NAT là gì và ứng dụng của NAT

Hiện nay đối với một số hệ thống mạng nội bộ cần truy cập dịch vụ server, phần mềm, camera,..từ xa thông qua IP tĩnh mà không có kết nối VPN thì thông thường sẽ sử dụng NAT.

Vật NAT là gì và ứng dụng, đặc điểm, phân loại, các ưu điểm và nhược điểm của NAT thế nào sau đây hãy cùng chúng tôi tìm hiểu nhé.

NAT là gì?

Nat (Network Address Translation) là một kỹ thuật cho phép chuyển đổi từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường, NAT được dùng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy cập đến mạng công cộng (Internet). Vị trí thực hiện NAT là router biên kết nối giữa hai mạng.

Ưu điểm NAT

  • Tiết kiệm địa chỉ IPv4: Lượng người dùng truy cập internet ngày càng tăng cao. Điều này dẫn đến nguy cơ thiếu hụt địa chỉ IPv4. Kỹ thuật NAT sẽ giúp giảm thiểu được số lượng địa chỉ IP cần sử dụng.
  • Giúp che giấu IP bên trong mạng LAN.
  • NAT có thể chia sẻ kết nối internet cho nhiều máy tính, thiết bị di động khác nhau trong mạng LAN chỉ với một địa chỉ IP public duy nhất.
  • NAT giúp nhà quản trị mạng lọc được các gói tin đến và xét duyệt quyền truy cập của IP public đến 1 port bất kỳ.

Nhược điểm NAT

  • Khi dùng kỹ thuật NAT, CPU sẽ phải kiểm tra và tốn thời gian để thay đổi địa chỉ IP. Điều này làm tăng độ trễ trong quá trình switching. Làm ảnh hưởng đến tốc độ đường truyền của mạng internet.
  • NAT có khả năng che giấu địa chỉ IP trong mạng LAN nên kỹ thuật viên sẽ gặp khó khăn khi cần kiểm tra nguồn gốc IP hoặc truy tìm dấu vết của gói tin.
  • NAT giấu địa chỉ IP nên sẽ khiến cho 1 vài ứng dụng cần sử dụng IP không thể hoạt động được.

Một số thuật ngữ

Địa chỉ private:

  • Địa chỉ private được định nghĩa trong RFC 1918 các dải 10.0.0.0 – 10.255.255.255; 172.16.0.0 – 172.31.255.255 và 192.168.0.0 – 192.168.255.255
  • Địa chỉ IP private sử dụng trong mạng LAN và đối với các hệ thống mạng thông thường sẽ là dải của modem, router cấp phát mà chúng ta hay gặp như 192.168.1.x hay các dải khác tương tự ở trên.

Địa chỉ public:

  • Là các địa chỉ còn lại. Các địa chỉ public là các địa chỉ được cung cấp bởi các tổ chức có thẩm quyền.

Địa chỉ insite, outsite

  • Địa chỉ inside local: là địa chỉ IP gán cho một thiết bị ở mạng bên trong.
  • Địa chỉ inside global: là địa chỉ đã được đăng ký với NIC, dùng để thay thế một hay nhiều địa chỉ IP inside local.
  • Địa chỉ outside local: là địa chỉ IP của một thiết bị bên ngoài khi nó xuất hiện bên trong mạng. Địa chỉ này không nhất thiết là địa chỉ được đăng ký, nó được lấy từ không gian địa chỉ bên trong.
  • Địa chỉ outside global: là địa chỉ IP gán cho một thiết bị ở mạng bên ngoài. Địa chỉ này được lấy từ địa chỉ có thể dùng để định tuyến toàn cầu từ không gian địa chỉ mạng.

Static NAT

Static NAT được dùng để chuyển đổi một địa chỉ IP này sang một địa chỉ khác một cách cố định, thông thường là từ một địa chỉ cục bộ sang một địa chỉ công cộng và quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ ánh xạ chỉ định rõ ràng tương ứng duy nhất.

Static NAT rất hữu ích trong trường hợp những thiết bị cần phải có địa chỉ cố định để có thể truy cập từ bên ngoài Internet. Những thiết bị này phổ biến là những Server như Web, Mail,…

Dynamic NAT

Dynamic NAT được dùng để ánh xạ một địa chỉ IP này sang một địa chỉ khác một cách tự động, thông thường là ánh xạ từ một địa chỉ cục bộ sang một địa chỉ được đăng ký. Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định trước đều có thể được gán một thiết bị bên trong mạng.

NAT Overload

Nat Overload là một dạng của Dynamic NAT, nó thực hiện ánh xạ nhiều địa chỉ IP thành một địa chỉ (many – to – one) và sử dụng các địa chỉ số cổng khác nhau để phân biệt cho từng chuyển đổi. NAT Overload còn có tên gọi là PAT (Port Address Translation).

Chỉ số cổng được mã hóa 16 bit, do đó có tới 65536 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng.

Hướng dẫn cấu hình NAT router Mikrotik

NAT (Network Address Translation) là kỹ thuật cho phép một hay nhiều địa chỉ IP nội bộ được ánh xạ với một hay nhiều địa chỉ IP mạng ngoài. Các địa chỉ IP nội bộ có thể chạy các dịch vụ như web, mail hay đầu ghi lưu trữ camera,… hoặc chỉ đơn giản sử dụng Internet bình thường. NAT được thực hiện ở router biên, nơi kết nối giữa mạng LAN nội bộ và mạng Internet. Viettelco sau đây giới thiệu cách cấu hình NAT router Mikrotik.

NAT router Mikrotik

NAT giúp tiết kiệm được địa chỉ IP public IPv4 (với tổng địa chỉ khả dụng là hơn 4 tỉ) nhờ cơ chế xử lý của mình. Với NAT, hàng chục đến hàng trăm người dùng trong mạng có thể dùng “chung” một địa chỉ IP public.

 

Với router Mikrotik, ta cần quan tâm đến các hình thức NAT đó là NAT port, Hairpin NAT và NAT ra Internet.

NAT để truy cập Internet

Hay còn gọi là Source NAT, có nghĩa là đổi địa chỉ nguồn từ local thành địa chỉ trên cổng WAN để đi ra ngoài Internet. Hình thức NAT phổ biến và đơn giản nhất là NAT động masquerade. Gói tin sẽ được đổi địa chỉ nguồn và router sẽ đánh port nguồn ra ngoài theo một cổng “mặt nạ” nào đó mà router chưa được dùng đến. Khi gói tin đi vào thì router cũng sẽ theo cổng này để đưa đúng gói tin trở lại IP local như cũ.

 

Ta truy cập vào IP → Firewall → NAT, ở tab General Nhập Chain là srcnat, Out. Interface là cổng muốn NAT đi ra ngoài Internet (cổng WAN). Nếu cổng WAN quay số PPPoE thì ta chọn tên interface PPPoE tương ứng (ví dụ: pppoe-out1), nếu không chọn luôn tên interface (ví dụ: eth1):

 

Thêm rule NAT.

 

Chuyển sang tab Action chọn masquerade và nhấn OK để kết thúc:

 

Chọn Action masquerade.

 

NAT port

NAT port là hình thức phổ biến để truy cập dịch vụ nội bộ từ bên ngoài Internet qua địa chỉ IP Public. Ta cần xác định địa chỉ IP public cần NAT trên cổng WAN, Địa chỉ IP local và port/protocol cần để NAT.

 

Giả sử cần NAT camera IP có địa chỉ là 192.168.68.22, port là 8022 để có thể xem được từ bên ngoài Internet. Ta vào IP → Firewall → NAT và thêm một rule NAT. Với Dst. Address là địa chỉ IP tĩnh của đường WAN, Protocol chọn 6 (tcp), Dst. Port điền port cần NAT. Trong trường hợp không có IP tĩnh có thể tham khảo cấu hình DDNS trong phần IP → Cloud.

 

NAT port cho camera IP.

 

Sau đó trong tab Action, phần Action chọn dst-nat, To Addresses chọn IP local cần NAT. Điền port cần NAT vào ô To Ports và nhấn OK để kết thúc:

 

Điền IP local cần NAT.

 

Kiểm tra từ tool trên Internet thấy port 8022 đã được mở:

 

Port 8022 đã được mở.

 

Hairpin NAT

Hairpin NAT là hình thức NAT từ bên trong local đến IP public trên WAN. Thường thì trong local ta có thể truy cập trực tiếp tới local luôn, hoặc từ ngoài vào mới phải NAT. Nhưng có trường hợp do firewall chặn local hoặc thiết bị đã NAT từ ngoài vào mà đang ở gần router hoặc người dùng đi đến nơi làm việc có cùng mạng.

 

Ví dụ, trong LAN có nhiều camera IP cần NAT ra ngoài Internet để xem trực tiếp. Nhưng một vài camera không thể xem được dù đã NAT đúng các bước. Khi đó ta cần nghĩ đến phương án Hairpin NAT.

 

Ngoài phần cấu hình NAT port router Mikrotik thông thường ra, ta cần thêm vào rule Hairpin NAT để có thể sử dụng được dịch vụ như bình thường. Truy cập IP → Firewall → NAT, thêm rule NAT như sau:

 

Hairpin NAT.

 

Với Src. Address là dải IP local cần truy cập dịch vụ, Dst. Address và Dst. Port là địa chỉ IP và port cần NAT, Out. Interface chọn bridge tương ứng. Chuyển sang tab Action chọn masquerade, nhấn OK để kết thúc.