Tweet
Twice NAT – Khi hai mạng private trùng địa chỉ cần giao tiếp
Trong thực tế triển khai, Twice NAT (hay còn gọi là NAT hai chiều) xuất hiện trong các tình huống ít gặp nhưng rất “khó nhằn”. Một ví dụ điển hình là khi hai tổ chức sáp nhập và kết nối qua VPN. Vấn đề nảy sinh khi cả hai bên đều sử dụng cùng một dải địa chỉ private – chẳng hạn 10.10.10.0/24.
Khi đó, firewall sẽ nhìn thấy hai route cùng trỏ về 10.10.10.0/24 – một đi về DMZ, một đi về Partner. Đây là dạng discontiguous routing khiến gói tin không thể được xử lý chính xác.
Giải pháp là Twice NAT: ta dịch đồng thời cả địa chỉ nguồn và địa chỉ đích để “hóa trang” các mạng trùng lặp thành các dải mạng khác biệt, giúp lưu thông mà không phải tái thiết kế toàn bộ IP scheme.
Ví dụ minh họa
Giải pháp:
Cách dịch này chỉ thay phần subnet, giữ nguyên host ID.
Ví dụ:
Quá trình ngược lại cũng được dịch bởi cùng một rule, không cần NAT ngược riêng.
Các điều kiện bắt buộc để Twice NAT hoạt động
Câu hỏi ôn tập
Hỏi: NAT nào cho phép nhiều host trong Inside network dịch ra cùng một địa chỉ IP của Outside interface khi đi Internet?
👉 Đáp án đúng: Dynamic PAT (hay còn gọi là NAT Overload).
Trong thực tế triển khai, Twice NAT (hay còn gọi là NAT hai chiều) xuất hiện trong các tình huống ít gặp nhưng rất “khó nhằn”. Một ví dụ điển hình là khi hai tổ chức sáp nhập và kết nối qua VPN. Vấn đề nảy sinh khi cả hai bên đều sử dụng cùng một dải địa chỉ private – chẳng hạn 10.10.10.0/24.
Khi đó, firewall sẽ nhìn thấy hai route cùng trỏ về 10.10.10.0/24 – một đi về DMZ, một đi về Partner. Đây là dạng discontiguous routing khiến gói tin không thể được xử lý chính xác.
Giải pháp là Twice NAT: ta dịch đồng thời cả địa chỉ nguồn và địa chỉ đích để “hóa trang” các mạng trùng lặp thành các dải mạng khác biệt, giúp lưu thông mà không phải tái thiết kế toàn bộ IP scheme.
Ví dụ minh họa
- DMZ network: 172.16.4.0/24
- Partner network: 172.16.13.0/24
- Cả hai cùng dùng 10.10.10.0/24 bên trong.
Giải pháp:
- Biến 10.10.10.0/24 (DMZ) thành 172.31.15.0/24.
- Biến 10.10.10.0/24 (Partner) thành 172.31.4.0/24.
Cách dịch này chỉ thay phần subnet, giữ nguyên host ID.
Ví dụ:
- Gói từ 10.10.10.11 (DMZ) đi đến 172.31.4.12 (Partner disguised).
- Firewall sẽ dịch: Src: 172.31.15.11 → Dst: 10.10.10.12.
Quá trình ngược lại cũng được dịch bởi cùng một rule, không cần NAT ngược riêng.
Các điều kiện bắt buộc để Twice NAT hoạt động
- Router láng giềng phải có route đến hai dải dịch (172.31.4.0/24 và 172.31.15.0/24) trỏ về firewall.
- Các dải dịch không được dùng ở nơi nào khác trong mạng.
- Split horizon trên firewall phải tắt, hoặc trong Cisco Secure Firewall Threat Defense:
- Các interface tham gia phải nằm cùng một ECMP routing group.
- Có route đầy đủ cho từng next-hop đến mạng đích.
Câu hỏi ôn tập
Hỏi: NAT nào cho phép nhiều host trong Inside network dịch ra cùng một địa chỉ IP của Outside interface khi đi Internet?
- Dynamic PAT ✅
- Static PAT
- Static NAT
- Twice NAT
👉 Đáp án đúng: Dynamic PAT (hay còn gọi là NAT Overload).
Attached Files