XÁC ĐỊNH HỒ SƠ TRAFFIC

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



7.1.Bản đồ mạng

Điều đầu tiên bạn phải làm là đạt được một sự hiểu biết tốt hơn về cơ sở hạ tầng mạng sẽ

được phục vụ bởi TMG. Ví dụ: công ty của bạn có thể là một tổ chức phân phối, với đa số

của bạn văn phòng tại Houston và các văn phòng vệ tinh ở London, Eilat, và Buenos Aires.

Bạn cần phải có một sự hiểu biết rõ ràng của các mạng này được kết nối, cũng như bất kỳ

tuyến đường sao lưu hoặc chia định tuyến cơ sở hạ tầng. Đặc biệt, TMG có thể không xử lý

được phân chia định tuyến. Hình II.7.1.1 là một ví dụ của một bản đồ mạng đơn giản.



Hình II.7.1.1 Ví dụ về bảng đồ mạng



Một đánh giá của các mạng trong Hình II.7.1.1 cho thấy rằng TMG nên được đặt gần các

tuyến đường phục vụ mỗi vị trí địa lý. Những gì bạn phải xem xét triển khai làm thế nào để

xử lý các trường hợp không thể tránh khỏi khi TMG không có sẵn. Ví dụ, nếu người sử

dụng ở Buenos Aires truy vấn proxy local của họ để truy cập Internet và proxy đó không

có, họ nên được chuyển proxy gần nhất tiếp theo là một đường dẫn sao lưu.

7.2.Bản đồ ứng dụng

Sau khi bạn đã xác định cơ sở hạ tầng mạng, bạn sử dụng nó để giúp xác định bản đồ ứng

dụng cho tổ chức của bạn. Bởi vì dịch vụ line-of-business có nhiều khả năng được tập

trung, bạn cần phải xem xét liệu bạn có thể triển khai TMG để giúp quản lý tải giao thông

cho những ứng dụng hoặc giúp cải thiện an ninh của những ứng dụng tương tự. Tại thời

điểm này bạn không nên ánh xạ các giao thức mạng được sử dụng bởi các ứng dụng

này.Bởi vì nhiều ứng dụng nội bộ có xu hướng dựa trên web hoặc hỗ trợ truy cập dựa trên

giao thức HTTP (ví dụ, Microsoft Exchange Server và Microsoft Office SharePoint Server),

bạn có thể sử dụng TMG cung cấp bảo mật để truy cập nội bộ cũng như bên ngoài đến các

ứng dụng bằng cách tạo ra một cấu trúc mạng mà tất cả các yêu cầu của người dùng cho

các ứng dụng đều thông qua TMG.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 40



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Một điểm quan trọng ở đây là để xác định trường hợp các máy khách và máy chủ

giao tiếp qua Internet chứ không phải bằng cách sử dụng cấu trúc mạng riêng của bạn. Bảng

bản đồ ứng dụng cung cấp một ví dụ về một bảng vẽ bản đồ ứng dụng. Bản đồ này cung cấp

các dữ liệu cơ bản mà từ đó bạn sẽ xây dựng các phần tiếp theo của giao thông tin cá nhân

của bản đồ giao thức. Một khi bạn đã hài lòng với nội dung bản đồ ứng dụng, bạn nên lưu

trữ một nơi nào đó an toàn và thiết lập một lịch trình cho nhóm của bạn để xem xét và cập

nhật nó thường xuyên. Điều này đặc biệt đúng nếu tổ chức của bạn thay đổi ứng dụng

thường xuyên để nâng cấp hoặc chuyển đổi ứng dụng.



Hình II.7.2.1 Bảng đồ ứng dung mạng



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 41



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.7.2.2 Bản đồ giao thức mạng



Hình II.7.2.3 Bản đồ giao thức mạng (2)



1. Dyn = 1025-65535 trên win server 2k3 trờ về trước; 49152-65536 Dành cho Vista trở

lên

2. Nego = cổng kết nối được thiết lập giữa Client/Server

3. Chỉ cần thiết nếu server cấu hình dịch vụ LDAP-SSL

4. RFC chỉ định NTP client sử dụng nguồn UDP:123, nhưng Windows thường sử dụng

cổng động

5. Kết nối thứ 2 transport/protocols được thỏa thuận trong kênh điề khiển theo ứng

dụng của Client Winsock

6. FWM dược dùng bởi OEM để cung cấp sự quản lý của ISA server ko cần thông qua

MMC

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 42



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



7. Việc quản lý từ xa của ISA Server sử dụng ISA Managerment MMC. Liên quan đến

việc dùng cấu trúc RPC để giám sát trạng thái dịch vụ ISA

8. Việc cài đặt ISA server tạo ra một kết nối SMB tới CSS để chứng thực thồng qua lựa

chọn của user

Sau khi cơ sở hạ tầng mạng và các bản đồ ứng dụng được định nghĩa, bạn cần phải xác

định giao thức được sử dụng trên mạng của bạn. Hai giao thức phức và tạp khó khăn để

lập bản đồ chính xác là RPC và DCOM. Thông thường, cả hai đều bắt đầu với một kết nối

đến máy chủ RPC Endpoint Mapper tại cổng TCP 135. Tiếp theo là kết nối đến máy chủ của

ứng dụng lắng nghe cổng. Sự phức tạp này làm cho RPC và DCOM khó theo dõi và khó

khăn như nhau để vượt qua trên một bức tường lửa. TMG bao gồm một bộ lọc ứng dụng

mà hiểu Giao thức RPC, nhưng vì việc ký kết gói và mã hóa được sử dụng trong hầu hết

các DCOM truyền thông, TMG không thể hỗ trợ DCOM qua nó. Phức tạp hơn, các giao thức

đàm phán hỗ trợ ứng dụng các bộ lọc TMG bao gồm FTP, TFTP, SIP, Media Streaming

(RTSP, MMS), và PPTP. Hình II.7.2.4 minh họa ứng dụng các bộ lọc được cung cấp với

TMG.



Hình II.7.2.4 Bộ lọc ứng dụng trong TMG



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 43



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



8. GIẢI QUYẾT CÁC MẠNG PHỨC TẠP

Trong nhiều trường hợp, tường lửa thực sự phục vụ lưu lượng truy cập và từ các mạng mà

không phải là local firewall. Một ví dụ cấu trúc liên kết mạng như vậy hiển thị trong Hình

II.8.1.

Trong sơ đồ này, TMG phục vụ các host trong ba mạng: Houston, hoạt động trong subnet

192.168.1.0/24; Buenos Aires, hoạt động trong subnet 192.168.2.0/24 và London, hoạt

động trong subnet 192.168.3.0/24. Tất cả các văn phòng chi nhánh đang sử dụng TMG

(nằm trong trụ sở chính) là Web proxy, vì ví dụ này, cơ quan duy nhất có kết nối Internet

trực tiếp là chính văn phòng tại Houston.

Giống như ISA Server, TMG xác định mạng lưới dựa trên các địa chỉ nằm phía sau cụ thể

giao diện mạng. Hình II.8.1, các địa chỉ trong ba ID mạng khác nhau được đặt phía sau NIC

duy nhất trong TMG trong văn phòng Houston. Bạn sẽ sử dụng tất cả các địa chỉ này khi

xác định mạng TMG nằm phía sau NIC.



Hình II.8.1 Mô hình liên kế nhiều mạng



9. DNS TRONG TMG

TMG dựa trên Windows để phân giải tên và do đó bất kỳ sai lầm nào do cấu hình ở độ phân

giải tên Windows sẽ ảnh hưởng xấu đến TMG.

9.1.Hệ thống giải quyết tên phân giải như thế nào ?

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 44



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Windows phân giải tên sử dụng DNS như là phương pháp ưa thích của phân giải tên, tuy

nhiên, nếu tên không thể được giải quyết bằng DNS, hệ điều hành sẽ cố gắng để thực hiện

một NetBIOS phân giải tên. Đối với độ phân giải tên NetBIOS, hai phương pháp có thể được

sử dụng để giải quyết một tên: Windows Internet Name Service (WINS) và broadcast. Nếu

mạng của bạn không có một máy chủ WINS, Windows sẽ cố gắng để giải quyết các tên

bằng cách gửi một broadcast cho NetBIOS (phần tên máy chủ của tên miền đầy đủ, hoặc

FQDN). Ví dụ, khi bạn chạy các lệnh ping srv1.contoso.com, Windows sẽ cố gắng mặc định

các bước:

1) Kiểm tra xem tên máy chủ local giống như tên nó để giải quyết (Srv1).

2) Kiểm tra xem các tập tin local HOSTS có tên này không.

3) Truy vấn DNS server đầu tiên trong ngăn xếp TCP/IP.

Các điều hành sẽ gửi một truy vấn đến máy chủ đầu tiên của bộ chuyển đổi danh sách

tìm kiếm đó là lý do tại sao nó quan trọng phải có bộ chuyển đổi nội bộ ở phía trên của

danh sách và chờ đợi 1 giây cho một phản ứng. Nếu hệ thống điều hành không

nhận được một phản ứng từ máy chủ đầu tiên trong vòng một giây, nó sẽ gửi truy vấn

đến DNS đầu tiên máy chủ trên tất cả các bộ điều hợp và chờ đợi hai giây cho một phản

ứng. Quá trình này lặp đi lặp lại trong chu kỳ của hai, bốn và tám giây tương ứng.

Nếu Windows nhận được một phản ứng tích cực từ các máy chủ DNS, nó dừng lại truy

vấn cho tên, cho biết thêm các phản ứng vào bộ nhớ cache DNS, và trả về đáp ứng cho

người dùng. Quan trọng là Bạn có thể theo dõi số lượng thất bại phân giải tên bằng

cách mở Performance Monitor, thêm các đối tượng dịch vụ Microsoft Firewall, và giám

sát Failed DNS Resolutions Counter.

4) Thực hiện phân giải tên NetBIOS nếu kết hợp không được tìm thấy.

Windows sử dụng phân giải tên NetBIOS nếu mọi nỗ lực để giải quyết tên máy chủ DNS

sai. Windows tương thích với RFC 1001 và 1002, trong đó xác định dịch vụ NetBIOS cho

TCP và UDP. Một trong những cách thức mà hệ điều hành tương thích bằng cách thiết

lập các loại nút. Mặc định, Windows sử dụng loại broadcast node (BNode), tuy nhiên,

thiết lập này có thể được thay đổi trong registry. Các giá trị có thể là:

•

•



•



Peer Node Type (PNode) Gửi một truy vấn trực tiếp đến một máy chủ tên

NetBIOS (Ví dụ, WINS).

Mixed Node Type (MNode) Gửi một gói tin broadcast đầu tiên và nếu không

giải quyết được tên, nó sẽ gửi một truy vấn trực tiếp đến máy chủ tên NetBIOS

(WINS). Đây cũng được gọi là B+P (BNode+PNode).

Hybrid Node Type (HNode) Gửi một truy vấn trực tiếp với tên NetBIOS máy

chủ và nếu nó không giải quyết được, sẽ gửi một gói tin broadcast. Điều này còn

được gọi là P+B.



5) Nếu Hybrid Node Type được sử dụng, quá trình phân giải tên vẫn được tiếp tục theo

cách sau đây:

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 45