Tìm hiểu về NAT (Phần cuối)

Các vấn đề về kết nối và an ninh mạng

Trong những phần trước Quản trị mạng đã giới thiệu cho bạn cấu hình, cơ chế hoạt động của NAT (Network Address Translation) cũng như cơ chế hoạt động của NAT động (Dynamic NAT)Overloading NAT. Phần cuối Quản trị mạng sẽ giới thiệu cho bạn các vấn đề về an ninh và cơ chế kết nối nhiều mạng của NAT.

1. Các vấn đề an ninh và quản trị mạng

Dynamic NAT (NAT động) tự động tạo ra một bức tường lửa giữa mạng nội bộ và mạng bên ngoài, hoặc giữa các mạng nội bộ của bạn và Internet. NAT chỉ cho phép các kết nối có nguồn gốc bên trong Stub Domain

Về cơ bản, điều này có nghĩa là một máy tính nằm ở mạng ngoài không thể kết nối với máy tính của bạn, trừ khi máy tính của bạn đã kết nối với máy tính đó trước.

Bạn có thể duyệt Internet và kết nối đến một trang web, hoặc thậm chí là download một file tin; nhưng người khác không thể sử dụng các địa chỉ IP của bạn để kết nối tới một Port (cổng) trên máy tính của bạn.

Trong những trường hợp cụ thể, Static NAT (NAT tĩnh) cũng cho phép các thiết bị bên ngoài khởi tạo kết nối đến các máy tính trên Stub Domain.

Ví dụ, nếu bạn muốn đi từ địa chỉ Inside Global Address đến một địa chỉ Inside Local Address cụ thể được gán cho máy chủ Web của bạn, Static NAT (NAT tĩnh) sẽ cho phép kết nối.

Một số NAT Router cung cấp bộ lọc và traffic logging. Bộ lọc cho phép công ty của bạn kiểm soát những trang mà nhân viên truy cập vào trên trang Web để ngăn chặn họ xem được những tài liệu quan trọng. Bạn có thể sử dụng traffic logging để tạo ra một tập tin nhật ký những trang web được truy cập và tạo ra các báo cáo khác nhau.

NAT đôi khi bị nhầm lẫn với các máy chủ proxy, nhưng giữa NAT và máy chủ proxy có sự khác biệt nhất định.

NAT không thể nhầm lẫn được với các máy tính nguồn và máy tính đích. Không ai có thể nhận ra NAT giống như một thiết bị thứ ba.

Còn một máy chủ proxy có thể bị nhầm lẫn. Máy tính nguồn biết rằng nó thực hiện một yêu cầu đến máy chủ proxy và phải được cấu hình để thực hiện yêu cầu đó. Máy tính đích sẽ hiểu rằng các máy chủ proxy là máy tính nguồn, và giao dịch với nó trực tiếp.

Ngoài ra, máy chủ proxy thường làm việc ở tầng 4 (Transport) trong mô hình OSI Reference Model hoặc cao hơn, trong khi NAT làm việc ở tầng 3 giao thức liên mạng (Network protocol). Khi làm việc tại một tầng cao hơn khiến các máy chủ proxy hoạt động chậm hơn so với các thiết bị NAT.

Lợi ích lớn nhất của NAT đó là quản trị mạng (Network Administation) một cách rõ ràng. Ví dụ, bạn có thể di chuyển máy chủ Web của bạn hoặc máy chủ FTP tới máy tính chủ khác mà không cần phải lo lắng các liên kết bị hỏng.

Đơn giản chỉ cần thay đổi, sử dụng Inbound Route Map để phản hồi máy chủ mới. Bạn cũng có thể thay đổi mạng nội bộ (Internal Network) một cách dễ dàng, bởi vì chỉ có địa chỉ IP bên ngoài hoặc địa chỉ IP của Router hoặc địa chỉ IP trong nhóm địa chỉ Global Address.

NAT DHCP (dynamic host configuration protocol - giao thức cấu hình Host động). Bạn có thể chọn một loạt các địa chỉ IP Private trên Stub Domain và có máy chủ DHCP phát những địa chỉ IP này khi cần thiết.

Bạn không cần phải yêu cầu nhiều địa chỉ IP từ IANA. Thay vào đó, bạn chỉ có thể tăng phạm vi địa chỉ IP có sẵn trong cấu hình DHCP để thêm ngay các địa chỉ IP trên máy tính kết nối mạng của bạn.

NAT

2. Kết nối nhiều mạng (Multi-homing)

Các doanh nghiệp hay các công ty lớn cần sử dụng mạng Internet nhiều hơn. Do đó việc thiết lập điểm kết nối Internet trở thành một phần không thể thiếu trong chiến lược mạng của họ. Kết nối nhiều mạng (hay đa kết nối), được gọi là multi-homing.

Ngoài việc duy trì một kết nối đáng tin cậy, kết nối nhiều mạng (multi-homing) cho phép công ty, doanh nghiệp của bạn cân bằng tải (load-balancing) bằng cách giảm số lượng máy tính kết nối với Internet thông qua bất kỳ một kết nối duy nhất. Phân phối tải (Distributing the load) thông qua nhiều kết nối tối ưu hóa hiệu suất và có thể làm giảm đáng kể thời gian chờ đợi.
Kết nối nhiều mạng (Multi-homed) thường được kết nối với các ISP khác nhau (Internet Service Providers - nhà cung cấp dịch vụ Internet). Mỗi ISP gán một địa chỉ IP (hoặc dải địa chỉ IP) cho công ty hoặc doanh nghiệp của bạn.

Router sử dụng BGP (Border Gateway Protocol), một phần của giao thức TCP / IP, để định tuyến giữa các mạng sử dụng các giao thức khác nhau. Trong một mạng multi-homed, router sử dụng IBGP (Internal Border Gateway Protocol) ở Stub Domain, và EBGP (External Border Gateway Protocol) để giao tiếp với các router khác.

Multi-homing sẽ tạo ra sự khác biệt nếu một trong các kết nối tới ISP bị hỏng. Ngay sau khi Router được gán kết nối với ISP để xác định rằng kết nối đang bị hỏng, Router sẽ định tuyến lại tất cả các dữ liệu thông qua một trong các router khác.

NAT có thể được sử dụng để mở rộng định tuyến cho multi-homed, cung cấp nhiều kết nối hơn.

Tham khảo thêm:

Chúc các bạn vui vẻ!

Thứ Năm, 24/12/2015 08:18
51 👨 4.417