạng IP chỉ kết nối nội bộ trong hệ thống mạng LAN thông qua router thường được sử dụng trong trường học, công ty, tổ chức,… Nếu muốn kết nối được thì IP Private phải chuyển đổi thành IP Public thông qua NAT.
Địa chỉ private được định nghĩa trong RFC 1918:
- 10.0.0.0 – 10.255.255.255
- 172.16.0.0 – 172.31.255.255
- 192.168.0.0 – 192.168.255.255
Phân loại NAT
Static NAT
Stactic NAT được dùng để chuyển đổi một địa chỉ IP này sang một địa chỉ IP khác. Thông qua cách cố định địa chỉ IP cục bộ sang địa chỉ IP công khai (Public), quá trình này được thiết lập và cài đặt thủ công.
Cách cấu hình Stactic NAT như sau:
- Thiết lập mối quan hệ chuyển đổi giữa địa chỉ IP cục bộ và IP Public ở ngoài:
Router (config) # ip nat inside source static [local ip] [global ip] - Xác định các cổng kết nối với mạng cục bộ:
Router (config-if) # ip nat inside - Xác định cổng kết nối với mạng bên ngoài với lệnh sau:
Router (config-if) # ip nat outside Ví dụ:
Router (config) # ip nat inside source static 192.168.1.100 202.1.1.10 Router (config) # interface fa0/0 Router (config-if) # ip nat inside Router (config) # interface s0/0/0 Router (config-if) # ip nat outsideDynamic NAT
Dynamic NAT dùng để ánh xạ một địa chỉ IP này sang một địa chỉ IP khác bằng cách thức tự động. Thông thường, Dynamic NAT sẽ chuyển từ IP mạng cục bộ sang địa chỉ IP đã được đăng ký. Bất kỳ một địa chỉ IP nào nằm trong dải IP Public đã được định trước đều được gán với một địa chỉ bên trong mạng.
Cấu hình Dynamic NAT:
- Xác định địa chỉ IP Public:
Router (config) # ip nat pool [name start ip] [name end ip] netmask [netmask]/prefix-lenght [prefix-lenght] - Thiết lập ACL để tạo danh sách các địa chỉ Private được phép chuyển đổi IP:
Router (config) # access-list [access-list-number-permit] source [source-wildcard] - Thiết lập mối quan hệ giữa địa chỉ nguồn và đại chỉ IP bên ngoài:
Router (config) # ip nat inside source list <acl-number> pool <name> - Xác định cổng kết nối với mạng cục bộ:
Router (config-if) # ip nat inside - Xác định cổng kết nối với mạng bên ngoài:
Router (config-if) # ip nat outside Ví dụ cho mô hình trên:
Router (config) # ip nat pool abc 202.1.1.177 202.1.1.185 netmask 255.255.255.0 Router (config) # access-list 1 permit 192.168.1.0 0.0.0.255 Router (config) # ip nat inside source list 1 pool abc Router (config) # interface fa0/0 Router (config-if) # ip nat inside Router (config) # interface s0/0/0 Router (config-if) # ip nat outsideNAT Overload
NAT Overload hay gọi là PAT (Port Address Translation). Đây được xem là dạng biến đổi của Dynamic NAT có thể chuyển đổi IP bằng cách tự động. Nhưng về hoạt động thì NAT Overload là ánh xạ nhiều địa chỉ IP thành 1 địa chỉ IP bằng cách dùng các port khác nhau để phân biệt.
Cấu hình NAT Overload:
- Xác định địa chỉ IP mạng nội bộ cần ánh xạ bên ngoài:
Router (config) # access-list <ACL-number> permit <source> <wildcard> - Cấu hình để chuyển IP đến cổng kết nối bên ngoài:
Router (config) # ip nat inside source list <ACL-number> interface <interface> overload - Xác định nết nối với mạng nội bộ:
Router (config-if) # ip nat inside- Xác định các cổng kết nối với mạng bên ngoài:
Router (config-if) # ip nat outside Ví dụ:
Router (config) # access-list <ACL-number> permit <source> <wildcard> Router (config) # ip nat inside source list <ACL-number> interface <interface> overload Router (config-if) # ip nat inside Router (config-if) # ip nat outside SNAT là gì?
SNAT là viết tắt của Source Network Address Translation, thường được sử dụng khi máy chủ nội bộ/private cần bắt đầu kết nối với máy chủ bên ngoài/public. Thiết bị thực hiện NAT thay đổi địa chỉ IP riêng của máy chủ nguồn thành IP Public và cũng có thể thay đổi cổng nguồn trong TCP/ UDP.
Một tình huống điển hình của SNAT là khi được yêu cầu thay đổi địa chỉ hay cổng riêng thành public khi các gói rời khỏi mạng. Về thứ tự hoạt động, SNAT xuất hiện sau khi quyết định định tuyến được đưa ra. Bên cạnh đó, khi có nhiều máy chủ trên mạng “bên trong” muốn truy cập vào “bên ngoài”, SNAT sẽ được sử dụng.
DNAT là gì?
DNAT là viết tắt của Destination Network Address Translation, có chức năng thay đổi địa chỉ đích trong IP của gói tin. Ngoài ra, DNAT cũng có thể thay đổi cổng đích trong TCP / UDP. Ứng dụng điển hình của nó là chuyển hướng các gói đến với đích là một địa chỉ/ cổng public, đi đến một địa chỉ/ cổng IP private bên trong mạng.
Người dùng qua internet truy cập máy chủ web được lưu trữ trong trung tâm dữ liệu là một ví dụ điển hình mà DNAT được sử dụng để ẩn địa chỉ private. Đồng thời, thiết bị NAT chuyển IP đích public mà người dùng internet có thể truy cập thành địa chỉ IP private của máy chủ web.
Sự khác nhau giữa SNAT và DNAT
| SNAT | DNAT | |
| Viết tắt | Source NAT | Destination NAT |
| Thuật ngữ | SNAT đổi địa chỉ IP của nguồn kết nối thành công cộng. Ngoài ra có thể đổi cổng nguồn trong TCP / UDP. Thường được dùng bởi người dùng nội bộ. | DNAT đổi địa chỉ đích trong IP. Có thể thay đổi cổng đích trong TCP / UDP. Thường sử dụng khi cần chuyển hướng các gói đến có đích là địa chỉ/ cổng public đến địa chỉ / cổng IP private bên trong mạng. |
| Trường hợp sử dụng | Khi một client bên trong mạng LAN hay sau firewall muốn sử dụng internet. | Khi một website được lưu trữ bên trong trung tâm dữ liệu, sau firewall cần cho người dùng bên ngoài (public) kết nối đến thông qua mạng . |
| Thay đổi về địa chỉ | SNAT thay đổi địa chỉ nguồn của gói đi qua thiết bị NAT. | DNAT thay đổi địa chỉ đích của gói đi qua Router. |
| Thứ tự hoạt động | Sau khi quyết định định tuyến được thực hiện. | Trước khi xác định việc định tuyến. |
| Luồng giao tiếp | Xảy ra khi bên trong mạng được bảo mật bắt đầu giao tiếp với bên ngoài. | Xảy ra khi mạng không an toàn bên ngoài (public network) bắt đầu giao tiếp với bên trong (private network). |
| Đơn/ đa máy chủ | SNAT cho phép nhiều máy chủ bên trong mạng truy cập vào bất ký máy chủ nào bên ngoài. | DNAT cho phép máy chủ bên ngoài truy cập vào một máy chủ bên trong. |
Câu hỏi thường gặp
Khi sử dụng NAT, địa chỉ IP thực của tôi có bị thay đổi không? Điều này có ảnh hưởng gì đến việc truy cập internet?
Khi sử dụng NAT, địa chỉ IP thực của bạn có thay đổi nhưng không ảnh hưởng đến việc truy cập internet, do:
– Địa chỉ IP thực: là địa chỉ IP do nhà cung cấp dịch vụ internet (ISP) cấp cho bạn. Đây là địa chỉ duy nhất để xác định thiết bị của bạn trên internet.
– NAT: là một kỹ thuật dịch địa chỉ mạng, cho phép nhiều thiết bị trong mạng nội bộ sử dụng chung một địa chỉ IP công khai để truy cập internet.
Tôi có nghe nói về NAT nội (Private NAT) và NAT toàn cục (Public NAT). Chúng khác nhau như thế nào?
NAT nội (Private NAT):
– Chia sẻ với nhiều thiết bị trong mạng nội bộ.
– Thích hợp cho mạng gia đình, văn phòng nhỏ.
– Tiết kiệm địa chỉ IP công khai, bảo mật mạng tốt hơn.
– Khó khăn trong việc truy cập từ xa, một số ứng dụng có thể không hoạt động.
NAT toàn cục (Public NAT):
– Được gán cho từng thiết bị trong mạng.
– Thích hợp cho máy chủ web, máy chơi game, thiết bị cần truy cập từ xa.
– Cho phép truy cập trực tiếp từ xa.
– Tốn kém hơn, bảo mật mạng kém hơn.
NAT có thể ảnh hưởng đến việc chơi game online không? Nếu có, làm thế nào để khắc phục sự cố?
NAT có thể ảnh hưởng đến việc chơi game online theo một số cách:
– Khó khăn trong việc kết nối với các game thủ khác.
– Gây ra tình trạng lag và ping cao.
– Gặp sự cố với các tính năng trong game.
Lời kết
Hy vọng bài viết trên sẽ giúp bạn hiểu hơn NAT là gì? Nếu có bất kỳ thắc thắc mắc hay đóng góp ý kiến, mời bạn để lại bình luận phía dưới bài viết này, tôi sẽ giải đáp nhanh nhất!
