Trong nhiều tình huống, chúng ta cấu hình NAT cho cả một subnet, nhưng lại có một số host cụ thể trong subnet đó không được phép bị NAT. Để xử lý trường hợp này, ta sử dụng Identity NAT (hay còn gọi là NAT giữ nguyên địa chỉ).

---

Khái niệm


Identity NAT là một quy tắc NAT đặc biệt, trong đó địa chỉ thật (real address) cũng chính là địa chỉ được dịch (translated address). Nghĩa là gói tin đi ra/vào firewall sẽ vẫn giữ nguyên địa chỉ IP gốc, không bị thay đổi.

---

Cách cấu hình và nguyên tắc hoạt động

• Quy tắc Identity NAT được tạo tương tự như một quy tắc NAT thông thường.
• Điểm khác biệt là real IP = translated IP.
• Quy tắc này phải được đặt với độ ưu tiên cao hơn so với các quy tắc NAT tổng quát (ví dụ NAT toàn subnet).
• Khi firewall xử lý gói tin, nếu khớp với Identity NAT trước thì gói tin từ host đó sẽ đi qua mà không bị dịch địa chỉ.

---

Ví dụ minh họa


Giả sử trong bảng NAT ta có:

• Một quy tắc PAT dịch toàn bộ subnet 192.0.4.0/24 thành địa chỉ outside interface.
• Một quy tắc Identity NAT riêng cho host 192.0.4.26, khai báo rằng địa chỉ dịch cũng là 192.0.4.26.

Khi host 192.0.4.26 gửi lưu lượng ra ngoài:

• Firewall sẽ áp dụng quy tắc Identity NAT trước (vì có độ ưu tiên cao hơn).
• Lưu lượng từ host này sẽ giữ nguyên IP 192.0.4.26 khi ra ngoài Internet, không bị đổi sang IP của interface.
• Các host khác trong subnet 192.0.4.0/24 vẫn bị dịch theo quy tắc PAT chung.

---

Ứng dụng thực tế

• Khi cần một host vẫn phải giữ nguyên IP public đã cấp (ví dụ mail server, VPN gateway, hoặc hệ thống cần định danh IP cụ thể để kết nối).
• Khi một số ứng dụng hoặc dịch vụ có cơ chế kiểm tra IP nguồn và không hoạt động đúng nếu bị NAT.

---

👉 Identity NAT giúp bạn linh hoạt hơn khi triển khai chính sách NAT: vừa có thể NAT cả subnet, vừa có thể loại trừ những host đặc biệt cần giữ nguyên địa chỉ.
​