Định tuyến và lọc lưu lượng mạng Phần 3: Network Address Translation

Định tuyến và lọc lưu lượng mạng Phần 3: Network Address TranslationNetwork Address Translation Do các địa chỉ IPv4 là một tài nguyên có hạn và đã đến lúc đáng báo động, do đó hầu hết các ISP đều chỉ cung cấp một địa chỉ cho một khách hàng nào đó. Trong phần lớn các trường hợp, địa chỉ này được gán động, vì vậy mỗilần máy khách kết nối đến IPS, một địa chỉ khác sẽ được cung cấp. Các công ty lớn có thể mua thêm các địa chỉ khác, tuy nhiên cac công ty nhỏ và những...
Nội dung trích xuất từ tài liệu:
Định tuyến và lọc lưu lượng mạng Phần 3: Network Address Translation Định tuyến và lọc lưu lượng mạng Phần 3: Network Address TranslationNetwork Address TranslationDo các địa chỉ IPv4 là một tài nguyên có hạn và đã đến lúc đáng báo động,do đó hầu hết các ISP đều chỉ cung cấp một địa chỉ cho một khách hàng nàođó. Trong phần lớn các trường hợp, địa chỉ này được gán động, vì vậy mỗilần máy khách kết nối đến IPS, một địa chỉ khác sẽ được cung cấp. Các côngty lớn có thể mua thêm các địa chỉ khác, tuy nhiên cac công ty nhỏ và nhữngngười dùng gia đình thì chi phí đó là không thể. Do những người dùng nhưvậy chỉ nhận được một địa chỉ IP, nên họ chỉ có thể có một máy tính đượckết nối với Internet tại một thời điểm.Tổng quan về NAT (Network Address Translation)Công nghệ Network address translation (NAT) được phát triển để cung cấpmột giải pháp tạm thời cho vấn đề hết địa chỉ của IPv4. NAT là một phươngpháp kết nối nhiều máy tính với Internet (hoặc bất cứ mạng IP nào) bằngcách sử dụng một địa chỉ IP. Với NAT gateway đang chạy trên một máytính, nó có thể chia sẻ địa chỉ giữa các máy tính nội bộ và kết nối tất cảchúng với mạng Internet cùng lúc. Thế giới bên ngoài không hề biết đến sựphân chia này mà chỉ nghĩ rằng chỉ có một máy tính được kết nối.Để khắc phục một số vấn đề bảo mật, một số sản phẩm tường lửa đã đượccung cấp. Các tường lửa này được đặt giữa người dùng và Internet để thẩmđịnh tất cả lưu lượng trước khi cho phép nó đi qua. Điều này có nghĩa, ngườidùng không được thẩm định sẽ không được phép truy cập vào các file củacông ty hoặc máy chủ email.NAT tự động cung cấp sự bảo vệ kiểu tường lửa mà không cần cài đặt. Mụcđích cơ bản của NAT là ghép lưu lượng từ mạng bên trong và thể hiện vớimạng Internet cứ như thể nó được gửi đến từ một máy tính có địa chỉ IP duynhất đó. Các giao thức TCP/IP cho phép ghép kênh để bất kỳ máy tính nàocũng có thể duy trì nhiều kết nối một cách đồng thời với máy tính từ xa. Choví dụ, một máy khách bên trong có thể kết nối với một máy chủ FTP bênngoài, tuy nhiên một máy khách bên ngoài lại không thể kết nối với máy chủFTP bên trong vì nó phải tạo kết nối và NAT không cho phép điều đó. Tuynhiên vẫn có thể làm cho một số máy chủ bên trong có sẵn đối với thế giớibên ngoài thông qua việc bản đồ hóa việc gửi dữ liệu đi, bản đồ này đượcbiết đến như các cổng TCP để cho các địa chỉ bên trong cụ thể, như vậy sẽtạo được các dịch vụ như FTP hoặc web có sẵn trong cách có kiểm soát.Một NAT gateway hiện đại phải thay đổi địa chỉ nguồn trên các gói dữ liệugửi đi để nó trở thành địa chỉ công. Chính vì vậy nó cũng đánh số lại cáccổng nguồn để trở thành duy nhất, từ đó có thể dõi theo mỗi kết nối máykhách. NAT gateway sử dụng bảng bản đồ hóa cổng để nhớ cách nó đánh sốlại các cổng cho mỗi gói dữ liệu được gửi ra của máy khách. Bảng bản đồhóa cổng có liên quan với địa chỉ IP nội bộ của máy khách và cổng nguồncộng với số cổng nguồn được dịch của nó cho địa chỉ đích và cổng. Chính vìvậy NAT gateway có thể đảo ngược quá trình các gói trả về và định tuyếnchúng quay trở lại đúng các máy khách.Kích hoạt NATĐể kích hoạt việc đánh địa chỉ của NAT, bạn có thể thực hiện theo các bướcsau: 1. Mở Routing and Remote Access. 2. Để thêm NAT, kích phải vào General nằm bên dưới IPv4 và chọn New Routing Protocol. Chọn NAT và kích OK. 3. Trong cây giao diện, kích NAT bên dưới IPv4. 4. Kích chuột phải vào NAT, sau đó kích Properties. 5. Trên tab Address Assignment, chọn Automatically Assign IP Addresses bằng hộp kiểm Using the DHCP Allocator. 6. (Tùy chọn) Để tìm đến các máy khách DHCP trên mạng riêng, trong địa chỉ IP và Mask, cấu hình dải các địa chỉ IP. 7. (Tùy chọn) Để loại ra các địa chỉ từ một vị trí nào đó cho các máy khách DHCP trên mạng riêng, kích Exclude, Add, sau đó cấu hình các địa chỉ.Để chỉ định các giao diện trong và ngoài, kích phải vào NAT bên dưới IPv4và chọn New Interface. Chọn giao diện vật lý và kích OK. Chỉ định PrivateInterface Connected to the Private Network hoặc Public InterfaceConnected to the Internet. Nếu chọn Public Interface Connected to theInternet, bạn sẽ phải chọn tiếp Enable NAT on This Interface. Kích OK.Để chuyển tiếp một giao thức đến một máy chủ bên trong nào đó thông quamáy chủ NAT, thực hiện theo các bước sau: 1. Kích phải vào giao diện chung và chọn Properties. 2. Chọn tab Services and Ports 3. Chọn giao thức mà bạn muốn chuyển tiếp. 4. Khi hộp thoại Edit Services xuất hiện, chỉ định địa chỉ riêng và kích OK để đóng hộp thoại Edit Services. 5. Kích OK để đóng hộp thoại Properties.NAT và TeredoLưu lượng IPv6 được tạo đường hầm bằng Teredo không phải là chủ đề đốivới chức năng lọc gói dữ liệu IPv4 của các NAT. Mặc dù điều này có vẻgiống như Teredo đi qua NAT và cho phép lưu lượng IPv6 có tiền ẩn mãđộc trên các mạng riêng, tuy nhiên chúng ta hãy xem xét các vấn đề dướiđây: • Teredo không thay đổi hành vi của ...