Trong trường hợp này, ngoài các vấn đề người quản trị cần phải xây dựng như: Hạ tầng, thiết bị, xây dựng Website…thì việc cấu hình NAT Inbound trên máy NAT Server để người sử dụng truy[r]
Trang 1ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH
GIÁO TRÌNH MÔN HỌC: QUẢN TRỊ MẠNG WINDOWS SERVER
NÂNG CAO NGÀNH : CÔNG NGHỆ THÔNG TIN
TRÌNH ĐỘ: CAO ĐẲNG
Thành phố Hồ Chí Minh – 2020
Trang 2ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH
GIÁO TRÌNH MÔN HỌC: QUẢN TRỊ MẠNG WINDOWS SERVER
NÂNG CAO NGÀNH : CÔNG NGHỆ THÔNG TIN
TRÌNH ĐỘ : CAO ĐẲNG
THÔNG TIN CHỦ NHIỆM ĐỀ TÀI
Chủ biên: Lý Quốc Hùng
Học vị: Thạc sĩ Đơn vị: Công nghệ thông tin Email: lyquochung@hotec.edu.vn
HIỆU TRƯỞNG
Trang 3Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm.
Trang 4LỜI GIỚI THIỆU
Giáo trình này được biên soạn dựa trên chương trình chi tiết môn học bậc cao đẳng chuyên ngành công nghệ thông tin của Trường Cao đẳng – Kinh
tế Kỹ thuật – Thành Phố Hồ Chí Minh
Đây là quyển giáo trình được biên soạn lần thứ nhất cho môn học này tại khoa Công nghệ thông tin của nhà trường Nhằm cung cấp kiến thức nền tảng, giúp sinh viên nắm vững và vận dụng các kỹ thuật phổ biến trên dịch vụ mạng trong quá trình xây dựng hệ thống mạng trên hệ điều hành Windows Server
Từ đó, sinh viên có thể tự học các kiến thức chuyên sâu hơn
Trong tài liệu này tác giả sử dụng phương pháp logic trình tự cho từng dịch vụ từ khái niệm, phân tích mô hình mạng, mô phỏng và bài tập áp dụng cho các dịch vụ được trình bày Qua đó, giúp sinh viên nắm bắt kiến thức và kỹ năng thực hành cơ bản để vận dụng trong thực tiễn
Trong quá trình biên soạn chắc chắn giáo trình sẽ còn nhiều thiếu sót và hạn chế Rất mong nhận được sự đóng góp ý kiến quý báu của sinh viên và các bạn đọc để giáo trình ngày một hoàn thiện hơn
Thành phố Hồ Chí Minh, ngày 30 tháng 6 năm
2020 Chủ biên
Ths Lý Quốc Hùng
Trang 5MỤC LỤC
1.1Định tuyến (Routing) 9
1.1.1 Giới thiệu 9
1.1.2 Mục dích 9
1.1.3 Định tuyến tĩnh (Static route) 9
1.1.4 Định tuyến động (Dynamic route) 13
1.1.5 So sánh định tuyến tĩnh và định tuyến động 16
1.2Dịch vụ NAT (Network Address Translation) 17
1.2.1 Giới thiệu 17
1.2.2 Mục đích 20
1.2.3 NAT Outboand 21
1.2.4 NAT Inbound 21
1.2.5 Kết hợp giữa NAT Inbound và NAT Outbound 22
1.3Bài tập áp dụng cuối chương 1 23
Chương 2.DỊCH VỤ DHCP SERVER 28 2.1Giới thiệu dịch vụ DHCP Server 28
2.2Hoạt động của giao thức DHCP Server 28
2.3Cài đặt dịch vụ DHCP Server 29
2.4Chứng thực dịch vụ DHCP Server trong Active Directory 32
2.5Cấu hình dịch vụ DHCP Server 33
2.6Cấu hình các tùy chọn DHCP Server 37
2.7Cấu hình dành riêng địa chỉ IP 38
2.8DHCP relay Agent 39
2.8.1 Định nghĩa 39
2.8.2 Cơ chế hoạt động DHCP Relay Agent 40
Trang 62.8.3 Cấu hình DHCP Relay Agent 41
2.9Bài tập áp dụng cuối chương 2 42
Chương 3.QUẢN LÝ MÁY IN TRÊN DOMAIN 44 3.1Cài đặt máy in mạng 44
3.1.1 Cài đặt máy in 44
3.1.2 Cài đặt trình quản lý máy in (Print Management) 47
3.1.3 Truy cập và quản lý các máy in trong mạng 48
3.2Quản lý thuộc tính máy in 48
3.2.1 Cấu hình layout (Printing Preferences) 48
3.2.2 Cấu hình giấy và chất lượng in 49
3.2.3 Cấu hình các thông số mở rộng 49
3.3Cấu hình thông số Port in 50
3.4Cấp quyền trên máy in cho người dùng mạng 51
3.5Cấu hình Print Server 52
3.5.1 Khả năng sẵn sàng phục vụ của máy in 53
3.6Prioprty (độ ưu tiên) và Priter spooling 53
3.7Bài tập áp dụng cuối chương 3 55
Chương 4.DỊCH VỤ DNS 58 4.1Tổng quan về DNS 58
4.1.1 Giới thiệu DNS 58
4.1.2 Đặc điểm của DNS trong Windows 59
4.1.3 Cách phân bổ dữ liệu quản lý Domain name 61
Trang 74.2.2 Full Qualified Domain Name (FQDN) 69
4.2.3 Sự uỷ quyền (Delegation) 69
4.2.4 Forwarders 70
4.2.5 Stub zone 71
4.2.6 Dynamic DNS 71
4.2.7 Active Directory – Intergrated Zone 73
4.3Phân loại Domain Name Server 73
4.3.1 Primary Name Server 73
4.3.2 Secondary Name Server 74
4.3.3 Caching Name Server 75
4.3.4 Resource Record (RR) 75
4.3.5 SOA (Start of Authority) 76
4.3.6 Name Server (NS) 77
4.3.7 A (Address) và CNAME (Canonical Name) 78
4.3.8 SRV 78
4.4Bài tập áp dụng cuối chương 4 79
Chương 5.DỊCH VỤ WEB SERVER 81 5.1Cài đặt dịch vụ IIS 81
5.2Cấu hình dịch vụ IIS 82
5.2.1 Tạo mới một Website 82
5.2.2 Tạo Virtual Directory 85
5.2.3 Cấu hình bảo mật cho Website 86
5.2.4 Cấu hình Web Services Extentions 89
5.2.5 Cấu hình Web Hosting 90
5.2.6 Sao lưu và phục hồi cấu hình Website 94
5.3Bài tập áp dụng cuối chương 5 95
Trang 8Chương 6.DỊCH VỤ FTP SERVER 98
6.1Cài đặt dịch vụ FTP 99
6.2Cấu hình dịch vụ FTP 99
6.2.1 Tạo FTP mới 99
6.2.2 Theo dõi các User login vào FTP 102
6.2.3 Điều khiển truy xuất đến FTP 102
6.2.4 Tạo Virtual Directory 106
6.3Bài tập áp dụng cuối chương 6 107
Chương 7.DỊCH VỤ TRUY CẬP TỪ XA VÀ VPN SERVER 110 7.1Xây dựng một Remote Access Server 111
7.1.1 Remote Desktop trong mạng LAN 111
7.1.2 Sử dụng remote desktop connections 112
7.2Xây dựng VPN Server Client to Site 114
7.2.1 Các giao thức mã hoá: PPTP và L2TP/IPSEC 114
7.2.2 VPN Server chứng thực User trên Router 115
7.2.3VPN Server chứng thực User trên Domain thông qua Radius Server 119
7.3Bài tập áp dụng cuối chương 7 126
Trang 9GIÁO TRÌNH MÔN HỌC Tên môn học: TRIỂN KHAI HỆ THỐNG MẠNG
Mã môn học: MH3101122
Vị trí, tính chất và vai trỏ của môn học:
- Vị trí: Môn học được bố trí vào học kỳ 4, là môn học chuyên môn, được giảng dạy sau môn học Quản trị mạng Windows Server
Cấu hình và quản trị được các dịch vụ mạng trong mạng LAN
Cấu hình public và quản trị được dịch vụ mạng qua Internet
- Về năng lực tự chủ và trách nhiệm:
Làm việc thận trọng và có trách nhiệm đối với công việc
Có niềm đam mê, sự tự tin và tính chuyên nghiệp
Khả năng làm việc nhóm, biết phối hợp cùng nhau giải quyết vấn đề
Trang 10Chương 1 DỊCH VỤ NAT VÀ ROUTING AND REMOTE ACCESS
➢ Giới thiệu chương:
- Trong chương này nhằm giúp cho sinh viên hiểu rõ hơn về cơ chế chuyển đổi địa chỉ Private IP sang địa chỉ Public IP, chuyển đổi gói tin giữa các lớp mạng khác nhau và định tuyến địa chỉ IP trên các thiết bị mạng Nhằm mục đích tiết kiệm địa chỉ IP đăng kí trong một mạng lớn, cho phép người dùng bên ngoài có thể truy xuất được dịch vụ bên trong như: Web, FTP, Mail, VPN Server và giúp đơn giản hoá trong việc quản lý địa chỉ IP
Trang 111.1.2 Mục dích
Việc sử dụng định tuyến động hay định tuyến tĩnh thực sự đó chỉ là một
sự lựa chọn của các quản trị viên Cách định tuyến nào đi chăng nữa thì kết quả cuối cùng của nó vẫn là nhằm mục đích định tuyến đúng lưu lượng mạng
1.1.3 Định tuyến tĩnh (Static route)
Định tuyến tĩnh là quá trình router thực hiện chuyển gói dữ liệu tới địa chỉ mạng đích dựa vào địa chỉ IP đích của gói dữ liệu Để chuyển được gói dữ liệu đến đúng đích thì router phải học thông tin về đường đi tới các mạng khác Thông tin về đường đi tới các mạng khác sẽ được người quản trị cấu hình cho router Khi cấu trúc mạng thay đổi, người quản trị mạng phải tự thay đổi bảng định tuyến của router
Kỹ thuật định tuyến tĩnh đơn giản, dễ thực hiện, ít hao tốn tài nguyên mạng và CPU xử lý trên router (do không phải trao đổi thông tin định tuyến và không phải tính toán định tuyến) Tuy nhiên kỹ thuật này không hội tụ với các thay đổi diễn ra trên mạng và không thích hợp với những mạng có quy mô lớn (khi đó số lượng route quá lớn, không thể khai báo bằng tay được)
Với định tuyến tĩnh, ta phải tạo một entry trên máy chủ Windows Server cho mỗi nút mạng, ở mỗi nút mạng này sẽ được định tuyến bởi máy chủ đó Như vậy, với một mạng đơn giản có một máy chủ Windows Server thì việc định tuyến lưu lượng giữa hai mạng bằng phương pháp định tuyến tĩnh là một phương pháp hiệu quả nhất
Trang 12Hình 1-1 Sơ đồ định tuyến mạng đơn giản
1.1.3.1 Sử dụng Command line để cấu hình định tuyến tĩnh
Đối với Windows Server 2008 việc cấu hình định tuyến bằng lệnh command line cũng không còn xa lạ thay vì sử dụng giao diện quản trị người dùng
- Lệnh Route ADD: Thêm 1 địa chỉ mạng mới
Cú pháp:
Route ADD [Địa chỉ mạng đích] MASK [Subnet Mask] [Gateway]
Ví dụ: Trong Hình 1-1, tại máy SRV1 sử dụng lệnh Route ADD để thêm một mạng mới sao cho client 1 và client 2 có thể liên lạc được với nhau
Tại cửa sổ Command line ta gõ
Route ADD 192.168.11.0 MASK 255.255.255.0 192.168.10.1
Hoặc
Route ADD 192.168.10.0 MASK 255.255.255.0 192.168.11.1
- Lệnh Route Delete: Xoá 1 địa chỉ mạng
Cú pháp:
Trang 13- Cú pháp: Route print
Ví dụ: Tại cửa sổ Command line ta gõ
Route print
Hình 1-2 Hiển thị bảng định tuyến IP trong Windows Server 2008
Trong phần đầu ra lệnh route print, ta thấy ở đây là danh sách giao diện Các giao diện Windows Server IP được dán nhãn bằng số giao diện Số giao diện trong hình 1-2 là: 15, 13, 11, 1, 12, 14, và 16 Các số giao diện này sẽ được thay đổi khi ta bổ sung hoặc xóa các tuyến trong bảng định tuyến
Trong phần thứ 2 của lệnh này là IPv4 Route Table Bảng này thể hiện cho ta thấy được các đích đến của mạng như: network mask, default gateway, interface, và metric Nó “mách bảo” Windows Server biết được nơi định tuyến lưu lượng mạng
1.1.3.2 Sử dụng giao diện người dùng để cấu hình định tuyến tĩnh
- Bước 1: Cài đặt Routing and remote access
Trang 14Vào Server Manage → right click vào Roles → Add roles → check vào Network Policy and Access Services → Next → Next
Click chọn dịch vụ Routing and Remote access Services cần cài đặt → Next → Install
Hình 1-3 Cài đặt Routing and Remote Access Services
- Bước 2: Khởi động dịch vụ Routing and Remote Access vừa cài đặt Right click vào Server Name chọn Configure and Enable Routing and Remote Access → Next → Custom configuration → Next → Check vào LAN routing
Trang 15Hình 1-5 Khởi động dịch vụ sau khi cấu hình
1.1.4 Định tuyến động (Dynamic route)
Định tuyến động là phương thức định tuyến mạng, sử dụng thuật toán định tuyến tự động trao đổi thông tin định tuyến với các Router khác và xác định tuyến tốt nhất đến mỗi mạng đưa vào bảng định tuyến
So với định tuyến tĩnh, định tuyến động tốn ít thời gian cấu hình cho người quả trị Tuy nhiên, định tuyến động tốn kém tài nguyên CPU, tài nguyên băng thông mạng
Một thuật toán định tuyến là một tập các xử lý, thuật toán và các thông điệp được sử dụng để trao đổi thông tin định tuyến và xác định tuyến tốt nhất đưa vào bảng định tuyến Mục đính của giao thức định tuyến gồm:
Trong trường hợp phài thực hiện định tuyến cho nhiều đường mạng Windows Server 2008 cho phép định tuyến đến 25 mạng hoặc trao đổi các tuyến với mạng Cisco có sử dụng giao thức RIP v2 thì giải pháp thực hiện là chọn phương pháp định tuyến động
Định tuyến động cung cấp cho ta các tính năng sau:
- Khả năng tự động bổ sung các mạng bằng cách học hỏi đường đi từ các RIP router khác
- Khả năng tự động remove các tuyến từ bảng định tuyến khi một RIP liền
kề khác xóa chúng
- Khả năng chọn tuyến tốt nhất dựa trên metric định tuyến
- Có khả năng tìm tuyến mới thay thế cho tuyến cũ nếu tuyến cũ không còn sẵn sàng
Trang 16Hình 1-6 Mô hình định tuyến động
Đối với việc cài đặt và cấu hình định tuyến động các Server làm nhiệm
vụ định tuyến phải đảm bảo liên lạc được với nhau trong môi trường mạng
- Bước 1: Cài đặt Routing and Remote Access Services tương tự như phần
1.1.3.2
- Bước 2: Khởi động dịch vụ Routing and Remote Access
- Bước 3: Cấu hình dịch vụ tuần tự trên các Server làm nhiệm vụ định tuyến
Tại SRV1-RRAS:
Đảm bảo rằng, việc thực hiện một cấu hình tùy chọn Custom Configuration có liên quan đến RRAS protocol Sau đó, chọn cài đặt LAN Routing, tiếp đến chọn khởi chạy dịch vụ
Tại đây, ta mở rộng phần IPV4, vào General, sau đó vào New Routing Protocol → RIP Version 2 for Internet Protocol → OK
Trang 17Hình 1-8 Lựa chọn Interface định tuyến RIP
Sau khi chọn Interface định tuyến, ta có thể tùy chọn cấu hình hàng loạt các thuộc tính kết nối RIP
Trang 18Hình 1-9 Các thuộc tính kết nối RIP
Tại SRV2-RRAS:
Thực hiện cấu hình tương tự như SRV1-RRAS
Sau khi thực hiện cấu hình trên các máy Server đóng vai trò định tuyến
Ta có thể kiểm tra sự liên lạc giữa các RIP lân cận bằng cách Right click tại RIP – Show Neighbors
1.1.5 So sánh định tuyến tĩnh và định tuyến động
Bảng 1-1 So sánh định tuyến tĩnh và định tuyến động
Trang 19Thay đổi hình trạng
mạng
Tự động thích ứng khi thây đổi hình trạng mạng
Yêu cầu sự can thiệp của người quản trị
Khả năng mở rộng Phù hợp với mạng từ
đơn giản đến phúc tạp
Phù hợp với mạng đơn giản
Sử dụng tài nguyên Sử dụng tài nguyên
CPU, bộ nhớ, băng thông liên kết
Không cần nhiều tài nguyên
Sự ổn định của tuyến Phụ thuộc vào hình
trạng mạng hiện thời
Tuyến đến đích luôn cố định
1.2 Dịch vụ NAT (Network Address Translation)
1.2.1 Giới thiệu
Trong môi trường WORKGROUP các máy liên hệ với nhau thông qua
IP Address do chúng ta tự gán cho từng máy hoặc do DHCP Server cấp phát các IP Address dạng này được gọi là Private IP hay nói cách khác các máy từ một mạng khác thông qua Internet sẽ không thể truy cập vào các máy này với Private IP đó
Khi cả hệ thống mạng chúng ta sẽ liên lạc với các mạng bên ngoài thông qua một IP Address khác được gọi là Public IP, IP này ta có được là do nhà cung cấp dịch vụ ISP cung cấp hoặc bạn phải liên hệ nhà cung cấp để mua nó
Nếu chúng ta mua Public IP này thì Public IP này là duy nhất nhưng nếu
là do nhà cung cấp dịch vụ gán thì Public IP này sẽ là IP động hay nói cách khác nó sẽ thay đổi một cách ngẫu nhiên
VD: Hệ thống mạng của bạn bao gồm 5 máy có IP Address từ 192.168.1.2 đến 192.168.1.6 và được gắn với một Router ADSL có IP là 192.168.1.1 thì các IP này gọi là Private IP
Trang 20Hình 1-10 Mô hình NAT qua Router ADSL
Tại đây tất cả các máy trong mạng LAN nối trực tiếp với Router ADSL hoặc thông qua một Switch và kết nối với Router ADSL Trong mô hình này chúng ta sẽ tiết kiệm được chi phí nhưng bù lại Modem ADSL sẽ làm việc quá sức vì bản thân nó cũng có CPU và RAM để phân tích dữ liệu, nhưng vì CPU
& RAM của Router ADSL rất khiêm tốn nên xử lý các gói tin rất chậm chạp
Do đó với hệ thống mạng hàng trăm máy ta nên chọn một Router tương ứng, chịu tải tốt hoặc một NAT Server để xử lý các gói tin được nhanh hơn
1.2.1.1 Định nghĩa NAT
NAT viết tắt của Network Address Translation, là một kỹ thuật cho phép chuyển đổi từ một địa chỉ IP này thành một địa chỉ IP khác Thông thường, NAT được dùng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy cập đến mạng công cộng (Internet) Vị trí thực hiện NAT là router, NAT Server có nhiệm vụ kết nối giữa hai mạng là mạng công cộng (Global) và mạng nội bộ
Trang 21thiết bị khác Thông thường, NAT thường thay đổi địa chỉ thường là địa chỉ riêng (Private IP) của một kết nối mạng thành địa chỉ công cộng (Public IP)
NAT cũng có thể coi như một Firewall (tường lửa) cơ bản NAT duy trì một bảng thông tin về mỗi gói tin được gửi qua Khi một máy tính trên mạng kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay thế bằng địa chỉ Public đã được cấu hình sẵn trên NAT server, sau khi có gói tin trở về NAT dựa vào bảng record mà nó đã lưu về các gói tin, thay đổi địa chỉ
IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi Thông qua cơ chế
đó quản trị mạng có khả năng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay ngăn truy cập đến một port cụ thể
1.2.1.3 Địa chỉ Private IP (cục bộ)
Private IP là các địa chỉ được cấp phát bởi InterNIC cho phép các công
ty, tổ chức, trường học có thể tạo cho họ một mạng cục bộ riêng Có ba dãy IP
ở class A, class B và class C được IANA (Tổ chức cấp phát số hiệu trên Internet) dành riêng để đánh địa chỉ private IP
Private IP dùng để phân biệt các máy tính và thiết bị trong một mạng
"riêng" bao gồm mạng gia đình, trường học, hoặc các tổ chức, công ty, bussiness LANs trong các sân bay, khách sạn, Và nhờ đó các thiết bị trong mạng có thể giao tiếp được với nhau
Ví du: Một mạng công ty X bao gồm 10 máy tính, mỗi máy được gán địa chỉ IP từ 192.168.1.1đến 192.168.1.10 Không như public IP, quản trị mạng cục bộ có thể tự do gán IP theo ý thích nhưng phải thuộc dãy private IP ở trên (bảng 1-2) và theo đúng class đang sử dụng
Khi một máy tính kết nối đến router và được gán một địa chỉ private IP, các thiết bị cục bộ trong mạng "nhìn thấy" máy tính này qua private IP Tuy nhiên với private IP thiết bị sẽ không thể kết nối trực tiếp đến Internet được,
Trang 22tương tự các thiết bị "bên ngoài" của mạng cũng không thể kết nối trực tiếp đến thiết bị giữ private IP, mà tất cả phải thông qua router
Vì vậy với mạng máy tính công ty X ở trên, thì ở góc nhìn từ bên ngoài, mọi thiết bị trong mạng của công ty đều đang giao tiếp với Internet thông qua một địa chỉ IP duy nhất - địa chỉ public IP của router
1.2.1.4 Địa chỉ Public IP (công cộng)
Public IP là địa chỉ được ISP (nhà cung cấp dịch vụ Internet) cấp có thế được "nhìn thấy" và truy cập từ Internet Giống như địa chỉ nhà dùng để nhận thư tín, bưu phẩm vậy Mỗi Public IP chỉ tồn tại độc nhất trên mạng Internet cho toàn cầu Đa phần người dùng phổ thông không có quyền kiểm soát địa chỉ public IP của mình, quyền đó thuộc về ISP
Một public IP có thể là tĩnh (static) hoặc động (dynamic) tùy theo loại dịch vụ của người dùng Một địa chỉ public IP tĩnh không thay đổi và thường được dùng cho hosting các trang web, hoặc dịch vụ trên Internet Mặt khác, địa chỉ động được chọn từ một "dãy địa chỉ" các địa chỉ có sẵn và thay đổi mỗi lần người dùng kết nối đến Internet Đa số các ISP hiện nay cung cấp địa chỉ IP động cho người dùng
Ví dụ: Các web server, email server, hay các server game bất kì đa số đều được kết nối trực tiếp từ Internet thông qua địa chỉ public IP Hoặc ở các mạng gia đình, ký túc xá, thì router giữ public IP để kết nối trực tiếp đến Internet Các máy tính, smartphones, và các thiết bị "đằng sau" của router chỉ
sử dụng các địa chỉ private IP để kết nối đến router Router bây giờ hoạt động như một người trung gian, chuyển tiếp lưu lượng dữ liệu đến các địa chỉ IP cục
bộ theo yêu cầu, và đảm bảo dữ liệu gửi/nhận đến các địa chỉ chính xác
1.2.2 Mục đích
Ban đầu, NAT được đưa ra nhằm giải quyết vấn đề thiếu hụt địa chỉ Ipv4
Trang 23- NAT giúp cho người quản trị hệ thống mạng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP ngoài mạng
- NAT cho phép hay cấm đến 1 port cụ thể
1.2.3 NAT Outboand
NAT Outbound còn gọi là phương pháp chia sẻ Internet: Router, NAT Server sẽ thực hiện chuyển địa chỉ IP của Client thành IP mặt ngoài của Router khi Client cần liên lạc đến 1 IP khác NET ID
NAT Server, Router phải thực hiện 2 chức năng: Default Route và NAT Outbound để giúp Client có thể truy cập Internet Hai chức năng trên được ISP tích hợp sẵn trên Router ADSL
Ví dụ: Tại Khoa Công Nghệ Thông Tin của một Trường Cao đẳng ở Tp
Hồ Chí Minh có khoảng 200 máy tính chia làm 4 phòng cho sinh viên học tập
Để các máy tính trên có thể truy cập được Internet thì ta cần phải NAT Outbound
Hình 1-11 Sơ đồ minh hoạ NAT Outbound
Trang 24- Port là một số hiệu đại diện cho dịch vụ cần cung cấp
- Có 65.536 port do tổ chức IANA quản lý
- Với 1024 port đầu tiên (0 - 1023) đại diện cho các dịch vụ thông dụng được dùng phổ biến gọi là Well-Known Port
Triển khai Nat Inbound cần quan tâm đến 2 yếu tố:
- Địa Chỉ IP máy Server (máy cung cấp dịch vụ)
- Port tương ứng của dịch vụ đang cung cấp
Ví dụ: Tại công ty Thái Dương kinh doanh sản phẩm mây tre lá Ban giám đốc yêu cầu người quản trị xây dựng một website để quảng bá sản phẩm rộng rãi ra thị trường
Trong trường hợp này, ngoài các vấn đề người quản trị cần phải xây dựng như: Hạ tầng, thiết bị, xây dựng Website…thì việc cấu hình NAT Inbound trên máy NAT Server để người sử dụng truy cập được Website của công ty là không thể thiếu được
Hình 1-12 Sơ đồ minh hoạ NAT Inbound
1.2.5 Kết hợp giữa NAT Inbound và NAT Outbound
Trang 25trị Tuy nhiên, với hệ thống mạng quản lý hàng nghìn user Việc cấu hình không chỉ có NAT Server mà còn kết hợp với các thiết bị cứng như Router, Firewall nhằm đảm bảo được tốc độ truyền dữ liệu cũng như bảo mật hệ thống
Đối với cá nhân từng hộ gia đình có sử dụng mạng Internet Hầu hết trên các thiết bị Router ADSL đều được ISP tích hợp sẵn sàng NAT Outbound và Default route giúp cho việc truy cập Internet dễ dàng hơn
1.3 Bài tập áp dụng cuối chương 1
Cho sơ đồ mạng như hình vẽ
Hình 1-13 Sơ đồ kết hợp NAT Inbound và NAT Outbound
- Bước 1: Sử dụng phần mềm Wmware tạo 3 máy Server 2008 và 02 máy Windows 2003 Windows 2008 dành cho các Server SRV1, SRV2 và SRV3 Máy Windows 2003 dành cho các máy Client 1, Client 2
- Bước 2: Thiết lập Ip cho hệ thống theo sơ đồ
- Bước 3: Nâng cấp Domain và cấu hình DNS trên SRV1
- Bước 4: Cài đặt và cấu hình dịch vụ RRAS trên SRV3 sao cho các máy trong LAN 1 và LAN 2 liên lạc được với nhau Client 1 tiến hành Join Domain
- Bước 5: Cấu hình NAT Outbound trên SRV3
Tại cửa sổ “Routing and Remote Access”, chọn IPv4 → nhấn phải chuột vào General → chọn New Routing Protocol → NAT → OK
Trang 26Hình 1-14 Thêm giao thức NAT vào RRAS
Right click vào NAT → chọn New Interface…
Tại cửa sổ “New Interface for IPNAT”, chọn card mạng LAN1, bấm OK Tiếp tục chọn “Private interface connected to interface network”
Hình 1-15 Thêm card mạng LAN vào NAT Server
Điều này có nghĩa rằng, tất cả máy tính bên trong có liên kết với LAN1
sẽ truy cập được Internet
Card mạng LAN2 làm tương tự như Card mạng LAN1
Trang 27Tại cửa sổ “Routing and Remote Access”, Right click → IPv4 → NAT
→ chọn New Interface…
Tại cửa sổ “New Interface for IPNAT”, chọn card mạng WAN, chọn OK tiếp tục chọn “ Public interface connect to internet , và Enable NAT on this interface → chọn OK
Hình 1-16 Thêm card mạng WAN vào NAT Server
Tại cửa sổ “Network Address Translation Properties – WAN Properties” Chọn thẻ Services and Ports Tại đây, chúng ta cần mở Port cho dịch vụ nào thì chỉ cần Edit… và điền IP của Server đang chạy dịch vụ đó Hoặc thêm một Port hoàn toàn mới nếu không có trong danh sách Trong bài tác giả Edit Port 80 điền Ip của máy Web Server giúp cho bên ngoài truy cập được Website bên trong
Trang 28Hình 1-17 Nat port 80 cho dịch vụ Web Server
Đến đây, dùng máy client 1 có thể truy cập Internet
Trang 29Client 2 gõ IP card mạng WAN sẽ truy cập được Web Server bên trong
Hình 1-19 Client 2 truy cập được Web Server
Trang 30Chương 2 DỊCH VỤ DHCP SERVER
➢ Giới thiệu chương:
Ngày nay, tất cả các hệ thống mạng cỡ nhỏ, vừa, lớn hay rất lớn thì mỗi máy tính, thiết bị trong hệ thống đó đều có thể sử dụng địa chỉ IP động được cấp phát từ máy chủ DHCP Server Trong chương này chúng ta sẽ tìm hiểu
rõ hơn về DHCP là gì? Nguyên lý hoạt động của chúng ra sao? Cũng như những thông tin chi tiết về DHCP, giúp sinh viên có cái nhìn tổng quát hơn
về dịch vụ này
➢ Mục tiêu chương:
Trình bày được vai trò và chức năng dịch vụ cấp phát động địa chỉ IP cho các máy trạm
Cấu hình được dịch vụ DHCP Server trên Windows Server 2008
2.1 Giới thiệu dịch vụ DHCP Server
Dịch vụ DHCP cho phép chúng ta cấp động IP và các thông số cấu hình mạng cho các máy trạm (client)
Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với
cơ chế khai báo tĩnh các thông số mạng như:
- Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho
hệ thống mạng
- Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ
IP thật (Public IP)
- Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng
- Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà ga, sân bay, trường học…
Trang 31địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ của Server
Hình 2-1 Hoạt động của DHCP Server
2.3 Cài đặt dịch vụ DHCP Server
Bước 1:
Vào Server Manger → Roles →Add Roles
Nhấn Next → trong mục Roles chọn “DHCP Server” Nhấn Next → Next
Hình 2-2 Giới thiệu về DHCP và các điểm cần lưu ý
Trang 32Chú ý:
IP được thiết lập cho DHCP Server phải là IP tĩnh
Trước khi cài đặt DHCP Server, cần phải lên kế hoạch trước như: Chọn Subnet nào, cấp bao nhiêu địa chỉ IP trong một Scope, trừ ra các địa chỉ IP nào làm Server và dự phòng địa chỉ IP trong tương lai nếu có mở rộng hệ thống
Tiếp tục nhấn Next để chọn Card mạng DHCP Server
Hình 2-3 Lựa chọn Card mạng cho dịch vụ DHCP Server
Chọn Next kiểm tra tên miền và địa chỉ IP (Nếu DHCP được cài đặt cùng với Domain thì sẽ được điền tự động)
Chọn Next → không sử dụng dịch vụ Wins trong hệ thống
Chọn Next → Click → Add or Edit DHCP Scopes, để thêm scope, điền thông tin scope cần add và nhấn OK
Trang 33Hình 2-4 Điền thông tin chi tiết cho DHCP Scope
Nhấn Next và Tắt chức năng IPv6 ở đây chúng ta không sử dụng IPv6, chọn “Disable IPv6 Stateless mode…” và Next
Nhấn Next và chọn user có quyền chứng thực (Author)→ Next
Xác nhận lại thông tin trước khi click Install cài đặt dịch vụ DHCP
Hình 2-5 Xác nhận thông tin trước khi cài đặt DHCP server
Trang 342.4 Chứng thực dịch vụ DHCP Server trong Active Directory
Windows Server 2008 chạy dịch vụ DHCP trên đó lại làm việc trong một domain (có thể là một Server thành viên bình thường hoặc là một máy điều khiển vùng), dịch vụ muốn có thể hoạt động bình thường thì phải được chứng thực bằng Active Directory
Mục đích của việc chứng thực này là để không cho các Server không được chứng thực làm ảnh hưởng đến hoạt động mạng Chỉ có những Windows 2008DHCP Server được chứng thực mới được phép hoạt động trên mạng
Giả sử có một nhân viên nào đó cài đặt dịch vụ DHCP và cấp những thông tin TCP/IP không chính xác DHCP Server của nhân viên này không thể hoạt động được (do không được quản trị mạng cho phép) và do đó không ảnh hưởng đến hoạt động trên mạng Chỉ có Windows 2008 DHCP Server mới cần được chứng thực trong Active Directory
Còn các DHCP server chạy trên các hệ điều hành khác như Windows
NT, UNIX, … thì không cần phải chứng thực
Trong trường hợp máy Windows Server 2008 làm DHCP Server không nằm trong một domain thì cũng không cần phải chứng thực trong Active Directory Chúng ta có thể sử dụng công cụ quản trị DHCP để tiến hành việc chứng thực một DHCP Server Các bước thực hiện như sau:
Chọn menu Start / Administrative Tools / DHCP
Trong ô bên trái của cửa sổ DHCP, tô sáng Server cần chứng thực Chọn menu Action /Authorize Đợi một hoặc hai phút sau, chọn lại menu Action / Refresh Bây giờ DHCP đã được chứng thực, hãy chú ý biểu tượng kế bên tên Server là một mũi tên màu xanh hướng lên (thay vì là mũi tên màu đỏ hướng xuống)
Trang 35Hình 2-6 Chứng thực DHCP Server vào AD
2.5 Cấu hình dịch vụ DHCP Server
Sau khi đã cài đặt dịch vụ DHCP, bạn sẽ thấy biểu tượng DHCP trong menu Administrative Tools Thực hiện theo các bước sau để tạo một scope cấp phát địa chỉ:
Chọn menu Start / Programs / Administrative Tools / DHCP
Trong cửa sổ DHCP, nhấp phải chuột lên biểu tượng Ipv4 và chọn mục New Scope → Next
Hình 2-7 Đặt tên và gõ chú thích khi tạo Scope
Trang 36Hộp thoại IP Address Range xuất hiện Nhập vào địa chỉ bắt đầu và kết thúc của danh sách địa chỉ cấp phát Sau đó, chỉ định Subnet mask bằng cách cho biết số bit 1 hoặc nhập vào chuỗi số Nhấn chọn Next
Hình 2-8 Tạo Range và Subnet mask cho DHCP Server
Trong hộp thoại Add Exclusions, cho biết những địa chỉ nào sẽ được loại
ra khỏi nhóm địa chỉ đã chỉ định ở trên Các địa chỉ loại ra này được dùng để đặt cho các máy tính dùng địa chỉ tĩnh hoặc dùng để dành cho mục đích phát triển hệ thống trong tương lại Để loại một địa chỉ duy nhất, bạn chỉ cần cho biết địa chỉ trong ô Start IP Address và nhấn Add Để loại một nhóm các địa chỉ, bạn cho biết địa chỉ bắt đầu và kết thúc của nhóm đó trong Start IP Address
và Stop IP Address, sau đó nhấn Add Nút Remove dùng để huỷ một hoặc một nhóm các địa chỉ ra khỏi danh sách trên Sau khi đã cấu hình xong, nhấn nút Next để tiếp tục
Trang 37Hình 2-9 Hội thoại Add/Remove địa chỉ loại trừ trong cấu hình DHCP
Trong hộp thoại Lease Duration tiếp theo, cho biết thời gian các máy trạm có thể sử dụng địa chỉ này Theo mặc định, một máy Client sẽ cố gia hạn lại địa chỉ khi đã sử dụng được phân nửa thời gian thuê Lượng thời gian cho phép mặc định là 8 ngày Ta có thể chỉ định lượng thời gian khác tuỳ theo nhu cầu Sau khi đã cấu hình xong, nhấn Next để tiếp tục
Hình 2-10 Chỉ định lượng thời gian thuê tuỳ theo nhu cầu
Trang 38Hộp thoại Configuration DHCP Options yêu cầu chúng ta cấu hình thông
số dịch vụ của scope ngay bây giờ hoặc để sau Ở đây ta chọn “Yes, I want to config these options now” và nhấn Next
Trong hộp thoại Router (Default Gateway), điền địa chỉ IP của default gateway mà các máy DHCP Client sẽ sử dụng và nhấn Add Sau đó nhấn Next
Hình 2-11 Hộp thoại điền đỉa chỉ Default Gateway
Trong hộp thoại Domain Name and DNS Server, bạn sẽ cho biết tên domain mà các máy DHCP client sẽ sử dụng, đồng thời cũng cho biết địa chỉ
IP của DNS Server dùng phân giải tên, nhấn Next để tiếp tục
Trang 39Trong hộp thoại WINS SERVER tiếp theo, cho biết địa chỉ của của WINS Server chính và phụ dùng để phân giải các tên NetBIOS thành địa chỉ
IP Sau đó nhấn chọn Next (Hiện nay dịch vụ WINS ít được sử dụng, do đó ta
có thể bỏ qua bước này, không nhập thông tin gì hết)
Tiếp theo, hộp thoại Activate Scope xuất hiện, hỏi ta có muốn kích hoạt scope này hay không Scope chỉ có thể cấp địa chỉ cho các máy Client khi được kích hoạt Chọn Next Sau đó nhấn Finish để kết thúc
2.6 Cấu hình các tùy chọn DHCP Server
Các tuỳ chọn DHCP là các thông tin phụ gửi kèm theo địa chỉ IP khi cấp phát cho các máy client Ta có thể chỉ định các tuỳ chọn ở hai mức độ: Scope
và Server Các tuỳ chọn ở mức scope chỉ áp dụng cho riêng scope đó, còn các tuỳ chọn mức Server sẽ áp đặt cho tất cả các scope trên toàn Server
Chọn menu Start → Programs → Administrative Tools → DHCP Trong cửa sổ DHCP, ở ô bên trái, mở rộng mục Server để tìm Server Options hoặc mở rộng một scope nào đó, để tìm Scope Options Nhấn phải chuột lên mục tuỳ chọn tương ứng và chọn Configure Options
Hộp thoại cấu hình các tuỳ chọn xuất hiện (mức Server hoặc scope đều giống nhau) Trong mục Available Options, chọn loại tuỳ chọn bạn định cấp phát và nhập các thông cấu hình kèm theo
Sau khi đã chọn xong hoặc chỉnh sửa các tuỳ chọn xong, nhấn OK để kết thúc
Hình 2-13 Cấu hình các tuỳ chọn DHCP Server
Sau khi cấu hình xong Máy client 1 tiến hành xin địa chỉ IP từ DHCP Server Vào Run gõ CMD
Trang 40Ipconfig /release: Câu lệnh này cho phép bạn giải phóng địa chỉ IP hiện hành
Ipconfig /renew: Câu lệnh này sẽ giúp hệ thống nhận địa chỉ IP mới
Hình 2-14 Cấp phát động IP cho máy Client từ DHCP Server
- Chú ý: Trước khi xin địa chỉ IP, máy client cần phải kiểm tra card mạng phải điều chỉnh ở chế độ cấp phát động
2.7 Cấu hình dành riêng địa chỉ IP
Giả sử hệ thống mạng sử dụng việc cấp phát địa chỉ động nhưng trong
đó có một số máy tính bắt buộc phải sử dụng một địa chỉ IP cố định trong một thời gian dài Do đó, ta có thể thực hiện được điều này bằng cách dành một địa chỉ IP cho riêng máy đó Việc cấu hình này được thực hiện trên từng scope riêng biệt
Các bước thực hiện:
Chọn menu Start → Programs → Administrative Tools → DHCP