CCNA [LAB 02] Tìm hiểu và cấu hình dịch vụ NAT

10n9-Vu

Internship/Fresher
Aug 15, 2024
26
3
3
21
Thủ Đức
10706.jpg

Mục lục:

I. Giới thiệu về NAT

1. NAT là gì
2. Lịch sử và sự phát triển của NAT

II. Phân loại NAT

1. Static NAT
2. Dynamic NAT
3. NAT Overload

III. Cấu hình NAT

1. Cấu hình Static NAT
2. Cấu hình Dynamic NAT
3. Cấu hình NAT Overload

IV. Các Công Cụ và Phần Mềm Hỗ Trợ NAT

1. Router và Thiết Bị Mạng
2. Phần Mềm Quản Lý NAT

V.Tổng kết
Tài liệu tham khảo



I. Giới thiệu về NAT
1. NAT là gì?

NAT (Network Address Translation) là một kỹ thuật được sử dụng trong mạng máy tính để thay đổi thông tin địa chỉ IP trong các gói tin khi chúng đi qua một thiết bị mạng, chẳng hạn như router. NAT cho phép nhiều thiết bị trong một mạng nội bộ (LAN) sử dụng một địa chỉ IP công cộng duy nhất để truy cập Internet.

NAT.png

Ba khía cạnh chính mà NAT đóng vai trò quan trọng là chuyển đổi địa chỉ IP, bảo mật và riêng tư, và tối ưu hóa lưu lượng mạng:
  • Chuyển đổi địa chỉ IP: NAT cho phép nhiều thiết bị trong mạng nội bộ sử dụng một địa chỉ IP công cộng duy nhất để truy cập Internet. Bằng cách chuyển đổi địa chỉ IP nội bộ thành địa chỉ IP công cộng và ngược lại, NAT giúp tiết kiệm không gian địa chỉ IPv4 và cho phép tái sử dụng địa chỉ IP riêng tư trong các mạng khác nhau.
  • Bảo mật và riêng tư: NAT ẩn địa chỉ IP nội bộ khỏi Internet, ngăn chặn truy cập trực tiếp từ bên ngoài và giảm thiểu nguy cơ tấn công. Điều này cung cấp một lớp bảo mật tự nhiên cho mạng nội bộ, bảo vệ các thiết bị nội bộ khỏi các mối đe dọa từ Internet.
  • Tối ưu hóa lưu lượng mạng: NAT giúp cân bằng tải và tối ưu hóa việc sử dụng băng thông bằng cách gom nhiều kết nối vào một địa chỉ IP công cộng duy nhất. NAT cũng giúp duy trì tính liên tục của dịch vụ bằng cách chuyển hướng lưu lượng khi có sự cố mạng.
2. Lịch sử và sự phát triển của NAT

Network Address Translation (NAT) ra đời như một giải pháp nhằm giải quyết vấn đề thiếu hụt địa chỉ IPv4 khi số lượng thiết bị kết nối mạng ngày càng tăng. Sau đây là một cái nhìn tổng quan về lịch sử phát triển của NAT:

Thập niên 1980 - 1990:

  • Khi giao thức IPv4 được thiết kế vào đầu thập niên 1980, không ai lường trước được số lượng thiết bị sẽ kết nối Internet trong tương lai. Với không gian địa chỉ IPv4 chỉ có 32-bit, cho phép khoảng 4,3 tỷ địa chỉ IP công cộng, đã dần trở nên thiếu hụt khi Internet bùng nổ vào những năm 1990.
  • Trong bối cảnh này, các nhà nghiên cứu và kỹ sư mạng bắt đầu tìm kiếm các giải pháp để kéo dài tuổi thọ của IPv4 và giảm bớt áp lực về số lượng địa chỉ công cộng. NAT được phát triển như một giải pháp ngắn hạn nhằm giảm thiểu sự cạn kiệt địa chỉ IP công cộng.

Năm 1994:
  • NAT lần đầu tiên được chuẩn hóa trong RFC 1631, được xuất bản vào tháng 5 năm 1994. Tài liệu này định nghĩa khái niệm và cơ chế hoạt động của NAT, cho phép nhiều thiết bị nội bộ sử dụng một địa chỉ IP công cộng duy nhất khi kết nối Internet.
  • RFC 1631 đã mô tả cách NAT thay đổi các địa chỉ IP trong tiêu đề IP của gói tin khi chúng đi qua thiết bị NAT, cho phép chia sẻ một địa chỉ IP công cộng giữa nhiều thiết bị nội bộ.
Thập niên 1990 - 2000:
  • NAT nhanh chóng được áp dụng rộng rãi trong các môi trường mạng doanh nghiệp và gia đình, nơi việc sở hữu nhiều địa chỉ IP công cộng là không khả thi về mặt chi phí.
  • Sự phát triển của các ứng dụng NAT như Static NAT, Dynamic NAT và đặc biệt là PAT (Port Address Translation) đã giúp NAT trở thành một thành phần cốt lõi trong hầu hết các router và firewall. PAT, hay NAT Overload, cho phép hàng nghìn thiết bị nội bộ chia sẻ một địa chỉ IP công cộng duy nhất, giúp tối ưu hóa việc sử dụng không gian địa chỉ.
Thập niên 2000 - hiện tại:
  • Với sự ra đời của IPv6, cung cấp một không gian địa chỉ lớn hơn rất nhiều (128-bit), NAT không còn là một giải pháp cần thiết về mặt địa chỉ IP trong mạng IPv6. Tuy nhiên, vì việc chuyển đổi sang IPv6 vẫn đang trong quá trình thực hiện và chưa hoàn toàn phổ biến, NAT vẫn tiếp tục được sử dụng rộng rãi trong các mạng IPv4.
  • Trong nhiều môi trường, NAT cũng đóng vai trò quan trọng trong bảo mật mạng bằng cách ẩn cấu trúc mạng nội bộ khỏi Internet.
  • Khi việc triển khai IPv6 trở nên phổ biến hơn, NAT có thể giảm tầm quan trọng, nhưng trong hiện tại và tương lai gần, NAT vẫn là một công cụ quan trọng trong việc quản lý và bảo mật mạng, đặc biệt là trong các môi trường IPv4 và các tình huống yêu cầu sự tương thích ngược với IPv4.

II. Phân loại và Cấu hình NAT
1. Static NAT

Static NAT (NAT tĩnh): là một loại NAT trong đó một địa chỉ IP nội bộ cố định được ánh xạ trực tiếp với một địa chỉ IP công cộng cố định. Khi một thiết bị trong mạng nội bộ gửi hoặc nhận dữ liệu qua Internet, NAT tĩnh sẽ chuyển đổi địa chỉ IP nội bộ thành địa chỉ IP công cộng đã được cấu hình trước và ngược lại.

Đặc điểm chính của Static NAT:

  • Một đối một (One-to-One Mapping): Mỗi địa chỉ IP nội bộ được ánh xạ với một địa chỉ IP công cộng duy nhất. Điều này có nghĩa là nếu bạn có 5 thiết bị cần NAT tĩnh, bạn sẽ cần 5 địa chỉ IP công cộng.
  • Dễ dàng truy cập từ bên ngoài: Bởi vì địa chỉ IP công cộng là cố định và liên kết trực tiếp với một thiết bị nội bộ cụ thể, NAT tĩnh thường được sử dụng cho các máy chủ hoặc thiết bị cần truy cập từ bên ngoài mạng, như web server, email server.
  • Bảo mật hạn chế: So với NAT động, NAT tĩnh không cung cấp cùng mức độ ẩn danh vì địa chỉ IP công cộng luôn cố định và liên kết với một thiết bị cụ thể, dễ bị phát hiện hơn.

Ứng dụng của Static NAT:

  • Cung cấp dịch vụ công cộng: NAT tĩnh thường được sử dụng để định tuyến lưu lượng đến các máy chủ dịch vụ công cộng như web server hoặc FTP server, nơi mà địa chỉ IP công cộng cần phải cố định để người dùng bên ngoài có thể kết nối.
  • Truy cập từ xa: NAT tĩnh cũng hữu ích khi cần truy cập từ xa vào các thiết bị nội bộ, chẳng hạn như camera an ninh hoặc máy chủ quản trị, bằng cách sử dụng địa chỉ IP công cộng đã được ánh xạ.

Hạn chế của Static NAT:

  • Tốn kém địa chỉ IP công cộng: Static NAT yêu cầu một địa chỉ IP công cộng cố định cho mỗi địa chỉ IP nội bộ, dẫn đến việc tiêu tốn nhiều địa chỉ IP công cộng. Điều này có thể trở nên đắt đỏ và không thực tế, đặc biệt trong bối cảnh khan hiếm địa chỉ IPv4.
  • Khả năng mở rộng hạn chế: Do mỗi thiết bị cần một địa chỉ IP công cộng riêng biệt, Static NAT không phù hợp với các mạng lớn có nhiều thiết bị cần truy cập Internet. Khi số lượng thiết bị tăng, nhu cầu về địa chỉ IP công cộng cũng tăng theo, dẫn đến khó khăn trong việc mở rộng mạng.
  • Bảo mật kém hơn: Static NAT không ẩn địa chỉ IP công cộng của thiết bị nội bộ, làm tăng khả năng thiết bị này bị phát hiện và tấn công từ bên ngoài. Điều này tạo ra nguy cơ cao hơn so với các phương pháp NAT khác như Dynamic NAT hoặc PAT (Port Address Translation).
  • Quản lý phức tạp: Khi có nhiều thiết bị cần Static NAT, việc quản lý và cấu hình các ánh xạ IP có thể trở nên phức tạp và tốn nhiều công sức. Mỗi lần có thay đổi trong mạng, như thêm hoặc di chuyển thiết bị, bạn phải cập nhật cấu hình NAT tương ứng.
2. Dynamic NAT

Dynamic NAT là một loại NAT trong đó các địa chỉ IP nội bộ được ánh xạ động với các địa chỉ IP công cộng từ một nhóm địa chỉ có sẵn (pool) khi thiết bị nội bộ cần truy cập Internet. Không giống như Static NAT, Dynamic NAT không gán cố định một địa chỉ IP công cộng cho một địa chỉ IP nội bộ. Thay vào đó, địa chỉ IP công cộng được cấp phát tạm thời từ nhóm địa chỉ có sẵn và có thể thay đổi theo thời gian.

Đặc điểm chính của Dynamic NAT:

  • Nhiều địa chỉ nội bộ đến nhiều địa chỉ công cộng (Many-to-Many Mapping): Một nhóm địa chỉ IP nội bộ có thể được ánh xạ tới một nhóm địa chỉ IP công cộng. Khi một thiết bị nội bộ cần kết nối Internet, Dynamic NAT sẽ chọn một địa chỉ IP công cộng từ nhóm và ánh xạ tạm thời với địa chỉ IP nội bộ đó.
  • Ánh xạ tạm thời: Khi kết nối được thiết lập, ánh xạ địa chỉ IP nội bộ với IP công cộng là tạm thời và sẽ hết hạn sau một khoảng thời gian nhất định hoặc khi kết nối kết thúc.
  • Yêu cầu một nhóm địa chỉ IP công cộng: Dynamic NAT yêu cầu một nhóm địa chỉ IP công cộng có sẵn để phân phối cho các thiết bị nội bộ. Nếu nhóm này cạn kiệt, các kết nối mới sẽ không thể được thiết lập cho đến khi một địa chỉ IP công cộng được giải phóng.

Ứng dụng của Dynamic NAT:

  • Mạng lớn với nhiều thiết bị: Dynamic NAT thường được sử dụng trong các mạng lớn, nơi có nhiều thiết bị cần truy cập Internet, nhưng không phải tất cả đều kết nối cùng lúc. Điều này giúp tiết kiệm địa chỉ IP công cộng vì các địa chỉ này chỉ được cấp phát khi cần thiết.
  • Giảm chi phí địa chỉ IP công cộng: Dynamic NAT giúp tối ưu hóa việc sử dụng địa chỉ IP công cộng, tránh lãng phí tài nguyên bằng cách chỉ sử dụng địa chỉ công cộng khi có kết nối đang hoạt động.

Hạn chế của Dynamic NAT:

  • Không đảm bảo cố định địa chỉ IP công cộng: Một thiết bị nội bộ có thể nhận một địa chỉ IP công cộng khác nhau mỗi khi nó kết nối với Internet. Điều này không phù hợp với các ứng dụng hoặc dịch vụ yêu cầu địa chỉ IP công cộng cố định, như trong Static NAT.
  • Cần một nhóm địa chỉ IP công cộng: Nếu nhóm địa chỉ IP công cộng nhỏ hơn số lượng thiết bị cần kết nối cùng lúc, có thể xảy ra tình trạng không đủ địa chỉ IP để cấp phát, dẫn đến việc kết nối bị từ chối.

3. NAT Overload

NAT Overload, còn được gọi là PAT (Port Address Translation), là một dạng mở rộng của Dynamic NAT, trong đó nhiều địa chỉ IP nội bộ có thể chia sẻ một địa chỉ IP công cộng duy nhất bằng cách sử dụng các số cổng (ports) để phân biệt các kết nối. NAT Overload cho phép hàng trăm, thậm chí hàng ngàn thiết bị trong mạng nội bộ cùng truy cập Internet mà chỉ sử dụng một hoặc một vài địa chỉ IP công cộng.

Đặc điểm chính của NAT Overload:

  • Một địa chỉ IP công cộng nhiều địa chỉ IP nội bộ (Many-to-One Mapping): Nhiều địa chỉ IP nội bộ được ánh xạ đến một địa chỉ IP công cộng duy nhất. NAT Overload phân biệt các kết nối từ các thiết bị khác nhau dựa trên số cổng TCP/UDP.
  • Sử dụng số cổng để phân biệt kết nối: Mỗi kết nối từ một thiết bị nội bộ được NAT Overload gán một số cổng duy nhất trên địa chỉ IP công cộng. Khi các gói tin quay trở lại từ Internet, NAT Overload sử dụng số cổng này để định tuyến gói tin về đúng thiết bị nội bộ.
  • Tiết kiệm địa chỉ IP công cộng: Bằng cách cho phép nhiều thiết bị chia sẻ một địa chỉ IP công cộng, NAT Overload giúp giảm đáng kể nhu cầu về địa chỉ IP công cộng, điều này đặc biệt quan trọng trong bối cảnh không gian địa chỉ IPv4 hạn chế.

Ứng dụng của NAT Overload:

  • Mạng gia đình và doanh nghiệp nhỏ: NAT Overload thường được sử dụng trong các bộ định tuyến (router) tại các hộ gia đình hoặc doanh nghiệp nhỏ, nơi có nhiều thiết bị cần truy cập Internet nhưng chỉ có một địa chỉ IP công cộng được cung cấp bởi ISP (nhà cung cấp dịch vụ Internet).
  • Quản lý tài nguyên IP công cộng: Các tổ chức lớn hoặc các nhà cung cấp dịch vụ cũng có thể sử dụng NAT Overload để quản lý hiệu quả các địa chỉ IP công cộng của họ, cho phép nhiều khách hàng hoặc người dùng nội bộ truy cập Internet mà không cần cung cấp địa chỉ IP công cộng riêng cho từng người.

Hạn chế của NAT Overload:

  • Giới hạn số lượng kết nối: Mỗi địa chỉ IP công cộng chỉ có thể có khoảng 65.536 số cổng (port numbers). Nếu có quá nhiều thiết bị hoặc kết nối đồng thời, có thể xảy ra tình trạng hết số cổng khả dụng, gây ra sự cố trong việc thiết lập kết nối mới.
  • Khả năng theo dõi và phân tích hạn chế: Vì tất cả các thiết bị nội bộ chia sẻ một địa chỉ IP công cộng, việc theo dõi và phân tích lưu lượng mạng từ bên ngoài có thể trở nên khó khăn, làm phức tạp việc xử lý các sự cố bảo mật hoặc giám sát lưu lượng mạng.
  • Không hỗ trợ một số ứng dụng: Một số ứng dụng hoặc giao thức có thể gặp vấn đề khi hoạt động qua NAT Overload, đặc biệt là những ứng dụng yêu cầu các kết nối đến từ cùng một số cổng, hoặc yêu cầu truy cập trực tiếp vào địa chỉ IP công cộng mà không thông qua NAT.
III. Cách cấu hình NAT
1. Cấu hình Static NAT

1723967244194.png

Thiết lập mối quan hệ chuyển đổi Local IP và Global IP:

ip nat inside source static [local ip] [global ip]

Xác định cổng kết nối với mạng local:

interface GigabitEthernet0/1
ip address local_ip subnet_mask
ip nat inside

Xác định cổng kết nối với mạng global:

interface GigabitEthernet0/2
ip address global_ip subnet_mask
ip nat outside

2. Cấu hình Dynamic NAT

1723968537454.png

Xác định địa chỉ IP Public:

ip nat pool [name pool] [name start ip] [name end ip] netmask [subnetmask]

Thiết lập ACL để tạo danh sách các địa chỉ Private được phép chuyển đổi IP:

access-list <ACL-number> permit <source> <wildcard>

Thiết lập mối quan hệ giữa địa chỉ nguồn và địa chỉ IP bên ngoài:

ip nat inside source list <acl-number> pool <name pool>

Xác định cổng kết nối với mạng cục bộ:

interface GigabitEthernet0/1
ip address local_ip subnet_mask
ip nat inside

Xác định cổng kết nối với mạng bên ngoài:

interface GigabitEthernet0/2
ip address global_ip subnet_mask
ip nat outside

3. Cấu hình NAT Overload

1723969384061.png

Xác định địa chỉ IP public và global interface:

interface GigabitEthernet0/1
ip address global_ip subnet_mask
ip nat outside

Xác định địa chỉ IP mạng nội bộ cần ánh xạ bên ngoài:

access-list <ACL-number> permit <source> <wildcard>

Cấu hình để chuyển IP đến cổng kết nối bên ngoài:

ip nat inside source list <ACL-number> interface <interface> overload

Xác định local interface:

interface GigabitEthernet0/2
ip address 192.168.1.1 255.255.255.0
ip nat inside

IV. Các Công Cụ và Phần Mềm Hỗ Trợ NAT
1. Router và Thiết Bị Mạng

Router Hiện Đại
  • Cisco: Các router Cisco như Cisco ISR (Integrated Services Routers) hỗ trợ nhiều loại NAT (Static, Dynamic, PAT) và có tính năng bảo mật tích hợp cao như VPN, tường lửa và IDS/IPS.
  • Juniper: Router từ Juniper, như Juniper MX Series, cung cấp các tính năng NAT cùng với khả năng mở rộng cao và bảo mật mạng nâng cao.
  • TP-Link: Router TP-Link, như TP-Link Archer và TP-Link Omada, hỗ trợ NAT cơ bản và thường tích hợp các tính năng bảo mật như tường lửa và kiểm soát truy cập.
  • Netgear: Các router của Netgear, như Netgear Nighthawk và Orbi, cung cấp hỗ trợ NAT cùng với các tính năng bảo mật và hiệu suất mạng cao.
Thiết Bị Tường Lửa (Firewall)
  • Fortinet: Thiết bị tường lửa FortiGate tích hợp NAT và các tính năng bảo mật nâng cao như chống virus, IDS/IPS, và VPN.
  • Palo Alto Networks: Các thiết bị tường lửa của Palo Alto Networks hỗ trợ NAT và cung cấp khả năng bảo vệ mạng với các tính năng như ứng dụng kiểm soát và phân tích mối đe dọa.
  • Check Point: Thiết bị tường lửa Check Point cung cấp các giải pháp NAT cùng với các tính năng bảo mật toàn diện như chống malware, kiểm soát ứng dụng và bảo vệ nội dung.
2. Phần Mềm Quản Lý NAT

pfSense
  • pfSense là một hệ điều hành mã nguồn mở được sử dụng làm tường lửa và router. Nó cung cấp các tính năng NAT mạnh mẽ cùng với tường lửa, VPN, và các công cụ bảo mật khác. Phiên bản mới nhất của pfSense đã cải thiện hiệu suất và khả năng bảo mật, đồng thời hỗ trợ các tính năng quản lý nâng cao như giám sát và báo cáo.
Cisco Packet Tracer
  • Cisco Packet Tracer là công cụ mô phỏng mạng của Cisco cho phép người dùng thực hành cấu hình NAT trên các thiết bị ảo. Phiên bản mới nhất cải thiện giao diện người dùng và hỗ trợ nhiều tính năng hơn, giúp mô phỏng và kiểm tra các tình huống NAT trong môi trường ảo.
GNS3
  • GNS3 (Graphical Network Simulator-3) là phần mềm mô phỏng mạng cho phép người dùng cấu hình NAT trên các thiết bị ảo. GNS3 hỗ trợ nhiều thiết bị và giao thức, giúp mô phỏng các mạng phức tạp và kiểm tra các cấu hình NAT trong môi trường mô phỏng.

V. Tổng kết

Tầm Quan Trọng của NAT Trong Mạng Hiện Đại

  • Tiết Kiệm Địa Chỉ IP: NAT cho phép nhiều thiết bị trong mạng nội bộ chia sẻ một địa chỉ IP công cộng, giảm nhu cầu về địa chỉ IP công cộng và giúp tiết kiệm tài nguyên địa chỉ IP.
  • Bảo Mật: NAT ẩn địa chỉ IP nội bộ khỏi Internet, giúp bảo vệ mạng nội bộ khỏi các mối đe dọa bên ngoài.
  • Quản Lý Lưu Lượng: NAT hỗ trợ các chức năng như Port Address Translation (PAT), cho phép quản lý và kiểm soát lưu lượng mạng hiệu quả hơn.

Cấu Hình Dịch Vụ NAT

  • Static NAT: Ánh xạ một địa chỉ IP nội bộ cố định với một địa chỉ IP công cộng cố định. Thích hợp cho các dịch vụ cần truy cập từ bên ngoài.
  • Dynamic NAT: Ánh xạ nhiều địa chỉ IP nội bộ đến một nhóm địa chỉ IP công cộng. Thích hợp cho các mạng có nhiều thiết bị nhưng cần ít địa chỉ IP công cộng.
  • NAT Overload (PAT): Nhiều địa chỉ IP nội bộ chia sẻ một địa chỉ IP công cộng bằng cách sử dụng số cổng để phân biệt các kết nối. Thích hợp cho mạng với nhiều thiết bị cần truy cập Internet.

Tương Lai của NAT

  • IPv6 và NAT: Với sự chuyển đổi sang IPv6, nhu cầu về NAT có thể giảm do IPv6 cung cấp không gian địa chỉ rộng lớn. Tuy nhiên, NAT vẫn có vai trò trong bảo mật và quản lý lưu lượng.
  • NAT Traversal: Các công nghệ như NAT traversal đang được phát triển để giải quyết các vấn đề khi ứng dụng cần giao tiếp trực tiếp qua NAT.
  • Tích Hợp và Tự Động Hóa: Các thiết bị mạng và phần mềm quản lý đang tích hợp các tính năng NAT với bảo mật và quản lý mạng tự động, cải thiện hiệu suất và giảm thiểu các vấn đề cấu hình.


Tài liệu tham khảo

What is NAT?
Config NAT
 
Last edited:
  • Like
Reactions: dino-2003

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu