Tweet
🔥 Nếu bạn từng thắc mắc tại sao cả trăm hay cả ngàn máy tính trong công ty bạn chỉ cần vài địa chỉ IP Public mà vẫn có thể truy cập Internet thoải mái, thì câu trả lời chính là Dynamic NAT và Dynamic PAT. Đây là những “chiêu thức” cực kỳ phổ biến trong bảo mật và kết nối mạng, được triển khai trên firewall Cisco hoặc router doanh nghiệp. Hiểu rõ cách hoạt động của NAT không chỉ giúp bạn thi cử CCNA/CCNP dễ dàng hơn mà còn rất quan trọng khi đi triển khai thực tế.
Dynamic NAT – ánh xạ một-một (One-to-One)
Với Dynamic NAT, firewall sẽ dịch địa chỉ IP private sang IP public dựa trên một pool địa chỉ dịch sẵn.
👉 Điểm cần nhớ: Dynamic NAT là one-to-one translation. Bao nhiêu IP public trong pool thì dịch được bấy nhiêu client. Nếu pool có 10 IP, thì chỉ có tối đa 10 client cùng lúc ra Internet.
Dynamic PAT – ánh xạ nhiều-một (Many-to-One)
Vấn đề: pool IP public có giới hạn, nhưng số lượng client thì có thể hàng trăm, hàng ngàn. Lúc này Dynamic PAT (Port Address Translation) mới chính là “cứu tinh”.
=> Cả hai host cùng dùng chung IP 192.0.2.14 nhưng vẫn được phân biệt nhờ port khác nhau. Khi server trả về, firewall nhìn vào destination port để dịch ngược lại chính xác cho từng host.
👉 Điểm hay: PAT cực kỳ scalable. Một IP public có thể phục vụ hàng ngàn kết nối. Nếu chẳng may port bị trùng, firewall còn có thể tự đổi source port để phân biệt.
Khi nào dùng Dynamic NAT vs Dynamic PAT?
💡 Ví dụ thực tế:
Một doanh nghiệp có 200 nhân viên nhưng ISP chỉ cấp cho 1 IP public (ví dụ 203.113.5.10). Nếu dùng Dynamic NAT thì “hết chỗ” ngay lập tức. Nhưng nhờ Dynamic PAT, toàn bộ 200 người vẫn có thể truy cập Internet cùng lúc thông qua 203.113.5.10 nhờ việc phân biệt bằng port number.
Dynamic NAT – ánh xạ một-một (One-to-One)
Với Dynamic NAT, firewall sẽ dịch địa chỉ IP private sang IP public dựa trên một pool địa chỉ dịch sẵn.
- Ví dụ: Bạn có mạng Inside với các host dùng địa chỉ 10.10.10.x. Khi ra ngoài Internet qua interface Outside, firewall sẽ dịch IP này thành một địa chỉ bất kỳ trong pool 192.0.2.2 – 192.0.2.14.
- Khi host 10.10.10.11 mở kết nối ra ngoài, firewall chọn ngẫu nhiên một IP trong pool, giả sử là 192.0.2.5. Trong bảng NAT, firewall ghi nhớ rằng 10.10.10.11 ↔ 192.0.2.5.
- Địa chỉ 192.0.2.5 bây giờ chỉ được dành riêng cho host đó cho tới khi phiên dịch hết hạn (mặc định là 3 giờ không có lưu lượng).
👉 Điểm cần nhớ: Dynamic NAT là one-to-one translation. Bao nhiêu IP public trong pool thì dịch được bấy nhiêu client. Nếu pool có 10 IP, thì chỉ có tối đa 10 client cùng lúc ra Internet.
Dynamic PAT – ánh xạ nhiều-một (Many-to-One)
Vấn đề: pool IP public có giới hạn, nhưng số lượng client thì có thể hàng trăm, hàng ngàn. Lúc này Dynamic PAT (Port Address Translation) mới chính là “cứu tinh”.
- PAT cho phép nhiều host cùng dùng chung một địa chỉ IP public, firewall sẽ phân biệt bằng port number.
- Ví dụ:
- Host 10.10.10.11 mở kết nối ra www.cisco.com:80 với source port 1234. Firewall dịch thành 192.0.2.14:1234.
- Host 10.10.10.12 cũng mở kết nối ra www.cisco.com:80 nhưng với source port 4321. Firewall dịch thành 192.0.2.14:4321.
=> Cả hai host cùng dùng chung IP 192.0.2.14 nhưng vẫn được phân biệt nhờ port khác nhau. Khi server trả về, firewall nhìn vào destination port để dịch ngược lại chính xác cho từng host.
👉 Điểm hay: PAT cực kỳ scalable. Một IP public có thể phục vụ hàng ngàn kết nối. Nếu chẳng may port bị trùng, firewall còn có thể tự đổi source port để phân biệt.
Khi nào dùng Dynamic NAT vs Dynamic PAT?
- Dynamic NAT: phù hợp khi bạn có nhiều IP public dư dả và muốn ánh xạ riêng biệt cho từng client.
- Dynamic PAT: lựa chọn số 1 cho hầu hết doanh nghiệp vì tiết kiệm IP public và khả năng mở rộng cực lớn.
💡 Ví dụ thực tế:
Một doanh nghiệp có 200 nhân viên nhưng ISP chỉ cấp cho 1 IP public (ví dụ 203.113.5.10). Nếu dùng Dynamic NAT thì “hết chỗ” ngay lập tức. Nhưng nhờ Dynamic PAT, toàn bộ 200 người vẫn có thể truy cập Internet cùng lúc thông qua 203.113.5.10 nhờ việc phân biệt bằng port number.
Attached Files