Giới thiệu về UAG DirectAccess – Phần 3: NAT64/DNS64

Quản trị mạngTrong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chính trong triển khai DirectAccess trong đó không cần nâng cấp cơ sở hạ tầng mạng lên IPv6.

Trong phần một của loạt bài này, chúng tôi đã giới thiệu cho các bạn về DirectAccess và giải thích về cách DirectAccess làm việc như thế nào. Phần hai là những giới thiệu chi tiết về các kỹ thuật chuyển đổi IPv6 để cho phép máy khách và máy chủ DirectAccess truyền thông với nhau trong mạng nội cũng như mạng Internet IPv4. Trong đó đã giới thiệu về cách máy khách DirectAccess sử dụng Name Resolution Policy Table (NRPT) như thế nào để xác định tên miền được phân giải bởi các máy chủ DNS bên trong và tên miền được phân giải bởi máy chủ DNS ngoài Internet.

Trong phần ba này, chúng tôi sẽ giới thiệu một số kỹ thuật chính trong triển khai DirectAccess trong đó không cần nâng cấp cơ sở hạ tầng mạng lên IPv6. Vấn đề này tỏ ra đặc biệt quan trọng vì hầu hết các mạng hiện nay đều có lẫn các máy khách và máy chủ “IPv4 only” và “IPv6 capable”. Thêm vào đó, các thiết bị hỗ trợ IPv4 (hay được gọi tắt là tài nguyên IPv4) vẫn tồn tại phổ biến hơn các thiết bị “IPv6 capable”. Đây là thực trạng về môi trường mạng trong hầu hết các công ty ngày nay, và UAG DirectAccess sẽ cho phép truy cập vào các tài nguyên IPv4 trên mạng đó.

Giải pháp: NAT64/DNS64

UAG DirectAccess quản lý vấn đề bằng cách thực thi hai kỹ thuật không có sẵn đối với giải pháp Windows DirectAccess đó là:

 • NAT64
 • DNS64

Hai kỹ thuật này cho phép máy khách DirectAccess luôn sử dụng “ngôn ngữ” IPv6 với máy chủ UAG DirectAccess để kết nối với tài nguyên “IPv4 only” trong mạng nội bộ.

Khi máy khách DirectAccess gửi đi yêu cầu truy cập tài nguyên bằng cách sử dụng tên nhãn hoặc tên miền hoàn chỉnh FQDN, đầu tiên nó tham khảo bảng Name Resolution Policy Table (NRPT). Nếu có sự trung khớp trên bảng và không có rule ngoại lệ đối với tên miền nào đó thì máy khách sẽ gửi yêu cầu phân giải tên miền đến địa chỉ IPv6 (6to4) của máy chủ UAG DirectAccess. Nếu yêu cầu tên nhãn, thì thành phần DNS client của máy khách DirectAccess sẽ gắn thêm hậu tố DNS như được cấu hình trên NIC hoặc thông qua Group Policy.

Khi máy chủ UAG DirectAccess nhận được yêu cầu này, nó sẽ gửi yêu cầu đến các máy chủ DNS được cấu hình trên giao diện bên trong theo thứ tự máy chủ liệt kê. Yêu cầu truy vấn DNS sẽ cho cả hai bản ghi IPv4 Host (A) và IPv6 Quad A (AAAA). Nếu máy chủ DNS đáp trả máy chủ UAG DirectAccess bằng một bản ghi Quad A thì nó sẽ đáp trả bản ghi này với máy khách DirectAccess và máy khách DirectAccess sẽ kết nối với địa chỉ IPv6 có trong đáp trả Quad A qua đường hầm DirectAccess IPsec.

Mặc dù vậy, nếu máy chủ DNS đáp trả máy chủ UAG DirectAccess bằng bản ghi IPv4 Host (A) thì máy khách DirectAccess trên Internet sẽ gặp vấn đề, lý do là vì máy khách DirectAccess chỉ có thể truyền thông qua IPv6. Để giải quyết vấn đề, thành phần DNS64 của máy chủ UAG DirectAccess sẽ bản đồ hóa tên miền địa với chỉ IPv6 và sau đó khai báo thành phần NAT64 của máy chủ UAG DirectAccess giữa địa chỉ IPv6 và địa chỉ IPv4.

Cho ví dụ, giả sử máy khách DirectAccess trên Internet cần kết nối với tên miền SRV1.contoso.com. Nó sẽ gửi yêu cầu truy vấn tên miền đến địa chỉ IPv6 (6to4) của máy chủ UAG DirectAccess qua đường hầm IPsec. Máy chủ UAG DirectAccess sẽ gửi yêu cầu IPv4 Host (A) và IPv6 Host (Quad A) cho miền SRV1.contoso.com đến máy chủ DNS được cấu hình trên giao diện bên trong. Sau đó máy chủ DNS sẽ chỉ đáp trả bản ghi với địa chỉ IP 10.0.0.66. Thành phần DNS64 trên máy chủ UAG DirectAccess sẽ bản đồ hóa địa chỉ 10.0.0.66 thành địa chỉ IPv6, chẳng hạn như 2002::0066 (đây chỉ là ví dụ mang tính minh họa). Thành phần DNS64 của máy chủ UAG DirectAccess sẽ khai báo với thành phần NAT64 đó rằng nó sẽ chuyển tiếp bất cứ yêu cầu gửi đến địa chỉ 2002::0066 đến địa chỉ IP 10.0.0.66. Trạng thái của Session cũng được đánh dấu để đáp trả từ 10.0.0.66 được chuyển tiếp đến máy khách DirectAccess. Máy chủ UAG DirectAccess sẽ chuyển tiếp đáp trả phân giải tên miền cho SRV1.contoso.com qua địa chỉ IP 2002::0066 đến máy khách DirectAccess trên Internet và máy khách DirectAccess sẽ gửi yêu cầu kết nối đến địa chỉ đó.

Như những gì thấy, DNS64/NAT64 hoạt động như một bộ biên dịch giao thức IPv6/IPv4, để từ đó máy khách DirectAccess trên Internet có thể kết nối với tài nguyên “IPv4 only” trên mạng nội bộ. Trong thực tế, điều này có nghĩa các thành phần trình khách được cài đặt trên máy khách DirectAccess cần hỗ trợ “IPv6 aware”, tuy nhiên các thành phần trình chủ không cần vậy. Điều này cho phép mở rộng số lượng kịch bản máy khách DirectAccess kết nối với tài nguyên mạng nội bộ.

Hạn chế

Tuy nhiên cũng như tất cả các giải pháp dựa trên NAT, có một số hạn chế và nhược điểm đối với giải pháp này. Những hạn chế chủ yếu ở đây là:

 • NAT64/DNS64 sẽ tiêu tốn tài nguyên CPU và bộ nhớ và vì vậy có thể gây ảnh hưởng tiêu cực về mặc hiệu suất trên máy chủ UAG DirectAccess.
 • NAT64/DNS64 chỉ làm việc trong kịch bản “chuyển tiếp NAT”. Điều này có nghĩa rằng bạn không thể “chuyển ngược NAT” từ mạng nội bộ sang máy khách DirectAccess từ một trạm quản lý IPv4. Kết quả là không thể khởi tạo kết nối từ trạm quản lý “IPv4 only” đến máy khách DirectAccess. Mặc dù vậy, máy khách DirectAccess có thể kết nối với trạm quản lý miễn là nó khởi tạo kết nối. Nếu giải pháp có tác dụng với kết nối đang tồn tại này thì bạn có thể kết nối ngược lại máy khách DirectAccess.
 • NAT64/DNS64 không có bất cứ bộ chỉnh sửa NAT nào (NAT editor). NAT editor thường được sử dụng để cho phép các ứng dụng được nhúng thông tin mạng vào giao thức ứng dụng của chúng. Cho ví dụ, giao thức FTP sẽ nhúng thông tin địa chỉ IP vào giao thức của nó và máy khách OCS sẽ nhúng địa chỉ IPv4 vào giao thức ứng dụng. Cách thức này không thể áp dụng với NAT64/DNS64 vì không có NAT editor giúp chúng làm việc.

Đây là một số vấn đề mà bạn có thể gặp phải khi sử dụng giải pháp NAT64/DNS64 của máy chủ UAG DirectAccess. Cần lưu ý rằng NAT64/DNS64 chỉ được sử dụng nếu máy chủ có ứng dụng đang chạy trên nó không hỗ trợ IPv6 hoặc nếu bản thân ứng dụng không hỗ trợ IPv6. Nếu máy chủ và ứng dụng đều hỗ trợ IPv6 thì NAT64/DNS64 sẽ được sử dụng và sự truyền thông từ máy khách DirectAccess đến máy chủ đích sẽ là truyền thông đến địa chỉ ISATAP được gán cho máy chủ trên mạng công ty.

Lưu ý:

Một sự thật thú vị về UAG DirectAccess NAT64/DNS64 là rằng, thành phần NAT64 là một phần của ứng dụng TMG được cài đặt trên máy chủ UAG DirectAccess, trong khi đó thành phần DNS64 lại là một phần của mã UAG.

Một thứ khác mà các bạn cần biết là NAT64/DNS64 cho phép triển khai DirectAccess trong tổ chức không yêu cầu Windows 2008 R2 ngoại trừ trên các máy chủ UAG DirectAccess. Toàn bộ công ty bạn có thể hiện đang sử dụng các domain Windows Server 2000 còn các tài nguyên được host trên máy chủ Windows 2000, Windows Server 2003, Windows Server 2008 hoặc thậm chí hệ điều hành không phải của Microsoft thì các máy khách DirectAccess vẫn có thể kết nối với tài nguyên đó. Điều này lý giải tại sao NAT64/DNS64 lại quan trọng đến vậy – nó cho phép bạn triển khai DirectAccess mà không cần phải tốn chi phí cho việc nâng cấp cơ sở hạ tầng. Nếu bạn đã nghe thấy ở đâu đó nói rằng cần phải có một mạng IPv6 trước khi triển khai DirectAccess thì điều này hoàn toàn không đúng; mạng của bạn có thể là IPv4 nhưng vẫn có thể khai thác được những lợi ích từ việc triển khai UAG DirectAccess.

Kết luận

Trong phần này chúng tôi đã giới thiệu cho các bạn về cách máy khách DirectAccess sử dụng IPv6 để truyền thông với máy chủ DirectAccess như thế nào. Điều này yêu cầu cần cho phép máy khách DirectAccess có thể truyền thông với các tài nguyên nằm trong mạng nội bộ không phải mạng “IPv6 capable”. Và giải pháp cho vấn đề đó là dịch vụ UAG NAT64/DNS64. Dịch vụ này có thể bản đồ hóa các tên miền và địa chỉ của tài nguyên “IPv4 only” thành địa chỉ IPv6 được sử dụng bởi máy khách DirectAccess. Từ đó cho phép máy khách DirectAccess có thể khởi tạo các kết nối đến tài nguyên trong mạng nội bộ. Mặc dù vậy, vẫn còn có nhiều hạn chế đối với dịch vụ NAT64/DNS64, chẳng hạn như các tài nguyên nằm trong mạng nội bộ không thể khởi tạo các kết nối đến máy khách DirectAccess. Tuy nhiên do đa số các trường hợp kết nối được thực hiện từ phía trình khách nên hạn chế trên không phải là vấn đề quá nghiêm trọng.

Tiếp theo

Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu về các thành phần cơ sở hạ tầng chính cần để triển khai UAG DirectAccess có thể làm việc. Các thành phần đó gồm:

 • Active Directory Domain Services và Group Policy
 • Domain Name Services (DNS)
 • Public Key Infrastructure (PKI) và Windows Active Directory Certificate Services
 • Network Location Servers
 • Máy chủ Certificate Revocation List (CRL)
 • Windows Firewall with Advanced Security và Network Firewalls
 • Máy chủ Remote Access VPN
 • NAP và Smart Card Infrastructure.
Thứ Ba, 27/09/2011 07:25
52 👨 1.187
0 Bình luận
Sắp xếp theo