Tweet
1. NAT là gì?
Network Address Translation (NAT) là kỹ thuật cho phép chuyển đổi địa chỉ IP giữa hai mạng khác nhau khi các gói tin đi qua thiết bị định tuyến (router hoặc firewall). Mục tiêu phổ biến của NAT là cho phép các địa chỉ IP riêng tư (private IP) – không thể định tuyến trên Internet – có thể truy cập được vào Internet thông qua một hoặc nhiều địa chỉ IP công cộng.
📘 NAT được tiêu chuẩn hóa trong RFC 3022, còn các địa chỉ IP riêng tư được định nghĩa trong RFC 1918.
Ưu điểm chính:- Tiết kiệm không gian địa chỉ IPv4 (do IPv4 chỉ có ~4.3 tỷ địa chỉ).
- Cho phép nhiều thiết bị dùng chung một địa chỉ IP công cộng (PAT).
- Ẩn cấu trúc mạng nội bộ, tăng cường khả năng kiểm soát truy cập.
2. Các dải địa chỉ IP riêng tư phổ biến (RFC 1918)
| 10.0.0.0 – 10.255.255.255 | /8 | ~16 triệu |
| 172.16.0.0 – 172.31.255.255 | /12 | ~1 triệu |
| 192.168.0.0 – 192.168.255.255 | /16 | ~65 nghìn |
3. Cấu trúc phòng thí nghiệm mô phỏng
🌐 Mạng bên ngoài (Internet)
- Subnet: 89.212.0.0/16
- Thiết bị đại diện: chuck-pc
- Subnet: 192.168.1.0/24
- Thiết bị đại diện: jack-pc, jack-laptop
- Cisco CSR1000v
- Cấu hình NAT được thực hiện tại thiết bị này
4. NAT trong Cisco IOS – Phân loại và khái niệm
| Static NAT | 1-1 IP mapping | Web server nội bộ cần truy cập từ Internet |
| Dynamic NAT | IP mapping từ pool | Khi không yêu cầu ánh xạ cố định |
| Static PAT (Port Forwarding) | 1 IP – nhiều port cụ thể | Server nội bộ chia sẻ qua các port |
| Dynamic PAT (Overload) | Nhiều IP nội bộ chia sẻ 1 IP công cộng qua nhiều port | Dạng phổ biến nhất trên router doanh nghiệp |
5. Thuật ngữ NAT trong Cisco IOS
| Inside Local | Địa chỉ IP nội bộ nhìn từ phía mạng LAN |
| Inside Global | Địa chỉ IP được gán trên Internet cho thiết bị nội bộ |
| Outside Local | Địa chỉ IP bên ngoài nhìn từ phía nội bộ |
| Outside Global | Địa chỉ IP thực của thiết bị bên ngoài trên Internet |
🧠 Inside và Outside phụ thuộc vào định nghĩa vùng trên router, không phải phụ thuộc vào địa chỉ IP cụ thể.
6. NAT và Bảo mật: Hiểu đúng bản chất
- NAT không phải firewall, không kiểm soát truy cập.
- Tuy nhiên, bản chất "ẩn" IP nội bộ của NAT gây khó khăn cho kẻ tấn công.
- Hầu hết các kết nối từ Internet về sẽ bị từ chối nếu không có session NAT tương ứng (tương tự như behavior của stateful firewall).
7. Hạn chế của NAT
- Bất đối xứng: Giao tiếp hai chiều cần NAT-aware logic.
- Khó khăn khi dùng với một số ứng dụng như VoIP, VPN.
- Gây khó khăn trong việc theo dõi và logging connection gốc, trừ khi kết hợp syslog hoặc NetFlow chuẩn hóa.
8. So sánh NAT IPv4 và IPv6
| Cần thiết? | Rất cần do thiếu địa chỉ | Không cần – IPv6 gần như vô hạn |
| Phổ biến | Rất phổ biến | Hiếm, chỉ dùng NAT64 |
| Bảo mật nội tại | Ẩn danh địa chỉ nội bộ | Không có, cần firewall bảo vệ rõ ràng |
| NAT Overload | Có | Không có (theo chuẩn) |
9. Tổng kết
- NAT là một kỹ thuật trung gian giữa mạng nội bộ và mạng bên ngoài, giúp chuyển đổi địa chỉ IP.
- Cisco hỗ trợ static NAT, dynamic NAT, PAT một cách linh hoạt và bảo mật cao.
- Trong các mô hình doanh nghiệp, NAT thường được kết hợp với các kỹ thuật như ACL, Zone-based Firewall, VPN để tạo thành một perimeter defense toàn diện.
🧪 Trong phần tiếp theo:
Chúng ta sẽ thực hiện cấu hình từng loại NAT trong môi trường CSR1000v, đồng thời kiểm tra các translation entry thông qua lệnh debug và show command.