Tweet
Hiểu NAT và Cách Troubleshooting NAT Trong Mạng IPv4
Nếu bạn từng cấu hình Internet cho một văn phòng nhỏ, từng lab CCNA/CCNP, hoặc từng xử lý tình huống “máy nội bộ ping gateway được nhưng không ra Internet”, thì gần như chắc chắn bạn đã làm việc với NAT.
NAT là một trong những công nghệ mạng phổ biến nhất, nhưng cũng là một trong những nguyên nhân gây lỗi khó chịu nhất nếu cấu hình sai.
Điều thú vị là NAT không hề được tạo ra chỉ để “cho máy nội bộ ra Internet”. NAT là một cơ chế dịch địa chỉ, và việc cho phép private IP giao tiếp với public network chỉ là ứng dụng phổ biến nhất của nó.
Trong mạng IPv4, địa chỉ private như 10.0.0.0/8, 172.16.0.0/12 hay 192.168.0.0/16 không thể định tuyến trực tiếp trên Internet.
Điều này có nghĩa là nếu máy tính trong công ty dùng IP 10.1.1.10, nó không thể gửi packet trực tiếp đến một web server ngoài Internet.
Lúc này NAT đóng vai trò như một phiên dịch viên.
Router biên sẽ nhận packet từ máy nội bộ, thay đổi địa chỉ nguồn từ IP private sang IP public, rồi gửi packet đó ra Internet.
Khi phản hồi quay trở lại, router dựa vào bảng NAT để dịch ngược packet về đúng máy ban đầu.
Nghe thì đơn giản.
Nhưng khi mạng có hàng trăm hoặc hàng nghìn máy, nếu mỗi máy cần một public IP riêng thì doanh nghiệp sẽ nhanh chóng hết địa chỉ.
Đó là lý do PAT xuất hiện.
PAT là phiên bản thực tế hơn của NAT trong môi trường doanh nghiệp.
Thay vì mỗi máy một public IP, nhiều máy cùng chia sẻ một public IP duy nhất.
Router phân biệt từng phiên bằng số cổng TCP hoặc UDP.
Ví dụ:
Máy A truy cập web từ:
10.1.1.10:65500
Máy B truy cập web từ:
10.1.1.20:65520
Sau khi NAT:
203.0.113.1:65500
203.0.113.1:65520
Cùng một địa chỉ IP, nhưng khác port.
Đó chính là lý do hàng trăm người trong công ty vẫn có thể ra Internet thông qua một public IP.
Khi troubleshooting NAT, rất nhiều kỹ sư mạng gặp khó vì không phân biệt được các khái niệm địa chỉ.
Ví dụ, Inside Local là địa chỉ IP thực của thiết bị nội bộ.
Inside Global là địa chỉ mà thiết bị đó được dịch sang khi đi ra Internet.
Outside Global là địa chỉ thật của server bên ngoài.
Outside Local là địa chỉ mà mạng nội bộ nhìn thấy.
Nếu nhầm giữa các khái niệm này, việc đọc bảng NAT hoặc debug NAT sẽ rất dễ rối.
Trong thực tế, lỗi NAT thường đến từ những nguyên nhân rất quen thuộc.
Có thể bạn quên đánh dấu interface bằng:
ip nat inside
hoặc:
ip nat outside
Có thể ACL dùng để match traffic NAT bị sai subnet.
Có thể pool địa chỉ public đã hết.
Hoặc default route chưa đúng nên packet đi được nhưng không quay về.
Đôi khi NAT vẫn hoạt động đúng nhưng firewall bên ngoài đang chặn traffic.
Vì vậy khi troubleshooting, đừng chỉ nhìn vào câu lệnh NAT.
Hãy nhìn toàn bộ luồng packet.
Packet đi từ đâu?
Router có match NAT rule không?
Có tạo translation entry không?
Traffic return có quay về đúng interface không?
Đó mới là tư duy troubleshooting thực chiến.
NAT nhìn đơn giản, nhưng nếu hiểu sâu thì đây là một bài học rất hay về cách packet được xử lý trong mạng IP.
Và cũng chính vì vậy, NAT luôn là một chủ đề “must-know” với bất kỳ network engineer nào.
Nếu bạn từng cấu hình Internet cho một văn phòng nhỏ, từng lab CCNA/CCNP, hoặc từng xử lý tình huống “máy nội bộ ping gateway được nhưng không ra Internet”, thì gần như chắc chắn bạn đã làm việc với NAT.
NAT là một trong những công nghệ mạng phổ biến nhất, nhưng cũng là một trong những nguyên nhân gây lỗi khó chịu nhất nếu cấu hình sai.
Điều thú vị là NAT không hề được tạo ra chỉ để “cho máy nội bộ ra Internet”. NAT là một cơ chế dịch địa chỉ, và việc cho phép private IP giao tiếp với public network chỉ là ứng dụng phổ biến nhất của nó.
Trong mạng IPv4, địa chỉ private như 10.0.0.0/8, 172.16.0.0/12 hay 192.168.0.0/16 không thể định tuyến trực tiếp trên Internet.
Điều này có nghĩa là nếu máy tính trong công ty dùng IP 10.1.1.10, nó không thể gửi packet trực tiếp đến một web server ngoài Internet.
Lúc này NAT đóng vai trò như một phiên dịch viên.
Router biên sẽ nhận packet từ máy nội bộ, thay đổi địa chỉ nguồn từ IP private sang IP public, rồi gửi packet đó ra Internet.
Khi phản hồi quay trở lại, router dựa vào bảng NAT để dịch ngược packet về đúng máy ban đầu.
Nghe thì đơn giản.
Nhưng khi mạng có hàng trăm hoặc hàng nghìn máy, nếu mỗi máy cần một public IP riêng thì doanh nghiệp sẽ nhanh chóng hết địa chỉ.
Đó là lý do PAT xuất hiện.
PAT là phiên bản thực tế hơn của NAT trong môi trường doanh nghiệp.
Thay vì mỗi máy một public IP, nhiều máy cùng chia sẻ một public IP duy nhất.
Router phân biệt từng phiên bằng số cổng TCP hoặc UDP.
Ví dụ:
Máy A truy cập web từ:
10.1.1.10:65500
Máy B truy cập web từ:
10.1.1.20:65520
Sau khi NAT:
203.0.113.1:65500
203.0.113.1:65520
Cùng một địa chỉ IP, nhưng khác port.
Đó chính là lý do hàng trăm người trong công ty vẫn có thể ra Internet thông qua một public IP.
Khi troubleshooting NAT, rất nhiều kỹ sư mạng gặp khó vì không phân biệt được các khái niệm địa chỉ.
Ví dụ, Inside Local là địa chỉ IP thực của thiết bị nội bộ.
Inside Global là địa chỉ mà thiết bị đó được dịch sang khi đi ra Internet.
Outside Global là địa chỉ thật của server bên ngoài.
Outside Local là địa chỉ mà mạng nội bộ nhìn thấy.
Nếu nhầm giữa các khái niệm này, việc đọc bảng NAT hoặc debug NAT sẽ rất dễ rối.
Trong thực tế, lỗi NAT thường đến từ những nguyên nhân rất quen thuộc.
Có thể bạn quên đánh dấu interface bằng:
ip nat inside
hoặc:
ip nat outside
Có thể ACL dùng để match traffic NAT bị sai subnet.
Có thể pool địa chỉ public đã hết.
Hoặc default route chưa đúng nên packet đi được nhưng không quay về.
Đôi khi NAT vẫn hoạt động đúng nhưng firewall bên ngoài đang chặn traffic.
Vì vậy khi troubleshooting, đừng chỉ nhìn vào câu lệnh NAT.
Hãy nhìn toàn bộ luồng packet.
Packet đi từ đâu?
Router có match NAT rule không?
Có tạo translation entry không?
Traffic return có quay về đúng interface không?
Đó mới là tư duy troubleshooting thực chiến.
NAT nhìn đơn giản, nhưng nếu hiểu sâu thì đây là một bài học rất hay về cách packet được xử lý trong mạng IP.
Và cũng chính vì vậy, NAT luôn là một chủ đề “must-know” với bất kỳ network engineer nào.
Attached Files