Книги, научные публикации
Pages: | 1 | 2 | 3 | 4 | ... | 13 | Internetworking Guide Microsoft Windows 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof Windows 2000 Server ...
-- [ Страница 2 ] --Регистрация событий Маршрутизатор Windows 2000 регистрирует все ошибки в системном журнале со бытий. Вы можете использовать эту информацию при устранении проблем с мар шрутизацией или удаленным доступом.
Поддерживается четыре уровня регистрации.
1. Запись только ошибок (по умолчанию).
2. Запись ошибок и предупреждений.
Маршрутизация 46 ЧАСТЬ 3. Запись максимального объема информации.
4. Запись событий отключена.
Например, если OSPF-маршрутизатор не может установить соседство на интерфей се, можно выполнить следующие действия.
1. Отключить протокол OSPF на интерфейсе.
2. Изменить уровень регистрации для OSPF на запись максимального объема ин формации.
3. Включить протокол OSPF на интерфейсе, \. Проанализировать в системном журнале событий информацию о процессе уста новления соседства OSPF (OSPF adjacency process).
5. Изменить уровень регистрации для OSPF на запись только ошибок.
Затем, чтобы выявить источник проблемы с установлением соседства, просмотри те записи журнала событий, относящиеся к протоколу OSPF.
Установить уровень регистрации можно с вкладок General (Общие) в следующих окнах свойств:
Х IP Routing (Маршрутизация IP)\GeneraI (Общие);
Х IP Routing\Network Address Translation Properties (NAT - преобразование сетевых адресов);
Х IP Routing\RIP (RIP);
Х IP RoutingXOSPF (OSPF);
Х IP Routing\IGMP (IGMP);
Х IPX Routing (Маршрутизация IPX)\General (Общие);
Х IPX Routing\RIP for IPX (RIP для IPX);
Х IPX Routing\SAP for IPX (SAP для IPX).
Регистрация требует значительных системных ресурсов, и ее следует применять лишь при выявлении и устранении проблем с сетями. После записи события или обнаружения причины проблем следует немедленно восстановить изначальный уровень регистрации (запись только ошибок).
В случае записи максимального объема информации получаемые данные могут ока заться сложными и очень детальными. Часть их полезна только инженерам служ бы технической поддержки Microsoft или сетевым администраторам, имеющим большой опыт работы со службой маршрутизации и удаленного доступа.
Трассировка Служба маршрутизации и удаленного доступа Windows 2000 обладает богатыми возможностями трассировки, весьма полезными при устранении сложных проблем в сетях. Средства трассировки записывают значения переменных внутренних ком понентов, а также регистрируют вызовы функций и любое взаимодействие между компонентами. Трассировочную информацию можно записывать в файлы, причем отдельно для компонентов маршрутизации и отдельно для компонентов удаленно го доступа. Чтобы включить трассировку, нужно изменить настройки в реестре Windows 2000.
Служба маршрутизации и удаленного доступа ГЛАВА Внимание Не модифицируйте реестр самостоятельно (с помощью редактора реест ра) Ч делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит стандартные средства защиты, призванные не допускать ввода конфликтующих значений параметров, а также тех, которые могут снизить быстродействие системы или привести к ее краху. Пряное редактирование реестра может повлечь за собой непредсказуемые последствия, и Вам придется переустанавливать Windows 2000. Для настройки и конфигурирова ния Windows 2000 по возможности используйте Control Panel (Панель управления) или Microsoft Management Console (Консоль управления Microsoft).
Трассировку можно включить для каждого протокола маршрутизации по отдель ности, изменяя параметры реестра, показанные ниже. Трассировку для протоколов маршрутизации можно включать и выключать в процессе работы маршрутизатора.
Каждый установленный протокол или компонент маршрутизации поддерживает трассировку, и для него создается одноименный подраздел в разделе, ОТНОСЯЩЕМСЯ к трассировке, например OSPF или RIPV2.
Трассировка требует значительных системных ресурсов, и ее следует применять лишь при выявлении и устранении проблем с сетями. После записи трассировоч ной информации или обнаружения причины проблем трассировку следует немед ленно отключить.
Трассировочная информация может оказаться сложной и очень детальной. Часть ее полезна только инженерам службы технической поддержки Microsoft или сете вым администраторам, имеющим большой опыт работы со службой маршрутиза ции и удаленного доступа.
Запись трассировочной информации в файлы Чтобы разрешить запись трассировочной информации в файл (file tracing) для кон кретного компонента (обозначаемого ниже как Компонент), Вы должны присвоить значение 1 параметру EnableFileTracing в разделе реестра HKEYJJ3CAL МА CmNE\SYSTEM\SOFTWARE\Microsoft\Tracing\Ao^moHewm. По умолчанию его значение равно 0.
Местонахождение файла трассировки для конкретного компонента указывается как путь в параметре FileDirectory в разделе реестра HKEY_LOCALJV1ACH1NE\SYS TEM\SOFTWARE\Microsoft\Tracmg\/fojwnoHeHm. Имя файла формируется из име ни компонента, для которого включена трассировка. По умолчанию все файлы трас сировки помещаются в каталог %SystemRoot.%\Trac\ng.
Для задания уровня трассировки (индивидуально для каждого компонента) нужно присвоить требуемое значение параметру FileTracingMask в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\SOFTWARE\Microsoft\Tracing\/Co^noKeHm.
Уровень трассировки можно изменять от 0 до OxFFFFOOOO. По умолчанию он ра вен OxFFFFOOOO. что соответствует максимальному объему трассировочной инфор мации.
Чтобы указать максимальный размер файла трассировки, присвоите нужное значе ние параметру MaxFileSize в разделе реестра HKEY_LOCAL_MACHINE\SYS TEM\SOFTWARE\Microsoft\TracmgVCo^лOHeHm. По умолчанию параметр Мах FileSlze содержит значение 10000, что соответствует 64 Кб.
Маршрутизация 50 ЧАСТЬ тором Windows 2000 Ч он может быть реализован сторонними поставщиками про граммного обеспечения. Подробнее об API для поддержки сторонних протоколов маршрутизации см. Windows 2000 Software Development Kit (SDK).
Уровни предпочтений При наличии нескольких источников информации о маршрутах возникает необхо димость в определении того, маршруты каких источников аффективнее но сравне нию с маршрутами других источников. Например, если происходит обмен инфор мацией о маршрутах между RIP- и OSPF-частями интрасети, нужно учитывать, что определения метрик в RIP и OSPF различаются. Вместо того чтобы синхронизи ровать метрики для двух маршрутов к одной и той же сети из двух источников, используется маршрут, полученный из более предпочтительного источника, а мар шрут из менее предпочтительного Ч игнорируется (независимо от его метрики).
Так, если маршрутизатор сконфигурирован на использование и RIP, и OSPF, в таб лицу IP-маршрутизации Route Table Manager (RTM) добавляются маршруты, по лученные как от RIP, так и от OSPF. Если метрика OSPF-маршрута равна 5, а мет рика эквивалентного RlP-маршрута Ч 3 и если OSPF является предпочтительным протоколом маршрутизации, то RTM добавляет в таблицу IP-пересылки именно OSPF-маршрут.
Уровни предпочтений для источников маршрутов настраиваются на вкладке Prefe rence Levels (Уровни предпочтений) в окне свойств, которое открывается из кон тейнера IP Routing\General (1Р-маршрутизация\Общие) в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ). Вкладка Preference Levels позволяет указывать уровни предпочтений для всех маршрутов из определенного источника. А чтобы задать уровень предпочтения для статического маршрута, ис пользуйте команду netsh routing ip add rtmroute.
RIP for IP RIP for IP Ч это протокол маршрутизации на основе векторов расстояний (distance vector routing protocol), который упрощает обмен информацией об IP-маршрутиза ции. Как и RIP for IPX, RIP for IP разработан на базе XNS-версии (Xerox Network Services) RIP. Благодаря включению в Berkeley UNIX (BSD версий 4.2 и выше) в качестве демона маршрутизируемого сервера (routed server daemon) RIP стал очень популярным протоколом маршрутизации. (Демон в UNIX аналогичен службе в Windows 2000.) Существует две версии RIP: первая (vl) определена в RFC 1058, вторая (v2) Ч в RFC 1723. Информация, представленная в этой главе, относится к RIP for IP обоих версий. Также поясняются различия между RIP vl и RIP v2.
RIP и большие межсетевые среды Хотя RIP for IP прост в реализации и широко поддерживается в компьютерной индустрии, ему присущ ряд недостатков, связанных с тем, что изначально он был разработан для локальных сетей. Из-за этих недостатков RIP приемлем только в малых или средних по размеру межсетевых IP-средах.
RIP и число переходов RIP использует число переходов как метрику для маршрута, хранящегося в табли це IP-маршрутизации. Число переходов Ч это количество маршрутизаторов на пути Одноадресная IP-маршрутизация ГЛАВА к нужной сети. RIP допускает максимум 15 переходов, так что при его использова нии между любыми двумя хостами не может быть более 15 маршрутизаторов. Сети, отдаленные на 16 и более переходов, считаются недостижимыми.
Число переходов RIP не зависит от поля TTL (Time-to-Live) в IP-заголовке. Сеть, отдаленная на 16 переходов, вполне доступна для IP-пакета с соответствующим значением TTL, по для RIP-маршрутизатора такая сеть недостижима, и любая по пытка переслать пакет хосту в этой сети заставит RIP-маршрутизатор вернуть ICMP-сообщепие Destination Unreachable/Network Unreachable.
RIP и записи в таблице маршрутизации R1P допускает наличие в таблице маршрутизации нескольких записей для одной сети, если к пей ведет несколько маршрутов. Процесс IP-маршрутизации считает наиболее эффективным маршрут с наименьшей метрикой (минимальным числом переходов). Однако в типичных реализациях маршрутизатора RIP for IP, включая Windows 2000, для каждой сети хранится лишь по одному маршруту с наименьшей метрикой. Если RIP получает несколько маршрутов с наименьшей метрикой, (in выбирает первый из них, а остальные отбрасывает.
Если же RIP-маршрутизатор хранит полный список всех сетей и все возможные пути к каждой из них, в большой межсетевой IP-среде со множеством маршрутов в таблице маршрутизации могут присутствовать сотни или даже тысячи записей.
Поскольку в одном RIP-пакете можно переслать лишь 25 маршрутов, большие таб лицы маршрутизации передаются несколькими RIP-пакетами.
Оповещения о маршрутах RIP-маршрутизаторы сообщают о содержимом своих таблиц маршрутизации каж дые 30 секунд и посылают соответствующие оповещения во все подключенные сети через широковещательный IP-адрес IP-подсети и широковещание МАС-уровнл.
(Маршрутизаторы RIP v2 можно настроить на групповые RIP-оповещения.) Из-за этого в крупных межсетевых IP-средах с большими таблицами маршрутизации ге нерируется большой объем широковещательного RIP-трафика, что может быть осо бенно проблематично в WAN-каналах, чья основная часть полосы пропускания была бы занята RIP-трафиком. Поэтому маршрутизация на основе RIP не годится для крупных межсетевых сред или сред, включающих WAN-каналы.
Конвергенция в SIP По умолчанию срок действия каждой записи таблицы маршрутизации, полученной через RIP, истекает через 3 минуты после того времени, когда было принято после днее оповещение от соседнего RIP-маршрутизатора. Если какой-нибудь маршрути затор отключается из-за сбоя, на распространение информации об изменении то пологии межсетевой среды может уйти несколько минут. Таким образом, конвер генция в RIP проходит довольно медленно.
Конвергенция в межсетевых средах, использующих RIP RIP for TP, как и большинство протоколов маршрутизации на основе векторов рас стояний, оповещает о маршрутах без синхронизации и приема подтверждений. Эти может вызывать проблемы с конвергенцией. Однако Вы можете изменять алгорш мы оповещения, что, как правило, позволяет ускорить конвергенцию.
Маршрутизация 52 ЧАСТЬ Проблема счета до бесконечности Проблема счета до бесконечности (count-to-infinity problem) Ч классическая про блема конвергенции при использовании векторов расстояний и прямой результат схемы асинхронных оповещений. Когда маршрутизаторы RIP for IP добавляют мар шруты в свои таблицы маршрутизации на основе маршрутов, объявленных други ми маршрутизаторами, они сохраняют в таблицах лишь самый эффективный мар шрут. При этом они заменяют маршрут с меньшей ценой использования на марш рут с большей ценой, только если последний объявляется тем же источником как маршрут, который в данный момент имеет меньшую цену использования. В опре деленных ситуациях (см. иллюстрации на рис. 3-1, 3-2, 3-3, 3-4 и 3-5) это приводит к так называемому счету до бесконечности.
Допустим, что межсетевая среда, изображенная на рис. 3-1, находится в состоянии конвергенции. Для упрощения исключим из рассмотрения оповещения, рассылае мые маршрутизатором 1 в сети 1 и маршрутизатором 2 в сети 3.
Сеть Оповещение ""Щ Ceib 1 ;
1 переход Сеть 3 ;
2 перехода ^^J* Сеть Маршрутизатор Оповещение Сеть Число переходов Сеть 3 : 1 переход I ^'^Г^Чб Сеть 1 : 2 перехода Xх" 2 Г;
:з 2 I, Сеть Маршрутизатор Сеть Число переходов 1 :' 3 Рис. 3-1. Межсетевая среда в состоянии конвергенции Теперь предположим, что канал связи маршрутизатора 2 с сетью 3 вышел из строя, и этот сбой распознан маршрутизатором 2. Как видно на рис. 3-2, маршрутизатор изменяет число переходов в маршруте к сети 3 так, чтобы показать, что она недо ступна, т. е. находится бесконечно далеко. Для RIP for IP бесконечность равна 16.
Но прежде чем маршрутизатор 2 в соответствии с расписанием успевает оповес тить о новом числе переходов к сети 3, он получает от маршрутизатора 1 оповеще ние, в котором содержится маршрут к сети 3 и указывается, что она отдалена па 2 перехода. Поскольку маршрут с двумя переходами лучше маршрута с шестнадца тью, маршрутизатор 2 обновляет к своей таблице маршрутизации запись для сети 3, изменяя в этой записи число переходов с 16 на 3, как показано на рис. 3-3.
Одноадресная IP-маршрутизация ГЛАВА 3 СетН Сеть Маршрутизатор Сеть Число переходов 1 1 Г] СетьЗ t X Маршрутизатор 3 С&ть Число переходов 1 2 3 V Рис. 3-2. Сбой канала связи с сетью СетП Оповещение Сеть Маршрутизатор Сеть Число переходоз t 2 1 СетьЗ -3 2 Маршрутизатор Сеть Число переходов >е з Рис. 3-3. Маршрутизатор 2 после приема оповещения от маршрутизатора Когда маршрутизатор 2 объявляет о своих новых маршрутах, маршрутизатор 1 от мечает, что сеть 3 отдалена на 3 перехода и доступна через маршрутизатор 2. 1 Г ) скольку маршрут к сети 3 на маршрутизаторе 1 изначально был получен от марш рутизатора 2, то маршрутизатор 1 обновляет свой маршрут к сети 3, изменяя в нем число переходов на 4 (рис. 3-4).
Когда маршрутизатор 1 объявляет о своих новых маршрутах, маршрутизатор 2 от мечает, что сеть 3 отдалена на 4 перехода и доступна через маршрутизатор 1. По скольку маршрут к сети 3 на маршрутизаторе 2 изначально был получен от марш рутизатора 1, то маршрутизатор 2 обновляет свой маршрут к сети 3, изменяя в нем число переходов на 5 (рис. 3-5).
Эти дна маршрутизатора продолжают оповещать о маршрутах к сети 3, указывая все большие значения числа переходов, Ч и так до бесконечности (до 16). После Маршрутизация 54 ЧАСТЬ этого сеть 3 считается недостижимой, и срок действия маршрута к ней в конечном счете истекает. В этом вся суть проблемы счета до бесконечности.
Сеть Маршрутизатор С$ть Чисяо перехода!!
СетьЗ 3 $ Маршрутизатор Сеть Члсло переходов t 2.з Рис. 3-4. Маршрутизатор 1 после приема оповещения от маршрутизатора Сеть Оповещение Сеть СетьЗ Маршрутизатор Сеть Число переходов 1 2.../-'.
2 t з >. Рис. 3-5. Маршрутизатор 2 после приема другого оповещения от маршрутизатора Эта проблема Ч одна из причин, по которым максимальное число переходов в RIP for IP ограничено до 15, Если бы этот максимум имел более высокие значения, кон вергенция занимала бы слишком много времени. Кроме того, обратите внимание, что в процессе счета до бесконечности в предыдущем примере маршрут от марш рутизатора 1 к сети 3 проходит через маршрутизатор 2, а маршрут от маршрутиза тора 2 к сети 3 Ч через маршрутизатор 1. Таким образом, на время счета до беско нечности между маршрутизаторами 1 и 2 на пути к сети 3 возникает петля марш рутизации.
Одноадресная IP-маршрутизация ГЛАВА 3 Ускорение конвергенции Чтобы сократить время конвергенции при использовании RIP for IP и избежать счета до бесконечности и петель маршрутизации (по крайней мере в большинстве ситуаций), Вы можете разрешить следующие изменения в механизме RlP-onone щсний:
Х разделение направлений (split horizon);
Х разделение направлений с запретом возвратов (split horizon with poison reverse);
Х инициируемые обновления (triggered updates).
Разделение направлений Разделение направлений помогает сократить время конвергенции. При этом марш рутизатору запрещается объявлять о сетях в том направлении, откуда он получил информацию об этих сетях. В однопутевьтх межсетевых средах разделение направ лений исключает проблему счета до бесконечности и появление петель маршрути зации в процессе конвергенции, а во многопутевых межсетевых средах Ч суще ственно уменьшает вероятность возникновения этой проблемы. Рис. 3-6 иллюст рирует, как алгоритм разделения направлений не дает возможности ШР-маршру тизатору посылать оповещения о маршрутах в том направлении, откуда они FM были получены.
Оповещение СетИ Маршрутизатор Сеть Число лереходов '' Сеть !
2- Маршрутизатор Чисяо переходов Сеть т. 2 СетьЗ 3 Рис. 3-6. Разделение направлений Разделение направлений с запретом возвратов Разделение направлений с запретом возвратов отличается от простого разделении направлений тем. что маршрутизатор оповещает обо всех известных ему сетях, но для маршрутов в том направлении, откуда он получил о них информацию, он ука зывает число переходов, равное 16, т. е. соответствующие сети объявляются недо стижимыми. В однопутевой межсетевой среде разделение направлений с запретом возвратов не дает никаких преимуществ по сравнению с простым разделением на Маршрутизация 56 ЧАСТЬ правлений, но во многопутевой межсетевой среде оно значительно уменьшает ве роятность проблемы счета до бесконечности и появления петель маршрутизации.
Полностью исключить счет до бесконечности во многопутевой межсетевой сре де нельзя, так как информация о маршрутах к сетям поступает из множества ис точников.
В примере на рис. 3-7 разделение направлений с запретом возвратов приводит к объявлению сетей недостижимыми в том направлении, откуда была получена ин формация о маршрутах к ним. Кроме того, разделение направлений с запретом воз вратов не создает дополнительного трафика RIP-сообщениЙ, поскольку объявля ются сразу все сети.
Оповещение *- Сеть 2 : 1 переход 7*%i И&TI> 3 : 2 перехода Сеть1 -^^\ Оповещение Сеть 1 : 1 переход - Р СетьЗ ;
16 переходов Маршр утизатор 1 0' овещение,-Х' "**$., : ^ переход Чиело переходов гть,-'!'"">'*--ч*чЦз Сеть! : 16 переходов Сеть 2 7%i^gj Оповещение t qi ц Сеть г : 1 переход ^4 '. ^ Сеть 1 : 2 перехода Сатъ Число переходов 1 СетьЗ 2 3 Рис. 3-7. Разделение направлений с запретом возвратов Инициируемые обновления Инициируемые обновления позволяют RIP-маршрутизатору объявлять об измене ниях значений метрик почти сразу после таких изменений, не дожидаясь следую щего периода рассылки оповещений. Триггером служит изменение метрики в запи си таблицы маршрутизации. Например, благодаря алгоритму инициируемых обнов лений маршруты к сетям, ставшим недоступными, могут быть объявлены с числом переходов, равным 16. Заметьте, что обновление посылается почти немедленно;
вре мя задержки обычно указывается па самом маршрутизаторе. Если бы все маршру тизаторы немедленно посылали ипциируемые обновления, любое инициированное обновление могло бы вызвать лавинообразное нарастание широковещательного трафика в межсетевой IP-среде.
Инициируемые обновления ускоряют конвергенцию RIP-сред, но за это приходит ся расплачиваться дополнительным широковещательным трафиком, генерируемым по мере распространения обновлений.
ГЛАВА 3 Одноадресная IP-маршрутизация Функционирование RIP for IP Нормальная работа маршрутизатора RIP for IP заключается в выполнении трех процессов: инициализации, в ходе которой ои получает маршруты в межсетевой среде от соседних маршрутизаторов, регулярного оповещения о маршрутах и объяв ления о недоступных маршрутах в случае его отключения административными средствами.
Инициализация При запуске маршрутизатор RIP for IP оповещает о локально подключенных сетях по всем своим интерфейсам. Соседние RIP-маршрутизаторы обрабатывают это RIP-оповещение и при необходимости добавляют в свои таблицы маршруты к но вым сетям.
Инициализирующийся RIP-маршрутизатор также посылает универсальный RIP запрос (General RIP Request) во все локально подключенные сети. Этот запрос яв ляется особым RiP-с.ообшением, в котором запрашиваются осе маршруты. Полу чив универсальный RIP-запрос, соседние RIP-маршрутизаторы посылают ответ, адресованный непосредственно запросившему маршрутизатору. На основе этих от ветов формируется таблица маршрутизации инициализирующегося RIP-MapinpyTn затора.
Регулярное оповещение По умолчанию RIP-маршрутизатор каждые 30 секунд посылает но всем интерфей сам оповещения о своих маршрутах. Содержимое оповещения о маршрутах зави сит от того, на использование какого алгоритма настроен RIP-маршрутизатор разделение направлений или разделение направлений с запретом возвратов. Кроме того, RIP-маршрутизатор всегда прослушивает RIP-оповещения от соседних мар шрутизаторов, чтобы своевременно добавлять или обновлять маршруты в собствен ной таблице маршрутизации.
Отключение маршрутизатора административными средствами Если маршрутизатор RIP for IP корректно выключается административными сред ствами, он посылает инициируемое обновление во все локально подключенные сети. В нем объявляется, что в маршрутах к сетям, доступным через данный марш рутизатор, число переходов равно 16 (сети недостижимы). Изменение в топологии межсетевой IP-среды распространяется соседними RIP-маршрутизаторами с ис пользованием инициируемых обновлений.
Как и динамические маршрутизаторы, маршрутизаторы RIP for IP тоже реагируют на такие изменения в топологии межсетевой среды, которые вызваны выходом из строя каких-либо каналов связи или маршрутизаторов.
Выход канала связи из строя Если вышедший из строя канал связи соединен с одним из интерфейсов маршру тизатора, если этот сбой апларатно распознается интерфейсом и если интерфейс уведомляет маршрутизатор о таком сбое, то посылается соответствующее иниции руемое обновление.
Маршрутизация 58 ЧАСТЬ Выход маршрутизатора из строя Если маршрутизатор отключается из-за аварии с электроснабжением или какого нибудь сбоя в оборудовании или программном обеспечении, у него нет возможнос ти уведомить соседние маршрутизаторы о том, что сети, к которым он был подклю чен, теперь недоступны. Чтобы не допустить чрезмерно длительного присутствия недоступных маршрутов в таблицах маршрутизации, каждый маршрут, полученный RIP for IP, имеет максимальный срок действия в 3 минуты (по умолчанию). Если соответствующая запись не обновляется в течение трех минут, число переходов в ней изменяется на 16, и в конечном счете она удаляется из таблицы маршрутизации.
Поэтому, если маршрутизатор RIP for IP выходит из строя, соседние маршрутиза торы помечают полученные от него маршруты недоступными не раньше, чем через 3 минуты. И только после этого они распространяют информацию об изменении топологии, используя алгоритм инициируемых обновлений.
RIP for IP версии RIP версии 1 (vl) определен в RFC 1058 и широко применяется в малых и средних межсетевых средах.
Формат сообщений RIP v RIP-сообщения инкапсулируются в UDP-дейтаграмму, которая посылается с IP адреса интерфейса маршрутизатора и его UDP-порта 520 на широковещательный IP-адрес подсети. Сообщение RIP vl содержит 4-байтовый RIP-заголовок и макси мум 25 RIP-маршрутов. Максимальный размер RIP-сообщения Ч 504 байта. С уче том 8-байтового U DP -заголовка, максимальный размер RIP-сообщения достигает 512 байтов. Формат сообщений RIP vl показан на рис. 3-8.
1 = запрос, Команда Версия Должно быть нулем DO И] Идентификатор семейства 00 02 2 Обозн До 25 маршрутов Должно быть нулем 00 ЕЮ в одном IP-адрес RIP-сообщении Должно быть нулем 00 00 00 Должно быть нулем 00 00 00 Метрика = 1 байт Рис. 3-8. Формат сообщений RIP версии Команда. Однобайтовое поле, содержащее либо 0x01, либо 0x02. Первое значе ние указывает, что RIP-запрос адресован всем (General RIP Request) или только части таблиц маршрутизации соседних маршрутизаторов. Второе значение указы вает, что RIP-ответ включает все содержимое или часть таблицы маршрутизации соседнего маршрутизатора. RIP-ответ посылается в ответ на RIP-запрос или при периодическом либо инициируемом обновлении.
ГЛАВА 3 Одноадресная IP-маршрутизация Версия. Однобайтовое поле. Для RIP vl содержит значение 0x01.
Идентификатор семейства. Двухбайтовое поле, идентифицирующее семейство протоколов. Содержит значение 0x00-02, которое указывает на семейство протоко лов IP.
IP-адрес. Четырехбайтовое поле, содержащее идентификатор IP-сети, который может быть идентификатором сети, основанным на классе (class-based network.'D), идентификатором сети, включающим идентификаторы подсетей (subletted network ID) (для сети, разбитой на подсети), IP-адресом (для маршрута к хосту) или :ша чением, равным 0.0.0.0 (для маршрута по умолчанию). В General RIP Request поле IP-адреса устанавливается равным 0.0.0.0.
Метрика. Четырсхбайтовое поле, указывающее число переходов к IP-сети;
может принимать значения от 1 до 16. Метрика приравнивается 16 для General RIP Request или для того, чтобы сообщить в RIP-ответе, что данная сеть недостижима.
Проблемы с RIP v RIP vl разработан в 1988 году для динамической маршрутизации в межсетевых IP средах на основе LAN-технологий. Сетевые технологии разделяемого доступа (shared access LAN technologies) вроде Ethernet и Token Ring поддерживают широ ковещание на МАС-уровне, при котором один пакет может быть принят и обрабо тан множеством узлов в сети. Однако в современных межсетевых средах примене ние широковещания на МАС-уровне нежелательно, так как в этом случае всем уз лам приходится обрабатывать все широковещательные пакеты. Кроме того, RIP vl разрабатывался в то время, когда в Интернете еще использовали идентификаторы сетей на основе классов Интернет-адресов. Б наше время для экономии IP-адресов почти повсеместно используются CIDR (Classless Inter-Domain Routing) и разбие ние на подсети переменного размера (variable length subnetting).
Широковещательные fllP-оповещения Все оповещения о маршрутах RIP vl адресуются на широковещательный адрес IP подсети (все биты идентификатора хоста установлены в 1) и адрес Широкове! ia тельной рассылки МАС-уровня. Хосты, не поддерживающие RIP, также принима ют RIP-оповещения. В больших и очень больших RIP-средах объем широковеща тельного трафика в каждой подсети может быть весьма значительным.
RIP vl также дает возможность применять Silent RIP. Компьютер со службой Silent RIP (Пассивный RIP) обрабатывает RIP-оповещения, но не объявляет о своих мар шрутах. Silent RIP можно включить на обычных хостах, что позволит формировать на них такие же детальные таблицы маршрутизации, что и на RIP-маршрутизато рах. Располагая более детальной информацией о маршрутах, хост Silent RIP смо жет принимать более эффективные решения по маршрутизации.
Маска подсети не объявляется вместе с маршрутом RIP vl предназначен для межсетевых IP-сред с адресацией на основе классов, в которых идентификатор сети может быть определен по значениям первых трех би тов IP-адреса в RIP-маршруте. Поскольку маска полсети не включается в маршрут, RIP-маршрутизатору приходится определять идентификатор сети, исходя из огра ниченного набора данных. Для каждого маршрута в сообщении RIP vl маршрути затор RIP vl выполняет следующие операции.
Маршрутизация 60 ЧАСТЬ Х Если идентификатор сети укладывается в какой-либо класс адресов (А, В или С), используется маска подсети по умолчанию для данного класса.
Х Если же идентификатор сети не укладывается в какой-либо класс адресов, то:
Х если идентификатор сети подходит к маске подсети па интерфейсе, с кото рото он был получен, используется маска подсети этого интерфейса;
Х если идентификатор сети не подходит к маске подсети на интерфейсе, с ко торого он был получен, считается, что идентификатор сети Ч это маршрут к хосту с маской подсети 255.255.255.255.
В результате этих допущений маршрут, нключающие надсети (supernettcd routes), могут интерпретироваться как один идентификатор сети, а не как группа иденти фикаторов;
кроме того, маршруты к подсети (subnet routes), объявляемые вне сети с данной подсетью, могут восприниматься как маршруты к хосту.
Поэтому для поддержки сред с подсетями маршрутизаторы RIP vl не объявляют о подсетях идентификатора сети па основе классов за границами региона межсете вой IP-среды, разбитого на подсети. Однако, поскольку за пределами среды с под сетями объявляется только идентификатор сети на основе класса (без входящих в него идентификаторов подсетей), подсети для данного идентификатора сети в сре де RIP vl должны быть расположены непрерывно, одна за другой. Если же подсе ти не являются смежными, идентификатор сети па основе класса в разных частях межсетевой среды объявляется разными маршрутизаторами RIP vl. В итоге IP-тра фик может быть направлен не той сети.
Отсутствие защиты от неавторизованных RIP маршрутизаторов RIP vl не предусматривает никакой.шииты от неавторизовашюго RIP-маршрути затора (rogue RIP router), который запускается в сети и сообщает ложные или не точные маршруты. Оповещения RIP vl обрабатываются независимо от их источ ника. Поэтому злоумышленник может легко воспользоваться этой брешью в защи те и заполонить RIP-маршрутизаторы сотнями или тысячами ложных или неточ ных маршрутов.
RIP for IP версии RIP версии 2 (v2), определенный в RFC 1723, устраняет некоторые недостатки R[P vl. Учитывая появление более современных и эффективных протоколов маршру тизации вроде OSPF, принятие решения о доработке RIP было довольно спорным.
Однако RIP имеет ряд преимуществ над OSPF:
Х RIP for IP прост в реализации. В элементарной конфигурации по умолчанию вся настройка RIP for IP заключается в том, что Вы присваиваете нужные IP адреса и маски подсетей каждому интерфейсу маршрутизатора, а затем просто включаете его.
Х RTP for IP широко используется в малых и средних по размеру межсетевых IP средах, администраторы которых не имеют ни малейшего желания взваливать на себя бремя планирования и конфигурирования OSPF.
Функциональность RIP v Чтобы свести к минимуму широковещательный трафик в современных межсетевых IP-средах, разрешить разбиение на подсети переменной длины (для экономии IP Одноадресная IP-маршрутизация ГЛАВД 3 адресов) и обезопасить среду маршрутизации от неправильно настроенных (случай но или умышленно) маршрутизаторов, в RIP v2 было добавлено несколько ключе вых функций.
Групповые RIP-оповещения RIP v2 может посылать RIP-оповещения на IP-адрес групповой рассылки (224.0.0,9), не используя широковещания. Благодаря этому трафик, связанный с RIP-оповеще пиями, не затрагивает хосты, не поддерживающие RIP, Недостаток этой новой функции в том, что хосты Silent RIP тоже должны прослу шивать групповой трафик, посылаемый на 224.0.0.9. Если Вы используете службу Silent RIP (Пассивный RIP), то, прежде чем применять эту функцию RIP v2, убеди тесь, что Ваши хосты Silent RIP могут прослушивать групповые оповещения RIP v2, Поддержка групповых RIP-оповещений не является обязательной функцией. RIP v поддерживает и широковещательные оповещения, Маски подсетей В оповещениях RIP v2 вместе с идентификатором сети передается и маска полсети (также называемая сетевой маской). RIP v2 можно использовать в средах с подге тями. надсетями и масками подсетей переменной длины. Подсети, определяемые идентификатором сети, могут быть несмежными.
Аутентификация RTP v2 поддерживает механизмы аутентификации для проверки источника входя щих RIP-оповещений. В RFC 1723 определена аутентификация по простому паро лю, но RIP v2 позволяет использовать более новые механизмы аутентификации, например Message Digest 5 (MD5).
Примечание Windows 2000 поддерживает только аутентификацию по простому пароли).
Совместимость с маршрутизаторами ШР v RIP vl разрабатывался в расчете па совместимость с будущими версиями RIP. EC^IH маршрутизатор RIP vl получает сообщение и поле версии в RIP-заголовке этого сообщения содержит значение, отличное от 0x01, то он не отбрасывает данное К. Г 1 } оповещение, а обрабатывает лишь поля, определенные для RIP v l.
Кроме того, маршрутизаторы RIP v2 посылают на запрос RIP vl ответ в формате RIP vl, если только они не настроены на посылку оповещений исключительно в формате RIP v2.
Формат сообщений RIP v Чтобы маршрутизаторы RIP vl могли обрабатывать оповещения RIP v2, в RIP v не модифицировали структуру RIP-сообщений. RIP v2 использует поля, определен ные в RIP vl как нулевые.
Назначение нолей команда?, лидентификатор семейства, IP-адрес и метри ка Ч то же, что и в RIP vl. Поле версии устанавливается равным 0x02, указывая, что это сообщение RIP v2. Формат сообщений RIP v2 показан на рис. 3-9.
Маршрутизация 62 ЧАСТЬ Команда 1 = запрос, 2 = ответ Версия, Должно быть нулем Идентификатор семейства 00 02 2 обозн До 25 маршрутов Метка маршрута в одном IP-адрес RIP-сообщении Маска подсети Следующий переход Метрика Г] = байт Рис. 3-9, Формат сообщений RIP версии Метка маршрута. Это поле используется для маркировки особых маршрутов, применяемых в административных целях. Изначально в RFC 1723 было определе но, что это поле должно давать возможность отличать маршруты на основе RIP (внутренние для RIP-ереды) от маршрутов на другой основе (внешних для RIP среды). Поле метки маршрута настраивается на маршрутизаторах, поддерживаю щих несколько протоколов маршрутизации.
Примечание Windows 2000 поддерживает настройку поля метки маршрута для ин терфейсов RIP v2.
Маска подсети. Четырехбайтовое поле, содержащее маску подсети (также назы ваемую сетевой маской) для идентификатора сети в поле IP-адреса.
Следующий переход. Четырехбайтовое поле, содержащее пересылочный IP-адрес (также называемый адресом шлюза) для идентификатора сети в поле IP-адреса.
Если следующий переход настроен на 0.0.0.0, то предполагается, что пересылочный IP-адрес (следующий переход) для маршрута является IP-адресом источника дан ного оповещения.
Поле следующего перехода используется для того, чтобы предотвратить выбор нео птимального маршрута, Вот простейший пример неоптимальной маршрутизации.
Если какой-либо маршрутизатор объявляет маршрут к хосту, расположенному в той же сети, что и интерфейс маршрутизатора, по которому было объявлено о данном маршруте, и поле следующего перехода не используется, то пересылочным IP-ад ресом для маршрута к хосту станет IP-адрес интерфейса маршрутизатора, а вовсе не IP-адрес хоста. Другие маршрутизаторы в той же сети, получившие ото опове щение, будут пересылать адресованные хосту пакеты на IP-адрес первого маршру тизатора вместо того, чтобы направлять их этому хосту.
При использовании поля следующего перехода маршрутизатор объявляет маршрут к хосту, указывая IP-адрес хоста в поле следующего перехода. Другие маршрутиза торы в той же сети, получившие это оповещение, будут пересылать адресованные хосту пакеты на IP-адрес хоста, а не объявившему маршрутизатору.
Поскольку в таблице IP-маршрутизации поле следующего перехода становится полем адреса шлюза, IP-адрес, указанный в поле следующего перехода, должен на ходиться в сети, напрямую подключенной к интерфейсу данного маршрутизатора.
ГЛАВА 3 Одноадресная IP-маршрутизация Аутентификация в RIP v При использовании аутентификации для оповещений RIP v2 аутентификационная информация хранится в записи первого маршрута в RIP-сообщении. Таким обра зом, в оповещении RIP v2 с аутентификацией может быть объявлено максимум маршрута. Чтобы указать на необходимость аутентификации, поле идентификато ра семейства устанавливается равным OxFF-FF. Поле типа аутентификации, в нор мальных условиях используемое как поле метки маршрута, определяет тип приме няемой аутентификации. В случае аутентификации по простому паролю в это поле записывается значение 0x00-01.
Следующие за полем типа аутентификации 16 байтов применяются для хранения аутентификационных данных. В случае аутентификации по простому паролю сюда записывается незашифрованный, чувствительный к регистру букв пароль с вырав ниванием по левому краю и дополнением недостающих символов нулями. Формат сообщений RIP v2 с аутентификацией показан на рис. 3-10.
Команда Версия по] Должно быть нулем Идентификатор семейства FF FF Указывает аутентификацию Тип аутентификации 00 01 Указывает простой пароль L... ГГ Простой пароль L 16 байтов 1 = 1 байт Рис. 3-10. Формат сообщений RIP v2 с аутентификацией Маршрутизаторы RIP vl игнорируют первую запись маршрута в сообщении RIP v2 с аутентификацией, поскольку им не известен идентификатор семейства в этой записи.
Примечание Аутентификация по простому паролю для RIP v2 не позволяет разме щать в сети неавторизованные или неправильно настроенные RIP-маршрутиза го ры. Однако простой пароль ненадежен, так как перелается по сети открытым тек стом. Любой, у кого есть анализатор протоколов типа Microsoft Network Monitor (Сетевой монитор), может захватить пакеты RIP v2 и выяснить пароль аутентифи кации.
Смешанные среды RIP v1 и RIP v Пользоваться маршрутизаторами RIP v2 в комбинации с маршрутизаторами RIP vl следует с осторожностью. Поскольку маршрутизаторы RIP vl не интерпретируют ноле маски подсети в маршруте, маршрутизаторы RIP v2 не должны оповещать о маршрутах, которые могут быть неверно интерпретированы маршрутизаторачи RIP vl. Кроме того, в таких смешанных средах нельзя использовать маски подсе тей переменной длины (variable length subnet masks, VLSM) и указывать несмеж ные подсети.
Маршрутизация 64 ЧАСТЬ Выдавая оповещения RIP v2, полностью распознаваемые маршрутизаторами RIP vl, маршрутизаторы RIP v2 должны суммировать маршруты подсети, если оповещения выходят за пределы среды, разбитой на подсети. Маршрут к подсети, объявленный маршрутизатору RIP vl, может быть ошибочно истолкован как маршрут к хосту.
Кроме того, маршрутизаторы RIP v2 не должны объявлять маршруты к надсе тям Ч маршрутизатор RIP vl может носприпять диапазон сетей как единую сеть.
Если маршрутизаторы RIP v2 находятся в той же сети, что и маршрутизаторы RIP vl, соответствующие интерфейсы маршрутизаторов RIP v2 должны быть на строены на широковещательную рассылку оповещений. Групповые оповещения RIP v2 не обрабатываются маршрутизаторами RIP v l.
Windows 2000 как маршрутизатор RIP for IP RIP tor IP в Windows 2000 соответствует RFC 1058 и 1723 и поддерживает:
Х алгоритмы конвергенции разделение направлений (split horizon), запрет воз вратов (poison reverse) и линициируемые обновления (triggered updates);
Х возможность изменения периодичности оповещений (по умолчанию Ч 30 се кунд);
Х возможность изменения срока действия записей в таблице маршрутизации (но умолчанию Ч 3 минуты);
Х Silent RIP (Пассивный RIP) для хостов;
Х функцию Peer Filtering (фильтрация равноправных маршрутизаторов) Ч позво ляет принимать или отбрасывать обновления, содержащиеся в оповещениях, которые поступают от определенных маршрутизаторов (идентифицируются по IP-адресам);
Х функцию Route Filtering (фильтрация маршрутов) Ч позволяет принимать или отбрасывать обновления, поступающие из определенных сетей или от опреде ленных маршрутизаторов;
Х функцию RIP Neighbors (соседи RIP) Ч позволяет направлять адресные RIP оновещения определенным маршрутизаторам для поддержки сетевых техноло гий, не использующих широковещания, например Frame Relay. Сосед RIP Ч это RIP-маршрутизатор, который принимает адресные RIP-оповещения;
Х возможность объявления или приема маршрута по умолчанию или маршрута к хосту.
Примечание Когда маршрутизатор Windows 2000 оповещает о маршруте, получен ном не от RIP (non-RIP learned route), он объявляет его с числом переходов, рав ным двум. К маршрутам, получаемым не от RIP, относятся статические маршруты (даже для напрямую подключенных сетей), а также маршруты OSPF и SNMP.
Вы можете просмотреть текущих соседей RIP в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ), щелкнув правой кнопкой мыши протокол маршрутизации RIP (RIP) и выбрав команду Show Neighbors (Отобразить соседей).
Выявление и устранение проблем с RIP for IP Если RIP-среда сконфигурирована корректно, после конвергенции RIP-маршрути заторы получают от соседних маршрутизаторов наиболее оптимальные маршруты.
ГЛАВА 3 Одноадресная IP-маршрутизация Точный список маршрутов, добавляемых R1P и таблицу IP-маршрутизации, зави сит от того, находятся ли интерфейсы маршрутизатора в регионе, разбитом на пол* сети, применяется ли RIP v2, объявляются ли маршруты к хостам или маршруты по умолчанию, а также от ряда других факторов.
Проблемы с RIP могут возникать в смешанных средах RIP vl и v2 при использова нии хостов Silent RIP или в тех случаях, когда не все RIP-маршруты принимаются и добавляются в таблицу IP-маршрутизации.
Проблема с маршрутами в смешанной среде RIP v1 и RIP v В сетях, содержащих маршрутизаторы RIP vl, убедитесь, что RIP v2 настроен па широковещательную рассылку своих оповещений в сети с маршрутизаторами RIP vl.
В сетях, содержащих маршрутизаторы RIP v l, убедитесь, что интерфейсы маршру тизаторов RIP v2 сконфигурированы на прием оповещений как RIP v l, так и RIP v2.
Хосты Silent RIP не получают информацию о маршрутах Если в сети имеются хосты Silent RIP, не получающие маршруты от локального RIP-маршрутизатора, проверьте версию RIP, поддерживаемую этими хостами. На пример, если они прослушивают только широковещательные оповещения RIP vl, не настраивайте RIP v2 на групповую рассылку оповещений, Если Вы используете компонент RIP Listener (Слушатель RIP), доступный в Microsoft Windows NT Workstation версии 4.0 с Service Pack 4 (или выше), настрой те свои RIP-маршрутизаторы на широковещание по RIP vl или RIP v2.
RIP-маршрутизаторы не получают ожидаемые маршруты Убедитесь, что Вы не используете разбиение на подсети переменного размера и ш несмежные подсети, а также не применяете надсети в RIP vl или в смешанной среде RIP vl и RIP v2.
Х Если включена аутентификация, убедитесь, что все интерфейсы в одной и ' ой же сети используют один и тот же пароль (он чувствителен к регистру букв}.
Х Если включена RIP-фильтрация равноправных маршрутизаторов, убедитесь, что для соседних равноправных RIP-маршрутизаторов заданы корректные IP-адреса.
Х Если разрешена RIP-фильтрация маршрутов, убедитесь, что нужные диапазоны идентификаторов сетей не исключены из Вашей межсетевой среды.
Х Если Вы активизировали функцию RIP Neighbors, проверьте правильность I P адрееов для адресных RIP-оповещений.
Х Убедитесь, что фильтрация IP-пакетов не препятствует приему (через входные фильтры) или передаче (через выходные фильтры) RIP-оповещений по интер фейсам маршрутизатора, настроенным на RIP. RIP-трафик использует UDP порт 520.
Х Убедитесь, что фильтрация TCP/IP на интерфейсах маршрутизатора не запре щает прием RlP-трафика.
Х В случае интерфейсов соединения по требованию*, использующих автостатичес кие обновления (aulo-static updates), настройте эти интерфейсы на использоиа * В русской версии Windows 2000 Server такие интерфейсы называются интерфейсами вызова по требованию. Ч Прим, перев.
Маршрутизация 66 ЧАСТЬ ние групповых оповещений RIP v2. Когда один маршрутизатор вызывает дру гой, каждый из них получаст IP-адрес из пула IP-адресов другого маршрутиза тора, а эти адреса находятся в разных подсетях. Поскольку широковещательные RIP-оновстцения направляются на адрес широковещательной рассылки в под сети, эти маршрутизаторы не обрабатывают широковещательные запросы о мар шрутах друг от друга. При использовании групповой рассылки RIP-запросы и оповещения обрабатываются независимо от подсети для интерфейсов маршру тизаторов. Подробнее об интерфейсах соединения по требованию и автостати ческих обновлениях см. главу 6 Маршрутизация с соединением по требованию в этой книге.
Х В случае RIP поверх интерфейсов соединения по требованию (RIP over demand-dial interfaces) проверьте, не мешают ли приему или передаче RIP-тра фика фильтры пакетов, определенные в профиле политики удаленного доступа отвечающего маршрутизатора. Фильтры TCP/IP-пакетов можно настроить в свойствах профиля политики удаленного доступа на отвечающем маршрутиза торе (или IAS-сервере, если используется RADIUS). Эти фильтры определяют, какой трафик допустим по соединению удаленного доступа.
Маршруты к хосту или маршруты по умолчанию не распространяются маршрутизаторами По умолчанию маршруты к хосту и маршруты по умолчанию не объявляются че рез RIP. Вы можете изменить это поведение на вкладке Advanced (Дополнитель но) окна свойств RIP-интерфейса, которое открывается в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ).
OSPF OSPF (Open Shortest Path First) Ч протокол маршрутизации на основе состояния каналов, определенный в RFC 2328. Он предназначен для работы в качестве IGP (Interior Gateway Protocol) в одной автономной системе (autonomous system, AS).
В любом протоколе маршрутизании на основе состояния каналов каждый маршру тизатор поддерживает базу данных оповещений, называемую Link State Adver tisements (LSA). LSA на маршрутизаторе внутри автономной системы включает информацию о маршрутизаторах и подключенных к ним сетям, а также сведения о цепе их использования. Цена использования в OSPF (OSPF cost) Ч это безразмер ная метрика, которая определяет предпочтение использования того или иного ка нала связи. Существуют также LSA для суммированных маршрутов и маршрутов за пределами автономной системы.
Маршрутизатор распространяет свои LSA на соседние маршрутизаторы Эти LSA собираются в базу данных состояний каналов связи (link state database, LSDB). За счет синхронизации LSDB между всеми соседними маршрутизаторами в базе дан ных каждого маршрутизатора имеются LSA остальных маршрутизаторов. Благода ря этому на всех маршрутизаторах хранится одна и та же LSDB. Записи таблицы маршрутизации на каждом маршрутизаторе формируются на основе данных LSDB с применением алгоритма Дейкстры (Dijkstra algorithm), который позволяет опре делить путь с наименьшей ценой использования (least cost path) к каждой сети в межсетевой среде, т, е. кратчайший путь.
Для OSPF характерны следующие возможности.
ГЛАВА 3 Одноадресная IP-маршрутизация Быстрая конвергенция. OSPK распознает и распространяет изменения в тополо гии гораздо быстрее, чем RIP. В OSPF нет проблемы счета до бесконечности.
Маршруты, свободные от зацикливания. Маршруты, вычисляемые OSPF, всегда свободны от зацикливания (петель маршрутизации).
Масштабируемость. OSPF позволяет подразделить автономную систему на не прерывные группы сетей, называемые областями (areas). Маршруты внутри облас тей можно суммировать, тем самым уменьшая число записей в таблице маршрути зации. Области могут быть сконфигурированы с маршрутом по умолчанию, гум мирующим все маршруты за пределами автономной системы или области. Так что OSPF способен масштабироваться под большие и очень большие межсетевые сре ды. В противоположность этому межсетевые среды RIP for IP нельзя подразделять на области меньшего размера, а суммирование маршрутов невозможно (кроме сум мирования всех подсетей по данному идентификатору сети).
Маска подсети объявляется вместе с сетью. OSPF рассчитан на оповещение о маске подсети при объявлении сети. OSPF поддерживает маски подсетей перемен ной длины (VLSM), надсети и несмежные подсети.
Поддержка аутентификации. Обмен информацией между OSPF-маршрутизато рами можно аутентифицировать. OSPF в Windows 2000 поддерживает аутентифи кацию по простому паролю.
Поддержка внешних маршрутов. Маршруты, выходящие за пределы автономной системы OSPF, объявляются и внутри автономной системы, чтобы OSPF-маршру тизаторы могли вычислять маршрут к внешним сетям с наименьшей ценой исполь зования, Примечание Аутентификация по простому паролю для OSPF рассчитана на то, что бы не допустить размещения в сети неавторизованных OSPF-маршрутизаторов.
Однако простой пароль ненадежен, так как передается по сети открытым текстом.
Любой, у кого есть анализатор протоколов типа Microsoft Network Monitor, может захватить сообщения OSPF и выяснить пароль аутентификации.
Функционирование OSPF Основную часть работы протокол OSPF выполняет в процессе конвергенции меж сетевой среды.
\. Компиляция LSDB.
2. Вычисление дерева SPF (Shortest Path First Tree, SPF Tree).
3. Создание записей в таблицах маршрутизации.
Формирование LSDB с использованием LSA LSDB Ч это база данных, сформированная из всех LSA маршрутизаторов OSI'F, сводных LSA и LSA внешних маршрутов. LSDB компилируется за счет обмена LSA между соседними маршрутизаторами, чтобы каждый маршрутизатор был синхро низирован со своим соседом. В процессе конвергенции автономной системы в LSDB на каждом маршрутизаторе помещаются соответствующие записи.
Чтобы создать LSDB, каждый OSPF-маршрутизатор должен получить действитель ный LSA от своего соседа в автономной системе. Это достигается через процсду.>у, ЧАСТЬ 1 Маршрутизация называемую растеканием (flooding). Каждый маршрутизатор изначально посылает LSA, которая содержит его конфигурацию. По мере получения LSA от других мар шрутизаторов он передает эти LSA своим соседям.
Таким образом, LSA от данного маршрутизатора растекается по автономной систе ме, и все остальные маршрутизаторы в ней включают LSA от первого маршрутиза тора. Хотя на первый взгляд может показаться, что растекание многочисленных LSA по автономно!] системе должно создавать интенсивный сетевой трафик, OSPF распространяет LSA-информацию очень эффективно. Рис. 3-11 иллюстрирует про стую автономную систему OSPF и потоки LSA между соседними маршрутизаторами.
Подробнее о синхронизации LSDB между соседними маршрутизаторами см. раз дел Синхронизация LSOB через механизм соседства*- далее в этой главе.
Вы можете просмотреть текущее содержимое базы данных состояний каналов свя зи в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ):
щелкните правой кнопкой мыши протокол маршрутизации OSPF (OSPF) и выбери те команду Show Link State Database (Отобразить базу данных состояния связей).
Автономная система - LSA-потоки Рис. 3-11. База данных состояний каналов связи (LSDB) Код маршрутизатора Для отслеживания LSA в LSDB каждому маршрутизатору назначается свой код (Router ID) Ч 32-разрядное число в точечно-десятичной нотации, уникальное в данной автономной системе. Этот код идентифицирует маршрутизатор в автоном ной системе, а не IP-адрес одного из интерфейсов маршрутизатора. Код маршрути затора не используется как IP-адрес назначения при передаче информации марш рутизатору. В компьютерной индустрии принято соглашение, что в качестве кода маршрутизатора принимается его наибольший или наименьший IP-адрес. Посколь ку IP-адреса уникальны, данное соглашение гарантирует уникальность и кодов OSPF-маршрутизаторов.
Одноадресная IP-маршрутизация ГЛАВА 3 Вычисление дерева SPF по алгоритму Дейкстры Как только компиляция LSDB завершается, каждый OSPF-маршрутизатор на ос нове информации в LSDB вычисляет путь с наименьшей ценой использования (по алгоритму Дейкстры) и создает дерево кратчайших путей к каждому маршрутиза тору и к каждой сети, причем корнем этого дерева является тот маршрутизатор, который формирует это дерево. Оно называется деревом SPF (SPF Tree) и содер жит по одному пути с наименьшей ценой использования к каждому маршрутизато ру и к каждой сети в автономной системе. Поскольку вычисление пути с наимень шей ценой использования осуществляется вселит маршрутизаторами, у каждого из них свое дерево SPF в автономной системе.
Алгоритм Дейкстры взят из той области математики, которая называется теорией графов;
это очень эффективный метод вычисления набора кратчайших путей отно сительно узла-источника.
Алгоритм Дейкстры для вычисления дерева SPF Этот алгоритм па выходе дает множество SPF{} Ч список кратчайших путей, от сортированных но цене использования. Он включает путь (набор узлов и связей) и его аккумулированную цепу использования от узла-источника S.
1. Определить множество Е{} как набор узлов (маршрутизаторов), подлежащих оценке.
2. Определить множество R{} как набор остальных узлов (маршрутизаторов), не подлежащих оценке.
3. Определить множество О{} как список отсортированных по пене использова! ия упорядоченных путей между узлами. Упорядоченный путь (ordered path) может состоять из нескольких узлов, соединенных друг с другом в конфигурацию с несколькими переходами (они не обязательно должны быть соседними).
4. Определить множество SPF{} как список отсортированных по цене использова ния кратчайших путей.
5. Инициализировать множество Е{| так, чтобы оно содержало узел-источник S, a множество R{} Ч все остальные узлы. Инициализировать множество О{} как список отсортированных по цене использования путей, напрямую соединяющих с S. Инициализировать множество SPF{} как пустое.
6. Если О{} пусто или первый путь в О{} имеет бесконечную метрику, пометить все узлы в R как недостижимые и завершить работу алгоритма.
7. Во множестве О{} проанализировать Р. кратчайший упорядоченный путь в О{}.
Удалить Р из О{}. Пусть V будет последним узлом в упорядоченном пути Р.
Если V уже является членом множества Е{}, вернуться на этап 6.
- Или Если Р Ч кратчайших! путь к V. переместить V из R{} в Е{}. Добавить новый чл!.'н во множество SPF{}, состоящий из Р и его аккумулированной цепы использова ния от S.
8. Создать новый набор путей за счет конкатенации Р и каждого из каналов, смеж ных с V. Цена использования этих путей является суммой целы Р и метрики канала, добавленного к Р. Вставить новые связи во множество О{} и отсортиро вать по цене использования. Вернуться на этап 6, Маршрутизация 70 ЧАСТЬ Вычисление записей таблицы маршрутизации по дереву SPF Записи в таблице маршрутизации создаются на основе дерева SPF, и для каждой сети в автономной системе формируется одна запись, Метрикой в записи служит цена использования, вычисленная OSPF, а не число переходов.
Для расчета записей в таблице IP-маршрутизации на основе дерева SPF анализи руется полученное множество SPF{}. Результатом этого анализа становится набор OSPF-маршрутов, содержащих IP-адрес назначения (идентификатор сети) и его сетевая маска (маска подсети), пересылочный IP-адрес подходящего соседнего мар шрутизатора, интерфейс, через который доступен соседний маршрутизатор, и цена использования маршрута к сети, вычисленная OSPF. После этого OSPF-маршруты добавляются в таблицу IP-маршрутизации.
Пример работы OSPF Здесь будет показано, как OSPF компилирует LSDB, как вычисляет путь с наи меньшей пеной использования и как создает записи в таблице маршрутизации.
Данный пример специально упрощен, чтобы Вам было легче разобраться в базо вых принципах OSPF-конвергенции.
Компиляция LSDB Возьмем простую автономную систему, представленную па рис. 3-12. Каждому ин терфейсу маршрутизатора присваивается безразмерная метрика (цена), отражаю щая уровень предпочтения использования этого интерфейса. Эти лценовые зна чения могут быть результатом учета таких факторов, как полоса пропускания, за держки и надежность, Ч решение принимается сетевым администратором.
Автономная система Цена=2.. Цена?
Сеть Сеть Сеть R1 -Х ч, Цена=2'"' ХХ-1 Сеть Сеть 4 ''"'Х-. Цвна= Цена= R Рис. 3-12. Автономная система с информацией LSDB После конвергенции, когда на каждом маршрутизаторе имеются LSA от остальных маршрутизаторов в автономной системе, содержимое LSDB соответствует тому, что показано в таблице 3-1.
Одноадресная IP-маршрутизация ГЛАВА 3 Таблица 3-1. Содержимое базы данных состояний каналов Маршрутизатор Подключенные сети и цены использования Сеть 1-цена 2, сеть 3-цена 5, сеть 4-цсна R Сеть 1-цена 1, сеть 2-цена 4, сеть 6-цсна R Сеть 2-цена 4, сеть 3-цена 2, сеть 5-цена 3, сеть 7-цена R Сеть 4-цена 3, сеть 5-цена Кi Сеть 6-цена 2, сеть 7-цена R Вычисление дерева SPF Следующий таг Ч применение алгоритма Дейкстры к нашей автономной системе.
Рис. 3-13 иллюстрирует дерево SPF, вычисляемое маршрутизатором R4. В резуль тате R4 размещается в корне и определяется набор подключенных маршрутизато ров и сетей. Это дерево отражает кратчайший путь к каждому маршрутизатору и к каждой сети.
Цена=з|Н Сеть ^ Цена=2 Цена= Сеть 1, Сеть.Д R R Сеть 2 Цена= Сеть R R Рис. 3-13. Дерево SPF Создание записей в таблице маршрутизации Таблица маршрутизации создается по результатам расчета дерева SPF, как показа но на рис. 3-14, Примечание В большой сети с OSPF в момент обмена LSA между маршрутизато рами может кратковременно понадобиться значительная часть ее полосы пропус кания. После обмена LSA между маршрутизаторами требуется большой объем па мяти для хранения LSDB до конвергенции. Алгоритм SPF очень интенсивно ис пользует вычислительные мощности центральных процессоров. Сети с часто появ ляющимися и исчезающими каналами связи могут вызывать проблемы с произво дительностью маршрутизаторов. Издержки от использования OSPF можно свести к минимуму, разбив автономную систему на области. Подробнее см. раздел Обла сти OSPF далее в этой главе.
Маршрутизация 72 ЧАСТЬ Цена= Сеть Цена=2 Цена= аСеть 1 Сеть 7.
' Цена= 41 ' Сеть 2 m Цена= Сеть R2 R Метрика Пересылочный IP-адрес Порт Сеть Ч 4 _. 1 R 3 R R3 7 R3 т 6 Рис. 3-14. Записи it таблице маршрутизации Типы сетей в терминах OSPF Адреса OSPF-сообщений определяются типом сети, к которой подключен OSPF интерфейс. При настройке интерфейса OSPF-маршрутшатора нужно выбрать один ил следующих типов сетей OSPF.
Broadcast (Широковещательная). Сеть, которая может соединять более двух маршрутизаторов, в которой предусмотрена аппаратная поддержка широковещания и в которой один пакет, переданный каким-либо маршрутизатором принимается всеми маршрутизаторами, подключенными к этой сети. К сетям с поддержкой ши роковещания относятся Ethernet, Token Ring и FDDT. OSPF-сообщения, передава емые в таких сетях используют IP-адроса групповой рассылки.
Point-to-Point (Точка-точка). Сеть, которая может соединять только два марш рутизатора. Выделенные WAN-каналы вроде DDS (Dataphone Digital Service) и Т Carrier являются сетями типа точка-точка. OSPF-сообщения, передаваемые в та ких сетях, используют IP-адреса групповой рассылки.
Non-Broadcast Multiple Access (NBMA). Сеть, которая может соединять более двух маршрутизаторов, но без аппаратной поддержки широковещания. Сети с мно жественным доступом без широковещания (Non-Broadcast Multiple Access, NBMA) это Х.25, Frame Relay и ATM. Поскольку в такой сети групповые OSPF-сообщения не достигают всех OSPF-маршрутизаторов, OSPF следует настроить па передачу сообщений непосредственно на IP-адреса маршрутизаторов.
О передаче OSPF-пакетов в этих сетях см. раздел Передача OSPF-пакетов в сетях OSPF далее в этой главе.
Одноадресная IP-маршрутизация ГЛАВА 3 Примечание Применение OSPF по непостоянным WAN-каналам (например, по ана логовым телефонным линиям или ISDN) не рекомендуется.
Синхронизация LSDB через механизм соседства Алгоритмы маршрутизации на основе состояния каналов связи опираются на син хронизацию информации LSDB между маршрутизаторами в автономной системе.
Маршрутизатор должен проверять свою синхронизацию не со всеми маршрутиза торами в автономной системе, а только со своими соседями. Отношения между со седними маршрутизаторами, устанавливаемые в целях синхронизации LSDB, на зываются соседством (adjacency). Отношения соседства необходимы для компиля ции корректных записей в LSDB перед вычислением дерева SPF и созданием за писей в таблице маршрутизации. Ошибки при установлении соседства являются одной из основных проблем при конвергенции межсетевых сред с OSPF. Подроб нее об устранении проблем с установлением соседства OSPF см. раздел Выявле ние и устранение проблем с OSPF далее в этой главе.
Установление отношений соседства При инициализации OSPF-маршрутизатор периодически посылает OSPF-т акет Hello. Этот пакет содержит такую конфигурационную информацию, как код марш рутизатора и список соседних маршрутизаторов, от которых данный маршрутиза тор уже получил пакет Hello. Изначально в списке соседей в OSPF-пакете H e l l o никаких записей нет.
Инициализирующийся OSPF-маршрутизатор также прослушивает пакеты Hello от соседних маршрутизаторов. Из поступающих пакетов Hello on определяет конкрет ный маршрутизатор (или маршрутизаторы), с которым надо установить отношения соседства. Отношения соседства устанавливаются с главным (designated router, DR) и дублирующим главным маршрутизатором (backup designated router, BDR), кото рые указываются во входящих пакетах Hello. О главных и дублирующих глазных маршрутизаторах будет рассказано чуть позже.
Чтобы установить отношения соседства, маршрутизаторы описывают содержимое своих LSDB, посылая последовательность пакетов описания базы данных (Database Description packets). Это процесс обмена информацией баз данных (Database Ex change Process), в ходе которого два соседних маршрутизатора устанавливают от ношения ведущий-ведомый (master/slave). Содержимое LSDB одного из марш рутизаторов подтверждается при приеме соседним маршрутизатором.
Каждый маршрутизатор сравнивает свои LSA с LSA соседа и отмечает, какие LSA нужно запросить от соседа, чтобы синхронизировать LSDB. Отсутствующие или более актуальные LSA запрашиваются в пакетах Link Stale Request. В ответ посы лаются пакеты Link State Update, и их прием подтверждается. Когда приходя т все ответы на все запросы о состоянии каналов связи ( L i n k Stale Requests) обоих мар шрутизаторов, считается, что LSDB соседних маршрутизаторов полностью синхро низированы и отношения соседства между ними установлены.
Установив отношения соседства, каждый маршрутизатор периодически посылает пакет Hello, информируя соседа о своем присутствии в сети. Отсутствие пакетов Hello от соседа рассматривается как его отключение, Маршрутизация 74 ЧАСТЬ Если происходит такое событие, как отключение канала связи или маршрутизато ра, либо добавление новой сети, которое изменяет LSDB на одном из маршрутиза торов, LSDB смежных маршрутизаторов больше не являются синхронизированны ми. Тогда маршрутизатор, чья LSDB изменилась, посылает своему соседу пакеты Link State Update. Прием этих пакетов должен быть подтвержден. После обмена информацией LSDB соседних маршрутизаторов вновь становятся синхронизиро ванными.
Состояния отношений соседства В процессе установления отношений соседства смежные маршрутизаторы последо вательно меняют свое состояние (таблица 3-2).
Таблица 3-2. Состояния отношений соседства для смежных маршрутизаторов Состояние соседства Описание Down Начальное состояние. От соседнего маршрутизатора еще не получено никакой информации.
Attempt Несмотря на попытки связаться с соседом, никакой информации пока не получено (только в сетях NBMA).
Init От соседа получен пакет Hello, но в списке соседей в этом пакете дан ный маршрутизатор отсутствует.
2-Way От соседа получен пакет Hello, и в списке соседей в этом пакете дан ный маршрутизатор присутствует.
ExStart Идет согласование ролей ведущего и ведомого для процесса Database Exchange Process. Это первая фаза установления отношений соседства.
Exchange Маршрутизатор посылает своему соседу пакеты Database Description, Loading Маршрутизатор посылает пакеты Link State Request своему соседу, запрашивая недостающие или более актуальные LSA.
Full LSDB соседних маршрутизаторов синхронизируются, и это вторая фаза установления отношений соседства. Теперь между ними суще ствуют полнопенные отношения соседства.
^ Чтобы просмотреть состояние отношений соседства маршрутизаторов:
Х В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши OSPF (OSPF) и выберите команду Show Neighbors (Отобразить соседей).
Вы увидите список соседних маршрутизаторов в окне OSPF Neighbors (Соседи OSPF).
Из-за выборов главных и дублирующих главных маршрутизаторов устанавливать отношения соседства с каждым OSPF-маршрутизатором не требуется.
Для соседних маршрутизаторов, установивших полноценные отношения соседства, в колонке State (Состояние) должно появиться слово Full.
Конфигурационные параметры соседства Распространенная проблема OSPF заключается в том, что отношения соседства, которые должны быть установлены между двумя соседними маршрутизаторами, установить не удается. Формирование отношений соседства требует совпадения следующих параметров двух маршрутизаторов.
ГЛАВА 3 Одноадресная IP-маршрутизация Х Если применяется аутентификация, соседние маршрутизаторы должны исполь зовать один и тот же тип аутентификации.
Х Если включена аутентификация по простому паролю, соседние маршрутизато ры должны использовать одинаковые пароли.
Должен быть одинаковым параметр Hello Interval (Интервал приветствия), оп Х ределяющий периодичность посылки пакетов Hello. По умолчанию он равен секундам*, Х Должен быть одинаковым параметр Dead Interval (Интервал исчезновения) Ч срок ожидания пакетов Hello. Если по истечении этого времени не получено ни одного пакета Hello, смежный маршрутизатор считается отключенным. По умол чанию этот параметр равен 40 секундам**. В RFC рекомендуется, чтобы он был о 4 раза больше интервала приветствия.
Х Должен быть одинаковым параметр Area ID (Код области), идентифицирующий область (автономной системы), к которой подключен маршрутизатор. Этот па раметр настраивается на каждом интерфейсе маршрутизатора отдельно.
Х Два соседних маршрутизатора должны прийти к соглашению о том, находятся они в изолированной области (stub area) или нет. Об изолированных областях см. раздел Изолированные области далее в этой главе.
Коды двух соседних маршрутизаторов не должны совпадать, иначе установить от ношения соседства не удастся. Коды маршрутизаторов должны быть уникальны в пределах автономной системы. Дублирующиеся коды не позволят установить от ношения соседства.
Добавление маршрутизатора в межсетевую среду OSPF, находящуюся в состоянии конвергенции Когда в существующей межсетевой среде OSPF, достигшей состояния конверта ции, инициализируется новый OSPF-маршрутизатор, LSA для этого маршрутиза тора нужно распространить на все OSPF-маршрутизаторы в межсетевой среде че рез механизм растекания. Получив новую LSA, каждый маршрутизатор должен выполнить вычисления по алгоритму Дейкстры, пересчитать дерево SPF и создать новые записи в таблице маршрутизации. После того как будут обновлены таблицы маршрутизации па всех маршрутизаторах, межсетевая среда вернется в состояние конвергенции.
Рис. 3-15 иллюстрирует процесс конвергенции после появления в межсетевой с^еде OSPF нового маршрутизатора и распространение информации о новом соседстве.
1. Маршрутизатор R1 инициализируется и начинает периодически посылать па кеты Hello через WAN-канал типа точка-точка. Маршрутизатор R2 тоже по сылает пакеты Hello по этому каналу. R1 и R2 решают установить отношения соседства.
* По крайней мере в русской версии Windows 2000 Server интервал приветствия по у молча шю равен 15 секундам. Ч Прим. перев.
** По крайней мере в русской версии Windows 2000 Server интервал исчезновения по умолчанию равен 60 секундам. Ч Прим. перев.
Маршрутизация 76 ЧАСТЬ 2. R1 и R2 обмениваются пакетами Database Description. Пакет Database Descrip tion от R1 содержит информацию только о самом маршрутизаторе R1, а анало гичный пакет от R2 Ч самые последние LSA всех маршрутизаторов в межсете вой среде (кроме R1), 3. R1 посылает R2 пакет Link State Request, запрашивая LSA всех маршрутизато ров т;
межсетевой среде. В ответ R2 посылает R1 запрошенные LSA в виде паке тов Link Stale Update.
4. R2 посылает R1 пакет Link State Request, запрашивая его LSA. В ответ R1 по сылает R2 свой LSA в виде пакета Link State Update. Теперь R1 и R2 располага ют синхронизированными LSDB. Принимая LSA, маршрутизаторы R1 и R2 вы числяют свои деревья SPF и формируют записи в таблицах маршрутизации.
5. После синхронизации с R1 маршрутизатор R2 посылает пакет Link State Update всем остальным смежным OSPF-маршрутизаторам (R3 и R4). Пакет Link State Update содержит LSA, полученную от R1. Принимая LSA от R2, маршрутизато ры R3 и R4 вычисляют свои деревья SPF и формируют записи в таблицах мар шрутизации.
6. R3 и R4 распространяют эту информацию своим смежным маршрутизаторам (R5 и R6) отдельным пакетом Link State Update. Принимая се, маршрутизато ры R5 и R6 вычисляют свои деревья SPF и формируют записи в таблицах мар шрутизации.
- Отношения соседства устанавливаются между маршрутизаторами R1 и П - Маршрутизатор R распространяет новую i* LSA на маршрутизаторы Р З и R Маршрутизатор R распространяет новую LSA на маршрутизатор R5, а маршрутизатор R4 Ч на маршрутизатор R R Рис. 3-15. Распространение информации о новом соседстве Так межсетевая среда OSPF возвращается п состояние конвергенции после добав ления R1 и связанной с ним сети.
ГЛАВА 3 Одноадресная IP-маршрутизация Главный маршрутизатор При использовании канала связи типа точка-точка (например, выделенного WAN-капала) отношения соседства должны быть установлены между двумя марш рутизаторами Ч на каждой стороне канала сняли. Однако в сетях с множественным доступом (в широковещательных или NBMA-сетях) установление отношении со седства следует контролировать. Возьмем для примера широковещательную есть с шестью OSPF-маршрутизаторами. Без контроля каждый маршрутизатор мог бы установить отношения соседства со всеми остальными маршрутизаторами, что дало бы в итоге 15 соседств. В широковещательной сети с п маршрутизаторами, возмож но установление максимум п*(п-1)/2 соседств. Число соседств масштабируется как О(и-). Кроме того, в такой сети генерировалось бы слишком много лишнего трафи ка но мере тою, как каждый маршрутизатор пытался бы синхронизироваться со всеми смежными маршрутизаторами.
Чтобы решить эту проблему масштабирования, в сетях с множественным доступом обязательно проводятся выборы главного маршрутизатора (Designated Router, DR).
DR устанавливает отношения соседства со всеми остальными маршрутизаторами в этой сети. В широковещательной сети с п маршрутизаторами нужно устаноьить всего (яЧ1) соседств. Поскольку OR является соседом всех маршрутизаторов, он выступает в роли концентратора для распространения информации о состоянии каналов связи и для синхронизации LSDB.
DR выбирается путем обмена OSPF-пакетами Hello. Каждый такой пакет указыва ет текущий DR (если он выбран), код и приоритет маршрутизатора, отправившего данный пакет. Приоритет маршрутизатора (Router Priority) Ч это зависимы!! от конкретного интерфейса конфигурационный параметр OSPF, используемый при выборах DR. На эту роль избирается маршрутизатор с наивысшим приоритетом.
По умолчанию приоритет маршрутизатора равен 1. Если маршрутизатору присво ен нулевой приоритет, он никогда не станет DR. В случае нескольких маршрутиза торов с одинаковым наивысшим приоритетом на роль DR избирается тот из лих, чей код (идентификатор) больше.
Внимание Приоритеты следует назначать так, чтобы по крайней мере у одного мар шрутизатора в сети с множественным доступом (широковещательной или NBMA) был приоритет, равный или больший 1. Если все маршрутизаторы в сети с множе ственным доступом сконфигурированы с нулевым приоритетом, ни один из ним не станет DR, и не будет установлено ни одного соседства. Л без отношений соседства синхронизировать LSDB и пропускать через эту сеть транзитный трафик нельзя.
Примечание Если DR уже избран в сети, инициализация в той же сети маршрути затора с более высоким приоритетом не приводит к новым выборам DR.
Главные маршрутизаторы в широковещательных сетях Рис. 3-16 иллюстрирует работу DR в широковещательной сети. Без DR в этой сети с четырьмя маршрутизаторами могло бы образоваться шесть соседств, а лишние соседства приводят к пустой трате локальных и сетевых ресурсов. Благодаря DR для синхронизации LSDB достаточно всего три соседства.
Маршрутизация 78 ЧАСТЬ Главный маршрутизатор (DR) Соседства Хi Рис. 3-16. Главный маршрутизатор в широковещательной сети Главные маршрутизаторы в NBMA-сетях В NBMA-сетях вроде Frame Relay с центрально-лучевой топологией главным дол жен быть маршрутизатор-концентратор, так как только он может взаимодейство вать со всеми остальными маршрутизаторами. Чтобы гарантировать назначение маршрутизатора-концентратора на роль главного маршрутизатора (DR), установи те его приоритет не менее 1. А чтобы ни один лучевой маршрутизатор не стал DR, присвойте им нулевые приоритеты.
Главный маршрутизатор в сети Frame Relay показан на рис. 3-17.
Дублирующий главный маршрутизатор DR действует в качестве точки централизованного распространения изменений в топологии сети с множественным доступом. Если DR становится недоступным, должны быть установлены новые отношения соседства с новым DR. Пока идет ус тановление отношений соседства и конвергенция межсетевой среды, возможна вре менная потеря соединений для транзитного трафика.
Одноадресная IP-маршрутизация ГЛАВА 3 Главный маршрутизатор (DR) R Приоритет= R Приоритет=1 R Приоритет^ Виртуальные цепи Frame Relay R Соседства Приоритет= Рис. 3-17. Главный маршрутизатор в сети Frame Relay Чтобы предотвратить эту проблему, связанную с временным отсутствием DR, в каждой сети с множественным доступом выбирается дублирующий главный марш рутизатор (Backup Designated Router, BDR). Как и DR, BDR имеет отношения со седства со всеми маршрутизаторами в сети. Когда DR выходит из строя, BDR не медленно становится DR, посылая всем смежным с ним маршрутизаторам LSA, в которых объявляет о своей новой роли. Так что остается лишь очень короткий про межуток времени, в течение которого может быть прервана передача транзитного трафика: те несколько мгновений, когда BDR берет на себя роль DR.
Как и DR, BDR избирается путем обмена пакетами Hello. Каждый такой пакет со держит поле, определяющее BDR в сети. Если BDR в нем не указан, дублирующим главным маршрутизатором становится маршрутизатор с наивысшим приоритетом, не выбранный на роль DR. Если таких маршрутизаторов несколько, на роль BDR избирается тот из них, чей код (идентификатор) больше.
Состояния интерфейса После установления отношений соседства каждый OSPF-интсрфейс может нахо диться в одном из нескольких состояний (таблица 3-3), Таблица 3-3. Состояния интерфейсов маршрутизаторов, установивших отношения соседства Состояние интерфейса Описание Down Начальное состояние интерфейса;
обмена пакетами Hello еще не было Интерфейс с сетью аппаратно или программно замкнут на себя Loopback (looped back) (внутренне сконфигурирован так, что никакие пакеты не посылаются) Интерфейс посылает и принимает пакеты Hello, чтобы опреде Waiti ng лить DR и BDR для сети Point-to-Point Интерфейс образовал соседство со смежным интерфейсом в сети типа точка-точка или через виртуальный канал (см. след, стр.) Маршрутизация 80 ЧАСТЬ Таблица 3-3. (продолжение) Состояние интерфейса Описание Other Интерфейс подключен к сети с множественным доступом и не является ни DR. ни BDR Designated Router Интерфейс якляется DR для подключенной сети Backup Designated Router Интерфейс является BDR для подключенной сети Чтобы просмотреть состояние какого-либо OSPF-интерфейса на OSPF-маршрути :тторе Windows 2000, запустите оснастку Routing and Remote Access (Маршрути зация и удаленный доступ), раскройте узел IP Routing (IP-маршрутизация) и щел кните OSPF (OSPF). В правой секции окна оснастки появится список OSPF-ин терфейсов. В колонке State (Состояние) будут перечислены текущие состояния всех интерфейсов. На основе этих данных Вы определите главный и дублирующий главный маршрутизаторы в сети.
Передача OSPF-пакетов в сетях OSPF Адресация пакетов OSPF-маршрутнзаторами зависит от типа сети OSPF.
Широковещательные сети, OSPF-маршрутизаторы используют следующие два IP-адреса, зарезервированные для групповой рассылки.
Х 224.0.0.5 (AHSPFRouters). Предназначен для рассылки OSPF-сообщений всем OSPF-маршрутизаторам в одной сети. Адрес AHSPFRouters используется для пакетов Hello. DR и BDR используют этот адрес для передачи пакетов Link State Update и Link State Acknowledgment.
Х 22^1.0.0.6 (AllDRouters). Предназначен для рассылки OSPF-сообщений DR и BDR в одной сети. Все OSPF-маршрутизаторы, кроме DR. используют этот ад рес при передаче DR пакетов Link State Update и Link State Acknowledgment.
Сети типа точка-точка. Для всех OSPF-сообщений используется адрес A11SPF Routers (224.0.0.5).
NBMA-сети. Такие сети не поддерживают групповую рассылку. Поэтому IP-ад ресом назначения любого пакета Hello или Link State является конкретный IP-ад рес конкретного соседа. IP-адрес соседа представляет собой обязательную часть конфигурации OSPF в NBMA-сетях.
Области OSPF В очень крупной автономной системе с большим числом сетей каждый OSPF-мар шрутизатор должен хранить LSA всех остальных маршрутизаторов в своей LSDB.
Поэтому размер LSDB па каждом маршрутизаторе в большой автономной системе весьма велик. SPF-вычисления большой LSDB могут потребовать значительных ресурсов. Кроме того, полученная в результате таблица маршрутизации может ока заться крайне объемной, так как в ней должен быть записан маршрут к каждой сети в автономной системе.
Чтобы уменьшить размер LSDB и сократить нагрузку на вычислительные мощнос ти при формировании дерева SPF и таблицы маршрутизации, OSPF позволяет раз бивать автономную систему на области (areas) Ч непрерывные группы сетей. Об ласти идентифицируются 32-разрядным параметром Area ID (Код области), кото рый выражается и точечно-десятичной нотации.
ГЛАВА 3 Одноадресная IP-маршрутизация Код области Ч уто административный идентификатор;
он не имеет никакого отно шения к IP-адресу или идентификатору сети. Если все сети внутри области соот ветствуют одному идентификатору сети, включающему идентификаторы подсетей, то для удобства управления код области можно приравнять этому идентификатору сети. Например, если область содержит все подсети IP-сети 10.1.0.0, код этой обла сти может быть установлен равным 10.1.0.0.
Уменьшение размера LSDB Чтобы свести к минимуму размер LSDB на каждом маршрутизаторе, LSA для се тей и маршрутизаторов области распространяются только в пределах этой области и не попадают к маршрутизаторам за ее пределами. Каждая область становится с\ю им доменом состояний каналов связи (link state domain) с собственной LSDB.
Если маршрутизатор соединен с несколькими областями, на нем хранится несколь ко LSDB и деревьев SPE А его таблица маршрутизации объединяет в себе записи таблиц маршрутизации для всех деревьев SPF, а также статические маршруты, мар шруты, сконфигурированные SNMP, и маршруты, полученные по другим протоко лам маршрутизации.
Уменьшение размера таблицы маршрутизации Для сокращения числа записей в таблицах маршрутизации OSPF-маршрутизато ров сети, находящиеся внутри области, могут объявляться за ее пределами с сум мированием маршрутов. Так, на рис. 3-18 маршрутизатор па границе области O.O.Ci.l, также называемый граничным маршрутизатором области (area border router, AB]i), объявляет сводную информацию о всех сетях внутри области 0.0.0.1 в виде пар [ад рес назначения, маска сети] граничным маршрутизаторам областей 0.0.0.2 и 0.0.0.3.
Благодаря суммированию маршрутов (route summarization) топология области (сети и цена использования путей к ним) скрывается от остальной части автоном ной системы.
Автономная система Область 0.0.0. Область 0.0.0. R нг Область 0.0.0.0, ОбластьО.0.0.3 R Рис, 3-18. Автономная система и ее области 4 Зак. Маршрутизация 82 ЧАСТЬ Когда топология области скрыта, остальная часть автономной системы защищает ся от варьирования маршрутов (route flapping) Ч событий, связанных с появлени ем или исчезновением отдельных сетей. Если появляется какая-то сеть, это собы тие распространяется как пакет Link State Update и по соседским связям попадает на все маршрутизаторы внутри области. Но, поскольку сети внутри области объяв ляются за ее пределами с суммированием маршрутов, пакет Link State Update не пересекает границы этой области.
Бы можете просмотреть текущие области OSPF в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ), щелкнув правой кнопкой мыши OSPF (OSPF) и выбрав команду Show Areas (Отобразить области).
Магистральная область Межсетевая среда OSPF Ч разбита она на области или нет Ч всегда имеет по край ней мере одну область, называемую магистральной (backbone area). Для нее заре зервирован код области 0.0.0.0. Из-за этого ее иногда называют областью 0.
Магистральная область действует как концентратор для межобластного транзитно го трафика и для распространения информации о маршрутах между областями.
Межобластной трафик (inter-area traffic) направляется сначала в магистральную область, затем Ч в область назначения и в конечном счете доставляется хосту-по лучателю, который находится в области назначения (см. также раздел Маршрути зация между областями далее в этой главе). Каждый маршрутизатор в магистраль ной области также объявляет остальным маршрутизаторам в этой области сумми рованные в пределах своих областей маршруты. Эти оповещения распространяют ся на маршрутизаторы областей. Таким образом, таблица маршрутизации на каж дом маршрутизаторе в любой из областей отражает маршруты, доступные в преде лах данной области, и маршруты, соответствующие суммированным оповещениям от ABR остальных областей автономной системы.
Например, на рис. 3-18 маршрутизатор R1 объявляет обо всех маршрутах в облас ти 0.0.0.1 всем магистральным маршрутизаторам (R2 и R3) с использованием свод ного оповещения (summary advertisement). R1 принимает сводные оповещения от R2 и R3. R1 сконфигурирован на передачу суммированных маршрутов для области 0.0.0.0. Несмотря на механизм растекания, R1 распространяет информацию о сум мированных маршрутах всем маршрутизаторам в области 0.0.0.1. При расчете таб лиц маршрутизации каждый маршрутизатор в области 0.0.0.1 учитывает суммиро ванные маршруты из областей 0.0.0.0, 0.0.0.2 и 0.0.0.3.
Типы OSPF-маршрутизаторов Когда автономная система OSPF подразделяется на области, маршрутизаторы от носятся к одной или более категориям, определенным в таблице 3-4.
Таблица 3-4. Типы OSPF-маршрутизаторов Тип маршрутизатора Описание Внутренний маршрутизатор Маршрутизатор, все интерфейсы которого подклю (internal router) чены к одной области. На каждом внутреннем маршрутизаторе хранится одна LSDB.
Одноадресная IP-маршрутизация ГЛАВА Таблица 3-4. (продолжение) Тип маршрутизатора Описание Граничный маршрутизатор области Маршрутизатор, интерфейсы которого подключены (area border router, ABR) к разным областям. На ABR хранится несколько LSDB Ч по одной на каждую подключенную область.
Магистральный маршрутизатор Маршрутизатор, один из интерфейсов которого (backbone router), или маршруты- подключен к магистральной области. К маршрутиза затор магистральной области торам этого типа относятся все ABR и внутренние (router of backbone area) маршрутизаторы магистральной области.
Граничный маршрутизатор Маршрутизатор, который обменивается информаци автономной системы ей о маршрутах с источниками за пределами данной (AS boundary router, ASBR) автономной системы OSPF. ASBR оповещают о внеш них маршрутах через автономную систему OSPF Маршрутизация между областями Маршрутизация внутри области осуществляется OSPF-маршрутизаторами с ис пользованием кратчайшего пути к сети назначения. Поскольку маршруты внутри области тте суммируются, у каждого маршрутизатора имеется маршрут к каждой сети внутри сто области (или областей).
Маршрутизация между областями происходит так.
1. Маршрутизаторы внутри области-источника пересылают пакет ближайшему ABR но кратчайшему пути.
2. Магистральные маршрутизаторы пересылают пакет по кратчайшему пути бли жайшему ABR, подключенному к области, которая включает IP-адрес хоста по лучателя.
3. Маршрутизаторы внутри области, которая включает IP-адрес хоста-получателя, пересылают пакет этому хосту-получателю по кратчайшему пути, На рис. 3-19 пакет проходит через маршрутизаторы области 0.0.0.1 и попадает на R1, один из маршрутизаторов магистральной области. Далее пакет последователь но пересылается маршрутизаторами магистральной области (область 0.0.0.0) па маршрутизатор R2, И, наконец, пакет попадает хосту-получателю через маршрути заторы области 0.0.0.2.
Примечание OSPF-маршрутизаторы принимают решения о маршрутизации на ос нове не кодов областей, а записей в таблице IP-маршрутизации. В примере марш рутизации между областями, показанном на рис. 3-19, магистральные маршрутиза торы не пересылают пакет в область 0.0.0.2 явным образом. Они посылают его по кратчайшему пути на маршрут, который лучше всего подходит для указанного в пакете IP-адреса назначения.
Маршрутизация 84 ЧАСТЬ Автономная система Область 0.0.0. Хост Хост- получатель отправитель R1 (ABR) ^ R2 (ABR) Область 0.0.0. Область 0.0.0. Рис. 3-19. Маршрутизация между областями в OSPF Виртуальные каналы Области можно определить так, чтобы в них не было ABR, физически подключен ного к магистральной области. Соединение с магистральной областью остается воз можным за счет создания виртуального капала (virtual link) между магистральной областью и любой другой областью.
Виртуальные каналы создаются между любыми двумя маршрутизаторами, имею щими интерфейс с общей областью, отличной от магистральной. Такая область на зывается транзитной (transit area). В транзитной области должен быть ABR, под ключенный к магистральной области. Виртуальные каналы нельзя создавать через несколько транзитных областей.
Виртуальный канал Ч это логический канал с кратчайшим путем между ABR об ласти, отличной от магистральной, и магистральным ABR транзитной области, По виртуальному каналу устанавливаются отношения виртуального соседства и про исходит обмен информацией о маршрутах. Так же, как и в случае физических со седств, установление виртуального соседства требует совпадения параметров двух маршрутизаторов виртуального канала (паролей, интервалов приветствия и исчез новения, и т. д.).
На рис. 3-20 в области 0.0.0.3 нет маршрутизатора, физически подключенного к магистральной области 0.0.0.0. Поэтому виртуальный канал создается через тран зитную область 0.0.0.2 между маршрутизаторами R2 и R3. Эти маршрутизаторы называются соседями по виртуальному каналу (virtual l i n k neighbors), ГЛАВА 3 Одноадресная IP-маршрутизация Автономная система Область 0.0.0. Область 0.0.0. Виртуальный.t.,<'< канал Область 0.0.0. Транзитная область Область 0.0.0. \\:
Рис. 3-20. Виртуальный канал OSPF Конфигурирование виртуальных каналов Чтобы настроить виртуальный канал, воспользуйтесь оснасткой Routing and Re mote Access и сконфигурируйте виртуальный интерфейс в свойствах протокола маршрутизации OSPF на каждом маршрутизаторе Ч соседе по виртуальному кана лу. Для этого задайте:
Х параметр Area ID (Код области) транзитной области для виртуального канала;
Х параметр Router ID (Код маршрутизатора) для соседа по виртуальному каналу;
Х такие параметры соседства, как Retransmit Interval (Интервал повторной пере дачи), Hello Interval (Интервал приветствия), Dead Interval (Интервал исчезно вения) и Password (Пароль). Параметры Hello Interval, Dead Interval и Passw ird двух маршрутизаторов на каждой стороне виртуального канала должны совпа дать, чтобы можно было установить отношения соседства. Параметр Retrans n i t Interval определяет, сколько времени OSPF-маршрутизатор будет ждать перед повторной передачей пакетов Link State.
^ Чтобы просмотреть виртуальные каналы:
Х В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши OSPF (OSPF) и выберите команду Show Virtual Interfaces (Отобразить виртуальные интерфейсы).
В появившемся окне Virtual Interfaces (Виртуальные интерфейсы OSPF) бу дут показаны все сконфигурированные виртуальные интерфейсы и их состояние.
Маршрутизация 86 ЧАСТЬ Внешние маршруты Таковым считается любой маршрут, не находящийся внутри автономной системы OSPF. Внешними могут быть маршруты:
Х других протоколов маршрутизации, например RIP for IP (vl и v2), EGP или BGP;
Х статические;
Х заданные на маршрутизаторе через SNMP.
Информация о внешних маршрутах распространяется по всей автономной системе OSPF через один или несколько ASBR. ASBR оповещает о доступности внешних маршрутов серией LSA, содержащих эти маршруты. Такие LSA растекаются по всей автономной системе (кроме изолированной области) и становятся частью дерева SPF и таблиц маршрутизации. Трафик во внешние сети перенаправляется внутри автономной системы с использованием кратчайшего пути к ASBR.
Автономная система с ASBR и внешними маршрутами показана на рис. 3-21.
Автономная система Внешние маршруты. Область 0.0.0. Область 0.0.0. Область 0.0.0. Область 0.0.0. Рис. 3-21. Внешние маршруты OSPF Фильтры внешних маршрутов По умолчанию OSPF-маршрутизаторы, выступающие в роли ASBR, импортируют и объявляют все внешние маршруты. Возможно, Вы захотите фильтровать внешние маршруты, чтобы защитить автономную систему от получения некорректной ин формации или попыток умышленного нанесения ущерба.
В случае маршрутизатора Windows 2000 внешние маршруты фильтруются на ASBR по источникам или индивидуальным маршрутам. Вы можете настроить ASBR на прием или игнорирование маршрутов и.ч определенных внешних источников, на пример протоколов маршрутизации (RIP v2), или из других источников (статичес кие маршруты или SNMP). Вы можете также настроить ASBR на прием или от клонение определенных маршрутов, сконфигурировав одну или несколько нар [ад рес назначения, маска сети].
ГЛАВА 3 Одноадресная IP-маршрутизация Комбинация таких фильтров, настроенных на ASBR, гарантирует, что автономная система OSPF будет принимать только корректные внешние маршруты из лоьеря емых источников.
ASBR и маршруты по умолчанию В отсутствие фильтров маршрутизатор, сконфигурированный как ASBR, оповеща ет обо всех внешних маршрутах, в том числе о собственном статическом маршруте по умолчанию. Этот маршрут по умолчанию должен быть корректен для всех OSPF-маршрутизаторов в Вашей автономной системе. Маршрут по умолчанию, указывающий па другой маршрутизатор в автономной системе, недопустим. Ксли на маршрутизаторе, используемом как основной шлюз, окажется маршрут по умол чанию, в котором в качестве следующего перехода указан IP-адрес этого шлюза, то пакеты, пересылаемые с использованием маршрута по умолчанию, будут отбрасы ваться на этом маршрутизаторе.
Если маршрут по умолчанию правилен не для всех OSPF-маршрутизаторов, его не следует объявлять. В корректном маршруте по умолчанию в качестве следующего перехода должен быть указан адрес шлюза, внешнего для автономной системы, Избежать этой проблемы с маршрутом по умолчанию можно двумя способами, 1. Не настраивать основной шлюз на ASBR.
2. Если же на ASBR обязательно должен быть основной шлюз, создайте филяр внешних маршрутов OSPF для отфильтровывания собственного маршрута по умолчанию (адрес назначения 0.0.0.0 с маской сети 0.0.0.0).
Изолированные области Чтобы еще больше сократить объем информации о маршрутах, передаваемой в об ласти, OSPF позволяет использовать изолированные области (stub areas). Изоли рованная область может содержать единственную точку входа и выхода (один AHR) или несколько ABR, когда адреса назначения по внешним маршрутам достижимы с использованием любого из ABR. В случае изолированной области с несколькими ABR внешние маршруты объявляются ASBR, который расположен за пределами этой области. Внешние маршруты автономной системы не передаются в изолиро ванную область и не распространяются по ней. Маршрутизация во все внешние сети осуществляется в изолированной области через маршрут по умолчанию (ад рес назначения 0.0.0.0 с маской сети 0.0.0.0). Таким образом, для перенаправления на любые внешние по отношению к автономной системе адреса в таблицах марш рутизации на маршрутизаторах изолированной области используется единственная запись.
Для создания маршрута по умолчанию ABR изолированной области объявляет та кой маршрут в этой области. Информация о маршруте по умолчанию распростра няется на все маршрутизаторы внутри изолированной области, но не пересекае' ее границ. Этот маршрут используется маршрутизаторами в изолированной области для любых IP-адресов назначения, находящихся за пределами автономной области.
Например, область 0.0.0.3 на рис. 3-22 сконфигурирована как изолированная, пето му что весь внешний трафик проходит через единственный ABR этой области маршрутизатор R3. Последний распространяет внутри области 0.0.0.3 маршрут по умолчанию, а не информацию о внешних сетях.
Маршрутизация 88 ЧАСТЬ Внешние маршруты Автономная система ASBR Область 0.0.0. Область 0.0.0. Область 0.0.0. Область 0.0.0. i' Рис. 3-22. Изолированные области OSPF Все маршруты в изолированной области должны быть настроены так, чтобы они не вызывали импорта или растекания маршрутов, внешних по отношению к авто номной системе, внутри этой области. Поэтому все параметры, относящиеся к об ластям, для всех интерфейсов маршрутизатора внутри изолированной области, дол жны быть сконфигурированы применительно к данной области. Находится интер фейс маршрутизатора в изолированной области или нет, косвенно указывается в специальном битовом флаге Ч Е-бите* (E-bit) OSPF-пакета Hello. Если Е-бит ра вен 1, маршрутизатору разрешено принимать и распространять внешние маршру ты, а если он равен 0 Ч запрещено. Перед установлением отношений соседства мар шрутизаторы, принимая пакеты Hello, проверяют, подходит ли в них состояние Е бита к их конфигурации.
Изолированные области накладывают следующие ограничения:
Х при настройке виртуальных каналов нельзя использовать изолированную об ласть в качестве транзитной;
Х в изолированной области нельзя размещать ASBR.
Изолированные области, как и определено в RFC, относящихся к OSPF, сворачи вают все внешние маршруты в единый маршрут по умолчанию. Таким образом, таб лица маршрутизации любого маршрутизатора внутри изолированной области со держит внутренние (intra-агеа routes) и межобластные маршруты (inter-area routes), а также маршрут по умолчанию. Кроме того, маршрутизатор Windows 2000 поддер живает сворачивание всех маршрутов, отличных от внутренних, в единый маршрут Название этого бита образовано от external mules. Ч Прим, пврек.
ГЛАВА 3 Одноадресная IP-маршрутизация по умолчанию. Такая область называется полностью изолированной (totally stubby area). Таблица маршрутизации любого маршрутизатора внутри полностью изоли рованной области содержит только внутренние маршруты и маршрут по умолча нию. В этом случае маршрут по умолчанию суммирует все межобластные и вне шние маршруты.
Чтобы определить изолированную область на маршрутизаторе Windows 2000, ус тановите в общих свойствах какой-либо области флажки Stub area (Изолирован ная область) и Import summary advertisements (Импорт итоговых объявлений). А для определения полностью изолированной области на маршрутизаторе Win dows 2000 сделайте то же самое, по не устанавливайте флажок Import summary advertisements.
Выявление и устранение проблем с OSPF Если среда OSPF настроена корректно, OSPF-маршрутизаторы получают крат шй шие маршруты от соседних OSPF-маршрутизаторов после конвергенции. Точный список маршрутов, добавляемых OSPF в таблицу IP-маршрутизации, зависит от того, настроены ли области па суммирование своих маршрутов, применяются ли изолированные или полностью изолированные области, используются ли ASBR, включена ли фильтрация маршрутов, а также от ряда других факторов.
Большинство проблем с OSPF связано с установлением отношений соседства по физическим или логическим (виртуальным) каналам, Не установив отношение со седства, OSPF-маршрутизаторы не смогут синхронизировать свои LSDB, а это при ведет к неправильному отражению ими топологии межсетевой среды. Прочие про блемы с OSPF связаны с отсутствием или некорректностью каких-либо маршру тов в таблицах IP-маршрутизации.
Не удается установить отношения соседства Х Сначала убедитесь в том, что два соседних маршрутизатора действительно дол жны устанавливать отношения соседства. Если других маршрутизаторов, кроме них, в сети нет, отношения соседства должны быть установлены. Если же в сети более двух маршрутизаторов, отношения соседства устанавливаются только с DR и BDR. Если два маршрутизатора уже образовали соседство с DR и BIDR, они никогда не установят отношения соседства друг с другом. В этом случае их состояния соседства должны показываться как 2-way (Двусторонние).
Проверьте доступность соседнего маршрутизатора командой ping и убедитесь, Х все ли в порядке с базовой поддержкой соединений по IP-адресам и именам.
Используйте команду tracert и проследите маршрут к соседнему маршрутиза тору. Между соседними маршрутизаторами не должно быть промежуточных маршрутизаторов.
Х Используйте средства протоколирования OSPF для регистрации ошибок и пре дупреждений, если установить отношения соседства между маршрутизаторами не удается. Чтобы получить дополнительную информации) о процессах OSPF, включите трассировку для компонента OSPF. Подробнее о трассировке см. i ла ву 2 Служба маршрутизации и удаленного доступа в этой книге.
Маршрутизация 90 ЧАСТЬ Х Убедитесь, что в областях разрешена аутентификация и что OSPF-интерфейсы используют одинаковые пароли. Па OSPF-маршрутизаторах под управлением Windows 2000 аутентификация разрешена по умолчанию (при этом предлагает ся пароль по умолчанию л12345678). Настройте аутентификацию одинаковым образом на всех соседних OSPF-маршрутизаторах в одной сети. Для другой сети пароль может быть другим.
Х Убедитесь, что у маршрутизаторов одинаковые параметры Hello Interval (Ин тервал приветствия) и Dead Interval (Интервал исчезновения). По умолчанию Hello Interval равен 10 секундам, a Dead Interval Ч 40 секундам.
Х Убедитесь, что маршрутизаторы пришли к соглашению по поводу того, принад лежит ли общая сеть к изолированной области.
Х Убедитесь, что параметр Area ID (Код области) в свойствах интерфейсов сосед них маршрутизаторов одинаков.
Х Если маршрутизаторы находятся в NBMA-сети типа Х.25 или Frame Relay и соединение с этой сетью представлено единственным адаптером (а не отдель ными адаптерами для каждой виртуальной цепи), их соседи должны быть на строены вручную с использованием одновещательного IP-адреса того соседа (или соседей), которому нужно передавать информацию о состоянии каналов.
Кроме того, проверьте значения параметров Router Priority (Приоритет марш рутизатора) Ч они должны быть таковы, чтобы один из маршрутизаторов мог стать главным в данной сети.
Х В широковещательных сетях (Ethernet, Token Ring, FDDI) или NBMA-сетях (X.25, Frame Relay) убедитесь, что не у всех маршрутизаторов значение пара метра Router Priority равно 0. Минимум у одного маршрутизатора это значение должно быть 1 (или больше) Ч тогда этот маршрутизатор сможет стать глав ным в данной сети.
Х Убедитесь, что фильтрация IP-пакетов не препятствует приему (через входные фильтры) или передаче (через выходные фильтры) OSPF-сообщсний на интер фейсах маршрутизатора, на которых задействован OSPF (он использует IP-про токол 89).
Х Убедитесь также, что фильтрация TCP/IP-пакетов не мешает приему OSPF-co общений на интерфейсах, настроенных на использование OSPF.
Не удается создать виртуальный канал Х Проверьте, заданы ли на маршрутизаторах Ч соседях по виртуальному каналу одинаковые пароли, а также параметры Hello Interval (Интервал приветствия) и Dead Interval (Интервал исчезновения).
Х Проверьте на каждом маршрутизаторе правильность настройки параметра Rou ter ID (Код маршрутизатора).
Х Убедитесь, что оба соседа по виртуальному каналу настроены на одну и ту же транзитную область.
Х Б больших межсетевых средах со значительными задержками передачи пакетов по всей транзитной области (round-trip delays across the transit area) убедитесь, что интервал повторной передачи достаточно велик.
ГЛАВА 3 Одноадресная IP-маршрутизация Отсутствие или некорректность QSPF-маршрутов в таблицах маршрутизации Х Если Вам не удается получать суммированные OSPF-маршруты для какой-либо области, убедитесь, что все ABR этой области сконфигурированы с правильны ми парами [адрес назначения, маска сети], обеспечивающими суммирование маршрутов нужной области.
Х Если Вы получаете как индивидуальные, так и суммированные OSPF-маршру ты для какой-либо области, убедитесь, что вес ABR этой области сконфигури рованы с правильными парами [адрес назначения, маска сети], обеспечивающи ми суммирование маршрутов нужной области.
Х Если Вы не получаете внешние маршруты от ASBR, проверьте, не слишком ли строги критерии фильтрации источников и маршрутов на ASBR, из-за чего нуж ные маршруты не распространяются в автономную систему OSPF. Фильтрация внешних источников и маршрутов настраивается па вкладке External Routing (Внешняя маршрутизация) окна свойств протокола маршрутизации OSPF и, ос настке Routing and Remote Access (Маршрутизация и удаленный доступ).
Х Убедитесь, что все ABR подключены к магистральной области Ч либо физичес ки, либо логически (с использованием виртуального канала). Следите, чтобы не было маршрутизаторов, действующих с черного хода (backdoor routers), т. е.
маршутизаторов, которые соединяют две области в обход магистральной, Агент ретрансляции DHCP Маршрутизатор Windows 2000 является агентом ретрансляции ВООТР, соответ ствующим RFC 1542. Он ретранслирует DHCP-сообщения между DHCP-клиента ми и DHCP-серверами в ранных IP-сетях. В этой роли маршрутизатор Win dows 2000 функционирует как DHCP Relay Agent (Агент ретрансляции DHCP).
Без агента ретрансляции DHCP в каждой подсети, где есть DHCP-клиенты, при шлось бы установить DHCP-сервер. Агент ретрансляции DHCP принимает ш гро ковещательпые DHCP-сообщения от DHCP-клиентов и пересылает их на IP-адре са DHCP-серверов. Ответы от DHCP-сервера посылаются на IP-адрес агента рет рансляции DHCP, который затем пересылает их DHCP-клиенту.
Подробнее о DHCP и его реализации в Windows 2000 см. книгу Сети TCP/IP из серии Ресурсы Microsoft Windows 2000 Server.
DHCP и IP-маршрутизаторы В больших межсетевых IP-средах DHCP-серверы следует разметать в стратегичес ких точках обслуживания DHCP-клиентов нескольких сетей. Для эффективной работы такой конфигурации DHCP-сообщения должны пересекать IP-маршрути заторы с помощью агента ретрансляции DHCP.
Помимо распространения DHCP-сообщений, агент ретрансляции DHCP играет активную роль в регистрации информации, необходимой для настройки DHCP, и помогает адресовать DHCP-сообщения между серверами и клиентами DHCP.
Инициализация DHCP Инициализация DHCP осуществляется DHCP-клиентом, который еще ни разу не арендовал IP-адрес, освободил ранее выделенный ему IP-адрес или получил сооб Маршрутизация 92 ЧАСТЬ щение DHCPNack в ответ на попытку возобновить аренду IP-адреса. В процессе инициализации DHCP используется четыре DHCP-сообщения: DHCPDiscover, DHCPOffcr, DHCPRequest и DHCPAck.
DHCPDiscover DHCP-клиент посылает сообщение DlICPDiscover, содержащее МАС-адрес это го DHCP-клиента, на IP-адрес ограниченной широковещательной рассылки (255.255.255.255) и адрес широковещания на МАС-уровне. Это сообщение прини мает и обрабатывает агент ретрансляции DHCP.
Как определено в RFC 1542, агент ретрансляции DHCP может пересылать пакет на ТР-адрес широковещательной, групповой или адресной (одновещательной) рас сылки. На практике агенты ретрансляции DHCP пересылают сообщения DHCP Discover непосредственно на IP-адреса DHCP-серверов (т. е. используют адресную рассылку). Перед пересылкой исходного сообщения DHCPDiscover агент ретранс ляции DHCP вносит в него следующие изменения.
Х Увеличивает значение поля числа переходов в DHCP-заголовке. Это поле неза висимо от поля TTL в IP-заголовке и определяет, через сколько сетей данное сообщение DHCPDiscover прошло как широковещательный пакет. При превы шении максимального числа переходов сообщение DHCPDiscover молча от брасывается. Максимальное число переходов, используемое агентом ретрансля ции в Windows 2000 по умолчанию, равно 4.
Х При необходимости обновляет поле IP-адреса ретрансляции (также известное как поле IP-адреса шлюза) в DHCP-заголовке. Когда DHCP-клиент посылает сообщение DHCPDiscover, в поле IP-адреса ретрансляции содержится значение 0.0.0.0. Если IP-адрес ретрансляции равен 0.0.0.0, агент ретрансляции DHCP записывает IP-адрес интерфейса, по которому было принято данное сообщение DHCPDiscover. Если же IP-адрес ретрансляции имеет другое значение (не 0.0.0.0), агент ретрансляции DHCP не модифицирует его. В поле IP-адреса рет рансляции регистрируется первый интерфейс маршрутизатора на пути переда чи сообщения DHCPDiscover.
Х Изменяет IP-адрес источника сообщения DHCPDiscover на IP-адрес интерфей са, через который было принято это широковещательное сообщение.
Х Изменяет IP-адрес получателя сообщения DHCPDiscover на IP-адрес DHCP сервера.
Агент ретрансляции DHCP посылает сообщение DHCPDiscover как адресный IP пакет, а не как широковещательный. Если агент ретрансляции настроен на взаимо действие с несколькими DHCP-серверами, он посылает каждому DHCP-серверу копию сообщения DHCPDiscover.
DHCPOfler Отвечая на запрос DHCP-клиента о выделении IP-адреса, DIICP-сервер использу ет поле IP-адреса ретрансляции следующим образом.
Х IP-адрес ретрансляции сравнивается (логической операцией AND) с масками подсетей сконфигурированных областей DHCP-сервера, чтобы найти область, Одноадресная IP-маршрутизация ГЛАВА 3 чей идентификатор сети совпадает с идентификатором сети в IP-адресе ретран сляции. Если совпадение найдено, DHCP-сервср выделяет какой-нибудь IP-ад рес из этой области.
Х Возвращая предложение клиенту, DHCP-сервер посылает сообщение DHCP Offer на IP-адрес ретрансляции как на IP-адрес получателя.
Однажды полученный агентом ретрансляции DHCP, IP-адрес ретрансляции ис пользуется для определения интерфейса, на который следует переслать сообщение DHCPOffer. Далее оно пересылается клиенту с использованием предложенного IP адреса как IP-адреса получателя, а МАС-адреса клиента Ч как МАС-адреса полу чателя.
DHCPRequesI DHCP-клиент посылает сообщение DIICPRequest, которое, как и DHCPDiscover, содержит МАС-адрес клиента, на IP-адрес ограниченной широковещательной рас сылки 255.255.255.255 и адрес широковещания на МАС-уровне. Агент ретрансля ции DHCP принимает это сообщение и пересылает его как адресный IP-пакет скон фигурированным DHCP-серверам.
DHCPAck Изначально DHCP-сервер посылает сообщение DHCPAck на IP-адрес ретрансля ции Ч так же, как и сообщение DHCPOffer. Когда агент ретрансляции DHCP при нимает DHCPAck, он переадресовывает его на предложенный клиенту IP-адрес и его МАС-адрес.
Возобновление аренды после перезагрузки При завершении работы клиент Microsoft DHCP не посылает DHCP-серверу сооб щение DHCPRelease. Вместо этого при перезагрузке DHCP-клиент пытается по лучить тот IP-адрес, который был у него в прошлый раз, и с этой целью он исполь зует сообщения DHCPRequest. и DHCPAck.
DHCPRequest Когда клиент Microsoft DHCP перезагружается, он пытается арендовать свои пре жний IP-адрес, посылая широковещательное сообщение DHCPRequest. Это сооб щение, отправляемое на IP-адрес ограниченной широковещательной рассылки 255.255.255.255 и адрес широковещания на МАС-уровне, содержит МАС-адрес и ранее выделенный клиенту IP-адрес. Агент ретрансляции DHCP принимает,>то сообщение и обрабатывает его почти так же, как и сообщение DHCPDiscover. Пе ред пересылкой агент ретрансляции DHCP:
Х увеличивает счетчик числа переходов в DHCP-заголовке;
Х регистрирует IP-адрес интерфейса, по которому было получено данное сообще ние DHCPRequest, в поле IP-адреса ретрансляции;
Х заменяет IP-адрес источника IP-адресом интерфейса, по которому было при-тя то данное широковещательное сообщение DHCPDiscover;
Х заменяет IP-адрес получателя на адрес DHCP-сервера, записанный в DHOP Request, и пересылает это сообщение как адресный IP-пакет.
Маршрутизация 94 ЧАСТЬ DHCPAck и DHCPNack DHCP-сервср, получив DHCPRequest, сравнивает идентификатор сети ранее вы деленного клиенту IP-адреса с идентификатором сети IP-адреса ретрансляции.
Х Если два идентификатора одинаковы и прежний IP-адрес можно вновь выде лить DHCP-клиенту, DHCP-сервер изначально посылает DHCPAck на IP-адрес, указанный в поле IP-адреса ретрансляции. Когда агент ретрансляции DHCP получает сообщение DHCPAck, он переадресует его на предложенный IP-адрес и MAC-адрес клиента.
Х Если два идентификатора одинаковы и прежний IP-адрес нельзя вновь выде лить DHCP-клиенту, DHCP-ссрвер изначально посылает DHCPNack на IP-ад рес, указанный в поле IP-адреса ретрансляции. Когда агент ретрансляции DHCP получает сообщение DHCPNack, он переадресует его на предложенный IP-ад рес и МАС-адрес клиента. В этот момент DHCP-клиент должен заново начать процесс получения IP-адреса, послав сообщение DHCPDiscovcr.
Х Если два идентификатора не совпадают, значит, DHCP-клиент перемещен в дру гую подсеть, и DHCP-сервер посылает DHCPNack на IP-адрес, указанный в иоле IP-адреса ретрансляции. Когда агент ретрансляции DHCP получает сооб щение DHCPNack, он переадресует его на предложенный IP-адрес и МАС-ад рес клиента. В этот момент DHCP-клиент должен заново начать процесс полу чения IP-адреса, послав сообщение DHCPDiscover.
Выявление и устранение проблем с агентом ретрансляции DHCP Если агент ретрансляции DHCP в Windows 2000 не предоставляет сервисов рет рансляции DHCP-клиентам в сети, проверьте следующее.
Х Убедитесь, что интерфейс маршрутизатора Windows 2000, подключенный к той сети, где находятся DHCP-клиенты, добавлен к протоколу маршрутизации DHCP Relay Agent.
Убедитесь, что флажок Relay DHCP packets (Ретрансляция DHCP-пакетов) Х установлен для того интерфс-йеа агента ретрансляции DHCP, который подклю чен к сети с DHCP-клиентами.
Х Убедитесь, что IP-адреса DHCP-серверов, сконфигурированные в глобальных свойствах агента ретрансляции DHCP, корректны для DHCP-серверов в Вашей межсетевой среде.
Х С маршрутизатора, на котором работает агент ретрансляции DHCP, запустите утилиту Ping, чтобы проверить возможность соединения с каждым DHCP-cep всром, сконфигурированным в глобальных свойствах агента ретрансляции. Если Вам не удается связаться с DHCP-серверами, устраните проблемы с поддерж кой соединений на участке между маршрутизатором с агентом ретрансляции и DHCP-серверами.
Х Убедитесь, что фильтрация IP-пакетои не препятствует приему (через входные фильтры) или передаче (через выходные фильтры) DHCP-трафика. DHCP-тра фик использует UDP-порты 67 и 6Н.
Х Убедитесь, что TCP/IP-фильтрация на интерфейсах маршрутизатора не препят ствует приему DHCP-трафика.
Одноадресная IP-маршрутизация ГЛАВА NAT Network Address Translator (NAT) (Средство преобразования сетевых адресов)" это IP-маршрутизатор, определенный в RFC 1631 и способный транслировать IP адреса и номера TCP/UDP-портов пакетов в процессе их пересылки. Возьмем для примера сеть малого предприятия со множеством компьютеров, подключенных к Интернету. В нормальной ситуации на малом предприятии каждый компьютер в сети обычно получает общий IP-адрес от провайдера услуг Интернета (Internet Service Provider, ISP). Однако при наличии NAT малое предприятие может исполь зовать частные адреса (как описывается в RFC 1597) и NAT-карту, увязывающую его частные адреса с единственным или несколькими общими IP-адресами, выде ляемыми 1SP.
Например, если малое предприятие использует частную сеть 10,0.0.0 для своей ин грасети, a ISP выделил ему один общий IP-адрес 198.200.200.1, то NAT транслиру ет (с помощью статических или динамических сопоставлений) все частные IP ад реса, принадлежащие сети 10.0.0.0, в общий IP-адрес 198.200.200.1, Когда какой-либо пользователь в интрассти этого предприятия подключается к Интернет-ресурсу, стек IP на компьютере пользователя создает IP-пакет со следу ющими параметрами в IP- и либо в TCP-, либо н U DP-заголовках (полужирным шрифтом выделены значения, изменяемые NAT):
Х Destination IP Address (IP-адрес приемника): IP-адрес Интернет-ресурса;
Х Source IP Address (IP-адрес источника): частный IP-адрес;
Х Destination Port (Порт приемника): TCP- или LTDP-порт Интернет-ресурса;
Source Port (Порт источника): TCP- или UDP-порт приложения-источника.
Х Хост-отправитель или другой маршрутизатор пересылает этот IP-пакет в NAT, ко торый транслирует адреса исходящего пакета следующим образом (полужирным шрифтом выделены значения, изменяемые NAT):
Х Destination IP Address: IP-адрес Интернет-ресурса;
Х Source IP Address: общий адрес, выделенный ISP;
Х Destination Port: TCP- или UDP-порт Интернет-ресурса;
Source Port: перенумерованный TCP- или UDP-порт приложения-источника.
Х NAT посылает преобразованный IP-пакет через Интернет и получает ответ от вы зываемого компьютера. Пакет, полученный NAT, содержит следующую информа цию об адресах (полужирным шрифтом выделены значения, изменяемые NAT):
Х Destination IP Address: общий адрес, выделенный ISP;
Х Source IP Address: IP-адрес Интернет-ресурса;
Х Destination Port: перенумерованный TCP- или UDP-порт приложения-источ ника;
Х Source Port: TCP- или UDP-порт Интернет-ресурса.
В нашем тексте этот компонент называется транслятором сетевых адресов. Ч Прим. перен.
Маршрутизация 96 ЧАСТЬ Когда NAT сопоставляет и транслирует адреса, а затем пересылает пакет клиенту интрасети, этот пакет содержит следующую информацию об адресах (полужирным шрифтом выделены значения, изменяемые NAT):
Х Destination IP Address: частный IP-адрес;
Х Source IP Address: IP-адрес Интернет-ресурса;
Х Destination Port: TCP- или UDP-порт приложения-источника;
Х Source Port: TCP- или UDP-порт Интернет-ресурса.
В исходящих пакетах частный IP-адрес источника и номер TCP/UDP-порта пре образуются в общий IP-адрес источника и возможно измененный номер TCP/UDP аорта. Во входящих пакетах общий IP-адрес приемника и номер TCP/UDP-порта преобразуются в частный IP-адрес приемника и исходный номер TCP/UDP-иорта.
Статическое и динамическое сопоставление адресов NAT использует либо статическое, либо динамическое сопоставление. Статическое сопоставление настраивается так, чтобы трафик всегда сопоставлялся одним спо собом. Вы можете сопоставить с определенным Интернет-адресом весь трафик, на правляемый на определенный адрес частной сети и исходящий с него. Так, чтобы настроить Web-сервер на компьютере в Вашей частной сети, Вы создаете статичес кое сопоставление (общий IP-адрес, TCP-порт 80] с [частный IP-адрес, TCP-порт 80].
Динамические сопоставления создаются, когда пользователи в частной сети ини циируют трафик на Интернет-адреса. NAT автоматически добавляет эти сопостав ления в свою таблицу сопоставлений и обновляет их при каждом использовании.
Если динамическое сопоставление не обновлено в течение заданного времени, оно удаляется из таблицы. Для TCP-соединений таймаут по умолчанию составляет часа. Для UDP-трафика аналогичный таймаут равен одной минуте.
Корректная трансляция полей заголовков По умолчанию NAT транслирует IP-адреса и TCP/UDP-порты. Эти изменения в IP-дейтаграмме требуют модификации и пересчета следующих полей в IP-, TCP- и UDP-заголовках:
Х Source IP Address (IP-адрес источника) (в пакете, исходящем из частной сети), Destination IP Address (IP-адрес приемника) (в пакете, входящем в частную сеть);
Х IP Checksum (Контрольная сумма IP);
Х Source Port (Порт источника) (R пакете, исходящем из частной сети). Destination Port (Порт приемника) (в пакете, входящем в частную сеть);
Х TCP Checksum (Контрольная сумма TCP);
Х UDP Checksum (Контрольная сумма UDP).
Если информация об IP-адресах и портах находится только в IP- и TCP/UDP-за головках (как в случае HTTP-трафика), ее трансляция не представляет никакой сложности. Однако существуют приложения и протоколы, которые передают ин формацию об IP-адресах или портах в собственных заголовках. FTP, например, хра пит точечно-десятичное представление IP-адресов в FTP-заголовкс для FTP-коман ГЛАВА 3 Одноадресная IP-маршрутизация ды port. Если NAT некорректно транслирует IP-адрес, у Вас могут появиться про блемы с сетевыми соединениями. Кроме того, в случае FTP Ч из-за хранения им IP-адресов в точечно-десятичном формате Ч транслированный IP-адрес в FTP-за головке может получиться другого размера. Поэтому NAT приходится модифици ровать и номера TCP-последовательностей, чтобы исключить потерю каких-либо данных.
Редакторы NAT В том сдучае, когда компоненту NAT приходится дополнительно транслировать и выравнивать полезные данные за IP-, TCP- и UDP-заголовками, нужен редактор NAT. Редактор NAT Ч это устанавливаемый компонент, способный корректно из менять полезные данные, которые иным способом правильно модифицироиать нельзя.
В Windows 2000 встроены редакторы NAT для протоколов:
Х FTP;
Х ICMP;
Х РРТР;
Х NetBIOS поверх TCP/IP Кроме того, протокол маршрутизации NAT включает прокси для протоколов:
Х Н.323;
Х Direct Play;
Х ILS-регистрации на основе LDAP;
Х RPC, Примечание IPSec-трафик транслировать нельзя.
Процессы NAT на маршрутизаторе Windows Для службы маршрутизации и удаленного доступа в Windows 2000 компонент NAT представляет собой протокол маршрутизации, известный как Network Address Translation (NAT). Разрешить использование компонента NAT можно в оснастке Routing and Remote Access, добавив Network Address Translation как протокол мар шрутизации.
Примечание Сервисы NAT доступны и при использовании функции разделения Интернет-соединений;
эта функция активизируется через апплет Network and Dial up Connections (Сеть и удаленный доступ к сети). Функция разделения (совмест ного использования) Интернет-соединений делает то же, что и протокол маршру тизации NAT в службе маршрутизации и удаленного доступа, но гораздо менее гиб ка. О настройке совместного использования Интернет-соединений и о том, в каких случаях эта функция предпочтительнее протокола маршрутизации NAT, см. спра вочную систему Windows 2000 Server.
С протоколом маршрутизации NAT автоматически устанавливается целый напор редакторов NAT. При необходимости коррекции полезных данных пакета, трансли Маршрутизация 98 ЧАСТЬ руемых в данный момент, NAT обращается к одному ш установленных редакторов.
Редактор модифицирует полезные данные и возвращает результат компоненту NAT.
NAT взаимодействует с TCP/IP для:
Х поддержки динамических сопоставлении портов Ч при необходимости NAT зап рашивает уникальные номера TCP- и UDP-портов от стека протоколов TCP/IP;
Х получения от TCP/IP и последующей трансляции пакетов, пересылаемых меж ду частной сетьн) и Интернетом.
Компонент NAT и его взаимосвязь е TCP/IP и другими компонентами маршрути затора показаны на рис. 3-23.
tP Router Manager Конфигурирование Назначение порта mrniHimmuLtre**-***-*-*" Процесс редактирования Трансляция Рис. 3-23. Компоненты NAT Исходящий Интернет-трафик В случае трафика частной сети, который передается по Интернет-интерфейсу. NAT сначала оценивает, имеется ли для данного пакета сопоставление адресов/портов Ч статическое или динамическое. Если нет, создается динамическое сопоставление.
Создавая сопоставление, NAT учитывает, доступен один общий IP-адрес или не сколько.
Х Если доступен единственный общий IP-адрес, NAT запрашивает новый уникаль ный TCP- или UDP-порт для этого адреса и использует полученный порт.
Х Если доступно несколько общих IP-адресов, NAT сопоставляет частный IP-ад рес с общим. Для таких сопоставлении трансляция портов не осуществляется.
Когда возникает необходимость в использовании последнего общего IP-адреса, NAT переключается на тот алгоритм, который применяется при наличии един ственного общего IP-адреса.
После сопоставления NAT проверяет установленные редакторы и при необходимо сти вызывает один из них. Когда редактирование заканчивается, NAT модифици рует TCP-, LIDP- и IP-заголовки и пересылает полученный кадр по Интернет-ин терфейсу.
Обработку исходящего Интернет-трафика компонентом NAT иллюстрирует рис. 3-24.
Одноадресная IP-маршрутизация ГЛАВА 3 Начало Создать сопоставление Имеется ли Т сопоставление?
Да Нет Зарегистрирован ли подходящий редактор?
да Вызвать редактор UDP TCP TCP или UDP?
Транслировать TCP-порт Транслировать UDP-nopi источника;
обновить источника;
обновить контрольную сумму контрольную сумму Транслировать IP-адрес источника: обновить контрольную сумму Обновить сопоставление Переслать через интерфейс, подключенный к Интернету Рис. 3-24. Обработка исходящего Интернет-трафика компонентом NAT 100 ЧАСТЬ 1 Маршрутизация Входящий Интернет-трафик В случае трафика частной сети, который принимается по Интернет-интерфейсу, NAT сначала оценивает, имеется ли для данного пакета сопоставление адресов/пор тов Ч статическое или динамическое. Если нет, КАТ молча отбрасывает этот пакет.
Такое поведение NAT защищает частную сеть от злоумышленников из Интернета.
Трафик из Интернета пересылается в частную сеть только в ответ на трафик, кото рый инициирован пользователем частной сети и заставил NAT создать динамичес кое сопоставление, или при наличии статического сопоставления, разрешающего доступ пользователей Интерлета к определенным ресурсам в частной сети.
После сопоставления NAT проверяет установленные редакторы и при необходимо сти вызывает один из них. Когда редактирование заканчивается, КАТ модифици рует TCP-, UDP- и [Р-заголовки и пересылает полученный кадр по интерфейсу частной сети.
Обработку входящего Интернет-трафика компонентом NAT иллюстрирует рис. 3-25.
Дополнительные компоненты протокола маршрутизации NAT Для упрощения конфигурации сетей малых/домашних офисов (SOHO) с подклю чением к Интернету протокол маршрутизации NAT в Windows 2000 также включа ет DHCP-распределитель (DHCP allocator) и DNS-прокси (DNS proxy).
DHCP-pacnpe делитель Этот компонент предоставляет конфигурационную информацию об IP-адресах дру гим компьютерам и SOHO-сети. DHCP-распределитель Ч это упрощенный DHCP сервер, который выделяет IP-адрес, маску подсети, основной шлюз и IP-адрес DNS сервера. Вы должны настроить компьютеры в сети с DHCP как DHCP-клиенты, чтобы они автоматически принимали параметры конфигурации IP. TCP/IP в Win dows 2000, Windows NT и Windows 95/98 по умолчанию конфигурирует компьюте ры как DHCP-клиенты.
В таблице 3-5 перечислены параметры DHCP в сообщениях DHCPOffer и DHC PAck, посылаемых DHCP-распредслителем в процессе выделения IP-адресов. Мо дифицировать :-)гги параметры или внести дополнительные нельзя.
Таблица 3-5. DHCP-параметры DHCP-распределителя Код параметра Значение параметра Описание 1 255.255,0.0 Маска подсети 3 IP-адрес частного Маршрутизатор (основной шлюз) интерфейса 6 IP-адрес частного DNS-ссрвер (только если включен DNS-прокси) и ргтерфей еа 58 (ОхЗА) 5 минут Время возобновления аренды 59 (ОхЗВ) 5 суток Время повторной привязки (псрепривязки) 51 7 суток Срок аренды IP-адреса 15 (OxOF) Доменное имя DNS-домен компьютера с NAT Одноадресная IP-маршрутизация ГЛАВА 3 Начало Отбросить пакет | Имеется ли сопоставление?
Да С /Ч"~ Нет Зарегистрирован UIA подходящий Да редактор?
Вызвать рвдактор TCP UDP TCP ял и U DP?
Транслировать UDP-порт Транслировать TCP-порт источника;
обновить источника;
обновить контрольную сумму контрольную сумму Транслировать IP-адрес источника: обновить контрольную сумму Обновить сопоставление Переслать через интерфейс, подключенный к частной сети Рис. 3-25. Обработка входящего Интернет-трафика компонентом NAT 102 ЧАСТЬ 1 Маршрутизация DHCP-распределитель поддерживает лишь одну область IP-адресов, настроенную на вкладке Address Assignment (Назначение адресов) окна свойств протокола мар шрутизации Network Address Translation (NAT) (NAT - преобразование сетевых адресов), открываемого из оснастки Routing and Remote Access (Маршрутизация и удаленный доступ), DHCP-распределитель не поддерживает более одной области, а также суперобласти (superscopes) и многоадресные области (multicast scopes).
Если Вам нужна такая функциональность, установите DHCP-сервер и отключите DHCP-распределитель в свойствах протокола маршрутизации NAT.
DNS-прокси Компонент DNS-прокси выступает в роли DNS-сервера для компьютеров и SOIIO сети. DNS-запросы от клиентских компьютеров посылаются на NAT-компьютер, который пересылает их как DNS-запросы от своего имени к сконфигурированно му DNS-серверу. Ответы на DNS-запросы, соответствующие незавершенным зап росам клиентских компьютеров, принимаются NAT-компьютером и пересылают ся клиентам.
Выявление и устранение проблем с NAT Большинство проблем с NAT связано с некорректным преобразованием пакетов.
Прочие проблемы относятся к распределению адресов и разрешению имен.
NAT-компьютер неправильна преобразует пакеты Убедитесь, что интерфейс маршрутизатора Windows 2000, по которому он под я ключен к Интернету, добавлен к протоколу маршрутизации Network Address Translation (NAT) (NAT - преобразование сетевых адресов).
Х Убедитесь, что на вкладке General (Общие) окна свойств Интернет-интерфейса установлен переключатель Public interface connected to the Internet (Общий интерфейс подключен к Интернету).
Х Убедитесь, что на вкладке General окна свойств интерфейса частной сети уста новлен переключатель Private interface connected to private network (Частный интерфейс подключен к частной сети).
Х Если у Вас имеется лишь один общий IP-адрес, установите флажок Translate TCP/UDP headers (Преобразовать TCP/UDP-заголовки) на вкладке General окна свойств Интернет-интерфейса, Х Если у Вас несколько общих IP-адресов, проверьте, правильно ли они набраны в полях на вкладке Address Pool (Пул адресов) окна свойств Интернет-интер фейса. Если в Ваш пул включен IP-адрес, не выделенный Вам провайдером ус луг Интернета (ISP), то входящий Интернет-трафик, связанный с этим IP-ад ресом, будет направляться ISP в какое-то другое место.
Х Если некое приложение не работает через NAT, попробуйте запустить его с NAT компьютера. Если оно работает на NAT-компьютере и не функционирует на любом другом компьютере в частной сети, то, вероятно, его полезные данные не удается транслировать. Проверьте протокол, используемый этим приложением, и сравните его со списком редакторов, поддерживаемых NAT. При необходимо сти свяжитесь с поставщиком данного приложения и выясните, как оно работа ет в NAT-среде, ГЛАВА 3 Одноадресная IP-маршрутизация i Х Убедитесь, что фильтрация IP-пакетов на интерфейсах, подключенных к Интер нету и частной сети, не препятствует приему (через входные фильтры) или пе редаче (через выходные фильтры) Интернет-трафика.
Х Убедитесь, что TCP/IP-фильтрация на интерфейсах, подключенных к Интерне ту и частной сети, не препятствует приему трафика.
Х При использовании особых портов проверьте конфигурации) общего адреса/пор та и частного адреса/порта.
Хосты в частной сети не получают конфигурацию IP-адресов Убедитесь, что на вкладке Address Assignment (Назначение адресов) в окне свойств протокола маршрутизации Network Address Translation (NAT) (NAT - преобра зование сетевых адресов) включено автоматическое назначение IP-адресов с ис пользованием DHCP.
Разрешение имен для хостов в частной сети не функционирует Х Убедитесь, что на вкладке Address Assignment в окне свойств протокола марш рутизации Network Address Translation (NAT) использование DNS-прокси раз решено.
Х Проверьте настройки разрешения имен на NAT-компьютере с помощью коман ды ipconfig. Существует два варианта настройки разрешения имен при подкл ю чении к ISP.
Х Статически назначенные серверы имен. Вы должны вручную настроить TCP/IP на IP-адрес или адреса серверов имен, предоставляемых ISP. В этом случае Вы можете в любой момент воспользоваться командой ipconfig и по лучить IP-адреса своих серверов имен.
Х Динамически назначаемые серверы имен. Настройка вручную не требуется.
Pages: | 1 | 2 | 3 | 4 | ... | 13 | Книги, научные публикации