Giới thiệu về UAG DirectAccess – Phần 3:
NAT64/DNS64
Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chính trong
triển khai DirectAccess trong đó không cần nâng cấp cơ sở hạ tầng mạng lên IPv6.
Trong phần một của loạt bài này, chúng tôi đã giới thiệu cho các bạn về DirectAccess và
giải thích về cách DirectAccess làm việc như thế nào. Phần hai là những giới thiệu chi
tiết về các kỹ thuật chuyển đổi IPv6 để cho phép máy khách và máy chủ DirectAccess
truyền thông với nhau trong mạng nội cũng như mạng Internet IPv4. Trong đó đã giới
thiệu về cách máy khách DirectAccess sử dụng Name Resolution Policy Table (NRPT)
như thế nào để xác định tên miền được phân giải bởi các máy chủ DNS bên trong và tên
miền được phân giải bởi máy chủ DNS ngoài Internet.

Trong phần ba này, chúng tôi sẽ giới thiệu một số kỹ thuật chính trong triển khai
DirectAccess trong đó không cần nâng cấp cơ sở hạ tầng mạng lên IPv6. Vấn đề này tỏ ra
đặc biệt quan trọng vì hầu hết các mạng hiện nay đều có lẫn các máy khách và máy chủ
“IPv4 only” và “IPv6 capable”. Thêm vào đó, các thiết bị hỗ trợ IPv4 (hay được gọi tắt là
tài nguyên IPv4) vẫn tồn tại phổ biến hơn các thiết bị “IPv6 capable”. Đây là thực trạng
về môi trường mạng trong hầu hết các công ty ngày nay, và UAG DirectAccess sẽ cho
phép truy cập vào các tài nguyên IPv4 trên mạng đó.
Giải pháp: NAT64/DNS64
UAG DirectAccess quản lý vấn đề bằng cách thực thi hai kỹ thuật không có sẵn đối với
giải pháp Windows DirectAccess đó là:
 NAT64
 DNS64
Hai kỹ thuật này cho phép máy khách DirectAccess luôn sử dụng “ngôn ngữ” IPv6 với
máy chủ UAG DirectAccess để kết nối với tài nguyên “IPv4 only” trong mạng nội bộ.
Khi máy khách DirectAccess gửi đi yêu cầu truy cập tài nguyên bằng cách sử dụng tên
nhãn hoặc tên miền hoàn chỉnh FQDN, đầu tiên nó tham khảo bảng Name Resolution
Policy Table (NRPT). Nếu có sự trung khớp trên bảng và không có rule ngoại lệ đối với
tên miền nào đó thì máy khách sẽ gửi yêu cầu phân giải tên miền đến địa chỉ IPv6 (6to4)
của máy chủ UAG DirectAccess. Nếu yêu cầu tên nhãn, thì thành phần DNS client của

máy khách DirectAccess sẽ gắn thêm hậu tố DNS như được cấu hình trên NIC hoặc
thông qua Group Policy.
Khi máy chủ UAG DirectAccess nhận được yêu cầu này, nó sẽ gửi yêu cầu đến các máy
chủ DNS được cấu hình trên giao diện bên trong theo thứ tự máy chủ liệt kê. Yêu cầu
truy vấn DNS sẽ cho cả hai bản ghi IPv4 Host (A) và IPv6 Quad A (AAAA). Nếu máy
chủ DNS đáp trả máy chủ UAG DirectAccess bằng một bản ghi Quad A thì nó sẽ đáp trả
bản ghi này với máy khách DirectAccess và máy khách DirectAccess sẽ kết nối với địa
chỉ IPv6 có trong đáp trả Quad A qua đường hầm DirectAccess IPsec.
Mặc dù vậy, nếu máy chủ DNS đáp trả máy chủ UAG DirectAccess bằng bản ghi IPv4
Host (A) thì máy khách DirectAccess trên Internet sẽ gặp vấn đề, lý do là vì máy khách
DirectAccess chỉ có thể truyền thông qua IPv6. Để giải quyết vấn đề, thành phần DNS64
của máy chủ UAG DirectAccess sẽ bản đồ hóa tên miền địa với chỉ IPv6 và sau đó khai
báo thành phần NAT64 của máy chủ UAG DirectAccess giữa địa chỉ IPv6 và địa chỉ
IPv4.
Cho ví dụ, giả sử máy khách DirectAccess trên Internet cần kết nối với tên miền
SRV1.contoso.com. Nó sẽ gửi yêu cầu truy vấn tên miền đến địa chỉ IPv6 (6to4) của máy
chủ UAG DirectAccess qua đường hầm IPsec. Máy chủ UAG DirectAccess sẽ gửi yêu
cầu IPv4 Host (A) và IPv6 Host (Quad A) cho miền SRV1.contoso.com đến máy chủ
DNS được cấu hình trên giao diện bên trong. Sau đó máy chủ DNS sẽ chỉ đáp trả bản ghi
với địa chỉ IP 10.0.0.66. Thành phần DNS64 trên máy chủ UAG DirectAccess sẽ bản đồ
hóa địa chỉ 10.0.0.66 thành địa chỉ IPv6, chẳng hạn như 2002::0066 (đây chỉ là ví dụ
mang tính minh họa). Thành phần DNS64 của máy chủ UAG DirectAccess sẽ khai báo
với thành phần NAT64 đó rằng nó sẽ chuyển tiếp bất cứ yêu cầu gửi đến địa chỉ
2002::0066 đến địa chỉ IP 10.0.0.66. Trạng thái của Session cũng được đánh dấu để đáp
trả từ 10.0.0.66 được chuyển tiếp đến máy khách DirectAccess. Máy chủ UAG
DirectAccess sẽ chuyển tiếp đáp trả phân giải tên miền cho SRV1.contoso.com qua địa
chỉ IP 2002::0066 đến máy khách DirectAccess trên Internet và máy khách DirectAccess
sẽ gửi yêu cầu kết nối đến địa chỉ đó.
Như những gì thấy, DNS64/NAT64 hoạt động như một bộ biên dịch giao thức IPv6/IPv4,
để từ đó máy khách DirectAccess trên Internet có thể kết nối với tài nguyên “IPv4 only”

trên mạng nội bộ. Trong thực tế, điều này có nghĩa các thành phần trình khách được cài
đặt trên máy khách DirectAccess cần hỗ trợ “IPv6 aware”, tuy nhiên các thành phần trình
chủ không cần vậy. Điều này cho phép mở rộng số lượng kịch bản máy khách
DirectAccess kết nối với tài nguyên mạng nội bộ.
Hạn chế
Tuy nhiên cũng như tất cả các giải pháp dựa trên NAT, có một số hạn chế và nhược điểm
đối với giải pháp này. Những hạn chế chủ yếu ở đây là:
 NAT64/DNS64 sẽ tiêu tốn tài nguyên CPU và bộ nhớ và vì vậy có thể gây ảnh
hưởng tiêu cực về mặc hiệu suất trên máy chủ UAG DirectAccess.
 NAT64/DNS64 chỉ làm việc trong kịch bản “chuyển tiếp NAT”. Điều này có
nghĩa rằng bạn không thể “chuyển ngược NAT” từ mạng nội bộ sang máy khách
DirectAccess từ một trạm quản lý IPv4. Kết quả là không thể khởi tạo kết nối từ trạm
quản lý “IPv4 only” đến máy khách DirectAccess. Mặc dù vậy, máy khách DirectAccess
có thể kết nối với trạm quản lý miễn là nó khởi tạo kết nối. Nếu giải pháp có tác dụng với
kết nối đang tồn tại này thì bạn có thể kết nối ngược lại máy khách DirectAccess.
 NAT64/DNS64 không có bất cứ bộ chỉnh sửa NAT nào (NAT editor). NAT editor
thường được sử dụng để cho phép các ứng dụng được nhúng thông tin mạng vào giao
thức ứng dụng của chúng. Cho ví dụ, giao thức FTP sẽ nhúng thông tin địa chỉ IP vào
giao thức của nó và máy khách OCS sẽ nhúng địa chỉ IPv4 vào giao thức ứng dụng. Cách
thức này không thể áp dụng với NAT64/DNS64 vì không có NAT editor giúp chúng làm
việc.
Đây là một số vấn đề mà bạn có thể gặp phải khi sử dụng giải pháp NAT64/DNS64 của
máy chủ UAG DirectAccess. Cần lưu ý rằng NAT64/DNS64 chỉ được sử dụng nếu máy
chủ có ứng dụng đang chạy trên nó không hỗ trợ IPv6 hoặc nếu bản thân ứng dụng không
hỗ trợ IPv6. Nếu máy chủ và ứng dụng đều hỗ trợ IPv6 thì NAT64/DNS64 sẽ được sử
dụng và sự truyền thông từ máy khách DirectAccess đến máy chủ đích sẽ là truyền thông
đến địa chỉ ISATAP được gán cho máy chủ trên mạng công ty.
Lưu ý:
Một sự thật thú vị về UAG DirectAccess NAT64/DNS64 là rằng, thành phần NAT64 là
một phần của ứng dụng TMG được cài đặt trên máy chủ UAG DirectAccess, trong khi đó

thành phần DNS64 lại là một phần của mã UAG.
Một thứ khác mà các bạn cần biết là NAT64/DNS64 cho phép triển khai DirectAccess
trong tổ chức không yêu cầu Windows 2008 R2 ngoại trừ trên các máy chủ UAG
DirectAccess. Toàn bộ công ty bạn có thể hiện đang sử dụng các domain Windows
Server 2000 còn các tài nguyên được host trên máy chủ Windows 2000, Windows Server
2003, Windows Server 2008 hoặc thậm chí hệ điều hành không phải của Microsoft thì
các máy khách DirectAccess vẫn có thể kết nối với tài nguyên đó. Điều này lý giải tại sao
NAT64/DNS64 lại quan trọng đến vậy – nó cho phép bạn triển khai DirectAccess mà
không cần phải tốn chi phí cho việc nâng cấp cơ sở hạ tầng. Nếu bạn đã nghe thấy ở đâu
đó nói rằng cần phải có một mạng IPv6 trước khi triển khai DirectAccess thì điều này
hoàn toàn không đúng; mạng của bạn có thể là IPv4 nhưng vẫn có thể khai thác được
những lợi ích từ việc triển khai UAG DirectAccess.
Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn về cách máy khách DirectAccess sử
dụng IPv6 để truyền thông với máy chủ DirectAccess như thế nào. Điều này yêu cầu cần
cho phép máy khách DirectAccess có thể truyền thông với các tài nguyên nằm trong
mạng nội bộ không phải mạng “IPv6 capable”. Và giải pháp cho vấn đề đó là dịch vụ
UAG NAT64/DNS64. Dịch vụ này có thể bản đồ hóa các tên miền và địa chỉ của tài
nguyên “IPv4 only” thành địa chỉ IPv6 được sử dụng bởi máy khách DirectAccess. Từ đó
cho phép máy khách DirectAccess có thể khởi tạo các kết nối đến tài nguyên trong mạng
nội bộ. Mặc dù vậy, vẫn còn có nhiều hạn chế đối với dịch vụ NAT64/DNS64, chẳng hạn
như các tài nguyên nằm trong mạng nội bộ không thể khởi tạo các kết nối đến máy khách
DirectAccess. Tuy nhiên do đa số các trường hợp kết nối được thực hiện từ phía trình
khách nên hạn chế trên không phải là vấn đề quá nghiêm trọng.