NAT Là Gì? Vì Sao Bạn Không Thể Truy Cập Internet Nếu Thiếu NAT?

Trong thời đại Internet phủ sóng toàn cầu, việc kết nối hàng tỷ thiết bị đòi hỏi một lượng lớn địa chỉ IP. Tuy nhiên, địa chỉ IPv4 là hữu hạn. Đó là lý do tại sao NAT (Network Address Translation) ra đời và trở thành một phần không thể thiếu trong hạ tầng mạng hiện đại. Bài viết này sẽ giúp bạn hiểu rõ:

• Sự khác nhau giữa IP Public và IP Private
• NAT là gì và tại sao lại cần NAT
• Nguyên lý hoạt động của NAT
• Các loại NAT và ứng dụng thực tế

IP Public (địa chỉ IP công cộng) là địa chỉ có thể truy cập từ Internet. Nó là duy nhất trên toàn thế giới và được cấp phát bởi tổ chức IANA thông qua các nhà cung cấp dịch vụ Internet (ISP).

IP Private (địa chỉ IP riêng) được sử dụng trong mạng nội bộ (LAN) và không thể truy cập trực tiếp từ Internet. Các dải địa chỉ private được định nghĩa trong RFC 1918:

• 10.0.0.0 – 10.255.255.255
• 172.16.0.0 – 172.31.255.255
• 192.168.0.0 – 192.168.255.255

Vì IP Private không thể truy cập trực tiếp từ Internet, thiết bị nội bộ cần một cơ chế trung gian – và đó là lúc NAT phát huy tác dụng.

NAT (Network Address Translation) là kỹ thuật được sử dụng trên router hoặc firewall để chuyển đổi địa chỉ IP giữa mạng nội bộ (private) và mạng bên ngoài (public). Nhờ NAT, nhiều thiết bị trong mạng LAN có thể cùng chia sẻ một hoặc một vài địa chỉ IP công cộng để truy cập Internet.

IPv4 chỉ có khoảng 4.3 tỷ địa chỉ (2³²) – nghe có vẻ nhiều, nhưng thực tế lại không đủ cho hàng tỷ thiết bị toàn cầu hiện nay (máy tính, điện thoại, TV, IoT…). Việc cấp phát IP public cho từng thiết bị là không khả thi. NAT cho phép nhiều thiết bị nội bộ dùng chung một hoặc một vài IP public để truy cập Internet, từ đó tiết kiệm tài nguyên địa chỉ.

Ví dụ: Trong một văn phòng có 100 máy tính, chỉ cần 1 địa chỉ IP public nếu dùng PAT (Port Address Translation).

Thiết bị sử dụng địa chỉ IP private sẽ không thể bị truy cập trực tiếp từ Internet nếu không có cấu hình Port Forwarding hoặc NAT tĩnh. Điều này tạo thành một lớp bảo vệ tự nhiên, giúp ngăn chặn các truy cập trái phép từ bên ngoài vào mạng LAN. NAT hoạt động như một firewall đơn giản, giúp ẩn toàn bộ cấu trúc nội bộ khỏi Internet.

Với NAT (đặc biệt là PAT), nhiều thiết bị có thể cùng lúc truy cập Internet qua một kết nối duy nhất mà không gây xung đột địa chỉ. Router (modem) thực hiện NAT sẽ xử lý đồng thời hàng trăm kết nối mà vẫn giữ nguyên sự tách biệt giữa các thiết bị nội bộ.

Khi cần truy cập từ xa vào một thiết bị nội bộ (ví dụ camera, máy chủ web nội bộ), NAT cho phép thiết lập Port Forwarding để ánh xạ lưu lượng từ bên ngoài về đúng thiết bị. Điều này vừa đảm bảo bảo mật (chỉ mở port cần thiết), vừa giúp truy cập linh hoạt từ Internet.

NAT giúp thiết kế mạng nội bộ độc lập với mạng bên ngoài, không bị ràng buộc bởi IP public, dễ dàng thay đổi kiến trúc mạng nội bộ mà không ảnh hưởng đến kết nối Internet, hỗ trợ các mô hình mạng phức tạp như VPN, Load Balancing, Failover…

NAT hoạt động bằng cách ghi lại bảng ánh xạ (translation table) giữa địa chỉ IP private và IP public (kèm số port nếu dùng PAT).

Khi thiết bị trong mạng LAN gửi gói tin ra Internet:

1. Gói tin gốc có địa chỉ nguồn là IP private (ví dụ: 192.168.1.10).
2. Router NAT thay đổi địa chỉ nguồn thành IP public (ví dụ: 203.0.113.1), có thể kèm theo port mới.
3. Gói tin được gửi ra Internet.

Khi phản hồi từ Internet quay về:

1. Gói tin đến router NAT với địa chỉ đích là IP public.
2. Router tra bảng ánh xạ để xác định địa chỉ IP private tương ứng.
3. NAT thay đổi địa chỉ đích thành IP private ban đầu và chuyển gói tin về đúng thiết bị.

Ánh xạ cố định giữa một địa chỉ IP private và một địa chỉ IP public.

Gói tin đi ra và đi vào đều sử dụng ánh xạ không thay đổi.

Ứng dụng:

• Dùng khi cần truy cập từ bên ngoài Internet vào một thiết bị nội bộ cụ thể như web server, mail server.
• Quản lý dễ dàng, nhưng tiêu tốn nhiều địa chỉ IP public.

Các địa chỉ IP private được ánh xạ tạm thời với địa chỉ IP public từ một pool có sẵn.

Không đảm bảo thiết bị luôn nhận cùng một IP public.

Ứng dụng:

• Phù hợp với mạng lớn có nhiều thiết bị truy cập Internet nhưng không cần truy cập ngược từ ngoài vào trong.
• Hiệu quả trong chia sẻ tài nguyên IP public.

Cho phép nhiều thiết bị nội bộ dùng chung một địa chỉ IP public bằng cách gán thêm số port.

NAT phân biệt các kết nối bằng cặp IP-port nguồn/đích.

Ứng dụng:

• Được sử dụng phổ biến nhất trong mạng gia đình, văn phòng nhỏ.
• Giúp hàng trăm thiết bị truy cập Internet qua một IP public duy nhất.

Là kỹ thuật mở rộng từ Static NAT hoặc PAT, cho phép chuyển tiếp lưu lượng từ một cổng cụ thể trên IP public về một IP private và cổng tương ứng trong mạng nội bộ.

Router NAT nhận gói tin đến địa chỉ IP public (kèm port), kiểm tra cấu hình Port Forwarding, rồi chuyển tiếp đến đúng thiết bị nội bộ.

Ví dụ:

• Bạn có một camera IP với địa chỉ nội bộ 192.168.1.100, cổng 8080.
• Router được cấu hình chuyển tiếp cổng 8080 từ IP public 203.0.113.10 về 192.168.1.100:8080.
• Khi bạn truy cập http://203.0.113.10:8080, NAT sẽ đưa gói tin tới đúng thiết bị.

Ứng dụng:

• Được sử dụng phổ biến nhất trong mạng gia đình, văn phòng nhỏ.
• Giúp hàng trăm thiết bị truy cập Internet qua một IP public duy nhất.

Lưu ý : Nên kết hợp Port Forwarding với firewall, VPN hoặc giới hạn IP truy cập để tránh lộ dịch vụ nội bộ ra Internet một cách không an toàn.

NAT là giải pháp hiệu quả giúp tiết kiệm địa chỉ IPv4, tăng cường bảo mật, tối ưu hóa kết nối Internet cho mạng nội bộ. Dù trong tương lai NAT có thể ít được sử dụng hơn nhờ IPv6, nhưng ở thời điểm hiện tại, NAT vẫn là một phần cốt lõi trong thiết kế mạng.