Tôi có cần bật nat trên bộ định tuyến không? NAT - thiết lập dịch địa chỉ mạng

Nhiều người dùng sở hữu bộ định tuyến nghĩ rằng họ chỉ cần nó để chỉ họ mới có thể kết nối Internet. Trên thực tế, nó còn thực hiện chức năng kết nối người dùng khác với máy chủ. Trong bài viết này, chúng tôi sẽ cho bạn biết NAT trong bộ định tuyến là gì, tại sao cần nó và cách định cấu hình nó.

NAT trong bộ định tuyến - nó là gì?

Dịch địa chỉ mạng từ tiếng Anh dịch là “dịch địa chỉ mạng” - đây là quá trình dịch địa chỉ nội bộ sang địa chỉ bên ngoài. Nếu chức năng này không được định cấu hình, bộ định tuyến sẽ chặn quyền truy cập vào bất kỳ cổng nào đối với tất cả các kết nối đến từ Internet toàn cầu, nhưng nếu các tham số được định cấu hình, nó sẽ cho phép.

Cài đặt

Để tự định cấu hình nat trong bộ định tuyến, bạn cần thực hiện chuỗi bước sau:

• Khởi chạy bất kỳ trình duyệt nào trên máy tính của bạn và nhập địa chỉ của thiết bị này 192.168.1.1 hoặc 192.168.0.1 vào thanh tìm kiếm.
• Sau đó nhập tên người dùng và mật khẩu Quản trị viên/Quản trị viên. Sau đó, bạn có thể thay thế thông tin đăng nhập và mật khẩu này bằng thông tin đăng nhập và mật khẩu của riêng bạn.
• Trong cửa sổ mở ra, chọn Cài đặt - Mạng - Định tuyến (tuyến đường) và nhấp vào Quy tắc mới, quy tắc này sẽ cho phép bạn đặt điều kiện định tuyến theo bất kỳ cách nào. Có năm cách: thông qua tên DNS, qua cổng, thông qua quảng bá tới một người dùng cụ thể, qua giao diện mạng hoặc bằng cách thay thế địa chỉ bằng địa chỉ nguồn.
• Tiếp theo, bạn cần đặt điều kiện giao thông bằng một trong bốn tùy chọn được đề xuất (Tự động, Cổng, Đường trục, Giao diện) và nhấp vào “Tiếp theo” và “Đóng”.

Sau khi hoàn thành loạt bước này, bộ định tuyến đã sẵn sàng để sử dụng.

Đôi khi bạn cần cấu hình nat trên máy tính của mình.Để thực hiện việc này, hãy chuyển đến “Bảng điều khiển” thông qua “Bắt đầu” và khởi chạy “Kết nối mạng”. Chọn một thiết bị mạng mới và nhấp chuột phải vào thiết bị đó, trong “Thuộc tính” chọn “Nâng cao”. Và đánh dấu vào ô bên cạnh “Cho phép người dùng mạng khác sử dụng kết nối này” và nhấp vào OK.

Thiết lập vòng lặp

Ý nghĩa của nat loopback là nếu một gói đến từ mạng nội bộ đến địa chỉ IP bên ngoài của bộ định tuyến, thì nó được coi là đến từ bên ngoài - điều đó có nghĩa là các quy tắc tường lửa liên quan đến kết nối bên ngoài được áp dụng. Nếu gói vượt qua tường lửa thành công thì nat sẽ được kích hoạt, nó sẽ trở thành trung gian giữa hai máy tính nằm trên cùng một mạng.

Chú ý! Nếu không có chức năng loopback nat, sẽ không thể tìm hiểu về cài đặt dịch vụ mạng hoặc truy cập máy chủ. Đối với mỗi miền, cần phải định cấu hình tệp máy chủ theo cách thủ công.

các loại Nat

Có một số loại Dịch Địa chỉ Mạng. Chúng ta hãy xem xét từng chi tiết:

Quan trọng! Thông thường các cổng cần được cấu hình thủ công.

Làm thế nào để thay đổi loại

Để thay đổi loại NAT từ loại này sang loại khác, bạn cần truy cập bộ định tuyến của mình bằng cách nhập tổ hợp 192.168.1.1 hoặc 192.168.0.1 vào dòng tìm kiếm của trình duyệt và nhập tên người dùng và mật khẩu của bạn. Sau đó xem địa chỉ IP và cài đặt mạng của thiết bị. Sau đó, bạn cần liên hệ với nhà cung cấp kết nối Internet để họ có thể cấu hình lại bộ định tuyến của bạn theo loại bạn cần. Để làm điều này, anh ta sẽ cần phải cung cấp tất cả dữ liệu.

Địa chỉ IP là một nguồn tài nguyên khan hiếm. Nhà cung cấp có thể có địa chỉ /16 (trước đây là lớp B), cho phép kết nối 65.534 máy chủ. Nếu có nhiều khách hàng hơn, vấn đề bắt đầu nảy sinh. Các máy chủ thỉnh thoảng kết nối với Internet qua đường dây điện thoại thông thường có thể được cấp địa chỉ IP động, chỉ trong thời gian kết nối. Khi đó, một địa chỉ /16 sẽ phục vụ tới 65.534 người dùng đang hoạt động và điều này có thể đủ cho một ISP có hàng trăm nghìn khách hàng. Khi phiên giao tiếp kết thúc, địa chỉ IP sẽ được gán cho kết nối mới. Chiến lược này có thể giải quyết vấn đề của các nhà cung cấp không có số lượng lớn khách hàng cá nhân kết nối qua đường dây điện thoại, nhưng nó sẽ không giúp ích được cho các nhà cung cấp có phần lớn khách hàng là các tổ chức.

Thực tế là các khách hàng doanh nghiệp thích kết nối Internet liên tục, ít nhất là trong ngày làm việc. Cả văn phòng nhỏ, ví dụ như công ty du lịch, gồm ba nhân viên, và các tập đoàn lớn đều có mạng cục bộ bao gồm một số lượng máy tính nhất định. Một số máy tính là nơi làm việc của nhân viên, một số đóng vai trò là máy chủ web. Nói chung, có một bộ định tuyến LAN được kết nối với ISP thông qua một đường dây chuyên dụng để cung cấp kết nối cố định. Giải pháp này có nghĩa là mỗi máy tính được liên kết với một địa chỉ IP suốt cả ngày. Trên thực tế, ngay cả tất cả các máy tính mà khách hàng doanh nghiệp kết hợp cũng không thể bao gồm các địa chỉ IP có sẵn của nhà cung cấp. Đối với địa chỉ có độ dài /16, như chúng tôi đã lưu ý, giới hạn này là 65.534. Tuy nhiên, nếu nhà cung cấp dịch vụ Internet có số lượng khách hàng doanh nghiệp lên tới hàng chục nghìn thì giới hạn này sẽ đạt được rất nhanh.

Vấn đề càng trở nên trầm trọng hơn bởi thực tế là ngày càng có nhiều người dùng cá nhân muốn có kết nối ADSL hoặc cáp với Internet. Đặc điểm của các phương pháp này như sau:

a) người dùng nhận được địa chỉ IP cố định;

b) không có khoản thanh toán theo thời gian (chỉ tính phí thuê bao hàng tháng).

Người dùng loại dịch vụ này có kết nối Internet vĩnh viễn. Sự phát triển theo hướng này dẫn đến tình trạng thiếu địa chỉ IP ngày càng gia tăng. Việc chỉ định địa chỉ IP một cách nhanh chóng, như được thực hiện với kết nối điện thoại, là vô ích vì số lượng địa chỉ hoạt động tại bất kỳ thời điểm nào có thể lớn hơn nhiều lần so với số lượng địa chỉ mà nhà cung cấp có.

Thông thường, tình hình còn phức tạp hơn do thực tế là nhiều người dùng ADSL và Internet cáp có hai hoặc nhiều máy tính ở nhà (ví dụ: một máy cho mỗi thành viên trong gia đình) và muốn tất cả các máy đều có quyền truy cập Internet. Phải làm gì - suy cho cùng, chỉ có một địa chỉ IP do nhà cung cấp cấp! Giải pháp là thế này: bạn cần cài đặt bộ định tuyến và kết nối tất cả các máy tính vào mạng cục bộ. Theo quan điểm của nhà cung cấp, trong trường hợp này gia đình sẽ hoạt động như một công ty tương tự như một công ty nhỏ với một số máy tính. Chào mừng đến với tập đoàn Pupkin!

Vấn đề thiếu địa chỉ IP hoàn toàn không phải là lý thuyết và hoàn toàn không liên quan đến tương lai xa. Nó đã có liên quan và chúng ta phải đấu tranh với nó ở đây và ngay bây giờ. Dự án dài hạn liên quan đến việc chuyển toàn bộ Internet sang giao thức IPv6 với địa chỉ 128 bit. Quá trình chuyển đổi này thực sự đang diễn ra dần dần, nhưng quá trình này chậm đến mức kéo dài trong nhiều năm. Chứng kiến ​​điều này, nhiều người nhận ra rằng việc tìm ra giải pháp nào đó là cấp thiết, ít nhất là trong thời gian sắp tới. Một giải pháp như vậy đã được tìm thấy dưới dạng phương pháp dịch địa chỉ mạng, NAT (Dịch địa chỉ mạng), được mô tả trong RFC 3022. Bản chất của điều này sẽ được thảo luận sau và thông tin chi tiết hơn có thể tìm thấy trong (Butcher, 2001).

Ý tưởng cơ bản của việc dịch địa chỉ mạng là gán cho mỗi hãng một địa chỉ IP (hoặc ít nhất một số ít địa chỉ) cho lưu lượng truy cập Internet. Trong công ty, mỗi máy tính nhận được một địa chỉ IP duy nhất, được sử dụng để định tuyến lưu lượng truy cập nội bộ. Tuy nhiên, ngay sau khi gói tin rời khỏi tòa nhà công ty và được gửi đến nhà cung cấp, việc dịch địa chỉ sẽ được thực hiện. Để thực hiện kế hoạch này, ba dải địa chỉ IP riêng đã được tạo. Chúng có thể được sử dụng trong công ty theo quyết định của mình. Hạn chế duy nhất là các gói có địa chỉ như vậy trong mọi trường hợp không được xuất hiện trên Internet. Ba phạm vi dành riêng này là:

10.0.0.0 - 10.255.255.255/8 (16.777.216 máy chủ)

172.16.0.0 - 172.31.255.255/12 (1.048.576 máy chủ)

192.168.0.0 -192.168.255.255/16 (65.536 máy chủ)

Hoạt động của phương pháp dịch địa chỉ mạng được thể hiện trong sơ đồ sau. Trong lãnh thổ của công ty, mỗi máy có địa chỉ duy nhất riêng có dạng 10.x.y.z. Tuy nhiên, khi một gói rời khỏi cơ sở của công ty, nó sẽ đi qua khối NAT để chuyển địa chỉ IP nguồn nội bộ (10.0.0.1 trong hình) thành địa chỉ IP thực mà công ty nhận được từ ISP (ví dụ của chúng tôi là 198.60.42.12) . Khối NAT thường là một thiết bị duy nhất có tường lửa cung cấp bảo mật bằng cách giám sát chặt chẽ lưu lượng đến và đi của công ty. Khối NAT có thể được tích hợp với bộ định tuyến của công ty.

Cho đến nay, chúng tôi đã tránh được một chi tiết nhỏ: khi có phản hồi cho một yêu cầu (ví dụ: từ máy chủ web), nó sẽ được gửi tới 198.60.42.12. Làm thế nào để khối NAT biết địa chỉ nội bộ nào sẽ thay thế địa chỉ công cộng của công ty? Đây là vấn đề chính khi sử dụng dịch địa chỉ mạng. Nếu có một trường trống trong tiêu đề gói IP, nó có thể được sử dụng để ghi nhớ địa chỉ của người đã gửi yêu cầu. Nhưng chỉ còn một bit không được sử dụng trong tiêu đề. Về nguyên tắc, có thể tạo một trường như vậy cho địa chỉ nguồn thực sự, nhưng điều này đòi hỏi phải thay đổi mã IP trên tất cả các máy trên Internet. Đây không phải là giải pháp tốt nhất, đặc biệt nếu chúng ta muốn tìm giải pháp nhanh chóng cho vấn đề hết địa chỉ IP.

Đây là những gì thực sự đã xảy ra. Các nhà thiết kế của NAT nhận thấy rằng hầu hết tải trọng của gói IP là TCP hoặc UDP. Cả hai định dạng đều có tiêu đề chứa số cổng nguồn và đích. Số cổng là số nguyên 16 bit cho biết nơi kết nối TCP bắt đầu và kết thúc. Vị trí lưu trữ số cổng được sử dụng làm trường bắt buộc để NAT hoạt động.

Khi một tiến trình muốn thiết lập kết nối TCP với một tiến trình từ xa, nó sẽ liên hệ với một cổng TCP còn trống trên máy tính của chính nó. Cổng này trở thành cổng nguồn, cho mã TCP biết nơi chuyển tiếp các gói cho kết nối đó. Quá trình này cũng xác định cổng đích. Cổng đích cho biết ai sẽ gửi gói tin ở phía xa. Các cổng từ 0 đến 1023 được dành riêng cho các dịch vụ nổi tiếng. Ví dụ: cổng 80 được sử dụng bởi các máy chủ web, vì vậy các máy khách từ xa có thể nhắm mục tiêu vào chúng. Mỗi tin nhắn TCP gửi đi chứa thông tin về cổng nguồn và cổng đích. Chúng cùng nhau phục vụ để xác định các quy trình ở cả hai đầu đang sử dụng kết nối.

Chúng ta hãy làm một phép loại suy sẽ phần nào làm rõ nguyên tắc sử dụng cổng. Giả sử một công ty có một số điện thoại chung. Khi mọi người quay số, họ sẽ nghe thấy giọng nói của người điều hành hỏi chính xác họ muốn kết nối với ai và giọng nói đó sẽ kết nối họ với số máy nhánh điện thoại thích hợp. Số điện thoại chính tương tự như địa chỉ IP của công ty và phần mở rộng ở cả hai đầu tương tự như cổng. Địa chỉ cổng sử dụng trường 16 bit để xác định quá trình nhận gói đến.

Sử dụng trường Cổng nguồn, chúng ta có thể giải quyết vấn đề hiển thị địa chỉ. Khi một gói gửi đi đến khối NAT, địa chỉ nguồn có dạng 192.168.c.d được thay thế bằng địa chỉ IP thực. Ngoài ra, trường Cổng nguồn TCP được thay thế bằng chỉ mục của bảng dịch khối NAT chứa 65.536 mục nhập. Mỗi mục chứa địa chỉ IP nguồn và số cổng nguồn. Cuối cùng, tổng kiểm tra tiêu đề TCP và IP được tính toán lại và chèn vào gói. Cần phải thay thế trường Cổng nguồn vì các máy có địa chỉ cục bộ 10.0.0.1 và 10.0.0.2 có thể vô tình muốn sử dụng cùng một cổng (ví dụ: 5000). Vì vậy, để xác định duy nhất quy trình người gửi, chỉ trường Cổng nguồn là không đủ.

Khi một gói đến khối NAT của ISP, giá trị của trường Cổng nguồn của tiêu đề TCP sẽ được lấy ra. Nó được sử dụng như một chỉ mục trong bảng ánh xạ khối NAT. Dựa trên mục tìm thấy trong bảng này, địa chỉ IP nội bộ và cổng nguồn TCP thực được xác định. Hai giá trị này được chèn vào gói. Tổng kiểm tra TCP và IP sau đó được tính toán lại. Gói được gửi đến bộ định tuyến chính của công ty để gửi bình thường với địa chỉ như 192.168.y.z.

Trong trường hợp ADSL hoặc Internet cáp, việc dịch địa chỉ mạng có thể được sử dụng để giảm bớt cuộc chiến chống lại tình trạng thiếu địa chỉ. Địa chỉ được gán cho người dùng là 10.x.y.z. Ngay sau khi gói rời khỏi tài sản của nhà cung cấp và truy cập Internet, nó sẽ kết thúc trong một khối NAT, khối này chuyển đổi địa chỉ nội bộ thành địa chỉ IP thực của nhà cung cấp. Trên đường về, thao tác ngược lại được thực hiện. Theo nghĩa này, đối với phần còn lại của Internet, nhà cung cấp với các khách hàng sử dụng kết nối ADSL và cáp xuất hiện như một công ty lớn.

Mặc dù sơ đồ được mô tả ở trên giải quyết được một phần vấn đề thiếu địa chỉ IP, nhưng nhiều tín đồ IP coi NAT như một loại lây nhiễm lan rộng trên Trái đất. Và chúng có thể được hiểu.

Thứ nhất, nguyên tắc dịch địa chỉ mạng không phù hợp với kiến ​​trúc IP, điều này ngụ ý rằng mỗi địa chỉ IP chỉ xác định duy nhất một máy trên thế giới. Toàn bộ cấu trúc phần mềm của Internet được xây dựng dựa trên việc khai thác thực tế này. Khi dịch địa chỉ mạng, hóa ra hàng nghìn máy có thể (và thực sự có) có địa chỉ 10.0.0.1.

Thứ hai, NAT biến đổi Internet từ một mạng không kết nối thành một mạng tương tự như mạng hướng kết nối. Vấn đề là khối NAT phải duy trì một bảng ánh xạ cho tất cả các kết nối đi qua nó. Ghi nhớ trạng thái kết nối là công việc của các mạng hướng kết nối, chứ không phải các mạng không kết nối. Nếu một khối NAT bị hỏng và các bảng ánh xạ của nó bị mất thì tất cả các kết nối TCP đi qua nó có thể bị lãng quên. Trong trường hợp không có bản dịch địa chỉ mạng, lỗi của bộ định tuyến không ảnh hưởng đến hoạt động TCP. Quá trình gửi chỉ cần đợi vài giây và gửi lại bất kỳ gói nào chưa được xác nhận. Với NAT, Internet dễ bị lỗi như mạng chuyển mạch.

Thứ ba, NAT vi phạm một trong những quy tắc cơ bản của thiết kế giao thức phân lớp: lớp k không được đưa ra bất kỳ giả định nào về lớp k+1 đặt trong trường tải trọng. Nguyên tắc này xác định sự độc lập của các cấp độ với nhau. Nếu TCP được thay thế bằng TCP-2, có định dạng tiêu đề khác (ví dụ: địa chỉ cổng 32 bit), thì việc dịch địa chỉ mạng sẽ không thành công. Toàn bộ ý tưởng của các giao thức nhiều lớp là những thay đổi ở một trong các lớp không thể ảnh hưởng đến các lớp khác. NAT phá hủy sự độc lập này.

Thứ tư, các quy trình trên Internet không bắt buộc chỉ sử dụng TCP hoặc UDP. Nếu người dùng máy A quyết định đưa ra một giao thức lớp vận chuyển mới để liên lạc với người dùng máy B (ví dụ, điều này có thể được thực hiện đối với một số ứng dụng đa phương tiện), thì anh ta sẽ phải giải quyết bằng cách nào đó với thực tế là khối NAT sẽ không thể xử lý chính xác trường Cổng nguồn TCP.

Thứ năm, một số ứng dụng chèn địa chỉ IP vào nội dung tin nhắn. Người nhận lấy chúng từ đó và sau đó xử lý chúng. Vì NAT không biết gì về phương thức đánh địa chỉ này nên nó sẽ không thể xử lý các gói một cách chính xác và mọi nỗ lực sử dụng các địa chỉ này của phía từ xa sẽ không thành công. Giao thức truyền tệp, FTP (Giao thức truyền tệp), sử dụng chính xác phương pháp này và có thể từ chối hoạt động khi dịch địa chỉ mạng trừ khi thực hiện các biện pháp đặc biệt. Giao thức điện thoại Internet H.323 cũng có đặc tính tương tự. Có thể cải thiện phương pháp NAT và làm cho nó hoạt động chính xác với H.323, nhưng không thể cải thiện nó mỗi khi có ứng dụng mới xuất hiện.

Thứ sáu, vì trường Cổng nguồn là 16 bit nên khoảng 65.536 địa chỉ máy cục bộ có thể được ánh xạ tới một địa chỉ IP duy nhất. Trên thực tế, con số này nhỏ hơn một chút: 4096 cổng đầu tiên được dành riêng cho nhu cầu dịch vụ. Nhìn chung, nếu có nhiều địa chỉ IP thì mỗi địa chỉ IP có thể hỗ trợ tới 61.440 địa chỉ cục bộ.

Những vấn đề này và các vấn đề khác liên quan đến Dịch địa chỉ mạng được thảo luận trong RFC 2993. Thông thường, những người phản đối NAT nói rằng việc khắc phục vấn đề thiếu địa chỉ IP bằng cách tạo một bản vá tạm thời chỉ cản trở quá trình tiến hóa thực sự của việc chuyển sang IPv6. Nhưng nếu quay trở lại thực tế, chúng ta sẽ thấy rằng trong hầu hết các trường hợp, NAT đơn giản là một thứ không thể thay thế, đặc biệt đối với những văn phòng nhỏ với số lượng máy tính từ vài đến vài chục chiếc. NAT có thể được tự mình triển khai trong OS Linux bằng cách sử dụng

Việc không có đủ địa chỉ mạng IP cho tất cả các thiết bị muốn truy cập Internet không còn là tin tức nữa. Hiện nay, giải pháp thoát khỏi tình trạng này đã được tìm ra bằng cách phát triển giao thức IPv6, trong đó độ dài địa chỉ là 128 bit, trong khi IPv4 hiện tại chỉ có 32 bit. Nhưng vào đầu những năm 2000, họ đã tìm ra một giải pháp khác - sử dụng dịch địa chỉ mạng, viết tắt là nat. Ở phần sau của bài viết chúng ta sẽ cấu hình nat trong bộ định tuyến.

Vào menu cài đặt bộ định tuyến

Ví dụ: hãy lấy bộ định tuyến ZyXEL của dòng ZyWALL USG và NXC5200.

Trước hết, hãy chuyển đến cài đặt bộ định tuyến. Để thực hiện việc này, trong bất kỳ trình duyệt web nào, hãy nhập 192.168.1.1 vào thanh địa chỉ. (địa chỉ bộ định tuyến tiêu chuẩn), một cửa sổ sẽ xuất hiện yêu cầu bạn nhập thông tin đăng nhập và mật khẩu.

Trong trường “Tên người dùng”, nhập quản trị viên, trong trường “Mật khẩu”, nhập 1234. Nhấp vào “OK”.

Thiết lập nat trong bộ định tuyến

Trong cửa sổ menu mở ra, hãy chuyển đến tab “Cấu hình” (biểu tượng có hai bánh răng), sau đó chuyển đến “Mạng”, sau đó chuyển đến “Định tuyến”. Trong cửa sổ đã chọn, hãy chuyển đến tab “Định tuyến chính sách”.

Menu cài đặt bộ định tuyến ZyXEL

Trong menu này, chính sách định tuyến được cấu hình. Trong khu vực “Tiêu chí”, chúng tôi thiết lập tiêu chí để chọn lưu lượng truy cập - lưu lượng truy cập nào cần được phát sóng (thực tế là định cấu hình nat) và lưu lượng nào chỉ cần được định tuyến. Lưu lượng truy cập có thể được lựa chọn theo một số tiêu chí:

1. Người dùng (Người dùng);
2. Theo giao diện (Incoming);
3. Theo địa chỉ IP nguồn;
4. Theo địa chỉ IP của người nhận (Địa chỉ đích);
5. Theo cổng đích (Dịch vụ).

Trong khu vực “Next-Hop”, chúng tôi chỉ định một đối tượng để chuyển hướng lưu lượng truy cập:

Chọn đối tượng chuyển hướng bộ định tuyến ZyXEL

Trong đó “Tự động” – lưu lượng truy cập sẽ được chuyển hướng đến giao diện chung mặc định; Cổng – đến địa chỉ được chỉ định trong cài đặt cổng; Đường hầm VPN – Đường hầm riêng ảo IPSec; Trunk – định tuyến đến một “trunk”, trong đó “trunk” là một số giao diện được cấu hình để hoạt động cùng nhau hoặc ở chế độ dự phòng; Giao diện – chuyển hướng đến giao diện được chỉ định:

Điều quan trọng cần nhớ là bất cứ khi nào bạn thực hiện thay đổi đối với cài đặt bộ định tuyến, hãy nhấp vào nút “OK” để lưu cài đặt chứ không chỉ đóng trình duyệt web.

Thiết lập nat trên máy tính

Như bạn đã biết, bản thân máy tính cá nhân có thể đóng vai trò như một bộ định tuyến. Thường xảy ra tình huống khi có một mạng máy tính gồm nhiều máy tính, một trong số đó có quyền truy cập Internet. Trong tình huống này, bạn hoàn toàn không thể mua bộ định tuyến mà phải thiết lập một máy tính có quyền truy cập Internet làm bộ định tuyến và định cấu hình nat trên đó. Hãy xem xét trường hợp này chi tiết hơn.

Đảm bảo cài đặt 2 card mạng trên máy tính chính có kết nối Internet (hãy gọi nó là MÁY CHỦ) - card đầu tiên để kết nối với mạng cục bộ, card thứ hai với nhà cung cấp. Ví dụ sẽ sử dụng hệ điều hành Windows Server 2012.

Để định cấu hình, trước hết hãy khởi chạy “Trình quản lý máy chủ” (Bắt đầu -> Công cụ quản trị -> Trình quản lý máy chủ). Cửa sổ cài đặt sẽ xuất hiện:

Từ đây chúng tôi sẽ quản lý máy chủ của mình. Để tiếp tục cấu hình, hãy nhấp vào “Thêm vai trò và tính năng”, thao tác này sẽ mở cửa sổ Trình hướng dẫn thêm vai trò. Bước đầu tiên - Loại cài đặt:

Trong cửa sổ tiếp theo, chúng ta cần chọn vai trò mà chúng ta đang cài đặt trên máy chủ. Chọn hộp bên cạnh “Truy cập từ xa”.

Cửa sổ sau sẽ xuất hiện hiển thị danh sách các thành phần cần thiết cho hoạt động. Nhấp vào “Thêm thành phần”, cửa sổ này sẽ biến mất. Bấm tiếp".

Trong cửa sổ tiếp theo, trình hướng dẫn sẽ nhắc bạn thêm các thành phần máy chủ. Không cần thay đổi gì cả, bấm “Tiếp theo”.

Trên trang tiếp theo, trình hướng dẫn chỉ thông báo cho chúng tôi về hoạt động của vai trò Truy cập từ xa. Bấm tiếp".

Trong bước tiếp theo, bạn cần chọn “Dịch vụ vai trò”. Chọn hộp bên cạnh “Định tuyến” và nhấp vào “Tiếp theo”.

Cửa sổ tiếp theo lại chứa thông tin, bạn không cần chọn bất cứ thứ gì nhưng bạn có thể chọn hộp bên cạnh “Tự động khởi động lại trên máy chủ đã chọn…”, do đó máy chủ sẽ tự động khởi động lại sau khi cài đặt. Nhưng bạn cũng có thể làm điều này bằng tay. Bấm tiếp".

Và bước cuối cùng là cài đặt thực tế máy chủ. Khi hoàn tất, hãy nhấp vào nút “Đóng”.

Cài đặt máy chủ

Như vậy, chúng ta đã cấu hình một máy tính được kết nối Internet ở chế độ máy chủ. Bây giờ bạn cần cấu hình nat trên đó.

Đi tới Bắt đầu/Quản trị/Định tuyến và truy cập từ xa. Trong cửa sổ xuất hiện, ở phía bên trái, chúng ta tìm thấy mục “SERVER (cục bộ)”, nhấp chuột phải vào nó và trong menu thả xuống, nhấp vào “Định cấu hình và bật định tuyến và truy cập từ xa”.

Một trình hướng dẫn thiết lập máy chủ định tuyến và truy cập từ xa sẽ xuất hiện, trong đó chúng ta sẽ cấu hình nat.

Trên trang đầu tiên, chúng tôi được giới thiệu ngắn gọn về trình hướng dẫn - nhấp vào “Tiếp theo”. Bước tiếp theo là chọn một trong các dịch vụ sẽ chạy trên máy chủ này. Chọn “Dịch địa chỉ mạng (NAT)” và nhấp vào “Tiếp theo”.

Tiếp theo, trình hướng dẫn sẽ yêu cầu bạn chọn kết nối mạng truy cập Internet. Cả hai card mạng sẽ có mặt trong danh sách (ít nhất tùy thuộc vào số lượng chúng được cài đặt trên máy chủ). Chúng tôi chọn cái mà cáp mạng của nhà cung cấp được kết nối. Bấm tiếp".

Trong cửa sổ tiếp theo, trình hướng dẫn sẽ bắt đầu phàn nàn rằng nó không thể phát hiện các dịch vụ DHCP hoặc DNS trên mạng cục bộ. Có hai tùy chọn để tiếp tục - kích hoạt các dịch vụ cơ bản hoặc cài đặt dịch vụ sau.

Chọn mục đầu tiên và nhấp vào “Tiếp theo”. Ở trang tiếp theo tôi sẽ cho bạn biết nat sẽ hoạt động trong phạm vi nào. Trình hướng dẫn thiết lập sẽ tự động chọn phạm vi này, dựa trên cấu hình kết nối mạng được kết nối với mạng cục bộ. Bấm tiếp".

phạm vi tự nhiên

Thế là xong, trình hướng dẫn thiết lập sẽ hoàn tất quá trình thiết lập nat. Nhấp vào “Tiếp theo” và trong cửa sổ tiếp theo “Xong”.

Việc cuối cùng còn lại là cấu hình các máy khách, tức là tất cả các máy tính khác trên mạng cục bộ. Để thực hiện việc này, trên máy khách (điều này sẽ cần được thực hiện trên mỗi máy tính trong mạng), hãy đi tới Bắt đầu / Bảng điều khiển / Trung tâm mạng và chia sẻ / thay đổi cài đặt bộ điều hợp. Chuyển đến “Kết nối mạng”. Nhấp chuột phải vào biểu tượng và chọn “Thuộc tính” từ menu thả xuống. Trong cửa sổ xuất hiện, chọn “Giao thức Internet Phiên bản 4 (TCP/IPv4)” và nhấp vào “Thuộc tính”.

Trong trường “Cổng mặc định”, chúng tôi ghi địa chỉ IP của máy chủ (đã được cấu hình ở bước trước), trong trường “Máy chủ DNS ưa thích”, chúng tôi ghi địa chỉ IP của máy chủ DNS của nhà cung cấp được chỉ định trong thông tin kết nối Internet trên máy chủ. Nhấp vào “OK” và “OK” lần nữa. Thế là xong, máy khách đã được kết nối với Internet.

Ngoài SNAT, tức là cung cấp cho người dùng mạng cục bộ các địa chỉ nội bộ có quyền truy cập Internet, cũng thường được sử dụng Đích NAT, khi các yêu cầu từ bên ngoài được tường lửa chuyển sang máy chủ trên mạng cục bộ có địa chỉ nội bộ và do đó không thể truy cập trực tiếp từ mạng bên ngoài (không có NAT).

Các hình dưới đây cho thấy một ví dụ về hoạt động của cơ chế NAT.

Cơm. 7.1.

Người dùng trên mạng công ty gửi yêu cầu tới Internet, yêu cầu này sẽ đến giao diện bên trong của bộ định tuyến, máy chủ truy cập hoặc tường lửa (thiết bị NAT).

Thiết bị NAT nhận gói và tạo một mục trong bảng theo dõi kết nối, bảng này kiểm soát việc dịch địa chỉ.

Sau đó, nó thay thế địa chỉ nguồn của gói bằng địa chỉ IP công cộng bên ngoài của chính nó và gửi gói đến đích trên Internet.

Máy chủ đích nhận gói và gửi phản hồi trở lại thiết bị NAT.

Đến lượt thiết bị NAT khi nhận được gói tin này sẽ tra cứu nguồn của gói gốc trong bảng theo dõi kết nối, thay thế địa chỉ IP đích bằng địa chỉ IP riêng tương ứng và chuyển tiếp gói đến máy tính nguồn. Vì thiết bị NAT gửi các gói thay mặt cho tất cả các máy tính bên trong nên nó sẽ thay đổi cổng mạng nguồn và thông tin này được lưu trữ trong bảng theo dõi kết nối.

Có 3 khái niệm cơ bản về dịch địa chỉ:

• tĩnh (SAT, Dịch địa chỉ mạng tĩnh),
• động (DAT, Dịch địa chỉ động),
• giả trang (NAPT, NAT quá tải, PAT).

NAT tĩnhánh xạ các địa chỉ IP cục bộ tới các địa chỉ công cộng cụ thể trên cơ sở một-một. Được sử dụng khi máy chủ cục bộ phải có thể truy cập được từ bên ngoài bằng địa chỉ cố định.

NAT độngánh xạ một tập hợp các địa chỉ riêng tư thành một tập hợp các địa chỉ IP công cộng. Nếu số lượng máy chủ cục bộ không vượt quá số lượng địa chỉ công cộng có sẵn thì mỗi địa chỉ cục bộ sẽ được đảm bảo tương ứng với một địa chỉ công cộng. Nếu không, số lượng máy chủ có thể truy cập đồng thời vào mạng bên ngoài sẽ bị giới hạn bởi số lượng địa chỉ công cộng.

lễ hội hóa trang NAT(NAPT, NAT Overload, PAT, masquerading) là một dạng NAT động ánh xạ nhiều địa chỉ riêng tư tới một địa chỉ IP công cộng duy nhất bằng các cổng khác nhau. Còn được gọi là PAT (Dịch địa chỉ cổng).

Có thể có một số cơ chế tương tác giữa mạng cục bộ nội bộ và mạng công cộng bên ngoài - điều này phụ thuộc vào nhiệm vụ cụ thể là cung cấp quyền truy cập vào mạng bên ngoài và ngược lại và được quy định bởi một số quy tắc nhất định. Có 4 loại dịch địa chỉ mạng được xác định:

• hình nón đầy đủ
• Nón hạn chế
• Nón hạn chế cổng
• đối xứng

Trong ba loại NAT đầu tiên, cùng một cổng bên ngoài được sử dụng để liên lạc giữa các địa chỉ IP khác nhau trên mạng bên ngoài và các địa chỉ từ mạng cục bộ. Loại thứ tư - đối xứng - sử dụng cổng ngoài riêng cho từng địa chỉ và cổng.

hình nón đầy đủ, cổng bên ngoài của thiết bị (bộ định tuyến, máy chủ truy cập, tường lửa) mở cho các yêu cầu đến từ bất kỳ địa chỉ nào. Nếu người dùng từ Internet cần gửi gói đến máy khách nằm phía sau NAT, thì anh ta chỉ cần biết cổng bên ngoài của thiết bị mà kết nối được thiết lập qua đó. Ví dụ: một máy tính chạy NAT có địa chỉ IP 192.168.0.4 gửi và nhận các gói trên cổng 8000, ánh xạ tới địa chỉ IP bên ngoài và cổng là 10.1.1.1:12345. Các gói từ mạng bên ngoài đến thiết bị có địa chỉ IP: cổng 10.1.1.1:12345 và sau đó được gửi đến máy khách 192.168.0.4:8000.

Trong các gói đến, chỉ giao thức truyền tải được kiểm tra; Địa chỉ đích và cổng, địa chỉ nguồn và cổng không quan trọng.

Khi sử dụng NAT, làm việc theo loại Nón hạn chế, cổng bên ngoài của thiết bị (bộ định tuyến, máy chủ truy cập, tường lửa) mở cho mọi gói được gửi từ máy khách, trong ví dụ của chúng tôi: 192.168.0.4:8000. Và một gói đến từ mạng bên ngoài (ví dụ: từ máy tính 172.16.0.5:4000) đến thiết bị có địa chỉ: cổng 10.1.1.1:12345 sẽ chỉ được gửi đến máy tính 192.168.0.4:8000 nếu trước đó là 192.168.0.4:8000 đã gửi yêu cầu đến địa chỉ IP của máy chủ bên ngoài (trong trường hợp của chúng tôi là tới máy tính 172.16.0.5:4000). Nghĩa là, bộ định tuyến sẽ chỉ phát các gói đến từ một địa chỉ nguồn cụ thể (trong trường hợp của chúng tôi là máy tính 172.16.0.5:4000), nhưng số cổng nguồn có thể là bất kỳ thứ gì. Nếu không, NAT sẽ chặn các gói đến từ máy chủ mà 192.168.0.4:8000 không gửi yêu cầu.

Cơ chế NAT Nón hạn chế cổng gần giống với cơ chế NAT Limited Cone. Chỉ trong trường hợp này, NAT chặn tất cả các gói đến từ máy chủ mà máy khách 192.168.0.4:8000 không gửi yêu cầu đến bất kỳ địa chỉ IP và cổng nào. Bộ định tuyến chú ý đến số cổng nguồn phù hợp và không chú ý đến địa chỉ nguồn. Trong ví dụ của chúng tôi, bộ định tuyến sẽ phát các gói đến với bất kỳ địa chỉ nguồn nào, nhưng cổng nguồn phải là 4000. Nếu máy khách gửi yêu cầu tới mạng bên ngoài tới một số địa chỉ IP và cổng thì chúng sẽ có thể gửi gói đến máy khách trên địa chỉ IP: cổng 10.1 .1.1:12345.

NAT đối xứng khác biệt đáng kể so với ba cơ chế đầu tiên ở cách nó ánh xạ địa chỉ IP nội bộ: cổng sang địa chỉ: cổng bên ngoài. Màn hình này phụ thuộc vào địa chỉ IP: cổng của máy tính mà yêu cầu được gửi tới. Ví dụ: nếu máy khách 192.168.0.4:8000 gửi yêu cầu đến máy tính số 1 (172.16.0.5:4000), thì nó có thể xuất hiện dưới dạng 10.1.1.1:12345, đồng thời nếu nó gửi từ cùng một cổng ( 192.168.0.4:8000) sang một địa chỉ IP khác, nó sẽ được hiển thị khác (10.1.1.1:12346).

Tuy nhiên, điều đáng nói là nhược điểm của công nghệ này:

1. Không phải tất cả các giao thức đều có thể "đi qua" NAT. Một số không thành công nếu có sự dịch địa chỉ trên đường dẫn giữa các máy chủ giao tiếp. Một số tường lửa dịch địa chỉ IP nhất định có thể khắc phục sự thiếu sót này bằng cách thay thế thích hợp các địa chỉ IP không chỉ trong tiêu đề IP mà còn ở các cấp độ cao hơn (ví dụ: trong các lệnh giao thức FTP).
2. Do dịch địa chỉ nhiều-một, sẽ phát sinh thêm khó khăn trong việc xác định người dùng và nhu cầu lưu trữ nhật ký dịch hoàn chỉnh.
3. Tấn công DoS bởi máy chủ thực hiện NAT - Nếu NAT được sử dụng để kết nối nhiều người dùng với cùng một dịch vụ, điều đó có thể tạo ra ảo tưởng về một cuộc tấn công DoS vào dịch vụ (nhiều thành công và thất bại). Ví dụ: số lượng người dùng ICQ đằng sau NAT quá nhiều dẫn đến sự cố kết nối với máy chủ đối với một số người dùng do vượt quá tốc độ kết nối cho phép.

Và bạn xem qua các trang của trang WEB. Rất có thể bạn đang sử dụng Dịch địa chỉ mạng (NAT) ngay bây giờ.

Không ai có thể lường trước được sự phát triển của Internet như chúng ta thấy ngày nay. Mặc dù chưa biết kích thước chính xác của nó nhưng ước tính chỉ ra rằng có khoảng 100 triệu nút hoạt động và hơn 350 triệu người dùng trên Internet. Tốc độ tăng trưởng của Internet đến mức quy mô của nó tăng gấp đôi mỗi năm.

Vậy việc dịch địa chỉ mạng có liên quan gì đến kích thước của Internet? Trực tiếp nhất! Để máy tính này giao tiếp với các máy tính và máy chủ WEB khác qua Internet, nó phải có địa chỉ IP riêng. Địa chỉ IP (IP là viết tắt của Giao thức Internet) là một số 32 bit duy nhất xác định vị trí của một máy tính nhất định trên mạng. Về cơ bản, nó hoạt động giống như địa chỉ nhà riêng của bạn - đó là cách để tìm vị trí chính xác của máy tính và cung cấp thông tin cho bạn.

địa chỉ IP

Khi địa chỉ IP lần đầu tiên xuất hiện, mọi người đều tin rằng có đủ địa chỉ để đáp ứng mọi nhu cầu. Về mặt lý thuyết, có thể có tổng cộng 4.294.967.296 địa chỉ duy nhất (232). Số lượng địa chỉ thực tế có sẵn để sử dụng thấp hơn một chút (khoảng từ 3,2 đến 3,3 tỷ), do cách phân loại địa chỉ thành các lớp và thực tế là một số địa chỉ nhất định được dành riêng cho phát đa hướng, thử nghiệm và các nhu cầu đặc biệt khác.

Trong bối cảnh sự phát triển bùng nổ của Internet, sự phát triển của mạng gia đình và doanh nghiệp, đơn giản là không có đủ địa chỉ IP khả dụng. Giải pháp rõ ràng là thay đổi định dạng địa chỉ để có sẵn nhiều địa chỉ hơn. Một hệ thống như vậy đang được triển khai (gọi là IPv6), nhưng sẽ mất vài năm để triển khai vì nó đòi hỏi phải nâng cấp toàn bộ cấu trúc của Internet.

Hệ thống NAT (RFC 1631) ra tay giải cứu. Dịch địa chỉ mạng cho phép một thiết bị duy nhất, chẳng hạn như bộ định tuyến, hoạt động như một trung gian giữa Internet (hoặc "mạng công cộng") và mạng cục bộ (hoặc "riêng tư"). Điều này có nghĩa là chỉ cần một địa chỉ IP duy nhất để đại diện cho toàn bộ nhóm máy tính.

Tuy nhiên, việc thiếu địa chỉ IP chỉ là một trong những lý do khiến NAT được sử dụng. Bài viết của chúng tôi dành cho những ưu điểm và tính năng của hệ thống này. Trước tiên, chúng ta hãy xem xét kỹ hơn NAT là gì và hệ thống này hoạt động như thế nào...

Hệ thống NAT hoạt động như thế nào

Hệ thống NAT giống như một thư ký trong một văn phòng lớn. Giả sử bạn đã hướng dẫn anh ấy không được kết nối bạn với bất kỳ ai gọi điện thoại cho đến khi bạn cho phép thực hiện những hành động đó. Sau đó, bạn gọi cho khách hàng tiềm năng và để lại tin nhắn yêu cầu họ gọi lại cho bạn. Bạn nói với thư ký rằng bạn đang chờ một cuộc gọi từ khách hàng và yêu cầu anh ta cung cấp kết nối khi anh ta gọi.

Khách hàng quay số điện thoại chính của văn phòng vì đó là số duy nhất anh ta biết. Khách hàng nói với thư ký rằng anh ta muốn liên lạc với bạn, thư ký kiểm tra bảng tra cứu, trong đó hiển thị tên và số máy lẻ của bạn. Nhân viên lễ tân biết rằng bạn đã cho phép quay số khách hàng nên anh ta sẽ chuyển người gọi sang số máy lẻ của bạn.

Hệ thống dịch địa chỉ mạng

Hệ thống Dịch địa chỉ mạng do Cisco phát triển được sử dụng bởi thiết bị (bộ định tuyến hoặc máy tính) để kết nối mạng nội bộ với phần còn lại của thế giới. Dịch địa chỉ mạng có thể có nhiều dạng và có thể hoạt động theo nhiều cách khác nhau:

• Dịch địa chỉ mạng tĩnh là việc chuyển đổi địa chỉ IP chưa đăng ký thành địa chỉ IP đã đăng ký trên cơ sở 1-1. Đặc biệt hữu ích khi bạn cần truy cập thiết bị từ bên ngoài mạng cục bộ.
• Dịch địa chỉ mạng động - chuyển đổi địa chỉ IP chưa đăng ký thành địa chỉ IP đã đăng ký từ một nhóm địa chỉ IP đã đăng ký.
• Quá tải là một dạng dịch động chuyển đổi nhiều địa chỉ IP chưa đăng ký thành một địa chỉ đã đăng ký bằng cách sử dụng các cổng khác nhau. Quy trình này còn được gọi là PAT (Dịch địa chỉ cổng), NAT đơn hướng hoặc NAT đa kênh ở cấp cổng.
• So khớp - Khi các địa chỉ được sử dụng trên mạng của bạn là địa chỉ IP đã đăng ký được sử dụng trên mạng khác, bộ định tuyến phải duy trì bảng dịch các địa chỉ đó, chặn chúng và thay thế chúng bằng các địa chỉ IP duy nhất đã đăng ký. Điều quan trọng cần lưu ý là bộ định tuyến NAT phải dịch các địa chỉ "nội bộ" thành các địa chỉ duy nhất đã đăng ký, cũng như các địa chỉ đã đăng ký "bên ngoài" thành các địa chỉ duy nhất trên mạng riêng. Hoạt động này có thể được thực hiện bằng cách sử dụng dịch địa chỉ mạng tĩnh hoặc sử dụng Hệ thống tên miền (DNS) và triển khai dịch địa chỉ mạng động.

Mạng nội bộ thường là mạng cục bộ (LAN, Mạng cục bộ), đôi khi được gọi là miền sơ khai. Tên miền sơ khai là một mạng cục bộ trong đó địa chỉ IP được sử dụng. Hầu hết lưu lượng truy cập mạng trong miền sơ khai là cục bộ và không vượt ra ngoài mạng nội bộ. Tên miền sơ khai có thể chứa cả địa chỉ IP đã đăng ký và chưa đăng ký. Tất nhiên, tất cả các máy tính được gán địa chỉ IP chưa đăng ký đều phải sử dụng dịch địa chỉ mạng để liên lạc với phần còn lại của thế giới.

NAT có thể được cấu hình theo nhiều cách khác nhau. Trong ví dụ bên dưới, bộ định tuyến NAT được cấu hình để dịch các địa chỉ IP chưa đăng ký (nội bộ, cục bộ) được sử dụng trên mạng riêng (nội bộ) thành địa chỉ IP đã đăng ký. Quy trình này được thực hiện mỗi khi một thiết bị có địa chỉ chưa đăng ký trên mạng nội bộ cần liên lạc với mạng công cộng (bên ngoài).

• ISP của bạn chỉ định một số địa chỉ IP cho công ty của bạn. Các địa chỉ trong nhóm được ghim là địa chỉ IP đã đăng ký và được gọi là địa chỉ toàn cầu nội bộ. Địa chỉ IP riêng, chưa đăng ký được chia thành hai nhóm. Một nhóm nhỏ (địa chỉ cục bộ bên ngoài) được sử dụng bởi các bộ định tuyến NAT. Nhóm thứ hai, lớn hơn nhiều, được gọi là các địa chỉ bên trong cục bộ, được sử dụng trong miền sơ khai. Địa chỉ cục bộ bên ngoài được sử dụng để tạo địa chỉ IP duy nhất cho các thiết bị, được gọi là địa chỉ toàn cầu bên ngoài, để truy cập vào mạng công cộng.
• Hầu hết các máy tính trong miền sơ khai giao tiếp với nhau bằng địa chỉ cục bộ nội bộ.
• Một số máy tính miền sơ khai thường xuyên liên lạc với các thiết bị bên ngoài mạng cục bộ. Những máy tính này có địa chỉ toàn cầu nội bộ không cần dịch.
• Khi một máy tính miền sơ khai có địa chỉ cục bộ bên trong cần liên lạc với một máy tính bên ngoài mạng cục bộ, gói sẽ được định tuyến đến một trong các bộ định tuyến NAT.
• Bộ định tuyến NAT kiểm tra bảng định tuyến để xem có mục nào cho địa chỉ đích không. Nếu có một mục nhập như vậy, bộ định tuyến NAT sẽ dịch gói và tạo một mục nhập cho nó trong bảng dịch địa chỉ. Nếu địa chỉ đích không có trong bảng định tuyến thì gói tin sẽ bị bỏ qua.
• Sử dụng địa chỉ toàn cầu bên trong, bộ định tuyến sẽ gửi gói đến đích.
• Một máy tính trên mạng công cộng gửi gói tin đến mạng riêng. Địa chỉ người gửi của gói là địa chỉ toàn cầu bên ngoài. Địa chỉ đích là địa chỉ toàn cầu bên trong.
• Bộ định tuyến NAT kiểm tra bảng dịch địa chỉ và xác định rằng có địa chỉ đích tương ứng với máy tính trong miền sơ khai.
• Bộ định tuyến NAT dịch địa chỉ toàn cầu bên trong của gói thành địa chỉ cục bộ bên trong và chuyển tiếp gói đến máy tính thích hợp.

Quá tải NAT

Quá tải NAT sử dụng tính năng ghép kênh của bộ giao thức TCP/IP, cho phép máy tính tạo nhiều kết nối đồng thời với một hoặc nhiều máy tính từ xa bằng các cổng TCP hoặc UDP khác nhau. Gói IP chứa tiêu đề chứa thông tin sau:

• Địa chỉ nguồn - Địa chỉ IP của máy tính gửi, ví dụ: 201.3.83.132
• Cổng người gửi - Số cổng TCP hoặc UDP được máy tính gửi chỉ định cho gói này, ví dụ: cổng 1080
• Địa chỉ người nhận - Địa chỉ IP của máy tính người nhận, ví dụ: 145.51.18.223
• Cổng đích là số cổng TCP hoặc UDP mà máy tính gửi yêu cầu máy tính nhận mở, ví dụ cổng 3021.

Các địa chỉ xác định hai máy ở mỗi đầu và số cổng cung cấp mã định danh duy nhất cho kết nối giữa hai máy tính. Sự kết hợp của bốn số này xác định một kết nối TCP/IP. Mỗi số cổng sử dụng 16 bit, nghĩa là có 65.536 (216) giá trị có thể. Trong thực tế, do các nhà sản xuất khác nhau sắp xếp các cổng hơi khác nhau nên bạn có thể mong đợi có khoảng 4.000 cổng.