Giới thiệu về UAG DirectAccess – Phần 3: NAT64/DNS64

Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chính trong triển khai DirectAccess trong đó không cần nâng cấp cơ sở hạ tầng mạng lên IPv6. Trong phần một của loạt bài này, chúng tôi đã giới thiệu cho các bạn về DirectAccess và giải thích về cách DirectAccess làm việc như thế nào. Phần hai là những giới thiệu chi tiết về các kỹ thuật chuyển đổi IPv6 để cho phép máy khách và máy chủ DirectAccess truyền thông với nhau trong mạng nội cũng như mạng Internet IPv4....
Nội dung trích xuất từ tài liệu:
Giới thiệu về UAG DirectAccess – Phần 3: NAT64/DNS64 Giới thiệu về UAG DirectAccess – Phần 3: NAT64/DNS64Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chính trongtriển khai DirectAccess trong đó không cần nâng cấp cơ sở hạ tầng mạng lên IPv6.Trong phần một của loạt bài này, chúng tôi đã giới thiệu cho các bạn về DirectAccess vàgiải thích về cách DirectAccess làm việc như thế nào. Phần hai là những giới thiệu chitiết về các kỹ thuật chuyển đổi IPv6 để cho phép máy khách và máy chủ DirectAccesstruyền thông với nhau trong mạng nội cũng như mạng Internet IPv4. Trong đó đã giớithiệu về cách máy khách DirectAccess sử dụng Name Resolution Policy Table (NRPT)như thế nào để xác định tên miền được phân giải bởi các máy chủ DNS bên trong và tênmiền được phân giải bởi máy chủ DNS ngoài Internet.Trong phần ba này, chúng tôi sẽ giới thiệu một số kỹ thuật chính trong triển khaiDirectAccess trong đó không cần nâng cấp cơ sở hạ tầng mạng lên IPv6. Vấn đề này tỏ rađặc biệt quan trọng vì hầu hết các mạng hiện nay đều có lẫn các máy khách và máy chủ“IPv4 only” và “IPv6 capable”. Thêm vào đó, các thiết bị hỗ trợ IPv4 (hay được gọi tắt làtài nguyên IPv4) vẫn tồn tại phổ biến hơn các thiết bị “IPv6 capable”. Đây là thực trạngvề môi trường mạng trong hầu hết các công ty ngày nay, và UAG DirectAccess sẽ chophép truy cập vào các tài nguyên IPv4 trên mạng đó.Giải pháp: NAT64/DNS64UAG DirectAccess quản lý vấn đề bằng cách thực thi hai kỹ thuật không có sẵn đối vớigiải pháp Windows DirectAccess đó là: NAT64 DNS64Hai kỹ thuật này cho phép máy khách DirectAccess luôn sử dụng “ngôn ngữ” IPv6 vớimáy chủ UAG DirectAccess để kết nối với tài nguyên “IPv4 only” trong mạng nội bộ.Khi máy khách DirectAccess gửi đi yêu cầu truy cập tài nguyên bằng cách sử dụng tênnhãn hoặc tên miền hoàn chỉnh FQDN, đầu tiên nó tham khảo bảng Name ResolutionPolicy Table (NRPT). Nếu có sự trung khớp trên bảng và không có rule ngoại lệ đối vớitên miền nào đó thì máy khách sẽ gửi yêu cầu phân giải tên miền đến địa chỉ IPv6 (6to4)của máy chủ UAG DirectAccess. Nếu yêu cầu tên nhãn, thì thành phần DNS client củamáy khách DirectAccess sẽ gắn thêm hậu tố DNS như được cấu hình trên NIC hoặcthông qua Group Policy.Khi máy chủ UAG DirectAccess nhận được yêu cầu này, nó sẽ gửi yêu cầu đến các máychủ DNS được cấu hình trên giao diện bên trong theo thứ tự máy chủ liệt kê. Yêu cầutruy vấn DNS sẽ cho cả hai bản ghi IPv4 Host (A) và IPv6 Quad A (AAAA). Nếu máychủ DNS đáp trả máy chủ UAG DirectAccess bằng một bản ghi Quad A thì nó sẽ đáp trảbản ghi này với máy khách DirectAccess và máy khách DirectAccess sẽ kết nối với địachỉ IPv6 có trong đáp trả Quad A qua đường hầm DirectAccess IPsec.Mặc dù vậy, nếu máy chủ DNS đáp trả máy chủ UAG DirectAccess bằng bản ghi IPv4Host (A) thì máy khách DirectAccess trên Internet sẽ gặp vấn đề, lý do là vì máy kháchDirectAccess chỉ có thể truyền thông qua IPv6. Để giải quyết vấn đề, thành phần DNS64của máy chủ UAG DirectAccess sẽ bản đồ hóa tên miền địa với chỉ IPv6 và sau đó khaibáo thành phần NAT64 của máy chủ UAG DirectAccess giữa địa chỉ IPv6 và địa chỉIPv4.Cho ví dụ, giả sử máy khách DirectAccess trên Internet cần kết nối với tên miềnSRV1.contoso.com. Nó sẽ gửi yêu cầu truy vấn tên miền đến địa chỉ IPv6 (6to4) của máychủ UAG DirectAccess qua đường hầm IPsec. Máy chủ UAG DirectAccess sẽ gửi yêucầu IPv4 Host (A) và IPv6 Host (Quad A) cho miền SRV1.contoso.com đến máy chủDNS được cấu hình trên giao diện bên trong. Sau đó máy chủ DNS sẽ chỉ đáp trả bản ghivới địa chỉ IP 10.0.0.66. Thành phần DNS64 trên máy chủ UAG DirectAccess sẽ bản đồhóa địa chỉ 10.0.0.66 thành địa chỉ IPv6, chẳng hạn như 2002::0066 (đây chỉ là ví dụmang tính minh họa). Thành phần DNS64 của máy chủ UAG DirectAccess sẽ khai báovới thành phần NAT64 đó rằng nó sẽ chuyển tiếp bất cứ yêu cầu gửi đến địa chỉ2002::0066 đến địa chỉ IP 10.0.0.66. Trạng thái của Session cũng được đánh dấu để đáptrả từ 10.0.0.66 được chuyển tiếp đến máy khách DirectAccess. Máy chủ UAGDirectAccess sẽ chuyển tiếp đáp trả phân giải tên miền cho SRV1.contoso.com qua địachỉ IP 2002::0066 đến máy khách DirectAccess trên Internet và máy khách DirectAccesssẽ gửi yêu cầu kết nối đến địa chỉ đó.Như những gì thấy, DNS64/NAT64 hoạt động như một bộ biên dịch giao thức IPv6/IPv4,để từ đó máy khách DirectAccess trên Internet có thể kết nối với tài nguyên “IPv4 only”trên mạng nội bộ. Trong thực tế, điều này có nghĩa các thành phần trình khách được càiđặt trên máy khách DirectAccess cần hỗ trợ “IPv6 aware”, tuy nhiên các thành phần trìnhchủ không cần vậy. Điều này cho phép mở rộng số lượng kịch bản máy kháchDirectAccess kết nối với tài nguyên mạng nội bộ.Hạn chếTuy nhiên cũng như tất cả các giải pháp dựa trên NAT, có một số hạn chế và nhược điểmđối với giải pháp này. Những hạn chế chủ yếu ở đây là: NAT64/DNS64 sẽ tiêu tốn tài ng ...