Chương 2 Giao thức mạng riêng ảo tại tẩng 2
4.2 Chuyển dịch địa chỉ mạng(NAT)
Ban đầu NAT được đề xuất như một giải pháp ngắn hạn cho vấn đề cạn kiệt địa chỉ IP. Tuy nhiên, NAT cũng là một phương tiện hiệu quả để ngăn chặn các Hacker và người dùng bên ngoài xâm nhập vào mạng. Để đảm bảo truyền thông giữa 2 nơi bất kỳ trên Internet, tất cả địa chỉ IP phải được gán một cách chính thức bởi IANA. Điều này trở nên khó khăn hơn để hồn thành vì số lượng các dãi địa chỉ sẵn dùng bây giờ bị giới hạn. Trước đây, nhiều tổ chức sử dụng các địa chỉ IP cục bộ, không nghĩ tới yêu cầu kết nối Internet. Ý tưởng của NAT dựa trên thực tế là chỉ một số lượng nhỏ các Host trong một mạng riêng đang liên lạc với thế giới bên ngoài. Nếu mỗi Host được gán một địa chỉ IP từ quĩ địa chỉ IP chính thức chỉ lúc nó cần liên lạc, thì chỉ có một số lượng nhỏ địa chỉ chính thức được yêu cầu. NAT là một giải pháp cho các mạng có dãi địa chỉ IP riêng hoặc các địa chỉ trái phép và muốn liên các với các Host trên Internet. Trong thực tế, điều này có thể được hồn tất bởi việc thực thi một firewall. Vì lý do, các Client liên lạc với Internet bằng việc sử dụng một Proxy hoặc SOCKS Server không để lộ địa chỉ của họ với Interner, nên địa chỉ của họ không phải dịch chuyển. Tuy nhiên, vì nhiều lý do, lúc một Proxy hay SOCKS không sẵn
sàng hoặc không phù hợp với các yêu cầu đặc biệt, NAT phải được dùng để quản lý lưu lượng giữa mạng bên trong và bên ngồi để khơng quảng cáo địa chỉ các Host bên trong ra bên ngồi.
Xét một mạng bên trong có dựa trên khơng gian địa chỉ IP riêng và người dùng muốn dùng một giao thức ứng dụng khơng có cổng kết nối ứng dụng. Chỉ có tùy chọn là thiết lập kết nối mức IP giữa các Host ở mạng bên trong và các Host trên Internet, Vì các bộ định tuyến sẽ khơng biết cách thức định tuyến các gói IP trở lại địa chỉ IP riêng, khơng có điểm nào để gửi các gói IP với địa chỉ IP riêng là địa chỉ IP nguồn qua một Router vào Internet. Như trong hình 4.5, NAT lưu giữ các địa chỉ này bằng cách lấy địa chỉ IP của gói dữ liệu ra và dịch nó thành một địa chỉ chính thức, Với các gói vào nó dịch địa chỉ chính thức thành một địa chỉ trong.
Hình 4.5 Dịch chuyển địa chỉ mạng
Từ vị trí của hai Host trao đổi các gói IP với nhau, một mạng an tồn và một mạng khơng an tồn, NAT giống như một bộ định tuyến IP chuẩn chuyển tiếp các gói IP giữa 2 giao diện mạng(Xem hình 4.6)
Hình 4.6 NAT giữa mạng an tồn và mạng khơng an tồn
NAT làm việc tốt với địa chỉ IP trong phần tiêu đề. Một số giao thức ứng dụng trao đổi thông tin địa chỉ IP trong phần dữ liệu ứng dụng của một gói IP, và thơng thường NAT sẽ khơng có khả năng lưu giữ bản dịch chuyển của địa chỉ IP trong giao thức ứng dụng. Hiện tại, hầu hết sự thực thi xử lý giao thức FTP. Nên chú ý rằng sự thực thi của NAT cho các ứng dụng đặc biệt có thơng tin IP trong dữ liệu ứng dụng là phức tạp hơn nhiều so với sự thực thi NAT chuẩn.
Giới hạn quan trọng khác của NAT là NAT thay đổi một số hoặc tất cả thơng tin địa chỉ trong một gói IP. Lúc xác thực IPSec đầu cuối - đến - đầu cuối được dùng, địa chỉ của gói đã được thay đổi sẽ ln thất bại khi kiểm tra tính tồn vẹn dưới giao thức xác thực tiêu đề(AH), vì bất kỳ một bít nào bị thay đổi trong gói dữ liệu sẽ làm mất hiệu lực giá trị kiểm tra toàn vẹn đa được tạo bởi nguồn. Vì vậy giao thức IPSec đề xuất một số giải pháp để giải quyết vấn đề địa chỉ được lưu giữ trước bởi NAT, không cần thiết dùng NAT lúc tất cả các Host tạo nên tổng thể một mạng riêng ảo sử dụng các địa chỉ IP toàn cục duy nhất(Public). Việc ẩn địa chỉ có thể được hoàn tất bởi chế độ đường hầm của IPSec. Nếu một Công ty sử dụng các địa chỉ riêng trong mạng Intranet, chế độ đường hầm của IPSec giữ cho chúng không xuất hiện ở dạng rõ trong mạng cơng cộng, nó loại trừ sự cần thiết có NAT.