Professional Documents
Culture Documents
(Phần 1)
Như ta đã biết ở bài Địa chỉ Ipv4, ta đã biết được Ipv4 gồm 32 bit, như vậy không gian IP có thể có là:
(32 bit tức gần 4.3 billion (232 hay 4,294,967,296 địa chỉ).
Tham khảo thêm:
Và ngược lại thì IP Public thì tồn tại trên Internet nhờ việc chúng ta đã đăng ký với nhà cung cấp dịch vụ
ISP.
Vì không tồn tại trên Internet nên các admin trong các mạng LAN có thể dùng lại các IP private cho mạng
của cơ quan, tổ chức
Máy tính chỉ ra ngoài internet được khi nó có địa chỉ public vì địa chỉ public là duy nhất, do vậy cần phải
có một kỹ thuật để chuyển đổi các IP private trong mạng LAN thành IP public để ra ngoài internet và
ngược lại để các máy Internet có thể gửi trả dữ liệu cho các máy trong LAN à NAT(Network Address
Translation) ra đời để giải quyết vấn để này.
(Hình 1: Cấu trúc Packet IPv4)
Sau đây là hình ảnh minh họa Packet đã lược bỏ các trường khác
(Hình 2: Minh họa quá trình cuyển IP private ra IP Public và ngược lại)
• Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin bị loạI bỏ. Nếu có một hàng tìm thấy
trong bảng NAT, NAT sẽ thay thế địa chỉ đích bằng địa chỉ inside local từ bảng NAT.
• Router tìm kiếm bảng NAT để tìm ra địa chỉ outside global bằng với địa chỉ nguồn của gói tin. Nếu có
một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng địa chỉ outside local từ bảng NAT. Nếu NAT
không tìm thấy một hàng nào, nó sẽ tạo ra một hàng mới trong bảng NAT và cũng thực hiện như ở bước
2
3. Lợi ích của NAT
Giảm thiếu hụt địa chỉ của IPv4
NAT che giấu IP bên trong LAN.
Có 03 phương án NAT
Host A sử dụng 1 địa chỉ dành riêng 192.168.2.23, host B sử dụng 1 địa chỉ công cộng 192.31.7.130. Khi
Host A gửi một packet đến host B, backet sẽ được truyền qua router và router thực hiên qúa trình NAT.
NAT sẽ thay thế địa chỉ nguồn private ip address (192.168.2.23) thành một public IP address
(203.10.5.23) và forwards the packet., với địa chỉ này packet sẽ được định tuyến trên internet tới
destination address (192.31.7.130). Khi host B gửi gói tin hồi đáp tới host A, destination address của gói
tin sẽ là 203.10.5.23. gói tin này đi qua router và sẽ được NAT thành địa chỉ 192.168.2.23
Các gói tin bắt nguồn từ phần mạng “inside” sẽ có địa chỉ source IP là địa chỉ kiểu “inside local” và
destination IP là “ouside local” khi nó còn ở trong phần mạng “inside”. Cũng gói tin đó, khi được chuyển
ra mạng “outside” source IP address sẽ được chuyển thành “inside global address” và địa destination IP
của gói tin sẽ là “outside global address”.
Ngược lại, khi một gói tin bắt nguồn từ một mạng “outside”, khi nó còn đang ở mạng “outside” đó, địa chỉ
source IP của nó sẽ là “outside global address”, địa chỉ destination IP sẽ là “inside global address”. Cũng
gói tin đó khi được chuyển vào mạng “inside”, địa chỉ source sẽ là “outside local address” và địa chỉ
destination của gói tin sẽ là “inside local address”.
Ví dụ: chuyển đổi một địa chỉ IP riêng 165.10.1.2 255.255.255.0 sang dải địa chỉ IP công cộng từ
169.10.1.50 dến 169.10.1.100. Dùng (Netsim) để cấu hình. Sau khi cấu hình song ta dùng lệnh show ip
nat translations sẽ có kế quả như sau.
Phương án này có nhược điểm là nếu trong LAN có bao nhiêu IP muốn đi ra Internet thì ta phải có từng
đó IP Public để ánh xạ. Do vậy phương án NAT tĩnh chỉ được dúng với các máy chủ thuộc vùng DMZ với
nhiệm vụ Public các Server này lên Internet.
Ví dụ:
Hệ thống LAN trong công ty có 100 IP, nếu muốn 100 IP này truy cập Internet thì theo phương án NAT
tĩnh công ty sẽ phải thuê từ ISP 100 IP Public. Điều này quá tốn kém, giải pháp NAT động cho phép chỉ
cần thuê từ ISP 10 IP Public nếu tại cùng một thời điểm chỉ có 10 IP trong LAN truy cập Internet. Tuy
nhiên giải pháp NAT động vẫn có hạn chế vì nếu tại một thời điểm công ty cần 20 IP trong LAN truy cập
Internet thì mười IP truy cập sau sẽ phải đợi đến khi nào có IP rỗi (các IP trước không chiếm dụng IP
Public nữa) thì mới có thể truy cập Internet được. Chính vì thế giải pháp NAT động ít khi được sử dụng.
Ẩn địa chỉ IP trong hệ thống mạng nội bộ trước khi gói tin đi ra Internet giằm giảm thiểu nguy cơ
tấn công trên mạng
Bản chất PAT là kết hợp IP Public và số hiệu cổng (port) trước khi đi ra Internet. Lúc này mỗi IP trong
LAN khi đi ra Internet sẽ được ánh xạ ra một IP Public kết hợp với số hiệu cổng
Ví dụ:
Trong ví dụ trên PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển
đổi. Router thực hiện chuyển đổi địa chỉ ip nguồn từ 10.0.0.4 sang 179.9.8.80. port nguồn 1331. tương tự
ip nguồn từ 10.0.0.2 sang 179.9.8.80. port nguồn là 1555
Giải pháp PAT thực sự tiết kiệm không gian địa chỉ IP vì với mỗi IP Public có thể đại diện cho 65.536 IP
trong LAN theo lý thuyết, tuy nhiên thực tế mỗi IP Public đại diện cho khoảng 4000 IP trong LAN. Đây
cũng là một con số địa chỉ IP khổng lồ thừa sức cung cấp cho bất kỳ một công ty nào lớn nhất thế giới.
Bước 2: Cấu hình Default route cho phép tất cả các máy tính trong LAN có thể Internet qua IP kế tiếp là
200.1.1.1
Bước 3: Cấu hình NAT tĩnh chuyển đổi IP private 192.168.1.2 thành 200.1.1.2 để có thể ra Internet
Bước 4: Ping kiểm tra từ PCO được chuyển đổi NAT ra các Loopback
Bước 5: Hiển thị quá trình chuyển đổi của bảng NAT
Download File Packet tracer
Access list 10 permit 172.16.0.0 0.0.0.255 (mạng LAN dùng ip thuộc dải private)
interface Serial2/0
ip nat outside
2. Trên Router ISP
Khách hàng phải thuê dải IP Public cụ thể là 6 Ip của network 100.1.1.0/255.255.255.248 (tức dùng được
từ 100.1.1.1 tới 100.1.1.6)
Sau khi khách hàng thuê IP public thì ISP có nghĩa vụ phải định tuyến tĩnh tới network này bằng lệnh
static route:
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
duplex auto
speed auto
shutdown
!
interface Serial2/0
ip address 200.1.1.2 255.255.255.252
ip nat outside
4. Kiểm tra