Giải Pháp  Hạ Tầng Mạng
 
Giải pháp sử dụng mã nguồn mở Vyatta thay thế Cisco và Fortinet (Phần II – Cấu Hình Dịch Vụ Trên Vyatta)
21:09 | 08/05/2011
I - DHCP server
Mô hình đơn giản về DHCP

 

Để cấu hình DHCP cho mạng lan 192.168.3.0/24 ta thực hiện những câu lệnh sau trong chế độ admin:
Đặt địa chỉ ip cho card mạng lan của router R1:

set interfaces ethernet eth1 address 192.168.3.1/24

Khai báo một mạng là kenhgiaiphap với subnet 192.168.3.0/24 trong dịch vụ dhcp-server:

set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24

Cấu hình dãy địa chỉ sẽ được cấp cho các máy trong kenhgiaiphap:

set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24 start 192.168.3.11 stop 192.168.3.100
Cấu hình địa chỉ DNS cho các máy trong kenhgiaiphap:

set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24 dns-server 8.8.8.8

Cấu hình default gateway cho các máy trong kenhgiaiphap:

set system gateway-address 192.168.3.1

Áp dụng các cấu hình vừa tạo và lưu lại:

commit 
save

Ta kiểm tra lại cấu hình vừa tao trong chế  độ  admin


Sau khi cấu hình DHCP ta phải cấu hình NAT để cho phép các máy trong mạng lan có thể truy cập Internet được:
Tạo nat rule 10 theo kiểu masquerade:

set service nat rule 10 type masquerade

NAT rule 10 dùng để nat cho mạng 192.168.3.0/24:

set service nat rule 10 source address 192.168.3.0/24

Dữ liệu sẽ được nat qua card mạng eth1:

set service nat rule 10 outbound-interface eth1

Áp dụng và lưu cấu hình vừa tạo:

commit
save

Xem lại cấu hình NAT trong chế độ admin

 

Kiểm tra những địa chỉ và port đang được NAT
 


II - Web Caching


Chức năng Web Caching của Vyatta giúp cho ta tiết kiệm được dung lượng ra internet không cần thiết, và tăng tốc truy cập của các máy trong mạng. Chức năng Web Caching của Vyatta đóng vai trò là proxy server, sẽ lưu trữ lại những yêu cầu gửi từ mạng lan ra internet, và sẽ cung cấp lại các thông tin đó khi nó được yêu cầu lại bởi các máy trong mạng nội bộ.

Mô hình:


 
Để cấu hình chức năng Web Cache cho mạng lan 192.168.3.0/24 ta thực hiện các câu lệnh:
Proxy server lắng nghe tại địa chỉ 192.168.3.1:

set service webproxy listen-address 192.168.3.1

Áp dụng và lưu cấu hình vừa tạo:

commit
save

Kiểm tra cấu hình vừa tạo bằng câu lệnh trong chế độ admin:
 

Ngoài ra ta có thể quy định  tăng hoặc giảm kích cỡ của bộ nhớ đệm dành cho proxy server bằng câu lệnh:
xMB là kích cỡ bộ nhớ đệm dành cho proxy, mặc định giá trị này là 100MB

set service webproxy cache-size

Thay đổi port mặc định của proxy server (mặc định là 3128): 

set service webproxy default-port

Không lưu vào bộ nhớ đệm của những tên miền(domain) nhất định bằng lệnh:

set service webproxy domain-noncache

Khi bật chức năng webcache mặc định Vyatta sẽ  tự động hoạt động như proxy server đối với mọi luồng dữ liệu đi theo cổng 80. Ta tắt chức năng này đi bằng câu lệnh:

set service webproxy listen-address disable-transparent

Lúc này nếu các máy trạm muốn sử  dụng proxy server cần  được cấu hình bằng tay proxy server trước.

III - NAT server

Vyatta hỗ  trợ các loại NAT bao gồm Source NAT, Destination NAT, và Masquerade NAT.
Các khái niệm trong NAT:
Vùng Inside: là vùng mạng riêng, không được truy cập từ bên ngoài nếu không được NAT, và sử dụng các lớp mạng private.
Vùng Outside: là vùng mạng bên ngoài (internet).
Card Inbound: Là card nhận các gói tin tới trong rule NAT
Card Outbound: là card mạng mà các gói tin sẽ đi ra trong rule NAT
 

Mô hình Vyatta với chức năng NAT server

Để cấu hình NAT  trong Vyatta  ta quy định các luật (các  rule) được đánh số, mỗi rule quy định cách hoạt động của NAT server .
Các kiểu NAT Vyatta hỗ trợ bao gồm:

A/ Source NAT (SNAT):


 
Một hoặc nhiều địa chỉ đi từ mạng trong ra bên ngoài sẽ được thay đổi địa chỉ nguồn, có thể là một hoặc nhiều địa chỉ nguồn. Do đó, source NAT có nhiều kiểu hoạt động:
One to One
One to Many
Many to Many
Many to One

B/ Destination NAT (DNAT):


 
Destination NAT được sử dụng khi ta cần cho phép các máy từ bên ngoài truy cập vào mạng riêng của ta, ví dụ như các dịch vụ Web, Mail, FTP, File Server v.v….
Destination NAT gồm nhiều loại:
One to One
One to Many

C/ Masquerade NAT:

Đây  là kiểu NAT thông dụng nhất, khi NAT kiểu MASQUERADE mọi dữ  liệu được NAT sẽ  sử  dụng một  địa chỉ  internet duy nhất  để  truy cập mạng giống  như  Source NAT, nhưng  các gói tin đi từ trong mạng lan ra mạng bên ngoài thông qua server NAT sẽ chỉ ràng buộc với card mạng mà các gói tin đó sẽ dùng để đi ra mạng ngoài.
Khi NAT theo kiểu MASQUERADE, việc  thay  đổi  địa chỉ  của card mạng giao tiếp phía ngoài sẽ không ảnh hưởng, vì vậy nên sử dụng NAT kiểu MASQUERADE nếu router Vyatta là thiết bị làm gateway ra internet của hệ thống.

Minh họa cấu hình NAT


Destination NAT
ONE TO ONE


 
Sử dụng DNAT one-to-one khi ta cần cho phép truy cập từ mạng công cộng vào các máy chủ dịch vụ trong mạng riêng, ví dụ như web server, mail server, file server.
Khi cấu hình DNAT:
Cần quy định địa chỉ IP và card mạng sẽ tiếp nhận kết nối tới.
Giao thức.
Cổng nhận kết nối.
Ví dụ mô hình trên, ta sẽ cấu hình cho phép truy cập web server với địa chỉ  riêng là 192.168.3.7 từ internet thông qua địa chỉ 192.168.0.17 thông qua port 80.
Các câu lệnh cấu hình như sau:
Quy định loại nat là DESTINATION:

set service nat rule 10 type destination

Kiểu kết nối là tcp:

set service nat rule 10 protocol tcp

Khai báo địa chỉ  ip của router, khi các máy bên ngoài truy cập vào địa chỉ này thì mới NAT:

set service nat rule 10 destination address 192.168.0.17

Cổng kết nối là cổng của giao thức http:

set service nat rule 10 destination port http

Card mạng nhận kết nối là eth1:

set service nat rule 10 inbound-interface eth1

Địa chỉ sẽ được nat tới:

set service nat rule 10 inside-address address 192.168.3.7

Tại máy 192.168.3.7(win2k3) cài dịch vụ IIS
 


Tạo 1 trang web index.htm tại đường dẫn C:\Inetpub\wwwroot\index.htm (nội dung tùy ý)
 


Truy cập vào router ADSL cấu hình port forwarding như sau:
 


Truy cập vào trang http://www.canyouseeme.org/ để xem ip mặt ngoài của router ADSL


 
Tại 1 máy client bất kỳ ở bất kỳ đâu(yêu cầu máy này phải có kết nối internet) mở 1 browser bất kỳ nhập vào ip 123.21.112.241


 
Hoàn thành Nat destination (nat ngược)
Kiểm tra cấu hình bằng câu lệnh show nat rules:
 
ONE TO MANY


 
DNAT one to many sử dụng trong trường hợp ta có nhiều máy chủ có cùng chức năng, ví dụ như web server, ftp server…
Mô hình trên sử dụng 2 web server với địa chỉ lan là 7 và 8 ta sử dụng DNAT với địa chỉ internet là 192.168.0.17.
Các câu lệnh cấu hình ở kiểu NAT này tương tự như DNAT one to one, nhưng khi cấu hình destination address ta sẽ  cấu hình DNAT tới dãy địa chỉ hoặc lớp địa chỉ được DNAT, câu lệnh:

set service nat rule 10 inside-address address 192.168.3.7-192.168.3.8

Kết luận:

Kết thúc phần 2 cấu hình các dịch vụ cơ bản cho vyatta,qua phần này ta có thể kết luận rằng vyatta không chỉ đơn thuần là 1 thiết bị định tuyến mà nó còn được tích hợp đầy đủ những dịch vụ cần thiết rất mềm dẻo trong những trường hợp cần tối ưu hóa thiết bị phù hợp cho những doanh nghiệp mới.
Qua phần 3 tôi sẽ trình bày về các giao thức định tuyến của Vyatta. Chúc các bạn thành công !

Hoàng Lâm (từ Vyatta)
 
Ý kiến phản hồi và bình luận Góp ý kiến của bạn

Lệnh "set" không hữu hiệu trong vyatta

Xin chào kenhgiaiphap.vn, em đã install vyatta từ file iso VC6.3 - 64 Bit Live CD iso và đã cài đặt thành công. Nhưng khi vào cấu hình lệnh "set" chỉ có 2 options là "date" và "system", không có các option khác như "interface", "service", ... Cho em xin hỏi là em có cấu hình thiếu bước không ạ. Xin cám ơn rất nhiều

(Trần Hữu Trung Tín)
Các tin mới nhất :
- Giải pháp Digital Signage cho các Hệ thống Siêu thị/Bán lẻ
- Giới thiệu cộng nghệ cáp đồng Copperten 10Gb/s
- Tốc độ Data Center thế hệ mới: 40Gb/s và 100Gb/s
- Tại sao chúng ta cần sử dụng cáp Amp netconnect và cách phân biệt cáp Amp chính hãng
- Kiến trúc cơ sở hạ tầng - phân tích hệ thống
- Những điều nên và không nên làm để đảm bảo an ninh cho mạng Wifi
- Giải pháp kết nối Internet tin cậy cho Doanh nghiệp
- Giới thiệu công nghệ chuyển mạch Trung tâm dữ liệu Cisco Nexus
- Giải pháp triển khai Dynamic Multipoint VPN
- Giải pháp hệ thống Wifi cho sân Golf
Các tin liên quan :
- Ứng dụng quản lý Cisco UCS Manager - Giải pháp quản lý toàn diện cho Hệ thống Điện toán Hợp nhất của Cisco (Phần 2)
- Giải pháp sử dụng mã nguồn mở Vyatta thay thế Cisco và Fortinet (Phần I – Giới Thiệu Về Vyatta)
- Ứng dụng quản lý Cisco UCS Manager - Giải pháp quản lý toàn diện cho Hệ thống Điện toán Hợp nhất của Cisco (Phần 1)
- Giải pháp Hệ thống Điện toán Hợp nhất của Cisco
- Tìm hiểu IPV6 và hướng chuyển đổi IPV4 sang IPV6
- Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 2)
- Hệ thống quản trị tòa nhà thông minh và hạ tầng mạng thông tin
- Giải pháp mạng Wireless của Alcatel-Lucent
- Giải pháp truy nhập cáp quang thế hệ mới
- Giải pháp Cisco Unified Communications 500 Series dành cho doanh nghiệp nhỏ
Xem tiếp
Bài nhiều người đọc cùng chuyên mục
Tìm hiểu công nghệ VPLS và BGP MPLS VPN
 
Phân tích và thiết kế mô hình mạng doanh nghiệp với thiết bị Cisco
 
Kiến trúc cơ sở hạ tầng - phân tích hệ thống
 
Thiết kế mạng Lan cho doanh nghiệp
 
BranchCache – P.1: Khái quát về BranchCache
 
Tìm Hiểu Về Hạ Tầng Công Nghệ Thông Tin cho Doanh Nghiệp
 
Giải pháp sử dụng mã nguồn mở Vyatta thay thế Cisco và Fortinet (Phần I – Giới Thiệu Về Vyatta)
 
Trang chủ | Giới thiệu | Quảng cáo | Liên hệ
Giấy phép ICP số 199/GP-TTĐT. Bộ Thông tin và Truyền thông cấp.
Cơ quan quản lý  : Công Ty Cổ Phần Kênh Giải Pháp
Bản quyền © 2010-2011 Kenhgiaiphap.vn . Giữ toàn quyền.
Ghi rõ nguồn "Kenhgiaiphap.vn" khi phát hành lại thông tin từ website này.