Tweet
Công nghệ NAT (Network Address Translation) được phát triển để giải quyết vấn đề thiếu hụt địa chỉ IPv4 khi Internet bùng nổ. Một lợi ích khác là NAT giúp kết nối các mạng có không gian địa chỉ trùng lặp, rất hay gặp khi doanh nghiệp sáp nhập.
Cisco Secure Firewall Threat Defense cung cấp bộ tính năng NAT phong phú để triển khai nhiều loại dịch địa chỉ khác nhau.
🌐 NAT và vai trò trong mạng
📌 Ví dụ: host 10.0.0.10 gửi gói ra Internet → NAT dịch thành 209.165.200.230 → máy chủ ngoài trả lời về IP công cộng → NAT dịch ngược lại thành 10.0.0.10 để host nhận được.
🔄 Các loại NAT theo phương thức dịch
↔️ Các loại NAT theo hướng dịch
⚙️ NAT trên Cisco Secure Firewall Threat Defense
Thiết bị Threat Defense dùng ASA engine để thực hiện NAT, routing, VPN…
Có 2 loại chính:
📌 Lưu ý: NAT phải dùng network object, không nhập trực tiếp IP.
📑 Thứ tự xử lý bảng NAT
Trong Cisco Secure Firewall Management Center, NAT policy có 3 phần:
👉 Nếu không khớp luật nào → gói tin đi qua mà không bị dịch địa chỉ.
📌 Tóm lại: NAT trên Cisco Secure Firewall Threat Defense rất linh hoạt, cho phép bạn triển khai từ cơ bản (PAT, Static NAT) đến nâng cao (Twice NAT, Policy NAT). Hiểu rõ cách sắp xếp và xử lý bảng NAT là chìa khóa để cấu hình chuẩn và tránh xung đột dịch địa chỉ.
Cisco Secure Firewall Threat Defense cung cấp bộ tính năng NAT phong phú để triển khai nhiều loại dịch địa chỉ khác nhau.
🌐 NAT và vai trò trong mạng
- Mạng riêng (RFC 1918) cần NAT để truy cập Internet.
- NAT cho phép dịch địa chỉ nội bộ (private) sang địa chỉ công cộng (public).
- Một địa chỉ công cộng có thể đại diện cho cả mạng nội bộ, giúp ẩn danh và tăng bảo mật.
- Giảm cạn kiệt IPv4 công cộng nhờ PAT động (nhiều host chia sẻ một IP).
- Giữ nguyên sơ đồ IP nội bộ khi đổi ISP.
- Che giấu địa chỉ và cấu trúc mạng nội bộ với Internet.
📌 Ví dụ: host 10.0.0.10 gửi gói ra Internet → NAT dịch thành 209.165.200.230 → máy chủ ngoài trả lời về IP công cộng → NAT dịch ngược lại thành 10.0.0.10 để host nhận được.
🔄 Các loại NAT theo phương thức dịch
- Static NAT
- 1–1, cố định.
- Thường dùng cho server nội bộ cần truy cập từ Internet với IP công cộng cố định.
- Dynamic NAT
- 1–1 nhưng cấp phát IP công cộng từ pool tạm thời.
- Tồn tại trong thời gian NAT timeout.
- Static PAT (Port Forwarding)
- Dịch địa chỉ + cổng.
- Giúp nhiều server nội bộ truy cập từ ngoài qua cùng một IP công cộng nhưng khác cổng.
- Dynamic PAT (Many-to-One)
- Nhiều host nội bộ chia sẻ một (hoặc vài) IP công cộng.
- Phân biệt nhờ số hiệu cổng nguồn (16-bit → tối đa 65.536 kết nối).
↔️ Các loại NAT theo hướng dịch
- Inside NAT: dịch địa chỉ bên trong mạng (nguồn ra, đích về).
- Outside NAT: dịch địa chỉ bên ngoài, thường dùng khi hai mạng bị trùng IP (sáp nhập công ty).
⚙️ NAT trên Cisco Secure Firewall Threat Defense
Thiết bị Threat Defense dùng ASA engine để thực hiện NAT, routing, VPN…
Có 2 loại chính:
- Auto NAT: NAT gắn với đối tượng mạng (network object), nhanh và dễ cấu hình.
- Manual NAT (Twice NAT): linh hoạt hơn, cho phép định nghĩa cả địa chỉ nguồn/đích thật và địa chỉ dịch. Thường dùng cho Policy NAT, Twice NAT, NAT exception.
📌 Lưu ý: NAT phải dùng network object, không nhập trực tiếp IP.
📑 Thứ tự xử lý bảng NAT
Trong Cisco Secure Firewall Management Center, NAT policy có 3 phần:
- NAT Rules Before – Manual NAT (áp dụng trước Auto NAT).
- Auto NAT Rules – cho luật đơn giản: Static, Dynamic NAT, PAT.
- NAT Rules After – Manual NAT (áp dụng sau Auto NAT, thường là “catch-all”).
- Section 1 (Before): từ trên xuống, khớp đầu tiên thì áp dụng.
- Section 2 (Auto NAT): nếu chưa khớp → xét Static → Dynamic → theo số lượng địa chỉ → giá trị IP → tên object.
- Section 3 (After): khớp đầu tiên, dùng cho luật tổng quát.
👉 Nếu không khớp luật nào → gói tin đi qua mà không bị dịch địa chỉ.
📌 Tóm lại: NAT trên Cisco Secure Firewall Threat Defense rất linh hoạt, cho phép bạn triển khai từ cơ bản (PAT, Static NAT) đến nâng cao (Twice NAT, Policy NAT). Hiểu rõ cách sắp xếp và xử lý bảng NAT là chìa khóa để cấu hình chuẩn và tránh xung đột dịch địa chỉ.
Attached Files