Internetworking Guide Microsoft Windows 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof Windows 2000 Server ...
-- [ Страница 4 ] --Примечание Все числа, вводимые в диалоговых окнах Add IPX Filter и Edit IPX Filter, должны быть шестнадцатеричными.
Рис, 5-5, Диалоговое окно Add IPX Filter Следующие два примера демонстрируют варианты IPX-фильтрации и реализации IPX-фильтров с использованием нолей в диалоговом окне Add IPX Filter или Edit IPX Filter. Эти примеры представлены лишь для иллюстрации того, как настраи ваются IPX-фильтры, а не в качестве рекомендаций по IPX-фильтрации в конкрет ных условиях.
^ Чтобы сконфигурировать входной IPX-фильтр с использованием маски сети (пример);
Для выборки IPX-пакетов с номерами сетей назначения, начиная с АВ, настройте входной фильтр следующим образом.
1. В диалоговом окне IPX Packet Filters Configuration (Конфигурация фильтров IPX-пакетов) щелкните кнопку Add (Добавить).
2. В диалоговом окне Add IPX Filter (Добавление IPX-фильтра) в разделе Desti nation (Назначение) введите в ноле Network number (Номер сети) значение АВОООООО.
3. В том же разделе введите в поле Network mask (Маска подсети) значение FFOOOOOO.
4. Щелкните КНОПКУ ОК.
Маршрутизация 156 ЧАСТЬ 5. В диалоговом окне IPX Packet Filters Configuration установите флажок Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям).
6. Щелкните кнопку ОК.
Б этом фильтре используется маска сети, которая задает диапазон номеров IPX-се тей от ABOOOOQO до ABFFFFFF.
^ Чтобы сконфигурировать выходной IPX-фильтр с использованием маски сети (пример):
Во избежание передачи или пересылки всего IPX-трафика из сети источника с но мером СС000001 настройте выходной фильтр следующим образом.
1. В диалоговом окне IPX Packet Filters Configuration (Конфигурация фильтров IPX-пакетов) щелкните кнопку Add (Добавить).
2. В диалоговом окне Add IPX Filter (Добавление IPX-фильтра) в разделе Source (Источник) введите в поле Network number (Номер сети) значение СС000001.
3. В том же разделе введите в поле Network mask (Маска подсети) значение FFFFFFFF.
4. Щелкните кнопку ОК.
5. В диалоговом окне IPX Packet Filters Configuration установите флажок Receive all packets except those that meet the criteria below (Принимать все пакеты, кроме тех, что отвечают указанным ниже критериям).
6. Щелкните кнопку ОК.
В этом фильтре используется маска сети, которая задает единственный номер IPX сети - СС000001.
Примечание Маска сети в диалоговых окнах Add IPX Filter и Edit IPX Filter при меняется только для упрощения задания диапазона номеров IPX-сетей. Это не оз начает, что маршрутизатор Windows 2000 поддерживает разбиение IPX-сетей на подсети. Дело в том, что сам RIP for IPX не поддерживает ни разбиение на подсе ти, ни суммирование маршрутов.
RIP for IPX RIP for IPX Ч это протокол маршрутизации на основе векторов расстояний (dis tance vector routing protocol), предназначенный для распространения информации о маршрутах в межсетевой IPX-среде. RIP for IPX разработан на базе XNS-версии (Xerox Network Services) RIP, no содержит дополнительное поле счетчика тактов (tick count). Этот счетчик позволяет приблизительно оценить время, которое ухо дит на доставку IPX-пакета в сеть назначения, и дает возможность маршрутизато ру RIP for IPX выбрать маршрут, обеспечивающий наименьшую задержку в дос тавке пакетов.
Для ускорения конвергенции Rip for IPX использует алгоритмы разделения на правлений и инициируемых обновлений (см. главу 3 Одноадресная IP-маршрути зация в этой книге).
ГЛАВА 5 IPX-маршрутизация RTF for IPX поддерживает следующие типы сообщений.
Х RIP-клиенты, например рабочие станции, находят оптимальный маршрут к ка кой-либо IPX-сети, посылая широковещательный RIP-запрос Get Local Target.
Х Маршрутизаторы запрашивают информацию о маршрутах от других маршрути заторов, посылая обший широковещательный RTP-занрос о маршрутах.
Х Маршрутизаторы отвечают на RlP-запросы Get Local Target и общие RIP-заиро сьт о маршрутах.
Х Маршрутизаторы периодически (по умолчанию Ч каждые 60 секунд) выполня ют широковещание содержимого своих таблиц маршрутизации с применением алгоритма разделения направлений (split horizon).
Х Маршрутизаторы выполняют широковещание инициируемых обновлений для уведомления соседних маршрутизаторов о каком-либо изменении в конфигура ции межсетевой IPX-среды.
Таблицы IPX-маршрутизации Таблица IPX-маршрутизации поддерживается протоколом маршрутизации RIP for IPX. Запись в таблице IPX-маршрутизации содержит следующие поля*.
Network Number (Номер сети). Номер IPX-сети, совпадающий с номером сети назначения в IPX-заголовке пакета.
Forwarding MAC Address (MAC-адрес следующего прыжка). МАС-адрес назна чения IPX-пакета при его пересылке на следующий маршрутизатор. В случае се тей, подключенных напрямую, это поле остается пустым.
Tick Count (Счетчик тиков). Число тактов (один такт равен примерно 1/18 се кунды), необходимое для достижения сети назначения. Это значение оценивается на основе входящих RIP-запросов и ответов и зависит от скорости передачи дан ных в сетевых сегментах. LAN-каналы обычно требуют одного такта, а WAN-кана лы вроде линии Т1 Ч шести или семи тактов. Этот счетчик дает приблизительное представление о задержке.
Hop Count (Счетчик прыжков). Число маршрутизаторов, которые нужно пере сечь, чтобы достичь IPX-сети с нужным номером.
Interface (Интерфейс) или Port (Порт). Интерфейс (плата сетевого интерфей са), применяемый при пересылке IPX-трафика по данному маршруту. Маршрути затор имеет по одному интерфейсу для каждого подключенного сегмента сети.
Структуру таблицы IPX-маршрутизации иллюстрирует рис. 5-6.
Если к какой-либо IPX-сети ведет несколько маршрутов, IPX-маршрутизаторы выбирают оптимальный маршрут следующим образом.
1. Находят маршрут с наименьшим числом тактов.
* Русские названия нолей, приведенные в скобках, даются но интерфейсу русской версии Windows 2000 Server. Но в остальном тексте вместо счетчика тиков мы используем счетчик тактов, вместо МАС-адреса следующего прыжка Ч МАС-адрес следующего перехода (или пересылочный МАС-адрес), а вместо счетчика прыжков Ч счетчик переходов. Кроме того, имеете в виду, что в оригинальном тексте книги отсутствует упоминание о еще одном поле в таблице IPX-маршрутизации Ч о поле протокола. Ч Прим. переч.
Маршрутизация 158 ЧАСТЬ 2. Если таких маршрутов несколько, определяют маршрут с наименьшим числом переходов.
3. Если и таких маршрутов несколько, выбирают один из них случайным образом.
IPX-маршрутизатор Таблица IPX-маршрутизации МАС-адрес Счетчик Интерфейс Счетчик Номер переходов тактов сети следующего перехода Рис. 5-6. Таблица IPX-маршрутизации Функционирование RIP for IPX Нормальная работа маршрутизатора RIP for IPX заключается в выполнении сле дующих процессов, Инициализация. При запуске IPX-маршрутизатор посылает широковещательный RIP-пакет во все локально подключенные сети, оповещая соседние маршрутизато ры о номерах своих сетей. Соседние RTP-маршрутизаторы обрабатывают этот па кет и при необходимости добавляют в свои таблицы маршрутизации соответству ющие записи. Инициализирующийся IPX-маршрутизатор также посылает широко вещательный общий RIP-запрос во все локально подключенные сети. Получив этот запрос, соседние IPX-маршрутизаторы посылают ему информацию о содержимом своих таблиц маршрутизации. На основе этих ответов формируется таблица марш рутизации инициализирующегося IPX-маршрутизатора.
Регулярное оповещение. IPX-маршрутизатор каждые 60 секунд посылает по всем интерфейсам широковещательные оповещения о своих маршрутах, используя при этом алгоритм разделения направлений. Соседние IPX-маршрутизаторы принима ют объявленные маршруты и соответственно обновляют содержимое своих таблиц маршрутизации.
Отключение маршрутизатора административными средствами. Если IPX-марш рутизатор корректно выключается административными средствами, он посылает широковещательное RIP-сообщение во все локально подключенные сети. В нем объявляется, что в маршрутах к сетям, доступным через данный маршрутизатор, число переходов равно 16 (сети недостижимы). Изменение в топологии межсете вой IPX-среды распространяется соседними IPX-маршрутизаторами с использова нием инициируемых обновлений.
ГЛАВА 5 IPX-маршрутизация Выход канала связи из строя. Если вышедший из строя канал связи соединен с одним из интерфейсов маршрутизатора, если этот сбой аппаратно распознается интерфейсом и если интерфейс уведомляет маршрутизатор о таком сбое, то посы лается соответствующее инициируемое обновление. Маршруты, полученные через данный интерфейс, с этого момента считаются недействительными. Заметьте, что большинство LAN-интерфейсов не обеспечивает аппаратной поддержки распозна вания сбоев в несущей среде, и поэтому выход канала связи из строя обнаружива ется не сразу. Однако многие WAN-адаптеры умеют распознавать отключение ка нала связи с провайдером WAN-сервисов.
Выход маршрутизатора из строя. Если IPX-маршрутизатор отключается и s-за аварии с электроснабжением или какого-нибудь сбоя в оборудовании или про граммном обеспечении, у него нет возможности уведомить соседние маршрутиза торы о том, что сети, к которым он был подключен, теперь недоступны. Чтобы не допустить чрезмерно длительного присутствия маршрутов к недоступным сетям в таблицах маршрутизации, каждый маршрут, полученный RIP for IPX, имеет мак симальный срок действия в 3 минуты (по умолчанию). Если соответствующая за пись не обновляется в течение трех минут, число переходов в ней изменяется на 16, и в конечном счете она удаляется из таблицы маршрутизации. Поэтому, если IPX-маршрутизатор выходит из строя, соседние маршрутизаторы помечают полу ченные от него маршруты недействительными не ранее, чем через 3 минуты. И только после этого они распространяют информацию об изменении топологии, ис пользуя алгоритм инициируемых обновлений, Структура пакетов RIP for IPX Заголовок RIP for IPX (рис. 5-7) располагается сразу же после IPX-заголовка. Па кеты RIP for IPX относятся к типу 0x1 и имеют номера сокетов источника и назна чения, равные 0x453.
Режим работы [ До 50 Номер сети R IP-маршрутов Число переходов в одном Число тактов RIP-пакете О-' dan Рис. 5-7. Структура пакетов RIP for IPX Режим работы. Двухбайтовое поле, которое указывает тип сообщения RIP for IPX. Для него определено два значения.
Х 0x00-01 Ч RIP Request (RIP-запрос). Это значение устанавливается клиентом, пытающимся найти оптимальный маршрут к сети назначения (RIP-запрос Get LocalTargct), или маршрутизатором, запрашивающим все доступные маршруты от соседних маршрутизаторов в момент своего запуска (общий RIP-запрос).
Х 0x00-02 Ч RIP Response (RIP-ответ). Это значение устанавливается маршру тизатором, отвечающим либо на RIP-запрос GetLocalTarget, либо на общ,[и Маршрутизация 160 ЧАСТЬ запрос. Периодические оповещения также посылаются как сообщения RIP Response.
За полем режима работы следует одна или несколько записей о RIP-маршрутах (до 50).
В RIP-запросы включается единственный RlP-маршрут. В случае RIP-запроса GetLocalTargct указывается номер IPX-сети назначения, а в случае общего RIP-зап роса номер IPX-сети устанавливается равным OxFF-FF-FF-FF.
В RIP-ответы включается один или несколько RIP-маршрутов. В ответе на запрос:
GetLoealTarget указывается один маршрут, а в ответе на общий RIP-запрос или периодическое оповещение Ч до 50 (в одном пакете RIP for IPX). Максимальный размер пакета RIP for IPX Ч 432 байта. Если нужно сообщить более чем о 50 мар шрутах, используются дополнительные пакеты RIP for IPX.
Номер сети. Четырехбайтовое поле, в котором указывается номер IPX-сети.
Число переходов. Двухбайтовое поле, сообщающее число маршрутизаторов, ко торые должен пересечь пакет при использовании данного маршрута.
Число тактов. Двухбайтовое поле, указывающее число тактов, требуемых для пе редачи IPX-пакета но данному маршруту.
Фильтры маршрутов RIP for IPX Чтобы получить доступ к фильтрам RIP for IPX, откройте окно свойств интерфей са в папке RIP for IPX (RIP для IPX) u щелкните кнопку Input Filters (Фильтры входа) или Output Filters (Фильтры выхода). Функция фильтрации RIP-маршру тов предусматривает как входную, так и выходную фильтрацию на каждом интер фейсе, и основана на принципе исключения. Вы можете сконфигурировать марш рутизатор Windows 2000 либо для приема или объявления всех маршрутов RIP for IPX, кроме запрещенных фильтрами, либо для отклонения или лумолчания обо всех маршрутах RIP for IPX, кроме разрешенных фильтрами.
Диалоговые окна Input Route Filter (Фильтры входящих маршрутов) и Route Filter (Фильтр маршрутов) показаны на рис, 5-8.
Следующие два примера демонстрируют варианты фильтрации маршрутов и реа лизации фильтров с использованием полей в диалоговом окне Route Filter. Эти примеры представлены лишь для иллюстрации того, как настраиваются фильтры маршрутов, а не в качестве рекомендаций по фильтрации маршрутов в конкретных условиях.
^ Чтобы настроить фильтр входящих маршрутов RIP for IPX (пример):
Этот фильтр входа будет запрещать все маршруты RIP for IPX, кроме ведущих к сетям с номерами, начиная с шестнадпатеричного разряда А.
1. В диалоговом окне Input Route Filters (Фильтры входящих маршрутов) щелк ните кнопку Add (Добавить).
2. В появившемся диалоговом окне Route Filter (Фильтр маршрутов) введите в поле Network number (Номер сети) значение АООООООО.
3. В поле Network mask (Маска подсети) введите FOOOOOOO.
4. Щелкните кнопку ОК.
IPX-маршрутизация ГЛАВА 5 5. В диалоговом окне Input Route Filters выберите переключатель Deny routes except listed below (Запретить все маршруты, кроме перечисленных), 6. Щелкните кнопку ОК.
В этом фильтре используется маска сети, которая задает диапазон номеров IPX-се тей от АООООООО до AFFFFFFF.
VAAOQQQ FFFFOOQG Add.
e 1 Ане a- Connect! о п Рис. 5-8. Диалоговые окна Input Route Filter и Route Filter ^ Чтобы настроить фильтр исходящих маршрутов RIP for IPX (пример):
Этот фильтр выхода будет разрешать объявление всех маршрутов RIP for IPX, кро ме ведущих к IPX-сети с номером ВВОООП99.
1. В диалоговом окне Output Route Filters (Фильтры исходящих маршрутов) щел кните кнопку Add (Добавить).
2. В появившемся диалоговом окне Route Filter (Фильтр маршрутов) введите в поле Network number (Номер сети) значение ВВ000099.
3. В поле Network mask (Маска подсети) введите FFFFFFFF.
4. Щелкните кнопку ОК.
5. В диалоговом окне Output Route Filters выберите переключатель Permit routes except listed below (Разрешить все маршруты, кроме перечисленных).
Маршрутизация 162 ЧАСТЬ 6. Щелкните кнопку ОК.
В этом фильтре используется маска сети, которая задает единственный номер IPX сети - ВВ000009.
Примечание Приведенная выше маска сети применяется только для упрощения задания диапазона номеров сетей IPX. Это не означает, что маршрутизатор Win dows 2000 поддерживает разбиение IPX-сетей на подсети. Дело в том, что сам RIP for IPX не поддерживает ни разбиение на подсети, ни суммирование маршрутов.
Примечание Сконфигурировать раздельные активные фильтры для Permit routes except listed below и Deny routes except listed below нельзя.
Статические IPX-маршруты Маршрутизатор Windows 2000 позволяет создавать статические IPX-маршруты в таблице IPX-маршрутизации. Такие маршруты обычно используются для опреде ления номеров IPX-сетей, доступных через соединение удаленного доступа по ком мутируемой линии. Подробнее о применении статических IPX-маршрутов см. гла ву 6 Маршрутизация с соединением по требованию* в этой книге.
Статические IPX-маршруты объявляются через LAN-интерфейсы так же, как и любые другие IPX-маршруты.
^ Чтобы добавить статический маршрут:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IPX Routing (IPX-маршрутизация), щелкните правой кнопкой мыши папку Static Routes (Статические маршруты) и выберите команду New Route (Новый маршрут).
2. Для определения статического IPX-маршрута в диалоговом окне Static Route (Статический маршрут), показанном на рис. 5-9, заполните следующие поля:
Х Network number (Номер сети) Ч четырехбайтовое значение в итсстнадцате ричной форме (8 шестнадцатеричных разрядов);
Х Next hop MAC address (MAC-адрес следующего прыжка) Ч шестибайтовое значение в шестнадцатеричной форме (12 шестнадцатеричных разрядов);
Net'.../.ч i-i.ir.
Nt-;
:tlk.t, M.-i, ;
v:)ae,;
fhe-] Х;
Tick count.
f:.
Щ Cancel Рис. 5-9. Диалоговое окно Static Route IPX-маршрутизация ГЛАВА Х Tick count (Счетчик тиков) Ч число тактов, требуемых для достижения сети с заданным номером;
Х Hop count (Счетчик прыжков) Ч количество маршрутизаторов, которые надо пересечь для достижения сети с заданным номером;
Х Interface (Интерфейс) Ч интерфейс маршрутизатора Windows 2000, через который можно достичь сети с заданным номером. В случае соединений уда ленного доступа выберите подходящий интерфейс соединения по требованию.
SAP for IPX Novell NetWare SAP (Service Advertising Protocol) for IPX предоставляет клиентам механизм разрешения имен для получения адресов служб в межсетевых 1РХ-гре дах. Хосты, поддерживающие какие-либо службы, например файл-серверы, серве ры печати и приложений, широковещательно объявляют через SAP об именах и типах служб, а также о своих межсетевых IPX-адресах. Информация о службах и межсетевых IPX-адресах собирается IPX-маршрутизаторами и серверами No '/ell NetWare в базе данных, называемой таблицей SAP.
Содержимое таблиц SAP периодически объявляется и распространяется в межсе тевой среде так же, как и IPX-маршруты. Информация о службах добавляется в таблицу SAP и удаляется из нее динамически: добавление осуществляется на осно ве периодических оповещений, а удаление Ч по истечении срока действия в отсут ствие новых оповещений. Чтобы сократить время конвергенции, SAP использует алгоритмы разделения направлений и инициируемых обновлений. (О разделении направлений и инициируемых обновлениях см. главу 3 Одноадресная IP-марш рутизация в этой книге.) SAP for IPX поддерживает следующие типы сообщений.
Х Клиенты SAP, например рабочие станции, запрашивают имя и адрес ближайше го сервера определенного типа, посылая широковещательный SAP-запрос Get NearestServer.
Х Маршрутизаторы или клиенты SAP запрашивают имена и адреса всех служб оп ределенного типа, посылая широковещательный общий SAP-запрос о службах.
Х Маршрутизаторы отвечают на общие SAP-запросы и GetNearestServer.
Х Маршрутизаторы периодически (по умолчанию Ч каждые 60 секунд) широко вещательно уведомляют о содержимом своих таблиц SAP с применением алго ритма разделения направлений.
Х Хосты Ч провайдеры каких-либо служб, не являющиеся маршрутизаторами, периодически (по умолчанию Ч каждые 60 секунд) широковещательно объяв ляют о предоставляемых ими службах.
Х Маршрутизаторы выполняют широковещание инициируемых обновлений для уведомления соседних маршрутизаторов об изменении в какой-либо таб лице SAP.
IPX-маршрутизаторы и номер внутренней сети Чтобы оптимизировать взаимодействие со службами, которые работают на IPX маршрутизаторах и объявляют о себе с использованием Novell NetWare SAP, IPX Маршрутизация 164 ЧАСТЬ маршрутизаторы (например, серверы под управлением Novell NetWare или Win dows 2000 Server) требуют определения номера внутренней IPX-сети. Внутренняя IPX-сеть (IPX internal network) Ч это виртуальная сеть внутри маршрутизатора. К ней подключается виртуальный сетевой адаптер с МАС-адресом 0x00-00-00-00-00-01.
Внутренняя IPX-сеть объявляется по протоколу RIP for IPX точно так же, как и физические IPX-сети. Когда служба, работающая на маршрутизаторе, объявляется через SAP, для нес сообщается межсетевой IPX-адрес внутренней сети и виртуаль ный МАС-адрес.
Внутренняя IPX-сеть позволяет оптимизировать пересылку пакетов службам, вы полняемым на IPX-маршрутизаторе. В чем заключается эта оптимизация и что она дает, поясняется в следующих разделах.
IPX-трафик без использования внутренней IPX-сети Рис. 5-10 иллюстрирует простую межсетевую IPX-среду и процесс файл-сервера, работающий па маршрутизаторе, на котором не используется внутренняя IPX-сеть.
Г Адрес процесса файл-сервера:
М:001111111111:0451 IPX-сеть:
АА IPX-маршрутизатор 1 IPX-маршрутизатор Хост Рис. 5-10. Трафик до определения номера внутренней IPX-сети 1. Процесс файл-сервера NetWare, в ы п о л н я е м ы й па IPX-маршрутизаторе 1, объявляет через SAP о споем местонахождении по адресу сервера АА-.001111111111:0451 (1РХ-сетъ:1РХ-узел:1РХ-сокет).
2. Хост разрешает адрес файл-сервера, запрашивая свой основной сервер NetWare (он не показан на рис. 5-10).
3. Хост рассылает широковещательный RIP-запрос GetLocalTarget в сети ВВБВВВВВ, чтобы выяснить наилучший маршрут к IPX-сети АА, 4. IPX-маршрутизатор 1 в своем ответе сообщает о маршруте с одним переходом и двумя тактами.
5. IPX-маршрутизатор 2 в своем ответе тоже сообщает о маршруте с одним пере ходом и двумя тактами.
IPX-маршрутизация ГЛАВА 5 6. Хост выбирает ответ IPX-маршрутизатора 2 (либо из-за того, что он пришел первым, либо потому, что таков был результат случайного выбора из двух vrap шрутов с одинаковыми характеристиками).
7. Хост отправляет пакет запроса на соединение с процессом файл-сервера на АА;
001111111111:0451..пересылая этот пакет IPX-маршрутизатору "2 на его МАС-адрес 00-44-44-44-44-44 в сети BBBBBBIiB.
8. IPX-маршрутизатор 2 пересылает пакет запроса на соединение маршрутизатору 1 на его МАС-адрес 00-11-11-11-11-11 в сети А А А А А А А А.
9. Процесс файл-сервера на маршрутизаторе 1 отвечает на пакет запроса о соеди нении, пересылая ответ па МАС-адрес хоста (этот адрес на иллюстрации не по казан) в сети ВВВВВВВВ.
Результат таков;
пакеты, посылаемые хостом процессу файл-сервера, направляют ся по неоптимальному маршруту. Они передаются IPX-маршрутизатору 2, тогда как их следовало бы передавать IPX-маршрутизатору 1.
IPX-трафик при использовании внутренней IPX-сети Рис. 5-11 иллюстрирует простую межсетевую IPX-среду и процесс файл-сервера, работающий на маршрутизаторе, на котором используется внутренняя IPX-сеть.
Адрес процесса фа йл-седве paj IPX-сеть: СССССССС:000000000001: СССССССС IPX-сеть:
АА MAC: MAC:
MAC:
00-00-00-00-00-01 00-33-33-33-33- 00-11-11-11-11- IPX-маршрутизатор 1 MAC: MAC:
i IPX-маршрутизатор 00-44-44-44-44-44 I I 00-22-22-22-22- Рис. 5-11. Трафик после определения номера внутренней IPX-сети 1. Процесс файл-сервера NetWare, выполняемый па IPX-маршрутизаторе 1, объяв ляет через SAP о своем местонахождении во внутренней сети по адресу сервера СССССССС:000000000001:0451 (1РХ-ссть:1РХ-узел:1РХ-сокет).
2. Хост разрешает адрес файл-сервера, запрашивая свой основной сервер NetW;
ire (он не показан на рис. 5-11).
3. Хост рассылает широковещательный ШР-запрос GetLocalTarget в сети ВВВВВВВВ, чтобы выяснить наилучший маршрут к IPX-сети СССССССС.
Маршрутизация 166 ЧАСТЬ 4. IP Х-маршрутизатор 1 в своем ответе сообщает о маршруте с одним переходом и двумя тактами.
5. IPX-маршрутизатор 2 в своем ответе сообщает о маршруте с двумя переходами и тремя тактами.
6. Хост всегда выбирает ответ IPX-маршрутизатора 1 из-за меньшего значения счетчика тактов в его маршруте к сети СССССССС.
7. Хост отправляет пакет запроса на соединение с процессом файл-сервера на СССССССС:00000000001:0451, пересылая этот пакет IPX-маршрутизатору 1 на его МАС-адрсс 00-22-22-22-22-22 в сети ВВВВВВВВ.
8. Процесс файл-сервера на маршрутизаторе 1 отвечает на пакет запроса о соеди нении, пересылая ответ па MAC-адрес хоста (этот адрес на иллюстрации не по казан) в сети ВВВВВВВВ.
Результат таков: пакеты, посылаемые хостом процессу файл-сервера, всегда направ ляются по оптимальному маршруту.
Маршрутизатор Windows 2000, номер внутренней IPX-сети и внутренний интерфейс На маршрутизаторе Windows 2000, поддерживающем IPX-маршрутизацию, можно задать уникальный номер внутренней IPX-сети, который вводится в окне свойств lPX/SPX/NetBIOS-совместимого транспорта. Если такой номер не определен, он автоматически назначается при запуске маршрутизатора Windows 2000.
Процесс автоматической настройки на маршрутизаторе Windows 2000 выбирает случайный номер внутренней IPX-сети и посылает ШР-пакет GetLocalTarget, зап рашивающий маршрут к IPX-сети с этим номером. Если поступает какой-нибудь RIP-ответ, текущий номер внутренней IPX-сети отбрасывается и выбирается дру гой случайный номер. Эти операции повторяются до тех пор, пока не удается най ти уникальный номер (RIP-ответ больше не приходит). Подобранный помер авто матически записывается в свойства IPX/SPX/NetBIOS-совместимого транспорта.
п RotAmg pse Р[Ч!Р attest.
_ Routing and Remote Access t Server Status г Remote Router Enabled Demand Dial Sleeping RRftS-ROLITERl (local) Up 9d3b080o Local Area Connection Dedicated Enabled ' Л RoutriQ Interface? Enabled Local Area Connection Dedicated Up 172L6720 Х ]jjj[ Dial-In Clients (0) -JD Ports Not availa... Not available Х i AppleTalk Routing J Х Ж Ip Rout !
В ]&. IPX Routing f NetBIOS Broaden Static Routes Л state Services J[ Static NetBIOS Na Jj[R[PforIPX Ji SAP For IPX Remote Access Policie j Logging Рис. 5-12. Внутренний IPX-интерфейс IPX-маршрутизация ГЛАВА Чтобы увидеть виртуальный интерфейс, соответствующий внутренней IPX-сети, выберите свой сервер в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ), а затем раскройте узел IPX Routing (IPX-маршрутизация) и щелкните папку General (Общие). В правой секции окна оснастки появится интер фейс Internal (Внутренний);
он является интерфейсом IPX-маршрутизатора и вир туальным сетевым адаптером для внутренней IPX-сети сервера (рис. 5-12).
Таблицы SAP Запись в таблице SAP состоит из следующих полей.
Имя сервера. Имя сервера, на котором работает данная служба, Тип службы. Тип службы (например, файл-сервер, сервер печати или сервер при ложений).
Адрес сервера. Полный IPX-адрес службы (сетыузелхокет). Например, у процес са доступа к файлал! и принтерам на сервере NetWare мог бы быть адрес сервера, равный 000000АА:0000000000001:0451.
Счетчик переходов. Число маршрутизаторов, которые нужно пересечь для дос тижения сервера, на котором работает данная служба. Предельное число переходов для служб Ч 15. Службы, находящиеся в 16 переходах (или дальше) от клиента, считаются недостижимыми.
Интерфейс (или порт). Интерфейс (плата сетевого интерфейса), по которому была получена данная запись SAP.
Структура таблицы SAP представлена на рис. 5-13.
IPX-маршрутизатор Таблица SAP Счетчик Интерфейс Имя сервера Тип службы Адрес сервера переходов Рис. 5-13. Таблица SAP При наличии нескольких записей для одних и тех же имени сервера и типа служ бы IPX-маршрутизаторы выбирают запись с наименьшим числом переходов. Если же и таких записей несколько, маршрутизатор выбирает одну из них случайным образом.
Маршрутизация 168 ЧАСТЬ Функционирование SAP для IPX-маршрутизатора Работа SAP на IPX-маршрутизаторе заключается в выполнении следующих про цессов.
Инициализация. Если на IPX-маршрутизаторе размещены какие-нибудь допол нительные службы, он посылает широковещательный SAP-пакет во все локально подключенные сети, оповещая соседние маршрутизаторы о своих службах. Затем IPX-маршрутизатор посылает широковещательный общий SAP-запрос во все ло кально подключенные сети. На основе ответов на этот запрос формируется табли ца SAP.
Регулярное оповещение. IPX-маршрутизатор каждые 60 секунд посылает по всем интерфейсам широковещательные оповещения о своей таблице SAP, используя при этом алгоритм разделения направлений. Соседние IPX-маршрутизаторы принима ют информацию об объявленных службах и соответственно обновляют содержи мое своих таблиц SAP.
Отключение маршрутизатора административными средствами. Если IPX-марш рутизатор корректно выключается административными средствами, он посылает широковещательное SAP-сообщение ко все локально подключенные сети. В нем объявляется, что службы, ранее доступные на данном маршрутизаторе, более не доступны. Агент SAP устанавливает счетчик переходов в записях для этих служб равным 16, указывая па то, что службы недоступны. Это изменение распространя ется соседними IPX-маршрутизаторами по межсетевой IPX-среде с использовани ем инициируемых обновлений.
Выход канала связи из строя. Если вышедший ш строя канал связи соединен с одним из интерфейсов маршрутизатора, если этот сбой аппаратно распознается интерфейсом и если интерфейс уведомляет маршрутизатор о таком сбое, то посы лается соответствующее инициируемое обновление. Службы SAP, информация о которых была получена через данный интерфейс, с этого момента считаются недо ступными. Заметьте, что большинство LAN-интерфейсов не обеспечивает аппарат ной поддержки распознавания сбоев в несущей среде, и поэтому выход канала свя зи из строя обнаруживается не сразу. Однако многие WAN-адаптеры умеют распоз навать отключение капала связи с провайдером WAN-сервисов, Выход маршрутизатора из строя. Если IPX-маршрутизатор отключается из-за аварии с электроснабжением или какого-нибудь сбоя в оборудовании или про граммном обеспечении, у пего нет возможности уведомить соседние маршрутиза торы о том, что службы, которые работали на нем, теперь недоступны. Чтобы не допустить чрезмерно длительного присутствия записей о недоступных службах в таблицах SAP, каждая запись о службе SAP, полученная IPX-маршрутизатором, имеет максимальный срок действия и 3 минуты (по умолчанию). Если соответству ющая запись не обновляется в течение трех минут, число переходов в ней изменя ется на 16, и в конечном счете она удаляется из таблицы маршрутизации. Поэтому, если IPX-маршрутизатор выходит из строя, соседние маршрутизаторы помечают полученные от него записи недействительными не ранее, чем через 3 минуты. И только после этого они распространяют информацию об изменении, используя ал горитм инициируемых обновлений.
IPX-маршрутизация ГЛАВА 5 Структура пакета SAP SAP-заголовок (рис. 5-14) располагается сразу же после IPX-заголовка. SAP-паке ты относятся к типу IPX-пакетов 0x04 или 0x00 и имеют номера сокетов источни ка и назначения, равные 0x0452.
Режим работы [ Тип службы Имя сервера До 7...48 байтов служб SAP Номер сети в одном Номер узла SAP-пакете Номер со кета Промежуточные сети = 1 байт Рис. 5-14. Структура пакета SAP for IPX Примечание Рис. 5-14 отражает структуру пакетов SAP Response и SAP GetNearest Server Response. Пакеты SAP Request и SAP GetNearestServer Request содсржат только поля режима работы и типа службы и имеют длину в 34 байта (30 байтов на IPX-заголовок и 4 байта на SAP-заголовок).
Режим работы. Двухбайтовое поле, указывающее тип SAP-счгобщения. Значения этого поля описываются в таблице 5-3.
Таблица 5-3. Режимы работы SAP Режим работы Тип сообщения Описание Посылается маршрутизатором пли клиентом Request(запрос) I SAP для запроса информации обо всех службах или о службах определенного типа Response (ответ) Ответ на SAP Request;
периодические оповещения SAP тоже посылаются как SAP Response Посылается рабочей станцией для запроса GctNearestScrver Request (запрос GetNearestServer) межсетевою IPX-адреса ближайшего сервера (отвечающего раньше остальных) службы определенного типа GetNearestServer Response Посылается в ответ на SAP-:ianpoc (ответ GetNearestServer) GetNearestServer и содержит имя и меж сетевой IPX-адрес ближайшего сервера службы запрошенного типа За полем режима работы следует серия записей о службах SAP (до 7 и одшш сооб щении). Максимальный размер пакета SAP Ч 480 байтов. Если нужно сообщить информацию более чем о семи службах, она посылается в нескольких пакетах SAP, Маршрутизация 170 ЧАСТЬ Тип службы. Двухбайтовое поле, указывающее тип службы. Каждому типу служ бы соответствует уникальное числовое значение, определенное компанией Novell.
Некоторые из наиболее распространенных типов служб SAP перечислены в табли це 5-4. Полный список типов служб SAP см. по ссылке SAP на soft.com/windows2000/reskit/webresources.
Таблица 5-4. Типы служб SAP Сервер Тип службы (значение в шестнадцатеричной форме) Неизвестный 00- Файл-сервер NetWare 00- Сервер печати NetWare 00- Сервер Microsoft RFC 06- Общий SAP-запрос FF-FF Имя сервера. 48-байтовое поле, в котором хранится имя сервера, объявляющего о данной службе, Комбинация полей имени сервера и типа службы уникально иден тифицирует службу в межсетевой IPX-среде. Имена серверов длиной менее 48 бай тов завершаются ASCII-символом NULL.
Номер сети. Четырехбайтовое поле, указывающее номер IPX-сети, в которой на ходится сервер с данной службой.
Номер узла. Шестибайтовое поле, указывающее номер IPX-узла, на котором ра ботает сервер, предоставляющий данную службу.
Номер сокета. Двухбайтовое поле, указывающее номер сокета, прослушиваемый процессом данной службы.
Промежуточные сети. Двухбайтовое поле, указывающее число маршрутизаторов, которые надо пересечь, чтобы достичь сервер с данной службой.
SAP-фильтры Чтобы получить доступ к SAP-фильтрам, откройте окно свойств интерфейса в пап ке SAP for IPX (SAP для IPX) и щелкните кнопку Input Filters (Фильтры входа) или Output Filters (Фильтры выхода). Функция SAP-фильтрации предусматрива ет как входную, так и выходную фильтрацию на каждом интерфейсе, основанную на принципе исключения. Вы можете сконфигурировать маршрутизатор Win dows 2000 либо для разрешения всех служб SAP, кроме запрещенных фильтрами, либо запрета всех служб SAP, кроме разрешенных фильтрами (рис. 5-15).
Примечание Сконфигурировать раздельные активные фильтры для Permit services except listed below (Разрешить все службы, кроме перечисленных) и Deny services except listed below (Запретить все службы, кроме перечисленных) нельзя.
Примечание Параметры, определенные R одном фильтре, комбинируются логичес кой операцией AND, а параметры, определенные в нескольких фильтрах, Ч логи ческой операцией OR.
IPX-маршрутизация ГЛАВА 5 NCPSERVER III!-!
aocaf Area Cennectron ХCancel Рис. 5-15. Диалоговые окна Input Service Filters (Фильтры входящих служб) и Service Filter (Фильтр служб) Статические службы Маршрутизатор Windows 2000 позволяет создавать статические службы в таблице SAP. Статические службы объявляются так же, как и обычные службы SAP. Они обычно используются для определения служб, доступных через соединение удален ного доступа по коммутируемой линии, Подробнее о применении статических служб SAP см. главу 6 Маршрутизация с соединением по требованию* в этой книге.
Чтобы добавить статические службы, в оснастке Routing and Remote Access (Мар шрутизация и удаленный доступ) раскройте узел IPX Routing (IPX-маршрутиза ция), щелкните правой кнопкой мыши папку Static Services (Статические служ бы) и выберите команду New Service (Новая служба). После этого появится д ia логовое окно Static Services (Статические службы), показанное на рис. 5-16.
Маршрутизация 172 ЧАСТЬ interface:
Рис. 5-16. Диалоговое окно Static Services Широковещание NetBIOS Чтобы приложения NetBIOS корректно работали в межсетевой IPX-среде, Net BIOS поверх IPX* предоставляет стандартные службы NetBIOS, в частности служ бу дейтаграмм (отдельные пакеты посылаются как широковещательные без под тверждений о приеме), службу сеансов (группы пакетов передаются между дву мя конечными точками с подтверждениями о приеме) и службу имен (регистрация, запросы и освобождение NetBIOS-имен).
Подробнее о NetBIOS см. главу 1 Введение в TCP/IP в книге Сети TCP/IP из серии Ресурсы Microsoft Windows 2000 Server*.
NetBIOS поверх IPX реализуется с использованием пакетов двух разных структур.
Широковещательные пакеты NetBIOS поверх IPX. Используются для передачи NetBIOS-дейтаграмм и управления именами, например для запросов и регистрации имен. IPX-маршрутизаторы могут поддерживать (а могут и не поддерживать) пе ресылку широковещательных пакетов NetBIOS поверх IPX.
Сеансы NetBIOS поверх IPX. Используются для надежного, ориентированного на соединение взаимодействия между двумя приложениями NetBIOS в межсете вой IPX-среде. Трафик сеанса NetBIOS поверх IPX является адресным (направлен ным на конкретный межсетевой IPX-адрес), а не широковещательным. В сеансах NetBIOS поверх IPX применяются IPX-пакеты типа 0x04 (Normal IPX), а также номера сокетов источника и назначения, равные 0x455.
Поскольку трафик сеансов NetBIOS поверх IPX пересылается любыми IPX-марш рутизаторами, в следующих разделах рассматривается только широковещание NetBIOS поверх IPX и его поддержка маршрутизатором Windows 2000.
IPX WAN Broadcast Чтобы пемаршрутизируемые протоколы типа NetBIOS, полагающиеся на широко вещание, корректно работали в межсетевой IPX-среде, IPX-маршрутизатор должен поддерживать пересылку широковещательного трафика. (NetBIOS использует ши роковещание при регистрации и разрешении NetBIOS-имен.) Поддержка пересыл IPX-маршрутизация ГЛАВА 5 ки широковещательного трафика через IPX-маршрутизаторы реализуется с приме нением специального IPX-пакета типа 0x14;
этот пакет также называется IPX WAN Broadcast.
Заголовок IPX WAN Broadcast содержит в поле типа IPX-пакета значение 0x14 (в десятичной форме Ч 20) и адрес IPX-узла назначения OxFF-FF-FF-FF-FF-FF. IPX маршрутизаторы можно настроить либо на пересылку, либо на молчаливое от клонение пакетов IPX WAN Broadcast.
Широковещательные пакеты NetBIOS поверх IPX включают заголовок IPX WAN Broadcast.
IPX WAN Broadcast и сети Microsoft В сетях под управлением Windows 2000, Windows NT 4.0 (и нттже). Windows for Workgroups, Windows 95 или Windows 98 службы сервера и рабочей станции, при меняющие для доступа к сетевым файлам и принтерам протокол SMB (Server Message Block), могут использовать NetBIOS поверх IPX или просто IPX. Процесс передачи SMB-блоков поверх IPX без NetBIOS называется прямым хостингом (direct hosting).
Пакеты IPX WAN Broadcast используются в сетевых SMB-процессах на oci ове NetBIOS поверх IPX:
Х регистрации NetBIOS-имен;
Х запросах NetBIOS-имен;
Х объявлении обозревателя сети;
Х сетевом входе в систему.
Пакеты IPX WAN Broadcast также используются в сетевых SMB-процессах на ос нове прямого хостинга:
Х запросах поиска имени сервера;
Х объявлении обозревателя сети.
При прямом хостинге заголовок NetBIOS поверх IPX не применяется. Вместо ;
>то го SMB-блоки перелаются непосредственно по IPX. Сообщения прямого хостинга передаются в пакете IPX WAN Broadcast без соответствующих полей NetBIOS Отключение пересылки пакетов IPX WAN Broadcast может лишить компьютеры с Microsoft SMB способности распространять информацию, связанную с просмотром сети, разрешать имена и устанавливать соединения в межсетевой IPX-среде.
Примечание По умолчанию Routing and Remote Access Server Setup Wizard (Мас тер настройки сервера маршрутизации и удаленного доступа) настраивает широко вещание NetBIOS поверх IPX для интерфейса Internal (Внутренний) на npnevi и пересылку широковещательных пакетов, а для любых LAN-интерфейсов Ч только на прием (без пересылки). В этой конфигурации по умолчании) пересылка широ ковещательных IPX-пакетов на маршрутизаторе Windows 2000 запрещена. Чтобы разрешить пересылку таких пакетов, настройте соответствующие LAN-интерфей сы на доставку широковещательных пакетов NetBIOS поверх IPX при любых ус ловиях. Для этого в оснастке Routing and Remote Access (Маршрутизация и уда ленный доступ) раскройте узел IPX Routing (IPX-маршрутизация) и в п а н к е ЧАСТЬ 1 Маршрутизация NetBIOS Broadcasts (Широковещание NetBIOS) откройте окно свойств нужного LAN-интерфейса. В этом окне в разделе NetBIOS Broadcast Delivery (Доетавка широковещательных пакетов) активизируйте переключатель Always (Всегда).
Структура широковещательных пакетов NetBIOS поверх IPX Заголовок широковещательного пакета NetBIOS поверх IPX (рис. 5-17) является комбинацией заголовков IPX WAN Broadcast и NetBIOS, которые размещаются непосредственно за IPX-заголовком. Широковещательные пакеты NetBIOS поверх IPX относятся к типу пакетов 0x14;
при этом они используют номер узла назначе ния, равный OxFF-FF-FF-FF-FF-FF, и номера сонетов источника и назначения, рав ные Ох-455.
Сеть Сеть СетьЗ IPX WAN Broadcast Сеть Сеть Сеть Сеть/ Сеть Флаги типа имени Поток данных типа NetBIOS._ _|...16 байтов.
NetBIOS-имя = 1 байт Рис. 5-17. Структура широковещательных пакетов NetBIOS поверх IPX Сети 1-8 (Заголовок IPX WAN Broadcast) Первые восемь полей (сети 1-8) представляют собой заголовок IPX WAN Broad cast. В этих полях регистрируются IPX-сети, через которые прошел пакет IPX WAN Broadcast. Запись ведется IPX-маршрутизаторами, пересылающими данный пакет по межсетевой IPX-среде. Для предотвращения петель маршрутизации эта инфор мация о сетевом пути анализируется при приеме на маршрутизаторе, и пакет пере сылается во все сети, кроме тех, в которых он уже был.
Если пакет IPX WAN Broadcast уже прошел восемь сетей, он молча отбрасывает ся следующим на пути маршрутизатором. Однако вспомним, что максимальное чис ло переходов для любого IPX-пакета в межсетевой среде, использующей RIP for IPX, равно 15. Разница в максимальном числе переходов для пакетов IPX WAN Broadcast и обычных IPX-пакетов может вызвать проблемы в больших межсетевых IPX-средах.
Например, клиент NetWare может взаимодействовать с сервером NetWare, находя щимся в 10 переходах от него, потому что межсетевой IPX-адрес этого сервера оп ределяется запросом таблицы SAP или дерева каталогов на основном для данного ГЛАВА 5 IPX-маршрутизация клиента сервере NetWare. Запросы на соединение, посылаемые серверу NetWare, это адресный трафик, который попадает на данный сервер NetWare, поскольку чис ло переходов не превышает 15.
С другой стороны, для клиента Microsoft SMB компьютер с Windows 2000 Server в 10 переходах от него недостижим, потому что его межсетевой IPX-адрес определя ется запросом NetBIOS-имени, посылаемым в широковещательном пакете NetBIOS поверх IPX, а этот пакет отбрасывается после прохождения восьми сетей. Посколь ку ответ на запрос не приходит, определить межсетевой IPX-адрес компьютера с Windows 2000 Server и установить соединение ие удается. Во избежание этой про блемы проектируйте свою межсетевую IPX-среду так, чтобы в ней не было более семи IPX-маршрутизаторов между любыми двумя компьютерами с Windows 2000.
Флаги типа имени (заголовок NetBIOS) Это однобайтовое поле в заголовке NetBIOS содержит набор флагов, определяю щих статус NetBIOS-имени. Соответствующие битовые флаги перечислены в таб лице 5-5.
Таблица 5-5. Битовые флаги типа имени Бит типа имени Описание 1 Групповое (1) или уникальное имя (0) 2 Имя занято (1) или свободно (0) 3, 4. 5 Не используются 6 Имя зарегистрировано (1) или не зарегистрировано (0) 7 Имя дублируется (1) или не дублируется (0) 8 Регистрация имени отменена (1) или имя еще не снято с регистрации (0) Биты нумеруются от старшего (бит 1) к младшему (бит 8), Поток данных типа 2 (заголовок NetBIOS) Это однобайтовое поле в заголовке NetBIOS указывает тип NetBIOS-пакета, Его возможные значения перечислены в таблице 5-6.
Таблица 5-6. Значения поля -лпоток данных типа 2 Значение Описание 1 Идет поиск имени (для пакетов запросов NetBIOS-имен).' Имя распознано 3 Добавить имя (для пакетов регистрации NetBIOS-имен) NetBIOS-имя (заголовок NetBIOS) В этом 16-байтовом поле заголовка NetBIOS хранится NetBIOS-имя, Статические NetBIOS-имена Если в окне свойств интерфейса, открытого из папки NetBIOS Broadcast (Широ ковещание NetBIOS) в оснастке Routing and Remote Access (Маршрутизация ц уда ленный доступ), в разделе NetBIOS Broadcast Delivery (Доставка широкопеща тельпых пакетов) выбран переключатель Only for statically seeded names (Тплько Маршрутизация 176 ЧАСТЬ для статически заданных имен), то широковещательные пакеты NetBIOS поверх IPX пересылаются лишь для определенной группы NetBIOS-имен и только в выб ранном направлении. Статические NetBIOS-имена можно использовать для огра ничения широковещательного трафика NetBIOS поверх IPX в тех средах, где при ложениям NetBIOS на клиентской стороне нужен доступ лишь к малой группе при ложений NetBIOS на серверной стороне.
Например, в среде Lotus Notes с применением NetBIOS поверх IPX множеству кли ентов Lotus Notes требуется доступ к сравнительно небольшому числу серверов Lotus Notes. В такой ситуации сетевой администратор настраивает маршрутизато ры на пересылку только тех широковещательных пакетов NetBIOS поверх IPX, которые адресованы на NetBIOS-имена, соответствующие именам серверов Lotus Notes, Чтобы добавить статические NetBIOS-имена, в оснастке Routing and Remote Access раскройте узел IPX Routing (IPX-маршрутизация), щелкните правой кнопкой мыши папку Static NetBIOS Names (Статические NetBIOS-имена) и выберите ко манду New NetBIOS Name (Новое NetBIOS-имя). После этого появится диалого вое окно Static NetBIOS Name (Статическое имя NetBIOS), показанное на рис. 5-18.
interface Рис. 5-18. Диалоговое окно Static NetBIOS Name Дополнительные материалы Более подробную информацию об IPX см. тз книге:
Х Laura A. Chappcl Novell's Guide to LAN/WAN Analysis: IPX/SPX, 1998, San Jose, CA: Novell Press.
ГЛАВА Маршрутизация с соединением по требованию Windows 2000 обеспечивает полную поддержку маршрутизации с соединением по требованию Ч перенаправления пакетов по каналам связи типа точка-точка, на пример по аналоговым телефонным линиям и ISDN. Маршрутизация с соединени ем но требованию позволяет подключаться к Интернету и интрасетям филиалов или реализовать VPN-соединения между маршрутизаторами.
В этой главе Введение в маршрутизацию с соединением по требованию Процесс маршрутизации с соединением по требованию Защита при маршрутизации с соединением по требованию Создание учетных записей пользователей с помощью Demand-Dial Wizard 1^ Блокировка соединений по требованию Маршрутизация с соединением по требованию и протоколы маршрутизации IPX-соединения по требованию Выявление и устранение проблем См. также Х Об одноадресной маршрутизации Ч главу 1 Обзор одноадресной маршрутиза ции в этой книге.
Х Об IP-маршрутизации в Windows 2000 Ч главу 3 Одноадресная IP-маршрути зация в этой книге, Х Об IPX-маршрутизации в Windows 2000 Ч главу 5 IPX-маршрутизация в.этой книге.
Х Подробнее об установлении РРР-соединений и о наборе протоколов РРР Ч гла ву 7 Сервер удаленного доступа в этой книге.
1 Зак Маршрутизация 178 ЧАСТЬ Х Подробнее о виртуальных частных сетях Ч главу 9 Виртуальные частные сети в этой книге.
Х Подробнее о маршрутизаторе Windows 2000 Ч главу 2 Служба маршрутизации и удаленного доступа в этой книге.
Введение в маршрутизацию с соединением по требованию Маршрутизация с соединением по требованию (demand-dial routing) Ч это пере сылка пакетов по каналу связи, для которого используется протокол РРР (Point to-Point Protocol). PPP-канал представляется в маршрутизаторе Windows 2000 как интерфейс соединения но требованию (demand-dial interface)*. Такие интерфейсы позволяют при необходимости создавать соединения в коммутируемой несущей среде Ч по постоянным подключениям или устанавливаемым по требованию.
В случае LAN- и постоянных WAN-каналов соответствующий интерфейс всегда находится в активном или подключенном состоянии. Пакет можно переслать, не создавая физическое или логическое соединение. Однако интерфейс соединения по требованию может находиться либо в подключенном, либо в отключенном состоя нии. Если в момент пересылки пакета такой интерфейс находится в отключенном состоянии, его нужно сначала перевести в подключенное состояние.
Процесс установления соединения, состоящий из этапов создания физического или логического соединения и установления РРР-соединения, вносит в процесс пере сылки пакета некую задержку, которая называется задержкой установления соеди нения (connection establishment delay). Ее длительность зависит от типа создавае мого соединения (физического или логического). Например, задержка установле ния соединения для аналоговых телефонных линий или Х.25 варьируется в диапа зоне от 10 до 20 секунд и более, а для линий ISDN (Integrated Services Digital Network) не превышает 3-5 секунд.
При использовании приложений, доступных через соединения по требованию, сле дует учитывать задержку установления соединения и принять во внимание два фактора, Х Сколько времени приложение ждет создания сетевого соединения (этот пара метр также называется таймаутом приложения). Если таймаут приложения дли тельнее задержки установления соединения, тогда это приложение при неудач ной попытке соединения будет сообщать пользователю об ошибке.
Х Сколько раз приложение пытается установить сетевое соединение. При первой попытке сетевой трафик пересылается маршрутизатору с поддержкой соедине ний по требованию (demand-dial router), который инициирует процесс установ ления соединения. Поскольку размер буфера на маршрутизаторе не бесконечен, а процесс установления соединения занимает определенное время, продолжаю щие поступать пакеты, которые надо переслать по затребованному соединению, могут перезаписать первоначальный пакет запроса приложения на подключение В русской версии Windows 2000 Server.ITOT интерфейс называется интерфейсом вызова по требованию, а соответствующий вид маршрутизации Ч маршрутизацией вызова по требованию. Ч Прим. перев.
Маршрутизация с соединением по требованию ГЛАВА к какому-либо ресурсу. Поэтому у приложения, предпринимающего несколько попыток установить соединение, больше шансов переслать пакет запроса на под ключение, как только соединение будет установлено.
Приложения, в которых предусмотрены длительные таймауты или несколько по пыток соединения, скорее всего успешно дождутся установления связи. Интерак тивные приложения вроде Web-браузеров и Telnet могут сообщить о неудаче при первом соединении. Но, когда пользователь повторит попытку, такое приложение успешно соединится с нужным ресурсом, так как соединение по требованию было создано еще при первой попытке подключения.
После установления связи пакеты пересылаются по соединению, созданному по требованию. Поскольку стоимость таких соединений, как правило, определяется временем их использования, после простоя в течение заданного времени связь раз рывается. Соединения но требованию позволяют задействовать более дешеиые WAN-каналы удаленного доступа и платить за них, только когда они реально ис пользуются.
Маршрутизация с соединением по требованию и удаленный доступ Маршрутизация с соединением по требованию Ч не то же самое, что удаленный доступ;
в первом случае происходит соединение между сетями, во втором Ч под ключение к сети одного пользователя. Однако и обоих случаях для согласования параметров соединения, аутентификации и инкапсуляции данных, передаваемых по соединению, применяется РРР. Служба маршрутизации и удаленного доступа Windows 2000 позволяет раздельно разрешать соединения по требованию и удален ного доступа, но при этом они используют одни и те же:
Х параметры в пользовательских учетных записях;
Х настройки безопасности, в том числе шифрование и протоколы аутентификации;
Х политики удаленного доступа;
Х службы аутентификации Ч Windows или RADIUS (Remote Authentication D i a l In User Service);
Х параметры выделения IP- и IPX-адресов;
Х средства РРР, например МРРС (Microsoft Point-to-Point Compression), Multilink и ВАР (Bandwidth Allocation Protocol);
Х средства диагностики и устранения неполадок, включая протоколирование со бытий, трассировку и средства учета службы аутентификации Windows или RADIUS.
Типы соединений по требованию Соединения но требованию различаются по следующим характеристикам:
Х по подключению Ч постоянному или устанавливаемому по требованию;
по инициации Ч только одной или любой из сторон.
Х Соответствующий выбор влияет на конфигурацию интерфейса соединения (вы:ю ва) по требованию.
Маршрутизация 180 ЧАСТЬ Постоянные и устанавливаемые по требованию подключения Устанавливаемые по требованию подключения применяются в тех случаях, когда решающим является фактор стоимости использования коммуникационного кана ла. Например, междугородные вызовы по аналоговым телефонным линиям опла чиваются поминутно. При вызове по требованию соединение создается только при пересылке трафика и закрывается по истечении определенного времени простоя.
Функцию отключения при простое можно настроить как на вызывающем (calling router), так и на отвечающем маршрутизаторе (answering router).
Х Для настройки отключения при простое на вызывающем маршрутизаторе (ини циирующем соединение) установите время простоя до разъединения па вкладке Options (Параметры) окна свойств интерфейса подключения по требованию.
Х Для настройки отключения при простое на отвечающем маршрутизаторе (при нимающем запрос на соединение) установите время простоя до разъединения на вкладке Dial-In Constraints (Ограничения по входящим звонкам) окна свойств профиля коммутируемых соединений для политики удаленного досту па, используемой нужным интерфейсом соединения по требованию.
Постоянные подключения базируются на WAN-технологиях, за пользование кото рыми взимается фиксированная плата, и соединение может быть активным круг лосуточно. Примеры постоянных подключений на основе таких WAN-техноло гий Ч местная телефонная связь, выделенные аналоговые линии и ISDN. При раз рыве постоянного подключения вызывающий маршрутизатор пытается немедлен но восстановить его.
Параметры постоянных подключений следует настроить как на вызывающем, так и на отвечающем маршрутизаторе.
^ Чтобы настроить параметры постоянного подключения на вызывающем маршрутизаторе:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) укажите папку Routing Interfaces (Интерфейсы маршрутизации), щелкните правой кнопкой мыши нужный интерфейс соединения по требованию и выбе рите команду Properties (Свойства).
2. На вкладке Options (Параметры) выберите переключатель Persistent connection (Постоянное подключение).
^ Чтобы настроить параметры постоянного подключения на отвечающем маршрутизаторе:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) укажите папку Remote Access Policies (Политика удаленного доступа), щелк ните правой кнопкой мыши имя политики удаленного доступа, используемой соответствующим интерфейсом соединения по требованию, и выберите коман ду Properties (Свойства).
2. Щелкните кнопку Edit profile (Изменить профиль).
3. На вкладке Dial-in Constraints (Ограничения по входящим звонкам) сбросьте флажок Disconnect if idle for (Разъединение при простое более).
Параметры подключения должны быть настроены и на вызывающем, и на отвеча ющем маршрутизаторе. Если вызывающий маршрутизатор настроен на постоянное ГЛАВА 6 Маршрутизация с соединением по требованию подключение, а отвечающий Ч па разъединение при простое, последний будет раз рывать связь по истечении определенного времени в простое. Тогда вызывающему маршрутизатору придется восстанавливать подключение, что будет создавать нау зу в пересылке пакетов, равную задержке установления соединения.
Соединения, инициируемые только одной или любой из сторон При использовании соединений, инициируемых любой из сторон (two-way initiated connections), любой маршрутизатор может выступать в роли отвечающего или иы зывающего Ч в зависимости от того, какой из них инициирует соединение. Оба маршрутизатора нужно сконфигурировать как на инициацию, так и на прием зап роса на соединение. Такие соединения применяются, когда их создания может по требовать трафик, поступающий на любой и:? маршрутизаторов. Для поддержки соединений по требованию, инициируемых любой из сторон, необходимы следую щие условия:
Х оба маршрутизатора настроены и как LAN-, и как WAN-маршрутизаторы;
Х на оба маршрутизатора добавлены пользовательские учетные записи, чтобы от вечающий маршрутизатор мог проверять удостоверения (учетные данные) вы зывающего маршрутизатора;
Х на обоих маршрутизаторах настроены интерфейсы соединения по требованию, имена которых совпадают с тем, что указано в учетной записи, используемой текущим вызывающим маршрутизатором. При этом сконфигурированы и такие параметры, как телефонный номер отвечающего маршрутизатора и удостовере ния для аутентификации вызывающего маршрутизатора;
Х на обоих маршрутизаторах определены статические маршруты.
Чтобы маршрутизация с соединением по требованию любой из сторон работала корректно, имя пользователя вызывающего маршрутизатора должно совпадать с именем интерфейса соединения по требованию на другой стороне соединения. При мер такой конфигурации показан в таблице 6-1.
Таблица 6-1. Пример конфигурации соединения, инициируемого любой из сторон Имя интерфейса Имя пользовательской Маршрутизатор соединения гнмребованин) учетной записи CorpHub Маршрутизатор центрального офиса New York Router NewYorkRouter Маршрутизатор филиала CorpHub При использовании соединений, инициируемых только одной стороной, один из маршрутизаторов всегда отвечающий, а другой Ч всегда вызывающий. В этом слу чае настройка маршрутизаторов упрощается, так как пользовательские учетные за писи, интерфейсы соединений по требованию и статические IP-маршруты не обя зательно полностью конфигурировать на обеих сторонах соединения. Вместо нл строики интерфейса соединения по требованию и статических маршрутов на отве чающем маршрутизаторе достаточно указать статические маршруты в параметрах вхо дящих вызовов в пользовательской учетной записи вызывающего маршрутизатора.
При создании соединения статические маршруты, определенные в пользовательс кой учетной записи вызывающего маршрутизатора, добавляются в таблицу 1Р-мар Маршрутизация 182 ЧАСТЬ шрутшации на отвечающем маршрутизаторе. Если новые статические маршруты распространяются с помощью протоколов маршрутизации, тогда возникает задер жка между моментом создания соединения и тем моментом, когда всем маршрути заторам в интрасети отвечающего маршрутизатора становится известно о новом маршруте. Следовательно, хосты в интрасети вызывающего маршрутизатора начи нают принимать трафик от хостов в интрасети отвечающего маршрутизатора не сразу, а тоже с некоторой задержкой.
Если отвечающий маршрутизатор находится в домене Windows 2000 смешанного режима или в домене Windows NT 4.0, статические маршруты, определенные в пользовательской учетной записи, недоступны. Тогда для поддержки соединений по требованию, инициируемых только одной из сторон, необходимы следующие условия:
Х оба маршрутизатора настроены и как LAN-, и как WAN-маршрутизаторы;
Х создана пользовательская учетная запись вызывающего маршрутизатора, позво ляющая проверять его удостоверения защиты отвечающим маршрутизатором;
Х интерфейс соединения по требованию па вызывающем маршрутизаторе скон фигурирован с удостоверениями пользователя соответствующей учетной запи си, а аналогичный интерфейс на отвечающем маршрутизаторе имеет то же имя, что и пользовательская учетная запись, применяемая вызывающим маршрути затором. Интерфейс соединения по требованию на отвечающем маршрутизато ре для исходящих вызовов не используется, поэтому в его свойствах не требу ется указывать ни телефонный номер вызывающего маршрутизатора, ни удос товерения соответствующего пользователя.
Компоненты поддержки маршрутизации с соединением по требованию Основными компонентами являются вызывающий и отвечающий маршрутизаторы, а также несущая среда, по которой устанавливается соединение между этими мар шрутизаторами (рис. 6-1).
Интрасеть маршрутизатор Несущая среда соединения Вызывающий маршрутизатор Интрасеть Рис. 6-1. Компоненты поддержки маршрутизации с соединением по требованию Вызывающий маршрутизатор Вызывающий маршрутизатор инициирует соединение. Он состоит из следующих элементов.
Маршрутизация с соединением по требованию ГЛАВА Х Служба маршрутизации и удаленного доступа. Эта служба должна быть на строена как LAN- и WAN-маршрутизатор, а также сконфигурирована на исполь зование пула IP-адресов (DHCP- или статического пула) и методов аутентифи кации.
Х Порт. Логический или физический коммуникационный канал, поддержипаю щий одно РРР-соединение. Физические порты соответствуют аппаратным сред ствам, установленным на вызывающем маршрутизаторе. VPN-порты являются логическими.
Х Интерфейс соединения по требованию. В данном случае этот интерфейс пред ставляет РРР-соединение и содержит такую конфигурационную информацию, как используемый порт, адрес, применяемый при создании соединения (напри мер, телефонный номер), удостоверения, методы аутентификации и шифрования.
Х Маршрут. IP- или IPX-маршрут и таблице маршрутизации на вызывающем маршрутизаторе, настроенный на пересылку трафика через интерфейс соедине ния по требованию.
Отвечающий маршрутизатор Отвечающий маршрутизатор принимает запрос на соединение от вызывающего маршрутизатора и состоит из следующих элементов.
Х Служба маршрутизации и удаленного доступа. Эта служба должна быть на строена как LAN- и WAN-маршрутизатор, а также сконфигурирована на исполь зование пула IP-адресов (DHCP- или статического пула) и на аутентификацию пользователя.
Х Порт. Логический или физический коммуникационный канал, поддерживаю щий одно РРР-соединение. Физические порты соответствуют аппаратным сред ствам, установленным на вызывающем маршрутизаторе. VPN-порты являются логическими.
Х Пользовательская учетная запись. Для аутентификации вызывающего марш рутизатора его учетные данные должны соответствовать параметрам, определен ным в пользовательской учетной записи. Эта учетная запись должна быть либо локальной на вызывающем маршрутизаторе, либо доступной через службу,ia [циты Windows 2000. Если отвечающий маршрутизатор настроен на аутентифи кацию через RADIUS, тогда серверу RADIUS нужно обеспечить доступ к поль зовательской учетной записи вызывающего маршрутизатора.
Пользовательская учетная запись требует следующей настройки.
Х На вкладке Dial-in (Входящие звонки) выберите вариант разрешения на уда ленный доступ либо как Allow access (Разрешить доступ), либо как Control access through Remote Access Policy (Управление на основе политики уда ленного доступа).
Х На вкладке General (Общие) сбросьте флажок User must change password at next logon (Потребовать смену пароля при следующем входе в систему) и установите флажок Password never expires (Срок действия пароля не огра ничен).
В случае соединения, инициируемого только одной из сторон, сконфигурируй те статические IP-маршруты, которые добавляются в таблицу маршрутизации на отвечающем маршрутизаторе при создании соединения.
Маршрутизация 184 ЧАСТЬ Х Интерфейс соединения по требованию. В случае соединений, инициируемых любой из сторон, этот интерфейс представляет РРР-соединение. В случае соеди нений, инициируемых только одной из сторон и использующих статические маршруты в учетной записи вызывающего маршрутизатора, настройка интер фейса соединения но требованию на отвечающем маршрутизаторе не требуется.
Х Маршрут. В случае соединений, инициируемых любой из сторон, это IP- или IPX-маршрут в таблицах маршрутизации на вызывающем маршрутизаторе, на строенный на пересылку трафика через интерфейс соединения по требованию.
В случае соединений, инициируемых только одной из сторон, Вы можете ука зать статические IP-маршруты и пользовательской учетной записи вызывающе го маршрутизатора.
Х Политика удаленного доступа. Чтобы указать параметры соединения, специ фичные для подключений по требованию, создайте отдельную политику удален ного доступа с установленным атрибутом Windows-Groups (Windows-Groups) для группы, которая объединяет псе пользовательские учетные записи вызыва ющих маршрутизаторов, входящих в мту группу. Для подключений по требова нию отдельная политика удаленного доступа не нужна.
Несущая среда соединения РРР-каналы связи устанавливаются либо по физическим несущим средам, либо через логические туннели. К первым относятся аналоговые телефонные линии и ISDN, а ко вторым Ч протоколы РРТР (Point-to-Point Tunneling Protocol) и L2TP (Layer Two Tunneling Protocol).
Процесс маршрутизации с соединением по требованию В общих чертах этот процесс проходит следующим образом (при условии, что и вызывающий, и отвечающий марш руги заторы работают под управлением Win dows 2000).
1. Получив пакет, вызывающий маршрутизатор отыскивает оптимальный маршрут для пересылки этого пакета.
2. Если в оптимальном маршруте указан интерфейс соединения по требованию, проверяется состояние этого интерфейса.
Если его состояние Ч подключен, пакет пересылается но данному интерфей су с применением фильтров, определенных для интерфейса.
Если же его состояние Ч лотключен, тогда компонент, отвечающий за пересыл ку данных по IP или IPX, вызывает Dynamic Interface Manager (диспетчер ди намических интерфейсов) и указывает ему активизировать заданный в маршру те интерфейс соединения по требованию.
3. Диспетчер динамических интерфейсов проверяет расписание исходящих вызо вов (dial-out hours) и фильтры, определенные для этого интерфейса. Если рас писание или фильтры запрещают инициацию соединения по требованию, попыт ка соединения заканчивается неудачей, причина которой сообщается через па раметр Unreachability reason (Причина недостижимости) этого интерфейса.
Маршрутизация с соединением по требованию ГЛАВА Подробнее о причинах недостижимости см. раздел Средства диагностики да лее в этой главе.
4, Если соединение разрешается, диспетчер динамических интерфейсов считывает конфигурационную информацию данного интерфейса соединения по требова нию из файла %5i/.semfioot% \Systein32\Ras\Router.pbk.
5. Иеходя из порта, указанного в конфигурации интерфейса, устанавливается фи зическое или логическое соединение со второй стороной.
В конфигурациях с прямым подключением но последовательному или парал лельному интерфейсу телефонный номер, естественно, не указывается. В :ггом случае между двумя компьютерами устанавливается физическое соединение с использованием их последовательных или параллельных портов.
Для модемов или ISDN набирается указанный телефонный помер с применени ем заданного порта. Если этот порт недоступен, используется другой порт того же типа. Если таких портов нет, попытка соединения заканчивается неудачей и сообщается о ее причине.
В случае VPN-соединений используется заданный IP-адрес или хост-имя и со здается либо РРТР-туннель (для РРТР-соединений), либо сопоставление Оезо наепости IPSee и Е2ТР-тунпель (для соединений L2TP поверх IPSec).
G. Как только физическое или логическое соединение установлено, с конечной точкой согласуются параметры РРР-соединения. Ниже кратко описывается специфика РРР-соединениЙ при использовании интерфейсов соединении по требованию.
Х Отвечающий маршрутизатор назначает IP-адрес вызывающему, а тот - от вечающему. Эти IP-адреса должны принадлежать разным подсетям, чтобы маршрутизаторы случайно не назначили друг другу одинаковые IP-адреса.
Х Если вызывающий маршрутизатор сконфигурирован на IP-адреса DNS- или WINS-серверов, тогда их IP-адреса не запрашиваются (в ином случае Ч зап рашиваются). Отвечающий маршрутизатор никогда не запрашивает IP-адре са DNS- или WINS-серве-ров от вызывающего маршрутизатора, Х В отличие от клиентов удаленного доступа Windows 2000 вызывающий мар шрутизатор не создает маршрут но умолчанию и не посылает отвечающему сообщение DHCPInform. По умолчанию вызывающий маршрутизатор не ре гистрируется на DNS- или WINS-серверах отвечающего маршрутизатора, если только параметру ReglsterRoutersWithNameServers в разделе реестра HKEY_LOCAL_MACHTNE\System\CurrentControlSet\Services\Rasraan\ PPP\ControlProtocols\BuiltIn не присвоено значение 1.
7. Удостоверения вызывающего маршрутизатора посылаются на этапе аутентифи кации после согласования РРР-протокола аутентификации.
На основе этих удостоверений отвечающий маршрутизатор делает одно из двух:
Х проверяет соответствующую базу данных учетных записей и локальную по литику удаленного доступа. Если все в порядке, соединение принимается;
Х посылает атрибуты соединения сконфигурированному серверу RADIUS.
Если этот сервер представляет собой компьютер под управлением Win dows 2000 Server и Internet Authentication Service (IAS) (Служба проверки Маршрутизация 186 ЧАСТЬ подлинности в Интернете), отвечающий маршрутизатор проверяет соответ ствующую базу данных учетных записей и политику удаленного доступа.
Если все в порядке, соединение принимается.
8. Если в пользовательской учетной записи вызывающего маршрутизатора опре делены статические маршруты, они заносятся в таблицу IP-маршрутизации от вечающего маршрутизатора.
9. Отвечающий маршрутизатор ищет в файле %5z/sem-/?ottf%\System32\Ras\Rou ter.pbk имя интерфейса соединения по требованию, совпадающее с именем пользователя в удостоверениях вызывающего маршрутизатора.
Если такое совпадение обнаруживается, данный интерфейс переводится в под ключенное состояние.
10. Как только создание РРР-соединения завершается, вызывающий маршрутиза тор начинает пересылать пакеты, применяя к ним фильтры, определенные для данного интерфейса.
Если имя пользователя в удостоверениях вызывающего маршрутизатора не совпа дает с именем интерфейса соединения по требованию, этот маршрутизатор счита ется клиентом удаленного доступа. А если в пользовательской учетной записи не определены статические маршруты, возможны проблемы с маршрутизацией.
Так, если имя пользователя в удостоверениях вызывающего маршрутизатора lie соответствует имени интерфейса соединения по требованию на отвечающем марш рутизаторе, вызывающий рассматривается не как маршрутизатор, а как клиент уда ленного доступа. Пакеты, поступающие из интрасети вызывающего маршрутизато ра, пересылаются по соединению, а затем перенаправляются отвечающим маршру тизатором.
Однако, когда отвечающий маршрутизатор принимает ответные пакеты, адресован ные интрасети вызывающего маршрутизатора, маршруты к этой интрасети настра иваются на использование интерфейса соединения по требованию. А поскольку этот интерфейс находится в отключенном состоянии, отвечающий маршрутизатор пытается установить соответствующее соединение с вызывающим маршрутизато ром. Если имеется еще один порт того же типа, создается второе соединение по тре бованию. В ином случае пакеты просто отбрасываются и сообщается о причине не до<тижимости. Так что дело кончится тем, что либо будет создано два соединения по требованию, либо ответные пакеты будут отбрасываться.
VPN-соединение, устанавливаемое между маршрутизаторами по требованию VPN-соединение между маршрутизаторами обычно используется для взаимного соединения удаленных офисов, если их маршрутизаторы подключены к Интернету по постоянным WAN-каналам типа Т1 или Frame Relay. В такой конфигурации VPN-соединение является постоянным и доступным круглосуточно. Однако, если нужного WAN-канала у Вас нет или если его использование нецелесообразно, Вы можете сконфигурировать VPN-соединение, устанавливаемое между маршрутиза торами по требованию (рис. 6-2).
Маршрутизация с соединением по требованию ГЛАВА Нктрасеть Туннель J Соединение удаленного доступа Рис. 6-2. VPN-соединение, устанавливаемое между маршрутизаторами по требованию Такое VPN-соединение требует двух интерфейсов соединения по требованию, ко торые настраиваются па VPN-клиенте (вызывающем маршрутизаторе).
1. Интерфейс для установления связи с местным провайдером услуг Интернета (1SP).
2. Интерфейс для VPN-соединения между маршрутизаторами.
VPN-соединение между маршрутизаторами устанавливается автоматически, когда Вы направляете трафик в определенный участок межсетевой среды. Например, если появляется пакет, который нужно перенаправить в филиал, маршрутизатор филиа ла дозванивается до локального TSP, а затем создает VPN-соединение с маршрути затором центрального офиса, подключенного к Интернету.
Примечание Здесь предполагается, что маршрутизатор центрального офиса (отве чающий маршрутизатор) подключен к Интернету по постоянному WAN-кашиту, хотя оба маршрутизатора могут подключаться к Интернету через своих ISP по ком мутируемым WAN-каналам удаленного доступа. Однако это возможно, только если ISP предоставляет заказчикам услуги маршрутизации с соединением по требова нию;
в этом случае ISP, получив IP-пакет, который нужно доставить заказчику, вызывает его маршрутизатор. Но лишь очень немногие 1SP предоставляют такие услуги.
Чтобы настроить на маршрутизаторе интрасети филиала VPN-соединение, устанав ливаемое между маршрутизаторами по требованию, проделайте следующие операции.
Х Создайте интерфейс соединения по требованию для подключения к Интернету через подходящее устройство (модем или ISDN-устройство) и укажите в '.то свойствах телефонный номер местного ISP, имя и пароль пользователя для дос тупа к Интернету.
Х Создайте интерфейс соединения по требованию для VPN-соединения с марш рутизатором центрального офиса и укажите в его свойствах VPN-порт (РРТР или L2TP-nopT), IP-адрес Интернет-интерфейса маршрутизатора центрального Маршрутизация 188 ЧАСТЬ офиса, а также имя и пароль пользователя, которые будут проверяться VPN-сер вером. Имя пользователя должно совпадать с именем интерфейса соединения по требованию на маршрутизаторе центрального офиса.
Х Создайте статический маршрут к хосту с IP-адресом Интернет-интерфейса мар шрутизатора центрального офиса. Этот маршрут должен использовать интер фейс соединения с ISP по требованию.
Х Создайте статический маршрут (или маршруты) к IP-сети корпоративной инт расети. Этот маршрут должен использовать интерфейс VPN-соединения по тре бованию.
Чтобы настроить на маршрутизаторе центрального офиса VPN-соединение, уста навливаемое между маршрутизаторами по требованию, проделайте следующие опе рации.
Х Создайте интерфейс соединения по требованию для VPN-соединения с марш рутизатором филиала и укажите в его свойствах VPN-порт (РРТР- или L2TP порт). Имя этого интерфейса должно совпадать с именем пользователя в удос товерениях зашиты, применяемых маршрутизатором филиала при создании VPN-соединения.
Х Создайте статический маршрут (или маршруты) к IP-сетям интрасетей филиа лов, Этот маршрут должен использовать интерфейс VPN-соединения по требо ванию.
VPN-соединение между маршрутизаторами инициируется маршрутизатором фили ала автоматически по следующей процедуре.
1. Пакеты, передаваемые в корпоративную сеть с компьютера, который располо жен в интрасети филиала, пересылаются маршрутизатору центрального офиса.
2. Маршрутизатор филиала проверяет свою таблицу маршрутизации и отыскива ет маршрут к корпоративной сети, в котором используется интерфейс VPN-со единения по требованию.
3. Маршрутизатор филиала проверяет состояние интерфейса VPN-соединения по требованию и обнаруживает, что он находится в отключенном состоянии.
4. Маршрутизатор филиала считывает информацию о конфигурации интерфейса VPN-соединения но требованию.
5. На основе этой информации маршрутизатор филиала пытается инициализиро вать VPN-соединение маршрутизатор-маршрутизатор, используя IP-адрес Интернет-интерфейса маршрутизатора центрального офиса.
6. Чтобы установить VPN-соединение, маршрутизатор центрального офиса, выс тупающий в роли VPN-сервера, должен получить либо TCP-пакет запроса на установление VPN-соединения (через РРТР), либо эквивалентный UDP-пакет (через L2TP поверх IPSec). Поэтому следующий шаг Ч создание такого пакета.
7. Для пересылки пакета запроса на установление VPN-соединения маршрутиза тору центрального офиса маршрутизатор филиала проверяет свою таблицу мар шрутизации и отыскивает маршрут к хосту, использующий интерфейс соедине ния с ISP по требованию.
8. Маршрутизатор филиала проверяет состояние этого интерфейса и обнаружива ет, что он находится в отключенном состоянии.
Маршрутизация с соединением по требованию ГЛАВА 9. Маршрутизатор филиала считывает информацию о конфигурации интерфейса соединения с ISP по требованию.
10. На основе этой информации маршрутизатор филиала использует свой мсдем или ISDN-устройство, чтобы подключиться к местному ISP.
11. Как только связь с Г5Р установлена, пакет запроса на установление VPN-сосди нсния посылается маршрутизатору центрального офиса.
12. Маршрутизаторы центрального офиса и филиала согласовывают параметры VPN-соединения. В ходе этого согласования маршрутизатор филиала передает свои аутентификационные удостоверения, которые проверяются маршрутизато ром центрального офиса.
13. Маршрутизатор центрального офиса проверяет свои интерфейсы соединений по требованию и находит один из них, чье имя совпадает с именем пользователя, переданным в процессе аутентификации;
после этого он переводит интерфейс в подключенное состояние.
14. Маршрутизатор филиала пересылает пакет по VPN-туннелю, и маршрутизатор центрального офиса перенаправляет его на соответствующий адрес в своей инт расети.
15. Когда адресат в этой интрасети отвечает на пакет, переданный ему пользовате лем из интрассти филиала, ответный пакет пересылается маршрутизатору цент рального офиса.
16. Маршрутизатор центрального офиса проверяет свою таблицу маршрутизации и отыскивает маршрут к сети филиала, использующий интерфейс VPN-соедине ния по требованию.
17. Маршрутизатор центрального офиса проверяет состояние этого интерфейса и обнаруживает, что он находится в подключенном состоянии.
18. Ответный пакет пересылается через Интернет по VPN-соединению.
19. Этот пакет принимается маршрутизатором филиала и пересылается хосту-от правителю.
Тестирование подключений, устанавливаемых по требованию Вы можете проверить правильность работы устанавливаемых по требованию под ключений либо вручную, либо автоматически.
Проверка вручную В этом случае Вы тестируете, возможно ли установление РРР-соединения. Это по зволяет проверить, правильно ли настроены методы аутентификации и шифрова ния, верны ли пользовательские удостоверения и корректен ли адрес, указали ли для интерфейса соединения но требованию.
^ Чтобы вручную подключиться через интерфейс соединения по требованию:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) щелкните папку Routing Interfaces (Интерфейсы маршрутизации), 2. Щелкните правой кнопкой мыши нужный интерфейс соединения по требованию.
3. Выберите команду Connect (Подключить).
Маршрутизация 190 ЧАСТЬ Как только соединение будет установлено, значение в колонке Connection Status (Состояние подключения) сменится с Disconnected (Отключено) на Connected (Подключено).
Если Вам не удается вручную подключиться через интерфейс соединения по тре бованию, см. раздел Выявление и устранение проблем? далее в этой главе, Автоматическая проверка В этом случае Вы тестируете, возможно ли автоматическое установление соедине ния при передаче трафика по данному маршруту. Прежде чем проводить автомати ческую проверку, убедитесь, что на вызывающем и отвечающем маршрутизаторах имеются необходимые статические маршруты.
Перед проверкой также убедитесь, что тестируемый интерфейс соединения по тре бованию находится в отключенном состоянии. Далее сгенерируйте трафик, напра вив его по какому-нибудь адресу, который находится на другой стороне соедине ния, устанавливаемого по требованию. Один из самых простых способов сгенери ровать IP-трафик Ч воспользоваться командой ping или tracert.
В случае ping или tracert первая попытка создать соединение может закончиться неудачей из-за задержки установления соединения. Но первый пакет, отправлен ный через интерфейс соединения по требованию, после некоторой задержки вызо вет его перевод в подключенное состояние, и повторный ввод команды пройдет успешно. Если Вы хотите понаблюдать за процессом установления соединения, вве дите команду ping с ключом -t;
тогда она будет посылать ICMP-сообщения Echo Request (эхо-запросы) вплоть до закрытия соединения.
Если Вам не удается автоматически подключиться через интерфейс соединения по требованию, см. раздел Выявление и устранение проблем далее в этой главе.
Мониторинг подключений по требованию с помощью Rasmon Состояние подключения интерфейса соединения по требованию можно упидеть, щелкнув папку Routing Interfaces (Интерфейсы маршрутизации) в оснастке Rou ting and Remote Access. Однако :-rra оснастка не позволяет получить более деталь ные сведения о работе интерфейса (скорость последовательной передачи, статис тика устройства, статистика соединения, ошибки устройства). Для просмотра ин формации о соединениях по требованию, инициированных маршрутизатором, запустите на этом маршрутизаторе утилиту Rasmon с компакт-диска Ресурсы Microsoft Windows 2000 Server. Эта утилита сообщает только о соединениях по требованию, инициируемых маршрутизатором, который выступает в роли вызыва ющего. Интерфейсы соединений по требованию в подключенном состоянии не по казываются. Данная утилита Rasmon эквивалентна программе Rasmon из состава Windows NT 4.0.
Защита при маршрутизации с соединением по требованию Для защиты соединений, устанавливаемых по требованию, используются те же средства, что и для защиты соединений удаленного доступа, в том числе:
Х разрешение на удаленный доступ;
ГЛАВА 6 Маршрутизация с соединением по требованию Х аутентификация;
Х шифрование;
Х ответный вызов (callback);
Х идентификатор звонящего (caller ID);
Х блокировка учетной записи удаленного доступа.
Подробнее об ответных вызовах, идентификаторе звонящего и блокировке учетной записи удаленного доступа см. главу 7 Сервер удаленного доступа в этой книге и справочную систему Windows 2000 Server.
Разрешение на удаленный доступ Пользовательская учетная запись вызывающего маршрутизатора должна присут ствовать в соответствующей базе данных отвечающего маршрутизатора или серве ра RADIUS (если аутентификация осуществляется через службу RADIUS) и раз решать удаленный доступ к этому маршрутизатору. Такое разрешение может быть предоставлено либо явным образом, в самой учетной записи Ч в параметрах ихо дящих звонков выбран вариант Allow access (Разрешить доступ), Ч либо пеяшю, через политику удаленного доступа Ч в параметрах входящих звонков выбран ва риант Control access through Remote Access Policy (Управление на основе поли гики удаленного доступа), а в политике удаленного доступа активизировано пра вило Grant remote access (Предоставить право удаленного доступа).
Аутентификация Вызывающий маршрутизатор может быть аутентифицирован как на уровне пользо вателя, так и на уровне компьютера, Аутентификачия на уровне пользователя Удостоверения вызывающего маршрутизатора проверяются в процессе установле ния РРР-соедипения. Аутентификация на уровне пользователя осуществляется од ним из следующих методов РРР-аутентификациш Х PAP (Password Authentication Protocol);
Х SPAP (Shiva Password Authentication Protocol);
Х CHAP (Challenge Handshake Authentication Protocol);
Х MS-CHAP vl (Microsoft Challenge Handshake Authentication Protocol версии 1);
Х MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии.2);
Х EAP-MD5 (Extensible Authentication Protocol-Message Digest 5) CHAP;
Х EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).
Все только что перечисленные методы аутентификации, кроме EAP-TLS, требуют, чтобы удостоверения вызывающего маршрутизатора состояли из имени пользова теля, домена и пароля. При всех методах аутентификации, кроме РАР, пароль пере дается по соединению в шифрованном или хэшировашюм виде.
В случае EAP-TLS удостоверения вызывающего маршрутизатора представляют со бой сертификат пользователя, проверяемый отвечающим маршрутизатором. Для выдачи и проверки сертификатов EAP-TLS требует создания инфраструктуры от крытого ключа (Public Key Infrastructure, PKI).
192 ЧАСТЬ 1 Маршрутизация Аутентификация на уровне компьютера Такая аутентификация выполняется в двух случаях (при маршрутизации с соеди нением по требованию).
1. В процессе сопоставления безопасности IPSec для соединений L2TP поверх IPSec Ч аутентификация на уровне компьютера выполняется путем обмена сер тификатами компьютеров (также называемыми машинными сертификатами), 2. При аутентификации на уровне пользователя методом EAP-TLS Ч отвечающий маршрутизатор аутентифицируется на вызывающем маршрутизаторе, посылая ему свой машинный сертификат.
Для выдачи и проверки сертификатов компьютеров нужна инфраструктура PKI.
Односторонняя и взаимная аутентификация Аутентификация при соединении по требованию может быть односторонней или взаимной.
Односторонняя аутентификация При односторонней аутентификации (one-way authentication) вызывающий марш рутизатор аутентифипируется на отвечающем. Протоколы PAP, SPAP, CHAP, MS CHAP vl и EAP-MD5 лишь передают удостоверения вызывающего маршрутизато ра отвечающему. В процессе односторонней аутентификации вызывающий марш рутизатор не получает никаких доказательств подлинности отвечающего маршру тизатора. Так что односторонняя аутентификация не обеспечивает защиту от неав торизованных отвечающих маршрутизаторов или компьютеров, маскирующихся под отвечающие маршрутизаторы.
Взаимная аутентификация При взаимной аутентификации (mutual authentication) вызывающий маршрутиза тор аутентифицируется на отвечающем, а тот Ч на вызывающем. Обе стороны со единения взаимно подтверждают свою идентификацию. Взаимная аутентификация поддерживается MS-CHAP v2 и EAP-TLS.
Если используется MS-CHAP v2, обе стороны соединения передают хэш строки вызова (challenge.string) и пароль. В случае успеха каждая из сторон получает уве ренность в том. что противоположная сторона имеет доступ к паролю учетной за писи.
Если же применяется EAP-TLS, то вызывающий маршрутизатор посылает серти фикат пользователя, проверяемый отвечающим маршрутизатором, а последний по сылает сертификат компьютера, проверяемый вызывающим маршрутизатором.
EAP-TLS Ч самая защищенная форма взаимной аутентификации, но требующая создания инфраструктуры PKI.
Примечание Windows NT 4.0 с Routing and Remote Access Service (RRAS) поддер живает двухстороннюю аутентификацию (two-way authentication). Эта функция на основе методов односторонней аутентификации обеспечивает взаимную аутенти фикацию. Если на интерфейсе соединения по требованию включена двухсторонняя аутентификация, вызывающий маршрутизатор заставляет отвечающий аутентифи цироваться после того, как сам пройдет аутентификацию на отвечающем маршру тизаторе. Вызывающий маршрутизатор под управлением Windows 2000 никогда не Маршрутизация с соединением по требованию ГЛАВА 6 требует аутентификации отвечающего маршрутизатора под упраилением Win dows NT 4.0 и службы RRAS. Но отвечающий маршрутизатор Windows 2000 может аутентифицироваться на вызывающем маршрутизаторе Windows NT 4.0 RRAS, если он того потребует.
Шифрование Для соединений, устанавливаемых по требованию, доступно два вида шифрования:
МРРЕ (Microsoft Point-to-Point Encryption) и IPSec (Internet Protocol Security) (IP-безопасность).
MPPE Все РРР-соединения, в том числе РРТР (но не L2TP), могут использовать МРРЕ (Microsoft Point-to-Point Encryption). МРРЕ основан на алгоритме RSA (Riv,:st Shamir-Adlcman) RC4 и применяется только при аутентификации по EAP-TLS или MS-CHAP (версий 1 и 2).
МРРЕ может оперировать 40-, 56- или 128-битными шифровальными ключами. 40 битный ключ предназначен для обратной совместимости. По умолчанию вызываю щий и отвечающий маршрутизаторы используют самый стойкий ключ. Если отве чающий маршрутизатор требует более стойкий ключ, чем поддерживаемый вызы вающим маршрутизатором, запрос на соединение отклоняется.
IPSec В случае соединений по требованию с применением L2TP поверх IPSec алгоритм шифрования определяется в процессе сопоставления безопасности (security asso ciation, SA). В числе поддерживаемых алгоритмов шифрования:
Х DES с 56-битным ключом;
Х 3DES (Triple DES), который использует три 56-битных ключа и рассчитан на среды, требующие высокой степени защиты.
Исходные шифровальные ключи генерируются в процессе аутентификации по IPSec. Подробнее об IPSec см. главу 8 IP-безопасность в книге Сети TCP/IP* из серии Ресурсы Microsoft Windows 2000 Server;
подробнее о настройке IPSec для соединений L2TP поверх IPSec см. главу 9 Виртуальные частные сети в этой книге.
Настройка фильтрации пакетов в свойствах интерфейса соединения по требованию Фильтры IP- и IPX-пакетов на интерфейсе соединения по требованию можно ис пользовать для ограничения видов трафика, принимаемого и передаваемого интер фейсом. Фильтрация IP- и IPX-пакетов осуществляется, только когда интерфейс соединения по требованию находится в подключенном состоянии.
Фильтрация пакетов особенно полезна в экстрасети Ч части Вашей интрасети, до ступной Вашим бизнес-партнерам через соединения, устанавливаемые по требова нию. Например, когда бизнес-партнер устанавливает соединение по требованию, фильтры пакетов на соответствующем интерфейсе пропускают лишь ТСР/1Р-тра фик, адресованный в определенные сетевые сегменты или направляемый конкрет ным сетевым ресурсам.
Маршрутизация 194 ЧАСТЬ Настройка фильтрации пакетов в профиле политики удаленного доступа В дополнение к фильтрам пакетов на интерфейсах соединений по требованию Вы можете настроить фильтры TCP/IP-пакетов в профиле политики удаленного дос тупа на вызывающих маршрутизаторах. Хотя основное предназначение фильтров TCP/IP-пакетов Ч ограничивать трафик, передаваемый по соединениям удаленно го доступа, эти фильтры можно использовать и при маршрутизации с соединением по требованию. Если на множестве интерфейсов соединений по требованию при меняются одинаковые фильтры и политики удаленного доступа, то - вместо того чтобы настраивать одни и те же фильтры IP-пакетов для каждого интерфейса по отдельности Ч Вы создаете нужный набор фильтров а профиле политики удален ного доступа, и он действует на все соединения, устанавливаемые по требованию.
Создание учетных записей пользователей с помощью Demand-Dial Wizard Когда Вы создаете в оснастке Routing and Remote Access (Маршрутизация и уда ленный доступ) интерфейс соединения по требованию с помощью Demand-Dial Wizard (Мастер интерфейса вызова по требованию), активизация флажка Add a user account so a remote router can dial in (Добавить учетную запись для входя щих звонков удаленного маршрутизатора) на странице Protocols and Security (Протоколы и безопасность) окна этого мастера позволяет создать новую учетную запись, которая будет использоваться вызывающим маршрутизатором. При этом пользовательская учетная запись создается с тем же именем, что и новый интер фейс соединения по требованию;
она помещается в-базу данных учетных записей, используемую Вашим маршрутизатором.
В таблице 6-2 перечислены места, в которых создается эта учетная запись.
Таблица 6-2. Места создания учетных записей мастером интерфейса вызова по требованию Маршрутизатор Место создания учетной записи Автономный (stand-alone) Локальная учетная запись, создаваемая как будто через оснаст ку Local Users and Groups (Локальные пользователи н группы) Контроллер домена Доменная учетная запись, создаваемая как будто через оснаст ку Active Directory Users and Groups (Active Directory - поль зователи и группы) Участник домена Локальная учетная запись, создаваемая как будто через оснаст ку Local Users and Groups В любом случае разрешение на удаленный доступ устанавливается как Allow access (Разрешить доступ) Ч даже несмотря на то что по умолчанию для новой учетной записи, которая создается в домене Windows 2000 основного режима или на авто номном маршрутизаторе, выбирается вариант Control access through Remote Access Policy (Управление на основе политики удаленного доступа). Такое пове дение мастера может привести к некоторой путанице, если Вы управляете досту пом па основе модели административной политики. В этой модели разрешение на удаленный доступ во всех учетных записях по умолчанию устанавливается как Control access through Remote Access Policy, а в политиках удаленного доступа, Маршрутизация с соединением по требованию ГЛАВА применяемых к индивидуальным пользователям, Вы указываете либо Grant remote access (Предоставить право удаленной доступа), либо Deny remote access (Отка зать в праве удаленного доступа).
Учетная запись создается с текущими параметрами паролей по умолчанию и по литиками, действующими в Вашем домене. Убедитесь, что в каждой учетной запи си, используемой вызывающими маршрутизаторами:
Х флажок User must change password at next logon (Потребовать смену пароля при следующем входе в систему) сброшен. В ином случае вручную сбросьте :тот флажок в учетных записях, созданных мастером интерфейса вызова по требова нию. Если Вы этого не сделаете, маршрутизатор с соединением по требованию не сможет подключаться под этой учетной записью. Когда вызывающий марш рутизатор приступит к передаче своих удостоверений, появится приглашение сменить пароль. А поскольку инициация соединения по требованию Ч неинте рактивный процесс, в котором пользователь не участвует, вызывающий маршру тизатор не сможет сменить пароль, и попытка соединения завершится неудачей;
Х флажок Password never expires (Срок действия пароля не ограничен) установ лен. Процесс установления соединения по требованию проходит без участия пользователя. Если срок действия пароля истечет, на вызывающем маршрути заторе появится приглашение сменить пароль, и попытка соединения заверн. ит ся неудачей.
Блокировка соединений по требованию Хотя маршрутизация с соединением по требованию Ч более экономичное решение, чем выделенный WAN-канал, каждое подключение, устанавливаемое маршрутиза тором с соединением по требованию, отнюдь не бесплатно. Так, стоимость соедине ний по коммутируемым аналоговым линиям зависит от времени их использования и дальности вызова. А в случае ISDN-линий с Вас могут взимать еще и плату за каждый вызов.
Чтобы свести к минимуму затраты на соединения, устанавливаемые по требованию, маршрутизатор Windows 2000 позволяет создавать фильтры вызовов но требованию (demand-dial filters) и расписание исходящих вызовов (dial-out hours).
Фильтры вызовов по требованию Такие фильтры позволяют указать, для каких типов TCP/IP-трафика можно ини циировать соединения. Например, если Бы хотите, чтобы инициация соединений по требованию была возможна только при появлении трафика, связанного с Web, настройте фильтры вызовов но требованию, разрешающие инициировать соедине ние лишь для трафика, адресованного TCP-порту 80. Фильтры вызовов по требо ванию годятся только для тех интерфейсов соединений по требованию, которые находятся в отключенном состоянии.
^ Чтобы установить фильтры вызовов для интерфейса соединения по требованию:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) выберите панку Routing Interfaces (Интерфейсы маршрутизации) и щелкните правой кнопкой мыши нужный интерфейс соединения по требованию.
Маршрутизация 196 ЧАСТЬ 2. Выберите команду Set IP Demand-Dial Filters (Установить IP-фильтры вызова но требованию).
3. Щелкните кнопку Add (Добавить), настройте параметры фильтра и щелкните кнопку ОК.
Л. Выберите нужное действие фильтра, щелкнув либо Only for the following traffic (Только для перечисленных потоков данных), чтобы разрешить инициацию со единения при наличии трафика, удовлетворяющего критериям фильтров, либо For all traffic except (Для всех потоков данных, кроме перечисленных), чтобы запретить инициацию соединения при наличии трафика, удовлетворяющего критериям фильтров.
Примечание Фильтры вызовов по требованию отличаются от фильтров IP-пакетов.
Первые определяют, какой трафик может инициировать соединение по требованию, а вторые Ч какой трафик может приниматься и передаваться через интерфейс со единения по требованию (после его подключения). Таким образом, фильтры IP-па кетов применяются уже после установления соединения. Поэтому при наличии выходных фильтров IP-пакетов, запрещающих передачу какого-либо ТСР/ТР-тра фика через интерфейс соединения по требованию, рекомендуется сконфигуриро вать эти же фильтры и как фильтры вызовов. Тогда для трафика, который отбрасы вается выходными фильтрами IP-пакетов, соединение по требованию просто не ус танавливается.
Расписание исходящих вызовов Такое расписание позволяет указывать, в какое время суток и в какие дни недели соединение по требованию разрешается или запрещается. Например, если данный интерфейс соединения по требованию предназначен для резервного копирования данных в будние дни с 00:00 до 4:00, тогда Вы настраиваете расписание так, чтобы оно разрешало соединения по этому интерфейсу только в будни и только в эти часы.
^ Чтобы настроить расписание исходящих вызовов для интерфейса соединения по требованию:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) выберите папку Routing Interfaces (Интерфейсы маршрутизации) и щелкните правой кнопкой мыши нужный интерфейс соединения по требованию.
2. Выберите команду Dial-out Hours (Расписание исходящих вызовов).
3. В диалоговом окне Dial-out Hours (Расписание исходящих вызовов) выберите дни недели и часы работы, в которые соединение либо разрешается, либо запре щается, и щелкните кнопку ОК.
По умолчанию соединения разрешены в любое время и любые дни.
Когда наступает время, в течение которого соединения по требованию запрещены, интерфейс соединения по требованию, находящийся в подключенном состоянии, автоматически не отключается. Расписание исходящих вызовов действует только на интерфейсы соединений по требованию, находящиеся в отключенном состоянии.
Маршрутизация с соединением по требованию ГЛАВА б Маршрутизация с соединением по требованию и протоколы маршрутизации Метол обновления таблиц маршрутизации на маршрутизаторах с поддержкою со единений но требованию зависит от типа подключения: для подключений, устанав ливаемых по требованию, используйте статическую маршрутизацию, а для посто янных подключений Ч динамическую (на основе протоколов маршрутизации), Подключения, устанавливаемые по требованию Применение статической маршрутизации для соединений на основе подключений, устанавливаемых по требованию, рекомендуется потому, что протоколы маршрути зации, поставляемые со службой маршрутизации и удаленного доступа в Win dows 2000 (RIP for IP, OSPF, RIP for IPX, SAP for IPX), периодически генерирую!
оповещения, которые заставят либо устанавливать соединение при каждом опове щении, либо постоянно поддерживать его, если интервал оповещения меньше вре мени простоя до разъединения. Поскольку плата за пользование коммутируемыми WAN-каналами, как правило, зависит от времени и дальности вызовов, работать с протоколами маршрутизации на подключениях, устанавливаемых по требованию, нежелательно.
Статические маршруты, применяемые при маршрутизации с с'оединением по тре бованию, конфигурируются либо вручную, либо автоматически Ч с использовани ем автостатических обновлений (см. раздел Автостатические обновления далее в этой главе).
Создание статических маршрутов вручную Эта операция заключается в том. что Вы создаете с помощью оснастки Routing,md Remote Access статические маршруты, доступные через интерфейс соединения по требованию. Для TCP/IP-трафика нужно создать статические IP-маршруты.
^ Чтобы добавить статический IP-маршрут, использующий интерфейс соединения по требованию:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация) и щелкните правой кнопкой мыши папку Static routes (Статические маршруты).
2. Выберите команду New Static Route (Новый статический маршрут).
3. В списке Interface (Интерфейс) выберите нужный интерфейс соединения по требованию, 4. Введите подходящие значения в поля Destination (Назначение), Network mask (Маска подсети) и Metric (Метрика).
5. Если Вы не хотите, чтобы трафик, передаваемый по этому статическому марш руту, заставлял интерфейс инициировать подключение по требованию, сбросьте флажок Use this route to initiate demand-dial connections (Использовать этот маршрут для подключений по требованию).
198 ЧАСТЬ 1 Маршрутизация Примечание При выборе интерфейса соединения по требованию поле Gateway (Шлюз) становится недоступным. Через такой интерфейс создается соединение типа точка-точка, и пересылочный IP-адрес, указываемый в поле Gateway, для пересылки IP-трафика не требуется.
Для IPX-трафика следует добавить статические IPX-маршруты и статические службы SAP.
Использование IP-маршрута по умолчанию для подключения, устанавливаемого по требованию Будьте осторожны при использовании IP-маршрута по умолчанию (0.0.0.0/0). Хотя он упрощает настройку статической маршрутизации через подключения, устанав ливаемые по требованию, Вы должны тщательно взвесить все последствия его при менения. IP-маршрут по умолчанию обеспечивает эффективное суммирование всех IP-адресов назначения и используется для пересылки IP-пакетов в отсутствие дру гих, более специфических маршрутов.
Использование маршрута по умолчанию подразумевает, что все адреса назначения находятся в направлении этою маршрута. При подключении к Интернету через интерфейс соединения по требованию это допущение справедливо. Но, если Вы используете этот интерфейс для подключения филиала к центральному офису в рамках частной интрасети, применение маршрута по умолчанию может создать про блему.
Если IP-маршрут но умолчанию настроен па интерфейс соединения по требованию, то подключение по требованию может быть инициировано для такого 1Р-трафика, адресат которого на самом деле недостижим. Например, если какая-либо организа ция использует частную IP-сеть 10.0.0.0/8, а филиал Ч 10.1.1.0/24, статическая мар шрутизация может быть сконфигурирована на маршрутизаторе филиала следую щими способамтт.
Х Определен статический маршрут к сети 10.0.0.0/8 с использованием интерфей са соединения по требованию.
Если кто-нибудь в филиале попытается передать данные на IP-адрес назначе ния 192.168.0.1, маршрутизатор филиала не найдет подходящего маршрута в своей таблице маршрутизации. В результате пакет будет отброшен и хост-отпра витель получит ICMP-сообщение Destination Unreachable/Host Unrcachable.
Х Определен статический маршрут 0.0.0.0/0 с использованием интерфейса соеди нения по требованию.
Если кто-нибудь в филиале попытается передать данные на IP-адрес назначе ния 192.168.0.1. маршрутизатор филиала инициирует соединение и перешлет через него пакет маршрутизатору центрального офиса. Однако ни на маршру тизаторе центрального офиса, пи на каком-либо другом маршрутизаторе в кор поративной интрасети нет подходящего маршрута для данного пакета. В резуль тате пакет будет отброшен и хост-отправитель получит ICMP-сообщение Des tination Unreachable/Host Unreachable.
Таким образом, использование маршрута по умолчанию в интрасети филиала мо жет принести к нежелательным результатам при генерации трафика к недостижи мому адресату.
ГЛАВА б Маршрутизация с соединением по требованию Автостатические обновления Хотя создание небольшого числа статических маршрутов вручную в некоторых слу чаях вполне оправданно, при наличии множества маршрутов или при их частом изменении настройка вручную неприемлема. Для автоматического добавления мар шрутов и служб в таблицы маршрутизации служба маршрутизации и удаленного доступа поддерживает автостатические обновления через интерфейсы соединений по требованию.
При автоматическом обновлении (autostatic update) от маршрутизатора на другой стороне соединения запрашиваются вес известные маршруты или службы, которые затем вносятся в таблицы маршрутизации запрашивающего маршрутизатора. Ав тостатическое обновление Ч это разовая односторонняя передача информации о маршрутах. После того как информация о маршрутах передана, маршрутизаторы на обеих сторонах соединения больше не объявляют ее, даже если соединение1 не разрывается, Примечание Термин лавтостатический подразумевает автоматическое добавле ние маршрутов в таблицу маршрутизации как статических. Но само автостатичес кое обновление не осуществляется автоматически при создании соединения по требованию.
Чтобы задействовать автостатические обновления для IP-маршрутов, добавьте ин терфейс соединения по требованию к протоколу маршрутизации RIP. По умолча нию интерфейсы соединений по требованию функционируют для RIP в режиме Autostatic update mode (Режим автостатического обновления), а в качестве прото кола исходящих пакетов выбирается RIP version 2 multicast (Для RIP версии 2, многоадресная). Эти настройки по умолчанию рассчитаны на установление соеди нения с другим маршрутизатором Windows 2000.
Если же Вы хотите использовать автостатические обновления для IPX-маршрутов и SAP-служб, добавьте интерфейс соединения по требованию к протоколам марш рутизации RIP for IPX и SAP for IPX. По умолчанию интерфейсы соединений по требованию функционируют для RIP for IPX и SAP for IPX в режиме No update (Без обновлений). В обоих случаях Вы должны сменить его на Autostatic (Авто статический), ^ Чтобы изменить режим обновления:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IPX Routing (IPX-маршрутизация).
2. В случае RIP for IPX укажите RIP for IPX (RIP для IPX), щелкните правой кнопкой мыши нужный интерфейс соединения по требованию и выберите ко манду Properties (Свойства). В разделе Update mode (Режим обновления) в,i берите переключатель Autostatic (Автостатический) и щелкните кнопку ОК.
3. В случае SAP for IPX укажите SAP for IPX (SAP для IPX) и проделайте те же операции, что и в п. 2.
Маршрутизация 200 ЧАСТЬ Примечание Перед передачей запроса автостатического обновления существую щие маршруты, полученные в результате предыдущего антистатического обнов ления, удаляются. Если ответ на запрос не приходит, маршрутизатор не восста навливает удаленные маршруты. Это может вызвать проблемы с подключением к удаленным сетям.
Автостатические обновления вручную Статические IP-маршруты обновляются вручную по следующей процедуре.
I* Чтобы вручную выполнить автостатическое обновление для IP:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация) и выберите папку General (Общие).
2. Щелкните правой кнопкой мыши нужный интерфейс соединения по требова нию и выберите команду Update Routes (Обновить маршруты).
Если интерфейс соединения по требованию находится в отключенном состоянии, производится автоматическое подключение. После этого начинается автостатичес кое обновление. При автостатическом обновлении информация о маршрутах пере дается только от отвечающего маршрутизатора вызывающему. Чтобы передать ана логичную информацию от вызывающего маршрутизатора отвечающему, Вы долж ны выполнить ту же процедуру на отвечающем маршрутизаторе.
Информация об IP-маршрутах передается но протоколу RIP for IP. Маршрутиза тор, на котором инициируется обновление, посылает общий RIP-запрос (General RIP Request), а маршрутизатор на другой стороне соединения отвечает сообщени ем RIP Response, в которое включает все подходящие маршруты из своей таблицы IP-маршрутизации. RIP-маршруты, принятые запрашивающим маршрутизатором, автоматически добавляются в его таблицу IP-маршрутизации как статические. Под робнее о RIP-сообщениях см. главу 3 Одноадресная IP-маршрутизация в этой книге.
Для обновления статических IPX-маршрутов и SAP-служб вручную действуйте по следующей процедуре.
^ Чтобы вручную выполнить автостатическое обновление для IPX и SAP:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IPX Routing (IPX-маршрутизация) и выберите папку General (Общие).
2. Щелкните правой кнопкой мыши нужный интерфейс соединения по требова нию и выберите команду Update Routes (Обновить маршруты).
Как и в случае автостатического обновления для IP, если интерфейс соединения но требованию находится в отключенном состоянии, производится автоматическое подключение. После этого начинается автостатическое обновление. При автостати ческом обновлении информация о маршрутах и службах перелается только от от вечающего маршрутизатора вызывающему. Чтобы передать аналогичную информа цию от вызывающего маршрутизатора отвечающему. Вы должны выполнить ту же процедуру на отвечающем маршрутизаторе.
Информация об IPX-маршрутах передается по протоколу RIP for IPX. Маршрути затор, на котором инициируется обновление, посылает общий RIP-запрос, а марш Маршрутизация с соединением по требованию ГЛАВА 6 рутизатор на другой стороне соединения отвечает сообщением RIP Response, n ко торое включает все подходящие маршруты из своей таблицы IPX-маршрутизации.
Маршруты RIP tor IPX, принятые запрашивающим маршрутизатором, автоматичес ки добавляются в сто таблицу 1РХ'Мар1нрутшаиии как статические. IIo/ipo6?iec о сообщениях RIP tor IPX см. главу 5 IPX-маршрутизация в этой книге.
Информация о SAP-службах передается но протоколу SAP for IPX. Маршрутиза тор, на котором инициируется обновление, посылает общий SAP-запрос (SAP General Request), а маршрутизатор на другой стороне соединения отвечает сообще нием SAP Response, в которое включает вес подходящие службы из своей таблицы SAP-служб. SAP-службы, информация о которых принята запрашивающим марш рутизатором, автоматически добавляются в его таблицу SAP-служб как статичес кие. Подробнее о сообщениях SAP см. главу 5 IPX-маршрутизация в этой книге.
Автостатические обновления по расписанию Автостатические обновления можно проводить периодически Ч по расписанию.
Для этого нужно использовать командный файл иди файл сценария netsh в ком бинации с программой Scheduled Tasks (Назначенные задания). Для автостатичес кого обновления с применением RIP for IP и сценария выполняются следующие команды netsh:
netsh interface set interface пате=<имя интерфейса соединения по требований connect=CQNNECTED netsh routing ip rip update <имя интерфейса соединения по требованию?
netsh interface set interface пате=<имй интерфейса соединения по требования Connect=DISCONNECTED Например, чтобы обновить IP-маршруты, использующие интерфейс соединения но требованию СогрНиЬ;
netsfi interface set interface name=CorpHub connect=CONNECTED rietsfi routing ip rip update CorpHub netsh interface set interface name=CorpHub connect=DISCONNECTED Команды netsh можно выполнять в командном файле Windows 2000 или поместить в файл сценария netsh. Так, ниже показан текст файла сценария Corphub.scp для ранс-е приведенных команд.
interface set interface name=CorpHub connect=CONNECTED routing ip rip update CorpHub interface set interface name=CorpHuti connect=DISCONNECTED Для выполнения этого файла сценария введите в командной строке:
netsh -f corphub.scp Создав командный файл Windows 2000 или файл сценария netsh. Вы можете ука зать его периодический запуск в Scheduled Tasks.
Постоянные подключения В случае соединений по требованию на основе постоянных подключений (persistent demand-dial connections) протоколы маршрутизации могут функционировать точ но так же, как и при использовании LAN-интерфейсов, обеспечивая динамические обновление таблиц маршрутизации. Специальную настройку протоколов маршру тизации для интерфейсов соединений по требованию с постоянным подключением иллюстрирует таблица 6-3.
Маршрутизация 202 ЧАСТЬ Таблица 6-3. Изменения в исходной конфигурации протоколов маршрутизации для интерфейсов соединений по требованию Протокол маршрутизации Изменение в исходной конфигурации RIP for IP Измените режим работы с предлагаемого по умолчанию на Periodic update mode (Режим периодического обновления) и раз решите использование инициируемых обновлений (triggered updates).
На вкладке General (Общие) окна свойств OSPF-интсрфейса вы OSPF берите тип сети Point-to-point (Точка-точка). Этот тип сети для интерфейсов соединений по требованию предлагается по умолча нию. Для постоянного VPN-соединения между маршрутизаторами Вам, возможно, понадобится увеличить значения параметров Transit Delay (Задержка транзита), Retransmit Interval (Интервал повтора передачи), Hello Interval (Интервал приветствия) и Dead Interval (Интервал исчезновения) на вкладке Advanced (Дополни тельно) окна свойств OSPF-интерфейса, чтобы учесть задержку в пересылке OSPF-пакстов через Интернет.
Измените режим обновления на Standard (Обычный).
RIP for IPX Измените режим обновления на Standard.
SAP for IPX Во всех случаях протоколы маршрутизации, предоставляемые службой маршрути зации и удаленного доступа Windows 2000, должны работать через нумерованное соединение (numbered connection). В процессе установления РРР-соединения ну мерованному соединению присваивается IP- или IPX-адрес. Служба маршрутиза ции и удаленного доступа поддерживает и ненумерованные соединения, но прото колы маршрутизации с ними не работают. Ненумерованные соединения обычно используются при установлении связи с Интернет-провайдером, предпочитающим не расходовать IP-адреса на соединения типа точка-точка. Интернет-соединение может быть ненумерованным, потому что Вы, как правило, настраиваете статичес кий IP-маршрут по умолчанию, не используя какой-либо протокол маршрутизации.
Использование Multilink и ВАР При маршрутизации с соединением по требованию Multilink и ВАР (Bandwidth Allocation Protocol) позволяют автоматически добавлять физические соединения к многоканальному РРР-соединению, когда интенсивность сетевого трафика увели чивается, и удалять их, когда интенсивность сетевого трафика уменьшается.
^ Чтобы создать многоканальное или ВАР-соединение по требованию:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел Routing Interfaces (Интерфейсы маршрутизации).
Щелкните правой кнопкой мыши Routing Interfaces и выберите команду New 2.
Demand-dial interface (Создать новый интерфейс вызова по требованию).
3. Когда запустится Demand-Dial Wizard (Мастер интерфейса вызова по требова нию), выберите модем, который Вы хотите использовать для первого физичес кого соединения.
4. Щелкните правой кнопкой мыши созданный интерфейс соединения по требо ванию и выберите команду Properties (Свойства).
Маршрутизация с соединением по требованию ГЛАВА 5. На вкладке General (Общие) в списке Connect using (Подключить через) выбе рите модемы или порты, которые Вы хотите задействовать для соединения, причем в том порядке, в каком Вы будете ими пользоваться.
Если для каждого физического соединения набирается свой телефонный номер, сбросьте флажок АН devices call the same numbers, 6. На вкладке Options (Параметры) в разделе Multiple devices (Использование нескольких устройств) щелкните Dial devices only as needed (Лишь необходи мые устройства).
7. Щелкните кнопку Configure (Настроить), и на экране появится диалоговое окно Automatic Dialing and Automatic Hanging Up (рис. 6-3).
В разделе Automatic dialing (Автоматическое подключение) укажите условия, при которых должно устанавливаться новое подключение через дополнитель ное устройство (канал). По умолчанию Ч через 2 минуты после того, как на грузка на существующее многоканальное соединение достигнет верхнего поро гового значения в 75% его пропускной способности.
В разделе Automatic hangup (Автоматический разрыв соединения) укажите ус ловия, при которых следует отключать дополнительное устройство (канал), По умолчанию Ч через 2 минуты после того, как нагрузка на существующее много канальное соединение достигнет нижнего порогового значения л 10% его про пускной способности.
Automatic hangup--- Hang up any device used for Фк cortwdaon i"Aer> it rrteste bolh if ihe Рис. 6-3. Диалоговое окно Automatic Dialing and Automatic Hanging Up Примечание Если связь по одному из каналов многоканального подключения раз рывается, а протокол ВАР не используется, то связь автоматически не восстанав ливается. Для автоматического восстановления каналов связи многоканального подключения используйте ВАР и настраивайте свои каналы на инициализацию при создании соединения по требованию и повторную инициализацию при разрыве свя Маршрутизация 204 ЧАСТЬ зи. Например, задайте следующие условия автоматического подключения, присво ив параметру Activity at least (Активно tie менее) значение 1%, а параметру Dura tion at least (Продолжительность не менее) Ч значение 3 секунды.
IPX-соединения по требованию При установлении IPX-соединений по требованию параметры IPX согласуются одним из двух способов Ч в зависимости от того, какой управляющий протокол IPX Бы используете.
Х IPX CP (IPX Control Protocol). Это протокол LCP (Link Control Protocol) для согласования.параметров IPX-соединений на основе РРР, документированный в RFC 1552. IPXCP применяется по умолчанию. Подробнее об IPXCP см. гла ву 7 Сервер удаленного доступа в этой книге.
Х IPX WAN. Это управляющий протокол, используемый Novell NetWare, а также совместимыми серверами удаленного доступа и маршрутизаторами. Вы должны переключаться на IPX WAN при вызове сервера или маршрутизатора, работаю щего под управлением Novell NetWare, и других маршрутизаторов, поддержи вающих управляющий протокол IPX WAN.
^ Чтобы сменить управляющий протокол IPX на каком-либо интерфейсе соединения по требованию:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IPX Routing (IPX-маршрутизация) и щелкните папку General (Общие).
2. Щелкните правой кнопкой мыши нужный интерфейс соединения по требованию.
?>. Выберите переключатель либо IPX CP (IPX CP), либо IPX WAN (IPX WAN), a затем щелкните кнопку ОК.
Протокол NCP Watchdog Клиенты Novell NetWare получают доступ к файлам на серверах Novell NetWare no протоколу NCP (NetWare Core Protocol). NCP Ч это падежный, ориентированный па логические соединения протокол, который обеспечивает доступ к файлам и принтерам в сетях NetWare. Как только NCP-соединение установлено, оно поддер живается с помощью NCP Watchdog - простого протокола, по которому сервер NetWare проверяет, присутствует ли еще клиент NetWare и делает ли он что-ни будь через данное NCP-соединение.
Пакет NCP Watchdog представляет собой сообщение, посылаемое клиенту NetWare внутренним адаптером сервера NetWare и состоящее из номера NCP-соединения и сигнатуры (ОхЗР). Если клиент еще проявляет какую-то активность на соединении, оп возвращает номер соединения и сигнатуру серверу NetWare.
По умолчанию, сели клиент не посылает данные по NCP-соединению в течение минут и 56,6 секунд, сервер NetWare передает пакет NCP Watchdog. Если ответ на пего не приходит, сервер NetWare посылает еще 10 таких пакетов с интервалом в 59,3 секунды. (Все эти параметры настраиваются на сервере NetWare. Более под робную информацию см. в документации на сервер NetWare.) Маршрутизация с соединением по требованию ГЛАВА б Протокол NCP Watchdog оставляет открытым подключение по требованию, лаже если клиент или сервер не посылают никаких данных по NCP-соединению. Чтобы блокировать такое поведение NCP Watchdog, служба маршрутизации и удаленного доступа Windows 2000 имитирует ответы на пакеты NCP Waichdog за удаленных клиентов NetWare, находящихся на другой стороне подключения по требопап по.
Если маршрутизатор с соединением по требованию принимает пакет NCP Watch dog, который передан сервером NetWare клиенту NetWare, достижимому по марш руту через интерфейс соединения по требованию, он отвечает на этот пакет за кли ента NetWare. За счет этого пакеты NCP Watchdog не мешают закрытию простаи вающего подключения по требованию. Однако NCP-соединение не закрывается после разрыва подключения, установленного по требованию, Ч оно имитируется маршрутизатором Windows 2000. По истечении заданного времени простоя подклю чение, установленное по требованию, закрывается, ко служба маршрутизации и удаленного доступа Windows 2000 продолжает имитировать ответы на пакеты NCP Watchdog. Когда какой-нибудь сервер или клиент NetWare передаст данные по JTO му NCP-соединению, маршрутизатор восстановит подключение и перешлет данные адресату.
Выявление и устранение проблем Наиболее распространенные проблемы маршрутизации с соединением по требо ванию:
Х соединение по требованию автоматически не устанавливается;
Х соединение по требованию вообще не удается установить;
Х адреса за вызывающим или отвечающим маршрутизатором недостижимы;
Х автостатическое обновление не работает.
В следующих разделах даются рекомендации, которые помогут Вам выявить он иб ки в конфигурации или инфраструктуре, которые вызывают проблемы с мари ру тизацией, использующей соединения по требованию.
Соединение по требованию автоматически не устанавливается Х Проверьте наличие требуемых статических маршрутов и убедитесь, что они на строены на нужный интерфейс соединения по требованию, Х Б параметрах статических маршрутов, использующих интерфейс соединения по требованию, убедитесь, что флажок Use this route to initiate demand-dial con nections (Использовать этот маршрут для подключений по требованию) уста новлен.
Х Проверьте, не запрещен ли интерфейс соединения по требованию. Если да, тол кните этот интерфейс правой кнопкой мыши и выберите команду Enable (Раз решить).
Х Убедитесь, что расписание исходящих вызовов для данного интерфейса соеди нения по требованию на вызывающем маршрутизаторе не блокирует попытки подключения.
Х Убедитесь, что фильтры вызовов по требованию для данного интерфейса соеди нения по требованию не блокируют попытки подключения, 206 ЧАСТЬ 1 Маршрутизация Соединение по требованию вообще не удается установить Х Убедитесь, что служба маршрутизации и удаленного доступа работает как на вызывающем, так и на отвечающем маршрутизаторе.
Х Убедитесь, что на вызывающем и отвечающем маршрутизаторах разрешена как локальная, так и удаленная пересылка (LAN и WAN).
Х Проверьте, настроены ли порты удаленного доступа по коммутируемым лини ям, используемые вызывающим и отвечающим маршрутизаторами, на поддерж ку маршрутизации с соединением по требованию.
Х Проверьте, не задействованы ли уже все порты удаленного доступа по коммути руемым линиям на вызывающем и отвечающем маршрутизаторах.
Х При использовании политики удаленного доступа убедитесь, что вызывающий и отвечающий маршрутизаторы могут применять хотя бы один общий метод аутентификации и/или шифрования.
Х Проверьте в удостоверениях вызывающего маршрутизатора правильность име ни и пароля пользователя, а также имени домена и убедитесь, что они могут быть проверены отвечающим маршрутизатором.
Х В случае соединений по требованию, для которых используется MS-CHAP vl и осуществляется попытка договориться о шифровании по методу МРРЕ с 40 битным ключом, убедитесь, что длина пароля не превышает 14 символов.
Х Убедитесь, что пользовательская учетная запись вызывающего маршрутизатора не отключена или не заблокирована (в свойствах этой записи). Если срок дей ствия пароля для данной учетной записи истек, убедитесь, что клиент удален ного доступа использует MS-CHAP vl или MS-CHAP v2. (MS-CHAP vl/v2 единственный протокол аутентификации в Windows 2000, который позволяет сменить просроченный пароль в процессе установления соединения.) Если истек срок действия пароля в учетной записи уровня администратора, пе реустановите пароль, используя учетную запись другого администратора.
Х Убедитесь, что пользовательская учетная запись вызывающего маршрутизатора не была заблокирована из-за блокировки учетной записи, предназначенной для удаленного доступа (см. главу 7 Сервер удаленного доступа* в этой книге).
Х Убедитесь, что параметры на вкладке General (Общие) окна свойств пользова тельской учетной записи вызывающего маршрутизатора настроены так, чтобы при следующей попытке входа в систему смена пароля не требовалась и срок действия пароля не был ограничен.
Х Убедитесь, что параметры запроса на соединение согласуются с параметрами входящих звонков в пользовательской учетной записи вызывающего маршру тизатора и в политике удаленного доступа. Если отвечающий маршрутизатор настроен на аутентификацию через Windows, значит, используется политика удаленного доступа, хранящаяся на атом маршрутизаторе. Если же он настроен на аутентификацию через RADIUS и если сервер RADIUS представляет собой компьютер с Windows 2000 и службой проверки подлинности в Интернете (IAS), значит, используется политика удаленного доступа, хранящаяся на IAS-сервере.
Для успешного установления соединения параметры в запросе на соединение должны;
Маршрутизация с соединением по требованию ГЛАВА Х соответствовать всем условиям по крайней мере одной политики удаленного доступа;
Х предоставлять право на удаленный доступ либо через Allow access (Разре шить доступ) в пользовательской учетной записи, либо через Control access through Remote Access Policy (Управление на основе политики удаленного доступа) в пользовательской учетной записи и Grant remote access permis sion (Предоставить право удаленного доступа) в политике удаленного дос тупа;
Х соответствовать всем параметрам профиля;
Х соответствовать всем параметрам входящих звонков в свойствах пользива тельской учетной записи.
Убедитесь, что настройки в профиле политики удаленного доступа не конфлик туют со свойствами отвечающего маршрутизатора.
Профиль политики удаленного доступа и свойства отвечающего маршрутизато ра предусматривают настройки для:
Х многоканальных подключений;
Х протокола ВАР (Bandwidth Allocation Protocol);
Х протоколов аутентификации.
Если настройки в профиле соответствующей политики удаленного доступа кон фликтуют со свойствами отвечающего маршрутизатора, запрос на соединение будет отклонен. Например, если в профиле указан протокол аутентифика щи EAP-TLS, но этот протокол в свойствах отвечающего маршрутизатора не вклю чен, последний будет отклонять запросы на соединение.
Если отвечающий маршрутизатор настроен на использование статического пула IP-адресов, проверьте, достаточно ли адресов в пуле.
Если все адреса из статического пула уже выделены клиентам удаленного дос тупа или маршрутизаторам, подключаемым по требованию, то отвечающий мар шрутизатор не сможет назначить очередной IP-адрес. Если вызывающий марш рутизатор сконфигурирован только на пересылку IP-пакетов, запрос на соеди нение будет отклонен.
Проверьте конфигурацию службы аутентификации на отвечающем маршрути заторе.
Отвечающий маршрутизатор может быть настроен на аутентификацию удосто верений вызывающего маршрутизатора либо через Windows, либо через RA DIUS. В последнем случае проверьте конфигурацию службы RADIUS на отве чающем маршрутизаторе.
Если отвечающий маршрутизатор является рядовым сервером в домене Win dows 2000, который работает в смешанном или основном режиме и сконфигу рирован на аутентификацию через Windows 2000, убедитесь, что:
Х в службе каталогов Active Directory имеется группа безопасности RAS iind IAS Servers (Серверы RAS и IAS). Если этой группы нет, создайте ее, указав тип Security (Безопасность) и область действия Domain local (Локальная доменная);
Маршрутизация 208 ЧАСТЬ Х у группы безопасности RAS and IAS Servers имеется разрешение па чтение объекта RAS and IAS Servers Access Check;
Х учетная запись компьютера отвечающего маршрутизатора включена в груп пу безопасности RAS and IAS Servers. Для просмотра текущих регистрации используйте команду netsh ras show registeredserver, а для регистрации сер вера в определенном домене Ч команду netsh ras add registeredserver.
Если Вы добавляете компьютер отвечающего маршрутизатора в группу бе зопасности RAS and IAS Servers, то скорее всего он не сможет немедленно начать аутентифицировать удостоверения в запросах па входящие соедине ния (из-за особенностей кэширования аутентификационной информации в Windows 2000). Чтобы отвечающий маршрутизатор немедленно приступил к аутентификации входящих соединений, перезагрузите этот маршрутизатор.
Если отвечающий маршрутизатор является членом домена Windows 2000 основ ного режима, убедитесь, что этот маршрутизатор присоединился к домену.
Pages: | 1 | ... | 2 | 3 | 4 | 5 | 6 | ... | 13 | Книги, научные публикации