NAT : Network Address Translation


NAT คืออะไร?
Network Address Translation NAT เป็นวิธีการหนึ่งในการแปลงและแปลไอพีแอดเดรสของเครือข่ายภายใน ให้เป็น ไอพีแอดเดรส ซึ่งเป็นที่ยอมรับและสื่อสารบนอินเทอร์เนต
NAT ให้ประโยชน์มากมายหลายรายการ อาทิ เช่นท่านสามารถใช้ไอพีแอดเดรสที่ตั้งขึ้นมาเองได้ (ซึ่งเป็น ไอพีแอดเดรส ที่ไม่ต้องจดทะเบียนบนอินเทอร์เนต) เพียงแต่ใช้ไอพีแอดเดรสที่ผู้ให้บริการอินเทอร์เนตให้มาก็พอ อีกทั้งยังสามารถซ่อน ไอพีแอดเดรส ที่อยู่ในเครือข่าย (ไอพีแอดเดรสที่ท่านกำหนดขึ้นมาเอง ) ได้ ทำให้มีความปลอดภัย รวมทั้งไม่จำเป็นต้องอ้างแอดเดรสเลขหมายซ้ำๆอีก เมื่อต้องการติดต่อกับอินเทอร์เนต หรือ เครือข่ายขององค์กร อย่างไรก็ดี การใช้ NAT มิใช่ทางเลือกการเชื่อมต่อที่ดีที่สุด รวมทั้งการประหยัด 

 เมื่อใดที่ท่านควรใช้ NAT
การใช้ NAT เพื่อจุดมุ่งหมายขั้นพื้นฐาน มีดังนี้
  • NAT ยอมให้ท่านสามารถซ่อน ไอพีแอดเดรส ของเครือข่ายภายในองค์กร ด้วยจุดประสงค์เพื่อรักษาความปลอดภัย เมื่อบุคคลภายนอกไม่สามารถล่วงรู้ IP จริงภายในของเรา ก็ย่อมมีความปลอดภัย
  • หากท่านมีเครือข่ายภายใน ที่มีการจัดตั้ง Configured ให้ใช้ ไอพีแอดเดรส ที่ไม่ได้จดทะเบียนให้ใช้บนอินเทอร์เนต หรือ จาก ISP การใช้ NAT จะช่วยให้การเชื่อมต่อเครือข่ายภายในองค์กรกับอินเทอร์เนตซึ่งถือว่าเป็นเครือข่ายสาธารณะนั้น มีความปลอดภัย เนื่องจาก NAT จะทำการแปลง ไอพีแอดเดรส ของเครือข่ายในองค์กร ให้ใช้ ไอพีแอดเดรส ที่จดทะเบียนถูกต้องบนอินเทอร์เนตเสีย ก่อนที่จะส่งข้อมูลข่าวสารออกไปที่ อินเทอร์เนต
  •  คอมพิวเตอร์ภายในองค์กร ที่ได้รับการจัดตั้ง ไอพีแอดเดรส แบบ Static NAT (เช่น Mail Servers เป็นต้น) สามารถที่จะถูก แปล แอดเดรส เมื่อติดต่อกับภายนอก โดยไม่ต้องมีการ Update ข้อมูลบันทึกบน NAT
ประโยชน์ที่จะได้รับจากการใช้ NAT

NAT สามารถเก็บรักษา ไอพีแอดเดรส ที่ได้จดทะเบียนถูกต้องจำนวนหนึ่งไว้ เพื่อให้เครือข่ายภายในใช้เพื่อติดต่อกับ อินเทอร์เนต


  • การออกแบบเครือข่ายภายใต้ NAT สามารถทำได้ง่าย เนื่องจากมีแบบแผนการอ้าง แอดเดรส อย่างไร้ขีดจำกัด (ไม่มีข้อจำกัดในการเติบโตของเครือข่าย ซึ่งอาจนำไปสู่ ไอพีแอดเดรส ที่ไม่พอเพียง)
  • เมื่อมีการติดต่อกันระหว่างเครือข่ายภายในกับ อินเทอร์เนตเกิดขึ้น NAT จะสามารถใช้แบบแผนการอ้าง แอดเดรส ของ NAT เองได้อย่างรวดเร็ว และสามารถจัดการเชื่อมต่อให้ได้อย่างชนิดไร้รอยตะเข็บ
  •  NAT ไม่ต้องการ การอ้าง แอดเดรส ของเครือข่ายชนิด ซ้ำซาก ในการติดต่อสื่อสารกับอินเทอร์เนต
  • ความปลอดภัยของเครือข่าย จะเพิ่มขึ้น โดยการซ่อน ไอพีแอดเดรส ของเครือข่ายภายในองค์กร

    • ข้อเสียเปรียบ
    •  เป็นระบบที่ทำให้ ยากต่อการติดตามที่มาของ ไอพีแอดเดรส หรือผู้ใช้บน อินเทอร์เนต เนื่องจากผู้ที่ติดต่อเข้ามา แม้จะใช้ ไอพีแอดเดรส ที่ถูกต้อง แต่เนื่องจากเป็นการติดต่อเข้ามาโดยผ่าน การแปลง แอดเดรส โดย NAT จึงไม่สามารถติดตามได้ว่า เป็นการติดต่อมาจากเครื่องใด อย่างแท้จริง ทั้งนี้ เป็นเพราะคอมพิวเตอร์ทุกเครื่องภายในองค์กร เมื่อสื่อสารผ่าน NAT จะมีการใช้ ไอพีแอดเดรส ที่ถูกต้องตัวเดียวกัน นั่นเอง
    • เส้นทางการสื่อสารกับโลกภายนอก อย่าง เช่น อินเทอร์เนต จะต้องเกิด ช่วงหน่วงเวลา หรือที่เรียกว่า Delay เนื่องจากทุกๆ แอดเดรส ภายในเครือข่ายขององค์กร จะต้องได้รับการแปลงให้เป็น ไอพีแอดเดรส อย่างถูกต้องเสียก่อน หากมีการติดต่อกับอินเทอร์เนต ทีเดียวพร้อมๆกัน หลายๆเครื่อง ก็อาจเกิดปัญหาติดขัดได้ แม้จะไม่มากนักก็ตาม
     การทำงานของ NAT

    NAT สามารถทำงานได้ในรูปแบบ 2 ทาง หรือการเชื่อมต่อสื่อสารทั้งในแบบ Inbound และ Outbound หมายความว่า สามารถจัดการกับ ไอพีแอดเดรส ที่วิ่งเข้ามา หรือ ไอพีแอดเดรส ที่วิ่งออกไป โดยสามารถจัดการกับ ไอพีแอดเดรส ต้นทางและปลายทางได้เป็นอย่างดี NAT สามารถทำงานในสถานการณ์ 3 ประการ ดังนี้
    • ทำหน้าที่แปลงและแปล ไอพีแอดเดรส ต้นทางที่มาจากเครือข่ายภายใน
    • ทำหน้าที่ แปลงและแปล ไอพีแอดเดรส ต้นทางที่มาจากเครือข่ายภายนอก เช่น อินเทอร์เนต เป็นต้น
    •  ทำหน้าที่แปลงและแปล ไอพีแอดเดรส ปลายทางภายในเครือข่าย
    แม้ว่า NAT สามารถใช้ กับ ไอพีแอดเดรส ภายนอกก็ตาม แต่โดยทั่วไป NAT มีไว้เพื่อการแปล ไอพีแอดเดรส ภายในเครือข่าย จุดประสงค์ก็เพื่อที่จะซ่อน ไอพีแอดเดรส ภายในเครือข่าย และ/หรือ การแปล ไอพีแอดเดรส ที่ไม่ได้จดทะเบียนถูกต้อง (หรือ ไอพีแอดเดรส ส่วนตัว) ไปใช้เป็น ไอพีแอดเดรส ที่จดทะเบียนถูกต้อง ที่สามารถวิ่งไปตามเส้นทางบนอินเทอร์เนต การที่จะให้ทำเช่นนี้ได้ จำเป็นต้องมีการจัดตั้ง Configuration ที่ถูกต้องก่อนการใช้งานเสมอ
    ก่อนอื่น เรามาดูประโยชน์ที่ได้จากการ ใช้ NAT อย่างใกล้ชิด ดังต่อไปนี้
    สามารถขจัดการเสียเวลาจากการอ้าง แอดเดรส ซ้ำซาก
    สมมตว่า ท่านมีเครือข่ายที่ประกอบด้วย ไอพีแอดเดรส ที่ไม่ได้จดทะเบียนถูกต้อง และต้องการให้เครือข่ายของท่านนี้ เชื่อมต่อกับอินเทอร์เนต และแน่นอน หากต้องการให้ Packet จากเครือข่ายของท่านสามารถวิ่งบนอินเทอร์เนตได้ ไอพีแอดเดรส ที่เป็นต้นทางและปลายทางจะต้องได้รับการจดทะเบียนถูกต้องบนอินเทอร์เนตเสียก่อน ดังนั้น หากท่านต้องการให้คอมพิวเตอร์เครื่องใดเครื่องหนึ่งของท่านรับและส่งข้อมูลผ่านอินเทอร์เนต ท่านจะต้องอ้าง แอดเดรส โดยตลอดซ้ำแล้วซ้ำเล่า ซึ่งไม่เพียงแต่ทำให้ ต้องเสียเวลาและเงินทองมิใช่น้อย แถมท่านจะต้องมี ไอพีแอดเดรส ที่ถูกต้องเป็นจำนวนมาก เพื่อนำมาใช้
    NAT จะช่วยให้ท่านสามารถใช้ ไอพีแอดเดรส เดิมที่มีอยู่ ถึงแม้ไม่ได้จดทะเบียนถูกต้องก็ตาม เพียงแต่ท่านจะต้องมี ไอพีแอดเดรส ที่ถูกต้องจำนวนหนึ่งก็พอ ซึ่ง ไอพีแอดเดรส จำนวนน้อยนิดนี้ ท่านสามารถนำไปใช้สร้างเป็น ไอพีแอดเดรส Pool (ไอพีแอดเดรส ที่คอมพิวเตอร์บนเครือข่าย นำมาแบ่งใช้งานร่วมกัน) ด้วยวิธีนี้ คอมพิวเตอร์ภายในเครือข่ายสามารถใช้ ไอพีแอดเดรส ที่ถูกต้อง ติดต่อกับอินเทอร์เนตได้ และการร้องขอเข้ามาเพื่อเชื่อมต่อกับคอมพิวเตอร์ในเครือข่ายจากภายนอก จะใช้ ไอพีแอดเดรส ของ NAT เป็น แอดเดรส ปลายทาง ซึ่ง NAT จะทำการแปลและนำเอา ไอพีแอดเดรส ของ NAT ใน แอดเดรส Pool นี้ไปเป็น ไอพีแอดเดรส ที่ใช้งานภายในเครือข่ายต่อไป


    reference:
    การทำ nat มีสองแบบ
         1.static nat
         2.dynamic nat

    ขั้นตอนการ config nat static

    router(config)ip nat inside source static [local-ip global-ip]    ### การทำ nat static โดยการระบุว่าต้องการ ip>>ip อะไร

    ต้องกำหนดด้วยว่าที่ interface ขาไหนเป็นเป็นฝั่ง inside หรือ out side

    ex:
    router(config-if)ip nat [inside,outside]

    ---------------------------------------------------------------

    nat dynamic nat

    router(config)#ip nat pool [name] start-ip end-ip   ### เริ่มแมฟ ip ให้เป็น ip จากไหนถึงไหน

    ต้องกำหนด access-list ip ที่เข้ามาด้วย
    router(config)access-list [acess-list number] permit souce [source-wildcard]
    router(config)ip nat inside source list [access-list-number] pool name

    ต้องระบุด้วยว่า interface ขาไหน เป็น inside หรือ outside

    ---------------------------------------------------------------

    nat dynamic overload
    router(config)access-list [acess-list number] permit souce [source-wildcard]
    router(config)ip nat inside source list [access-list-number] interface [interface] overload

    ต้องระบุด้วยว่า interface ขาไหน เป็น inside หรือ outside

    ---------------------------------------------------------------

    ฟังชันก์การ clear nat
    router# clear ip nat traslation


    Comments

    Post a Comment

    Popular posts from this blog

    รู้จักกับ Breakpoints ใน Responsive Web Design

    Image
    หลังจากที่ผมได้พูดถึง Media Queries ไปแล้ว เรื่องต่อไปที่น่าสนใจคือการกำหนด Breakpoints ครับ คำว่า Breakpoints อาจฟังดูไม่คุ้นหูเท่าไร แต่เชื่อว่าหลายๆ คน ที่เคยทำ Responsive Web Design คงเคยใช้ โดยที่ไม่รู้ว่าสิ่งที่ตัวเองทำอยู่นั้น คือการกำหนด Breakpoints ซึ่งบทความนี้ ผมจะมาเล่าว่า Breakpoints คืออะไร มีความสำคัญกับ Responsive Web Design อย่างไร รวมไปถึงวิธีการกำหนด Breakpoints ครับ Breakpoints คืออะไร? Breakpoints คือ การที่ Responsive Web เปลี่ยนรูปแบบการแสดงผล เมื่อ viewport มีความกว้างถึงจุดๆ หนึ่ง ยกตัวอย่างเช่น เมื่อ viewport มีความกว้าง 320px(iPhone) ให้แสดงผล 1 คอลัมน์นะ ถ้า viewport มีความกว้างเพิ่มเป็น 768px(Tablet) ให้แสดงผล 2 คอลัมน์นะ และถ้าหาก viewport มีความกว้างถึง 1024px(Desktop) ให้แสดงโฆษณานะ เป็นต้น จากตัวอย่างนี้ จะได้ว่า เว็บนี้มี 3 Breakpoints คือ 320px 768px และ 1024px เริ่มลงมือกำหนด Breakpoints! แน่นอนว่าเราอยากให้เว็บไซต์ของเรา ดูดีในอุปกรณ์หลักๆ ไม่ว่าจะเป็น Mobile Phone, Tablet, Desktop, Widescreen Desktop เป็นต้น ซึ่งเราสามารถใช้ Media Queries ...
    Read more

    IS-IS & OSPF

    IS-IS : Intermediate System -to- Intermediate System - IS-IS มีค่า  autonomous system (AS) ที่ 115 นั้นเป็น link state protocol ประเภทหนึ่งเช่นดียวกับ OSPF และ BGP ซึ่งมีข้อดีคือ มีการตอบสนองที่รวดเร็วเมื่อเกิดการเปลี่ยนรูปแบบโครงสร้างของระบบเครือข่าย (Fast convergence) สามารถรองรับการขยายตัวของระบบเครือข่ายในอนาคตได้ดี (Large scalability) และสามารถทำงานร่วมกับเทคโนโลยีอื่นได้ เช่น เทคโนโลยี MPLS เป็นต้น หลักการทำงานของ IS-IS IS-IS แบ่งรูปแบบการจัดการแบบเป็นลำดับชั้นจำนวน 2 ชั้น (two-level hierarchy) โดยถ้าโดเมนมีขนาดใหญ่อาจจะแบ่งการจัดการเป็นแบบพื้นที่ก็ได้ โดยสามารถแบ่งการค้นหาเส้นทางได้ดังนี้ Level 1 routing คือการค้นหาเส้นทางภายในพื้นที่ Level 2 routing คือการค้นหาเส้นทางระหว่างพื้นที่ โดยที่จะมี Protocol ตัวหนึ่งที่มีชื่อว่า Level 1 IS และ Level 2 IS ทำหน้าที่ในการตรวจสอบเส้นทางว่ามีการเปลี่ยนแปลงหรือไม่ โดย Protocol 2 ตัวนี้ทำหน้าที่ต่างกัน คือ Level 1 IS จะทำงานภายในพื้นที่ของตัวเองเท่านั้น ในขณะที่ Level 2 IS จะติดตามเส้นทางระหว่างพื้นที่ หลักการใ...
    Read more

    RIP Routing Information Protocol

    รู้จักกับ Routing Information Protocol (RIP) Routing Information Protocol หรือ RIP เป็นโปรโตคอลเลือกเส้นทางประเภท Distance Vector ที่ถูกออกแบบมาให้ใช้กับเครือข่ายขนาด เล็กไปจนถึงขนาดกลาง เป็นโปรโตคอลเลือกเส้นทางมาตรฐานที่ไม่ขึ้นอยู่กับผู้ผลิตรายใด โดยมี RIP Version 1 ที่ได้รับมาตรฐาน RFC 1058 RIP เป็นโปรโตคอลที่เรียบง่าย อีกทั้งยังง่ายต่อการจัดตั้ง แต่ความเรียบง่ายของมัน กลับซ่อนปัญหาที่น่ากลัวไว้อยู่เบื้องหลัง คุณลักษณะการทำงานของ RIP คุณลักษณะของ RIP มีดังต่อไปนี้  RIP อาศัย ค่าของจำนวน Hop เป็นหลัก เพื่อการเลือกเส้นทาง โดยจำกัดที่ไม่เกิน 15 Hop  RIP จะส่งข่าวสารเกี่ยวกับการปรับปรุงเส้นทางออกไปทุก 30 วินาที  การส่งข้อมูลเกี่ยวกับการปรับปรุงตารางเส้นทาง เป็นการส่งออกไปทั้งหมดของตารางทั้งที่เป็นของเก่าและของใหม่  การส่งข่าวสารเกี่ยวกับการปรับปรุงเส้นทาง จะเกิดขึ้นกับ Router ที่เชื่อมต่อกันโดยตรงเท่านั้น การทำงานขั้นพื้นฐานของ RIP Version 1 การทำงานขั้นพื้นฐานของ RIP ค่อนข้างเรียบง่าย ภายใต้กฎกติกา ดังนี้  เมื่อใดที่ มีการ Boot ...
    Read more