Tweet
Chức năng NAT Overload (PAT động)
Trong NAT động, bộ định tuyến thay đổi trường địa chỉ IP trong tiêu đề gói tin IPv4 để các thiết bị trong mạng nội bộ có thể truy cập ra ngoài. Tuy nhiên, khi kết hợp với thông tin cổng tầng giao vận (transport layer ports), ta có thể mở rộng khả năng này — cho phép nhiều thiết bị trong mạng nội bộ cùng sử dụng một địa chỉ IP công cộng duy nhất. Cơ chế này được gọi là PAT động (Port Address Translation), hay còn gọi là NAT overload.
Với NAT overload, các cổng nguồn được gán một cách động, cho phép bộ định tuyến phân biệt các kết nối đến từ các thiết bị khác nhau trong nội bộ, dù tất cả đều sử dụng cùng một địa chỉ IP bên ngoài. Điều này giúp tiết kiệm địa chỉ IP công cộng, đồng thời đảm bảo khả năng thiết lập kết nối ra ngoài của nhiều thiết bị.
Cisco triển khai cơ chế PAT động thông qua từ khóa overload trong cấu hình NAT. Khi cấu hình NAT với overload, bạn “quá tải” một địa chỉ IP công cộng với nhiều bản dịch, sử dụng các cổng để phân biệt. Xử lý khi NAT động đang hoạt động
Nếu bạn đang sử dụng NAT động và cố gắng xóa cấu hình với lệnh:
no ip nat inside source list NAT-SOURCE-ADDRESSES pool SHARED-ADDRESSES
…nhưng nhận được lỗi:
%Dynamic mapping in use, cannot remove
…nghĩa là đang có bản dịch NAT động đang hoạt động. Để gỡ cấu hình, bạn cần xóa các bản dịch này trước bằng lệnh:
do clear ip nat translation *
Sau đó xác minh bằng:
do show ip nat translations
Khi số bản dịch đang hoạt động bằng 0, bạn có thể tiến hành thay đổi cấu hình NAT như bình thường. Chuyển sang cấu hình PAT động
Sau khi xóa cấu hình NAT động, bạn có thể chỉnh sửa lại nhóm địa chỉ NAT thành một địa chỉ duy nhất như sau:
ip nat pool SHARED-ADDRESSES 89.212.255.1 89.212.255.1 prefix-length 24
Điều này khiến bộ định tuyến buộc phải sử dụng PAT khi có nhiều thiết bị cùng cần dịch địa chỉ, bởi chỉ còn một địa chỉ IP công cộng có sẵn.
Tiếp theo, bạn kích hoạt NAT overload với lệnh:
ip nat inside source list NAT-SOURCE-ADDRESSES pool SHARED-ADDRESSES overload
Lúc này, bộ định tuyến sẽ dịch các địa chỉ IP bên trong (được chỉ định trong danh sách truy cập NAT-SOURCE-ADDRESSES) sang địa chỉ IP trong nhóm SHARED-ADDRESSES — kết hợp với cổng nguồn để phân biệt các kết nối. Kiểm tra hoạt động của NAT overload
Bạn có thể kiểm tra bằng cách thực hiện ping từ hai thiết bị nội bộ khác nhau (ví dụ: jack-pc và jack-laptop) ra một máy ngoài (ví dụ: chuck-pc). Trên chuck-pc, chạy tcpdump để quan sát các gói tin ICMP đến:
sudo tcpdump -i ens2 icmp
Dù cả hai luồng ping đều có địa chỉ nguồn là 89.212.255.1, bạn vẫn thấy số ID và số thứ tự (seq) khác nhau trong gói ICMP — cho biết chúng đến từ hai nguồn khác nhau.
Đây chính là cách PAT phân biệt các kết nối: bằng cách kết hợp địa chỉ IP công cộng với cổng tầng giao vận, mỗi kết nối ra ngoài sẽ được ánh xạ duy nhất. Lưu ý hạn chế của NAT động và PAT
Mặc dù NAT động và PAT động rất hiệu quả cho các kết nối khởi tạo từ bên trong đi ra, nhưng chúng không hỗ trợ các kết nối được khởi tạo từ bên ngoài vào trong, trừ khi có cấu hình bổ sung (ví dụ: NAT tĩnh hoặc port forwarding). Khi một kết nối đến từ bên ngoài, bộ định tuyến không thể biết phải chuyển tiếp đến thiết bị nào trong mạng nội bộ nếu không có ánh xạ cụ thể được thiết lập.