1 TRÌNH BÀY: NHÓM DYQQ 1. HỒ THỊ ĐIỆP K114060984 2. PHẠM HẢI YẾN K114061074 3. PHẠM THỊ NHƯ QUỲNH K114061036 4. TRẦN ÁI QUYẾT K114061035 NETWORK ADDRESS TRANSLATION (NAT) 1. ĐẶT VẤN ĐỀ: Ngày nay Internet đang mở rộng theo cấp số nhân. Khi số lượng thông tin và các nguồn lực tăng lên, nó trở thành một yêu cầu cho tất cả mọi người từ những tập đoàn, những doanh nghiệp hay công ty lớp đến những xí nghiệp nhỏ hay hộ gia đình để kết nối với Internet. Nếu chúng ta không có các biện pháp phân phối địa chỉ IP thì sự phát triển của Internet sẽ làm cạn kiệt nguồn địa chỉ IP.Để giải quyết vấn đề thiếu hụt địa chỉ IP, nhiều biện pháp đã được triển khai.Trong đó, một biện pháp đã được triển khai rộng rãi là chuyển đổi địa chỉ mạng (Network Address Translation – NAT). 2. KHÁI NIỆM NAT là 1 phương pháp đưa ra nhằm giải quyết tình trạng thiếu hụt IP. NAT thực hiện việc chuyển đổi nhiều IP cục bộ sang 1 lượng ít hơn các IP toàn cục 3. CƠ CHẾ HOẠT ĐỘNG a) Nhắc lại IP IP là một địa chỉ của một máy tính khi tham gia vào mạng nhằm giúp cho các máy tính có thể chuyển thông tin cho nhau một cách chính xác, tránh thất lạc. Có thể coi địa chỉ IP trong mạng máy tính giống như địa chỉ nhà của bạn để nhân viên bưu điện có thể đưa thư đúng cho bạn chứ không phải một người nào khác. Private address Lớp Khoảng mạng A 10.0.0.0 B 172.16.0.0 – 172.31.0.0 C 192.168.x.0 2 Những địa chỉ trên chỉ dùng cho mạng riêng, mạng nội bộ các doanh nghiệp.Các gói dữ liệu có địa chỉ như trên sẽ không định tuyến được trên Internet. Địa chỉ IP riêng được quyền sử dụng đi sử dụng lại. Router trên Internet sẽ không định tuyến các địa chỉ IP riêng.ISP(nhà cung cấp dịch vụ Internet) cấu hình Router biên ngăn không cho các lưu lượng của địa chỉ riêng được phát ra ngoài. Public address: Địa chỉ IP thực được dùng trong mạng internet, được dùng trong định tuyến toàn cầu. Nguyên tắc: các địa chỉ IP private không thể nào truy cập vào Internet. Để cho các IP private có thể đi được vào vùng public thì ta sử dụng kỹ thuật NAT. b) Cơ chế hoạt động: NAT sử dụng IP của chính nó làm IP công cộng cho mỗi máy con (client) với IP riêng. Khi một máy con thực hiện kết nối hoặc gửi dữ liệu tới một máy tính nào đó sang một máy của mạng nội bộ khác, dữ liệu sẽ được gởi tới NAT, sau đó NAT sẽ thay thế địa chỉ IP gốc của máy con đó rồi gửi gói dữ liệu đi với địa chỉ IP của NAT. Máy tính từ xa khi nhận được tín hiệu sẽ gởi gói tin trở về cho NAT computer bởi vì chúng nghĩ rằng NAT computer là máy đã gởi những gói dữ liệu đi. NAT ghi lại bảng thông tin của những máy tính đã gởi những gói tin đi ra ngoài trên mỗi cổng dịch vụ và gởi những gói tin nhận được về đúng máy tính đó (client). * Một số thuật ngữ: • Inside local address: Địa chỉ được phân phối cho các host bên trong mạng nội bộ. • Inside global address: Địa chỉ hợp pháp được cung cấp bởi InterNIC (Internet Network Information Center) hoặc nhà cung cấp dịch vụ Internet, đại diện cho một hoặc nhiều địa chỉ nội bộ bên trong đối với thế giới bên ngoài. • Outside local address: Địa chỉ riêng của host nằm bên ngoài mạng nội bộ • Outside global address:là địa chỉcông cộng hợp pháp của host nằm bên ngoài mạng nội bộ. 3 Thuyết minh sơ đồ: Mạng LAN được đánh địa chỉ private là 192.168.1.X. Host nội bộ192.168.1.X muốn gửi gói dữ liệu cho một host nằm ngoài 210.64.72.14. Tức gói dữ liệu này có Sours IP: 192.168.1.X và Destination IP: 210.64.72.14 Gói dữ liệu được gửi tới router biên thực hiện cấu hình NAT. Khi gói tin đi qua vùng NAT, ở đây có địa chỉ 224.16.78.67 là địa chỉ IP public thì sẽ được thực hiện chuyển đổi Source IP thay bằng địa chỉ của IP public của router. Cụ thể: S: 224.16.78.67 và D: 210.64.72.14. Sau đó gói dự liệu tiếp tục hành trình Internet đi đến server 210.64.72.14. Khi server nhận được gói tin thấy S: 224.16.78.67 nên đối với nó người yêu cầu thông tin là địa chỉ S: 224.16.78.67, k phải là địa chỉ 192.168.1.X, nên khi trả về thì S: 210.64.72.14 và D:224.16.78.67. Gói tin được đẩy vào trong môi trường public vì Destination IP là 1 địa chỉ IP public được định tuyến trên môi trường Ineternet. Qua bảng chuyển đổi địa chỉ của NAT thì được chuyển đổi lại địa chỉ S: 224.16.78.67 và D: 192.168.1.X 4. KỸ THUẬT NAT 4 Hầu hết những người sở hữu một kết nối Internet hiện đại ngày nay đều phải sử dụng đến kỹ thuật NAT (Network Address Translation).NAT đã là một phần không thể thiếu khi triển khai mạng IP diện rộng do không gian địa chỉ IPv4 đã bắt đầu co hẹp. Về cơ bản, NAT cho phép một (hay nhiều) địa chỉ IP riêng được ánh xạ với một (hay nhiều) địa chỉ IP công cộng. Có ba loại NAT khác nhau gồm có: NAT động, NAT tĩnh và NAT vượt tải (NAT overloaded). a) NAT tĩnh Với NAT tĩnh thì sự chuyển đổi gói tin giữa hai mạng, giữa nguồn và địa chỉ đến trở nên đơn giản và nhất định.NAT cố định được thiết kế để ánh xạ một-một, từ một địa chỉ nội bộ sang một địa chỉ công cộng tương ứng duy nhất. Bên ngoài (outside) có thể chủ động tạo kết nối với bên trong (inside). Cơ chế NAT tĩnh cho phép một máy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ luôn dùng cùng một địa chỉ IP thực . VD: Trong hình trên, khi một máy từ mạng ngoài, trong trường hợp này là Internet cần gửi gói tin đến một máy trong mạng nội bộ. thì gói dữ liệu chỉ được chuyển đến NAT, không đi vào bên trong mạng nội bộ được. Ở đây,NAT đã được cấu hình tĩnh để nối địa chỉ nội bộ 192.168.1.10 với địa chỉ ngoài 203.0.113.10.Nhờ có NAT, gói tin sẽ được chuyển vào máy bên trong mạng nội bộ.Trong tình huống này, NAT sẽ coi địa chỉ IP 192.168.1.10 là địa chỉ cục bộ bên trong và địa chỉ được ánh xạ 203.0.113.10 là địa chỉ chung bên trong. 5 b) NAT động NAT động được thiết kế để ánh xạ một địa chỉ IP riêng sang một địa chỉ công cộng một cách tự động. Bất kỳ địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định trước đều có thể được gán cho một host bên trong mạng. Dynamic NAT khác với static là các địa chỉ host IP được thay đổi liên tục mỗi lần tạo kết nối ra ngoài các host này sẽ nhận được một địa chỉ NAT-IP và mỗi lần như vậy NAT sẽ giữ lại thông tin IP của host này trong NAT Table của nó và cứ như thế. Tuy nhiên cái bất lợi của dynamic NAT là khi NAT-IP được cung cấp hết do cùng một lúc có nhiều host trong LAN gởi yêu cầu thì lập tức sẽ không còn bất kì một kết nối nào được chuyển dịch nữa qua NAT vì NAT-IP đã được cấp phát hết và như vậy nó phải đợi tới lần kết nối sau. Với NAT động, Địa chỉ IP riêng sẽ tự động được khớp với một bộ các địa chỉ IP công cộng. VD: Ở hình trên, hai PC trong mạng nội bộ cần truyền thông tới máy ở mạng ngoài, trong trường hợp này là Internet. NAT được cấu hình động để ánh xạ các địa chỉ nội bộ là 192.168.1.25 và 192.168.1.50 với những địa chỉ IP trong tập hợp địa chỉ đã cấu hình NAT. Trong hình, máy có địa chỉ 192.168.1.50 đã được ánh xạ đến địa chỉ 203.0.113.10 và máy có địa chỉ 6 192.168.1.25 được ánh xạ tới địa chỉ 203.0.113.11. Điều này có nghĩa là máy có địa chỉ 192.168.1.50 sẽ được khởi tạo lưu lượng ngoài trước. Từ đây chúng ta thấy một bất cập của NAT động.Nếu như số client lớn hơn số IP Public mà ta thuê được và tại cùng một thời điểm, tất cả các máy đều truy cập ra internet thì sẽ có máy không thể truy cập internet được,vì địa chỉ IP Public đã được cấp hết. c) NAT overloaded Bên ngoài (outside) không thể chủ động tạo kết nối với bên trong (inside).Với NAT vượt tải (còn gọi là biên dịch địa chỉ cổng PAT). Sơ lược về PAT: PAT là 1 kĩ thuật cho phép nhiều IP cục bộ chia sẽ chung đường truyền với 1 IP toàn cục(coi cái này thay thế cái câu in đậm đó được k, chứ cái câu in đậm dưới nge gập ghềnh sao ấy) PAT(Port Address Translatetion) hoạt động bằng cách đánh dấu một số dòng lưu lượng TCP hoặc UDP từ nhiều máy cục bộ bên trong xuất hiện như cùng từ một hoặc một vài địa chỉ Inside Global. Với NAT thay vì chỉ dịch địa chỉ IP, PAT cũng dịch các cổng khi cần thiết. PAT map nhiều địa chỉ Private đến một địa chỉ Public, việc phân biệt các địa chỉ Private này được dựa theo port. Ví dụ :IP address 10. 1. 1. 1 sẽ được map đến ip address 200. 1. 1. 6 Ánh xạ một một như NAT động và NAT tĩnh không được sử dụng.Thay vì một địa chỉ ngoài chỉ được gán cho 1 địa chỉ IP nội bộ thì giờ đây nó có thể được gán cho tất cả các máy nội bộ dựa trên số cổng (port number).Chỉ khi số lượng cổng khả dụng sử dụng bởi địa chỉ IP ngoài bị cạn kiệt thì một địa chỉ IP ngoài thứ hai mới được dùng đến với phương pháp tương tự. 7 Ở hình trên, có sáu máy khác nhau đang truy cập tới các máy thuộc mạng ngoài.NAT vượt tải được cấu hình với tập hợp địa chỉ trong dải 203.0.113.10 đến 203.0.113.14.Giả sử rằng lưu lượng qua NAT router một cách tuần tự thì mỗi loại lưu lượng sẽ được ánh xạ với một địa chỉ IP ngoài (trong trường hợp này là địa chỉ IP đầu tiên trong dải-203.0.113.10) và số cổng chỉ định. Với mỗi ví dụ, NAT router được cấu hình sử dụng cùng địa chỉ IP là 192.168.1.1 trên giao diện Fast Ethernet 0/0 được đánh dấu là giao diện NAT nội và 203.0.113.1 trên giao diện FastEthernet 0/1, được đánh dấu là giao diện NAT ngoài. Bên ngoài (outside) không thể chủ động tạo kết nối với bên trong (inside) Như vậy ta đã xét kỹ thuật NAT thay đổi lần lượt địa chỉ đích, địa chỉ nguồn, rồi thay đổi port khi định tuyến.Mỗi sự thay đổi là một loại hình NAT có ứng dụng trong từng trường hợp riêng. 5. LỢI ÍCH CỦA NAT 8 • NAT được đưa ra nhằm giải quyết vấn đề thiếu hụt IPv4 • NAT giúp kết nối với internet với nhiều máy trong LAN chỉ với một địa chỉ duy nhất • NAT che giấu IP bên trong LAN giúp bảo vệ mạng an toàn. • NAT giúp quản trị mạng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép haycấm truy cập đến một port cụ thể. • Tính linh hoạt và dễ sử dụng trong quản lý • NAT giúp các home user và các doanh nghiệp nhỏ có thể tạo kết nối internet một cách dễ dàng hiệu quả cũng như tiết kiệm vốn đầu tư. . địa chỉ của một máy tính khi tham gia vào mạng nhằm giúp cho các máy tính có thể chuyển thông tin cho nhau một cách chính xác, tránh thất lạc. Có thể coi địa chỉ IP trong mạng máy tính giống như. một máy tính nào đó sang một máy của mạng nội bộ khác, dữ liệu sẽ được gởi tới NAT, sau đó NAT sẽ thay thế địa chỉ IP gốc của máy con đó rồi gửi gói dữ liệu đi với địa chỉ IP của NAT. Máy tính. computer là máy đã gởi những gói dữ liệu đi. NAT ghi lại bảng thông tin của những máy tính đã gởi những gói tin đi ra ngoài trên mỗi cổng dịch vụ và gởi những gói tin nhận được về đúng máy tính đó