Tweet
Thấu hiểu bản chất nat và pat – nền tảng đưa lan ra internet
🔥 THẤU HIỂU BẢN CHẤT NAT VÀ PAT – NỀN TẢNG ĐƯA LAN RA INTERNET
Có bao giờ bạn tự hỏi: "Nếu không có NAT (Network Address Translation) hoặc PAT (Port Address Translation), thế giới mạng sẽ ra sao?" Câu trả lời rất phũ phàng: Bạn sẽ không bao giờ có thể lướt Web, xem YouTube, hay thậm chí bạn sẽ là người duy nhất trong ngôi nhà hoặc công ty có cơ hội chạm tay vào dòng chảy Internet!
Hàng ngày, chúng ta gõ những câu lệnh như ip nat inside, ip nat outside hay overload một cách rất thuần thục. Nhưng liệu bạn đã thực sự thấu hiểu "vòng đời" của một gói tin thay da đổi thịt ra sao khi đi qua một thiết bị định tuyến NAT chưa? hôm nay tôi sẽ cùng anh em phân tích tường tận từ gốc rễ đến ngọn của công nghệ sống còn này nhé!
1. NGUYÊN LÝ KHỞI NGUỒN: TẠI SAO PHẢI CẦN ĐẾN NAT?
Để hiểu NAT, tài liệu đưa ra một mô hình mạng tiêu chuẩn gồm ba thành phần:
Bây giờ, chúng ta hãy phân tích luồng đi của gói tin khi chưa cấu hình NAT: Khi máy tính Client gửi một yêu cầu đến Web Server, gói tin IP được khởi tạo với thông tin:
Gói tin này đi qua Router biên và đến được Web Server thành công. Lúc này, để phản hồi dữ liệu, Web Server sẽ tạo ra một gói tin ngược lại với cấu trúc:
Lỗi nghiêm trọng xuất hiện ở đâu? Tài liệu chỉ ra một chi tiết cốt lõi: Địa chỉ 192.168.1.1 là một địa chỉ IP Private (IP tư nhân). Theo quy chuẩn quốc tế (RFC 1918), IP Private chỉ được phép tồn tại và định tuyến trong mạng LAN nội bộ, các Router ngoài Internet hoàn toàn không biết dải IP này là của ai và bắt buộc phải tiêu hủy (drop) gói tin ngay lập tức! Vì vậy, Web Server sẽ không bao giờ có thể gửi dữ liệu phản hồi về cho máy tính được.
Giải pháp cứu cánh: Khi chúng ta bật tính năng NAT trên Router biên, cục diện sẽ thay đổi hoàn toàn. Khi gói tin 192.168.1.1 đi ngang qua Router để ra ngoài, Router sẽ lấy chiếc "mặt nạ" IP Public 4.4.4.4 để che đậy và thay thế hoàn toàn cho IP Private gốc. Lúc này Internet chỉ nhìn thấy IP 4.4.4.4 và thoải mái định tuyến gói tin phản hồi về văn phòng của bạn.
2. PHÂN BIỆT 3 BIẾN THỂ NAT TRONG THỰC TẾ DOANH NGHIỆP
Tùy vào nhu cầu sử dụng và tài nguyên IP Public được cấp, tài liệu phân chia thành 3 cơ chế biên dịch sau: Cơ chế 1: Static NAT (NAT tĩnh - Ánh xạ 1:1)
Đây là giải pháp gán cứng một địa chỉ IP Private cố định với một địa chỉ IP Public duy nhất.
Thay vì gán cứng, Dynamic NAT sử dụng một "bể chứa" (Pool) gồm nhiều địa chỉ IP Public dôi dư. Khi một máy trạm trong LAN muốn ra Internet, Router sẽ cho mượn một IP Public đang rảnh rỗi trong Pool để đi ra ngoài, khi máy trạm dùng xong và ngắt kết nối, IP Public đó sẽ được thu hồi lại vào Pool.
Đây chính là đỉnh cao của công nghệ tiết kiệm IP và được dùng rộng rãi nhất. PAT cho phép hàng trăm, thậm chí hàng ngàn máy tính dùng chung một IP Public duy nhất để ra mạng cùng một lúc dựa vào việc thao túng số hiệu cổng dịch vụ (Port Numbers).
Một thông tin nâng cao vô cùng giá trị ở trang cuối tài liệu mà các kỹ sư mạng thế hệ mới bắt buộc phải biết, đó là khái niệm CGNAT (Carrier Grade NAT).
Hiện nay, do tài nguyên IPv4 Public trên toàn cầu đã cạn kiệt hoàn toàn, các nhà mạng ISP lớn không còn dư dả IP Public để cấp riêng cho từng hộ gia đình hay từng doanh nghiệp nhỏ nữa. Thay vào đó, ISP sẽ áp dụng giải pháp CGNAT. Họ cấp cho Router tại nhà của bạn một địa chỉ IP Private. Sau đó, tại trung tâm điều hành của nhà mạng, họ lại tiếp tục sử dụng hệ thống NAT/PAT quy mô lớn để đưa hàng vạn khách hàng khác nhau núp bóng sau một địa chỉ IP Public duy nhất của ISP để đi ra Internet quốc tế.
Chính vì lý do này, nếu bạn kiểm tra thấy cổng WAN của Router ở nhà nhận một dải IP lạ (như 100.64.0.0/10) mà không thể thực hiện Port Forwarding hay cấu hình Camera, VPN được, thì chắc chắn hệ thống của bạn đã bị nhà mạng đưa vào "vòng vây" của CGNAT rồi!
🌟 LỜI KẾT
Thấu hiểu bản chất của NAT và PAT không chỉ giúp vượt qua các kỳ thi CCNA, CCNP hay CCIE một cách dễ dàng, mà nó còn là vũ khí sắc bén giúp bắt bệnh cực nhanh các sự cố liên quan đến mất kết nối Internet, lỗi bất đối xứng định tuyến (Asymmetric Routing), hay các xung đột an ninh mạng doanh nghiệp.
#VnPro#CCNA#CCNP#CCIE#NAT#PAT#StaticNAT#DynamicNAT#PortAddressTranslation#CGNAT#CiscoIOS#NetworkServices#RoutingAndSwitching
Có bao giờ bạn tự hỏi: "Nếu không có NAT (Network Address Translation) hoặc PAT (Port Address Translation), thế giới mạng sẽ ra sao?" Câu trả lời rất phũ phàng: Bạn sẽ không bao giờ có thể lướt Web, xem YouTube, hay thậm chí bạn sẽ là người duy nhất trong ngôi nhà hoặc công ty có cơ hội chạm tay vào dòng chảy Internet!
Hàng ngày, chúng ta gõ những câu lệnh như ip nat inside, ip nat outside hay overload một cách rất thuần thục. Nhưng liệu bạn đã thực sự thấu hiểu "vòng đời" của một gói tin thay da đổi thịt ra sao khi đi qua một thiết bị định tuyến NAT chưa? hôm nay tôi sẽ cùng anh em phân tích tường tận từ gốc rễ đến ngọn của công nghệ sống còn này nhé!
1. NGUYÊN LÝ KHỞI NGUỒN: TẠI SAO PHẢI CẦN ĐẾN NAT?
Để hiểu NAT, tài liệu đưa ra một mô hình mạng tiêu chuẩn gồm ba thành phần:
- Phía mạng LAN: Một máy tính Client sở hữu địa chỉ IP 192.168.1.1.
- Thiết bị biên: Router NAT kết nối với nhà mạng ISP, cổng hướng ra ngoài được cấp địa chỉ IP Public là 4.4.4.4.
- Phía Internet: Một máy chủ Web Server có địa chỉ IP 1.2.3.4.
Bây giờ, chúng ta hãy phân tích luồng đi của gói tin khi chưa cấu hình NAT: Khi máy tính Client gửi một yêu cầu đến Web Server, gói tin IP được khởi tạo với thông tin:
- Địa chỉ IP nguồn (Source IP): 192.168.1.1 (IP của máy tính).
- Địa chỉ IP đích (Destination IP): 1.2.3.4 (IP của Server).
Gói tin này đi qua Router biên và đến được Web Server thành công. Lúc này, để phản hồi dữ liệu, Web Server sẽ tạo ra một gói tin ngược lại với cấu trúc:
- Địa chỉ IP nguồn (Source IP): 1.2.3.4.
- Địa chỉ IP đích (Destination IP): 192.168.1.1.
Lỗi nghiêm trọng xuất hiện ở đâu? Tài liệu chỉ ra một chi tiết cốt lõi: Địa chỉ 192.168.1.1 là một địa chỉ IP Private (IP tư nhân). Theo quy chuẩn quốc tế (RFC 1918), IP Private chỉ được phép tồn tại và định tuyến trong mạng LAN nội bộ, các Router ngoài Internet hoàn toàn không biết dải IP này là của ai và bắt buộc phải tiêu hủy (drop) gói tin ngay lập tức! Vì vậy, Web Server sẽ không bao giờ có thể gửi dữ liệu phản hồi về cho máy tính được.
Giải pháp cứu cánh: Khi chúng ta bật tính năng NAT trên Router biên, cục diện sẽ thay đổi hoàn toàn. Khi gói tin 192.168.1.1 đi ngang qua Router để ra ngoài, Router sẽ lấy chiếc "mặt nạ" IP Public 4.4.4.4 để che đậy và thay thế hoàn toàn cho IP Private gốc. Lúc này Internet chỉ nhìn thấy IP 4.4.4.4 và thoải mái định tuyến gói tin phản hồi về văn phòng của bạn.
2. PHÂN BIỆT 3 BIẾN THỂ NAT TRONG THỰC TẾ DOANH NGHIỆP
Tùy vào nhu cầu sử dụng và tài nguyên IP Public được cấp, tài liệu phân chia thành 3 cơ chế biên dịch sau: Cơ chế 1: Static NAT (NAT tĩnh - Ánh xạ 1:1)
Đây là giải pháp gán cứng một địa chỉ IP Private cố định với một địa chỉ IP Public duy nhất.
- Ví dụ giải thích: Công ty của bạn có một máy chủ Web nội bộ sở hữu IP Private là 192.168.1.100. Bạn muốn người dùng bên ngoài Internet có thể truy cập vào máy chủ này, bạn mua một IP Public tĩnh từ ISP là 8.8.8.10. Khi cấu hình Static NAT, bất kỳ ai gõ IP 8.8.8.10 từ Internet, Router sẽ tự động chuyển hướng chính xác vào 192.168.1.100. Cơ chế này hoạt động hai chiều (vừa cho phép bên ngoài vào, vừa cho phép bên trong ra).
Thay vì gán cứng, Dynamic NAT sử dụng một "bể chứa" (Pool) gồm nhiều địa chỉ IP Public dôi dư. Khi một máy trạm trong LAN muốn ra Internet, Router sẽ cho mượn một IP Public đang rảnh rỗi trong Pool để đi ra ngoài, khi máy trạm dùng xong và ngắt kết nối, IP Public đó sẽ được thu hồi lại vào Pool.
- Ví dụ giải thích: Công ty bạn có 50 máy tính, nhưng bạn chỉ mua một Pool gồm 5 IP Public. Tại một thời điểm, chỉ có tối đa 5 máy tính đầu tiên ra được Internet. Đến máy thứ 6, Router sẽ báo từ chối vì Pool đã cạn kiệt tài nguyên. Do đó, cơ chế này hiện nay rất ít khi được áp dụng độc lập.
Đây chính là đỉnh cao của công nghệ tiết kiệm IP và được dùng rộng rãi nhất. PAT cho phép hàng trăm, thậm chí hàng ngàn máy tính dùng chung một IP Public duy nhất để ra mạng cùng một lúc dựa vào việc thao túng số hiệu cổng dịch vụ (Port Numbers).
- Ví dụ giải thích: Máy tính A (192.168.1.1) và Máy tính B (192.168.1.2) cùng truy cập một trang web. Khi đi qua Router PAT, cả hai máy đều được đổi thành một IP Public duy nhất là 4.4.4.4. Tuy nhiên, Router sẽ gán cho máy A một Port nguồn là TCP 10001 và máy B là TCP 10002. Khi gói tin từ trang web trả về, Router chỉ cần kiểm tra số hiệu Port đích để phân phát chính xác dữ liệu về cho từng máy mà không sợ bị lẫn lộn dữ liệu.
Một thông tin nâng cao vô cùng giá trị ở trang cuối tài liệu mà các kỹ sư mạng thế hệ mới bắt buộc phải biết, đó là khái niệm CGNAT (Carrier Grade NAT).
Hiện nay, do tài nguyên IPv4 Public trên toàn cầu đã cạn kiệt hoàn toàn, các nhà mạng ISP lớn không còn dư dả IP Public để cấp riêng cho từng hộ gia đình hay từng doanh nghiệp nhỏ nữa. Thay vào đó, ISP sẽ áp dụng giải pháp CGNAT. Họ cấp cho Router tại nhà của bạn một địa chỉ IP Private. Sau đó, tại trung tâm điều hành của nhà mạng, họ lại tiếp tục sử dụng hệ thống NAT/PAT quy mô lớn để đưa hàng vạn khách hàng khác nhau núp bóng sau một địa chỉ IP Public duy nhất của ISP để đi ra Internet quốc tế.
Chính vì lý do này, nếu bạn kiểm tra thấy cổng WAN của Router ở nhà nhận một dải IP lạ (như 100.64.0.0/10) mà không thể thực hiện Port Forwarding hay cấu hình Camera, VPN được, thì chắc chắn hệ thống của bạn đã bị nhà mạng đưa vào "vòng vây" của CGNAT rồi!
🌟 LỜI KẾT
Thấu hiểu bản chất của NAT và PAT không chỉ giúp vượt qua các kỳ thi CCNA, CCNP hay CCIE một cách dễ dàng, mà nó còn là vũ khí sắc bén giúp bắt bệnh cực nhanh các sự cố liên quan đến mất kết nối Internet, lỗi bất đối xứng định tuyến (Asymmetric Routing), hay các xung đột an ninh mạng doanh nghiệp.
#VnPro#CCNA#CCNP#CCIE#NAT#PAT#StaticNAT#DynamicNAT#PortAddressTranslation#CGNAT#CiscoIOS#NetworkServices#RoutingAndSwitching
Attached Files