NAT

Tháng Hai 25, 2022
 |  Không có bình luận

NAT là gì?

NAT –  Network Address Translation. Đó là một cách để ánh xạ nhiều địa chỉ cá nhân cục bộ thành một địa chỉ công khai trước khi chuyển thông tin. Các tổ chức muốn nhiều thiết bị sử dụng một địa chỉ IP duy nhất nên sử dụng NAT, cũng như hầu hết các bộ định tuyến gia đình.

NAT hoạt động như thế nào?

Giả sử rằng có một máy tính xách tay được kết nối với một bộ định tuyến gia đình. Ai đó sử dụng máy tính xách tay để tìm kiếm chỉ đường đến nhà hàng yêu thích của họ. Máy tính xách tay gửi yêu cầu này trong một gói đến bộ định tuyến, bộ định tuyến sẽ chuyển yêu cầu này cùng với web. Nhưng trước tiên, bộ định tuyến thay đổi địa chỉ IP gửi đi từ địa chỉ cục bộ riêng thành địa chỉ công cộng.

Nếu gói tin giữ một địa chỉ riêng tư, máy chủ nhận sẽ không biết nơi gửi thông tin trở lại – điều này giống như gửi thư vật lý và yêu cầu dịch vụ trả lại nhưng cung cấp một địa chỉ trả lại ẩn danh. Bằng cách sử dụng NAT, thông tin sẽ được đưa trở lại máy tính xách tay bằng địa chỉ công cộng của bộ định tuyến, không phải địa chỉ riêng của máy tính xách tay.

Mục đích của NAT

Để giao tiếp với internet, một hệ thống mạng yêu cầu một địa chỉ IP duy nhất. Số 32-bit này xác định và định vị thiết bị mạng để người dùng có thể giao tiếp với nó.

Sơ đồ địa chỉ IPV4 của những thập kỷ trước về mặt kỹ thuật đã tạo ra hàng tỷ địa chỉ duy nhất này khả dụng, nhưng không phải tất cả đều có thể được gán cho các thiết bị để giao tiếp. Thay vào đó, một số được miễn trừ và được sử dụng để thử nghiệm, phát sóng và một số mục đích quân sự dành riêng. Trong khi con số đó còn lại hơn 3 tỷ để liên lạc, sự phát triển của Internet đã đồng nghĩa với việc các địa chỉ gần cạn kiệt.

Sơ đồ đánh địa chỉ IPv6 được giới thiệu là giải pháp cho điểm yếu này trong sơ đồ đánh địa chỉ IPv4. IPv6 tái tạo hệ thống địa chỉ để có nhiều tùy chọn hơn để phân bổ địa chỉ, nhưng phải mất vài năm để thay đổi cơ sở hạ tầng hệ thống mạng và triển khai. NAT đã được Cisco giới thiệu trong thời gian này và được triển khai rộng rãi.

Ví dụ về NAT

Như một ví dụ về dịch địa chỉ mạng NAT, một máy chủ bên trong có thể muốn giao tiếp với một địa chỉ máy chủ web dịch địa chỉ mạng đích ở thế giới bên ngoài. Để liên lạc thêm, nó sẽ gửi một gói dữ liệu đến bộ định tuyến cổng NAT của mạng.

Bộ định tuyến cổng NAT xác định xem gói có đáp ứng điều kiện dịch hay không bằng cách tìm hiểu địa chỉ IP nguồn của gói và tra cứu trong bảng. Nó có thể định vị các máy chủ đã được xác thực cho mục đích dịch mạng nội bộ trên danh sách kiểm soát truy cập (ACL), sau đó hoàn tất quá trình dịch, tạo ra địa chỉ IP toàn cầu bên trong từ địa chỉ IP cục bộ bên trong.

Cuối cùng, bộ định tuyến cổng NAT sẽ định tuyến gói tin đến đích sau khi lưu bản dịch trong bảng NAT. Gói hoàn nguyên thành địa chỉ IP chung của bộ định tuyến khi máy chủ web của internet hoàn nguyên theo yêu cầu. Quay lại bảng NAT, bộ định tuyến có thể xác định địa chỉ IP đã dịch nào tương ứng với địa chỉ chung nào, dịch nó sang địa chỉ cục bộ bên trong và gửi gói dữ liệu đến máy chủ lưu trữ theo địa chỉ IP của chúng. Gói dữ liệu bị loại bỏ nếu không tìm thấy kết quả phù hợp.

Cấu hình NAT

Cấu hình NAT truyền thống yêu cầu ít nhất một giao diện trên bộ định tuyến (NAT bên ngoài); một giao diện khác trên bộ định tuyến (NAT bên trong); và một bộ quy tắc được định cấu hình để dịch địa chỉ IP trong tiêu đề gói và có thể cả trọng tải.

Trong ví dụ này về cấu hình NAT như sau. Bất cứ khi nào một thiết bị bên trong có địa chỉ IP chưa đăng ký (bên trong, cục bộ) cần giao tiếp với mạng (bên ngoài, công cộng), bộ định tuyến sẽ dịch các địa chỉ chưa đăng ký đó nằm trên mạng riêng (bên trong) thành địa chỉ IP đã đăng ký.

  • Tổ chức nhận được một loạt các địa chỉ IP đã đăng ký, duy nhất do ISP chỉ định. Danh sách địa chỉ được gán được gọi là địa chỉ toàn cục bên trong.
  • Nhóm chia các địa chỉ riêng tư, chưa đăng ký thành một nhóm nhỏ và một nhóm lớn hơn nhiều. Miền sơ khai sẽ sử dụng nhóm lớn hơn, được gọi là địa chỉ cục bộ bên trong. Các bộ định tuyến NAT sẽ sử dụng nhóm nhỏ, được gọi là địa chỉ cục bộ bên ngoài, để dịch các địa chỉ toàn cầu bên ngoài hoặc địa chỉ IP duy nhất của các thiết bị trên mạng công cộng.
  • Hầu hết các máy tính miền sơ khai giao tiếp với nhau bằng địa chỉ bên trong. Có các địa chỉ toàn cục bên trong cho các máy tính miền sơ khai đó giao tiếp rộng rãi bên ngoài mạng, có nghĩa là chúng không yêu cầu dịch.
  • Tuy nhiên, khi một máy tính miền sơ khai điển hình có địa chỉ cục bộ bên trong cần giao tiếp với bên ngoài mạng, nó sẽ gửi gói tin đến một bộ định tuyến NAT.
  • Bộ định tuyến NAT kiểm tra địa chỉ đích trong bảng định tuyến. Nếu nó có một mục nhập cho địa chỉ đó, bộ định tuyến NAT sẽ dịch gói và nhập hành động đó vào bảng dịch địa chỉ. Bộ định tuyến NAT bỏ gói nếu địa chỉ đích không có trong bảng định tuyến.
  • Bộ định tuyến sẽ gửi gói tin bằng cách sử dụng một địa chỉ toàn cầu bên trong.
  • Một máy tính trong mạng công cộng sẽ gửi một gói đến mạng riêng. Địa chỉ đích của gói là địa chỉ toàn cục bên trong và địa chỉ nguồn của nó là địa chỉ toàn cục bên ngoài.
  • Bộ định tuyến NAT xác nhận rằng địa chỉ đích ánh xạ tới một máy tính miền sơ khai bằng cách kiểm tra bảng dịch địa chỉ.
  • Bộ định tuyến NAT gửi gói tin đến máy tính đích sau khi dịch địa chỉ toàn cục bên trong của gói tin sang địa chỉ cục bộ bên trong.

Quá tải NAT sử dụng ghép kênh, một tính năng ngăn xếp giao thức TCP / IP. Ghép kênh cho phép máy tính duy trì đồng thời nhiều kết nối với (các) máy tính từ xa bằng các cổng khác nhau. Tiêu đề của gói IP chứa:

Địa chỉ nguồn. Địa chỉ IP của máy tính gốc, ví dụ: Cổng
nguồn 123.123.12.1. Số cổng TCP hoặc UDP được chỉ định cho gói này, ví dụ:
Địa chỉ đích cổng 1060. Địa chỉ IP của máy tính nhận, ví dụ: Cổng
đích 52.220.51.237. Số cổng dịch địa chỉ mạng TCP hoặc UDP mà máy tính đích sẽ mở, ví dụ: Cổng 2170

Bốn số này kết hợp lại đại diện cho một kết nối TCP / IP. Các địa chỉ làm rõ hai máy tính ở mỗi đầu và số cổng cung cấp một mã định danh duy nhất cho kết nối giữa hai máy tính. Mặc dù có thể có 65.536 giá trị ở đây vì mỗi số cổng sử dụng 16 bit, các cổng khác nhau được ánh xạ theo những cách hơi khác nhau, vì vậy khoảng 4.000 cổng khả dụng là thực tế.

Các loại NAT

Có ba loại NAT khác nhau. Mọi người sử dụng chúng vì những lý do khác nhau, nhưng tất cả chúng vẫn hoạt động như một NAT.

1. NAT tĩnh – Static NAT

Khi địa chỉ cục bộ được chuyển đổi thành địa chỉ công khai, NAT này sẽ chọn địa chỉ tương tự. Điều này có nghĩa là sẽ có một địa chỉ IP công cộng nhất quán được liên kết với bộ định tuyến hoặc thiết bị NAT đó.

2. NAT động – Dynamic NAT

Thay vì chọn cùng một địa chỉ IP mọi lúc, NAT này đi qua một nhóm các địa chỉ IP công cộng. Điều này dẫn đến việc bộ định tuyến hoặc thiết bị NAT nhận được một địa chỉ khác nhau mỗi khi bộ định tuyến dịch địa chỉ cục bộ thành địa chỉ công cộng.

3. PAT – Port Address Translation

PAT là một loại NAT động, nhưng nó kết hợp một số địa chỉ IP cục bộ thành một địa chỉ công cộng duy nhất. Các tổ chức muốn tất cả hoạt động của nhân viên sử dụng một địa chỉ IP duy nhất thì sử dụng PAT, thường dưới sự giám sát của quản trị viên mạng .

Tại sao sử dụng NAT?

Bảo tồn IP

Địa chỉ IP xác định từng thiết bị được kết nối với internet. Phiên bản IP 4 (IPv4) hiện có sử dụng địa chỉ IP được đánh số 32-bit, cho phép 4 tỷ địa chỉ IP khả dụng, dường như là quá đủ khi nó ra mắt vào những năm 1970.

Tuy nhiên, Internet đã bùng nổ và trong khi không phải tất cả 7 tỷ người trên hành tinh này đều truy cập Internet thường xuyên, những người thường có nhiều thiết bị được kết nối: điện thoại, máy tính để bàn cá nhân, máy tính xách tay, máy tính bảng, TV, thậm chí cả tủ lạnh.

Do đó, số lượng thiết bị truy cập internet vượt xa số lượng địa chỉ IP hiện có. Định tuyến tất cả các thiết bị này thông qua một kết nối bằng NAT giúp hợp nhất nhiều địa chỉ IP riêng thành một địa chỉ IP công cộng. Điều này giúp giữ được nhiều địa chỉ IP công cộng hơn ngay cả khi các địa chỉ IP riêng ngày càng phát triển.

Vào ngày 6 tháng 6 năm 2012, IP phiên bản 6 (IPv6) chính thức ra mắt để đáp ứng nhu cầu sử dụng nhiều địa chỉ IP hơn. IPv6 sử dụng địa chỉ IP được đánh số 128 bit, cho phép các địa chỉ IP tiềm năng hơn theo cấp số nhân . Sẽ mất nhiều năm trước khi quá trình này kết thúc; vì vậy cho đến lúc đó, NAT sẽ là một công cụ có giá trị

NAT Security

Ngoài ra, NAT có thể cung cấp bảo mật và quyền riêng tư. Bởi vì NAT chuyển các gói dữ liệu từ địa chỉ công cộng sang địa chỉ riêng tư, nó cũng ngăn không cho bất kỳ thứ gì khác truy cập vào thiết bị riêng. Bộ định tuyến sắp xếp dữ liệu để đảm bảo mọi thứ đến đúng vị trí, khiến dữ liệu không mong muốn khó bị lấy đi hơn. Nó không phải là tuyệt đối, nhưng nó thường hoạt động như một phương tiện bảo vệ đầu tiên cho thiết bị của bạn. Nếu một tổ chức muốn bảo vệ dữ liệu của mình, họ sẽ cần phải đi xa hơn là chỉ có tường lửa NAT – họ sẽ muốn thuê một chuyên gia an ninh mạng .

NAT cũng cho phép bạn hiển thị địa chỉ IP công cộng khi ở trên mạng cục bộ, giúp bảo mật dữ liệu và lịch sử người dùng.

Ưu điểm của NAT

  • NAT bảo tồn các địa chỉ IP đã đăng ký hợp pháp.
  • Nó cung cấp sự riêng tư vì địa chỉ IP của thiết bị, gửi và nhận lưu lượng truy cập, sẽ bị ẩn.
  • Loại bỏ việc đánh số lại địa chỉ khi mạng phát triển.

Nhược điểm của NAT

  • Quá trình dịch dẫn đến sự chậm trễ chuyển đổi đường dẫn.
  •  Một số ứng dụng sẽ không hoạt động khi NAT được bật.
  • Làm phức tạp các giao thức đường hầm như IPsec.
  • Ngoài ra, bộ định tuyến là một thiết bị lớp mạng, không nên giả mạo số cổng (lớp truyền tải) nhưng nó phải làm như vậy vì NAT.