Dịch địa chỉ NAT là việc chuyển đổi địa chỉ Private IP của các thiết bị trong mạng LAN sang địa chỉ Public IP để có thể truy cập vào mạng Internet. NAT đóng vai trò quan trọng trong mạng Internet, có thể nói việc thiết bị mạng có thể truy cập vào Internet là nhờ NAT.

Sau đây hãy cùng mình tìm hiểu để hiểu chi tiết hơn về NAT!

Mục Lục

1 NAT là gì?
2 Thiết bị nào thực hiện NAT trên mạng?
3 Dịch địa chỉ NAT hoạt động thế nào?
4 Tại sao cần che dấu số cổng trong NAT?
5 Có các loại dịch địa chỉ mạng NAT nào?
6 Cấu hình NAT từ cơ bản đến nâng cao trên Router Cisco

NAT là gì?

Mỗi thiết bị mạng đều cần một địa chỉ IP để có thể hoạt động trên mạng Internet. Địa chỉ IP này cần phải là địa chỉ IP duy nhất, và thường là địa chỉ Public IP. Nếu mỗi thiết bị đều được cấp 1 địa chỉ IP duy nhất thì có lẽ sẽ khồng NAT nhưng mà số lượng địa chỉ IP là có hạn. Để tiết kiệm tài nguyên địa chỉ IP, người ta sử dụng địa chỉ IP riêng để gán cho các thiết bị trong một mạng LAN. Địa chỉ IP riêng sẽ là duy nhất trong một mạng LAN nhưng không duy nhất trên toàn thế giới.

Do đó để thiết bị mạng truy cập vào Internet, ta cần sử dụng NAT để chuyển đổi từ địa chỉ IP riêng sang địa chỉ IP Public.

Thiết bị nào thực hiện NAT trên mạng?

Thông thường khi tiến hành dịch địa chỉ mạng, Router hoặc Firewall NAT sẽ thực hiện chức năng này. Nó sẽ gán địa chỉ IP công cộng cho máy tính khi muốn kết nối với Internet. Với mạng gia đình do các nhà dịch vụ ISP cung cấp, Modem và bộ định tuyến DSL sẽ thực hiện nhiệm vụ dịch địa chỉ NAT cho các thiết bị mạng trong nhà.

Ta có thể coi NAT là một bước trung gian để kết nối mạng LAN với mạng WAN. Mục đích sinh ra NAT chính là để tiết kiệm nguồn tài nguyên địa chỉ IP hữu hạn.

Ngoài ra, NAT cũng thực hiện việc dịch số cổng, tức là che giấu số cổng của máy chủ bằng một số cổng khác, trong gói dữ liệu sẽ được định tuyến tới điểm đích. Sau đó, nó tạo các mục tương ứng về địa chỉ IP và số cổng trong bảng NAT.

Dịch địa chỉ NAT hoạt động thế nào?

Hình ảnh minh họa cho NAT là gì — Hình ảnh minh họa cho NAT hoạt động

Quá trình thực hiện dịch địa chỉ NAT sẽ thay đổi địa chỉ IP của tất cả các thiết bị mạng thành một địa chỉ IP duy nhất nào đó.

NAT thường được cấu hình trên bộ định tuyến đóng vai trò kết nối với Internet trong mạng. Tức là bộ định tuyến Router này có một giao diện trong mạng cục bộ (riêng tư) và một giao diện trong mạng toàn cầu (công cộng).

Khi một thiết bị truyền gói tin đi ra khỏi mạng cục bộ, NAT chuyển đổi địa chỉ IP Private (riêng tư) sang địa chỉ IP Public (công cộng). Ngược lại, khi một gói tin nhập vào mạng cục bộ, địa chỉ IP Public (công cộng) được chuyển đổi sang địa chỉ IP private (riêng tư).

Nếu NAT sử dụng hết các địa chỉ IP trong bộ định tuyến (pool địa chỉ) mà bạn cấu hình, thì các gói tin sẽ bị loại bỏ và một gói tin ICMP host unreachable sẽ được gửi đến đích.

Tại sao cần che dấu số cổng trong NAT?

Giả sử có hai máy A và B trong mạng, cả hai cùng yêu cầu truy cập cùng một đích trên cùng một số cổng, ví dụ số cổng 1000, cùng một thời điểm.

Nếu NAT chỉ thực hiện dịch địa chỉ IP, khi các gói tin của họ đến NAT, địa chỉ IP của cả hai sẽ được che giấu bằng địa chỉ IP công cộng của mạng và gửi đến đích.

Đích sẽ gửi phản hồi đến địa chỉ IP công cộng của bộ định tuyến. Vì vậy, khi nhận được phản hồi, NAT sẽ không biết phản hồi nào thuộc về máy nào (do số cổng nguồn cho cả A và B đều giống nhau). Để tránh vấn đề này, NAT dấu cả số cổng nguồn và tạo một mục trong bảng NAT.

Có các loại dịch địa chỉ mạng NAT nào?

Có 3 cách để định cấu hình NAT hiện nay:

Static NAT

Trong loại NAT này, một địa chỉ IP riêng không đăng ký (Private IP) được ánh xạ với một địa chỉ IP được đăng ký hợp pháp (Public IP), tức là có sự tương ứng một-một giữa địa chỉ cục bộ và địa chỉ toàn cầu.
Loại này thường được sử dụng cho việc lưu trữ trang web (Web hosting).
Static NAT không thường được sử dụng trong tổ chức do có nhiều thiết bị cần truy cập Internet và cung cấp truy cập Internet cần sử dụng địa chỉ IP công cộng.
Điều này dẫn đến tình trạng nếu tổ chức cần 3000 thiết bị truy cập Internet, họ phải mua 3000 địa chỉ IP công cộng, gây chi phí lớn.

Dynamic NAT

Trong loại NAT này, một địa chỉ IP không đăng ký (unregistered IP) sẽ được chuyển đổi thành một địa chỉ IP được đăng ký (Public IP) từ một nhóm địa chỉ IP công cộng.
Nếu địa chỉ IP trong nhóm không còn trống, gói tin sẽ bị loại bỏ, vì chỉ một số lượng cố định địa chỉ IP riêng có thể được chuyển đổi thành địa chỉ IP công cộng.
Điều này có nghĩa, nếu có một nhóm 2 địa chỉ IP công cộng, chỉ có thể chuyển đổi 2 địa chỉ IP riêng vào một thời điểm. Nếu địa chỉ IP riêng thứ 3 muốn truy cập Internet, gói tin sẽ bị loại bỏ.
NAT loại này thường được sử dụng khi số lượng người dùng muốn truy cập Internet là cố định. Cũng tương tự như Static NAT, việc mua nhiều địa chỉ IP toàn cầu để tạo một nhóm là tốn kém.

Port Address Translation (PAT)

Còn được gọi là NAT overload. Trong loại này, nhiều địa chỉ IP cục bộ (private IP) có thể được chuyển đổi thành một địa chỉ IP được đăng ký (Public IP) duy nhất.
Số hiệu cổng (port numbers) được sử dụng để phân biệt các luồng dữ liệu, tức là luồng dữ liệu nào thuộc về địa chỉ IP nào.
Đây là loại NAT thường được sử dụng phổ biến nhất vì có thể kết nối hàng ngàn người dùng tới Internet chỉ bằng một địa chỉ IP toàn cầu.
Loại này tiết kiệm chi phí vì tổ chức chỉ cần một địa chỉ IP công cộng thực tế để cung cấp truy cập Internet cho nhiều người dùng.

Cấu hình NAT từ cơ bản đến nâng cao trên Router Cisco

Dưới đây là một hướng dẫn cấu hình Network Address Translation (NAT) từ cơ bản đến phức tạp trên một bộ định tuyến Cisco. Lưu ý rằng các bước và cú pháp có thể thay đổi tùy theo thiết bị và phiên bản phần mềm.

Cấu hình Basic NAT (Static NAT):

Trong ví dụ này, chúng ta sẽ cấu hình Static NAT để chuyển đổi một địa chỉ IP riêng cụ thể thành một địa chỉ IP công cộng.

1. Đăng nhập vào bộ định tuyến qua giao diện người dùng hoặc dòng lệnh.

2. Chọn chế độ cấu hình. Ví dụ:

configure terminal

3. Cấu hình ánh xạ địa chỉ IP:

ip nat inside source static [inside_local_IP] [outside_global_IP]

Trong đó, [inside_local_IP] là địa chỉ IP riêng trong mạng cục bộ và [outside_global_IP] là địa chỉ IP công cộng muốn ánh xạ.

4. Kích hoạt chức năng NAT trên giao diện mạng bên trong:

interface [inside_interface] ip nat inside

5. Kích hoạt chức năng NAT trên giao diện mạng bên ngoài:

interface [outside_interface] ip nat outside

Trong đó, [outside_interface] là tên của giao diện kết nối với mạng bên ngoài (Internet).

Lưu cấu hình và khởi động lại bộ định tuyến để áp dụng thay đổi.

Cấu hình Dynamic NAT:

Trong ví dụ này, chúng ta sẽ cấu hình Dynamic NAT để ánh xạ các địa chỉ IP riêng thành các địa chỉ IP công cộng từ một nhóm địa chỉ IP công cộng.

1. Thực hiện các bước từ 1 đến 3 như trong cấu hình Basic NAT.

2. Cấu hình NAT pool (nhóm địa chỉ IP công cộng):

ip nat pool [pool_name] [start_IP] [end_IP] netmask [subnet_mask]

Trong đó, [pool_name] là tên của pool, [start_IP] và [end_IP] là địa chỉ IP đầu và cuối của pool, [subnet_mask] là subnet mask của địa chỉ IP công cộng.

3. Cấu hình ánh xạ địa chỉ IP:

ip nat inside source list [ACL_number] pool [pool_name]

Trong đó, [ACL_number] là số của Access Control List (ACL) xác định các địa chỉ IP riêng, [pool_name] là tên của pool NAT.

4. Kích hoạt chức năng NAT trên giao diện mạng bên trong và bên ngoài như trong cấu hình Basic NAT.

Cấu hình Port Address Translation (PAT):

Trong ví dụ này, chúng ta sẽ cấu hình PAT để ánh xạ nhiều địa chỉ IP riêng thành một địa chỉ IP công cộng duy nhất thông qua số hiệu cổng.

1. Thực hiện các bước từ 1 đến 3 như trong cấu hình Basic NAT.

2. Cấu hình ánh xạ địa chỉ IP sử dụng PAT:

ip nat inside source list [ACL_number] interface [outside_interface] overload

Trong đó, [ACL_number] là số của Access Control List (ACL) xác định các địa chỉ IP riêng, [outside_interface] là tên của giao diện kết nối với mạng bên ngoài.

3. Kích hoạt chức năng NAT trên giao diện mạng bên trong như trong cấu hình Basic NAT.

Lưu cấu hình và khởi động lại bộ định tuyến.