Книги, научные публикации
Pages: | 1 | 2 | 3 | 4 | 5 | ... | 11 | Internetworking Guide Microsoft 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof 2000 Server 2002 УДК 004 Microsoft Corporation Межсетевое взаимодействие. Ресурсы Microsoft ...
-- [ Страница 3 ] --ГЛАВА 4 Поддержка IP-рассылки Таблица 4-2. (продолжение) значение значение Тип и описание 0x17 23 Сообщение Leave Group. Поле адреса на группу Максимальное время ответа. Однобайтовое которое указывает ное время задержки (в десятых долях секунды), допустимой перед отправкой сооб щения Host Membership Report в ответ на Host Membership Query. Это поле только в общих или конкретной группе запросах, Его соответствует значению параметра Query Interval (Интер вал между ответами на запросы), который настроить одним из двух Х на вкладке Router (Маршрутизатор) окна в оснаст ке Routing and Remote Access и доступ);
Х командой netsh routing ip set interface.
Контрольная сумма. Двухбайтовое в которое записывается кон трольная сумма для Контрольная сумма IGMP не вклю чает IP-заголовок.
Групповой адрес. Четырехбайтовое поле, которое в общем Host Mem bership Query содержит 0.0.0.0, а в Host Membership Report, Leave Group и в адресованном конкретной группе Host Membership Query Ч конкретный групповой адрес.
Host Membership Report версии Это сообщение выполняет ту же функцию, что и IGMP-сообщение Host Member ship Report версии 1, но принимается только IGMP Сообщение Leave Group Сообщение Leave Group позволяет сократить время, затрачиваемое на то, чтобы прекратил пересылку группового трафика группе, в которой боль ше нет хостов. Если какой-нибудь хост на последний он может быть последним или единственным членом группы хостов. Когда этот хост покидает группу, он посылает IGMP-сообщение Leave Group на 224.0.0.2 (адрес рассылки всем маршрутизаторам в данной подсети). Получив со общение Leave посылает серию запросов, группе хостов. Если ни один хост не маршрутизатор считает, в данной группе больше нет хостов из данной подсети, и удаляет соответствующую запись из таблицы IGMP-запрос, адресованный конкретной группе IGMP-сообщение Host Membership Query посылается на 224.0.0.1 (адрес рас сылки всем группам хостов), чтобы получить информацию о членстве хосте в в применительно к данной подсети. Маршрутизаторы IGMP также могут посылать запрос, конкретной группе (направляемый но на этой группы).
128 ЧАСТЬ 1 Маршрутизация источника и в IP-заголовке и ад реса в для двух типов сообщений по казаны в таблице 4-3.
Таблица 4-3. Адреса и значения TTL, используемые для сообщений IGMP v Адрес группе Leave IP-адрес источника хоста] маршрутизатора] IP-адрес приемника [Запрашиваемая группа хостов] 224.0.0. TTL адрес [Запрашиваемая группа хостов] [Покидаемая группа хостов] Более информацию см. в Поддержка групповой IP-рассылки в службе маршрутизации и удаленного доступа Поддержка групповой IP-рассылки, службой маршрутизации и удаленного в 2000, состоит из следующих элементов:
Х протокола IGMP;
Х групповой рассылки Х пульса рассылки Х Х многоадресных статических маршрутов (multicast static routes).
Протокол IGMP Поскольку с Windows 2000 никаких протоколов многоадресной маршрутизации не поставляется, поддержка в таблице многоадресной IP-пересылки возлага ется на IGMP -- добавляемый как один из протоколов маршрутизации IP. После IGMP к добавляются интерфейсы маршрутизатора. Каж дый интерфейс, добавленный к IGMP, можно настроить на работу в одном из двух режимов: и Эти режимы подробно рассматриваются в следующих разделах.
Хотя IGMP предоставляет некоторые, ограниченные возможности для создания или расширения межсетевой IP-среды с поддержкой многоадресной мар шрутизации, он не является протоколом многоадресной маршрутизации, на пример, или PIM. Не используйте IGMP в Windows 2000 для создания межсетевой IP-среды с поддержкой многоадресной маршрутизации или топологии. Подробнее о том, как можно применить маршрутизаторы Windows 2000 с протоколом IGMP, см. раздел Поддерживаемые конфигурации далее в этой главе.
В версии 2000 Server этот называется пульсом многоадресной рассылки. - ГЛАВА 4 Поддержка групповой Режим Если настроен на режим IGMP-маршрутизатора, он выполняет следующие функции.
Х Работает в режиме прослушивания группового трафика. Если такой режим поддерживается сетевым адаптером, в системном журнале регис трируется событие 20157 диспетчера IP-маршрутизатора (IP Router Х Прослушивает Host Membership Report и Leave Group.
Интерфейс режиме IGMP-маршрутизатора прослушивает IGMP-сообщения Host Membership Report и посылаемые хостами в подсети.
Х Посылает IGMP-сообщения Host Membership Query, Интерфейс в IGMP-маршрутизатора периодически посылает общие и адресованные ной группе хостов запросы приема сообщения Leave Group.
Х Участвует в IGMP-маршрутизатора querier).
Интерфейс в режиме IGMP-маршрутизатора участвует в выборах IGMP-маршрутизатора в своей подсети.
Х Обрабатывает записи в таблице многоадресной IP-пересылки. На основе те кущей информации о членстве хостов в группах в подсети IGMP ведет ствующие в IP-пересылки.
Режим IGMP-маршрутизатора может быть разрешен на нескольких интерфейсах, причем на каждом интерфейсе включить любую из версий По умол чанию предлагается Параметры режима IGMP-маршрутизатора IGMP работающий в режиме IGMP-маршрутизатора, настраивается на каждом интерфейсе отдельно. Бы можете модифицировать параметры, Х вкладку Router (Маршрутизатор) окна свойств в and Access (Маршрутизация и удаленный Х команду routing ip set interface.
Па рис. 4-4 параметры режима IGMP-маршрутизатора для интерфейса Local Area Connection (Подключение по локальной сети) в оснастке Routing and Remote Access.
Robustness Variable (Переменная надежности). Переменная, которая служит ин дикатором насколько чувствительна подсеть к потере пакетов. IGMP обеспе чивает восстановление, если потери не пере менной надежности за вычетом Вы можете указать значение параметра, отличное от предлагаемого но умолчанию (2). Переменная надежности должна быть менее чем 2.
Query Interval (Интервал между запросами). Промежуток времени (в общими посылаемыми маршрутизатором (если является в этой подсети). Интервал по умолчанию Ч секунд.
130 ЧАСТЬ 1 Маршрутизация praps* I икнет Рис. 4-4. Параметры маршрутизатора v Query Response Interval (Интервал между ответами на запросы). Максималь ное время ожидания (в секундах) ответа на общий запрос.
Интервал между ответами на запросы представляет содержимое поля максималь ного времени ответа в Membership Query v2. Интервал по умолчанию Ч 10 секунд (должен быть меньше между запросами).
Last Member Query Interval (Интервал между запросами последнего участника).
Время ожидания (в IGMP-маршрутизатора ответа на запрос, адресован ный конкретной Этот параметр также собой интервал (в се кундах) между успешными запросами, адресованными конкретной группе. Интер вал по умолчанию Ч 1 секунда.
Calculated Defaults (Вычисляемые значения по умолчанию).
настраиваются вручную или автоматически Ч на основе переменной на дежности и между запросами. Для автоматической настройки установи те флажок Enable automatic recalculation of defaults (Разрешить автоматический пересчет умолчаний).
Startup Query Interval (Интервал между запросами при запуске). (в между общими запросами, которые посылаются опрашива ющим маршрутизатором в процессе Этот интервал по умолчанию состав ляет четверть интервала между запросами.
Startup Query Count (Счетчик запросов при запуске). Число запросов, при запуске. Значение этого счетчика по Ч 2.
Last Member Query Count (Счетчик запросов последнего участника). Число ад ресованных конкретной группе запросов, посылаемых перед тем, как данный мар шрутизатор будет считать, что в группе, по данному больше нет хостов. Значение счетчика по Ч 2.
ГЛАВА 4 Поддержка групповой IP-рассылки Enable Automatic Recalculation of Defaults (Разрешить пересчет умолчаний). Указывает, надо ли автоматически вычислять интервала между запросами и счетчика запросов при запуске, а также счетчика запросов пос леднего участника. Вычисления так:
Х интервал между при запуске приравнивается четверти интервала между запросами;
Х счетчики запросов при запуске и запросов участника получают то же что и переменная надежности.
Group Membership Interval (Интервал принадлежности к группе). Время (в се кундах), по истечении которого маршрутизатор группового трафика считает, что в группе хостов больше нет членов, находящихся в данной подсети. Этот вычисляется как (неременная надежности) * (интервал между запросами) + (интер вал между ответами на Данный параметр определяется на основе вычис и его нельзя модифицировать Other Present Interval (Интервал проверки присутствия других опрос чиков). Время (в секундах), по истечении которого маршрутизатор груп пового трафика считает, что другие маршрутизаторы группового трафика не могут быть Этот интервал вычисляется как (интервал между запросами) + (интервал между ответами на / 2.
параметр определяется па основе и его нельзя модифицировать вручную.
Примечание Подробнее об этих параметрах и их взаимосвязи см. RFC 2236.
Режим Если режим позволяет использовать интерфейс маршрути затора для многоадресной пересылки, то режим IGMP-прокси Ч в качестве многоадресной пересылки proxy) для хостов, к работающим в режиме IGMP-маршрутизатора. Когда настроен на режим IGMP-прокси, он функции.
Х Пересылает Host Все Host Membership Report, принятые на интерфейсах, ра ботающих в режиме IGMP-маршрутизатора, ретранслируются по работающему в режиме IGMP-прокси.
Х Регистрирует МАС-адреса групповой (многоадресной) рассылки.
При использовании технологий доступа типа Ethernet сетевой адаптер поначалу остается в режиме прослушивания ка. Для каждой уникальной группы хостов, зарегистрированной нием Host Membership Report, которое пересылается на po сетевой адаптер программируется на сквозную передачу кадров с ствующим групповой рассылки. Каждый дополнительный повой требует отдельной в таблице ния на сетевом адаптере. Максимальное число записей в этой чено и от конкретного адаптера. Как только эта таблица пол 132 ЧАСТЬ 1 Маршрутизация заполняется, протокол переводит сетевой адап тер в режим прослушивания группового трафика.
Х Добавляет записи в пересылки.
Когда работающий в принимает не локальный групповой маршрутизации или обновляет запись в таблице многоадресной пересылки для дальнейшей переда чи этого группового трафика с Конечный этого процесса в том, что любой нелокальный групповой трафик, по IGMP-маршрутизатора, копируется па интер фейс Х групповой трафик, интерфейсами Групповой трафик, принимаемый по интерфейсу IGMP-прокеи и группам, которые зарегистрированы хостами, подключенными к режима IGMP-маршрутизатора, перенаправляется на интер фейсы с IP-протокола и таблицы многоадресной пересылки.
Предназначение режима IGMP-прокси подключить Windows к IP-среде с поддержкой многоадресной пересылки, например к или к частной которой используются протоколы мар и работающий в режиме IGMP-про кси, действует как хост и к в интересах хостов, подклю к интерфейсам режима IGMP-маршрутизатора. Групповой трафик, посы лаемый групп хостов, к интерфейсам режима IGMP-марш принимается IGMP-прокси и перенаправляется с исполь зованием Групповой трафик, хостами, к интерфейсам режима IGMP-маршрутизатора, переда на интерфейс IGMP-прокси, откуда следующий от источника группового тра фика маршрутизатор может либо переслать трафик либо проигнори ровать его.
Режим IGMP-прокси включить только на Этот интерфейс должен быть подключен к какой-нибудь полсети, в которой присутству ет маршрутизатор группового трафика с протоколами ной маршрутизации. Иначе говоря, IGMP-прокси на расеть поддержкой многоадресной Сравнение режимов IGMP-маршрутизатора и IGMP-прокси и функциональность режимов IGMP-маршрутизатора и IGMP-про кси суммированы в таблице 4-4.
Таблица 4-4. Сравнение режимов IGMP-маршрутизатора и Режим IGMP-маршрутизатора Режим IGMP-прокси Действует как маршрутизатор Действует как группового на Host IGMP и отвечая IGMP-сообщения на прослушивает Membership Report IGMP-сообщения Member ship как хост, а не как ГЛАВА 4 Поддержка групповой Таблица 4-4.
Функциональность Режим маршрутизатора Режим Режим прослушивания Прослушивание смешанного Прослушивание трапика трафика таблицы Обновляет таблицу много- таблицу многоадресной многоадресной адресной IP-пересылки IP-пересылки для IP-пересылки на нелокального группового трафика, принимаемого но интерфейсам режима Отправка Посылает Никаких для таблицы не в актуальном состоянии Ограничители групповой рассылки Ограничители рассылки настраиваемые еры, ограничивающие пересылку группового трафика рамками обла сти IP-среды. Без таких ограничителей пересылается весь IP-трафик. На Windows 2000 ограничители групповой рассылки определять на диапазона IP-адресов, многоадресной областью scope), значения поля (Time-To-Live) в IP-заголовке или максимального объема группового трафика.
Ограничители рассылки настраиваются па каждом интерфейсе отдель но. Для этого используется вкладка Multicast Boundaries области) в свойств нужного которое открывается из папки Gene ral узла IP Routing (IP-маршрутизация) в оснастке Routing and Remote Access и доступ).
Ограничители на основе областей Диапазон IP-адресов групповой рассылки 239.0.0.0/8 как админист выделенное пространство IP-рассылки. Передачу или прием по групповым адресам из диапазона за счет применения ничителей на основе областей boundaries). Ограничитель па границу, за пределы которой групповой пакет, направляемый на определенный диапазон адресов, не пересылается.
Чтобы сконфигурировать многоадресную область (диапазон IP-адресов рассылки) для использования ограничителей, Вы должны добавить эту область одним из двух способов:
Х с помощью вкладки Multicast Scopes области) свойств IP-маршрутизации. Для этого в оснастке and Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршру тизация), щелкните правой кнопкой мыши папку General (Общие) и выберите команду Properties Х routing ip set scope.
Вы должны указать соответствующий области адресов в виде IP-адре са и маски. локальная область всегда исключается. Так 134 ЧАСТЬ 1 Маршрутизация что области должны укладываться в от 239.0.0. до 239.254.255.255. Чтобы охватить диапазон вве дите IP-адрес и маску, этот диапазон. А в случае группового адреса введите IP-адрес и маску, 255,255.255.255.
области, Вы можете создать соответствующие ограничители для отдельных используя вкладку Boundaries (Границы многоадресной области) в окне свойств нужного интерфейса. об административном управлении групповым IP-трафиком см. RFC 2356.
Ограничители на основе TTL Ограничители на основе TTL boundaries) препятствуют пересылке групповых с TTL, меньшими определенного значения. Ограничители на основе TTL применяются ко всем групповым пакетам независимо от того, какой хостов они адресованы. пороговые значения используемые в таких случаях, показаны в таблице 4-5.
Таблица 4-5. Пороговые значения значение TTL Запрещаемая область Тот же хост ! Та же 15 Тот же сайт 63 Тот же 191 Глобальная;
ограниченная полоса пропускания 255 Без Таким установив на интерфейсе пороговое TTL в 15, Вы ретите пересылку группового IP-трафика, не рассчитанного на передачу за преде лы сайта*. Будет пересылаться только региональный и прочий трафик.
Ограничители на основе менее эффективны, чем ограничители на основе об ластей. Более подробную см. в RFC 2365.
Ограничение максимального объема трафика Для введения такого ограничения Вы предел скорости передачи группового трафика в Кб/с.
Пульс групповой рассылки Пульс групповой рассылки (multicast heartbeat) Ч это групповые уведомления, гулярно посылаемые на определенный адрес. Пульс групповой рассыл ки используется для проверки возможности соединений в сети для передачи груп IP-трафика. Если по какому-либо интерфейсу пульс групповой рассылки в течение определенного времени не прослушивается, состояние этого интерфейса * Следует иметь в виду, что под сайтом подсетей с серверами Active Directory. Ч Прим. nepe.fi.
ГЛАВА 4 Поддержка групповой считается неактивным. Чтобы маршрутизатор Windows 2000 отсут ствие пульса групповой рассылки, Вы должны механизм опроса, ми пески состояние пульса групповой рассылки. Как только его состоя ние становится неактивным, возникает событие, Подробнее на эту тему см. по Microsoft Platform SDK на Допустим, Вы решили создать механизм, который посылает скон фигурированной станции в тот момент, состояние пульса групповой рассылки становится неактивным. Для этого Вам потребуется создать субагент а агент па маршрутизаторе Windows 2000 настроить на SNMP-сообщества, указав при этом, кому будут посылаться перехваты. Подробнее на эту тему см. главу 10 в книге Сети серии Microsoft Windows Стандартный протокол, применяемый для передачи пульса рассылки, Ч SMTP (Simple Time Protocol). SNTP использует груп повой IP-адрес 224.0.1.1 и предназначен для синхронизации по времени. Если ис точник трафика, связанного с пульсом групповой рассылки разме на стратегическом участке межсетевой среды, то потеря пульса будет вать на наличие какой-либо проблемы в многоадресной IP-марш рутизации. Windows 2000 Server включает SNTP-сервер Ч Windows Time Synchro Service (W32Time) (Служба времени Ч и SNTP-клиент. Подроб нее о SNTP см. RFC 1769.
Вы можете настроить пульс групповой рассылки на вкладке Multicast Heartbeat (Пульс многоадресной рассылки) окна свойств интерфейса, открываемого из пап ки General узла IP Routing (IP-маршрутизация) в оснастке Remote Access и удаленный доступ).
Туннели IP-B-IP Туннели IP-B-IP tunnels) используются для меж ду конечными точками, образующими мост между разными частями межсетевой среды с разными возможностями. Типичное туннелей IP-B-IP Ч сылка группового IP-трафика из одной области в другую через участок, на котором или группового трафика не При таком IP-дейтаграмма инкапсулируется другим ком для передачи между конечными точками туннеля как показано на рис. 4-5. Признаком туннеля служит 4 в поле IP-протокола внеш него Подробнее о IP-B-IP см. RFC 1853.
Рис. 4-5. Структура пакета при туннелировании IP-B-IP Интерфейсы IP-B-IP Ч это логический интерфейс, который посылает режиме Чтобы создать такой интерфейс, запустите оснастку Routing Remote Access (Маршрутизация и доступ), щелкните пра 136 ЧАСТЬ 1 Маршрутизация вой кнопкой мыши папку Routing Interfaces (Интерфейсы маршрутизации) и вы берите New Tunnel (IP only) IP-туннель). Создав туннель, до его как для раскройте IP (IP-маршрутизация), щелкните правой кнопкой мыши General (Общие) и выберите команду New Interface интерфейс).
После создания всех интерфейсов и добавления их в качестве интерфейсов IP-маршрутизации Вы определить конечные точки туннеля. Затем Вы мо жете настроить эти точно же, как и любой другой Многоадресные статические маршруты Когда по маршрутизатора Windows 2000 с поддержкой многоадресной пересылки принимается групповой IP-пакет, IP-адреса источника и это го пакета проверяются в записях таблицы многоадресной IP-пересылки. Если под запись найдена, групповой IP-пакет пересылается по маршруту, указанно му в Если па пути за маршрутизатором груп пы хостов нет, отбрасывается.
Если запись не она должна быть создана. Запись в многоадрес IP-пересылки состоит из группового адреса, IP-адреса источника, списка ин терфейсов, по которым пересылается трафик (интерфейсы следующего перехода), и по которому должен поступать трафик для дальнейшей пере сылки (интерфейс предыдущего Групповой адрес и IP-адрес извлекаются из группового пакета. Интерфейсы следующего перехода определяют ся при регистрации членства хостов в группах с использованием (и любых протоколов многоадресной маршрутизации, если они есть).
Интерфейс предыдущего перехода Ч интерфейс, ближайший (в терминах мет рик к определения такого про сматриваются записи в маршрутизации. В качестве интер фейса предыдущего перехода выбирается один интерфейс с наилучшим маршрутом обратно к источнику IP-пакета. Наилучшим считается маршрут, лее точно маршруту с метрикой.
многоадресной (multicast table) логически отделе на от таблицы одноадресной routing table), также емой просто таблицей маршрутизации. Диспетчер таблиц маршрутизации (Route Table службы и удаленного доступа хранит мастер список или таблицу маршрутизации RTM (RTM routing table). Каж дый маршрут помечается как одноадресный или как многоадресный, или как то и другое. Следовательно, список получаемых маршрутов зависит от выбранного Вами представления. Набор одноадресных маршрутов в таблице одноадресным (unicast а набор маршрутов в той таблице Ч (multicast view).
таблицы маршрутизации используется для определения интер фейса перехода и соседа предыдущем переходе, что для диагностических утилит По умолчанию все маршруты, протоколами маршрути зации RIP и а также статические маршруты, вручную сконфигурированные с помощью оснастки Routing Access, помечаются как появляющиеся в ГЛАВА 4 Поддержка групповой IP-рассылки обоих представлениях. Если Ваши трафика являются и маршрутизаторами группового трафика, изменений требуется.
Однако Б некоторых инфраструктуры одноадресной и многоадрес ной Например, чтобы сбалансировать Вы ис пользуете для адресного и трафика разные наборы маршрутизаторов.
Тогда Вам скорее придется от предлагаемого по умолчанию добав ления всех маршрутов в одноадресное и представления и многоадресный статический маршрут командой netsh routing ip add rtmroute.
Пример одной таких конфигураций Ч маршрутизатор Windows 2000 с первый подключен к маршрутизатору, а второй Ч к Для примера будем что для всего нелокального одноадресного IP-трафика па через ин терфейс 1 используется единственный статический маршрут по По скольку этот статический маршрут был в оснастке Routing and Remote Access, помечается и как и как многоадресный.
А теперь представьте, что когда по интерфейсу 2 будет принят группо вой IP-пакет. Чтобы запись в многоадресной IP-пересылки, интерфейс предыдущего На ления таблицы маршрутизации и такового будет выбран интерфейс 1, а не интерфейс 2, так как первый находится ближе к источнику группового тра фика (в терминах метрик маршрутов). Поскольку групповые IP-пакеты, емые группе и на IP-адрес источника, могут быть приняты только по предыдущего перехода, групповые IP-пакеты, на будут молча отбрасываться.
Чтобы избежать этой проблемы, используйте команду netsh routing ip add rtmroute и многоадресный статический маршрут по умолчанию, который исполь зует интерфейс 2 и имеет меньшую метрику. Этот маршрут ческий маршрут по Поддерживаемые конфигурации многоадресной пересылки Поскольку и в службу маршру и удаленного доступа Windows 2000, могут заменить какой-либо прото кол многоадресной (например, или в следующих разделах описываются и поддерживаемые конфигурации маршру тизатора Windows 2000 с применением протокола маршрутизации а также режимов и Интрасеть с единственным маршрутизатором Маршрутизатор Windows 2000 обеспечивает полнопенную поддержку пересылки в с маршрутизатором. В этой конфигура ции все интерфейсы добавляются к протоколу и каждый интерфейс настраивается па режим IGMP-маршрутизатора. Тогда любой в любой может передавать и принимать групповой трафик от любого друго го хоста. Весь групповой трафик пересылается в те подсети, где находятся члены хостов.
138 ЧАСТЬ 1 Маршрутизация Конфигурация с единственным маршрутизатором на рис, 4-6.
г Режим маршрутизатора Режим IGMP маршрутизатора Режим IGMP маршрутизатора Windows Режим IGMP маршрутизатора Рис. 4-6. Интрасеть с единственным маршрутизатором Интрасеть с единственным маршрутизатором и подключением к МВопе Маршрутизатор Windows 2000 обеспечивает многоадресной пересылки в интрасети с единственным маршрутизатором и подключением к МВопе. Б этой конфигурации все интерфейсы добавляются к протоколу Интерфейсы частных подсетей настраиваются на режим IGMP-маршрутизатора, а Интернет-интерфейс Ч на режим Хосты, к группам, посылают Host Member ship Report, которые затем копируются на Интернет-интерфейс. На тот же фейс передается групповой трафик После этот трафик пере сылается хосту в соответствующей подсети. трафик, посылаемый хос том, который находится в одной из подсетей интрасети, копируется на Интернет интерфейс. А группового трафика, размещенный у провайдера ус луг Интернета (ISP), либо игнорирует, либо пересылает этот трафик.
В такой групповой трафик, передаваемый между двумя хостами в частной интрасети, копируется и на что приводит к - Режим Режим Маршрутизатор Windows Internet МВопе Рис. 4-7. Интрасеть с единственным маршрутизатором и подключением к МВопе ГЛАВА 4 групповой IP-рассылки способности канала связи с 1SP. Чтобы избе жать копирования внутреннего группового трафика на на стройте приложения или диапазоны групповых адресов на на групповых IP-адресов из административно 239.0.0.0-239.254.255.255 и создайте подходящий ограничитель на осно ве области, действующий применительно к Интернет-интерфейсу.
интрасети с единственным маршрутизатором и к показана на рис. 4-7.
Периферийный маршрутизатор в интрасети с поддержкой групповой рассылки В этой конфигурации, очень похожей на предыдущую, маршрутизатор Windows обеспечивая поддержку многоадресной пересылки, выступает в роли периферий ного который подключен к частной интрасети с поддержкой груп повой рассылки. Периферийным называется маршрутизатор, подключенный к не скольким подсетям, из которых лишь одна содержит другой маршрутизатор. В та кой последний является основным маршрутизатором группового трафи ка в интрасети с поддержкой групповой рассылки, и на нем работают все необхо димые протоколы маршрутизации.
В данном случае все интерфейсы добавляются к протоколу маршрутизации Интерфейсы, не связанные с маршрутизатором группового трафика, настраивают ся на а интерфейс, подключенный к подсети с новным маршрутизатором группового трафика, Ч на режим Хосты, к посылают Host ship Report, которые копируются на интерфейс, подключенный к подсети с основ ным маршрутизатором группового трафика. Групповой трафик из интрасети сылается на интерфейс, работающий в режиме ЮМР-прокси. После приема этот трафик пересылается хосту в соответствующей трафик, посы лаемый хостом, который находится в одной из подсетей, подключенных к - Режим IGMP Режим Режим ЮМР-прокси Основной маршрутизатор Маршрутизатор с поддержкой групповой рассылки Рис. 4-8. Периферийный маршрутизатор в интрасети с поддержкой рассылки 140 ЧАСТЬ 1 Маршрутизация копируется на А маршрутизатор группового трафика либо игнорирует, этот трафик находящимся за ним членам групп Периферийный маршрутизатор в с поддержкой групповой рассылки по казан на рис. 4-8.
Поддержка групповой рассылки для клиентов удаленного доступа Протокол маршрутизации в Windows 2000 часто используется для предос сервисов рассылки клиентам удаленного доступа, которые со единяются по коммутируемым линиям или через виртуальные частные сети По с предыдущими сервер удаленного доступа или Windows 2000 роли для IP-среды с поддержкой многоадресной пересылки.
В данном случае две конфигурации:
Х MBone-доступ, предоставляемый провайдером услуг Интернета (ISP) клиентам доступа, которые подключаются по коммутируемым линиям (dial up clients);
Х доступ к частной сети с поддержкой групповой рассылки для клиентов удален ного доступа, которые подключаются по коммутируемым линиям или через VPN.
MBone-доступ для клиентов, подключающихся к ISP по коммутируемым линиям Если Вы Ч в ISP Ч используете службу маршрутизации и до Windows 2000 для того, чтобы предоставлять доступ к Интернету клиентам удаленного доступа, по коммутируемым то должны вы полнить следующие операции.
1. к протоколу маршрутизации интерфейс Internal (Внутренний) и интерфейс, соединенный с Внутренний интерфейс представляет все клиенты удаленного доступа.
2. интерфейс Internal па режим IGMP-маршрутизатора.
3. Настройте на режим IGMP-прокси.
Подключенные клиенты доступа, к группам хостов, по сылают Membership Report, которые копируются на нет-интерфейс. На этот же интерфейс и трафик из Интерне та. После приема групповой трафик хосту (клиенту доступа). Групповой трафик, посылаемый подключенным хостом, пере сылается другим членам групп хостов и копируется на Интернет интерфейс. группового трафика в Интернете либо иг норирует групповой трафик, либо его членам групп хостов, расположен ным за Конфигурация предоставляемого которые подключают ся к ISP по коммутируемым линиям, показана на рис. 4-9.
ГЛАВА 4 Поддержка групповой Режим IGMP-маршрутизатора Режим Клиенты ISP Сервер удаленного доступа под Windows Рис. 4-9. предоставляемый клиентам, подключающимся к ISP по коммутируемым линиям Доступ к частной сети для клиентов, подключающихся по коммутируемым линиям или через VPN Если Вы используете службу и Windows для того, чтобы предоставлять доступ к удаленного доступа, подключающимся по коммутируемым линиям или через то выпол следующие операции.
1. Добавьте к протоколу маршрутизации интерфейс Internal и интерфейс, с Внутренний пред ставляет все клиенты удаленного доступа. частной интрасети дол жен быть подключен к подсети, содержащей основной группо вого трафика.
2. интерфейс Internal на режим 3. Настройте интерфейс па режим IGMP-прокси.
доступа, присоединяясь к группам хостов, по сылают Host Membership которые копируются па фейс частной На этот же интерфейс поступает и групповой трафик из интрасети. После приема групповой трафик пересылается полключенным членам групп хостов доступа). Групповой трафик, посылаемый - IGMP-маршрутизатора Режим Клиенты доступа Основной маршрутизатор группового трафика удаленного доступа под управлением Windows с поддержкой групповой рассылки Рис. 4-10, Доступ к частной интрасети для подключающихся по коммутируемым линиям или VPN 142 ЧАСТЬ 1 Маршрутизация хостом, другим подключенным членам групп хостов и копируется на интерфейс частной Основной маршрутизатор группово го трафика либо игнорирует групповой трафик, либо пересылает его членам групп хостов, расположенным за ним.
доступа к частной интрасети, предоставляемого клиентам, которые по коммутируемым линиям или через VPN, показана на рис. 4-10.
о поддержке рассылки сервером удаленного доступа см. гла 7 удаленного в этой книге.
Поддержка многоадресной пересылки для сетей филиалов Маршрутизатор 2000 обеспечивает поддержку пере сылки для филиала с единственным маршрутизатором, подключенным к интрасе ти центрального офиса с поддержкой групповой рассылки. Эта конфигурация тре бует должной настройки как маршрутизатора филиала, так и цен трального офиса.
В случае маршрутизатора филиала его интерфейсы добавляются к протоколу маршрутизации причем интерфейсы, подключенные к филиала, на режим соединенный с мар центрального офиса, на режим Этот интерфейс может быть LAN-интерфейсом (при использовании соединения на ос нове, например, или Frame Relay) или интерфейсом соединения по тре бованию коммутируемой линии аналоговой телефонной и ISDN или VPN-соединения между маршрутизаторами). Подробнее об интерфейсах соединения по требованию и их конфигурациях см. главу 6 Мар шрутизация с соединением по требованию в этой книге.
Б случае маршрутизатора офиса все его добавляются к протоколу маршрутизации IGMP, причем интерфейс, подключенный к филиалу, настраивается на режим IGMP-маршрутизатора. Этот интерфейс может быть LAN интерфейсом (при на например, или Relay) или интерфейсом соединения по требованию (при использовании, например, коммутируемой линии вроде телефонной и ISDN VPN между маршрутизаторами). Наконец, интерфейс, соединенный с под сетью, в которой находится основной маршрутизатор группового трафика, настра ивается на режим IGMP-прокси.
Group Report для групп хостов копируются по каналу с в подсеть с основным маршрутизатором группового трафика. Через канал связи с офисом в эту подсеть пере дается и трафик от хостов филиала.
В такой конфигурации групповой трафик, передаваемый между двумя хостами в интрасети филиала, поступает и в канал связи с офисом, что приво дит к неэффективному использованию пропускной способности этого канала. Что бы избежать этого, настройте приложения или групповых адресов MADCAP-серверах интрасети на использование групповых из админи стративно выделенного 239.0.0.0-239,254.255.255 и создайте подходящие ограничители на основе областей, действующие применительно к интерфейсу, свя с центральным офисом.
ГЛАВА 4 Поддержка групповой IP-рассылки Конфигурация поддержки пересылки для филиалов представ лена на рис. 4-11.
Филиал Канал связи с центральным г офисом Маршрутизатор Windows Режим Of Режим Windows Режим IGMP- маршрутизатора Основной маршрутизатор :
группового трафика Интрасеть с групповой рассылки Рис. 4-11. Поддержка многоадресной пересылки для сетей Средства диагностики Для устранения с групповой IP-рассылкой служба маршрутизации и ленного доступа Windows 2000 предоставляет:
Х оснастки Routing and Access;
Х команду Х поддержку Х команды Netsh;
Х поддержку регистрации событий Х поддержку трассировки.
Подробнее общих и устранения проблем с групповой сылкой см. проект Handbook.
Таблицы оснастки and Remote Access С помощью этой оснастки можно просмотреть три таблицы, содержащих цию о групповой IP-рассылке:
Х Forwarding Table (Таблица многоадресного перенаправления);
144 1 Маршрутизация Х (Статистика многоадресной рассылки);
Х Interface Group Table (Таблица интерфейса Таблица пересылки многоадресной - это таблица, используемая ТР для пересыл ки группового IP-трафика. В каждой ее записи регистрируется определенная груп па хостов и источник трафика. В колонке (Тип) сообщается Active, если идет для данной или Negative, если трафик в сети имеется, но не пересылает его, так как для данной группы никаких хостов не зарегистрировано.
Чтобы просмотреть таблицу пересылки, раскройте узел IP Routing (IP-маршрутизация), щелкните правой мыши папку General (Общие) и команду Show Multicast forwarding table (Отобразить таблицу многоад ресного перенаправления).
Статистика групповой рассылки Статистика групповой рассылки счетчиками и другой информацией, поддерживаемой IP для каждой группы хостов, которой пересылается групповой трафик. В каждой записи групповой регистрируется групповой адрес, IP-адрес источника трафика, интерфейс, по которому был этот трафик, число пакетов и прочие сведения.
Чтобы просмотреть статистику рассылки, раскройте узел IP Routing (IP-маршрутизация), щелкните кнопкой папку General (Общие) и выберите команду Show Multicast statistics (Отобразить статистику ной рассылки).
Таблица Эта сообщает информацию о членстве хостов в группах, на всех интерфейсах, работающих в режиме В каждой этой таблицы регистрируется время работы (сколько секунд прошло с мо мента регистрации срока (сколько секунд осталось до оконча ния срока группы, если ни один хост не отправит на этот адрес Host Report) и прочие сведения.
Чтобы IGMP Group раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши папку IGMP (IGMP) и выберите команду Show group table (Отобразить таблицу групп).
* В частях интерфейса and Remote Access в русской Windows 2000 Server эта либо интерфейса IGMP-групп. название используется при просмотре таблицы применительно к а второе Ч при просмотре сводной таблицы по обе Следует также отметить, что лица интерфейса так как речь идет о группах, данном а не об какой-то одной группы. Ч Прим.
* В русской Windows 2000 Server термин пере По мере мы употреблять вместо термина многоадрес ный термин который гораздо точнее смысл термина - Прим.
ГЛАВА 4 Поддержка групповой IP-рассылки Таблица групп Эта таблица сообщает информацию о в труппах, ных па конкретном работающем в режиме В записи этой таблицы регистрируется время работы (сколько про шло с момента регистрации группы), истечение срока (сколько осталось до срока группы, если пи хост не отправит на адрес Host Membership Report) и сведения.
Чтобы просмотреть Interface Group Table (Таблица интерфейса раскройте IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши нужный в лапке IGMP и команду Show face group table (Отобразить таблицу групп интерфейса).
Команда Windows 2000 поддерживает команду которая позволяет конфигурацию маршрутизатора группового Эта информация может при годиться при выявлении и устранении проблем с многоадресной пересылкой мар Команда mrinfo посылает маршрутизатору группового трафика специ альный запрос. В ответе на запрос сообщается номер версии, список фейсов и соседей на каждом метрики, значения и фла ги. Синтаксис mrinfo выглядит mrinfo [ ] [ -г ] [ -t ] Таблица 4-6. Параметры команды Mrinfo Параметр -d Уровень По умолчанию Ч 0. Если уровень отладки равен 1, с пакетами. Если уровень отладки равен 2, об отключенных сетях и все уровня 1. А если уровень 3, выводятся о пакетов и все сообщения 2.
-г Число повторных попыток получения о соседях. По - 3.
-t Время ожидания (в секундах) ответа на о соседях. По умолчанию Ч 4.
Вот пример использования команды mrinfo:
10.1.0. [version 10.1.0.1 -> 0.0.0,0 (local) 10.2.0.1 -> 10.2.0,2 [1/0] 10.2.0.1 -> 10.2.0.3 [1/0] 10.3.0.1 -> 0.0.0.0 (local) [1/0/querier/leaf] В этом примере mrinfo выполняется к маршрутизатору го трафика) с адресом 10.1.0.1. В строке конфигурация маршрутизатора: номер версии (в случае маршрутизаторов Windows * По крайней в русской команды mrinfo -d не - Прим.
146 ЧАСТЬ 1 Маршрутизация версии отражает номер сборки Windows 2000) и флаги (в случае сообщает ся, что поддерживаются и В каждой последующей строке информация интерфейсах марш рутизатора группового трафика и о соседях каждом интерфейсе. На сах 10.1.0.1 и 10.3.0.1 соседей а на интерфейсе 10.2.0.1 есть два соседа: 10.2.0. и 10.2.0.3. Б каждой из этих строк сообщает об интерфейсе, соседях и их доменных именах, метрику многоадресного маршрута, пороговое TTL и флаги, указывающие, является ли интерфейс маршрутизатора опрашиваю щим и есть ли у него соседи нет, то слово Поддержка Mtrace Хотя в Windows 2000 нет какой-либо версии утилиты Mtrace, для трассировки групповых пакетов, маршрутизатор Windows 2000 реагирует на запро сы от таких утилит, поставляемых сторонними разработчиками.
Команды Чтобы просмотреть многоадресной пересылки и собрать полезную при выявлении источника проблем с многоадресной и пересылкой, используйте следующие команды netsh.
Х netsh routing ip show Выводит содержимое таблицы пересылки. Эта команда показы вает ту же таблицу, что и оснастка Routing and Remote Access (Маршрутизация и удаленный доступ).
Х netsh routing ip show mfestats Сообщает статистику о и принятых пакетах, а также информацию о и выходных но каждой записи в таблице многоадресной пересылки. Эта команда показывает ту же статистику, что и Routing and Remote Х netsh routing ip show grouptabte Выводит информацию о членстве хостов в группах, зарегистрированных на всех интерфейсах, которые работают в режиме Эта команда показывает ту же таблицу что и оснастка Routing and Remote Access.
Х netsh routing ip igmp show ifstals Отображает статистику IGMP по каждому интерфейсу.
Х netsh routing ip igmp show iftable Выводит информацию о членстве хостов в группах, па кон кретном который работает в IGMP-маршрутизатора. Эта показывает ту же таблицу что и оснастка Routing and Remote Access.
Х netsh routing ip igmp show rasgrouptable Выводит таблицу для интерфейса Internal используемого сервером удаленного доступа, ГЛАВА 4 Поддержка групповой IP-рассылки Х routing ip igmp show Выводит групп для интерфейса, работающего в режиме Регистрация событий Уровень регистрации событий для протокола маршрутизации в системном журнале событий Windows 2000 устанавливается:
Х в окне свойств протокола маршрутизации открываемого в оснастке ting and Remote Access (Маршрутизация и удаленный доступ);
Х командой netsh routing ip igmp set global.
Уровни регистрации событий могут быть следующими:
Х Log errors (Вести только журнал ошибок);
Х Log errors and warnings (Вести журнал и предупреждений);
Х Log the maximum amount of information (Вести журнал всех событий);
Х Disable event logging (Отключить журнал событий).
Уровень по умолчанию Ч Log errors only. При выявлении причины проблем с про токолом маршрутизации IGMP установите уровень Log the maximum of information. Получив нужную информацию, верните уровень регистрации на Log errors only.
Трассировка Средства трассировки последовательность вызываемых функций в файл. Для детальной о процессах, выполняемых протоколом 1GMP, в файл журнала при свойте параметру в разделе реестра значение 1. Закончив трассировку, верните этому параметру исходное значение (0).
Трассировочная информация может оказаться сложной и очень детальной.
ее полезна только инженерам службы технической поддержки или сете вым администраторам, имеющим большой опыт работы со службой маршрутиза ции и удаленного доступа. Трассировочную информацию можно сохранить в виде файлов и послать в службу технической поддержки Microsoft для анализа.
нее о возможностях см. главу 2 Служба маршрутизации и го в книге.
Дополнительные материалы Более подробную информацию о IP-рассылке см. в книге:
Х Thomas A. Deploying IP Multicast in the 1998, Upper River, NJ:
IPX-маршрутизация Служба и Windows 2000 является полнофунк циональным IPX-маршрутизатором, который RIP IPX (основной протокол маршрутизации, используемый в межсетевых IPX-средах), Novell Net Ware SAP for IPX (протокол для сбора и имен и адресов служб) и пересылку широковещательных NetBIOS IPX.
В этой главе 2000 и IPX-пакетов for IPX SAP for IPX Широковещание NetBIOS Х Об Ч главу 1 Обзор одноадресной маршрутиза в этой книге.
Х о маршрутизаторе Windows 2000 Ч главу и удаленного в этой книге.
Х О маршрутизации с соединением по требованию Ч главу 6 Маршрутизация с соединением по требованию в этой книге.
Х Подробнее о взаимодействии с Ч главу 12 Взаимодействие с NetWare в этой книге.
Windows 2000 и IPX-маршрутизация Маршрутизатор IPX (Internetwork Packet Exchange) Ч это комбинация агента IPX маршрутизации (IPX routing agent) и агента SAP (Service Advertising Protocol).
Первый агент перенаправляет IPX-пакеты между IPX-сетями и свою цу маршрутизации, используя протокол RIP Information Protocol) for IPX.
Агент SAP собирает и SAP-информацию (список служб, доступных в сети, и их межсетевые а также отвечает па запросы клиентов SAP.
о компонентах в Windows 2000 см. главу 2 Служ ба маршрутизации и удаленного в этой 5 IPX-маршрутизация Windows NT Server версии 4.0 (и ниже) предоставляла службу агента SAP, которая позволяла приложениям и службам Windows NT (в частности, File and Print Ser vices for NetWare и Microsoft Exchange Server) оповещать клиенты NetWare о сво их именах и адресах, a Windows NT версии 3.51 (с Service Pack 2 и выше) и Win dows NT Server Ч агент IPX-маршрутизации, протокол RIP for IPX. Windows 2000 Server предоставляет интегрированный с агентом SAP и агентом который работает с протоколом RIP for Функциональность маршрутизатора Windows для набора протоколов IPX Маршрутизатор Windows 2000 (Windows 2000 Ч компьютер под управле нием Windows 2000 Server и службы и удаленного доступа Ч пре дусматривает богатую для поддержки IPX-сред.
Фильтрация IPX-пакетов. Для каждого интерфейса можно определить и фильтры с использованием ключевых полей в IPX-заголовке.
RIP for IPX, Полная поддержка RIP for IPX, основного протокола ции, в межсетевых IPX-средах.
Фильтрация IPX-маршрутов. Фильтрация входящих и исходящих и оповещений о маршрутах, Статические IPX-маршруты. Статические IPX-маршруты, объявляемые по RIP for IPX.
SAP for IPX. Полная поддержка SAP Ч механизма, с помощью которого клиен ты NetWare получают об именах и адресах служб, работающих на IPX-узлах.
Фильтрация SAP, Фильтрация и исходящих служб и оповещений об именах служб.
Статические службы SAP. Статические службы SAP имена которых объявляют ся по протоколу SAP.
Распространение широковещательных пакетов NetBIOS. широкове пакетов NetBIOS поверх IPX, гибко на LAN-интерфей сах и интерфейсах по Статические NetBIOS-имена. NetBIOS-имена можно настроить так, чтобы широковещательные запросы определенных NetBIOS поверх IPX пе ресылались по определенным Платформа для поддержки других протоколов IPX-маршрутизации. Предусмот рена поддержка для дополнительных протоколов IPX-маршрутизации, NLSP (NetWare Link Services (Маршрутизатор Windows 2000 не ет NLSP, но этот протокол может быть сторонними и программного Фильтрация IPX-пакетов Кроме IPX-трафика, IPX-маршрутизатор может пропускать или отклонять определенные IPX-трафика. Эта 150 ЧАСТЬ 1 Маршрутизация фильтрацией IPX-пакетов, позволяет указывать тип IPX-трафика, которому разрешено пересекать данный маршрутизатор.
Вы создать серии определений, которые задают маршрутизатору, какой тип трафика разрешен или запрещен на каждом интерфей се. Такие фильтры могут быть как для входящего, так и для исходя щего трафика. Входные какой входящий трафик, принимае мый по данному интерфейсу, может быть перенаправлен или как-то иначе обрабо тан Выходные указывают, какой трафик может посы латься по данному интерфейсу.
IPX-пакетов иллюстрирует рис. 5-1.
Выходные фильтры Входные Сетевой адаптер IPX-трафик Рис. 5-1. Фильтрация IPX-пакетов Поскольку для каждого интерфейса можно определить как входные, так и выход ные есть риск создать конфликтующие фильтры. Например, фильтр на одном интерфейсе разрешает прием какого-то входящего трафика, но выходной фильтр на другом интерфейсе запрещает передачу этого трафика. Дело кончится тем, что этот трафик не сможет пересечь данный маршрутизатор.
Windows 2000 поддерживает фильтрацию на основе содержимого основных полей в IPX-заголовках входящих и исходящих пакетов. Структура IPX заголовка в следующем разделе Ч это даст Вам представление о типах IPX-фильтрации, поддерживаемых Windows 2000.
Структура IPX-заголовка IPX-заголовок, следующий относящимися к физическому и каналь ному уровням (например, Ethernet, Token Ring или РРР), на рис. 5-2.
Контрольная сумма. 16-битная контрольная сумма IPX-заголовка и полезных обычно не Если она не используется, в это поле записывает ся значение а если все же используется, то настроить IPX-узел па приме кадров Длина. Указывает длину IPX-пакета и полезных данных в IPX в Для адаптации под устаревшие маршрутизаторы и сетевые теры IPX-узлы иногда приходится настраивать так, чтобы генерируемые ими IPX ГЛАВА 5 пакеты содержали четное число Если в пакете содержится нечетное число байтов, к нему добавляется еще один байт, но в длины он не учитывается.
Контрольная сумма Длина Контроль транспорта Тип пакета Сеть назначения Узел назначения Сокет назначения Сеть источника Узел Сокет источника = 1 байт Рис. 5-2. IPX-заголовок Контроль транспорта. Указывает число IPX-маршрутизаторов, которые уже прошел данный IPX-пакет;
также переходов (hop count).
дающие узлы записывают в это поле нулевое значение, а каждый IPX-маршрутиза тор на пути от источника к адресату увеличивает это значение на торы RIP for IPX ограничивают число переходов до 15. На 16-м маршрутизаторе RIP for пакет отбрасывается (без уведомления узла отправителя). (NetWare Link Services Protocol) for IPX поддерживают число до 127.
Тип пакета. Указывает тип данных в IPX-пакете. Благодаря этому кли ентские протоколы могут использовать IPX и распознаются ом.
Некоторые из возможных значений этого поля перечислены в таблице 5-1.
Таблица 5-1. Типы IPX-пакетов Тип Клиентский в форме) Не RIP SAP/Normal IPX SPX IPX WAN Broadcast для передачи 14 (в десятичной пакетов NetBIOS поверх IPX) форме Ч 20) Маршрутизаторы могут отфильтровывать IPX-трафик на основе содержимого поля типа пакета. Например, некоторые маршрутизаторы по умолчанию не няют широковещательный трафик NetBIOS поверх и должны быть вручную настроены на таких пакетов (со поля равным 20).
Сеть и источника). Поля сети и сети источника иденти фицируют сети (сеть Ч это межсетевой IPX-среды, ограниченной 152 ЧАСТЬ шрутизаторами), к которым подключены IPX-узлы назначения и источника. Но мера IPX-сетей образуют линейное пространство При использовании маршрутизации RIP for ни разбиение на подсети, ни суммирование групп не поддерживается. В таблицах маршрутизации на маршрутизато рах RIP for IPX должен быть маршрут к каждой Всем IPX-сетям присваива уникальный номер.
Узел (назначения и источника). узла назначения и узла источника иденти фицируют соответствующие узлы в IPX-сети. В этих шестибайтовых полях можно хранить физические адреса, также называемые Сокет (назначения и источника). Поля сокета и сокета источника идентифицируют адреса программных процессов приложения-адресата и приложе При взаимодействии нескольких между компью терами номера IPX-сети и узла Номер Ч это идентифика тор процесса, используемый при полезных данных IPX процессу.
номера являются Например, процесс файл-сер вера, выполняемый на файл-сервере Novell NetWare или совместимых файл-серве рах, использует общеизвестный сокет Любые запросы к 0x451 на файл-сервере NetWare пересылаются файл-сервера NetWare. Клиенты файл-сервера NetWare и не использующие какой-либо из обще номеров сокетов, оперируют динамически назначаемыми номерами сокетов. Некоторые из номеров перечислены в таб лице 5-2.
Таблица 5-2. Номера Процесс Номер сокета (в форме) NCP Server RIP SAP NetBIOS Примечание отличаются от сокетов Windows Sockets 2.x API Сокет Winsock на TCP/IP представляет собой комбинацию IP-адреса и но мера точку какого-либо процесса в межсете вой IP-среде, а сокет Winsock на основе IPX Ч номеров IPX-сети, IPX узла и IPX-сокета, точку того или иного процесса в меж сетевой Демультиплексирование IPX-пакета IPX-пакет прибывает по и передается протоколу IPX, данные должны быть демультиплексированы, т. е. нужному процессу.
Демультиплексирование IPX-пакета на хосте-получателе осуществляется в два эта па. На первом модуль IPX проверяет сети и узла, чтобы убедиться в их соответствии локальному А на втором мо ГЛАВА 5 IPX-маршрутизация дуль IPX номер сокета назначения и, исходя из его значения, передает IPX (полученный пакет без пес су показан на рис. 5-3.
Процесс Процесс RIP SAP А А Т Т Т Сокет 1 f I назначения I I | IPX Сеть и адрес узла Рис. 5-3. Демультиплексирование Например, какой-то клиент NetWare посылает серверу NetWare запрос на к файлу. модуль IPX на сервере NetWare получает этот запрос, проверяет номера сети и чтобы убедиться в их соответствии локальному Далее модуль IPX обнаруживает, что значение иоле сокета на значения равно 0x451, и поэтому передает данные IPX сервера NetWare.
Фильтрация IPX-пакетов на маршрутизаторе Windows Фильтрация IPX-пакетов на маршрутизаторе Windows 2000 основана па исключения. Вы настраиваете Windows 2000 либо на пропуск всего кроме фильтрами, либо на всего IPX-трафика, фильтрами. Например, Вам может понадобиться сконфигурировать выходные фильтры, пропускающие весь трафик, кроме объявлений SAP. Или здать входной фильтр на выделенном SQL для обработки только трафика SPX Packet Exchange), связанного с SQL.
Маршрутизатор Windows 2000 позволяет определять IPX-фильтры на основе дующих полей;
Х типа пакета;
Х сети источника;
Х узла источника;
154 ЧАСТЬ 1 Маршрутизация источника;
сети узла назначения;
сокета назначения.
Примечание Номера сетей источника можно указывать с использова нием маски сети, что позволяет задавать в одном элементе фильтра целый диапа зон номеров IPX-сетей. Определяя, ли номер сети IPX-пакета кри териям фильтра, маршрутизатор 2000 использует логическую операцию AND для маски сети и номера сети в IPX-пакете, а затем сравни вает результат с номером сети в фильтре. При этом 0 можно использо вать как символ подстановки для любого разряда, a F Ч для определенного шестнадцатеричного разряда.
Настройка IPX-фильтра Вы можете сконфигурировать входную и выходную фильтрацию IPX, выбрав дей ствие фильтра и добавив набор фильтров через диалоговое окно IPX Packet Filters Configuration (Конфигурация фильтров IPX-пакетов), на рис. 5-4.
ас.
Рис. 5-4. Диалоговое окно IPX Packet Filters Configuration Примечание Сконфигурировать активные фильтры для Receive packets except those that meet the criteria below (Принимать все кроме тех, что отвечают указанным ниже критериям) и all packets except those that meet the criteria below все пакеты, кроме тех, что отвечают указан ным ниже критериям) нельзя.
Вы можете задать параметры или выходного фильтра в диалоговом окне Add IPX Filter (Добавление IPX-фильтра) или Edit IPX Filter (Изменение IPX ГЛАВА 5 фильтра), как показано па рис. 5-5. Если Вы настраиваете несколько параметров фильтра, то в фильтрации они комбинируются логической AMD. Так, если в фильтре указаны Type (Тип пакетов) и Destination Socket он пропускает IPX-пакет только в том случае, когда содержи мое обоих полей IPX-пакета Ч и типа пакета, и Ч ет значениям параметров этого фильтра.
Примечание Все числа, вводимые в диалоговых Add IPX Filter и Edit Filter, должны Рис, 5-5, Диалоговое окно Add IPX Filter два примера демонстрируют варианты и реализации IPX-фильтров с нолей в диалоговом окне Add IPX Filter или Edit Filter. Эти примеры лишь для иллюстрации того, как ваются IPX-фильтры, а не в качестве рекомендаций по в конкрет ных условиях.
Чтобы сконфигурировать входной IPX-фильтр с использованием маски сети (пример);
Для выборки с номерами сетей назначения, начиная с АВ, настройте входной фильтр образом.
1. В диалоговом окне IPX Packet Filters Configuration фильтров IPX-пакетов) щелкните Add (Добавить).
2. В диалоговом Add IPX Filter (Добавление IPX-фильтра) в разделе Desti nation (Назначение) введите в ноле Network number (Номер сети) значение 3. В том же разделе введите в поле Network mask (Маска подсети) 4. ОК.
156 ЧАСТЬ 5. В диалоговом IPX Packet Filters Configuration флажок Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям).
6. Щелкните кнопку ОК.
Б этом фильтре используется маска сети, которая IPX-се тей от до Чтобы сконфигурировать выходной IPX-фильтр с использованием маски сети (пример):
Во или пересылки всего IPX-трафика из сети источника с но мером СС000001 настройте выходной фильтр следующим образом.
1. В диалоговом окне IPX Packet Filters Configuration (Конфигурация IPX-пакетов) щелкните кнопку Add (Добавить).
2. В диалоговом окне Add IPX Filter (Добавление IPX-фильтра) в разделе Source (Источник) введите в поле Network number (Номер сети) СС000001.
3. В том же в поле Network mask (Маска подсети) значение FFFFFFFF.
4. кнопку ОК.
5. В диалоговом окне IPX Packet Filters Configuration установите флажок Receive all packets except those that meet the criteria below все пакеты, кроме тех, что отвечают критериям).
6. Щелкните кнопку ОК.
В этом фильтре используется маска сети, которая задает единственный номер IPX сети Примечание Маска сети в диалоговых окнах Add IPX Filter и Edit IPX Filter при только для упрощения задания диапазона номеров IPX-сетей. Это не оз что маршрутизатор Windows 2000 поддерживает разбиение на подсети. Дело в том, что сам RIP for IPX не поддерживает ни разбиение на подсе ти, ни суммирование маршрутов.
RIP for IPX RIP for IPX Ч это протокол маршрутизации на основе векторов расстояний (dis tance vector routing protocol), для распространения информации о маршрутах в IPX-среде. for IPX разработан на базе XNS-версии (Xerox Network Services) RIP, содержит дополнительное поле счетчика тактов (tick count). Этот счетчик позволяет приблизительно оценить время, которое ухо дит на доставку IPX-пакета в назначения, и дает возможность маршрутизато ру RIP for IPX выбрать маршрут, обеспечивающий задержку в дос тавке Для ускорения конвергенции for IPX использует алгоритмы разделения и инициируемых (см. главу 3 Одноадресная IP-маршрути зация в этой книге).
ГЛАВА 5 IPX-маршрутизация for поддерживает следующие типы сообщений.
Х например рабочие станции, находят оптимальный маршрут к ка кой-либо IPX-сети, Get Local Target.
Х Маршрутизаторы запрашивают информацию о маршрутах от других маршрути заторов, посылая обший широковещательный о маршрутах.
Х Маршрутизаторы отвечают на Get Local Target и общие о маршрутах.
Х Маршрутизаторы периодически (по умолчанию Ч каждые 60 секунд) ют широковещание содержимого своих таблиц маршрутизации с применением алгоритма разделения направлений (split horizon).
Х Маршрутизаторы выполняют широковещание инициируемых обновлений для уведомления маршрутизаторов о каком-либо изменении в конфигура ции IPX-среды.
Таблицы IPX-маршрутизации Таблица поддерживается протоколом маршрутизации RIP for IPX. Запись в таблице IPX-маршрутизации содержит следующие поля*.
Network Number (Номер сети). Номер IPX-сети, с сети в IPX-заголовке пакета.
Forwarding MAC Address следующего прыжка). МАС-адрес чения IPX-пакета при его пересылке на следующий В случае се тей, это поле остается Tick Count (Счетчик Число тактов такт 1/18 се кунды), для сети Это значение оценивается на основе входящих и ответов и зависит от скорости передачи ных в сетевых сегментах. LAN-каналы обычно требуют одного такта, а WAN-кана лы линии Т1 Ч шести или семи тактов. Этот счетчик дает представление о задержке.
Hop Count (Счетчик прыжков). Число маршрутизаторов, которые нужно пере сечь, чтобы достичь IPX-сети с нужным номером.
Interface (Интерфейс) или Port (Порт). (плата сетевого са), при пересылке IPX-трафика маршруту.
затор имеет по одному интерфейсу для каждого подключенного сегмента сети.
Структуру таблицы IPX-маршрутизации иллюстрирует рис. 5-6.
Если к какой-либо IPX-сети ведет несколько маршрутов, IPX-маршрутизаторы выбирают оптимальный маршрут следующим образом.
1. Находят маршрут с наименьшим числом тактов.
* названия в даются но Windows 2000 Server. Но в остальном тексте вместо счетчика тиков мы используем счетчик тактов, вместо прыжка Ч МАС-адрес перехода пересылочный МАС-адрес), а счетчика прыжков Ч счетчик переходов. Кроме того, в виду, что в оригинальном тексте книги отсутствует о еще одном поле в таблице IPX-маршрутизации Ч о поле Ч Прим.
158 ЧАСТЬ 1 Маршрутизация 2. Если таких маршрутов несколько, определяют маршрут с наименьшим числом переходов.
3. Если и таких маршрутов несколько, выбирают один из них случайным образом.
IPX-маршрутизатор Таблица Номер Рис. 5-6. Таблица IPX-маршрутизации Функционирование RIP for IPX Нормальная работа маршрутизатора RIP for IPX заключается в выполнении сле дующих Инициализация. При запуске IPX-маршрутизатор посылает во все локально сети, соседние маршрутизато ры о номерах своих сетей. Соседние обрабатывают этот па кет и при необходимости добавляют в свои таблицы маршрутизации соответству ющие Инициализирующийся IPX-маршрутизатор также посылает широко вещательный общий во все сети. Получив этот запрос, соседние IPX-маршрутизаторы посылают ему информацию о своих таблиц маршрутизации. На основе этих ответов формируется таблица марш рутизации инициализирующегося IPX-маршрутизатора.
Регулярное оповещение. IPX-маршрутизатор каждые 60 секунд посылает по всем интерфейсам широковещательные оповещения о маршрутах, используя этом алгоритм разделения направлений. принима ют объявленные маршруты и соответственно обновляют содержимое своих таблиц маршрутизации.
Отключение маршрутизатора административными средствами. Если IPX-марш рутизатор корректно выключается средствами, он посылает широковещательное во все локально подключенные сети. В нем объявляется, что в маршрутах к сетям, через данный число переходов 16 (сети Изменение в топологии межсете вой IPX-среды распространяется соседними IPX-маршрутизаторами с использова нием инициируемых обновлений.
ГЛАВА 5 IPX-маршрутизация Выход канала из строя. Если вышедший из строя канал связи с одним из интерфейсов если этот сбой интерфейсом и если интерфейс уведомляет маршрутизатор о таком сбое, то посы лается соответствующее обновление. Маршруты, полученные интерфейс, с этого момента считаются Заметьте, что большинство LAN-интерфейсов не обеспечивает аппаратной поддержки вания сбоев в несущей и поэтому выход канала связи из строя ется сразу. Однако многие WAN-адаптеры умеют распознавать отключение ка нала связи с провайдером Выход маршрутизатора из строя. Если IPX-маршрутизатор отключается и аварии с электроснабжением или какого-нибудь сбоя в оборудовании или про граммном обеспечении, у нет возможности уведомить соседние торы о том, что сети, к которым он был подключен, теперь Чтобы не допустить чрезмерно длительного присутствия маршрутов к недоступным сетям в таблицах маршрутизации, каждый маршрут, RIP for IPX, имеет мак срок действия в 3 минуты (по умолчанию). Если соответствующая за пись не обновляется в течение трех минут, число переходов в ней изменяется на 16, и в конечном счете она удаляется из таблицы маршрутизации. если IPX-маршрутизатор выходит из строя, соседние помечают полу от маршруты недействительными не чем через 3 минуты. И только после этого они распространяют информацию об изменении топологии, ис пользуя алгоритм обновлений, Структура пакетов RIP for IPX Заголовок RIP for IPX (рис. 5-7) располагается сразу же после IPX-заголовка. Па кеты RIP for IPX относятся к типу 0x1 и имеют сокетов источника и назна равные 0x453.
работы До Номер сети R Число переходов в одном Число Рис. 5-7. Структура пакетов RIP for IPX Режим работы. Двухбайтовое поле, которое указывает тип RIP for IPX. Для него два Х 0x00-01 Ч RIP Request Это значение устанавливается пытающимся найти оптимальный маршрут к сети (RIP-запрос LocalTargct), или все доступные от соседних в момент своего запуска (общий RIP-запрос).
Х 0x00-02 Ч RIP Response Это устанавливается отвечающим либо на RIP-запрос на 160 ЧАСТЬ 1 Маршрутизация запрос. Периодические оповещения также посылаются как сообщения RIP Response.
За полем режима работы следует одна или записей о (до 50).
В включается В случае указывается номер IPX-сети а в случае общего RIP-зап роса номер IPX-сети устанавливается равным В включается один или несколько В ответе на GetLoealTarget указывается один маршрут, а в ответе на общий или периодическое оповещение Ч до 50 (в пакете RIP for IPX). Максимальный размер пакета RIP for IPX Ч 432 байта. Если нужно сообщить более чем о 50 мар шрутах, используются пакеты RIP IPX.
Номер сети. Четырехбайтовое поле, в котором указывается номер IPX-сети.
Число переходов. Двухбайтовое поле, сообщающее число ко торые должен пересечь пакет при использовании данного маршрута.
Число тактов. Двухбайтовое поле, число тактов, требуемых для пе редачи IPX-пакета но данному маршруту.
Фильтры маршрутов RIP for IPX Чтобы получить доступ к фильтрам RIP IPX, откройте окно свойств интерфей са в папке RIP IPX (RIP для кнопку Input Filters (Фильтры или Output Filters (Фильтры выхода). фильтрации тов предусматривает как входную, так и фильтрацию на каждом интер и на принципе исключения. Вы можете сконфигурировать марш рутизатор Windows 2000 либо для приема или объявления всех маршрутов RIP for IPX, кроме запрещенных фильтрами, либо для отклонения или лумолчания обо всех маршрутах RIP for IPX, кроме разрешенных фильтрами.
Диалоговые окна Input Route Filter (Фильтры входящих маршрутов) и Route Filter (Фильтр маршрутов) показаны на рис, 5-8.
Следующие два примера демонстрируют варианты фильтрации и реа лизации фильтров с использованием полей в диалоговом окне Route Filter. Эти примеры представлены лишь для иллюстрации того, как фильтры маршрутов, а не в рекомендаций по фильтрации маршрутов в конкретных Чтобы настроить фильтр входящих маршрутов RIP for IPX (пример):
Этот фильтр входа будет запрещать все маршруты RIP for IPX, кроме ведущих к сетям с номерами, начиная с разряда А.
В диалоговом окне Input Route Filters (Фильтры входящих маршрутов) щелк ните кнопку Add 2. В появившемся диалоговом окне Route Filter (Фильтр маршрутов) введите в поле Network number сети) 3. В поле Network mask (Маска подсети) введите 4. Щелкните кнопку ОК.
ГЛАВА 5 IPX-маршрутизация 5. В диалоговом окне Input Route Filters выберите переключатель Deny routes except listed below все маршруты, кроме перечисленных), 6. Щелкните ОК.
В этом фильтре используется маска сети, которая задает диапазон номеров IPX-се тей от до AFFFFFFF.
Add.
Рис. 5-8. Диалоговые окна Input Route Filter и Route Filter Чтобы настроить фильтр исходящих маршрутов RIP for IPX (пример):
Этот фильтр выхода будет разрешать объявление маршрутов RIP IPX, кро ме ведущих к IPX-сети с номером 1. В диалоговом окне Output Route Filters (Фильтры исходящих щел Add (Добавить).
2. В диалоговом окне Route Filter (Фильтр введите в поле Network number (Номер сети) значение 3. В поле Network mask (Маска подсети) введите FFFFFFFF.
4. Щелкните кнопку ОК.
5. В диалоговом окне Output Route Filters выберите переключатель Permit routes except listed below маршруты, кроме 162 ЧАСТЬ 1 Маршрутизация 6. Щелкните ОК.
В этом фильтре используется маска которая задает номер сети Приведенная маска сети только для упрощения задания диапазона номеров сетей IPX. Это не означает, что маршрутизатор Win dows 2000 поддерживает разбиение IPX-сетей на подсети. Дело в том, что сам RIP for IPX не поддерживает ни разбиение на подсети, ни суммирование маршрутов.
Примечание раздельные для Permit routes except listed below и Deny routes except listed below нельзя.
Статические IPX-маршруты Маршрутизатор Windows 2000 позволяет создавать IPX-маршруты в таблице IPX-маршрутизации. Такие маршруты обычно используются для опреде ления IPX-сетей, доступных через удаленного доступа по ком мутируемой линии. о статических IPX-маршрутов см. гла ву 6 Маршрутизация с по в этой книге.
Статические IPX-маршруты объявляются через LAN-интерфейсы так же, как и любые другие IPX-маршруты.
Чтобы добавить статический маршрут:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IPX Routing (IPX-маршрутизация), правой кнопкой мыши папку Static Routes (Статические маршруты) и выберите команду New Route (Новый маршрут).
2. Для статического IPX-маршрута в диалоговом Static Route (Статический маршрут), на рис. 5-9, заполните поля:
Х Network number (Номер Ч четырехбайтовое значение в форме (8 разрядов);
Х Next hop MAC address следующего прыжка) Ч шестибайтовое значение в форме (12 шестнадцатеричных разрядов);
Х 5-9. Диалоговое окно Static Route ГЛАВА 5 IPX-маршрутизация Х Tick count (Счетчик тиков) Ч число тактов, требуемых для достижения сети с заданным номером;
Х Hop count (Счетчик прыжков) Ч количество маршрутизаторов, которые надо пересечь для сети с заданным номером;
Х Interface (Интерфейс) Ч интерфейс маршрутизатора Windows 2000, который можно достичь сети с заданным номером. В случае соединений уда ленного доступа выберите интерфейс соединения по SAP for IPX Novell NetWare SAP (Service Advertising Protocol) for предоставляет механизм разрешения имен для получения адресов служб в межсетевых дах. Хосты, поддерживающие какие-либо службы, например файл-серверы, серве ры печати и приложений, широковещательно объявляют через SAP об и служб, а также о своих межсетевых IPX-адресах. Информация о службах и IPX-адресах собирается IPX-маршрутизаторами и серверами NetWare в базе называемой таблицей SAP.
Содержимое SAP периодически объявляется и распространяется в межсе тевой среде так же, как и IPX-маршруты. Информация о службах добавляется в таблицу SAP и удаляется из нее динамически: добавление осуществляется на осно ве периодических оповещений, а удаление Ч по истечении срока действия в отсут ствие новых оповещений. Чтобы сократить время конвергенции, SAP алгоритмы разделения направлений и инициируемых (О направлений и обновлениях см. главу 3 Одноадресная IP-марш в этой книге.) SAP for IPX поддерживает типы Х Клиенты SAP, например рабочие запрашивают имя и адрес го сервера посылая широковещательный SAP-запрос Get Х Маршрутизаторы или клиенты SAP запрашивают и адреса всех служб ределенного типа, посылая широковещательный общий SAP-запрос о службах.
Х Маршрутизаторы отвечают на общие SAP-запросы и Х Маршрутизаторы (по умолчанию Ч 60 секунд) вещательно уведомляют о содержимом своих SAP с применением алго ритма разделения Х Хосты Ч провайдеры служб, не являющиеся периодически (по Ч каждые 60 секунд) широковещательно объяв ляют о предоставляемых ими Х инициируемых обновлений для соседних маршрутизаторов об изменении в какой-либо таб лице SAP.
IPX-маршрутизаторы и номер внутренней сети Чтобы оптимизировать взаимодействие со службами, работают на IPX и объявляют о себе с использованием Novell NetWare SAP, IPX 164 ЧАСТЬ 1 Маршрутизация (например, серверы под управлением Novell NetWare или Win dows 2000 внутренней IPX-сети. Внутренняя (IPX internal network) Ч виртуальная сеть внутри маршрутизатора. К ней сетевой адаптер с 0x00-00-00-00-00-01.
Внутренняя по протоколу RIP for IPX точно так же, как и физические IPX-сети. Когда служба, работающая на объявляется SAP, для нес IPX-адрес внутренней сети и виртуаль ный IPX-сеть позволяет пересылку пакетов службам, вы полняемым на IPX-маршрутизаторе. В чем заключается эта оптимизация и что она дает, поясняется в разделах.
IPX-трафик без использования внутренней IPX-сети Рис. 5-10 иллюстрирует IPX-среду и процесс файл-сервера, па на котором не внутренняя IPX-сеть.
Г процесса файл-сервера:
IPX-сеть:
АА IPX-маршрутизатор IPX-маршрутизатор Хост Рис. 5-10. Трафик до определения номера внутренней IPX-сети 1. файл-сервера NetWare, выполняемый па IPX-маршрутизаторе 1, объявляет через SAP о местонахождении по адресу сервера 2. Хост адрес запрашивая свой основной сервер NetWare (он не на рис. 5-10).
3. Хост рассылает в сети чтобы выяснить наилучший маршрут к IPX-сети 4. 1 в своем ответе сообщает о маршруте с переходом и двумя тактами.
5. IPX-маршрутизатор 2 в своем ответе тоже о маршруте с одним пере ходом и двумя тактами.
ГЛАВА 5 6. Хост выбирает ответ 2 (либо из-за того, что он пришел либо потому, что таков был случайного выбора из двух vrap с одинаковыми характеристиками).
7. Хост отправляет пакет запроса на соединение с процессом файл-сервера на этот пакет "2 на его МАС-адрес 00-44-44-44-44-44 в сети 8. IPX-маршрутизатор 2 пересылает пакет запроса на 1 МАС-адрес 00-11-11-11-11-11 в сети 9. файл-сервера маршрутизаторе 1 отвечает на запроса о соеди нении, пересылая ответ па МАС-адрес хоста (этот адрес на не по казан) в сети ВВВВВВВВ.
Результат таков;
посылаемые хостом процессу направляют ся по неоптимальному маршруту. Они передаются IPX-маршрутизатору 2, тогда как их следовало бы передавать 1.
при использовании внутренней IPX-сети Рис. 5-11 иллюстрирует простую межсетевую IPX-среду и на маршрутизаторе, на котором используется Адрес IPX-сеть:
СССССССС IPX-сеть:
АА MAC: MAC:
MAC:
00-00-00-00-00-01 00-33-33-33-33- 00-11-11-11-11- IPX-маршрутизатор 1 MAC:
IPX-маршрутизатор I Рис. Трафик определения номера внутренней IPX-сети 1. NetWare, па 1, ляет через SAP о своем местонахождении во внутренней сети по адресу сервера СССССССС:000000000001: 2. Хост разрешает адрес файл-сервера, запрашивая свой основной сервер (он не показан на рис.
Хост рассылает широковещательный GetLocalTarget в чтобы наилучший маршрут к IPX-сети СССССССС.
166 ЧАСТЬ 1 Маршрутизация 4. 1 в ответе о маршруте с и двумя 5. 2 в своем ответе сообщает о маршруте с двумя переходами и тремя тактами.
6. Хост всегда выбирает ответ IPX-маршрутизатора 1 из-за меньшего счетчика тактов в его маршруте к сети СССССССС.
7. Хост отправляет пакет запроса на соединение с процессом файл-сервера на СССССССС:00000000001:0451, пересылая этот пакет IPX-маршрутизатору 1 на 00-22-22-22-22-22 в сети 8. Процесс файл-сервера на маршрутизаторе 1 отвечает на пакет о соеди нении, пересылая ответ па хоста (этот на не по казан) в сети ВВВВВВВВ.
Результат таков: посылаемые хостом файл-сервера, всегда направ ляются по оптимальному маршруту.
Маршрутизатор Windows 2000, номер внутренней и внутренний интерфейс На маршрутизаторе Windows 2000, IPX-маршрутизацию, можно задать номер IPX-сети, который вводится в окне свойств Если такой номер не определен, он автоматически назначается при запуске маршрутизатора Windows 2000.
Процесс автоматической настройки маршрутизаторе Windows 2000 выбирает случайный номер IPX-сети и посылает зап маршрут к IPX-сети с этим номером. Если RIP-ответ, текущий номер внутренней IPX-сети отбрасывается и выбирается дру гой случайный Эти до пор, пока удается най ти уникальный номер (RIP-ответ больше приходит). Подобранный помер авто матически записывается в свойства транспорта.
Routing and г Remote Demand Dial Enabled Sleeping (local) Local Dedicated Enabled Up Л Area Connection Dedicated Enabled Up Х Ports Not Not Routing Ж В Routing Л Na For Remote j Рис. 5-12. Внутренний IPX-интерфейс ГЛАВА 5 IPX-маршрутизация Чтобы увидеть виртуальный интерфейс, соответствующий внутренней IPX-сети, свой сервер в оснастке Routing and Remote Access (Маршрутизация и а затем раскройте узел IPX Routing и щелкните папку General (Общие). В правой секции окна оснастки появится интер фейс (Внутренний);
он является интерфейсом IPX-маршрутизатора и вир сетевым адаптером внутренней IPX-сети сервера (рис. 5-12).
Таблицы SAP Запись в таблице SAP состоит из следующих полей.
Имя сервера. Имя сервера, на котором работает данная служба, Тип службы. Тип службы (например, файл-сервер, сервер печати или сервер при ложений).
Адрес сервера. Полный IPX-адрес службы Например, у процес са доступа к и принтерам на сервере NetWare мог бы быть адрес сервера, равный Счетчик переходов. Число маршрутизаторов, которые нужно для дос сервера, на котором работает данная служба. Предельное число для служб Ч 15. Службы, находящиеся в 16 переходах (или дальше) от клиента, считаются недостижимыми.
Интерфейс (или порт). Интерфейс (плата сетевого интерфейса), по которому была получена данная SAP.
Структура SAP представлена на рис. 5-13.
IPX-маршрутизатор Таблица SAP Имя Тип Счетчик Рис. 5-13. Таблица SAP При наличии нескольких для одних и же имени сервера и типа служ бы IPX-маршрутизаторы выбирают запись с наименьшим числом переходов. Если же и таких маршрутизатор выбирает одну них случайным образом.
168 ЧАСТЬ 1 Маршрутизация Функционирование SAP для IPX-маршрутизатора Работа SAP на IPX-маршрутизаторе в выполнении про цессов.
Если на IPX-маршрутизаторе какие-нибудь допол нительные службы, он посылает широковещательный SAP-пакет во все локально подключенные оповещая маршрутизаторы о своих службах. Затем IPX-маршрутизатор посылает общий SAP-запрос во все ло кально сети. На основе ответов на этот запрос формируется табли SAP.
Регулярное оповещение. IPX-маршрутизатор каждые 60 секунд посылает по всем интерфейсам широковещательные о своей таблице SAP, используя при этом алгоритм направлений. IPX-маршрутизаторы принима ют информацию об объявленных службах и содержи мое своих таблиц SAP.
Отключение маршрутизатора административными средствами. IPX-марш рутизатор корректно выключается административными он посылает ко все локально подключенные сети. В нем объявляется, что службы, ранее доступные на данном более не доступны. Агент SAP устанавливает счетчик в для этих служб равным указывая па то, что службы недоступны. Это изменение распространя ется соседними IPX-маршрутизаторами по IPX-среде с использовани ем инициируемых обновлений.
Выход канала связи из строя. Если вышедший строя канал связи соединен с одним из интерфейсов маршрутизатора, если этот сбой распознается интерфейсом и если интерфейс уведомляет о таком сбое, то посы лается соответствующее инициируемое обновление. Службы SAP, информация о которых была через интерфейс, с этого момента считаются недо Заметьте, что не обеспечивает аппарат ной поддержки распознавания сбоев в несущей среде, и поэтому выход канала свя зи из строя обнаруживается сразу. Однако многие умеют распоз навать капала связи с провайдером WAN-сервисов, Выход маршрутизатора из строя. Если отключается из-за аварии с электроснабжением или какого-нибудь сбоя в или про граммном обеспечении, у пего соседние торы о том, что службы, которые работали на нем, теперь недоступны. Чтобы не чрезмерно длительного записей о недоступных службах в SAP, каждая запись о службе SAP, имеет срок действия 3 минуты (по умолчанию). Если соответству ющая запись не в трех минут, число переходов в ней изменя на 16, и в конечном счете она удаляется из если IPX-маршрутизатор выходит из строя, соседние маршрутизаторы помечают полученные от него записи недействительными не чем через 3 минуты. И только после они информацию об используя ал горитм инициируемых обновлений.
ГЛАВА 5 IPX-маршрутизация Структура пакета SAP SAP-заголовок (рис. 5-14) располагается сразу ты относятся к IPX-пакетов 0x04 или 0x00 и имеют номера ка и 0x0452.
Режим работы Тип службы 7 Имя сервера...48 байтов служб SAP Номер сети в одном Номер узла SAP-пакете Номер кета Промежуточные сети = 1 байт Рис. 5-14. Структура пакета SAP IPX Примечание Рис. отражает структуру пакетов SAP Response и SAP Пакеты SAP Request и SAP Request только поля режима работы и типа службы и имеют длину в 34 ( на IPX-заголовок и 4 байта на SAP-заголовок).
Режим работы. Двухбайтовое поле, указывающее тип этого поля описываются в таблице 5-3.
Таблица 5-3. Режимы работы SAP Режим Тип сообщения I Посылается пли клиентом SAP для запроса обо всех службах или о службах типа Response Ответ на SAP Request;
SAP тоже посылаются как Response Request Посылается рабочей запроса (запрос GetNearestServer) IPX-адреса ближайшего сервера раньше службы типа GetNearestServer Response Посылается в ответ на GetNearestServer) GetNearestServer и содержит имя и сетевой IPX-адрес ближайшего сервера службы типа За полем режима работы следует серия записей о службах SAP (до 7 и сооб щении). Максимальный размер пакета SAP Ч 480 байтов. Если нужно сообщить информацию более чем о семи службах, она посылается в нескольких пакетах SAP, 170 ЧАСТЬ 1 Маршрутизация Тип службы. Двухбайтовое поле, указывающее тип службы. Каждому типу служ бы соответствует уникальное числовое значение, определенное Некоторые из наиболее распространенных типов служб SAP перечислены в табли це 5-4. Полный список типов служб SAP см. по ссылке SAP на Таблица 5-4. Типы служб SAP Тип в форме) Неизвестный 00- Файл-сервер NetWare Сервер печати NetWare 00- Сервер Microsoft 06- Общий SAP-запрос Имя сервера. 48-байтовое поле, в котором хранится имя о данной службе, Комбинация полей имени сервера и типа службы уникально иден тифицирует службу в межсетевой IPX-среде. Имена серверов длиной менее 48 бай тов завершаются ASCII-символом NULL.
Номер сети. Четырехбайтовое поле, номер в которой на ходится сервер с данной службой.
Номер узла. Шестибайтовое поле, указывающее номер на котором ра ботает предоставляющий данную службу.
Номер указывающее номер сокета, прослушиваемый данной службы.
Промежуточные сети. Двухбайтовое поле, указывающее число которые надо пересечь, чтобы сервер с данной службой.
SAP-фильтры Чтобы получить доступ к SAP-фильтрам, откройте окно свойств интерфейса в пап ке SAP for IPX (SAP для IPX) и щелкните Input Filters (Фильтры входа) или Output Filters (Фильтры выхода). SAP-фильтрации предусматрива ет как входную, так и выходную фильтрацию на каждом интерфейсе, основанную на принципе исключения. Вы сконфигурировать маршрутизатор Win dows 2000 либо для разрешения всех служб SAP, кроме фильтрами, либо всех служб SAP, кроме разрешенных фильтрами (рис. 5-15).
Сконфигурировать раздельные активные фильтры для Permit services except listed below (Разрешить все службы, кроме перечисленных) и Deny services except listed below (Запретить все службы, кроме перечисленных) нельзя.
Параметры, определенные одном фильтре, комбинируются логичес кой операцией AND, а параметры, в нескольких фильтрах, Ч логи ческой операцией OR.
ГЛАВА 5 IPX-маршрутизация Рис. 5-15. Диалоговые окна Input Service (Фильтры входящих служб) и Service (Фильтр служб) Статические службы Маршрутизатор Windows 2000 создавать статические службы в SAP. Статические службы объявляются так как и обычные службы SAP. Они обычно используются для доступных через соединение удален ного доступа по коммутируемой линии, о применении статических служб SAP см. главу 6 Маршрутизация с соединением по в этой Чтобы добавить статические службы, в Routing and Remote Access (Мар шрутизация и доступ) раскройте узел IPX Routing (IPX-маршрутиза щелкните правой кнопкой мыши папку Static Services (Статические служ бы) и выберите команду New Service (Новая служба). После этого появится логовое Static Services (Статические службы), на рис. 5-16.
172 ЧАСТЬ 1 Маршрутизация Рис. 5-16. Диалоговое окно Static Широковещание NetBIOS Чтобы корректно работали в межсетевой IPX-среде, BIOS поверх предоставляет стандартные службы NetBIOS, в частности служ бу дейтаграмм (отдельные пакеты посылаются как широковещательные без под тверждений о приеме), службу сеансов (группы пакетов передаются между дву мя конечными точками с подтверждениями о приеме) и службу имен (регистрация, запросы и освобождение NetBIOS-имен).
Подробнее о NetBIOS см. главу 1 Введение в в книге Сети TCP/IP из серии Ресурсы Windows NetBIOS IPX реализуется с пакетов двух разных структур.
Широковещательные пакеты NetBIOS поверх IPX. Используются для передачи NetBIOS-дейтаграмм и именами, например для запросов и регистрации имен. могут поддерживать (а могут и поддерживать) пе ресылку пакетов NetBIOS поверх IPX.
Сеансы NetBIOS поверх IPX. для надежного, ориентированного на взаимодействия между двумя приложениями в межсете вой IPX-среде. Трафик сеанса поверх IPX является (направлен ным на межсетевой IPX-адрес), а не широковещательным. В сеансах NetBIOS поверх IPX применяются типа 0x04 (Normal IPX), а также номера сокетов источника и равные 0x455.
Поскольку трафик сеансов NetBIOS поверх пересылается любыми IPX-марш рутизаторами, в разделах рассматривается только широковещание NetBIOS поверх IPX и его поддержка маршрутизатором Windows 2000.
IPX WAN Broadcast Чтобы протоколы типа полагающиеся на широко корректно работали в межсетевой IPX-среде, IPX-маршрутизатор должен поддерживать пересылку трафика. использует ши при регистрации и разрешении NetBIOS-имен.) Поддержка ГЛАВА 5 широковещательного трафика через IPX-маршрутизаторы реализуется с приме нением IPX-пакета типа 0x14;
этот пакет также IPX WAN Заголовок IPX WAN Broadcast содержит в поле типа IPX-пакета значение 0x десятичной форме Ч 20) и назначения IPX маршрутизаторы либо на на молчаливое от клонение пакетов IPX WAN Broadcast.
Широковещательные пакеты NetBIOS поверх IPX включают заголовок IPX WAN Broadcast.
WAN Broadcast и сети В сетях под управлением Windows 2000, Windows NT 4.0 (и нттже). Windows for Windows 95 или Windows службы сервера и рабочей при для доступа к сетевым файлам и протокол (Server Message Block), могут использовать NetBIOS поверх IPX или просто IPX. Процесс передачи поверх IPX без NetBIOS называется прямым (direct hosting).
Пакеты WAN Broadcast используются в сетевых SMB-процессах на ове NetBIOS поверх IPX:
Х регистрации Х запросах NetBIOS-имен;
Х объявлении обозревателя сети;
Х сетевом входе в систему.
Пакеты IPX WAN Broadcast также в сетевых SMB-процессах на ос нове прямого хостинга:
Х запросах поиска имени сервера;
Х объявлении обозревателя сети.
При прямом хостинге заголовок NetBIOS поверх IPX не применяется. Вместо го перелаются непосредственно по IPX. прямого хостинга передаются пакете Broadcast без соответствующих полей Отключение пересылки пакетов IPX WAN Broadcast может лишить компьютеры с Microsoft SMB способности информацию, связанную с просмотром сети, разрешать имена и устанавливать соединения в межсетевой IPX-среде.
Примечание По умолчанию Routing and Remote Access Server Setup Wizard (Мас настройки и удаленного доступа) настраивает широко поверх IPX для интерфейса Internal (Внутренний) на и пересылку пакетов, а для любых LAN-интерфейсов Ч только на прием (без пересылки). В по пересылка широ ковещательных IPX-пакетов на маршрутизаторе Windows 2000 запрещена. Чтобы разрешить пересылку таких пакетов, соответствующие LAN-интерфей сы на доставку широковещательных пакетов NetBIOS IPX при любых ус ловиях. Для этого в оснастке Routing and Remote (Маршрутизация и уда доступ) раскройте IPX Routing (IPX-маршрутизация) и в панке 174 ЧАСТЬ 1 Маршрутизация NetBIOS Broadcasts (Широковещание NetBIOS) откройте окно свойств нужного LAN-интерфейса. В этом окне в разделе NetBIOS Broadcast Delivery (Доетавка широковещательных пакетов) активизируйте переключатель Always (Всегда).
Структура широковещательных пакетов NetBIOS поверх IPX Заголовок широковещательного пакета NetBIOS IPX (рис. 5-17) является комбинацией заголовков IPX WAN Broadcast и NetBIOS, размещаются непосредственно за IPX-заголовком. Широковещательные пакеты NetBIOS поверх IPX к типу пакетов 0x14;
при этом они используют номер узла назначе ния, равный и номера источника и назначения, рав ные Ох-455.
Сеть Сеть WAN Сеть Сеть Сеть Сеть Флаги типа имени Поток данных типа NetBIOS NetBIOS-имя... = 1 байт Рис. 5-17. Структура широковещательных пакетов NetBIOS поверх IPX Сети 1-8 (Заголовок WAN Broadcast) Первые восемь полей (сети 1-8) представляют собой заголовок IPX WAN Broad cast. В этих полях регистрируются IPX-сети, которые прошел пакет WAN Broadcast. Запись ведется пересылающими данный пакет по межсетевой IPX-среде. Для предотвращения маршрутизации эта инфор о сетевом пути анализируется при приеме на маршрутизаторе, и пакет пере сылается во все сети, кроме в которых он уже был.
Если пакет IPX WAN Broadcast уже прошел восемь сетей, он ся следующим на пути маршрутизатором. Однако вспомним, что максимальное чис ло переходов для любого IPX-пакета в межсетевой среде, использующей RIP for IPX, равно 15. в максимальном числе переходов для пакетов WAN и обычных IPX-пакетов может вызвать проблемы в больших межсетевых IPX-средах.
Например, клиент NetWare может взаимодействовать с сервером NetWare, находя щимся в 10 переходах от него, потому что межсетевой IPX-адрес этого сервера оп ределяется запросом таблицы SAP или дерева каталогов на основном для данного ГЛАВА 5 IPX-маршрутизация клиента сервере Запросы на соединение, посылаемые серверу NetWare, адресный трафик, который на данный сервер NetWare, чис ло переходов превышает 15.
С другой стороны, для клиента Microsoft компьютер с Windows 2000 Server в 10 от него потому что его IPX-адрес ется запросом NetBIOS-имени, посылаемым в широковещательном пакете NetBIOS поверх IPX, а этот отбрасывается после прохождения восьми сетей. Посколь ку ответ на запрос не приходит, определить межсетевой IPX-адрес с Windows 2000 Server и установить соединение ие удается. Во избежание этой про блемы проектируйте свою межсетевую IPX-среду так, чтобы в ней не было семи IPX-маршрутизаторов между любыми двумя компьютерами с Windows 2000.
Флаги типа имени (заголовок NetBIOS) Это однобайтовое поле в заголовке NetBIOS содержит набор флагов, определяю щих статус NetBIOS-имени. Соответствующие битовые флаги перечислены в таб лице 5-5.
Таблица 5-5. Битовые флаги типа имени Бит типа имени Описание 1 Групповое (1) или уникальное имя (0) 2 Имя (1) или свободно (0) 4. 5 Не 6 Имя (1) или не зарегистрировано (0) 7 Имя дублируется (1) или не дублируется (0) 8 Регистрация имени отменена или имя еще не снято с (0) Биты нумеруются от старшего (бит 1) к младшему 8), Поток данных типа 2 NetBIOS) Это однобайтовое поле в NetBIOS тип NetBIOS-пакета, Его значения в таблице 5-6.
Таблица 5-6. Значения поля данных типа 2 Значение 1 Идет поиск имени (для пакетов.' Имя 3 имя пакетов регистрации NetBIOS-имен) NetBIOS-имя (заголовок NetBIOS) В 16-байтовом поле заголовка NetBIOS хранится NetBIOS-имя, Статические NetBIOS-имена Если в окне свойств интерфейса, открытого из папки NetBIOS Broadcast (Широ ковещание NetBIOS) в оснастке Routing and Remote (Маршрутизация уда ленный доступ), в разделе NetBIOS Broadcast Delivery (Доставка пакетов) выбран Only for statically seeded names 176 ЧАСТЬ 1 Маршрутизация для статически то широковещательные пакеты NetBIOS поверх IPX пересылаются лишь для группы и только в выб ранном Статические NetBIOS-имена можно использовать для огра трафика IPX в тех средах, при на клиентской нужен доступ лишь к малой при ложений NetBIOS на серверной стороне.
в среде Lotus с применением NetBIOS поверх IPX множеству кли ентов Lotus Notes требуется доступ к сравнительно небольшому числу серверов Lotus Notes. В такой сетевой администратор настраивает маршрутизато ры на только тех широковещательных пакетов NetBIOS IPX, которые адресованы на именам серверов Lotus Notes, Чтобы добавить статические NetBIOS-имена, в Routing and Remote Access раскройте IPX Routing щелкните правой кнопкой мыши папку Static NetBIOS Names (Статические NetBIOS-имена) и выберите ко New NetBIOS Name (Новое NetBIOS-имя). После этого появится диалого вое окно Static NetBIOS Name имя показанное на рис. 5-18.
Рис. 5-18. Диалоговое окно Static NetBIOS Name Дополнительные материалы Более подробную информацию об IPX см. книге:
Х Laura A. Chappcl Novell's Guide to LAN/WAN Analysis: 1998, San Jose, CA: Novell Press.
ГЛАВА Маршрутизация с соединением по требованию Windows 2000 обеспечивает полную маршрутизации с соединением по Ч пакетов по каналам связи типа на пример по аналоговым телефонным линиям и ISDN. Маршрутизация с ем требованию позволяет подключаться к Интернету и филиалов или реализовать VPN-соединения между маршрутизаторами.
В этой главе в маршрутизацию с по требованию Процесс с по требованию Защита при маршрутизации с соединением по требованию Создание учетных записей пользователей с помощью Demand-Dial Блокировка соединений по Маршрутизация с соединением по требованию и протоколы IPX-соединения по требованию Выявление и устранение проблем См. также Х Об одноадресной маршрутизации Ч главу 1 одноадресной маршрутиза ции в этой книге.
Х Об IP-маршрутизации в Windows 2000 Ч главу 3 Одноадресная IP-маршрути зация в этой книге, Х Об IPX-маршрутизации в Windows 2000 Ч главу 5 в книге.
Х Подробнее об установлении и о наборе РРР Ч гла ву 7 удаленного в этой книге.
1 Зак 178 ЧАСТЬ Х о виртуальных частных сетях Ч главу 9 Виртуальные частные сети в этой книге.
Х Подробнее о маршрутизаторе Windows 2000 Ч главу 2 Служба и удаленного доступа в этой книге.
Введение в маршрутизацию с соединением по требованию с по (demand-dial Ч это пере сылка пакетов по каналу связи, для которого используется протокол РРР to-Point Protocol). PPP-канал представляется в маршрутизаторе Windows 2000 как интерфейс соединения но требованию (demand-dial Такие интерфейсы позволяют необходимости создавать соединения в коммутируемой несущей среде Ч по постоянным или устанавливаемым по требованию.
В случае LAN- и WAN-каналов интерфейс находится в активном или подключенном состоянии. Пакет можно переслать, не создавая физическое или логическое соединение. Однако по требованию может находиться либо в подключенном, либо в отключенном состоя нии. Если в момент пересылки пакета такой интерфейс находится в отключенном его нужно перевести в состояние.
Процесс установления состоящий из этапов создания физического или соединения и установления РРР-соединения, вносит в пере сылки пакета задержку, которая называется задержкой установления соеди (connection establishment delay). Ее зависит от типа создавае мого (физического или логического). Например, задержка ния соединения для аналоговых телефонных линий или в зоне от 10 до 20 секунд и а для ISDN (Integrated Services Digital Network) не превышает 3- При использовании приложений, доступных через по требованию, сле дует учитывать установления соединения и во внимание два фактора, Х Сколько времени приложение ждет создания сетевого пара метр также таймаутом приложения). Если дли тельнее задержки установления соединения, тогда это приложение при неудач ной попытке соединения будет пользователю об Х Сколько раз пытается установить сетевое При первой попытке сетевой трафик маршрутизатору с поддержкой соедине ний по (demand-dial router), который инициирует процесс установ ления соединения. Поскольку размер буфера на маршрутизаторе бесконечен, а процесс установления соединения занимает определенное время, продолжаю щие поступать пакеты, которые переслать по затребованному соединению, могут перезаписать пакет запроса приложения на В русской версии Windows 2000 интерфейс интерфейсом по требованию, а соответствующий вид маршрутизации Ч маршрутизацией вызова по Ч Прим.
ГЛАВА 6 Маршрутизация с соединением по требованию к какому-либо ресурсу. Поэтому у предпринимающего несколько установить больше шансов переслать пакет запроса на ключение, как только будет установлено.
Приложения, в которых или несколько соединения, всего успешно дождутся установления связи. Интерак тивные приложения вроде и могут сообщить о неудаче при первом Но, когда пользователь повторит попытку, такое успешно соединится с нужным ресурсом, так как по требованию было создано при первой попытке подключения.
После связи пакеты по соединению, созданному по Поскольку стоимость таких как правило, определяется временем их после простоя в заданного связь раз рывается. Соединения но требованию задействовать более удаленного доступа и платить за них, только когда они реально ис пользуются.
Маршрутизация с соединением по требованию и удаленный доступ Маршрутизация с соединением по требованию Ч не то же что доступ;
в первом случае происходит соединение между сетями, во втором Ч под к сети одного пользователя. Однако обоих случаях для соединения, аутентификации и данных, по соединению, применяется РРР. Служба маршрутизации и удаленного доступа Windows 2000 позволяет раздельно разрешать по требованию и удален ного доступа, но при они используют одни и те же:
Х параметры в пользовательских учетных записях;
Х настройки в том числе и протоколы Х политики удаленного доступа;
Х службы аутентификации Ч Windows или RADIUS (Remote Authentication Dial In User Service);
Х параметры IP- и IPX-адресов;
Х средства РРР, (Microsoft Compression), Multilink и ВАР (Bandwidth Allocation Protocol);
Х средства и устранения неполадок, включая протоколирование со бытий, и средства учета службы Windows или RADIUS.
Типы соединений по требованию Соединения но требованию различаются по следующим характеристикам:
Х по подключению Ч постоянному или устанавливаемому Х по инициации Ч только одной или любой из сторон.
выбор влияет на конфигурацию соединения ва) по требованию.
180 ЧАСТЬ 1 Маршрутизация Постоянные и устанавливаемые по требованию подключения Устанавливаемые по требованию подключения в тех случаях, решающим является фактор стоимости кана ла. Например, вызовы по аналоговым телефонным линиям опла чиваются При по требованию создается только при пересылке трафика и закрывается по определенного времени простоя.
Функцию отключения при простое настроить как на вызывающем (calling так и на отвечающем router).
Х Для настройки отключения при на вызывающем маршрутизаторе время простоя до разъединения па вкладке Options (Параметры) окна свойств интерфейса подключения по требованию.
Х Для настройки отключения при простое на отвечающем маршрутизаторе (при нимающем запрос на установите время простоя до разъединения на вкладке Dial-In Constraints по входящим окна свойств профиля коммутируемых для политики удаленного досту па, используемой нужным интерфейсом соединения по требованию.
подключения базируются на за пользование кото рыми взимается и соединение может быть активным круг лосуточно. Примеры постоянных подключений на основе таких WAN-техноло гий Ч местная телефонная связь, выделенные линии и ISDN. При раз рыве постоянного подключения вызывающий маршрутизатор но восстановить его.
Параметры постоянных следует как на вызывающем, так и на отвечающем маршрутизаторе.
Чтобы настроить параметры постоянного подключения на вызывающем 1. В Routing and и удаленный доступ) укажите папку Routing Interfaces (Интерфейсы маршрутизации), щелкните правой кнопкой мыши интерфейс соединения по требованию и выбе рите команду Properties (Свойства).
2. На вкладке Options (Параметры) выберите переключатель Persistent connection (Постоянное подключение).
Чтобы настроить параметры постоянного подключения на отвечающем 1. В оснастке Routing and Remote Access (Маршрутизация и доступ) укажите папку Remote Access Policies (Политика удаленного доступа), щелк ните правой кнопкой мыши имя политики удаленного используемой интерфейсом соединения по и выберите коман ду Properties 2. Щелкните кнопку Edit profile профиль).
3. На вкладке Dial-in Constraints (Ограничения по входящим звонкам) сбросьте флажок Disconnect if idle for при простое Параметры должны быть и на и на отвеча ющем маршрутизаторе. Если вызывающий на постоянное ГЛАВА 6 Маршрутизация с по требованию подключение, а отвечающий Ч па при простое, последний будет раз связь по истечении времени в Тогда маршрутизатору придется восстанавливать подключение, что будет создавать зу в пакетов, равную соединения.
Соединения, инициируемые только одной или любой из сторон При инициируемых любой из сторон (two-way любой маршрутизатор может выступать в роли отвечающего или Ч в зависимости от того, какой из них инициирует Оба маршрутизатора нужно сконфигурировать как на инициацию, так и на прием роса на Такие соединения применяются, когда их создания может по трафик, поступающий на любой маршрутизаторов. Для поддержки по любой из сторон, необходимы следую щие условия:
Х оба маршрутизатора и как и как Х на оба маршрутизатора добавлены пользовательские учетные записи, чтобы от вечающий маршрутизатор мог проверять (учетные данные) Х на обоих маршрутизаторах настроены интерфейсы соединения по имена которых совпадают с тем, что указано в учетной записи, используемой текущим вызывающим маршрутизатором. При этом сконфигурированы и такие как телефонный номер отвечающего маршрутизатора и ния для вызывающего маршрутизатора;
Х на обоих маршрутизаторах статические маршруты.
Чтобы с по требованию любой из работала имя пользователя вызывающего маршрутизатора должно совпадать с именем интерфейса соединения по требованию на другой соединения. При мер такой конфигурации показан в таблице 6-1.
Таблица 6-1. Пример конфигурации соединения, инициируемого любой из сторон Имя интерфейса Имя учетной записи центрального офиса York Router CorpHub филиала CorpHub При инициируемых только одной стороной, один из всегда отвечающий, а другой Ч всегда вызывающий. В этом слу чае настройка маршрутизаторов упрощается, так как пользовательские учетные за интерфейсы по требованию и статические IP-маршруты не полностью на обеих сторонах соединения. Вместо интерфейса соединения по требованию и статических маршрутов на чающем маршрутизаторе достаточно указать статические в параметрах дящих вызовов в пользовательской учетной вызывающего При соединения статические маршруты, определенные в пользовательс кой учетной записи вызывающего маршрутизатора, добавляются в таблицу 182 ЧАСТЬ 1 Маршрутизация на отвечающем Если новые статические распространяются с помощью маршрутизации, тогда возникает жка между создания соединения и тем моментом, когда всем маршрути заторам в отвечающего маршрутизатора становится известно о Следовательно, хосты в интрасети маршрутизатора начи принимать трафик от хостов в интрасети отвечающего маршрутизатора сразу, а тоже с некоторой задержкой.
Если отвечающий маршрутизатор находится в домене Windows 2000 смешанного режима или в домене Windows статические в пользовательской учетной недоступны. Тогда для поддержки соединений по требованию, инициируемых только одной из необходимы следующие условия:
Х оба маршрутизатора настроены и и как WAN-маршрутизаторы;
Х создана пользовательская учетная запись маршрутизатора, позво ляющая проверять его защиты отвечающим маршрутизатором;
Х интерфейс соединения по требованию па вызывающем маршрутизаторе скон фигурирован с удостоверениями пользователя соответствующей учетной запи си, а аналогичный интерфейс на отвечающем маршрутизаторе имеет то же имя, что и пользовательская учетная запись, применяемая вызывающим маршрути Интерфейс соединения требованию на отвечающем маршрутизато ре для исходящих вызовов не используется, поэтому в его свойствах не требу ется указывать ни телефонный номер вызывающего маршрутизатора, ни удос товерения соответствующего пользователя.
Компоненты поддержки маршрутизации с соединением по требованию Основными компонентами являются вызывающий и отвечающий маршрутизаторы, а также несущая среда, по которой устанавливается между этими мар шрутизаторами (рис. 6-1).
Несущая среда Интрасеть Рис. 6-1. Компоненты поддержки маршрутизации с соединением по требованию Вызывающий маршрутизатор Вызывающий маршрутизатор соединение. Он состоит из следующих ГЛАВА 6 Маршрутизация с соединением по требованию Х Служба маршрутизации и удаленного доступа. Эта служба должна быть на строена как LAN- и WAN-маршрутизатор, а также сконфигурирована на исполь IP-адресов (DHCP- или статического пула) и методов аутентифи кации.
Х Порт. Логический или физический одно Физические порты сред установленным на вызывающем VPN-порты являются логическими.
Х Интерфейс по требованию. В случае этот интерфейс пред РРР-соединение и содержит такую конфигурационную информацию, как используемый порт, адрес, применяемый при создании (напри мер, телефонный номер), удостоверения, методы и шифрования.
Х Маршрут. IP- или IPX-маршрут таблице маршрутизации на вызывающем маршрутизаторе, настроенный на пересылку трафика через интерфейс ния по требованию.
Отвечающий маршрутизатор Отвечающий принимает на от маршрутизатора и состоит из следующих элементов.
Х Служба маршрутизации и удаленного доступа. Эта служба должна быть на как LAN- и WAN-маршрутизатор, а также сконфигурирована на исполь пула IP-адресов (DHCP- или статического пула) и на пользователя.
Х Порт. Логический или физический канал, поддерживаю щий одно РРР-соединение. Физические порты соответствуют аппаратным сред ствам, на маршрутизаторе. VPN-порты являются Х Пользовательская учетная запись. Для вызывающего марш его данные должны соответствовать параметрам, ным в пользовательской учетной записи. Эта учетная запись должна быть либо локальной на маршрутизаторе, либо доступной через службу 2000. Если отвечающий маршрутизатор настроен на аутентифи кацию RADIUS, тогда серверу нужно обеспечить доступ к поль записи Пользовательская учетная запись требует следующей Х На вкладке Dial-in (Входящие звонки) вариант разрешения на ленный доступ либо как Allow access доступ), либо как Control access through Remote Access Policy на основе политики уда доступа).
Х На вкладке General (Общие) сбросьте флажок User must change password at next logon (Потребовать смену пароля при следующем входе в систему) и установите флажок Password never expires (Срок действия пароля не ничен).
В случае инициируемого только одной из сторон, сконфигурируй те статические которые в таблицу маршрутизации на отвечающем при создании соединения.
184 ЧАСТЬ 1 Маршрутизация Х Интерфейс соединения по требованию. В случае инициируемых любой из сторон, этот интерфейс В случае соеди только одной из сторон и использующих статические маршруты в учетной записи маршрутизатора, настройка интер фейса соединения но требованию на маршрутизаторе не требуется.
Х Маршрут. В случае любой из сторон, это IP- или IPX-маршрут в таблицах маршрутизации на вызывающем маршрутизаторе, на строенный на трафика интерфейс соединения по В случае соединений, инициируемых только одной из сторон, Вы можете ука зать статические и учетной записи вызывающе го маршрутизатора.
Х Политика удаленного доступа. Чтобы указать параметры соединения, специ для по требованию, создайте отдельную политику удален ного доступа с установленным атрибутом Windows-Groups (Windows-Groups) для группы, которая пользовательские учетные записи вызыва ющих маршрутизаторов, в группу. Для подключений по требова нию отдельная доступа не нужна.
Несущая среда соединения связи либо по физическим несущим средам, либо логические туннели. К первым относятся аналоговые телефонные линии и ISDN, а ко вторым Ч протоколы Tunneling Protocol) и (Layer Two Tunneling Protocol).
Процесс маршрутизации с соединением по требованию В общих чертах процесс проходит следующим образом (при условии, что и вызывающий, и работают под управлением Win dows 2000).
Получив пакет, вызывающий маршрутизатор отыскивает маршрут для пересылки пакета.
2. Если в маршруте указан интерфейс по состояние этого Если его состояние Ч пакет пересылается но данному су с применением фильтров, определенных для интерфейса.
Если же его состояние Ч лотключен, тогда отвечающий за пересыл ку данных по IP или IPX, вызывает Dynamic Interface Manager (диспетчер ди намических интерфейсов) и ему активизировать заданный в маршру те интерфейс по требованию.
3. Диспетчер динамических интерфейсов расписание исходящих вызо вов (dial-out hours) и фильтры, для интерфейса. Если рас писание или фильтры запрещают инициацию по попыт ка соединения заканчивается причина которой через па раметр reason этого интерфейса.
ГЛАВА 6 Маршрутизация с соединением по требованию Подробнее о причинах недостижимости см. раздел Средства лее в этой главе.
4, Если соединение диспетчер динамических считывает информацию данного по нию из файла 5. Иеходя из порта, указанного в устанавливается фи зическое или логическое соединение со второй стороной.
В конфигурациях с прямым или парал лельному номер, не указывается. В случае между двумя компьютерами устанавливается соединение с их последовательных или параллельных Для модемов или ISDN набирается указанный помер с применени ем заданного порта. Если этот порт используется другой порт же типа. Если таких портов нет, попытка заканчивается неудачей и сообщается о ее причине.
В случае VPN-соединений используется заданный IP-адрес или хост-имя со здается либо либо сопоставление и (для поверх G. Как только физическое или логическое с точкой согласуются параметры РРР-соединения. Ниже кратко описывается специфика РРР-соединениЙ при использовании интерфейсов по Х маршрутизатор IP-адрес вызывающему, а тот - от Эти IP-адреса должны принадлежать разным подсетям, чтобы маршрутизаторы случайно не назначили друг другу IP-адреса.
Х Если вызывающий маршрутизатор на IP-адреса DNS- или тогда их IP-адреса (в случае Ч зап рашиваются). Отвечающий маршрутизатор не IP-адре са DNS- или от вызывающего маршрутизатора, Х В отличие от клиентов удаленного доступа 2000 вызывающий мар шрутизатор не создает маршрут умолчанию и отвечающему По умолчанию вызывающий маршрутизатор ре на DNS- отвечающего если только параметру в реестра не присвоено значение 1.
7. Удостоверения вызывающего маршрутизатора посылаются на этапе аутентифи кации после РРР-протокола аутентификации.
На основе этих удостоверений отвечающий маршрутизатор делает одно из двух:
Х проверяет соответствующую базу данных учетных и локальную литику удаленного доступа. Если все в соединение Х атрибуты сконфигурированному серверу RADIUS.
Если этот сервер представляет собой компьютер под управлением Win dows 2000 Server и Internet Service (IAS) (Служба 186 ЧАСТЬ 1 Маршрутизация подлинности в отвечающий маршрутизатор проверяет ствующую базу учетных и политику удаленного доступа.
Если все в порядке, принимается.
8. Если в пользовательской учетной записи вызывающего маршрутизатора опре делены статические они заносятся в таблицу IP-маршрутизации от вечающего маршрутизатора.
9. Отвечающий маршрутизатор ищет в файле ter.pbk имя интерфейса по требованию, совпадающее с именем в вызывающего маршрутизатора.
Если такое совпадение интерфейс переводится в под ключенное состояние.
10. Как только создание вызывающий маршрутиза тор начинает пересылать пакеты, применяя к ним фильтры, для данного интерфейса.
Если имя пользователя в удостоверениях вызывающего маршрутизатора не совпа дает с именем интерфейса соединения по требованию, этот маршрутизатор счита ется клиентом удаленного доступа. А если в учетной записи не определены статические возможны проблемы с Так, если имя пользователя в удостоверениях вызывающего маршрутизатора соответствует имени интерфейса соединения по требованию на отвечающем марш рутизаторе, не как маршрутизатор, а как клиент уда ленного доступа. поступающие из интрасети вызывающего маршрутизато ра, пересылаются по соединению, а затем перенаправляются отвечающим маршру тизатором.
Однако, когда отвечающий маршрутизатор принимает ответные пакеты, адресован ные интрасети вызывающего маршрутизатора, маршруты к этой интрасети настра иваются на использование интерфейса соединения по требованию. А поскольку этот находится в отключенном состоянии, отвечающий маршрутизатор установить соответствующее с вызывающим маршрутизато ром. Если имеется еще один порт того же типа, создается второе по тре В ином случае пакеты просто отбрасываются и сообщается о причине не Так что дело кончится тем, что либо будет создано два соединения по требованию, либо ответные пакеты будут отбрасываться.
VPN-соединение, устанавливаемое между маршрутизаторами по требованию VPN-соединение между маршрутизаторами обычно используется для взаимного соединения удаленных офисов, если их подключены к Интернету по постоянным WAN-каналам типа Т1 или Frame Relay. В такой VPN-соединение постоянным и доступным круглосуточно. Однако, если нужного WAN-канала у Вас нет или если его использование Вы можете VPN-соединение, устанавливаемое между торами по требованию (рис. 6-2).
ГЛАВА 6 Маршрутизация с по требованию Туннель Соединение удаленного доступа Рис. 6-2. VPN-соединение, устанавливаемое между маршрутизаторами по требованию Такое VPN-соединение требует интерфейсов соединения по требованию, ко торые настраиваются па VPN-клиенте маршрутизаторе).
1. Интерфейс для установления связи с местным провайдером услуг Интернета (1SP).
2. Интерфейс для между маршрутизаторами.
VPN-соединение между маршрутизаторами устанавливается автоматически, когда Вы направляете трафик в определенный участок межсетевой среды. Например, если появляется пакет, который нужно перенаправить в филиал, филиа ла дозванивается до TSP, а затем с маршрути затором центрального офиса, подключенного к Интернету.
Примечание Здесь предполагается, что маршрутизатор центрального офиса (отве чающий маршрутизатор) подключен к по хотя оба маршрутизатора могут к через своих ISP по ком мутируемым WAN-каналам удаленного доступа. Однако это возможно, только ISP предоставляет заказчикам услуги маршрутизации с соединением по требова нию;
в этом случае ISP, получив который нужно доставить вызывает его маршрутизатор. Но лишь очень 1SP предоставляют такие услуги.
Чтобы на маршрутизаторе филиала VPN-соединение, устанав ливаемое между по требованию, проделайте следующие операции.
Х Создайте интерфейс соединения по для подключения к через подходящее устройство (модем или ISDN-устройство) и укажите в свойствах телефонный номер местного ISP, имя и пароль пользователя для тупа к Х Создайте интерфейс соединения по требованию для VPN-соединения с марш рутизатором офиса и укажите в его свойствах VPN-порт или IP-адрес маршрутизатора 188 ЧАСТЬ 1 Маршрутизация офиса, а также имя и пароль пользователя, которые будут VPN-сер вером. Имя пользователя должно совпадать с именем интерфейса соединения по на офиса.
Х Создайте статический маршрут к хосту с IP-адресом Интернет-интерфейса мар центрального офиса. Этот должен интер фейс соединения с ISP по требованию.
Х Создайте статический маршрут маршруты) к IP-сети инт расети. Этот маршрут должен использовать интерфейс по бованию.
Чтобы настроить на маршрутизаторе центрального офиса VPN-соединение, уста навливаемое между маршрутизаторами по проделайте следующие опе рации.
Х Создайте интерфейс соединения по требованию для VPN-соединения с марш рутизатором филиала и укажите в его свойствах VPN-порт (РРТР- или порт). Имя этого интерфейса с именем пользователя в удос товерениях зашиты, применяемых маршрутизатором филиала при VPN-соединения.
Х Создайте статический маршрут (или маршруты) к IP-сетям интрасетей филиа лов, Этот маршрут должен использовать интерфейс VPN-соединения по требо ванию.
VPN-соединение между маршрутизаторами инициируется маршрутизатором фили ала автоматически по процедуре.
1. Пакеты, передаваемые в с компьютера, который располо жен в филиала, маршрутизатору центрального офиса.
2. Маршрутизатор филиала проверяет свою таблицу маршрутизации и отыскива ет маршрут к в котором используется интерфейс VPN-со единения по требованию.
3. Маршрутизатор филиала проверяет состояние интерфейса по требованию и обнаруживает, что он находится в отключенном состоянии.
4. Маршрутизатор филиала считывает информацию о конфигурации интерфейса VPN-соединения требованию.
5. На основе филиала пытается инициализиро вать VPN-соединение IP-адрес Интернет-интерфейса маршрутизатора центрального офиса.
6. Чтобы установить маршрутизатор офиса, выс тупающий в роли VPN-сервера, должен получить либо TCP-пакет запроса на (через РРТР), либо эквивалентный (через поверх Поэтому шаг Ч создание такого пакета.
7. Для пересылки пакета запроса на установление VPN-соединения маршрутиза тору офиса маршрутизатор филиала проверяет свою таблицу мар шрутизации и отыскивает маршрут к хосту, использующий интерфейс соедине ния с ISP по требованию.
8. Маршрутизатор филиала состояние этого интерфейса и обнаружива ет, что он находится в отключенном ГЛАВА 6 с соединением по требованию 9. Маршрутизатор филиала считывает информацию о конфигурации соединения с ISP по требованию.
На основе этой маршрутизатор филиала свой или ISDN-устройство, чтобы к местному ISP.
11. Как только связь с пакет запроса на посылается маршрутизатору офиса.
12. Маршрутизаторы центрального офиса и филиала В ходе этого согласования маршрутизатор филиала передает свои которые проверяются маршрутизато ром офиса.
Маршрутизатор офиса проверяет свои интерфейсы соединений по требованию и один из них, имя с именем пользователя, переданным в процессе аутентификации;
после он в подключенное состояние.
14. Маршрутизатор филиала пересылает пакет по VPN-туннелю, и офиса перенаправляет его на соответствующий адрес в своей расети.
15. Когда адресат в отвечает на переданный ему лем из филиала, ответный пакет пересылается маршрутизатору цент офиса.
16. Маршрутизатор офиса свою таблицу маршрутизации и отыскивает маршрут к сети филиала, интерфейс VPN-соедине ния по требованию.
17. Маршрутизатор центрального офиса проверяет состояние этого интерфейса и что он находится в состоянии.
18. Ответный пакет пересылается через по VPN-соединению.
Этот пакет принимается филиала и пересылается правителю.
Тестирование подключений, устанавливаемых по требованию Вы можете проверить правильность работы по требованию под ключений либо вручную, либо автоматически.
Проверка вручную В этом случае Вы тестируете, возможно ли установление Это по зволяет проверить, правильно ли настроены методы аутентификации и шифрова ния, верны ли удостоверения и корректен ли ли для интерфейса соединения но требованию.
Чтобы вручную подключиться через интерфейс соединения по требованию:
1. В оснастке and Remote Access (Маршрутизация и удаленный доступ) папку Routing Interfaces (Интерфейсы маршрутизации), 2. Щелкните правой кнопкой мыши нужный интерфейс соединения по 3. Выберите команду Connect (Подключить).
190 ЧАСТЬ 1 Маршрутизация Как только соединение будет установлено, в колонке Connection Status (Состояние подключения) сменится с Disconnected (Отключено) на Connected (Подключено).
Если Вам не удается вручную подключиться через интерфейс соединения по тре бованию, см. раздел и далее в этой главе, Автоматическая проверка В случае Вы ли автоматическое установление соедине ния при передаче трафика по маршруту. Прежде проводить ческую проверку, убедитесь, что на и отвечающем маршрутизаторах имеются необходимые статические маршруты.
также убедитесь, что тестируемый интерфейс соединения по тре бованию находится в состоянии. Далее сгенерируйте трафик, напра вив его по какому-нибудь адресу, который находится на другой стороне соедине ния, устанавливаемого по требованию. Один из самых простых способов сгенери ровать IP-трафик Ч воспользоваться ping или tracert.
В случае ping или tracert первая попытка создать может закончиться неудачей из-за задержки установления соединения. Но первый пакет, ный интерфейс соединения по требованию, после задержки вызо вет его перевод в подключенное состояние, и ввод команды пройдет успешно. Если Вы хотите понаблюдать за процессом установления соединения, вве дите команду ping с ключом -t;
тогда она будет посылать Echo Request (эхо-запросы) до закрытия соединения.
Если Вам не удается автоматически подключиться через интерфейс соединения по требованию, см. раздел и устранение проблем далее в этой главе.
Мониторинг подключений по требованию с помощью Rasmon Состояние подключения интерфейса по требованию можно щелкнув папку Routing Interfaces (Интерфейсы маршрутизации) в оснастке Rou ting and Remote Access. Однако оснастка не позволяет получить деталь ные сведения о работе интерфейса (скорость последовательной передачи, статис тика устройства, статистика соединения, ошибки устройства). Для просмотра ин формации о соединениях по требованию, маршрутизатором, запустите на этом утилиту Rasmon с компакт-диска Ресурсы Microsoft Windows 2000 Server. Эта утилита сообщает только о соединениях по требованию, маршрутизатором, который выступает в роли вызыва ющего. Интерфейсы по в состоянии не по казываются. утилита эквивалентна программе Rasmon из состава Windows NT 4.0.
Защита при маршрутизации с соединением по требованию Для защиты соединений, устанавливаемых по требованию, используются те же средства, что и для защиты соединений удаленного доступа, в том числе:
Х разрешение на удаленный доступ;
ГЛАВА 6 с соединением по Х Х шифрование;
Х вызов (callback);
Х звонящего (caller Х учетной удаленного Подробнее об ответных вызовах, идентификаторе и блокировке учетной доступа см. главу 7 Сервер доступа в этой и справочную систему Windows 2000 Server.
Разрешение на доступ Пользовательская учетная запись маршрутизатора должна ствовать в соответствующей базе отвечающего маршрутизатора или серве ра RADIUS осуществляется через службу и раз доступ к этому маршрутизатору. Такое разрешение может быть предоставлено либо явным образом, в самой учетной записи Ч в параметрах звонков выбран вариант access (Разрешить доступ), Ч либо через удаленного доступа Ч в параметрах входящих звонков выбран ва риант Control access through Remote Access Policy (Управление на основе поли гики удаленного доступа), а в политике доступа пра Grant remote access (Предоставить право удаленного доступа).
Аутентификация Вызывающий маршрутизатор может быть как на вателя, так и на уровне компьютера, Аутентификачия на уровне Удостоверения маршрутизатора проверяются в процессе ния Аутентификация на уровне осуществляется од ним из методов Х PAP (Password Authentication Protocol);
Х SPAP (Shiva Password Authentication Protocol);
Х (Challenge Handshake Protocol);
Х MS-CHAP (Microsoft Challenge Authentication Protocol версии 1);
Х MS-CHAP v2 (Microsoft Challenge Handshake версии.2);
Х EAP-MD5 (Extensible Authentication Protocol-Message Digest 5) CHAP;
Х (Extensible Authentication Protocol-Transport Layer Security).
Все только что методы аутентификации, кроме требуют, чтобы вызывающего маршрутизатора состояли из имени теля, домена и пароля. При всех методах кроме РАР, пароль дается по соединению в или виде.
В случае вызывающего маршрутизатора представляют со бой сертификат проверяемый отвечающим маршрутизатором. Для выдачи и проверки сертификатов EAP-TLS требует создания инфраструктуры от крытого ключа (Public Key Infrastructure, 192 ЧАСТЬ 1 Маршрутизация Аутентификация на уровне Такая аутентификация выполняется в двух случаях (при маршрутизации с соеди нением по 1. В сопоставления безопасности для соединений L2TP поверх Ч аутентификация на компьютера выполняется путем обмена сер тификатами (также называемыми сертификатами), 2. При на уровне пользователя методом EAP-TLS отвечающий маршрутизатор на маршрутизаторе, посылая ему свой машинный сертификат.
Для выдачи и проверки сертификатов компьютеров нужна инфраструктура Односторонняя и взаимная аутентификация Аутентификация при соединении по требованию может быть односторонней или взаимной.
Односторонняя аутентификация односторонней (one-way марш рутизатор на Протоколы PAP, SPAP, CHAP, MS CHAP и EAP-MD5 лишь передают вызывающего ра отвечающему. В процессе односторонней марш рутизатор не получает никаких подлинности отвечающего маршру тизатора. Так что односторонняя аутентификация не обеспечивает защиту от неав торизованных отвечающих маршрутизаторов или компьютеров, маскирующихся под отвечающие маршрутизаторы.
Взаимная аутентификация При взаимной аутентификации (mutual authentication) вызывающий маршрутиза тор аутентифицируется на отвечающем, а тот Ч на вызывающем. Обе стороны со взаимно подтверждают свою Взаимная аутентификация поддерживается MS-CHAP v2 и EAP-TLS.
Если используется MS-CHAP v2, обе стороны соединения передают строки (challenge и пароль. В случае успеха каждая из сторон получает уве ренность в том. что сторона имеет доступ к паролю учетной за писи.
Если же применяется EAP-TLS, то вызывающий маршрутизатор посылает серти фикат пользователя, проверяемый отвечающим маршрутизатором, а последний по сылает сертификат компьютера, проверяемый вызывающим маршрутизатором.
EAP-TLS Ч самая защищенная форма но требующая инфраструктуры PKI.
Примечание Windows с Routing and Remote Access (RRAS) поддер живает двухстороннюю (two-way Эта функция на основе методов аутентификации обеспечивает взаимную аутенти фикацию. Если на соединения по включена аутентификация, вызывающий заставляет отвечающий после того, как сам пройдет аутентификацию на отвечающем маршру тизаторе. Вызывающий маршрутизатор под Windows 2000 никогда не ГЛАВА 6 Маршрутизация с соединением по требованию требует аутентификации отвечающего маршрутизатора под Win dows NT 4.0 и службы RRAS. Но Windows на Windows NT 4. он того потребует.
Шифрование Для соединений, устанавливаемых по доступно два вида шифрования:
МРРЕ (Microsoft Encryption) и IPSec (Internet Protocol Security) (IP-безопасность).
Все в том числе РРТР (но не могут МРРЕ (Microsoft Point-to-Point Encryption). МРРЕ основан на алгоритме RSA RC4 и применяется только при по EAP-TLS или MS-CHAP (версий 1 и 2).
МРРЕ может оперировать или ключами.
битный ключ предназначен для обратной По умолчанию вызываю щий и отвечающий маршрутизаторы используют самый стойкий ключ. Если чающий маршрутизатор требует более стойкий ключ, чем поддерживаемый вающим запрос на соединение отклоняется.
IPSec В случае по требованию с применением IPSec алгоритм шифрования определяется в процессе сопоставления безопасности (security ciation, SA). В числе поддерживаемых алгоритмов шифрования:
Х DES с 56-битным ключом;
Х 3DES (Triple DES), который использует три 56-битных ключа и рассчитан на среды, требующие высокой защиты.
Исходные шифровальные ключи в по IPSec. Подробнее об IPSec см. главу 8 в книге Сети из серии Ресурсы Microsoft Windows 2000 Server;
подробнее о IPSec для соединений L2TP поверх IPSec см. главу частные сети в книге.
Настройка фильтрации пакетов в свойствах интерфейса соединения по требованию Фильтры IP- и IPX-пакетов на интерфейсе по можно ис пользовать для видов трафика, принимаемого и передаваемого интер фейсом. Фильтрация и IPX-пакетов только когда интерфейс по в подключенном Фильтрация пакетов особенно полезна в экстрасети Ч части Вашей ступной Вашим бизнес-партнерам через соединения, по требова нию. Например, когда устанавливает по фильтры пакетов на соответствующем интерфейсе пропускают лишь адресованный в определенные сетевые сегменты или конкрет ным сетевым ресурсам.
194 ЧАСТЬ 1 Маршрутизация Настройка фильтрации пакетов в профиле политики удаленного доступа В к фильтрам на интерфейсах соединений по требованию Вы можете настроить фильтры TCP/IP-пакетов в профиле политики удаленного дос тупа на Хотя основное предназначение фильтров TCP/IP-пакетов Ч трафик, по удаленно го доступа, эти фильтры можно и при с по Если на множестве интерфейсов соединений по требованию при одинаковые фильтры и политики доступа, то вместо того чтобы настраивать и те же фильтры IP-пакетов для каждого интерфейса по отдельности Ч Вы создаете нужный набор фильтров профиле политики удален ного доступа, и он действует на все соединения, устанавливаемые по Создание учетных записей пользователей с помощью Demand-Dial Wizard Когда Вы создаете в оснастке Routing and Remote Access (Маршрутизация и уда ленный доступ) интерфейс соединения по с Demand-Dial Wizard (Мастер интерфейса вызова требованию), активизация флажка Add a user account so a remote router can dial in учетную запись для входя звонков удаленного маршрутизатора) на странице Protocols and Security (Протоколы и безопасность) окна этого мастера позволяет создать новую учетную запись, которая будет использоваться маршрутизатором. При этом пользовательская учетная запись создается с же именем, что и новый интер фейс соединения по требованию;
она помещается учетных записей, используемую Вашим В 6-2 перечислены места, в которых создается эта учетная запись.
Таблица 6-2. Места создания учетных записей мастером интерфейса вызова по требованию Маршрутизатор Место создания учетной записи (stand-alone) Локальная учетная запись, как будто через оснаст Local Users and Groups (Локальные пользователи группы) Контроллер домена учетная создаваемая как будто ку Directory Users and Directory зователи и группы) домена Локальная учетная как будто через оснаст ку Local Users and Groups В любом случае разрешение на удаленный доступ устанавливается как Allow access (Разрешить доступ) Ч даже несмотря на то что по умолчанию для новой учетной которая создается в домене Windows 2000 основного режима или на авто маршрутизаторе, выбирается вариант Control access through Remote Access Policy (Управление на основе политики удаленного доступа). Такое пове мастера может к некоторой путанице, если Вы управляете досту пом па модели административной политики. В этой модели разрешение на доступ во всех учетных записях по умолчанию устанавливается как Control access through Remote Access а в политиках удаленного доступа, ГЛАВА 6 Маршрутизация с соединением по требованию применяемых к индивидуальным пользователям, Вы указываете либо Grant remote access (Предоставить право доступа), Deny remote access (Отка зать в праве удаленного доступа).
Учетная создается с текущими параметрами паролей по умолчанию и литиками, действующими в Вашем домене. Убедитесь, что в каждой учетной запи си, используемой вызывающими маршрутизаторами:
Х флажок User must change password at next logon (Потребовать смену пароля следующем входе в систему) В ином случае вручную сбросьте флажок в учетных записях, созданных мастером интерфейса вызова по требова Если Вы этого не маршрутизатор с соединением по требованию не сможет подключаться под этой учетной записью. Когда вызывающий марш рутизатор к передаче своих появится сменить пароль. А поскольку инициация по требованию Ч неинте рактивный в котором не вызывающий маршру тизатор не сможет сменить пароль, и попытка завершится неудачей;
Х флажок Password never expires (Срок действия не ограничен) установ лен. Процесс установления соединения по требованию проходит без участия пользователя. Если срок действия пароля истечет, на вызывающем маршрути заторе появится приглашение сменить пароль, и соединения ит ся неудачей.
Блокировка соединений требованию Хотя маршрутизация с соединением по требованию Ч более чем WAN-канал, подключение, устанавливаемое тором с соединением по требованию, отнюдь не бесплатно. Так, стоимость ний по коммутируемым аналоговым линиям зависит от времени их и дальности вызова. А в случае с Вас могут взимать еще и плату за каждый вызов.
Pages: | 1 | 2 | 3 | 4 | 5 | ... | 11 | Книги, научные публикации