NAT là gì? Hướng dẫn cấu hình các loại NAT

Nội Dung

NAT là gì?

  NAT là viết tắt của “Network Address Translation” (Dịch địa chỉ Mạng). Đây là một công nghệ phổ biến trong mạng máy tính và Internet được sử dụng để ánh xạ và chuyển đổi địa chỉ IP của các thiết bị trong mạng.

  NAT là một phần quan trọng của việc chia sẻ một địa chỉ IP công cộng duy nhất cho nhiều thiết bị trong mạng nội bộ. Nó hoạt động bằng cách thay đổi địa chỉ IP và cổng (port) đích của các gói dữ liệu truyền qua một thiết bị NAT. Cụ thể, khi một gói dữ liệu ra khỏi mạng nội bộ đi ra Internet, thiết bị NAT sẽ thay đổi địa chỉ IP nguồn của gói dữ liệu để trở thành địa chỉ IP công cộng của mạng ngoại vi (thường là địa chỉ IP của modem hoặc router) và cổng nguồn cũng được thay đổi để duy trì sự phân biệt giữa các kết nối.

  NAT có nhiều ứng dụng, bao gồm bảo mật mạng nội bộ khỏi các cuộc tấn công từ bên ngoài, cho phép nhiều thiết bị trong mạng nội bộ sử dụng cùng một địa chỉ IP công cộng, và giúp quản lý và theo dõi các kết nối mạng.

Cách hoạt động của NAT

Hoạt động của NAT (Network Address Translation) liên quan đến việc thay đổi địa chỉ IP và/hoặc cổng (port) của gói dữ liệu khi nó di chuyển qua một thiết bị NAT trên mạng. Cách hoạt động chính của NAT như sau:

1. Nhận dữ liệu đầu vào: NAT bắt đầu hoạt động khi nó nhận được một gói dữ liệu từ mạng nội bộ (internal network) mà gói dữ liệu này muốn đi ra ngoài Internet hoặc mạng ngoại vi (external network).

2. Kiểm tra bảng NAT: Thiết bị NAT kiểm tra bảng NAT để xem liệu nó có bản ghi nào tương ứng với gói dữ liệu này hay không. Bảng NAT chứa thông tin về các kết nối đã thiết lập trong mạng nội bộ, bao gồm địa chỉ IP nội bộ, cổng nội bộ, địa chỉ IP công cộng, và cổng công cộng tương ứng.

3. Tạo bản ghi NAT nếu cần: Nếu không có bản ghi nào tương ứng, NAT tạo một bản ghi mới trong bảng NAT. Bản ghi này sẽ ánh xạ địa chỉ IP nội bộ của gói dữ liệu thành địa chỉ IP công cộng của mạng ngoại vi và cổng nội bộ thành cổng công cộng tương ứng.

4. Thay đổi địa chỉ IP và/hoặc cổng: NAT sẽ thay đổi địa chỉ IP và/hoặc cổng của gói dữ liệu theo bản ghi NAT được tạo hoặc đã tồn tại. Điều này đảm bảo rằng gói dữ liệu có địa chỉ IP và cổng phù hợp để đi ra ngoài mạng ngoại vi mà không gây xung đột với các kết nối khác.

5. Chuyển gói dữ liệu ra mạng ngoại vi: Sau khi thay đổi, gói dữ liệu được chuyển ra mạng ngoại vi hoặc Internet thông qua thiết bị NAT.

6. Theo dõi kết nối: NAT theo dõi các kết nối đã được tạo trong bảng NAT. Khi gói dữ liệu phản hồi từ mạng ngoại vi trở lại, NAT sử dụng thông tin trong bảng NAT để xác định đích thật sự của gói dữ liệu trong mạng nội bộ và chuyển nó đến thiết bị tương ứng. tạo file html để hiển thị đoạn văn bản này đẹp

Ứng dụng của NAT

Ứng dụng của NAT

Chia sẻ kết nối Internet

NAT cho phép nhiều thiết bị trong mạng nội bộ sử dụng cùng một địa chỉ IP công cộng để truy cập Internet. Điều này tiết kiệm địa chỉ IP công cộng và giúp tận dụng hiệu quả các địa chỉ IP, trong khi bảo vệ mạng nội bộ khỏi các cuộc tấn công từ bên ngoài.

Bảo mật mạng nội bộ

NAT là một tường lửa (firewall) tự nhiên, vì nó ngăn các kết nối từ Internet tiếp cận trực tiếp các thiết bị trong mạng nội bộ. Chỉ các kết nối được kích hoạt từ bên trong mạng nội bộ mới có thể đi ra ngoài Internet.

Hiệu suất mạng

NAT có thể giúp cải thiện hiệu suất mạng bằng cách duy trì một bảng NAT để theo dõi các kết nối. Nó giúp quản lý cổng và phân phối tài nguyên mạng hiệu quả hơn.

Hỗ trợ IPv4 dạng cổng nhiều (NAT44)

Trong bối cảnh khan hiếm địa chỉ IPv4, NAT44 cho phép nhiều thiết bị trong mạng nội bộ chia sẻ cùng một địa chỉ IPv4 công cộng thông qua việc ánh xạ cổng. Điều này giúp giảm áp lực lên việc cung cấp địa chỉ IP duy nhất cho mỗi thiết bị.

Phân phối nhiều dịch vụ trên cùng một địa chỉ IPt

NAT cho phép nhiều dịch vụ (ví dụ: máy chủ web, máy chủ email) chia sẻ cùng một địa chỉ IP công cộng thông qua ánh xạ cổng. Điều này giúp tiết kiệm địa chỉ IP và giảm độ phức tạp của cấu hình mạng.

Isolation của mạng nội bộ

NAT có thể tạo ra sự cô lập giữa mạng nội bộ và mạng ngoại bên Internet. Điều này đảm bảo rằng các thiết bị trong mạng nội bộ không thể truy cập trực tiếp các thiết bị ngoài mạng mà không qua sự cho phép của NAT.

Chuyển tiếp cổng (Port Forwarding)

NAT có thể được cấu hình để chuyển tiếp các kết nối đến một cổng cụ thể trong mạng nội bộ đến một thiết bị hoặc dịch vụ cụ thể, ví dụ như máy chủ web hoặc máy chủ trò chơi. Điều này cho phép từ xa truy cập các dịch vụ này từ Internet.

Static NAT

NAT có thể được cấu hình để ánh xạ cố định một địa chỉ IP nội bộ sang một địa chỉ IP công cộng cố định, điều này thường được sử dụng cho các dịch vụ mạng cụ thể.

Địa chỉ Private và Địa chỉ public là gì?

Địa chỉ Private (Private IP Address)

  • Địa chỉ Private là các địa chỉ được sử dụng trong mạng nội bộ (local network) của một tổ chức hoặc gia đình.
  • Các địa chỉ Private không duy nhất và có thể được sử dụng lặp đi lặp lại trong nhiều mạng nội bộ khác nhau. Điều này có nghĩa là cùng một địa chỉ Private có thể tồn tại trong nhiều mạng LAN khác nhau trên toàn thế giới mà không gây xung đột.
  • Các địa chỉ Private thường được sử dụng để gán cho các thiết bị trong mạng nội bộ, chẳng hạn như máy tính cá nhân, máy chủ trong mạng gia đình hoặc doanh nghiệp. Các thiết bị này thường không được trực tiếp tiếp cận từ Internet.
  • Một số phổ biến địa chỉ Private là:

          192.168.x.x (với x là số nguyên từ 0 đến 255)

          172.16.x.x đến 172.31.x.x (với x là số nguyên từ 0 đến 255)

          10.x.x.x (với x là số nguyên từ 0 đến 255)

Địa chỉ Public (Public IP Address)

  • Địa chỉ Public là các địa chỉ được sử dụng để xác định các thiết bị và máy tính trên Internet.
  • Các địa chỉ Public là duy nhất và không được lặp lại. Mỗi thiết bị kết nối trực tiếp đến Internet cần có một địa chỉ Public để có thể giao tiếp với các thiết bị và máy tính khác trên toàn thế giới                     
  • Các địa chỉ Public thường được cung cấp bởi nhà cung cấp dịch vụ Internet (ISP) và phải là duy nhất để đảm bảo tính toàn vẹn của Internet.
  • Địa chỉ Public được sử dụng để truy cập các dịch vụ trên Internet và cho phép các thiết bị ngoại vi kết nối vào mạng Internet, chẳng hạn như máy chủ web, máy chủ email, và nhiều dịch vụ khác.

Static NAT là gì?

  • Static NAT (Network Address Translation) là một loại NAT trong đó một địa chỉ IP nội bộ cố định được ánh xạ một cách tĩnh (static) thành một địa chỉ IP công cộng cố định. Điều này có nghĩa rằng một địa chỉ IP nội bộ cụ thể trong mạng nội bộ luôn được ánh xạ thành một địa chỉ IP công cộng nhất định, không thay đổi.
  • Static NAT thường được sử dụng khi bạn muốn cung cấp truy cập từ Internet đến một máy chủ hoặc dịch vụ cụ thể trong mạng nội bộ mà bạn muốn định rõ địa chỉ IP công cộng của nó. Ví dụ, bạn có thể sử dụng Static NAT để chuyển tiếp các yêu cầu HTTP đến một máy chủ web cụ thể trong mạng nội bộ.

Cách cấu hình NAT như sau:

# Truy cập vào chế độ cấu hình
configure terminal

# Cấu hình Static NAT
ip nat inside source static [địa chỉ IP nội bộ] [địa chỉ IP công cộng]

# Ví dụ: Ánh xạ địa chỉ IP nội bộ 192.168.1.10 thành địa chỉ IP công cộng 203.0.113.10
ip nat inside source static 192.168.1.10 203.0.113.10

# Áp dụng NAT cho interface ngoại vi (external interface)
interface [tên interface ngoại vi]
ip nat outside

# Áp dụng NAT cho interface nội bộ (internal interface)
interface [tên interface nội bộ]
ip nat inside

# Lưu cấu hình
end
write memory

Trong ví dụ trên, chúng ta đã cấu hình một Static NAT để ánh xạ địa chỉ IP nội bộ 192.168.1.10 thành địa chỉ IP công cộng 203.0.113.10. Điều này có nghĩa rằng bất kỳ yêu cầu nào được gửi đến địa chỉ IP công cộng 203.0.113.10 trên interface ngoại vi sẽ được chuyển tiếp đến địa chỉ IP nội bộ 192.168.1.10 trong mạng nội bộ. Cấu hình NAT cũng yêu cầu bạn áp dụng NAT cho interface ngoại vi và interface nội bộ để chuyển đổi dữ liệu giữa các mạng.

SNAT và DNAT là gì?

SNAT (Source Network Address Translation) và DNAT (Destination Network Address Translation) là cả hai dạng của Network Address Translation (NAT), một kỹ thuật được sử dụng trong mạng máy tính để ánh xạ địa chỉ IP và/hoặc cổng của gói dữ liệu khi nó đi qua một thiết bị NAT.

Sự khác nhau chính giữa SNAT và DNAT

SNAT (Source NAT – Network Address Translation)

  • SNAT thay đổi địa chỉ IP nguồn của gói dữ liệu. Nó thường được sử dụng khi gói dữ liệu đi từ mạng nội bộ ra mạng ngoại vi hoặc Internet.
  • Mục tiêu chính của SNAT là ẩn địa chỉ IP nội bộ và thay thế nó bằng địa chỉ IP công cộng của thiết bị NAT.
  • Ví dụ: Nếu máy tính trong mạng nội bộ có địa chỉ IP nội bộ là 192.168.1.2 và muốn truy cập Internet, SNAT sẽ thay đổi địa chỉ IP nguồn của gói dữ liệu thành địa chỉ IP công cộng của router/firewall trước khi gửi nó ra ngoài Internet.

DNAT (Destination NAT – Network Address Translation)

  • DNAT thay đổi địa chỉ IP đích của gói dữ liệu. Nó thường được sử dụng khi gói dữ liệu từ Internet hoặc mạng ngoại vi được chuyển tiếp đến một dịch vụ hoặc máy chủ cụ thể trong mạng nội bộ.
  • Mục tiêu chính của DNAT là chuyển hướng gói dữ liệu từ địa chỉ IP công cộng của thiết bị NAT thành địa chỉ IP nội bộ của máy chủ hoặc dịch vụ cụ thể.
  • Ví dụ: Nếu có một máy chủ web trong mạng nội bộ với địa chỉ IP nội bộ là 192.168.1.20 và bạn muốn cho phép người dùng Internet truy cập máy chủ web này, DNAT sẽ thay đổi địa chỉ IP đích của gói dữ liệu từ địa chỉ IP công cộng của router/firewall thành địa chỉ IP nội bộ của máy chủ web.

Lời kết

Tóm lại, NAT không chỉ là một công cụ quản lý địa chỉ IP mạnh mẽ mà còn là một phần quan trọng của kiến thức về mạng và bảo mật. Đối với mạng hiện đại, NAT là một trong những yếu tố quan trọng giúp mạng hoạt động một cách hiệu quả và an toàn.

nat-la-gi (1)