Giới thiệu
60
NAT được thiết kế để bảo tồn địa chỉ IP và cho phép các mạng sử dụng địa chỉ IP riêng trên mạng nội bộ. Các địa chỉ IP riêng này được chuyển sang các địa chỉ IP chung. Điều này đã được hoàn tất bởi các thiết bị liên mạng chạy các phần mềm NAT đặc biệt và có thể làm gia tăng mạng riêng bằng cách ẩn các địa chỉ IP bên trong.
Một thiết bị NAT xử lý tại vùng biên của một mạng gốc (stub network). Một mạng gốc là một mạng mà có một kết nối đơn đến các mạng láng giềng của nó. Khi một máy tính bên trong mạng gốc muốn truyền dữ liệu đến một máy tính bên ngoài, nó sẽ chuyển gói tin đến cổng biên (border gateway) của Router. Cổng biên của Router sẽ thực hiện xử lý NAT, chuyển đổi địa chỉ nội bộ của một máy tính đến địa chỉ chung, địa chỉ định tuyến bên ngoài. Trong thuật ngữ NAT, mạng nội bộ là tập hợp của các mạng mà địa chỉ IP để chuyển đổi. Mạng bên ngoài được hiểu là tất cả những địa chỉ khác.
NAT cung cấp các lợi ích lớn đến các công ty tư nhân và Internet. Trước khi có NAT, một máy trong mạng với một địa chỉ IP riêng không thể truy cập ra Internet. Sử dụng NAT, các công ty tư nhân có thể có một vài địa chỉ hay tất cả các máy trong mạng sử dụng địa chỉ riêng và sử dụng NAT để truy cập Internet.
Private IP Addressing và Public IP Addressing
RFC 1918 để dành 3 vùng địa chỉ IP riêng (Private IP Address), bao gồm 1 vùng địa chỉ thuộc lớp A, 16 vùng địa chỉ thuộc lớp B, và 256 vùng địa chỉ thuộc lớp C. Những địa chỉ này được dành riêng và chỉ sử dụng trong mạng nội bộ. Những gói tin chứa những địa chỉ này không được định tuyến trên Internet.
Lớp Dãy địa chỉ nội bộ (RFC 1918) Địa chỉ CIDR A 10.0.0.0 – 10.255.255.255 10.0.0.0/8
B 172.16.0.0 – 172.31.255.255 172.16.0.0/12 C 192.168.0.0 – 192.168.255.255 192.168.0.0/16
Các địa chỉ Internet chung (Public Internet Addresses) phải được đăng ký bởi một công ty có thẩm quyền trên Internet, như ARIN hay RIPE. Các địa chỉ Internet chung này cũng có thể được thuê từ nhà cung cấp dịch vụ Internet. Các địa chỉ IP riêng được để dành và có thể được sử dụng bởi bất kỳ người nào. Điều này có nghĩa rằng nếu có 2 mạng hay 2 triệu mạng đều có thể dùng chung địa chỉ riêng này. Một Router trên Internet sẽ không bao giờ định tuyến những địa chỉ nội bộ, bởi vì ISP đã cấu hình Router không cho phép các gói tin mang địa chỉ riêng đi qua.
Các thuật ngữ liên quan
Cisco định nghĩa những thuật ngữ NAT sau:
61
Inside local address: địa chỉ IP được gán cho các máy tính bên trong mạng nội bộ. Địa chỉ này không phải là địa chỉ được gán bởi NIC (Network Information Center) hay nhà cung cấp dịch vụ. Địa chỉ này là một địa chỉ riêng RFC 1918.
Inside global address: là một địa chỉ IP hợp lệ được gán bởi NIC hay nhà cung cấp dịch vụ mà đại diện cho một hoặc nhiều địa chỉ IP nội bộ truy cập ra ngoài.
Outsite local address: địa chỉ IP của một máy tính bên ngoài khi nó biết những máy tính ở mạng bên trong.
Outsite global address: địa chỉ IP được gán đến một host trên mạng ngoài. Người chủ sở hữu của máy đó gán địa chỉ IP này.
Các kỹ thuật NAT - Static NAT
Static NAT là một cơ chế ánh xạ các địa chỉ IP tĩnh đến mỗi máy tính tương ứng trong mạng.
Hình 4.10: Static NAT
Với mô hình trên, Router có 2 địa chỉ IP tĩnh là 200.1.1.1 và 200.1.1.2. Trong ví dụ này, NAT Router thay đổi địa chỉ nguồn của máy tính có địa chỉ 10.1.1.1 thành địa chỉ IP 200.1.1.1 và địa chỉ nguồn của máy tính có địa chỉ 10.1.1.2 thành địa chỉ IP 200.1.1.2. NAT Router sẽ giữ cố định giá trị địa chỉ này.
- Dynamic NAT
Dynamic NAT có một vài đặc điểm tương tự và một vài đặc điểm khác so với Static NAT.
Giống như static NAT, NAT Router tạo một ánh xạ 1-1 giữa inside local và inside global
62
address và thay đổi địa chỉ IP trong gói tin khi chúng đi vào hoặc đi ra khỏi mạng. Tuy nhiên, việc chuyển đổi từ 1 địa chỉ inside local thành 1 địa chỉ inside global được diễn ra hoàn toàn tự động.
Dynamic NAT định nghĩa một dãy địa chỉ inside global là một dãy địa chỉ inside local dùng để chuyển đổi thông qua NAT.
Hình 4.11: Dymamic NAT
Trong mô hình trên, hệ thống sử dụng dãy địa chỉ inside global từ 200.1.1.1 – 200.1.1.5. NAT được cấu hình để chuyển đổi bất kỳ địa chỉ nào trong dãy inside local từ 10.1.1.0 – 10.1.1.255.
- Overloading NAT
Một vài mạng cần cho phép hầu hết các máy tính trong mạng truy cập Internet. Nếu hệ thống mạng sử dụng địa chỉ riêng, NAT Router cần phải sử dụng một lượng lớn địa chỉ IP được đăng ký. Với Overloading NAT, chúng ta có thể cho phép tất cả máy tính trong mạng truy cập Internet với một vài địa chỉ IP được đăng ký.
Hình 4.12: Overloading NAT
63
Khi NAT thực hiện ánh xạ động, nó chỉ lựa chọn một địa chỉ Inside Global nhưng sử dụng các giá trị cổng khác nhau với mỗi địa chỉ Inside Local. Bởi giá trị cổng sử dụng 16 bit, do đó có khoảng 65000 giá trị cổng, như vậy sẽ tiết kiệm được rất nhiều địa chỉ IP được đăng ký, trong nhiều trường hợp chỉ cần 1 địa chỉ IP đã đăng ký là đủ.
Cấu hình
- Cấu hình NAT trên Cisco Router Các tập lệnh cấu hình trên Router Cisco:
Lệnh Chú thích
ip nat {inside | outside}
ip nat inside source { list { [access-list-number] | [access-list-name] } | route-map name } { interface type number | pool poolname} [overload]
ip nat inside destination list {access-list-number | name} pool name
ip nat outside source { list {access-list-number | access-list- name} |
route-map name } pool pool-name [add- route]
ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
show ip nat statistics Liệt kê tất cả các gói tin được đếm và thông tin của bảng địa chỉ NAT.
show ip nat translations [verbose] Hiển thị bảng địa chỉ NAT
clear ip nat translation Xóa tất cả hay một vài
64
{* | [inside global-ip local-ip]
[outside local-ip global-ip]}
mục động (dynamic entries) trong bảng NAT, phụ thuộc vào tham số được sử dụng.
clear ip nat translation protocol inside global-ip global-port local-ip
local-port [outside local-ip global-ip]
Xóa một vài mục động (dynamic entries) trong bảng địa chỉ NAT, phụ thuộc vào tham số đã được dùng.
debug ip nat Hiển thị các thông
điệp mô tả mỗi gói mà có địa chỉ IP được chuyển đổi qua NAT Cấu hình Static NAT:
Cấu hình Static NAT yêu cầu ít bước cấu hình hơn so với các cách thức cấu hình NAT khác.
Mỗi ánh xạ tĩnh giữa địa chỉ riêng (private IP Address) và địa chỉ chung (public IP Address) phải được cấu hình.
Cách thức thiết lập Static NAT cho mô hình trên như sau:
Router(config)#int e0/0
Router(config-if)#ip nat inside Router(config-if)#exit
Router(config)#int s0/0
Router(config-if)#ip nat outside Router(config-if)#exit
65
Router(config)# ip nat inside source static 10.1.1.2 200.1.1.2 Router(config)# ip nat inside srouce static 10.1.1.1 200.1.1.1 Xem thông tin NAT:
Router#show ip nat translations
Router#show ip nat statistics
Cấu hình Dynamic NAT:
Router(config)# int e0/0 Router(config-if)#ip nat inside Router(config-if)#exit
Router(config)#int s0/0
Router(config-if)#ip nat outside Router(config-if)#exit
Router(config)#access-list 1 permit 10.1.1.2 Router(config)#access-list 1 permit 10.1.1.1
Router(config)#ip nat pool test 200.1.1.1 200.1.1.2 netmask 255.255.255.252 Router(config)#ip nat inside source list 1 pool test
NAT Overload Configuration (PAT Configuration)
66
Để thiết lập NAT cho mô hình trên, chúng ta thực hiện như sau:
Router(config)#int e0/0
Router(config-if)#ip nat inside Router(config-if)#exit
Router(config)#int s0/0
Router(config-if)#int nat outside Router(config-if)#exit
Router(config)#access-list 1 permit 10.1.1.2 Router(config)#access-list 1 permit 10.1.1.1
Router(config)#ip nat inside source list 1 interface serial0/0 overload - Cấu hình NAT trên ADSL Router
Virtual Server:
Virtual Server là cách mà người quản trị muốn cho phép mọi người trên Internet truy cập đến các máy Server trong hệ thống mạng nội bộ. Trong phần này, chúng ta sẽ sử dụng DrayTek ADSL Router để triển khai ứng dụng này.
67
Internet
ADSL Router Web Server Mail Server
` PC
`
PC `
PC
Hình 4.13: Minh hoạ Virtual Server
Port Redirection Table có thể được sử dụng để đưa các máy chủ cục bộ đến miền toàn cục hay mở một port chỉ định cho phép người bên ngoài truy cập đến thông qua port đó. Các máy trên internet có thể sử dụng địa chỉ IP WAN để truy cập các dịch vụ mạng bên trong (ví dụ như Web, FTP…)
Để thực hiện được việc này, chúng ta kết nối đến ADSL Router thông qua Web, chọn mục NAT Setup, màn hình sau xuất hiện:
Trong cửa sổ NAT Setup, chọn mục Configure Port Redirection Table, màn hình sau xuất hiện.
Mục Port Redirection Table cung cấp cho chúng ta 10 mục để ánh xạ port cho các host nội bộ.
- Service Name: chỉ định tên của dịch vụ mạng được chỉ định.
- Protocol: chỉ định giao thức lớp vận tải (TCP/UDP)
68
- Public Port: chỉ định giá trị cổng mà sẽ được chuyển tiếp đến các host nội bộ.
- Private IP: chỉ định địa chỉ IP cá nhân của host trong có sử dụng dịch vụ.
- Private Port: chỉ định giá trị cổng riêng của dịch vụ được hoạt động trong dịch vụ.
- Active: chọn mục này để bật tính năng đã được thiết lập.
DMZ:
Giới thiệu:
DMZ là một vùng mạng trung lập/trung gian giữa mạng nội bộ và mạng Internet.
DMZ là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet.
Các dịch vụ thường được triển khai trong vùng DMZ bao gồm: Mail, web, ftp, IDS Có hai cách thiết lập vùng DMZ:
- Đặt DMZ giữa hai firewall, một để lọc các thông tin từ Internet vào và một để kiểm tra các luồng thông tin ra vào mạng cục bộ
- Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng cục bộ
69
Thiết lập DMZ trên DrayTek ADSL Router:
- Truy cập đến DrayTek ADSL Router thông qua giao diện Web, chọn mục NAT Setup.
- Tại mục NAT Setup, chọn mục DMZ Host Setup, màn hình sau xuất hiện.
- Chọn dấu kiểm để bật tính năng DMZ và nhập vào địa chỉ IP của máy tính cần đặt vào trong vùng DMZ. Chọn OK.
b. VPN
i. Giới thiệu:
Khái niệm VPN – Virtual Private Network
VPN – Virtual Private Network – mạng riêng ảo, cho phép bạn mở rộng phạm vi mạng nội bộ thông qua hạ tầng Internet. Các hệ điều hành Windows Server 2000/2003 đều cho phép bạn tạo một VPN server bằng cách sử dụng RRAS (Routing and Remote Access Service). Các máy khác khi muốn truy cập vào VPN sẽ thông qua máy này.
Một máy tính dùng để truy cập vào VPN thì được gọi là VPN Client, VPN clients có thể là bất kì một máy tính nào sử dụng hệ điều hành từ Win9x trở lên. Để kết nối đến VPN Server, cách đơn giản và thông dụng nhất là client computer khởi tạo một kết nối với nhà cung cấp dịch vụ (ISP) bằng giao thức PPP (Point to Point Protocol). Sau khi kết nối theo dạng này còn được gọi là “Non-Virtual” kết nối không ảo ở tầng datalink, client có thể sử dụng giao thức PPP này một
70
lần nữa để thiết lập một kết nối ảo với VPN server và từ đây nó có thể trở thành một node hay một máy trạm trong hệ thống LAN.
Lưu ý: Khi client kết nối được với VPN server, thực tế nó vẫn đang kết nối với internet. Tuy nhiên, sau khi thiết lập được kết nối VPN với VPN server, thì client hay máy trạm sẽ tự động tìm kiếm một địa chỉ IP mà địa chỉ IP này phải trùng hay nói đúng hơn là phải cùng subnet với mạng ảo mà nó kết nối tới, sự kết nối này sẽ tạo ra một interface ảo hay là một card mạng ảo.
Card mạng ảo này sẽ thiết lập một gateway mặc định.
`
PC A 203.162.4.100 Dynamic Update Client
a.no-ip.com VNP Server
(Routing And Remote Access)
BĐ TP HCM BĐ BD
`
PC B 203.162.4.150 Dynamic Update Client
b.no-ip.com VPN Client (Make New Connection)
Modem Modem
Nhà Cung Cấp Dịch Vụ Internet
(VNN,FPT)
Hình 4.14: Mô phỏng một mạng riêng ảo (máy A và máy B)
Mạng riêng ảo VPN có thể đáp ứng tốt các yêu cầu thiết yếu của một hệ thống thông tin, như : Khả năng trao đổi thông tin một cách an toàn giữa trung tâm và các chi nhánh, cụ thể là dựa trên mô hình mạng LAN và mạng intranet.
Khả năng trao đổi thông tin một cách an toàn giữa trung tâm với các doanh nghiệp khác, cụ thể là dựa trên mô hình mạng WAN và mạng Extranet.
Khả năng truy cập từ xa và truy cập tại nhà của nhân viên vào mạng của công ty.
Mô hình khi triển khai phải có khả năng áp dụng các phương thức bảo mật ở nhiều cấp độ nhưng phải nhất quán từ đầu đến cuối và phải có khả năng thích ứng, thay đổi các phương thức bảo mật khác nhau tùy thuộc vào tình hình cụ thể.
Chi phí đầu tư và triển khai giải pháp phải phù hợp với khả năng của doanh nghiệp và xứng đáng với số tiền đã bỏ ra.
ii. Chức năng Định danh (authentication)
71
Mã hoá (encryption) Tường lửa (firewall)
Đảm bảo tính toàn vẹn của các gói dữ liệu (Integrity)
Hỗ trợ các dịch vụ và ứng dụng trên nền mạng (Service support) iii. Kỹ thuật truyền thông bảo mật mạng riêng ảo Có 2 kỹ thuật cơ sở được áp dụng, bao gồm :
Point–to–point Tunneling Protocol (PPTP): Sử dụng phương pháp chứng thực PPP mức người dùng và Microsoft Point-to-Point Encryption (MPPE) để mã hoá dữ liệu.
Layer Two Tunneling Protocol (L2TP) with Internet Protocol Security (IPSec): Sử dụng các phương pháp chứng thực PPP mức người dùng và IPSec để chứng thực mức máy tính sử dụng chứng chỉ và chứng thực dữ liệu, toàn vẹn và mã hoá.
iv. Các loại mạng riêng ảo Nếu phân loại dựa trên mô hình sử dụng:
VPN truy cập từ xa: cung cấp truy cập tin cậy và bảo mật cho người dùng đầu xa như các nhân viên di động, các nhân viên ở xa hoặc các văn phòng chi nhánh
VPN nội bộ : cho phép các văn phòng chi nhánh có được kết nối bảo mật đến trụ sở chính
VPN mở rộng : cho phép khách hàng, nhà cung cấp có thể truy cập một cách bảo mật đến mạng Intranet của công ty.
v. Xây dựng VPN Server dựa trên phần cứng
Internet
`
`
`
`
`
VPN Client DrayTek
ADSL Router
Hình 4.15: Minh họa kết nối PC to LAN dựa trên phần cứng
Trong phần này, chúng ta sử dụng thiết bị DrayTek ADSL Router để thiết lập VPN Server.
(1) Truy cập vào DrayTek ADSL Router thông qua giao diện Web.
72
(2) Tại giao diện Web của thiết bị, chọn mục VPN and Remote Access Setup, màn hình sau xuất hiện:
(3) Tại trang VPN and Remote Access Setup, chọn mục Remote User Profiles Setup (Teleworker), màn hình sau xuất hiện:
(4) Đối với thiết bị DrayTek cho phép tạo ra tối đa 20 tài khoản người dùng để thiết lập kết nối về VPN Server. Một tài khoản có thể sử dụng để thiết lập 2 kết nối VPN khác nhau. Để tạo một tài khoản đầu tiên, chọn mục Index 1.
(5) Tại trang Index 1, chọn dấu kiểm Enable this account.
73
(6) Sau đó nhập thông tin về Username và Password.
(7) Chọn phương thức kết nối. Việc lựa chọn phương thức kết nối này cho phép các máy trạm có khả năng sử dụng các cách thức kết nối khác nhau để kết nối về VPN Server.
(8) Chọn OK.
Tạo kết nối từ máy trạm:
(1) Trong Control Panel Network Connections New Connection Wizard, màn hình sau xuất hiện, chọn Next để tiếp tục.
74
(2) Tại trang Network Connection Type, chọn mục Connect to the network at my workplace, nhấp Next để tiếp tục.
(3) Tại trang Network Connection, chọn mục Virtual Private Network connection, nhấp Next để tiếp tục.
75
(4) Tại trang Connection Name, nhập vào tên của công ty cần kết nối đến, sau đó nhấp Next để tiếp tục.
(5) Tại trang Public Network, chọn mục Do not dial the initial connection (khi chọn mục này yêu cầu đã có kết nối Internet), nhấp Next để tiếp tục.
76
(6) Tại trang VPN Server Selection, nhập vào địa chỉ IP/hostname của VPN Server cần kết nối đến, nhấp Next để tiếp tục.
(7) Tại trang Completing the New Connection Wizard, nhấp Finish để kết thúc.
77
(8) Kích hoạt kết nối vừa tạo, nhập Username và Password đã được cung cấp từ VPN Server.
78
vi. Sử dụng phần cứng để thiết lập VPN giữa hai chi nhánh
Internet
`
`
`
`
DrayTek ADSL Router
1
`
`
`
`
DrayTek ADSL Router
2
Hình : Minh họa kết nối LAN-to-LAN dựa trên thiết bị
Bước 1: Thiết lập tại DrayTek ADSL Router 1 (chấp nhận kết nối đến thông qua VPN) (1) Truy cập vào DrayTek ADSL Router thông qua giao diện Web.
(2) Tại giao diện Web của thiết bị, chọn mục VPN and Remote Acess Setup, màn hình sau xuất hiện:
(3) Chọn mục LAN-to-LAN Profile Setup, màn hình sau xuất hiện: