Định tuyến và lọc lưu lượng mạng - Phần 1
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về cấu hình router
và tường lửa cũng như NAT, đây là những kiến thức được yêu cầu
trong bài kiểm tra 70-642 về Windows Server 2008 của Microsoft.
Các thuật ngữ các bạn cần hiểu:
• Router
• Metric
• Hop
• Static routes
• Dynamic routes
• Router Information Protocol (RIP)
• Split-horizon
• Open Shortest Path First (OSPF)
• Firewall
• Stateful firewall
• Windows Firewall
• Windows Firewall with Advanced Security
• Usage profile
• Network address translation (NAT)
Những kỹ thuật và khái niệm bạn cần nắm
• Cấu hình các tuyến tĩnh bằng giao diện Router and Remote Access
(RRAS) và bằng lệnh Route.exe.
• Cấu hình Router Information Protocol (RIP).
• Cấu hình lọc gói dữ liệu, Windows Firewall và Windows Firewall với
bảo mật nâng cao Advanced Security
• Cấu hình tuyến dial-up
• Cấu hình NAT (Network Address Translation)
Router là một thiết bị dùng để quản lý luồng dữ liệu giữa các đoạn mạng,
hoặc các mạng con. Khi có nhiều LAN hoặc nhiều đoạn mạng được kết nối
với nhau, các tuyến được tạo ra để truyền tải dữ liệu từ LAN này hoặc đoạn
mạng này sang LAN khác hoặc đoạn mạng khác. Một router sẽ định hướng
các gói dữ liệu gửi đến và gửi đi dựa trên các thông tin mà nó nhận biết về
trạng thái của các giao diện mạng và danh sách các đích có thể gửi đến.
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Bằng cách lên dự án cho lưu lượng mạng và các nhu cầu về việc định tuyến,
bạn có thể quyết định xem mình có muốn sử dụng router phần cứng chuyên
dụng hay không, ví dụ như router của Cisco hay một router phần mềm như
router có trong Windows Server 2008. Nếu nhu cầu định tuyến thực sự cần
thiết, khi đó bạn cần phải sử dụng các router phần cứng chuyên dụng. Còn
với các mạng nhỏ, giải pháp định tuyến dựa trên phần mềm cũng khá khả
thi. Để trợ giúp cho việc định tuyến, Microsoft Windows Server 2008 có hỗ
trợ dịch vụ định tuyến và truy cập từ xa - Routing and Remote Access
service.
Định tuyến và Router
Khi bạn gửi đi một gói dữ liệu từ một máy tính này sang một máy tính khác,
đầu tiên quá trình sẽ xác định xem gói dữ liệu được gửi nội bộ đến máy tính
khác trên cùng LAN hay đến router để định tuyến đến LAN đích. Nếu gói
dữ liệu được gửi đến một máy tính nằm trong một LAN khác, nó sẽ được
gửi đến router (hoặc gateway). Sau đó router sẽ xác định tuyến khả thi nhất
để chuyển tiếp dữ liệu theo tuyến đó. Gói dữ liệu sẽ được gửi đến router tiếp
theo và quá trình như vậy được lặp lại cho tới khi nó đến được LAN đích. Ở
Lan đích, router đích sẽ chuyển tiếp gói dữ liệu này đến máy tính đích.
Để xác định xem tuyến nào là tốt nhất, các router sử dụng thuật toán định
tuyến phức tạp, thuật toán này sử dụng một loạt các hệ số gồm có tốc độ của
môi trường truyền dẫn, số đoạn mạng và đoạn mạng có khả năng chuyển tải
lưu lượng ở mức độ tối thiểu. Các router sẽ chia sẻ trạng thái và các thông
tin định tuyến cho nhau để chúng có thể quản lý lưu lượng và tránh được các
kết nối chậm. Thêm vào đó, các router cũng cung cấp chức năng khác,
chẳng hạn như khả năng lọc các tin và chuyển tiếp chúng đến các địa điểm
khác dựa trên các tiêu chuẩn nào đó. Hầu hết các router đều là các router đa
giao thức vì chúng có thể định tuyến các gói dữ liệu bằng cách sử dụng
nhiều giao thức khác nhau.
Metric là một chuẩn đo lường, chẳng hạn như hop count (số router), được
sử dụng bởi các thuật toán định tuyến để xác định đường đi tối ưu đến một
đích nào đó. Một hop là một chuyến đi mà một gói dữ liệu phải trải qua tính
từ một router này đến một router khác hoặc từ một router này đến một điểm
trung gian khác và đến một router khác trong mạng. Trên các mạng lớn, số
hop mà một gói cần để đến được đích của nó được gọi là hop count. Khi một
máy tính truyền thông với một máy tính khác, quá trình truyền thông phải
truy cập qua 4 router, khi đó nó có hop count bằng 4. Nếu không có các hệ
số nào được đưa ra, một metric bằng 4 sẽ được gán. Nếu router được quyền
lựa chọn giữa một tuyến có 4 metric và một tuyến có 6 metric thì nó sẽ chọn
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
tuyến có 4 metric. Rõ ràng, nếu muốn router chọn tuyến có 6 metric, bạn có
thể ghi đè metric cho tuyến có 4 hop trong bảng định tuyến với giá trị cao
hơn.
Để theo dõi các tuyến khác nhau trong mạng, các router tạo và duy trì các
bảng định tuyến. Các router truyền thông với nhau để duy trì các bảng định
tuyến của chúng thông qua một tin cập nhật về tuyến. Tin cập nhật về tuyến
có thể gồm tất cả hoặc một phần của bảng định tuyến. Bằng cách phân tích
các nâng cấp về tuyến từ tất cả các router khác, các router có thể tạo ra một
bức tranh chi tiết về topo mạng.
Các tuyến động và tuyến tĩnh
Thuật toán định tuyến tĩnh là các thuật toán khá cứng, là các ánh xạ được
thiết lập bởi nhân viên quản trị mạng từ trước dựa theo bảng định tuyến tĩnh
để thực hiện việc định tuyến. Các ánh xạ này không thay đổi trừ khi quản trị
mạng thay đổi chúng. Thuật toán sử dụng các tuyến tĩnh thường khá đơn
giản trong thiết kế và làm việc tốt trong các môi trường mà ở đó có thể dự
đoán trước lưu lượng mạng và thiết kế mạng khá đơn giản.
Do các hệ thống định tuyến tĩnh không thể phản ứng với những thay đổi của
mạng, nên chúng thường không phù hợp với các mạng mang tính thay đổi
thường xuyên hay các mạng lớn. Hầu hết các thuật toán định tuyến chiếm ưu
thế là các thuật toán định tuyến động, các thuật toán này có khả năng điều
chỉnh theo những điều kiện mạng thay đổi bằng cách phân tích các tin tức
cập nhật về tuyến gửi đến. Nếu tin tức này chỉ thị rằng có một thay đổi mạng
xuất hiện, phần mềm định tuyến sẽ tính toán lại các tuyến và gửi đi các tin
tức mới về tuyến. Các tin tức này sẽ được truyền đi trong toàn mạng, dựa
vào các tin này, các router khác sẽ khởi chạy lại các thuật toán của chúng và
thay đổi các bảng định tuyến của mình theo các dữ liệu mới nhất.
Lưu ý: Các thuật toán định tuyến động có thể được thực hiện với các tuyến
tĩnh ở nơi thích hợp.
Thuật toán Distance-Vector và Link-State
Các router sử dụng các giao thức định tuyến dựa trên vectơ khoảng cách
(distance-vector) để thông báo hoặc quảng bá định kỳ các tuyến trong bảng
định tuyến của chúng, tuy nhiên chúng sẽ chỉ gửi nó đến các router lân cận
của mình. Các thông tin về tuyến đã được trao đổi giữa các router dựa trên
distance-vector không được đồng bộ và không được phúc đáp. Các giao thức
định tuyến distance-vector khá đơn giản và dễ hiểu cũng như dễ cấu hình.
Nhược điểm đối với các router này là nhiều tuyến đến một mạng nào đó có
thể mang lại nhiều mục trong bảng định tuyến, điều đó dẫn đến một bảng
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
định tuyến lớn. Thêm vào đó, nếu bạn có một bảng định tuyến lớn, lưu
lượng mạng của bạn sẽ tăng vì nó sẽ quảng bá một cách định kỳ bảng định
tuyến đến các router khác, thậm chí sau khi mạng đã hội tụ. Cuối cùng, sự
hội tụ giao thức distance-vector của các mạng lớn có thể mất nhiều thời gian,
đến vài phút.
Thuật toán trạng thái liên kết (Link-state) được biết đến như thuật toán tìm
đường đi ngắn nhất. Thay vì sử dụng hình thức quảng bá, các router link-
state gửi các tin tức được cập nhật một cách trực tiếp (hoặc bằng cách sử
dụng lưu lượng multicast) đến tất cả các router bên trong mạng. Mặc dù vậy
mỗi router chỉ gửi một phần của bảng định tuyến có mô tả trạng thái các liên
kết của riêng nó. Về cơ bản, thuật toán link-state chỉ gửi đi một số tin tức
nhỏ. Vì chúng hội nhanh hơn nên các thuật toán link-state ít vòng lặp về
tuyến hơn so với các thuật toán distance-vector. Thêm vào đó, các thuật toán
link-state không trao đổi các thông tin về việc định tuyến khi các mạng
tương tác hội tụ. Chúng có các bảng định tuyến nhỏ vì chỉ lưu một tuyến tối
ưu cho mỗi ID mạng.
Routing Information Protocol (RIP)
Giao thức định tuyến phổ biến là RIP (Routing Information Protocol), là một
giao thức distance-vector được thiết kế cho việc trao đổi các thông tin định
tuyến bên trong một mạng có kích thước nhỏ đến trung bình. Ưu điểm lớn
nhất của RIP là nó rất đơn giản trong cấu hình và triển khai.
RIP sử dụng một metric định tuyến bằng số các hop count (số router) để đo
khoảng cách giữa mạng nguồn và đích. Mỗi hop trong một đường dẫn từ
nguồn tới đích được gán một giá trị hop-count, điển hình bằng 1. Khi một
router nhận được một cập nhật về tuyến có chứa một entry mạng đích mới
hoặc đã được thay đổi thì router đó sẽ cộng thêm 1 vào giá trị metric được
chỉ thị trong nâng cấp và nhập vào mạng trong bảng định tuyến. Địa chỉ IP
của người gửi sẽ được sử dụng như hop tiếp theo.
Do RIP chỉ sử dụng hop count để xác định đường đi tốt nhất đến một mạng
tương tác nào đó nên nếu RIP tìm thấy nhiều liên kết đến cùng một mạng từ
xa với cùng hop-count thì nó sẽ tự động thực hiện một sự cân bằng tải luân
chuyển “round-robin”. RIP có thể thực hiện việc cân bằng tải cho tới 6 liên
kết.
Mặc dù vậy, có một vấn đề xảy ra trong việc sử dụng các hop khi hai liên kết
đến một mạng từ xa có băng thông khác nhau. Cho ví dụ, nếu bạn có một
liên kết chuyển mạch 56KB và một liên kết T1 1,544Mbps thì sẽ xảy ra hiện
tượng không hiệu quả khi gửi dữ liệu bằng nhau qua cả hai đường. Để khắc
phục nhược điểm này, bạn phải thiết kế một mạng có các liên kết băng thông
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
![Bài giảng Mạng cơ bản: Tổng hợp kiến thức [Năm hiện tại]](https://cdn.tailieu.vn/images/document/thumbnail/2016/20160315/codon_08/135x160/9551458015366.jpg)
