banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận mạng và thiết bị mạng Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau...  XML
  [Discussion]   Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... 23/08/2010 09:47:41 (+0700) | #31 | 218958
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

conmale wrote:

Kinh nghiệm bản thân anh thì bất cứ nơi nào tránh được NAT thì nên tránh. Packets chỉ nên route (định tuyến) chớ không nên nat (network address translate) bởi vì route nhanh chóng và không thay đổi (mangle) packet. Trong khi đó, nat lại thay đổi packet.

Ngoài khía cạnh hiệu suất giữa route vs nat, nat rất nguy hiểm đặc biệt cho những ứng dụng đụng chạm đến SSL và đụng chạm đến IP's headers. Những thay đổi xảy ra với packets từ cơ chế nat sẽ biến packets ra vào bị vô giá trị hoặc thiếu hụt những thông tin cần thiết (và nguyên thuỷ) cho nên có những sự cố xảy ra do nat sẽ làm kỹ sư mạng cực kỳ điên đầu.

Firewall luôn luôn là thiết bị dùng để cản lọc (tuỳ mức độ và quy chế cản lọc) chớ không phải là thiết bị định tuyến (mặc dù firewall có khả năng định tuyến). Càng tách rời các chức phận, càng dễ bảo trì và nâng cao hiệu suất. Càng nhập nhằng các tính năng trên cùng một thiết bị, càng kém hiệu suất và càng nhiều cơ hội đau đầu. 


Hi anh !

Vậy theo anh mô hình tổng thể cho một doanh nghiệp nên được thiết kế và áp dụng như thế nào để đạt hiệu quả cao nhất. Về phần NAT thì theo em biết, nó cũng là một giải pháp bảo mật, đa phần các thiết kế đều để cập đến việc NAT. Có lẽ không có mô hình mạng nào là không thực hiện NAT.
[Up] [Print Copy]
  [Discussion]   Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... 23/08/2010 10:26:47 (+0700) | #32 | 218964
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

tmd wrote:
Nếu bạn đã nhìn ra được ở lab 1, DSL được cấu hình wizard setup. Nó có cản hết traffic không? Nếu nó không cản traffic thì nó làm gì để traffic đi qua nó vào tới ISA Server ?. Các loại traffic nào ở giao thức nào , cổng nào được vào tới ISA server như trong mô hình lab ?.
Nhìn gì nhìn cho kỹ. Vì vai trò DSL trong lab gây 1 hiểu lầm hay "stupid" gì đó. Bạn trả lời được 3 câu hỏi này của tui thì bạn nên đọc kỹ tiếp cho hết câu chữ thật chậm rãi.
 


Bạn đang hiểu lầm cái cấu hình modem ADSL ở lab 1 đấy. PPoE/PPoA trong cấu hình đó là từ đâu đến đâu?
Và PPoE đang bàn trong chủ đề này là từ đâu đến đâu.

Bài viết đầu tiên mình tham gia trong chủ đề này với lý do và mục đích đã được nói cụ thể ở đây:
/hvaonline/posts/list/0/35554.html#218785
Mình chỉ đưa ra cái topo mạng đó và tập trung phân tích lại ý tưởng của bác myquartz với mục đích công nhận những ý kiến của bác ấy là có cơ sở (tuy nhiên vẫn không đồng tình với cách phê phán hơi nặng nề của bác ấy).

P/s: từ đầu mình không có đọc mấy cái lab của NN (10 cái). Nên mình không tham gia với mục đích phân tích kỹ thuật tất cả các mô hình như chủ đề bạn đưa ra.
[Up] [Print Copy]
  [Discussion]   Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... 23/08/2010 10:56:30 (+0700) | #33 | 218966
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

vikjava wrote:

conmale wrote:

Kinh nghiệm bản thân anh thì bất cứ nơi nào tránh được NAT thì nên tránh. Packets chỉ nên route (định tuyến) chớ không nên nat (network address translate) bởi vì route nhanh chóng và không thay đổi (mangle) packet. Trong khi đó, nat lại thay đổi packet.

Ngoài khía cạnh hiệu suất giữa route vs nat, nat rất nguy hiểm đặc biệt cho những ứng dụng đụng chạm đến SSL và đụng chạm đến IP's headers. Những thay đổi xảy ra với packets từ cơ chế nat sẽ biến packets ra vào bị vô giá trị hoặc thiếu hụt những thông tin cần thiết (và nguyên thuỷ) cho nên có những sự cố xảy ra do nat sẽ làm kỹ sư mạng cực kỳ điên đầu.

Firewall luôn luôn là thiết bị dùng để cản lọc (tuỳ mức độ và quy chế cản lọc) chớ không phải là thiết bị định tuyến (mặc dù firewall có khả năng định tuyến). Càng tách rời các chức phận, càng dễ bảo trì và nâng cao hiệu suất. Càng nhập nhằng các tính năng trên cùng một thiết bị, càng kém hiệu suất và càng nhiều cơ hội đau đầu. 


Hi anh !

Vậy theo anh mô hình tổng thể cho một doanh nghiệp nên được thiết kế và áp dụng như thế nào để đạt hiệu quả cao nhất. Về phần NAT thì theo em biết, nó cũng là một giải pháp bảo mật, đa phần các thiết kế đều để cập đến việc NAT. Có lẽ không có mô hình mạng nào là không thực hiện NAT. 


Câu hỏi của em chung chung quá nên không có câu trả lời xác thực. Mô hình mạng cho doanh nghiệp phục vụ cụ thể từng nhu cầu và ưu tiên khác nhau cho nên không thể có loại "one size fits all" được, nhất là xét đến mức độ hiệu quả và bảo mật. Nói một cách tổng quát, router (bìa) luôn luôn nằm ở ngoài cùng và giữ trách nhiệm định tuyến chớ không nên làm bất cứ thứ gì khác bởi vì chức năng của nó là định tuyến. Firewall nên nằm ở trong để bảo vệ cụ thể từng network segment tuỳ theo đòi hỏi. Nếu bên trong router bìa cần có nhiều network tách rời thì ở mỗi giao điểm cần có một router riêng biệt và bên trong đó có firewall riêng biệt.

Mặc dù các router / modem / firewall hầu hết có khả năng NAT nhưng nếu mình ghi nhận rằng: chỉ NAT khi không thể làm gì khác thì mới hiệu suất được. Hơn nữa, NAT không phải là biện pháp gia tăng bảo mật mà nó chỉ là một cơ chế "viết lại" các packets ra vào. Bởi vậy, nếu ngộ nhận mà cho rằng NAT dùng để bảo mật (như firewall) thì đó là ngộ nhận rất trầm trọng.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... 23/08/2010 11:06:38 (+0700) | #34 | 218967
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

hvthang wrote:
Bạn đang hiểu lầm cái cấu hình modem ADSL ở lab 1 đấy. PPoE/PPoA trong cấu hình đó là từ đâu đến đâu?
Và PPoE đang bàn trong chủ đề này là từ đâu đến đâu.

Bài viết đầu tiên mình tham gia trong chủ đề này với lý do và mục đích đã được nói cụ thể ở đây:
/hvaonline/posts/list/0/35554.html#218785
Mình chỉ đưa ra cái topo mạng đó và tập trung phân tích lại ý tưởng của bác myquartz với mục đích công nhận những ý kiến của bác ấy là có cơ sở (tuy nhiên vẫn không đồng tình với cách phê phán hơi nặng nề của bác ấy).  


Thiệt không hiểu nổi. Đoạn đỏ đó hình như bạn đang áp đặt rằng tui không biết cấu hình wizard setup đang chạy chế độ nào chăng ? Bạn thảo luận kiểu gì vậy ?
Đoạn màu vàng càng tệ hơn. PPoE chỉ dùng khi cái DSL đó chạy chế độ bridge và tui đã có phát biểu về chuyện này.
Bạn nên nói rõ lúc đó, DSL chạy chế độ nào, để mà cấu hình PPoE được trên ISA Server.

Còn bàn lùi là sao ta ? Chắc bạn này đọc càng ngày càng không kỹ.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Discussion]   Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... 23/08/2010 13:23:59 (+0700) | #35 | 218974
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

conmale wrote:


Câu hỏi của em chung chung quá nên không có câu trả lời xác thực. Mô hình mạng cho doanh nghiệp phục vụ cụ thể từng nhu cầu và ưu tiên khác nhau cho nên không thể có loại "one size fits all" được, nhất là xét đến mức độ hiệu quả và bảo mật. Nói một cách tổng quát, router (bìa) luôn luôn nằm ở ngoài cùng và giữ trách nhiệm định tuyến chớ không nên làm bất cứ thứ gì khác bởi vì chức năng của nó là định tuyến. Firewall nên nằm ở trong để bảo vệ cụ thể từng network segment tuỳ theo đòi hỏi. Nếu bên trong router bìa cần có nhiều network tách rời thì ở mỗi giao điểm cần có một router riêng biệt và bên trong đó có firewall riêng biệt.

Mặc dù các router / modem / firewall hầu hết có khả năng NAT nhưng nếu mình ghi nhận rằng: chỉ NAT khi không thể làm gì khác thì mới hiệu suất được. Hơn nữa, NAT không phải là biện pháp gia tăng bảo mật mà nó chỉ là một cơ chế "viết lại" các packets ra vào. Bởi vậy, nếu ngộ nhận mà cho rằng NAT dùng để bảo mật (như firewall) thì đó là ngộ nhận rất trầm trọng. 


Bác conmale ạ.
Cái ta đang nói là mô hình doanh nghiệp nhỏ, dạng SOHO ấy, với Internet mục đích chính là Outbound, 1 ít là Inbound, thì không cần cái router bìa (chỉ định tuyến) bác ạ.
Lý do: khi kéo được truyền ADSL, hoặc lên cáp quang FTTH, bác chỉ có 1 cái Public IP (dynamic hoặc static), xịn hơn 1 tí thì có thêm 1 subnet 4 IP tĩnh (tức là /30). Với ít subnet như thế, dùng thêm 1 cái router để định tuyến là không cần thiết. (có tuyến nào khác default uplink đâu?)
Chính vì lý thuyết "router bìa" đó, dành cho hàng khủng, doanh nghiệp có 2 kết nối Internet peering hoặc 1 subnet 32 địa chỉ Public trở lên, có thêm cả dynamic routing. Các bạn học viên được học là mô hình có "router bìa", thế là đem áp dụng vào SOHO nhưng vì không có nhiều Public IP, phải thêm "NAT" nên mới sinh ra cái buồn cười như kia.
Sửa bác conmale 1 tẹo:
Gói tin đi qua router có bị thay đổi đấy bác ạ, 1 thứ thôi, chính là cái IP TTL bị giảm đi 1 và dẫn đến cả check-sum bị tính lại. Cái này thay đổi không phải làm gì nhiều nên khoẻ re.

Bổ sung thêm 1 tí cho bác Conmale:
NAT thì bị thay đổi nhiều hơn. Nếu chỉ NAT IP (nguồn hoặc đích), không quan tâm tới layer 4 protocol, thiết bị NAT sẽ hoạt động không tệ lắm vì nó không phải nhớ đến là bao nhiêu session đang NAT. Cứ IPx thì thành IPy, y thành x. CPU càng khoẻ chạy càng lẹ.
Nhưng nếu NAT đụng lên tới layer 4, TCP, UDP, ICMP, port nọ port kia, thì cái thiết bị NAT ấy nó sẽ phải làm việc nặng nhọc hơn nhiều lần, nó sẽ phải ghi nhớ là session A đến từ IP nào, port nào và đến IP/port nào, đã translate thành IP nào, port nào rồi, mọi gói tin qua lại đều phải tra cái bảng ghi nhớ này để chuyển đổi qua lại. Do đó nó sẽ chậm hơn và sẽ có hữu hạn session có thể mở ra cùng lúc (vì mỗi session cần 1 vài byte nhớ, lưu trong RAM, mà RAM thì hữu hạn, nhất là các thiết bị SOHO RAM bé tí, có khoảng chục Meg thôi).

To tmd:
Bạn tmd hơi nhầm 1 chút đấy. Cái router bên trong cần hay không cần thì tuỳ theo cái mạng LAN to hay nhỏ, muốn giảm broadcast domain hay không. Ta xét mô hình này về cái ISA thôi, xét kết nối bên trái (vào LAN) thì không có vấn đề gì, chỉ có cái kết nối bên phải (ra Internet) là có sự stupid nhất định ở đây, chính là 2 lần NAT, và 1 lần NAT lại làm trên con ADSL Router với khả năng xử lý NAT (layer 4) hạn chế, như mình mô tả trên.
Với mô hình Lab của NN, đem áp dụng thực tế, chỉ cần số lượng user tăng lên vài chục, số session vài ngàn là hệ thống đơ đơ ra ngay, điểm yếu chính là cái ADSL router ấy nó không gánh nổi vài ngàn session (theo mình biết thiết bị SOHO nào gánh được đến hàng ngàn là xịn lắm rồi). Nếu chuyển đổi chức năng, ADSL chỉ là modem/brigde, không bị hạn chế session, thì khả năng của mô hình sẽ lên đến vài trăm ngàn session, hàng ngàn user.
[Up] [Print Copy]
  [Discussion]   Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... 23/08/2010 14:24:47 (+0700) | #36 | 218980
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Chuyển đổi DSL chạy bridge, ISA Server thành gateway chính cho toàn bộ mạng LAN bên trong đi ra ngoài. (vẫn theo cấu hình mô hình 6) .



Còn nếu mà mình vẫn sử dụng Router đứng ngoài, tuyển cái nào tốt tốt như yêu cầu trên. Mạng nội bộ không có truy suất ra/vào lớn tới đơn vị 1000. Và nối vài cái mạng nho nhỏ lại với nhau theo kiểu site to site. DSL vẫn chạy Bridge, hoặc Router tốt.




Mô hình này sai mất mục tiêu chính, nếu để cái ISA làm luôn nhiệm vụ VPN thì doanh nghiệp thuộc hàng khủng long.
Link tham khảo
Creating a Site to Site VPN using ISA 2006 Firewalls at the Main and Branch Office
http://www.isaserver.org/tutorials/Creating-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part1html.html
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Discussion]   Phân tích kỹ thuật mạng trong các mô hình lý thuyết sau... 23/08/2010 14:57:00 (+0700) | #37 | 218983
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Teaching the Boss and the Network Guys About the ISA Firewall (Part 1)

How the ISA Firewall Functions as a Front End Firewall on the Internet Edge





How the ISA Firewall Functions as a Departmental or Back End Firewall




How the ISA Firewall Functions as an Inter-network Access Control Solution within the Organization – Multiple Internal Networks or Dedicated Network Services Segments




How the ISA Firewall Functions as a Branch Office Firewall





Mô tả cho từng hình ảnh tham khảo link dưới. Nếu mình đi học ISA, thôi thi mình đi học cái link này cho chắc cú.
http://www.isaserver.org/tutorials/Teaching-Boss-Network-ISA-Firewall-Part1.html
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|