BM31/QT02/NCKH&HTQT

ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH


GIÁO TRÌNH
MƠN HỌC: QUẢN TRỊ MẠNG WINDOWS SERVER
NÂNG CAO
NGÀNH

: CƠNG NGHỆ THƠNG TIN

TRÌNH ĐỘ: CAO ĐẲNG

Thành phố Hồ Chí Minh – 2020
i


BM31/QT02/NCKH&HTQT

ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH


GIÁO TRÌNH
MƠN HỌC: QUẢN TRỊ MẠNG WINDOWS SERVER
NÂNG CAO
NGÀNH

: CƠNG NGHỆ THƠNG TIN

TRÌNH ĐỘ : CAO ĐẲNG
THƠNG TIN CHỦ NHIỆM ĐỀ TÀI
Chủ biên: Lý Quốc Hùng
Học vị: Thạc sĩ
Đơn vị: Công nghệ thơng tin
Email:
TRƯỞNG KHOA

TỔ TRƯỞNG
BỘ MƠN

CHỦ NHIỆM
ĐỀ TÀI

HIỆU TRƯỞNG
DUYỆT

Thành phố Hồ Chí Minh – 2020
ii


TUYÊN BỐ BẢN QUYỀN
Tài liệu này thuộc loại sách giáo trình nên các nguồn thơng tin có thể được phép
dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh
thiếu lành mạnh sẽ bị nghiêm cấm.


1


Chương 1: Dịch vụ nat và routing and remote access

LỜI GIỚI THIỆU
Giáo trình này được biên soạn dựa trên chương trình chi tiết mơn học
bậc cao đẳng chun ngành cơng nghệ thông tin của Trường Cao đẳng – Kinh
tế Kỹ thuật – Thành Phố Hồ Chí Minh.
Đây là quyển giáo trình được biên soạn lần thứ nhất cho mơn học này tại
khoa Công nghệ thông tin của nhà trường. Nhằm cung cấp kiến thức nền tảng,
giúp sinh viên nắm vững và vận dụng các kỹ thuật phổ biến trên dịch vụ mạng
trong quá trình xây dựng hệ thống mạng trên hệ điều hành Windows Server.
Từ đó, sinh viên có thể tự học các kiến thức chuyên sâu hơn.
Trong tài liệu này tác giả sử dụng phương pháp logic trình tự cho từng
dịch vụ từ khái niệm, phân tích mơ hình mạng, mô phỏng và bài tập áp dụng
cho các dịch vụ được trình bày. Qua đó, giúp sinh viên nắm bắt kiến thức và kỹ
năng thực hành cơ bản để vận dụng trong thực tiễn.
Trong quá trình biên soạn chắc chắn giáo trình sẽ cịn nhiều thiếu sót và
hạn chế. Rất mong nhận được sự đóng góp ý kiến quý báu của sinh viên và các
bạn đọc để giáo trình ngày một hồn thiện hơn.
Thành phố Hồ Chí Minh, ngày 30 tháng 6 năm
2020
Chủ biên

Ths. Lý Quốc Hùng

KHOA CÔNG NGHỆ THÔNG TIN

Trang 2



MỤC LỤC

Chương 1. DỊCH VỤ NAT VÀ ROUTING AND REMOTE ACCESS

8

1.1 Định tuyến (Routing) .......................................................................... 9
1.1.1 Giới thiệu ................................................................................. 9
1.1.2 Mục dích .................................................................................. 9
1.1.3 Định tuyến tĩnh (Static route) .................................................. 9
1.1.4 Định tuyến động (Dynamic route) ......................................... 13
1.1.5 So sánh định tuyến tĩnh và định tuyến động .......................... 16
1.2 Dịch vụ NAT (Network Address Translation) .................................. 17
1.2.1 Giới thiệu ............................................................................... 17
1.2.2 Mục đích ................................................................................ 20
1.2.3 NAT Outboand....................................................................... 21
1.2.4 NAT Inbound ......................................................................... 21
1.2.5 Kết hợp giữa NAT Inbound và NAT Outbound .................... 22
1.3 Bài tập áp dụng cuối chương 1 .......................................................... 23
Chương 2. DỊCH VỤ DHCP SERVER

28

2.1 Giới thiệu dịch vụ DHCP Server....................................................... 28
2.2 Hoạt động của giao thức DHCP Server ............................................ 28
2.3 Cài đặt dịch vụ DHCP Server ........................................................... 29
2.4 Chứng thực dịch vụ DHCP Server trong Active Directory .............. 32
2.5 Cấu hình dịch vụ DHCP Server ........................................................ 33

2.6 Cấu hình các tùy chọn DHCP Server ................................................ 37
2.7 Cấu hình dành riêng địa chỉ IP .......................................................... 38
2.8 DHCP relay Agent............................................................................. 39
2.8.1 Định nghĩa .............................................................................. 39
2.8.2 Cơ chế hoạt động DHCP Relay Agent .................................. 40

3


2.8.3 Cấu hình DHCP Relay Agent ................................................ 41
2.9 Bài tập áp dụng cuối chương 2 .......................................................... 42
Chương 3. QUẢN LÝ MÁY IN TRÊN DOMAIN

44

3.1 Cài đặt máy in mạng.......................................................................... 44
3.1.1 Cài đặt máy in ........................................................................ 44
3.1.2 Cài đặt trình quản lý máy in (Print Management) ................. 47
3.1.3 Truy cập và quản lý các máy in trong mạng .......................... 48
3.2 Quản lý thuộc tính máy in ................................................................. 48
3.2.1 Cấu hình layout (Printing Preferences) .................................. 48
3.2.2 Cấu hình giấy và chất lượng in .............................................. 49
3.2.3 Cấu hình các thơng số mở rộng ............................................. 49
3.3 Cấu hình thơng số Port in .................................................................. 50
3.4 Cấp quyền trên máy in cho người dùng mạng .................................. 51
3.5 Cấu hình Print Server ........................................................................ 52
3.5.1 Khả năng sẵn sàng phục vụ của máy in ................................. 53
3.6 Prioprty (độ ưu tiên) và Priter spooling ............................................ 53
3.7 Bài tập áp dụng cuối chương 3 .......................................................... 55
Chương 4. DỊCH VỤ DNS


58

4.1 Tổng quan về DNS ............................................................................ 58
4.1.1 Giới thiệu DNS ...................................................................... 58
4.1.2 Đặc điểm của DNS trong Windows ....................................... 59
4.1.3 Cách phân bổ dữ liệu quản lý Domain name ......................... 61
4.1.4 Cơ chế phân giải tên............................................................... 62
4.1.5 Phân giải tên thành IP ............................................................ 64
4.1.6 Phân giải IP thành tên máy tính ............................................. 67
4.2 Một số khái niệm cơ bản ................................................................... 68
4.2.1 Domain name và Zone ........................................................... 68

4


4.2.2 Full Qualified Domain Name (FQDN) .................................. 69
4.2.3 Sự uỷ quyền (Delegation) ...................................................... 69
4.2.4 Forwarders ............................................................................. 70
4.2.5 Stub zone ................................................................................ 71
4.2.6 Dynamic DNS ........................................................................ 71
4.2.7 Active Directory – Intergrated Zone ...................................... 73
4.3 Phân loại Domain Name Server ........................................................ 73
4.3.1 Primary Name Server ............................................................. 73
4.3.2 Secondary Name Server ......................................................... 74
4.3.3 Caching Name Server ............................................................ 75
4.3.4 Resource Record (RR) ........................................................... 75
4.3.5 SOA (Start of Authority) ....................................................... 76
4.3.6 Name Server (NS) .................................................................. 77
4.3.7 A (Address) và CNAME (Canonical Name) ......................... 78

4.3.8 SRV ........................................................................................ 78
4.4 Bài tập áp dụng cuối chương 4 .......................................................... 79
Chương 5. DỊCH VỤ WEB SERVER

81

5.1 Cài đặt dịch vụ IIS ............................................................................. 81
5.2 Cấu hình dịch vụ IIS.......................................................................... 82
5.2.1 Tạo mới một Website............................................................. 82
5.2.2 Tạo Virtual Directory ............................................................. 85
5.2.3 Cấu hình bảo mật cho Website .............................................. 86
5.2.4 Cấu hình Web Services Extentions ........................................ 89
5.2.5 Cấu hình Web Hosting ........................................................... 90
5.2.6 Sao lưu và phục hồi cấu hình Website ................................... 94
5.3 Bài tập áp dụng cuối chương 5 .......................................................... 95

5


Chương 6. DỊCH VỤ FTP SERVER

98

6.1 Cài đặt dịch vụ FTP ........................................................................... 99
6.2 Cấu hình dịch vụ FTP........................................................................ 99
6.2.1 Tạo FTP mới .......................................................................... 99
6.2.2 Theo dõi các User login vào FTP ........................................ 102
6.2.3 Điều khiển truy xuất đến FTP .............................................. 102
6.2.4 Tạo Virtual Directory ........................................................... 106
6.3 Bài tập áp dụng cuối chương 6 ........................................................ 107

Chương 7. DỊCH VỤ TRUY CẬP TỪ XA VÀ VPN SERVER

110

7.1 Xây dựng một Remote Access Server............................................. 111
7.1.1 Remote Desktop trong mạng LAN ...................................... 111
7.1.2 Sử dụng remote desktop connections .................................. 112
7.2 Xây dựng VPN Server Client to Site .............................................. 114
7.2.1 Các giao thức mã hoá: PPTP và L2TP/IPSEC .................... 114
7.2.2 VPN Server chứng thực User trên Router ........................... 115
7.2.3VPN Server chứng thực User trên Domain thông qua Radius
Server ............................................................................................................ 119
7.3 Bài tập áp dụng cuối chương 7 ........................................................ 126

6


GIÁO TRÌNH MƠN HỌC
Tên mơn học: TRIỂN KHAI HỆ THỐNG MẠNG
Mã mơn học: MH3101122
Vị trí, tính chất và vai trỏ của mơn học:
- Vị trí: Mơn học được bố trí vào học kỳ 4, là môn học chuyên môn, được

giảng dạy sau mơn học Quản trị mạng Windows Server.
- Tính chất: là mơn học thực hành, có tính bắt buộc..

Mục tiêu mơn học:
- Về kiến thức:

Trình bày được quy trình thiết kế, triển khai hệ thống mạng và dịch vụ

mạng. Áp dụng các mơ hình kiến trúc trong triển khai hệ thống mạng.
Phân tích, đánh giá được các thành phần phần cứng trong mạng LAN,
WAN. Đánh giá được hiệu quả hoạt động của hệ thống
- Về kỹ năng:

Thiết kế, xây dựng mơ hình kiến trúc hệ thống mạng sử dụng phần mềm
Visio.
Cấu hình và quản trị được các dịch vụ mạng trong mạng LAN.
Cấu hình public và quản trị được dịch vụ mạng qua Internet.
- Về năng lực tự chủ và trách nhiệm:

Làm việc thận trọng và có trách nhiệm đối với cơng việc.
Có niềm đam mê, sự tự tin và tính chun nghiệp.
Khả năng làm việc nhóm, biết phối hợp cùng nhau giải quyết vấn đề.

7


Chương 1: Dịch vụ nat và routing and remote access

Chương 1. DỊCH VỤ NAT VÀ ROUTING AND REMOTE ACCESS
➢ Giới thiệu chương:
- Trong chương này nhằm giúp cho sinh viên hiểu rõ hơn về cơ chế chuyển

đổi địa chỉ Private IP sang địa chỉ Public IP, chuyển đổi gói tin giữa các lớp
mạng khác nhau và định tuyến địa chỉ IP trên các thiết bị mạng. Nhằm mục
đích tiết kiệm địa chỉ IP đăng kí trong một mạng lớn, cho phép người dùng bên
ngồi có thể truy xuất được dịch vụ bên trong như: Web, FTP, Mail, VPN Server và

giúp đơn giản hoá trong việc quản lý địa chỉ IP.

➢ Mục tiêu chương:
- Trình bày được vai trị, chức năng và nguyên tắc hoạt động của dịch vụ

DHCP server.
- Cấu hình được dịch vụ cấp phát IP động cho các máy trạm trong hệ thống

KHOA CÔNG NGHỆ THÔNG TIN

Trang 8


1.1

Định tuyến (Routing)

1.1.1 Giới thiệu
Windows Server 2008 có một số các thay đổi trong việc kết nối mạng
cũng như định tuyến Routing và Remote Access. Nhà sáng lập Windows Server
2008 đã lượt bỏ dịch vụ định tuyến OSPF mặc dù theo quan điểm của tơi thì
đây có thể là giao thức định tuyến động tốt nhất đã được tạo ra mà hiện nay vẫn
được sử dụng rộng rãi trên các thiết bị mạng. Tuy nhiên chúng ta cần phải tôn
trọng sự quyết định của Microsoft trong việc remove nó vì hầu hết các quản trị
viên máy chủ Windows không sử dụng đến nó.
1.1.2 Mục dích
Việc sử dụng định tuyến động hay định tuyến tĩnh thực sự đó chỉ là một
sự lựa chọn của các quản trị viên. Cách định tuyến nào đi chăng nữa thì kết quả
cuối cùng của nó vẫn là nhằm mục đích định tuyến đúng lưu lượng mạng.
1.1.3 Định tuyến tĩnh (Static route)
Định tuyến tĩnh là quá trình router thực hiện chuyển gói dữ liệu tới địa
chỉ mạng đích dựa vào địa chỉ IP đích của gói dữ liệu. Để chuyển được gói dữ

liệu đến đúng đích thì router phải học thơng tin về đường đi tới các mạng khác.
Thông tin về đường đi tới các mạng khác sẽ được người quản trị cấu hình cho
router. Khi cấu trúc mạng thay đổi, người quản trị mạng phải tự thay đổi bảng
định tuyến của router.
Kỹ thuật định tuyến tĩnh đơn giản, dễ thực hiện, ít hao tốn tài nguyên
mạng và CPU xử lý trên router (do không phải trao đổi thơng tin định tuyến và
khơng phải tính tốn định tuyến). Tuy nhiên kỹ thuật này không hội tụ với các
thay đổi diễn ra trên mạng và khơng thích hợp với những mạng có quy mơ lớn
(khi đó số lượng route quá lớn, không thể khai báo bằng tay được).
Với định tuyến tĩnh, ta phải tạo một entry trên máy chủ Windows Server
cho mỗi nút mạng, ở mỗi nút mạng này sẽ được định tuyến bởi máy chủ đó.
Như vậy, với một mạng đơn giản có một máy chủ Windows Server thì việc
định tuyến lưu lượng giữa hai mạng bằng phương pháp định tuyến tĩnh là một
phương pháp hiệu quả nhất.

9


Hình 1-1 Sơ đồ định tuyến mạng đơn giản

1.1.3.1 Sử dụng Command line để cấu hình định tuyến tĩnh
Đối với Windows Server 2008 việc cấu hình định tuyến bằng lệnh
command line cũng khơng cịn xa lạ thay vì sử dụng giao diện quản trị người
dùng.
- Lệnh Route ADD: Thêm 1 địa chỉ mạng mới

Cú pháp:
Route ADD [Địa chỉ mạng đích] MASK [Subnet Mask] [Gateway]
Ví dụ: Trong Hình 1-1, tại máy SRV1 sử dụng lệnh Route ADD để thêm
một mạng mới sao cho client 1 và client 2 có thể liên lạc được với nhau.

Tại cửa sổ Command line ta gõ
Route ADD 192.168.11.0 MASK 255.255.255.0 192.168.10.1
Hoặc
Route ADD 192.168.10.0 MASK 255.255.255.0 192.168.11.1
- Lệnh Route Delete: Xoá 1 địa chỉ mạng

Cú pháp:
Route Delete [Địa chỉ mạng cần xố]
Ví dụ: Tại cửa sổ Command line ta gõ
Route Delete 192.168.10.0 hoặc Route Delete 192.168.11.0
- Lệnh Route print: Hiển thị bảng định tuyến

10


- Cú pháp: Route print

Ví dụ: Tại cửa sổ Command line ta gõ
Route print

Hình 1-2 Hiển thị bảng định tuyến IP trong Windows Server 2008

Trong phần đầu ra lệnh route print, ta thấy ở đây là danh sách giao diện.
Các giao diện Windows Server IP được dán nhãn bằng số giao diện. Số giao
diện trong hình 1-2 là: 15, 13, 11, 1, 12, 14, và 16. Các số giao diện này sẽ được
thay đổi khi ta bổ sung hoặc xóa các tuyến trong bảng định tuyến.
Trong phần thứ 2 của lệnh này là IPv4 Route Table. Bảng này thể hiện
cho ta thấy được các đích đến của mạng như: network mask, default gateway,
interface, và metric. Nó “mách bảo” Windows Server biết được nơi định tuyến
lưu lượng mạng.

1.1.3.2 Sử dụng giao diện người dùng để cấu hình định tuyến tĩnh
- Bước 1: Cài đặt Routing and remote access

11


Vào Server Manage → right click vào Roles → Add roles → check vào
Network Policy and Access Services → Next → Next.
Click chọn dịch vụ Routing and Remote access Services cần cài đặt →
Next → Install

Hình 1-3 Cài đặt Routing and Remote Access Services
- Bước 2: Khởi động dịch vụ Routing and Remote Access vừa cài đặt

Right click vào Server Name chọn Configure and Enable Routing and
Remote Access → Next → Custom configuration → Next → Check vào LAN
routing.

Hình 1-4 Kích hoạt chức năng Routing and Remote Access Services

Chọn → Finish.
- Bước 4: Click vào Start Services

12


Hình 1-5 Khởi động dịch vụ sau khi cấu hình

1.1.4 Định tuyến động (Dynamic route)
Định tuyến động là phương thức định tuyến mạng, sử dụng thuật toán

định tuyến tự động trao đổi thông tin định tuyến với các Router khác và xác
định tuyến tốt nhất đến mỗi mạng đưa vào bảng định tuyến.
So với định tuyến tĩnh, định tuyến động tốn ít thời gian cấu hình cho
người quả trị. Tuy nhiên, định tuyến động tốn kém tài nguyên CPU, tài ngun
băng thơng mạng.
Một thuật tốn định tuyến là một tập các xử lý, thuật tốn và các thơng
điệp được sử dụng để trao đổi thông tin định tuyến và xác định tuyến tốt nhất
đưa vào bảng định tuyến. Mục đính của giao thức định tuyến gồm:
Trong trường hợp phài thực hiện định tuyến cho nhiều đường mạng.
Windows Server 2008 cho phép định tuyến đến 25 mạng hoặc trao đổi các
tuyến với mạng Cisco có sử dụng giao thức RIP v2 thì giải pháp thực hiện là
chọn phương pháp định tuyến động.
Định tuyến động cung cấp cho ta các tính năng sau:
- Khả năng tự động bổ sung các mạng bằng cách học hỏi đường đi từ các

RIP router khác.
- Khả năng tự động remove các tuyến từ bảng định tuyến khi một RIP liền

kề khác xóa chúng.
- Khả năng chọn tuyến tốt nhất dựa trên metric định tuyến.
- Có khả năng tìm tuyến mới thay thế cho tuyến cũ nếu tuyến cũ khơng

cịn sẵn sàng.

13


Hình 1-6 Mơ hình định tuyến động

Đối với việc cài đặt và cấu hình định tuyến động các Server làm nhiệm

vụ định tuyến phải đảm bảo liên lạc được với nhau trong môi trường mạng.
- Bước 1: Cài đặt Routing and Remote Access Services tương tự như phần

1.1.3.2.
- Bước 2: Khởi động dịch vụ Routing and Remote Access
- Bước 3: Cấu hình dịch vụ tuần tự trên các Server làm nhiệm vụ định

tuyến.
Tại SRV1-RRAS:
Đảm bảo rằng, việc thực hiện một cấu hình tùy chọn Custom
Configuration có liên quan đến RRAS protocol. Sau đó, chọn cài đặt LAN
Routing, tiếp đến chọn khởi chạy dịch vụ.
Tại đây, ta mở rộng phần IPV4, vào General, sau đó vào New Routing
Protocol → RIP Version 2 for Internet Protocol → OK.

14


Hình 1-7 Cấu hình định tuyến động

Bước 4: Việc cấu hình RIPv2 thực sự rất đơn giản như việc bổ sung thêm
các giao diện mà ta muốn sử dụng để trao đổi các tuyến RIP. Để thực hiện điều
đó ta làm như sau:
Right click tại RIP → New Interface, sau đó chọn các Interface đưa vào
tuyến RIP → Ok.

Hình 1-8 Lựa chọn Interface định tuyến RIP

Sau khi chọn Interface định tuyến, ta có thể tùy chọn cấu hình hàng loạt
các thuộc tính kết nối RIP


15


Hình 1-9 Các thuộc tính kết nối RIP

Tại SRV2-RRAS:
Thực hiện cấu hình tương tự như SRV1-RRAS.
Sau khi thực hiện cấu hình trên các máy Server đóng vai trị định tuyến.
Ta có thể kiểm tra sự liên lạc giữa các RIP lân cận bằng cách Right click tại
RIP – Show Neighbors.
1.1.5 So sánh định tuyến tĩnh và định tuyến động
Bảng 1-1 So sánh định tuyến tĩnh và định tuyến động

Định tuyến động
Định tuyến tĩnh
Độ phức tạp cấu hình
Độc lập với kích thước Tăng khi kích thước
mạng
mạng tăng
Yêu cầu hiểu biết của Yêu cầu hiểu biết về Không Yêu cầu hiểu
người quản trị
định tuyến động của biết về định tuyến động
người quản trị
của người quản trị

16


Thay đổi hình trạng Tự động thích ứng khi

mạng
thây đổi hình trạng
mạng
Khả năng mở rộng
Phù hợp với mạng từ
đơn giản đến phúc tạp
Bảo mật
Ít bảo mật
Sử dụng tài nguyên
Sử dụng tài nguyên
CPU, bộ nhớ, băng
thông liên kết
Sự ổn định của tuyến
Phụ thuộc vào hình
trạng mạng hiện thời

Yêu cầu sự can thiệp
của người quản trị
Phù hợp với mạng đơn
giản
Bảo mật hơn
Không cần nhiều tài
ngun
Tuyến đến đích ln cố
định

1.2 Dịch vụ NAT (Network Address Translation)
1.2.1 Giới thiệu
Trong môi trường WORKGROUP các máy liên hệ với nhau thông qua
IP Address do chúng ta tự gán cho từng máy hoặc do DHCP Server cấp phát

các IP Address dạng này được gọi là Private IP hay nói cách khác các máy từ
một mạng khác thơng qua Internet sẽ không thể truy cập vào các máy này với
Private IP đó.
Khi cả hệ thống mạng chúng ta sẽ liên lạc với các mạng bên ngồi thơng
qua một IP Address khác được gọi là Public IP, IP này ta có được là do nhà
cung cấp dịch vụ ISP cung cấp hoặc bạn phải liên hệ nhà cung cấp để mua nó.
Nếu chúng ta mua Public IP này thì Public IP này là duy nhất nhưng nếu
là do nhà cung cấp dịch vụ gán thì Public IP này sẽ là IP động hay nói cách
khác nó sẽ thay đổi một cách ngẫu nhiên.
VD: Hệ thống mạng của bạn bao gồm 5 máy có IP Address từ
192.168.1.2 đến 192.168.1.6 và được gắn với một Router ADSL có IP là
192.168.1.1 thì các IP này gọi là Private IP.

17


Hình 1-10 Mơ hình NAT qua Router ADSL

Tại đây tất cả các máy trong mạng LAN nối trực tiếp với Router ADSL
hoặc thông qua một Switch và kết nối với Router ADSL. Trong mơ hình này
chúng ta sẽ tiết kiệm được chi phí nhưng bù lại Modem ADSL sẽ làm việc q
sức vì bản thân nó cũng có CPU và RAM để phân tích dữ liệu, nhưng vì CPU
& RAM của Router ADSL rất khiêm tốn nên xử lý các gói tin rất chậm chạp.
Do đó với hệ thống mạng hàng trăm máy ta nên chọn một Router tương
ứng, chịu tải tốt hoặc một NAT Server để xử lý các gói tin được nhanh hơn.
1.2.1.1 Định nghĩa NAT
NAT viết tắt của Network Address Translation, là một kỹ thuật cho phép
chuyển đổi từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường,
NAT được dùng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy cập đến
mạng cơng cộng (Internet). Vị trí thực hiện NAT là router, NAT Server có

nhiệm vụ kết nối giữa hai mạng là mạng công cộng (Global) và mạng nội bộ
(Local).
1.2.1.2 Cơ chế hoạt động của NAT
NAT có vai trị giống như một Router, chuyển tiếp các gói tin giữa những
lớp mạng khác nhau trên một mạng lớn. NAT dịch hay thay đổi một hoặc cả
hai địa chỉ bên trong một gói tin khi gói tin đó đi qua một Router, hay một số

18


thiết bị khác. Thông thường, NAT thường thay đổi địa chỉ thường là địa chỉ
riêng (Private IP) của một kết nối mạng thành địa chỉ công cộng (Public IP).
NAT cũng có thể coi như một Firewall (tường lửa) cơ bản. NAT duy trì
một bảng thơng tin về mỗi gói tin được gửi qua. Khi một máy tính trên mạng
kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay thế
bằng địa chỉ Public đã được cấu hình sẵn trên NAT server, sau khi có gói tin
trở về NAT dựa vào bảng record mà nó đã lưu về các gói tin, thay đổi địa chỉ
IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi. Thơng qua cơ chế
đó quản trị mạng có khả năng lọc các gói tin được gửi đến hay gửi từ một địa
chỉ IP và cho phép hay ngăn truy cập đến một port cụ thể.
1.2.1.3 Địa chỉ Private IP (cục bộ)
Private IP là các địa chỉ được cấp phát bởi InterNIC cho phép các cơng
ty, tổ chức, trường học có thể tạo cho họ một mạng cục bộ riêng. Có ba dãy IP
ở class A, class B và class C được IANA (Tổ chức cấp phát số hiệu trên
Internet) dành riêng để đánh địa chỉ private IP.
Bảng 1-2 Bảng qui định Private IP

Class
A
B

C

Start IP Address
10.0.0.0
172.16.0.0
192.168.0.0

End IP Address
10.255.255.255
172.31.255.255
192.168.255.255

Host
16.777.216
1.048.576
65.536

Private IP dùng để phân biệt các máy tính và thiết bị trong một mạng
"riêng" bao gồm mạng gia đình, trường học, hoặc các tổ chức, công ty,
bussiness LANs trong các sân bay, khách sạn,... Và nhờ đó các thiết bị trong
mạng có thể giao tiếp được với nhau.
Ví du: Một mạng cơng ty X bao gồm 10 máy tính, mỗi máy được gán địa
chỉ IP từ 192.168.1.1đến 192.168.1.10. Không như public IP, quản trị mạng
cục bộ có thể tự do gán IP theo ý thích nhưng phải thuộc dãy private IP ở trên
(bảng 1-2) và theo đúng class đang sử dụng.
Khi một máy tính kết nối đến router và được gán một địa chỉ private IP,
các thiết bị cục bộ trong mạng "nhìn thấy" máy tính này qua private IP. Tuy
nhiên với private IP thiết bị sẽ không thể kết nối trực tiếp đến Internet được,

19



tương tự các thiết bị "bên ngoài" của mạng cũng không thể kết nối trực tiếp đến
thiết bị giữ private IP, mà tất cả phải thơng qua router.
Vì vậy với mạng máy tính cơng ty X ở trên, thì ở góc nhìn từ bên ngồi,
mọi thiết bị trong mạng của công ty đều đang giao tiếp với Internet thông qua
một địa chỉ IP duy nhất - địa chỉ public IP của router.
1.2.1.4 Địa chỉ Public IP (công cộng)
Public IP là địa chỉ được ISP (nhà cung cấp dịch vụ Internet) cấp có thế
được "nhìn thấy" và truy cập từ Internet. Giống như địa chỉ nhà dùng để nhận
thư tín, bưu phẩm vậy. Mỗi Public IP chỉ tồn tại độc nhất trên mạng Internet
cho toàn cầu. Đa phần người dùng phổ thơng khơng có quyền kiểm sốt địa chỉ
public IP của mình, quyền đó thuộc về ISP.
Một public IP có thể là tĩnh (static) hoặc động (dynamic) tùy theo loại
dịch vụ của người dùng. Một địa chỉ public IP tĩnh không thay đổi và thường
được dùng cho hosting các trang web, hoặc dịch vụ trên Internet. Mặt khác, địa
chỉ động được chọn từ một "dãy địa chỉ" các địa chỉ có sẵn và thay đổi mỗi lần
người dùng kết nối đến Internet. Đa số các ISP hiện nay cung cấp địa chỉ IP
động cho người dùng.
Ví dụ: Các web server, email server, hay các server game bất kì đa số
đều được kết nối trực tiếp từ Internet thông qua địa chỉ public IP. Hoặc ở các
mạng gia đình, ký túc xá,... thì router giữ public IP để kết nối trực tiếp đến
Internet. Các máy tính, smartphones,... và các thiết bị "đằng sau" của router chỉ
sử dụng các địa chỉ private IP để kết nối đến router. Router bây giờ hoạt động
như một người trung gian, chuyển tiếp lưu lượng dữ liệu đến các địa chỉ IP cục
bộ theo yêu cầu, và đảm bảo dữ liệu gửi/nhận đến các địa chỉ chính xác.
1.2.2 Mục đích
Ban đầu, NAT được đưa ra nhằm giải quyết vấn đề thiếu hụt địa chỉ Ipv4.
Tuy nhiên, NAT cịn phát triển thêm các tính năng vượt trội như sau:
- NAT chia sẻ kết nối Internet hay một mạng khác với nhiều máy tính


trong LAN chỉ với 1 địa chỉ IP duy nhất hoặc 1 dãy IP cụ thể.
- NAT che giấu IP bên trong mạng LAN.

20


- NAT giúp cho người quản trị hệ thống mạng lọc các gói tin được gửi đến

hay gửi từ một địa chỉ IP ngoài mạng.
- NAT cho phép hay cấm đến 1 port cụ thể.

1.2.3 NAT Outboand
NAT Outbound còn gọi là phương pháp chia sẻ Internet: Router, NAT
Server sẽ thực hiện chuyển địa chỉ IP của Client thành IP mặt ngoài của Router
khi Client cần liên lạc đến 1 IP khác NET ID.
NAT Server, Router phải thực hiện 2 chức năng: Default Route và NAT
Outbound để giúp Client có thể truy cập Internet. Hai chức năng trên được ISP
tích hợp sẵn trên Router ADSL.
Ví dụ: Tại Khoa Cơng Nghệ Thơng Tin của một Trường Cao đẳng ở Tp
Hồ Chí Minh có khoảng 200 máy tính chia làm 4 phịng cho sinh viên học tập.
Để các máy tính trên có thể truy cập được Internet thì ta cần phải NAT
Outbound.

Hình 1-11 Sơ đồ minh hoạ NAT Outbound

1.2.4 NAT Inbound
NAT Inbound là công việc của NAT Server, Router sẽ dẫn đường cho
các Client bên ngồi có thể liên lạc với Server bên trong hệ thống mạng nhằm
sử dụng các dịch vụ mà Server đang cung cấp.


21


- Port là một số hiệu đại diện cho dịch vụ cần cung cấp.
- Có 65.536 port do tổ chức IANA quản lý.
- Với 1024 port đầu tiên (0 - 1023) đại diện cho các dịch vụ thông dụng

được dùng phổ biến gọi là Well-Known Port.
Triển khai Nat Inbound cần quan tâm đến 2 yếu tố:
- Địa Chỉ IP máy Server (máy cung cấp dịch vụ)
- Port tương ứng của dịch vụ đang cung cấp.

Ví dụ: Tại cơng ty Thái Dương kinh doanh sản phẩm mây tre lá. Ban
giám đốc yêu cầu người quản trị xây dựng một website để quảng bá sản phẩm
rộng rãi ra thị trường.
Trong trường hợp này, ngoài các vấn đề người quản trị cần phải xây dựng
như: Hạ tầng, thiết bị, xây dựng Website…thì việc cấu hình NAT Inbound trên
máy NAT Server để người sử dụng truy cập được Website của công ty là không
thể thiếu được.

Hình 1-12 Sơ đồ minh hoạ NAT Inbound

1.2.5 Kết hợp giữa NAT Inbound và NAT Outbound
Trong thực tế, sự kết hợp giữa NAT Inbound và NAT Outbound là một
mối liên hệ tương hỗ lẫn nhau giúp cho người quản trị thuận lợi hơn trong quá
trình triển khai các yêu cầu truy cập từ bên trong cũng như bên ngoài mạng.
Việc sử dụng Windows Server 2008 làm NAT Server khi cài đặt, cấu
hình NAT Inbound và NAT Outbound cũng khơng còn xa lạ đối với người quản


22


trị. Tuy nhiên, với hệ thống mạng quản lý hàng nghìn user. Việc cấu hình khơng
chỉ có NAT Server mà còn kết hợp với các thiết bị cứng như Router, Firewall
nhằm đảm bảo được tốc độ truyền dữ liệu cũng như bảo mật hệ thống.
Đối với cá nhân từng hộ gia đình có sử dụng mạng Internet. Hầu hết trên
các thiết bị Router ADSL đều được ISP tích hợp sẵn sàng NAT Outbound và
Default route giúp cho việc truy cập Internet dễ dàng hơn.
1.3 Bài tập áp dụng cuối chương 1
Cho sơ đồ mạng như hình vẽ

Hình 1-13 Sơ đồ kết hợp NAT Inbound và NAT Outbound
- Bước 1: Sử dụng phần mềm Wmware tạo 3 máy Server 2008 và 02 máy

Windows 2003. Windows 2008 dành cho các Server SRV1, SRV2 và SRV3.
Máy Windows 2003 dành cho các máy Client 1, Client 2
- Bước 2: Thiết lập Ip cho hệ thống theo sơ đồ.
- Bước 3: Nâng cấp Domain và cấu hình DNS trên SRV1.
- Bước 4: Cài đặt và cấu hình dịch vụ RRAS trên SRV3 sao cho các máy

trong LAN 1 và LAN 2 liên lạc được với nhau. Client 1 tiến hành Join Domain.
- Bước 5: Cấu hình NAT Outbound trên SRV3.

Tại cửa sổ “Routing and Remote Access”, chọn IPv4 → nhấn phải chuột
vào General → chọn New Routing Protocol → NAT → OK

23