Giới thiệu về UAG DirectAccess – Phần 2: Kỹ thuật chuyển đổi IPv6 và NRPT

Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chuyển đổi IPv6 được sử dụng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6 có thể luân chuyển được trong mạng IPv4. Chúng ta hiện đang sử dụng các mạng IPv4 và chắc chắn một điều là các mạng này sẽ vẫn sử dụng trong một thời gian dài nữa. Mặc dù hiện đã có một số mạng bước đầu chuyển sang sử dụng IPv6 nhưng việc triển khai, nâng cấp các giao thức này diễn ra rất chậm và...
Nội dung trích xuất từ tài liệu:
Giới thiệu về UAG DirectAccess – Phần 2: Kỹ thuật chuyển đổi IPv6 và NRPT Giới thiệu về UAG DirectAccess – Phần 2: Kỹ thuật chuyển đổi IPv6 và NRPTTrong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chuyển đổi IPv6được sử dụng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6có thể luân chuyển được trong mạng IPv4.Chúng ta hiện đang sử dụng các mạng IPv4 và chắc chắn một điều là các mạng này sẽvẫn sử dụng trong một thời gian dài nữa. Mặc dù hiện đã có một số mạng bước đầuchuyển sang sử dụng IPv6 nhưng việc triển khai, nâng cấp các giao thức này diễn ra rấtchậm và đôi khi không được chuyển đổi một cách hoàn chỉnh. Thêm vào đó, có rất ít máytính có thể truy cập Internet IPv6, chính vì vậy có thể nói quá trình chuyển đổi sang IPv6sẽ còn rất dài.Các kỹ thuật chuyển đổi sang IPv6Do máy khách DirectAccess sử dụng IPv6 để kết nối đến máy chủ DirectAccess và có thểđến máy chủ nằm trong mạng công ty, nên cần phải có phương pháp để cho phép dữ liệuIPv6 này di chuyển trong mạng IPv4. DirectAccess giải quyết vấn đề này bằng cách sửdụng một số kỹ thuật chuyển đổi IPv6 khác nhau, giúp dữ liệu IPv6 được đóng gói trongcác IPv4 header và vì vậy có thể di chuyển trong các mạng “IPv4-only” ngày nay. Các kỹthuật được sử dụng ở đây là: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)ISATAP được sử dụng trên các mạng nội bộ để các host truyền thông với nhau bằngIPv6. Cách thực hiện là sử dụng một adapter ISATAP tunnel có gán địa chỉ IPv6 và sauđó đóng gói dữ liệu truyền thông trong ISATAP này bên trong IPv4 header và gửi đitrong cơ sở hạ tầng mạng nội bộ. Khi các dữ liệu này đến được máy chủ đích của nó,IPv4 header sẽ được tháo gỡ ra và lộ diện các IPv6 header lẫn tải trọng. ISATAP chophép bạn có thể sử dụng tất cả các ưu việt của IPv6 mà không yêu cầu nâng cấp các thiếtbị mạng cũng như cơ sở hạ tầng. 6to4 ProtocolGiao thức 6to4 được sử dụng bởi máy khách DirectAccess khi máy khách này được gánpublic IP. Cũng như ISATAP, một adapter 6to4 tunnel sẽ tự động được cấu hình trên máykhách DirectAccess có địa chỉ IPv6. Dữ liệu IPv6 của máy khách DirectAccess sẽ đượcgửi ra từ adapter này và sau đó được đóng gói trong IPv4 header để di chuyển trong mạngIPv4-only đến máy chủ DirectAccess. UAG DirectAccess Wizard sẽ tự động cấu hìnhmáy chủ UAG DirectAccess như một 6to4 router cho tổ chức do đó mà bạn không cầnphải biết bất cứ thứ gì về 6to4. 6to4 yêu cầu tất cả thiết bị được đặt giữa máy khách vàmáy chủ DirectAccess cho phép giao thức IPv4. Teredo ProtocolGiao thức Teredo là một kỹ thuật chuyển đổi IPv6 khác mà máy khách DirectAccess sửdụng để kết nối với máy chủ UAG DirectAccess qua mạng IPv4 Internet. Teredo được sửdụng khi máy khách DirectAccess được gán địa chỉ IP riêng và có truy cập outbound đếncổng UDP 3544 trên máy chủ UAG DirectAccess. Với Teredo, dữ liệu IPv6 sẽ được gửithông qua adapter Teredo (tự động được cấu hình trên máy khách DirectAccess) và sauđó được đóng gói bên trong một IPv6 header, sau đó tiếp tục được đóng gói trong UDPheader. Hai địa chỉ public IP phải được gán cho giao diện bên ngoài của máy chủ UAGDirectAccess; Chúng được sử dụng để xác định kiểu thiết bị NAT mà máy kháchDirectAccess nằm phía sau. Thêm vào đó, tất cả thiết bị cần cho phép ping để máy kháchTeredo có thể kết nối đến chúng. IP-HTTPS ProtocolIP-HTTPS là một giao thức hoàn toàn mới được phát triển bởi Microsoft, giao thức nàycho phép các máy khách DirectAccess có thể kết nối với máy chủ UAG DirectAccess chỉkhi cổng outbound TCP 443 được cho phép truyền thông với máy khách. Cách thức nàyđược sử dụng trong trường hợp các tường lửa được thiết lập ở mức rất hạn chế hoặc khitổ chức mà máy khách DirectAccess chỉ cho phép truy cập outbound thông qua thiết bịWeb proxy. Với IP-HTTPS, máy khách DirectAccess sẽ thiết lập một adapter IP-HTTPStunnel và gửi dữ liệu của nó qua đó. Sau đó dữ liệu này sẽ được đóng gói bên trong IPv4header, tiếp đó được đóng gói trong HTTP header và mã hóa bằng SSL (TLS). Nhưnhững gì có thể hình dung, nếu các overhead trong mỗi giao thức càng cao thì sự ảnhhưởng đến hiệu suất càng lớn.Chính vì điều này mà nên tránh cấu hình IP-HTTPS nếu có thể. Máy khách DirectAccess,khi được gán địa chỉ IP riêng (private IP) sẽ cố sử dụng giao thức Teredo, đây là giaothức cho hiệu suất khá tốt. Chỉ khi Teredo không thể sử dụng, máy khách DirectAccesssẽ chuyển sang sử dụng sang giao thức IP-HTTPS.Thoạt nhìn chúng ta có thể cho rằng các công nghệ chuyển đổi IPv6 rất khó hiểu và khónhớ nhưng UAG DirectAccess Wizard sẽ làm tất cả các công việc cần làm cho bạn. Nósẽ cấu hình máy chủ UAG DirectAccess làm 6to4 router, Teredo router và IP-HTTPSgateway mà bạn không cần biết nhiều về các giao thức làm cho DirectAccess làm việc.Tất cả các kỹ thuật này đều hoạt động ở phía dưới và cho phép kế ...