Network Address Translation là kỹ thuật cho phép sửa đổi địa chỉ trong Header của các gói tin khi di chuyển qua các thiết bị có tính năng Routing, mục đích để ánh xạ lại các địa chỉ sang mạng bên kia...
Dịch vụ NAT có trong các phiên bản Windows Server cho phép bạn kết nối các mạng riêng, có địa chỉ IP cục bộ ra Internet. Máy chủ NAT sẽ chặn các yêu cầu ra Internet của client, thay đổi giá trị địa chỉ gửi trên gói tin IP thành địa chỉ card mạng ngoài của NAT Server và gửi ra ngoài Internet. Khi nhận dữ liệu trả lời từ Internet, NAT Server sẽ kiểm tra "bảng NAT" của nó và chuyển tới đúng máy tính đã yêu cầu trong mạng LAN cục bộ.
Thực ra, máy chủ Windows Server NAT chính là một bộ chuyển đổi địa chỉ và cổng, bởi vì máy chủ NAT không chỉ chuyển đổi địa chỉ IP nơi gửi dữ liệu trên gói tin IP, mà nó còn chuyển đổi cả cổng gửi dữ liệu.
1. Những hỗ trợ NAT nâng cao
NAT không những cho phép bạn kết nối mạng riêng ra Internet mà còn cho phép bạn đi từ Internet vào mạng riêng của bạn. Khi này, bạn đang thực hiện một “reverse NAT” – “NAT ngược”. Địa chỉ IP của host ngoài Internet sẽ được thay thế bằng địa chỉ card mạng Internet của máy chủ NAT, chuyển tiếp đến host bên trong mạng cục bộ với địa chỉ nguồn là địa chỉ card Internet của NAT server.
Bạn cũng có thể cấu hình NAT server hỗ trợ các chương trình cần phải sử dụng các cổng được định nghĩa trước trên nó. Nhiều trò chơi game online đòi hỏi game server trên Internet có thể gửi trả lời cho máy tính của bạn ở một cổng hay một dải cổng đã được xác định trước.
2. Thẻ Address Pool
Sau khi cấu hình card Internal và External sẽ được sử dụng bởi NAT server, bạn chuột phải lên card External và chọn Properties. Ở hộp thoại Properties xuất hiện, chọn thẻ Address Pool.
Tác dụng của thẻ Address Pool là gì? Nếu bạn có nhiều địa chỉ IP thuê từ ISP, bạn có thể cấu hình máy chủ NAT sử dụng tất cả chúng cho việc chuyển đổi địa chỉ. Bạn nhấn vào nút Add, nhập vào địa chỉ bắt đầu, subnet-mask và địa chỉ cuối cùng. Bạn chú ý là chương trình sẽ tự động tính địa chỉ cuối cùng trong mạng con tương ứng với địa chỉ bắt đầu và subnet-mask mà bạn đã nhập. Nếu cần, bạn có thể thay đổi, còn nếu không bạn có thể để nguyên như vậy.
Sau đó, NAT server sẽ sử dụng tất cả địa chỉ mà bạn đã thêm vào trong thẻ Address Pool cho việc chuyển đổi địa chỉ. Ví dụ tôi thêm vào những địa IP public như sau:
192.168.1.1
192.168.1.2
192.168.1.3
Và các máy tính ở mạng Internal sẽ được gán những địa chỉ trên khi truy cập ra Internet. Giả sử client 01 khi truy cập Internet thì sẽ được sử dụng địa chỉ 192.168.1.1, client 02 sử dụng địa chỉ 192.168.1.2, client 03 sử dụng địa chỉ 192.168.1.3. Nếu client tiếp theo truy cập Internet, và hai client 01 và 02 chưa hết hạn sử dụng địa chỉ public thì các client tiếp theo sẽ sử dụng địa chỉ 192.168.1.3.
3. Reserve public address
Bạn có thể làm ngược lại, tức là sử dụng một địa chỉ IP public trong danh sách Address Pool vừa rồi cho một máy tính nào đó trong mạng Internal. Ví dụ trong mạng Internal bạn có máy 172.16.0.10, và bạn muốn máy đó luôn sử dụng địa chỉ IP public là 192.168.1.3. Khi đó máy 172.16.0.10 trong Internal của bạn sẽ luôn được "ưu tiên" sử dụng địa chỉ public 192.168.1.3, không một máy tính nào khác trong Internal được sử dụng địa chỉ 192.168.1.3 trong các tiến trình NAT. Nếu bạn muốn chuyển tất cả kết nối tới địa chỉ public 192.168.1.3 sang máy tính Internal 172.16.0.10 thì tích vào checkbox "Allow incoming sessions to this address".
Để mở hộp thoại Add Reservation, bạn nhấn vào nút Reservations trên hộp thoại Properties của card mạng.
Chúng ta ví dụ một ứng dụng hữu ích của tính năng này. Bạn có một Email server o mạng nội bộ Internal, có địa chỉ 172.16.0.10, bạn có thể cấu hình Reservation NAT chuyển tất cả yêu cầu tới địa chỉ public 192.168.1.3 sang Email server trong Internal. Điều đó cũng tránh việc các máy client khác trong Internal sử dụng địa chỉ IP public 192.168.1.3.
4. NAT những cổng đặc biệt
Nhiều khi bạn muốn điều khiển những gói tin nào sẽ được gửi tới các máy trong Internal. Trong ví dụ ở trên, tất cả gói tin gửi tới địa chỉ 192.168.1.3 sẽ được chuyển tới máy email server trong Internal. Bạn có thể không hoàn toàn muốn như thế, bạn chỉ muốn những gói tin trên cổng 25 được chuyển vào email server. Bạn không muốn gói tin ở những cổng khác được gửi vào email server.
Trong trường hợp này, thay vì tạo ra một địa chỉ Reservation, bạn có thể thêm vào một "special ports". Sang thẻ Services and Port, bạn có thể lựa chọn một service có sẵn trong danh sách nếu cổng bạn muốn cấu hình nằm trong đó. Windows Server 2003 tự động tạo ra khá nhiều service cho những cổng thông dụng. Nếu không bạn có thể nhấn nút Add để tạo ra một service mới trên cổng bạn muốn.
Trong ô Description of Service, bạn nhập dòng mô tả cho dịch vụ. Ở phần public address, bạn có thể chọn "Address pool entry" và nhập vào địa chỉ IP public mà bạn muốn sử dụng. Bạn điền protocol, private address - địa chỉ của host tương ứng trong internal, Incoming Port và Outgoing Port. Lưu ý trước khi tạo ra một service, bạn phải tạo các địa chỉ trong Address Pools, và card mạng External của bạn cũng phải sử dụng địa chỉ IP tĩnh.
Nhiều người không hiểu Incoming Port và Outgoing Port là gì. Incoming Port là cổng cho các yêu cầu từ Internet vào, và Outgoing Port là cổng bạn muốn NAT server sử dụng khi nó gửi các yêu cầu tới host trong Internal từ card mạng Internal. Thường thì Incoming Port và Outgoing Port giống nhau, ví dụ cho một SMTP Server là 25.
5. Tổng kết
NAT là một dịch vụ tuyệt vời. Nó cho phép client từ Internal sử dụng địa chỉ IP cục bộ để kết nối tới Internet và ngược lại, bạn có thể cấu hình để chuyển tiếp các gói tin đến một địa chỉ external vào một địa chỉ cục bộ nào đó. Đó là kỹ thuật "reverse NAT", cho phép người dùng từ Internet truy cập đến các tài nguyên trong mạng cục bộ. Bạn có thể cấu hình chuyển tiếp tất cả lưu lượng vào một địa chỉ trong Internal, hay chỉ cho phép các gói tin trên những cổng xác định truyền qua bằng cách sử dụng Services and Ports.
[Nghean-Aptech]