Automatic Và Manual ARP Proxy

Một phần của tài liệu TÌM HIỂU FIREWALL TRÊN CHECKPOINT (Trang 35 - 37)

I. Network Address Tranlation

2. NAT trong CheckPoint Security Gateway

2.5 Automatic Và Manual ARP Proxy

ARP là giao thức cơ bản của mạng ethernet, chức năng của ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp datalink. Trong mạng ethernet giao tiếp giữa các host không chỉ sử dụng địa chỉ IP mà dựa vào địa chỉ MAC. Do đó hai máy trong mạng muốn liên lạc với nhau bằng địa chỉ IP trước hết chúng phải biết địa chỉ MAC của nhau, lúc đó ARP là giao thức được sử dụng.

Khoa Khoa Học Và Công Nghệ Trang 35 Trong CSG, đa số các card giao tiếp là card Ethernet, do đó giao thức ARP được sự dụng rất thường xuyên, do đó khi cấu hình NAT ta cần chú ý các vấn đề giửa ARP và NAT.

1. Một gói tin được gửi từ ngoài mạng đến địa chỉ 199.1.1.1 – là một địa chỉ Public được NAT bởi Enforcement Module (CSG).

2. Border Router nhận được gói tin và dựa vào bảng routing table và sẽ chuyển gói tin ra cổng Ethernet0 đi đến Enforcement Module.

3. Do là mạng Ethernet nên Border Router tiến hành request địa chỉ MAC của

IP 199.1.1.1

4. Trong trường hợp này đúng ra máy mang IP 199.1.1.1 sẽ trả lời địa chỉ MAC, nhưng do IP này là IP được NAT bởi Enforcement Module, nên lúc này Enforcement Module sẽ reply lại với MAC của chính nó.

5. Border router nhận được gói tin ARP reply, nó sẽ dùng địa chỉ MAC của Enforcement Module để làm destination MAC gửi đến địa chỉ 199.1.1.1 Việc trả lời ARP request cho một địa chỉ đã NAT là do chức năng Proxy ARP của CheckPoint R70. Với những trường hợp NAT rule là Manual thì người dùng phải cấu hình bằng tay địa chỉ ARP cho những địa chỉ đã NAT theo đường dẫn

Khoa Khoa Học Và Công Nghệ Trang 36 Khi người dùng sử đụng chức automatic NAT rule thì chức Enforcement Module thì chức năng automatic ARP sẽ được sử dụng để reply địa chỉ MAC cho IP được NAT.

Một phần của tài liệu TÌM HIỂU FIREWALL TRÊN CHECKPOINT (Trang 35 - 37)

Tải bản đầy đủ (PDF)

(85 trang)