1
Sử dụng hiệu quả tài nguyên
IP, các phương pháp chuyển
đổi địa chỉ NAT
Đoàn Duy Hưng
Nguyễn Ngọc Huân
Mai Hùng Tiệp
IP
• IP (Internet Protocol) là 1 giao thức quan trọng
trong bộ giao thức TCP/IP được sử dụng chủ
yếu trên Internet ngày nay, IP hoạt động ở lớp 3
(Network Layer) của mô hình OSI.
• Đặc điểm của giao thức IP:
+ Không tin cậy (Unreliable)
+ Không kết nối (Connectionless)
•Chức năng chính của giao thức IP:
+ Đánh địa chỉ (Addressing)
+ Phân mảnh (Fragmentation)
2
Tài nguyên IP
• Source IP Address, Destination IP Address gọi
chung là IP Address chính là tài nguyên IP
• Địa chỉ IP (IP Address) là một số nhị phân 32 bit
10101010101010101010101010101010
• Để thuận tiện và thân thiện với con người địa chỉ
IP thường được biểu diễn dưới dạng w.x.y.z
trong đó w, x, y, z là các giá trị thập phân từ 0
đến 255
3
• Địa chỉ IP là địa chỉ luận lý (logical), có cấu trúc
phân cấp (hierachical), rất thích hợp để sử dụng
trên Internet.
• Phân lớp địachỉ IP
4
Không gian địa chỉ IP
• IANA: Internet Assigned Numbers Authority
• ARIN (North America), RIPE NCC (Europe), APNIC (Asia/Pacific), LACNIC
(Latin America), AfriNIC (Africa)
Dự đoán về không gian địa chỉ IP
5
Các phương pháp sử dụng hiệu
quả nguồn tài nguyên IP
•Phương pháp tạm thời:
CIDR (Classless Inter Domain Routing)
NAT (Network Address Tranlastion)
Dynamic IP
•Phương pháp lâu dài:
IPv6 (Internet Protocol Version 6)
•CIDR
IANA không cấp phát địa chỉ IP theo các giới
hạn cũ kĩ, cứng nhắc theo lớp A, B, C nữa.
Phương pháp mới được đưa ra là cấp phát địa
chỉ theo các “/x (slash x)” trong đó x là con số
tượng trưng cho số bits trong phạm vi địa chỉ IP
mà IANA kiểm soát.
Vd: IANA gán cho ta dải địa chỉ
203.162.4.4/30 nghĩa là dải địa chỉ IP mà ta
được cấp nằm trong khoảng từ 203.162.4.4 cho
đến 203.162.4.8
Slash 8 = Class A
Slash 16 = Class B
Slash 24 = Class C
6
• Dynamic IP: theo dõi hoạt động của một
máy trên mạng, chỉ khi nào máy đócần
kết nối mạng ta mới gán địa chỉ IP cho nó.
• IPv6: là thế hệ tiếp theo của giao thức IP
hiện nay, IPv6 sử dụng tới 128 bit để đánh
địa chỉ, 1 địa chỉ IPv6 được viết là 1 dãy
32 số hex như sau:
21DA:00D3:0000:2F3B:02AA:00FF:FE28:
9C5A
NAT
7
Tổng quan về NAT
• Nework Address Tranlastion
•Chức năng: Chuyển đổi địa chỉ IP
•Mục đích: Tiết kiệm tài nguyên IP
Các thuật ngữ và khái niệm
•Miền địa chỉ (Address Realm)
• Định tuyến trong suốt (Transparent Routing)
8
•Luồng phiên và luồng dữ liệu (Session
flow and Packet flow)
–Luồng dữ liệu chỉ ra hướng mà gói dữ liệu di
chuyển so với giao diện mạng
–Luồng phiên chỉ ra hướng mà phiên được
khởi tạo so với giao diện mạng. Hướng của
phiên được xác định bởi hướng của gói tin
đầu tiên của luồng dữ liệu
• TU ports, Server ports, Client ports
•Bắt đầu một phiên TCP, UDP
–Với TCP đó là gói tin đầu tiên có SYN bit là 1
và ACK bit là 0
–Với UDP giả sử đó là gói tin đầu tiên mà các
tham số của phiên chưa tồn tại trước đó.
•Kết thúc một phiên TCP, UDP
–Với TCP là khi gói tin FIN được báo nhận bởi
cả 2 đầu của phiên làm việc
–Với UDP không có cách nào để biết được khi
nào một phiên kết thúc.
9
• Public/Global/External Network :Là mạng được
gán một dải địa chỉ duy nhất có thể định tuyến
được trên Internet do IANA gán.
• Private/Local Network: là mạng được gán một
dải địa chỉ theo RFC 1918, không phải là duy
nhất, không thể định tuyến được trên Internet
bao gồm:
– 1 Class A: 10.0.0.0/8
– 16 Class B: 172.16.0.0/12
– 256 Class C: 192.168.0.0/24
• Application Level Gateway là các ứng dụng hỗ
trợ cho việc chuyển đổi địa chỉ.
Nat là gì?
• Nat là phương pháp chuyển đổi địa chỉ IP
từ một miền này sang một miền khác,
cung cấp việc định tuyến trong suốt cho
người dùng.
•Các đặc điểm của NAT
– Gán địa chỉ trong suốt
– Định tuyến trong suốt thông qua việc chuyển
đổi địa chỉ
– Chuyển đổi thông tin trong các gói tin ICMP
10
• Gán địa chỉ trong suốt (Transparent
Address Assignment): Gán các địa chỉ
trong dải cụcbộ bằng các địa chỉ trong dải
toàn cụcvà ngược lại để cung cấp việc
định tuyến trong suốt giữa các dải địa chỉ.
– Gán tĩnh: gán 1-1 giữa các địa chỉ private và
public trong suốt quá trình hoạt động của NAT
– Gán động: gán cho đến khi không còn phiên
làm việc nào sử dụng địa chỉ này.
• Định tuyến trong suốt: Định tuyến ở đây có
nghĩa là việc chuyển tiếp các gói tin bằng việc
chuyển đổi địa chỉ IP, không phải là việc trao đổi
thông tin định tuyến
– Liên kết địa chỉ: liên kết một địa chỉ cục bộ với một địa
chỉ toàn cục và ngược lại
– Tìm kiếm và chuyển đổi địa chỉ: ngay khi một phiên
làm việc được thiết lập, tất cả các gói tin thuộc về
phiên này sẽ tìm kiếm các liên kết địa chỉ đã được
thiết lập và chuyển đổi địa chỉ.
–Giải phóng địa chỉ: giải phóng các liên kết địa chỉ đã
được thiết lập khi không còn phiên nào sử dụng liên
kết này nữa.
11
• Chuyển đổi các gói tin báo lỗi ICMP
Ngoài việc chuyển đổi địa chỉ trong IP Header,
khi một gói tin ICMP đi qua một thiết bị NAT thì
trường dữ liệu và trường kiểm tra lỗi cũng cần
phải được chuyển đổi thích hợp.
Phân Loại NAT
•NAT một chiều (Unidirectional/ Traditional
/Outbond NAT)
–NAT cơ sở (Basic NAT)
– NAPT (Network Address Port Tranlastion)
• NAT hai chều (Bi-directional/ Two-way
NAT)
• NAT hai lần (Twice NAT)
• NAT nhiều đường (Multihome NAT)
12
+ Inside Local Address + Inside Global Address
+ Outside Local Address + Outside Global Address
NAT cơ sở
13
NAPT
NAT hai chiều
14
NAT hai lần
NAT nhiều đường
15
Những giới hạn của NAT
•Những ứng dụng có chứa địa chỉ IP trong
phần dữ liệu cần truyền đi.
•Những ứng dụng cần cung cấp các kết nối
bảo mật dựa trên IPsec.
•Những vấn đề về gỡ rối
• Chuyển đổi với gói tin FTP control phân
mảnh