Tweet
Khi nói về NAT (Network Address Translation), có một điểm khác biệt quan trọng giữa Dynamic NAT/Dynamic PAT và Static NAT.
Với Dynamic NAT và PAT, bản dịch chỉ được tạo ra khi client nội bộ khởi tạo kết nối ra ngoài. Điều này không phù hợp cho trường hợp máy chủ nội bộ cần được truy cập từ Internet (ví dụ: Web server, Mail server trong DMZ). Đây chính là lý do tại sao chúng ta cần Static NAT.
1. Static NAT là gì?
Static NAT ánh xạ một-đến-một (1:1) giữa địa chỉ IP private và địa chỉ IP public.
2. Cách hoạt động (Inbound)
Ví dụ:
Khi gói tin từ Internet đến địa chỉ 192.0.2.4 trên interface Outside, firewall sẽ dịch địa chỉ đích (destination NAT) sang 172.16.8.22 và chuyển tiếp về phía DMZ.
3. Cách hoạt động (Outbound)
Static NAT không chỉ dùng cho inbound traffic, mà còn có thể áp dụng outbound.
Ví dụ:
Khi server 172.16.8.11 khởi tạo kết nối ra Internet, firewall sẽ dịch source NAT từ 172.16.8.11 thành 192.0.2.7.
4. Ứng dụng thực tế
5. Ưu & nhược điểm
Ưu điểm:
Nhược điểm:
🔑 Kết luận: Static NAT là giải pháp bắt buộc khi bạn cần publish dịch vụ nội bộ ra Internet hoặc yêu cầu IP public cố định cho outbound traffic. Trong môi trường enterprise, Static NAT thường được kết hợp với DMZ để bảo vệ mạng LAN bên trong, và firewall sẽ đảm bảo kiểm soát truy cập bằng ACL/Policy song song với NAT.
Với Dynamic NAT và PAT, bản dịch chỉ được tạo ra khi client nội bộ khởi tạo kết nối ra ngoài. Điều này không phù hợp cho trường hợp máy chủ nội bộ cần được truy cập từ Internet (ví dụ: Web server, Mail server trong DMZ). Đây chính là lý do tại sao chúng ta cần Static NAT.
1. Static NAT là gì?
Static NAT ánh xạ một-đến-một (1:1) giữa địa chỉ IP private và địa chỉ IP public.
- Luật ánh xạ này được tạo ra cố định trong NAT table và luôn tồn tại, ngay cả khi không có lưu lượng đi qua.
- Điều này cho phép thiết bị từ Internet có thể truy cập trực tiếp dịch vụ nội bộ (qua IP public).
2. Cách hoạt động (Inbound)
Ví dụ:
- DMZ Server: 172.16.8.22 (private)
- Public IP: 192.0.2.4 (gắn trên Outside interface)
Khi gói tin từ Internet đến địa chỉ 192.0.2.4 trên interface Outside, firewall sẽ dịch địa chỉ đích (destination NAT) sang 172.16.8.22 và chuyển tiếp về phía DMZ.
- Vì ánh xạ là permanent entry, server không cần chủ động mở kết nối trước.
- Đây là cơ chế cơ bản để publish dịch vụ nội bộ ra Internet.
3. Cách hoạt động (Outbound)
Static NAT không chỉ dùng cho inbound traffic, mà còn có thể áp dụng outbound.
Ví dụ:
- DMZ Server: 172.16.8.11 (private)
- Public IP: 192.0.2.7
Khi server 172.16.8.11 khởi tạo kết nối ra Internet, firewall sẽ dịch source NAT từ 172.16.8.11 thành 192.0.2.7.
- Gói trả về từ Internet có đích là 192.0.2.7 sẽ được dịch ngược lại về 172.16.8.11.
4. Ứng dụng thực tế
- Inbound publishing: Cho phép user ngoài Internet truy cập Web, Mail, VPN server trong DMZ.
- Outbound mapping: Một số trường hợp yêu cầu server DMZ phải xuất hiện ra Internet với địa chỉ cố định (không bị thay đổi qua Dynamic PAT). Ví dụ: gửi mail qua SMTP, license activation, API endpoint.
5. Ưu & nhược điểm
Ưu điểm:
- Đảm bảo dịch vụ có IP public cố định → dễ dàng cho DNS mapping.
- Không phụ thuộc việc host có khởi tạo kết nối trước hay không.
Nhược điểm:
- Tốn địa chỉ public vì ánh xạ 1:1.
- Nếu triển khai trên diện rộng, cần quản lý kỹ pool IP public.
🔑 Kết luận: Static NAT là giải pháp bắt buộc khi bạn cần publish dịch vụ nội bộ ra Internet hoặc yêu cầu IP public cố định cho outbound traffic. Trong môi trường enterprise, Static NAT thường được kết hợp với DMZ để bảo vệ mạng LAN bên trong, và firewall sẽ đảm bảo kiểm soát truy cập bằng ACL/Policy song song với NAT.
Attached Files
Comment