Установка и администрирование служб маршрутизации и удаленного доступа. [Занятие 14]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Thursday 23 November 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Маршрутизация вызова по требованию.
Маршрутизатор Windows Server 2003 поддерживает также маршрутизацию вызова по требованию. Используя интерфейс вызова по требованию, маршрутизатор при получении им пакета, который требуется направить удаленному узлу, может инициировать подключение к этому узлу. Если в течение определенного времени данные по установленному каналу не передаются, связь будет разорвана. Возможность подключения по требованию позволяет использовать существующие коммутируемые телефонные линии вместо выделенных линий в ситуациях, когда объем трафика невелик. Маршрутизация вызова по требованию позволяет существенно уменьшить стоимость подключения.
Маршрутизатор Windows Server 2003 также поддерживает фильтры вызова по требованию и ограничения на часы исходящих вызовов.
Фильтры вызова по требованию позволяют указать типы трафика, которым разрешается осуществлять подключение. Следует отличать фильтры вызова по требованию от фильтров IP-пакетов, которые используются для ограничения входящего и исходящего трафика на интерфейсе после подключения.
Ограничения на часы исходящих вызовов определяют время, в которое маршрутизатору разрешается выполнять исходящие вызовы для осуществления подключений по требованию.
Задать условия, при которых маршрутизатор принимает входящие подключения, можно с помощью политики удаленного доступа.
Несмотря на очень простую концепцию маршрутизации вызова по требованию, ее настройка довольно сложна. Эта сложность обусловлена следующими факторами:
Адресация конечных точек подключения. Подключение устанавливается по общедоступным сетям передачи данных, таким как телефонная линия. Конечная точка подключения должна идентифицироваться номером телефона или другим идентификатором.
Проверка подлинности и авторизация вызывающего. Необходима проверка подлинности и авторизация любых клиентов, подключающихся к маршрутизатору. Проверка подлинности выполняется на основе учетных данных вызывающего клиента, передаваемых в процессе подключения. Для подключения должна использоваться существующая учетная запись пользователя. Авторизация выполняется на основании параметров входящих звонков учетной записи пользователя и политики удаленного доступа.
Различие между клиентами удаленного доступа и маршрутизаторами. На компьютере Windows Server 2003 службы маршрутизации и удаленного доступа сосуществуют. Клиенты удаленного доступа и маршрутизаторы могут выполнять вызов по одному и тому же номеру телефона. Компьютер с Windows Server 2003, отвечающий на вызов, должен уметь отличать клиента удаленного доступа от маршрутизатора, пытающегося установить подключение по требованию. Чтобы можно было отличить маршрутизатор вызова по требованию от клиента удаленного доступа, маршрутизатор вызова по требованию должен использовать имя пользователя, совпадающее с именем интерфейса отвечающего маршрутизатора. В противном случае считается, что выполняется подключение клиента удаленного доступа.
Настройка обеих сторон подключения. Необходима настройка обеих сторон подключения, даже если подключение по требованию всегда будет инициироваться одной стороной. Если настроить только одну сторону подключения, то пакеты будут успешно маршрутизироваться только в одном направлении. Для нормальной связи требуется передача информации в обоих направлениях.
Настройка статических маршрутов. Не следует использовать протоколы динамической маршрутизации для подключений по требованию. Поэтому маршруты к сетям, доступным через интерфейс вызова по требованию, должны быть добавлены в таблицу маршрутизации в виде статических маршрутов. Это можно сделать вручную или с помощью автостатических обновлений.
Пример маршрутизации вызова по требованию.
Ниже описывается пример, демонстрирующий сложность (и элегантность) маршрутизации вызова по требованию. В нем показана конфигурация с двумя офисами, которые используют IP-маршрутизацию вызова по требованию.
В офисе, расположенном в Сиэтле, находится компьютер с Windows Server 2003, выполняющий функции сервера удаленного доступа и маршрутизатора вызова по требованию. Все компьютеры в офисе Сиэтла подключены к сети 172.16.1.0 (маска подсети 255.255.255.0). К порту COM1 маршрутизатора офиса, расположенного в Сиэтле (далее - маршрутизатор 1), подключен модем, использующий номер телефона 555-0111.
В офисе, расположенном в Нью-Йорке, находится компьютер с Windows Server 2003, выполняющий функции сервера удаленного доступа и маршрутизатора вызова по требованию. Все компьютеры в нью-йоркском офисе подключены к сети 172.16.2.0 (маска подсети 255.255.255.0). К порту COM2 маршрутизатора офиса, расположенного в Нью-Йорке (далее - маршрутизатор 2), подключен модем, использующий номер телефона 555-0122.
Пользователю компьютера с IP-адресом 172.16.1.10 требуется связаться с пользователем компьютера, имеющего IP-адрес 172.16.2.20, и наоборот.
В этом примере описана ручная настройка маршрутизации вызова по требованию, что позволяет лучше понять принципы ее работы. Настоятельно рекомендуется использовать мастер интерфейса вызова по требованию, который позволяет автоматизировать процесс настройки. Мастер интерфейса вызова по требованию выполняет все описанные ниже действия по настройке, за исключением создания статического маршрута.
Настройка маршрутизатора 1.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 1 нужно выполнить следующие действия:
Действие
Описание
Создание интерфейса вызова по требованию
Создается интерфейс вызова по требованию с именем "DD_NewYork" со следующими параметрами:
Оборудование: модем на COM1;
Номер телефона: 555-0122;
Протоколы: TCP/IP;
Имя пользователя: DD_Seattle.
Создание статического маршрута
Создается статический IP-маршрут со следующими параметрами:
Интерфейс: DD_NewYork;
Назначение: 172.16.2.0;
Маска подсети: 255.255.255.0;
Метрика: 1.
Создание учетной записи с разрешением на удаленный доступ
Создается учетная запись пользователя со следующими параметрами:
Имя учетной записи: DD_NewYork;
Параметры учетной записи: Флажок Потребовать смену пароля при следующем входе в систему сброшен, а флажок Срок действия пароля не ограничен установлен. Учетной записи предоставляется разрешение на удаленный доступ либо с помощью параметров входящих звонков учетной записи пользователя, либо с помощью политики удаленного доступа.
Настройка маршрутизатора 2.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 2 нужно выполнить следующие действия:
Действие
Описание
Создание интерфейса вызова по требованию
Создается интерфейс вызова по требованию с именем "DD_Seattle" со следующими параметрами:
Оборудование: модем на COM2;
Номер телефона: 555-0111;
Протоколы: TCP/IP;
Имя пользователя: DD_NewYork.
Создание статического маршрута
Создается статический IP-маршрут со следующими параметрами:
Интерфейс: DD_Seattle;
Назначение: 172.16.1.0;
Маска подсети: 255.255.255.0;
Метрика: 1.
Создание учетной записи с разрешением на удаленный доступ
Создается учетная запись пользователя со следующими параметрами:
Имя учетной записи: DD_Seattle;
Параметры учетной записи: Флажок Потребовать смену пароля при следующем входе в систему сброшен, а флажок Срок действия пароля не ограничен установлен. Учетной записи предоставляется разрешение на удаленный доступ либо с помощью параметров входящих звонков учетной записи пользователя, либо с помощью политики удаленного доступа.
Результирующая конфигурация.
На следующем рисунке показана конфигурация маршрутизации вызова по требованию для офисов в Сиэтле и Нью-Йорке.
Для нормальной работы двусторонне-инициируемых подключений по требованию на обеих сторонах подключения имя пользователя вызывающего маршрутизатора должно совпадать с именем интерфейса вызова по требованию.
Процесс подключения по требованию.
Когда пользователь компьютера с адресом 172.16.1.10 пытается подключиться к ресурсам компьютера с адресом 172.16.2.20, происходит следующее:
пакет с компьютера с адресом 172.16.1.10, предназначенный для компьютера с адресом 172.16.2.20, перенаправляется на маршрутизатор 1;
маршрутизатор 1 получает пакет и просматривает свою таблицу маршрутизации. Он находит маршрут к компьютеру с адресом 172.16.2.20, использующий интерфейс "DD_NewYork";
маршрутизатор 1 проверяет состояние интерфейса "DD_NewYork" и обнаруживает, что тот не подключен;
маршрутизатор 1 запрашивает конфигурацию интерфейса вызова по требованию "DD_NewYork";
используя конфигурацию интерфейса "DD_NewYork", маршрутизатор 1 выполняет с помощью модема, подключенного к порту COM1, вызов по номеру 555-0122;
маршрутизатор 2 отвечает на входящий звонок;
маршрутизатор 2 запрашивает у вызывающего маршрутизатора учетные данные для проверки подлинности;
маршрутизатор 1 отправляет имя пользователя "DD_Seattle" и соответствующий пароль;
по получении учетных данных маршрутизатор 2 проверяет с помощью системы безопасности Windows Server 2003 имя и пароль пользователя и убеждается, что маршрутизатор 1 имеет разрешение на удаленный доступ, заданное параметрами входящих звонков учетной записи "DD_Seattle" и политикой удаленного доступа;
маршрутизатор 2 теперь должен определить, кто выполняет входящий вызов - клиент удаленного доступа к сети или маршрутизатор, создающий подключение по требованию. Маршрутизатор 2 просматривает список своих интерфейсов вызова по требованию в поисках интерфейса, имя которого совпадает с именем пользователя, отправленным в учетных данных маршрутизатора 1. Маршрутизатор 2 находит интерфейс вызова по требованию с именем "DD_Seattle", совпадающим с именем пользователя;
маршрутизатор 2 переводит интерфейс вызова по требованию "DD_Seattle" в подключенное состояние;
маршрутизатор 1 перенаправляет пакеты от компьютера с адресом 172.16.1.10 по подключению по требованию на маршрутизатор 2;
маршрутизатор 2 получает пакет и перенаправляет его на компьютер с адресом 172.16.2.20;
твет на запрос компьютера с адресом 172.16.1.10 перенаправляется компьютером с адресом 172.16.2.20 на маршрутизатор 2;
маршрутизатор 2 получает пакет, предназначенный для компьютера с адресом 172.16.1.10, и просматривает свою таблицу маршрутизации. Он находит маршрут к компьютеру с адресом 172.16.1.10, использующий интерфейс "DD_Seattle";
маршрутизатор 2 проверяет состояние интерфейса "DD_Seattle" и обнаруживает, что тот подключен;
маршрутизатор 1 перенаправляет пакет на компьютер с адресом 172.16.1.10.
Если имя пользователя не совпадает с именем соответствующего интерфейса вызова по требованию, то отвечающий маршрутизатор будет считать, что вызов выполняет клиент удаленного доступа к сети, что приведет к неправильной маршрутизации.
Например, если маршрутизатор 1 использует имя пользователя "DialUpRouter1", то маршрутизатор 1 идентифицируется как клиент удаленного доступа к сети, а не как маршрутизатор. Пакеты с компьютера с адресом 172.16.1.10 маршрутизируются на компьютер с адресом 172.16.2.20 как описано выше.
Однако ответные пакеты от компьютера с адресом 172.16.2.20 для компьютера с адресом 172.16.1.10 перенаправляются на маршрутизатор 2, который после просмотра своей таблицы маршрутизации определяет, что нужно использовать интерфейс "DD_Seattle". Интерфейс "DD_Seattle" находится в отключенном состоянии. На основании конфигурации интерфейса "DD_Seattle" должен использоваться порт COM2. Однако порт COM2 в настоящее время используется клиентом удаленного доступа (маршрутизатором 2). Маршрутизатор 2 пытается найти другой, не используемый в настоящее время модем. Если такой модем будет найден, маршрутизатор 2 выполняет вызов маршрутизатора 1 и после подключения перенаправляет пакет. Если другой модем не найден, ответные пакеты от компьютера с адресом 172.16.2.20 для компьютера с адресом 172.16.1.10 отклоняются.
