Định tuyến và lọc lưu lượng mạng Phần 3: Network Address Translation

Một phần của tài liệu Định tuyến và lọc lưu lượng mạng pptx (Trang 29 - 32)

Phần 3: Network Address Translation

Network Address Translation

Do các địa chỉ IPv4 là một tài nguyên có hạn và đã đến lúc đáng báo động, do đó hầu hết các ISP đều chỉ cung cấp một địa chỉ cho một khách hàng nào đó. Trong phần lớn các trường hợp, địa chỉ này được gán động, vì vậy mỗi

lần máy khách kết nối đến IPS, một địa chỉ khác sẽ được cung cấp. Các công ty lớn có thể mua thêm các địa chỉ khác, tuy nhiên cac công ty nhỏ và những người dùng gia đình thì chi phí đó là không thể. Do những người dùng như vậy chỉ nhận được một địa chỉ IP, nên họ chỉ có thể có một máy tính được kết nối với Internet tại một thời điểm.

Tổng quan về NAT (Network Address Translation)

Công nghệ Network address translation (NAT) được phát triển để cung cấp một giải pháp tạm thời cho vấn đề hết địa chỉ của IPv4. NAT là một phương pháp kết nối nhiều máy tính với Internet (hoặc bất cứ mạng IP nào) bằng cách sử dụng một địa chỉ IP. Với NAT gateway đang chạy trên một máy tính, nó có thể chia sẻ địa chỉ giữa các máy tính nội bộ và kết nối tất cả chúng với mạng Internet cùng lúc. Thế giới bên ngoài không hề biết đến sự phân chia này mà chỉ nghĩ rằng chỉ có một máy tính được kết nối.

Để khắc phục một số vấn đề bảo mật, một số sản phẩm tường lửa đã được cung cấp. Các tường lửa này được đặt giữa người dùng và Internet để thẩm định tất cả lưu lượng trước khi cho phép nó đi qua. Điều này có nghĩa, người dùng không được thẩm định sẽ không được phép truy cập vào các file của công ty hoặc máy chủ email.

NAT tự động cung cấp sự bảo vệ kiểu tường lửa mà không cần cài đặt. Mục đích cơ bản của NAT là ghép lưu lượng từ mạng bên trong và thể hiện với mạng Internet cứ như thể nó được gửi đến từ một máy tính có địa chỉ IP duy nhất đó. Các giao thức TCP/IP cho phép ghép kênh để bất kỳ máy tính nào cũng có thể duy trì nhiều kết nối một cách đồng thời với máy tính từ xa. Cho ví dụ, một máy khách bên trong có thể kết nối với một máy chủ FTP bên ngoài, tuy nhiên một máy khách bên ngoài lại không thể kết nối với máy chủ FTP bên trong vì nó phải tạo kết nối và NAT không cho phép điều đó. Tuy nhiên vẫn có thể làm cho một số máy chủ bên trong có sẵn đối với thế giới bên ngoài thông qua việc bản đồ hóa việc gửi dữ liệu đi, bản đồ này được biết đến như các cổng TCP để cho các địa chỉ bên trong cụ thể, như vậy sẽ tạo được các dịch vụ như FTP hoặc web có sẵn trong cách có kiểm soát. Một NAT gateway hiện đại phải thay đổi địa chỉ nguồn trên các gói dữ liệu gửi đi để nó trở thành địa chỉ công. Chính vì vậy nó cũng đánh số lại các cổng nguồn để trở thành duy nhất, từ đó có thể dõi theo mỗi kết nối máy khách. NAT gateway sử dụng bảng bản đồ hóa cổng để nhớ cách nó đánh số lại các cổng cho mỗi gói dữ liệu được gửi ra của máy khách. Bảng bản đồ hóa cổng có liên quan với địa chỉ IP nội bộ của máy khách và cổng nguồn cộng với số cổng nguồn được dịch của nó cho địa chỉ đích và cổng. Chính vì

vậy NAT gateway có thể đảo ngược quá trình các gói trả về và định tuyến chúng quay trở lại đúng các máy khách.

Kích hoạt NAT

Để kích hoạt việc đánh địa chỉ của NAT, bạn có thể thực hiện theo các bước sau:

1. Mở Routing and Remote Access.

2. Để thêm NAT, kích phải vào General nằm bên dưới IPv4 và chọn

New Routing Protocol. Chọn NAT và kích OK.

3. Trong cây giao diện, kích NAT bên dưới IPv4. 4. Kích chuột phải vào NAT, sau đó kích Properties.

5. Trên tab Address Assignment, chọn Automatically Assign IP

Addresses bằng hộp kiểm Using the DHCP Allocator.

6. (Tùy chọn) Để tìm đến các máy khách DHCP trên mạng riêng, trong địa chỉ IP và Mask, cấu hình dải các địa chỉ IP.

7. (Tùy chọn) Để loại ra các địa chỉ từ một vị trí nào đó cho các máy khách DHCP trên mạng riêng, kích Exclude, Add, sau đó cấu hình các địa chỉ.

Để chỉ định các giao diện trong và ngoài, kích phải vào NAT bên dưới IPv4 và chọn New Interface. Chọn giao diện vật lý và kích OK. Chỉ định Private

Interface Connected to the Private Network hoặc Public Interface Connected to the Internet. Nếu chọn Public Interface Connected to the

Internet, bạn sẽ phải chọn tiếp Enable NAT on This Interface. Kích OK. Để chuyển tiếp một giao thức đến một máy chủ bên trong nào đó thông qua máy chủ NAT, thực hiện theo các bước sau:

1. Kích phải vào giao diện chung và chọn Properties. 2. Chọn tab Services and Ports

3. Chọn giao thức mà bạn muốn chuyển tiếp.

4. Khi hộp thoại Edit Services xuất hiện, chỉ định địa chỉ riêng và kích

OK để đóng hộp thoại Edit Services.

5. Kích OK để đóng hộp thoại Properties.

NAT và Teredo

Lưu lượng IPv6 được tạo đường hầm bằng Teredo không phải là chủ đề đối với chức năng lọc gói dữ liệu IPv4 của các NAT. Mặc dù điều này có vẻ

giống như Teredo đi qua NAT và cho phép lưu lượng IPv6 có tiền ẩn mã độc trên các mạng riêng, tuy nhiên chúng ta hãy xem xét các vấn đề dưới đây:

• Teredo không thay đổi hành vi của các NAT. Các máy khách Teredo tạo các entry bảng dịch NAT động cho lưu lượng Teredo của riêng chúng. NAT chuyển tiếp lưu lượng Teredo gửi đến đến host đã tạo bảng dịch NAT tương ứng. NAT không chuyển tiếp lưu lượng Teredo đến các máy tính trên mạng riêng không có các máy khách Teredo. • Các máy khách Teredo sử dụng tường lửa stateful hỗ trợ lưu lượng

IPv6 (chẳng hạn như Windows Firewall) được bảo vệ đối với lưu lượng IPv6 gửi đến không xác thực. Windows Firewall được kích hoạt mặc định cho Windows XP SP2, Windows Vista và Windows Server 2008.

Nếu bạn muốn Teredo truyền thông qua một máy tính Windows Server 2008 với tường lửa được kích hoạt, bạn cần phải cấu hình tường lửa để cho phép sử dụng Teredo.

Một số câu hỏi trắc nghiệm về kiến thức

1. Có một máy tính Windows Server 2008 ở văn phòng công ty và một máy tính Windows Server 2008 ở một địa điểm ở xa khác. Để cấu hình việc định tuyến trên máy chủ tại văn phòng chi nhánh bạn cần thực hiện những gì?

A. .

Cài đặt Routing and Remote Access role và kích hoạt IPv4 LAN routing.

Một phần của tài liệu Định tuyến và lọc lưu lượng mạng pptx (Trang 29 - 32)

Tải bản đầy đủ (PDF)

(38 trang)