Tweet
Anh em kỹ sư mạng chắc hẳn ai cũng từng đối mặt với bài toán: dùng địa chỉ IP private thì thoải mái mở rộng nội bộ, nhưng lại không thể đi Internet trực tiếp. Vậy làm thế nào để các máy trong mạng LAN có thể truy cập dịch vụ công cộng, trong khi vẫn giữ được mô hình địa chỉ private linh hoạt? Câu trả lời chính là Network Address Translation (NAT) – một cơ chế đã cứu sống IPv4 và đến nay vẫn còn giữ vai trò cực kỳ quan trọng trong hạ tầng mạng doanh nghiệp.
NAT là gì?
NAT (Network Address Translation) và PAT (Port Address Translation) là các cơ chế cho phép firewall hoặc router dịch địa chỉ IP private sang public khi gói tin đi ra Internet. Khi có phản hồi quay lại, firewall sẽ dịch ngược lại để gói tin về đúng máy nguồn nội bộ.
Các biến thể của NAT mà anh em cần nắm:
Vì sao cần NAT?
Địa chỉ IPv4 công cộng chỉ có khoảng 1,2 tỷ địa chỉ khả dụng, trong khi dân số thế giới gần 8 tỷ người. Nếu chỉ 25% dân số có thiết bị kết nối Internet, thì vẫn thiếu hụt gần 800 triệu địa chỉ. Chính vì vậy từ năm 1996, RFC 1918 đã định nghĩa các khối địa chỉ private (10.x.x.x, 172.16–31.x.x, 192.168.x.x) để dùng trong mạng nội bộ.
Ưu điểm khi dùng địa chỉ private:
Nhược điểm:
Ví dụ minh họa NAT hoạt động
Giả sử host 10.10.10.11 trong LAN gửi gói tin ra Internet. Firewall sẽ dịch source IP từ 10.10.10.11 sang địa chỉ public 192.0.2.13. Server trên Internet khi trả lời sẽ gửi packet về 192.0.2.13. Khi firewall nhận được, nó lại dịch ngược 192.0.2.13 → 10.10.10.11 và chuyển về cho client nội bộ.
Điểm quan trọng: NAT rule gắn chặt với địa chỉ IP và interface. Nếu gói tin đi ra/vào không đúng interface đã định nghĩa trong rule, thì NAT sẽ không áp dụng.
Ví dụ thực tế trong doanh nghiệp
👉 Anh em thấy đó, NAT không chỉ giúp giải quyết vấn đề thiếu IPv4, mà còn là xương sống để các mạng private giao tiếp được với thế giới công cộng. Trong lab hoặc thực tế, NAT sẽ gắn liền với những cấu hình đi Internet, DMZ, VPN – và đây chính là “cơm bữa” của mọi kỹ sư mạng.
NAT là gì?
NAT (Network Address Translation) và PAT (Port Address Translation) là các cơ chế cho phép firewall hoặc router dịch địa chỉ IP private sang public khi gói tin đi ra Internet. Khi có phản hồi quay lại, firewall sẽ dịch ngược lại để gói tin về đúng máy nguồn nội bộ.
Các biến thể của NAT mà anh em cần nắm:
- Dynamic NAT – dịch động một private IP sang một public IP có sẵn trong pool.
- Dynamic PAT (Overload NAT) – nhiều private IP chia sẻ chung một public IP, phân biệt bằng số port. Đây là kỹ thuật phổ biến nhất để người dùng đi Internet.
- Static NAT – ánh xạ 1-1 giữa một địa chỉ private và một địa chỉ public. Thường dùng cho server nội bộ cần được truy cập từ Internet.
- Static PAT (Port Forwarding) – ánh xạ một địa chỉ/port nội bộ sang một địa chỉ/port public cụ thể (ví dụ: web server port 80, mail server port 25).
- Identity NAT – giữ nguyên địa chỉ, chỉ để cho phép traffic đi qua firewall mà không thay đổi IP.
- Twice NAT – dịch cả địa chỉ nguồn lẫn địa chỉ đích trong cùng một luật, thường dùng khi có overlapping IP.
Vì sao cần NAT?
Địa chỉ IPv4 công cộng chỉ có khoảng 1,2 tỷ địa chỉ khả dụng, trong khi dân số thế giới gần 8 tỷ người. Nếu chỉ 25% dân số có thiết bị kết nối Internet, thì vẫn thiếu hụt gần 800 triệu địa chỉ. Chính vì vậy từ năm 1996, RFC 1918 đã định nghĩa các khối địa chỉ private (10.x.x.x, 172.16–31.x.x, 192.168.x.x) để dùng trong mạng nội bộ.
Ưu điểm khi dùng địa chỉ private:
- Tiết kiệm chi phí – không cần thuê nhiều địa chỉ public.
- Dễ mở rộng – có thể thêm subnet mới thoải mái.
- Tăng cường bảo mật – các mạng private không được định tuyến trên Internet.
Nhược điểm:
- Không thể truy cập trực tiếp Internet.
- Server nội bộ không thể được truy cập từ ngoài nếu không có NAT.
Ví dụ minh họa NAT hoạt động
Giả sử host 10.10.10.11 trong LAN gửi gói tin ra Internet. Firewall sẽ dịch source IP từ 10.10.10.11 sang địa chỉ public 192.0.2.13. Server trên Internet khi trả lời sẽ gửi packet về 192.0.2.13. Khi firewall nhận được, nó lại dịch ngược 192.0.2.13 → 10.10.10.11 và chuyển về cho client nội bộ.
Điểm quan trọng: NAT rule gắn chặt với địa chỉ IP và interface. Nếu gói tin đi ra/vào không đúng interface đã định nghĩa trong rule, thì NAT sẽ không áp dụng.
Ví dụ thực tế trong doanh nghiệp
- Người dùng đi Internet: thường dùng Dynamic PAT (overload), cả công ty dùng chung 1 hoặc vài địa chỉ public.
- Web server trong DMZ: cấu hình Static NAT để ánh xạ 192.168.1.10 (private) ↔ 203.0.113.10 (public). Người ngoài có thể truy cập web server qua IP công cộng.
- Tình huống overlapping IP khi kết nối VPN site-to-site: cần dùng Twice NAT để dịch cả nguồn lẫn đích, tránh xung đột địa chỉ.
👉 Anh em thấy đó, NAT không chỉ giúp giải quyết vấn đề thiếu IPv4, mà còn là xương sống để các mạng private giao tiếp được với thế giới công cộng. Trong lab hoặc thực tế, NAT sẽ gắn liền với những cấu hình đi Internet, DMZ, VPN – và đây chính là “cơm bữa” của mọi kỹ sư mạng.
Attached Files