Установка и администрирование служб маршрутизации и удаленного доступа. [Занятие 14]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Thursday 23 November 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Общий доступ для подключения к Интернету и преобразование сетевых адресов.
Для подключения небольшой офисной или домашней сети к Интернету можно использовать два способа:
Маршрутизируемое подключение. При маршрутизируемом подключении компьютер с Windows Server 2003 выполняет функции IP-маршрутизатора, перенаправляющего пакеты между узлами локальной сети и узлами Интернета. Будучи концептуально простым, маршрутизируемое подключение в то же время требует знания конфигурации IP-адресов и маршрутизации узлов локальной сети и маршрутизатора Windows Server 2003. Однако маршрутизируемые подключения обеспечивают прохождение всего IP-трафика между узлами локальной сети и узлами Интернета.
Подключение с преобразованием сетевых адресов. При подключении с преобразованием сетевых адресов компьютер с Windows Server 2003 Server выполняет функции преобразователя сетевых адресов (NAT) - IP-маршрутизатора, который преобразовывает адреса пакетов, перенаправляемых между узлами локальной сети и узлами Интернета. Подключения с преобразованием сетевых адресов, используемые компьютерами Windows Server 2003, требуют меньших знаний об IP-адресах и маршрутизации и обеспечивают более простую настройку узлов локальной сети и маршрутизатора Windows Server 2003. Однако подключения с преобразованием сетевых адресов могут не обеспечивать прохождение всего IP-трафика между узлами локальной сети и узлами Интернета.
Windows Server 2003 подключение к Интернету с преобразованием сетевых адресов можно настроить либо путем предоставления общего доступа для подключения к Интернету, либо с помощью протокола NAT (Network Address Translation), входящего в состав службы маршрутизации и удаленного доступа. И общий доступ для подключения к Интернету, и преобразование сетевых адресов обеспечивают узлам небольшой локальной сети преобразование и назначение адресов и предоставляют им службы разрешения имен.
Возможность общего доступа к подключению Интернета предназначена для максимального облегчения настройки (всего один флажок) компьютера Windows Server 2003 на предоставление всем узлам небольшой локальной сети доступа к Интернету с преобразованием сетевых адресов. Однако, будучи включенным, общий доступ для подключения к Интернету не позволит больше выполнять настройки, выходящие за пределы настройки приложений и служб небольшой локальной сети. Например, общий доступ для подключения к Интернету рассчитан на использование только одного IP-адреса, получаемого от провайдера, и не позволит изменять диапазон IP-адресов, выделенный узлам небольшой локальной сети.
Протокол маршрутизации NAT предназначен для обеспечения максимальной гибкости в настройке компьютера Windows Server 2003 на предоставление подключения к Интернету с преобразованием сетевых адресов. Протокол NAT позволяет использовать диапазоны IP-адресов, выделяемые провайдером, и настраивать диапазон IP-адресов, назначаемых узлам небольшой локальной сети.
В следующей таблице перечислены функции и возможности общего доступа для подключения к Интернету и преобразования сетевых адресов.
Общий доступ для подключения к Интернету
Преобразование сетевых адресов
Настройка всего одним флажком
Ручная настройка
Единственный общий IP-адрес
Несколько общих IP-адресов
Фиксированный диапазон адресов для узлов локальной сети
Настраиваемый диапазон адресов для узлов локальной сети
Единственный интерфейс с локальной сетью
Несколько интерфейсов с локальной сетью
Общий доступ для подключения к Интернету и преобразование сетевых адресов это средства Windows Server 2003, предназначенные для подключения к Интернету небольших офисных или домашний сетей. Они не предназначены для:
непосредственного соединения небольших офисных или домашних локальных сетей друг с другом;
соединения отдельных сетей в локальной сети;
непосредственного соединения сетей подразделений с сетью организации;
соединения сетей подразделений с сетью организации через Интернет.
Введение в преобразование сетевых адресов.
Преобразование сетевых адресов в Windows Server 2003 позволяет настроить домашнюю или небольшую офисную сеть на совместное использование одного подключения к Интернету. Преобразование сетевых адресов осуществляется следующими компонентами:
Компонент
Описание
Компонент преобразования
Маршрутизатор Windows Server 2003 с настроенным протоколом NAT (далее именуемый "компьютер, выполняющий преобразование сетевых адресов") преобразовывает IP-адреса и номера портов TCP/UDP пакетов, перенаправляемых между частной сетью и Интернетом.
Компонент адресации
Компьютер, выполняющий преобразование сетевых адресов, предоставляет информацию о параметрах конфигурации протокола TCP/IP другим компьютерам локальной сети. Компонент адресации - это упрощенный DHCP-сервер, назначающий IP-адрес, маску подсети, адрес основного шлюза и IP-адреса DNS-серверов. Для автоматического получения параметров TCP/IP необходимо настроить клиентские компьютеры на использование динамической адресации.
Компонент разрешения имен
Компьютер, выполняющий преобразование сетевых адресов, становится DNS-сервером для других компьютеров локальной сети. Когда компьютер, выполняющий преобразование сетевых адресов, получает запросы на разрешение имен, он перенаправляет их DNS-серверу в Интернете, на работу с которым он настроен, и возвращает ответы компьютеру локальной сети.
Так как преобразование сетевых адресов осуществляется, в частности, компонентами адресации и разрешения имен, предоставляющими службы DHCP и DNS узлам частной сети, в сети нельзя запускать следующие службы:
службу DHCP или агент ретрансляции DHCP, если включено назначение адресов средствами преобразования сетевых адресов;
службу DNS, если включено разрешение сетевых имен TCP/IP средствами преобразования сетевых адресов.
Частные адреса в Интернете.
Для работы в Интернете необходимо использовать уникальные адреса, распределяемые координирующими организациями, такими как InterNIC. Компьютеры с такими адресами могут принимать трафик от узлов Интернета и называются общими адресами. Для небольших офисных или домашних сетей провайдером обычно выделяет один общий адрес (или адреса) из собственного диапазона общих адресов.
Любой компьютер локальной сети, которому требуется доступ к ресурсам Интернет, должен использовать свой собственный общий адрес. Это требование налагает существенное ограничение на доступное множество общих адресов.
Чтобы ослабить это ограничение, предусмотрена схема повторного использования адресов, заключающаяся в резервировании ряда адресов сетей для использования в частных сетях. В число зарезервированных для частных сетей диапазонов адресов входят:
сеть 10.0.0.0 с маской подсети 255.0.0.0;
сеть 172.16.0.0 с маской подсети 255.240.0.0;
сеть 192.168.0.0 с маской подсети 255.255.0.0.
Дополнительные сведения об областях пространства IP-адресов, зарезервированных для частных сетей, можно получить в стандарте RFC 1597. Все адреса из этих диапазонов называются частными адресами.
Частные адреса не могут напрямую получать трафик от узлов Интернета. Поэтому если в локальной сети используются частные адреса и требуется связь с узлами Интернета, частный адрес должен быть преобразован в общий адрес. Преобразователь сетевых адресов (NAT) располагается между локальной сетью и Интернетом. Частные адреса исходящих пакетов локальной сети преобразовываются NAT в общие адреса. Общие адреса входящих пакетов Интернета преобразовываются NAT в частные адреса.
Пример использования NAT.
Если в небольшой организации используется сеть с адресом 192.168.0.0, а провайдер выделил этой организации общий адрес w1.x1.y1.z1, то средство преобразования сетевых адресов (NAT) отображает все частные адреса сети 192.168.0.0 на IP-адрес w1.x1.y1.z1. Если несколько частных адресов отображены на один общий адрес, NAT использует динамически выбираемые TCP- и UDP-порты для идентификации различных узлов сети.
На следующем рисунке показан пример использования NAT для подключения локальной сети к Интернету.
Если пользователь частной сети с адресом 192.168.0.10 обращается с помощью браузера к веб-серверу по адресу w2.x2.y2.z2, на компьютере пользователя создается IP-пакет со следующими параметрами:
IP-адрес приемника
w2.x2.y2.z2
IP-адрес источника
192.168.0.10
Порт приемника
TCP-порт 80
Порт источника
TCP-порт 1025
Этот IP-пакет перенаправляется преобразователю сетевых адресов (NAT), который преобразовывает адреса исходящего пакета следующим образом:
IP-адрес приемника
w2.x2.y2.z2
IP-адрес источника
w1.x1.y1.z1
Порт приемника
TCP-порт 80
Порт источника
TCP-порт 5000
Преобразователь сетевых адресов (NAT) сохраняет в своей таблице отображение адреса на адрес .
Преобразованный IP-пакет отправляется по Интернету веб-серверу. Пакет, посылаемый в ответ на преобразованный пакет, принимается преобразователем сетевых адресов (NAT). Полученный пакет содержит следующие данные:
IP-адрес приемника
w1.x1.y1.z1
IP-адрес источника
w2.x2.y2.z2
Порт приемника
TCP-порт 5000
Порт источника
TCP-порт 80
Преобразователь сетевых адресов (NAT) проверяет свою таблицу преобразования, после чего отображает общий адрес на частный адрес и перенаправляет пакет на компьютер с адресом 192.168.0.10. Перенаправляемый пакет содержит следующие данные:
IP-адрес приемника
192.168.0.10
IP-адрес источника
w2.x2.y2.z2
Порт приемника
TCP-порт 1025
Порт источника
TCP-порт 80
Для исходящих пакетов частный IP-адрес источника отображается на общий адрес, выделенный провайдером, а номера TCP/UDP-портов отображаются на другие номера TCP/UDP-портов.
Для входящих пакетов общий IP-адрес источника отображается на исходный частный адрес, а номера TCP/UDP-портов отображаются на исходные номера TCP/UDP-портов.
Пакеты, содержащие IP-адрес только в заголовке IP, правильно преобразовываются протоколом NAT. Пакеты, содержащие IP-адрес в полезных данных, могут неправильно преобразовываться протоколом NAT.
Редакторы NAT.
Обычно преобразование сетевых адресов заключается в преобразовании следующих данных:
IP-адресов в заголовке IP;
Номеров портов TCP в заголовке TCP;
Номеров портов UDP в заголовке UDP.
Для преобразования любых других данных требуется дополнительная обработка, выполняемая дополнительными программными компонентами, называемыми редакторами NAT. Редактор NAT вносит в IP-пакет все остальные изменения, не связанные с преобразованием IP-адреса в заголовке IP, порта TCP в заголовке TCP и порта UDP в заголовке UDP.
Например, трафик протокола HTTP не требует редактора NAT, так как для этого протокола требуется лишь преобразование IP-адреса в заголовке IP и порта TCP в заголовке TCP. Ниже показаны две ситуации, в которых редактор NAT необходим.
Ситуация
Описание
IP-адрес, порт TCP или порт UDP хранятся в полезных данных
Например, протокол FTP хранит точечно-десятичные представления IP-адресов в заголовке FTP для команды FTP PORT. Если NAT не сможет правильно преобразовать IP-адрес из заголовка FTP и откорректировать поток данных, то передача данных по протоколу будет невозможна
TCP или UDP не используются для идентификации потока данных
Например, данные, передаваемые по туннелю PPTP, не используют заголовки TCP или UDP. Вместо этого используется заголовок общей маршрутизирующей инкапсуляции (GRE), а код туннеля, хранящийся в заголовке GRE, идентифицирует поток данных. Если NAT не сможет правильно преобразовать код туннеля из заголовка GRE, то связь по туннелю не будет установлена
Windows Server 2003 имеет встроенные редакторы NAT для следующих протоколов:
FTP;
ICMP;
PPTP;
NetBIOS через TCP/IP.
Кроме того, протокол NAT содержит программное обеспечение прокси-агентов для следующих протоколов:
H.323;
Direct Play;
Регистрация ILS на основе LDAP;
RPC.
Преобразование трафика IPSec невозможно даже с помощью редактора NAT.
Фильтрация пакетов.
Маршрутизатор Windows Server 2003 поддерживает фильтрацию IP- и IPX-пакетов, которая позволяет задать типы исходящего и входящего трафика, разрешенные для данного маршрутизатора. Фильтрация пакетов в маршрутизаторе Windows Server 2003 основана на исключениях. Фильтры пакетов задаются для конкретного интерфейса и могут быть настроены на:
пропускание всего трафика за исключением пакетов, запрещенных фильтрами;
отклонение всего трафика за исключением пакетов, разрешенных фильтрами.
