Định tuyến và lọc lưu lượng mạng - Phần 1 Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về cấu hình router và tường lửa cũng như NAT, đây là những kiến thức được yêu cầu trong bài kiểm tra 70-642 về Windows Server 2008 của Microsoft. Các thuật ngữ các bạn cần hiểu: • Router • Metric • Hop • Static routes • Dynamic routes • Router Information Protocol (RIP) • Split-horizon • Open Shortest Path First (OSPF) • Firewall • Stateful firewall • Windows Firewall • Windows Firewall with Advanced Security • Usage profile • Network address translation (NAT) Những kỹ thuật và khái niệm bạn cần nắm • Cấu hình các tuyến tĩnh bằng giao diện Router and Remote Access (RRAS) và bằng lệnh Route.exe. • Cấu hình Router Information Protocol (RIP). • Cấu hình lọc gói dữ liệu, Windows Firewall và Windows Firewall với bảo mật nâng cao Advanced Security • Cấu hình tuyến dial-up • Cấu hình NAT (Network Address Translation) Router là một thiết bị dùng để quản lý luồng dữ liệu giữa các đoạn mạng, hoặc các mạng con. Khi có nhiều LAN hoặc nhiều đoạn mạng được kết nối với nhau, các tuyến được tạo ra để truyền tải dữ liệu từ LAN này hoặc đoạn mạng này sang LAN khác hoặc đoạn mạng khác. Một router sẽ định hướng các gói dữ liệu gửi đến và gửi đi dựa trên các thông tin mà nó nhận biết về trạng thái của các giao diện mạng và danh sách các đích có thể gửi đến. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bằng cách lên dự án cho lưu lượng mạng và các nhu cầu về việc định tuyến, bạn có thể quyết định xem mình có muốn sử dụng router phần cứng chuyên dụng hay không, ví dụ như router của Cisco hay một router phần mềm như router có trong Windows Server 2008. Nếu nhu cầu định tuyến thực sự cần thiết, khi đó bạn cần phải sử dụng các router phần cứng chuyên dụng. Còn với các mạng nhỏ, giải pháp định tuyến dựa trên phần mềm cũng khá khả thi. Để trợ giúp cho việc định tuyến, Microsoft Windows Server 2008 có hỗ trợ dịch vụ định tuyến và truy cập từ xa - Routing and Remote Access service. Định tuyến và Router Khi bạn gửi đi một gói dữ liệu từ một máy tính này sang một máy tính khác, đầu tiên quá trình sẽ xác định xem gói dữ liệu được gửi nội bộ đến máy tính khác trên cùng LAN hay đến router để định tuyến đến LAN đích. Nếu gói dữ liệu được gửi đến một máy tính nằm trong một LAN khác, nó sẽ được gửi đến router (hoặc gateway). Sau đó router sẽ xác định tuyến khả thi nhất để chuyển tiếp dữ liệu theo tuyến đó. Gói dữ liệu sẽ được gửi đến router tiếp theo và quá trình như vậy được lặp lại cho tới khi nó đến được LAN đích. Ở Lan đích, router đích sẽ chuyển tiếp gói dữ liệu này đến máy tính đích. Để xác định xem tuyến nào là tốt nhất, các router sử dụng thuật toán định tuyến phức tạp, thuật toán này sử dụng một loạt các hệ số gồm có tốc độ của môi trường truyền dẫn, số đoạn mạng và đoạn mạng có khả năng chuyển tải lưu lượng ở mức độ tối thiểu. Các router sẽ chia sẻ trạng thái và các thông tin định tuyến cho nhau để chúng có thể quản lý lưu lượng và tránh được các kết nối chậm. Thêm vào đó, các router cũng cung cấp chức năng khác, chẳng hạn như khả năng lọc các tin và chuyển tiếp chúng đến các địa điểm khác dựa trên các tiêu chuẩn nào đó. Hầu hết các router đều là các router đa giao thức vì chúng có thể định tuyến các gói dữ liệu bằng cách sử dụng nhiều giao thức khác nhau. Metric là một chuẩn đo lường, chẳng hạn như hop count (số router), được sử dụng bởi các thuật toán định tuyến để xác định đường đi tối ưu đến một đích nào đó. Một hop là một chuyến đi mà một gói dữ liệu phải trải qua tính từ một router này đến một router khác hoặc từ một router này đến một điểm trung gian khác và đến một router khác trong mạng. Trên các mạng lớn, số hop mà một gói cần để đến được đích của nó được gọi là hop count. Khi một máy tính truyền thông với một máy tính khác, quá trình truyền thông phải truy cập qua 4 router, khi đó nó có hop count bằng 4. Nếu không có các hệ số nào được đưa ra, một metric bằng 4 sẽ được gán. Nếu router được quyền lựa chọn giữa một tuyến có 4 metric và một tuyến có 6 metric thì nó sẽ chọn Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com tuyến có 4 metric. Rõ ràng, nếu muốn router chọn tuyến có 6 metric, bạn có thể ghi đè metric cho tuyến có 4 hop trong bảng định tuyến với giá trị cao hơn. Để theo dõi các tuyến khác nhau trong mạng, các router tạo và duy trì các bảng định tuyến. Các router truyền thông với nhau để duy trì các bảng định tuyến của chúng thông qua một tin cập nhật về tuyến. Tin cập nhật về tuyến có thể gồm tất cả hoặc một phần của bảng định tuyến. Bằng cách phân tích các nâng cấp về tuyến từ tất cả các router khác, các router có thể tạo ra một bức tranh chi tiết về topo mạng. Các tuyến động và tuyến tĩnh Thuật toán định tuyến tĩnh là các thuật toán khá cứng, là các ánh xạ được thiết lập bởi nhân viên quản trị mạng từ trước dựa theo bảng định tuyến tĩnh để thực hiện việc định tuyến. Các ánh xạ này không thay đổi trừ khi quản trị mạng thay đổi chúng. Thuật toán sử dụng các tuyến tĩnh thường khá đơn giản trong thiết kế và làm việc tốt trong các môi trường mà ở đó có thể dự đoán trước lưu lượng mạng và thiết kế mạng khá đơn giản. Do các hệ thống định tuyến tĩnh không thể phản ứng với những thay đổi của mạng, nên chúng thường không phù hợp với các mạng mang tính thay đổi thường xuyên hay các mạng lớn. Hầu hết các thuật toán định tuyến chiếm ưu thế là các thuật toán định tuyến động, các thuật toán này có khả năng điều chỉnh theo những điều kiện mạng thay đổi bằng cách phân tích các tin tức cập nhật về tuyến gửi đến. Nếu tin tức này chỉ thị rằng có một thay đổi mạng xuất hiện, phần mềm định tuyến sẽ tính toán lại các tuyến và gửi đi các tin tức mới về tuyến. Các tin tức này sẽ được truyền đi trong toàn mạng, dựa vào các tin này, các router khác sẽ khởi chạy lại các thuật toán của chúng và thay đổi các bảng định tuyến của mình theo các dữ liệu mới nhất. Lưu ý: Các thuật toán định tuyến động có thể được thực hiện với các tuyến tĩnh ở nơi thích hợp. Thuật toán Distance-Vector và Link-State Các router sử dụng các giao thức định tuyến dựa trên vectơ khoảng cách ( distance-vector) để thông báo hoặc quảng bá định kỳ các tuyến trong bảng định tuyến của chúng, tuy nhiên chúng sẽ chỉ gửi nó đến các router lân cận của mình. Các thông tin về tuyến đã được trao đổi giữa các router dựa trên distance-vector không được đồng bộ và không được phúc đáp. Các giao thức định tuyến distance-vector khá đơn giản và dễ hiểu cũng như dễ cấu hình. Nhược điểm đối với các router này là nhiều tuyến đến một mạng nào đó có thể mang lại nhiều mục trong bảng định tuyến, điều đó dẫn đến một bảng Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com định tuyến lớn. Thêm vào đó, nếu bạn có một bảng định tuyến lớn, lưu lượng mạng của bạn sẽ tăng vì nó sẽ quảng bá một cách định kỳ bảng định tuyến đến các router khác, thậm chí sau khi mạng đã hội tụ. Cuối cùng, sự hội tụ giao thức distance-vector của các mạng lớn có thể mất nhiều thời gian, đến vài phút. Thuật toán trạng thái liên kết ( Link-state) được biết đến như thuật toán tìm đường đi ngắn nhất. Thay vì sử dụng hình thức quảng bá, các router link- state gửi các tin tức được cập nhật một cách trực tiếp (hoặc bằng cách sử dụng lưu lượng multicast) đến tất cả các router bên trong mạng. Mặc dù vậy mỗi router chỉ gửi một phần của bảng định tuyến có mô tả trạng thái các liên kết của riêng nó. Về cơ bản, thuật toán link-state chỉ gửi đi một số tin tức nhỏ. Vì chúng hội nhanh hơn nên các thuật toán link-state ít vòng lặp về tuyến hơn so với các thuật toán distance-vector. Thêm vào đó, các thuật toán link-state không trao đổi các thông tin về việc định tuyến khi các mạng tương tác hội tụ. Chúng có các bảng định tuyến nhỏ vì chỉ lưu một tuyến tối ưu cho mỗi ID mạng. Routing Information Protocol (RIP) Giao thức định tuyến phổ biến là RIP (Routing Information Protocol), là một giao thức distance-vector được thiết kế cho việc trao đổi các thông tin định tuyến bên trong một mạng có kích thước nhỏ đến trung bình. Ưu điểm lớn nhất của RIP là nó rất đơn giản trong cấu hình và triển khai. RIP sử dụng một metric định tuyến bằng số các hop count (số router) để đo khoảng cách giữa mạng nguồn và đích. Mỗi hop trong một đường dẫn từ nguồn tới đích được gán một giá trị hop-count, điển hình bằng 1. Khi một router nhận được một cập nhật về tuyến có chứa một entry mạng đích mới hoặc đã được thay đổi thì router đó sẽ cộng thêm 1 vào giá trị metric được chỉ thị trong nâng cấp và nhập vào mạng trong bảng định tuyến. Địa chỉ IP của người gửi sẽ được sử dụng như hop tiếp theo. Do RIP chỉ sử dụng hop count để xác định đường đi tốt nhất đến một mạng tương tác nào đó nên nếu RIP tìm thấy nhiều liên kết đến cùng một mạng từ xa với cùng hop-count thì nó sẽ tự động thực hiện một sự cân bằng tải luân chuyển “ round-robin”. RIP có thể thực hiện việc cân bằng tải cho tới 6 liên kết. Mặc dù vậy, có một vấn đề xảy ra trong việc sử dụng các hop khi hai liên kết đến một mạng từ xa có băng thông khác nhau. Cho ví dụ, nếu bạn có một liên kết chuyển mạch 56KB và một liên kết T1 1,544Mbps thì sẽ xảy ra hiện tượng không hiệu quả khi gửi dữ liệu bằng nhau qua cả hai đường. Để khắc phục nhược điểm này, bạn phải thiết kế một mạng có các liên kết băng thông Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com bằng nhau hoặc sử dụng một giao thức định tuyến có thể đưa vào các hệ số băng thông trong bản kê khai. RIP ngăn chặn các vòng lặp vô tận trong định tuyến bằng cách thực thi một giới hạn về số các hop được cho phép trong một đường đi từ nguồn đến đích. Số hop tối đa trong một đường đi là 15. Nếu một router nhận được một nâng cấp định tuyến có chứa một entry mới hoặc đã được thay đổi, và nếu quá trình tăng giá trị metric lên 1 làm cho metric bằng 16 thì đích mạng coi như không thể đến. Rõ ràng, điều này làm cho RIP không thể co dãn trong các mạng lớn hoặc rất lớn. Lưu ý: Vấn đề đếm vô tận là lý do tại sao số hop (hop count) tối đa của RIP cho một mạng IP được thiết lập là 15. Các giá trị hop count tối đa lớn hơn sẽ làm cho thời gian hội tụ lâu hơn khi đó hiện tượng đếm vô tận xuất hiện. Ban đầu, bảng định tuyến cho mỗi router chỉ gồm các mạng được kết nối vật lý với nó. Một RIP router sẽ định kỳ (30s) gửi đi các thông báo có chứa các entry bảng định tuyến của nó để các router khác có thể cập nhật các bảng định tuyến của chúng. Phiên bản 1 của RIP sử dụng các gói dữ liệu quảng bá địa chỉ IP cho các thông báo của nó, phiên bản 2 sử dụng các gói dữ liệu multicast hoặc broadcast. Tất cả các tin nhắn RIP đều được gửi trên cổng UDP 520. Các RIP router cũng có thể truyền thông các thông tin định tuyến thông qua các nâng cấp được kích hoạt ( trigger), các nâng cấp được kích hoạt khi topo mạng thay đổi. Khác với các thông báo được lịch trình, các nâng cấp được kích hoạt sẽ được gửi đi ngay lập tức thay cho việc phải đợi thông báo định kỳ tiếp theo. Cho ví dụ, khi một router phát hiện một lỗi liên kết hoặc router, nó sẽ nâng cấp bảng định tuyến của chính mình và gửi các tuyến đã được cập nhật. Các router nhận được nâng cấp đã được kích hoạt này sẽ thay đổi bảng định tuyến của nó và phổ biến thay đổi này đến các router khác. Bạn có thể cấu hình mỗi RIP router với một danh sách các router (bởi địa chỉ IP) chấp nhận các thông báo RIP. Bằng cách cấu hình danh sách các RIP router ngang hàng, các tuyên bố RIP từ các RIP router không được thẩm định sẽ bị loại bỏ. Thêm vào đó, để ngăn chặn lưu lượng RIP nhận được bởi bất cứ nút nào ngoại trừ các RIP router lân cận, bạn có thể thiết lập một số router để sử dụng các thông báo RIP một đường đến các RIP router lân cận. Vì RIP là một giao thức distance-vector, nên khi các mạng tương tác mở rộng về kích thước, các thông báo định kỳ bởi các RIP router có thể gây ra hiện tượng quá tải lưu lượng. Một nhược điểm của RIP là thời gian hội tụ khá cao. Khi topo mạng thay đổi, nó cần đến vài phút trước khi các RIP router tự cấu hình lại bản thân chúng về topo mạng mới. Khi mạng tự cấu Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com hình lại, các vòng lặp định tuyến có thể gây ra hiện tượng mất dữ liệu. Để khắc phục hiện tượng này, RIP có bổ sung thêm split-horizon. Để khắc phục một số thiếu sót của RIP, RIP Version 2 (RIP II) đã được ra đời. RIP v2 cung cấp các tính năng dưới đây: • Bạn có thể sử dụng một mật khẩu cho việc thẩm định bằng cách chỉ định một khóa được sử dụng để thẩm định các thông tin định tuyến cho router. Sự thẩm định mật khẩu được định nghĩa trong RFC 1723, tuy nhiên lại có các cơ chế thẩm định mới hơn, chẳng hạn như Message Digest 5 (MD5). • RIP v2 gồm có subnet mask trong thông tin định tuyến và hỗ trợ các subnet có độ dài thay đổi (variable-length). Subnet mask có độ dài thay đổi có thể được liên kết với các đích, cho phép tăng số lượng host hoặc subnet có thể trong mạng. • Bảng định tuyến có thể chứa các thông tin về địa chỉ IP của router cần thiết để đến được đích. Điều này giúp tránh được tình trạng các gói dữ liệu bị chuyển tiếp qua các router mở rộng trên hệ thống. • Các gói Multicast chỉ phát đến các RIP v2 router và được sử dụng để giảm tải trên các host không lắng nghe các gói RIP v2. Địa chỉ IP multicast cho các gói RIP v2 là 224.0.0.9. Lưu ý: các nút Silent RIP cũng phải lắng nghe lưu lượng multicast được gửi đến địa chỉ 224.0.0.9. Nếu bạn đang sử dụng Silent RIP, hãy thẩm định rằng các nút Silent RIP của mình có thể lắng nghe các thông báo multicast RIP v2 trước khi triển khai multicast RIP v2. Lưu ý: RIPv2 hỗ trợ multicast cho việc nâng cấp các bảng định tuyến. RIPv1 không hỗ trợ tính năng này. RIPv1 router không thể truyền thông với RIPv2 router có sử dụng multicast để cập nhật. Open Shortest Path First (OSPF) Với các mạng nhỏ và trung bình, việc phân phối dữ liệu trong toàn mạng và duy trì bảng định tuyến tại mỗi router không trở thành vấn đề nghiêm trọng. Tuy nhiên với các mạng có kích thước lớn, có hàng trăm router, bảng định tuyến có thể khá lớn (vài MB) thì việc tính toán các tuyến cần đến khá nhiều thời gian vì một số router có thể gặp sự cố hoặc không. Một số giao thức, chẳng hạn như Open Shortest Path First (OSPF), cho phép các vùng (nhóm các mạng kế nhau) được nhóm lại với nhau thành một hệ thống tự trị (AS). Các khu vực tạo nên các vùng tự trị này thường tương Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com ứng với một miền quản trị, chẳng hạn như một phòng, tòa nhà hoặc một vị trí địa lý nào đó. Một AS có thể là một mạng hoặc có thể là một nhóm các mạng, được sở hữu và được quản trị bởi một quản trị mạng hoặc một nhóm quản trị mạng nói chung. OSPF là một giao thức định tuyến link-state được sử dụng trong các mạng có kích thước lớn và trung bình để tính toán các entry của bảng định tuyến bằng cách xây dựng một cây đường đi ngắn nhất. OSPF được thiết kế cho các mạng tương tác lớn (được biệt các mạng có hơn 15 router hop). Nhược điểm của OSPF là nó khá phức tạp trong thiết lập và yêu cầu cần phải có kế hoạch cụ thể. Lưu ý: Thành phần giao thức OSPF trong Routing and Remote Access đã được remove khỏi Windows Server 2008. Routing and Remote Access Service (RRAS) Với RRAS, một máy tính đang chạy hệ điều hành Windows Server 2008 có thể hoạt động như một router mạng, định tuyến các gói dữ liệu IP giữa các mạng. Dịch vụ router này cho phép các LAN và WAN được kết nối chéo với nhau một cách dễ dàng. Kỹ thuật định tuyến được xây dựng bên trong hệ điều hành, cung cấp cho các doanh nghiệp nhở và lớn một cách thức an toàn và hiệu quả về giá thành trong việc kết nối chéo các mạng của họ. Bạn có thể cài đặt dịch vụ Routing and Remote Access bằng cách sử dụng Add Roles Wizard. Để cài đặt dịch vụ Routing and Remote Access, thực hiện theo các bước dưới đây: 1. Trong cửa sổ chính của Server Manager, dưới Roles Summary, kích Add roles. Hoặc nếu bạn sử dụng cửa sổ Initial Configuration Tasks, bên dưới Customize This Server, kích Add roles. 2. Trong Add Roles Wizard, kích Next. 3. Trong danh sách các server role, chọn Network Policy and Access Services. Kích Next hai lần. 4. Trong danh sách role service, chọn Routing and Remote Access Services để chọn tất cả role service. Bạn cũng có thể chọn các role máy chủ riêng biệt. Kích Next. 5. Tiến hành qua các bước trong Add Roles Wizard để hoàn tất quá trình cài đặt. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Sau khi hoàn tất quá trình cài đặt, dịch vụ Routing and Remote Access được cài đặt trong trạng thái bị vô hiệu hóa. Để kích hoạt dịch vụ Routing and Remote Access, bạn hãy thực hiện theo các bước sau: 1. Mở Routing and Remote Access. 2. Mặc định, máy tính nội bộ được liệt kê như một máy chủ. 3. Để bổ sung thêm máy chủ khác, trong cây giao diện, kích chuột phải vào Server Status, sau đó kích Add Server. 4. Trong hộp thoại Add Server, kích tùy chọn thích hợp, sau đó kích OK. 5. Trong cây giao diện, kích phải vào máy chủ mà bạn muốn kích hoạt, sau đó kích Configure and Enable Routing and Remote Access. Kích Next. 6. Kích Custom Configuration và kích Next. 7. Để kích hoạt việc định tuyến LAN, chọn LAN routing và kích Next. 8. Kích nút Finish Để kích hoạt việc định tuyến LAN và WAN sau khi dịch vụ Routing and Remote Access đã được kích hoạt: 1. Mở Routing and Remote Access. 2. Kích phải vào tên máy chủ mà bạn muốn kích hoạt việc định tuyến, sau đó kích Properties. 3. Trong tab General, chọn hộp chọn IPv4 Router và IPv6 Router thích hợp, và chọn Local Area Network (LAN) Routing Only hay LAN and Demand-Dial Routing . 4. Kích OK. Tạo các tuyến tĩnh Trong một số trường hợp, bạn phải cần thêm một tuyến tĩnh cho router Windows Server 2008 của mình. Điều này hẳn là có cả ưu điểm và nhược điểm. Việc tạo một tuyến tĩnh là hoàn toàn đơn giản; mặc dù vậy, các tuyến mà bạn cấu hình không được chia sẻ giữa các router. Các tuyến tĩnh chỉ định địa chỉ mạng và subnet mask để thông tin cho router về cách đi đến một đích nào đó. Router sử dụng các thông tin đó để xác định gateway nào sẽ chuyển tiếp dữ liệu để gói dữ liệu có thể đến được host đích của nó. Các tuyến tĩnh có thể được cấu hình theo một trong hai cách sau: Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com • Sử dụng lệnh route. • Sử dụng giao diện quản lý RRAS. Sử dụng lệnh Route Lệnh route được sử dụng để xem và thay đổi bảng định tuyến mạng cho một mạng IP. Lệnh route print sẽ hiển thị danh sách các tuyến hiện hành mà host nắm được (xem hình 1) Hình 1: Kết quả của lệnh Route Print Các tuyến được thêm vào bảng định tuyến sẽ không bền trừ khi tiếp lệnh -p được chỉ định. Các tuyến không bền chỉ kéo dài cho tới khi máy tính được khởi động lại hoặc tới khi giao diện mất phản ứng. Giao diện có thể được làm mất tích cực khi giao diện plug-and-play được rút ra (chẳng hạn như các laptop và các máy tính cắm nóng), khi dây được remove khỏi media card (nếu adapter hỗ trợ nhận dạng lỗi media), hoặc khi giao diện bị hủy kết nối ra khỏi adapter trong thư mục Network and Dial-up Connections. Cách dùng lệnh route: ROUTE [-f] [-p] [command [destination]] [MASK netmask] [gateway] -> [METRIC metric] Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com [...]... thời điểm nào bằng cách chọn bộ lọc từ danh sách và kích Edit Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Định tuyến và lọc lưu lượng mạng Phần 2: Windows Firewall Windows Firewall Tường lửa (Firewall) trong Windows là một bộ lọc và thanh tra trạng thái gói dữ liệu (Stateful firewall) cho phép hoặc khóa chặn lưu lượng mạng theo cấu hình Bộ lọc dữ liệu bảo vệ máy tính bằng... định tuyến thích hợp là bước cuối cùng trong quá trình cấu hình máy chủ RRAS với tư cách là một router mạng Bạn phải thêm vào giao thức định tuyến bằng cách kích phải vào nút General và chọn New Routing Protocol Cửa sổ xuất hiện sẽ liệt kê các giao thức bạn có thể chọn Chọn RIPv2 và kích OK Sau khi giao thức định tuyến được thêm vào, bạn phải thêm vào các giao diện Để thực hiện điều đó, kích phải vào... chỉ định kiểu lưu lượng gửi đến và gửi đi được phép đi qua router Windows Server 2008 Khi cấu hình các bộ lọc dữ liệu, bạn có thể cho phép tất cả lưu lượng ngoại trừ lưu lượng bị chặn bởi bộ lọc Hoặc bạn có thể từ chối tất cả lưu lượng ngoại trừ lưu lượng được cho phép bởi bọ lọc Để bổ sung thêm bộ lọc dữ liệu, bạn thực hiện theo các bước dưới đây: 1 Mở Routing and Remote Access Simpo PDF Merge and Split... lửa này được đặt giữa người dùng và Internet để thẩm định tất cả lưu lượng trước khi cho phép nó đi qua Điều này có nghĩa, người dùng không được thẩm định sẽ không được phép truy cập vào các file của công ty hoặc máy chủ email NAT tự động cung cấp sự bảo vệ kiểu tường lửa mà không cần cài đặt Mục đích cơ bản của NAT là ghép lưu lượng từ mạng bên trong và thể hiện với mạng Internet cứ như thể nó được... NAT và cho phép lưu lượng IPv6 có tiền ẩn mã độc trên các mạng riêng, tuy nhiên chúng ta hãy xem xét các vấn đề dưới đây: • Teredo không thay đổi hành vi của các NAT Các máy khách Teredo tạo các entry bảng dịch NAT động cho lưu lượng Teredo của riêng chúng NAT chuyển tiếp lưu lượng Teredo gửi đến đến host đã tạo bảng dịch NAT tương ứng NAT không chuyển tiếp lưu lượng Teredo đến các máy tính trên mạng. .. hoặc được sử dụng Metric cung cấp một không gian để đánh vào số hop của tuyến để đến được đích Metric thường được sử dụng để chỉ thị số router (hop) đến đích Khi quyết định giữa nhiều tuyến đến cùng một đích, tuyến có metric thấp nhất sẽ được chọn là tuyến tốt nhất Định tuyến Demand-Dial Hai kiểu kết nối Demand-Dial có thể được tạo cho việc định tuyến: • Kết nối On-demand • Kết nối bền (Persistent) Với... Remote Router 6 Cấu hình một tuyến tĩnh đến mạng từ xa, kích Next 7 Từ cửa sổ Dial Out Credentials, chỉ định username và password mà dial-out router sẽ sử dụng để kết nối đến router từ xa Kích Next 8 Kích Finish Lưu ý: Trước khi tạo một giao diện demand-dial mới, bạn cần bảo đảm rằng router đã được kích hoạt cho LAN và việc định tuyến demand-dial thay cho chỉ việc định tuyến LAN Bạn có thể kích hoạt... tin cậy nhất và nhanh nhất Các lệnh có thể sử dụng trong cú pháp có trước là PRINT, ADD, DELETE và CHANGE: • PRINT—Hiển thị một tuyến • ADD—Thêm một tuyến • DELETE—Xóa một tuyến • CHANGE—Thay đổi một tuyến đang tồn tại Lưu ý: Các tuyến bền được lưu trong location Registry dưới đây: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters\PersistentRoutes Cho ví dụ, để tạo một tuyến tĩnh,... thẩm định được kích hoạt, tất cả các gói dữ liệu gửi đến và gửi đi phải gồm mật khẩu được chỉ định trong trường mật khẩu Khi sử dụng cơ chế thẩm định, hãy bảo đảm rằng tất cả các router lân cận phải được cấu hình bằng một mật khẩu giống nhau Từ tab Security, một quản trị viên có thể cấu hình bộ lọc tuyến RIP Router có thể được cấu hình để gửi và chấp nhận tất cả các tuyến, gửi và chấp nhận chỉ các tuyến. .. ví dụ, nếu router B nhận các tuyến được thông báo từ router A thì router B sẽ không thông báo các tuyến này cho router A nữa Khi quá trình Split Horizon with Poison Reverse được kích hoạt, các tuyến được thông báo trở lại router mà chúng nhận tin từ đó với một số hop count vô tận Bộ lọc dữ liệu Việc lọc gói cho phép các quản trị viên có thể chỉ định kiểu lưu lượng gửi đến và gửi đi được phép đi qua router . cho phép tất cả lưu lượng ngoại trừ lưu lượng bị chặn bởi bộ lọc. Hoặc bạn có thể từ chối tất cả lưu lượng ngoại trừ lưu lượng được cho phép bởi bọ lọc. Để bổ sung thêm bộ lọc dữ liệu, bạn. bảng định tuyến, điều đó dẫn đến một bảng Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com định tuyến lớn. Thêm vào đó, nếu bạn có một bảng định tuyến lớn, lưu lượng mạng. đoán trước lưu lượng mạng và thiết kế mạng khá đơn giản. Do các hệ thống định tuyến tĩnh không thể phản ứng với những thay đổi của mạng, nên chúng thường không phù hợp với các mạng mang tính