Cấu hình TCP/IP, DHCP, DNS - Server 2012 r2

Địa chỉ IPv4, Phân lớp trong IPv4, CIDR (Định tuyến liên miền không phân lớp), IPv4 public và private, Chia mạng con trong IPv4, Supernetting, Gán địa chỉ IPv4, Địa chỉ IPv6, Quy tắc rút gọn địa chỉ IPv6, Địa chỉ mạng trong IPv6, Các loại địa chỉ IPv6, Gán địa chỉ IPv6, DHCPv6, Chia mạng con trong IPv6, Vấn đề chuyển sang IPv6

Cấu hình TCP/IP,

DHCP, DNS Server 2012 R2

Lê Gia Công

2

Nội dung

Chương 4 Triển khai một số dịch vụ mạng quan trọng 4

4.1 Cấu hình địa chỉ IPv4 và IPv6 4

Địa chỉ IPv4 4

Phân lớp trong IPv4 5

CIDR (Định tuyến liên miền không phân lớp) 6

IPv4 public và private 7

Chia mạng con trong IPv4 8

Supernetting 9

Gán địa chỉ IPv4 10

Địa chỉ IPv6 11

Quy tắc rút gọn địa chỉ IPv6 12

Địa chỉ mạng trong IPv6 12

Các loại địa chỉ IPv6 12

Gán địa chỉ IPv6 13

DHCPv6 15

Chia mạng con trong IPv6 15

Vấn đề chuyển sang IPv6 17

Tóm tắt nội dung 19

Câu hỏi ôn tập 19

4.2 DHCP 20

Một số khái niệm về DHCP 20

Gói tin DHCP 21

Hoạt động của DHCP 22

Gia hạn sử dụng địa chỉ IP 24

Cài đặt DHCP server 26

Tạo kho địa chỉ (scope) 26

Cấu hình các tùy chọn của DHCP 28

Đặt trước địa chỉ IP (reservation) 29

3

Sử dụng PXE 30

Cài đặt trạm chuyển tiếp DHCP (DHCP relay agent) 31

Tóm tắt nội dung 33

Câu hỏi ôn tập 33

4.3 DNS 34

Kiến trúc của DNS 34

Hoạt động của DNS 35

Cơ chế lưu tạm (caching) trên máy DNS server 38

Cơ chế lưu tạm (caching) trên máy DNS client (resolver) 39

Truy vấn (query) và tham vấn (referral) trong DNS 40

Server chuyển tiếp trong DNS (DNS forwarder) 40

Phân giải ngược (reverse name solution) 41

Triển khai DNS server 42

Tạo zone 42

Tạo zone tích hợp trong AD 44

Tạo các bản ghi thông tin cho DNS server 45

Thực hiện một số cấu hình khác trên DNS server 47

Tóm tắt nội dung 48

Câu hỏi ôn tập 49

4

Chương 4 Triển khai một số dịch vụ mạng quan trọng

Chương này đề cập tới một số dịch vụ hạ tầng mạng quan trọng, cần thiết đối với hầu hết các hệ thống mạng

Mỗi máy tính trong hệ thống mạng TCP/IP đều phải có ít nhất một địa chỉ IP (Internet Protocol), địa chỉ này thường được cấp bởi dịch vụ DHCP (Dynamic Host Configuration Protocol)

Để thuận tiện trong việc truy cập các tài nguyên trên Internet, cũng như việc định vị các máy DC (Domain Controller: máy chủ kiểm soát tài nguyên trong một miền, hay máy kiểm soát miền) trong hệ thống mạng Domain, mỗi máy tính trong mạng đều phải có khả năng truy cập tới máy chủ DNS

(Domain Name System)

Windows Server 2012 R2 cung cấp đầy đủ các công cụ để triển khai, quản lý dịch vụ DHCP và DNS Nội dung của chương gồm:

­ Cấu hình địa chỉ IPv4 và IPv6

­ Triển khai và cấu hình dịch vụ DHCP

­ Triển khai và cấu hình dịch vụ DNS

4.1 Cấu hình địa chỉ IPv4 và IPv6

Người quản trị hệ thống cần phải có kiến thức về địa chỉ IPv4 và IPv6 Phần này sẽ trình bày các kiến thức cơ bản liên quan đến địa chỉ IPv4 và IPv6, đồng thời cũng đề cập đến việc sử dụng hai loại địa chỉ này

Địa chỉ IPv4

Địa chỉ IPv4 có độ dài 32 bit, được viết dưới dạng bốn số thập phân có giá trị từ 0 tới 255, mỗi số thập phân được ngăn cách nhau bởi dấu chấm (.) Ví dụ: 192.168.43.100 Mỗi số thập phân được gọi là một octet hay một byte

Mỗi địa chỉ IP được chia thành các bit phần network (gọi tắt là bit net) và các bit phần host (gọi tắt là bit host) Các bit net giúp nhận diện địa chỉ mạng của thiết bị Các bit host giúp nhận diện thiết bị trong một mạng Để xác định những bit nào trong địa chỉ IP là bit net, còn những bit nào là bit host, chúng ta dựa vào subnet mask (mặt nạ mạng con) Do vậy, đi kèm với mỗi địa chỉ IP luôn phải có subnet mask Subnet mask cũng có hình thức giống với một địa chỉ IP Tuy nhiên, các bit trong subnet mask tính từ trái sang phải, luôn bắt đầu bằng các bit 1 liên tiếp, sau đó là các bit 0 liên tiếp, không có tình trạng các bit 1 và 0 xen kẽ nhau Ví dụ: 1111 1111.1111 1111.1111 1111.0000 0000, đổi sang hệ thập phân là 255.255.255.0

Để xác định bit net và bit host của một địa chỉ IP, chúng ta thực hiện so sánh địa chỉ IP và subnet mask Các bit của địa chỉ IP tương ứng với các bit 1 trong subnet mask sẽ là các bit net, trong khi các bit của địa chỉ IP tương ứng với các bit 0 trong subnet mask sẽ là các bit host

Ví dụ, cho địa chỉ IP là 192.168.43.100 dạng nhị phân là: 1100 0000.1010 1000.0010 1011.0110 0100; với subnet mask là 255.255.255.0 dạng nhị phân là: 1111 1111.1111 1111.1111 1111.0000 0000 Ta sẽ

có các bit net là 1100 0000.1010 1000.0010 1011, tương đương ba octet 192.168.43; bit host là 0110

0100, tương đương octet 100 Xem bảng minh họa

Phân lớp trong IPv4

Vì các subnet mask rất đa dạng, nên bạn có thể phân chia các bit net và bit host trong mỗi địa chỉ IP theo nhiều dạng khác nhau

Theo chuẩn ban đầu, địa chỉ IP được chia thành lớp Trong đó có ba lớp quan trọng là A, B, và C Mỗi lớp địa chỉ phù hợp với các hệ thống mạng có quy mô khác nhau Xem hình minh họa

từ 1 tới 127 Vì vậy, trong hệ thống địa chỉ có phân lớp, chỉ cần nhìn vào giá trị dạng thập phân của byte đầu tiên nằm trong khoảng từ 1 tới 127, là bạn có thể kết luận địa chỉ IP đó thuộc lớp A

Ở địa chỉ lớp A, phần bit net chiếm 8 bit, còn lại 24 bit là phần bit host Địa chỉ mạng lớp A có byte đầu tiên mang giá trị 127 được sử dụng cho mục đính kiểm tra hệ thống, nên còn lại 126 mạng có thể dùng, mỗi mạng có thể có 16 777 214 địa chỉ host để gán cho các cạc mạng Địa chỉ lớp B và C có số bit net nhiều hơn, nên số mạng có thể sử dụng cũng nhiều hơn; tuy nhiên, số bit host sẽ ít hơn, nên số địa chỉ host có thể gán sẽ ít hơn

Theo giao thức IP chuẩn, thì số lượng các địa chỉ IP mà một lớp cấp phát sẽ nhỏ hơn so với tổng số trạng thái có thể biểu diễn của các bit Ví dụ, một số nhị phân 8 bit sẽ có khả năng biểu diễn 256 trạng thái Tuy nhiên, số lượng các host mà một địa chỉ mạng lớp C có thể cấp phát chỉ là 254 Lý do là, bạn không thể cấp phát một địa chỉ IP mà bit host toàn là 0 hoặc toàn là 1

Địa chỉ IP có các bit host mang giá trị 0 sẽ là địa chỉ IP đại diện cho mạng, trong khi địa chỉ IP có các bit host mang giá trị 1 sẽ là địa chỉ IP broadcast Do vậy, bạn không thể gán hai loại địa chỉ này cho một máy tính cụ thể Công thức để tính số máy hoặc số mạng có thể cấp phát cho hệ thống là 2^x – 2 (theo giao thức IP chuẩn), trong đó x chính là số bit host và bit net tương ứng Ví dụ, nếu số bit host là

8, thì số máy có thể cấp phát là 2^8 – 2 = 254; nếu số bit net là 5, thì số mạng có thể sử dụng là 2^5 – 2

= 30

CIDR (Định tuyến liên miền không phân lớp)

Ban đầu, khi phát triển địa chỉ IPv4, không ai nghĩ rằng không gian địa chỉ này sẽ bị cạn kiệt Vào đầu những năm 1980, không có hệ thống mạng nào có 65 536 máy tính, và không ai nghĩ tới các hệ thống mạng với 16 triệu máy tính, và cũng chẳng có ai băn khoăn về sự lãng phí khi sử dụng hệ thống địa chỉ

IP có phân lớp

Hạn chế của hệ thống địa chỉ IPv4 có phân lớp là sự lãng phí địa chỉ, làm cho địa chỉ IPv4 bị cạn kiệt nhanh Để khắc phục hạn chế này, người ta đã đề xuất một số giải pháp liên quan đến chia mạng con

Sử dụng CIDR, người quản trị có thể tiếp tục chia nhỏ địa chỉ mạng trên (192.168.43.0/24), bằng cách lấy một số bit host làm bit net Ví dụ, để tạo ra bốn mạng con cho bốn phòng khác nhau, người quản trị

sẽ lấy hai bit host chuyển thành bit net Khi đó, địa chỉ mạng sẽ là 192.168.43.0/26, và subnet mask cho bốn mạng mới sẽ là 1111 1111.1111 1111.1111 1111.1100 0000, đổi sang hệ thập phân là

255.255.255.192 Mỗi mạng con bây giờ sẽ có 64 host, dải địa chỉ cho mỗi mạng được thể hiện trong bảng dưới đây

192.168.43.128 192.168.43.129 192.168.43.190 255.255.255.192

192.168.43.192 192.168.43.193 192.168.43.254 255.255.255.192

Nếu người quản trị cần thêm bốn mạng con nữa, anh ta chỉ cần thay đổi địa chỉ mạng thành

192.168.43.0/28, nghĩa là lấy thêm hai bit host để làm bit net Khi đó, tổng số mạng con có thể cấp phát là 16, mỗi mạng con có thể gán cho 14 host Subnet mask mới sẽ là 255.255.255.240

IPv4 public và private

Để người dùng ngoài Internet có thể truy cập tới một máy tính (thường là máy server) trong hệ thống mạng của bạn, thì bắt buộc bạn phải có một địa chỉ IP được đăng kí và địa chỉ này là duy nhất Đó là địa chỉ IP kiểu public Địa chỉ này có thể gán trực tiếp cho server hoặc cho thiết bị trung gian (ví dụ NAT server) Tất cả các web server, hoặc các máy server hoạt động trên Internet đều có các địa chỉ IP public

IANA (Internet Assigned Numbers Authority): tổ chức cấp phát số hiệu Internet, là cơ quan giám sát việc cấp địa chỉ IP, quản lý DNS toàn cầu ở mức cao nhất, và cấp phát các giao thức Internet khác Tổ chức này được điều hành bởi ICANN (theo vi.wikipedia)

ICANN (Internet Corporation for Assigned Names and Numbers): là một tổ chức phi lợi nhuận, điều hành IANA Tổ chức này cấp phát các khối địa chỉ IP public tới các cơ quan đăng kí Internet khu vực (RIR)

RIR (Regional Internet Registries): là cơ quan đăng kí Internet cấp khu vực, cấp phát các khối địa chỉ

IP nhỏ hơn (so với khối IP do ICANN cấp) cho các nhà cung cấp dịch vụ Internet (ISP)

8

ISP (Internet Service Providers): nhà cung cấp dịch vụ Internet tới người dùng, cấp phát địa chỉ IP public cho người dùng Ví dụ các nhà cung cấp dịch vụ ở Việt Nam là: VNPT, Viettel, FPT…v.v Với các máy tính cá nhân, máy trạm (workstation), rất hiếm khi sử dụng địa chỉ IP public Nếu các tổ chức mà sử dụng địa chỉ IP public cho tất cả các máy trạm, thì IPv4 đã cạn kiệt từ lâu, đồng thời chi phí mà tổ chức phải trả cũng rất lớn Thay vào đó, các tổ chức sẽ sử dụng địa chỉ IP private để cấp phát cho các máy trạm

Địa chỉ IP private là dải địa chỉ IP được sử dụng cho các hệ thống mạng nội bộ Đây là những địa chỉ

IP được sử dụng tự do, miễn phí và không phải đăng kí Tuy nhiên, nếu các máy tính trên Internet muốn truy cập tới các máy đang sử dụng địa chỉ IP private thì bạn phải cấu hình thêm các dịch vụ hỗ trợ, ví dụ như NAT

Ba dải địa chỉ IP private gồm:

Chia mạng con trong IPv4

Khi bạn xây dựng một hệ thống mạng mới cho tổ chức, bạn có thể chọn một trong ba dải địa chỉ IP private để sử dụng Và để đơn giản, bạn có thể thực hiện chia mạng con theo octet, nghĩa là lấy nguyên một octet làm subnet ID

Ví dụ, bạn có thể lấy dải IP 10.0.0.0/8 và sử dụng octet thứ hai làm subnet ID (hay bit subnet: các bit được sử dụng để tạo mạng con) Như vậy, bạn có thể tạo ra 256 mạng con, với 65 536 địa chỉ IP cho mỗi mạng con Subnet mask mới của mạng sẽ là 255.255.0.0 Các mạng con cụ thể là:

1 Từ số mạng con cần tạo, xác định subnet ID

2 Giảm số bit host đi “subnet ID” bit, tăng số bit net lên “subnet ID” bit

3 Tính lại subnet mask mới, bằng cách thêm “subnet ID” bit 1 vào subnet ban đầu, và đổi sang dạng thập phân

9

4 Tính số host trong mỗi mạng con, bằng cách cho tất cả bit host bằng 0, đặt thêm bit 1 ở phía cực trái, chuyển sang hệ thập phân

5 Xác định địa chỉ mạng cho các mạng con mới, mỗi mạng con cách nhau một khoảng đúng bằng

số host trong mỗi mạng con (đã tính ở bước 4)

Ví dụ, cho địa chỉ mạng 192.168.43.0/24, hãy chia mạng này thành 4 mạng con

1 Cần tạo mới 4 mạng con, như vậy subnet ID là 2

2 Số bit net mới sẽ là 24 + 2 = 26 Số bit host mới sẽ là 8 – 2 = 6

3 Subnet mới là /26 Chuyển sang dạng thập phân là 255.255.255.192

4 Tính số host trong mỗi mạng con, chuỗi nhị phân sẽ có dạng 100 0000, chuyển sang hệ thập phân sẽ là 64

5 Mạng con đầu tiên là 192.168.43.0, mạng con thứ hai là 192.168.43.64, mạng con thứ ba là 192.168.43.128, và mạng con thứ tư là 192.168.43.192

Supernetting

Ngoài việc cho phép bạn viết địa chỉ mạng một cách đơn giản, CIDR còn cung cấp một kĩ thuật gộp địa chỉ IP (IP address aggregation) hay còn được gọi là supernetting Kĩ thuật này cho phép giảm kích thước của bảng định tuyến Một supernet là một subnet mới, được gộp từ các subnet liên tiếp nhau, có cùng subnet mask Khi đó, thay vì router phải lưu một mục cho một subnet, nó chỉ cần lưu một mục cho tất cả các subnet

Ví dụ, nếu một tổ chức có năm subnet, bình thường bảng định tuyến sẽ phải tạo ra năm mục để lưu thông tin, cụ thể gồm:

10

Chuỗi 21 bit đó là: 1010 1100.0001 0000.0010 1

Thêm các bit 0 cho các bit host, đổi sang hệ thập phân, ta sẽ có địa chỉ supernet

Dạng nhị phân: 1010 1100.0001 0000.0010 1000.0000 0000

Đổi sang dạng thập phân: 172.16.40.0/21

Trong bảng định tuyến, địa chỉ mạng 172.16.40.0/21 sẽ thay thế cho năm mạng con ban đầu Với kĩ thuật này, bạn có thể gộp hàng chục, thậm chí hàng trăm mạng con thành một mạng trong bảng định tuyến

11

Chọn mục Use The Following IP Address, để gán các thông tin liên quan đến địa chỉ IPv4 Cụ thể gồm:

­ IP Address: nhập địa chỉ IPv4

­ Subnet Mask: nhập subnet mask

­ Default Gateway: nhập địa chỉ IPv4 của router, default gateway giúp máy tính giao tiếp với các

DHCP server cấp địa chỉ IP cho các client theo thời hạn, nghĩa là sau một khoảng thời gian được ấn định trước, máy client sẽ phải gia hạn thời gian sử dụng hoặc trả lại địa chỉ IP

Ngoài việc tự động cấp phát địa chỉ IP cho các client, DHCP còn đảm bảo các địa chỉ IP cấp phát là duy nhất trên mạng, không có tình trạng hai máy client cùng nhận một địa chỉ IP

Tự sinh địa chỉ IP private (APIPA: Automatic Private IP Addressing)

APIPA là một dịch vụ có sẵn trên các hệ điều hành Microsoft Windows Dịch vụ này sẽ tự động sinh địa chỉ IP cho máy tính

Giả sử trên máy tính được cài đặt DHCP client, tuy nhiên, khi khởi động hệ thống không thể liên lạc được với DHCP server để lấy địa chỉ IP Trong trường hợp đó, APIPA sẽ tự động được kích hoạt và sinh ra một địa chỉ IP cho máy tính, địa chỉ được sinh thuộc mạng 169.254.0.0/16

Đối với hệ thống mạng chỉ gồm một LAN duy nhất thì APIPA cũng là một giải pháp để gán IP động cho các máy tính trong mạng Tuy nhiên, đối với các hệ thống mạng lớn và bạn muốn có nhiều tùy chọn hơn trong việc gán địa chỉ IP thì nên triển khai DHCP server

Địa chỉ IPv6

Địa chỉ IPv6 được thiết kế để tăng thêm khả năng cấp phát địa chỉ IP cho các thiết bị Với chiều dài địa chỉ là 128 bit, địa chỉ IPv6 có khả năng cung cấp 2^128 (2 lũy thừa 128) địa chỉ

Ngoài ra, IPv6 còn giúp giảm kích thước của bảng định tuyến trên các router

Giới thiệu IPv6

Ngoài việc có chiều dài lớn hơn IPv4, IPv6 còn có nhiều đặc điểm khác so với IPv4 IPv6 không sử dụng định dạng gồm các số thập phân, ngăn cách nhau bởi dấu chấm Thay vào đó, địa chỉ IPv6 gồm 8 phần, các phần ngăn cách nhau bởi dấu hai chấm, mỗi phần là 4 số hệ 16 Cụ thể có dạng:

XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX

Trong đó X là một số hệ 16 Ví dụ:

21cd:0053:0000:0000:e8bb:04f2:003c:c394

12

Quy tắc rút gọn địa chỉ IPv6

Nếu trong địa chỉ IPv6 có từ hai khối (block) 8-bit trở lên, liên tiếp, mang giá trị 0, thì bạn có thể thay thế chúng bằng hai dấu hai chấm (::) Tuy nhiên, trong mỗi địa chỉ IPv6 bạn chỉ được phép có một dấu

Địa chỉ mạng trong IPv6

Trong IPv6 không có subnet mask Để xác định địa chỉ mạng, nó sử dụng kiểu kí hiệu giống như trong CIDR, nghĩa là sử dụng dấu “/” theo sau là số bit net Ví dụ,

21cd:53::/64

Địa chỉ mạng trên là viết tắt của địa chỉ mạng dạng đầy đủ sau:

21cd:0053:0000:0000/64

Các loại địa chỉ IPv6

Trong IPv6 không có chế độ gửi gói tin broadcast, nên không có địa chỉ broadcast IPv6 có ba cách để truyền gói tin đến đích:

­ Unicast: truyền một-một giữa các giao diện mạng (interface)

­ Multicast: truyền một-nhiều giữa các giao diện mạng

­ Anycast: truyền một-tới-một trong một phạm vi mạng cụ thể

Các loại địa chỉ IPv6 gồm:

­ Địa chỉ unicast toàn cầu (global unicast addresses): địa chỉ này tương tự như địa chỉ IPv4 public, có khả năng định tuyến và duy nhất trên phạm vi toàn cầu

­ Địa chỉ unicast kiểu link-local (link-local unicast addresses): địa chỉ này tương tự như địa chỉ APIPA trong IPv4 (địa chỉ được sinh bởi hệ điều hành) Trong IPv6, hệ thống sẽ tự tạo ra một địa chỉ kiểu unicast link-local Tất cả các địa chỉ unicast link-local đều có cùng định danh mạng (network identifier) gồm 10 bit, cụ thể là 1111 1110 10, tiếp theo là 54 bit 0

Như vậy địa chỉ mạng sẽ có dạng là,

fe80:0000:0000:0000/64

Viết gọn hơn sẽ là,

­ Địa chỉ multicast (multicast addresses): địa chỉ này luôn bắt đầu bằng chuỗi nhị phân 1111

1111, hay ff trong hệ 16

­ Địa chỉ anycast (anycast addresses): chức năng của một địa chỉ anycast là xác định các router trong một phạm vi địa chỉ cho trước, và gửi gói tin tới router gần nhất dựa trên giao thức định tuyến cục bộ Hệ thống có thể sử dụng địa chỉ anycast để xác định một nhóm các router trong mạng, ví dụ các router cho phép kết nối tới Internet Tất nhiên, các router cũng phải được cấu hình để làm việc với địa chỉ anycast

Gán địa chỉ IPv6

Mỗi máy tính trong mạng có thể nhận được địa chỉ IPv6 bằng một trong ba cách sau:

­ Cấu hình bằng tay (manual allocation): người sử dụng hoặc người quản trị sẽ thiết lập địa chỉ cho từng giao tiếp mạng bằng tay

­ Tự cấu hình địa chỉ (self-allocation): máy tính tự tạo ra địa chỉ cho chính nó bằng quá trình có tên gọi Stateless Address Autoconfiguration

­ Lấy từ DHCP (dynamic allocation): máy tính sẽ nhận địa chỉ từ DHCPv6 server trong hệ thống mạng Cách lấy địa chỉ này còn có tên gọi khác là Stateful Address Autoconfiguration

Cấu hình bằng tay

Đối với hệ thống mạng của các tổ chức hoặc doanh nghiệp, việc gán địa chỉ IPv6 bằng tay là không thực tế Vì việc gán địa chỉ IP rất mất thời gian, khó kiểm soát Tuy nhiên, bạn vẫn có thể thực hiện được Trong Windows Server 2012 R2, bạn mở cửa sổ Internet Protocol Version 6 (TCP/IPv6)

Properties, và điền các thông tin của IPv6 Xem hình minh họa

14

Tự cấu hình địa chỉ

Khi máy tính Windows khởi động, nó sẽ thực thi tiến trình tự cấu hình địa chỉ IPv6, có tên gọi là Stateless Address Autoconfiguration Trong quá trình tự cấu hình địa chỉ, Windows sẽ gán cho mỗi giao tiếp mạng một địa chỉ kiểu unicast link-local Hệ thống sẽ sử dụng địa chỉ unicast link-local để giao tiếp với router trong cùng đoạn mạng để thực hiện một số tác vụ Tiến trình tự cấu hình địa chỉ luôn luôn được thực hiện, kể cả sau đó giao tiếp mạng sẽ nhận một địa chỉ kiểu unicast toàn cầu

(global unicast)

Quá trình tự cấu hình địa chỉ gồm các bước cụ thể sau:

1 Tạo ra địa chỉ unicast link-local: giao thức IPv6 trên máy tính sẽ tạo ra cho mỗi giao tiếp mạng (từ đây gọi là interface) một địa chỉ thuộc mạng fe80::/64, và một định danh của interface (interface ID) Định danh của interface được tạo ra ngẫu nhiên hoặc dựa vào MAC của

interface

2 Kiểm tra tính duy nhất của địa chỉ unicast link-local vừa tạo: máy tính sẽ sử dụng giao thức IPv6 Neighbor Discovery (ND), để kiểm tra xem trên đoạn mạng có máy tính nào sử dụng cùng địa chỉ không ND sẽ gửi gói Neighbor Solication (tìm kiếm hàng xóm), và chờ gói phản hồi Neighbor Advertisement Nếu không nhận được gói phản hồi, có nghĩa là địa chỉ vừa tạo là duy nhất, nếu nhận được gói phản hồi thì hệ thống phải tạo ra địa chỉ mới Quá trình sẽ được lặp lại cho tới khi nào địa chỉ được tạo là duy nhất

3 Khi máy tính đã kiểm tra và chắc chắn địa chỉ unicast link-local là duy nhất, hệ thống sẽ gán địa chỉ này cho interface Đối với hệ thống nhỏ, chỉ gồm một đoạn mạng biệt lập thì địa chỉ sẽ được gán cố định cho interface để thực hiện việc giao tiếp giữa các thiết bị trong mạng Đối với

15

các hệ thống gồm nhiều mạng con, việc gán địa chỉ này chủ yếu để giúp máy tính thực hiện việc giao tiếp với router cục bộ

4 Yêu cầu gói Router Advertisement: sau khi đã được gán địa chỉ unicast link-local, máy tính sẽ

sử dụng giao thức ND để gửi gói Router Solicitation (tìm kiếm router) tới tất cả các router khả nhận trong đoạn mạng, bằng địa chỉ multicast Gói Router Solicitation sẽ yêu cầu các router (nếu nhận được) gửi cho nó gói Router Advertisement

5 Nhận gói Router Advertisement: router trong đoạn mạng sẽ sử dụng giao thức ND để gửi gói Router Advertisement cho máy tính, gói này chứa các thông tin hướng dẫn máy tính thực hiện quá trình tự động cấu hình địa chỉ Thông thường, gói Router Advertisement sẽ cung cấp cho máy tính giá trị của Network Prefix (bit nhận dạng mạng) Máy tính sẽ kết hợp bit nhận dạng này với interface ID để tạo ra địa chỉ unicast cục bộ hoặc unicast toàn cầu Gói Router

Advertisement cũng cung cấp các chỉ dẫn để chạy tiến trình Stateful Autoconfiguration (lấy địa chỉ IPv6 từ DHCPv6) bằng việc liên hệ với DHCPv6 server Nếu trên đoạn mạng không có router, nghĩa là máy tính sẽ không nhận được gói Router Advertisement, khi đó, hệ thống sẽ cố gắng khởi chạy tiến trình Stateful Autoconfiguration (theo http://www.ietf.org/rfc/rfc4862.txt trang 12) (trong ebook thì viết là “khởi chạy tiến trình Stateless Autoconfiguration?)

6 Cấu hình địa chỉ unicast cục bộ hoặc unicast toàn cầu: máy tính sẽ sử dụng các thông tin nhận được từ router để tạo ra các địa chỉ Các địa chỉ này có thể định tuyến ở phạm vi toàn cầu hoặc phạm vi cục bộ, và gán các địa chỉ này cho các interface Nếu trong gói Router Advertisement

có chỉ dẫn, máy tính cũng có thể khởi tạo quá trình lấy địa chỉ unicast cục bộ hoặc unicast toàn cầu cùng một số thông tin cấu hình khác từ DHCPv6 server

DHCPv6

Đối với hệ thống mạng gồm nhiều mạng con, các interface bắt buộc phải có địa chỉ unicast cục bộ hoặc unicast toàn cầu thể thực hiện giao tiếp giữa các mạng con Do đó, trong hệ thống, bắt buộc phải có router để cấp phát network prefix hoặc phải có DHCPv6 server để cấp phát địa chỉ IPv6

Trong Windows Server 2012 R2, role Remote Access có hỗ trợ việc định tuyến và cấp phát network prefix, role DHCP Server có hỗ trợ việc cấp phát địa chỉ IPv6

Chia mạng con trong IPv6

Tương tự như trong IPv4, IPv6 cũng có hỗ trợ việc chia nhỏ dải địa chỉ theo cấu trúc phân cấp

(hierarchy) IPv6 không sử dụng subnet mask Trong quá trình chia mạng con, nó cũng không cần phải mượn các bit host để làm bit net, vì nó sử dụng trực tiếp các bit thuộc network identifier để tạo ra các mạng con

Một địa chỉ IPv6 kiểu unicast toàn cầu (gồm 128 bit) được chia thành ba phần sau:

­ Global routing prefix: gồm 48 bit, được quản lý bởi RIR, là thông tin liên quan đến việc định tuyến toàn cầu, luôn bắt đầu bằng các bit 001 (hay còn gọi là FP: Format Prefix)

­ Subnet ID: gồm 16 bit, các tổ chức sẽ sử dụng các bit này để thực hiện chia mạng con

­ Interface ID: gồm 64 bit, định danh của mỗi interface trong hệ thống

Khi bạn nhận được một địa chỉ IPv6 từ ISP hoặc RIR, thông thường, bạn sẽ có được giá trị của Global routing prefix gồm 48 bit, hay /48 Bạn giữ nguyên phần Global routing prefix, chỉ thực hiện chia mạng trên 16 bit kế tiếp

Sau đây là một vài tùy chọn liên quan đến việc chia mạng:

­ Chia mạng con nhiều mức: bằng việc chia 16 bit phần Subnet ID thành các nhóm bit khác nhau, bạn có thể tạo ra các mạng con theo nhiều mức Ví dụ, khi đó mạng con có thể có dạng:

subnets, sub-subnets, sub-sub-subnets

Ví dụ về việc chia mạng nhiều mức của một công ty đa quốc gia:

­ Mức quốc gia: sử dụng 4 bit đầu tiên của Subnet ID, như vậy, có thể tạo ra 16 mạng con, tương đương với 14 quốc gia khác nhau Đây là mức subnets

­ Mức thành phố: sử dụng 6 bit tiếp theo của Subnet ID, như vậy, có thể tạo ra 64 mạng con, tương đương với 64 thành phố (tỉnh, hoặc khu vực) trong một quốc gia Đây là mức sub-

subnets

­ Mức chi nhánh (trong một thành phố): sử dụng 2 bit tiếp theo của Subnet ID, như vậy, có thể tạo ra 2 mạng con, tương đương với 2 chi nhánh trong một thành phố Đây là mức sub-sub-subnets

­ Mức phòng ban (trong một chi nhánh): sử dụng 4 bit tiếp theo của Subnet ID, như vậy, có thể tạo ra 16 mạng con cho các phòng ban trong một chi nhánh Đây là mức sub-sub-sub-subnets Địa chỉ mạng của một phòng ban sẽ là kết hợp giá trị của bốn mức ở trên

Cụ thể, nếu sử dụng giá trị 1 cho Việt Nam, khi đó giá trị các bit ở mức quốc gia trong Subnet ID sẽ là:

17

Vấn đề chuyển sang IPv6

Nhiều người đã quen làm việc với IPv4 nên rất ngại đổi sang IPv6 Mặc dù những cảnh báo về sự cạn kiệt IPv4 đã có từ lâu (khoảng những năm 2004) Tuy nhiên, nhờ vào một số giải pháp như NAT, CIDR, nên hiện nay, IPv4 vẫn được sử dụng bình thường mà chưa phải chuyển qua IPv6

Tuy nhiên, về lâu dài, việc tiếp cận với IPv6 cũng là một việc tốt, tránh những chuyển đổi đột ngột về sau

Hiện nay, hạ tầng mạng, cũng như hạ tầng Internet đang chủ yếu sử dụng các công nghệ chạy trên nền IPv4 Nếu chuyển qua IPv6 sẽ phải thay đổi rất nhiều các thiết bị, công nghệ cũ, điều này sẽ dẫn tới chi phí khổng lồ Vì vậy, việc chuyển qua sử dụng IPv6 cần một lộ trình lâu dài, bằng cách thay thế từ từ, thay thế từng bước các thiết bị, cũng như các giải pháp công nghệ

Trong giai đoạn chuyển đổi từ IPv6 sang IPv4 sẽ có hai tình huống phát sinh Một là, các hệ thống mạng của doanh nghiệp đã chuyển sang IPv6, trong khi Internet vẫn đang sử dụng IPv4 Hai là, nếu đa

số mọi người đã chuyển qua sử dụng IPv6, trong khi doanh nghiệp vẫn còn sử dụng IPv4 Trong cả hai tình huống này, doanh nghiệp đều cần phải có giải pháp để giải quyết việc tương thích giữa IPv4 và IPv6

Sử dụng cùng lúc hai loại địa chỉ IP (dual IP stack)

Giải pháp đơn giản nhất để giải quyết việc tương thích giữa IPv6 và IPv4 trong thời điểm giao thời là

sử dụng cùng lúc cả hai loại địa chỉ này Điều này đã được thực hiện trên các phiên bản của Windows, bắt đầu từ Windows Server 2008 và Windows Vista Để kiểm tra xem hệ điều hành có hỗ trợ IPv6 hay chưa, bạn gõ lệnh ipconfig /all Nếu có hỗ trợ, bạn sẽ thấy thông tin về địa chỉ IPv6

Việc cấu hình IPv4 và IPv6 được thực hiện riêng biệt, nên không ảnh hưởng gì đến hoạt động của nhau Windows sẽ có khả năng làm việc cùng lúc với các thiết bị ở cả hai loại địa chỉ IPv4 và IPv6 Tunneling (chạy ngầm)

Đây là giải pháp chạy ngầm IPv6 trên nền IPv4 Giải pháp này đã được hỗ trợ trên feature

DirectAccess của Windows Server 2012 R2 và Windows 8.1

Trong giải pháp này, tại máy gửi, gói IPv6 sẽ được bọc bên trong một gói IPv4 Sau đó, máy gửi sẽ thực hiện gửi gói IPv4 này tới máy đích Xem hình minh họa (hình trong tài liệu gốc có thể bị nhầm chỗ IPv6 Header and Payload, họ viết là IPv4 Header and Payload?)

Giải pháp này có thể triển khai được trên rất nhiều loại kết nối, ví dụ: router-tới-router, host-tới-host, router-tới-host, host-tới-router Tuy nhiên, nó được sử dụng nhiều nhất trên kết nối router-tới-router

Ví dụ, hai văn phòng chi nhánh đều sử dụng IPv6, chúng kết nối với nhau dựa trên hạ tầng Internet, nhưng hạ tầng Internet đang sử dụng IPv4 Xem hình minh họa

IPv6 Header

IPv6 Extension

IPv6 Header and Payload IPv4 Header

18

Ở sơ đồ mạng trên, các máy tính ở hai văn phòng chi nhánh đều sử dụng IPv6 Hai router làm việc được với cả IPv4 và IPv6 Tuy nhiên, hạ tầng kết nối giữa hai văn phòng chi nhánh chỉ làm việc được với IPv4 Với việc sử dụng giải pháp tunneling trên hai router, các máy tính ở hai văn phòng chi nhánh

có thể sử dụng IPv6 để truyền dữ liệu cho nhau một cách bình thường mà không phải quan tâm tới hạ tầng mạng bên dưới Hai router sẽ có nhiệm vụ bọc gói IPv6 trong gói IPv4 để truyền gói tin giữa hai văn phòng

Cấu hình tunnel thủ công

Bạn có thể tạo thủ công một tunnel (đường hầm) để truyền gói tin IPv6 trên nền IPv4 Mỗi máy tính chạy hệ điều hành Windows Server 2012 R2 hoặc Windows 8.1 có thể xem như là một đầu của tunnel

Sử dụng lệnh sau để thiết lập tunnel:

Netsh interface ipv6 add v6v4tunnel “interface” localaddress remoteaddress

Trong đó, “interface” là tên của tunnel, localaddress và remoteaddress là địa chỉ IPv4 của hai đầu tunnel

Tóm tắt nội dung

­ Địa chỉ IPv4 có độ dài 32 bit, được viết dưới dạng bốn số thập phân, mỗi số có giá trị từ 0 tới

255, mỗi số thập phân được ngăn cách nhau bởi dấu chấm (.) Ví dụ: 192.168.43.100 Mỗi số thập phân được gọi là một octet hay một byte

­ Theo chuẩn ban đầu, địa chỉ IPv4 được chia thành ba lớp để gán cho các thiết bị Có nhiều dải địa chỉ khác nhau để gán cho các hệ thống mạng Dựa vào subnet mask để xác định: bao nhiêu bit trong một địa chỉ IPv4 là bit host, bao nhiêu bit là bit net

­ Để tránh sự lãng phí trong việc sử dụng địa chỉ IPv4 có phân lớp, người ta đã đưa ra một số giải pháp để chia mạng con, gồm: VLSM và CIDR

­ Với hệ thống có hỗ trợ IPv6, khi Windows khởi động, nó sẽ chạy tiến trình IPv6 Stateless Address Autoconfiguration để gán địa chỉ unicast kiểu link-local cho mỗi interface

­ Trong giai đoạn chuyển đổi từ IPv4 sang IPv6, giải pháp đơn giản nhất để giải quyết vấn đề tương thích là sử dụng song song cả hai loại địa chỉ trên cùng hệ thống Giải pháp này đang được Windows sử dụng

­ Giải pháp chính trong việc truyền các gói tin IPv6 trên nền IPv4 là tạo đường hầm Trong giải pháp này, gói IPv6 sẽ được bọc trong gói IPv4

Câu hỏi ôn tập

1 Trong việc truyền các gói tin IPv6 trên nền IPv4, giải pháp nào sau đây được sử dụng phổ biến?

B Global unique unicast

C Unique local unicast

D Anycast

3 Giải pháp tạo đường hầm tự động nào sau đây được hệ điều hành Windows sử dụng, trong trường hợp máy tính nằm sau NAT router?

A Teredo

20

B 6TO4

C ASATAP

D APIPA

4 Một hệ thống muốn được nhận ra trên Internet, thì nó phải sử dụng loại địa chỉ IP nào?

A Registered (được đăng kí)

Scope là kho địa chỉ sẽ được cấp cho các máy trong mạng

Cấu hình địa chỉ IP bằng tay thường mất thời gian, hay gây ra lỗi do nhập sai, do gán trùng địa chỉ IP, khó kiểm soát các địa chỉ IP đã gán DHCP sẽ giúp khắc phục các hạn chế này

21

­ Cấp động (Dynamic allocation): DHCP server cấp cho client một địa chỉ IP trong kho địa chỉ của nó, client được phép sử dụng địa chỉ này trong một khoảng thời gian nhất định Sau khi hết thời gian sử dụng, client phải báo lại cho DHCP server để gia hạn thêm thời gian sử dụng Nếu client không tiếp tục gia hạn, địa chỉ IP đó sẽ được DHCP server thu hồi để cấp cho máy tính khác

­ Cấp ổn định (Automatic allocation): DHCP server sẽ cấp ổn định một địa chỉ IP nào đó trong kho cho máy client Nếu client muốn đổi địa chỉ IP khác, bạn phải thực hiện cấu hình lại Kiểu cấp này giống với kiểu cấp động, tuy nhiên, tại DHCP server có duy trì một bảng lưu lại các địa chỉ IP đã được cấp trước đó, khi client yêu cầu cấp địa chỉ IP, DHCP server sẽ ưu tiên cấp cho client địa chỉ mà trước đó nó đã dùng

­ Dành riêng (Manula allocation): DHCP server sẽ cấp cố định một địa chỉ IP cho máy tính, việc cấp phát được dựa trên địa chỉ MAC của máy client Trong thuật ngữ của Microsoft DHCP, hình thức này được gọi là reservations (đặt trước)

Ngoài địa chỉ IP, DHCP server còn cấp cho máy client các thông tin sau: subnet mask, default

gateway, địa chỉ của DNS server, và nhiều thông tin khác (tổng cộng khoảng hơn 50 thông tin cấu hình)

DHCP sử dụng tám loại gói tin trong quá trình hoạt động Các gói tin đều có định dạng giống nhau DHCP truyền gói tin dựa trên UDP/IP, truyền trên cổng 67 tại máy server và trên cổng 68 tại máy client

­ DHCPOFFER: máy server sử dụng để gửi địa IP đề nghị cho máy client

­ DHCPREQUEST: máy client sử dụng để thông báo chấp nhận hoặc gia hạn sử dụng một địa chỉ IP

­ DHCPDECLINE: máy client sử dụng để từ chối một địa chỉ IP do server đề nghị

­ DHCPACK: máy server sử dụng để gửi cho client, sau khi client chấp nhận sử dụng địa chỉ IP

­ DHCPNAK: máy server sử dụng để từ chối việc sử dụng địa chỉ IP của client

­ DHCPRELEASE: máy client sử dụng để thông báo, thôi không sử dụng địa chỉ IP nữa

­ DHCPINFORM: máy client sử dụng để lấy thêm các thông tin cấu hình TCP/IP từ server Các thông tin mở rộng của BOOTP

BOOTP(Bootstrap Protocol): là giao thức giúp máy client tự động lấy địa chỉ IP khi khởi động Phần

mở rộng này bao gồm rất nhiều các thông tin cấu hình cho máy client Cụ thể gồm:

­ Subnet Mask: mặt nạ mạng con đi kèm với địa chỉ IP, giúp hệ thống xác định số bit host và số bit net trong địa chỉ IP, từ đó biết được địa chỉ mạng của máy client

22

­ Router: địa chỉ IP của default gateway

­ Domain Name Server: địa chỉ IP của máy DNS server

­ Host Name: cho biết tên dạng DNS của máy client

­ Domain Name: cho biết tên miền của máy client

Các thông tin mở rộng khác của gói DHCP

Đây là các thông tin được sử dụng trong quá trình gia hạn địa chỉ giữa client và server

­ Requested IP Address: máy client sử dụng để gia hạn một địa chỉ IP

­ IP Address Lease Time: xác định khoảng thời gian gia hạn

­ Server Identifier: địa chỉ IP của máy DHCP server

­ Parameter Request List: các thông tin máy client muốn DHCP server cung cấp thêm

­ Message: nội dung thông báo lỗi được server gửi tới client, đi kèm với gói DHCPNAK

­ Renewal (T1) time value: khi hết khoảng thời gian này, client phải thực hiện gia hạn sử dụng địa chỉ IP

­ Rebinding (T2) time value: hết khoảng thời gian này, client phải hoàn thành việc gia hạn sử dụng địa chỉ IP Nếu client không thể gia hạn được với DHCP server cũ, nó sẽ thực hiện gửi broadcast tới toàn mạng để hoàn thành việc gia hạn sử dụng một địa chỉ IP

Hoạt động của DHCP

Hiểu được hoạt động của DHCP sẽ giúp bạn thực hiện triển khai hệ thống cấp phát địa chỉ IP hiệu quả Trong các máy Windows, khi đánh dấu chọn vào mục Obtain An IP Address Automatically trong phần TCP/IPv4 hoặc Obtain An IPv6 Address Automatically trong phần TCP/IPv6 của cạc mạng là bạn đã kích hoạt DHCP client

Quá trình hoạt động của DHCP luôn được khởi phát từ máy client Xem lưu đồ dưới đây:

23

1 Với máy tính đã được bật chức năng DHCP client, khi khởi động, nó sẽ tạo ra gói

DHCPDISCOVER, gửi broadcast ra toàn mạng để yêu cầu máy DHCP server cấp địa chỉ IP cho nó

2 Khi các máy DHCP server nhận được gói DHCPDISCOVER, nó sẽ tạo ra gói DHCPOFFER, gói này chứa địa chỉ IP và các thông tin cấu hình khác, server gửi gói DHCPOFFER tới máy client

3 Client sẽ chấp nhận một trong các địa chỉ IP do các server đề nghị Sau khi chấp nhận, client sẽ tạo gói DHCPREQUEST, trong gói có chứa địa chỉ IP mà nó chấp nhận, gửi broadcast gói DHCPREQUEST ra toàn mạng

Server nhận gói broadcast Client broadcast gói

DHCPDISCOVER

Server có sẵn địa chỉ IP?

Gói tin bị hủy Phiên làm việc thất bại

Server gửi gói DHCPOFFER

Client nhận địa chỉ IP?

Client broadcast gói DHCPREQUEST

Có

Không

Có Server kiểm tra

IP có ai dùng chưa?

Server gửi gói DHCPACK

IP có qua được quá trình kiểm tra bằng ARP?

Chưa

Client gửi gói DHCPDECLINE

Không Địa chỉ bị từ chối/

Phiên làm việc thất bại

Địa chỉ được gán cho client/

Phiên làm việc thành công

Có

Server gửi gói DHCPNAK/

Phiên làm việc thất bại

Có

6 Cuối cùng, client sẽ kiểm tra tính duy nhất của địa chỉ IP nó vừa nhận được, nó thực hiện bằng cách sử dụng ARP để broadcast ra toàn mạng Nếu không có phản hồi, nghĩa là IP nó nhận là hợp lệ, quá trình lấy địa chỉ IP đã hoàn thành Nếu nhận được phản hồi, client sẽ hủy địa chỉ IP vừa nhận, đồng thời gửi lại gói DHCPDECLINE cho server Client sẽ khởi động lại quá trình lấy địa chỉ IP

Gia hạn sử dụng địa chỉ IP

Ở chế độ mặc định, dịch vụ DHCP server trên Windows Server 2012 R2 sử dụng chế độ “cấp động” địa chỉ IP cho các client Thời gian client được phép sử dụng địa chỉ IP là tám ngày Khi client sử dụng địa chỉ IP được một khoảng thời gian đã được định trước, nó sẽ liên lạc với DHCP server để gia hạn sử dụng tiếp địa chỉ IP Quá trình gia hạn sử dụng địa chỉ IP gồm các bước được mô tả trong sơ đồ sau:

25

1 Khi máy client sử dụng địa chỉ IP được 50% thời gian cho phép (mốc thời gian này còn được gọi là thời điểm gia hạn, hay mốc thời gian T1), máy client sẽ tạo ra gói DHCPREQUEST, gửi unicast tới máy DHCP server đã cấp IP cho nó trước đây

2 Nếu tới thời điểm 87,5% thời gian sử dụng địa chỉ IP (mốc thời gian này còn được gọi là thời điểm gia hạn với server bất kì, hay mốc thời gian T2), mà client không nhận được trả lời từ DHCP server cũ, nó sẽ gửi broadcast gói DHCPREQUEST để xin gia hạn sử dụng địa chỉ IP với DHCP server bất kì trong mạng

3 Nếu server nhận được gói DHCPREQUEST từ client, nó sẽ: hoặc là gửi lại gói DHCPACK để đồng ý việc gia hạn, hoặc gửi gói DHCPNAK để từ chối việc gia hạn

4 Khi hết hạn sử dụng địa chỉ IP, nếu client không nhận được trả lời cho gói DHCPREQUEST, hoặc nhận được gói DHCPNAK, thì client sẽ không có địa chỉ IP Khi đó, mọi giao tiếp mạng

sẽ ngừng lại, ngoại trừ việc gửi broadcast gói tin DHCPDISCOVER

Client chạm mốc thời gian T1/

Khởi phát quá trình gia hạn

Còn

Server cũ còn tồn tại?

Không

Server gửi gói DHCPACK/

Việc gia hạn thành công

Server gửi gói DHCPNAK/

IP sẽ bị thu hồi Client chạm mốc thời gian T2/

Khởi phát quá trình gia hạn với server khác (rebinding)

Client gửi gói DHCPREQUEST tới mọi server (gửi broadcast)

Có server trả lời?

Địa chỉ IP được gia hạn/ Việc gia hạn thành công

IP sẽ hết hạn sử dụng/ Việc gia

hạn thất bại Không

Có Không