Internetworking Guide Microsoft 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof 2000 Server 2002 УДК 004 Microsoft Corporation Межсетевое взаимодействие. Ресурсы Microsoft ...
-- [ Страница 4 ] --Чтобы свести к минимуму затраты на соединения, устанавливаемые по маршрутизатор Windows 2000 позволяет создавать фильтры но (demand-dial filters) и расписание исходящих вызовов (dial-out Фильтры вызовов по требованию Такие фильтры позволяют указать, для каких типов можно циировать Например, если Бы хотите, чтобы инициация соединений по требованию была возможна только при появлении трафика, с Web, настройте фильтры вызовов требованию, инициировать ние лишь для трафика, адресованного TCP-порту 80. Фильтры вызовов по годятся только для тех интерфейсов соединений по которые находятся в отключенном состоянии.
Чтобы установить фильтры вызовов для интерфейса соединения по требованию:
1. В оснастке Routing and Remote Access и удаленный выберите панку Routing Interfaces (Интерфейсы маршрутизации) и щелкните кнопкой мыши нужный интерфейс по требованию.
196 ЧАСТЬ 1 Маршрутизация 2. Выберите команду Set Demand-Dial Filters (Установить IP-фильтры вызова но требованию).
3. Щелкните Add параметры фильтра и щелкните ОК.
Л. Выберите действие щелкнув либо Only for the following traffic (Только для данных), чтобы со единения при наличии трафика, критериям фильтров, либо For all traffic except (Для всех данных, кроме перечисленных), чтобы инициацию соединения при наличии трафика, удовлетворяющего критериям фильтров.
Примечание Фильтры вызовов по требованию от фильтров IP-пакетов.
определяют, какой трафик может инициировать соединение по а вторые Ч какой трафик может и передаваться через интерфейс со единения по требованию (после его Таким образом, фильтры IP-па кетов уже после Поэтому при наличии IP-пакетов, передачу какого-либо через интерфейс соединения по рекомендуется сконфигуриро вать эти же фильтры и как фильтры вызовов. Тогда для трафика, который отбрасы вается фильтрами IP-пакетов, соединение по требованию просто не ус Расписание исходящих вызовов Такое расписание позволяет указывать, в какое время суток и в какие дни недели соединение по разрешается или Например, если данный интерфейс соединения по требованию предназначен для резервного копирования в с 00:00 до тогда Вы расписание так, чтобы оно разрешало по этому в будни и только в эти часы.
Чтобы расписание исходящих вызовов для интерфейса соединения по В Routing and Remote (Маршрутизация и удаленный доступ) папку Routing Interfaces и кнопкой мыши нужный интерфейс соединения по требованию.
2. Выберите команду Dial-out Hours (Расписание исходящих вызовов).
3. В диалоговом окне Dial-out Hours (Расписание исходящих вызовов) выберите дни и часы работы, в которые соединение либо разрешается, либо запре щается, и щелкните кнопку ОК.
По умолчанию соединения разрешены в любое время и любые дни.
Когда наступает время, в течение которого соединения по требованию по требованию, находящийся в подключенном состоянии, автоматически не исходящих вызовов действует только на по находящиеся в отключенном состоянии.
ГЛАВА б Маршрутизация с соединением по требованию Маршрутизация с соединением по требованию и протоколы маршрутизации Метол маршрутизации на с со но от типа подключения: для подключений, ливаемых по требованию, используйте статическую маршрутизацию, а для посто янных Ч (на основе маршрутизации), Подключения, устанавливаемые по требованию Применение статической соединений на основе подключений, устанавливаемых по требованию, потому, что протоколы маршрути зации, поставляемые со службой маршрутизации и удаленного доступа в Win dows 2000 (RIP for IP, RIP IPX, SAP которые заставят соединение при каждом опове щении, либо поддерживать его, если интервал оповещения меньше мени простоя до Поскольку плата за коммутируемыми WAN-каналами, как правило, зависит от времени и протоколами маршрутизации на подключениях, устанавливаемых по нежелательно.
Статические маршруты, при маршрутизации с по тре конфигурируются либо вручную, либо автоматически Ч с ем автостатических обновлений (см. раздел Автостатические далее в этой главе).
Создание статических маршрутов вручную Эта операция заключается в том. что Вы создаете с оснастки Routing Remote Access статические маршруты, доступные через интерфейс соединения по требованию. Для нужно создать IP-маршруты.
Чтобы добавить статический IP-маршрут, использующий интерфейс соединения по требованию:
1. В оснастке Routing and Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация) и правой кнопкой мыши папку Static routes (Статические маршруты).
2. Выберите New Static Route (Новый статический маршрут).
3. В списке Interface (Интерфейс) выберите нужный интерфейс по требованию, 4. Введите в поля Destination Network mask (Маска подсети) и Metric (Метрика).
5. Если Вы хотите, чтобы трафик, передаваемый по этому статическому марш руту, заставлял интерфейс подключение по требованию, сбросьте флажок Use this route to initiate demand-dial connections (Использовать этот маршрут подключений по требованию).
198 ЧАСТЬ 1 Маршрутизация Примечание При выборе интерфейса по требованию поле Gateway (Шлюз) становится Через такой создается соединение типа и указываемый в поле Gateway, для пересылки IP-трафика не требуется.
Для IPX-трафика следует добавить IPX-маршруты и статические службы SAP.
IP-маршрута по подключения, устанавливаемого по требованию осторожны при IP-маршрута по умолчанию (0.0.0.0/0). Хотя он упрощает настройку статической маршрутизации через подключения, устанав ливаемые по требованию, Вы должны тщательно все последствия его при менения. IP-маршрут по умолчанию суммирование всех IP-адресов и используется для пересылки IP-пакетов в отсутствие дру гих, более специфических Использование по умолчанию подразумевает, что все адреса назначения находятся в этою маршрута. При подключении к через интерфейс соединения по это справедливо. Но, если Вы используете этот интерфейс для филиала к центральному офису в рамках частной применение маршрута по умолчанию может создать про блему.
Если IP-маршрут но умолчанию па интерфейс соединения по то по может быть для такого которого на самом деле недостижим. если какая-либо организа использует частную IP-сеть а филиал Ч 10.1.1.0/24, статическая мар может быть сконфигурирована на маршрутизаторе филиала следую щими способамтт.
Х Определен статический маршрут к сети 10.0.0.0/8 с использованием интерфей са соединения по требованию.
Если кто-нибудь в филиале передать данные на IP-адрес назначе ния 192.168.0.1, маршрутизатор филиала не найдет подходящего в своей В результате пакет и хост-отпра витель Х Определен статический маршрут 0.0.0.0/0 с использованием интерфейса соеди нения по требованию.
Если кто-нибудь в филиале передать данные на IP-адрес ния маршрутизатор филиала инициирует и через него пакет маршрутизатору офиса. Однако ни на маршру офиса, пи на каком-либо другом в кор поративной интрасети нет маршрута для данного пакета. В резуль тате пакет будет отброшен и ICMP-сообщение Des tination Unreachable/Host Таким образом, использование маршрута по умолчанию в интрасети филиала мо жет к нежелательным результатам при генерации трафика к недостижи мому ГЛАВА б Маршрутизация с соединением по требованию Автостатические обновления Хотя небольшого числа статических маршрутов вручную в некоторых слу чаях вполне при наличии множества маршрутов или при их частом изменении настройка вручную неприемлема. Для автоматического мар шрутов и служб в таблицы маршрутизации служба маршрутизации и удаленного доступа автостатические обновления через интерфейсы соединений по требованию.
При обновлении update) от маршрутизатора на другой стороне соединения запрашиваются известные маршруты или службы, которые затем вносятся в таблицы маршрутизации запрашивающего маршрутизатора. Ав тостатическое обновление Ч это разовая односторонняя передача информации о маршрутах. После того как информация о маршрутах передана, маршрутизаторы на обеих сторонах соединения больше не объявляют ее, даже если не разрывается, Примечание Термин лавтостатический подразумевает автоматическое добавле ние маршрутов в таблицу маршрутизации как статических. Но само кое обновление не осуществляется автоматически при создании соединения по требованию.
Чтобы задействовать автостатические обновления для IP-маршрутов, добавьте ин терфейс соединения по к протоколу маршрутизации RIP. По умолча нию интерфейсы соединений по требованию функционируют для RIP в режиме Autostatic update mode (Режим автостатического обновления), а в качестве кола выбирается RIP version 2 multicast (Для RIP версии 2, многоадресная). Эти настройки по умолчанию рассчитаны на установление соеди нения с другим маршрутизатором Windows 2000.
Если же Вы хотите использовать автостатические обновления для IPX-маршрутов и SAP-служб, добавьте интерфейс соединения по требованию к протоколам марш рутизации for IPX и SAP IPX. По умолчанию интерфейсы соединений по для RIP for IPX и SAP for IPX в режиме No (Без обновлений). В обоих случаях Вы должны сменить его на Autostatic статический), Чтобы изменить режим обновления:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IPX Routing (IPX-маршрутизация).
2. В случае RIP for IPX укажите for IPX (RIP для IPX), щелкните правой кнопкой мыши нужный интерфейс соединения по требованию и выберите ко манду Properties (Свойства). В разделе Update mode (Режим обновления) в берите переключатель Autostatic (Автостатический) и кнопку ОК.
3. В случае SAP for IPX укажите SAP for IPX (SAP для и проделайте те же операции, что и в п. 2.
200 ЧАСТЬ 1 Маршрутизация Примечание Перед передачей запроса автостатического обновления щие полученные в результате предыдущего обнов ления, удаляются. Если ответ на запрос не маршрутизатор не восста навливает маршруты. Это может вызвать проблемы с подключением к удаленным сетям.
Автостатические обновления вручную Статические IP-маршруты обновляются вручную по следующей Чтобы вручную выполнить автостатическое обновление для 1. В оснастке Routing and Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация) и выберите папку General (Общие).
2. Щелкните правой кнопкой мыши нужный интерфейс соединения по требова нию и выберите команду Update Routes маршруты).
Если интерфейс по находится отключенном состоянии, производится автоматическое После этого начинается автостатичес кое обновление. При автостатическом о маршрутах пере дается только от отвечающего маршрутизатора вызывающему. Чтобы передать информацию от маршрутизатора отвечающему, Вы долж ны выполнить ту же процедуру на маршрутизаторе.
Информация об IP-маршрутах передается но протоколу RIP for IP. Маршрутиза тор, на котором посылает общий RIP Request), а маршрутизатор на другой соединения отвечает ем RIP Response, в которое все маршруты из своей таблицы IP-маршрутизации. запрашивающим маршрутизатором, автоматически добавляются в как статические. Под робнее о см. главу 3 в этой книге.
Для статических IPX-маршрутов и SAP-служб вручную по следующей процедуре.
Чтобы вручную выполнить автостатическое обновление для IPX и SAP:
1. В Routing (Маршрутизация и удаленный доступ) раскройте узел IPX Routing и выберите папку General (Общие).
2. Щелкните правой кнопкой нужный интерфейс по требова нию и выберите команду Update Routes (Обновить маршруты).
Как и в случае автостатического обновления для IP, если интерфейс соединения но находится в состоянии, производится автоматическое подключение. этого начинается автостатическое При автостати ческом обновлении информация о маршрутах и службах перелается только от от маршрутизатора Чтобы передать цию от маршрутизатора Вы должны выполнить ту же на отвечающем маршрутизаторе.
об IPX-маршрутах передается по протоколу for IPX. Маршрути затор, на котором посылает общий RIP-запрос, а марш ГЛАВА 6 Маршрутизация с соединением по другой стороне соединения сообщением Response, ко торое включает все подходящие маршруты из своей таблицы Маршруты RIP tor IPX, принятые маршрутизатором, ки добавляются в сто как статические. о сообщениях RIP tor IPX см. 5 в этой Информация о SAP-службах передается но протоколу SAP for тор, на котором инициируется обновление, посылает общий SAP-запрос (SAP General а маршрутизатор на другой соединения нием SAP Response, в которое службы из своей таблицы SAP-служб. SAP-службы, о которых принята рутизатором, автоматически добавляются в его SAP-служб как статичес кие. Подробнее о сообщениях SAP см. главу 5 в этой книге.
Автостатические обновления по расписанию Автостатические обновления можно проводить Ч по Для этого нужно использовать командный файл иди файл netsh в с программой задания). Для автостатичес кого обновления с RIP for IP и сценария выполняются следующие команды netsh:
netsh interface set interface соединения по netsh routing ip update интерфейса по netsh interface set interface интерфейса по Например, чтобы обновить но требованию interface set interface routing ip rip update CorpHub netsh interface set interface Команды netsh можно в файле Windows 2000 или файл netsh. Так, ниже показан текст файла сценария приведенных команд.
interface set interface routing ip rip update CorpHub interface set interface Для выполнения этого файла введите в строке:
netsh Создав командный файл Windows 2000 или файл сценария netsh. Вы можете зать его запуск в Tasks.
Постоянные подключения В случае соединений по требованию на основе постоянных (persistent протоколы маршрутизации могут точ но так же, как и при использовании LAN-интерфейсов, обновление таблиц маршрутизации. настройку для интерфейсов по требованию с иллюстрирует таблица 6-3.
202 ЧАСТЬ 1 Маршрутизация Таблица 6-3. в конфигурации протоколов маршрутизации для интерфейсов соединений по требованию Изменение в исходной конфигурации RIP for IP Измените режим работы с предлагаемого умолчанию на Periodic update mode периодического и раз решите использование инициируемых обновлений updates).
OSPF На вкладке General (Общие) окна свойств вы берите тип Point-to-point (Точка-точка). Этот тип для интерфейсов соединений по требованию предлагается по умолча нию. Для постоянного между маршрутизаторами Вам, возможно, понадобится увеличить значения параметров Transit Delay (Задержка Retransmit Interval повтора передачи), Hello Interval (Интервал приветствия) и Dead Interval (Интервал исчезновения) на вкладке Advanced (Дополни тельно) окна свойств чтобы учесть задержку в пересылке через Интернет.
RIP for IPX Измените режим обновления на Standard (Обычный).
SAP for IPX Измените режим обновления на Standard.
Во всех случаях протоколы маршрутизации, предоставляемые службой маршрути зации и удаленного доступа Windows 2000, должны работать через нумерованное соединение (numbered connection). В процессе установления РРР-соединения ну мерованному присваивается IP- или IPX-адрес. Служба ции и доступа поддерживает и соединения, но прото колы маршрутизации с ними не работают. соединения используются при установлении связи с предпочитающим не расходовать IP-адреса на соединения типа Интернет-соединение может быть ненумерованным, что Вы, как правило, настраиваете статичес кий IP-маршрут по умолчанию, не используя какой-либо протокол маршрутизации.
и ВАР При с соединением по требованию Multilink и ВАР (Bandwidth Allocation Protocol) позволяют автоматически добавлять физические соединения к когда сетевого трафика увели чивается, и удалять их, когда интенсивность сетевого трафика уменьшается.
Чтобы многоканальное или ВАР-соединение по требованию:
1. В оснастке Routing and Remote (Маршрутизация и удаленный доступ) раскройте узел Routing Interfaces маршрутизации).
2. Щелкните правой мыши Routing Interfaces и выберите команду New Demand-dial interface (Создать новый интерфейс вызова по требованию).
3. Когда запустится Wizard (Мастер интерфейса вызова по требова который Вы хотите использовать первого физичес кого соединения.
4. Щелкните правой кнопкой мыши созданный интерфейс по требо ванию и выберите команду Properties (Свойства).
ГЛАВА 6 Маршрутизация с соединением по требованию 5. На вкладке General (Общие) в списке Connect using через) выбе рите модемы или порты, которые Вы хотите для в том порядке, в каком Вы будете ими пользоваться.
Если для каждого физического свой номер, сбросьте флажок АН devices call the same numbers, 6. На вкладке Options (Параметры) в разделе Multiple devices (Использование нескольких устройств) щелкните Dial devices only as needed (Лишь необходи мые 7. Щелкните кнопку Configure (Настроить), и на экране появится диалоговое окно Automatic Dialing and Automatic Hanging Up (рис. 6-3).
В разделе Automatic dialing (Автоматическое подключение) укажите условия, которых должно устанавливаться новое подключение через ное (канал). По умолчанию Ч через 2 минуты после как на грузка на существующее соединение достигнет верхнего поро гового значения в 75% его способности.
В разделе Automatic hangup (Автоматический разрыв укажите ус ловия, при которых следует отключать устройство (канал), По умолчанию Ч через 2 минуты после того, как нагрузка на существующее соединение нижнего порогового л 10% его пускной up Рис. 6-3. Диалоговое окно Automatic Dialing and Automatic Hanging Up Примечание Если связь по из каналов многоканального подключения рывается, а протокол ВАР не используется, то связь автоматически не Для автоматического восстановления каналов связи многоканального подключения используйте ВАР и настраивайте свои каналы на инициализацию при соединения по требованию и инициализацию при разрыве 204 ЧАСТЬ 1 Маршрутизация Например, задайте следующие условия автоматического присво ив параметру Activity at least менее) значение 1%, а параметру Dura tion at least Ч значение 3 секунды.
IPX-соединения по требованию При IPX-соединений по требованию параметры IPX согласуются одним из двух способов Ч в зависимости от того, какой IPX Бы используете.
Х IPX CP (IPX Control Protocol). Это протокол (Link Control Protocol) на РРР, документированный в RFC 1552. IPXCP применяется по умолчанию. Подробнее об IPXCP см. гла ву 7 Сервер удаленного доступа в этой книге.
Х IPX WAN. Это управляющий протокол, используемый Novell а также совместимыми серверами доступа и маршрутизаторами. Вы должны переключаться на IPX WAN при или маршрутизатора, работаю щего под управлением Novell NetWare, и других маршрутизаторов, поддержи вающих протокол IPX WAN.
Чтобы сменить протокол IPX на каком-либо интерфейсе по требованию:
1. В оснастке Routing и удаленный доступ) раскройте узел IPX Routing и щелкните папку General (Общие).
2. Щелкните правой кнопкой мыши интерфейс соединения по требованию.
Выберите переключатель либо IPX CP (IPX CP), либо IPX WAN (IPX WAN), a затем щелкните кнопку ОК.
Протокол NCP Watchdog Клиенты Novell NetWare доступ к файлам на серверах Novell NetWare протоколу NCP (NetWare Protocol). NCP Ч это ориентированный па логические который обеспечивает доступ к файлам и принтерам в сетях NetWare. Как только NCP-соединение установлено, оно поддер живается с NCP Watchdog - простого протокола, по которому сервер NetWare присутствует ли еще клиент NetWare и делает ли он что-ни через данное NCP-соединение.
Пакет NCP собой сообщение, посылаемое клиенту сервера NetWare и состоящее номера NCP-соединения и сигнатуры Если клиент еще проявляет какую-то активность на соединении, номер и сигнатуру серверу NetWare.
По клиент посылает по NCP-соединению в течение минут и 56,6 сервер NetWare передает пакет NCP Watchdog. Если ответ на пего не приходит, сервер NetWare посылает еще 10 таких пакетов с в (Все эти параметры на сервере NetWare. под робную информацию см. в на сервер NetWare.) ГЛАВА б Маршрутизация с соединением по требованию Протокол NCP Watchdog оставляет открытым подключение по требованию, лаже если клиент или сервер не никаких по Чтобы блокировать поведение NCP Watchdog, маршрутизации и доступа Windows 2000 на пакеты NCP за клиентов NetWare, находящихся на другой по по.
Если маршрутизатор с по требованию принимает пакет NCP Watch dog, который передан сервером NetWare клиенту NetWare, достижимому по руту через интерфейс соединения по отвечает на этот пакет за NetWare. За счет этого NCP мешают закрытию подключения по не закрывается после разрыва подключения, по Ч имитируется маршрутизатором Windows 2000. По истечении простоя чение, установленное по требованию, ко служба и удаленного доступа Windows 2000 продолжает имитировать ответы на пакеты Watchdog. Когда какой-нибудь сервер или клиент передаст данные по NCP-соединению, маршрутизатор восстановит и адресату.
Выявление и устранение проблем распространенные проблемы маршрутизации с соединением по требо Х соединение по требованию автоматически не Х по не удается Х адреса за или отвечающим маршрутизатором недостижимы;
Х автостатическое обновление не работает.
В разделах даются которые помогут Вам выявить в или инфраструктуре, которые вызывают проблемы с мари использующей соединения по Соединение по требованию автоматически не устанавливается Х наличие требуемых и что они строены на нужный интерфейс по требованию, Х Б параметрах статических маршрутов, интерфейс соединения по убедитесь, что флажок Use this route to initiate demand-dial con nections (Использовать этот маршрут для подключений по требованию) уста новлен.
Х не запрещен ли соединения по требованию. Если да, кните этот интерфейс правой мыши и выберите Enable (Раз решить).
Х Убедитесь, что исходящих вызовов для нения по требованию на вызывающем маршрутизаторе блокирует подключения.
Х Убедитесь, что фильтры вызовов по требованию для данного интерфейса соеди нения по требованию не блокируют 206 ЧАСТЬ 1 Маршрутизация Соединение по требованию вообще не удается Х Убедитесь, что служба маршрутизации и удаленного доступа работает как на вызывающем, так и на отвечающем маршрутизаторе.
Х Убедитесь, что на вызывающем и отвечающем маршрутизаторах разрешена как локальная, так и удаленная пересылка (LAN и WAN).
Х Проверьте, настроены ли порты удаленного доступа по коммутируемым ям, используемые вызывающим и отвечающим маршрутизаторами, на поддерж ку маршрутизации с соединением по требованию.
Х Проверьте, не задействованы ли уже все порты удаленного доступа по коммути руемым линиям на вызывающем и отвечающем маршрутизаторах.
Х При использовании политики удаленного доступа убедитесь, что вызывающий и отвечающий могут применять хотя бы один общий метод и/или Х Проверьте в удостоверениях вызывающего маршрутизатора правильность име ни и пароля пользователя, а также имени домена и убедитесь, что они могут быть проверены отвечающим маршрутизатором.
Х В случае соединений по требованию, для которых используется MS-CHAP и осуществляется попытка о шифровании по методу с 40 битным ключом, убедитесь, что длина пароля не превышает 14 символов.
Х Убедитесь, что пользовательская учетная запись вызывающего маршрутизатора не отключена или не заблокирована (в свойствах этой записи). Если срок дей ствия пароля для данной учетной записи убедитесь, что клиент удален ного доступа использует MS-CHAP vl или MS-CHAP v2. (MS-CHAP vl/v2 единственный аутентификации в Windows 2000, который позволяет сменить просроченный пароль в установления соединения.) Если истек срок в учетной записи уровня администратора, пе реустановите пароль, используя учетную запись другого администратора.
Х Убедитесь, что пользовательская учетная запись вызывающего маршрутизатора не была заблокирована блокировки учетной записи, предназначенной для удаленного доступа (см. главу 7 Сервер в этой книге).
Х Убедитесь, что на вкладке General (Общие) окна свойств пользова тельской учетной вызывающего маршрутизатора настроены так, чтобы при входа в систему смена пароля не требовалась и срок действия пароля не был ограничен.
Х Убедитесь, что запроса на соединение согласуются с параметрами входящих звонков в пользовательской учетной записи вызывающего маршру тизатора и в политике удаленного доступа. Если отвечающий маршрутизатор настроен на аутентификацию через Windows, используется политика доступа, хранящаяся на атом маршрутизаторе. Если же он настроен на аутентификацию через RADIUS и если сервер RADIUS представляет собой компьютер с Windows 2000 и службой проверки подлинности в Интернете (IAS), значит, используется политика доступа, хранящаяся на Для успешного установления соединения параметры в запросе на соединение должны;
ГЛАВА 6 Маршрутизация с соединением по требованию Х соответствовать всем условиям по одной политики доступа;
Х право на доступ либо через Allow access (Разре шить доступ) в пользовательской учетной записи, либо Control access through Remote Access Policy (Управление на основе политики доступа) в пользовательской и Grant remote access sion (Предоставить доступа) в удаленного дос тупа;
Х соответствовать всем параметрам профиля;
Х параметрам входящих звонков в свойствах учетной записи.
Убедитесь, что настройки в профиле политики доступа не конфлик туют со свойствами Профиль политики удаленного доступа и свойства отвечающего маршрутизато ра предусматривают для:
Х подключений;
Х протокола ВАР (Bandwidth Protocol);
Х протоколов аутентификации.
Если настройки в профиле соответствующей политики удаленного доступа кон со свойствами запрос на соединение будет отклонен. Например, если в профиле указан протокол щи EAP-TLS, но этот протокол в свойствах отвечающего маршрутизатора не чен, будет отклонять запросы на соединение.
Если отвечающий маршрутизатор настроен на статического пула достаточно ли адресов в пуле.
Если адреса из статического пула уже выделены клиентам удаленного дос тупа или подключаемым по требованию, то отвечающий мар шрутизатор не сможет назначить очередной IP-адрес. Если вызывающий марш рутизатор сконфигурирован только на IP-пакетов, запрос на соеди будет отклонен.
Проверьте конфигурацию службы аутентификации на отвечающем заторе.
Отвечающий может быть настроен на удосто верений вызывающего маршрутизатора через Windows, либо через RA DIUS. В случае проверьте конфигурацию службы RADIUS на отве маршрутизаторе.
Если маршрутизатор является рядовым сервером в домене Win dows 2000, который работает в смешанном или основном и сконфигу рирован на аутентификацию через Windows 2000, убедитесь, что:
Х в службе каталогов Active Directory имеется группа безопасности RAS IAS Servers (Серверы RAS и IAS). Если этой группы создайте ее, тип Security и область действия Domain local (Локальная доменная);
208 ЧАСТЬ 1 Маршрутизация Х у группы безопасности RAS and Servers па чтение объекта RAS and IAS Servers Access Check;
Х учетная запись отвечающего маршрутизатора включена в груп пу безопасности RAS and IAS Servers. Для просмотра текущих регистрации используйте команду ras show а для регистрации сер вера в домене Ч команду netsh add registeredserver.
Если Вы отвечающего маршрутизатора группу бе RAS and IAS скорее всего он не сможет удостоверения в запросах па входящие соедине ния (из-за особенностей кэширования информации в Windows 2000). Чтобы отвечающий маршрутизатор немедленно приступил к аутентификации перезагрузите этот маршрутизатор.
Если маршрутизатор является членом Windows основ ного режима, убедитесь, что этот присоединился к домену.
Если отвечающий маршрутизатор под управлением Windows NT 4.0 с Service Pack 4 и выше является членом домена Windows 2000 режима или если отвечающий маршрутизатор под управлением Windows 2000 включен в домен Windows NT 4.C, параметры пользовательских учетных за писей из доверяемого домена 2000, проверьте, включена ли группа Everyone (Все) в группу Pre-Windows 2000 Compatible Access, Для этого вос командой net localgroup Pre-Windows 2000 Compatible В случае результата команду net localgroup Windows 2000 Compatible everyone /add на контроллере домена и пе резагрузите его.
Если отвечающий маршрутизатор под Windows NT 4.0 с Service Pack 3 и является членом домена Windows 2000 смешанного режима, убе что группе (Все) предоставлены права на содер жимого (list contents), чтение свойств (read all и чтение (read) до корневого узла Вашего домена и всех подобъектов (sub-objects) корневого В случае аутентификации через проверьте, взаимодействует ли компь ютер отвечающего маршрутизатора с RADIUS.
Если отвечающий маршрутизатор использует через Windows и является домена Windows 2000 смешанного режима, который до домена основного режима, Вы должны от вечающего маршрутизатора Ч только после этого отвечающий маршрутизатор сможет успешно аутентифицировать удостоверения вызывающего маршрутиза тора и клиентов удаленного доступа.
Если служба факсов и служба маршрутизации и удаленного доступа совместно используют один модем, ли этот модем адаптивный ответ (adaptive Если модем не поддерживает адаптивный ответ, Вам придется отключить факс-связь на этом модеме, чтобы он мог принимать зап росы на соединения доступа и подключения для маршрутизации с по требованию.
ГЛАВА 6 с соединением по требованию Х При маршрутизации с по на сертификатов убе что на вызывающем маршрутизаторе:
Х ЕАР в качестве протокола аутентификации;
Х правильно выбран сертификат для корневого центра отвеча ющего маршрутизатора;
при настройке удостоверений (учетных интерфейса соединения требованию правильно выбран сертификат маршрутизатора (автономный запрос).
Х При с по требованию на основе сертификатов убе дитесь, что на маршрутизаторе:
Х разрешено использование ЕАР в качестве протокола Х правильно выбран машинный сертификат для корневого центра сертифика отвечающего маршрутизатора.
Адреса за вызывающим или отвечающим маршрутизатором Х Б случае соединения по требованию, любой из сторон, проверь те, не ли оно как соединение доступа. Чтобы от вечающий маршрутизатор мог определить, что его вызывает а не клиент доступа, имя пользователя в удостоверениях го маршрутизатора должно совпадать с интерфейса соединения по бованию, сконфигурированного на отвечающем маршрутизаторе.
Если вызов поступил от маршрутизатора, порт, через который был принят должен находиться в состоянии Active (Активно), а соответствующий ин терфейс соединения по требованию Ч в состоянии Connected (Подключено).
Если имя вызывающего маршрутизатора появилось в папке Remote Access Clients удаленного доступа), значит, отвечающий маршрутизатор принимает его в качестве клиента удаленного доступа.
В случае инициируемых любой из сторон, любой может быть вызывающим или отвечающим. При этом имя пользователя в удос товерениях одного маршрутизатора должно совпадать с именем интерфейса со единения по требованию на другом Например, соединения, любой из могли бы работать в следующей конфигурации.
У маршрутизатора 1 имеется интерфейс соединения по с именем NEW-YORK, который передает в своих удостоверениях имя пользователя SEATTLE, а у маршрутизатора 2 Ч интерфейс по с име нем SEATTLE, который передает в своих имя пользователя NEW-YORK.
В этом примере имя пользователя SEATTLE может быть маршрутизатором 2, а имя пользователя Ч Х В случае соединения по требованию, инициируемого только одной из сторон, убедитесь, что в пользовательской записи вызывающего маршрутиза тора разрешены соответствующие статические маршруты и что на отвечающем маршрутизаторе работает какой-либо протокол маршрутизации, который после установления объявляет соседним маршрутизаторам статические из пользовательской вызывающего 8 210 ЧАСТЬ Х Убедитесь, что на обеих сторонах соединения по требованию имеются маршру ты, двусторонний обмен трафиком. В отличие от соединения удаленного доступа соединение но требованию не приводит к автоматическому созданию IP-маршрута по Так что на обеих сторонах соединения по требованию нужно создать маршруты, которые позволят пересылать трафик в любую сторону.
Х Убедитесь, что на внутренних маршрутизаторах и от вечающего маршрутизаторов имеются маршруты, обеспечивающие пересылку пакетов между хостами в Эти можно добавить на внут ренние маршрутизаторы как статические, либо просто разрешить использование какого-нибудь протокола маршрутизации на подключенных к интер фейсах вызывающего и отвечающего маршрутизаторов.
Х Проверьте, не установлены ли на интерфейсах соединений по требованию филь тры IP- или IPX-пакетов, препятствующие передаче нужного трафика.
Х Проверьте, не определены ли в профиле политики удаленного доступа на отве маршрутизаторе (или сервере RADIUS, если используется IAS) какие нибудь фильтры препятствующие передаче или приему TCP/ IP-трафика.
Автостатическое не работает Х В случае автостатических для IP убедитесь, что соответствующие соединений по на обоих маршрутизаторах добавлены к протоколу маршрутизации RIP, что его режим работы задан как update mode (Режим автостатического обновления), а протокол исходящих па кетов Ч как RIP version 2 multicast (Для RIP версии 2, Х В случае для IPX убедитесь, что соответствующие интерфейсы соединений по на обоих маршрутизаторах добавлены к протоколам маршрутизации RIP IPX и SAP IPX и что режим обновле ния для каждого из этих протоколов задан как Autostatic (Автостатический).
Средства диагностики С Windows 2000 поставляются средства диагностики, позволяющие собирать до полнительную информацию об источниках проблем с маршрутизацией.
Причина Если установить соединение по требованию не удается, интерфейс соединения по требованию остается в недостижимом состоянии. Маршрутизатор Windows регистрирует причину, по которой не удалось установить соединение, в параметре Unreachability (Причина недостижимости). Информация, указанная в этом параметре, поможет Вам локализовать источник проблемы.
Чтобы просмотреть причину недостижимости:
1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) щелкните правой кнопкой мыши нужный интерфейс соединения по требованию.
2. Выберите команду Unreachability reason (Причина недостижимости).
ГЛАВА б Маршрутизация с соединением по требованию 3. В диалоговом Routing and Remote Access (Маршрутизация и прочтите текст, поясняющий причину недостижимости и щелкните кнопку ОК.
Интерфейс по остается в состоянии по сле дующим причинам:
Х исчерпаны все порты, используемые интерфейсами соединений по Х служба маршрутизации и удаленного доступа приостановлена;
Х использование данного интерфейса по требованию Х исходящих звонков (вызовов) препятствует установлению соеди нения.
настройке интерфейса но требованию выбирается какой-либо порт.
Порт Ч это аппаратный или программный капал, представляющий одно ние типа Порты группируются по типам, порты аналого вых телефонных линий, ISDN-порты В-канала, (РРТР и L2TP).
Настраивая интерфейс соединения по требованию на определенный порт, Вы на страиваете его и на использование определенного типа портов, Если заданный порт в момент установления соединения, служба маршрутизации и ного доступа пытается задействовать другой порт того же типа. Например, у Вас два модема, и Вы настраиваете интерфейс соединения по требованию на использо вание конкретного модема. Если в момент по требованию этот модем занят, вызывающий автоматически задействует другой модем.
Оснастка Routing Access позволяет создавать любое число интерфей сов по требованию для портов определенного типа Ч независимо от реального количества таких портов в Так, несколько терфейсов, настроенных на использование одного и того же модемного порта. Если в инициации соединения требованию этот модем занят и других портов того типа нет, попытка закончится неудачей;
при этом стрирована причина недостижимости.
Протоколирование событий Протоколирование событий заключается в том, что они в ном журнале событий Windows 2000. Этот при и устранении проблем или для уведомления администраторов сетей о нео бычных событиях.
На вкладке Event logging (Журнал событий) свойств отвечающего маршру предлагается четыре уровня протоколирования. Выберите Log the maximum amount of information (Вести журнал всех событий) и повторите попытку Как только попытка закончится неудачей, проверьте, события были в системном при попытке Просмотрев события, на вкладке Event logging переключатель Log errors and warnings (Вести журнал ошибок и предупреждений).
Учет и через Windows Если Вы выбрали или учет Windows, служба ции и удаленного доступа может регистрировать и учетную 212 ЧАСТЬ 1 Маршрутизация информацию для соединений по требованию и доступа.
щие ведутся отдельно от системных журналов. Эта информация позволя ет отслеживать попытки а также использование соединений требованию и удаленного доступа. Она особенно полезна при устранении каких либо проблем с политикой удаленного доступа. Для каждой попытки аутентифи кации в журнал записывается имя политики удаленного доступа, благодаря кото рой запрос на соединение был или и учетная информация хранится в файле или файлах журна ла в папке Эти файлы записываются в формате IAS 1.0 или 2.0. Формат IAS 2.0 совместим с ODBC-форматом баз данных, и в этом случае любая работающая с базами может напрямую считывать файл журнала для анализа.
Вы можете указывать типы регистрируемой активности и настраивать параметры файлов журнала через свойства папки Remote Access Logging (Ведение журнала удаленного доступа) в оснастке Routing and Remote Access.
Network Monitor Network Monitor (Сетевой монитор) программа для захвата и их лиза, которая позволяет наблюдать за трафиком, передаваемым между маршрути заторами в процессе установления соединения но требованию. Network Monitor не анализирует сжатый или шифрованный трафик, передаваемый через соединения по Правильная трафика в процессе установления РРР-соединения с помощью Network Monitor требует протоколов РРР, описываемых в главе 7 удаленного в книге. захваченную Network Monitor, можно сохранить в виде файлов и послать в службу технической поддержки Microsoft для анализа.
Трассировка Средства трассировки записывают последовательность вызываемых функций в файл. Разрешите трассировки для записи информации о процессах, выполняемых при установлении соединения удаленного доступа или подключения по Закончив трассировку и просмотрев нуж ную информацию, параметрам трассировки исходные значения.
Трассировочная оказаться сложной и детальной. Часть ее полезна только инженерам службы поддержки Microsoft или сете вым администраторам, имеющим опыт работы со службой маршрутиза ции и удаленного доступа. Трассировочную информацию можно сохранить в виде файлов и послать в службу технической поддержки Microsoft для анализа.
о трассировке РРР см. главу 7 удаленного доступа в этой книге.
Удаленный доступ Поддержка доступа по коммутируемым линиям, частных сетей, централизованной аутентификации, авторизации и учета с применением позволяет создавать защищенные и масштабируемые решения но удаленному доступу. В этой части подробно удаленного доступа, поддерживаемые службой маршрутизации и удаленного доступа Windows 2000, а также службой проверки в Интернете (IAS).
В этой части Сервер доступа Служба проверки подлинности в Интернете Виртуальные частные сети Сервер удаленного доступа Windows 2000 поддерживает технологии удаленного доступа для подключения уда ленных клиентов к корпоративным сетям или Интернету. Здесь поясняется, как работает сервер доступа и как локализовать возни кающих при удаленном доступе.
Эта глава предназначена для сетевых инженеров и специалистов по технической поддержке, уже знакомых с TCP/IP, IP- и IPX-маршрутизацией, а также с техно логиями WAN. Кроме того, предполагается, что Вы прочитали раздел по удаленно му доступу в справочной системе Windows 2000 Server.
В этой главе Обзор Архитектура сервера удаленного доступа РРР аутентификации Удаленный доступ и настройка TCP/IP и IPX Политика удаленного доступа и ВАР Сервер удаленного доступа и поддержка групповой IP-рассылки и устранение проблем См. также Х О протоколах TCP/IP Ч главу 1 Введение в в книге Сети TCP/IP из серии Ресурсы Microsoft Windows 2000 Server.
Х Об IP-маршрутизации Ч главу ция в этой книге.
Х Об IPX-маршрутизации Ч главу 5 в этой книге.
Х О маршрутизации с соединением но требованию Ч главу 6 Маршрутизация с по в этой книге.
ГЛАВА 7 Сервер удаленного доступа Х О частных сетях Ч 9 частные в этой книге.
В этой главе различные параметры и разделы реестра Windows 2000. Более подробную о них см. в документации Reference to the Windows 2000 Registry на компакт-диске Ресурсы Microsoft Windows 2000 Server.
Обзор Средства удаленного доступа Windows 2000 клиенту удаленного досту па к серверу доступа, а через него автоматически няться с сервером удаленного доступа типа точка-точка) или дить в сеть, связанную с сервером (соединение удаленного ступа типа Такая дает возможность кли ентам удаленного доступа входить в из разных мест и работать с ее так, будто они физически подключены к сети.
При удаленного доступа средствами Windows 2000 два типа соединений.
Х Удаленный доступ по коммутируемым линиям (dial-up remote access). Кли ент удаленного доступа использует инфраструктуру для создания временной физической или цепи, связывающей его с портом сервера удаленного доступа. После создания физической или виртуаль цепи могут быть согласованы необходимые параметры соединения.
Х Удаленный доступ через VPN (virtual private network remote access).
клиент создает в межсетевой IP-среде виртуальное подключение типа точка точка с сервером удаленного доступа, выступающего в роли VPN-сервера. Пос ле установления виртуального подключения типа точка-точка могут быть со гласованы необходимые параметры соединения.
Примечание Эта глава в основном удаленному доступу по коммутируе мым линиям, но многие из изложенных здесь материалов применимы и к удален ному доступу через VPN. Для более полного понимания виртуальных частных се тей прочтите сначала эту главу, а затем главу 9 Виртуальные частные сети.
Удаленный доступ и удаленное управление Различия между сервером удаленного доступа и средствами управле ния заключаются следующем.
Х Сервер доступа Ч многопротокольный маршрути затор, тогда как средства управление раном, клавиатурой и мышью по каналу связи.
Х При удаленном доступе приложения запускаются на клиентском при управлении Ч на сервере.
Х Средства управления приводят к тому, что делят ду собой один или несколько процессоров на сервере. Однако процессор 216 ЧАСТЬ 2 Удаленный доступ ра удаленного исключительно для поддержки ствия между и сетевыми ресурсами.
Компоненты, участвующие в соединении по коммутируемой линии В соединении удаленного доступа по коммутируемой линии участвуют клиент уда доступа, сервер и инфраструктура WAN (рис. 7-1).
удаленного доступа Инфраструктура WAN Клиент удаленного доступа Рис. 7-1. Компоненты, участвующие в соединении по коммутируемой линии Клиент удаленного доступа К серверу удаленного доступа 2000 могут подключаться клиенты удален ного доступа Windows 2000, Windows и выше, Windows 95, Windows 98, Windows tor Workgroups, MS-DOS и LAN Manager, а также почти все кли енты удаленного доступа от поставщиков, протоколы РРР, в том числе клиенты UNIX и Macintosh, Сервер удаленного доступа Сервер удаленного доступа Windows 2000 принимает запросы на по коммутируемым линиям и пересылает пакеты между удаленными клиентами и се тью, к которой подключен сервер удаленного доступа.
Примечание В этой главе термином удаленного обозначается ком пьютер, который работает под управлением Windows 2000 Server со службой марш и удаленного доступа и настроен на удаленного доступа.
Телефонное оборудование и инфраструктура WAN Физическое или логическое соединение между сервером и клиентом доступа обеспечивается телефонным па клиентском компьютере, и инфраструктурой. Состав оборудования и инфраструктура от тина устанавливаемых соеди PSTN Коммутируемая телефонная сеть общего (Public Switched Network, PSTN), также POTS (Plain Old Telephone Ч анало ГЛАВА 7 Сервер удаленного доступа телефонная система, рассчитанная на передачу минимальной полосы частот, для восприятия речи. Так как PSTN не пред для передачи PSTN существенно ограничи вает скорость битов. оборудование состоит из модемов, на клиенте и сервере доступа. В крупных орга низациях сервер удаленного доступа подключен к модемному пулу, содержащему сотни модемов. При модемов на и сервере уда ленного доступа максимально возможная скорость на PSTN 33600 бит/с (33,6 Кбит/с).
Соединение PSTN рис. 7-2.
Сервер удаленного доступа Модем Клиент PSTN удаленного доступа Интрасеть Рис. 7-2. Телефонное оборудование и инфраструктура WAN для связи через PSTN Цифровые линии и Максимальная скорость передачи через PSTN ограничивается полосой ния коммутаторов PSTN и сигнал/шум. Современные телефонные системы аналоговыми только на последнем отрезке, соединяющем або нента с Как только сигнал попадает на коммутатор PSTN, он пре образуется в цифровой сигнал. При аналогово-цифровом появля ется шум, известный как шум (quantization noise).
Если сервер удаленного доступа к АТС через цифровой или ISDN, а не через аналоговый то при отправке ин формации от сервера клиенту удаленного доступа преобра не происходит. Таким образом, на пути к клиенту удаленного доступа шум квантизации что более высокое сигнал/шум и более высокую скорость передачи Благодаря этой повой названной клиент удаленного доступа пе редает данные па скорости 33,6 Кбит/с, а принимает Ч на скорости 56 Кбит/с. Од нако па максимальная приема данных напри мер в Северной она не превышает 53 Кбит/с.
Чтобы достичь скоростей протокола Х клиент удаленного доступа должен использовать модем с поддержкой протоко ла Х сервер удаленного доступа должен использовать коммутатор и подключаться к PSTN по линии типа или ISDN;
Х на пути от сервера доступа к клиенту не должно никаких преобразований сигнала.
218 ЧАСТЬ 2 Удаленный доступ Соединение через PSTN но технологии показано на рис. 7-3.
- Линия T-Carrier или ISDN Сервер удаленного доступа Клиент Модем удаленного доступа Интрасеть Рис. 7-3. Телефонное оборудование и инфраструктура WAN для связи по технологии ISDN ISDN (Integrated Services Digital Network) Ч международных определяющих цифровой PSTN, который обеспечивает передачу рече вых сигналов, данных, факс-сообщений и предоставляет другие сервисы с исполь зованием существующей у телефонной проводки. ISDN работает, как обычная аналоговая телефонная линия, с тем исключением, что эта сеть на технологии, поддерживающей более высокие скорости дан ных и меньшее время ISDN предоставляет несколько каналов, каждый из которых функционирует па скорости 64 а поскольку эта сеть полностью цифровая, преобразований в ней нет.
Телефонное оборудование состоит из ISDN-адаптеров и сервера удаленно го доступа. Клиенты удаленного доступа обычно используют Basic Rate ISDN с каналами;
в крупных организациях часто применяется Primary Rate ISDN (PRI) с 23 каналами по 64 Кбит/с.
ISDN-соединение на рис. 7-4.
удаленного доступа Клиент ISDN удаленного адаптер доступа Рис. 7-4. Телефонное оборудование и инфраструктура WAN для связи через ISDN Ч международный стандарт передачи данных по общедоступным сетям с ком мутацией пакетов. В Windows 2000 предусмотрено два варианта поддержки Х.25.
1. Клиент удаленного доступа так называемые интеллектуальные платы Х.25 (Х.25 smart cards), напрямую подключаемые к сети Х.25 и ГЛАВА 7 Сервер удаленного доступа протокол для установления соединений и обмена данными. Кроме того, клиенты удаленного доступа непрямое подключение к сети Х.25 через устройство сборки/разборки пакетов (packet PAD) среды Х.25 с применением модема.
2. Сервер удаленного поддерживает только платы Подробнее о настройке Х.25 и PAD см. справочную систему Windows 2000 Server.
Примечание Интеллектуальные платы Х.25 Ч это которые используют протокол Х.25 и напрямую подключаются к общедоступной сети данных Х.25. Эти платы не имеют ничего общего со смарт-картами, применяемыми для аутентифи подлинности) и организации защищенного канала связи.
через Х.25 показано на рис. 7-5.
PAD Сервер удаленного удаленного доступа доступа Х.25 Интеллектуаль ная плата Х.25 ная плата Х. Рис. 7-5. Телефонное оборудование и инфраструктура WAN для связи через Х. ATM поверх ADSL ADSL (Asymmetric Digital Subscriber Line) Ч новая технология последней ми;
предназначенная для малого бизнеса и домашних пользователей. Хотя ADSL обес более высокую скорость передачи данных по сравнению с PSTN и ISDN, входящие и исходящие неравноценны. Обычно ADSL-соединения от абонента работают на скорости 64 Кбит/с, а к абоненту Ч на скорости 1,544 Мбит/с.
Такая асимметричность оптимальна для обычного использования Интернета, по скольку основная часть пользователей принимает информации гораздо больше, чем Windows 2000 воспринимает аппаратные средства ADSL либо как Ethernet-интер фейс, либо как интерфейс удаленного доступа по коммутируемой линии.
ADSL-адаптер распознается как Ethernet-интерфейс, ADSL-соединение работает так же, как к Интернету.
220 ЧАСТЬ 2 Удаленный доступ Если ADSL-адаптер распознается как интерфейс удаленного доступа по коммути руемой линии, то ADSL обеспечивает физическое соединение, а пакеты LAN-про токолов посылаются с ATM (Asynchronous Transfer Mode). Адап тер ATM с портом ADSL устанавливается как па клиенте удаленного так и на сервере удаленного доступа.
через ATM поверх ADSL показано на рис. 7-6.
Клиент Сервер удаленного удаленного доступа Адаптер ATM Интрасеть Рис. 7-6. Телефонное оборудование и инфраструктура WAN для связи через ATM поверх ADSL Протоколы удаленного Протоколы доступа управляют установлением соединения и передачей по WAN-каналам. Выбор протокола на клиентском ком пьютере тем, какая операционная система и какие уста на клиенте и сервере удаленного доступа.
Существует три типа протоколов удаленного доступа, поддерживаемых Win dows 2000.
1. РРР Protocol) Ч набор протоколов, обеспечиваю максимальную защиту, поддержку множества протоколов и взаимодействие с другими системами.
2. SLIP (Serial Line Internet Protocol) используется на устаревших версиях серве ров удаленного доступа.
3. Microsoft (также Asynchronous NetBEUI, или протокол удаленного доступа, используемый унаследованными системами например Windows NT 3.1, Windows for Workgroups, и LAN Manager.
Протоколы удаленного и их применение в Windows 2000 показаны в таб лице Таблица 7-1. Протоколы удаленного доступа и их применение в Windows доступа Сервер доступа РРР X X X X X ГЛАВА 7 Сервер удаленного доступа LAN-протоколы протоколы, используемые клиентом удаленного доступа для обращения к сурсам в к которой сервер удаленного доступа. Средства удален доступа в Windows 2000 TCP/IP, IPX, и (см. раздел Удаленный доступ и TCP/IP и IPX далее в этой главе).
Элементы защиты удаленного доступа клиент удаленного доступа бесшовно подключается к сети и содержа щимся в ней конфиденциальным при удаленном доступе важно обес печить Windows 2000 предусматривает самые разнообразные защиты, в том числе защищенную пользователей, ную аутентификацию (клиента и сервера), шифрование данных, ответный вызов и звонящего.
Защищенная аутентификация пользователей пользователей достигается за счет рениями пользователей в виде и ется РРР в сочетании с одним из протоколов аутентификации: ЕАР (Extensible Protocol), MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) версий 1 и 2, CHAP Handshake Protocol) или SPAP (Shiva Password Authentication Protocol). Сервер удаленного доступа настроить так, чтобы требовал аутентификации.
клиент доступа не в состоянии выполнить это требование, его запрос на отклоняется.
Взаимная аутентификация При взаимной каждая из сторон аутентифицирует другую, обмениваясь в зашифрованном Такая поддерживается РРР в сочетании с протоколом аутентифи Level Security) или MS-CHAP версии 2. В се клиент доступа подтверждает свою под серверу удаленного доступа, а тот Ч клиенту.
Сервер доступа может требовать аутентификации удален ного доступа. Однако клиент доступа Windows 2000 настраивается толь ко под протокол MS-CHAP версии 2 или EAP-TLS и требует взаимной аутентифи кации и сервера. Если сервер удаленного доступа ответит на запрос о аутентификации, клиент закроет соединение.
Шифрование данных шифрование информации, передаваемой клиентом и сервером удаленного доступа. При этом шифруются только на пути между клиентом и сервером. Если Вам нужно шифровать па всем кути их передачи, то после физического соединения удаленного доступа логическое соединение на Примечание IPSec также используется для шифрования на ве (см. главу 9 Виртуальные частные сети в этой книге).
222 ЧДСТЬ 2 Удаленный доступ Шифрование данных при соединениях удаленного доступа основано на примене нии секретного ключа, известного серверу и Этот об щий ключ генерируется в процессе аутентификации Шифрование возможно при удаленном коммутируемым лини ям с использованием РРР и протоколов или MS-CHAP.
Сервер удаленного доступа может требовать обязательного шифрования Если клиент не способен обеспечить шифрование, его запрос на соединение откло няется.
Клиенты и серверы удаленного доступа под управлением Windows 2000, dows NT Windows 98 и Windows 95 поддерживают шифрование по МРРЕ (Mic rosoft Encryption Protocol). использует алгоритм RSA RC4 и шифровальные ключи длиной 40, 56 или 128 битов. Клю чи МРРЕ генерируются в аутентификации пользователя по MS-CHAP или EAP-TLS.
Ответный вызов Если функция ответного вызова включена, то после пользовательских удостоверений сервер удаленного доступа перезванивает клиенту. Ответный вызов можно настроить так, чтобы сервер звонил клиенту по номеру, указываемому при первом вызове (это удобно мобильным пользователям). Однако эту функцию мож но настроить на ответный вызов только по одному что обеспечивает допол нительную защиту.
Идентификация звонящего Эта функция гарантирует, что входящий вызов поступил с определенного номера.
Она настраивается в параметрах входящих звонков в свойствах пользовательской учетной записи. Если номер звонящего не совпадает с заданным, запрос на соеди нение отклоняется.
Применение этой функции возможно лишь при условии, что зво поддерживают все необходимые компоненты Ч телефонная линия звоня щего, телефонная телефонная линия сервера удаленного доступа и драй веры телефонного оборудования. Если учетная запись сконфигурирована на ис пользование звонящего, но его идентификатор не передается от звонящего в службу и удаленного доступа, запрос на Идентификация позволяет достичь более высокого уровня защиты се тей, поддерживающих удаленный доступ. Ее недостаток в том, что может звонить только по одной линии.
Блокировка учетной записи удаленного доступа Эта функция указать число неудачных попыток аутентификации по дей ствующей учетной записи как пользователю будет отказано в удален ном доступе. Блокировка учетных записей удаленного доступа особенно важна при VPN-соединениях через Интернет. из могут таться получить доступ в интрасеть организации через VPN-соединение, последо вательно с правильным именем пользователя и ГЛАВА 7 Сервер удаленного доступа паролем. При этом посылаются сотни или тысячи в которые подставляются пароли из списка, основанного на наборе наиболее часто употреб ляемых слов и выражений. Такая атака называется (dictionary attack).
Функция блокировки учетных записей удаленного доступа пресекает по пытки словарных атак.
Однако она не различает злоумышленника и настоящего пользователя, который пытается войти в сеть, но забыл свой пароль. Такие обычно пробуют несколько вариантов, пытаясь вспомнить правильный пароль, и Ч в зависимости от числа попыток и значения параметра Ч могут нечаянно заблокиро вать свою учетную запись.
При включенной функции блокировки учетных записей удаленного доступа умышленник может намеренно блокировать записи, вводя пароли до тех пор, пока эти записи не и самым не давая ящим пользователям войти в свою сеть.
Как администратор сети, Вы должны принять решение о том, как настроить два параметра, работу функции блокировки учетных записей удаленно го доступа.
1. Число неудачных попыток до блокировки.
После каждой неудачной попытки счетчик таких попыток для увеличивается на 1. Как только он достигает заданного максимума, дальнейшие попытки соединения игнорируются, Если аутентификация проходит успешно, пока счетчик неудачных попыток не достиг максимального значения, этот счетчик сбрасывается. Иначе говоря, чис ло неудачных попыток не аккумулируется после успешной 2. Частота сброса счетчика неудачных попыток.
Во избежание ложного срабатывания блокировки из-за ошибок поль зователей при вводе паролей Вам следует сбрасывать не удачных попыток.
Функция блокировки учетных записей удаленного доступа настраивается через реестр на том компьютере, который Если сервер удаленного доступа сконфигурирован на аутентификацию через Windows, кации требует реестр на этом сервере. А если он настроен на аутентификацию че рез RADIUS и использует Internet Service (IAS) (Служба проверки подлинности в Интернете), Вы должны внести нужные в реестр на сер вере Для блокировки учетных записей присвойте параметру Max Denials в разделе реестра Lockout равное или большее 1.
Значение MaxDenials по умолчанию Ч 0 (функция блокировки учетных отключена).
Для изменения периодичности сброса счетчика неудачных попыток присвойте па раметру ResetTime в разделе реестра в минутах. Значение ResetTime по умолчанию Ч (2880 минут, или 224 ЧАСТЬ 2 доступ вручную разблокировать учетную запись, не дожидаясь автоматического сброса счетчика неудачных попыток, удалите из реестра следующий подраздел, со ответствующий имени по этой учетной записи:
Примечание Функция блокировки учетных удаленного доступа не с флажком Account locked out (Отключить учетную запись) на вкладке General (Общие) свойств пользовательской учетной записи и не имеет никакого от ношения к управлению политиками блокировки учетных записей через Windows 2000.
Управление удаленным доступом Вы должны продумать следующие Где хранить учетные данные пользователей?
Х Как назначать адреса клиентам удаленного доступа?
Х Кому разрешить создавать соединения удаленного доступа?
Х Как сервер удаленного доступа будет пользователя, пытаю щегося установить соединение?
Х Как сервер удаленного доступа будет регистрировать активность, с удаленным доступом?
Х Как реализовать управление сервером удаленного доступа на основе ных протоколов управления сетью и имеющейся Управление С точки зрения администрирования, создать несколько учетных записей для одно го и того же пользователя на разных серверах и пытаться постоянно поддерживать актуальность всех записей нереально. Поэтому большинство ад министраторов создают главную базу учетных на первичном кон троллере домена (PDC) или на сервере RADIUS. Это позволяет централизовать аутентификацию пользователей;
сервер удаленного доступа просто пе ресылает их соответствующему серверу для проверки.
Управление адресами Б случае РРР-соединений информация об ТР-, IPX- и предостав ляется удаленного доступа в процессе установления соединения. Сервер удаленного доступа Windows 2000 быть настроен на назначение IP-адресов, номеров IPX-сетей и а также сетей и узлов.
о выделении IP- и IPX-адресов см. раздел Удаленный доступ и на стройка TCP/IP и IPX далее в этой главе.
Управление В Windows XT версий и 4.0 основывалась на простом параметре Grant dial-in permission to user в Manager или утилите Remote Access Admin.
Параметры ответного настраивались отдельно для каждого пользователя.
ГЛАВА 7 удаленного доступа В Windows 2000 авторизация осуществляется на основе параметров входящих ков в свойствах пользовательской записи и политики доступа.
Политика удаленного доступа Ч это условий и параметров, позволяющий администраторам сетей более гибко управлять авторизацией при попытках соединения. На основе этой политики служба и ного доступа и служба IAS в Windows 2000 принять или отклонить на соединение. Подробнее о политике удаленного доступа см. главу 8 Служба про верки в в этой книге.
Таким право на удаленный доступ можно предоставлять как иа индиви дуальной основе (в учетных записях конкретных так и через поли тику удаленного доступа.
Доступ на основе параметров учетной записи Доступ на основе учетной записи является шейся в Windows NT версий и 4.0. В Windows 2000, если Вы хотите управлять отдельно для каждого пользователя, в их учетных записей разрешение на удаленный как Allow access (Разрешить доступ) и измените свойства профиля политики удаленного доступа по называемой Allow access if dial-in permission is enabled доступ, гели разрешены входящие подключения).
Если сервер удаленного обслуживает только подключения по мым линиям и не VPN-соединения, удалите политику удаленного доступа по умолчанию и создайте новую политику с подходящим мер Dial-up remote access if dial-in permission is enabled.
В примера типичных настроек удаленного доступа по коммутируемым линиям выберите в свойствах удаленного переключатель Deny remote access permission (Отказать в нраве доступа), а условия и па раметры профиля установите, как показано в таблицах 7-2 и 7-3. о на стройке этих параметров ем. справочную систему Windows 2000 Server.
Таблица 7-2. Условия политики удаленного доступа для по коммутируемой линии на основе параметров учетной записи Условие Настройки Выберите все типы, кроме Virtual (VPN) 7-3. Параметры профиля политики удаленного доступа для подключения по коммутируемой линии на основе параметров учетной в окне профиля Настройки Authentication Установите флажки Microsoft encrypted authentication version (Проверка (MS-CHAP v2) проверка (Microsoft, версия 2, подлинности) MS-CHAP и Microsoft encrypted authentication проверка подлинности Microsoft Доступ на основе политики модель доступа на основе политики для удаленного доступа Windows 2000 Ч как автономных, так и входящих в Windows 2000 основного Для управления удаленным доступом на 226 ЧАСТЬ 2 Удаленный доступ политик укажите разрешение удаленного доступа во всех учетных записях пользо вателей как Control access through Remote Access Policy (Управление на основе политики удаленного доступа). Далее определите новые политики удаленного дос тупа, или запрещающие доступ в зависимости от Ваших потребнос тей. Если сервер удаленного доступа входит в домен Windows NT 4.0 или в домен Windows 2000 смешанного режима и Вы хотите управлять удаленным доступом на основе политик, укажите разрешение удаленного доступа во всех учетных записях пользователей как Allow access доступ). Затем удалите политику по умолчанию Allow access if dial-in permission is enabled (Разрешить доступ, если разрешены входящие подключения) и создайте новые политики, разрешающие или запрещающие доступ. Запрос на соединение, не условиям ни одной из политик, даже если разрешение доступа в учетной записи пользователя указано как Allow access.
Обычно доступ на основе политики применяется для того, чтобы разрешать доступ в зависимости от принадлежности пользователей к той или иной группе. Напри мер, создайте группу Windows 2000 с именем членам которой будет разрешено устанавливать соединения удаленного Чтобы сервер поддерживал удаленный только по коммутируемым удалите политику по умолчанию Allow access if dial-in permission is enabled и со здайте новую политику с подходящим именем, например Dial-up access if member of DialUpUsers group.
В качестве примера типичных настроек доступа по коммутируемым линиям только для группы выберите в свойствах политики удаленного доступа переключатель Grant remote access permission (Предоставить право удаленного доступа), а условия и параметры профиля установите, как пока зано в таблицах 7-4 и 7-5. Подробнее о настройке этих параметров см. справочную систему Windows 2000 Server.
Таблица 7-4. Условия политики удаленного доступа для подключения по коммутируемой линии на основе политики Условия Выберите все типы, кроме Virtual (VPN) (VPN)j Windows-Groups DialUpUsers (пример имени группы) Таблица 7-5. Параметры профиля политики удаленного доступа для подключения по коммутируемой линии на основе политики Вкладка в окне Настройки Authentication Установите флажки Microsoft encrypted authentication version (Проверка (MS-CHAP v2) [Шифрованная проверка (Microsoft, версия 2, подлинности) MS-CHAP и Microsoft encrypted authentication (MS-CHAP) [Шифрованная проверка подлинности Microsoft Управление аутентификацией Сервер можно на поддержку аутентификации через Windows или ГЛАВА 7 Сервер удаленного доступа Аутентификация Если в качестве провайдера аутентификации Windows, пользователей, пытающихся соединение, проверяются обычными сред ствами Windows.
Если сервер доступа входит в домен Windows 2000 основного или сме режима и настроен на аутентификацию через Windows, учетная этого сервера должна быть включена в группу безопасности RAS IAS Servers (Серверы RAS и IAS). Эта выполняется администратором домена в оснастке Active Directory Users and Groups (Active Directory - пользова тели и группы) или командой netsh ras add registeredserver до служ бы маршрутизации и удаленного доступа. Если пользователь, активизируют службу и доступа, является администратором автоматически добавляется в RAS Servers.
Аутентификация через RADIUS Если в провайдера аутентификации выбрана служба RADIUS, рения и параметры запросов на соединения посылаются на сервер RADIUS (компьютер под управлением Windows 2000 Server с установленной бой IAS) как серия RADIUS-запросов.
Сервер RADIUS получает запрос пользователя на соединение от сервера удален ного доступа и аутентифицирует его на основе базы учетных записей. На сервере RADIUS могут централизованно храниться и другие о пользователях. Сервер RADIUS может не просто или нет на зап рос о соединении, но и предоставить серверу доступа информацию о параметрах соединения для пользователя, например о максимальной должительности статическом IP-адресе и т. д.
Сервер RADIUS может не только отвечать на запросы на собственной базы данных, по и выступать в роли клиентского интерфейса другого сервера базы дан ных, например универсального сервера ODBC Database Connectivity) пли контроллера домена под управлением Windows 2000. Последний может находиться как на машине, где установлен сервер RADIUS, так и на другом ютере. Кроме того, сервер RADIUS способен работать как для уда сервера RADIUS.
Протокол RADIUS описан в RFC 2138 и 2139. Подробнее о вариантах при удаленном доступе и о сервера удаленного в качестве клиента RADIUS см. справочную систему Windows 2000 Server;
подроб нее о службе IAS см. главу 8 Служба проверки подлинности в Интернете в этой книге.
Примечание Служба маршрутизации и удаленного доступа (если настроена па аутентификацию через Windows) и IAS используют один и тот процесс для аутентификации и авторизации входящих запросов на соединение. Более подроб ную информацию см. в главе 8 проверки подлинности в в этой книге.
228 ЧАСТЬ 2 Удаленный доступ Управление учетом В качестве службы учета сервер удаленного доступа может использовать Windows или RADIUS. В случае учетная информация в файл на сервере удаленного доступа, а во сообщения с учетной информацией поступают на сервер RADIUS, где и хранятся для серверов RADIUS так, чтобы они записывали в файл учетной о на Существует (посылаемых сервером удаленного доступа на сервер RADIUS), в начале или в сеанса свя зи, а также через определенные в сеанса. Сторонними разработ чиками программное для и аудита, которое считы вает записи с учетной информацией RADIUS и генерирует отчеты в различных формах.
Управление сетью Если на компьютер с Windows 2000, работающий в качестве сервера удаленного доступа, установить службу сможет действовать в среде (Simple Management Protocol) как агент SNMP. удаленного доступа регис трирует управляющую информацию в различных идентификаторах объектов MIB II (Management Information Base), которые со службой SNMP.
Объекты MIB II в 1213.
Архитектура сервера удаленного доступа Архитектура сервера удаленного доступа следующие элементы (рис. 7-7).
Х Оболочку NDTS, Ndis.sys, пакетов для TCP/IP, IPX, NetBEUI и Х Драйвер Ч предостав ляющий интерфейс 802.3 для драйверов протоколов и интер фейс для WAN. NDISWAN обеспечивает раз биение на кадры, сжатие и шифрование для соединений до ступа.
Х WAN Ч NDIS, ный код, необходимый Чтобы можно было использовать адаптер, поддерживающий WAN-среду, например или ATM, в сочетании со средствами доступа Windows 2000, адаптера должен написать соответствующий минипорт-драйвер WAN.
Х Компоненты доступа Ч библиотек, предоставляющих про граммный RAS (Remote Access Service) приложениям, протоколам РРР и т. д. доступа могут взаимодействовать с драйве ром NDISWAN напрямую или через API).
Х Компоненты Ч набор программный интер фейс вызовами для всех приложений, которые поддерживают TAPI.
Управляя соединениями, TAPI взаимодействуют с драйвером ГЛАВА 7 Сервер доступа Подробнее о TAPI в см. главу 15 Интег рация телефонии и конференций в этой книге.
Компоненты доступа WAN Рис. 7-7. Архитектура удаленного доступа в Windows Клиенты удаленного доступа устанавливают соединение который в свою очередь обращается к для передачи информации о телефонному После установления интер фейс TAPI далее не используется. доступа па раметры (протоколы канального и ния напрямую взаимодействуя с Как только удаленного доступа установлено, драйверы мо гут по этому соединению, вызывая стандартные например При соединениях по коммутируемой линии вызовы Ndis пересылаются NDISWAN, который определяет нужное устройство и сжатие, шифрование и на кадры для РРР, а затем готовый кадр WAN. пересылает кадр адаптеру уда ленного доступа.
Все входящие для обращения к удаленного доступа, представляются одним адаптером Ч интерфейсом сервера Для каждого исходящего с удаленного доступа, иницииро сервером, создается отдельный интерфейс.
Для приема вызовов сервер удаленного командует всем минипорт-драй верам WAN уведомлять его об их переходе в state).
При WAN передает перехода в со стояние подключения TAPI NDISWAN. TAPI воз вращают драйверу NDISWAN для последующей ссылки на соединение. Затем NDISWAN и компоненты удаленного доступа согласуют остальные удаленного доступа.
IPX- и AppleTalk-маршрутизатор Установив соединение удаленного доступа, посылать трафик по LAN-протоколам на сервер удаленного доступа или в сети, находящиеся за сервером. Если данные адресованы не серверу удаленного доступа, дол 230 ЧАСТЬ 2 доступ жен переслать LAN-трафик в место Для этого на сервере должны быть включены средства пересылки по используемым маршрутизируемым протоколам, и он должен работать в качестве IPX- и AppleTalk-маршрутизатора.
Пересылка между и и интерфейсом WAN тре бует включения службы маршрутизации и удаленного доступа и ее настройки на поддержку соединений удаленного доступа типа Элементы архитектуры сервера удаленного необходимые для маршрути зации пакетов, иллюстрирует рис. 7-8. (Для упрощения схемы показана только IP IPX- и осуществляется аналогичным образом.) IPX TCP/IP Минипорт-драйвер LAN WAN Рис. 7-8. IP-маршрутизация на сервере удаленного доступа Пакеты от клиентов удаленного доступа IP-пакеты, отправленные клиентом удаленного доступа, пересылаются удаленного доступа образом.
1. В зависимости от технологии удаленного доступа весь РРР-кадр или его отдель ные биты принимаются аппаратными средствами WAN и передаются соответ ствующему WAN.
2. Минипорт-драйвер WAN передаст РРР-кадр драйверу 3. проверяет контрольную сумму РРР и по идентификатору РРР-про токола определяет, что это IP-дейтаграмма. Подробнее о РРР см. раздел далее в этой главе.
4. IP-дейтаграмма передается драйверу 5. Драйвер который поддерживает IP-пакетов, оп ределяет интерфейс пересылки и IP-адрес на основе IP-адреса получателя в IP дейтаграмме и своей таблицы маршрутизации.
6. Для пересылки IP-дейтаграммы через LAN-адаптер TCP/IP вызывает NDIS че рез. инструктируя функцию переслать IP-дейтаграмму через LAN-адаптер, ГЛАВА 7 Сервер удаленного доступа 7. NDIS пересылает IP-дейтаграмму соответствующему минипорт-драйверу 8. LAN пересылает LAN-адаптеру через NDIS.
В результате пакеты от клиента удаленного стандартным для IP-маршрутизации образом. Успешность пересылки зависит от най дет ли сервер удаленного доступа запись в своей таблице IP-маршру тизации. Таким образом, сервер удаленного доступа либо настраивается на зование основного шлюза, либо на нем хранятся специфические маршруты ко всем адресам в к которой он подключен. Нужные добавляются как статические, или же на сервере доступа разрешается применение го из протоколов Пакеты к клиентам удаленного доступа IP-пакеты, отправленные хостами интрасети клиенту удаленного доступа, пересы лаются сервером удаленного доступа следующим образом.
1. передает кадр соответствующему LAN через NDIS. Подробное того, как IP-дейтаграмма пересылается на сервера удаленного доступа, см. в следующем разделе.
2. LAN передает драйверу через NDIS.
3. Драйвер а, который поддерживает пересылку IP-пакетов, оп пересылки и IP-адрес на IP-адреса получателя IP дейтаграмме и своей таблицы маршрутизации. При подключении уда ленного доступа в таблице создается запись о маршруте к хосту для IP-адреса, клиенту доступа, и эта запись ет на сервера RAS.
4. Для через WAN-адаптер TCP/IP инструктируя ее переслать IP-дейтаграмму с нием NDISWAN и конкретного соединения.
5. NDISWAN находит по описателю соединения конкретное устройство и добавляет и концевую часть, а IP-дейтаграм му минипорт-драйверу через ND1S, 6. Минипорт-драйвер WAN пересылает IP-дейтаграмму WAN-адаптеру через В результате пакеты от хостов интрасети пересылаются стандартным для образом. Успешность пересылки IP-пакетов зависит от того, достижимы ли IP-адреса клиентов доступа с хостов интрасети.
Выделение из диапазона внутри или вне подсети Конкретный механизм разрешения LAN-интерфейса сервера удален ного доступа IP-узлом подсети, к которой подключен этот сервер, зависит от соба адресов сервером удаленного доступа.
Х Выделение адресов из диапазона внутри подсети addressing). Кли енты удаленного доступа получают из для подсети, к которой подключен сервер доступа. В этом случае исполь зуется подмножество адресов подсети сервера.
232 ЧДСТЬ 2 Удаленный доступ Х Выделение адресов из диапазона вне подсети (off-subnet addressing). Клиен ты удаленного доступа получают не диапазона, определенного для к которой подключен удаленного а из адресного про подсети), уникального для Выделение адресов из диапазона внутри подсети и Proxy ARP Если адреса выделяются из диапазона внутри подсети, клиенты удаленного досту па логически находятся в той же что и удаленного доступа. Для приема IP-дейтаграмм и их пересылки клиентам удаленного доступа сервер исполь зует Proxy ARP.
Proxy ARP применяется в двух случаях.
1. Сервер удаленного сконфигурирован на получение выделя емых клиентам от DHCP.
2. Сервер доступа на использование пула IP подмножеством адресов к которой подключен этот сервер.
В обоих случаях доступа логически находятся в той же подсе ти, что и сервер удаленного доступа. Следовательно, IP-узлы в этой подсети, сылающие IP-дейтаграммы клиенту доступа, выполняют прямую дос тавку, посылая широковещательный кадр ARP-запроса об IP-адресе клиента уда ленного доступа.
Клиент удаленного доступа не может ARP-запрос, так как сервер уда доступа не пересылает ему кадры ARP-запросов. Кроме того, у клиента нет соответствующего соединения удаленного доступа.
В связи с этим сервер удаленного доступа сам посылает кадр в кото ром указывает собственный и IP-узел пересылает IP-дейтаграмму, ад ресованную доступа, сервера. После этого сер вер доступа пересылает IP-дейтаграмму клиенту доступа через соединение по коммутируемой используя IP маршрутизации.
Выделение адресов из диапазона вне подсети и IP-маршрутизация Если адреса выделяются из диапазона вне клиенты удаленного доступа логически находятся в отдельной через сервер доступа. В этом случае Proxy ARP не применяется. Сервер удаленного доступа вы ступает в роли маршрутизатора между подсетью клиентов доступа и к которым он подключен. IP-узлы в подключенных к серверу доступа, пересылают IP-дейтаграммы методом непря мой доставки, посылая широковещательный кадр ARP-запроса об IP-адресе не кли ента, а сервера удаленного доступа.
Чтобы удаленные клиенты были достижимы с IP-узлов интрасети, на маршрутиза торах интрасети должны быть маршруты, которые представляют диапазоны пула IP-адресов (выделяемых клиентам) и указывают на LAN-интерфейс сервера уда доступа.
ГЛАВА 7 Сервер удаленного доступа При клиента удаленного доступа в таблицу ции сервера удаленного доступа добавляются маршруты, соответствующие зонам подсети и на интерфейс этого сервера. Если сер вер доступа какой-нибудь протокол он объявляет о новых маршрутах соседним Если же сервер удален ного доступа не использует протокол новые маршруты ся добавлять Шлюз NetBIOS Windows 2000 включает шлюз NetBIOS для клиентов используют NetBEUI в сочетании с протоколом удаленного доступа РРР или AsyBEUI. Этот позволяет обращаться к любым достижимым через сервер до ступа.
Благодаря шлюзу NetBIOS может получить доступ к ресурсам, достижимым через сервер доступа, использующий:
Х NetBEUI;
Х NetBIOS поверх TCP/IP;
Х NetBIOS IPX.
Шлюз NetBIOS отвечает за следующие процессы.
Х Управление При первоначального ния удаленного передает свое и добавляется в таблицу NetBIOS-имен на сервере удаленного доступа.
Х Передачу NetBIOS-пакетов от клиента удаленного доступа в LAN.
клиент доступа посылает NetBIOS-пакеты по телефонной линии, они попадают на шлюз NetBIOS и передаются по протоколам, предоставляю щим сервисы NetBIOS.
Х Передачу NetBIOS-пакетов клиенту удаленного доступа из LAN. NetBIOS пакеты из локальной сети, передаваемые по любым протоколам, которые предо ставляют сервисы NetBIOS, проверяются на предмет наличия NetBIOS-имени компьютера клиента удаленного доступа и пересылаются этому клиенту с ис NetBEUI.
Примечание Шлюз NetBIOS не годится для доступа к сетевым отличным от NetBIOS, в к Web- и а также к другим типам сетевых на основе Windows Sockets.
Архитектура NetBIOS на сервере удаленного доступа показана на рис.
234 ЧАСТЬ 2 Удаленный доступ Клиент Сервер удаленного доступа Шлюз NetBIOS | Шлюз NetBIOS PPP PPP Protocol) Ч стандартный метод многопротокольных дейтаграмм по типа точка-точка. РРР в RFC Служба и удаленного доступа хранит настройки РРР в разделе ре естра РРР выполняет следующие функции.
Х Обеспечивает многопротокольную на канальном уровне.
РРР создает кадры, содержащие отдельные IPX-дейтаграммы или Х Устанавливает, поддерживает и закрывает логическое соединение, Для установления соединения канального уровня и настройки параметров РРР использует LCP (Link Control Protocol). Часть согласований по протоколу LCP состоит в удостоверений клиента удаленного доступа.
Х Обеспечивает настройку протоколов.
После соединения уровня осуществляется настройка протоколов сетевого уровня (IP, IPX и AppleTalk). Например, в слу чае TCP/IP сервер доступа назначает IP-адрес клиенту удаленного доступа. Также сжатие и шифрование данных.
При инкапсуляции многопротокольных дейтаграмм как полезных данных в РРР применяется разновидность протокола ISO (High Level Link Control). и концевая часть таких кадров показаны на рис. 7-10 и содержат следующие поля.
ГЛАВА 7 Сервер доступа Х Флаг. Устанавливается как Ох7Е (битовая последовательность и по мечает начало и конец В под флаг отводится байт.
Х Адрес. В среде поле адреса для адресации кадра хосту-по лучателю. При работе с каналами связи типа указывать по лучателя не требуется. Поэтому для РРР в поле адреса записывается признак рассылки. Если обе стороны догова риваются о сжатии полей адреса и поле адреса не включается.
Х Управление. В среде поле управления для кадров и подтверждения их приема на канальном уровне. РРР обеспечивает надежную передачу данных между каналами. Поэтому для всех РРР-кадров поле управления устанавливается как 0x03, что служит признаком ненумерованного информационного кадра. Если обе стороны РРР-сеанса договариваются о сжа тии полей адреса и управления, поле управления не включается.
Х Идентификатор протокола. Двухбайтовое поле, идентифицирующее данные которого передаются РРР в качестве полезной нагрузки. Если обе сто роны РРР-сеанса договариваются о сжатии поля идентификатора протокола, это ноле уменьшается до одного байта со значениями в диапазоне Х (Frame Check Sequence). 16-битная контрольная сумма, для обнаружения ошибок в на уровне отдельных битов. Если под получателем, не совпадает с указанным в РРР-кадре, этот кадр мол отбрасывается.
Максимальный размер РРР-кадра, называемый максимальным получаемым (maximum receive определяется в процессе согласования параметров логического соединения. По умолчанию равен 1500 байтам. Если принято меньшее значение, то на случай сбоя в синхронизации канала РРР-хост все должен иметь возможность принимать кадры длиной 1500 байтов.
Флаг Адрес Управление Идентификатор протокола Полезные данные РРР I OS Флаг байт Рис. 7-10. РРР-инкапсуляция Типичные значения протоколов перечислены в таблице 7-6.
236 ЧАСТЬ 2 доступ протоколов Протокол Идентификатор протокола/сжатое значение IP 0x0029 0x IPX Ox()02B / Ох2В Compressed TCP/IP / Ox2D / Ox3D NetBEUI OxOOFD OxFD Protocol) (Microsoft Point-to-Point OxOOFD / OxFD Encryption Protocol) Если в процессе согласования протокол или МРРС, идентификатор протокола устанавливается в OxOOFD. Так как для протоколов МРРЕ и МРРС ис пользуется один и тот же идентификатор, обе стороны сеанса должны знать, что содержимое сжато.
Х Если только МРРС, идентификатор протокола устанавливается в OxOOFD, а содержимое кадра сжимается.
Х Если принимается только МРРЕ, идентификатор протокола устанавливается в OxOOFD, а содержимое кадра шифруется.
Х Если принимается и МРРС, и МРРЕ, то сжатие всегда предшествует шифрова нию. Сжатый состоящий из поля протокола, уста в OxFD, и сжатых полезных шифруется и инкапсулируется еще одним РРР-заголовком, который включает идентификатора протоко ла, установленное в OxFD, и двухбайтовый МРРЕ-заголовок.
Предотвращение появления флага Символ флага создает одну Что если этот символ (Ох7Е) появится не только в и конце РРР-кадра, но и где-то еще? В РРР предусмотрено два предотвращения появления символа в зависимости от того, где ис пользуется РРР -- на асинхронном или канале.
РРР на асинхронных каналах На асинхронных каналах вроде телефонных линий появление символа флага в предотвращается заменой символа. Если символ флага (Ох7Е) не только в заголовке, но и в каком-либо другом месте РРР-кадра, от правитель заменяет его Символ Ox7D известен как Escape-кол РРР. Если в встречается Escape-код РРР, отправитель заме его Ox7D5D. Получатель транслирует последовательно сти в Ох7Е, a Ox7D5D - в 6x7D.
Кроме того, коды символов со значениями менее 0x20 могут быть модифицирова ны, чтобы драйверы последовательных портов интерпретировали их как управ ляющие символы. Если в процессе согласования по LCP принята такая ция, то вместо символов, коды которых меньше 0x20, посылается последователь ГЛАВА 7 Сервер удаленного доступа ность символ с добавлением 6-го бита]. байт 0x транслируется в Ox7D21.
РРР на синхронных каналах На синхронных каналах типа или других цифровых линиях символа флага в предотвращается бита. Символ представляет собой битовую Вставка обеспечи вает подряд только при посылке символа флага. Символ флага, когда он используется по не изменяется;
в остальных битовая в несущей среде как а би товая - как биты подчеркнуты).
При бита байт в среде кодируется более чем ми, но биты добавляются и удаляются средствами поддержки синх ронного канала.
Согласование параметров РРР-канала по протоколу LCP РРР-протокол LCP (Link Control документирован в RFC 1661. По протоколу согласуются параметры канала и РРР для настройки ка РРР-соединения. договориться о РРР про токоле сжатии РРР-заголовков, вызове и многоканального подключения.
Структура РРР-идентификатор протокола LCP Ч ОхС021. Структура LCP-накета на рис. 7-11. Каждый пакет содержит которое состоит из поля определяющего тип LCP-пакета, поля указывающего рос или ответ, поля LCP-пакета, и данных, специфичных для конкретного типа LCP-пакета.
Флаг Адрес протокола Код Идентификатор Данные Флаг = 1 байт Рис. 7-11. Структура LCP-пакета Типы документированные в RFC перечислены в таблице 7-7.
238 ЧАСТЬ 2 Удаленный доступ Таблица 7-7. Типы Тип Описание quest Посылается для открытия или сброса Configure-Request содержит список параметров LCP, чьи значе ния изменены по с предлагаемыми по умолчанию.
Configure-Ack Посылается, все значения всех параметров после днего полученного Configure-Request и приняты.
Согласование по протоколу LCP считается завершенным, когда обе стороны отсылают и принимают пакет Configure-Ack.
3 Configure-Nack Посылается, когда все параметры LCP распознаны, но некото рые из их не приняты. Configure-Nack содер жит конфликтные параметры и их приемлемые Посылается, когда параметры не распознаны или не няты. Пакет содержит нераспознанные или параметры.
5 Terminate- Посылается для закрытия обязателен).
6 k Посылается в ответ па запрос Terminate-Request.
V Code-Reject Посылается, если код неизвестен. Сообщение содержит LCP-пакет.
8 Protocol-Reject Посылается, когда содержит неизвестный идентифи катор протокола. Сообщение включает ликтный LCP-пакет.
Пакет Protocol-Reject обычно посылается одной из сторон в ответ на РРР NCP для LAN-протокола, не поддерживаемого этой стороной.
9 Посылается для проверки РРР-соединения Посылается в ответ на запрос 10 Echo-Reply и Echo-Reply не имеют никакого отношения к Echo Request и Echo Reply.
Посылается для проверки канала в исходящем (не Параметры LCP При использовании LCP-пакетов типа Configure-Request, Configure-Ack, Nack и раздел LCP состоит из одного или более парамет ров LCP, как показано на рис. 7-12. Каждый параметр состоит из поля поля длины (указывающего размер в байтах) и данных, с па раметром.
Стандартные параметры, сторонами РРР-соединений, перечислены в 7-8. О других см. RFC 1661.
Таблица 7-8. Параметры LCP Имя параметра Тип Длина Описание Maximum Receive Unit !
Максимальный РРР-кадра (максимальный (до 65 535 байтов). MRU умолчанию Ч 1500.
получаемый Если ни из сторон не меняет значение по умолчанию, параметр не согласовывается.
ГЛАВА 7 Сервер удаленного доступа Таблица 7-8. (продолжение) Имя параметра Тип Описание Asynchronous Control 6 Битовая карта, которая включает (бит Character Map лен) или отключает (бит сброшен) (таблица 32 управляющих ASCII-символов (от 0x символов для асинхрон- до 0x20) в качестве Escape-кодов при ных Escape-коды по умолчанию. Для каналов с программным управ лением потоком XON/XOFF битовая карта АССМ устанавливается как 0x00000000.
Authentication Protocol 5 Протокол, используемый на этапе аутентифика (протокол аутентификации) 6 ции в процессе установления соединения.
Стороны соединения Microsoft PPP указывают в этом параметре одно из следующих ОхС227 (ЕАР). ОхС22380 (MS-CHAP версии 1), ОхС22381 (MS-CHAP версии 2), ОхС ОхС027 (SPAP) или ОхС023 (РАР).
Magic Случайное число, выбираемое для того, чтобы (волшебный номер) различать стороны соединения и обнаруживать замкнутые на себя линии (looped back lines).
Protocol Compression Флаг, указывающий, что двухбайтовый (сжатие протокола) протокола до одного октета, если он находится в OxOOOO-OxOOFF.
Address and Control Field 8 2 Флаг, указывающий, что поля адреса (всегда Compression (сжатие полей OxFF) и управления (всегда 0x03) удаляются из РРР-заголовка.
адреса и управления) Callback (ответный вызов) 13, 3 Параметр (размером в один октет), > или щий, как настраивается функция ответного OxOD ва. Для клиентов и серверов удаленного под управлением 32-битных операционных сис тем Microsoft Windows этот параметр равен Это означает, что функция ответного вызова настраивается в процессе согласования по прото колу СВСР (Callback Control Protocol).
Флаг Адрес Управление Идентификатор протокола Код Идентификатор Длина Г Параметры Данные параметра FCS Флаг Рис. 7-12. Параметры 240 ЧАСТЬ 2 доступ LCP-процесс согласования представляет собой серией между РРР-соединения для набора параметров и их значений, Ч это два отдельных диалога между сторонами РРР-соединения.
1. Сторона 1 запрашивает, согласует, а затем получает подтверждение о парамет рах LCP, которые будут для передачи данных стороне 2. Этот диалог начинается с того, что сторона 1 посылает сообщение Configure-Request, и заканчивается, когда сторона 2 присылает сообщение 2. 2 согласует, а получает подтверждение о рах LCP, которые будут использоваться для передачи стороне 1. Этот с того, что сторона 2 посылает сообщение Configure-Request, и заканчивается, когда сторона 1 присылает Configure-Ack.
Стороны 1 и 2 обязательно используют одинаковые параметры LCP.
одна из сторон РРР-соединения посылает первоначальный запрос Configure Request, в ответ может быть получено из следующих сообщений:
Х k или несколько имеют неприемлемые Х Configure-Reject Ч один или несколько параметров известны, или их нельзя согласовать;
Х Configure-Ack Ч все параметры имеют приемлемые Сторона РРР-соединения, получив или в ответ на посылает новое сообщение Configure-Request с изме параметрами или значениями параметров. После приема сообщения Configure-Ack сторона РРР-соединения готова передавать Гипотетический LCP-процесс согласования для 1, использующей фиктив ные параметры X, Y, Z, на рис. 7-13.
Сторона ;
onfigure-Request: W, Z ;
Configure-Reject;
Z Configure-Request:
Configure-Request: W, Configure-Ack: W, Y= Рис. Пример ГЛАВА 7 Сервер удаленного доступа 1. 1 посылает сообщение с запросом и Z, а также параметров X со 100 и У со 0. Параметры и Z Ч флаги.
2. Сторона 2 не Z и сообщение с этим параметром.
3. Сторона 1 посылает повое сообщение с а также параметров X со значением 100 и У со значением О, 4. Сторона 2 предпочитает для параметра X значение 200 и посылает сообщение с параметром X и предлагаемым значением.
5. Сторона 1 посылает сообщение с а также параметров X со значением 200 и У со значением 0.
6. Сторона 2 посылает Всякий раз, когда сторона 1 посылает новое сообщение Configure-Request, она из меняет в поле идентификатора в Это позволяет сообщения Configure-Request с ответами на них.
В процессе, на рис. осуществляется лишь того, как с рона 1 передает данные стороне 2. Чтобы сторона 2 могла передавать данные с го ронс требуется согласование;
очень часто эти два процесса проходят одновременно.
Согласование параметров ответного вызова по протоколу СВСР Протокол СВСР (Callback Control Protocol) позволяет согласовать ответного вызова сервером доступа: после аутентификации клиента удаленного доступа сервер разрывает физическое соединение, ждет заданный риод времени и перезванивает клиенту по или динамически мому номеру. Телефонный номер, используемый сервером для обратного вызова клиента, входит в параметры СВСР. Подробнее о СВСР см. документ for Callback Control Protocol но ссылке Working на Структура пакетов протокола СВСР Ч ОхС029. Структура СВСР-пакетов повторяет структуру однако только (тип 1), Callback-Response (тип 2) и (тип 3). Во всех раздел состоит из одного или более параметров СВСР, а каждый параметр СВСР Ч из поля типа параметра, поля длины (указывающего общий размер пара метра в байтах) и данных, связанных с этим параметром.
параметры Параметры СВСР, сторонами Microsoft РРР, в таблице 7-9.
Таблица 7-9. Параметры СВСР Имя Тип Длина No callback (ответный 1 2 Указывает, что для данного вызов отключен) ответный не используется 9 (см. стр.) 242 ЧАСТЬ 2 Удаленный доступ Таблица 7-9.
Имя параметра Тип Длина Описание Callback to a user-specified 2 Переменная Номер ответного вызова определяет (ответный вызов пользователь компьютера Ч клиента заданному удаленного доступа пользователем) an administrator- 3 Номер вызова defined number (ответный параметрами сервера удаленного вызов по заданному доступа администратором) Callback to any of a of 4 Переменная Сервер удаленного доступа выполняет numbers (ответный вызов ответный вызов по одному из номеров, по любому номеру из списка) указанных в списке Согласование параметров РРР сетевого уровня по протоколу NCP Установив связь и согласовав параметры РРР по протоколу стороны РРР-со используя набор (Network Control Protocols). РРР поддерживает следу ющие Х (Internet Protocol Control Protocol) Ч для согласования применения IP и Х (Internetwork Packet Exchange Protocol) Ч для согласования при менения IPX и его параметров;
Х АТСР Control Protocol) Ч для согласования применения AppleTalk и параметров;
Х NBFCP (NetBIOS Frames Control Protocol) Ч для согласования применения NetBEUI и параметров.
IPCP Протокол IPCP в том виде, в каком он используется сторонами соединения Micro soft РРР, документирован в RFC 1332 и 1877. По этому протоколу согласуются па раметры IP для динамической настройки TCP/IP на сторонах соединения типа Стандартные параметры IPCP включают IP-адрес, выделяемый кли и IP-адреса серверов DNS- и NetBIOS-имен.
Структура пакетов IPCP Ч 0x8021. Структура точно повторяет структуру (с тем исключением, что определены типы 1-7). В случае Configure-Ack, Con и раздел данных IPCP состоит из одного или более параметров IPCP, а каждый параметр IPCP Ч из поля типа параметра, поля длины (указываю щего общий размер параметра в байтах) и данных, связанных с этим параметром.
параметры Параметры IPCP, сторонами соединения Microsoft РРР, перечислены в 7-10.
ГЛАВА 7 Сервер удаленного доступа Таблица 7-Ю. Параметры IPCP Имя параметра Тип Длина IP compression protocol 2 4 Протокол сжатия Van Jacobsen TCP (протокол для IP) IP address 3 6 IP-адрес, который должен быть клиенту удаленного Primary DNS server address 129, 6 Адрес основного DNS-сервера для (адрес основного DNS-сервера) 0x81 клиента удаленного доступа Primary NBNS server address 130, Адрес основного сервера NBNS (WINS) (адрес основного 0x82 для клиента удаленного Secondary DNS server address 131. 6 Адрес дополнительного (адрес или 0x83 для удаленного доступа Secondary NBNS server address 132, Адрес NBNS (адрес дополнительного или 0x84 (WINS) для клиента удаленного NBNS-сервера) доступа Заметьте, что протоколе IPCP не параметры для следующих стан дартных TCP/IP.
Х Для маски подсети. Клиент удаленного доступа определяет маску ис ходя из того предположения, что ему назначен IP-адрес на классов сетей.
Х Для основного шлюза. Сервер доступа не назначает IP-адрес основ ного шлюза. Но на клиенте создается маршрут по умолчанию, указывающий на соединение удаленного доступа. Если в маршрутизации уже какой-нибудь маршрут по умолчанию, тогда метрика по умолчанию увеличивается на 1 и создается маршрут по умолчанию с меньшей метрикой. Это клиентов удаленного доступа иод 32-разрядных операционных систем Windows. Его можно из менить, сбросив флажок Use Default Gateway on Remote Network вать основной шлюз в удаленной сети) в свойствах TCP/IP для данного подключения удаленного Х Для доменного Доменное настраивается в TCP/IP на сервере удаленного доступа и поэтому по протоколу IPCP не согла совывается. Клиенты удаленного под управлением Windows 2000 полу чают доменное DNS-имя через сообщения DHCPInform (см. Удаленный доступ и настройка TCP/IP и далее в этой главе).
Х Для типа NetBIOS-узла. Если стороны договариваются об и дополнительных серверов NetBIOS-имен, автоматически используется гиб ридный тип NetBIOS-узла (Н-узел).
IPXGP Протокол IPXCP в том в каком он сторонами соединения Microsoft PPP, в RFC 1552. По этому протоколу согласуются раметры IPX для динамической настройки IPX на сторонах соединения типа тач ка-точка. Стандартные параметры IPXCP включают номера IPX-сети и узла.
244 ЧАСТЬ 2 Удаленный доступ Структура пакетов протокола IPXCP Ч Ох802В. Структура точно повторяет структуру (с тем исключением, что определены лишь 1-7). В случае и Configure-Reject раздел IPXCP состоит из или более IPXCP, а каждый параметр IPXCP Ч из типа поля длины (указы вающего общий размер параметра в и данных, связанных с этим парамет ром.
параметры Параметры IPXCP. Microsoft РРР, перечисле в таблице Таблица Параметры IPXCP Имя Тип Длина Описание IPX Network Number 1 6 Номер IPX-сети для клиента удаленного (номер IPX-сети) доступа IPX Node Number 6 Номер IPX-узла для клиента удаленного (номер IPX-узла) доступа АТСР Протокол АТСР в том виде, в каком он сторонами Micro soft РРР, в По протоколу согласуются параметры AppleTalk для динамической настройки на сторонах соединения типа Стандартные АТСР и инфор мацию о сервере.
Структура пакетов протокола АТСР Ч 0x8029. Структура точно повторяет структуру LCP-пакетов (с тем исключением, что определены лишь типы 1-7). В случае АТСР-пакетов Configure-Request, Configure-Ack, Configure-Nack и раздел данных АТСР состоит из одного или более параметров АТСР, а каждый параметр АТСР Ч из поля типа параметра, поля длины ющего размер параметра в байтах) и данных, связанных с этим параметром.
Согласуемые Параметры АТСР, сторонами соединения Microsoft РРР, перечислены в таблице 7-12.
Таблица 7-12. Параметры АТСР Имя параметра Тип Описание 6 согласовать номера (AppleTalk-адрес) и Server Information 3 16 для передачи (информация о сервере) о сервере удаленного доступа ГЛАВА 7 удаленного доступа NBFCP Протокол в том виде, в каком он используется сторонами Microsoft PPP, документирован в RFC 2097. протоколу согласуются па раметры NetBEUI для динамической настройки NetBEUI на сторонах типа точка-точка. Стандартные параметры NBFCP включают параметры фильт рации групповой рассылки и о сторонах Структура пакетов РРР-идентификатор протокола NBFCP Ч Ox803F. Структура точ но повторяет структуру (с тем исключением, что определены лишь типы 1-7). В случае NBFCP-пакетов Configure-Ack, и раздел данных NBFCP состоит из одного или более пара NBFCP. а каждый параметр NBFCP Ч из поля типа параметра, поля (указывающего размер параметра в байтах) и данных, связанных с этим параметром.
параметры Параметры NBFCP, сторонами соединения Microsoft PPP, перечисле ны в 7-13.
7-13. Параметры NBFCP Имя Тип Описание Multicast (фильтрация 3 5 обработку групповой рассылки) групповых Peer information (информация 2 17 Используется для передачи сведений о о конфигурации NetBIOS ССР Протокол ССР (Compression Protocol) в том виде, в каком он ся сторонами соединения Microsoft PPP, документирован в RFC 1962. По этому протоколу согласуются параметры для динамической настройки, включения и ключения алгоритмов сжатия передаваемых между сторонами тина Стандартные параметры ССР Ч идентификатор и признак использования Структура пакетов РРР-идентификатор протокола ССР Ч Структура ССР-пакетов точно вторяет структуру LCP-пакетов (с тем что определены лишь типы 1-7). В случае ССР-пакетов Configure-Request, Configure-Ack, и раздел данных ССР состоит из одного или более параметров ССР, а каждый параметр ССР Ч из поля типа параметра, поля длины (указывающего общий размер параметра в байтах) и данных, связанных с этим параметром.
Согласуемые параметры Параметры ССР, согласуемые сторонами Microsoft PPP, перечислены в таблице 7-14.
246 ЧАСТЬ 2 Удаленный доступ Таблица 7-14. Параметры ССР Имя параметра Тип Длина Описание Organization Unique Identifier 0 6 Используется для согласования идентификатор и более особого протокола сжатия данных, организации) применяемого в организации МРРС 18, 6 Служит признаком использования или 0x12 МРРС и МРРЕ, а также указывает стойкость шифрования МРРЕ и МРРС ССР-параметр 18 позволяет сторонам соединения Microsoft PPP одновременно со применение протоколов МРРЕ и МРРС. Длина поля данных ССР-пара метра 18 равна 4 байтам (32 битам). Биты этого поля являются флагами:
Х 0x00-00-00-01 Ч используется сжатие данных;
Х 0x00-00-00-10 Ч 40-битный ключ получен из LAN пользователя;
Х 0x00-00-02-00 - 40-битный сеансовый ключ получен из Windows NT-версии пароля Х 0x00-00-00-80 Ч 56-битный сеансовый ключ получен из Windows NT-версии пользователя;
Х 0x00-00-00-40 Ч 128-битный сеансовый получен из Windows NT-версии пароля пользователя;
Х 0x01-00-00-00 Ч шифровальные ключи обновляются для каждого РРР-кадра.
При выборе сразу нескольких конфигураций значения флагов суммируются. Так, при включении сжатия (0x00-00-00-01) и использовании 128-битных ключей (0x00 00-00-40) 32-битное поле данных будет выглядеть как Подробнее о МРРЕ см. Интернет-проект Encryption (МРРЕ) ЕСР Протокол ЕСР (Encryption Control Protocol) используется для согласования конк ретного метода шифрования и в RFC 1968. Однако в случае со Microsoft PPP для данных поддерживается только МРРЕ, применение которого указывается в ССР-параметре МРРС.
Процесс РРР-соединения Согласование РРР-соединения проходит в четыре этапа:
Х настройка РРР;
Х аутентификация;
Х ответный вызов;
Х конфигурирование ГЛАВА 7 Сервер удаленного доступа РРР Параметры РРР согласуются по протоколу LCP. В начальной фазе сса каждая сторона согласует коммуникационные для пере дачи Х параметры РРР Ч сжатие полей адреса, управления и протокола;
Х протокол, по которому будет аутентифицироваться клиент удаленного досту па (протокол только выбирается, но не применяется до начала этапа фикации);
Х многоканального подключения (если таковое используется).
Этап 2: аутентификация По окончании клиент и сервер доступа выполняют аутен тификацию по ранее согласованному протоколу. На этом этапе весь трафик между клиентом и сервером с работой РРР-протокола аутентификации (см. раздел далее в этой главе).
Этап 3: ответный вызов РРР предусматривает этап согласования от ветного вызова по протоколу СВСР. Чтобы клиент доступа полу ответный вызов, в параметрах входящих звонков пользовательской учетной си нужно разрешить применение функции ответного вызова. Номер для ответного вызова клиентом или сервером доступа.
Если при подключении используется ответный то после первого ния обе стороны чего сервер удаленного доступа перезванивает клиенту по заданному номеру.
Этап 4: конфигурирование протоколов Последний этап заключается в согласовании сетевого уровня. При уда ленном доступе под управлением 32-разрядных операционных систем Windows сер вер удаленного доступа посылает клиенту сообщения Configuration-Request, числяя все LAN-протоколы, используемые на этом сервере. Клиент удаленного до ступа либо продолжает согласование LAN-протоколов, либо посылает с одним из принятых сообщений Configuration-Request, тем са мым указывая, что данный LAN-протокол им не После протоколов сетевого уровня начинается очень похожее согласование остальных протоколов сетевого уровня по АТС? и Для настройки МРРС и стороны обмениваются ССР-пакетами.
Пример РРР-соединения Наглядно увидеть процесс РРР-соединения Х Network Monitor монитор) Ч инструмент для захвата и анализа вого трафика. С его помощью можно захватывать все по последовательной в том числе пакеты, передаваемые при нии соединения, и пакеты с инкапсулированными пользовательскими 248 ЧАСТЬ 2 Удаленный доступ Х средства трассировки РРР Ч для обмена РРР в процессе установления Network Monitor Для захвата РРР-пакетов средствами Monitor (Сетевой монитор) укажите в качестве наблюдаемой сеть, соответствующую удаленному Network Monitor используется, чтобы:
Х причину проблем в установления РРР-соединения;
Х убедиться в шифровании полезных данных РРР;
Х убедиться в сжатии полезных данных РРР.
Примечание Полезные данные РРР не Monitor, если применяется их сжатие или шифрование, на что указывает протокола, равный Ox3D (что предполагает сжатие поля идентификатора протоко ла). Для просмотра структуры пользовательских данных РРР нужно отключить сжатие и шифрование этих данных.
Используя Network Monitor, учтите следующие соображения.
Х Захваченные РРР-кадры не содержат символа флага, Ethernet-по добные адреса источника и получателя. Это связано с тем, что Network Monitor получает пакеты от драйвера Вспомните: Ndiswan.sys Ч это промежу точный который протоколы как Для каждого Ethernet-подобные адреса источника и получателя ус танавливаются как SEND или RECV, указывая, что был передан или принят данным компьютером. Адреса SEND и RECV не обязательно идентифи цируют трафик сервера или клиента удаленного доступа. Если осуществ ляется на сервере удаленного доступа, кадры SEND передаются сервером, а RECV Ч клиентом. Если же захват выполняется на клиенте удаленного досту па, кадры SEND передаются клиентом, а кадры RECV Ч сервером.
Х Захваченные РРР-кадры поля адреса и от того, было ли согласовано сжатие этих полей.
Х Обычно стороны РРР-соединения договариваются о сжатии поля тора протокола, уменьшая его длину до одного байта, если это возможно.
Х Для просмотра трафика, лишь к определенным протоколам, ис пользуйте фильтрацию данных, отображаемых Network Monitor. Например, для просмотра трафика, только с согласования, на стройте фильтры отображения чтобы они пропускали относящиеся исключительно к IPCP.
Ниже пример распечатки, полученной с помощью Network Monitor в про цессе установления РРР-соединения. Здесь даны лишь суммарные о кад рах. Для лучшего восприятия записи показываются с отступами.
1 8.726 SEND SEND LCP Req Packet, = 0x00, Length = 2 8.796 RECV LCP Req Ident = 0x00, Length = ГЛАВА 7 Сервер удаленного доступа 3 SEND SEND LCP Config Ack Packet, = 0x00, Length = Х1 8.816 RECV RECV LCP Config Reject Packet, Ident = 0x00, Length = 5 8.816 SEND SEND LCP Config Req Packet, Ident = 0x01, Length = G RECV RECV LCP Config Ack Packet, Ident = 0x01, Length =, 6.886 SEND SEND LCP Ident Packet, Ident = 0x02, Length = 8 8.886 SEND LCP Ident Packet, Ident = 0x03, Length = 8.886 RECV RECV PPPCHAP Challenge, ID = Ox Challenge 8.886 SEND SEND PPPCHAP Challenge, ID = Ox 1: Response, administrator I RECV RECV PPPCHAP Challenge, = Ox Success В. 976 RECV RECV CBCP Callback Request, Ident = 0x SEND CBCP Callback Response, Ident = 0x 8.996 RECV RECV CBCP Callback Acknowledgement, Ident = 0x SEND SEND CCP Configuration Request, Ident = 0x К SEND Configuration Request, Ident = 0x RECV RECV CCP Configuration Request, Ident 0x 9.017 RECV RECV IPCP Configuration Request, Ident = 0x RECV RECV Configuration Request, Ident = 0x RECV RECV Configuration Request, Ident = 0x 21 9.117 SEND IPXCP Configuration Request, Ident = 0x SEND CCP Configuration Acknowledgement, Ident = 0x SEND SEND IPCP Configuration Acknowledgement, Ident = 0x 24 SEND SEND IPXCP Configuration Acknowledgement, = 0x 25 SEND SEND LCP Protocol Reject Packet, Ident = 0x07, Length = 26 9.237 RECV RECV CCP Configuration Reject, Ident = 0x 27 RECV RECV IPCP Configuration Reject, Ident = 0x 28 SEND SEND IPCP Configuration Request, Ident = 0x RECV RECV IPXCP Configuration No Acknowledgement, Ident = 0x 250 ЧАСТЬ 2 Удаленный доступ 30 9.257 SEND SEND Configuration Request, = 0x 31 9.287 RECV RECV No Acknowledgement, Ident = 0x 32 9.287 SEND IPCP Configuration Request, Ident = OxOA 33 RECV IPXCP Configuration Acknowledgement, Ident = 0x 34 9.327 RECV RECV IPCP Configuration Acknowledgement, Ident = OxOA 35 10.729 SEND CCP Configuration Request, Ident = 0x 36 10.960 RECV RECV CCP Configuration Reject, Ident = 0x 37 10.960 SEND CCP Configuration Request, Ident = OxOB 38 10.960 RECV RECV CCP Configuration Acknowledgement, Ident = OxOB Трассировка была проведена на удаленного доступа. То есть кадры SEND а кадры RECV Ч сервером удаленного доступа. В данном случае все четыре этапа установления РРР-соединения:
Х этап 1 Ч настройка РРР (кадры 1-8) путем обмена конфигурационными LCP пакетами;
Х этап 2 Ч аутентификация (кадры в ходе которой проверялись удостове рения пользователя;
Х этап 3 Ч настройка ответного вызова (кадры 12-14);
Х этап 4 Ч согласование (кадры 15-38) с настройкой на использова ние сжатия и шифрования а протоколов IP и Кроме просмотра суммарной информации, Network Monitor позволяет разворачи кадры для детального анализа. Например, кадр 1 из предыдущего листинга выглядит так:
Base frame Time of capture = Nov 18, 1998 15:23:6. FRAKE: Time delta from previous physical frame: 0 milliseconds FRAME: Frame FRAME: Total length: 50 bytes Capture frame length: 50 bytes FRAME: Frame data: Number of data bytes remaining 50 (0x0032) PPP: Link Control Protocol Frame (OxC021) PPP: Destination Address = PPP: Source Address = PPP: Protocol = Link Control Protocol LCP: Config Req Packet, Ident = 0x00, Length = LCP: Code = Configuration LCP: Identifier = 0 (0x0) LCP: Length = 36 (0x24) LCP: Options: 00 LCP: 00 00 LCP: Option Type = Async Control Character Map ГЛАВА 7 Сервер удаленного доступа LCP: Option Length = 6 (0x6) Async Control Character Map = 00 00 00 LCP:
LCP: Option Type = Majic Number LCP: Option Length = LCP: Number = LCP: PROT.COMP LCP: Option Type = Protocol Field Compression LCP: Option Length = 2 (0x2) LCP:
LCP: Option Type = Address and Control Field Compression LCP: Option Length = 2 (0x2) LCP:
LCP: Option Type = Callback LCP: Option Length = 3 (0x3) LCP: CallBack = 0x LCP: Multilink Maximum Receive Reconstructed Unit LCP: Option Type = 0x LCP: Option Length = 4 (0x4) LCP: Endpoint Discriminator LCP: Option Type = 0x LCP: Option Length = 9 (0x9) Данные, Network Monitor, сохранить в виде файлов и отпра вить специалистам Microsoft по технической для последующего Трассировка РРР Средства трассировки, поддерживаемые компонентами удаленного доступа и мар шрутизации, позволяют регистрировать выполняемый код или сете вые события с записью в файл.
Трассировка РРР включается через оснастку Routing and Remote Access (Маршру тизация и удаленный доступ) установкой флажка Enable Protocol (РРР) Logging (Вести журнал протокола РРР) на вкладке Event Logging (Жур нал событий) окна свойств сервера доступа.
Файл Ppp.log создается в папке и содержит информацию о процессе РРР-соединения. Журнал РРР, генерируемый средствами трассировки, включает вызовы функций и содержимое протоколов управления РРР. Трассировка РРР не годится для просмотра пользовательских дан ных, посылаемых по РРР-соединению.
Ниже приведен фрагмент журнала трассировки РРР, полученного в процессе уста новления РРР-соединения. Для лучшего восприятия записи показываются с отсту [1472] 15:57:50:094: up event occurred on [1472] 15:57:50:104: Starting PPP on link with [1472] RasGetBuffer ae [1472] called for protocol = c021, port = [1472] 15:57:50:104: = 273e [1472] APs available = [1472] 15:57:50:104: called for protocol = = [1472] 15:57:50:104: Inserting port in bucket ft 252 ЧДСТЬ 2 Удаленный доступ [1472] 15:57:50:104: bundle in bucket tt [1472] FsmOpen event received protocol c021 on port [1472] 15:57:50:104: called protocol = = [1472] event protocol c021 on port [1472] 15:57:50:104: [1472] 15:57:50:104: called [1472] InsertlnTimerQ called [1472] 15:57:50:104: >PPP packet received at 11/04/ [1472] >Protocol = LCP. Type = Configure-Req, Length = 0x26, Id = 0x0, = [1472] >CO 21 01 00 00 24 02 06 00 00 00 00 05 06 00 [1472] >CO 05 07 02 08 02 OD 03 06 11 04 06 4E 13 09 [1472] 15:57:50:104: >00 60 08 52 F9 D8 00 00 00 00 00 00 00 00 00............ I Последние три строки из этого файла трассировки содержи мое того LCP-пакета (в виде), что и листинг кадра 1 из пре дыдущего примера с Network Monitor. Чтобы понять структуру этого Вы должны вспомнить структуру РРР- и его анализа приведен в таблице 7-15. Таблица 7-15. Анализ LCP-пакета Configuration-Request Байты 21 протокола для LCP 00 сообщения LCP-пакета в байтах (в случае Ч 36 байтов) 02 Control Character Map 06 Длина параметра в байтах 00 00 00 00 Данные параметра 05 для волшебного номера 06 Длина параметра волшебного номера в байтах 00 00 СО 05 Данные параметра для волшебного номера 07 LCP-параметр для сжатия протокола Длина сжатия протокола в байтах LCP-параметр для полей адреса и управления Длина параметра для полей адреса и управления в байтах ГЛАВА 7 Сервер удаленного Таблица 7-15. (продолжение) Байты для вызова 03 Длина параметра для ответного в байтах 06 Данные параметра для ответного вызова 11 Receive Reconstructed Unit; для многоканальных подключений ются в разделе Multilink и ВАР далее в этой главе 04 Длина Maximum Receive Reconstructed Un.t в байтах 06 4E Данные параметра Multilink Maximum Receive Unit 13 LCP-параметр Multilink 09 Длина параметра Multilink Endpoint Discriminator в байтах 03 00 60 08 52 F9 D8 параметра Multilink Endpoint Как видите, Network Monitor Ч более простой инструмент для интерпретации РРР Однако средства трассировки РРР предоставляют цепную информацию о что может оказаться весьма полезным при устранении с соединениями. Если Вы в чем-то исполь данные, захваченные Network Monitor, в сочетании с трассировкой РРР. Примечание Трассировка РРР в Windows 2000 идентична трассировке РРР в Win dows NT версий 4,0 и ниже. Закрытие РРР-соединения При РРР соединение может быть закрыто в любой момент. Обыч но это происходит при несущей, неудачной аутентификации, падении про пускной или закрытии соединения клиентом удаленного доступа либо системным администратором. В момент закрытия соеди нения РРР информирует об протоколы сетевого уровня, чтобы они аутентификации втором установления РРР-соединения клиент удаленного доступа тифицируется по из О конкретном РРР аутентификации стороны договариваются на первом этапе установления РРР-соединения. Средства удаленного доступа в Windows 2000 поддерживают следующие токолы аутентификации: ЕАР (Extensible Authentication Protocol), CHAP (Chal lenge Handshake Authentication Protocol), MS-CHAP (Microsoft Challenge Hand shake Authentication версий 1 и 2, SPAP (Shiva Password Authentication Protocol) и PAP (Password Authentication Protocol). Надежная схема аутентификации обеспечивать защиту от атак с пакетов (replay attacks), а также от подмены клиента или сервера удаленного 254 ЧАСТЬ 2 доступ Х Атака с повторением пакетов заключается в том, что злоумышленник захваты вает передаваемые по сети в процессе успешного установления нения, а повторяет (воспроизводит) эти пакеты, чтобы установить несанкционированное соединение. Х Подмена клиента удаленного доступа Ч атака, при которой злоумышленник подменяет клиент на уже установленном соединении. При этом злоумышлен дожидается успешной подлинного пользователя, опреде ляет параметры соединения, а затем отключает этого пользователя и берет уп равление соединением на себя. Х Подмена сервера удаленного доступа Ч атака, при которой под меняет подлинный удаленного доступа своим компьютером. При этом подставной сервер имитирует проверку удостоверений клиента удаленного дос тупа, а потом захватывает весь трафик, исходящий от клиента. РАР PAP (Password Authentication Protocol) Ч простейший протокол аутентификации, пароли в виде. Имя и пароль пользователя рашиваются сервером удаленного доступа и сообщаются клиентом открытым тек стом. Поэтому РАР не является безопасным протоколом аутентификации. Зло умышленник, которые передаются между клиентом и сервером удаленного доступа, может легко определить пароль клиента. РАР не обеспечивает защиту от атак с повторением пакетов, а также от подмены клиента или сервера удаленного доступа. О применении РАР стороны договариваются в согласования, указы вая в LCP-параметре Authentication Protocol (тип 3) ОхС023. По оконча нии в используется про токола ОхС023. РАР реализует простой обмен сообщениями. 1. Клиент удаленного доступа посылает серверу Request с именем пользователя и паролем в незашифрованного текста. 2. Сервер удаленного доступа проверяет имя и пароль а по сылает РАР-сообщение если удостоверения или если удостоверения неправильны. РАР в Windows 2000 только для того, чтобы клиенты удаленного доступа под управлением 32-разрядных операционных систем Windows могли подключать ся к серверам удаленного доступа, не поддерживающим безопасные протоколы аутентификации, а также для того, чтобы клиенты удаленного под управ лением операционных систем, отличных от Microsoft и не поддерживающих безо пасные протоколы аутентификации, могли подключаться к серверу удаленного до ступа под управлением 32-разрядной операционной системы Windows. Примечание Для большей сервера удаленного доступа рекомендует ся отключить РАР. Но тогда устаревшие клиенты под управлением операционных систем, отличных от Microsoft, не смогут подключаться к серверу. ГЛАВА 7 Сервер удаленного доступа SPAP SPAP (Shiva Password Authentication Protocol) Ч это протокол, который ляет механизм обратимого шифрования и применяется на серверах удаленного до ступа Shiva. Клиент удаленного доступа Windows 2000 может использовать SPAP для аутентификации на серверах удаленного доступа Shiva или Windows 2000. более надежен по сравнению с РАР, но менее чем CHAP или MS-CHAP. SPAP не защищает от подставных серверов удаленного доступа. О применении SPAP стороны договариваются в LCP-процессе согласования, ука зывая в LCP-параметре Authentication (тип 3) ОхС027. По окон чании LCP-согласования в используется РРР-идентификатор протокола ОхС027, Как и PAP, SPAP реализует простой обмен сообщениями, 1. Клиент удаленного доступа посылает серверу SPAP-сообщение Request с именем пользователя и паролем в зашифрованном виде. 2. Сервер удаленного доступа расшифровывает пароль, проверяет имя п пароль а затем посылает SPAP-сообщение если верения правильны, или если удостоверения неправильны. CHAP CHAP (Challenge Handshake Protocol) Ч протокол аутентификации, основанный на технологии вызов-ответ* и описанный в RFC использует алгоритм шифрования (Mes sage Digest 5) для хэширования ответа на вызов, посланный сервером удаленного доступа, CHAP применяется многими разработчиками серверов и клиентов удаленного до ступа. Этот протокол поддерживается как клиентами, так и серверами удаленного доступа Windows 2000. CHAP более совершенен, чем РАР и SPAP: пароль не пересылается по каналу свя зи, а используется для создания необратимого хэша из строки вызова. Сервер, ко торому пароль пользователя, проводит ту же и сравнивает по лученный результат с ответом клиента. О CHAP стороны договариваются в LCP-процессе согласования, ука зывая в LCP-параметре Protocol (тип 3) значение ОхС223 и 0x05. По окончании LCP-согласования в используется РРР идентификатор протокола ОхС223. Аутентификация по протоколу CHAP представляет собой обмен тремя сообще ниями. 1. Сервер удаленного доступа посылает Challenge (вызов) с идентификатором сеанса и произвольной строкой вызова. 2. Клиент удаленного доступа Response (ответ) с именем пользователя в незашифрованном виде и полученным из вызова, идентификатора сеанса и пароля с алгоритма MD5. 3. Сервер удаленного выполняет ту операцию над теми же данными и сравнивает свой результат с ответом. Если они совпадают, сервер 256 ЧЛСТЬ 2 Удаленный доступ доступа СНАР-сообщение Success (успех); нет Ч СНАР-сообщение Failure (неудача). защиту от атак с повторением пакетов, так как при каждой аутентификации использует строку вызова, генерируемую случай ным Однако CHAP не защищает от подмены сервера удаленного доступа. MS-CHAP v MS-CHAP (Microsoft Handshake Authentication Protocol версии 1) аутентификации с шифрованием, очень на CHAP. Как и в CHAP, сервер удаленного доступа посылает удаленному клиенту вызов с иденти фикатором сеанса и произвольной строкой вызова. Удаленный клиент должен вер нуть имя пользователя и полученный из строки вызова, идентификатора се анса и пароля с алгоритма MD4 (Message Digest 4). Единственная разница между CHAP и MS-CHAP vl в что CHAP для провер ки ответа на требует хранения пароля в незашифрованном виде, a MS-CHAP vl Ч в виде В Windows 2000 пароль пользователя хранится MD4 хэш, а также в обратимо виде. При использовании MS-CHAP vl сервер удаленного доступа обратимо зашифрованный пароль для про верки ответа от клиента удаленного доступа. Аутентификация по протоколу MS-CHAP vl собой обмен тремя со общениями. 1. Сервер удаленного доступа посылает клиенту удаленного доступа сообщение MS-CHAP (вызов) с идентификатором сеанса и стро кой вызова. 2. Клиент удаленного доступа отвечает сообщением MS-CHAP Response (ответ) с именем пользователя в виде и хэшем, полученным из строки вызова, сеанса и клиентского пароля (этот ге нерируется по алгоритму необратимого хэширования MD4). 3. Сервер удаленного выполняет ту же операцию над теми же данными и свой результат с ответом. Если они совпадают, сервер удаленного доступа возвращает сообщение MS-CHAP Success (успех); нет Ч сообщение MS CHAP Failure (неудача). О применении MS-CHAP vl договариваются в согласова ния, указывая в Protocol (тип 3) значение ОхС223. По окончании в сообщениях MS-CHAP vl используется РРР протокола ОхС223, MS-CHAP vl также поддерживает коды ошибок, включая код действия пароля Используя при каждой попытке аутентификации новую произвольную строку MS-CHAP vl обеспечивает защиту от атак с повторением пакетов. Однако от атак с подменой удаленного сервера MS-CHAP vl не защищает. Если в качестве протокола MS-CHAP vl и согласо вано использование МРРЕ, каждая сторона секретные шифровальные ключи. MS-CHAP vl предусматривает набор сообщений, ющих менять пароль пользователя в процессе аутентификации. ГЛАВА 7 удаленного доступа MS-CHAP v Windows 2000 поддерживает протокол (Microsoft Challenge shake Protocol версии 2), который повышенную ту соединений доступа. дополнительные зашиты, предлагаемые второй версией MS-CHAP Х Шифрованные ответы и смена LAN Manager более не поддерживаются. Х Двухсторонняя аутентификация. Клиент удаленного доступа ся на сервере удаленного доступа, а сервер Ч на клиенте. Двухсторонняя тификация, также называемая взаимной, гарантирует, что клиент доступа подключается именно к тому серверу удаленного который име к паролю пользователя. аутентификация от атак с сервера удаленного доступа. Х Для и приема данных генерируются ключи. Х Криптографические ключи на основе пароля пользователя и про извольной строки вызова. Поэтому, несмотря на то что пользователь подключа ется с одним и тем же паролем, применяются разные ключи. О применении MS-CHAP стороны договариваются в ния, указывая в Authentication Protocol (тип 3) значение и алгоритм 0x81. По окончании в MS-CHAP ис пользуется протокола Аутентификация по протоколу MS-CHAP v2 представляет собой обмен со 1. Сервер доступа посылает клиенту сообщение Chal (вызов) с сеанса и произвольной строкой вызова. 2. Клиент удаленного доступа посылает MS-CHAP Response Х имя пользователя; Х произвольную строку Х сгенерированный по методу SHA (Secure Hash Algorithm) из строки полученной от сервера, строки вызова, идентификатора сеанса и пароля пользователя. 3. Сервер удаленного доступа проверяет MS-CHAP Response, при нятое от клиента, и посылает свой ответ, содержащий: Х признак успеха или неудачи соединения; Х аутентификационный ответ на основе переданной строки вызова, твен ной строки шифрованной строки вызова клиента и пароля теля. 4. Клиент удаленного доступа проверяет аутентификационный ответ и, он использует соединение. Если же ответ клиент соединение. 258 ЧАСТЬ 2 Удаленный доступ ЕАР ЕАР (Extensible Authentication Protocol) Ч это расширение РРР, позволяющее при менять произвольные механизмы При использовании РРР-про токолов аутентификации вроде MS-CHAP и SPAP конкретный механизм аутенти фикации выбирается па этапе установления После этого согласован ный протокол аутентификации применяется на аутентификации. В случае ЕАР конкретный аутентификации на этапе установления нения не выбирается. Вместо этого каждая сторона соглашается использовать на этапе аутентификации протокол ЕАР. Как только начинается этап аутентификации, стороны должны согласовать конкретную схему аутентификации по ЕАР. типом ЕАР. Согласовав определенный тип ЕАР, клиент и сер вер удаленного доступа начинают вести между собой диалог, зависящий от метров и состоящий из запросов информации и ответов. Длительность диалога зависит от выбранного типа ЕАР. Так, при ЕАР с картами маркера защиты (security token cards) сер вер удаленного доступа запрашивает у клиента имя, PIN-код и значение маркера карты. После того как па запрос получен ответ, клиент проходит следующий уровень аутентификации. Если на все вопросы получены удовлетвори тельные ответы, аутентификация клиента считается успешной, и ему предоставля ется в сеть. О применении ЕАР стороны договариваются в согласования, указы вая в LCP-параметре Authentication Protocol (тип 3) значение ОхС227. По оконча нии в сообщениях ЕАР используется про токола ОхС227. Windows 2000 поддерживает следующие типы ЕАР: и EAP-TLS. С архитектурной точки зрения, ЕАР рассчитан на применение различных устройств защиты, установленных на клиентах и серверах удаленного доступа. Для поддерж ки нового типа ЕАР на сервере и клиенте удаленного доступа достаточно устано вить файл с библиотекой типа ЕАР. позволяет разработчикам граммных средств в любой момент создавать новые схемы аутентификации. ЕАР обеспечивает наивысшую гибкость в процессе аутентификации. EAP-MD Ч это механизм CHAP, используемый в рамках ЕАР. На этапе установления соединения стороны договариваются, что на этапе будут применять ЕАР. На этапе аутентификации происходит процесс проверки клиента. 1. Проверяющий посылает сообщение запрашивающее идентифика клиента. 2. Клиент посылает идентификатор в сообщении 3. Проверяющий посылает сообщение EAP-Request со строкой вызова 4. Клиент посылает идентификатора и пароля пользователя в сообще нии EAP-Response. 5. Если ответ правильный, посылает клиенту сообщение Success об успешной ГЛАВА 7 удаленного доступа является обязательным типом ЕАР и может быть для верки возможности взаимодействия по ЕАР. Как и CHAP, EAP-MD5 требует хра нения локальных или доменных в обратимо зашифрованном виде. Подроб нее на эту тему см. Windows 2000 Server, EAP-TLS Протокол TLS (Transport Layer Security), основанный на SSL (Secure Sockets Layer), обеспечивает защищенное взаимодействие приложениями. TLS пре доставляет сервисы аутентификации (пользователя и поддержания цело стности и конфиденциальности Для реализации этих сервисов TLS опре деляет инфраструктуру, обеспечивающую: Х одно- и двухстороннюю аутентификацию с применением симметричного или асимметричного шифрования; Х согласование алгоритма шифрования; Х обмен ключами, используемыми для шифро вания сообщений; Х контроль за целостностью сообщений и аутентификацией пользователя с при менением кода сообщений. Подробнее о см. RFC 2246; подробнее о EAP-TLS см. REC 2716. EAP-TLS использует на этапе В случае TLS аутентификация и сервера осуществляется путем об мена сертификатами и проверки их Клиент, пытающийся посылает сертификат а сервер Ч машинный EAP-TLS только серверами доступа под Windows 2000 входящими в домен Windows 2000 или го режима. Автономные серверы удаленного доступа не поддерживают EAP-TLS. Ч это не тип ЕАР, а способ передачи сообщений любого типа ЕАР сервером удаленного доступа на сервер RADIUS для аутентификации. Сообщения ЕАР, между клиентом и сервером удаленного ются и форматируются как сообщения RADIUS, которыми обмениваются сервер удаленного доступа и сервер RADIUS. Таким образом, сервер удаленного доступа становится устройством сквозной передачи сообщений ЕАР между клиентом уда ленного доступа и сервером RADIUS. Вся обработка ЕАР выполняется на клиентах удаленного доступа и серверах RADIUS. EAP-RADIUS применяется в средах, где в качестве службы аутентификации ис RADIUS. Преимущество EAP-RADIUS в что типы ЕАР нужно устанавливать не на каждом удаленного доступа, а только на сервере RADIUS.