Diễn Đàn SEO - vnseo.edu.vn - Quản Trị Mạng – Trong phần này chúng tôi sẽ giới thiệu cho Anh chị một số khoa học chuyển đổi IPv6 được dùng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6 sở hữu thể luân chuyển được trong mạng IPv4 <>Quản Trị Mạng – <>Trong phần này chúng tôi sẽ giới thiệu cho Các bạn một số kỹ thuật chuyển đổi IPv6 được tiêu dùng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6 với thể luân chuyển được trong mạng IPv4. Chúng ta hiện đang dùng những mạng IPv4 và chắc chắn một điều là những mạng này sẽ vẫn dùng trong 1 thời kì dài nữa. Mặc dầu hiện đã với 1 số mạng bước đầu chuyển sang tiêu dùng IPv6 nhưng việc khai triển, nâng cấp những giao thức này diễn ra rất chậm và đôi bất chợt được chuyển đổi 1 cách thức hoàn chỉnh. Thêm vào ấy, sở hữu rất ít máy tính sở hữu thể truy cập Internet IPv6, chính bởi thế có thể nhắc quá trình chuyển đổi sang IPv6 sẽ còn rất dài. <>Các kỹ thuật chuyển đổi sang IPv6 Do máy khách DirectAccess sử dụng IPv6 để kết nối tới máy chủ DirectAccess và sở hữu thể tới máy chủ nằm trong mạng công ty, nên cần thiết cách để cho phép dữ liệu IPv6 này đi lại trong mạng IPv4. DirectAccess khắc phục vấn đề này bằng cách dùng một số kỹ thuật chuyển đổi IPv6 khác nhau, giúp dữ liệu IPv6 được đóng gói trong các IPv4 header và cho nên có thể vận động trong các mạng “IPv4-only” hiện nay. Các khoa học được sử dụng ở đây là: <>Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) ISATAP được tiêu dùng trên những mạng nội bộ để các host truyền thông có nhau bằng IPv6. Cách thực hiện là tiêu dùng 1 adapter ISATAP tunnel sở hữu gán liên hệ IPv6 và sau đấy đóng gói dữ liệu truyền thông trong ISATAP này bên trong IPv4 header và gửi đi trong cơ sở vật chất hạ tầng mạng nội bộ. Lúc các dữ liệu này tới được máy chủ đích của nó, IPv4 header sẽ được toá gỡ ra và lộ diện các IPv6 header lẫn tải trọng. ISATAP cho phép bạn mang thể dùng hầu hết các ưu việt của IPv6 mà không đề nghị nâng cấp các đồ vật mạng cũng như cơ sở hạ tầng. <>6to4 Protocol Giao thức 6to4 được dùng bởi máy khách DirectAccess khi máy khách này được gán public IP. Cũng như ISATAP, 1 adapter 6to4 tunnel sẽ tự động được cấu hình trên máy khách DirectAccess mang địa chỉ IPv6. Dữ liệu IPv6 của máy khách DirectAccess sẽ được gửi ra trong khoảng adapter này và sau đó được đóng gói trong IPv4 header để di chuyển trong mạng IPv4-only đến máy chủ DirectAccess. UAG DirectAccess Wizard sẽ tự động cấu hình máy chủ UAG DirectAccess như 1 6to4 router cho tổ chức vì vậy mà bạn ko cần phải biết bất cứ thứ gì về 6to4. 6To4 đề xuất phần nhiều thiết bị được đặt giữa máy khách và máy chủ DirectAccess cho phép giao thức IPv4. <>Teredo Protocol Giao thức Teredo là 1 công nghệ chuyển đổi IPv6 khác mà máy khách DirectAccess dùng để kết nối có máy chủ UAG DirectAccess qua mạng IPv4 Internet. Teredo được sử dụng khi máy khách DirectAccess được gán liên hệ IP riêng và sở hữu truy tìm cập outbound tới cổng UDP 3544 trên máy chủ UAG DirectAccess. Mang Teredo, dữ liệu IPv6 sẽ được gửi chuẩn y adapter Teredo (tự động được cấu hình trên máy khách DirectAccess) và sau đấy được đóng gói bên trong một IPv6 header, sau ấy tiếp tục được đóng gói trong UDP header. 2 Liên hệ public IP phải được gán cho giao diện bên ngoài của máy chủ UAG DirectAccess; Chúng được tiêu dùng để xác định kiểu vật dụng NAT mà máy khách DirectAccess nằm phía sau. Thêm vào đấy, hầu hết trang bị cần cho phép ping để máy khách Teredo mang thể kết nối đến chúng. >>> Xem thêm: dell r540 <>IP-HTTPS Protocol IP-HTTPS là một giao thức hoàn toàn mới được vững mạnh bởi Microsoft, giao thức này cho phép những máy khách DirectAccess sở hữu thể kết nối có máy chủ UAG DirectAccess chỉ khi cổng outbound TCP 443 được cho phép truyền thông sở hữu máy khách. Phương pháp này được tiêu dùng trong trường hợp các tường lửa được thiết lập ở mức rất hạn chế hoặc khi đơn vị mà máy khách DirectAccess chỉ cho phép truy cập outbound thông qua đồ vật Web proxy. Sở hữu IP-HTTPS, máy khách DirectAccess sẽ thiết lập 1 adapter IP-HTTPS tunnel và gửi dữ liệu của nó qua ấy. Sau đó dữ liệu này sẽ được đóng gói bên trong IPv4 header, tiếp đấy được đóng gói trong HTTP header và mã hóa bằng SSL (TLS). Như những gì mang thể tưởng tượng, ví như các overhead trong mỗi giao thức càng cao thì sự tác động đến hiệu suất càng to. Chính vì điều này mà nên giảm thiểu cấu hình IP-HTTPS giả dụ có thể. Máy khách DirectAccess, lúc được gán địa chỉ IP riêng (private IP) sẽ cố sử dụng giao thức Teredo, đây là giao thức cho hiệu suất tương đối tốt. Chỉ khi Teredo chẳng thể tiêu dùng, máy khách DirectAccess sẽ chuyển sang sử dụng sang giao thức IP-HTTPS. Thoạt nhìn chúng ta có thể cho rằng những kỹ thuật chuyển đổi IPv6 rất khó hiểu và khó nhớ nhưng UAG DirectAccess Wizard sẽ khiến cho toàn bộ các công việc cần làm bạn. Nó sẽ cấu hình máy chủ UAG DirectAccess khiến cho 6to4 router, Teredo router và IP-HTTPS gateway mà bạn ko cần biết nhiều về các giao thức khiến DirectAccess làm cho việc. Tất cả các kỹ thuật này đều hoạt động ở phía dưới và cho phép kết nối xuyên suốt đối có các máy khách DirectAccess. Trong các công ty, sự sản xuất các kết nối máy khách DirectAccess hơi khác nhau. Sự cung cấp này có thể đổi thay phụ thuộc vào việc vô hiệu hóa split tunneling. Mặc định, máy khách DirectAccess dùng split tunneling để cho phép người dùng tróc nã cập Internet trực tiếp mà ko đề xuất các kết nối tiêu dùng gateway mạng nội bộ. Chúng ta với thể dùng DirectAccess “Force Tunneling”, mang thể vô hiệu hóa tính năng split tunneling cho các kết nối máy khách DirectAccess và buộc chúng phải sử dụng cổng Internet trên mạng doanh nghiệp để kết nối Internet. Nhược điểm của tùy chọn Force Tunneling này là máy khách DirectAccess phải tiêu dùng IP-HTTPS, điều đấy dẫn tới tình trạng kém về mặt hiệu suất. Force Tunneling và split tunneling sẽ được bàn thảo 1 bí quyết chi tiết hơn trong phần tiếp dưới đây. >>> Xem thêm: giá dell r340 <>Name Resolution Policy Table (NRPT) Name Resolution Policy Table (NRPT) được sử dụng bởi máy khách DirectAccess để nó xác định nên sử dụng máy chủ DNS nào, vấn đề này hoàn toàn phụ thuộc vào tên miền hoặc FQDN của đích mà nó phấn đấu kết nối tới. Mang sự trợ giúp của NRPT, máy khách DirectAccess sẽ gửi những tróc nã DNS đến máy chủ UAG DirectAccess để phân giải tên lúc tên miền này nằm bên trong mạng nội bộ, và gửi các truy tìm DNS đối sở hữu tên miền nằm bên ngoài đơn vị tới liên hệ máy chủ DNS được cấu hình trên NIC của máy khách DirectAccess. Cho tỉ dụ, giả sử công ty của bạn sở hữu phổ thông miền con nằm trong miền gốc contoso.com. Các miền này có thể nằm trong cộng forest hay những forest khác nhau; về mặt phân giải tên miền thì điều này chẳng hề có vấn đề. Lúc cấu hình NRPT, bạn thiết lập nó với một entry tuyên bố phần đông các yêu cầu về miền với dạng *.contoso.com sẽ được gửi tới địa chỉ IP của máy chủ UAG DirectAccess. Lý do những yêu cầu phân giải tên miền được gửi tới liên hệ IP của máy chủ UAG DirectAccess là UAG lấy địa chỉ của máy chủ DNS mạng nội bộ bằng cách thức cài đặt DNS proxy của chính nó. DNS proxy trên máy chủ UAG sẽ dùng những máy chủ DNS được cấu hình trên giao diện ngoài để phân giải tên miền được yêu cầu bởi máy khách DirectAccess. Vậy điều gì sẽ xảy ra đối có các tên miền ko mang trong NRPT? Trong trường hợp này, máy khách DirectAccess sẽ gửi những đề nghị truy tìm tên miền đến liên hệ máy chủ DNS được cấu hình trên NIC của nó. Khi máy khách DirectAccess kết nối sở hữu mạng, ko để ý tới việc nằm phía sau vật dụng NAT hay được gán public IP, nó sẽ nhận từ DHCP một liên hệ máy chủ DNS. Đây chính là địa chỉ mà máy khách DirectAccess sẽ dùng để phân định phần lớn những tên miền không sở hữu trong đơn vị. Kiểu định tuyến DNS hay chuyển tiếp DNS có điều kiện đưa đến cấu hình máy khách DirectAccess mặc định sở hữu kích hoạt split tunneling. Lý do chúng ta chọn split tunneling làm cho cấu hình mặc định là vì nó cải thiện đáng kể hiệu suất cho máy khách DirectAccess và các host trong mạng nội bộ khi chúng cần kết nối đến tài nguyên Internet. Giả dụ split tunneling bị vô hiệu hóa (“Force Tunneling” trong phương pháp kể của DirectAccess) thì số đông lưu lượng sẽ chuyển rời thông qua những trục đường hầm IPsec; gồm sở hữu cả những lưu lượng cho mạng nội bộ lẫn lưu lượng Internet. 1 số người với thể lo ngại về split tunneling vì sở hữu ai ấy cho rằng split tunneling ko rẻ. Quan niệm này với thể đúng có các máy khách VPN trong các năm 90, còn các hệ quản lý Windows mới đây ko cho phép kẻ tiến công sở hữu thể định tuyến ưng chuẩn máy khách VPN để kết kể đến mạng đơn vị. Tình huống thậm chí còn an toàn hơn mang DirectAccess, vì nếu 1 kẻ tiến công nào ấy mua ra bí quyết định tuyến những kết nối trong khoảng Internet duyệt máy khách DirectAccess thì những kết nối sẽ bị thất bại vì IPsec yêu cầu việc bảo mật trong đường hầm phải dựa trên liên hệ IP của máy khách DirectAccess, thêm vào ấy là chứng chỉ máy tính, trương mục máy tính, trương mục khách hàng,.. Thẻ thông minh cũng được đề nghị để thiết lập kết nối. Các vấn đề bảo mật còn đó có split tunneling không vận dụng đối mang máy khách DirectAcces nên không sở hữu lý do gì phải lo lắng về vấn đề này trong kịch bản DirectAccess. NRPT cũng được dùng để ngăn chặn máy khách DirectAccess phân giải 1 số tên miền cụ thể để truy hỏi DNS về các tên miền ấy ko bao giờ được gửi tới máy chủ DNS trong mạng nội bộ (một trường hợp của UAG DirectAccess là DNS proxy trên máy chủ UAG DirectAccess). Một tỉ dụ quan trọng trong cảnh huống này là tên miền của Network Location Server (NLS). Máy khách DirectAccess sử dụng NLS để xác định xem nó có nằm trên mạng công ty hay ko. Nếu như máy khách DirectAccess có thể kết nối tới NLS thì nó biết rằng nó đang nằm trong mạng doanh nghiệp và tắt NRPT. Ví như ko, NRPT được kích hoạt. ví như NRPT đã được cấu hình để máy khách DirectAccess sở hữu thể phân giải tên miền của NLS thì máy khách DirectAccess trên mạng Internet sẽ nghĩ rằng nó đang nằm trong mạng công ty và sẽ tắt NRPT. Nếu như máy khách DirectAccess nằm trong mạng Internet và đã tắt NRPT, nó sẽ không gửi những truy vấn DNS đối với tên miền của mạng doanh nghiệp đến DNS proxy của máy chủ UAG DirectAccess và thành ra sẽ không thể phân giải những tên miền của mạng nội bộ. Để giải quyết vấn đề này, NRPT cần được cấu hình mang 1 rule ngoại lệ để tránh máy khách DirectAccess trên mạng Internet phân giải tên miền của NLS. <>Kết luận Trong phần này, chúng tôi đã giới thiệu cho Các bạn được những kỹ thuật chuyển đổi giao thức IPv6 được tiêu dùng bởi máy khách và máy chủ DirectAccess nhằm cho phép dữ liệu IPv6 được truyền vận chuyển trên mạng Internet hoặc mạng nội bộ. Chúng tôi sẽ giới thiệu về chức năng và những trị giá của Name Resolution Policy Table, được DirectAccess sử dụng nhằm xác định máy chủ DNS mà nó sẽ gửi bắt buộc tróc nã tên miền cụ thể. Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho Anh chị về các tính năng của NAT64/DNS64 sở hữu trong máy chủ UAG DirectAccess. >>> Xem thêm: giá dell t640
