Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

NetworkBasic4DEVNET (phần 33)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • NetworkBasic4DEVNET (phần 33)

    Network Address Translation (NAT)

    Network Address Translation (NAT) là một cơ chế được sử dụng để kết nối nhiều thiết bị trên mạng nội bộ, mạng riêng với mạng công cộng như internet, sử dụng một số lượng hạn chế địa chỉ public IPv4. Nó được thiết kế để bảo tồn không gian địa chỉ IPv4, có giới hạn trên do sự sẵn có của các giá trị trong định địa chỉ 32 bit. Mặc dù có hơn một nghìn tỷ địa chỉ IP khả thi, trong hơn 30 năm mà các địa chỉ IPv4 đã được chỉ định, chúng ta đã đạt đến giới hạn đó.
    Không gian địa chỉ IPv4 không đủ lớn để xác định duy nhất tất cả các thiết bị có khả năng kết nối mạng cần kết nối mạng dựa trên IP. Hạn chế này dẫn đến sự phát triển của các địa chỉ tư nhân. Địa chỉ riêng được mô tả trong RFC 1918. Địa chỉ riêng không được định tuyến bởi bộ định tuyến internet và chỉ được sử dụng trong doanh nghiệp. Các thiết bị trong mạng doanh nghiệp phải có cơ chế để "mua" địa chỉ công cộng khi chúng cần truy cập internet và chuyển địa chỉ riêng sang địa chỉ công cộng. Bộ định tuyến Internet định tuyến các địa chỉ công cộng. Cơ chế "mua" địa chỉ công cộng cho một thiết bị có địa chỉ riêng tư cần truy cập internet là NAT. NAT thực hiện các bản dịch. Thông thường, chủ đề của bản dịch là địa chỉ IP, chủ yếu là địa chỉ IPv4 và nó được dịch từ địa chỉ riêng thành địa chỉ công cộng.
    Lưu ý
    Mặc dù bộ giao thức IP version 6 (IPv6) cũng bao gồm các cơ chế NAT (chủ yếu để dịch giữa IPv4 và IPv6), chúng ta sẽ tập trung vào việc sử dụng nó trong ngữ cảnh của IPv4. Trường hợp dịch chỉ xảy ra giữa hai địa chỉ IPv4, NAT còn được gọi là NAT44.
    Để minh họa cách NAT thực hiện các nhiệm vụ của nó, giả sử rằng mạng doanh nghiệp sử dụng lược đồ địa chỉ private IPv4. Quá trình dịch thường xảy ra khi một thiết bị trong mạng doanh nghiệp bắt đầu giao tiếp với một thiết bị trong internet. Ngay trước khi các gói tin xâm nhập vào lĩnh vực internet, một thiết bị ở biên giới giữa mạng doanh nghiệp và internet sẽ dịch hoặc hoán đổi địa chỉ cá nhân với địa chỉ công cộng. Các gói tin đến đích của chúng trong thiết bị đích và cuối cùng, cùng một thiết bị biên giới sẽ nhận được phản hồi. Điều quan trọng cần lưu ý là các phản hồi được gửi đến địa chỉ công cộng và địa chỉ công cộng hiện được ghi trong trường tiêu đề địa chỉ IPv4 đích. Thiết bị biên giới là thiết bị duy nhất biết cách dịch địa chỉ công cộng trở lại địa chỉ cá nhân thích hợp. Bản dịch bây giờ diễn ra theo hướng ngược lại, từ công khai sang tư nhân. Địa chỉ công cộng được dịch ngược trở lại địa chỉ riêng tư trước khi phản hồi được chuyển tiếp đến người khởi xướng giao tiếp. Điểm mấu chốt cần nắm được là dịch địa chỉ, hoặc hoán đổi địa chỉ, xảy ra đối với lưu lượng truy cập theo cả hai hướng, đi và đến.


    Click image for larger version

Name:	network 01.jpg
Views:	24
Size:	15.8 KB
ID:	425172


    Trong môi trường doanh nghiệp, NAT thường được thực hiện trên các thiết bị biên giới như tường lửa hoặc bộ định tuyến. Việc triển khai này cho phép các thiết bị trong mạng doanh nghiệp có địa chỉ riêng để giao tiếp với nhau và chỉ dịch địa chỉ khi chúng cần gửi lưu lượng truy cập đến internet hoặc các mạng bên ngoài nói chung. Khi truy cập internet, thiết bị biên dịch các địa chỉ cá nhân thành các địa chỉ công cộng và giữ một ánh xạ giữa chúng để khớp với lưu lượng truy cập trở lại. Trong môi trường gia đình, thiết bị này có thể là điểm truy cập có khả năng định tuyến hoặc DSL hoặc bộ định tuyến cáp.
    NAT cũng có thể được sử dụng khi có sự chồng chéo về địa chỉ giữa hai mạng riêng. Ví dụ về việc triển khai này là khi hai công ty hợp nhất và cả hai đều sử dụng cùng một dải địa chỉ riêng. Trong trường hợp này, NAT có thể được sử dụng để dịch các địa chỉ riêng tư của một mạng nội bộ sang một phạm vi riêng tư khác, tránh xung đột địa chỉ và cho phép các thiết bị từ một mạng nội bộ này kết nối với các thiết bị trong mạng nội bộ khác. Do đó, NAT không chỉ được thực hiện cho các bản dịch giữa các không gian địa chỉ IPv4 private và public, mà nó cũng có thể được sử dụng cho các bản dịch chung giữa hai không gian địa chỉ IPv4 khác nhau.
    Có thể cấu hình NAT cũng liên quan đến số cổng TCP và UDP. Số cổng có thể được sử dụng để xác định các dịch vụ mạng, vì các dịch vụ mạng sử dụng các giao thức ứng dụng, các giao thức này sử dụng các số cổng khác nhau. Chuyển tiếp cổng sử dụng thuộc tính nhận dạng này của số cổng.
    Chuyển tiếp cổng cho phép người dùng trên internet truy cập các máy chủ nội bộ bằng cách sử dụng địa chỉ công cộng của thiết bị biên giới và một số cổng bên ngoài đã chọn. Nhìn bên ngoài, thiết bị viền dường như đang cung cấp dịch vụ. Các thiết bị bên ngoài không nhận thức được ánh xạ tồn tại giữa thiết bị biên giới và máy chủ bên trong. Bản chất tĩnh của ánh xạ đảm bảo rằng bất kỳ lưu lượng nào nhận được tại cổng được chỉ định sẽ được dịch và sau đó được chuyển tiếp đến máy chủ nội bộ. Các máy chủ nội bộ thường được cấu hình bằng địa chỉ IPv4 riêng RFC 1918.
    Quản trị viên có thể chọn bất kỳ giá trị nào cho số cổng toàn cầu. Ví dụ: thay vì chỉ định cổng 443 cho dịch vụ web, quản trị viên có thể chọn chỉ định 8443. Bằng cách này, nhiều dịch vụ chạy trên các máy chủ thực tế khác nhau có thể được hiển thị thông qua cùng một địa chỉ IP công cộng.


    Click image for larger version

Name:	network 02.jpg
Views:	11
Size:	24.9 KB
ID:	425173


    Hình bên cho thấy một ví dụ về chuyển tiếp cổng trên bộ định tuyến R2. Địa chỉ IPv4 192.168.10.254 là địa chỉ IPv4 cục bộ bên trong của máy chủ web đang lắng nghe trên cổng 443. Người dùng sẽ truy cập máy chủ web nội bộ này bằng địa chỉ IPv4 toàn cầu 209.165.200.226, một địa chỉ IPv4 công cộng duy nhất trên toàn cầu. Trong trường hợp này, nó là địa chỉ của giao diện bên ngoài của R2. Cổng toàn cầu được định cấu hình là 8443. Cổng này sẽ là cổng đích được sử dụng, cùng với địa chỉ IPv4 toàn cầu là 209.165.200.226 để truy cập vào máy chủ web nội bộ.
    NAT có thể được định cấu hình theo những cách sau:
    • Static NAT: Một kiểu dịch hoặc mục nhập trên thiết bị dịch được cấu hình tĩnh và sẽ luôn dịch giữa cùng một địa chỉ trước NAT và sau NAT. Điều này thường được sử dụng cho Máy chủ cung cấp dịch vụ trên mạng công cộng. Ví dụ: Máy chủ Web DMZ có thể truy cập được từ Internet.
    • Dynamic NAT: Một kiểu dịch trong đó địa chỉ Máy khách là địa chỉ NAT trước và được cấp động một địa chỉ từ nhóm địa chỉ được cấu hình trước.
    • PAT: Dịch địa chỉ cổng (PAT) sẽ dịch địa chỉ IP Nguồn của Khách hàng sang một địa chỉ IP duy nhất trên thiết bị ngoại vi. Thường thì địa chỉ này đại diện cho một giao diện hướng ra bên ngoài. Bởi vì các địa chỉ Máy khách được dịch sang cùng một địa chỉ, Cổng cũng được thay đổi để xác định duy nhất phiên của máy khách. Đây là kiểu NAT phổ biến nhất, đôi khi còn được gọi là Địa chỉ mạng và Dịch cổng (NAPT).


Working...
X