Header ads

Header ads
» » » Định tuyến và lọc lưu lượng mạng

Học viện đào tạo trực tuyến Thứ Ba, 12 tháng 3, 2013 0 No comments

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về cấu hình router và tường lửa cũng như NAT, đây là những kiến thức được yêu cầu trong bài kiểm tra 70-642 về Windows Server 2008 của Microsoft.
Các thuật ngữ các bạn cần hiểu:
  • Router
  • Metric
  • Hop
  • Static routes
  • Dynamic routes
  • Router Information Protocol (RIP)
  • Split-horizon
  • Open Shortest Path First (OSPF)
  • Firewall
  • Stateful firewall
  • Windows Firewall
  • Windows Firewall with Advanced Security
  • Usage profile
  • Network address translation (NAT)
Những kỹ thuật và khái niệm bạn cần nắm
  • Cấu hình các tuyến tĩnh bằng giao diện Router and Remote Access (RRAS) và bằng lệnh Route.exe.
  • Cấu hình Router Information Protocol (RIP).
  • Cấu hình lọc gói dữ liệu, Windows Firewall và Windows Firewall với bảo mật nâng cao Advanced Security
  • Cấu hình tuyến dial-up
  • Cấu hình NAT (Network Address Translation)
Router là một thiết bị dùng để quản lý luồng dữ liệu giữa các đoạn mạng, hoặc các mạng con. Khi có nhiều LAN hoặc nhiều đoạn mạng được kết nối với nhau, các tuyến được tạo ra để truyền tải dữ liệu từ LAN này hoặc đoạn mạng này sang LAN khác hoặc đoạn mạng khác. Một router sẽ định hướng các gói dữ liệu gửi đến và gửi đi dựa trên các thông tin mà nó nhận biết về trạng thái của các giao diện mạng và danh sách các đích có thể gửi đến.
Bằng cách lên dự án cho lưu lượng mạng và các nhu cầu về việc định tuyến, bạn có thể quyết định xem mình có muốn sử dụng router phần cứng chuyên dụng hay không, ví dụ như router của Cisco hay một router phần mềm như router có trong Windows Server 2008. Nếu nhu cầu định tuyến thực sự cần thiết, khi đó bạn cần phải sử dụng các router phần cứng chuyên dụng. Còn với các mạng nhỏ, giải pháp định tuyến dựa trên phần mềm cũng khá khả thi. Để trợ giúp cho việc định tuyến, Microsoft Windows Server 2008 có hỗ trợ dịch vụ định tuyến và truy cập từ xa - Routing and Remote Access service.
Định tuyến và Router
Khi bạn gửi đi một gói dữ liệu từ một máy tính này sang một máy tính khác, đầu tiên quá trình sẽ xác định xem gói dữ liệu được gửi nội bộ đến máy tính khác trên cùng LAN hay đến router để định tuyến đến LAN đích. Nếu gói dữ liệu được gửi đến một máy tính nằm trong một LAN khác, nó sẽ được gửi đến router (hoặc gateway). Sau đó router sẽ xác định tuyến khả thi nhất để chuyển tiếp dữ liệu theo tuyến đó. Gói dữ liệu sẽ được gửi đến router tiếp theo và quá trình như vậy được lặp lại cho tới khi nó đến được LAN đích. Ở Lan đích, router đích sẽ chuyển tiếp gói dữ liệu này đến máy tính đích.
Để xác định xem tuyến nào là tốt nhất, các router sử dụng thuật toán định tuyến phức tạp, thuật toán này sử dụng một loạt các hệ số gồm có tốc độ của môi trường truyền dẫn, số đoạn mạng và đoạn mạng có khả năng chuyển tải lưu lượng ở mức độ tối thiểu. Các router sẽ chia sẻ trạng thái và các thông tin định tuyến cho nhau để chúng có thể quản lý lưu lượng và tránh được các kết nối chậm. Thêm vào đó, các router cũng cung cấp chức năng khác, chẳng  hạn như khả năng lọc các tin và chuyển tiếp chúng đến các địa điểm khác dựa trên các tiêu chuẩn nào đó. Hầu hết các router đều là các router đa giao thức vì chúng có thể định tuyến các gói dữ liệu bằng cách sử dụng nhiều giao thức khác nhau.
Metric là một chuẩn đo lường, chẳng hạn như hop count (số router), được sử dụng bởi các thuật toán định tuyến để xác định đường đi tối ưu đến một đích nào đó. Một hop là một chuyến đi mà một gói dữ liệu phải trải qua tính từ một router này đến một router khác hoặc từ một router này đến một điểm trung gian khác và đến một router khác trong mạng. Trên các mạng lớn, số hop mà một gói cần để đến được đích của nó được gọi là hop count. Khi một máy tính truyền thông với một máy tính khác, quá trình truyền thông phải truy cập qua 4 router, khi đó nó có hop count bằng 4. Nếu không có các hệ số nào được đưa ra, một metric bằng 4 sẽ được gán. Nếu router được quyền lựa chọn giữa một tuyến có 4 metric và một tuyến có 6 metric thì nó sẽ chọn tuyến có 4 metric. Rõ ràng, nếu muốn router chọn tuyến có 6 metric, bạn có thể ghi đè metric cho tuyến có 4 hop trong bảng định tuyến với giá trị cao hơn.
Để theo dõi các tuyến khác nhau trong mạng, các router tạo và duy trì các bảng định tuyến. Các router truyền thông với nhau để duy trì các bảng định tuyến của chúng thông qua một tin cập nhật về tuyến. Tin cập nhật về tuyến có thể gồm tất cả hoặc một phần của bảng định tuyến. Bằng cách phân tích các nâng cấp về tuyến từ tất cả các router khác, các router có thể tạo ra một bức tranh chi tiết về topo mạng.
Các tuyến động và tuyến tĩnh
Thuật toán định tuyến tĩnh là các thuật toán khá cứng, là các ánh xạ được thiết lập bởi nhân viên quản trị mạng từ trước dựa theo bảng định tuyến tĩnh để thực hiện việc định tuyến. Các ánh xạ này không thay đổi trừ khi quản trị mạng thay đổi chúng. Thuật toán sử dụng các tuyến tĩnh thường khá đơn giản trong thiết kế và làm việc tốt trong các môi trường mà ở đó có thể dự đoán trước lưu lượng mạng và thiết kế mạng khá đơn giản.
Do các hệ thống định tuyến tĩnh không thể phản ứng với những thay đổi của mạng, nên chúng thường không phù hợp với các mạng mang tính thay đổi thường xuyên hay các mạng lớn. Hầu hết các thuật toán định tuyến chiếm ưu thế là các thuật toán định tuyến động, các thuật toán này có khả năng điều chỉnh theo những điều kiện mạng thay đổi bằng cách phân tích các tin tức cập nhật về tuyến gửi đến. Nếu tin tức này chỉ thị rằng có một thay đổi mạng xuất hiện, phần mềm định tuyến sẽ tính toán lại các tuyến và gửi đi các tin tức mới về tuyến. Các tin tức này sẽ được truyền đi trong toàn mạng, dựa vào các tin này, các router khác sẽ khởi chạy lại các thuật toán của chúng và thay đổi các bảng định tuyến của mình theo các dữ liệu mới nhất.
Lưu ý: Các thuật toán định tuyến động có thể được thực hiện với các tuyến tĩnh ở nơi thích hợp.
Thuật toán Distance-Vector và Link-State
Các router sử dụng các giao thức định tuyến dựa trên vectơ khoảng cách (distance-vector) để thông báo hoặc quảng bá định kỳ các tuyến trong bảng định tuyến của chúng, tuy nhiên chúng sẽ chỉ gửi nó đến các router lân cận của mình. Các thông tin về tuyến đã được trao đổi giữa các router dựa trên distance-vector không được đồng bộ và không được phúc đáp. Các giao thức định tuyến distance-vector khá đơn giản và dễ hiểu cũng như dễ cấu hình. Nhược điểm đối với các router này là nhiều tuyến đến một mạng nào đó có thể mang lại nhiều mục trong bảng định tuyến, điều đó dẫn đến một bảng định tuyến lớn. Thêm vào đó, nếu bạn có một bảng định tuyến lớn, lưu lượng mạng của bạn sẽ tăng vì nó sẽ quảng bá một cách định kỳ bảng định tuyến đến các router khác, thậm chí sau khi mạng đã hội tụ. Cuối cùng, sự hội tụ giao thức distance-vector của các mạng lớn có thể mất nhiều thời gian, đến vài phút.
Thuật toán trạng thái liên kết (Link-state) được biết đến như thuật toán tìm đường đi ngắn nhất. Thay vì sử dụng hình thức quảng bá, các router link-state gửi các tin tức được cập nhật một cách trực tiếp (hoặc bằng cách sử dụng lưu lượng multicast) đến tất cả các router bên trong mạng. Mặc dù vậy mỗi router chỉ gửi một phần của bảng định tuyến có mô tả trạng thái các liên kết của riêng nó. Về cơ bản, thuật toán link-state chỉ gửi đi một số tin tức nhỏ. Vì chúng hội nhanh hơn nên các thuật toán link-state ít vòng lặp về tuyến hơn so với các thuật toán distance-vector. Thêm vào đó, các thuật toán link-state không trao đổi các thông tin về việc định tuyến khi các mạng tương tác hội tụ. Chúng có các bảng định tuyến nhỏ vì chỉ lưu một tuyến tối ưu cho mỗi ID mạng.
Routing Information Protocol (RIP)
Giao thức định tuyến phổ biến là RIP (Routing Information Protocol), là một giao thức distance-vector được thiết kế cho việc trao đổi các thông tin định tuyến bên trong một mạng có kích thước nhỏ đến trung bình. Ưu điểm lớn nhất của RIP là nó rất đơn giản trong cấu hình và triển khai.
RIP sử dụng một metric định tuyến bằng số các hop count (số router) để đo khoảng cách giữa mạng nguồn và đích. Mỗi hop trong một đường dẫn từ nguồn tới đích được gán một giá trị hop-count, điển hình bằng 1. Khi một router nhận được một cập nhật về tuyến có chứa một entry mạng đích mới hoặc đã được thay đổi thì router đó sẽ cộng thêm 1 vào giá trị metric được chỉ thị trong nâng cấp và nhập vào mạng trong bảng định tuyến. Địa chỉ IP của người gửi sẽ được sử dụng như hop tiếp theo.
Do RIP chỉ sử dụng hop count để xác định đường đi tốt nhất đến một mạng tương tác nào đó nên nếu RIP tìm thấy nhiều liên kết đến cùng một mạng từ xa với cùng hop-count thì nó sẽ tự động thực hiện một sự cân bằng tải luân chuyển “round-robin”. RIP có thể thực hiện việc cân bằng tải cho tới 6 liên kết.
Mặc dù vậy, có một vấn đề xảy ra trong việc sử dụng các hop khi hai liên kết đến một mạng từ xa có băng thông khác nhau. Cho ví dụ, nếu bạn có một liên kết chuyển mạch 56KB và một liên kết T1 1,544Mbps thì sẽ xảy ra hiện tượng không hiệu quả khi gửi dữ liệu bằng nhau qua cả hai đường. Để khắc phục nhược điểm này, bạn phải thiết kế một mạng có các liên kết băng thông bằng nhau hoặc sử dụng một giao thức định tuyến có thể đưa vào các hệ số băng thông trong bản kê khai.
RIP ngăn chặn các vòng lặp vô tận trong định tuyến bằng cách thực thi một giới hạn về số các hop được cho phép trong một đường đi từ nguồn đến đích. Số hop tối đa trong một đường đi là 15. Nếu một router nhận được một nâng cấp định tuyến có chứa một entry mới hoặc đã được thay đổi, và nếu quá trình tăng giá trị metric lên 1 làm cho metric bằng 16 thì đích mạng coi như không thể đến. Rõ ràng, điều này làm cho RIP không thể co dãn trong các mạng lớn hoặc rất lớn. Lưu ý: Vấn đề đếm vô tận là lý do tại sao số hop (hop count) tối đa của RIP cho một mạng IP được thiết lập là 15. Các giá trị hop count tối đa lớn hơn sẽ làm cho thời gian hội tụ lâu hơn khi đó hiện tượng đếm vô tận xuất hiện.
Ban đầu, bảng định tuyến cho mỗi router chỉ gồm các mạng được kết nối vật lý với nó. Một RIP router sẽ định kỳ (30s) gửi đi các thông báo có chứa các entry bảng định tuyến của nó để các router khác có thể cập nhật các bảng định tuyến của chúng. Phiên bản 1 của RIP sử dụng các gói dữ liệu quảng bá địa chỉ IP cho các thông báo của nó, phiên bản 2 sử dụng các gói dữ liệu multicast hoặc broadcast. Tất cả các tin nhắn RIP đều được gửi trên cổng UDP 520.
Các RIP router cũng có thể truyền thông các thông tin định tuyến thông qua các nâng cấp được kích hoạt (trigger), các nâng cấp được kích hoạt khi topo mạng thay đổi. Khác với các thông báo được lịch trình, các nâng cấp được kích hoạt sẽ được gửi đi ngay lập tức thay cho việc phải đợi thông báo định kỳ tiếp theo. Cho ví dụ, khi một router phát hiện một lỗi liên kết hoặc router, nó sẽ nâng cấp bảng định tuyến của chính mình và gửi các tuyến đã được cập nhật. Các router nhận được nâng cấp đã được kích hoạt này sẽ thay đổi bảng định tuyến của nó và phổ biến thay đổi này đến các router khác.
Bạn có thể cấu hình mỗi RIP router với một danh sách các router (bởi địa chỉ IP) chấp nhận các thông báo RIP. Bằng cách cấu hình danh sách các RIP router ngang hàng, các tuyên bố RIP từ các RIP router không được thẩm định sẽ bị loại bỏ. Thêm vào đó, để ngăn chặn lưu lượng RIP nhận được bởi bất cứ nút nào ngoại trừ các RIP router lân cận, bạn có thể thiết lập một số router để sử dụng các thông báo RIP một đường đến các RIP router lân cận.
Vì RIP là một giao thức distance-vector, nên khi các mạng tương tác mở rộng về kích thước, các thông báo định kỳ bởi các RIP router có thể gây ra hiện tượng quá tải lưu lượng. Một nhược điểm của RIP là thời gian hội tụ khá cao. Khi topo mạng thay đổi, nó cần đến vài phút trước khi các RIP router tự cấu hình lại bản thân chúng về topo mạng mới. Khi mạng tự cấu hình lại, các vòng lặp định tuyến có thể gây ra hiện tượng mất dữ liệu. Để khắc phục hiện tượng này, RIP có bổ sung thêm split-horizon.
Để khắc phục một số thiếu sót của RIP, RIP Version 2 (RIP II) đã được ra đời. RIP v2 cung cấp các tính năng dưới đây:
  • Bạn có thể sử dụng một mật khẩu cho việc thẩm định bằng cách chỉ định một khóa được sử dụng để thẩm định các thông tin định tuyến cho router. Sự thẩm định mật khẩu được định nghĩa trong RFC 1723, tuy nhiên lại có các cơ chế thẩm định mới hơn, chẳng hạn như Message Digest 5 (MD5).
  • RIP v2 gồm có subnet mask trong thông tin định tuyến và hỗ trợ các subnet có độ dài thay đổi (variable-length). Subnet mask có độ dài thay đổi có thể được liên kết với các đích, cho phép tăng số lượng host hoặc subnet có thể trong mạng.
  • Bảng định tuyến có thể chứa các thông tin về địa chỉ IP của router cần thiết để đến được đích. Điều này giúp tránh được tình trạng các gói dữ liệu bị chuyển tiếp qua các router mở rộng trên hệ thống.
  • Các gói Multicast chỉ phát đến các RIP v2 router và được sử dụng để giảm tải trên các host không lắng nghe các gói RIP v2. Địa chỉ IP multicast cho các gói RIP v2 là 224.0.0.9. Lưu ý: các nút Silent RIP cũng phải lắng nghe lưu lượng multicast được gửi đến địa chỉ 224.0.0.9. Nếu bạn đang sử dụng Silent RIP, hãy thẩm định rằng các nút Silent RIP của mình có thể lắng nghe các thông báo multicast RIP v2 trước khi triển khai multicast RIP v2.
Lưu ý:
RIPv2 hỗ trợ multicast cho việc nâng cấp các bảng định tuyến. RIPv1 không hỗ trợ tính năng này. RIPv1 router không thể truyền thông với RIPv2 router có sử dụng multicast để cập nhật.
Open Shortest Path First (OSPF)
Với các mạng nhỏ và trung bình, việc phân phối dữ liệu trong toàn mạng và duy trì bảng định tuyến tại mỗi router không trở thành vấn đề nghiêm trọng. Tuy nhiên với các mạng có kích thước lớn, có hàng trăm router, bảng định tuyến có thể khá lớn (vài MB) thì việc tính toán các tuyến cần đến khá nhiều thời gian vì một số router có thể gặp sự cố hoặc không.
Một số giao thức, chẳng hạn như Open Shortest Path First (OSPF), cho phép các vùng (nhóm các mạng kế nhau) được nhóm lại với nhau thành một hệ thống tự trị (AS). Các khu vực tạo nên các vùng tự trị này thường tương ứng với một miền quản trị, chẳng hạn như một phòng, tòa nhà hoặc một vị trí địa lý nào đó. Một AS có thể là một mạng hoặc có thể là một nhóm các mạng, được sở hữu và được quản trị bởi một quản trị mạng hoặc một nhóm quản trị mạng nói chung.
OSPF là một giao thức định tuyến link-state được sử dụng trong các mạng có kích thước lớn và trung bình để tính toán các entry của bảng định tuyến bằng cách xây dựng một cây đường đi ngắn nhất. OSPF được thiết kế cho các mạng tương tác lớn (được biệt các mạng có hơn 15 router hop). Nhược điểm của OSPF là nó khá phức tạp trong thiết lập và yêu cầu cần phải có kế hoạch cụ thể.
Lưu ý:
Thành phần giao thức OSPF trong Routing and Remote Access đã được remove khỏi Windows Server 2008.
Routing and Remote Access Service (RRAS)
Với RRAS, một máy tính đang chạy hệ điều hành Windows Server 2008 có thể hoạt động như một router mạng, định tuyến các gói dữ liệu IP giữa các mạng. Dịch vụ router này cho phép các LAN và WAN được kết nối chéo với nhau một cách dễ dàng. Kỹ thuật định tuyến được xây dựng bên trong hệ điều hành, cung cấp cho các doanh nghiệp nhở và lớn một cách thức an toàn và hiệu quả về giá thành trong việc kết nối chéo các mạng của họ.
Bạn có thể cài đặt dịch vụ Routing and Remote Access bằng cách sử dụng Add Roles Wizard. Để cài đặt dịch vụ Routing and Remote Access, thực hiện theo các bước dưới đây:
  1. Trong cửa sổ chính của Server Manager, dưới Roles Summary, kích Add roles. Hoặc nếu bạn sử dụng cửa sổ Initial Configuration Tasks, bên dưới Customize This Server, kích Add roles.
  2. Trong Add Roles Wizard, kích Next.
  3. Trong danh sách các server role, chọn Network Policy and Access Services. Kích Next hai lần.
  4. Trong danh sách role service, chọn Routing and Remote Access Services để chọn tất cả role service. Bạn cũng có thể chọn các role máy chủ riêng biệt. Kích Next.
  5. Tiến hành qua các bước trong Add Roles Wizard để hoàn tất quá trình cài đặt.
Sau khi hoàn tất quá trình cài đặt, dịch vụ Routing and Remote Access được cài đặt trong trạng thái bị vô hiệu hóa. Để kích hoạt dịch vụ Routing and Remote Access, bạn hãy thực hiện theo các bước sau:
  1. Mở Routing and Remote Access.
  2. Mặc định, máy tính nội bộ được liệt kê như một máy chủ.
  3. Để bổ sung thêm máy chủ khác, trong cây giao diện, kích chuột phải vào Server Status, sau đó kích Add Server.
  4. Trong hộp thoại Add Server, kích tùy chọn thích hợp, sau đó kích OK.
  5. Trong cây giao diện, kích phải vào máy chủ mà bạn muốn kích hoạt, sau đó kích Configure and Enable Routing and Remote Access. Kích Next.
  6. Kích Custom Configuration và kích Next.
  7. Để kích hoạt việc định tuyến LAN, chọn LAN routing và kích Next.
  8. Kích nút Finish
Để kích hoạt việc định tuyến LAN và WAN sau khi dịch vụ Routing and Remote Access đã được kích hoạt:
  1. Mở Routing and Remote Access.
  2. Kích phải vào tên máy chủ mà bạn  muốn kích hoạt việc định tuyến, sau đó kích Properties.
  3. Trong tab General, chọn hộp chọn IPv4 RouterIPv6 Router thích hợp, và chọn Local Area Network (LAN) Routing Only hay LAN and Demand-Dial Routing.
  4. Kích OK.
Tạo các tuyến tĩnh
Trong một số trường hợp, bạn phải cần thêm một tuyến tĩnh cho router Windows Server 2008 của mình. Điều này hẳn là có cả ưu điểm và nhược điểm. Việc tạo một tuyến tĩnh là hoàn toàn đơn giản; mặc dù vậy, các tuyến mà bạn cấu hình không được chia sẻ giữa các router. Các tuyến tĩnh chỉ định địa chỉ mạng và subnet mask để thông tin cho router về cách đi đến một đích nào đó. Router sử dụng các thông tin đó để xác định gateway nào sẽ chuyển tiếp dữ liệu để gói dữ liệu có thể đến được host đích của nó.
Các tuyến tĩnh có thể được cấu hình theo một trong hai cách sau:
  • Sử dụng lệnh route.
  • Sử dụng giao diện quản lý RRAS.
Sử dụng lệnh Route
Lệnh route được sử dụng để xem và thay đổi bảng định tuyến mạng cho một mạng IP. Lệnh route print sẽ hiển thị danh sách các tuyến hiện hành mà host nắm được (xem hình 1)

Hình 1: Kết quả của lệnh Route Print
Các tuyến được thêm vào bảng định tuyến sẽ không bền trừ khi tiếp lệnh -p được chỉ định. Các tuyến không bền chỉ kéo dài cho tới khi máy tính được khởi động lại hoặc tới khi giao diện mất phản ứng. Giao diện có thể được làm mất tích cực khi giao diện plug-and-play được rút ra (chẳng hạn như các laptop và các máy tính cắm nóng), khi dây được remove khỏi media card (nếu adapter hỗ trợ nhận dạng lỗi media), hoặc khi giao diện bị hủy kết nối ra khỏi adapter trong thư mục Network and Dial-up Connections.
Cách dùng lệnh route:
ROUTE [-f] [-p] [command [destination]] [MASK netmask] [gateway]
-> [METRIC metric]
  • -f— Xóa bảng định tuyến cho tất cả các entry của gateway. Nếu lệnh này được sử dụng kết hợp với một trong các lệnh khác thì các bảng định tuyến sẽ bị xóa trước khi lệnh này được chạy.
  • -p—Khi được sử dụng với lệnh add, tạo một tuyến bền trong các quá trình khởi động của hệ thống. Mặc định, các tuyến không được duy trì khi hệ thống khởi động lại. Khi được sử dụng với lệnh print, hiển thị danh sách các tuyến bền đã được đăng ký. Bỏ qua tất cả các lệnh khác, lệnh này luôn ảnh hưởng tới các tuyến bền.
  • Destination—Chỉ định cho mạng hoặc host rằng các gói nào đang được gửi đến.
  • MASK netmask—Chỉ định subnet mask để kết hợp với entry tuyến này. Nếu giá trị netmask không được chỉ định thì nó sẽ nhận giá trị mặc định là 255.255.255.255.
  • gateway—Chỉ định gateway hoặc router.
  • METRIC metric—Gán cho metric một số nguyên (từ 1 đến 9.999) được sử dụng trong tính toán các tuyến đắt nhất, tin cậy nhất và nhanh nhất.
Các lệnh có thể sử dụng trong cú pháp có trước là PRINT, ADD, DELETE và CHANGE:
  • PRINT—Hiển thị một tuyến
  • ADD—Thêm một tuyến
  • DELETE—Xóa một tuyến
  • CHANGE—Thay đổi một tuyến đang tồn tại
Lưu ý:
Các tuyến bền được lưu trong location Registry dưới đây:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
Cho ví dụ, để tạo một tuyến tĩnh, bạn có thể đánh
route ADD 132.133.200.0 MASK 255.255.255.0  63.197.142.1 METRIC 2
Sau khi lệnh này được thực thi, bất cứ gói nào được gửi đến địa chỉ mạng 132.133.200.0 hoặc host có địa chỉ IP nằm trong dải 132.133.200.1 đến 132.133.200.254 sẽ được chuyển tiếp đến router có địa chỉ host nội bộ là 63.197.142.1. Nếu nhiều entry chỉ định các địa chỉ đích này thì tuyến này sẽ có một metric 2 hop.
Sử dụng Routing and Remote Access
Để thêm một tuyến tĩnh vào máy tính Windows Server 2008, bạn cần sử dụng chương trình Routing and Remote Access trong Administrative Tools hoặc sử dụng MMC snap-in thích hợp. Tiếp đến, kích chuột phải vào Static Routes bên dưới IPv4 hoặc IPv6 và chọn New Static Route for IP Networks (xem trong hình 2).

Hình 2: Sử dụng giao diện Routing and Remote Access để tạo một tuyến tĩnh
Với một tuyến IP tĩnh, trong Interface, Destination, Network Mask, Gateway, và Metric, nhập vào giao diện, đích, mask, gateway và metric. Nếu đây là một giao diện demand-dial, Gateway sẽ không được cung cấp. Khi đó bạn có thể chọn hộp chọn Use This Route to Initiate Demand-Dial Connections để khởi tạo kết nối demand-dial để truyền thông với tuyến.
Với các địa chỉ IP tĩnh, đích đến sẽ cung cấp một không gian để bạn đánh vào đích đến của tuyến. Đích có thể là một địa chỉ host, địa chỉ subnet, địa chỉ mạng hoặc đích của một tuyến mặc định nào đó (0.0.0.0). Subnet mask cung cấp không gian để bạn có thể nhập vào network mask của tuyến tĩnh. Số network mask được sử dụng kết hợp với đích để phân biệt thời điểm khi nào tuyến được sử dụng.
Mask 255.255.255.255 có nghĩa rằng chỉ một tương ứng chính xác với số đích có thể sử dụng cho tuyến này. Mask bằng 0.0.0.0 có nghĩa bất kỳ đích nào cũng có thể sử dụng cho tuyến. Gateway cung cấp một không gian để bạn đánh vào địa chỉ IP chuyển tiếp cho tuyến. Với các giao diện LAN, địa chỉ gateway phải được cấu hình và phải là một địa chỉ IP có thể đến được cho đoạn mạng của giao diện đã chọn. Với các giao diện demand-dial, địa chỉ gateway không được cấu hình hoặc được sử dụng. Metric cung cấp một không gian để đánh vào số hop của tuyến để đến được đích. Metric thường được sử dụng để chỉ thị số router (hop) đến đích. Khi quyết định giữa nhiều tuyến đến cùng một đích, tuyến có metric thấp nhất sẽ được chọn là tuyến tốt nhất.
Định tuyến Demand-Dial
Hai kiểu kết nối Demand-Dial có thể được tạo cho việc định tuyến:
  • Kết nối On-demand
  • Kết nối bền (Persistent)
Với các kết nối demand-dial, một kết nối với router từ xa được thiết lập chỉ khi cần thiết. Kết nối được thiết lập để định tuyến các thông tin và được kết thúc khi liên kết không còn được sử dụng. Ưu điểm của kết nối này là tiết kiệm về mặt chi phí do không sử dụng các liên kết chuyên dụng.
Với các kết nối bền, liên kết không cần bị kết thúc. Thậm chí khi nó không trong sử dụng mà vẫn duy trì mở. Các kết nối giữa các router mạng có thể là các kết one-way hoặc two-way, điều đó có nghĩa rằng một kết nối có thể được khởi tạo chỉ bởi một router hoặc cả hai router. Với các kết nối one-way, một router được chỉ định như một router trả lời và router còn lại được chỉ định là router gọi, router gọi có trách nhiệm khởi tạo các kết nối.
Đinh tuyến One-Way Demand-Dial
Các kết nối Demand-dial có thể được tạo ra bên trong Routing and Remote Access snap-in. Cách bạn cấu hình kết nối phụ thuộc vào vấn đề bạn đang cấu hình kết nối one-way hay two-way. Để tạo một giao diện demand-dial trên router gọi, bạn có thể thực hiện theo các bước sau:
  1. Kích phải vào Network Interfaces bên trong giao diện điều khiển RRAS và kích New Demand-Dial Interface. Thao tác này sẽ khởi chạy Demand-Dial Interface Wizard. Kích Next.
  2. Đánh vào tên cho giao diện và kích Next.
  3. Chọn kiểu kết nối, kích Next. Chọn thiết bị sẽ được sử dụng để tạo kết nối. Kích Next.
  4. Đánh vào số phone của máy chủ từ xa mà bạn sẽ quay số đến. Kích Next.
  5. Từ cửa sổ Protocols and Security, chọn các tùy chọn cần thiết:
    • Route IP Packets on This Interface
    • Add a User Account So a Remote User Can Dial In
    • Send a Plain-Text Password If That Is the Only Way to Connect
    • Use Scripting to Complete the Connection with the Remote Router
  6. Cấu hình một tuyến tĩnh đến mạng từ xa, kích Next.
  7. Từ cửa sổ Dial Out Credentials, chỉ định usernamepassword mà dial-out router sẽ sử dụng để kết nối đến router từ xa. Kích Next.
  8. Kích Finish.
Lưu ý: Trước khi tạo một giao diện demand-dial mới, bạn cần bảo đảm rằng router đã được kích hoạt cho LAN và việc định tuyến demand-dial thay cho chỉ việc định tuyến LAN. Bạn có thể kích hoạt tùy chọn này bằng cách kích phải vào máy chủ RRAS và chọn Properties. Từ tab General, chọn LAN and Demand-Dial Routing.
Router trả lời cũng cần được cấu hình cho kết nối one-way demand-dial. Bạn cũng cần phải tạo một tài khoản người dùng trên router trả lời với các điều khoản dial-in và các điều khoản chính sách thích hợp. Tài khoản người dùng sẽ được sử dụng để thẩm định các kết nối từ các router gọi. Một tuyến tính sau đó sẽ được cấu hình trên tài khoản người dùng. Thêm vào đó cũng cần bảo đảm rằng khi tạo tài khoản người dùng, tùy chọn Password Never Expires phải được chọn và tùy chọn User Must Change Password at Next Logon thì không.
Lưu ý:
Khi cấu hình router gọi, bạn cần bảo đảm rằng các tiêu chuẩn dial-out phải tương ứng với tên tài khoản người dùng được cấu hình trên router trả lời.
Định tuyến Two-Way Demand-Dial
Việc tạo kết nối two-way demand-dial cũng tương tự như việc cấu hình kết nối one-way, tuy nhiên có một số điểm khác. Giao diện demand-dial được tạo trên mỗi máy chủ RRAS bởi quá trình đã phác thảo trước để tạo kết nối one-way demand-dial. Bạn phải gán tên cho giao diện và chỉ định số điện thoại để quay số, thiết bị được sử dụng, giao thức và các thiết lập bảo mật, các tiêu chuẩn dial-out. Bên cạnh đó bạn cũng phải cấu hình tài khoản người dùng, với các điều khoản truy cập từ xa tương ứng, trên mỗi máy chủ RRAS. Cần lưu ý rằng tên tài khoản người dùng phải giống hệt tên được gán cho giao diện demand-dial của router gọi. Cuối cùng, bạn phải cấu hình một tuyến tĩnh bằng giao diện demand-dial.
Lưu ý:
Cần nhớ thời điểm khi bạn cấu hình two-way demand dial thì các tên tài khoản người dùng trên router trả lời phải giống với tên giao diện demand-dial trên các router gọi.
Cấu hình việc định tuyến Demand-Dial
Khi một kết nối demand-dial được tạo, bạn có thể cấu hình nó sâu hơn bằng cách sử dụng cửa sổ Properties cho kết nối. Từ tab Options, cấu hình kiểu kết nối: demand-dial hoặc bền. Cũng có thể thiết lập chính sách quay số bằng cách chỉ định số lần mà router gọi nên quay lại nếu không có trả lời và bằng cách chỉ định thời gian giữa những lần quay số lại.
Tab Security cho phép bạn cấu hình các tùy chọn bảo mật cho kết nối dial-out. Cấu hình này gồm có: các mật khẩu không được an toàn có được phép hay không? Kết nối có yêu cầu mã hóa dữ liệu và có kịch bản sẽ được chạy sau quay số không.
Bạn có thể tạo một vài cấu hình khác đối với giao diện demand-dial. Việc lọc Demand-dial cho phép bạn kiểm soát kiểu lưu lượng IP có thể khởi tạo kết nối. Bạn có thể cho phép hoặc từ chối kết nối dựa trên kiểu lưu lượng IP. Cho ví dụ, bạn có thể chỉ muốn lưu lượng web và FTP khởi tạo kết nối Demand-dial chẳng hạn. Giờ Dial-out chỉ định số lần trong ngày một kết nối có thể được khởi tạo. Điều này cho phép một quản trị viên có thể kiểm soát được thời điểm kết nối demand-dial được sử dụng.
Quản lý RIP
Sau khi các giao diện demand-dial hay LAN được tạo, việc cấu hình các giao diện giao thức định tuyến thích hợp là bước cuối cùng trong quá trình cấu hình máy chủ RRAS với tư cách là một router mạng. Bạn phải thêm vào giao thức định tuyến bằng cách kích phải vào nút General và chọn New Routing Protocol. Cửa sổ xuất hiện sẽ liệt kê các giao thức bạn có thể chọn. Chọn RIPv2 và kích OK.
Sau khi giao thức định tuyến được thêm vào, bạn phải thêm vào các giao diện. Để thực hiện điều đó, kích phải vào giao thức định tuyến tương ứng và chọn New Interface. Sau khi bạn chọn một giao diện và kích OK, cửa sổ Properties cho giao diện sẽ xuất hiện, cho phép bạn cấu hình nó.
Mỗi giao diện RIP đều có một cửa sổ thuộc tính riêng, từ cửa sổ này bạn có thể cấu hình một số tùy chọn. Bên trong giao diện điều khiển RRAS, mở phần IP Routing, RIP; sau đó kích phải vào một trong các giao diện có sẵn và kích Properties.
Tab General cho phép bạn cấu hình chế độ hoạt động. Bạn có thể chọn Autostatic Update Mode hoặc Periodic Update Mode. Với nâng cấp autostatic, các thông báo RIP sẽ được gửi đi khi các router khác yêu cầu nâng cấp. Bất kỳ router nào đã biết trong khi nâng cấp autostatic sẽ được đánh dấu là router tĩnh và được duy trì lại trong bảng định tuyến cho tới khi quản trị viên xóa chúng. Trong chế độ nâng cấp định kỳ (periodic), các thông báo sẽ được gửi đi một cách định kỳ. (Khoảng thời gian tuyên bố định kỳ sẽ xác định tần suất như thế nào). Các tuyến này sẽ được xóa tự động khi router ngừng hoặc khởi động lại. Giao thức gói dữ liệu gửi đến và gửi đi cho phép bạn cấu hình kiểu các gói, chẳng hạn như RIPv1 hoặc RIPv2, router gửi và chấp nhận.
Các tùy chọn Activate Authentication và Password cho phép ban duy trì một mức bảo mật bổ sung. Nếu sự thẩm định được kích hoạt, tất cả các gói dữ liệu gửi đến và gửi đi phải gồm mật khẩu được chỉ định trong trường mật khẩu. Khi sử dụng cơ chế thẩm định, hãy bảo đảm rằng tất cả các router lân cận phải được cấu hình bằng một mật khẩu giống nhau.
Từ tab Security, một quản trị viên có thể cấu hình bộ lọc tuyến RIP. Router có thể được cấu hình để gửi và chấp nhận tất cả các tuyến, gửi và chấp nhận chỉ các tuyến từ một dải nào đó, hoặc chấp nhận và gửi tất cả các tuyến ngoại trừ các tuyến được chỉ định.
Tab Neighbors được sử dụng để cấu hình cách router tương tác với các router RIP khác như thế nào. Tab Advanced có một vài tùy chọn cấu hình:
  • Periodic Announcement Interval: Điều khiển khoảng thời gian tạo ra các thông báo nâng cấp.
  • Time Before Route Expires: Xác định một router được duy trì bao lâu trong bảng định tuyến trước khi hết hạn.
  • Time Before Route Is Removed: Xác định một router đã hết hạn được duy trì lại bao lâu trong bảng định tuyến trước khi bị xóa đi.
  • Enable Split Horizon Processing: Bảo đảm rằng các vòng lặp định tuyến không xuất hiện trước khi router biết từ một router không quảng bá lại đến mạng đó.
  • Enable Triggered Updates: Điều khiển xem những thay đổi trong bảng định tuyến có được gửi ra ngay lập tức hay không.
  • Send Clean-Up Updates when Stopped: Điều khiển xem router có gửi một thông báo khi nó bị stop để thông báo cho các router khác rằng các tuyến mà nó phụ trách không tồn tại.
  • Process Host Routes in Received Announcements: Điều khiển xem các tuyến chính đã nhận trong các thông báo RIP được chấp nhận hay từ chối.
  • Include Host Routes in Send Announcements: Điều khiển xem các tuyến chính có được gộp vào trong thông báo RIP hay không.
  • Process Default Routes in Received Announcements: Điều khiển xem các tuyến mặc định đã nhận trong thông báo RIP được chấp nhận hay từ chối.
  • Process Default Routes in Send Announcements: Điều khiển xem các tuyến mặc định có được nhóm vòa các thông báo RIP hay không.
  • Disable Subnet Summarization: Tùy chọn này có sẵn chỉ cho RIPv2. Nó điều khiển xem các mạng con có được thông báo đến các router trên các mạng con khác hay không.
Lưu ý:
Khi một vòng lặp định tuyến xuất hiện, các gói dữ liệu sẽ được đẩy tới và lui giữa các router. Khi quá trình split-horizon được kích hoạt, các tuyến không được thông báo quay trở lại đến router mà chúng nhận tin từ đó. Cho ví dụ, nếu router B nhận các tuyến được thông báo từ router A thì router B sẽ không thông báo các tuyến này cho router A nữa. Khi quá trình Split Horizon with Poison Reverse được kích hoạt, các tuyến được thông báo trở lại router mà chúng nhận tin từ đó với một số hop count vô tận.
Bộ lọc dữ liệu
Việc lọc gói cho phép các quản trị viên có thể chỉ định kiểu lưu lượng gửi đến và gửi đi được phép đi qua router Windows Server 2008. Khi cấu hình các bộ lọc dữ liệu, bạn có thể cho phép tất cả lưu lượng ngoại trừ lưu lượng bị chặn bởi bộ lọc. Hoặc bạn có thể từ chối tất cả lưu lượng ngoại trừ lưu lượng được cho phép bởi bọ lọc.
Để bổ sung thêm bộ lọc dữ liệu, bạn thực hiện theo các bước dưới đây:
  1. Mở Routing and Remote Access.
  2. Trong cây truy cập, kích General bên dưới Routing and Remote Access/Server Name/[IPv4 hoặc IPv6].
  3. Trong panel chi tiết, kích phải vào giao diện mà trên đó bạn muốn thêm vào một bộ lọc, sau đó kích Properties.
  4. Trên tab General, kích Inbound Filters hoặc Outbound Filters.
  5. Trong hộp thoại Inbound Filters hoặc Outbound Filters, kích New.
  6. Trong hộp thoại Add IP Filter, đánh các thiết lập cho bộ lọc, sau đó kích OK.
  7. Trong Filter action, chọn Filter action thích hợp và kích OK.
Sau khi một bộ lọc được tạo, bạn có thể chỉnh sửa nó bất cứ thời điểm nào bằng cách chọn bộ lọc từ danh sách và kích Edit.


Windows FirewallTường lửa (Firewall) trong Windows là một bộ lọc và thanh tra trạng thái gói dữ liệu (Stateful firewall) cho phép hoặc khóa chặn lưu lượng mạng theo cấu hình. Bộ lọc dữ liệu bảo vệ máy tính bằng cách sử dụng danh sách điều khiển sự truy cập (ACL - Access Control List),
danh sách này sẽ chỉ định gói dữ liệu nào được phép đi qua tường lửa dựa trên địa chỉ IP và giao thức (đặc biệt là số cổng). Stateful firewall kiểm tra trạng thái của các kết nối tích cực và sử dụng các thông tin này để xác định gói dữ liệu nào được phép đi qua tường lửa. Về cơ bản, nếu một người dùng bắt đầu truyền thông với một máy tính nằm bên ngoài tường lửa, tường lửa sẽ nhớ cuộc đàm thoại và cho phép các gói dữ liệu thích hợp được gửi trở lại. Nếu một máy tính bên ngoài cố gắng truyền thông với một máy tính được bảo vệ bằng một stateful firewall, các gói dữ liệu này sẽ bị chặn lại một cách tự động trừ khi sự truy cập được cho phép bởi ACL.

Lưu ý:
Windows Firewall được bật mặc định. Bất cứ chương trình nào hoặc dịch vụ nào cần truyền thông trên một mạng phải được mở trong tường lửa, gồm có chia sẻ file, ping máy chủ, cung cấp các dịch vụ cơ bản chẳng hạn như DSN và DHCP.
So với Windows Firewall có trong Windows XP SP2, Windows Firewall được sử dụng trong Windows Server 2008 có nhiều cải thiện hơn, những cải thiện này gồm có:
  • Windows Firewall hỗ trợ lọc kết nối IPv6
  • Bằng cách sử dụng phương pháp lọc gói dữ liệu gửi đi, bạn có thể bảo vệ máy tính mình chống lại spyware và virus muốn liên lạc với máy tính từ bên ngoài.
  • Với bộ lọc gói nâng cao, các rule cũng có thể được chỉ định cho các địa chỉ IP nguồn và đích và dải cổng.
  • Các rule có thể được cấu hình cho các dịch vụ bởi tên dịch vụ được chọn từ danh sách, không cần chỉ định tên file và đường dẫn đầy đủ.
  • IPSec được tích hợp hoàn toàn với Windows Firewall, cho phép các kết nối được phép hoặc từ chối dựa trên các chứng chỉ bảo mật, thẩm định Kerberos và,… Mã hóa cũng được yêu cầu cho các kiểu kết nối.
  • Một giao diện quản lý mới mang tên Windows Firewall with Advanced Security cung cấp sự truy cập đến nhiều tùy chọn nâng cao và cho phép quản trị từ xa.
  • Bạn có thể sử dụng profile tường lửa riêng cho những thời điểm khác nhau, chẳng hạn như các máy tính được gia nhập vào miền, được kết nối đến một mạng riêng hoặc mạng công.
Cấu hình cơ bản
Windows Firewall được bật mặc định. Khi Windows Firewall được bật, hầu hết các chương trình đều bị khóa khi truyền thông qua tường lửa. Nếu muốn mở khóa cho một chương trình nào đó, bạn có thể bổ sung nó vào danh sách ngoại lệ Exceptions (trên tab Exceptions). Ví dụ, bạn có thể không thể gửi các ảnh trong instant message cho tới khi thêm chương trình instant message này vào danh sách các ngoại lệ. Để thêm một chương trình nào đó vào danh sách này, bạn chỉ cần kích nút Add program và chọn nó từ danh sách có sẵn hoặc duyệt đến nó bằng cách kích nút Browse.
Để bật hoặc tắt tường lửa Windows, bạn có thể thực hiện theo các bước sau:
  • Mở Windows Firewall bằng cách kích nút Start, kích Control Panel, Security, Windows Firewall.
  • Kích Turn Windows Firewall On hoặc Off (xem hình 3). Nếu được nhắc nhở về mật khẩu và sự xác nhận quản trị viên, hãy đánh vào mật khẩu và cung cấp sự xác nhận.
Figure 5.3
Hình 3: Các tùy chọn của Windows Firewall trong Control Panel.
  • Kích On (được khuyến khích) hoặc Off (không được khuyến khích), sau đó kích OK.
Nếu bạn muốn tường lửa khóa mọi thứ, trong đó gồm có các chương trình được chọn trong tab Exceptions, hãy chọn hộp kiểm Block All Incoming Connections. Tính năng Block All Incoming Connections sẽ khóa tất cả các cố gắng được gửi đi một cách tự nguyện để kết nối đến máy tính của bạn. Sử dụng thiết lập này khi bạn muốn có được sự bảo vệ tối đa cho máy tính của mình, chẳng hạn như khi bạn kết nối đến một mạng công trong một khách sạn hay một sân bay nào đó, hoặc khi sâu máy tính đang lây nhiễm trên mạng Internet. Với thiết lập này, bạn không được thông báo khi Windows Firewall khóa các chương trình, và các chương trình trong danh sách ngoại lệ cũng bị bỏ qua.
Giao diện Windows Firewall Settings có ba tab:
  • General: Cho phép bạn bật hoặc tắt tường lửa, cũng như khóa tất cả các kết nối gửi đến, dù bạn đã cấu hình ngoại lệ.
  • Exceptions: Cho phép bạn cấu hình các chương trình và các cổng được phép truyền thông vào và ra từ máy tính Windows Vista của mình. Chỉ tạo một ngoại lệ được yêu cầu và bỏ các ngoại lệ mà bạn không cần thiết. Không bao giờ tạo một ngoại lệ cho một chương trình khi bạn đang ở chức năng không an toàn của chương trình đó.
  • Advanced: Cho phép bạn chọn giao diện mạng mà bạn muốn Windows Firewall bảo vệ.
Để cấu hình các chương trình như các ngoại lệ,
  1. Mở Windows Firewall bằng cách vào Start > Control Panel > Security > Windows Firewall.
  2. Kích Allow a program through Windows Firewall. Nếu gặp nhắc nhở về mật khẩu quản trị viên và sự xác nhận, hãy đánh vào đó mật khẩu và cung cấp sự xác nhận.
  3. Trong hộp thoại Windows Firewall, chọn tab Exceptions, sau đó kích Add Program.
  4. Trong hộp thoại Add A Program, chọn chương trình trong danh sách Programs hoặc kích Browse để sử dụng hộp thoại Browse để tìm chương trình.
  5. Mặc định, bất cứ máy tính nào, gồm có cả các máy tính trên Internet cũng đều có thể truy cập vào chương trình này từ xa. Để hạn chế một số sự truy cập, hãy kích Change Scope.
  6. Kích OK ba lần để đóng tất cả các hộp thoại đang mở.
Để mở một cổng trong Windows Firewall,
  1. Mở Windows Firewall bằng cách kích Start, Control Panel, Security, Windows Firewall.
  2. Kích Allow a program through Windows Firewall. Nếu gặp nhắc nhở về mật khẩu quản trị viên và sự xác nhận, hãy đánh vào đó mật khẩu và cung cấp sự xác nhận.
  3. Kích Add port.
  4. Trong hộp Name, đánh vào tên để giúp bạn nhớ cổng được sử dụng cho mục đích gì.
  5. Trong hộp thoại Port number, đánh vào số cổng.
  6. Kích TCP hoặc UDP, phụ thuộc vào giao thức
  7. Mặc định, bất cứ máy tính nào, gồm có cả các máy tính trên mạng Internet, cũng đều có thể truy cập vào chương trình này từ xa. Để thay đổi phạm vi cho cổng, kích Change scope, sau đó kích tùy chọn mà bạn muốn sử dụng (Từ “Scope” ám chỉ một tập các máy tính có thể sử dụng cổng này).
  8. Kích OK hai lần để đóng tất cả các hộp thoại đang mở.
Windows Firewall with Advanced Security
Tương tự với Windows Firewall with Advanced Security được giới thiệu trong Windows Vista, Windows Firewall with Advanced Security trong Windows Server 2008 là một Microsoft Management Console (MMC) snap-in cho phép bạn thiết lập và xem các rule gửi đến và gửi đi một cách chi tiết, tích hợp với bảo mật giao thức Internet (IPSec)..
Giao diện quản lý Windows Firewall with Advanced Security cho phép bạn có thể cấu hình:
  • Inbound rules: Windows Firewall sẽ khóa các lưu lượng gửi đến trừ khi được cho phép bởi một rule nào đó.
  • Outbound rules: Windows Firewall sẽ cho phép tất cả lưu lượng gửi đi trừ khi bị khóa bởi một rule.
  • Connection security rules: Windows Firewall sử dụng một rule bảo mật kết nối để thực thi sự thẩm định giữa hai máy tính ngang hàng trước khi chúng có thể thiết lập một kết nối và bảo đảm các thông tin được truyền tải giữa hai máy tính. Các rule bảo mật kết nối sử dụng Ipsec để thực thi các yêu cầu bảo mật.
  • Monitoring: Windows Firewall sử dụng giao diện kiểm tra để hiển thị các thông tin về các rule tường lửa hiện hành, các rule bảo mật kết nối và các vấn đề bảo mật liên quan.
Windows Firewall được bật mặc định. Khi Windows Firewall được bật, hầu hết các chương trình đều bị khóa không cho phép truyền thông qua tường lửa. Nếu bạn muốn mở khóa cho một chương trình nào đó, bạn có thể thêm nó vào danh sách Exceptions (trên tab Exceptions). Cho ví dụ, bạn có thể không thể gửi các ảnh trong instant message cho tới khi thêm chương trình instant message này vào danh sách các ngoại lệ. Để thêm một chương trình nào đó vào danh sách này, bạn hãy xem phần cho phép một chương trình truyền thông qua tường lửa.
Để bật hoặc tắt Windows Firewall:
  1. Mở Windows Firewall with Advanced Security nằm trong Administrative Tools.
  2. Kích Windows Firewall Properties.
  3. Bên dưới trạng thái tường lửa, chọn On (khuyến khích) hoặc Off (không được khuyến khích) và kích nút OK. Xem trong hình 4.
Figure 5.4
Hình 4: Thuộc tính của Windows Firewall
Tạo các rule gửi đến và gửi đi
Bạn có thể tạo các rule gửi đến để kiểm soát sự truy cập đến máy tính của mình từ mạng. Các rule này có thể ngăn chặn:
  • Phần mềm không mong muốn bị copy vào máy tính của bạn
  • Sự truy cập trái phép hoặc không tự nguyện vào dữ liệu trên máy tính của bạn
  • Cấu hình không mong muốn của máy tính của bạn từ các location từ xa.
Để cấu hình các thuộc tính nâng cao cho một rule bằng Windows Firewall with Advanced Security, bạn hãy thực hiện theo các bước dưới đây:
  • Kích phải vào tên của rule gửi đến (inbound) và kích Properties.
  • Từ hộp thoại Properties cho rule gửi đến, cấu hình các thiết lập trên các tab dưới đây:
    • General: Tên của rule, chương trình mà rule áp dụng, hành động của rule (cho phép các kết nối, chỉ cho phép các kết nối an toàn hoặc khóa).
    • Programs and Services: Chương trình hoặc dịch vụ mà rule áp dụng.
    • Users and Computers: Nếu hành động của rule là chỉ cho phép các kết nối an toàn, thì tài khoản máy tính sẽ được thẩm định để tạo các kết nối an toàn.
    • Protocols and Ports: Giao thức IP của rule, các cổng TCP hoặc UDP nguồn và đích và các thiết lập ICMP hoặc ICMPv6.
    • Scope: Các địa chỉ đích và nguồn của rule.
    • Advanced: Profile hoặc kiểu giao diện rule áp dụng.
Bạn cũng có thể sử dụng Windows Firewall with Advanced Security để tạo các rule gửi đi nhằm kiểm soát sự truy cập vào tài nguyên mạng từ máy tính của mình. Các rule gửi đi có thể ngăn chặn:
  • Các tiện ích trên máy tính của bạn truy cập vào tài nguyên mạng mà bạn không hề hay biết.
  • Các tiện ích trên máy tính của bạn download phần mềm mà bạn không biết.
  • Người dùng trên máy tính bạn download phần mềm mà bạn không biết.
Chỉ định Firewall Profile
Một firewall profile là một cách của các thiết lập nhóm, chẳng hạn như các rule tường lửa và các rule bảo mật kết nối được sử dụng cho máy tính, phụ thuộc vào nơi máy tính được kết nối đến. Trên các máy tính đang chạy phiên bản Windows này, có ba profile của Windows Firewall with Advanced Security. Chỉ một profile được sử dụng ở một thời điểm nào đó.
Các profile được cung cấp ở đây là:
  • Domain: Được sử dụng khi một máy tính được kết nối đến một mạng mà tài khoản miền của máy tính cư trú.
  • Private: Được sử dụng khi một máy tính được kết nối với một mạng mà ở đó tài khoản miền của máy tính không cư trú, chẳng hạn như một mạng gia đình. Các thiết lập riêng tư cần phải hạn chế hơn so với các thiết lập profile miền.
  • Public: Được sử dụng khi một máy tính kết nối đến một miền thông qua mạng công, chẳng hạn như các mạng ở sân bay và quán cà phê. Các thiết lập profile công cần phải hạn chế nhất vì máy tính được kết nối với mạng public sẽ không có sự bảo vệ về mặt an toàn như bên trong môi trường công ty.
Sử dụng lệnh netsh để cấu hình Windows Firewall
Để xem cấu hình tường lửa hiện hành, gồm có các cổng đã được mở, bạn có thể sử dụng lệnh dưới đây:
netsh firewall show state
Lưu ý: Nếu trạng thái của tường lửa hiển thị rằng chế độ Operational được thiết lập là Enable thì điều này có nghĩa rằng Windows Firewall đang được kích hoạt nhưng không cổng nào được mở.
Để mở các cổng tại tường lửa cho DNS (cổng 53), bạn có thể sử dụng lệnh sau:
netsh firewall add portopening ALL 53 DNS-server
Để xem cấu hình tường lửa, sử dụng lệnh:
netsh firewall show config
Để vào ngữ cảnh netsh advfirewall, tại nhắc lệnh, đánh:
netsh
Khi bạn vào được ngữ cảnh netsh, nhắc lênh sẽ hiển thị >netsh. Tại nhắc lệnh >netsh bạn nhập vào kiểu ngữ cảnh advfirewall:
advfirewall
Khi nằm trong ngữ cảnh advfirewall, bạn có thể đánh các lệnh trong ngữ cảnh đó.
Các lệnh này gồm có:
  • Export: Export chính sách tường lửa hiện hành vào một file.
  • Help: Hiển thị danh sách các lệnh có sẵn.
  • Import: Import một chính sách từ một file nào đó.
  • Reset: Khôi phục Windows Firewall with Advanced Security về chính sách mặc định.
  • Set: Hỗ trợ lệnh dưới đây:
    • set file: Copy đầu ra của giao diện điều khiển vào một file.
    • set machine: Thiết lập máy tính hiện hành để hoạt động.
    • show: Hiển thị các thuộc tính cho profile riêng. Ví dụ như show allprofiles, show domainprofile, show privateprofile and show publicprofile.
Bổ sung thêm các lệnh có sẵn cho ngữ cảnh advfirewall, advfirewall cũng hỗ trợ một vài ngữ cảnh con. Để nhập vào ngữ cảnh con, đánh tên của ngữ cảnh con tại nhắc lệnh netsh advfirewall>. Các ngữ cảnh con có sẵn là:
  • consec: Cho phép bạn xem và cấu hình các rule kết nối bảo mật máy tính.
  • Firewall: Cho phép bạn xem và cấu hình các rule tường lửa.
  • Monitor: Cho phép bạn xem và thiết lập cấu hình kiểm tra.
Quản lý Windows Firewall with Advanced Security thông qua Group Policy
Để tập trung cấu hình một số lượng lớn các máy tính trong một mạng tổ chức có sử dụng dịch vụ thư mục Active Directory, bạn có thể triển khai các thiết lập cho Windows Firewall with Advanced Security thông qua GP (Group Policy). Group Policy cung cấp sự truy cập đến toàn bộ tập các tính năng của Windows Firewall with Advanced Security, gồm có các thiết lập profile, rule và các rule bảo mật kết nối máy tính.
Network Address Translation
Do các địa chỉ IPv4 là một tài nguyên có hạn và đã đến lúc đáng báo động, do đó hầu hết các ISP đều chỉ cung cấp một địa chỉ cho một khách hàng nào đó. Trong phần lớn các trường hợp, địa chỉ này được gán động, vì vậy mỗi lần máy khách kết nối đến IPS, một địa chỉ khác sẽ được cung cấp. Các công ty lớn có thể mua thêm các địa chỉ khác, tuy nhiên cac công ty nhỏ và những người dùng gia đình thì chi phí đó là không thể. Do những người dùng như vậy chỉ nhận được một địa chỉ IP, nên họ chỉ có thể có một máy tính được kết nối với Internet tại một thời điểm.
Tổng quan về NAT (Network Address Translation)
Công nghệ Network address translation (NAT) được phát triển để cung cấp một giải pháp tạm thời cho vấn đề hết địa chỉ của IPv4. NAT là một phương pháp kết nối nhiều máy tính với Internet (hoặc bất cứ mạng IP nào) bằng cách sử dụng một địa chỉ IP. Với NAT gateway đang chạy trên một máy tính, nó có thể chia sẻ địa chỉ giữa các máy tính nội bộ và kết nối tất cả chúng với mạng Internet cùng lúc. Thế giới bên ngoài không hề biết đến sự phân chia này mà chỉ nghĩ rằng chỉ có một máy tính được kết nối.
Để khắc phục một số vấn đề bảo mật, một số sản phẩm tường lửa đã được cung cấp. Các tường lửa này được đặt giữa người dùng và Internet để thẩm định tất cả lưu lượng trước khi cho phép nó đi qua. Điều này có nghĩa, người dùng không được thẩm định sẽ không được phép truy cập vào các file của công ty hoặc máy chủ email.
NAT tự động cung cấp sự bảo vệ kiểu tường lửa mà không cần cài đặt. Mục đích cơ bản của NAT là ghép lưu lượng từ mạng bên trong và thể hiện với mạng Internet cứ như thể nó được gửi đến từ một máy tính có địa chỉ IP duy nhất đó. Các giao thức TCP/IP cho phép ghép kênh để bất kỳ máy tính nào cũng có thể duy trì nhiều kết nối một cách đồng thời với máy tính từ xa. Cho ví dụ, một máy khách bên trong có thể kết nối với một máy chủ FTP bên ngoài, tuy nhiên một máy khách bên ngoài lại không thể kết nối với máy chủ FTP bên trong vì nó phải tạo kết nối và NAT không cho phép điều đó. Tuy nhiên vẫn có thể làm cho một số máy chủ bên trong có sẵn đối với thế giới bên ngoài thông qua việc bản đồ hóa việc gửi dữ liệu đi, bản đồ này được biết đến như các cổng TCP để cho các địa chỉ bên trong cụ thể, như vậy sẽ tạo được các dịch vụ như FTP hoặc web có sẵn trong cách có kiểm soát.
Một NAT gateway hiện đại phải thay đổi địa chỉ nguồn trên các gói dữ liệu gửi đi để nó trở thành địa chỉ công. Chính vì vậy nó cũng đánh số lại các cổng nguồn để trở thành duy nhất, từ đó có thể dõi theo mỗi kết nối máy khách. NAT gateway sử dụng bảng bản đồ hóa cổng để nhớ cách nó đánh số lại các cổng cho mỗi gói dữ liệu được gửi ra của máy khách. Bảng bản đồ hóa cổng có liên quan với địa chỉ IP nội bộ của máy khách và cổng nguồn cộng với số cổng nguồn được dịch của nó cho địa chỉ đích và cổng. Chính vì vậy NAT gateway có thể đảo ngược quá trình các gói trả về và định tuyến chúng quay trở lại đúng các máy khách.
Kích hoạt NAT
Để kích hoạt việc đánh địa chỉ của NAT, bạn có thể thực hiện theo các bước sau:
  1. Mở Routing and Remote Access.
  2. Để thêm NAT, kích phải vào General nằm bên dưới IPv4 và chọn New Routing Protocol. Chọn NAT và kích OK.
  3. Trong cây giao diện, kích NAT bên dưới IPv4.
  4. Kích chuột phải vào NAT, sau đó kích Properties.
  5. Trên tab Address Assignment, chọn Automatically Assign IP Addresses bằng hộp kiểm Using the DHCP Allocator.
  6.  (Tùy chọn) Để tìm đến các máy khách DHCP trên mạng riêng, trong địa chỉ IP và Mask, cấu hình dải các địa chỉ IP.
  7.  (Tùy chọn) Để loại ra các địa chỉ từ một vị trí nào đó cho các máy khách DHCP trên mạng riêng, kích Exclude, Add, sau đó cấu hình các địa chỉ.
Để chỉ định các giao diện trong và ngoài, kích phải vào NAT bên dưới IPv4 và chọn New Interface. Chọn giao diện vật lý và kích OK. Chỉ định Private Interface Connected to the Private Network hoặc Public Interface Connected to the Internet. Nếu chọn Public Interface Connected to the Internet, bạn sẽ phải chọn tiếp Enable NAT on This Interface. Kích OK.
Để chuyển tiếp một giao thức đến một máy chủ bên trong nào đó thông qua máy chủ NAT, thực hiện theo các bước sau:
  1. Kích phải vào giao diện chung và chọn Properties.
  2. Chọn tab Services and Ports
  3. Chọn giao thức mà bạn muốn chuyển tiếp.
  4. Khi hộp thoại Edit Services xuất hiện, chỉ định địa chỉ riêng và kích OK để đóng hộp thoại Edit Services.
  5. Kích OK để đóng hộp thoại Properties.
NAT và Teredo
Lưu lượng IPv6 được tạo đường hầm bằng Teredo không phải là chủ đề đối với chức năng lọc gói dữ liệu IPv4 của các NAT. Mặc dù điều này có vẻ giống như Teredo đi qua NAT và cho phép lưu lượng IPv6 có tiền ẩn mã độc trên các mạng riêng, tuy nhiên chúng ta hãy xem xét các vấn đề dưới đây:
  • Teredo không thay đổi hành vi của các NAT. Các máy khách Teredo tạo các entry bảng dịch NAT động cho lưu lượng Teredo của riêng chúng. NAT chuyển tiếp lưu lượng Teredo gửi đến đến host đã tạo bảng dịch NAT tương ứng. NAT không chuyển tiếp lưu lượng Teredo đến các máy tính trên mạng riêng không có các máy khách Teredo.
  • Các máy khách Teredo sử dụng tường lửa stateful hỗ trợ lưu lượng IPv6 (chẳng hạn như Windows Firewall) được bảo vệ đối với lưu lượng IPv6 gửi đến không xác thực. Windows Firewall được kích hoạt mặc định cho Windows XP SP2, Windows Vista và Windows Server 2008.
Nếu bạn muốn Teredo truyền thông qua một máy tính Windows Server 2008 với tường lửa được kích hoạt, bạn cần phải cấu hình tường lửa để cho phép sử dụng Teredo.
Một số câu hỏi trắc nghiệm về kiến thức
1. Có một máy tính Windows Server 2008 ở văn phòng công ty và một máy tính Windows Server 2008 ở một địa điểm ở xa khác. Để cấu hình việc định tuyến trên máy chủ tại văn phòng chi nhánh bạn cần thực hiện những gì?
bull.jpg A. Cài đặt Routing and Remote Access role và kích hoạt IPv4 LAN routing.
bull.jpg B. Chạy lệnh netsh interface ipv4 enable.
bull.jpg C. Kích hoạt NAT bằng cách thực thi lệnh netsh NAT enable.
bull.jpg D. Cài đặt NPS role trên máy chủ.
2. Có một máy chủ Windows Server 2008. Yêu cầu cần phải thêm một tuyến tĩnh mới vào bảng định tuyến trên máy chủ. Tuyến mới này đến ID mạng là 192.168.126.0 và subnet mask 255.255.255.0, sử dụng gateway mặc định là 192.168.125.1. Bạn cần sử dụng lệnh gì để thực hiện điều này?
bull.jpg A. route -p 192.168.126.0 mask 255.255.255.0 192.168.125.1 metric 2
bull.jpg B. route add 192.168.126.0 mask 255.255.255.0 192.168.125.1 metric 2
bull.jpg C. route add 192.168.126.0 255.255.255.0 192.168.125.1 metric 2
bull.jpg D. route add 192.168.126.0 mask 255.255.255.0 gateway 192.168.125.1 metric 2
3. Cho một mạng có một vài mạng con. Windows Server 2008 router đã được sử dụng để kết nối các mạng con. Yêu cầu cần cấu hình một tuyến tĩnh. Router tĩnh không bị xóa khỏi bảng định tuyến khi máy tính bị khởi động lại. Tham số nào dưới đây cần sử dụng với lệnh route?
bull.jpg A. /f
bull.jpg B. /s
bull.jpg C. /r
bull.jpg D. /p
4. Một máy chủ đang chạy Windows Server 2008. Nhiệm vụ của bạn là cần ngăn chặn sao cho máy tính không thiết lập các session truyền thông đến các máy tính khác bằng TCP port 21. Bạn phải làm gì?
bull.jpg A. Từ Windows Firewall, bổ sung thêm một ngoại lệ.
bull.jpg B. Từ Windows Firewall, kích hoạt tùy chọn Block All Incoming Connections
bull.jpg C. Từ Windows Firewall with Advanced Security snap-in, tạo một rule gửi đến.
bull.jpg D. Từ Windows Firewall with Advanced Security snap-in, tạo một rule gửi đi.
5. Có một máy tính Windows Server 2008. Để vô hiệu hóa tất cả các kết nối gửi đến máy chủ bạn cần thực hiện những gì?
bull.jpg A. Từ Services snap-in, vô hiệu hóa Server service.
bull.jpg B. Từ Services snap-in, vô hiệu hóa dịch vụ Net Logon service.
bull.jpg C. Vô hiệu hóa Windows Firewall with Advanced Security.
bull.jpg D. Từ Windows Firewall, kích hoạt tùy chọn Block All Connections trên Domain Profile.
6. Mạng của bạn gồm có 7 mạng con. Tất cả các mạng con được kết nối bởi các máy Windows Server 2008 bằng RRAS. Các kết nối demand-dial không bền đã được cấu hình. Bạn không muốn gắng nặng trong việc nâng cấp các bảng định tuyến mà chỉ muốn bất cứ thay đổi nào xảy ra với topo mạng đều được phổ biến ngay lập tức. Tùy chọn nào dưới đây bạn cần chọn?
bull.jpg A. Static routes
bull.jpg B. ICMP
bull.jpg C. OSPF
bull.jpg D. RIPv2
7. Mạng gồm có ba mạng con khác nhau. Định tuyến động đang được thực thi trên ba máy tính đang chạy Windows Server 2008, Routing and Remote Access của các máy tính này đã được kích hoạt. Bạn mở giao diện điều khiển Routing and Remote Access trên máy chủ đầu tiên và cấu hình máy tính để định tuyến LAN. Sau đó chọn New Routing Protocol từ nút General trong nút IP Routing và chọn RIP version 2 cho Internet Protocol từ hộp thoại New Routing Protocol. Điều tiếp theo bạn cần thực hiện là gì?
bull.jpg A. Bổ sung địa chỉ IP của máy chủ DHCP vào hộp thoại thuộc tính cho DHCP Relay Agent.
bull.jpg B. Bổ sung thêm giao diện mà RIP sẽ chạy, bằng RIP node.
bull.jpg C. Sử dụng lệnh route để cấu hình các tuyến đến cá mạng con từ xa.
bull.jpg D. Sử dụng lệnh route để xóa tất cả các router tĩnh từ các bảng định tuyến.
8. Bạn là một quản trị mạng cho công ty mình. Tất cả các máy chủ đang chạy Microsoft Windows Server 2008. Một vài máy chủ được cấu hình là router với RIP đã được kích hoạt. Bạn muốn loại từ ra việc xuất hiện các vòng lặp định tuyến. Do đó bạn đã mở cửa sổ thuộc tính của giao diện được gán cho giao thức RIP và chọn tab Advanced. Tùy chọn nào dưới đây hội tụ đủ các yêu cầu đó?
bull.jpg A. Kích hoạt split-horizon processing.
bull.jpg B. Kích hoạt triggered updates
bull.jpg C. Xử lý các tuyến host trong các thông báo nhận được
bull.jpg D. Vô hiệu hóa subnet summarization
9. Bạn có một mạng với một vài máy tính Windows Server 2008. Công ty của bạn vừa mới mở một văn phòng từ xa. Bạn có trách nhiệm cấu hình một kết nối two-way demand-dial giữa văn phòng công ty và văn phòng từ xa đó. Bạn cấu hình các demand-dial router với các thiết lập dưới đây:
    • Corporate Office Router Settings:
      • Interface: SRV02_Public
      • User Account: SRV02
      • Calling Number: 555-3434
    • Site Router Settings:
      • Interface: SRV01_Public
      • User Account: SRV01
      • Calling Number: 555-1212
Khi thực hiện test cấu hình của mình xem router có thể thiết lập kết nối hay không. Thứ bạn cần thực hiện lúc này là gì?
 
bull.jpg A. Thay đổi tên giao diện trên router trong văn phòng chính thành SRV01_Public.
bull.jpg B. Thay đổi tên giao diện demand-dial trên mỗi router sao cho tương ứng với tên của tài khoản người dùng trên router trả lời từ xa.
bull.jpg C. Thay đổi tên giao diện trên router trong văn phòng chi nhánh thành SRV02_Public.
bull.jpg D. Thay đổi tên được gán cho các tài khoản người dùng trên mỗi router để chúng giống nhau.
10. Bạn có một máy chủ Windows Server 2008 đã được cấu hình như một máy chủ NAT. Nhiệm vụ của bạn là cần bảo đảm cho các quản trị viên có thể truy cập vào máy chủ có tên FS1 bằng FTP. Những gì bạn cần thực hiện ở đây?
bull.jpg A. Cấu hình NAT1 để chuyển tiếp các cổng 20 và 21 đến FS1.
bull.jpg B. Cấu hình NAT1 để chuyển tiếp các cổng 80 và 443 đến FS1.
bull.jpg C. Cấu hình NAT1 để chuyển tiếp cổng 25 đến FS1.
bull.jpg D. Cấu hình NAT1 để chuyển tiếp cổng 3389 đến FS1.
11. Bạn có một máy chủ Windows Server 2008 với IPv4, IPv6 và NAT tại văn phòng công ty và các văn phòng chi nhánh. Những gì bạn cần thực hiện ở đây để cho phép các máy tính IPv6 từ văn phòng công ty và các văn phòng chi nhánh có thể sử dụng Teredo để truyền thông với nhau?
bull.jpg A. Cấu hình NAT động trên tường lửa.
bull.jpg B. Cấu hình tường lửa để sử dụng Teredo.
bull.jpg C. Kích hoạt tuyến tĩnh giữa hai mạng.
bull.jpg D. Nạp Teredo emulator
 
Đáp án cho các câu hỏi trên
  1. Câu A đúng. Bạn cần cài đặt Routing and Remote Access role và sau đó cần kích hoạt IPV4 LAN routing.. Câu B là sai vì lệnh netsh không được sử dụng để kích hoạt việc định tuyến mà nó chỉ có thể được sử dụng để cấu hình giao diện mạng. Câu trả lời C sau vì NAT không thể định tuyến và bạn không thể sử dụng lệnh netsh để kích hoạt NAT. Câu trả lời D cũng sai vì NPS không cho phép việc định tuyến. NPS được sử dụng như một máy chủ RADIUS và cho phép thực thi các chính sách RADIUS.
     
  2. Câu B đúng. Cú pháp đúng khi bổ sung các tuyến tĩnh mới bằng lệnh route là route add mask metric. Câu A, C và D là sai vì chúng không sử dụng đúng cú pháp.
     
  3. Câu D đúng. Bạn sử dụng tham số /p để thêm một tuyến bền vào bảng định tuyến. Tuyến này sẽ không bị xóa khỏi bảng định tuyến khi router khởi động lại. Các câu còn lại là sai.
     
  4. Câu D đúng. Bạn cần tạo một rule cho các gói dữ liệu gửi ra (outbound rule) bằng cách sử dụng Windows Firewall with Advanced Security snap-in để khóa cổng 21. Câu A và B sai vì bạn đang sử dụng Windows Firewall with Advanced Security snap-in với máy tính Windows Server 2008 để điều chỉnh những gì nó cung cấp trên Windows Firewall chuẩn. Thêm vào đó, một ngoại lệ sẽ được sử dụng để cho phép lưu lượng, nếu bạn khóa tất cả các kết nối gửi đến, các giao thức khác cũng sẽ bị khóa và không có lưu lượng nào có thể đi qua máy chủ. Câu C sai vì bạn muốn một rule cho các gói dữ liệu gửi ra, không phải gói gửi vào vì lưu lượng từ máy chủ này đến các máy chủ khác sẽ là lưu lượng gửi đi.
     
  5. Câu D đúng. Bạn có thể mở Windows Firewall, kích hoạt Block All Connections để vô hiệu hóa tất cả các kết nối gửi đến. Domain profile được sử dụng khi một máy tính được kết nối với một mạng mà tài khoản miền của máy tính này cư trú. Câu A sai vì dịch vụ Server sẽ ngừng tính năng chia sẻ file và máy in. Dịch vụ Net Logon ngăn chặn các đăng nhập nhưng không ngăn chặn tất cả các kết nối cần thiết. Câu C si vì việc vô hiệu hóa tường lửa sẽ cho phép tất cả lưu lượng đi qua nó.
     
  6. Câu D đúng. Để những thay đổi được phổ biến trong toàn mạng khi xuất hiện và để giảm gánh nặng quản trị có liên quan tới việc nâng cấp các bảng định tuyến, lúc này phải cần đến một giao thức định tuyến. Vì OSPF không thể được sử dụng với các kết nối không bền và OSPF không có sẵn trong Windows Server 2008, nên chúng ta phải sử dụng RIPv2. Câu A và C là sai. Câu B cũng sai vì ICMP không phải là giao thức định tuyến.
     
  7. Câu B đúng. Bạn cần phải sử dụng menu ngữ cảnh của nút Routing Interface Protocol (RIP) để thêm một giao diện vào RIP. Khi thêm một giao thức định tuyến, giao thức sẽ không được cấu hình mặc định để sử dụng giao diện, chính vì vậy bạn phải nhận ra giao diện đó và các giao diện khác, chẳng hạn như kết nối LAN mà giao thức có thể sử dụng. Câu A sai vì kịch bản không chỉ thị rằng có máy chủ DHCP trên mạng. Câu C sai vì các bảng định tuyến được xây dựng tự động. Câu D sai vì không cần gỡ bỏ các tuyến tĩnh từ bảng định tuyến.
     
  8. Câu A đúng. Câu trả lời đúng là kích hoạt split-horizon processing. Bạn phải chọn tùy chọn này để bảo đảm rằng bất cứ tuyến nào đã biết từ một mạng đều không được gửi đi như một thông báo RIP ttreen mạng. Khi tùy chọn này được kích hoạt, một router không thể quảng bá một tuyến trên cùng một kết nối mà nó đã biết. Câu B,C và D không trợ giúp việc loại trừ các vòng lặp định tuyến.
     
  9. Câu B đúng. Bạn phải thay đổi tên tài khoản người dùng trên mỗi router để tương ứng với tên được gán cho giao diện demand-dial trên router trả lời. Để kết nối two-way demand-dial làm việc, tài khoản người dùng được sử dụng cho việc thẩm định phải giống tên được gán cho giao diện demand-dial. Tên của giao diện demand-dial của router văn phòng chi nhánh phải được thay đổi thành SRV02. Tên của giao diện demand-dial ở router văn phòng chính phải được thay đổi thành SRV01. Câu D sai vì các tài khoản người dùng đã sử dụng cho việc thẩm định từ xa giữa các router demand-dial không cần thiết phải giống nhau. Câu A và C sai vì tên giao diện demand-dial trên router gọi phải giống với tên tài khoản người dùng trên router gọi.
     
  10. Câu A đúng. Bạn cần chuyển tiếp cổng 20 và 21 đến FS1. Các cổng 20 và 21 là các cổng được sử dụng bởi FTP. Câu B sai vì cổng 80 và 443 được sử dụng bởi web server. Câu C sai vì cổng 25 được sử dụng cho SMTP. Câu D sai vì cổng 3389 được sử dụng bởi Remote Desktop Protocol.
     
  11. Câu B đúng. Mặc định, tường lửa được khởi chạy và Teredo bị khóa. Câu A sai vì bạn đã có NAT. Câu C sai vì đã có nhiều tuyến giữa các chi nhánh. Câu D sai vì Teredo emulator không như vậy.

Theo Gtsvn.com - Doc Co

Topics:

About Học viện đào tạo trực tuyến

Xinh chào bạn. Tôi là Đinh Anh Tuấn - Thạc sĩ CNTT. Email: dinhanhtuan68@gmail.com .
- Nhận đào tạo trực tuyến lập trình dành cho nhà quản lý, kế toán bằng Foxpro, Access 2010, Excel, Macro Excel, Macro Word, chứng chỉ MOS cao cấp, IC3, tiếng anh, phần mềm, phần cứng .
- Nhận thiết kế phần mềm quản lý, Web, Web ứng dụng, quản lý, bán hàng,... Nhận Thiết kế bài giảng điện tử, số hóa tài liệu...
HỌC VIỆN ĐÀO TẠO TRỰC TUYẾN:TẬN TÂM-CHẤT LƯỢNG.
«
Next
Bài đăng Mới hơn
»
Previous
Bài đăng Cũ hơn
HỌC VIỆN ĐÀO TẠO TRỰC TUYẾN-TẬN TÂM-CHẤT LƯỢNG © 2014. All Rights Reserved.

Designed by dinhanhtuan68@gmail.com Tel: 098 909 5293