Giải pháp sử dụng mã nguồn mở Vyatta thay thế Cisco và Fortinet (Phần II – Cấu Hình Dịch Vụ Trên Vyatta)

I – DHCP server
Mô hình đơn giản về DHCP

 

Để cấu hình DHCP cho mạng lan 192.168.3.0/24 ta thực hiện những câu lệnh sau trong chế độ admin:
Đặt địa chỉ ip cho card mạng lan của router R1:

set interfaces ethernet eth1 address 192.168.3.1/24

Khai báo một mạng là kenhgiaiphap với subnet 192.168.3.0/24 trong dịch vụ dhcp-server:

set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24

Cấu hình dãy địa chỉ sẽ được cấp cho các máy trong kenhgiaiphap:

set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24 start 192.168.3.11 stop 192.168.3.100
Cấu hình địa chỉ DNS cho các máy trong kenhgiaiphap:

set service dhcp-server shared-network-name kenhgiaiphap subnet 192.168.3.0/24 dns-server 8.8.8.8

Cấu hình default gateway cho các máy trong kenhgiaiphap:

set system gateway-address 192.168.3.1

Áp dụng các cấu hình vừa tạo và lưu lại:

commit 
save

Ta kiểm tra lại cấu hình vừa tao trong chế  độ  admin

Sau khi cấu hình DHCP ta phải cấu hình NAT để cho phép các máy trong mạng lan có thể truy cập Internet được:
Tạo nat rule 10 theo kiểu masquerade:

set service nat rule 10 type masquerade

NAT rule 10 dùng để nat cho mạng 192.168.3.0/24:

set service nat rule 10 source address 192.168.3.0/24

Dữ liệu sẽ được nat qua card mạng eth1:

set service nat rule 10 outbound-interface eth1

Áp dụng và lưu cấu hình vừa tạo:

commit

save

Xem lại cấu hình NAT trong chế độ admin

 

Kiểm tra những địa chỉ và port đang được NAT

 

II – Web Caching

Chức năng Web Caching của Vyatta giúp cho ta tiết kiệm được dung lượng ra internet không cần thiết, và tăng tốc truy cập của các máy trong mạng. Chức năng Web Caching của Vyatta đóng vai trò là proxy server, sẽ lưu trữ lại những yêu cầu gửi từ mạng lan ra internet, và sẽ cung cấp lại các thông tin đó khi nó được yêu cầu lại bởi các máy trong mạng nội bộ.

Mô hình:

 

Để cấu hình chức năng Web Cache cho mạng lan 192.168.3.0/24 ta thực hiện các câu lệnh:

Proxy server lắng nghe tại địa chỉ 192.168.3.1:

set service webproxy listen-address 192.168.3.1

Áp dụng và lưu cấu hình vừa tạo:

commit
save

Kiểm tra cấu hình vừa tạo bằng câu lệnh trong chế độ admin:

 

Ngoài ra ta có thể quy định  tăng hoặc giảm kích cỡ của bộ nhớ đệm dành cho proxy server bằng câu lệnh:
xMB là kích cỡ bộ nhớ đệm dành cho proxy, mặc định giá trị này là 100MB

set service webproxy cache-size

Thay đổi port mặc định của proxy server (mặc định là 3128): 

set service webproxy default-port

Không lưu vào bộ nhớ đệm của những tên miền(domain) nhất định bằng lệnh:

set service webproxy domain-noncache

Khi bật chức năng webcache mặc định Vyatta sẽ  tự động hoạt động như proxy server đối với mọi luồng dữ liệu đi theo cổng 80. Ta tắt chức năng này đi bằng câu lệnh:

set service webproxy listen-address disable-transparent

Lúc này nếu các máy trạm muốn sử  dụng proxy server cần  được cấu hình bằng tay proxy server trước.

III – NAT server

Vyatta hỗ  trợ các loại NAT bao gồm Source NAT, Destination NAT, và Masquerade NAT.
Các khái niệm trong NAT:
Vùng Inside: là vùng mạng riêng, không được truy cập từ bên ngoài nếu không được NAT, và sử dụng các lớp mạng private.
Vùng Outside: là vùng mạng bên ngoài (internet).
Card Inbound: Là card nhận các gói tin tới trong rule NAT
Card Outbound: là card mạng mà các gói tin sẽ đi ra trong rule NAT

 

Mô hình Vyatta với chức năng NAT server

Để cấu hình NAT  trong Vyatta  ta quy định các luật (các  rule) được đánh số, mỗi rule quy định cách hoạt động của NAT server .
Các kiểu NAT Vyatta hỗ trợ bao gồm:

A/ Source NAT (SNAT):

 
Một hoặc nhiều địa chỉ đi từ mạng trong ra bên ngoài sẽ được thay đổi địa chỉ nguồn, có thể là một hoặc nhiều địa chỉ nguồn. Do đó, source NAT có nhiều kiểu hoạt động:
One to One
One to Many
Many to Many

Many to One

B/ Destination NAT (DNAT):

 
Destination NAT được sử dụng khi ta cần cho phép các máy từ bên ngoài truy cập vào mạng riêng của ta, ví dụ như các dịch vụ Web, Mail, FTP, File Server v.v….
Destination NAT gồm nhiều loại:
One to One
One to Many

C/ Masquerade NAT:

Đây  là kiểu NAT thông dụng nhất, khi NAT kiểu MASQUERADE mọi dữ  liệu được NAT sẽ  sử  dụng một  địa chỉ  internet duy nhất  để  truy cập mạng giống  như  Source NAT, nhưng  các gói tin đi từ trong mạng lan ra mạng bên ngoài thông qua server NAT sẽ chỉ ràng buộc với card mạng mà các gói tin đó sẽ dùng để đi ra mạng ngoài.

Khi NAT theo kiểu MASQUERADE, việc  thay  đổi  địa chỉ  của card mạng giao tiếp phía ngoài sẽ không ảnh hưởng, vì vậy nên sử dụng NAT kiểu MASQUERADE nếu router Vyatta là thiết bị làm gateway ra internet của hệ thống.

Minh họa cấu hình NAT

Destination NAT
ONE TO ONE

 

Sử dụng DNAT one-to-one khi ta cần cho phép truy cập từ mạng công cộng vào các máy chủ dịch vụ trong mạng riêng, ví dụ như web server, mail server, file server.
Khi cấu hình DNAT:
Cần quy định địa chỉ IP và card mạng sẽ tiếp nhận kết nối tới.
Giao thức.
Cổng nhận kết nối.
Ví dụ mô hình trên, ta sẽ cấu hình cho phép truy cập web server với địa chỉ  riêng là 192.168.3.7 từ internet thông qua địa chỉ 192.168.0.17 thông qua port 80.

Các câu lệnh cấu hình như sau:
Quy định loại nat là DESTINATION:

set service nat rule 10 type destination

Kiểu kết nối là tcp:

set service nat rule 10 protocol tcp

Khai báo địa chỉ  ip của router, khi các máy bên ngoài truy cập vào địa chỉ này thì mới NAT:

set service nat rule 10 destination address 192.168.0.17

Cổng kết nối là cổng của giao thức http:

set service nat rule 10 destination port http

Card mạng nhận kết nối là eth1:

set service nat rule 10 inbound-interface eth1

Địa chỉ sẽ được nat tới:

set service nat rule 10 inside-address address 192.168.3.7

Tại máy 192.168.3.7(win2k3) cài dịch vụ IIS

 

Tạo 1 trang web index.htm tại đường dẫn C:\Inetpub\wwwroot\index.htm (nội dung tùy ý)

 

Truy cập vào router ADSL cấu hình port forwarding như sau:
 

Truy cập vào trang http://www.canyouseeme.org/ để xem ip mặt ngoài của router ADSL

 

Tại 1 máy client bất kỳ ở bất kỳ đâu(yêu cầu máy này phải có kết nối internet) mở 1 browser bất kỳ nhập vào ip 123.21.112.241

 
Hoàn thành Nat destination (nat ngược)
Kiểm tra cấu hình bằng câu lệnh show nat rules:
 
ONE TO MANY

 

DNAT one to many sử dụng trong trường hợp ta có nhiều máy chủ có cùng chức năng, ví dụ như web server, ftp server…
Mô hình trên sử dụng 2 web server với địa chỉ lan là 7 và 8 ta sử dụng DNAT với địa chỉ internet là 192.168.0.17.
Các câu lệnh cấu hình ở kiểu NAT này tương tự như DNAT one to one, nhưng khi cấu hình destination address ta sẽ  cấu hình DNAT tới dãy địa chỉ hoặc lớp địa chỉ được DNAT, câu lệnh:

set service nat rule 10 inside-address address 192.168.3.7-192.168.3.8

Kết luận:

Kết thúc phần 2 cấu hình các dịch vụ cơ bản cho vyatta,qua phần này ta có thể kết luận rằng vyatta không chỉ đơn thuần là 1 thiết bị định tuyến mà nó còn được tích hợp đầy đủ những dịch vụ cần thiết rất mềm dẻo trong những trường hợp cần tối ưu hóa thiết bị phù hợp cho những doanh nghiệp mới.
Qua phần 3 tôi sẽ trình bày về các giao thức định tuyến của Vyatta. Chúc các bạn thành công !

Hoàng Lâm (từ Vyatta)

About Tony Nguyễn
Tôi tên Tony tự Tèo trú tại thôn Tám, Trảng Thanh tỉnh Thừa Thiên. Thưở thiếu thời trí tuệ tôi thường thường, tuy thế tính tình thật thà thẳng thắng, thích thi thơ ...

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s

%d bloggers like this: