giới thiệu 
tin tức
liên hệ
khuyến mạiNAT là một khái niệm quan trọng trong hệ thống mạng. Khi bạn lướt web, gửi email, trò chuyện trực tuyến, hay thậm chí là thực hiện những tác vụ quan trọng hơn như giao dịch tài chính trực tuyến, NAT đóng vai trò quan trọng trong việc đảm bảo việc trao đổi dữ liệu diễn ra một cách an toàn và hiệu quả.
Nhưng NAT là gì? Trong bài viết này, Viễn Thông Xanh sẽ giới thiệu chi tiết về khái niệm Network Address Translation, một công nghệ tưởng như đơn giản nhưng lại đóng một vai trò quan trọng trong việc hoạt động của mạng máy tính hiện đại. Mình và bạn sẽ điểm qua cách NAT giúp giải quyết vấn đề thiếu địa chỉ IP, bảo vệ tính riêng tư và cả cách nó ảnh hưởng đến quá trình truyền tải dữ liệu giữa các thiết bị trong mạng.
Mục Lục
NAT là gì?
Mỗi thiết bị mạng đều có một địa chỉ IP để có thể kết nối với mạng Intrernet. Tuy nhiên, bạn có thể sử dụng một địa chỉ IP riêng duy nhất cho cả hệ thống mạng LAN riêng của bạn. Để thực hiện điều này chúng ta cần đến NAT.
NAT là viết tắt của Network Address Translation, tạm dịch là “dịch địa chỉ mạng“. NAT là quy trình cho phép một địa chỉ IP duy nhất đại diện cho một nhóm máy tính hoàn toàn khác nhau.
Trong quá trình dịch địa chỉ mạng, một thiết bị mạng, thường là một bộ định tuyến hoặc tường lửa NAT, gán một địa chỉ IP công cộng cho một máy tính hoặc các máy tính trong mạng riêng. Trong các kết nối tới gia đình do ISP cung cấp, thiết bị mạng cung cấp NAT là Modem cáp hoặc bộ định tuyến DSL của bạn đã cung cấp NAT cho ngôi nhà của bạn.
Như vậy, NAT cho phép thiết bị duy nhất hoạt động như một trung gian hoặc người đại diện giữa mạng nội bộ (LAN) và mạng công cộng, tức là internet. Mục đích chính của NAT là tiết kiệm số lượng địa chỉ IP công cộng được sử dụng, vừa đảm bảo an ninh lẫn mục tiêu kinh tế.
Ngoài ra, NAT cũng thực hiện việc dịch số cổng, tức là che giấu số cổng của máy chủ bằng một số cổng khác, trong gói dữ liệu sẽ được định tuyến tới điểm đích. Sau đó, nó tạo các mục tương ứng về địa chỉ IP và số cổng trong bảng NAT. NAT thường hoạt động trên một Router hoặc tường lửa.
Network Address Translation (NAT) hoạt động thế nào?
Network Address Translation (NAT) là quá trình dịch địa chỉ mạng. Bạn có thể hiểu như là NAT sẽ thay đổi địa chỉ IP của tất cả các thiết bị mạng thành một địa chỉ IP duy nhất nào đó.
NAT thường được cấu hình trên bộ định tuyến đóng vai trò kết nối với Internet trong mạng. Tức là bộ định tuyến Router này có một giao diện trong mạng cục bộ (riêng tư) và một giao diện trong mạng toàn cầu (công cộng).
Khi một thiết bị truyền gói tin đi ra khỏi mạng cục bộ, NAT chuyển đổi địa chỉ IP Private (riêng tư) sang địa chỉ IP Public (công cộng). Ngược lại, khi một gói tin nhập vào mạng cục bộ, địa chỉ IP Public (công cộng) được chuyển đổi sang địa chỉ IP private (riêng tư).
Nếu NAT sử dụng hết các địa chỉ IP trong bộ định tuyến (pool địa chỉ) mà bạn cấu hình, thì các gói tin sẽ bị loại bỏ và một gói tin ICMP host unreachable sẽ được gửi đến đích.
Địa chỉ riêng tư (Private IP) và Địa chỉ công cộng (Public IP)
Trong mạng LAN của bạn, các thiết bị như máy tính, điện thoại, máy chủ thường có địa chỉ IP riêng gọi là “private IP addresses.” Các thiết bị này thường không thể trực tiếp truy cập Internet vì địa chỉ IP này không duy nhất trên mạng toàn cầu. Trong khi đó, bạn cần ít nhất một địa chỉ IP duy nhất (gọi là “public IP address”) để có thể truy cập Internet.
Địa chỉ IP riêng được sử dụng trong mạng nội bộ của bạn để xác định và giao tiếp giữa các thiết bị trong cùng mạng. Địa chỉ IP công cộng được cung cấp bởi nhà cung cấp dịch vụ Internet (ISP) và phải là địa chỉ duy nhất trên toàn thế giới.
Khi các thiết bị trong mạng LAN của bạn muốn truy cập Internet, địa chỉ IP riêng của chúng sẽ được chuyển đổi thành địa chỉ IP công cộng của bộ định tuyến hoặc tường lửa NAT trước khi truy cập Internet.
Tại sao cần che dấu số cổng trong NAT?
Giả sử có hai máy A và B trong mạng, cả hai cùng yêu cầu truy cập cùng một đích trên cùng một số cổng, ví dụ số cổng 1000, cùng một thời điểm.
Nếu NAT chỉ thực hiện dịch địa chỉ IP, khi các gói tin của họ đến NAT, địa chỉ IP của cả hai sẽ được che giấu bằng địa chỉ IP công cộng của mạng và gửi đến đích.
Đích sẽ gửi phản hồi đến địa chỉ IP công cộng của bộ định tuyến. Vì vậy, khi nhận được phản hồi, NAT sẽ không biết phản hồi nào thuộc về máy nào (do số cổng nguồn cho cả A và B đều giống nhau). Để tránh vấn đề này, NAT dấu cả số cổng nguồn và tạo một mục trong bảng NAT.
Địa chỉ NAT bên trong và bên ngoài
Trong môi trường NAT, có các khái niệm về địa chỉ “inside” và “outside” cùng với các dạng cụ thể của chúng:
Inside Addresses (Địa chỉ bên trong):
- Địa chỉ “inside” là những địa chỉ cần phải được chuyển đổi (dịch) trong quá trình NAT.
- Đây là các địa chỉ nằm trong mạng cục bộ (local network) của tổ chức hoặc mạng riêng tư.
- Địa chỉ “inside” thường là các địa chỉ IP riêng (private IP addresses) và cần phải được chuyển đổi thành địa chỉ IP công cộng để có thể truy cập Internet.
Outside Addresses (Địa chỉ bên ngoài):
- Địa chỉ “outside” là các địa chỉ không nằm trong sự kiểm soát của tổ chức sử dụng NAT. Đây là các địa chỉ mà tổ chức không quản lý trực tiếp.
- Địa chỉ “outside” thường là các địa chỉ IP công cộng (public IP addresses) được cung cấp bởi nhà cung cấp dịch vụ Internet (ISP) và thường là địa chỉ đại diện cho các thiết bị hoặc máy tính trên Internet.
Các dạng cụ thể của các địa chỉ trong ngữ cảnh NAT:
Inside Local Address (Địa chỉ cục bộ bên trong):
- Đây là địa chỉ IP được gán cho một máy chủ trong mạng bên trong (local network).
- Thường là địa chỉ IP riêng (private IP), không phải là địa chỉ IP do nhà cung cấp dịch vụ cấp.
- Đây là địa chỉ IP của máy chủ trong mạng bên trong khi nhìn từ mạng bên trong.
Inside Global Address (Địa chỉ toàn cầu bên trong):
- Đây là địa chỉ IP đại diện cho một hoặc nhiều địa chỉ IP cục bộ (inside local IP addresses) nhìn ra thế giới bên ngoài.
- Đây là địa chỉ IP của máy chủ trong mạng bên trong khi nhìn từ mạng bên ngoài (Internet).
Outside Local Address (Địa chỉ cục bộ bên ngoài):
- Đây là địa chỉ IP thực tế của máy chủ đích trong mạng bên trong sau khi đã được chuyển đổi (dịch) qua NAT.
- Địa chỉ này là kết quả của quá trình chuyển đổi và thường là một địa chỉ IP riêng.
Outside Global Address (Địa chỉ toàn cầu bên ngoài):
- Đây là địa chỉ IP của máy chủ đích nhìn từ mạng bên ngoài (Internet) trước khi chuyển đổi (dịch) qua NAT.
- Địa chỉ này thường là địa chỉ IP công cộng đại diện cho máy chủ trên Internet.
Tóm lại, trong môi trường NAT, các thuật ngữ “inside” và “outside” xác định vị trí và tính chất của các địa chỉ IP liên quan đến quá trình chuyển đổi (dịch) địa chỉ giữa mạng bên trong và mạng bên ngoài.
Có các loại dịch địa chỉ mạng NAT nào?
Có 3 cách để định cấu hình NAT hiện nay:
Static NAT
- Trong loại NAT này, một địa chỉ IP riêng không đăng ký (Private IP) được ánh xạ với một địa chỉ IP được đăng ký hợp pháp (Public IP), tức là có sự tương ứng một-một giữa địa chỉ cục bộ và địa chỉ toàn cầu.
- Loại này thường được sử dụng cho việc lưu trữ trang web (Web hosting).
- Static NAT không thường được sử dụng trong tổ chức do có nhiều thiết bị cần truy cập Internet và cung cấp truy cập Internet cần sử dụng địa chỉ IP công cộng.
- Điều này dẫn đến tình trạng nếu tổ chức cần 3000 thiết bị truy cập Internet, họ phải mua 3000 địa chỉ IP công cộng, gây chi phí lớn.
Dynamic NAT
- Trong loại NAT này, một địa chỉ IP không đăng ký (unregistered IP) sẽ được chuyển đổi thành một địa chỉ IP được đăng ký (Public IP) từ một nhóm địa chỉ IP công cộng.
- Nếu địa chỉ IP trong nhóm không còn trống, gói tin sẽ bị loại bỏ, vì chỉ một số lượng cố định địa chỉ IP riêng có thể được chuyển đổi thành địa chỉ IP công cộng.
- Điều này có nghĩa, nếu có một nhóm 2 địa chỉ IP công cộng, chỉ có thể chuyển đổi 2 địa chỉ IP riêng vào một thời điểm. Nếu địa chỉ IP riêng thứ 3 muốn truy cập Internet, gói tin sẽ bị loại bỏ.
- NAT loại này thường được sử dụng khi số lượng người dùng muốn truy cập Internet là cố định. Cũng tương tự như Static NAT, việc mua nhiều địa chỉ IP toàn cầu để tạo một nhóm là tốn kém.
Port Address Translation (PAT)
- Còn được gọi là NAT overload. Trong loại này, nhiều địa chỉ IP cục bộ (private IP) có thể được chuyển đổi thành một địa chỉ IP được đăng ký (Public IP) duy nhất.
- Số hiệu cổng (port numbers) được sử dụng để phân biệt các luồng dữ liệu, tức là luồng dữ liệu nào thuộc về địa chỉ IP nào.
- Đây là loại NAT thường được sử dụng phổ biến nhất vì có thể kết nối hàng ngàn người dùng tới Internet chỉ bằng một địa chỉ IP toàn cầu.
- Loại này tiết kiệm chi phí vì tổ chức chỉ cần một địa chỉ IP công cộng thực tế để cung cấp truy cập Internet cho nhiều người dùng.
Ưu điểm và nhược điểm của NAT
Các ưu điểm của NAT:
- Tiết kiệm Địa chỉ IP đăng ký hợp pháp: NAT giúp tiết kiệm số lượng địa chỉ IP đăng ký hợp pháp bằng cách cho phép nhiều thiết bị trong mạng cục bộ (LAN) sử dụng cùng một địa chỉ IP công cộng để truy cập Internet.
- Bảo mật và ẩn danh: Địa chỉ IP của thiết bị gửi và nhận dữ liệu sẽ được che giấu khi NAT hoạt động. Điều này cung cấp một mức độ bảo mật và ẩn danh cho các thiết bị trong mạng cục bộ.
Loại bỏ việc đánh số lại địa chỉ khi mạng phát triển:
Khi mạng phát triển và thay đổi cấu trúc, NAT giúp tránh việc phải thay đổi địa chỉ IP của các thiết bị trong mạng. Điều này giúp đơn giản hóa việc quản lý và duy trì mạng.
Nhược điểm của NAT:
- Trễ trong quá trình chuyển đổi địa chỉ: Quá trình chuyển đổi địa chỉ trong NAT có thể dẫn đến trễ trong việc chuyển tiếp dữ liệu, gây trì hoãn trong việc truyền dữ liệu qua mạng.
- Một số ứng dụng không hoạt động khi NAT được kích hoạt: Một số ứng dụng, đặc biệt là những ứng dụng dựa trên giao thức peer-to-peer, có thể gặp vấn đề khi hoạt động qua NAT vì sự thay đổi trong quá trình chuyển đổi địa chỉ.
- Phức tạp hóa các giao thức đào đường như IPsec: NAT có thể gây ra các vấn đề khi triển khai các giao thức đào đường bảo mật như IPsec, làm cho việc thiết lập các kết nối an toàn trở nên phức tạp hơn.
- Can thiệp vào số cổng (port numbers) ở tầng giao vận (transport layer): NAT thường là một thiết bị tầng mạng (network layer) và việc thay đổi số cổng (port numbers) ở tầng giao vận (transport layer) có thể gây ra sự phức tạp không cần thiết.
Cấu hình NAT từ cơ bản đến nâng cao trên Router Cisco
Dưới đây là một hướng dẫn cấu hình Network Address Translation (NAT) từ cơ bản đến phức tạp trên một bộ định tuyến Cisco. Lưu ý rằng các bước và cú pháp có thể thay đổi tùy theo thiết bị và phiên bản phần mềm.
Cấu hình Basic NAT (Static NAT):
Trong ví dụ này, chúng ta sẽ cấu hình Static NAT để ánh xạ một địa chỉ IP riêng cụ thể thành một địa chỉ IP công cộng.
1. Đăng nhập vào bộ định tuyến qua giao diện người dùng hoặc dòng lệnh.
2. Chọn chế độ cấu hình. Ví dụ:
configure terminal
3. Cấu hình ánh xạ địa chỉ IP:
ip nat inside source static [inside_local_IP] [outside_global_IP]
Trong đó, [inside_local_IP] là địa chỉ IP riêng trong mạng cục bộ và [outside_global_IP] là địa chỉ IP công cộng muốn ánh xạ.
4. Kích hoạt chức năng NAT trên giao diện mạng bên trong:
interface [inside_interface]
ip nat inside
5. Kích hoạt chức năng NAT trên giao diện mạng bên ngoài:
interface [outside_interface]
ip nat outside
Trong đó, [outside_interface] là tên của giao diện kết nối với mạng bên ngoài (Internet).
Lưu cấu hình và khởi động lại bộ định tuyến để áp dụng thay đổi.
Cấu hình Dynamic NAT:
Trong ví dụ này, chúng ta sẽ cấu hình Dynamic NAT để ánh xạ các địa chỉ IP riêng thành các địa chỉ IP công cộng từ một nhóm địa chỉ IP công cộng.
1. Thực hiện các bước từ 1 đến 3 như trong cấu hình Basic NAT.
2. Cấu hình NAT pool (nhóm địa chỉ IP công cộng):
ip nat pool [pool_name] [start_IP] [end_IP] netmask [subnet_mask]
Trong đó, [pool_name] là tên của pool, [start_IP] và [end_IP] là địa chỉ IP đầu và cuối của pool, [subnet_mask] là subnet mask của địa chỉ IP công cộng.
3. Cấu hình ánh xạ địa chỉ IP:
ip nat inside source list [ACL_number] pool [pool_name]
Trong đó, [ACL_number] là số của Access Control List (ACL) xác định các địa chỉ IP riêng, [pool_name] là tên của pool NAT.
4. Kích hoạt chức năng NAT trên giao diện mạng bên trong và bên ngoài như trong cấu hình Basic NAT.
Cấu hình Port Address Translation (PAT):
Trong ví dụ này, chúng ta sẽ cấu hình PAT để ánh xạ nhiều địa chỉ IP riêng thành một địa chỉ IP công cộng duy nhất thông qua số hiệu cổng.
1. Thực hiện các bước từ 1 đến 3 như trong cấu hình Basic NAT.
2. Cấu hình ánh xạ địa chỉ IP sử dụng PAT:
ip nat inside source list [ACL_number] interface [outside_interface] overload
Trong đó, [ACL_number] là số của Access Control List (ACL) xác định các địa chỉ IP riêng, [outside_interface] là tên của giao diện kết nối với mạng bên ngoài.
3. Kích hoạt chức năng NAT trên giao diện mạng bên trong như trong cấu hình Basic NAT.
Lưu cấu hình và khởi động lại bộ định tuyến.
Kết luận:
Trong bài viết này, mình đã đi sâu vào tìm hiểu về Network Address Translation (NAT) và giúp bạn hiểu được NAT là gì? Cách của NAT hoạt động và vai trò quan trọng của nó trong lĩnh vực mạng máy tính.
NAT đã trở thành một công cụ thiết yếu trong việc quản lý địa chỉ IP và cung cấp truy cập Internet cho hàng triệu thiết bị trong mạng riêng tư. Mong rằng bài viết này có ích giúp bạn. Nếu còn thắc mắc các vấn đề liên quan đến bài viết. Liên hệ ngay với Viễn Thông Xanh qua số Zalo hiển thị trên web hoặc để lại lời nhắn tại phần bình luận để mình hỗ trợ bạn tốt nhất!
Ngoài ra, Viễn Thông Xanh còn là đơn vị uy tín hàng đầu trên thị trường cung cấp các sản phẩm thiết bị mạng, thiết bị viễn thông chất lượng. Do đó, nếu bạn đang cần tìm mua các sản phẩm Router, switch, modem, tường lửa,.. hãy liên hệ ngay với VTX để mua và trải nghiệm sản phẩm tốt nhất!
Xem thêm bài viết hay khác: