Книги, научные публикации
Pages: | 1 | 2 | 3 | 4 | ... | 11 | Internetworking Guide Microsoft 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof 2000 Server 2002 УДК 004 Microsoft Corporation Межсетевое взаимодействие. Ресурсы Microsoft ...
-- [ Страница 2 ] --Однако RIP имеет ряд над Х RIP for IP прост в В элементарной конфигурации по умолчанию вся настройка RIP for IP заключается в том, что Вы присваиваете IP адреса и маски подсетей каждому интерфейсу маршрутизатора, а затем просто его.
Х RTP for IP используется в малых и средних по размеру межсетевых IP администраторы которых не имеют ни малейшего желания взваливать на себя бремя и конфигурирования OSPF.
Функциональность RIP v свести к минимуму трафик в современных межсетевых IP-средах, разбиение на переменной длины (для экономии IP 3 Одноадресная IP-маршрутизация адресов) и среду от настроенных (случай но или умышленно) маршрутизаторов, в RIP добавлено несколько ключе вых функций.
Групповые RIP-оповещения RIP может посылать RIP-оповещения на IP-адрес рассылки (224.0.0,9), Благодаря этому трафик, с не не RIP, Недостаток этой новой функции в том, что хосты Silent RIP тоже должны прослу шивать групповой трафик, посылаемый на Если Вы службу Silent RIP (Пассивный то, прежде чем применять эту RIP убеди тесь, что Ваши хосты Silent RIP могут прослушивать групповые оповещения RIP групповых не является обязательной RIP поддерживает и оповещения, Маски подсетей В RIP с сети передается и маска полсети (также называемая сетевой маской). RIP можно использовать в средах с и масками подсетей переменной длины. Подсети, определяемые идентификатором сети, могут быть несмежными.
RTP поддерживает аутентификации для проверки источника входя щих RIP-оповещений. В RFC определена аутентификация по простому лю, но RIP позволяет использовать более новые например Digest 5 (MD5).
Примечание Windows 2000 поддерживает только аутентификацию по Совместимость с маршрутизаторами v RIP в расчете па совместимость с будущими версиями RIP.
маршрутизатор RIP vl получает и поле версии в этого сообщения значение, отличное от 0x01, то он отбрасывает данное Г оповещение, а обрабатывает лишь поля, определенные для RIP vl.
Кроме того, маршрутизаторы посылают на запрос RIP vl в формате RIP vl, если только они не на посылку оповещений исключительно в формате RIP v2.
Формат RIP v Чтобы RIP vl могли обрабатывать RIP в RIP не модифицировали структуру использует поля, ные в RIP vl как нулевые.
нолей лидентификатор семейства, и ка Ч то же, что и в RIP vl. Поле версии устанавливается 0x02, указывая, что это сообщение RIP Формат сообщений RIP показан на рис.
62 ЧАСТЬ 1 Маршрутизация Команда 1 = запрос, 2 = ответ Должно быть нулем 00 До 25 маршрутов Метка маршрута в одном IP-адрес Маска подсети Следующий переход Метрика Г] байт Рис. 3-9, Формат сообщений RIP версии Метка маршрута. Это поле для маркировки особых маршрутов, применяемых в административных целях. в RFC 1723 было определе но, что это поле должно давать возможность отличать маршруты на основе RIP (внутренние для от маршрутов на другой основе (внешних для RIP Поле метки маршрута настраивается на маршрутизаторах, поддерживаю щих несколько протоколов Windows 2000 поддерживает настройку поля метки маршрута для ин терфейсов RIP Маска подсети. Четырехбайтовое поле, содержащее маску подсети (также назы ваемую сетевой маской) для идентификатора сети в поле IP-адреса.
Следующий переход. Четырехбайтовое поле, содержащее пересылочный (также называемый адресом шлюза) для сети в поле Если следующий переход настроен на 0.0.0.0, то предполагается, что IP-адрес (следующий переход) для маршрута является IP-адресом источника дан ного оповещения.
Поле следующего перехода используется для того, чтобы предотвратить выбор нео птимального маршрута, Вот простейший пример неоптимальной маршрутизации.
Если какой-либо маршрутизатор объявляет к хосту, в той же сети, что и интерфейс маршрутизатора, по которому было объявлено о маршруте, и поле следующего перехода то пересылочным IP-ад ресом для маршрута к хосту станет IP-адрес интерфейса а вовсе не хоста. Другие маршрутизаторы в той же ото опове щение, будут пересылать хосту пакеты на IP-адрес первого тизатора вместо того, чтобы их этому хосту.
При использовании поля следующего перехода объявляет к хосту, указывая IP-адрес хоста в перехода. Другие маршрутиза торы в той же сети, это оповещение, будут пересылать адресованные хосту пакеты на IP-адрес хоста, а не объявившему маршрутизатору.
Поскольку в таблице IP-маршрутизации поле следующего перехода становится полем адреса шлюза, IP-адрес, указанный в поле следующего перехода, должен ходиться в сети, напрямую к интерфейсу данного маршрутизатора.
ГЛАВА 3 Одноадресная IP-маршрутизация Аутентификация в RIP v При использовании аутентификации для RIP информация хранится в записи первого маршрута в Таким зом, в оповещении RIP v2 с аутентификацией может быть объявлено максимум маршрута. Чтобы указать на необходимость аутентификации, поле ра семейства равным Поле типа в мальных условиях как поле метки маршрута, определяет тип приме няемой аутентификации. В случае аутентификации по простому паролю в это поле записывается значение 0x00-01.
Следующие за полем типа 16 байтов применяются для хранения В случае аутентификации по паролю сюда чувствительный к регистру букв пароль с вырав ниванием по левому краю и дополнением недостающих нулями. Формат сообщений RIP с аутентификацией показан на рис. 3-10.
Команда Версия Должно быть нулем по] Идентификатор семейства FF Указывает аутентификацию FF 01 Указывает простой пароль Тип аутентификации пароль...
16 байтов 1 = 1 байт Рис. 3-10. Формат сообщений RIP v2 с аутентификацией Маршрутизаторы RIP игнорируют первую запись маршрута в сообщении RIP с поскольку им идентификатор семейства в этой записи.
Примечание Аутентификация по простому паролю для RIP позволяет разме щать в сети неавторизованные или неправильно го ры. Однако простой пароль ненадежен, так как перелается по сети открытым тек стом. Любой, у кого анализатор протоколов типа Microsoft Network Monitor (Сетевой монитор), может захватить пакеты RIP v2 и выяснить пароль кации.
Смешанные среды RIP v1 и RIP v Пользоваться маршрутизаторами RIP в комбинации с RIP vl следует с осторожностью. Поскольку маршрутизаторы RIP vl не интерпретируют ноле маски подсети в маршруте, маршрутизаторы RIP должны оповещать о которые могут быть неверно интерпретированы RIP vl. Кроме того, в таких смешанных средах нельзя использовать маски тей переменной длины (variable length subnet masks, и указывать ные подсети.
64 ЧАСТЬ 1 Маршрутизация Выдавая оповещения RIP RIP маршрутизаторы RIP v2 должны маршруты подсети, если выходят пределы среды, разбитой на подсети. к объявленный маршрутизатору RIP vl, может быть ошибочно истолкован как маршрут к хосту.
Кроме маршрутизаторы RIP должны объявлять к тям Ч маршрутизатор RIP vl может диапазон сетей как единую сеть.
Если маршрутизаторы RIP находятся в той же сети, что и маршрутизаторы vl, соответствующие интерфейсы маршрутизаторов должны быть строены рассылку оповещений. Групповые RIP не обрабатываются маршрутизаторами vl.
Windows 2000 как маршрутизатор RIP for IP RIP tor IP в Windows 2000 соответствует RFC 1058 и 1723 и поддерживает:
Х алгоритмы конвергенции разделение направлений (split horizon), воз (poison и линициируемые обновления (triggered updates);
Х возможность изменения (по Ч 30 се кунд);
Х возможность изменения срока записей в таблице маршрутизации умолчанию Ч 3 минуты);
Х Silent (Пассивный RIP) хостов;
Х функцию Peer Filtering (фильтрация маршрутизаторов) Ч позво ляет принимать или отбрасывать обновления, содержащиеся в которые поступают от маршрутизаторов (идентифицируются по Х функцию Route Filtering (фильтрация маршрутов) Ч позволяет принимать или отбрасывать поступающие из определенных сетей или от опреде маршрутизаторов;
Х функцию RIP (соседи RIP) Ч позволяет направлять адресные RIP определенным маршрутизаторам для поддержки сетевых техноло гий, не использующих широковещания, например Frame Relay. Сосед RIP Ч это который принимает адресные Х возможность объявления или маршрута по умолчанию или маршрута к хосту.
Примечание Когда маршрутизатор Windows оповещает о ном не от RIP learned route), он объявляет его с числом переходов, рав ным двум. К маршрутам, получаемым от RIP, статические маршруты (даже для сетей), а также маршруты OSPF и Вы можете просмотреть текущих соседей RIP в Routing Remote Access (Маршрутизация и доступ), щелкнув правой кнопкой мыши протокол маршрутизации RIP (RIP) и выбрав команду Show Neighbors (Отобразить соседей).
Выявление и устранение проблем с RIP for IP Если сконфигурирована корректно, после конвергенции получают от соседних маршрутизаторов наиболее оптимальные маршруты.
ГЛАВА 3 Одноадресная IP-маршрутизация Точный список добавляемых таблицу зави сит от того, находятся ли интерфейсы в регионе, разбитом на сети, ли RIP объявляются ли маршруты к хостам или маршруты по умолчанию, а также от ряда других факторов.
Проблемы с RIP могут возникать в средах RIP vl и при использова нии хостов Silent RIP или в тех случаях, когда все принимаются и добавляются в Проблема с маршрутами в смешанной среде v1 и RIP v В сетях, маршрутизаторы RIP vl, убедитесь, что RIP настроен па широковещательную рассылку своих оповещений в сети с vl.
В сетях, содержащих маршрутизаторы RIP убедитесь, что интерфейсы маршру тизаторов RIP сконфигурированы на прием оповещений как RIP vl, так и RIP v2.
Хосты не получают информацию о маршрутах Если в сети имеются хосты Silent RIP, не маршруты от проверьте версию RIP, поддерживаемую этими На пример, если они прослушивают только оповещения RIP vl, не настраивайте RIP на групповую рассылку оповещений, Если Вы используете компонент RIP Listener (Слушатель RIP), доступный в Microsoft Windows NT Workstation версии 4.0 с Service Pack 4 (или выше), те свои на широковещание по RIP vl или RIP RIP-маршрутизаторы не получают ожидаемые маршруты Убедитесь, что Вы не используете разбиение на переменного размера и несмежные а также применяете в RIP vl или в среде RIP vl и RIP v2.
Х Если включена убедитесь, что все в одной и ' же сети используют один и тот же пароль чувствителен к регистру Х Если включена равноправных маршрутизаторов, убедитесь, что для соседних заданы корректные IP-адреса.
Х Если RIP-фильтрация убедитесь, что нужные диапазоны идентификаторов сетей не исключены из Вашей межсетевой среды.
Х Если Вы активизировали RIP Neighbors, правильность I P для адресных Х Убедитесь, что фильтрация IP-пакетов не препятствует приему (через входные фильтры) или передаче (через выходные фильтры) RIP-оповещений по интер фейсам маршрутизатора, на RIP. использует 520.
Х что фильтрация TCP/IP на интерфейсах не запре щает прием Х В случае интерфейсов по использующих автостатичес кие updates), настройте эти интерфейсы на * В Windows 2000 Server такие интерфейсами по Ч 66 ЧАСТЬ 1 Маршрутизация групповых Когда один маршрутизатор вызывает дру каждый из них получаст IP-адрес из пула IP-адресов другого маршрутиза тора, а эти адреса находятся в разных подсетях. Поскольку широковещательные направляются на адрес рассылки в под сети, эти маршрутизаторы не обрабатывают широковещательные запросы о мар шрутах друг от друга. При рассылки и оповещения обрабатываются независимо от для интерфейсов маршру Подробнее об интерфейсах соединения по и автостати ческих см. главу 6 с соединением по в этой книге.
Х В случае поверх интерфейсов соединения по (RIP over demand-dial проверьте, не мешают ли приему или передаче фика фильтры пакетов, в профиле удаленного доступа отвечающего маршрутизатора. Фильтры можно настроить в свойствах профиля политики удаленного доступа на отвечающем маршрутиза торе (или если используется Эти фильтры определяют, какой трафик допустим по соединению удаленного доступа.
Маршруты к хосту или маршруты по не распространяются По умолчанию маршруты к хосту и маршруты по умолчанию не объявляются че рез RIP. Вы можете изменить это на Advanced (Дополнитель но) окна свойств которое открывается в оснастке Routing and Access и доступ).
OSPF OSPF (Open Shortest Path First) Ч протокол маршрутизации на основе состояния определенный в RFC 2328. Он предназначен для работы в качестве IGP (Interior Gateway Protocol) в одной автономной системе (autonomous system, AS).
В любом протоколе на основе состояния каналов каждый маршру тизатор поддерживает базу данных оповещений, называемую Link State Adver tisements (LSA). LSA на маршрутизаторе внутри автономной системы включает о и подключенных к ним сетям, а также сведения о цепе их использования. Цена в OSPF (OSPF cost) Ч это безразмер ная метрика, которая определяет использования того или иного ка нала связи. Существуют также для суммированных маршрутов и маршрутов за пределами автономной системы.
Маршрутизатор распространяет свои на соседние Эти собираются в базу данных состояний каналов связи (link state LSDB). За счет синхронизации LSDB между всеми соседними маршрутизаторами в базе дан ных каждого маршрутизатора имеются LSA остальных маршрутизаторов. Благода ря этому на всех маршрутизаторах хранится одна и та же LSDB. Записи таблицы маршрутизации на каждом маршрутизаторе формируются на основе данных LSDB с применением алгоритма algorithm), который позволяет опре делить путь с наименьшей ценой использования (least cost path) к каждой сети в межсетевой среде, е. кратчайший путь.
Для OSPF характерны следующие возможности.
ГЛАВА 3 Одноадресная IP-маршрутизация Быстрая конвергенция. распознает и распространяет в тополо гии гораздо быстрее, чем В OSPF нет счета до бесконечности.
Маршруты, свободные от зацикливания. Маршруты, вычисляемые OSPF, всегда свободны от зацикливания (петель Масштабируемость. OSPF подразделить автономную систему на не прерывные группы сетей, называемые областями Маршруты внутри облас можно тем самым уменьшая число записей в таблице зации. Области могут быть сконфигурированы с маршрутом по умолчанию, гум все за пределами автономной системы или области. Так что OSPF способен масштабироваться под большие и очень большие межсетевые сре ды. В этому среды RIP for IP нельзя на области меньшего размера, а суммирование маршрутов невозможно (кроме сум мирования всех подсетей по данному идентификатору сети).
Маска подсети объявляется вместе с сетью. OSPF рассчитан на о маске при объявлении сети. OSPF маски подсетей перемен ной длины надсети и подсети.
Поддержка аутентификации. Обмен информацией рами можно OSPF в Windows 2000 поддерживает аутентифи кацию по простому паролю.
Поддержка внешних маршрутов. за пределы системы OSPF, объявляются и внутри автономной системы, чтобы OSPF-маршру могли вычислять маршрут к внешним сетям с наименьшей ценой исполь зования, Примечание по простому паролю для OSPF рассчитана на то, что бы не допустить размещения в сети неавторизованных OSPF-маршрутизаторов.
Однако простой пароль так как передается по сети открытым текстом.
Любой, у кого есть анализатор типа Microsoft Network Monitor, может OSPF и выяснить пароль аутентификации.
Функционирование OSPF Основную часть работы протокол OSPF выполняет в процессе конвергенции сетевой среды.
\. Компиляция LSDB.
2. Вычисление дерева SPF (Shortest Path First Tree, SPF Tree).
3. Создание записей в таблицах маршрутизации.
Формирование LSDB с использованием LSA Ч это база данных, сформированная из LSA маршрутизаторов сводных и LSA внешних маршрутов. LSDB компилируется за счет обмена LSA между соседними маршрутизаторами, чтобы каждый маршрутизатор был синхро низирован со своим соседом. В процессе конвергенции автономной системы в LSDB на каждом маршрутизаторе помещаются соответствующие записи.
Чтобы создать LSDB, каждый должен получить действитель ный LSA от своего соседа в автономной системе. Это достигается через 68 ЧАСТЬ 1 Маршрутизация (flooding). маршрутизатор изначально посылает которая содержит По мере получения LSA от других мар шрутизаторов он передает эти своим соседям.
Таким от данного растекается по автономной систе ме, и все остальные в включают от маршрутиза тора. Хотя на первый взгляд что растекание многочисленных по системе должно интенсивный сетевой трафик, OSPF эффективно. Рис. 3-11 иллюстрирует про стую автономную и потоки между соседними маршрутизаторами.
Подробнее о синхронизации между соседними маршрутизаторами см. раз дел далее в этой главе.
Вы можете просмотреть базы данных состояний каналов свя зи в оснастке Routing and Access (Маршрутизация и удаленный доступ):
кнопкой протокол маршрутизации OSPF (OSPF) и выбери те команду Show Link State Database данных состояния связей).
Автономная Рис. База данных состояний связи Код маршрутизатора Для отслеживания LSA в LSDB каждому маршрутизатору назначается свой код Ч 32-разрядное число в нотации, уникальное в данной системе. Этот код идентифицирует маршрутизатор в автоном ной а не IP-адрес одного из интерфейсов маршрутизатора. Код маршрути затора не как IP-адрес при передаче информации марш рутизатору. В компьютерной индустрии соглашение, что в качестве кода маршрутизатора принимается его наибольший или наименьший IP-адрес. Посколь ку IP-адреса уникальны, гарантирует уникальность и ГЛАВА 3 Одноадресная IP-маршрутизация Вычисление дерева SPF по алгоритму Как только компиляция завершается, ос нове в вычисляет путь с наименьшей ценой использования (по алгоритму Дейкстры) и дерево кратчайших путей к каждому маршрутиза тору и к каждой причем корнем является тот который формирует это дерево. SPF (SPF Tree) и жит по одному пути с ценой к каждому маршрутизато ру и к каждой сети в автономной системе. Поскольку вычисление пути с шей ценой использования осуществляется маршрутизаторами, у них свое дерево SPF в автономной системе.
Дейкстры взят из той области математики, которая называется теорией графов;
это очень эффективный метод кратчайших путей отно сительно Алгоритм Дейкстры для дерева SPF Этот алгоритм па выходе дает множество Ч список кратчайших путей, от сортированных цене Он включает путь (набор узлов и и использования от S.
1. Определить как набор узлов (маршрутизаторов), оценке.
2. Определить множество как узлов не подлежащих оценке.
3. множество как список по упорядоченных путей между узлами. Упорядоченный путь (ordered path) может состоять из нескольких узлов, соединенных друг с другом в конфигурацию с несколькими переходами (они не обязательно должны быть соседними).
4. Определить множество как список по цене ния кратчайших путей.
5. множество так, оно содержало узел-источник a множество Ч все остальные Инициализировать как список отсортированных по цене путей, напрямую с S. Инициализировать множество как пустое.
6. Если пусто или первый путь в имеет метрику, все узлы в R как недостижимые и работу 7. Во проанализировать Р. кратчайший путь в Удалить Р из Пусть V будет узлом в пути Р.
Если V уже является членом множества на этап 6.
- Или Если Р Ч путь к V. переместить V из в Добавить новый во состоящий из Р и его цепы ния от S.
8. Создать новый набор путей за счет Р и из каналов, смеж ных с V. Цена использования этих путей суммой целы Р и метрики канала, добавленного к Р. Вставить связи во и отсортиро вать по цене использования. на этап 6, 70 ЧАСТЬ 1 Маршрутизация Вычисление записей таблицы маршрутизации по дереву SPF Записи в таблице маршрутизации создаются на основе дерева SPF, и для каждой сети в автономной системе формируется одна запись, Метрикой в записи служит цена вычисленная а не число переходов.
Для расчета записей в таблице на основе дерева SPF анализи руется полученное множество Результатом этого анализа становится набор содержащих IP-адрес назначения (идентификатор сети) и его сетевая маска (маска пересылочный IP-адрес мар шрутизатора, интерфейс, через который доступен соседний маршрутизатор, и цена использования маршрута к сети, вычисленная После этого добавляются в таблицу Пример OSPF Здесь будет показано, как OSPF как вычисляет путь с наи меньшей пеной использования и как создает записи в таблице маршрутизации.
Данный пример специально упрощен, чтобы Вам было легче разобраться в базо вых Компиляция Возьмем простую автономную систему, па рис. 3-12. Каждому ин терфейсу маршрутизатора безразмерная метрика (цена), отражаю щая уровень предпочтения этого интерфейса. Эти зна чения могут быть результатом учета таких факторов, как полоса пропускания, за держки и надежность, Ч принимается сетевым администратором.
.
Сеть Сеть R Сеть R Рис. 3-12. Автономная система с информацией LSDB После конвергенции, когда на каждом маршрутизаторе имеются LSA от остальных в системе, содержимое LSDB соответствует тому, что показано в 3-1.
ГЛАВА 3 IP-маршрутизация Таблица 3-1. Содержимое базы данных состояний каналов Маршрутизатор Подключенные сети и цены использования R1 Сеть 2, сеть 3-цена 5, сеть R2 Сеть 1, сеть 2-цена 4, сеть R3 Сеть 4, сеть 3-цена 2, сеть 3, сеть 7-цена К i Сеть 3, сеть 5-цена Сеть 2, сеть 7-цена Вычисление дерева SPF таг Ч применение алгоритма к нашей автономной системе.
Рис. 3-13 иллюстрирует дерево SPF, вычисляемое маршрутизатором R4. В тате R4 размещается в корне и набор подключенных ров и сетей. Это дерево отражает кратчайший путь к каждому и к каждой сети.
Сеть Цена= Сеть 1, Сеть R R Сеть Цена= Сеть R Рис. 3-13. Дерево SPF Создание записей в Таблица маршрутизации создается по результатам расчета дерева как показа но на рис. 3-14, Примечание В большой сети с OSPF в момент LSA между маршрутизато рами может кратковременно понадобиться значительная часть ее пропус кания. обмена LSA между маршрутизаторами большой объем па мяти для хранения до конвергенции. Алгоритм SPF очень интенсивно ис пользует вычислительные мощности центральных процессоров. Сети с часто появ ляющимися и исчезающими связи могут вызывать проблемы с дительностью маршрутизаторов. Издержки от использования OSPF можно к разбив на области. Подробнее см. раздел сти OSPF далее в этой главе.
72 ЧАСТЬ 1 Маршрутизация Цена= Сеть Сеть 7.
' Цена= 41 ' Сеть Сеть R R Порт Пересылочный IP-адрес Метрика Ч 4 1 5 2 1 R1 1 3 R3 2 2 R3 2 7 R3 2 6 т 2 Рис. 3-14. Записи таблице маршрутизации Типы сетей в терминах OSPF Адреса определяются типом сети, к которой подключен OSPF При настройке интерфейса нужно выбрать один типов сетей OSPF.
Broadcast (Широковещательная). Сеть, которая может соединять маршрутизаторов, в которой аппаратная поддержка широковещания и в которой один пакет, каким-либо всеми к этой сети. К сетям с поддержкой ши роковещания относятся Ethernet, Ring и FDDT. передава емые в таких сетях используют рассылки.
(Точка-точка). Сеть, которая может соединять только два марш WAN-каналы вроде DDS Service) и Т сетями OSPF-сообщения, в та ких сетях, групповой рассылки.
Non-Broadcast Multiple Access которая может соединять двух маршрутизаторов, но аппаратной поддержки широковещания. Сети с мно жественным доступом без Multiple NBMA) это Frame Relay и ATM. Поскольку в такой сети OSPF-сообщения не достигают всех OSPF следует настроить па сообщений непосредственно на маршрутизаторов.
О OSPF-пакетов в этих сетях см. в сетях OSPF далее в этой главе.
ГЛАВА 3 IP-маршрутизация (например, по ана логовым телефонным линиям или ISDN) не Синхронизация LSDB через механизм соседства Алгоритмы состояния каналов опираются на син информации LSDB в Маршрутизатор должен проверять свою синхронизацию со всеми торами в автономной а только со своими соседями. Отношения со седними маршрутизаторами, в LSDB, на зываются соседством (adjacency). необходимы для компиля корректных в LSDB дерева и за в таблице маршрутизации. Ошибки при установлении соседства являются одной из основных при межсетевых сред с OSPF. Подроб нее об устранении проблем с соседства OSPF см. раздел ние и проблем с OSPF далее в этой главе.
Установление отношений соседства При периодически посылает OSPF-т акет Hello. Этот пакет содержит такую конфигурационную информацию, как код марш рутизатора и список соседних от которых данный маршрутиза тор уже получил пакет Hello. Изначально в соседей в Hello никаких записей нет.
Инициализирующийся OSPF-маршрутизатор также пакеты Hello от соседних маршрутизаторов. Из пакетов конкрет ный маршрутизатор (или с которым отношения соседства. Отношения соседства с главным (designated DR) и дублирующим главным маршрутизатором (backup designated BDR), кото рые указываются во входящих пакетах Hello. О главных и маршрутизаторах будет рассказано чуть позже.
Чтобы установить отношения маршрутизаторы описывают своих LSDB, посылая последовательность пакетов базы данных Description packets). Это процесс обмена информацией баз данных (Database Ex change Process), в ходе которого два соседних маршрутизатора от ношения (master/slave). LSDB одного из марш рутизаторов подтверждается при приеме соседним маршрутизатором.
Каждый маршрутизатор сравнивает свои с соседа и отмечает, какие запросить от чтобы синхронизировать LSDB. Отсутствующие или более LSA запрашиваются в пакетах Link Stale В ответ посы лаются пакеты Link State Update, и их подтверждается. Когда т все ответы на все запросы о каналов связи (Link обоих мар считается, что LSDB маршрутизаторов полностью синхро низированы и между установлены.
Установив соседства, каждый пакет информируя соседа о своем в сети. Отсутствие Hello от соседа рассматривается как его отключение, 74 ЧАСТЬ Если происходит такое событие, как отключение связи или маршрутизато ра, либо добавление новой сети, которое изменяет на одном из маршрутиза торов, LSDB смежных маршрутизаторов больше являются синхронизированны ми. Тогда маршрутизатор, чья LSDB изменилась, посылает своему пакеты Link State Update. Прием этих пакетов должен быть подтвержден. После обмена информацией LSDB соседних маршрутизаторов вновь становятся синхронизиро ванными.
соседства В процессе отношений соседства смежные маршрутизаторы последо вательно меняют свое состояние (таблица 3-2).
3-2. Состояния отношений соседства для смежных маршрутизаторов Состояние Описание Down Начальное состояние. От соседнего маршрутизатора не никакой информации.
Attempt Несмотря на попытки с никакой информации пока не (только в сетях От соседа пакет но в списке соседей в этом пакете дан ный маршрутизатор отсутствует.
От соседа пакет Hello, и в списке соседей в этом пакете дан ный маршрутизатор присутствует.
ExStart Идет согласование ролей ведущего и ведомого для процесса Database Exchange Process. Это фаза установления соседства.
Exchange посылает своему соседу пакеты Database Description, Loading Маршрутизатор посылает пакеты Link State Request соседу, или более актуальные LSA.
Full LSDB соседних и это вторая фаза установления отношений соседства. Теперь между ними суще ствуют полнопенные соседства.
Чтобы просмотреть состояние отношений соседства маршрутизаторов:
Х В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши OSPF и выберите команду Show Neighbors (Отобразить соседей).
Вы увидите список соседних маршрутизаторов в окне OSPF Neighbors (Соседи OSPF).
Из-за выборов главных и главных маршрутизаторов устанавливать отношения соседства с каждым требуется.
Для соседних маршрутизаторов, отношения соседства, в колонке State (Состояние) должно слово Конфигурационные параметры соседства проблема OSPF в том, что отношения соседства, которые должны быть установлены между двумя соседними установить удается. Формирование отношений соседства требует параметров двух маршрутизаторов.
ГЛАВА 3 Одноадресная IP-маршрутизация Х Если применяется соседние маршрутизаторы исполь один и тот же тип аутентификации.
Х Если аутентификация по паролю, ры должны использовать пароли.
Х Должен быть параметр Hello Interval приветствия), оп периодичность посылки пакетов Hello. По умолчанию он равен Х Должен быть одинаковым параметр Dead Interval (Интервал исчезновения) Ч срок ожидания пакетов Hello. Если по истечении этого времени не ни одного пакета Hello, смежный маршрутизатор считается отключенным. По умол чанию этот параметр равен 40 В RFC рекомендуется, чтобы он 4 раза больше приветствия.
Х Должен быть одинаковым параметр Area ID (Код области), идентифицирующий область системы), к которой подключен маршрутизатор. Этот па раметр на каждом отдельно.
Х Два соседних маршрутизатора должны прийти к соглашению о том, находятся они в изолированной области (stub area) или Об изолированных областях см. раздел области далее в этой главе.
Коды двух соседних маршрутизаторов должны иначе установить от соседства не удастся. Коды маршрутизаторов должны быть в пределах автономной системы. Дублирующиеся коды не позволят установить от ношения соседства.
Добавление в межсетевую среду OSPF, находящуюся в состоянии конвергенции Когда в межсетевой среде OSPF, достигшей состояния инициализируется LSA для этого маршрутиза тора нужно распространить на все в межсетевой среде че рез механизм растекания. Получив новую каждый маршрутизатор должен выполнить вычисления по алгоритму пересчитать дерево SPF и создать новые записи в таблице маршрутизации. После того как будут обновлены маршрутизации всех маршрутизаторах, межсетевая среда в Рис. 3-15 процесс конвергенции после появления в межсетевой OSPF нового маршрутизатора и распространение информации о новом соседстве.
1. Маршрутизатор R1 инициализируется и начинает периодически посылать па кеты Hello через WAN-канал типа точка-точка. Маршрутизатор R2 тоже по сылает Hello по этому каналу. R1 и R2 решают установить соседства.
По крайней мере в русской версии Windows 2000 по у молча равен 15 Ч Прим.
** По крайней в русской версии Windows 2000 Server исчезновения по умолчанию равен секундам. Ч Прим. перев.
76 ЧАСТЬ 1 Маршрутизация 2. R1 и пакетами Description. Пакет Descrip tion от R1 содержит информацию только о самом маршрутизаторе R1, а анало пакет от R2 Ч самые последние маршрутизаторов в межсете вой среде (кроме R1), 3. R1 R2 пакет Link State запрашивая LSA всех маршрутизато ров т;
межсетевой среде. В ответ R2 R1 LSA в паке тов Link Update.
4. R2 посылает R1 пакет Link Request, запрашивая его LSA. В ответ R1 по R2 свой LSA в виде пакета Link State Update. Теперь R1 и R2 располага ют LSA, маршрутизаторы R1 и R2 вы числяют свои деревья SPF и формируют записи в таблицах маршрутизации.
После с R1 маршрутизатор R2 посылает пакет Link State Update всем остальным смежным (R3 и R4). Пакет Link State Update содержит LSA, полученную от R1. Принимая от R2, маршрутизато ры R3 и R4 вычисляют свои SPF и формируют записи в таблицах мар шрутизации.
6. R3 и R4 распространяют эту информацию своим смежным маршрутизаторам (R5 и R6) отдельным пакетом Link State Update. Принимая се, маршрутизато ры R5 и R6 вычисляют свои деревья SPF и формируют в таблицах мар шрутизации.
- Отношения соседства устанавливаются между R1 и - R распространяет новую i LSA на маршрутизаторы R Маршрутизатор R распространяет новую LSA на маршрутизатор R5, а маршрутизатор R4 Ч на R Рис. 3-15. информации о новом соседстве Так среда OSPF возвращается состояние после добав ления R1 и с ним ГЛАВА 3 Одноадресная Главный маршрутизатор При использовании канала связи типа (например, WAN-капала) отношения должны двумя марш Ч на каждой канала Однако в сетях с доступом (в или установление со седства следует контролировать. для примера широковещательную с шестью Без контроля каждый маршрутизатор мог бы соседства со всеми остальными что дало бы в итоге 15 соседств. В широковещательной с установление максимум соседств. Число соседств масштабируется как Кроме того, в такой сети бы слишком лишнего трафи ка но мере тою, как каждый маршрутизатор пытался со всеми смежными Чтобы решить проблему в сетях с доступом проводятся выборы главного (Designated Router, DR устанавливает соседства со маршрутизаторами в этой сети. В широковещательной сети с п маршрутизаторами соседств. Поскольку OR является соседом всех он выступает в роли для о состоянии каналов связи и для DR выбирается путем обмена Каждый такой пакет ет текущий DR (если он выбран), код и приоритет отправившего пакет. Приоритет маршрутизатора (Router Priority) Ч от конкретного интерфейса конфигурационный OSPF, используемый выборах DR. На эту роль избирается маршрутизатор с приоритетом.
По умолчанию приоритет маршрутизатора равен 1. маршрутизатору присво ен нулевой приоритет, он никогда не станет DR. В случае нескольких торов с наивысшим приоритетом на роль DR избирается тот из лих, чей код (идентификатор) больше.
Внимание Приоритеты следует чтобы по крайней у одного мар шрутизатора в сети с доступом (широковещательной или был приоритет, равный или больший 1. Если все маршрутизаторы в сети с множе доступом сконфигурированы с нулевым приоритетом, ни один из ним не станет DR, и не будет ни одного соседства. Л без отношений синхронизировать LSDB и пропускать через сеть транзитный трафик нельзя.
Примечание Если DR уже в сети, в той же маршрути затора с более высоким приоритетом не к новым выборам DR.
Главные маршрутизаторы в сетях Рис. 3-16 иллюстрирует работу DR в широковещательной сети. Без DR в этой сети с четырьмя маршрутизаторами могло бы образоваться шесть соседств, а соседства приводят к пустой трате и сетевых Благодаря DR для LSDB достаточно всего три соседства.
78 ЧАСТЬ 1 Маршрутизация Главный маршрутизатор (DR) Соседства Х Рис. 3-16. Главный маршрутизатор в широковещательной сети Главные маршрутизаторы в NBMA-сетях В NBMA-сетях вроде Frame Relay с центрально-лучевой главным дол быть так как только он может вать со всеми остальными Чтобы гарантировать маршрутизатора-концентратора на роль главного маршрутизатора (DR), установи те его приоритет не менее 1. А чтобы ни лучевой маршрутизатор не стал DR, присвойте им нулевые приоритеты.
Главный маршрутизатор в сети Frame показан на рис. 3-17.
Дублирующий главный маршрутизатор DR действует в качестве точки централизованного изменений в топологии сети с множественным доступом. Если DR становится недоступным, должны быть установлены новые отношения соседства с новым DR. Пока идет ус тановление отношений соседства и межсетевой среды, возможна вре менная потеря соединений для трафика.
ГЛАВА 3 Одноадресная IP-маршрутизация Главный маршрутизатор (DR) R R R цепи Frame Relay R Соседства Приоритет= Рис. 3-17. Главный маршрутизатор в сети Frame Relay Чтобы предотвратить эту проблему, связанную с временным отсутствием в сети с множественным доступом выбирается дублирующий главный марш рутизатор (Backup Router, BDR). Как и DR, BDR имеет отношения со седства со всеми маршрутизаторами в сети. Когда DR выходит из строя, BDR не медленно становится DR, всем смежным с маршрутизаторам LSA, в которых объявляет о своей новой роли. Так что остается лишь очень короткий про времени, в течение которого может быть прервана трафика: те несколько мгновений, когда BDR берет на себя роль DR.
Как и BDR избирается путем обмена пакетами Каждый такой пакет со держит в сети. Если BDR в нем не главным становится маршрутизатор с наивысшим приоритетом, не выбранный на роль DR. Если таких маршрутизаторов несколько, на избирается тот из них, чей код (идентификатор) больше.
Состояния интерфейса После установления отношений каждый может диться в одном из состояний 3-3), Таблица 3-3. Состояния интерфейсов маршрутизаторов, установивших отношения соседства интерфейса Down Начальное состояние обмена пакетами Hello еще не было Интерфейс с сетью или замкнут на (looped (внутренне сконфигурирован так, что никакие пакеты ng Интерфейс посылает и принимает пакеты Hello, чтобы опреде лить для сети Интерфейс образовал со смежным интерфейсом в типа точка-точка или через виртуальный канал (см. стр.) 80 ЧАСТЬ 1 Маршрутизация Таблица 3-3.
Состояние интерфейса Описание Other подключен к с и не является ни DR. ни Router DR для подключенной сети Backup BDR для подключенной сети просмотреть состояние какого-либо OSPF-интерфейса на 2000, запустите оснастку Routing and Remote Access и удаленный доступ), раскройте узел IP Routing (IP-маршрутизация) и щел кните OSPF В правой секции окна оснастки появится список В State будут перечислены текущие состояния всех интерфейсов. На основе этих данных Вы и в сети.
Передача в сетях OSPF Адресация пакетов зависит от типа сети OSPF.
Широковещательные сети, используют следующие два IP-адреса, для групповой рассылки.
Х 224.0.0.5 для рассылки всем в одной сети. Адрес для Hello. DR и BDR этот для пакетов State Update и Link Acknowledgment.
Х Предназначен для рассылки OSPF-сообщений DR и BDR в одной сети. Все OSPF-маршрутизаторы, кроме DR. используют этот ад рес DR пакетов Link State Update и Link State Acknowledgment.
Сети типа Для всех OSPF-сообщений используется адрес A11SPF (224.0.0.5).
Такие сети не групповую рассылку. Поэтому IP-ад ресом назначения любого Hello или Link State является конкретный IP-ад рес соседа. IP-адрес соседа представляет собой обязательную часть конфигурации OSPF в Области OSPF В очень крупной автономной системе с большим числом сетей каждый OSPF-мар должен хранить LSA всех остальных маршрутизаторов в своей Поэтому размер LSDB па в большой автономной системе весьма велик. LSDB могут ресурсов. в результате таблица маршрутизации может ока заться крайне объемной, так как в ней должен быть записан маршрут к каждой сети в системе.
размер LSDB и сократить на вычислительные ти при формировании дерева SPF и маршрутизации, OSPF позволяет раз бивать автономную систему на области (areas) Ч сетей. Об ласти идентифицируются 32-разрядным параметром Area ID (Код кото рый выражается точечно-десятичной ГЛАВА 3 Одноадресная IP-маршрутизация Код области Ч административный он имеет никакого отно шения к IP-адресу или идентификатору сети. Если все сети внутри области соот ветствуют одному идентификатору сети, включающему идентификаторы подсетей, то для удобства код области можно приравнять этому идентификатору сети. Например, если область содержит все подсети IP-сети 10.1.0.0, код этой обла сти быть равным 10.1.0.0.
Уменьшение размера LSDB Чтобы свести к минимуму размер на каждом маршрутизаторе, LSA для се тей и области распространяются только в пределах этой и не попадают к маршрутизаторам за ее пределами. Каждая область становится им доменом состояний каналов связи (link state domain) с собственной LSDB.
Если маршрутизатор с несколькими областями, на нем хранится несколь ко LSDB и деревьев SPE А его таблица в таблиц маршрутизации для всех деревьев SPF, а также статические маршруты, шруты, и маршруты, полученные по другим лам маршрутизации.
Уменьшение размера таблицы маршрутизации Для числа записей в таблицах ров сети, находящиеся внутри области, могут объявляться за ее пределами с сум маршрутов. Так, на рис. 3-18 маршрутизатор па области также называемый граничным маршрутизатором области (area border router, о всех сетях внутри области в виде пар [ад рес назначения, маска маршрутизаторам областей 0.0.0.2 и Благодаря суммированию маршрутов summarization) топология области (сети и цена путей к ним) скрывается от остальной части ной системы.
Автономная система Область 0.0.0. Область 0.0.0. R Область Рис, 3-18. Автономная система и ее области 82 ЧАСТЬ Когда топология области остальная часть системы ся от (route flapping) Ч событий, связанных с появлени ем или отдельных сетей. Если появляется какая-то собы тие как пакет Link Update и по соседским попадает на все маршрутизаторы внутри области. сети внутри области объяв ляются за ее пределами с суммированием маршрутов, пакет Link State Update не пересекает этой области.
Бы можете просмотреть текущие области OSPF в оснастке Routing and Remote и доступ), правой мыши OSPF и выбрав команду Show Areas (Отобразить области).
Магистральная область Межсетевая среда OSPF Ч разбита она на области или нет Ч всегда имеет по край мере одну называемую магистральной (backbone Для нее заре зервирован код области 0.0.0.0. Из-за этого ее иногда называют областью 0.
Магистральная область как для межобластного транзитно го трафика и для информации о маршрутах областями.
Межобластной трафик (inter-area traffic) направляется сначала в магистральную Ч в область назначения и в конечном счете доставляется хосту-по лучателю, который находится в области (см. также раздел между областями далее в этой Каждый маршрутизатор в магистраль ной области также объявляет остальным маршрутизаторам в этой области сумми в пределах своих областей маршруты. Эти распространяют ся на маршрутизаторы областей. Таким образом, таблица на каж дом маршрутизаторе в любой из областей отражает маршруты, в лах области, и маршруты, соответствующие суммированным оповещениям от ABR остальных областей автономной системы.
на рис. 3-18 маршрутизатор R1 объявляет обо всех маршрутах в облас ти 0.0.0.1 всем маршрутизаторам (R2 и R3) с использованием свод ного оповещения R1 сводные оповещения от R2 и R3. R1 сконфигурирован на передачу суммированных маршрутов для области 0.0.0.0. Несмотря на механизм R1 информацию о сум маршрутах всем маршрутизаторам в области 0.0.0.1. При расчете таб лиц каждый маршрутизатор в области 0.0.0.1 учитывает суммиро ванные маршруты из областей 0.0.0.0, 0.0.0.2 и 0.0.0.3.
Типы Когда автономная система OSPF подразделяется на области, маршрутизаторы от носятся к одной или более категориям, определенным в таблице 3-4.
Таблица Типы OSPF-маршрутизаторов Тип Описание маршрутизатор Маршрутизатор, все интерфейсы которого (internal router) к одной области. На каждом внутреннем маршрутизаторе хранится одна ГЛАВА 3 Одноадресная IP-маршрутизация Таблица 3-4. (продолжение) Тип маршрутизатора Граничный маршрутизатор области интерфейсы которого подключены (area border к разным областям. На ABR хранится несколько LSDB Ч по одной на каждую подключенную область.
Маршрутизатор, один из которого (backbone или подключен к магистральной области. К затор магистральной торам этого типа относятся все ABR и внутренние of backbone area) маршрутизаторы магистральной области.
Граничный маршрутизатор Маршрутизатор, который информаци автономной системы ей о маршрутах с за пределами данной (AS boundary автономной системы ASBR оповещают о внеш маршрутах через автономную систему OSPF Маршрутизация между областями Маршрутизация внутри области осуществляется с ис кратчайшего пути к сети Поскольку маршруты внутри области тте суммируются, у каждого имеется маршрут к каждой сети внутри сто области (или областей).
Маршрутизация областями происходит так.
1. Маршрутизаторы области-источника пересылают пакет ближайшему но кратчайшему пути.
2. Магистральные маршрутизаторы пересылают пакет по кратчайшему пути бли жайшему ABR, подключенному к области, которая IP-адрес хоста по лучателя.
3. Маршрутизаторы внутри области, которая включает IP-адрес пересылают пакет этому хосту-получателю по кратчайшему пути, На рис. пакет через маршрутизаторы области 0.0.0.1 и на R1, один из маршрутизаторов области. Далее пакет но пересылается маршрутизаторами магистральной области (область 0.0.0.0) па маршрутизатор R2, И, наконец, попадает хосту-получателю через маршрути заторы области 0.0.0.2.
Примечание принимают решения о маршрутизации на ос нове не кодов областей, а записей в таблице IP-маршрутизации. В примере марш рутизации между областями, показанном на рис. 3-19, магистральные маршрутиза торы не пересылают пакет в область 0.0.0.2 явным Они посылают его по кратчайшему пути на маршрут, который лучше всего подходит для указанного в пакете IP-адреса 84 ЧАСТЬ 1 Маршрутизация Автономная Область Хост Хост получатель R1 (ABR) R Область 0.0.0. Область Рис. Маршрутизация между областями в OSPF Виртуальные каналы Области можно определить так, чтобы них было физически подключен ного к магистральной области. с магистральной областью остается воз можным за счет создания виртуального капала (virtual link) между магистральной областью и любой другой областью.
Виртуальные каналы создаются между любыми двумя маршрутизаторами, имею щими интерфейс с общей областью, от магистральной. Такая область на зывается (transit В транзитной области быть под ключенный к магистральной области. Виртуальные каналы создавать несколько транзитных областей.
Виртуальный канал Ч это логический с кратчайшим между ABR об ласти, отличной от магистральной, и магистральным ABR области, По каналу устанавливаются отношения виртуального соседства и исходит обмен информацией о маршрутах. Так же, как и в случае физических со седств, установление виртуального соседства требует совпадения двух маршрутизаторов виртуального канала (паролей, интервалов и исчез новения, и т. д.).
На рис. 3-20 в области 0.0.0.3 нет маршрутизатора, физически подключенного к области 0.0.0.0. Поэтому виртуальный канал создается через зитную область 0.0.0.2 между R2 и R3. Эти маршрутизаторы называются соседями по виртуальному (virtual l i nk neighbors), ГЛАВА 3 Одноадресная IP-маршрутизация Автономная система Область Область Виртуальный канал Область 0.0.0. область Область 0.0.0. Рис. 3-20. Виртуальный канал OSPF Конфигурирование виртуальных каналов Чтобы настроить виртуальный канал, воспользуйтесь оснасткой Routing and Re mote Access и сконфигурируйте виртуальный в свойствах протокола OSPF на каждом маршрутизаторе Ч соседе по виртуальному лу. Для этого Х параметр ID (Код области) транзитной области для виртуального канала;
Х параметр Router ID (Код маршрутизатора) для соседа по виртуальному каналу;
Х такие параметры соседства, как Retransmit (Интервал повторной пере дачи), Hello (Интервал приветствия), Dead (Интервал исчезно и Password (Пароль). Параметры Hello Interval, Dead Interval и двух маршрутизаторов на каждой стороне виртуального канала должны дать, чтобы отношения соседства. Параметр nit Interval определяет, сколько времени OSPF-маршрутизатор ждать перед повторной передачей пакетов Link State.
Чтобы просмотреть виртуальные каналы:
Х В оснастке Routing and Remote (Маршрутизация и удаленный доступ) раскройте узел IP Routing щелкните правой кнопкой мыши OSPF (OSPF) и выберите команду Show Virtual Interfaces виртуальные интерфейсы).
В появившемся окне Virtual (Виртуальные интерфейсы OSPF) бу дут показаны все сконфигурированные виртуальные интерфейсы и их состояние.
86 ЧАСТЬ 1 Маршрутизация Внешние маршруты Таковым любой маршрут, не внутри автономной системы OSPF. Внешними могут маршруты:
Х других протоколов маршрутизации, например RIP for IP и или BGP;
Х статические;
Х заданные на маршрутизаторе о внешних маршрутах по всей автономной системе OSPF через один или несколько ASBR. оповещает о доступности внешних маршрутов содержащих эти маршруты. Такие LSA растекаются по всей автономной системе (кроме изолированной области) и становятся частью дерева и таблиц маршрутизации. Трафик во сети перенаправляется внутри автономной системы с использованием кратчайшего пути к ASBR.
Автономная система с ASBR и маршрутами показана на рис.
. Область 0.0.0. Область 0.0.0. Область 0.0.0. Область 0.0.0. Рис. 3-21. маршруты OSPF Фильтры внешних маршрутов По в роли ASBR, импортируют и объявляют все внешние маршруты. Возможно, Вы захотите фильтровать маршруты, чтобы защитить автономную систему от получения некорректной формации или попыток нанесения В случае Windows 2000 внешние маршруты фильтруются на ASBR по источникам или индивидуальным маршрутам. Вы можете настроить ASBR на прием или игнорирование маршрутов определенных внешних источников, на пример протоколов (RIP или из других источников (статичес кие маршруты или Вы можете также настроить ASBR на прием или от клонение маршрутов, сконфигурировав одну или несколько нар [ад рес маска сети].
ГЛАВА 3 Одноадресная IP-маршрутизация Комбинация таких фильтров, настроенных на ASBR, гарантирует, что автономная система будет принимать только корректные внешние маршруты из ASBR и маршруты по умолчанию В отсутствие фильтров как ASBR, обо всех в том числе о статическом маршруте по умолчанию. маршрут по умолчанию должен быть для всех в Вашей автономной системе. Маршрут по умолчанию, указывающий па другой в автономной системе, на используемом как основной шлюз, окажется маршрут по умол чанию, в котором в качестве следующего перехода указан IP-адрес этого шлюза, то пакеты, пересылаемые с использованием маршрута умолчанию, будут отбрасы ваться на этом маршрутизаторе.
Если маршрут по умолчанию правилен не для всех OSPF-маршрутизаторов, его не следует объявлять. В корректном маршруте по умолчанию в качестве перехода быть указан адрес шлюза, внешнего для автономной системы, Избежать этой проблемы с маршрутом по умолчанию можно двумя способами, 1. Не настраивать основной шлюз на ASBR.
2. же на ASBR обязательно должен быть основной шлюз, создайте маршрутов OSPF для собственного маршрута по (адрес назначения 0.0.0.0 с маской сети 0.0.0.0).
Изолированные области Чтобы больше сократить объем информации о маршрутах, передаваемой в об ласти, OSPF использовать области (stub areas).
рованная область может единственную точку входа и выхода (один или несколько ABR, когда адреса по внешним маршрутам с использованием любого из ABR. В случае изолированной области с ABR маршруты ASBR, который расположен за этой области. маршруты системы передаются в область и не распространяются по ней. Маршрутизация во все внешние сети в области через маршрут по умолчанию рес 0.0.0.0 с маской сети 0.0.0.0). Таким образом, для на любые внешние по отношению к системе адреса в таблицах марш на маршрутизаторах изолированной области используется единственная запись.
Для маршрута по умолчанию ABR изолированной области объявляет та кой маршрут в этой области. Информация о маршруте по умолчанию на все маршрутизаторы внутри изолированной области, но не ее границ. Этот маршрут используется маршрутизаторами в изолированной для любых IP-адресов назначения, за пределами автономной область 0.0.0.3 на рис. 3-22 сконфигурирована как изолированная, пето му что весь трафик проходит через ABR этой маршрутизатор R3. Последний распространяет внутри области 0.0.0.3 маршрут по умолчанию, а информацию о сетях.
88 ЧАСТЬ 1 Маршрутизация Область 0.0.0. Область 0.0.0. Область 0.0.0. Область 0.0.0. ' Рис. 3-22. Изолированные области OSPF Все маршруты в области должны так, чтобы они не вызывали импорта или растекания маршрутов, внешних по отношению к авто системе, этой области. Поэтому все параметры, относящиеся к об ластям, для всех интерфейсов внутри изолированной области, дол жны быть применительно к данной области. Находится интер маршрутизатора в изолированной области или нет, косвенно указывается в битовом флаге Ч Hello. Если ра вен маршрутизатору разрешено и распространять внешние маршру ты, а если он 0 Ч запрещено. Перед отношений соседства мар шрутизаторы, принимая пакеты Hello, проверяют, подходит ли в них состояние Е бита к их конфигурации.
Изолированные области накладывают ограничения:
Х при настройке виртуальных использовать изолированную об ласть в качестве транзитной;
Х в изолированной области нельзя области, как и в RFC, относящихся к сворачи вают все внешние маршруты в единый маршрут по умолчанию. Таким образом, таб лица маршрутизации любого маршрутизатора внутри изолированной области со держит внутренние routes) и межобластные (inter-area routes), а также маршрут по умолчанию. Кроме того, маршрутизатор Windows живает сворачивание всех маршрутов, отличных от внутренних, в единый маршрут бита от mules. Ч ГЛАВА 3 Одноадресная IP-маршрутизация по умолчанию. Такая область полностью изолированной (totally stubby area). Таблица маршрутизации любого маршрутизатора внутри полностью изоли рованной области содержит только внутренние маршруты и маршрут по умолча нию. В этом случае маршрут по умолчанию суммирует все межобластные и вне шние маршруты.
Чтобы определить изолированную область на маршрутизаторе 2000, ус тановите в общих свойствах какой-либо области флажки Stub area ная область) и Import summary advertisements (Импорт итоговых объявлений). А для определения полностью изолированной области на маршрутизаторе Win dows 2000 сделайте то же по флажок Import summary advertisements.
Выявление и устранение проблем с OSPF Если среда OSPF настроена корректно, получают крат шие маршруты от соседних после конвергенции.
маршрутов, OSPF в таблицу IP-маршрутизации, от того, настроены ли области па суммирование своих маршрутов, применяются ли изолированные или полностью области, используются ли ли маршрутов, а также от ряда других факторов.
Большинство проблем с OSPF связано с установлением отношений соседства или логическим каналам, Не установив со седства, OSPF-маршрутизаторы не смогут синхронизировать свои а это при ведет к неправильному отражению ими топологии межсетевой Прочие блемы с OSPF связаны с отсутствием или некорректностью каких-либо маршру тов в таблицах IP-маршрутизации.
Не удается установить соседства Х Сначала убедитесь в том, что два соседних жны устанавливать отношения соседства. Если других маршрутизаторов, кроме них, в сети нет, отношения соседства должны быть установлены. же в сети более двух маршрутизаторов, отношения соседства устанавливаются только с и BDR. Если два маршрутизатора уже образовали соседство с DR и они никогда не установят соседства друг с другом. В этом случае их состояния соседства должны показываться как (Двусторонние).
Х Проверьте доступность соседнего командой ping и убедитесь, все ли в порядке с базовой по IP-адресам и Используйте команду tracert и проследите маршрут к соседнему тору. Между соседними маршрутизаторами не должно быть промежуточных маршрутизаторов.
Х Используйте средства протоколирования OSPF для регистрации ошибок и дупреждений, если установить отношения между не удается. Чтобы дополнительную о процессах включите трассировку для компонента OSPF. Подробнее о трассировке см.
ву 2 Служба маршрутизации и удаленного доступа в этой книге.
90 ЧАСТЬ 1 Маршрутизация Х Убедитесь, что в областях разрешена аутентификация и что используют пароли. Па OSPF-маршрутизаторах под управлением Windows 2000 аутентификация по умолчанию (при этом предлагает ся пароль по умолчанию аутентификацию одинаковым образом всех соседних OSPF-маршрутизаторах в одной сети. Для другой сети пароль может другим.
Х что у маршрутизаторов одинаковые Hello Interval (Ин тервал приветствия) и Dead Interval (Интервал По умолчанию Hello Interval равен 10 секундам, a Dead Interval Ч 40 секундам.
Х Убедитесь, что маршрутизаторы пришли к по поводу того, принад лежит ли общая сеть к Х Убедитесь, что параметр Area ID (Код области) в свойствах интерфейсов сосед них маршрутизаторов Х Если маршрутизаторы находятся в типа Х.25 или Frame Relay и соединение с этой сетью представлено адаптером (а не отдель ными адаптерами для каждой виртуальной цепи), их соседи должны быть на вручную с использованием IP-адреса того соседа (или соседей), которому нужно информацию о состоянии каналов.
Кроме того, проверьте параметров Router Priority (Приоритет марш рутизатора) быть таковы, чтобы один из маршрутизаторов мог стать главным в данной сети.
Х В широковещательных сетях (Ethernet, Token Ring, FDDI) или (X.25, Relay) убедитесь, что не у всех метра Priority равно 0. Минимум у одного маршрутизатора это значение быть 1 (или больше) Ч тогда этот маршрутизатор сможет стать глав в данной сети.
Х Убедитесь, что фильтрация IP-пакетов препятствует приему входные фильтры) или передаче (через фильтры) на фейсах маршрутизатора, на которых задействован OSPF (он использует IP-про токол 89).
Х также, что фильтрация не мешает приему на интерфейсах, на OSPF.
Не удается создать виртуальный канал Х Проверьте, заданы ли на маршрутизаторах Ч соседях по виртуальному каналу одинаковые пароли, а также параметры Hello Interval (Интервал приветствия) и Dead Interval (Интервал Х Проверьте на каждом маршрутизаторе правильность настройки параметра Rou ter ID (Код Х Убедитесь, что оба соседа по виртуальному каналу настроены на одну и ту же Х Б больших межсетевых средах со значительными задержками передачи по всей транзитной области (round-trip across the transit что интервал повторной передачи достаточно велик.
ГЛАВА 3 Одноадресная IP-маршрутизация Отсутствие или некорректность в таблицах Х Если Вам удается получать для какой-либо области, что все этой области сконфигурированы с ми парами [адрес назначения, маска сети], суммирование маршрутов нужной области.
Х Если Вы получаете как индивидуальные, так и OSPF-маршру ты для какой-либо области, убедитесь, что ABR этой области сконфигури рованы с правильными парами [адрес назначения, маска ми суммирование маршрутов нужной области.
Х Если Вы не получаете маршруты от ASBR, проверьте, не слишком ли строги критерии источников и маршрутов на ASBR, из-за нуж не распространяются в автономную систему OSPF. Фильтрация и маршрутов настраивается па вкладке External Routing (Внешняя маршрутизация) окна свойств протокола маршрутизации OSPF ос настке Routing and Access и удаленный доступ).
Х Убедитесь, что все ABR к магистральной области Ч либо физичес ки, либо логически (с использованием виртуального канала). Следите, чтобы не было действующих с черного (backdoor routers), т. е.
которые соединяют две области в обход магистральной, Агент ретрансляции DHCP Маршрутизатор Windows 2000 является агентом ретрансляции соответ ствующим RFC 1542. ретранслирует между ми и в IP-сетях. В роли маршрутизатор Win dows 2000 функционирует как DHCP (Агент ретрансляции DHCP).
Без агента ретрансляции DHCP в каждой подсети, где есть шлось бы установить DHCP-сервер. Агент ретрансляции DHCP принимает DHCP-сообщения от и пересылает их на IP-адре са DHCP-серверов. Ответы от DHCP-сервера посылаются на IP-адрес рет рансляции DHCP, который затем их Подробнее о DHCP и его реализации в Windows 2000 см. книгу Сети из серии Ресурсы Microsoft Windows 2000 Server.
DHCP и IP-маршрутизаторы В IP-средах следует разметать в стратегичес ких точках обслуживания DHCP-клиентов нескольких сетей. Для эффективной работы такой DHCP-сообщения должны IP-маршрути заторы с помощью DHCP.
Помимо агент ретрансляции DHCP играет активную роль в регистрации информации, необходимой для настройки DHCP, и помогает адресовать между серверами и клиентами DHCP.
Инициализация DHCP Инициализация DHCP осуществляется который еще ни разу не арендовал IP-адрес, ранее выделенный ему IP-адрес или получил 92 ЧАСТЬ 1 Маршрутизация DHCPNack в ответ на попытку аренду В процессе инициализации DHCP четыре DHCPRequest и DHCPDiscover DHCP-клиент посылает сообщение содержащее го на IP-адрес ограниченной широковещательной рассылки (255.255.255.255) и адрес широковещания на МАС-уровне. Это сообщение прини мает и агент ретрансляции DHCP.
Как определено в RFC 1542, агент ретрансляции DHCP может пересылать пакет на широковещательной, групповой или адресной (одновещательной) рас сылки. На практике агенты DHCP пересылают сообщения DHCP Discover непосредственно на IP-адреса (т. е. используют рассылку). Перед пересылкой исходного сообщения DHCPDiscover ретранс ляции DHCP вносит в него следующие Х значение поля числа переходов в DHCP-заголовке. Это поле висимо от поля в и определяет, через сколько сетей DHCPDiscover прошло как пакет. При превы шении числа переходов сообщение DHCPDiscover молча от брасывается. число переходов, используемое агентом в 2000 по равно 4.
Х При необходимости обновляет IP-адреса ретрансляции (также известное как поле IP-адреса шлюза) в DHCP-заголовке. Когда DHCP-клиент посылает сообщение DHCPDiscover, в поле IP-адреса ретрансляции содержится значение 0.0.0.0. Если IP-адрес ретрансляции равен 0.0.0.0, агент ретрансляции DHCP записывает IP-адрес интерфейса, по которому было данное сообщение DHCPDiscover. Если же IP-адрес имеет другое значение (не 0.0.0.0), агент ретрансляции DHCP не модифицирует его. В поле IP-адреса рет рансляции регистрируется первый интерфейс маршрутизатора на пути переда чи DHCPDiscover.
Х Изменяет источника сообщения DHCPDiscover на IP-адрес интерфей через который было принято это сообщение.
Х Изменяет IP-адрес сообщения DHCPDiscover на IP-адрес DHCP сервера.
Агент ретрансляции DHCP посылает сообщение DHCPDiscover как IP а как широковещательный. Если агент ретрансляции настроен на взаимо действие с несколькими DHCP-серверами, он посылает каждому копию сообщения DHCPDiscover.
Отвечая на запрос DHCP-клиента о выделении IP-адреса, использу ет поле ретрансляции следующим образом.
Х IP-адрес ретрансляции сравнивается (логической операцией AND) с масками областей чтобы найти область, ГЛАВА 3 Одноадресная IP-маршрутизация чей идентификатор сети совпадает с идентификатором сети в ретран сляции. Если найдено, выделяет IP-ад из этой области.
Х предложение клиенту, DHCP-сервер посылает сообщение Offer на IP-адрес ретрансляции как на IP-адрес Однажды полученный агентом ретрансляции DHCP, IP-адрес ретрансляции ис пользуется для определения на который следует переслать сообщение Далее оно пересылается клиенту с использованием предложенного IP адреса как IP-адреса получателя, а МАС-адреса клиента как МАС-адреса чателя.
посылает сообщение которое, как и DHCPDiscover, содержит клиента, на IP-адрес ограниченной сылки 255.255.255.255 и адрес широковещания на Агент ретрансля ции DHCP принимает это сообщение и его как адресный IP-пакет скон DHCPAck DHCP-сервер посылает сообщение DHCPAck на ретрансля ции Ч так же, как и DHCPOffer. Когда агент ретрансляции DHCP при DHCPAck, он его на предложенный клиенту IP-адрес и его МАС-адрес.
Возобновление после перезагрузки При работы клиент Microsoft DHCP не DHCPRelease. Вместо этого при перезагрузке DHCP-клиент пытается лучить тот IP-адрес, который был у него в прошлый и с этой целью исполь зует сообщения и DHCPAck.
DHCPRequest Когда клиент Microsoft DHCP перезагружается, он пытается свои пре жний IP-адрес, посылая широковещательное сообщение DHCPRequest. Это сооб щение, отправляемое на IP-адрес ограниченной широковещательной рассылки 255.255.255.255 и адрес широковещания на МАС-уровне, содержит и клиенту IP-адрес. ретрансляции DHCP принимает и обрабатывает его почти так же, как и сообщение DHCPDiscover. Пе ред пересылкой агент ретрансляции DHCP:
Х увеличивает счетчик числа переходов в Х регистрирует IP-адрес интерфейса, по которому было получено данное сообще ние DHCPRequest, в поле IP-адреса ретрансляции;
Х заменяет IP-адрес источника IP-адресом интерфейса, по которому было то данное широковещательное сообщение DHCPDiscover;
Х заменяет IP-адрес получателя на адрес DHCP-сервера, записанный в и это как адресный IP-пакет.
94 ЧАСТЬ 1 Маршрутизация DHCPAck и DHCPNack получив ранее вы деленного клиенту IP-адреса с идентификатором сети IP-адреса ретрансляции.
Х Если два идентификатора одинаковы и прежний IP-адрес можно вновь выде лить изначально DHCPAck на указанный в IP-адреса ретрансляции. Когда агент ретрансляции DHCP получает он переадресует его на предложенный IP-адрес и клиента.
Х Если два идентификатора одинаковы и прежний IP-адрес нельзя вновь лить DHCP-клиенту, изначально посылает DHCPNack на IP-ад рес, указанный в поле IP-адреса ретрансляции. Когда агент DHCP получает сообщение DHCPNack, он его на предложенный IP-ад рес и клиента. В этот должен заново начать процесс IP-адреса, послав Х Если два идентификатора не DHCP-клиент в дру гую и DHCP-сервер посылает DHCPNack на указанный в иоле IP-адреса ретрансляции. Когда агент DHCP сооб щение DHCPNack, он его на предложенный IP-адрес и МАС-ад рес клиента. В этот момент DHCP-клиент должен заново начать процесс полу чения IP-адреса, послав сообщение Выявление и устранение проблем с агентом ретрансляции DHCP Если агент ретрансляции DHCP в Windows 2000 не предоставляет сервисов рет рансляции DHCP-клиентам в сети, проверьте следующее.
Х Убедитесь, что интерфейс Windows 2000, подключенный к той сети, где находятся добавлен к протоколу DHCP Relay Agent.
Х Убедитесь, что флажок Relay DHCP packets установлен для того ретрансляции DHCP, который подклю чен к сети с Х Убедитесь, что IP-адреса сконфигурированные в глобальных агента DHCP, для DHCP-серверов в Вашей межсетевой среде.
Х С на котором работает агент ретрансляции DHCP, запустите утилиту Ping, чтобы проверить возможность соединения с каждым DHCP-cep в глобальных ретрансляции. Если Вам не удается с устраните с поддерж кой на участке между маршрутизатором с агентом ретрансляции и DHCP-серверами.
Х Убедитесь, что фильтрация не (через входные фильтры) или передаче (через выходные фильтры) DHCP-тра 67 и Х Убедитесь, что на маршрутизатора не препят ствует приему DHCP-трафика.
ГЛАВА 3 Одноадресная IP-маршрутизация NAT Network Address Translator (NAT) (Средство сетевых это определенный в RFC 1631 и способный транслировать IP адреса и номера пакетов в их пересылки. Возьмем для примера сеть малого предприятия со множеством компьютеров, к Интернету. В нормальной на малом предприятии каждый в сети обычно получает общий IP-адрес от провайдера услуг Интернета (Internet Service Provider, ISP). Однако при наличии NAT малое может зовать частные (как описывается в RFC 1597) и NAT-карту, увязывающую его частные адреса с единственным или несколькими IP-адресами, выде ляемыми 1SP.
если малое предприятие частную сеть 10,0.0.0 для своей a ISP выделил ему один общий IP-адрес 198.200.200.1, то транслиру ет (с помощью статических или динамических сопоставлений) все частные IP реса, сети в общий IP-адрес 198.200.200.1, Когда какой-либо пользователь в этого предприятия подключается к Интернет-ресурсу, стек IP на компьютере пользователя создает IP-пакет со следу ющими параметрами в IP- и либо в либо (полужирным шрифтом значения, NAT):
Х Destination IP (IP-адрес приемника): IP-адрес Х Source IP (IP-адрес частный IP-адрес;
Х Destination Port (Порт приемника): TCP- или Интернет-ресурса;
Х Source Port (Порт источника): TCP- или приложения-источника.
или другой маршрутизатор пересылает этот IP-пакет в NAT, ко торый транслирует адреса исходящего пакета следующим образом (полужирным шрифтом выделены изменяемые NAT):
Х Destination IP Address: IP-адрес Интернет-ресурса;
Х Source IP Address: общий адрес, выделенный ISP;
Х Port: TCP- или UDP-порт Интернет-ресурса;
Х Source Port: перенумерованный TCP- или UDP-порт NAT посылает преобразованный IP-пакет через Интернет и получает ответ от зываемого компьютера. Пакет, содержит следующую информа цию об адресах (полужирным шрифтом выделены изменяемые NAT):
Х Destination IP Address: общий адрес, выделенный ISP;
Х Source IP Address: IP-адрес Интернет-ресурса;
Х Destination Port: перенумерованный TCP- или UDP-порт ника;
Х Source Port: TCP- или UDP-порт В нашем тексте этот сетевых адресов. Ч ЧАСТЬ 1 Маршрутизация Когда NAT сопоставляет и транслирует адреса, а затем пересылает пакет клиенту интрасети, этот содержит следующую об адресах шрифтом изменяемые NAT):
Х Destination IP Address: частный IP-адрес;
Х Source Address: IP-адрес Интернет-ресурса;
Х Destination TCP- или приложения-источника;
Х Source Port: TCP- или UDP-порт Интернет-ресурса.
В исходящих пакетах частный источника и номер TCP/UDP-порта пре в общий IP-адрес источника и возможно измененный номер аорта. Во входящих пакетах общий IP-адрес приемника и номер TCP/UDP-порта в частный IP-адрес и исходный номер Статическое и динамическое сопоставление адресов NAT использует либо статическое, либо Статическое сопоставление настраивается так, чтобы трафик всегда сопоставлялся одним спо собом. Вы можете сопоставить с определенным Интернет-адресом весь на правляемый на адрес частной сети и исходящий с него. Так, чтобы настроить Web-сервер на в Вашей частной сети, Вы статичес кое сопоставление IP-адрес, TCP-порт 80] с IP-адрес, TCP-порт 80].
Динамические сопоставления создаются, когда пользователи в частной сети ини трафик на NAT автоматически добавляет сопостав в свою таблицу и обновляет их при каждом использовании.
Если динамическое сопоставление не обновлено в течение заданного времени, оно удаляется из таблицы. Для TCP-соединений по умолчанию составляет часа. Для аналогичный таймаут равен минуте.
Корректная трансляция полей заголовков По умолчанию NAT транслирует IP-адреса и Эти изменения в IP-дейтаграмме модификации и пересчета следующих полей в TCP- и Х Source IP Address (IP-адрес источника) (в пакете, исходящем из частной сети), Destination IP Address (IP-адрес приемника) (в входящем в частную сеть);
Х IP Checksum (Контрольная сумма IP);
Х Source Port (Порт источника) пакете, исходящем из частной Destination Port (Порт приемника) (в пакете, входящем в частную сеть);
Х TCP Checksum (Контрольная сумма TCP);
Х Checksum (Контрольная сумма UDP).
Если об IP-адресах и портах только в IP- и TCP/UDP-за головках (как в случае HTTP-трафика), ее трансляция не представляет никакой сложности. Однако существуют приложения и протоколы, которые передают ин формацию об IP-адресах или портах в собственных заголовках. FTP, например, хра пит представление в для FTP-коман ГЛАВА 3 Одноадресная IP-маршрутизация port. NAT у Вас могут про блемы с соединениями. Кроме того, в случае FTP Ч им IP-адресов в точечно-десятичном формате Ч IP-адрес в головке может получиться другого размера. Поэтому NAT приходится модифици ровать и чтобы исключить потерю каких-либо данных.
Редакторы NAT В том сдучае, когда компоненту NAT приходится дополнительно транслировать и полезные за TCP- и UDP-заголовками, нужен NAT. Редактор NAT Ч это устанавливаемый способный корректно из менять полезные которые иным правильно В Windows 2000 встроены редакторы NAT для протоколов:
Х FTP;
Х ICMP;
Х Х NetBIOS поверх TCP/IP Кроме того, протокол маршрутизации NAT для протоколов:
Х Х Direct Play;
Х на основе LDAP;
Х RPC, Примечание нельзя.
Процессы NAT на маршрутизаторе Для службы маршрутизации и удаленного доступа в Windows 2000 NAT собой протокол маршрутизации, известный как Network Разрешить использование компонента NAT можно в оснастке Routing and Remote Access, добавив Network Address Translation как протокол мар шрутизации.
Примечание Сервисы NAT доступны и при функции разделения Интернет-соединений;
эта активизируется через Network and Dial up Connections (Сеть и удаленный доступ к сети). Функция (совмест ного использования) Интернет-соединений делает то что и протокол маршру тизации NAT в службе и доступа, но гораздо менее гиб ка. О настройке совместного использования Интернет-соединений и о том, в каких случаях эта предпочтительнее протокола маршрутизации NAT, см. спра вочную Windows 2000 Server.
С протоколом маршрутизации NAT автоматически устанавливается целый редакторов NAT. При коррекции данных 98 ЧАСТЬ в данный момент, NAT к одному Редактор модифицирует и возвращает результат компоненту NAT.
NAT с TCP/IP для:
Х поддержки динамических сопоставлении Ч при необходимости NAT зап рашивает уникальные номера TCP- и от стека протоколов TCP/IP;
Х получения от TCP/IP и последующей пакетов, пересылаемых меж ду частной сетьн) и Интернетом.
Компонент NAT и его взаимосвязь е TCP/IP и другими компонентами маршрути затора на рис. 3-23.
tP Router Manager Конфигурирование Назначение порта Процесс редактирования Трансляция Рис. 3-23. Компоненты NAT Исходящий Интернет-трафик В случае трафика частной сети, который передается по Интернет-интерфейсу. NAT сначала имеется ли для данного пакета сопоставление адресов/портов Ч статическое или динамическое. Если нет, создается сопоставление.
Создавая сопоставление, NAT доступен один общий IP-адрес или не сколько.
Х Если доступен единственный общий IP-адрес, NAT уникаль ный TCP- или для этого адреса и полученный порт.
Х Если доступно несколько общих NAT сопоставляет частный IP-ад рес с общим. Для таких трансляция портов не осуществляется.
Когда возникает необходимость в последнего общего IP-адреса, NAT переключается на тот алгоритм, который применяется при един ственного общего IP-адреса.
После сопоставления NAT редакторы и необходимо сти вызывает один из них. Когда заканчивается, NAT рует и IP-заголовки и пересылает полученный кадр по терфейсу.
Обработку исходящего Интернет-трафика компонентом NAT иллюстрирует рис. 3-24.
ГЛАВА 3 Одноадресная IP-маршрутизация Начало Создать сопоставление Т ли сопоставление?
Да Нет да редактор?
Вызвать редактор UDP TCP TCP UDP?
Транслировать Транслировать TCP-порт источника;
обновить источника;
обновить контрольную сумму сумму Транслировать IP-адрес источника: обновить контрольную сумму Обновить сопоставление Переслать через интерфейс, подключенный к Интернету Рис. 3-24. Обработка исходящего Интернет-трафика компонентом NAT 100 ЧАСТЬ 1 Маршрутизация Входящий Интернет-трафик В случае трафика частной сети, принимается по Интернет-интерфейсу, NAT сначала оценивает, имеется ли для пакета адресов/пор тов Ч статическое или динамическое. Если нет, КАТ отбрасывает этот пакет.
Такое поведение NAT защищает сеть от злоумышленников из Интернета.
Трафик Интернета пересылается в частную сеть только в ответ на трафик, кото рый пользователем частной сети и NAT динамичес кое сопоставление, или при наличии статического разрешающего доступ Интерлета к определенным ресурсам в частной сети.
После сопоставления NAT проверяет редакторы и при необходимо сти вызывает из Когда КАТ рует и [Р-заголовки и пересылает кадр по интерфейсу частной сети.
Обработку входящего компонентом NAT иллюстрирует рис. 3-25.
Дополнительные компоненты протокола маршрутизации NAT Для сетей офисов (SOHO) с подклю к Интернету протокол NAT в Windows 2000 также включа (DHCP и (DNS proxy).
делитель Этот компонент предоставляет информацию об дру гим и DHCP-распределитель Ч это упрощенный сервер, который IP-адрес, маску подсети, основной и IP-адрес DNS Вы настроить компьютеры в сети с DHCP как чтобы они автоматически параметры конфигурации TCP/IP в Win dows 2000, Windows NT и Windows по умолчанию компьюте ры как DHCP-клиенты.
В таблице 3-5 перечислены DHCP в и PAck, посылаемых в IP-адресов. Мо дифицировать параметры внести дополнительные нельзя.
Таблица 3-5. DHCP-распределителя Код параметра Значение параметра 1 255.255,0.0 Маска подсети 3 частного Маршрутизатор (основной шлюз) 6 IP-адрес (только если включен DNS-прокси) и еа 58 5 минут Время возобновления аренды 59 5 суток Время повторной привязки 51 7 суток Срок аренды IP-адреса Доменное имя с NAT ГЛАВА 3 Одноадресная IP-маршрутизация Начало Отбросить пакет ли сопоставление?
Да С Нет Да подходящий редактор?
Вызвать TCP TCP и Транслировать UDP-порт TCP-порт обновить источника;
контрольную сумму сумму Транслировать IP-адрес источника: обновить контрольную сумму Обновить Переслать через подключенный к частной сети Рис. 3-25. Обработка входящего Интернет-трафика компонентом NAT 102 ЧАСТЬ 1 Маршрутизация лишь одну область IP-адресов, настроенную на вкладке Address Assignment (Назначение адресов) окна свойств протокола мар Network Address Translation (NAT) (NAT преобразование сетевых адресов), открываемого из оснастки Routing and Remote Access (Маршрутизация и удаленный доступ), DHCP-распределитель не более одной области, а также суперобласти (superscopes) и многоадресные области scopes).
Если Вам такая функциональность, DHCP-сервер и отключите DHCP-распределитель в свойствах протокола маршрутизации NAT.
DNS-прокси выступает в роли DNS-сервера для и SOIIO сети. от клиентских компьютеров посылаются на который пересылает их как DNS-запросы от имени к му Ответы на незавершенным зап росам клиентских компьютеров, принимаются и пересылают ся клиентам.
Выявление и устранение проблем с NAT Большинство с NAT связано с некорректным преобразованием пакетов.
Прочие проблемы относятся к и разрешению имен.
NAT-компьютер неправильна преобразует пакеты я что маршрутизатора Windows 2000, по которому он под к к протоколу маршрутизации Network Address Translation (NAT) (NAT - преобразование сетевых адресов).
Х Убедитесь, что на вкладке General (Общие) окна свойств Интернет-интерфейса установлен переключатель Public interface connected to the Internet (Общий интерфейс к Х Убедитесь, что на вкладке General свойств интерфейса частной сети уста новлен переключатель Private interface connected to private network (Частный интерфейс к частной сети).
Х Если у Вас имеется лишь один общий IP-адрес, установите флажок Translate TCP/UDP headers (Преобразовать на General окна свойств Интернет-интерфейса, Х Если у Вас несколько общих IP-адресов, проверьте, правильно ли они набраны в полях на вкладке Address Pool (Пул адресов) окна свойств Интернет-интер фейса. Если в Ваш пул включен IP-адрес, выделенный Вам провайдером ус луг Интернета (ISP), то входящий Интернет-трафик, с этим IP-ад ресом, будет ISP в какое-то другое место.
Х Если некое приложение не работает NAT, попробуйте запустить его с Если оно работает на и не функционирует на любом другом компьютере в частной сети, то, вероятно, его полезные данные не удается транслировать. Проверьте протокол, используемый этим приложением, и сравните его со списком редакторов, поддерживаемых NAT. При необходимо сти свяжитесь с поставщиком данного и выясните, как оно работа ет в ГЛАВА 3 Одноадресная IP-маршрутизация i Х что IP-пакетов на интерфейсах, подключенных к Интер нету и сети, не препятствует приему (через входные фильтры) или пе редаче (через выходные фильтры) Интернет-трафика.
Х что на интерфейсах, подключенных к Интерне ту и сети, не препятствует приему трафика.
Х При использовании особых портов проверьте общего адреса/пор та и частного адреса/порта.
Хосты в частной не получают конфигурацию IP-адресов Убедитесь, что на вкладке Address Assignment (Назначение в окне протокола маршрутизации Network Address Translation (NAT) (NAT зование сетевых адресов) включено назначение IP-адресов с ис DHCP.
Разрешение имен для хостов в частной сети не функционирует Х Убедитесь, что на вкладке Address Assignment в окне свойств протокола марш рутизации Network Address Translation (NAT) использование решено.
Х Проверьте настройки разрешения имен на с помощью ды Существует два настройки разрешения имен при к ISP.
Х Статически серверы имен. Вы должны вручную настроить TCP/IP на или серверов имен, ISP. В этом случае Вы можете в момент воспользоваться командой ipconfig и по лучить IP-адреса своих серверов имен.
Х назначаемые серверы имен. Настройка не требуется.
IP-адреса серверов имен, предоставляемые ISP, динамически назначаются при соединении с ISP. В этом случае Вы должны командой ipconfig после с ISP.
Фильтрация IP-пакетов Для обеспечения защиты IP-маршрутизатор может IP-трафик. Эта называемая фильтрацией позволяет администрато ру сети очень точно определять, какой именно IP-трафик разрешается принимать и пересылать маршрутизатору. Фильтрация IP-пакетов Ч важное звено в соедине нии корпоративных с сетями типа Интернета.
Фильтрация IP-пакетов требует создания серии определений, называемых рами;
они определяют, какие виды трафика разрешены па каждом интерфейсе шрутизатора. Фильтры могут устанавливаться как для так и для исхо трафика.
Х Входные фильтры определяют, какой входящий трафик на данном интерфейсе может быть перенаправлен или обработан Х Выходные фильтры определяют, какой трафик передавать маршру тизатору по данному интерфейсу.
104 ЧАСТЬ 1 Маршрутизация Поскольку для каждого определить как входные, так и выход ные риск создать конфликтующие фильтры. Например, входной фильтр на одном разрешает прием какого-то трафика, но фильтр на другом запрещает передачу этого трафика. Дело кончится тем, что трафик сможет пересечь данный Win dows 2000.
пакетов может быть реализована не только на маршрутизаторе, но и на любом другом под Windows 2000. Это филь тровать специфические подмножества и исходящего трафика.
Фильтры пакетов с осторожностью, чтобы они не оказались чрез мерно ограничивающими и нарушили других которые могут работать данном компьютере. Например, если на компьютере с 2000 выполняются Internet Information Services (IIS) Ч службы, которые этот в Web-сервер, Ч а фильтры пакетов так, что пропускают лишь к Web, то Вы не использовать утилиту Ping (выдающую Echo Request и Echo Reply) для про верки базовой функциональности IP. Л если этот Web-сервер является и хос том Silent RIP, те же фильтры позволят службе Silent (Пассивный RIP) при нимать Примечание При устранении проблем с сетевыми соединениями и базовой функ IP на компьютере под Windows 2000, фильтрацию пакетов, сначала убедитесь, что эти фильтры не препятствуют переда че или приему пакетов того протокола, с которым проблемы.
Фильтрация IP-пакетов в Windows Фильтрация IP-пакетов в Windows 2000 основана на исключения. Вы настраиваете Windows 2000 либо на пропуск всего трафика, кроме запрещенного фильтрами, либо на игнорирование всего трафика, кроме разрешенного фильтра ми, Например, Вам может понадобиться сконфигурировать фильтр, пропускающий весь трафик, кроме трафика (TCP-порт 23). Или создать фильтры на выде ленном Web-сервере для обработки только TCP-трафика, связанного с Web (TCP порт 80).
Примечание Маршрутизатор Windows 2000 не позволяет применять пользователь ские фильтры там, администратор сети может создать фильтр на основе каких полей или кроме того, он поддерживает фильтрацию лить но протоколам IP, TCP, UDP и Windows 2000 поддерживает фильтрацию на основе содержимого различных полей в UDP- и входящих и исходящих пакетов.
IP-заголовок В IP-заголовке фильтры могут быть определены для следующих полей.
IP Protocol Идентификатор, применяемый при демультиплекси ровании полезных данных IP-пакета для протокола более высокого уровня. Напри мер, по умолчанию TCP использует протокол 6, Ч a Ч ГЛАВД 3 Одноадресная IP-маршрутизация Source IP Address (IP-адрес источника). IP-адрес источника, в котором может быть маска подсети, что целый ответствующих IP-сети) в одном элементе фильтра.
Destination IP Address приемника). IP-адрес в котором может быть указана маска что целый диапазон IP-ад ресов (соответствующих IP-сети) в одном фильтра.
TCP-заголовок В TCP-заголовке фильтры могут быть определены для двух полей: 1) TCP Source Port источника), для который данный TCP-сегмент, и 2) TCP для сегмента.
Примечание Маршрутизатор Windows 2000 не указывать в одном тре диапазон TCP-портов. Чтобы задать диапазон TCP-портов, придется лять отдельные фильтры для каждого порта из диапазона.
В UDP-заголовке фильтры могут быть определены для двух полей: 1) Port источника), используемого для процесса-источни ка, который отправляет UDP-сообшение, и 2) UDP Destination (UDP порт приемника), применяемого для идентификации данного UDP-сообщения.
Примечание Маршрутизатор Windows 2000 не в одном тре Чтобы задать опреде лять фильтры для каждого порта из фильтры могут быть определены для двух полей: Ту (Тип задающего тип (например, или эхо-ответ), и 2) ICMP Code (Код указывающего одну из функций, допусти мых для тина. Если для типа имеется одна функция, ноле ICMP Code содержит 0.
Часто используемые типы и коды 1СМР перечислены в 3-6.
Таблица 3-6. Часто используемые типы и коды ICMP Тип ICMP Код ICMP О 0 Echo Reply (Эхо-ответ) В 0 Echo Request 3 0 Destination (Адресат Сеть 3 1 Unreachable (Адресат недоступен/Узел (см.
106 ЧАСТЬ 1 Маршрутизация Таблица 3-6. (продолжение) Тип 3 2 Destination недоступен/ недоступен) 3 3 Destination Unreachable (Адресат 3 4 Destination Needed and Don't Fragment Flag Set (Адресат недоступен/Требуется фрагментация, но флаг DF) 4 0 Source Quench (Замедление источника) Redirect/Redirected datagrams for the host (Перенаправление/Дейтаг раммы на узел) 9 0 Advertisement (Оповещение маршрутизатора) 10 0 Solicitation (Сбор сведений о маршрутизаторах) 0 Time Exceeded/TTL Expired истек) 11 1 Time Exceeded/Fragmentation Reassembly (Время превыше но/Срок восстановления фрагментации истек) 12 0 Parameter Problem с параметром) Примечание Полный список типов и кодов ICMP см. по ссылке на странице windows.microsoft.com/windows2000/reskit/vvebresources.
Входные фильтры Входные фильтры по принципу исключения. Вы можете сделать так, чтобы фильтр либо принимал весь трафик, кроме заданного, либо весь трафик, кроме указанного.
Если задано несколько фильтров, отдельные фильтры, к входяще му пакету, сравниваются логической OR. Если пакет подходит хотя бы под один фильтр, он принимается или игнорируется в зависимости от действия данного фильтра.
Выходные фильтры Выходные фильтры тоже настраиваются по исключения. Вы можете сде лать так, чтобы фильтр либо пропускал весь трафик, кроме заданного, либо игно рировал весь трафик, кроме указанного.
Если задано несколько то фильтры, применяемые к исходя щему пакету, логической операцией OR. Если пакет подходит хотя бы под один фильтр, он передается или игнорируется в зависимости от действия фильтра.
Настройка фильтра При добавлении или изменении фильтра Вы настраиваете его параметры в диало говом Add IP Filter (Добавление IP-фильтра) или Edit IP Filter (Изменение IP-фильтра) соответственно. Если Вы задаете несколько параметров для какого ГЛАВА 3 Одноадресная IP-маршрутизация либо фильтра, то его к входящему пакету эти параметры ваются логической AND. Чтобы пакет удовлетворял критериям ра, его поля соответствовать всем параметрам фильтра.
Примечание Сконфигурировать раздельные активные фильтры для Receive all packets except those that meet the criteria below (Принимать пакеты, кроме тех, что отвечают указанным ниже критериям) и Drop all packets except those meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают ным ниже критериям) нельзя.
В диалоговом окне Add IP Filter или Edit IP Filter можно настроить следую щие поля.
Source Network (Исходная сеть) Х JP Address (IP-адрес). Введите сети источника или IP-адрес ис Х Subnet Mask (Маска подсети). Для идентификатора сети источника введите со ответствующую маску а для IP-адреса источника Ч 255.255.255.255.
Destination Network (Сеть назначения) m IP Address (IP-адрес). Введите идентификатор сети назначения или IP-адрес назначения.
Х Subnet Mask (Маска подсети). Для идентификатора сети назначения введите соответствующую маску подсети, а для IP-адреса источника Ч Protocol (Протокол) m TCP (TCP). Протокол = 6. Выберите этот вариант, чтобы появились поля, в которых Вы сможете указать TCP-порты источника и (адресата).
только одно или оба поля. Если Вы оставите эти поля пусты ми, они получат по умолчанию (0), что соответствует любому Х TCP (TCP Протокол = 6. этот вариант, если Вы хотите определить TCP-трафик для TCP-соединений, установленных с помощью маршрутизатора.
Х Протокол = 17. этот вариант, чтобы появились поля, в которых Вы сможете указать источника и назначения Можно только одно или оба поля. Если Вы оставите эти поля пусты они получат значение по умолчанию (0), что соответствует любому Х (ICMP). Протокол = 1. Выберите этот вариант, чтобы появились поля, в которых Вы указать код и тип ICMP. Можно заполнить только одно или оба поля. Если Вы эти поля пустыми, они получат то умолчанию (255), что соответствует любому коду или типу.
Х Any (Любой). Выберите этот вариант, чтобы был принят номер кола IP.
Х Other (Другой). этот вариант, чтобы в сможете указать любой протокол IP.
ЧАСТЬ 1 Маршрутизация Варианты фильтрации В этом с приведены фильтров для часто реализуемых вариантой фильтрации.
Если Вы решили любые из наборов филь тров, убедитесь, что они пропуск подмножества трафика и в то же время требуемый защиты. Например, если Вы комбини руете наборы фильтров для локального хоста и то из-за особеннос тей фильтров (AND Ч фильтра, OR Ч между фильтрами), бу дет разрешен весь трафик, адресованный хосту. фильтр для Web-трафика будет фактически игнорироваться.
Фильтрация локального хоста Используйте такую фильтрацию, чтобы разрешить обработку только трафика, ад ресованного хосту. локального хоста (local host filtering) блокирует пересылку пакетов по интерфейсу, на котором она Эта фильтрация при в том случае, когда подключена к Интернету и прямая марш рутизация пакетов между и нежелательна. В этом вариан те фильтрация хоста осуществляется на Сконфигурируйте следующие фильтры на интерфейсе, соединенном с Интернетом.
Они разрешают пропуск по интерфейсу только трафика, адресованного данному хосту или всем хостам в сети, либо трафика.
Выбор действия фильтра Drop all except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям) приведет к серии входных фильтров со следующими атрибутами.
назначения хоста В диалоговом окне Add IP Filter (Добавление IP-фильтра) установите флажок Destination network (Сеть назначения), а затем введите в соответствующих полях IP-адрес хоста и маску подсети 255.255.255.255.
назначения для широковещательной рассылки в 1. В диалоговом окне Add IP Filter флажок Destination network, а за тем введите в полях IP-адрес широковещательной рассылки в подсети хоста и маску подсети 255.255.255.255.
2. Чтобы определить широковещание в установите все биты идентифи катора в 1. Например, IP-адрес хоста определен как 172.16.5.98, а маска подсети Ч как 255.255.255.0 (подсеть IP-сети 172.16.0.0), то этот фильтр будет к IP-адресу 172.16.5.255.
назначения для широковещательной рассылки по всем подсетям В диалоговом окне Add IP Filter установите флажок Destination network, а затем введите в соответствующих полях IP-адрес широковещательной рассылки во все подсети и маску подсети 255.255.255,255.
IP-адрес широковещательной рассылки во все подсети (all subnets-directed broad cast) является на основе класса, где биты ГЛАВА 3 Одноадресная IP-маршрутизация хоста установлены в 1 до разбиения на Для хоста, используемого в данном примере, этот фильтр действовать к IP-адресу чения 172.16.255.255. для широковещания во подсети нужен только разбиении па подсети.
назначения для ограниченной В диалоговом Add IP Filter флажок Destination network, а за тем в полях IP-адрес 255.255.255.255 и маску подсети 255.255.255.255.
IP-адрес ограниченной широковещательной определен как 255,255.255.255.
IP-адрес назначения для всех возможных видов группового трафика В диалоговом окне Add IP Filter установите флажок Destination network, а введите в полях IP-адрес 224.0.0.0 и маску подсети 240.0.0.0. Па данном интерфейсе будет любой входящий групповой трафик.
Примечание хоста на каком-либо интерфейсе фактически отключает па этом потому что него разрешается лишь того одноадресного трафика, который чен хосту. трафик отбрасывается.
Фильтрация Web-трафика Фильтрация Web-трафика осуществляется на хостах, работающих в качестве Web серверов;
при этом разрешается обработка только принимаемого или го хостом Web-трафика. Это позволяет защитить от атак злоумышленников другие службы, функционирующие на Web-сервере. В случае Web-сервера, подключенно го к Интернету, Web-трафик фильтруется на Интернет-интерфейсе.
Выбрав переключатель Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают ниже критериям), настройте следующие чтобы разрешить пропуск только тех пакетов, ко торые или передаются службой Web-сервера.
Х Входной фильтр: в поле IP-адреса введите IP-адрес Web-сервера, а в поле TCP-порта назначения Ч 80.
Х Выходной фильтр: в ноле IP-адреса IP-адрес Web-сервера, а в поле TCP-порта источника - 80.
Если Вы только эти фильтры, то по данному интерфейсу будет шен пропуск лишь TCP-трафика, принимаемого и передаваемого службой Web-сер вера на компьютере под Windows В предыдущем примере мы исходили из того, что по но мер порта Web-сервера равен 80. Если Вы используете какой-то другой ставьте вместо Фильтрация FTP-трафика на хостах, работающих в качестве при этом разрешается обработка только принимаемого или передаваемо 110 ЧАСТЬ 1 Маршрутизация го хостом Это позволяет защитить от атак злоумышленников другие службы, функционирующие на В случае подключенно го к фильтруется на Интернет-интерфейсе.
Выбрав all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже фильтры, чтобы пропуск только тех пакетов, ко торые принимаются или передаются службой Х Входные фильтры: в поля IP-адреса назначения введите IP-адрес а в поля TCP-порта назначения Ч 21 (порт FTP) и 20 (порт данных FTP).
Х Выходные фильтры: в поля IP-адреса источника введите IP-адрес а в поля TCP-порта источника Ч 21 и 20.
Если Вы определили только эти фильтры, то по данному интерфейсу будет разре TCP-трафика, принимаемого и передаваемого службой FTP-cep вера на компьютере под управлением Windows 2000 Server.
Примечание В предыдущем мы исходили из того, что по умолчанию но мера портов равны 20 и 21. Если Вы используете какие-то другие пор ты, подставьте вместо 20 и 21 соответствующие Фильтрация Фильтрация РРТР-трафика осуществляется на хостах, работающих в при этом разрешается обработка только принимаемого или пере даваемого хостом РРТР-трафика. Это защитить от атак ков другие службы, на РРТР-сервере. В случае РРТР-сервера, подключенного к Интернету, РРТР-трафик фильтруется на Интернет-интерфейсе.
Выбрав переключатель Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям), настройте следующие фильтры, чтобы пропуск только тех пакетов, ко торые принимаются или передаются службой РРТР, выполняемой на Х Входные фильтры: для первого фильтра в поле IP-адреса назначения введите IP адрес РРТР-сервера, а в поле TCP-порта назначения Ч 1723;
для второго филь тра в качестве IP-адреса укажите IP-адрес РРТР-сервера и выбери те IP-протокол 47 (Generic Routing [GRE|).
Х Выходные фильтры: для первого фильтра в поле IP-адреса источника введите IP-адрес а в поле TCP-порта источника Ч 1723;
для второго фильтра в качестве IP-адреса источника укажите IP-адрес РРТР-сервера и вы берите IP-протокол 47 (Generic Routing Encapsulation [GRE]).
Если используется и как для инициации соединений с использованием виртуальной частной настройте дополни тельные фильтры.
Х Входной фильтр: в поле IP-адреса назначения укажите IP-адрес РРТР-сервера, а затем, выбрав в списке TCP (established) (TCP введите 1723 в поле TCP-порта источника.
ГЛАВА 3 Одноадресная IP-маршрутизация Х Выходной фильтр: в поле IP-адреса источника укажите IP-адрес а затем, выбрав в списке TCP (TCP введите 1723 в поле TCP-порта Фильтр TCP (established) для чтобы разрешить трафи ка только но TCP-соединению, установленному Без этого фильт ра злоумышленник мог бы проникнуть на из Интернета, посылая кеты из приложений, TCP-порт 1723.
Если Вы определили только эти фильтры, то по интерфейсу будет шен пропуск лишь TCP-трафика и данных (GRE-трафика), при нимаемых и передаваемых РРТР-сервером и РРТР-клиентом на компьютере под управлением Windows 2000 Server, Подробнее о см. главу 9 Виртуальные частные этой книге.
Фильтрация Фильтрация трафика L2TP (Layer Two Tunneling Protocol) ляется на работающих в качестве при этом об работка только или службой ссрвера. Это защитить от атак службы, на В случае к Интер фильтруется на Интернет-интерфейсе.
Выбрав переключатель Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям), следующие чтобы пропуск только тех ко торые или передаются службой L2TP, выполняемой на сервере.
Х Входной фильтр: в поле укажите IP-адрес а в поле назначения Ч 1701.
Х Входной фильтр: в поле IP-адреса назначения укажите IP-адрес а в поле UDP-порта назначения Ч 500.
Х Выходной фильтр: в поле IP-адреса источника укажите IP-адрес а в поле UDP-порта Ч 1701.
Х Выходной фильтр: в поле IP-адреса источника укажите IP-адрес а в тюле UDP-порта источника Ч Фильтры для UDP-порта 1701 для протокола L2TP, а фильтры для UDP-порта 500 Ч для Internet Key Exchange (IKE), используемой при создании сопоставления безопасности IPSec (IPSec security Фильтры для (Encapsulating Security Payload), использующего 50, не требуются, так как входящие и исходящие пакеты сначала обрабатываются служ бой IPSec (IP-безопасность), которая добавляет или ESP-заголовок при менения фильтров IP-пакетов службой и удаленного доступа.
Если Вы определили только эти фильтры, то по данному шен пропуск лишь и передаваемого и на компьютере под управлением Windows 2000 Server.
Подробнее о поверх IPSec см. главу 9 Виртуальные частные в этой 112 ЧАСТЬ 1 Маршрутизация фальсифицированных пакетов с частных IP-адресов Один из способов реализации атак типа в (denial of service attacks) заключается в том, чтобы серверы пакетами (например, сами на с адресов, на которые нельзя ответить. В таких случаях злоумышленник фальсифицирует, или подменяет, IP-адрес источни ка пакетов другим отличным от IP-адреса интерфейса, с которого они ре ально Проще всего воспользоваться каким-нибудь частным адресом, так как ответ, отправленный на частный адрес в Интернете, приведет к генерации Destination Чтобы отклонять Интернет-трафик с частных IP-адресов, входные фильтры на для приема всех пакетов, кро ме отвечающих следующим критериям;
Х IP-адрес источника 10.0.0.0 с маской подсети 255.0.0.0;
Х IP-адрес источника с маской подсети Х IP-адрес источника 192.168.0.0 с маской подсети Фильтрация фрагментов Служба маршрутизации и удаленного доступа также поддерживает IP-дейтаграмма это IP содержащая фрагмент полезных данных IP. или маршрутизаторы данные IP для того, чтобы получаемые в IP-дейтаграммы были малыми для передачи по сетевому сегменту за следующим переходом. фрагментов применима только к входящему трафику.
Чтобы включить фильтрацию фрагментов:
1. В Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация) для нужного сервера.
2. Укажите General (Общие), щелкните правой кнопкой мыши нужный интерфейс и выберите Properties (Свойства).
3. На вкладке General (Общие) флажок Enable fragmentation checking (Включить проверку фрагментации).
Чтобы маршрутизатор не пересылал IP-пакеты трафика по любому из своих интерфейсов, установите этот флажок в свойствах маршрутизатора. Такая настройка не запрещает пересылки фрагментированных пакетов, с самого маршрутизатора.
Фильтрация фрагментов также предотвращает Ping of Death, одну из атак типа в обслуживании, при которой злоумышленники посылают одно или не сколько Echo Request. сообще а на хосте-получателе Для каждого 64 килобайтного сообщения TCP/IP должен выделять память, таблицы, таймеры и другие ресурсы. При достаточно большом количестве сообще ний компьютер с Windows 2000 Server может просто захлебнуться в них, и об служивание нормальных запросов ухудшится. Фильтрация фрагментов ГЛАВА 3 Одноадресная IP-маршрутизация к тому, что входящие IP-дейтаграммы тут от брасываются.
Обнаружение маршрутизаторов средствами Маршрутизатор Windows 2000 включает маршрутизаторов (router advertisements) и схему обнаружения маршрутизаторов, в RFC 1256. Чтобы упростить настройку IP-хостов на IP-адреса маршрутизаторов и обеспечить хостами торов, RFC 1256 предлагает Router Advertisement и Router ICMP-сообщение Router Advertisement посылает Router Advertisement маршрутизатора) (тип 9, код 0). Это может быть лено на адрес групповой IP-рассылки всем хостам (all-hosts IP multicast >ss) 224.0.0.1 и адрес локальной широковещательной IP-рассылки, также называемый адресом широковещательной рассылки (255.255.255.255). На практи ке сообщение Router Advertisement посылается на адрес групповой рассылки.
явно уведомляют все хосты в сети о том, что данный доступен.
Сообщение Advertisement содержит параметр Advertisement Lifetime (Бре мя объявления) Ч время, по истечении которого маршрутизатор можно счи тать отключенным, если не поступило очередное сообщение Advertisement (по умолчанию Ч 30 минут), Ч и Preference Level (Уровень предпочте ния), учитываемый при выборе маршрутизатора на роль основного для сети.
становится с ICMP-сообщение Router Solicitation Когда хосту, который RFC 1256, нужно на основной (либо при инициализации, либо выходе из строя предыдущего основно го он посылает ICMP-сообщение Router Solicitation (Сбор сведений о мар шрутизаторах) (тип 10, код 0). Это сообщение может быть отправлено па IP-рассылки всем маршрутизаторам (all-routers IP address) 224.0.0.2 и адрес локальной широковещательной IP-рассылки, также называемый адресом рассылки (255.255.255.255). На практи ке хосты посылают сообщения Router Solicitation на адрес групповой рассылки.
в сети хоста, поддерживающие RFC 1256, немедленно отвечают Router Advertisement, и хост выбирает в качестве своего основ ного шлюза маршрутизатор с наивысшим уровнем Поддержка обнаружения маршрутизаторов средствами не име ет ничего общего с протоколами маршрутизации. Маршрутизаторы лишь оповеща ют о но не об оптимальном маршруте к какой-либо сети назначения. Если хост неоптимальный маршрут, перенацелят хост на более эффективный маршрут.
5 114 ЧАСТЬ 1 Маршрутизация Настройки обнаружения средствами описываются в таб лице 3-7.
Таблица 3-7. Настройки обнаружения маршрутизаторов средствами Описание Level of Preference предпочтения данного (Уровень как основного шлюза. По умолчанию Ч 0.
Lifetime Время (в по которого хост [Время считает маршрутизатор не пило сообщение Router Advertisement).
По умолчанию Ч 30 мин.
interval: minimum интервал между сообщениями Router time (minutes) Advertisement, посылаемыми данным маршрутизатором, объявления в этом интервале: По умолчанию Ч 7 мин.
минимальное время Advertisement interval: maximum интервал между сообщениями Router (minutes) посылаемыми данным объявления в этом интервале: По Ч 10 мин. На периодичность максимальное время посылки сообщений Router Advertisement случайным образом варьируется в пределах между минимальным и интервалами.
Чтобы включить оповещения маршрутизатора для его распознавания хостами:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация) для нужного сервера.
2. Укажите General (Общие), правой кнопкой мыши нужный интерфейс и выберите команду Properties (Свойства).
3. На вкладке General (Общие) флажок Enable router discovery adver tisements (Включить объявления обнаружения маршрутизатора).
При активизации флажка Enable router discovery advertisements Windows посылает сообщения Router Advertisement (как периодически, так и в ответ на со общения Router с адреса IP-рассылки 224.0.0.1, TCP/IP в Windows 2000 и Windows 98 поддерживает применение сооб щений Router Solicitation для выбора основного шлюза. О том, как отключить рас познавание маршрутизатора для TCP/IP в Windows см. TCP/ из серии Ресурсы Microsoft Windows 2000 Server.
Дополнительные материалы Более подробную информацию об см. в следующих книгах:
Х Christian Routing in the Englewood NJ:
Hall;
Х John Anatomy of an Internet Routing Protocol, 1998, Reading, MA:
Поддержка групповой IP-рассылки Windows 2000 предоставляет поддержку для передачи, приема и пересылки груп пового IP-трафика. Соответствующие компоненты службы и уда ленного доступа позволяют передавать и принимать групповой IP-трафик от кли ентов доступа и из частей или рые поддерживают групповые рассылки.
В этой главе Обзор Интрасеть с групповой IP-рассылки Поддержка групповой IP-рассылки в службе маршрутизации и доступа Поддерживаемые конфигурации пересылки Средства диагностики См. также Х О базовых групповой IP-рассылки Ч главу 1 в TCP/IP в книге Сети TCP/IP из серии Microsoft Windows 2000 Server.
Х Подробнее о поддержке групповой IP-рассылки в TCP/IP для Windows 2000 Ч главу 2 Реализация TCP/IP в Windows 2000 в книге Сети TCP/IP из се рии Ресурсы Microsoft Windows 2000 Server.
Х Подробнее об удаленном доступе Ч главу 7 Сервер удаленного доступа в этой книге.
Х Подробнее о маршрутизаторах под Windows 2000 Server Ч маршрутизации и удаленного в этой 116 ЧАСТЬ 1 Маршрутизация Обзор Кроме передачи и рассылки, IP также предоставляет механизм для приема и группового IP-трафика, Та кой трафик посылается на единственный IP-адрес назначения, БО принимается и обрабатывается несколькими IP-хостами от их местонахождения в меж сетевой IP-среде. Хост определенный IP-адрес групповой рассылки и принимает все пакеты, поступающие на этот адрес.
При по типу групповая IP-рассылка нее, чем адресная IP-передача или широковещание. В отличие от адресной чи в этом случае только одна копия данных, а трафик Ч в отличие от Ч принимается и обрабатывается лишь теми кото рые специальный IP-адрес.
Дополнительные особенности IP-рассылки:
Х хостов, прослушивающих определенный IP-адрес групповой рассылки, хостов (host group);
Х членство в группах хостов является динамическим: хосты могут в время присоединяться к группе и ее;
Х ограничений на размер группы хостов не накладывается;
Х группа хостов может охватывать IP-маршрутизаторы во множестве сетевых сег ментов. Такая конфигурация требует от много адресной IP-пересылки, а от хостов Ч способности самостоятельно регистриро ваться на маршрутизаторе. Регистрация хоста по протоколу (Internet Group Protocol);
Х хост может посылать трафик на групповой рассылки, даже если он входит в соответствующую группу хостов.
IP-адреса групповой рассылки, также называемые групповыми адресами addresses), относятся к классу и находятся в диапазоне от до 239.255.255.255 (четыре старших бита устанавливаются как 1110). При использо префикса сети или нотации (Classless Inter-Domain Routing) IP-адре са групповой рассылки суммируются как 224.0.0.0/4. Адреса групповой рассылки в от 224.0.0.0 до 224.0.0.255 (224.0.0.0/24) резервируются для локальной подсети, и IP-маршрутизаторы не пересылают на них пакеты независимо от значе ния TTL в IP-заголовках этих пакетов.
IP-адреса групповой рассылки в диапазоне от 224.0.1.0 до 238.255.255.255 либо ре либо какому-либо групповой рассылки.
от 239.0.0.0 до (239.0.0.0/8) резервируются как адресное групповой рассылки, которое можно разбивать на области. Подроб нее об этих адресах см. раздел Ограничители групповой рассылки в этой главе.
Вот несколько примеров IP-адресов групповой рассылки:
Х 224.0.0.1 Ч групповая рассылка всем хостам в данной подсети;
Х 224.0.0.2 групповая рассылка всем маршрутизаторам в данной подсети;
ГЛАВА 4 Поддержка групповой IP-рассылки Х 224.0.0.5 Ч групповая рассылка всем в какой-либо сети поддержка введена в OSPF 2);
Х 224.0.0.6 групповая рассылка всем в какой либо сети (соответствующая поддержка введена в OSPF версии 2);
Х Ч протоколом RIP версии 2;
Х 224.0.1.1 Ч (Network Time Protocol).
Полный список зарезервированных групповых адресов см. по ссылке Information Sciences Institute на Подробнее о поддержке групповой IP-рассылки см. RFC 1112.
Взаимосвязь IP-адресов групповой рассылки с эквивалентными Для поддержки групповой отвечающие за развитие Ин зарезервировали диапазон для Ethernet и FDDI от 5Е 00-00-00 до 01-00-5E-7F-FF-FF. Старшие 25 битов 48-битного зафик а младшие 23 бита варьируются, как па рис. 4-1.
Младшие 23 бита 16 битов 24 32 бита I IP-адрес гру рассылки Т Ethernet-адрес упповой А i I Младшие Рис. 4-1. Взаимосвязь между IP-адресами и МАС-адресами Ethernet и FDD. (выделенными для групповой рассылки) IP-адрес групповой рассылки в эквивалентный следую щим образом: младшие 23 бита IP-адреса прямо переписываются в младшие 23 бита МАС-адреса. 4 бита IP-адреса групповой рассылки в соот ветствии с требованиями к адресам класса D, а 5 битов в МАС-адрес групповой рассылки переносятся. Поэтому хост мог бы обрабатывать пакеты групповой рассылки на МАС-уровне, группам, к которым этот не Однако такие пакеты просто отбрасываются IP, если определен IP адрес назначения.
Например, адрес групповой рассылки становится МАС-адресом 5Е-40-10-01. IP-адрес преобразуется в МАС-адрес следующим об разом. Первый октет отбрасывается, а из второго октета лишь пос ледние 7 битов. Третий и четвертый октеты преобразуются в числа. Второй октет (192) в двоичном виде выглядит как Если Вы отбросите старший бит, то получите 1000000 в двоичном виде, 64 в деся или 0x40 в Следующий октет (16) в 118 ЧАСТЬ 1 Маршрутизация ной форме 0x10, а последний октет (1) Ч 0x01. Таким образом, из 224.192.16.1 получается В Ring для получения групповой рассылки при меняется тот же метод. Однако многие сетевые Token этот метод не поддерживают. Так что для любого трафика групповой IP-рассылки в Token Ring но умолчанию используется функциональный адрес Подробнее о групповой IP-рассылки в Token Ring см. RFC 1469.
Примечание Windows NT версий 4.0 (или ниже) не поддерживает групповую IP-рассылку при использовании сетевых адаптеров Token Ring.
Интрасеть с поддержкой групповой IP-рассылки В интрассти с IP-рассылки любой хост может групповой трафик на любой групповой адрес и принять его с любого группового адреса независимо от своего Для реализации такой возможнос ти групповая IP-рассылка должна всеми хостами и маршрутиза торами в Хосты Хост поддерживает IP-рассылку на одном из следующих уровней:
Х уровень 0 Ч прием и передача группового IP-трафика не поддерживается;
Х уровень 1 Ч поддерживается только передача группового IP-трафика;
Х уровень 2 Ч поддерживается и и передача группового TCP/IP в Windows 2000 все эти уровни и по умолчанию настроен уровень 2. О том, как изменить групповой рассылки, см. гла ву 2 TCP/IP в Windows 200()>> в книге TCP/IP из серии Ре сурсы Microsoft Windows 2000 Server.
Чтобы послать групповой хост выполнить следующие Х нужный IP-адрес рассылки.
Выбирая этот приложение должно сначала определить: создать новую хостов или использовать одну из существующих. Чтобы присоединить ся к существующей группе хостов, приложение с помощью какого-либо прото кола службы выясняет групповой адрес для конкретной службы.
Адрес групповой рассылки для новой хостов может быть либо опреде лен приложением, либо через какой-либо механизм, который выделяет адрес групповой рассылки, через протокол MADCAP (Multicast Address Dynamic Client Protocol). MADCAP Ч это расши рение протокола DHCP (Dynamic Configuration Protocol), которое можно использовать для поддержки динамического и групповой рассылки в обеспечивают выделение клиентам диапазонов а диапазонов IP-адресов групповой рас сылки. о MADCAP и его поддержке в Windows 2000 см. главу ГЛАВА 4 Поддержка IP-рассылки DHCP в книге Сети TCP/IP из серии Ресурсы Microsoft Windows Х Поместить групповой IP-пакет в несущую среду.
Хост-отправитель должен сформировать IP-пакет, содержащий нужный вой IP-адрес назначения, и поместить его в среду. Если используются технологии разделяемого доступа, например Ethernet, FDDI или Token Ring, то групповой IP-адрес сначала преобразуется в назначения, Чтобы принять групповой IP-пакет, хост должен выполнить следующие операции.
Х Сообщить IP о приеме группового трафика.
групповой рассылки, приложение должно сначала решить:
создать новую группу хостов или использовать одну из существующих.
к существующей группе хостов, приложение с помощью протокола поиска службы выясняет групповой адрес для службы.
адрес, приложение уведомить IP о приеме груп пового трафика на указанный групповой Если этим адре сом пользуется несколько приложений, IP должен передать копию трафика каждому По того как присоединяются к какой-либо группе хостов или покидают ее, IP должен вести учет, какие ложения используют групповые адреса и что это за адреса. А в случае хостов IP должен отслеживать членство в группах к каждой подсети, Х Сообщить МАС-адрес групповой рассылки сетевому адаптеру.
Если сетевая технология поддерживает аппаратные средства групповой рассыл ки, тогда сетевому адаптеру указывается передать пакеты па конкретный адрес групповой рассылки. В технологий разделяемого доступа типа FDDI или Token Ring запрограммировать сетевой адаптер так, чтобы он ровал на групповой МАС-адрес, соответствующий нужному IP-адресу группо вой рассылки, можно с Х Уведомить локальные маршрутизаторы.
Хост уведомить маршрутизаторы локальной подсети о том, что он про слушивает групповой трафик по определенному групповому адресу. Для информации о группе хостов протокол (Internet Group Management Protocol).
IGMP необходим на всех поддерживающих групповую IP-рассылку на уровне 2. Для регистрации своего членства в определенной группе хост ет Host Report. TCP/IP в Windows 2000 поддер живает IGMP версии 2. Подробнее об см. и IGMP далее в этой главе.
Маршрутизаторы Для пересылки групповых IP-пакетов только в те подсети, в которых есть члены групп маршрутизатор группового IP-трафика Х весь групповой 120 ЧАСТЬ 1 Маршрутизация Х пересылать групповой IP-трафик;
Х и Membership Report;
Х получать от подключенных к нему подсетей информацию о членстве хостов в группах;
Х передавать другим маршрутизаторам группового Прием всего IP-трафика В случае таких технологий разделяемого доступа, как Ethernet и FDDI, нормаль ный режим работы сетевых адаптеров Ч режим адресного прослушивания listening mode). Режим Ч это метод, по которому сетевой адаптер анализирует назначения входящих кадров, как их дальше. В режиме адресного прослушивания для дальнейшей обработки отбирают ся только те кадры, чьи назначения присутствуют в таблице сетевого адаптера. Как правило, это широковещательный адрес (OxFF-FF-FF-FF-FF-FF) и также се тевого адаптера.
Однако, чтобы маршрутизатор группового ТР-трафика мог принимать весь такой трафик, он должен перевести сетевой адаптер в особый режим на зываемый режимом прослушивания смешанного группового трафика promiscuous mode). В этом режиме адаптер анализирует бита Ч признака группового адреса определенного IEEE (Institute of Elect rical and Engineers), чтобы выяснить, ли данный кадр дальней шей обработки. В и FDDI это бит байта назначения.
Признак группового адреса может следующие значения:
Х 0 Ч адрес является или Х 1 Ч данный является или рассылки. То же значение устанавливается и для широковещательного адреса.
Сетевой адаптер, в режим прослушивания смешанного группового трафика, отбирает для обработки любые кадры с установленным би том Ч признаком адреса.
Режим смешанного трафика отличается от режима про слушивания смешанного трафика (promiscuous mode). В последнем случае на нейшую обработку передаются все кадры независимо от МАС-адреса назначения.
прослушивания смешанного трафика используется анализаторами протоко лов, например полной версией Microsoft Network Monitor (Сетевой монитор), ко торая поставляется с Microsoft Systems Management Server.
Режим прослушивания смешанного группового трафика большин ством сетевых адаптеров. Однако сетевой адаптер, который поддерживает режим прослушивания смешанного трафика, может поддерживать режим прослушива смешанного группового Проверьте на сетевой адаптер или у его изготовителя, поддерживает ли этот сетевой адаптер режим прослушивания смешанного группового трафика.
4 Поддержка групповой IP-рассылки Пересылка группового пересылки групповых IP-пакетов предусмотрена в TCP/IP, и его реа лизация в Windows 2000 включает Если мно анализирует групповые IP-паке ты из нелокальных подсетей, чтобы определить, по каким интерфейсам следует переслать тот или иной пакет. Анализ осуществляется ад реса назначения с записями в многоадресной IP-пересылки (IP multicast forwarding table). При приеме группового IP-пакета значение на 1. Если после этой оста проверяется содержимое таблицы многоадресной Если в ней есть запись, подходящая для данного группового IP-адреса групповой IP-пакет с новым значением TTL пересылается по соответствующим интерфейсам.
Процесс пересылки forwarding process) не делает ких различий между хостами в подключенных подсетях, групповой трафик, и хостами, доступными через другой маршрутизатор, который расположен далее по пути передачи этого трафика. говоря, маршрутизатор группового трафика может переслать групповой в где нет хостов, ожидающих групповой трафик. Так происходит потому, что другой в той сообщает, что па из его маршрутов имеется хост, принимаю щий групповой трафик.
В IP-пересылки регистрируется лишь тот факт, что для та кого-то группового адреса имеется по крайней мере один группы список и количество членов групп хостов не фиксируются.
О том, как просмотреть таблицу многоадресной IP-пересылки на компьютере под Windows 2000 Server и службы маршрутизации и удаленного досту па, см. раздел диагностики в главе.
Многоадресная пересылка если параметру в разделе Parameters присвоено значение 1. Этот параметр создается и получает равное 1, при службы маршрутизации и доступа.
Внимание реестр самостоятельно (с помощью редактора реест ра) Ч делайте это лишь в крайнем случае, когда другого выхода В отличие от управления редактор реестра обходит средства зашиты, допускать ввода конфликтующих а также тех, которые могут снизить быстродействие системы или привести к ее краху.
реестра может повлечь за собой непредсказуемые и Вам Windows 2000. Для и конфигурирова ния Windows 2000 по возможности используйте Control Panel (Панель управления) или Microsoft Management Console (Консоль Microsoft).
Прием и обработка Host Membership Report Маршрутизаторы группового трафика принимают Host Mem bership от хостов во всех подключенных подсетях. Эти ин формация используется для членства в группах и 122 ЧАСТЬ 1 Маршрутизация ется в таблицу многоадресной пересылки. Поскольку такие маршрутизаторы рабо тают в режиме прослушивания смешанного группового трафика, они принимают все Host Membership Report, посылаемые по любому группово му адресу.
В службе и удаленного доступа Windows 2000 эта ность становится доступной после добавления протокола маршрутизации и включения на интерфейсе режима работы в качестве Под робнее см. раздел Протокол IGMP далее в главе.
Получение от подключенных подсетей информации о членстве хостов в группах Б подсети могут находиться хосты как с так и с IGMP v2. Хост IGMP прекращая прием IP-трафика по групповому адресу (т. е.
покидая соответствующую группу хостов), не уведомляет об этом локальные мар шрутизаторы. Если он был членом группы в данной локаль ные какое-то время продолжают пересылать групповой трафик этой группе в этой подсети до тех пор, пока самостоятельно не выяснят, что груп пы больше нет.
уменьшить интервал между тем, когда последний хост покидает группу, и тем, когда прекращается пересылка группового трафика для этой группы в данной подсети, группового трафика периодически посылают в локаль ную подсеть IGMP-сообщения Host Membership Query, запрашивая о членстве хостов в группах. Какой-либо хост, все еще являющийся членом группы, отвечает на этот запрос Host Report. Чтобы предот вратить посылку таких сообщений несколькими хостами одной и той же группы, хосты настраиваются на передачу IGMP-сообщения Host Membership Report с не которой варьируемой случайным образом. Если такое сообщение уже послано одним из хостов в хосты его посылают.
Чтобы еще больше сократить упомянутый выше хост IGMP покидая какую-либо группу в подсети, посылает Leave Group. Тогда мар шрутизатор IGMP направляет этой группе запросы и, если в ней больше нет хостов в данной не получает никаких ответов. Благодаря этому маршру тизатор IGMP быстро узнает, что членов данной группы в данной подсети боль ше нет, и прекращает пересылку соответствующего трафика.
Передача информации о членстве хостов в группах другим маршрутизаторам Чтобы межсетевую IP-среду, которая поддерживает групповую рассылку и содержит более одного маршрутизаторы групповой рассылки дол жны обмениваться друг с информацией о членстве хостов в группах Ч тог да члены групп смогут групповой IP-трафик независимо от своего место нахождения в межсетевой Маршрутизаторы групповой рассылки обмениваются информацией о членстве хо стов в группах с одного из протоколов многоадресной маршрути зации, например (Distance Vector Multicast Routing Protocol), MOSPF Open Shortest Path First) или (Protocol Independent Multicast).
Информация о членстве в группах либо в явном виде (путем ГЛАВА 4 Поддержка групповой IP-рассылки о адресах и подсетях), либо в неявном (уведомлением мар шрутизаторов, расположенных ближе к группового трафика, о су ществуют ли члены далее па пути от этого (multicast routing protocol) чен для:
Х пересылки трафика от источника с возвратов во петель мар шрутизации;
Х или исключения пересылки группового трафика в те под сети, которым этот трафик нужен;
Х минимизации нагрузки на процессор и память для большей масштабируемости;
Х минимизации связанных с протокола Х уменьшения времени, уходящего на то, чтобы хост, присоединившийся к в какой-либо подсети, начал получать групповой трафик.
Многоадресная маршрутизация сложнее, чем одноадресная. При одноадресной мар шрутизации трафик на глобально уникальный адрес Маршруты суммируют диапазоны глобально адресов назначения. К ро ме того, такие маршруты относительно и лишь при нении топологии межсетевой IP-среды.
При маршрутизации групповой трафик пересылается группам хос изменчивым своему составу. Групповые адреса представляют ные группы и, как правило, их нельзя суммировать в таблице многоадресной сылки. Местонахождение членов групп непостоянно, и маршрутизаторам группо вого трафика приходится обновлять таблицы пересылки всякий раз, когда какой-либо хост присоединяется к группе или покидает ее.
Если протоколы маршрутизации обновляют таблицу (адресной) IP то протоколы многоадресной маршрутизации Ч таблицу многоадресной Служба маршрутизации и удаленного доступа в Windows никаких протоколов маршрутизации, но предоставляет на которой они могут работать. Единственный компонент Win dows 2000, способный обновлять записи в ции, (Internet Backbone) Ч это часть которая ст многоадресную маршрутизацию и пересылку группового IP-трафика, емого в Интернете. Структура МВопе представляет собой серию островков, под держивающих многоадресную (multicast-enabled islands), Ч наборы друг е другом туннелями. трафик переда ется от одного островка другому методом т. с.
группового IP-пакета в пакет с IP-заголовком;
этот переда ется между маршрутизаторами островков, пере сылку. обеспечивает передачу трафика по тем кам где нет поддержки многоадресной пересылки.
124 ЧАСТЬ 1 Маршрутизация МВопе используется для групповой трансляции аудио- и с со вещаний IETF, из NASA (National Aeronautics and Space Administration), Палаты и Сената США, а также других Разные провайдеры услуг Интернета по-разному реализуют поддержку МВопе.
IGMP IGMP Group Management Protocol) применяется между хостами и их ло кальным группового трафика. IGMP-сообщения инкапсулируют ся IP и используют номер IP-протокола 0x02.
Существует две версии TGMP.
Х Версия 1 (IGMP vl) поддерживается TCP/IP в Windows NT версии 4.0 с Service Pack 3 (или ниже) и в Windows 95.
Х Версия 2 (IGMP поддерживается TCP/IP в Windows 4.0 Service Pack (и в Windows 98 и Windows 2000.
IGMP обратно совместим с IGMP vl. Различия между этими двумя версиями рассматриваются в следующих разделах.
Примечание IGMP применяется только для поддержки членства хостов в группах в локальной подсети. Групповой IP-трафик посылается без В ти пичном случае для группового IP-трафика используются IGMP v IGMP версии 1 Ч простой протокол, предусматривающий всего два сообщения.
Структура этих сообщений показана на рис. 4-2.
Не используется Контрольная сумма Групповой адрес Рис, 4-2. Структура сообщений IGMP vl Версия. Поле длиной в 4 бита, в которое записывается значение 0x1 для IGMP vl.
Тип. длиной в 4 бита, содержащее либо 0x1, либо 0x2. Первое значение ука зывает на то. что данное сообщение Ч Host Membership Query, посланное маршру тизатором группового IP-трафика в подсеть для получения текущей информации о членстве хостов в группах. Второе указывает на то, что данное сообще Ч Membership Report, посланное хостом при присоединении к какой-либо группе или в ответ на сообщение Membership Query.
Не используемое поле. Однобайтовое поле, устанавливаемое отправителем в 0x и игнорируемое получателем. Не используется.
Контрольная сумма. Двухбайтовое в которое записывается 16-битная кон трольная сумма для данного IGMP-сообщения. Контрольная сумма IGMP не вклю чает IP-заголовок.
ГЛАВА 4 Поддержка групповой IP-рассылки Групповой адрес. Четырехбайтовое поле, которое в сообщении Host содержит 0.0.0.0, а в Host Membership Report Ч конкретный груп повой адрес.
Сообщение Host Membership Report Когда хост к группе многоадресной рассылки, он посылает IGMP Host Membership Report на определенный групповой адрес независимо от того, имеются ли в его другие хосты, уже членами группы. В отличие от трафика хост членство других хостов в группах. Поскольку в данном случае маршрутизатор ра ботает в режиме смешанного трафика, он част и обрабатывает Host Report, на любой групповой адрес.
Если служба и в Windows 2000 сконфигуриро вана на использование протокола маршрутизации IGMP, если какой-либо фейс работает в режиме и если к группе хостов в пой подсети присоединяется хост, то протокол IGMP создает в таб лице групп этого интерфейса group table). При необходимости создастся и запись в таблице IP-маршрутизации;
в ней отмечается руемый групповой адрес и интерфейс, по которому было принято Host Membership Reporl.
Сообщение Host Membership Query Маршрутизатор TGMP vl периодически посылает Host Mem bership Query на адрес 224.0.0.1 (адрес рассылки всем группам хостов), чтобы об новить свою о членстве хостов в в данной В каждой хостов, которой имеются в подсети, один из хостов Host Report. Механизм ответа на запрос маршру тизатора о членстве хостов в группах был рассмотрен в одном из раз делов.
Получив ответ от хостов, служба маршрутизации и удаленного доступа в Windows 2000 продлевает срок действия записи в таблице и оставляет в таблице IP-пересылки запись для группы хостов. Если ответ на запрос по какой-либо группе хостов не по ступает и срок действия соответствующей записи в таблице групп IGMP-интерфей са истекает, то IGMP удаляет запись о группе хостов из таблицы многоадресной пересылки.
IP-адресов источника и приемника, в и групповые ад реса в для типов сообщений IGMP vl показаны в таблице 4-1.
Таблица 4-1. Адреса и значения используемые для сообщений IGMP vl Host Query IP-адрес источника [IP-адрес интерфейса [IP-адрес интерфейса маршрутизатора] IP-адрес приемника 224.0.0.1 адрес] TTL 1 Групповой адрес 0.0.0.0 [Групповой адрес] 126 ЧАСТЬ Более подробную информацию см. в RFC I).
v версии 2 расширяет в то же время сохраняя об ратную совместимость с IGMP версии 1, При использовании IGMP выбор маршрутизатора, посылающего периодические запросы, осуществляется протоколами маршрутизации. В выборов такого упрощен: в каждой подсети назначается один маршрутизатор, периодически посылающий Host Member ship Query. На его роль избирается маршрутизатор с числовым значе нием IP-адреса. Процесс выборов заключается в том, что маршрутизатор прослу шивает от маршрутизаторов. Если принимается запрос с меньшим значением IP-адреса остается рядовым маршру тизатором. Если запросы от других поступают, слушающий становится опрашивающим Ч маршрутизатором, который периодически рассылает В IGMP введено два новых типа сообщений: Host Report v2 и Leave Group. Кроме того, добавлена разновидность Host Membership Query Ч Host Membership Query. Детальное описание см. в разделах.
Структура сообщений IGMP на рис. 4-3.
Максимальное время Контрольная сумма Групповой адрес Рис. 4-3. Структура сообщений IGMP v Тип. Указывает тип В IGMP v2 два четырехбитовых поля версии и используемые IGMP vl, объединены в одно восьмибитовое поле типа.
Типы сообщений IGMP таблице 4-2.
Таблица 4-2. Типы сообщений IGMP v значение Тип сообщения и описание 0x11 (поле версии IGMP vl, 17 Сообщение Host Membership Query. Для 0x1, и поле типа IGMP vl, общего в группового адреса 0x1, становится полем 0.0.0.0, а для запроса, адресо типа IGMP равным 0x11) ванного конкретной адрес группы хостов.
0x12 (поле TGMP vl. 18 Host Membership равное 0x1, и поле типа IGMP vl. Поле группового адреса равное 0x2, становится полем на группу хостов.
типа IGMP v2, 0x12) 0x16 22 Сообщение Host Membership Report версии 2. Поло группового адреса указывает па группу хостов.
Pages: | 1 | 2 | 3 | 4 | ... | 11 | Книги, научные публикации