Tweet
Các khái niệm trong NAT/PAT
Cơ chế NAT được định nghĩa trong RFC1631 cho phép một host không có một địa chỉ thật giao tiếp với những máy khác trên Internet. NAT được chấp nhận rộng rãi là do phần lớn các mạng IP của các doanh nghiệp ngày nay dùng địa chỉ riêng cho hầu hết các máy tính trên mạng nội bộ và chỉ dùng một dãy địa chỉ nhỏ của các địa chỉ IP thật. NAT sẽ chuyển đổi hai dạng địa chỉ này.
NAT sẽ dịch hay thay đổi một hoặc cả hai địa chỉ bên trong một gói tin khi gói tin đó đi qua một router. Nhiều loại tường lửa cũng thực hiện NAT nhưng trong chương này không mô tả chi tiết hoạt động của NAT trên thiết bị tường lửa. Trong phần lớn trường hợp, NAT thay đổi địa chỉ (thường là địa chỉ riêng) được dùng bên trong một doanh nghiệp sang địa chỉ công cộng. Ví dụ hình dưới đây mô tả hoạt động của cơ chế NAT tĩnh. Doanh nghiệp đã đăng ký địa chỉ lớp C 200.1.1.0/24 và dùng địa chỉ riêng lớp A 10.0.0.0/8 cho các máy bên trong mạng của nó.
Bắt đầu bằng một gói tin được gửi từ một PC bên trái của hình đến một máy chủ bên phải ở địa chỉ 170.1.1.1. Địa chỉ nguồn private 10.1.1.1 được dịch thành một địa chỉ thực 200.1.1.1. Máy client gửi ra một gói tin với địa chỉ nguồn 10.1.1.1 nhưng router NAT thay đổi địa chỉ nguồn thành 200.1.1.1. Khi server nhận được một gói tin với địa chỉ nguồn 200.1.1.1, máy chủ nghĩ rằng nó đang nói chuyện với máy 200.1.1.1, vì vậy máy chủ trả lời lại bằng một gói tin gửi về địa chỉ đích 200.1.1.1. Router sau đó sẽ dịch địa chỉ đích 200.1.1.1 ngược lại thành 10.1.1.1.
Hình trên là nền tảng để giới thiệu một số khái niệm quan trọng, Inside Local và Inside Local. Cả hai thuật ngữ đều nhìn từ góc nhìn của người quản trị doanh nghiệp. Trong hình, địa chỉ 10.1.1.1 là địa chỉ Inside Local và 200.1.1.1 là địa chỉ Inside Global. Địa chỉ 10.1.1.1 là từ không gian địa chỉ IP của doanh nghiệp, chỉ có khả năng định tuyến cục bộ bên trong doanh nghiệp, vì vậy có tên gọi là Inside Local. Địa chỉ 200.1.1.1 tượng trưng cho máy cục bộ nhưng địa chỉ là toàn cục và có thể dùng định tuyến trên Internet, vì vậy có tên gọi là Inside Global.
NAT xử lý một gói tin xuất phát từ bên trong đi ra bên ngoài một mạng theo cách thức sau:
Khi NAT nhận một gói tin từ một cổng bên trong, gói tin này đáp ứng các tiêu chuẩn để NAT, router sẽ tìm kiếm trong bảng NAT địa chỉ bên ngoài (outside address) của gói tin. Nói cách khác, tiến trình NAT tìm kiếm một hàng ở trong bảng NAT trong đó địa chỉ outside local address bằng với địa chỉ đích của gói tin.
Nếu không có phép so trùng nào tìm thấy, gói tin sẽ bị loại bỏ.
Nếu có một hàng trong bảng NAT là tìm thấy (trong hàng này, địa chỉ đích của gói tin bằng với địa chỉ outside local), NAT sẽ thay thế địa chỉ đích trong gói tin bằng địa chỉ outside global theo thông tin trong bảng NAT.
Tiến trình NAT tiếp tục tìm kiếm bảng NAT để xem có một địa chỉ inside local nào bằng vớI địa chỉ nguồn của gói tin hay không.
Nếu có một hàng là tìm thấy, NAT tiếp tục thay thế địa chỉ nguồn của gói tin bằng địa chỉ inside global.
Nếu không có một hàng nào được tìm thấy, NAT sẽ tạo ra một hàng mới trong bảng NAT và chèn địa chỉ mới vào trong gói tin.
NAT sẽ xử lý một gói tin xuất phát từ mạng bên ngoài đi vào mạng bên trong theo cách sau:
Khi NAT nhận được một gói tin xuất phát từ một cổng bên ngoài, đáp ứng các tiêu chuẩn để NAT, tiến trình NAT sẽ tìm kiếm trong bảng NAT một hàng trong đó địa chỉ inside global là bằng vớI đia chỉ đích của gói tin.
Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin bị loạI bỏ. Nếu có một hàng tìm thấy trong bảng NAT, NAT sẽ thay thế địa chỉ đích bằng địa chỉ inside local từ bảng NAT.
Router tìm kiếm bảng NAT để tìm ra địa chỉ outside global bằng với địa chỉ nguồn của gói tin. Nếu có một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng địa chỉ outside local từ bảng NAT.
Nếu NAT không tìm thấy một hàng nào, nó sẽ tạo ra một hàng mớI trong bảng NAT và cũng thực hiện như ở bước 2.
Bất cứ khi nào tiến trình NAT thay đổi header của gói tin, router cũng tính toán lạI và thay thế các giá trị checksum của IP và TCP.
Cơ chế NAT được định nghĩa trong RFC1631 cho phép một host không có một địa chỉ thật giao tiếp với những máy khác trên Internet. NAT được chấp nhận rộng rãi là do phần lớn các mạng IP của các doanh nghiệp ngày nay dùng địa chỉ riêng cho hầu hết các máy tính trên mạng nội bộ và chỉ dùng một dãy địa chỉ nhỏ của các địa chỉ IP thật. NAT sẽ chuyển đổi hai dạng địa chỉ này.
NAT sẽ dịch hay thay đổi một hoặc cả hai địa chỉ bên trong một gói tin khi gói tin đó đi qua một router. Nhiều loại tường lửa cũng thực hiện NAT nhưng trong chương này không mô tả chi tiết hoạt động của NAT trên thiết bị tường lửa. Trong phần lớn trường hợp, NAT thay đổi địa chỉ (thường là địa chỉ riêng) được dùng bên trong một doanh nghiệp sang địa chỉ công cộng. Ví dụ hình dưới đây mô tả hoạt động của cơ chế NAT tĩnh. Doanh nghiệp đã đăng ký địa chỉ lớp C 200.1.1.0/24 và dùng địa chỉ riêng lớp A 10.0.0.0/8 cho các máy bên trong mạng của nó.
Bắt đầu bằng một gói tin được gửi từ một PC bên trái của hình đến một máy chủ bên phải ở địa chỉ 170.1.1.1. Địa chỉ nguồn private 10.1.1.1 được dịch thành một địa chỉ thực 200.1.1.1. Máy client gửi ra một gói tin với địa chỉ nguồn 10.1.1.1 nhưng router NAT thay đổi địa chỉ nguồn thành 200.1.1.1. Khi server nhận được một gói tin với địa chỉ nguồn 200.1.1.1, máy chủ nghĩ rằng nó đang nói chuyện với máy 200.1.1.1, vì vậy máy chủ trả lời lại bằng một gói tin gửi về địa chỉ đích 200.1.1.1. Router sau đó sẽ dịch địa chỉ đích 200.1.1.1 ngược lại thành 10.1.1.1.
Hình trên là nền tảng để giới thiệu một số khái niệm quan trọng, Inside Local và Inside Local. Cả hai thuật ngữ đều nhìn từ góc nhìn của người quản trị doanh nghiệp. Trong hình, địa chỉ 10.1.1.1 là địa chỉ Inside Local và 200.1.1.1 là địa chỉ Inside Global. Địa chỉ 10.1.1.1 là từ không gian địa chỉ IP của doanh nghiệp, chỉ có khả năng định tuyến cục bộ bên trong doanh nghiệp, vì vậy có tên gọi là Inside Local. Địa chỉ 200.1.1.1 tượng trưng cho máy cục bộ nhưng địa chỉ là toàn cục và có thể dùng định tuyến trên Internet, vì vậy có tên gọi là Inside Global.
NAT xử lý một gói tin xuất phát từ bên trong đi ra bên ngoài một mạng theo cách thức sau:
Khi NAT nhận một gói tin từ một cổng bên trong, gói tin này đáp ứng các tiêu chuẩn để NAT, router sẽ tìm kiếm trong bảng NAT địa chỉ bên ngoài (outside address) của gói tin. Nói cách khác, tiến trình NAT tìm kiếm một hàng ở trong bảng NAT trong đó địa chỉ outside local address bằng với địa chỉ đích của gói tin.
Nếu không có phép so trùng nào tìm thấy, gói tin sẽ bị loại bỏ.
Nếu có một hàng trong bảng NAT là tìm thấy (trong hàng này, địa chỉ đích của gói tin bằng với địa chỉ outside local), NAT sẽ thay thế địa chỉ đích trong gói tin bằng địa chỉ outside global theo thông tin trong bảng NAT.
Tiến trình NAT tiếp tục tìm kiếm bảng NAT để xem có một địa chỉ inside local nào bằng vớI địa chỉ nguồn của gói tin hay không.
Nếu có một hàng là tìm thấy, NAT tiếp tục thay thế địa chỉ nguồn của gói tin bằng địa chỉ inside global.
Nếu không có một hàng nào được tìm thấy, NAT sẽ tạo ra một hàng mới trong bảng NAT và chèn địa chỉ mới vào trong gói tin.
NAT sẽ xử lý một gói tin xuất phát từ mạng bên ngoài đi vào mạng bên trong theo cách sau:
Khi NAT nhận được một gói tin xuất phát từ một cổng bên ngoài, đáp ứng các tiêu chuẩn để NAT, tiến trình NAT sẽ tìm kiếm trong bảng NAT một hàng trong đó địa chỉ inside global là bằng vớI đia chỉ đích của gói tin.
Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin bị loạI bỏ. Nếu có một hàng tìm thấy trong bảng NAT, NAT sẽ thay thế địa chỉ đích bằng địa chỉ inside local từ bảng NAT.
Router tìm kiếm bảng NAT để tìm ra địa chỉ outside global bằng với địa chỉ nguồn của gói tin. Nếu có một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng địa chỉ outside local từ bảng NAT.
Nếu NAT không tìm thấy một hàng nào, nó sẽ tạo ra một hàng mớI trong bảng NAT và cũng thực hiện như ở bước 2.
Bất cứ khi nào tiến trình NAT thay đổi header của gói tin, router cũng tính toán lạI và thay thế các giá trị checksum của IP và TCP.
Comment