NAT Traversal คืออะไร?

NAT Traversal คืออะไร

NAT Traversal นี้เป็นหัวใจของอุปกรณ์ระบบเครือข่ายที่รองรับการ Managed ผ่าน Cloud เลยครับ

ช่วยอะไรได้?

เมื่อก่อน ถ้าเราจะ Remote เข้าไป Managed อุปกรณ์ซักตัวนึงที่ Site ฝั่ง Site จำเป็นที่ต้องมี Public-IP ที่ ขา WAN ของ Gateway เพราะเปรียบเหมือนเป็นเลขที่บ้านจริงๆ เราถึงจะส่งพัสดุหากันได้ ถ้า Remote เข้า Gateway ก็เข้าหน้า GUI ผ่าน Public-IP แต่ถ้าต่ออยู่หลัง Gateway ก็ต้องทำ Forward Port ทะลุเข้าไปยังอุปกรณ์นั้นๆ

ถ้ามีอุปกรณ์เป็นสิบๆ มันค่อนข้างวุ่นวาย และ ปัจจุบันทาง ISP ก็ไม่ค่อยอยากจะให้ Public-IP กับฝั่ง Subscriber หรือผู้ใช้แล้ว จะให้เป็น Private-IP ที่เป็น CGNAT (Carrier-Grade Network Address Translation) IP Address จะอยู่ในช่วง 100.64.0.0 – 100.127.255.255 ประมาณเลขที่ห้องในหอพักครับ หรือ ต่อให้เราได้ Public-IP มา ทาง ISP ก็เปลี่ยนเลขไปเรื่อยทุกวัน ถ้าไม่อยากให้เปลี่ยนก็ต้องสมัคร Fix-IP ได้เลขเดิมตลอดเวลา เสียเงินเพิ่มเดือนละพัน

เมื่อบ้านเลขที่เปลี่ยนไปเรื่อย ก็ต้องมีเครื่องมืออะไรซักอย่างมาผูกไว ให้รู้ว่ามันเปลี่ยนเป็นเลขอะไร  เช่นพวก Service DDNS, No-IP แต่ก็เสียเงินอีก

ตัวอย่าง Ruijie Cloud ที่ใช้ NAT Traversal

ไม่ว่า Gateway จะได้ IP CGNAT เป็น Private IP มา ก็สามารถเชื่อมต่อไปยังอุปกรณ์ภายใต้ NAT ได้ หรือถ้าได้ Public IP ก็ต้อง Forward Port ได้ทำกันเป็นร้อย จำ Port เข้า กันสนุกเลย หรือจะ VPN เข้าไป มันก็ไม่เห็นเป็นภาพรวมสวยๆใช้ง่ายๆแบบนี้

ขอเปรียบเทียบเป็นการเชื่อมต่อ ฝั่งบ้าน กับฝั่ง Site นะครับ

 Concept คือ ต้องมีตัวกลางซักอย่างที่คอยจัดการให้ข้อมูล่ฝั่งบ้าน ส่งข้อมูลไปหาฝั่ง Site และ ฝั่ง Site ส่งกลับมาหาฝั่งบ้านให้ได้

ตัวกลางที่ว่า ก็คือระบบ Cloud Controller มีกระบวนการจัดการเชื่อมต่อกับอุปกรณ์ Network ฝั่ง Site และ ฝั่งบ้าน มีหน้า GUI ให้จัดการอุปกรณ์ต่างๆได้ง่ายๆ

ผมอยากให้อ่านในหัวข้อนี้ก่อนนะครับ หลักการทำงานของ NAT

จากรูป Diagram

[ฝั่งบ้าน]

IP WAN ของ Router : 100.64.10.10 (CGNAT)

IP LAN ของ Router : 192.168.1.1

IP LAN ของ PC : 192.168.1.2

[ฝั่ง Site]

IP WAN ของ Router : 100.64.20.20 (CGNAT)

IP LAN ของ Router : 192.168.110.1

IP LAN ของ NVR : 192.168.110.10 มี Port Managed : 443

การที่ฝั่งบ้านจะเชื่อมต่อไปยัง NVR (192.168.110.10:443) ที่ฝั่ง Site โดยทั้ง 2 ฝั่ง ตัว Gateway ได้ Private-IP ที่ขา WAN มาทั้งคู่ แทบจะเป็นไปไม่ได้

NAT Traversal ช่วยแก้ปัญหาที่กล่าวมาครับ ทำการเชื่อมต่ออุปกรณ์ Network หรือ Service ที่วางอยู่หลัง NAT ให้สามารถสื่อสารกันได้

ผมจะเทียบการใช้งาน NAT Traversal ที่มีใน Ruijie Cloud กับลักษณะการทำงานนะครับ จะพอมองภาพ Flow ได้ง่ายมากขึ้นครับ

ทำการ Create NAT Traversal เมื่อสร้างเรียบร้อย หน้าตาจะเป็นแบบนี้

1. หลังจาก Add Tunnel

ฝั่ง Site ทำการ Register หมายเลข IP WAN Gateway (Reyee Router) และ Service:Port (NVR) เก็บไว้ที่ Server กลาง (Cloud)

ก็คือ

IP WAN = 100.64.20.20:NAT Port

Service:Port = 192.168.100.3:443 (Inside Host: Port)

ทำการ Register บน Cloud

2. Cloud ทำการสร้าง IP-Endpoint 8.222.244.160:65171 (Outside Host: Port) ขึ้นมา เอาไว้ทำการ Map กับ ข้อมูลฝั่ง Site ที่ส่งมา Register ไว้ (ข้อ 1)

ทีนี้ก็รอใครมาเรียกใช้

3. ฝั่งบ้าน เข้า Browser IP: 8.219.141.74:65329 เป็นการเรียกใช้ Cloud  พร้อม Keep Alive ช่องทางที่เชื่อมต่อกันระหว่าง Cloud กับ Gateway ค้างไว้ (ในรูป Ruijie Cloud คือค่า Will Expire) และสร้าง Tunnel หากันระหว่าง Cloud กับ Gateway ฝั่ง Site

(Click ปุ่ม To Configure จะเป็นการเรียกครับ)

4. เมือ่ Cloud ถูกเรียกจากฝั่งบ้านผ่าน IP Endpoint เข้ามา ก็จะดูในตารางที่ map ไว้ ว่าต้องไปปลายทางที่ไหน ก็คือ IP WAN Gateway ฝั่ง Site จึงทำการส่งข้อมูลผ่านช่องทางที่เชื่อมต่อ ไปยัง Service ก็คือ NVR 192.168.110.3:443 (Inside Host: Port)

5. NVR เมื่อได้รับ Request ก็ Response กลับช่องทางเดิม ผ่านไปยัง Cloud และ ส่งต่อกลับผ่าน Connection ที่ Browser ฝั่งบ้าน

หลักการก็ประมาณนี้ครับ Cloud ทำหน้าที่เป็น Cloud Relay น่าจะประมาณ Reverse Proxy แต่ส่ง Data ผ่าน Tunnel (เพราะติด NAT มันเลยส่งตรงๆไม่ได้ ต้องผ่าน Tunnel)

คร่าวๆก็ประมาณนี้ครับ เดี๋ยว Review ในส่วน VPN SD-WAN ต่อครับ ก็ใช้หลักการ NAT Traversal เช่นกันครับ