Mô hình đơn giản về DHCP
Đặt địa chỉ ip cho card mạng lan của router R1:
set interfaces ethernet eth1 address 192.168.3.1/24
Khai báo một mạng là kenhgiaiphap với subnet 192.168.3.0/24 trong dịch vụ dhcp-server:
set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24
Cấu hình dãy địa chỉ sẽ được cấp cho các máy trong kenhgiaiphap:
set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24 start 192.168.3.11 stop 192.168.3.100
Cấu hình địa chỉ DNS cho các máy trong kenhgiaiphap:
set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24 dns-server 8.8.8.8
Cấu hình default gateway cho các máy trong kenhgiaiphap:
set system gateway-address 192.168.3.1
Áp dụng các cấu hình vừa tạo và lưu lại:
commit
save
Ta kiểm tra lại cấu hình vừa tao trong chế độ admin
Sau khi cấu hình DHCP ta phải cấu hình NAT để cho phép các máy trong mạng lan có thể truy cập Internet được:
Tạo nat rule 10 theo kiểu masquerade:
set service nat rule 10 type masquerade
NAT rule 10 dùng để nat cho mạng 192.168.3.0/24:
set service nat rule 10 source address 192.168.3.0/24
Dữ liệu sẽ được nat qua card mạng eth1:
set service nat rule 10 outbound-interface eth1
Áp dụng và lưu cấu hình vừa tạo:
commit
save
Xem lại cấu hình NAT trong chế độ admin
II - Web Caching
Chức năng Web Caching của Vyatta giúp cho ta tiết kiệm được dung lượng ra internet không cần thiết, và tăng tốc truy cập của các máy trong mạng. Chức năng Web Caching của Vyatta đóng vai trò là proxy server, sẽ lưu trữ lại những yêu cầu gửi từ mạng lan ra internet, và sẽ cung cấp lại các thông tin đó khi nó được yêu cầu lại bởi các máy trong mạng nội bộ.
Mô hình:
Để cấu hình chức năng Web Cache cho mạng lan 192.168.3.0/24 ta thực hiện các câu lệnh:
Proxy server lắng nghe tại địa chỉ 192.168.3.1:
set service webproxy listen-address 192.168.3.1
Áp dụng và lưu cấu hình vừa tạo:
commit
save
Kiểm tra cấu hình vừa tạo bằng câu lệnh trong chế độ admin:
Ngoài ra ta có thể quy định tăng hoặc giảm kích cỡ của bộ nhớ đệm dành cho proxy server bằng câu lệnh:
xMB là kích cỡ bộ nhớ đệm dành cho proxy, mặc định giá trị này là 100MB
set service webproxy cache-size
Thay đổi port mặc định của proxy server (mặc định là 3128):
set service webproxy default-port
Không lưu vào bộ nhớ đệm của những tên miền(domain) nhất định bằng lệnh:
set service webproxy domain-noncache
Khi bật chức năng webcache mặc định Vyatta sẽ tự động hoạt động như proxy server đối với mọi luồng dữ liệu đi theo cổng 80. Ta tắt chức năng này đi bằng câu lệnh:
set service webproxy listen-address disable-transparent
Lúc này nếu các máy trạm muốn sử dụng proxy server cần được cấu hình bằng tay proxy server trước.
III - NAT server
Vyatta hỗ trợ các loại NAT bao gồm Source NAT, Destination NAT, và Masquerade NAT.
Các khái niệm trong NAT:
Vùng Inside: là vùng mạng riêng, không được truy cập từ bên ngoài nếu không được NAT, và sử dụng các lớp mạng private.
Vùng Outside: là vùng mạng bên ngoài (internet).
Card Inbound: Là card nhận các gói tin tới trong rule NAT
Card Outbound: là card mạng mà các gói tin sẽ đi ra trong rule NAT
Mô hình Vyatta với chức năng NAT server
Để cấu hình NAT trong Vyatta ta quy định các luật (các rule) được đánh số, mỗi rule quy định cách hoạt động của NAT server .
Các kiểu NAT Vyatta hỗ trợ bao gồm:
A/ Source NAT (SNAT):
Một hoặc nhiều địa chỉ đi từ mạng trong ra bên ngoài sẽ được thay đổi địa chỉ nguồn, có thể là một hoặc nhiều địa chỉ nguồn. Do đó, source NAT có nhiều kiểu hoạt động:
One to One
One to Many
Many to Many
Many to One
B/ Destination NAT (DNAT):
Destination NAT được sử dụng khi ta cần cho phép các máy từ bên ngoài truy cập vào mạng riêng của ta, ví dụ như các dịch vụ Web, Mail, FTP, File Server v.v….
Destination NAT gồm nhiều loại:
One to One
One to Many
C/ Masquerade NAT:
Đây là kiểu NAT thông dụng nhất, khi NAT kiểu MASQUERADE mọi dữ liệu được NAT sẽ sử dụng một địa chỉ internet duy nhất để truy cập mạng giống như Source NAT, nhưng các gói tin đi từ trong mạng lan ra mạng bên ngoài thông qua server NAT sẽ chỉ ràng buộc với card mạng mà các gói tin đó sẽ dùng để đi ra mạng ngoài.
Khi NAT theo kiểu MASQUERADE, việc thay đổi địa chỉ của card mạng giao tiếp phía ngoài sẽ không ảnh hưởng, vì vậy nên sử dụng NAT kiểu MASQUERADE nếu router Vyatta là thiết bị làm gateway ra internet của hệ thống.
Minh họa cấu hình NAT
Destination NAT
ONE TO ONE
Sử dụng DNAT one-to-one khi ta cần cho phép truy cập từ mạng công cộng vào các máy chủ dịch vụ trong mạng riêng, ví dụ như web server, mail server, file server.
Khi cấu hình DNAT:
Cần quy định địa chỉ IP và card mạng sẽ tiếp nhận kết nối tới.
Giao thức.
Cổng nhận kết nối.
Ví dụ mô hình trên, ta sẽ cấu hình cho phép truy cập web server với địa chỉ riêng là 192.168.3.7 từ internet thông qua địa chỉ 192.168.0.17 thông qua port 80.
Các câu lệnh cấu hình như sau:
Quy định loại nat là DESTINATION:
set service nat rule 10 type destination
Kiểu kết nối là tcp:
set service nat rule 10 protocol tcp
Khai báo địa chỉ ip của router, khi các máy bên ngoài truy cập vào địa chỉ này thì mới NAT:
set service nat rule 10 destination address 192.168.0.17
Cổng kết nối là cổng của giao thức http:
set service nat rule 10 destination port http
Card mạng nhận kết nối là eth1:
set service nat rule 10 inbound-interface eth1
Địa chỉ sẽ được nat tới:
set service nat rule 10 inside-address address 192.168.3.7
Tại máy 192.168.3.7(win2k3) cài dịch vụ IIS
Tạo 1 trang web index.htm tại đường dẫn C:\Inetpub\wwwroot\index.htm (nội dung tùy ý)
Truy cập vào router ADSL cấu hình port forwarding như sau:
Truy cập vào trang http://www.canyouseeme.org/ để xem ip mặt ngoài của router ADSL
Tại 1 máy client bất kỳ ở bất kỳ đâu(yêu cầu máy này phải có kết nối internet) mở 1 browser bất kỳ nhập vào ip 123.21.112.241
Hoàn thành Nat destination (nat ngược)
Kiểm tra cấu hình bằng câu lệnh show nat rules:
ONE TO MANY
DNAT one to many sử dụng trong trường hợp ta có nhiều máy chủ có cùng chức năng, ví dụ như web server, ftp server…
Mô hình trên sử dụng 2 web server với địa chỉ lan là 7 và 8 ta sử dụng DNAT với địa chỉ internet là 192.168.0.17.
Các câu lệnh cấu hình ở kiểu NAT này tương tự như DNAT one to one, nhưng khi cấu hình destination address ta sẽ cấu hình DNAT tới dãy địa chỉ hoặc lớp địa chỉ được DNAT, câu lệnh:
set service nat rule 10 inside-address address 192.168.3.7-192.168.3.8
Kết luận:
Kết thúc phần 2 cấu hình các dịch vụ cơ bản cho vyatta,qua phần này ta có thể kết luận rằng vyatta không chỉ đơn thuần là 1 thiết bị định tuyến mà nó còn được tích hợp đầy đủ những dịch vụ cần thiết rất mềm dẻo trong những trường hợp cần tối ưu hóa thiết bị phù hợp cho những doanh nghiệp mới.
Phần 3 sẽ trình bày về các giao thức định tuyến của Vyatta. Chúc các bạn thành công !
Nguồn: kenhgiaiphap.vn
Không có nhận xét nào:
Đăng nhận xét