Tải bản đầy đủ (.doc) (2 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Định tuyến và đọc lưu lượng mạng - Phần 3

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (74.81 KB, 2 trang )

Network Address Translation
Do các địa chỉ IPv4 là một tài nguyên có hạn và đã đến lúc đáng báo động, do đó hầu hết các ISP
đều chỉ cung cấp một địa chỉ cho một khách hàng nào đó. Trong phần lớn các trường hợp, địa chỉ
này được gán động, vì vậy mỗi lần máy khách kết nối đến IPS, một địa chỉ khác sẽ được cung
cấp. Các công ty lớn có thể mua thêm các địa chỉ khác, tuy nhiên cac công ty nhỏ và những người
dùng gia đình thì chi phí đó là không thể. Do những người dùng như vậy chỉ nhận được một địa
chỉ IP, nên họ chỉ có thể có một máy tính được kết nối với Internet tại một thời điểm.
Tổng quan về NAT (Network Address Translation)
Công nghệ Network address translation (NAT) được phát triển để cung cấp một giải pháp tạm thời
cho vấn đề hết địa chỉ của IPv4. NAT là một phương pháp kết nối nhiều máy tính với Internet
(hoặc bất cứ mạng IP nào) bằng cách sử dụng một địa chỉ IP. Với NAT gateway đang chạy trên
một máy tính, nó có thể chia sẻ địa chỉ giữa các máy tính nội bộ và kết nối tất cả chúng với mạng
Internet cùng lúc. Thế giới bên ngoài không hề biết đến sự phân chia này mà chỉ nghĩ rằng chỉ có
một máy tính được kết nối.
Để khắc phục một số vấn đề bảo mật, một số sản phẩm tường lửa đã được cung cấp. Các tường
lửa này được đặt giữa người dùng và Internet để thẩm định tất cả lưu lượng trước khi cho phép
nó đi qua. Điều này có nghĩa, người dùng không được thẩm định sẽ không được phép truy cập
vào các file của công ty hoặc máy chủ email.
NAT tự động cung cấp sự bảo vệ kiểu tường lửa mà không cần cài đặt. Mục đích cơ bản của NAT
là ghép lưu lượng từ mạng bên trong và thể hiện với mạng Internet cứ như thể nó được gửi đến
từ một máy tính có địa chỉ IP duy nhất đó. Các giao thức TCP/IP cho phép ghép kênh để bất kỳ
máy tính nào cũng có thể duy trì nhiều kết nối một cách đồng thời với máy tính từ xa. Cho ví dụ,
một máy khách bên trong có thể kết nối với một máy chủ FTP bên ngoài, tuy nhiên một máy khách
bên ngoài lại không thể kết nối với máy chủ FTP bên trong vì nó phải tạo kết nối và NAT không
cho phép điều đó. Tuy nhiên vẫn có thể làm cho một số máy chủ bên trong có sẵn đối với thế giới
bên ngoài thông qua việc bản đồ hóa việc gửi dữ liệu đi, bản đồ này được biết đến như các cổng
TCP để cho các địa chỉ bên trong cụ thể, như vậy sẽ tạo được các dịch vụ như FTP hoặc web có
sẵn trong cách có kiểm soát.
Một NAT gateway hiện đại phải thay đổi địa chỉ nguồn trên các gói dữ liệu gửi đi để nó trở thành
địa chỉ công. Chính vì vậy nó cũng đánh số lại các cổng nguồn để trở thành duy nhất, từ đó có thể
dõi theo mỗi kết nối máy khách. NAT gateway sử dụng bảng bản đồ hóa cổng để nhớ cách nó


đánh số lại các cổng cho mỗi gói dữ liệu được gửi ra của máy khách. Bảng bản đồ hóa cổng có
liên quan với địa chỉ IP nội bộ của máy khách và cổng nguồn cộng với số cổng nguồn được dịch
của nó cho địa chỉ đích và cổng. Chính vì vậy NAT gateway có thể đảo ngược quá trình các gói trả
về và định tuyến chúng quay trở lại đúng các máy khách.
Kích hoạt NAT
Để kích hoạt việc đánh địa chỉ của NAT, bạn có thể thực hiện theo các bước sau:
1. Mở Routing and Remote Access.
2. Để thêm NAT, kích phải vào General nằm bên dưới IPv4 và chọn New Routing Protocol.
Chọn NAT và kích OK.
3. Trong cây giao diện, kích NAT bên dưới IPv4.
4. Kích chuột phải vào NAT, sau đó kích Properties.
5. Trên tab Address Assignment, chọn Automatically Assign IP Addresses bằng hộp
kiểm Using the DHCP Allocator.
6. (Tùy chọn) Để tìm đến các máy khách DHCP trên mạng riêng, trong địa chỉ IP và Mask,
cấu hình dải các địa chỉ IP.
7. (Tùy chọn) Để loại ra các địa chỉ từ một vị trí nào đó cho các máy khách DHCP trên mạng
riêng, kích Exclude, Add, sau đó cấu hình các địa chỉ.
Để chỉ định các giao diện trong và ngoài, kích phải vào NAT bên dưới IPv4 và chọn New
Interface. Chọn giao diện vật lý và kích OK. Chỉ định Private Interface Connected to the Private
Network hoặc Public Interface Connected to the Internet. Nếu chọn Public Interface Connected
to the Internet, bạn sẽ phải chọn tiếp Enable NAT on This Interface. Kích OK.
Để chuyển tiếp một giao thức đến một máy chủ bên trong nào đó thông qua máy chủ NAT, thực
hiện theo các bước sau:
1. Kích phải vào giao diện chung và chọn Properties.
2. Chọn tab Services and Ports
3. Chọn giao thức mà bạn muốn chuyển tiếp.
4. Khi hộp thoại Edit Services xuất hiện, chỉ định địa chỉ riêng và kích OK để đóng hộp thoại
Edit Services.
5. Kích OK để đóng hộp thoại Properties.
NAT và Teredo

Lưu lượng IPv6 được tạo đường hầm bằng Teredo không phải là chủ đề đối với chức năng lọc gói
dữ liệu IPv4 của các NAT. Mặc dù điều này có vẻ giống như Teredo đi qua NAT và cho phép lưu
lượng IPv6 có tiền ẩn mã độc trên các mạng riêng, tuy nhiên chúng ta hãy xem xét các vấn đề
dưới đây:
• Teredo không thay đổi hành vi của các NAT. Các máy khách Teredo tạo các entry bảng
dịch NAT động cho lưu lượng Teredo của riêng chúng. NAT chuyển tiếp lưu lượng Teredo
gửi đến đến host đã tạo bảng dịch NAT tương ứng. NAT không chuyển tiếp lưu lượng
Teredo đến các máy tính trên mạng riêng không có các máy khách Teredo.
• Các máy khách Teredo sử dụng tường lửa stateful hỗ trợ lưu lượng IPv6 (chẳng hạn như
Windows Firewall) được bảo vệ đối với lưu lượng IPv6 gửi đến không xác thực. Windows
Firewall được kích hoạt mặc định cho Windows XP SP2, Windows Vista và Windows
Server 2008.
Nếu bạn muốn Teredo truyền thông qua một máy tính Windows Server 2008 với tường lửa được
kích hoạt, bạn cần phải cấu hình tường lửa để cho phép sử dụng Teredo.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×