Tweet
Vì sao từ bên ngoài Internet lại có thể truy cập vào một máy chủ nội bộ (như Web Server, FTP Server hay Camera IP) sử dụng địa chỉ IP công cộng duy nhất, thì Port Forwarding chính là chìa khóa mở ra cánh cửa đó. Đây là một kỹ thuật cực kỳ quan trọng trong thế giới mạng – đặc biệt với các kỹ sư CCNA/CCNP – nơi mà tài nguyên bên trong phải được cung cấp một cách an toàn và chính xác cho bên ngoài thông qua một “cổng” đã được định sẵn.
Port Forwarding là gì?
Port Forwarding – hay còn gọi là Static NAT kết hợp với dịch cổng TCP/UDP – là kỹ thuật ánh xạ địa chỉ IP và cổng (port) từ bên ngoài (outside) đến máy chủ bên trong (inside). Không chỉ dịch địa chỉ IP như NAT thông thường, nó còn dịch luôn cả cổng dịch vụ (TCP/UDP port), ví dụ: từ 8080 thành 80.
Điều này cực kỳ hữu ích khi:
Cơ chế hoạt động chi tiết:
Cấu hình trên thiết bị Cisco:
R2(config)# ip nat inside source static tcp 192.168.10.254 80 209.165.200.226 8080
Giải nghĩa:
Lưu ý thực tế:
Câu hỏi ôn tập cuối bài:
Câu hỏi:
Loại NAT nào cho phép nhiều địa chỉ IPv4 private được ánh xạ đến một địa chỉ IPv4 public duy nhất bằng cách sử dụng các cổng khác nhau?
Đáp án đúng: ✅ PAT (Port Address Translation)
Tóm tắt
Port Forwarding là một kỹ thuật cực kỳ thiết thực trong thế giới thực – từ truy cập camera ở nhà, triển khai web server nội bộ, đến cấu hình firewall hoặc router tại công ty. Dù bạn là CCNA mới vào nghề hay đang học CCNP/CCIE, hãy luyện tay cấu hình kỹ năng này – vì sớm muộn bạn sẽ cần dùng đến!
Nếu bạn muốn bài thực hành lab Port Forwarding thực tế trên GNS3 hoặc Packet Tracer – cứ comment "muốn lab" nhé, mình sẽ gửi bài lab chi tiết cấu hình và test bằng trình duyệt, curl và Wireshark.
Port Forwarding là gì?
Port Forwarding – hay còn gọi là Static NAT kết hợp với dịch cổng TCP/UDP – là kỹ thuật ánh xạ địa chỉ IP và cổng (port) từ bên ngoài (outside) đến máy chủ bên trong (inside). Không chỉ dịch địa chỉ IP như NAT thông thường, nó còn dịch luôn cả cổng dịch vụ (TCP/UDP port), ví dụ: từ 8080 thành 80.
Điều này cực kỳ hữu ích khi:
- Bạn có một Web Server nội bộ dùng địa chỉ private như 192.168.10.254 (nghe trên cổng 80).
- Bạn muốn người dùng Internet truy cập được bằng địa chỉ công cộng 209.165.200.226 nhưng qua cổng khác như 8080.
Cơ chế hoạt động chi tiết:
- Static Mapping Luôn Tồn Tại:
Mapping được thiết lập tĩnh nên thiết bị biên (border router) luôn biết phải chuyển gói tin từ địa chỉ công cộng về đúng địa chỉ riêng tương ứng. - Chuyển tiếp lưu lượng đến Server nội bộ:
Người dùng ngoài Internet chỉ cần biết địa chỉ công cộng và cổng đã định sẵn – ví dụ http://209.165.200.226:8080. Họ không hề biết rằng thực ra đang truy cập vào một server nằm sâu trong mạng nội bộ. - Dựa trên Port:
Gói tin phải đúng địa chỉ IP công cộng (inside global) và đúng port thì mới được NAT và chuyển tiếp thành công.
Cấu hình trên thiết bị Cisco:
R2(config)# ip nat inside source static tcp 192.168.10.254 80 209.165.200.226 8080
Giải nghĩa:
- 192.168.10.254: địa chỉ IP nội bộ (inside local) của Web Server.
- 80: cổng dịch vụ nội bộ (HTTP).
- 209.165.200.226: địa chỉ IP công cộng (inside global).
- 8080: cổng dịch vụ được cung cấp ra ngoài.
Lưu ý thực tế:
- Trình duyệt mặc định sẽ sử dụng port 80 cho HTTP và 443 cho HTTPS. Nếu bạn dùng port khác (như 8080), bạn phải chỉ rõ trong URL, ví dụ:
👉 http://www.example.com:8080 - Nếu bạn có nhiều dịch vụ nội bộ như Web, FTP, SSH… thì có thể ánh xạ từng port ra ngoài bằng các port công cộng khác nhau trên cùng 1 địa chỉ IP công cộng.
Câu hỏi ôn tập cuối bài:
Câu hỏi:
Loại NAT nào cho phép nhiều địa chỉ IPv4 private được ánh xạ đến một địa chỉ IPv4 public duy nhất bằng cách sử dụng các cổng khác nhau?
Đáp án đúng: ✅ PAT (Port Address Translation)
Còn gọi là NAT Overloading – kỹ thuật này chính là nền tảng giúp hàng trăm thiết bị trong mạng LAN cùng truy cập Internet qua 1 địa chỉ IP công cộng.
Tóm tắt
Port Forwarding là một kỹ thuật cực kỳ thiết thực trong thế giới thực – từ truy cập camera ở nhà, triển khai web server nội bộ, đến cấu hình firewall hoặc router tại công ty. Dù bạn là CCNA mới vào nghề hay đang học CCNP/CCIE, hãy luyện tay cấu hình kỹ năng này – vì sớm muộn bạn sẽ cần dùng đến!
Nếu bạn muốn bài thực hành lab Port Forwarding thực tế trên GNS3 hoặc Packet Tracer – cứ comment "muốn lab" nhé, mình sẽ gửi bài lab chi tiết cấu hình và test bằng trình duyệt, curl và Wireshark.
Attached Files