Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Traversals NAT

    Bài viết dưới đây dành cho cộng đồng SD-WAN/SDAccess của VnPro, giúp mọi người hiểu rõ hơn về NAT Traversal – một chủ đề tưởng chừng đơn giản nhưng lại là kẻ phá bĩnh thầm lặng trong quá trình thiết lập kết nối IPsec trong hệ thống SD-WAN.
    ⚡ Khi NAT là kẻ "chặn đường" IPsec tunnel!

    Trong thiết kế mạng SD-WAN hiện đại, các thiết bị edge (ví dụ như WAN Edge) thường nằm sau NAT. Điều này dẫn đến một câu hỏi muôn thuở: Làm sao để thiết lập IPsec tunnel thành công giữa hai thiết bị edge, nếu cả hai đều bị NAT?
    Hãy hình dung: bạn có hai thiết bị edge ở hai chi nhánh khác nhau, mỗi bên đều có địa chỉ IP private bị dịch sang IP public thông qua NAT. Bạn kỳ vọng hai bên có thể thiết lập IPsec tunnel bảo mật, nhưng... không phải lúc nào mọi chuyện cũng suôn sẻ.
    🔍 NAT Traversal – Bản chất vấn đề

    Có hai loại NAT phổ biến ảnh hưởng đến quá trình thiết lập IPsec tunnel:
    1. Full-Cone NAT
    • Đây là loại NAT "dễ tính".
    • Một khi thiết bị WAN Edge 1 mở cổng đi (outbound), thì mọi lưu lượng đến từ IP và port bất kỳ gửi ngược lại cổng NAT đó sẽ được chấp nhận.
    • Kết quả: IPsec tunnel thiết lập thành công giữa các WAN Edge thông qua cặp IP/Port đã biết nhờ sự trợ giúp ban đầu từ vBond.
    ✅ Full-Cone NAT rất thân thiện với IPsec và gần như không gây lỗi trong triển khai thực tế.
    2. Symmetric NAT
    • Đây là loại NAT "khó chịu".
    • Thiết bị NAT tạo bản ánh xạ riêng biệt cho mỗi đích đến, nghĩa là: nếu thiết bị WAN Edge 1 gửi packet đến vBond thì ánh xạ IP:Port ra public sẽ khác hoàn toàn so với khi gửi đến thiết bị WAN Edge 2.
    • Hậu quả: Thiết bị WAN Edge 2 không thể dùng IP:Port mà nó nhận được từ vBond để quay lại kết nối trực tiếp với WAN Edge 1. NAT từ chối.
    Kết nối IPsec thất bại, trừ khi dùng hub hoặc tunnel qua vBond (relay), làm tăng độ trễ.
    📊 Bảng tương thích NAT Traversal (xem hình thứ 2)
    Public ↔ Public ✔️ Thành công
    Full-Cone ↔ Full-Cone ✔️ Thành công
    Public ↔ Full-Cone ✔️ Thành công
    Full-Cone ↔ Symmetric ✔️ Thành công
    Symmetric ↔ Symmetric ❌ Thất bại (phải đi vòng qua hub)



    🔺 Thực tế thường gặp: một site dùng Full-Cone hoặc Static NAT, site kia Symmetric NAT. Cần thiết kế chọn lọc để giảm thiểu khả năng gặp lỗi.
    🧠 vBond – người hòa giải NAT Traversal
    • Thiết bị vBond có nhiệm vụ phát hiện NAT, thu thập thông tin IP:Port công khai.
    • Nó giúp thiết bị edge biết cách kết nối với các thiết bị khác (qua OMP) bằng thông tin đúng nhất.
    • Nhưng với Symmetric NAT, vBond không thể giúp nếu NAT không chấp nhận inbound từ địa chỉ mới.
    🎯 Giải pháp và kiến nghị
    1. Tránh Symmetric NAT ở cả hai site – đây là kịch bản tồi tệ nhất.
    2. Cấu hình NAT theo kiểu Full-Cone hoặc Static nếu có thể (trên firewall hoặc router).
    3. Sử dụng các cơ chế relay hoặc tunnel thông qua vBond nếu không thể tránh Symmetric NAT – chấp nhận thêm một mức relay.
    4. Kiểm tra thực tế bằng các lệnh hiển thị OMP và NAT trên thiết bị edge để xác định loại NAT.
    Kết luận

    NAT Traversal tưởng chừng là một chi tiết nhỏ, nhưng ảnh hưởng rất lớn đến khả năng thiết lập VPN bảo mật trong SD-WAN. Đặc biệt khi triển khai tại các chi nhánh nhỏ (branch) dùng router dân dụng hoặc ISP cấp thiết bị NAT khó kiểm soát, việc hiểu rõ sự khác biệt giữa Full-Cone và Symmetric NAT là chìa khóa để vận hành ổn định.
    Bạn đã từng gặp lỗi NAT Traversal khi triển khai SD-WAN chưa? Chia sẻ kinh nghiệm thực tế của bạn với cộng đồng nhé!
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X