Định tuyến và lọc lưu lượng mạng
lượt xem 20
download
Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về cấu hình router và tường lửa cũng như NAT, đây là những kiến thức được yêu cầu trong bài kiểm tra 70-642 về Windows Server 2008 của Microsoft.
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Định tuyến và lọc lưu lượng mạng
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Định tuyến và lọc lưu lượng mạng - Phần 1
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về cấu hình router và tường lửa cũng như NAT, đây là những kiến thức được yêu cầu trong bài kiểm tra 70-642 về Windows Server 2008 của Microsoft. Các thuật ngữ các bạn cần hiểu: Router • Metric • Hop • Static routes • Dynamic routes • Router Information Protocol (RIP) • Split-horizon • Open Shortest Path First (OSPF) • Firewall • Stateful firewall • Windows Firewall • Windows Firewall with Advanced Security • Usage profile • Network address translation (NAT) • Những kỹ thuật và khái niệm bạn cần nắm Cấu hình các tuyến tĩnh bằng giao diện Router and Remote Access • (RRAS) và bằng lệnh Route.exe. Cấu hình Router Information Protocol (RIP). • Cấu hình lọc gói dữ liệu, Windows Firewall và Windows Firewall với • bảo mật nâng cao Advanced Security Cấu hình tuyến dial-up • Cấu hình NAT (Network Address Translation) • Router là một thiết bị dùng để quản lý luồng dữ liệu giữa các đoạn mạng, hoặc các mạng con. Khi có nhiều LAN hoặc nhiều đoạn mạng được kết nối với nhau, các tuyến được tạo ra để truyền tải dữ liệu từ LAN này hoặc đoạn mạng này sang LAN khác hoặc đoạn mạng khác. Một router sẽ định hướng các gói dữ liệu gửi đến và gửi đi dựa trên các thông tin mà nó nhận biết về trạng thái của các giao diện mạng và danh sách các đích có thể gửi đến.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bằng cách lên dự án cho lưu lượng mạng và các nhu cầu về việc định tuyến, bạn có thể quyết định xem mình có muốn sử dụng router phần cứng chuyên dụng hay không, ví dụ như router của Cisco hay một router phần mềm như router có trong Windows Server 2008. Nếu nhu cầu định tuyến thực sự cần thiết, khi đó bạn cần phải sử dụng các router phần cứng chuyên dụng. Còn với các mạng nhỏ, giải pháp định tuyến dựa trên phần mềm cũng khá khả thi. Để trợ giúp cho việc định tuyến, Microsoft Windows Server 2008 có hỗ trợ dịch vụ định tuyến và truy cập từ xa - Routing and Remote Access service. Định tuyến và Router Khi bạn gửi đi một gói dữ liệu từ một máy tính này sang một máy tính khác, đầu tiên quá trình sẽ xác định xem gói dữ liệu được gửi nội bộ đến máy tính khác trên cùng LAN hay đến router để định tuyến đến LAN đích. Nếu gói dữ liệu được gửi đến một máy tính nằm trong một LAN khác, nó sẽ được gửi đến router (hoặc gateway). Sau đó router sẽ xác định tuyến khả thi nhất để chuyển tiếp dữ liệu theo tuyến đó. Gói dữ liệu sẽ được gửi đến router tiếp theo và quá trình như vậy được lặp lại cho tới khi nó đến được LAN đích. Ở Lan đích, router đích sẽ chuyển tiếp gói dữ liệu này đến máy tính đích. Để xác định xem tuyến nào là tốt nhất, các router sử dụng thuật toán định tuyến phức tạp, thuật toán này sử dụng một loạt các hệ số gồm có tốc độ của môi trường truyền dẫn, số đoạn mạng và đoạn mạng có khả năng chuyển tải lưu lượng ở mức độ tối thiểu. Các router sẽ chia sẻ trạng thái và các thông tin định tuyến cho nhau để chúng có thể quản lý lưu lượng và tránh được các kết nối chậm. Thêm vào đó, các router cũng cung cấp chức năng khác, chẳng hạn như khả năng lọc các tin và chuyển tiếp chúng đến các địa điểm khác dựa trên các tiêu chuẩn nào đó. Hầu hết các router đều là các router đa giao thức vì chúng có thể định tuyến các gói dữ liệu bằng cách sử dụng nhiều giao thức khác nhau. Metric là một chuẩn đo lường, chẳng hạn như hop count (số router), được sử dụng bởi các thuật toán định tuyến để xác định đường đi tối ưu đến một đích nào đó. Một hop là một chuyến đi mà một gói dữ liệu phải trải qua tính từ một router này đến một router khác hoặc từ một router này đến một điểm trung gian khác và đến một router khác trong mạng. Trên các mạng lớn, số hop mà một gói cần để đến được đích của nó được gọi là hop count. Khi một máy tính truyền thông với một máy tính khác, quá trình truyền thông phải truy cập qua 4 router, khi đó nó có hop count bằng 4. Nếu không có các hệ số nào được đưa ra, một metric bằng 4 sẽ được gán. Nếu router được quyền lựa chọn giữa một tuyến có 4 metric và một tuyến có 6 metric thì nó sẽ chọn
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com tuyến có 4 metric. Rõ ràng, nếu muốn router chọn tuyến có 6 metric, bạn có thể ghi đè metric cho tuyến có 4 hop trong bảng định tuyến với giá trị cao hơn. Để theo dõi các tuyến khác nhau trong mạng, các router tạo và duy trì các bảng định tuyến. Các router truyền thông với nhau để duy trì các bảng định tuyến của chúng thông qua một tin cập nhật về tuyến. Tin cập nhật về tuyến có thể gồm tất cả hoặc một phần của bảng định tuyến. Bằng cách phân tích các nâng cấp về tuyến từ tất cả các router khác, các router có thể tạo ra một bức tranh chi tiết về topo mạng. Các tuyến động và tuyến tĩnh Thuật toán định tuyến tĩnh là các thuật toán khá cứng, là các ánh xạ được thiết lập bởi nhân viên quản trị mạng từ trước dựa theo bảng định tuyến tĩnh để thực hiện việc định tuyến. Các ánh xạ này không thay đổi trừ khi quản trị mạng thay đổi chúng. Thuật toán sử dụng các tuyến tĩnh thường khá đơn giản trong thiết kế và làm việc tốt trong các môi trường mà ở đó có thể dự đoán trước lưu lượng mạng và thiết kế mạng khá đơn giản. Do các hệ thống định tuyến tĩnh không thể phản ứng với những thay đổi của mạng, nên chúng thường không phù hợp với các mạng mang tính thay đổi thường xuyên hay các mạng lớn. Hầu hết các thuật toán định tuyến chiếm ưu thế là các thuật toán định tuyến động, các thuật toán này có khả năng điều chỉnh theo những điều kiện mạng thay đổi bằng cách phân tích các tin tức cập nhật về tuyến gửi đến. Nếu tin tức này chỉ thị rằng có một thay đổi mạng xuất hiện, phần mềm định tuyến sẽ tính toán lại các tuyến và gửi đi các tin tức mới về tuyến. Các tin tức này sẽ được truyền đi trong toàn mạng, dựa vào các tin này, các router khác sẽ khởi chạy lại các thuật toán của chúng và thay đổi các bảng định tuyến của mình theo các dữ liệu mới nhất. Lưu ý: Các thuật toán định tuyến động có thể được thực hiện với các tuyến tĩnh ở nơi thích hợp. Thuật toán Distance-Vector và Link-State Các router sử dụng các giao thức định tuyến dựa trên vectơ khoảng cách (distance-vector) để thông báo hoặc quảng bá định kỳ các tuyến trong bảng định tuyến của chúng, tuy nhiên chúng sẽ chỉ gửi nó đến các router lân cận của mình. Các thông tin về tuyến đã được trao đổi giữa các router dựa trên distance-vector không được đồng bộ và không được phúc đáp. Các giao thức định tuyến distance-vector khá đơn giản và dễ hiểu cũng như dễ cấu hình. Nhược điểm đối với các router này là nhiều tuyến đến một mạng nào đó có thể mang lại nhiều mục trong bảng định tuyến, điều đó dẫn đến một bảng
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com định tuyến lớn. Thêm vào đó, nếu bạn có một bảng định tuyến lớn, lưu lượng mạng của bạn sẽ tăng vì nó sẽ quảng bá một cách định kỳ bảng định tuyến đến các router khác, thậm chí sau khi mạng đã hội tụ. Cuối cùng, sự hội tụ giao thức distance-vector của các mạng lớn có thể mất nhiều thời gian, đến vài phút. Thuật toán trạng thái liên kết (Link-state) được biết đến như thuật toán tìm đường đi ngắn nhất. Thay vì sử dụng hình thức quảng bá, các router link- state gửi các tin tức được cập nhật một cách trực tiếp (hoặc bằng cách sử dụng lưu lượng multicast) đến tất cả các router bên trong mạng. Mặc dù vậy mỗi router chỉ gửi một phần của bảng định tuyến có mô tả trạng thái các liên kết của riêng nó. Về cơ bản, thuật toán link-state chỉ gửi đi một số tin tức nhỏ. Vì chúng hội nhanh hơn nên các thuật toán link-state ít vòng lặp về tuyến hơn so với các thuật toán distance-vector. Thêm vào đó, các thuật toán link-state không trao đổi các thông tin về việc định tuyến khi các mạng tương tác hội tụ. Chúng có các bảng định tuyến nhỏ vì chỉ lưu một tuyến tối ưu cho mỗi ID mạng. Routing Information Protocol (RIP) Giao thức định tuyến phổ biến là RIP (Routing Information Protocol), là một giao thức distance-vector được thiết kế cho việc trao đổi các thông tin định tuyến bên trong một mạng có kích thước nhỏ đến trung bình. Ưu điểm lớn nhất của RIP là nó rất đơn giản trong cấu hình và triển khai. RIP sử dụng một metric định tuyến bằng số các hop count (số router) để đo khoảng cách giữa mạng nguồn và đích. Mỗi hop trong một đường dẫn từ nguồn tới đích được gán một giá trị hop-count, điển hình bằng 1. Khi một router nhận được một cập nhật về tuyến có chứa một entry mạng đích mới hoặc đã được thay đổi thì router đó sẽ cộng thêm 1 vào giá trị metric được chỉ thị trong nâng cấp và nhập vào mạng trong bảng định tuyến. Địa chỉ IP của người gửi sẽ được sử dụng như hop tiếp theo. Do RIP chỉ sử dụng hop count để xác định đường đi tốt nhất đến một mạng tương tác nào đó nên nếu RIP tìm thấy nhiều liên kết đến cùng một mạng từ xa với cùng hop-count thì nó sẽ tự động thực hiện một sự cân bằng tải luân chuyển “round-robin”. RIP có thể thực hiện việc cân bằng tải cho tới 6 liên kết. Mặc dù vậy, có một vấn đề xảy ra trong việc sử dụng các hop khi hai liên kết đến một mạng từ xa có băng thông khác nhau. Cho ví dụ, nếu bạn có một liên kết chuyển mạch 56KB và một liên kết T1 1,544Mbps thì sẽ xảy ra hiện tượng không hiệu quả khi gửi dữ liệu bằng nhau qua cả hai đường. Để khắc phục nhược điểm này, bạn phải thiết kế một mạng có các liên kết băng thông
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com bằng nhau hoặc sử dụng một giao thức định tuyến có thể đưa vào các hệ số băng thông trong bản kê khai. RIP ngăn chặn các vòng lặp vô tận trong định tuyến bằng cách thực thi một giới hạn về số các hop được cho phép trong một đường đi từ nguồn đến đích. Số hop tối đa trong một đường đi là 15. Nếu một router nhận được một nâng cấp định tuyến có chứa một entry mới hoặc đã được thay đổi, và nếu quá trình tăng giá trị metric lên 1 làm cho metric bằng 16 thì đích mạng coi như không thể đến. Rõ ràng, điều này làm cho RIP không thể co dãn trong các mạng lớn hoặc rất lớn. Lưu ý: Vấn đề đếm vô tận là lý do tại sao số hop (hop count) tối đa của RIP cho một mạng IP được thiết lập là 15. Các giá trị hop count tối đa lớn hơn sẽ làm cho thời gian hội tụ lâu hơn khi đó hiện tượng đếm vô tận xuất hiện. Ban đầu, bảng định tuyến cho mỗi router chỉ gồm các mạng được kết nối vật lý với nó. Một RIP router sẽ định kỳ (30s) gửi đi các thông báo có chứa các entry bảng định tuyến của nó để các router khác có thể cập nhật các bảng định tuyến của chúng. Phiên bản 1 của RIP sử dụng các gói dữ liệu quảng bá địa chỉ IP cho các thông báo của nó, phiên bản 2 sử dụng các gói dữ liệu multicast hoặc broadcast. Tất cả các tin nhắn RIP đều được gửi trên cổng UDP 520. Các RIP router cũng có thể truyền thông các thông tin định tuyến thông qua các nâng cấp được kích hoạt (trigger), các nâng cấp được kích hoạt khi topo mạng thay đổi. Khác với các thông báo được lịch trình, các nâng cấp được kích hoạt sẽ được gửi đi ngay lập tức thay cho việc phải đợi thông báo định kỳ tiếp theo. Cho ví dụ, khi một router phát hiện một lỗi liên kết hoặc router, nó sẽ nâng cấp bảng định tuyến của chính mình và gửi các tuyến đã được cập nhật. Các router nhận được nâng cấp đã được kích hoạt này sẽ thay đổi bảng định tuyến của nó và phổ biến thay đổi này đến các router khác. Bạn có thể cấu hình mỗi RIP router với một danh sách các router (bởi địa chỉ IP) chấp nhận các thông báo RIP. Bằng cách cấu hình danh sách các RIP router ngang hàng, các tuyên bố RIP từ các RIP router không được thẩm định sẽ bị loại bỏ. Thêm vào đó, để ngăn chặn lưu lượng RIP nhận được bởi bất cứ nút nào ngoại trừ các RIP router lân cận, bạn có thể thiết lập một số router để sử dụng các thông báo RIP một đường đến các RIP router lân cận. Vì RIP là một giao thức distance-vector, nên khi các mạng tương tác mở rộng về kích thước, các thông báo định kỳ bởi các RIP router có thể gây ra hiện tượng quá tải lưu lượng. Một nhược điểm của RIP là thời gian hội tụ khá cao. Khi topo mạng thay đổi, nó cần đến vài phút trước khi các RIP router tự cấu hình lại bản thân chúng về topo mạng mới. Khi mạng tự cấu
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com hình lại, các vòng lặp định tuyến có thể gây ra hiện tượng mất dữ liệu. Để khắc phục hiện tượng này, RIP có bổ sung thêm split-horizon. Để khắc phục một số thiếu sót của RIP, RIP Version 2 (RIP II) đã được ra đời. RIP v2 cung cấp các tính năng dưới đây: Bạn có thể sử dụng một mật khẩu cho việc thẩm định bằng cách chỉ • định một khóa được sử dụng để thẩm định các thông tin định tuyến cho router. Sự thẩm định mật khẩu được định nghĩa trong RFC 1723, tuy nhiên lại có các cơ chế thẩm định mới hơn, chẳng hạn như Message Digest 5 (MD5). RIP v2 gồm có subnet mask trong thông tin định tuyến và hỗ trợ các • subnet có độ dài thay đổi (variable-length). Subnet mask có độ dài thay đổi có thể được liên kết với các đích, cho phép tăng số lượng host hoặc subnet có thể trong mạng. Bảng định tuyến có thể chứa các thông tin về địa chỉ IP của router cần • thiết để đến được đích. Điều này giúp tránh được tình trạng các gói dữ liệu bị chuyển tiếp qua các router mở rộng trên hệ thống. Các gói Multicast chỉ phát đến các RIP v2 router và được sử dụng để • giảm tải trên các host không lắng nghe các gói RIP v2. Địa chỉ IP multicast cho các gói RIP v2 là 224.0.0.9. Lưu ý: các nút Silent RIP cũng phải lắng nghe lưu lượng multicast được gửi đến địa chỉ 224.0.0.9. Nếu bạn đang sử dụng Silent RIP, hãy thẩm định rằng các nút Silent RIP của mình có thể lắng nghe các thông báo multicast RIP v2 trước khi triển khai multicast RIP v2. Lưu ý: RIPv2 hỗ trợ multicast cho việc nâng cấp các bảng định tuyến. RIPv1 không hỗ trợ tính năng này. RIPv1 router không thể truyền thông với RIPv2 router có sử dụng multicast để cập nhật. Open Shortest Path First (OSPF) Với các mạng nhỏ và trung bình, việc phân phối dữ liệu trong toàn mạng và duy trì bảng định tuyến tại mỗi router không trở thành vấn đề nghiêm trọng. Tuy nhiên với các mạng có kích thước lớn, có hàng trăm router, bảng định tuyến có thể khá lớn (vài MB) thì việc tính toán các tuyến cần đến khá nhiều thời gian vì một số router có thể gặp sự cố hoặc không. Một số giao thức, chẳng hạn như Open Shortest Path First (OSPF), cho phép các vùng (nhóm các mạng kế nhau) được nhóm lại với nhau thành một hệ thống tự trị (AS). Các khu vực tạo nên các vùng tự trị này thường tương
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com ứng với một miền quản trị, chẳng hạn như một phòng, tòa nhà hoặc một vị trí địa lý nào đó. Một AS có thể là một mạng hoặc có thể là một nhóm các mạng, được sở hữu và được quản trị bởi một quản trị mạng hoặc một nhóm quản trị mạng nói chung. OSPF là một giao thức định tuyến link-state được sử dụng trong các mạng có kích thước lớn và trung bình để tính toán các entry của bảng định tuyến bằng cách xây dựng một cây đường đi ngắn nhất. OSPF được thiết kế cho các mạng tương tác lớn (được biệt các mạng có hơn 15 router hop). Nhược điểm của OSPF là nó khá phức tạp trong thiết lập và yêu cầu cần phải có kế hoạch cụ thể. Lưu ý: Thành phần giao thức OSPF trong Routing and Remote Access đã được remove khỏi Windows Server 2008. Routing and Remote Access Service (RRAS) Với RRAS, một máy tính đang chạy hệ điều hành Windows Server 2008 có thể hoạt động như một router mạng, định tuyến các gói dữ liệu IP giữa các mạng. Dịch vụ router này cho phép các LAN và WAN được kết nối chéo với nhau một cách dễ dàng. Kỹ thuật định tuyến được xây dựng bên trong hệ điều hành, cung cấp cho các doanh nghiệp nhở và lớn một cách thức an toàn và hiệu quả về giá thành trong việc kết nối chéo các mạng của họ. Bạn có thể cài đặt dịch vụ Routing and Remote Access bằng cách sử dụng Add Roles Wizard. Để cài đặt dịch vụ Routing and Remote Access, thực hiện theo các bước dưới đây: 1. Trong cửa sổ chính của Server Manager, dưới Roles Summary, kích Add roles. Hoặc nếu bạn sử dụng cửa sổ Initial Configuration Tasks, bên dưới Customize This Server, kích Add roles. 2. Trong Add Roles Wizard, kích Next. 3. Trong danh sách các server role, chọn Network Policy and Access Services. Kích Next hai lần. 4. Trong danh sách role service, chọn Routing and Remote Access Services để chọn tất cả role service. Bạn cũng có thể chọn các role máy chủ riêng biệt. Kích Next. 5. Tiến hành qua các bước trong Add Roles Wizard để hoàn tất quá trình cài đặt.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Sau khi hoàn tất quá trình cài đặt, dịch vụ Routing and Remote Access được cài đặt trong trạng thái bị vô hiệu hóa. Để kích hoạt dịch vụ Routing and Remote Access, bạn hãy thực hiện theo các bước sau: 1. Mở Routing and Remote Access. 2. Mặc định, máy tính nội bộ được liệt kê như một máy chủ. 3. Để bổ sung thêm máy chủ khác, trong cây giao diện, kích chuột phải vào Server Status, sau đó kích Add Server. 4. Trong hộp thoại Add Server, kích tùy chọn thích hợp, sau đó kích OK. 5. Trong cây giao diện, kích phải vào máy chủ mà bạn muốn kích hoạt, sau đó kích Configure and Enable Routing and Remote Access. Kích Next. 6. Kích Custom Configuration và kích Next. 7. Để kích hoạt việc định tuyến LAN, chọn LAN routing và kích Next. 8. Kích nút Finish Để kích hoạt việc định tuyến LAN và WAN sau khi dịch vụ Routing and Remote Access đã được kích hoạt: 1. Mở Routing and Remote Access. 2. Kích phải vào tên máy chủ mà bạn muốn kích hoạt việc định tuyến, sau đó kích Properties. 3. Trong tab General, chọn hộp chọn IPv4 Router và IPv6 Router thích hợp, và chọn Local Area Network (LAN) Routing Only hay LAN and Demand-Dial Routing. 4. Kích OK. Tạo các tuyến tĩnh Trong một số trường hợp, bạn phải cần thêm một tuyến tĩnh cho router Windows Server 2008 của mình. Điều này hẳn là có cả ưu điểm và nhược điểm. Việc tạo một tuyến tĩnh là hoàn toàn đơn giản; mặc dù vậy, các tuyến mà bạn cấu hình không được chia sẻ giữa các router. Các tuyến tĩnh chỉ định địa chỉ mạng và subnet mask để thông tin cho router về cách đi đến một đích nào đó. Router sử dụng các thông tin đó để xác định gateway nào sẽ chuyển tiếp dữ liệu để gói dữ liệu có thể đến được host đích của nó. Các tuyến tĩnh có thể được cấu hình theo một trong hai cách sau:
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Sử dụng lệnh route. • Sử dụng giao diện quản lý RRAS. • Sử dụng lệnh Route Lệnh route được sử dụng để xem và thay đổi bảng định tuyến mạng cho một mạng IP. Lệnh route print sẽ hiển thị danh sách các tuyến hiện hành mà host nắm được (xem hình 1) Hình 1: Kết quả của lệnh Route Print Các tuyến được thêm vào bảng định tuyến sẽ không bền trừ khi tiếp lệnh -p được chỉ định. Các tuyến không bền chỉ kéo dài cho tới khi máy tính được khởi động lại hoặc tới khi giao diện mất phản ứng. Giao diện có thể được làm mất tích cực khi giao diện plug-and-play được rút ra (chẳng hạn như các laptop và các máy tính cắm nóng), khi dây được remove khỏi media card (nếu adapter hỗ trợ nhận dạng lỗi media), hoặc khi giao diện bị hủy kết nối ra khỏi adapter trong thư mục Network and Dial-up Connections. Cách dùng lệnh route: ROUTE [-f] [-p] [command [destination]] [MASK netmask] [gateway] -> [METRIC metric]
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com -f— Xóa bảng định tuyến cho tất cả các entry của gateway. Nếu lệnh • này được sử dụng kết hợp với một trong các lệnh khác thì các bảng định tuyến sẽ bị xóa trước khi lệnh này được chạy. -p—Khi được sử dụng với lệnh add, tạo một tuyến bền trong các quá • trình khởi động của hệ thống. Mặc định, các tuyến không được duy trì khi hệ thống khởi động lại. Khi được sử dụng với lệnh print, hiển thị danh sách các tuyến bền đã được đăng ký. Bỏ qua tất cả các lệnh khác, lệnh này luôn ảnh hưởng tới các tuyến bền. Destination—Chỉ định cho mạng hoặc host rằng các gói nào đang • được gửi đến. MASK netmask—Chỉ định subnet mask để kết hợp với entry tuyến • này. Nếu giá trị netmask không được chỉ định thì nó sẽ nhận giá trị mặc định là 255.255.255.255. gateway—Chỉ định gateway hoặc router. • METRIC metric—Gán cho metric một số nguyên (từ 1 đến 9.999) • được sử dụng trong tính toán các tuyến đắt nhất, tin cậy nhất và nhanh nhất. Các lệnh có thể sử dụng trong cú pháp có trước là PRINT, ADD, DELETE và CHANGE: PRINT—Hiển thị một tuyến • ADD—Thêm một tuyến • DELETE—Xóa một tuyến • CHANGE—Thay đổi một tuyến đang tồn tại • Lưu ý: Các tuyến bền được lưu trong location Registry dưới đây: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters\PersistentRoutes Cho ví dụ, để tạo một tuyến tĩnh, bạn có thể đánh route ADD 132.133.200.0 MASK 255.255.255.0 63.197.142.1 METRIC 2 Sau khi lệnh này được thực thi, bất cứ gói nào được gửi đến địa chỉ mạng 132.133.200.0 hoặc host có địa chỉ IP nằm trong dải 132.133.200.1 đến 132.133.200.254 sẽ được chuyển tiếp đến router có địa chỉ host nội bộ là
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com 63.197.142.1. Nếu nhiều entry chỉ định các địa chỉ đích này thì tuyến này sẽ có một metric 2 hop. Sử dụng Routing and Remote Access Để thêm một tuyến tĩnh vào máy tính Windows Server 2008, bạn cần sử dụng chương trình Routing and Remote Access trong Administrative Tools hoặc sử dụng MMC snap-in thích hợp. Tiếp đến, kích chuột phải vào Static Routes bên dưới IPv4 hoặc IPv6 và chọn New Static Route for IP Networks (xem trong hình 2). Hình 2: Sử dụng giao diện Routing and Remote Access để tạo một tuyến tĩnh Với một tuyến IP tĩnh, trong Interface, Destination, Network Mask, Gateway, và Metric, nhập vào giao diện, đích, mask, gateway và metric. Nếu đây là một giao diện demand-dial, Gateway sẽ không được cung cấp. Khi đó bạn có thể chọn hộp chọn Use This Route to Initiate Demand-Dial Connections để khởi tạo kết nối demand-dial để truyền thông với tuyến. Với các địa chỉ IP tĩnh, đích đến sẽ cung cấp một không gian để bạn đánh vào đích đến của tuyến. Đích có thể là một địa chỉ host, địa chỉ subnet, địa chỉ mạng hoặc đích của một tuyến mặc định nào đó (0.0.0.0). Subnet mask cung cấp không gian để bạn có thể nhập vào network mask của tuyến tĩnh. Số network mask được sử dụng kết hợp với đích để phân biệt thời điểm khi nào tuyến được sử dụng. Mask 255.255.255.255 có nghĩa rằng chỉ một tương ứng chính xác với số đích có thể sử dụng cho tuyến này. Mask bằng 0.0.0.0 có nghĩa bất kỳ đích
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com nào cũng có thể sử dụng cho tuyến. Gateway cung cấp một không gian để bạn đánh vào địa chỉ IP chuyển tiếp cho tuyến. Với các giao diện LAN, địa chỉ gateway phải được cấu hình và phải là một địa chỉ IP có thể đến được cho đoạn mạng của giao diện đã chọn. Với các giao diện demand-dial, địa chỉ gateway không được cấu hình hoặc được sử dụng. Metric cung cấp một không gian để đánh vào số hop của tuyến để đến được đích. Metric thường được sử dụng để chỉ thị số router (hop) đến đích. Khi quyết định giữa nhiều tuyến đến cùng một đích, tuyến có metric thấp nhất sẽ được chọn là tuyến tốt nhất. Định tuyến Demand-Dial Hai kiểu kết nối Demand-Dial có thể được tạo cho việc định tuyến: Kết nối On-demand • Kết nối bền (Persistent) • Với các kết nối demand-dial, một kết nối với router từ xa được thiết lập chỉ khi cần thiết. Kết nối được thiết lập để định tuyến các thông tin và được kết thúc khi liên kết không còn được sử dụng. Ưu điểm của kết nối này là tiết kiệm về mặt chi phí do không sử dụng các liên kết chuyên dụng. Với các kết nối bền, liên kết không cần bị kết thúc. Thậm chí khi nó không trong sử dụng mà vẫn duy trì mở. Các kết nối giữa các router mạng có thể là các kết one-way hoặc two-way, điều đó có nghĩa rằng một kết nối có thể được khởi tạo chỉ bởi một router hoặc cả hai router. Với các kết nối one- way, một router được chỉ định như một router trả lời và router còn lại được chỉ định là router gọi, router gọi có trách nhiệm khởi tạo các kết nối. Đinh tuyến One-Way Demand-Dial Các kết nối Demand-dial có thể được tạo ra bên trong Routing and Remote Access snap-in. Cách bạn cấu hình kết nối phụ thuộc vào vấn đề bạn đang cấu hình kết nối one-way hay two-way. Để tạo một giao diện demand-dial trên router gọi, bạn có thể thực hiện theo các bước sau: 1. Kích phải vào Network Interfaces bên trong giao diện điều khiển RRAS và kích New Demand-Dial Interface. Thao tác này sẽ khởi chạy Demand-Dial Interface Wizard. Kích Next. 2. Đánh vào tên cho giao diện và kích Next. 3. Chọn kiểu kết nối, kích Next. Chọn thiết bị sẽ được sử dụng để tạo kết nối. Kích Next.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com 4. Đánh vào số phone của máy chủ từ xa mà bạn sẽ quay số đến. Kích Next. 5. Từ cửa sổ Protocols and Security, chọn các tùy chọn cần thiết: Route IP Packets on This Interface o Add a User Account So a Remote User Can Dial In o Send a Plain-Text Password If That Is the Only Way to Connect o Use Scripting to Complete the Connection with the Remote o Router 6. Cấu hình một tuyến tĩnh đến mạng từ xa, kích Next. 7. Từ cửa sổ Dial Out Credentials, chỉ định username và password mà dial-out router sẽ sử dụng để kết nối đến router từ xa. Kích Next. 8. Kích Finish. Lưu ý: Trước khi tạo một giao diện demand-dial mới, bạn cần bảo đảm rằng router đã được kích hoạt cho LAN và việc định tuyến demand-dial thay cho chỉ việc định tuyến LAN. Bạn có thể kích hoạt tùy chọn này bằng cách kích phải vào máy chủ RRAS và chọn Properties. Từ tab General, chọn LAN and Demand-Dial Routing. Router trả lời cũng cần được cấu hình cho kết nối one-way demand-dial. Bạn cũng cần phải tạo một tài khoản người dùng trên router trả lời với các điều khoản dial-in và các điều khoản chính sách thích hợp. Tài khoản người dùng sẽ được sử dụng để thẩm định các kết nối từ các router gọi. Một tuyến tính sau đó sẽ được cấu hình trên tài khoản người dùng. Thêm vào đó cũng cần bảo đảm rằng khi tạo tài khoản người dùng, tùy chọn Password Never Expires phải được chọn và tùy chọn User Must Change Password at Next Logon thì không. Lưu ý: Khi cấu hình router gọi, bạn cần bảo đảm rằng các tiêu chuẩn dial-out phải tương ứng với tên tài khoản người dùng được cấu hình trên router trả lời. Định tuyến Two-Way Demand-Dial Việc tạo kết nối two-way demand-dial cũng tương tự như việc cấu hình kết nối one-way, tuy nhiên có một số điểm khác. Giao diện demand-dial được tạo trên mỗi máy chủ RRAS bởi quá trình đã phác thảo trước để tạo kết nối one-way demand-dial. Bạn phải gán tên cho giao diện và chỉ định số điện thoại để quay số, thiết bị được sử dụng, giao thức và các thiết lập bảo mật, các tiêu chuẩn dial-out. Bên cạnh đó bạn cũng phải cấu hình tài khoản người
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com dùng, với các điều khoản truy cập từ xa tương ứng, trên mỗi máy chủ RRAS. Cần lưu ý rằng tên tài khoản người dùng phải giống hệt tên được gán cho giao diện demand-dial của router gọi. Cuối cùng, bạn phải cấu hình một tuyến tĩnh bằng giao diện demand-dial. Lưu ý: Cần nhớ thời điểm khi bạn cấu hình two-way demand dial thì các tên tài khoản người dùng trên router trả lời phải giống với tên giao diện demand- dial trên các router gọi. Cấu hình việc định tuyến Demand-Dial Khi một kết nối demand-dial được tạo, bạn có thể cấu hình nó sâu hơn bằng cách sử dụng cửa sổ Properties cho kết nối. Từ tab Options, cấu hình kiểu kết nối: demand-dial hoặc bền. Cũng có thể thiết lập chính sách quay số bằng cách chỉ định số lần mà router gọi nên quay lại nếu không có trả lời và bằng cách chỉ định thời gian giữa những lần quay số lại. Tab Security cho phép bạn cấu hình các tùy chọn bảo mật cho kết nối dial- out. Cấu hình này gồm có: các mật khẩu không được an toàn có được phép hay không? Kết nối có yêu cầu mã hóa dữ liệu và có kịch bản sẽ được chạy sau quay số không. Bạn có thể tạo một vài cấu hình khác đối với giao diện demand-dial. Việc lọc Demand-dial cho phép bạn kiểm soát kiểu lưu lượng IP có thể khởi tạo kết nối. Bạn có thể cho phép hoặc từ chối kết nối dựa trên kiểu lưu lượng IP. Cho ví dụ, bạn có thể chỉ muốn lưu lượng web và FTP khởi tạo kết nối Demand-dial chẳng hạn. Giờ Dial-out chỉ định số lần trong ngày một kết nối có thể được khởi tạo. Điều này cho phép một quản trị viên có thể kiểm soát được thời điểm kết nối demand-dial được sử dụng. Quản lý RIP Sau khi các giao diện demand-dial hay LAN được tạo, việc cấu hình các giao diện giao thức định tuyến thích hợp là bước cuối cùng trong quá trình cấu hình máy chủ RRAS với tư cách là một router mạng. Bạn phải thêm vào giao thức định tuyến bằng cách kích phải vào nút General và chọn New Routing Protocol. Cửa sổ xuất hiện sẽ liệt kê các giao thức bạn có thể chọn. Chọn RIPv2 và kích OK. Sau khi giao thức định tuyến được thêm vào, bạn phải thêm vào các giao diện. Để thực hiện điều đó, kích phải vào giao thức định tuyến tương ứng và chọn New Interface. Sau khi bạn chọn một giao diện và kích OK, cửa sổ Properties cho giao diện sẽ xuất hiện, cho phép bạn cấu hình nó.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Mỗi giao diện RIP đều có một cửa sổ thuộc tính riêng, từ cửa sổ này bạn có thể cấu hình một số tùy chọn. Bên trong giao diện điều khiển RRAS, mở phần IP Routing, RIP; sau đó kích phải vào một trong các giao diện có sẵn và kích Properties. Tab General cho phép bạn cấu hình chế độ hoạt động. Bạn có thể chọn Autostatic Update Mode hoặc Periodic Update Mode. Với nâng cấp autostatic, các thông báo RIP sẽ được gửi đi khi các router khác yêu cầu nâng cấp. Bất kỳ router nào đã biết trong khi nâng cấp autostatic sẽ được đánh dấu là router tĩnh và được duy trì lại trong bảng định tuyến cho tới khi quản trị viên xóa chúng. Trong chế độ nâng cấp định kỳ (periodic), các thông báo sẽ được gửi đi một cách định kỳ. (Khoảng thời gian tuyên bố định kỳ sẽ xác định tần suất như thế nào). Các tuyến này sẽ được xóa tự động khi router ngừng hoặc khởi động lại. Giao thức gói dữ liệu gửi đến và gửi đi cho phép bạn cấu hình kiểu các gói, chẳng hạn như RIPv1 hoặc RIPv2, router gửi và chấp nhận. Các tùy chọn Activate Authentication và Password cho phép ban duy trì một mức bảo mật bổ sung. Nếu sự thẩm định được kích hoạt, tất cả các gói dữ liệu gửi đến và gửi đi phải gồm mật khẩu được chỉ định trong trường mật khẩu. Khi sử dụng cơ chế thẩm định, hãy bảo đảm rằng tất cả các router lân cận phải được cấu hình bằng một mật khẩu giống nhau. Từ tab Security, một quản trị viên có thể cấu hình bộ lọc tuyến RIP. Router có thể được cấu hình để gửi và chấp nhận tất cả các tuyến, gửi và chấp nhận chỉ các tuyến từ một dải nào đó, hoặc chấp nhận và gửi tất cả các tuyến ngoại trừ các tuyến được chỉ định. Tab Neighbors được sử dụng để cấu hình cách router tương tác với các router RIP khác như thế nào. Tab Advanced có một vài tùy chọn cấu hình: Periodic Announcement Interval: Điều khiển khoảng thời gian tạo • ra các thông báo nâng cấp. Time Before Route Expires: Xác định một router được duy trì bao • lâu trong bảng định tuyến trước khi hết hạn. Time Before Route Is Removed: Xác định một router đã hết hạn • được duy trì lại bao lâu trong bảng định tuyến trước khi bị xóa đi. Enable Split Horizon Processing: Bảo đảm rằng các vòng lặp định • tuyến không xuất hiện trước khi router biết từ một router không quảng bá lại đến mạng đó.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Enable Triggered Updates: Điều khiển xem những thay đổi trong • bảng định tuyến có được gửi ra ngay lập tức hay không. Send Clean-Up Updates when Stopped: Điều khiển xem router có • gửi một thông báo khi nó bị stop để thông báo cho các router khác rằng các tuyến mà nó phụ trách không tồn tại. Process Host Routes in Received Announcements: Điều khiển xem • các tuyến chính đã nhận trong các thông báo RIP được chấp nhận hay từ chối. Include Host Routes in Send Announcements: Điều khiển xem các • tuyến chính có được gộp vào trong thông báo RIP hay không. Process Default Routes in Received Announcements: Điều khiển • xem các tuyến mặc định đã nhận trong thông báo RIP được chấp nhận hay từ chối. Process Default Routes in Send Announcements: Điều khiển xem • các tuyến mặc định có được nhóm vòa các thông báo RIP hay không. Disable Subnet Summarization: Tùy chọn này có sẵn chỉ cho • RIPv2. Nó điều khiển xem các mạng con có được thông báo đến các router trên các mạng con khác hay không. Lưu ý: Khi một vòng lặp định tuyến xuất hiện, các gói dữ liệu sẽ được đẩy tới và lui giữa các router. Khi quá trình split-horizon được kích hoạt, các tuyến không được thông báo quay trở lại đến router mà chúng nhận tin từ đó. Cho ví dụ, nếu router B nhận các tuyến được thông báo từ router A thì router B sẽ không thông báo các tuyến này cho router A nữa. Khi quá trình Split Horizon with Poison Reverse được kích hoạt, các tuyến được thông báo trở lại router mà chúng nhận tin từ đó với một số hop count vô tận. Bộ lọc dữ liệu Việc lọc gói cho phép các quản trị viên có thể chỉ định kiểu lưu lượng gửi đến và gửi đi được phép đi qua router Windows Server 2008. Khi cấu hình các bộ lọc dữ liệu, bạn có thể cho phép tất cả lưu lượng ngoại trừ lưu lượng bị chặn bởi bộ lọc. Hoặc bạn có thể từ chối tất cả lưu lượng ngoại trừ lưu lượng được cho phép bởi bọ lọc. Để bổ sung thêm bộ lọc dữ liệu, bạn thực hiện theo các bước dưới đây: 1. Mở Routing and Remote Access.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com 2. Trong cây truy cập, kích General bên dưới Routing and Remote Access/Server Name/[IPv4 hoặc IPv6]. 3. Trong panel chi tiết, kích phải vào giao diện mà trên đó bạn muốn thêm vào một bộ lọc, sau đó kích Properties. 4. Trên tab General, kích Inbound Filters hoặc Outbound Filters. 5. Trong hộp thoại Inbound Filters hoặc Outbound Filters, kích New. 6. Trong hộp thoại Add IP Filter, đánh các thiết lập cho bộ lọc, sau đó kích OK. 7. Trong Filter action, chọn Filter action thích hợp và kích OK. Sau kh một bộ lọc được tạo, bạn có thể chỉnh sửa nó bất cứ thời điểm nào bằng cách chọn bộ lọc từ danh sách và kích Edit.
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Định tuyến và lọc lưu lượng mạng Phần 2: Windows Firewall Windows Firewall Tường lửa (Firewall) trong Windows là một bộ lọc và thanh tra trạng thái gói dữ liệu (Stateful firewall) cho phép hoặc khóa chặn lưu lượng mạng theo cấu hình. Bộ lọc dữ liệu bảo vệ máy tính bằng cách sử dụng danh sách điều
- Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com khiển sự truy cập (ACL - Access Control List), danh sách này sẽ chỉ định gói dữ liệu nào được phép đi qua tường lửa dựa trên địa chỉ IP và giao thức (đặc biệt là số cổng). Stateful firewall kiểm tra trạng thái của các kết nối tích cực và sử dụng các thông tin này để xác định gói dữ liệu nào được phép đi qua tường lửa. Về cơ bản, nếu một người dùng bắt đầu truyền thông với một máy tính nằm bên ngoài tường lửa, tường lửa sẽ nhớ cuộc đàm thoại và cho phép các gói dữ liệu thích hợp được gửi trở lại. Nếu một máy tính bên ngoài cố gắng truyền thông với một máy tính được bảo vệ bằng một stateful firewall, các gói dữ liệu này sẽ bị chặn lại một cách tự động trừ khi sự truy cập được cho phép bởi ACL. Lưu ý: Windows Firewall được bật mặc định. Bất cứ chương trình nào hoặc dịch vụ nào cần truyền thông trên một mạng phải được mở trong tường lửa, gồm có chia sẻ file, ping máy chủ, cung cấp các dịch vụ cơ bản chẳng hạn như DSN và DHCP. So với Windows Firewall có trong Windows XP SP2, Windows Firewall được sử dụng trong Windows Server 2008 có nhiều cải thiện hơn, những cải thiện này gồm có: Windows Firewall hỗ trợ lọc kết nối IPv6 • Bằng cách sử dụng phương pháp lọc gói dữ liệu gửi đi, bạn có thể bảo • vệ máy tính mình chống lại spyware và virus muốn liên lạc với máy tính từ bên ngoài. Với bộ lọc gói nâng cao, các rule cũng có thể được chỉ định cho các • địa chỉ IP nguồn và đích và dải cổng. Các rule có thể được cấu hình cho các dịch vụ bởi tên dịch vụ được • chọn từ danh sách, không cần chỉ định tên file và đường dẫn đầy đủ. IPSec được tích hợp hoàn toàn với Windows Firewall, cho phép các • kết nối được phép hoặc từ chối dựa trên các chứng chỉ bảo mật, thẩm định Kerberos và,… Mã hóa cũng được yêu cầu cho các kiểu kết nối. Một giao diện quản lý mới mang tên Windows Firewall with • Advanced Security cung cấp sự truy cập đến nhiều tùy chọn nâng cao và cho phép quản trị từ xa. Bạn có thể sử dụng profile tường lửa riêng cho những thời điểm khác • nhau, chẳng hạn như các máy tính được gia nhập vào miền, được kết nối đến một mạng riêng hoặc mạng công. Cấu hình cơ bản
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Định tuyến và lọc lưu lượng mạng - Phần 1
18 p | 131 | 46
-
Định tuyến và lọc lưu lượng mạng Phần 2: Windows Firewall
10 p | 143 | 37
-
Định tuyến và lọc lưu lượng mạng Phần 3: Network Address Translation
10 p | 125 | 27
-
Định tuyến và lọc lưu lượng mạng - Phần 2: Windows Firewall Windows Firewall
10 p | 117 | 16
-
Định tuyến và lọc lưu lượng mạng - Part 1
11 p | 91 | 9
-
Định tuyến và lọc lưu lượng mạng - Part 3
9 p | 79 | 5
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn