Định tuyến và lọc lưu lượng mạng - Phần 3: Network Address Translation

Định tuyến và lọc lưu lượng mạng - Phần 1
Định tuyến và lọc lưu lượng mạng - Phần 2

Network Address Translation

Do các địa chỉ IPv4 là một tài nguyên có hạn và đã đến lúc đáng báo động, do đó hầu hết các ISP đều chỉ cung cấp một địa chỉ cho một khách hàng nào đó. Trong phần lớn các trường hợp, địa chỉ này được gán động, vì vậy mỗi lần máy khách kết nối đến IPS, một địa chỉ khác sẽ được cung cấp. Các công ty lớn có thể mua thêm các địa chỉ khác, tuy nhiên cac công ty nhỏ và những người dùng gia đình thì chi phí đó là không thể. Do những người dùng như vậy chỉ nhận được một địa chỉ IP, nên họ chỉ có thể có một máy tính được kết nối với Internet tại một thời điểm.

Tổng quan về NAT (Network Address Translation)

Công nghệ Network address translation (NAT) được phát triển để cung cấp một giải pháp tạm thời cho vấn đề hết địa chỉ của IPv4. NAT là một phương pháp kết nối nhiều máy tính với Internet (hoặc bất cứ mạng IP nào) bằng cách sử dụng một địa chỉ IP. Với NAT gateway đang chạy trên một máy tính, nó có thể chia sẻ địa chỉ giữa các máy tính nội bộ và kết nối tất cả chúng với mạng Internet cùng lúc. Thế giới bên ngoài không hề biết đến sự phân chia này mà chỉ nghĩ rằng chỉ có một máy tính được kết nối.

Để khắc phục một số vấn đề bảo mật, một số sản phẩm tường lửa đã được cung cấp. Các tường lửa này được đặt giữa người dùng và Internet để thẩm định tất cả lưu lượng trước khi cho phép nó đi qua. Điều này có nghĩa, người dùng không được thẩm định sẽ không được phép truy cập vào các file của công ty hoặc máy chủ email.

NAT tự động cung cấp sự bảo vệ kiểu tường lửa mà không cần cài đặt. Mục đích cơ bản của NAT là ghép lưu lượng từ mạng bên trong và thể hiện với mạng Internet cứ như thể nó được gửi đến từ một máy tính có địa chỉ IP duy nhất đó. Các giao thức TCP/IP cho phép ghép kênh để bất kỳ máy tính nào cũng có thể duy trì nhiều kết nối một cách đồng thời với máy tính từ xa. Cho ví dụ, một máy khách bên trong có thể kết nối với một máy chủ FTP bên ngoài, tuy nhiên một máy khách bên ngoài lại không thể kết nối với máy chủ FTP bên trong vì nó phải tạo kết nối và NAT không cho phép điều đó. Tuy nhiên vẫn có thể làm cho một số máy chủ bên trong có sẵn đối với thế giới bên ngoài thông qua việc bản đồ hóa việc gửi dữ liệu đi, bản đồ này được biết đến như các cổng TCP để cho các địa chỉ bên trong cụ thể, như vậy sẽ tạo được các dịch vụ như FTP hoặc web có sẵn trong cách có kiểm soát.

Một NAT gateway hiện đại phải thay đổi địa chỉ nguồn trên các gói dữ liệu gửi đi để nó trở thành địa chỉ công. Chính vì vậy nó cũng đánh số lại các cổng nguồn để trở thành duy nhất, từ đó có thể dõi theo mỗi kết nối máy khách. NAT gateway sử dụng bảng bản đồ hóa cổng để nhớ cách nó đánh số lại các cổng cho mỗi gói dữ liệu được gửi ra của máy khách. Bảng bản đồ hóa cổng có liên quan với địa chỉ IP nội bộ của máy khách và cổng nguồn cộng với số cổng nguồn được dịch của nó cho địa chỉ đích và cổng. Chính vì vậy NAT gateway có thể đảo ngược quá trình các gói trả về và định tuyến chúng quay trở lại đúng các máy khách.

Kích hoạt NAT

Để kích hoạt việc đánh địa chỉ của NAT, bạn có thể thực hiện theo các bước sau:

  1. Mở Routing and Remote Access.
  2. Để thêm NAT, kích phải vào General nằm bên dưới IPv4 và chọn New Routing Protocol. Chọn NAT và kích OK.
  3. Trong cây giao diện, kích NAT bên dưới IPv4.
  4. Kích chuột phải vào NAT, sau đó kích Properties.
  5. Trên tab Address Assignment, chọn Automatically Assign IP Addresses bằng hộp kiểm Using the DHCP Allocator.
  6. (Tùy chọn) Để tìm đến các máy khách DHCP trên mạng riêng, trong địa chỉ IP và Mask, cấu hình dải các địa chỉ IP.
  7. (Tùy chọn) Để loại ra các địa chỉ từ một vị trí nào đó cho các máy khách DHCP trên mạng riêng, kích Exclude, Add, sau đó cấu hình các địa chỉ.

Để chỉ định các giao diện trong và ngoài, kích phải vào NAT bên dưới IPv4 và chọn New Interface. Chọn giao diện vật lý và kích OK. Chỉ định Private Interface Connected to the Private Network hoặc Public Interface Connected to the Internet. Nếu chọn Public Interface Connected to the Internet, bạn sẽ phải chọn tiếp Enable NAT on This Interface. Kích OK.

Để chuyển tiếp một giao thức đến một máy chủ bên trong nào đó thông qua máy chủ NAT, thực hiện theo các bước sau:

  1. Kích phải vào giao diện chung và chọn Properties.
  2. Chọn tab Services and Ports
  3. Chọn giao thức mà bạn muốn chuyển tiếp.
  4. Khi hộp thoại Edit Services xuất hiện, chỉ định địa chỉ riêng và kích OK để đóng hộp thoại Edit Services.
  5. Kích OK để đóng hộp thoại Properties.

NAT và Teredo

Lưu lượng IPv6 được tạo đường hầm bằng Teredo không phải là chủ đề đối với chức năng lọc gói dữ liệu IPv4 của các NAT. Mặc dù điều này có vẻ giống như Teredo đi qua NAT và cho phép lưu lượng IPv6 có tiền ẩn mã độc trên các mạng riêng, tuy nhiên chúng ta hãy xem xét các vấn đề dưới đây:

  • Teredo không thay đổi hành vi của các NAT. Các máy khách Teredo tạo các entry bảng dịch NAT động cho lưu lượng Teredo của riêng chúng. NAT chuyển tiếp lưu lượng Teredo gửi đến đến host đã tạo bảng dịch NAT tương ứng. NAT không chuyển tiếp lưu lượng Teredo đến các máy tính trên mạng riêng không có các máy khách Teredo.
  • Các máy khách Teredo sử dụng tường lửa stateful hỗ trợ lưu lượng IPv6 (chẳng hạn như Windows Firewall) được bảo vệ đối với lưu lượng IPv6 gửi đến không xác thực. Windows Firewall được kích hoạt mặc định cho Windows XP SP2, Windows Vista và Windows Server 2008.

Nếu bạn muốn Teredo truyền thông qua một máy tính Windows Server 2008 với tường lửa được kích hoạt, bạn cần phải cấu hình tường lửa để cho phép sử dụng Teredo.


Một số câu hỏi trắc nghiệm về kiến thức

1. Có một máy tính Windows Server 2008 ở văn phòng công ty và một máy tính Windows Server 2008 ở một địa điểm ở xa khác. Để cấu hình việc định tuyến trên máy chủ tại văn phòng chi nhánh bạn cần thực hiện những gì?

bull.jpg

A.

Cài đặt Routing and Remote Access role và kích hoạt IPv4 LAN routing.

bull.jpg

B.

Chạy lệnh netsh interface ipv4 enable.

bull.jpg

C.

Kích hoạt NAT bằng cách thực thi lệnh netsh NAT enable.

bull.jpg

D.

Cài đặt NPS role trên máy chủ.

2. Có một máy chủ Windows Server 2008. Yêu cầu cần phải thêm một tuyến tĩnh mới vào bảng định tuyến trên máy chủ. Tuyến mới này đến ID mạng là 192.168.126.0 và subnet mask 255.255.255.0, sử dụng gateway mặc định là 192.168.125.1. Bạn cần sử dụng lệnh gì để thực hiện điều này?

bull.jpg

A.

route -p 192.168.126.0 mask 255.255.255.0 192.168.125.1 metric 2

bull.jpg

B.

route add 192.168.126.0 mask 255.255.255.0 192.168.125.1 metric 2

bull.jpg

C.

route add 192.168.126.0 255.255.255.0 192.168.125.1 metric 2

bull.jpg

D.

route add 192.168.126.0 mask 255.255.255.0 gateway 192.168.125.1 metric 2

3. Cho một mạng có một vài mạng con. Windows Server 2008 router đã được sử dụng để kết nối các mạng con. Yêu cầu cần cấu hình một tuyến tĩnh. Router tĩnh không bị xóa khỏi bảng định tuyến khi máy tính bị khởi động lại. Tham số nào dưới đây cần sử dụng với lệnh route?

bull.jpg

A.

/f

bull.jpg

B.

/s

bull.jpg

C.

/r

bull.jpg

D.

/p

4. Một máy chủ đang chạy Windows Server 2008. Nhiệm vụ của bạn là cần ngăn chặn sao cho máy tính không thiết lập các session truyền thông đến các máy tính khác bằng TCP port 21. Bạn phải làm gì?

bull.jpg

A.

Từ Windows Firewall, bổ sung thêm một ngoại lệ.

bull.jpg

B.

Từ Windows Firewall, kích hoạt tùy chọn Block All Incoming Connections

bull.jpg

C.

Từ Windows Firewall with Advanced Security snap-in, tạo một rule gửi đến.

bull.jpg

D.

Từ Windows Firewall with Advanced Security snap-in, tạo một rule gửi đi.

5. Có một máy tính Windows Server 2008. Để vô hiệu hóa tất cả các kết nối gửi đến máy chủ bạn cần thực hiện những gì?

bull.jpg

A.

Từ Services snap-in, vô hiệu hóa Server service.

bull.jpg

B.

Từ Services snap-in, vô hiệu hóa dịch vụ Net Logon service.

bull.jpg

C.

Vô hiệu hóa Windows Firewall with Advanced Security.

bull.jpg

D.

Từ Windows Firewall, kích hoạt tùy chọn Block All Connections trên Domain Profile.

6. Mạng của bạn gồm có 7 mạng con. Tất cả các mạng con được kết nối bởi các máy Windows Server 2008 bằng RRAS. Các kết nối demand-dial không bền đã được cấu hình. Bạn không muốn gắng nặng trong việc nâng cấp các bảng định tuyến mà chỉ muốn bất cứ thay đổi nào xảy ra với topo mạng đều được phổ biến ngay lập tức. Tùy chọn nào dưới đây bạn cần chọn?

bull.jpg

A.

Static routes

bull.jpg

B.

ICMP

bull.jpg

C.

OSPF

bull.jpg

D.

RIPv2

7. Mạng gồm có ba mạng con khác nhau. Định tuyến động đang được thực thi trên ba máy tính đang chạy Windows Server 2008, Routing and Remote Access của các máy tính này đã được kích hoạt. Bạn mở giao diện điều khiển Routing and Remote Access trên máy chủ đầu tiên và cấu hình máy tính để định tuyến LAN. Sau đó chọn New Routing Protocol từ nút General trong nút IP Routing và chọn RIP version 2 cho Internet Protocol từ hộp thoại New Routing Protocol. Điều tiếp theo bạn cần thực hiện là gì?

bull.jpg

A.

Bổ sung địa chỉ IP của máy chủ DHCP vào hộp thoại thuộc tính cho DHCP Relay Agent.

bull.jpg

B.

Bổ sung thêm giao diện mà RIP sẽ chạy, bằng RIP node.

bull.jpg

C.

Sử dụng lệnh route để cấu hình các tuyến đến cá mạng con từ xa.

bull.jpg

D.

Sử dụng lệnh route để xóa tất cả các router tĩnh từ các bảng định tuyến.

8. Bạn là một quản trị mạng cho công ty mình. Tất cả các máy chủ đang chạy Microsoft Windows Server 2008. Một vài máy chủ được cấu hình là router với RIP đã được kích hoạt. Bạn muốn loại từ ra việc xuất hiện các vòng lặp định tuyến. Do đó bạn đã mở cửa sổ thuộc tính của giao diện được gán cho giao thức RIP và chọn tab Advanced. Tùy chọn nào dưới đây hội tụ đủ các yêu cầu đó?

bull.jpg

A.

Kích hoạt split-horizon processing.

bull.jpg

B.

Kích hoạt triggered updates

bull.jpg

C.

Xử lý các tuyến host trong các thông báo nhận được

bull.jpg

D.

Vô hiệu hóa subnet summarization

9. Bạn có một mạng với một vài máy tính Windows Server 2008. Công ty của bạn vừa mới mở một văn phòng từ xa. Bạn có trách nhiệm cấu hình một kết nối two-way demand-dial giữa văn phòng công ty và văn phòng từ xa đó. Bạn cấu hình các demand-dial router với các thiết lập dưới đây:

    • Corporate Office Router Settings:
      • Interface: SRV02_Public
      • User Account: SRV02
      • Calling Number: 555-3434
    • Site Router Settings:
      • Interface: SRV01_Public
      • User Account: SRV01
      • Calling Number: 555-1212

Khi thực hiện test cấu hình của mình xem router có thể thiết lập kết nối hay không. Thứ bạn cần thực hiện lúc này là gì?

bull.jpg

A.

Thay đổi tên giao diện trên router trong văn phòng chính thành SRV01_Public.

bull.jpg

B.

Thay đổi tên giao diện demand-dial trên mỗi router sao cho tương ứng với tên của tài khoản người dùng trên router trả lời từ xa.

bull.jpg

C.

Thay đổi tên giao diện trên router trong văn phòng chi nhánh thành SRV02_Public.

bull.jpg

D.

Thay đổi tên được gán cho các tài khoản người dùng trên mỗi router để chúng giống nhau.

10. Bạn có một máy chủ Windows Server 2008 đã được cấu hình như một máy chủ NAT. Nhiệm vụ của bạn là cần bảo đảm cho các quản trị viên có thể truy cập vào máy chủ có tên FS1 bằng FTP. Những gì bạn cần thực hiện ở đây?

bull.jpg

A.

Cấu hình NAT1 để chuyển tiếp các cổng 20 và 21 đến FS1.

bull.jpg

B.

Cấu hình NAT1 để chuyển tiếp các cổng 80 và 443 đến FS1.

bull.jpg

C.

Cấu hình NAT1 để chuyển tiếp cổng 25 đến FS1.

bull.jpg

D.

Cấu hình NAT1 để chuyển tiếp cổng 3389 đến FS1.

11. Bạn có một máy chủ Windows Server 2008 với IPv4, IPv6 và NAT tại văn phòng công ty và các văn phòng chi nhánh. Những gì bạn cần thực hiện ở đây để cho phép các máy tính IPv6 từ văn phòng công ty và các văn phòng chi nhánh có thể sử dụng Teredo để truyền thông với nhau?

bull.jpg

A.

Cấu hình NAT động trên tường lửa.

bull.jpg

B.

Cấu hình tường lửa để sử dụng Teredo.

bull.jpg

C.

Kích hoạt tuyến tĩnh giữa hai mạng.

bull.jpg

D.

Nạp Teredo emulator

Đáp án cho các câu hỏi trên

  1. Câu A đúng. Bạn cần cài đặt Routing and Remote Access role và sau đó cần kích hoạt IPV4 LAN routing.. Câu B là sai vì lệnh netsh không được sử dụng để kích hoạt việc định tuyến mà nó chỉ có thể được sử dụng để cấu hình giao diện mạng. Câu trả lời C sau vì NAT không thể định tuyến và bạn không thể sử dụng lệnh netsh để kích hoạt NAT. Câu trả lời D cũng sai vì NPS không cho phép việc định tuyến. NPS được sử dụng như một máy chủ RADIUS và cho phép thực thi các chính sách RADIUS.
  2. Câu B đúng. Cú pháp đúng khi bổ sung các tuyến tĩnh mới bằng lệnh route là route add mask metric. Câu A, C và D là sai vì chúng không sử dụng đúng cú pháp.
  3. Câu D đúng. Bạn sử dụng tham số /p để thêm một tuyến bền vào bảng định tuyến. Tuyến này sẽ không bị xóa khỏi bảng định tuyến khi router khởi động lại. Các câu còn lại là sai.
  4. Câu D đúng. Bạn cần tạo một rule cho các gói dữ liệu gửi ra (outbound rule) bằng cách sử dụng Windows Firewall with Advanced Security snap-in để khóa cổng 21. Câu A và B sai vì bạn đang sử dụng Windows Firewall with Advanced Security snap-in với máy tính Windows Server 2008 để điều chỉnh những gì nó cung cấp trên Windows Firewall chuẩn. Thêm vào đó, một ngoại lệ sẽ được sử dụng để cho phép lưu lượng, nếu bạn khóa tất cả các kết nối gửi đến, các giao thức khác cũng sẽ bị khóa và không có lưu lượng nào có thể đi qua máy chủ. Câu C sai vì bạn muốn một rule cho các gói dữ liệu gửi ra, không phải gói gửi vào vì lưu lượng từ máy chủ này đến các máy chủ khác sẽ là lưu lượng gửi đi.
  5. Câu D đúng. Bạn có thể mở Windows Firewall, kích hoạt Block All Connections để vô hiệu hóa tất cả các kết nối gửi đến. Domain profile được sử dụng khi một máy tính được kết nối với một mạng mà tài khoản miền của máy tính này cư trú. Câu A sai vì dịch vụ Server sẽ ngừng tính năng chia sẻ file và máy in. Dịch vụ Net Logon ngăn chặn các đăng nhập nhưng không ngăn chặn tất cả các kết nối cần thiết. Câu C si vì việc vô hiệu hóa tường lửa sẽ cho phép tất cả lưu lượng đi qua nó.
  6. Câu D đúng. Để những thay đổi được phổ biến trong toàn mạng khi xuất hiện và để giảm gánh nặng quản trị có liên quan tới việc nâng cấp các bảng định tuyến, lúc này phải cần đến một giao thức định tuyến. Vì OSPF không thể được sử dụng với các kết nối không bền và OSPF không có sẵn trong Windows Server 2008, nên chúng ta phải sử dụng RIPv2. Câu A và C là sai. Câu B cũng sai vì ICMP không phải là giao thức định tuyến.
  7. Câu B đúng. Bạn cần phải sử dụng menu ngữ cảnh của nút Routing Interface Protocol (RIP) để thêm một giao diện vào RIP. Khi thêm một giao thức định tuyến, giao thức sẽ không được cấu hình mặc định để sử dụng giao diện, chính vì vậy bạn phải nhận ra giao diện đó và các giao diện khác, chẳng hạn như kết nối LAN mà giao thức có thể sử dụng. Câu A sai vì kịch bản không chỉ thị rằng có máy chủ DHCP trên mạng. Câu C sai vì các bảng định tuyến được xây dựng tự động. Câu D sai vì không cần gỡ bỏ các tuyến tĩnh từ bảng định tuyến.
  8. Câu A đúng. Câu trả lời đúng là kích hoạt split-horizon processing. Bạn phải chọn tùy chọn này để bảo đảm rằng bất cứ tuyến nào đã biết từ một mạng đều không được gửi đi như một thông báo RIP ttreen mạng. Khi tùy chọn này được kích hoạt, một router không thể quảng bá một tuyến trên cùng một kết nối mà nó đã biết. Câu B,C và D không trợ giúp việc loại trừ các vòng lặp định tuyến.
  9. Câu B đúng. Bạn phải thay đổi tên tài khoản người dùng trên mỗi router để tương ứng với tên được gán cho giao diện demand-dial trên router trả lời. Để kết nối two-way demand-dial làm việc, tài khoản người dùng được sử dụng cho việc thẩm định phải giống tên được gán cho giao diện demand-dial. Tên của giao diện demand-dial của router văn phòng chi nhánh phải được thay đổi thành SRV02. Tên của giao diện demand-dial ở router văn phòng chính phải được thay đổi thành SRV01. Câu D sai vì các tài khoản người dùng đã sử dụng cho việc thẩm định từ xa giữa các router demand-dial không cần thiết phải giống nhau. Câu A và C sai vì tên giao diện demand-dial trên router gọi phải giống với tên tài khoản người dùng trên router gọi.
  10. Câu A đúng. Bạn cần chuyển tiếp cổng 20 và 21 đến FS1. Các cổng 20 và 21 là các cổng được sử dụng bởi FTP. Câu B sai vì cổng 80 và 443 được sử dụng bởi web server. Câu C sai vì cổng 25 được sử dụng cho SMTP. Câu D sai vì cổng 3389 được sử dụng bởi Remote Desktop Protocol.
  11. Câu B đúng. Mặc định, tường lửa được khởi chạy và Teredo bị khóa. Câu A sai vì bạn đã có NAT. Câu C sai vì đã có nhiều tuyến giữa các chi nhánh. Câu D sai vì Teredo emulator không như vậy.
Thứ Tư, 06/01/2010 10:17
51 👨 3.641
0 Bình luận
Sắp xếp theo