<>Quản Trị Mạng> – <>Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chuyển đổi IPv6 được sử dụng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6 có thể luân chuyển được trong mạng IPv4.> Chúng ta hiện đang sử dụng các mạng IPv4 và chắc chắn một điều là các mạng này sẽ vẫn sử dụng trong một thời gian dài nữa. Mặc dù hiện đã có một số mạng bước đầu chuyển sang sử dụng IPv6 nhưng việc triển khai, nâng cấp các giao thức này diễn ra rất chậm và đôi khi không được chuyển đổi một cách hoàn chỉnh. Thêm vào đó, có rất ít máy tính có thể truy cập Internet IPv6, chính vì vậy có thể nói quá trình chuyển đổi sang IPv6 sẽ còn rất dài. <>Các kỹ thuật chuyển đổi sang IPv6>Do máy khách DirectAccess sử dụng IPv6 để kết nối đến máy chủ DirectAccess và có thể đến máy chủ nằm trong mạng công ty, nên cần phải có phương pháp để cho phép dữ liệu IPv6 này di chuyển trong mạng IPv4. DirectAccess giải quyết vấn đề này bằng cách sử dụng một số kỹ thuật chuyển đổi IPv6 khác nhau, giúp dữ liệu IPv6 được đóng gói trong các IPv4 header và vì vậy có thể di chuyển trong các mạng “IPv4-only” ngày nay. Các kỹ thuật được sử dụng ở đây là:
Chính vì điều này mà nên tránh cấu hình IP-HTTPS nếu có thể. Máy khách DirectAccess, khi được gán địa chỉ IP riêng (private IP) sẽ cố sử dụng giao thức Teredo, đây là giao thức cho hiệu suất khá tốt. Chỉ khi Teredo không thể sử dụng, máy khách DirectAccess sẽ chuyển sang sử dụng sang giao thức IP-HTTPS. Thoạt nhìn chúng ta có thể cho rằng các công nghệ chuyển đổi IPv6 rất khó hiểu và khó nhớ nhưng UAG DirectAccess Wizard sẽ làm tất cả các công việc cần làm cho bạn. Nó sẽ cấu hình máy chủ UAG DirectAccess làm 6to4 router, Teredo router và IP-HTTPS gateway mà bạn không cần biết nhiều về các giao thức làm cho DirectAccess làm việc. Tất cả các kỹ thuật này đều hoạt động ở phía dưới và cho phép kết nối xuyên suốt đối với các máy khách DirectAccess. Trong các tổ chức, sự phân phối các kết nối máy khách DirectAccess khá khác nhau. Sự phân phối này có thể thay đổi phụ thuộc vào việc vô hiệu hóa split tunneling.
Mặc định, máy khách DirectAccess sử dụng split tunneling để cho phép người dùng truy cập Internet trực tiếp mà không bắt buộc các kết nối sử dụng gateway mạng nội bộ. Chúng ta có thể sử dụng DirectAccess “Force Tunneling”, có thể vô hiệu hóa tính năng split tunneling cho các kết nối máy khách DirectAccess và buộc chúng phải sử dụng cổng Internet trên mạng công ty để kết nối Internet. Nhược điểm của tùy chọn Force Tunneling này là máy khách DirectAccess phải sử dụng IP-HTTPS, điều đó dẫn đến tình trạng kém về mặt hiệu suất. Force Tunneling và split tunneling sẽ được thảo luận một cách chi tiết hơn trong phần tiếp dưới đây. <>Name Resolution Policy Table (NRPT)>Name Resolution Policy Table (NRPT) được sử dụng bởi máy khách DirectAccess để nó xác định nên sử dụng máy chủ DNS nào, vấn đề này hoàn toàn phụ thuộc vào tên miền hoặc FQDN của đích mà nó cố gắng kết nối đến. Với sự trợ giúp của NRPT, máy khách DirectAccess sẽ gửi các truy vấn DNS đến máy chủ UAG DirectAccess để phân giải tên khi tên miền này nằm bên trong mạng nội bộ, và gửi các truy vấn DNS đối với tên miền nằm bên ngoài tổ chức đến địa chỉ máy chủ DNS được cấu hình trên NIC của máy khách DirectAccess. Cho ví dụ, giả sử tổ chức của bạn có nhiều miền con nằm trong miền gốc contoso.com. Các miền này có thể nằm trong cùng forest hay các forest khác nhau; về mặt phân giải tên miền thì điều này không hề có vấn đề. Khi cấu hình NRPT, bạn thiết lập nó với một entry tuyên bố tất cả các yêu cầu về miền có dạng *.contoso.com sẽ được gửi đến địa chỉ IP của máy chủ UAG DirectAccess. Lý do các yêu cầu phân giải tên miền được gửi đến địa chỉ IP của máy chủ UAG DirectAccess là UAG lấy địa chỉ của máy chủ DNS mạng nội bộ bằng cách cài đặt DNS proxy của chính nó. DNS proxy trên máy chủ UAG sẽ sử dụng các máy chủ DNS được cấu hình trên giao diện ngoài để phân giải tên miền được yêu cầu bởi máy khách DirectAccess. Vậy điều gì sẽ xảy ra đối với các tên miền không có trong NRPT? Trong trường hợp này, máy khách DirectAccess sẽ gửi các yêu cầu truy vấn tên miền đến địa chỉ máy chủ DNS được cấu hình trên NIC của nó. Khi máy khách DirectAccess kết nối với mạng, không quan tâm đến việc nằm phía sau thiết bị NAT hay được gán public IP, nó sẽ nhận từ DHCP một địa chỉ máy chủ DNS. Đây chính là địa chỉ mà máy khách DirectAccess sẽ sử dụng để phân định tất cả các tên miền không có trong tổ chức. Kiểu định tuyến DNS hay chuyển tiếp DNS có điều kiện đưa đến cấu hình máy khách DirectAccess mặc định có kích hoạt split tunneling. Lý do chúng ta chọn split tunneling làm cấu hình mặc định là vì nó cải thiện đáng kể hiệu suất cho máy khách DirectAccess và các host trong mạng nội bộ khi chúng cần kết nối đến tài nguyên Internet. Nếu split tunneling bị vô hiệu hóa (“Force Tunneling” trong cách nói của DirectAccess) thì tất cả lưu lượng sẽ chuyển rời thông qua các đường hầm IPsec; gồm có cả các lưu lượng cho mạng nội bộ lẫn lưu lượng Internet. Một số người có thể lo ngại về split tunneling vì có ai đó cho rằng split tunneling không tốt. Quan điểm này có thể đúng với các máy khách VPN trong những năm 90, còn các hệ điều hành Windows gần đây không cho phép kẻ tấn công có thể định tuyến thông qua máy khách VPN để kết nói đến mạng công ty. Tình huống thậm chí còn an toàn hơn với DirectAccess, vì nếu một kẻ tấn công nào đó tìm ra cách định tuyến các kết nối từ Internet thông qua máy khách DirectAccess thì các kết nối sẽ bị thất bại vì IPsec yêu cầu việc bảo mật trong đường hầm phải dựa trên địa chỉ IP của máy khách DirectAccess, thêm vào đó là chứng chỉ máy tính, tài khoản máy tính, tài khoản người dùng,.. thẻ thông minh cũng được yêu cầu để thiết lập kết nối. Các vấn đề bảo mật tồn tại với split tunneling không áp dụng đối với máy khách DirectAccess nên không có lý do gì phải lo lắng về vấn đề này trong kịch bản DirectAccess. NRPT cũng được sử dụng để ngăn chặn máy khách DirectAccess phân giải một số tên miền cụ thể để truy vấn DNS về các tên miền đó không bao giờ được gửi đến máy chủ DNS trong mạng nội bộ (một trường hợp của UAG DirectAccess là DNS proxy trên máy chủ UAG DirectAccess). Một ví dụ quan trọng trong tình huống này là tên miền của Network Location Server (NLS). Máy khách DirectAccess sử dụng NLS để xác định xem nó có nằm trên mạng công ty hay không. Nếu máy khách DirectAccess có thể kết nối đến NLS thì nó biết rằng nó đang nằm trong mạng công ty và tắt NRPT. Nếu không, NRPT được kích hoạt. Nếu NRPT đã được cấu hình để máy khách DirectAccess có thể phân giải tên miền của NLS thì máy khách DirectAccess trên mạng Internet sẽ nghĩ rằng nó đang nằm trong mạng công ty và sẽ tắt NRPT. Nếu máy khách DirectAccess nằm trong mạng Internet và đã tắt NRPT, nó sẽ không gửi các truy vấn DNS đối với tên miền của mạng công ty đến DNS proxy của máy chủ UAG DirectAccess và do đó sẽ không thể phân giải các tên miền của mạng nội bộ. Để giải quyết vấn đề này, NRPT cần được cấu hình với một rule ngoại lệ để tránh máy khách DirectAccess trên mạng Internet phân giải tên miền của NLS. Cho ví dụ, nếu NRPT được cấu hình để gửi tất cả các truy vấn phù hợp với chuỗi *.contoso.com đến DNS proxy trên máy chủ UAG DirectAccess thì nó sẽ có cả truy vấn tên miền nls.contoso.com, đây là tên miền của NLS trên mạng công ty. Tuy nhiên nếu chúng ta tạo một ngoại lệ đối với tên miền <>nls.contoso.com> trong NRPT, dù tên miền này vẫn nằm trong phạm vi *.contoso.com, nhưng truy vấn sẽ không được gửi đến DNS proxy trên máy chủ UAG DirectAccess mà thay vào đó sẽ được gửi đến DNS server được cấu hình trên NIC của máy khách UAG DirectAccess. Do không thể phân giải tên miền này nên máy khách DirectAccess trên mạng Internet sẽ thừa nhận rằng nó nằm ngoài mạng công ty và sẽ kích hoạt NRPT. <>Kết luận>Trong phần này, chúng tôi đã giới thiệu cho các bạn được các kỹ thuật chuyển đổi giao thức IPv6 được sử dụng bởi máy khách và máy chủ DirectAccess nhằm cho phép dữ liệu IPv6 được truyền tải trên mạng Internet hoặc mạng nội bộ. Chúng tôi sẽ giới thiệu về chức năng và những giá trị của Name Resolution Policy Table, được DirectAccess sử dụng nhằm xác định máy chủ DNS mà nó sẽ gửi yêu cầu truy vấn tên miền cụ thể. Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về các tính năng của NAT64/DNS64 có trong máy chủ UAG DirectAccess. |