New Post

Saturday, December 17, 2011


Khái quát về NAT

NAT hay còn gọi là Network Address Translation là một kỉ thuật được phát minh lúc khởi đầu dùng để giải quyết vấn đề IP shortage, nhưng dần dần nó chứng tỏ nhiều ưu điểm mà lúc phát minh ra nó người ta không nghĩ tới, một trong những lợi điểm của NAT ngày nay được ứng dụng nhiều nhất là NAT cho phép
  1. Chia sẽ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP của WAN

    Một lợi điểm nữa của NAT là nó có thể làm việc như một
  2. Firewall (bức tường lửa), nó giúp dấu tất cả IP bên trong LAN với thế giới bên ngoài, tránh sự dòm ngó của hackers.
  3. Tính linh hoạt và sự dễ dàng trong việc quản lý
NAT giúp cho các home user và các doanh nghiệp nhỏ có thể tạo kết nối với internet một cách dễ dàng và hiệu quả cũng như giúp tiết kiệm vốn đầu tư.

NAT cũng có nhiều loại hay hình thức khác nhau, chúng ta sẽ nói sơ lược qua các dạng NAT

Static NAT ( NAT Tĩnh)
Với static NAT thì sự chuyển đổi packet( Gói dữ liệu) giữa hai network(mạng lưới.hệ thống), giữa nguồn và địa chỉ đến trở nên đơn giản và nhất định, các điều kiện về trạng thái kết nối không cần phải giử lại. Nó chỉ cần nhìn vào mỗi IP packet khi chuyển đổi, các thông tin về mapping đều không cần thiết. Static NAT sử dụng khi số lượng IP trong LAN bằng số lượng NAT-IP.
Các bạn có thể tham khảo hình sau đây về cấu hình static NAT.

Dynamic NAT ( NAT động)
Dynamic NAT khác với static là các địa chỉ host IP được thay đổi liên tục mỗi lần tạo kết nối ra ngoài các host này sẽ nhận được một địa chỉ NAT-IP và mỗi lần như vậy NAT sẽ giữ lại thông tin IP của host này trong NAT Table của nó và cứ như thế. Tuy nhiên cái bất lợi của dynamic NAT là khi NAT-IP được cung cấp hết do cùng một lúc có nhiều host rong LAN gởi yêu cầu thì lập tức sẽ không còn bất kì một kết nối nào được chuyển dịch nữa qua NAT vì NAT-IP đã được cấp phát hết và như vậy nó phải đợi tới lần kết nối sau.
Các bạn có thể tham khảo hình sau đây để có thể hiểu cách làm việc của Dynamic NAT
  • NAT rule: Dynamic translate tất cả IP thuộc class B 138.201 đến một địa chỉ thuộc class C 178.201
  • Mỗi một kết nối từ bên trong muốn ra ngoài sẽ được NAT cung cấp một địa chỉ trong số lượng IP sẳn có của NAT, nếu các NAT-IP này được cấp phát hết thì các connection từ class B sẽ không thể ra ngoài được nữa.

NAT ngụy trang hay giả lập (Masquerading)
Đây là dạng NAT phổ thông mà chúng ta thường gặp và sử dụng ngày nay trong các thiết bị phần cứng hay phần mềm routing như router hay các phần mềm chia sẽ internet như ISA, ICS hay NAT server mà lát nữa đây chúng ta sẽ có dịp tìm hiểu cách thiết lập nó.
Dạng NAT này hay còn được gọi với một cái tên NPAT (Network Port Address Translation), với dạng NAT này tất cả các IP trong mạng LAN được dấu dưới một địa chỉ NAT-IP, các kết nối ra bên ngoài đều được tạo ra giả tạo tại NAT trước khi nó đến được địa chỉ internet.
Các bạn có thể tham khảo hình dưới đây để tìm hiểu cách làm việc của NAPT
  • NAT rule: Giả trang internet IP address 138.201 sử dụng địa chỉ NAT router
  • Cho mỗi packets được gởi ra ngoài IP nguồn sẽ được thay thế bằng NAT-IP là 195.112 và port nguồn được thay thế bằng một cổng nào đó chưa được dùng ở NAT, thông thường là các cổng lớn hơn 1204.
  • Nếu một packet được gởi đến địa chỉ của router và port của destination nằm trong khoảng port dùng để masquerading thì NAT sẽ kiểm tra địa chỉ IP này và port với masquerading table của NAT nếu là gởi cho một host bên trong LAN thì gói tin này sẽ được NAT gắn vào địa chỉ IP và port của host đó và sẽ chuyển nó đến host đó.
Hy vọng những gì được đưa ra ở trên, phần nào giúp bạn có chút kiến thức căn bản về NAT để bước tiếp theo sau chúng ta sẽ làm quen với cấu hình của NAT server.

Setup NAT Server
  1. Bước đầu tiên thiết lập NAT bạn cần phải enable RRAS. StartProgramsAdministrative ToolsRouting and Remote Access (RRAS)
  2. Trong mục Routing and Remote Access, bạn right click vào tên server chọn Configure and Enable Routing and Remote Access như hình dưới đây.
  3. Sau khi bạn chọn Configure and Enable Routing and Remote Access, welcome windows sẽ hiện lên, bạn chỉ việc click Next.
  4. Ở phần Common Configurations như hình dưới đây, bạn nên chọn vào mục Manually configured server, sau đó click Next.

  5. Ở Windows tiếp theo bạn chọn Finish và tiếp theo chọn Yes như hình dưới đây

  6. Bưới tiếp theo sau là bạn chọn giao thức để routing theo hình dưới đây. Chọn New Routing Protocol
  7. Trong phần New Routing Protocol bạn chọn Network Address Translation (NAT). Click OK theo hình dưới

  8. Như vậy là bạn vừa cài xong giao thức NAT. Để NAT có thể làm việc bạn cần xác định NIC card nào dành cho NAT và NIC card nào dành cho mạng LAN. Theo hình dưới đây bạn right click vào Network Address Translation, chọn New Interface
  9. Trong phần New Interface for Network Address Translation (NAT), bạn chọn NIC card tên WAN cho phần kết nối với internet, chọn OK
  10. Sau khi bạn chọn NIC card cho phần kết nối với internet bạn hãy check vào hai thư mục như hình dưới đây và, click vào phần Address Pool

  11. Trong phần Address Pool này bạn chọn mục ADD và sau đó nhập vào dãy số địa chỉ IP mà các ISP cung cấp cho bạn nếu bạn sử dụng NAT này làm gateway, hoặc bạn có thể tự cài dãy số IP theo ý bạn muốn, tuy nhiên lưu ý phần subnet nếu bạn tự cài IP range

  12. Sau khi bạn chọn mục ADD ở trên thì bạn có thể nhập vào dãy số mà ISP cung cấp cho bạn, trong trường hợp này IP range của mình được cấp phát như hình dưới đây và, chọn OK
  13. Dãy số IP range mà bạn vừa nhập vào sẽ dùng để mapping giữa NAT IP và các host trong LAN khi cần. Trong trường hợp bạn sử dụng dynamic IP thì phần Address Pool này bạn không cần phải điền vào và sẽ đi thẳng tới bước 19. Nếu cũng có thể reserve một địa chỉ NAT-IP cho riêng một địa chỉ server nào đó trong LAN, bạn có thể chọn mục Reservations theo hình dưới đây

  14. Sau khi bạn chọn Reservations thì bạn có thể nhập địa chỉ nào bạn muốn bảo quản riêng cho một server trong LAN, bạn có thể nhập vào đây theo hình dưới, trong trường hợp này mình muốn server với địa chỉ 192.168.0.15 được static NAT với địa NAT-IP là 68.122.45.220 nếu bạn không muốn add static NAT vào đây thì bạn có thể tiếp tục sang bước 15, còn không thì bạn click OK
  15. Trong mục Spcial Ports này cho phép bạn mở những cổng cần thiết để các dịch vụ của các host bên trong LAN được quyền truy cập cũng như bên ngoài có thể truy cập được các dịch vụ này của các host trong LAN, chọn giao thức TCP. Click vào mục Add ở phía dưới

  16. Trong phần Add Special Port, bạn add vào các port cần thiết tưng xướng với địa chỉ IP của từng server bên trong LAN như thí dụ dưới đây, bạn có thể chọn vào mục On this interface hay On this address pool entry. Nếu bạn chọn On this interface và nhập vào địa chỉ IP của server trong LAN là 192.168.0.15 thì tất cả các IP được cài trên NIC WAN sẽ chịu trách nhiệm translate qua cho địa chỉ IP 192.168.0.15 với port là 80 và, cứ tiếp tục add các port cần thiết cho các dịch vụ của bạn. Nếu bạn chọn mục On this address pool entry thì chỉ có một địa chỉ là 68.122.45.220 chịu trách nhiệm liên lạc và masqurerading giữa địa chỉ này và 192.168.0.15 và ngược lại

  17. Đây là những ports cần thiết dành cho các dịch vụ của các server bên trong LAN, tùy theo yêu cầu của từng dịch vụ bạn sẽ sử dụng TCP ports hay là UDP ports, phần lớn là TCP ports như hình dưới là một số TCP port thông dụng được mở ra cho các server mang địa chỉ theo sau

  18. Và đây là các UDP ports cần thiết như là DNS port và DHCP port, 192.168.0.25 là DNS cũng là DHCP server. Sau khi ban cung cấp đầy đủ thông tin cần thiết cho NAT thì bạn có thể click OK

  19. Phần trên là phần thiết lập NAT cho NIC card WAN, sau đây là phần thiết lập NAT cho LAN. Lập lại bước 8 và 9, bạn chọn interface là LAN, click OK như hình dưới đây

  20. Trong mục Network Address Translation Properties này bạn chỉ việc click OK theo hình dưới đây. Ở đây bạn có thể được xem như là đã hoàn tất thiết lập NAT. Nếu bạn không cần sử dụng các dịch vụ DHCP và DNS Proxy của NAT thì bạn có thể tự cài static IP vào các client và chỉ gateway tới internal NAT interface, trong trường hợp này là 192.168.0.1. Trong trườn hợp bạn muốn thiết lập DHCP và DNS proxy cho NAT thì bạn có thể theo dõ bước tiếp theo

  21. Để các client bên trong LAN có thể truy cập được internet cũng như sử dụng những dịch vụ của NAT cung cấp như DHCP và DNS Proxy bạn có thể làm như sau, right click vào Network Address Translation, chọn Properties theo hình dưới
  22. Chọn mục Address Assigment, đây là chức năng DHCP của NAT, cho phép NAT cung cấp các địa chỉ IP khi client cần truy cập internet Bạn check vào mục Automatically assign IP address by using DHCP và bạn nhập vào dãy IP nào bạn muốn trong trường hợp này là class C bắt đầu từ 192.168.0.1 đến 192.168.0.254.Lưu ý: Để tránh tình trang DHCP cung cấp IP của gateway cũng như các IP quan trong khác trong mạng như WINS server, DNS server, mail server bạn có thể chặn NAT cung câp các địa chỉ ấy trong mục Exclude

  23. Trong phần Exclude Reservered Addresses, bạn nhập vào các địa chỉ IP mà bạn nghĩ rằng NAT không được cung cấp cho client vì sẽ bị mâu thuẩn IP, trong trường hợp này 3 địa chỉ IP dưới đây không được phép cung cấp cho client là gateway 192.168.0.1, DC 192.168.0.15 và mail server là 192.168.0.25. Sau khi nhập vào các dử liệu dưới đây, bạn click OK
  24. Để client có thể truy cập được internet thì cũng cần phải có DNS, bạn có thể sử dụng proxy DNS của NAT để cung cấp cho các client khi cần truy cập. Trong phần Network Address Translation (NAT) Properties, chọn Name Resolution, dưới phần Resolve IP addresses for check vào mục Clients using Domain Name System (DNS), sau đó click OK
  25. Như vậy là bạn đã vừa hoàn tất thiết lập một NAT server. Hai bước dưới đây giúp bạn theo dõi NAT và việc mapping của NAT bằng cách bạn click vào Network Address Translation, ở windows bên phải, bạn right click vào WAN interface chọn Show Mapping, Nat sẽ cho phép bạn theo dõi mapping table của NAT đang làm việc, những ai đang truy cập vào những server nào bằng port nào...
  26. Trong trường hợp bạn đã có DHCP server trong mạng và bạn không muốn sử dụng DHCP của NAT thì bạn có thể thiết lập DHCP Relay Agent bằng cách click vào DHCP Relay Agent chọn Properties theo hình dưới đây
  27. Trong phần DHCP Relay Agent Properties này, bạn nhập vào địa chỉ IP của DHCP server chịu trách nhiệm cấp phát IP cho mạng LAN, click Add vậy là bạn không cần sử dụng chức năng Assign IP address của NAT.Lưu ý: Trước khi bạn thiết lập DHCP Relay Agent, bạn cần phải tắt chức năng Automatically assign IP address by using DHCP ở bước 22. Trong bài này DHCP server là 192.168.0.35
Như vậy là bạn đã vừa thiết lập xong một NAT server, chúc bạn vui vẽ

Xem thêm
http://kenhdaihoc.com/forum/showthread.php?t=2246



theo: vanesoft.com


0 nhận xét:

Post a Comment