Định tuyến và lọc lưu lượng mạng - Phần 3: Network Address Translation
Network Address Translation
Do các địa chỉ IPv4 là một tài nguyên có hạn và đã đến lúc đáng báo động, do
đó hầu hết các ISP đều chỉ cung cấp một địa chỉ cho một khách hàng nào đó.
Trong phần lớn các trường hợp, địa chỉ này được gán động, vì vậy mỗi lần máy
khách kết nối đến IPS, một địa chỉ khác sẽ được cung cấp. Các công ty lớn có
thể mua thêm các địa chỉ khác, tuy nhiên cac công ty nhỏ và những người dùng
gia đình thì chi phí đó là không thể. Do những người dùng như vậy chỉ nhận
được một địa chỉ IP, nên họ chỉ có thể có một máy tính được kết nối với
Internet tại một thời điểm.
Tổng quan về NAT (Network Address Translation)
Công nghệ Network address translation (NAT) được phát triển để cung cấp
một giải pháp tạm thời cho vấn đề hết địa chỉ của IPv4. NAT là một phương
pháp kết nối nhiều máy tính với Internet (hoặc bất cứ mạng IP nào) bằng cách
sử dụng một địa chỉ IP. Với NAT gateway đang chạy trên một máy tính, nó có
thể chia sẻ địa chỉ giữa các máy tính nội bộ và kết nối tất cả chúng với mạng
Internet cùng lúc. Thế giới bên ngoài không hề biết đến sự phân chia này mà
chỉ nghĩ rằng chỉ có một máy tính được kết nối.
Để khắc phục một số vấn đề bảo mật, một số sản phẩm tường lửa đã được cung
cấp. Các tường lửa này được đặt giữa người dùng và Internet để thẩm định tất
cả lưu lượng trước khi cho phép nó đi qua. Điều này có nghĩa, người dùng
không được thẩm định sẽ không được phép truy cập vào các file của công ty
hoặc máy chủ email.
NAT tự động cung cấp sự bảo vệ kiểu tường lửa mà không cần cài đặt. Mục
đích cơ bản của NAT là ghép lưu lượng từ mạng bên trong và thể hiện với
mạng Internet cứ như thể nó được gửi đến từ một máy tính có địa chỉ IP duy
nhất đó. Các giao thức TCP/IP cho phép ghép kênh để bất kỳ máy tính nào
cũng có thể duy trì nhiều kết nối một cách đồng thời với máy tính từ xa. Cho ví
dụ, một máy khách bên trong có thể kết nối với một máy chủ FTP bên ngoài,
tuy nhiên một máy khách bên ngoài lại không thể kết nối với máy chủ FTP bên
trong vì nó phải tạo kết nối và NAT không cho phép điều đó. Tuy nhiên vẫn có

thể làm cho một số máy chủ bên trong có sẵn đối với thế giới bên ngoài thông
qua việc bản đồ hóa việc gửi dữ liệu đi, bản đồ này được biết đến như các cổng
TCP để cho các địa chỉ bên trong cụ thể, như vậy sẽ tạo được các dịch vụ như
FTP hoặc web có sẵn trong cách có kiểm soát.
Một NAT gateway hiện đại phải thay đổi địa chỉ nguồn trên các gói dữ liệu gửi
đi để nó trở thành địa chỉ công. Chính vì vậy nó cũng đánh số lại các cổng
nguồn để trở thành duy nhất, từ đó có thể dõi theo mỗi kết nối máy khách.
NAT gateway sử dụng bảng bản đồ hóa cổng để nhớ cách nó đánh số lại các
cổng cho mỗi gói dữ liệu được gửi ra của máy khách. Bảng bản đồ hóa cổng có
liên quan với địa chỉ IP nội bộ của máy khách và cổng nguồn cộng với số cổng
nguồn được dịch của nó cho địa chỉ đích và cổng. Chính vì vậy NAT gateway
có thể đảo ngược quá trình các gói trả về và định tuyến chúng quay trở lại đúng
các máy khách.
Kích hoạt NAT
Để kích hoạt việc đánh địa chỉ của NAT, bạn có thể thực hiện theo các bước
sau:
1.

Mở Routing and Remote Access.
2.

Để thêm NAT, kích phải vào General nằm bên dưới IPv4 và chọn New
Routing Protocol. Chọn NAT và kích OK.
3.

Trong cây giao diện, kích NAT bên dưới IPv4.
4.

Kích chuột phải vào NAT, sau đó kích Properties.
5.


Trên tab Address Assignment, chọn Automatically Assign IP Addresses
bằng hộp kiểm Using the DHCP Allocator.
6.

(Tùy chọn) Để tìm đến các máy khách DHCP trên mạng riêng, trong địa
chỉ IP và Mask, cấu hình dải các địa chỉ IP.
7.

(Tùy chọn) Để loại ra các địa chỉ từ một vị trí nào đó cho các máy khách
DHCP trên mạng riêng, kích Exclude, Add, sau đó cấu hình các địa chỉ.
Để chỉ định các giao diện trong và ngoài, kích phải vào NAT bên dưới IPv4 và
chọn New Interface. Chọn giao diện vật lý và kích OK. Chỉ định Private
Interface Connected to the Private Network hoặc Public Interface Connected to
the Internet. Nếu chọn Public Interface Connected to the Internet, bạn sẽ phải
chọn tiếp Enable NAT on This Interface. Kích OK.
Để chuyển tiếp một giao thức đến một máy chủ bên trong nào đó thông qua
máy chủ NAT, thực hiện theo các bước sau:
1.

Kích phải vào giao diện chung và chọn Properties.
2.

Chọn tab Services and Ports
3.

Chọn giao thức mà bạn muốn chuyển tiếp.
4.

Khi hộp thoại Edit Services xuất hiện, chỉ định địa chỉ riêng và kích OK

để đóng hộp thoại Edit Services.
5.

Kích OK để đóng hộp thoại Properties.
NAT và Teredo
Lưu lượng IPv6 được tạo đường hầm bằng Teredo không phải là chủ đề đối
với chức năng lọc gói dữ liệu IPv4 của các NAT. Mặc dù điều này có vẻ giống
như Teredo đi qua NAT và cho phép lưu lượng IPv6 có tiền ẩn mã độc trên các
mạng riêng, tuy nhiên chúng ta hãy xem xét các vấn đề dưới đây:


Teredo không thay đổi hành vi của các NAT. Các máy khách Teredo tạo
các entry bảng dịch NAT động cho lưu lượng Teredo của riêng chúng.
NAT chuyển tiếp lưu lượng Teredo gửi đến đến host đã tạo bảng dịch
NAT tương ứng. NAT không chuyển tiếp lưu lượng Teredo đến các máy
tính trên mạng riêng không có các máy khách Teredo.


Các máy khách Teredo sử dụng tường lửa stateful hỗ trợ lưu lượng IPv6
(chẳng hạn như Windows Firewall) được bảo vệ đối với lưu lượng IPv6
gửi đến không xác thực. Windows Firewall được kích hoạt mặc định cho
Windows XP SP2, Windows Vista và Windows Server 2008.
Nếu bạn muốn Teredo truyền thông qua một máy tính Windows Server 2008
với tường lửa được kích hoạt, bạn cần phải cấu hình tường lửa để cho phép sử
dụng Teredo.
Một số câu hỏi trắc nghiệm về kiến thức
1. Có một máy tính Windows Server 2008 ở văn phòng công ty và một máy
tính Windows Server 2008 ở một địa điểm ở xa khác. Để cấu hình việc định
tuyến trên máy chủ tại văn phòng chi nhánh bạn cần thực hiện những gì?
A.

Cài đặt Routing and Remote Access role và kích hoạt IPv4 LAN routing.
B.

Chạy lệnh netsh interface ipv4 enable.
C.

Kích hoạt NAT bằng cách thực thi lệnh netsh NAT enable.
D.
Cài đặt NPS role trên máy chủ.
2. Có một máy chủ Windows Server 2008. Yêu cầu cần phải thêm một tuyến
tĩnh mới vào bảng định tuyến trên máy chủ. Tuyến mới này đến ID mạng là
192.168.126.0 và subnet mask 255.255.255.0, sử dụng gateway mặc định là
192.168.125.1. Bạn cần sử dụng lệnh gì để thực hiện điều này?
A.
route -p 192.168.126.0 mask 255.255.255.0 192.168.125.1 metric 2
B.

route add 192.168.126.0 mask 255.255.255.0 192.168.125.1 metric 2
C.

route add 192.168.126.0 255.255.255.0 192.168.125.1 metric 2
D.
route add 192.168.126.0 mask 255.255.255.0 gateway 192.168.125.1
metric 2
3. Cho một mạng có một vài mạng con. Windows Server 2008 router đã được
sử dụng để kết nối các mạng con. Yêu cầu cần cấu hình một tuyến tĩnh. Router
tĩnh không bị xóa khỏi bảng định tuyến khi máy tính bị khởi động lại. Tham số
nào dưới đây cần sử dụng với lệnh route?
A.
/f


B.

/s

C.

/r

D.
/p
4. Một máy chủ đang chạy Windows Server 2008. Nhiệm vụ của bạn là cần
ngăn chặn sao cho máy tính không thiết lập các session truyền thông đến các
máy tính khác bằng TCP port 21. Bạn phải làm gì?
A.
Từ Windows Firewall, bổ sung thêm một ngoại lệ.
B.

Từ Windows Firewall, kích hoạt tùy chọn Block All Incoming
Connections
C.

Từ Windows Firewall with Advanced Security snap-in, tạo một rule gửi
đến.
D.
Từ Windows Firewall with Advanced Security snap-in, tạo một rule gửi
đi.
5. Có một máy tính Windows Server 2008. Để vô hiệu hóa tất cả các kết nối
gửi đến máy chủ bạn cần thực hiện những gì?
A.

Từ Services snap-in, vô hiệu hóa Server service.
B.

Từ Services snap-in, vô hiệu hóa dịch vụ Net Logon service.
C.

Vô hiệu hóa Windows Firewall with Advanced Security.
D.
Từ Windows Firewall, kích hoạt tùy chọn Block All Connections trên
Domain Profile.
6. Mạng của bạn gồm có 7 mạng con. Tất cả các mạng con được kết nối bởi
các máy Windows Server 2008 bằng RRAS. Các kết nối demand-dial không
bền đã được cấu hình. Bạn không muốn gắng nặng trong việc nâng cấp các
bảng định tuyến mà chỉ muốn bất cứ thay đổi nào xảy ra với topo mạng đều
được phổ biến ngay lập tức. Tùy chọn nào dưới đây bạn cần chọn?
A.
Static routes
B.

ICMP
C.

OSPF
D.
RIPv2
7. Mạng gồm có ba mạng con khác nhau. Định tuyến động đang được thực thi
trên ba máy tính đang chạy Windows Server 2008, Routing and Remote
Access của các máy tính này đã được kích hoạt. Bạn mở giao diện điều khiển
Routing and Remote Access trên máy chủ đầu tiên và cấu hình máy tính để
định tuyến LAN. Sau đó chọn New Routing Protocol từ nút General trong nút

IP Routing và chọn RIP version 2 cho Internet Protocol từ hộp thoại New
Routing Protocol. Điều tiếp theo bạn cần thực hiện là gì?
A.
Bổ sung địa chỉ IP của máy chủ DHCP vào hộp thoại thuộc tính cho
DHCP Relay Agent.
B.

Bổ sung thêm giao diện mà RIP sẽ chạy, bằng RIP node.
C.

Sử dụng lệnh route để cấu hình các tuyến đến cá mạng con từ xa.
D.
Sử dụng lệnh route để xóa tất cả các router tĩnh từ các bảng định tuyến.
8. Bạn là một quản trị mạng cho công ty mình. Tất cả các máy chủ đang chạy
Microsoft Windows Server 2008. Một vài máy chủ được cấu hình là router với
RIP đã được kích hoạt. Bạn muốn loại từ ra việc xuất hiện các vòng lặp định
tuyến. Do đó bạn đã mở cửa sổ thuộc tính của giao diện được gán cho giao
thức RIP và chọn tab Advanced. Tùy chọn nào dưới đây hội tụ đủ các yêu cầu
đó?
A.
Kích hoạt split-horizon processing.
B.

Kích hoạt triggered updates
C.

Xử lý các tuyến host trong các thông báo nhận được
D.
Vô hiệu hóa subnet summarization
9. Bạn có một mạng với một vài máy tính Windows Server 2008. Công ty của

bạn vừa mới mở một văn phòng từ xa. Bạn có trách nhiệm cấu hình một kết
nối two-way demand-dial giữa văn phòng công ty và văn phòng từ xa đó. Bạn
cấu hình các demand-dial router với các thiết lập dưới đây:
o

Corporate Office Router Settings:


Interface: SRV02_Public


User Account: SRV02


Calling Number: 555-3434
o

Site Router Settings:


Interface: SRV01_Public


User Account: SRV01


Calling Number: 555-1212
Khi thực hiện test cấu hình của mình xem router có thể thiết lập kết nối hay
không. Thứ bạn cần thực hiện lúc này là gì?


A.
Thay đổi tên giao diện trên router trong văn phòng chính thành
SRV01_Public.
B.

Thay đổi tên giao diện demand-dial trên mỗi router sao cho tương ứng với
tên của tài khoản người dùng trên router trả lời từ xa.
C.

Thay đổi tên giao diện trên router trong văn phòng chi nhánh thành
SRV02_Public.
D.
Thay đổi tên được gán cho các tài khoản người dùng trên mỗi router để
chúng giống nhau.
10. Bạn có một máy chủ Windows Server 2008 đã được cấu hình như một máy
chủ NAT. Nhiệm vụ của bạn là cần bảo đảm cho các quản trị viên có thể truy
cập vào máy chủ có tên FS1 bằng FTP. Những gì bạn cần thực hiện ở đây?
A.
Cấu hình NAT1 để chuyển tiếp các cổng 20 và 21 đến FS1.
B.

Cấu hình NAT1 để chuyển tiếp các cổng 80 và 443 đến FS1.
C.

Cấu hình NAT1 để chuyển tiếp cổng 25 đến FS1.
D.
Cấu hình NAT1 để chuyển tiếp cổng 3389 đến FS1.
11. Bạn có một máy chủ Windows Server 2008 với IPv4, IPv6 và NAT tại văn
phòng công ty và các văn phòng chi nhánh. Những gì bạn cần thực hiện ở đây
để cho phép các máy tính IPv6 từ văn phòng công ty và các văn phòng chi

nhánh có thể sử dụng Teredo để truyền thông với nhau?
A.
Cấu hình NAT động trên tường lửa.
B.

Cấu hình tường lửa để sử dụng Teredo.
C.

Kích hoạt tuyến tĩnh giữa hai mạng.
D.
N
ạp Teredo emulator

Đáp án cho các câu hỏi trên
1.

Câu A đúng. Bạn cần cài đặt Routing and Remote Access role và sau đó
cần kích hoạt IPV4 LAN routing Câu B là sai vì lệnh netsh không được
sử dụng để kích hoạt việc định tuyến mà nó chỉ có thể được sử dụng để
cấu hình giao diện mạng. Câu trả lời C sau vì NAT không thể định tuyến
và bạn không thể sử dụng lệnh netsh để kích hoạt NAT. Câu trả lời D
cũng sai vì NPS không cho phép việc định tuyến. NPS được sử dụng như
một máy chủ RADIUS và cho phép thực thi các chính sách RADIUS.

2.

Câu B đúng. Cú pháp đúng khi bổ sung các tuyến tĩnh mới bằng lệnh
route là route add mask metric. Câu A, C và D là sai vì chúng không sử
dụng đúng cú pháp.


3.

Câu D đúng. Bạn sử dụng tham số /p để thêm một tuyến bền vào bảng
định tuyến. Tuyến này sẽ không bị xóa khỏi bảng định tuyến khi router
khởi động lại. Các câu còn lại là sai.

4.

Câu D đúng. Bạn cần tạo một rule cho các gói dữ liệu gửi ra (outbound
rule) bằng cách sử dụng Windows Firewall with Advanced Security
snap-in để khóa cổng 21. Câu A và B sai vì bạn đang sử dụng Windows
Firewall with Advanced Security snap-in với máy tính Windows Server
2008 để điều chỉnh những gì nó cung cấp trên Windows Firewall chuẩn.
Thêm vào đó, một ngoại lệ sẽ được sử dụng để cho phép lưu lượng, nếu
bạn khóa tất cả các kết nối gửi đến, các giao thức khác cũng sẽ bị khóa
và không có lưu lượng nào có thể đi qua máy chủ. Câu C sai vì bạn
muốn một rule cho các gói dữ liệu gửi ra, không phải gói gửi vào vì lưu
lượng từ máy chủ này đến các máy chủ khác sẽ là lưu lượng gửi đi.

5.

Câu D đúng. Bạn có thể mở Windows Firewall, kích hoạt Block All
Connections để vô hiệu hóa tất cả các kết nối gửi đến. Domain profile
được sử dụng khi một máy tính được kết nối với một mạng mà tài khoản
miền của máy tính này cư trú. Câu A sai vì dịch vụ Server sẽ ngừng tính
năng chia sẻ file và máy in. Dịch vụ Net Logon ngăn chặn các đăng nhập
nhưng không ngăn chặn tất cả các kết nối cần thiết. Câu C si vì việc vô
hiệu hóa tường lửa sẽ cho phép tất cả lưu lượng đi qua nó.

6.


Câu D đúng. Để những thay đổi được phổ biến trong toàn mạng khi xuất
hiện và để giảm gánh nặng quản trị có liên quan tới việc nâng cấp các
bảng định tuyến, lúc này phải cần đến một giao thức định tuyến. Vì
OSPF không thể được sử dụng với các kết nối không bền và OSPF
không có sẵn trong Windows Server 2008, nên chúng ta phải sử dụng
RIPv2. Câu A và C là sai. Câu B cũng sai vì ICMP không phải là giao
thức định tuyến.

7.

Câu B đúng. Bạn cần phải sử dụng menu ngữ cảnh của nút Routing
Interface Protocol (RIP) để thêm một giao diện vào RIP. Khi thêm một
giao thức định tuyến, giao thức sẽ không được cấu hình mặc định để sử
dụng giao diện, chính vì vậy bạn phải nhận ra giao diện đó và các giao
diện khác, chẳng hạn như kết nối LAN mà giao thức có thể sử dụng. Câu
A sai vì kịch bản không chỉ thị rằng có máy chủ DHCP trên mạng. Câu
C sai vì các bảng định tuyến được xây dựng tự động. Câu D sai vì không
cần gỡ bỏ các tuyến tĩnh từ bảng định tuyến.

8.

Câu A đúng. Câu trả lời đúng là kích hoạt split-horizon processing. Bạn
phải chọn tùy chọn này để bảo đảm rằng bất cứ tuyến nào đã biết từ một
mạng đều không được gửi đi như một thông báo RIP ttreen mạng. Khi
tùy chọn này được kích hoạt, một router không thể quảng bá một tuyến
trên cùng một kết nối mà nó đã biết. Câu B,C và D không trợ giúp việc
loại trừ các vòng lặp định tuyến.

9.


Câu B đúng. Bạn phải thay đổi tên tài khoản người dùng trên mỗi router
để tương ứng với tên được gán cho giao diện demand-dial trên router trả
lời. Để kết nối two-way demand-dial làm việc, tài khoản người dùng
được sử dụng cho việc thẩm định phải giống tên được gán cho giao diện
demand-dial. Tên của giao diện demand-dial của router văn phòng chi
nhánh phải được thay đổi thành SRV02. Tên của giao diện demand-dial
ở router văn phòng chính phải được thay đổi thành SRV01. Câu D sai vì
các tài khoản người dùng đã sử dụng cho việc thẩm định từ xa giữa các
router demand-dial không cần thiết phải giống nhau. Câu A và C sai vì
tên giao diện demand-dial trên router gọi phải giống với tên tài khoản
người dùng trên router gọi.

10.

Câu A đúng. Bạn cần chuyển tiếp cổng 20 và 21 đến FS1. Các
cổng 20 và 21 là các cổng được sử dụng bởi FTP. Câu B sai vì cổng 80
và 443 được sử dụng bởi web server. Câu C sai vì cổng 25 được sử dụng
cho SMTP. Câu D sai vì cổng 3389 được sử dụng bởi Remote Desktop
Protocol.

11.

Câu B đúng. Mặc định, tường lửa được khởi chạy và Teredo bị
khóa. Câu A sai vì bạn đã có NAT. Câu C sai vì đã có nhiều tuyến giữa
các chi nhánh. Câu D sai vì Teredo emulator không như vậy.