Giới thiệu về UAG DirectAccess – Phần 2: Kỹ thuật
chuyển đổi IPv6 và NRPT
Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chuyển đổi IPv6
được sử dụng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6
có thể luân chuyển được trong mạng IPv4.
Chúng ta hiện đang sử dụng các mạng IPv4 và chắc chắn một điều là các mạng này sẽ
vẫn sử dụng trong một thời gian dài nữa. Mặc dù hiện đã có một số mạng bước đầu
chuyển sang sử dụng IPv6 nhưng việc triển khai, nâng cấp các giao thức này diễn ra rất
chậm và đôi khi không được chuyển đổi một cách hoàn chỉnh. Thêm vào đó, có rất ít máy
tính có thể truy cập Internet IPv6, chính vì vậy có thể nói quá trình chuyển đổi sang IPv6
sẽ còn rất dài.
Các kỹ thuật chuyển đổi sang IPv6
Do máy khách DirectAccess sử dụng IPv6 để kết nối đến máy chủ DirectAccess và có thể
đến máy chủ nằm trong mạng công ty, nên cần phải có phương pháp để cho phép dữ liệu
IPv6 này di chuyển trong mạng IPv4. DirectAccess giải quyết vấn đề này bằng cách sử
dụng một số kỹ thuật chuyển đổi IPv6 khác nhau, giúp dữ liệu IPv6 được đóng gói trong
các IPv4 header và vì vậy có thể di chuyển trong các mạng “IPv4-only” ngày nay. Các kỹ
thuật được sử dụng ở đây là:
 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)

ISATAP được sử dụng trên các mạng nội bộ để các host truyền thông với nhau bằng
IPv6. Cách thực hiện là sử dụng một adapter ISATAP tunnel có gán địa chỉ IPv6 và sau
đó đóng gói dữ liệu truyền thông trong ISATAP này bên trong IPv4 header và gửi đi
trong cơ sở hạ tầng mạng nội bộ. Khi các dữ liệu này đến được máy chủ đích của nó,
IPv4 header sẽ được tháo gỡ ra và lộ diện các IPv6 header lẫn tải trọng. ISATAP cho
phép bạn có thể sử dụng tất cả các ưu việt của IPv6 mà không yêu cầu nâng cấp các thiết
bị mạng cũng như cơ sở hạ tầng.

 6to4 Protocol

Giao thức 6to4 được sử dụng bởi máy khách DirectAccess khi máy khách này được gán

header, tiếp đó được đóng gói trong HTTP header và mã hóa bằng SSL (TLS). Như
những gì có thể hình dung, nếu các overhead trong mỗi giao thức càng cao thì sự ảnh
hưởng đến hiệu suất càng lớn.
Chính vì điều này mà nên tránh cấu hình IP-HTTPS nếu có thể. Máy khách DirectAccess,
khi được gán địa chỉ IP riêng (private IP) sẽ cố sử dụng giao thức Teredo, đây là giao
thức cho hiệu suất khá tốt. Chỉ khi Teredo không thể sử dụng, máy khách DirectAccess
sẽ chuyển sang sử dụng sang giao thức IP-HTTPS.
Thoạt nhìn chúng ta có thể cho rằng các công nghệ chuyển đổi IPv6 rất khó hiểu và khó
nhớ nhưng UAG DirectAccess Wizard sẽ làm tất cả các công việc cần làm cho bạn. Nó
sẽ cấu hình máy chủ UAG DirectAccess làm 6to4 router, Teredo router và IP-HTTPS
gateway mà bạn không cần biết nhiều về các giao thức làm cho DirectAccess làm việc.
Tất cả các kỹ thuật này đều hoạt động ở phía dưới và cho phép kết nối xuyên suốt đối với
các máy khách DirectAccess.
Trong các tổ chức, sự phân phối các kết nối máy khách DirectAccess khá khác nhau. Sự
phân phối này có thể thay đổi phụ thuộc vào việc vô hiệu hóa split tunneling.

Hình 1
Mặc định, máy khách DirectAccess sử dụng split tunneling để cho phép người dùng truy
cập Internet trực tiếp mà không bắt buộc các kết nối sử dụng gateway mạng nội bộ.
Chúng ta có thể sử dụng DirectAccess “Force Tunneling”, có thể vô hiệu hóa tính năng
split tunneling cho các kết nối máy khách DirectAccess và buộc chúng phải sử dụng cổng
Internet trên mạng công ty để kết nối Internet. Nhược điểm của tùy chọn Force Tunneling
này là máy khách DirectAccess phải sử dụng IP-HTTPS, điều đó dẫn đến tình trạng kém
về mặt hiệu suất. Force Tunneling và split tunneling sẽ được thảo luận một cách chi tiết
hơn trong phần tiếp dưới đây.
Name Resolution Policy Table (NRPT)
Name Resolution Policy Table (NRPT) được sử dụng bởi máy khách DirectAccess để nó
xác định nên sử dụng máy chủ DNS nào, vấn đề này hoàn toàn phụ thuộc vào tên miền
hoặc FQDN của đích mà nó cố gắng kết nối đến. Với sự trợ giúp của NRPT, máy khách
DirectAccess sẽ gửi các truy vấn DNS đến máy chủ UAG DirectAccess để phân giải tên

Internet thông qua máy khách DirectAccess thì các kết nối sẽ bị thất bại vì IPsec yêu cầu
việc bảo mật trong đường hầm phải dựa trên địa chỉ IP của máy khách DirectAccess,
thêm vào đó là chứng chỉ máy tính, tài khoản máy tính, tài khoản người dùng, thẻ thông
minh cũng được yêu cầu để thiết lập kết nối. Các vấn đề bảo mật tồn tại với split
tunneling không áp dụng đối với máy khách DirectAccess nên không có lý do gì phải lo
lắng về vấn đề này trong kịch bản DirectAccess.
NRPT cũng được sử dụng để ngăn chặn máy khách DirectAccess phân giải một số tên
miền cụ thể để truy vấn DNS về các tên miền đó không bao giờ được gửi đến máy chủ
DNS trong mạng nội bộ (một trường hợp của UAG DirectAccess là DNS proxy trên máy
chủ UAG DirectAccess). Một ví dụ quan trọng trong tình huống này là tên miền của
Network Location Server (NLS). Máy khách DirectAccess sử dụng NLS để xác định xem
nó có nằm trên mạng công ty hay không. Nếu máy khách DirectAccess có thể kết nối đến
NLS thì nó biết rằng nó đang nằm trong mạng công ty và tắt NRPT. Nếu không, NRPT
được kích hoạt.
Nếu NRPT đã được cấu hình để máy khách DirectAccess có thể phân giải tên miền của
NLS thì máy khách DirectAccess trên mạng Internet sẽ nghĩ rằng nó đang nằm trong
mạng công ty và sẽ tắt NRPT. Nếu máy khách DirectAccess nằm trong mạng Internet và
đã tắt NRPT, nó sẽ không gửi các truy vấn DNS đối với tên miền của mạng công ty đến
DNS proxy của máy chủ UAG DirectAccess và do đó sẽ không thể phân giải các tên
miền của mạng nội bộ. Để giải quyết vấn đề này, NRPT cần được cấu hình với một rule
ngoại lệ để tránh máy khách DirectAccess trên mạng Internet phân giải tên miền của
NLS.
Cho ví dụ, nếu NRPT được cấu hình để gửi tất cả các truy vấn phù hợp với chuỗi
*.contoso.com đến DNS proxy trên máy chủ UAG DirectAccess thì nó sẽ có cả truy vấn
tên miền nls.contoso.com, đây là tên miền của NLS trên mạng công ty. Tuy nhiên nếu
chúng ta tạo một ngoại lệ đối với tên miền nls.contoso.com trong NRPT, dù tên miền này
vẫn nằm trong phạm vi *.contoso.com, nhưng truy vấn sẽ không được gửi đến DNS
proxy trên máy chủ UAG DirectAccess mà thay vào đó sẽ được gửi đến DNS server
được cấu hình trên NIC của máy khách UAG DirectAccess. Do không thể phân giải tên
miền này nên máy khách DirectAccess trên mạng Internet sẽ thừa nhận rằng nó nằm