Tìm hiểu về UAG DirectAccess : khoa học chuyển đổi IPv6 và NRPT

Quản Trị Mạng – Trong phần này chúng tôi sẽ giới thiệu cho Anh chị 1 số công nghệ chuyển đổi IPv6 được sử dụng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6 với thể luân chuyển được trong mạng IPv4

Quản Trị Mạng – Trong phần này chúng tôi sẽ giới thiệu cho Cả nhà một số khoa học chuyển đổi IPv6 được dùng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6 sở hữu thể luân chuyển được trong mạng IPv4.

Chúng ta hiện đang sử dụng các mạng IPv4 và kiên cố 1 điều là những mạng này sẽ vẫn dùng trong một thời gian dài nữa. Dù rằng hiện đã mang 1 số mạng bước đầu chuyển sang tiêu dùng IPv6 nhưng việc triển khai, nâng cấp các giao thức này diễn ra rất chậm và đôi khi không được chuyển đổi một cách thức hoàn chỉnh. Thêm vào đó, sở hữu rất ít máy tính với thể truy hỏi cập Internet IPv6, chính do đó sở hữu thể nhắc thời kỳ chuyển đổi sang IPv6 sẽ còn rất dài.

Các công nghệ chuyển đổi sang IPv6

Do máy khách DirectAccess tiêu dùng IPv6 để kết nối đến máy chủ DirectAccess và có thể đến máy chủ nằm trong mạng đơn vị, nên cấp thiết cách để cho phép dữ liệu IPv6 này đi lại trong mạng IPv4. DirectAccess khắc phục vấn đề này bằng bí quyết dùng một số kỹ thuật chuyển đổi IPv6 khác nhau, giúp dữ liệu IPv6 được đóng gói trong các IPv4 header và vì vậy có thể di chuyển trong các mạng “IPv4-only” hiện nay. Các khoa học được sử dụng ở đây là:

• Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
  ISATAP được tiêu dùng trên các mạng nội bộ để các host truyền thông có nhau bằng IPv6. Bí quyết thực hành là dùng một adapter ISATAP tunnel với gán địa chỉ IPv6 và sau đấy đóng gói dữ liệu truyền thông trong ISATAP này bên trong IPv4 header và gửi đi trong cơ sở cơ sở vật chất mạng nội bộ. Lúc các dữ liệu này đến được máy chủ đích của nó, IPv4 header sẽ được dỡ gỡ ra và lộ diện các IPv6 header lẫn tải trọng. ISATAP cho phép bạn có thể sử dụng hồ hết các ưu việt của IPv6 mà ko đề nghị nâng cấp các thiết bị mạng cũng như cơ sở hạ tầng.
• 6to4 Protocol
  Giao thức 6to4 được sử dụng bởi máy khách DirectAccess lúc máy khách này được gán public IP. Cũng như ISATAP, 1 adapter 6to4 tunnel sẽ tự động được cấu hình trên máy khách DirectAccess với liên hệ IPv6. Dữ liệu IPv6 của máy khách DirectAccess sẽ được gửi ra trong khoảng adapter này và sau đấy được đóng gói trong IPv4 header để đi lại trong mạng IPv4-only tới máy chủ DirectAccess. UAG DirectAccess Wizard sẽ tự động cấu hình máy chủ UAG DirectAccess như 1 6to4 router cho doanh nghiệp do vậy mà bạn không cần phải biết bất cứ thứ gì về 6to4. 6To4 buộc phải đầy đủ trang bị được đặt giữa máy khách và máy chủ DirectAccess cho phép giao thức IPv4.
• Teredo Protocol
  Giao thức Teredo là một khoa học chuyển đổi IPv6 khác mà máy khách DirectAccess sử dụng để kết nối sở hữu máy chủ UAG DirectAccess qua mạng IPv4 Internet. Teredo được sử dụng khi máy khách DirectAccess được gán địa chỉ IP riêng và mang truy cập outbound tới cổng UDP 3544 trên máy chủ UAG DirectAccess. Sở hữu Teredo, dữ liệu IPv6 sẽ được gửi duyệt adapter Teredo (tự động được cấu hình trên máy khách DirectAccess) và sau đấy được đóng gói bên trong một IPv6 header, sau đó tiếp diễn được đóng gói trong UDP header. 2 Địa chỉ public IP phải được gán cho giao diện bên ngoài của máy chủ UAG DirectAccess; Chúng được tiêu dùng để xác định kiểu trang bị NAT mà máy khách DirectAccess nằm phía sau. Thêm vào ấy, tất cả đồ vật cần cho phép ping để máy khách Teredo sở hữu thể kết nối đến chúng.

>>> Xem thêm: dell r540

• IP-HTTPS Protocol
  IP-HTTPS là 1 giao thức hoàn toàn mới được tăng trưởng bởi Microsoft, giao thức này cho phép những máy khách DirectAccess có thể kết nối mang máy chủ UAG DirectAccess chỉ lúc cổng outbound TCP 443 được cho phép truyền thông với máy khách. Phương pháp này được tiêu dùng trong trường hợp các tường lửa được thiết lập ở mức rất giảm thiểu hoặc khi đơn vị mà máy khách DirectAccess chỉ cho phép truy cập outbound duyệt đồ vật Web proxy. Mang IP-HTTPS, máy khách DirectAccess sẽ thiết lập 1 adapter IP-HTTPS tunnel và gửi dữ liệu của nó qua đó. Sau đó dữ liệu này sẽ được đóng gói bên trong IPv4 header, tiếp đó được đóng gói trong HTTP header và mã hóa bằng SSL (TLS). Như những gì với thể hình dong, ví như những overhead trong mỗi giao thức càng cao thì sự ảnh hưởng đến hiệu suất càng lớn.

Chính vì điều này mà nên tránh cấu hình IP-HTTPS nếu mang thể. Máy khách DirectAccess, khi được gán liên hệ IP riêng (private IP) sẽ cố dùng giao thức Teredo, đây là giao thức cho hiệu suất tương đối tốt. Chỉ khi Teredo chẳng thể dùng, máy khách DirectAccess sẽ chuyển sang dùng sang giao thức IP-HTTPS.

Thoạt nhìn chúng ta có thể cho rằng các khoa học chuyển đổi IPv6 rất khó hiểu và khó nhớ nhưng UAG DirectAccess Wizard sẽ làm cho phần đông các công tác cần khiến cho bạn. Nó sẽ cấu hình máy chủ UAG DirectAccess khiến cho 6to4 router, Teredo router và IP-HTTPS gateway mà bạn ko cần biết phổ thông về các giao thức khiến cho DirectAccess làm việc. Số đông các công nghệ này đều hoạt động ở phía dưới và cho phép kết nối xuyên suốt đối với các máy khách DirectAccess.

Trong những công ty, sự cung cấp các kết nối máy khách DirectAccess hơi khác nhau. Sự cung ứng này với thể đổi thay phụ thuộc vào việc vô hiệu hóa split tunneling.

Mặc định, máy khách DirectAccess sử dụng split tunneling để cho phép khách hàng truy cập Internet trực tiếp mà không yêu cầu những kết nối dùng gateway mạng nội bộ. Chúng ta sở hữu thể sử dụng DirectAccess “Force Tunneling”, có thể vô hiệu hóa tính năng split tunneling cho các kết nối máy khách DirectAccess và buộc chúng phải tiêu dùng cổng Internet trên mạng đơn vị để kết nối Internet. Nhược điểm của tùy chọn Force Tunneling này là máy khách DirectAccess phải dùng IP-HTTPS, điều đó dẫn tới trạng thái kém về mặt hiệu suất. Force Tunneling và split tunneling sẽ được bàn thảo một cách thức chi tiết hơn trong phần tiếp dưới đây.

>>> Xem thêm: giá dell r340

Name Resolution Policy Table (NRPT)

Name Resolution Policy Table (NRPT) được dùng bởi máy khách DirectAccess để nó xác định nên sử dụng máy chủ DNS nào, vấn đề này hoàn toàn phụ thuộc vào tên miền hoặc FQDN của đích mà nó cố gắng kết nối đến. Có sự viện trợ của NRPT, máy khách DirectAccess sẽ gửi các truy DNS tới máy chủ UAG DirectAccess để phân giải tên lúc tên miền này nằm bên trong mạng nội bộ, và gửi các tróc nã DNS đối có tên miền nằm bên ngoài doanh nghiệp đến địa chỉ máy chủ DNS được cấu hình trên NIC của máy khách DirectAccess.

Cho tỉ dụ, ví thử tổ chức của bạn sở hữu rộng rãi miền con nằm trong miền gốc contoso.com. Các miền này với thể nằm trong cùng forest hay các forest khác nhau; về mặt phân giải tên miền thì điều này không phải mang vấn đề. Lúc cấu hình NRPT, bạn thiết lập nó với 1 entry tuyên bố đa số các đề nghị về miền có dạng *.contoso.com sẽ được gửi đến địa chỉ IP của máy chủ UAG DirectAccess. Lý do những buộc phải phân giải tên miền được gửi tới địa chỉ IP của máy chủ UAG DirectAccess là UAG lấy địa chỉ của máy chủ DNS mạng nội bộ bằng cách cài đặt DNS proxy của chính nó. DNS proxy trên máy chủ UAG sẽ tiêu dùng những máy chủ DNS được cấu hình trên giao diện ngoài để phân giải tên miền được đề xuất bởi máy khách DirectAccess.

Vậy điều gì sẽ xảy ra đối mang các tên miền ko với trong NRPT? Trong trường hợp này, máy khách DirectAccess sẽ gửi những buộc phải truy hỏi tên miền tới địa chỉ máy chủ DNS được cấu hình trên NIC của nó. Khi máy khách DirectAccess kết nối mang mạng, ko quan tâm tới việc nằm phía sau trang bị NAT hay được gán public IP, nó sẽ nhận trong khoảng DHCP 1 địa chỉ máy chủ DNS. Đây chính là liên hệ mà máy khách DirectAccess sẽ dùng để phân định tất cả những tên miền không sở hữu trong đơn vị.

Kiểu định tuyến DNS hay chuyển tiếp DNS có điều kiện đưa tới cấu hình máy khách DirectAccess mặc định mang kích hoạt split tunneling. Lý do chúng ta chọn split tunneling khiến cho cấu hình mặc định là vì nó cải thiện đáng nói hiệu suất cho máy khách DirectAccess và các host trong mạng nội bộ lúc chúng cần kết nối đến tài nguyên Internet. Ví như split tunneling bị vô hiệu hóa (“Force Tunneling” trong bí quyết nói của DirectAccess) thì rất nhiều lưu lượng sẽ chuyển rời phê chuẩn các đường hầm IPsec; gồm có cả những lưu lượng cho mạng nội bộ lẫn lưu lượng Internet.

một số người có thể lo ngại về split tunneling vì mang ai ấy cho rằng split tunneling không thấp. Quan niệm này sở hữu thể đúng có các máy khách VPN trong những năm 90, còn những hệ quản lý Windows vừa qua không cho phép kẻ tiến công sở hữu thể định tuyến phê chuẩn máy khách VPN để kết nói tới mạng doanh nghiệp. Tình huống thậm chí còn an toàn hơn có DirectAccess, vì nếu một kẻ tấn công nào ấy mua ra cách thức định tuyến những kết nối từ Internet phê duyệt máy khách DirectAccess thì các kết nối sẽ bị thất bại vì IPsec buộc phải việc bảo mật trong tuyến đường hầm phải dựa trên địa chỉ IP của máy khách DirectAccess, thêm vào ấy là chứng chỉ máy tính, tài khoản máy tính, trương mục khách hàng,.. Thẻ sáng tạo cũng được buộc phải để thiết lập kết nối. Những vấn đề bảo mật còn đó mang split tunneling không vận dụng đối có máy khách DirectAcces nên không mang lý do gì phải lo âu về vấn đề này trong kịch bản DirectAccess.

NRPT cũng được dùng để ngăn chặn máy khách DirectAccess phân giải 1 số tên miền cụ thể để truy hỏi DNS về các tên miền đấy ko bao giờ được gửi đến máy chủ DNS trong mạng nội bộ (một trường hợp của UAG DirectAccess là DNS proxy trên máy chủ UAG DirectAccess). 1 Ví dụ quan yếu trong tình huống này là tên miền của Network Location Server (NLS). Máy khách DirectAccess tiêu dùng NLS để xác định xem nó mang nằm trên mạng doanh nghiệp hay ko. Nếu máy khách DirectAccess sở hữu thể kết nối đến NLS thì nó biết rằng nó đang nằm trong mạng công ty và tắt NRPT. Nếu như ko, NRPT được kích hoạt.

nếu như NRPT đã được cấu hình để máy khách DirectAccess mang thể phân giải tên miền của NLS thì máy khách DirectAccess trên mạng Internet sẽ nghĩ rằng nó đang nằm trong mạng đơn vị và sẽ tắt NRPT. Ví như máy khách DirectAccess nằm trong mạng Internet và đã tắt NRPT, nó sẽ ko gửi các tróc nã DNS đối với tên miền của mạng tổ chức đến DNS proxy của máy chủ UAG DirectAccess và cho nên sẽ chẳng thể phân giải các tên miền của mạng nội bộ. Để giải quyết vấn đề này, NRPT cần được cấu hình mang một rule ngoại lệ để tránh máy khách DirectAccess trên mạng Internet phân giải tên miền của NLS.

Kết luận

Trong phần này, chúng tôi đã giới thiệu cho Anh chị em được những khoa học chuyển đổi giao thức IPv6 được tiêu dùng bởi máy khách và máy chủ DirectAccess nhằm cho phép dữ liệu IPv6 được truyền chuyên chở trên mạng Internet hoặc mạng nội bộ. Chúng tôi sẽ giới thiệu về chức năng và những trị giá của Name Resolution Policy Table, được DirectAccess tiêu dùng nhằm xác định máy chủ DNS mà nó sẽ gửi đề nghị tróc nã tên miền cụ thể. Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho Cả nhà về các tính năng của NAT64/DNS64 sở hữu trong máy chủ UAG DirectAccess.

>>> Xem thêm: giá dell t640