Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

NetworkBasic4DEVNET (phần 34)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • NetworkBasic4DEVNET (phần 34)

    Lợi ích và Hạn chế của NAT

    Dưới đây là những lợi ích của NAT:
    • NAT bảo tồn các địa chỉ public bằng cách cho phép nhiều máy chủ lưu trữ có địa chỉ riêng giao tiếp bằng cách sử dụng một số lượng nhỏ các địa chỉ public hạn chế thay vì có được một địa chỉ public cho mỗi máy chủ cần kết nối với internet. Hiệu quả bảo tồn của NAT rõ rệt nhất với PAT, nơi các máy chủ nội bộ có thể chia sẻ một địa chỉ IPv4 đã đăng ký duy nhất cho tất cả các giao tiếp bên ngoài.
    • NAT tăng tính linh hoạt của các kết nối đến mạng công cộng.
    • NAT cung cấp tính nhất quán cho các lược đồ địa chỉ mạng nội bộ. Khi lược đồ địa chỉ IPv4 công khai thay đổi, NAT loại bỏ nhu cầu đọc địa chỉ tất cả các máy chủ yêu cầu quyền truy cập bên ngoài, tiết kiệm thời gian và tiền bạc. Các thay đổi chỉ được áp dụng cho cấu hình NAT. Do đó, một tổ chức có thể thay đổi ISP và không cần thay đổi bất kỳ khách hàng bên trong nào của nó.
    • NAT có thể được cấu hình để dịch tất cả các địa chỉ riêng thành chỉ một địa chỉ public hoặc một nhóm nhỏ hơn các địa chỉ public. Khi NAT được cấu hình, toàn bộ mạng nội bộ ẩn sau một địa chỉ hoặc một vài địa chỉ. Nhìn bên ngoài, có vẻ như chỉ có một hoặc một số thiết bị giới hạn trong mạng bên trong. Việc ẩn mạng nội bộ này giúp cung cấp bảo mật bổ sung như một lợi ích phụ của NAT.
    Dưới đây là những nhược điểm của NAT:
    • Chức năng end-to-end bị mất. Nhiều ứng dụng phụ thuộc vào thuộc tính end-to-end của giao tiếp dựa trên IPv4. Một số ứng dụng mong đợi các tham số tiêu đề IPv4 chỉ được xác định tại các điểm cuối của giao tiếp. NAT can thiệp bằng cách thay đổi địa chỉ IPv4 và đôi khi là số cổng giao thức truyền tải (PAT) tại các điểm trung gian mạng. Thông tin tiêu đề đã thay đổi có thể chặn các ứng dụng. Ví dụ: các giao thức ứng dụng báo hiệu cuộc gọi bao gồm thông tin về địa chỉ IPv4 của thiết bị trong tiêu đề của nó. Mặc dù thông tin giao thức ứng dụng sẽ được đóng gói trong tiêu đề IPv4 khi dữ liệu được chuyển xuống ngăn xếp Giao thức điều khiển truyền (TCP) / IP, tiêu đề giao thức ứng dụng vẫn bao gồm địa chỉ IPv4 của thiết bị như một phần thông tin riêng của nó. Gói được truyền sẽ bao gồm địa chỉ IPv4 của người gửi hai lần: trong tiêu đề IPv4 và trong tiêu đề ứng dụng. Khi NAT thay đổi địa chỉ IPv4 nguồn (dọc theo đường dẫn của gói tin), nó sẽ chỉ thay đổi địa chỉ trong tiêu đề IPv4. NAT sẽ không thay đổi thông tin địa chỉ IPv4 được bao gồm trong tiêu đề ứng dụng. Ở người nhận, giao thức ứng dụng sẽ chỉ dựa vào thông tin trong tiêu đề ứng dụng. Các tiêu đề khác sẽ bị loại bỏ trong quá trình khử đóng gói. Do đó, giao thức ứng dụng người nhận sẽ không nhận thức được thay đổi mà NAT đã thực hiện và nó sẽ thực hiện các chức năng của mình và tạo các gói phản hồi bằng cách sử dụng thông tin trong tiêu đề ứng dụng. Quá trình này dẫn đến việc tạo ra các phản hồi cho các địa chỉ IPv4 không thể di chuyển và cuối cùng ngăn các cuộc gọi được thiết lập. Bên cạnh các giao thức báo hiệu, một số ứng dụng bảo mật, chẳng hạn như chữ ký số, không thành công do địa chỉ IPv4 nguồn thay đổi. Đôi khi, bạn có thể tránh vấn đề này bằng cách triển khai ánh xạ NAT tĩnh.
    • Khả năng truy xuất nguồn gốc IPv4 đầu cuối cũng bị mất. Việc theo dõi các gói trải qua nhiều lần thay đổi địa chỉ gói qua nhiều bước NAT trở nên khó khăn hơn nhiều, vì vậy việc khắc phục sự cố là một thách thức. Mặt khác, đối với những người dùng độc hại, việc truy tìm hoặc lấy địa chỉ nguồn hoặc đích ban đầu trở nên khó khăn hơn.
    • Việc sử dụng NAT cũng gây khó khăn cho các giao thức đường hầm, chẳng hạn như IP Security (IPsec), vì NAT sửa đổi các giá trị trong tiêu đề. Kiểm tra tính toàn vẹn tuyên bố các gói không hợp lệ nếu có bất kỳ điều gì thay đổi trong chúng dọc theo đường dẫn. Các thay đổi NAT can thiệp vào cơ chế kiểm tra tính toàn vẹn mà IPsec và các giao thức đường hầm khác thực hiện.
    • Các dịch vụ yêu cầu khởi tạo kết nối TCP từ mạng bên ngoài (hoặc các giao thức không trạng thái, chẳng hạn như các giao thức sử dụng User Datagram Protocol [UDP]) có thể bị gián đoạn. Trừ khi bộ định tuyến NAT thực hiện một nỗ lực cụ thể để hỗ trợ các giao thức như vậy, các gói tin gửi đến không thể đến được đích của chúng. Một số giao thức có thể đáp ứng một trường hợp NAT giữa các máy chủ tham gia (ví dụ: FTP chế độ thụ động) nhưng không thành công khi NAT được thực hiện tại nhiều điểm giữa các hệ thống giao tiếp, chẳng hạn như cả trong nguồn và trong mạng đích.
    • NAT có thể làm giảm hiệu suất mạng. Nó làm tăng độ trễ chuyển tiếp vì quá trình dịch từng địa chỉ IPv4 trong tiêu đề gói cần có thời gian. Đối với mỗi gói, bộ định tuyến phải xác định xem nó có được dịch hay không. Nếu quá trình dịch được thực hiện, bộ định tuyến sẽ thay đổi tiêu đề IPv4 và có thể là tiêu đề TCP hoặc UDP. Tất cả các tổng kiểm tra phải được tính toán lại cho các gói để các gói vượt qua kiểm tra tính toàn vẹn tại đích. Quá trình xử lý này tốn nhiều thời gian nhất đối với gói đầu tiên của mỗi ánh xạ được xác định. Sự suy giảm hiệu suất của NAT đặc biệt bất lợi đối với các ứng dụng thời gian thực, chẳng hạn như Thoại qua IP (VoIP).


Working...
X