Về cơ bản, Dịch địa chỉ mạng (NAT) là một cơ chế quan trọng trong thế giới mạng. Đầu tiên, nó cho phép nhiều thiết bị chia sẻ một địa chỉ IP công cộng. Ngoài ra, nó còn cải thiện tính bảo mật và quản lý hiệu quả tình trạng thiếu địa chỉ IPv4.
Ở cuối bài viết, bạn sẽ tìm thấy một phần nhỏ thử nghiệm điều đó sẽ cho phép bạn đánh giá kiến thức thu được trong bài đọc này
Sân khấu
Hãy tưởng tượng một văn phòng có nhiều nhân viên sử dụng thiết bị kết nối Internet. Nếu không có NAT, mỗi thiết bị sẽ yêu cầu địa chỉ IP công cộng riêng. Ngược lại, nhờ NAT, tất cả các thiết bị có thể chia sẻ một địa chỉ IP công cộng duy nhất, lưu địa chỉ IP và đơn giản hóa việc quản lý mạng.
Các loại địa chỉ IP
Để hiểu cách thức hoạt động của nó, điều quan trọng là phải biết các loại địa chỉ IP liên quan đến quy trình.
- Đầu tiên, có các địa chỉ IP riêng, được gán cho từng thiết bị trong mạng nội bộ.
- Thứ hai, có những địa chỉ IP công cộng, dùng để liên lạc với các thiết bị bên ngoài qua Internet.
NAT đóng vai trò trung gian, dịch địa chỉ IP riêng thành địa chỉ IP công cộng và ngược lại.
Ví dụ minh họa quá trình
Giả sử một nhân viên muốn truy cập một trang web từ máy tính của mình.
- Máy tính gửi yêu cầu với địa chỉ IP riêng của nó làm nguồn.
- NAT, khi nhận được yêu cầu, sẽ dịch nó, thay thế địa chỉ IP riêng bằng địa chỉ IP công cộng được gán cho bộ định tuyến.
- Bằng cách này, yêu cầu sẽ đến máy chủ web với địa chỉ IP công cộng là người gửi.
- Khi máy chủ phản hồi, phản hồi sẽ được gửi đến địa chỉ IP công cộng.
- NAT một lần nữa khởi động và dịch địa chỉ IP công cộng sang địa chỉ IP riêng tương ứng, cho phép máy tính nhận được phản hồi.
Điều quan trọng cần lưu ý là có nhiều loại NAT khác nhau:
- NAT tĩnh
- NAT động
- Dịch địa chỉ cổng (PAT).
Mỗi người trong số họ có những đặc điểm riêng và ứng dụng cụ thể.
Ví dụ: NAT tĩnh gán một địa chỉ IP công cộng duy nhất cho mỗi địa chỉ IP riêng tư, trong khi NAT động sử dụng một nhóm địa chỉ IP công cộng được chỉ định luân phiên.
Về phần mình, PAT cho phép nhiều thiết bị chia sẻ một địa chỉ IP công cộng bằng cách dịch số cổng, thay vì địa chỉ IP.
Tóm lại
Bằng cách cho phép nhiều thiết bị chia sẻ một địa chỉ IP công cộng, bạn sẽ tối ưu hóa việc sử dụng địa chỉ IPv4 và cải thiện tính bảo mật của mạng nội bộ.
Ngoài ra, khả năng dịch địa chỉ IP riêng thành địa chỉ IP công cộng và ngược lại tạo điều kiện giao tiếp giữa các thiết bị bên trong và bên ngoài, do đó đảm bảo trải nghiệm người dùng hiệu quả và liền mạch.
Cách triển khai NAT với MikroTik RouterOS
Tiếp theo, chúng tôi sẽ giải thích chi tiết cách triển khai NAT trên thiết bị MikroTik bằng RouterOS.
1.- Truy cập vào giao diện RouterOS
Trước tiên, bạn phải truy cập vào giao diện quản trị của thiết bị MikroTik của mình. Bạn có thể thực hiện việc này bằng công cụ đồ họa “Winbox” trong Windows hoặc thông qua giao diện web.
2.- Điều hướng đến cấu hình NAT
Khi ở trong giao diện RouterOS, hãy chuyển đến phần “IP” trong menu chính và chọn “Tường lửa”. Ở đây bạn sẽ tìm thấy một số tab, bao gồm cả “NAT”.
3.- Thêm quy tắc NAT mới
Nhấp vào nút “Thêm” (ký hiệu bằng dấu “+”) để tạo quy tắc NAT mới. Một cửa sổ cấu hình sẽ mở ra nơi bạn có thể xác định các thuộc tính quy tắc.
4.- Xác định chuỗi và hành động
Trong cửa sổ cấu hình quy tắc, chọn chuỗi thích hợp, đó là “srcnat” cho NAT nguồn hoặc “dstnat” cho NAT đích. Tiếp theo, chọn hành động bạn muốn thực hiện, chẳng hạn như “giả trang” cho NAT nguồn hoặc “dst-nat” (dịch địa chỉ đích) cho NAT đích.
5.- Thiết lập các điều kiện của quy tắc
Ở giai đoạn này, bạn phải chỉ định các điều kiện mà quy tắc NAT sẽ được áp dụng. Ví dụ: nếu bạn muốn áp dụng NAT nguồn cho lưu lượng truy cập từ mạng nội bộ của mình tới Internet, bạn có thể định cấu hình tệp “Out. Giao diện” là giao diện WAN và “Địa chỉ” trong “Src. Địa chỉ” là phạm vi địa chỉ IP riêng trên mạng nội bộ của bạn.
6.- Cấu hình dịch địa chỉ và cổng
Nếu bạn đang định cấu hình NAT đích, bạn cần chỉ định cách dịch địa chỉ IP và số cổng. Trên tab “Hành động”, chọn “dst-nat” làm hành động, sau đó đặt “Tới địa chỉ” và “Tới cổng” nếu cần.
7.- Lưu và áp dụng quy tắc
Khi bạn đã định cấu hình tất cả các tham số cần thiết, hãy nhấp vào “OK” để lưu quy tắc. Quy tắc NAT mới sẽ xuất hiện trong danh sách các quy tắc trong tab “NAT” của tường lửa.
8.- Xác minh và giám sát quy tắc
Để đảm bảo quy tắc NAT hoạt động chính xác, hãy kiểm tra lưu lượng truy cập đi qua quy tắc và xem lại số liệu thống kê do RouterOS cung cấp. Nếu cần, hãy điều chỉnh cài đặt quy tắc để cải thiện hiệu suất hoặc khắc phục sự cố.
Cấu hình trên bộ định tuyến MikroTik bằng dòng lệnh
Dưới đây là ví dụ về cách định cấu hình NAT nguồn (giả trang) trên thiết bị MikroTik bằng dòng lệnh. Cấu hình này cho phép các thiết bị trên mạng nội bộ truy cập Internet bằng địa chỉ IP công cộng được gán cho bộ định tuyến MikroTik.
Giả sử giao diện WAN (kết nối Internet) là “ether1” và dải địa chỉ IP riêng của mạng nội bộ là “192.168.1.0/24”. Cấu hình NAT nguồn (giả trang) sẽ trông như thế này:
# Ingresa al terminal del router MikroTik
[admin@MikroTik] >
# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN
# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP dinámica)
[admin@MikroTik] > ip dhcp-client add interface=WAN disabled=no
# Configura la dirección IP en la interfaz LAN (la interfaz que se conecta a la red interna)
[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=LAN
# Agrega la regla de NAT de origen (masquerade) para el tráfico que sale de la red interna hacia Internet
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=WAN action=masquerade
Ví dụ này là định cấu hình NAT đích (dst-nat) trên thiết bị MikroTik bằng dòng lệnh. Cấu hình này cho phép người dùng Internet truy cập máy chủ web nội bộ (ví dụ: 192.168.1.100) trên cổng 80 thông qua địa chỉ IP công cộng của bộ định tuyến MikroTik.
Giả sử giao diện WAN là “ether1” và địa chỉ IP công cộng được gán cho bộ định tuyến MikroTik là “203.0.113.2”. Cấu hình NAT đích sẽ như thế này:
# Ingresa al terminal del router MikroTik
[admin@MikroTik] >
# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN
# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP estática)
[admin@MikroTik] > ip address add address=203.0.113.2/24 interface=WAN
# Agrega la regla de NAT de destino (dst-nat) para el tráfico que ingresa desde Internet hacia el servidor web interno
[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=203.0.113.2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80
Các ví dụ cấu hình này có thể áp dụng được nếu bạn sử dụng dòng lệnh trong RouterOS. Tuy nhiên, bạn cũng có thể áp dụng các cài đặt này bằng công cụ đồ họa “Winbox” hoặc giao diện web, làm theo các bước được đề cập ở trên.