Установка и администрирование служб маршрутизации и удаленного доступа. [Занятие 14]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Thursday 23 November 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Односторонне-инициируемые подключения по требованию.
Если подключение по требованию всегда инициируется одним маршрутизатором (односторонне-инициируемое подключение по требованию), то можно упростить настройку отвечающего маршрутизатора, задав статические маршруты для учетной записи вызывающего маршрутизатора.
В этом примере используется конфигурация, подобная описанной в разделе Пример маршрутизации вызова по требованию, с тем отличием, что маршрутизатор в Сиэтле (маршрутизатор 1) всегда вызывает маршрутизатор, расположенный в Нью-Йорке (маршрутизатор 2).
Настройка маршрутизатора 1.
Настройка маршрутизатора 1 аналогична описанной в разделе Пример маршрутизации вызова по требованию. ( Выше)
Настройка маршрутизатора 2.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 2 нужно выполнить следующие действия:
Действие
Описание
Создание учетной записи с разрешением на удаленный доступ
Создается учетная запись пользователя со следующими параметрами:
Имя учетной записи: DD_Seattle;
Параметры учетной записи: Флажок Потребовать смену пароля при следующем входе в систему сброшен, а флажок Срок действия пароля не ограничен установлен. Учетной записи предоставляется разрешение на удаленный доступ либо с помощью параметров входящих звонков учетной записи пользователя, либо с помощью политики удаленного доступа.
Настройка статических маршрутов для учетной записи
В параметры учетной записи "DD_Seattle" добавляются статический маршрут к сетям офиса, расположенного в Сиэтле:
Назначение: 172.16.1.0;
Маска подсети: 255.255.255.0;
Метрика: 1.
Статические маршруты в параметрах входящих звонков учетной записи пользователя можно задавать только на изолированных серверах Windows Server 2003 или на серверах Windows Server 2003, являющихся членами домена Windows Server 2003, работающего в основном режиме.
Процесс подключения для односторонне-инициируемого подключения по требованию.
Когда пользователь компьютера с адресом 172.16.1.10 пытается подключиться к ресурсам компьютера с адресом 172.16.2.20, происходит следующее:
пакет с компьютера с адресом 172.16.1.10, предназначенный для компьютера с адресом 172.16.2.20, перенаправляется на маршрутизатор 1;
маршрутизатор 1 получает пакет и просматривает свою таблицу маршрутизации. Он находит маршрут к компьютеру с адресом 172.16.2.20, использующий интерфейс "DD_NewYork";
маршрутизатор 1 проверяет состояние интерфейса "DD_NewYork" и обнаруживает, что тот не подключен;
маршрутизатор 1 запрашивает конфигурацию интерфейса вызова по требованию "DD_NewYork";
используя конфигурацию интерфейса "DD_NewYork", маршрутизатор 1 выполняет с помощью модема, подключенного к порту COM1, вызов по номеру 555-0122;
маршрутизатор 2 отвечает на входящий звонок;
маршрутизатор 2 запрашивает у вызывающего маршрутизатора учетные данные для проверки подлинности;
маршрутизатор 1 отправляет имя пользователя "DD_Seattle" и соответствующий пароль;
по получении учетных данных маршрутизатор 2 проверяет с помощью системы безопасности Windows Server 2003 имя и пароль пользователя и убеждается, что маршрутизатор 1 имеет разрешение на удаленный доступ, заданное параметрами входящих звонков учетной записи "DD_Seattle" и политикой удаленного доступа;
маршрутизатор 2 получает статический маршрут (172.16.1.0 с маской подсети 255.255.255.0), заданный для учетной записи "DD_Seattle", и создает соответствующий статический маршрут в своей таблице маршрутизации. Если маршрутизатор 2 настроен на использование протоколов маршрутизации, он с помощью этих протоколов распространяет маршрут к сети офиса, расположенного в Сиэтле, на все маршрутизаторы нью-йоркского офиса;
маршрутизатор 2 теперь должен определить, кто выполняет входящий вызов - клиент удаленного доступа к сети или маршрутизатор, создающий подключение по требованию. Маршрутизатор 2 просматривает список своих интерфейсов вызова по требованию и не находит интерфейса с именем "DD_Seattle". Поэтому маршрутизатор 2 считает подключение к офису, расположенному в Сиэтле, подключением удаленного доступа к сети;
маршрутизатор 1 перенаправляет пакеты от компьютера с адресом 172.16.1.10 по подключению по требованию на маршрутизатор 2;
маршрутизатор 2 получает пакет и перенаправляет его на компьютер с адресом 172.16.2.20;
ответ на запрос компьютера с адресом 172.16.1.10 перенаправляется компьютером с адресом 172.16.2.20 на маршрутизатор 2;
маршрутизатор 2 получает пакет, предназначенный для компьютера с адресом 172.16.1.10, и просматривает свою таблицу маршрутизации. Он находит маршрут к компьютеру с адресом 172.16.1.10, использующий подключение к маршрутизатору 1;
маршрутизатор 1 перенаправляет пакет на компьютер с адресом 172.16.1.10.
После подключения статические маршруты учетной записи вызывающего маршрутизатора добавляются в таблицу маршрутизации отвечающего маршрутизатора. Если для распространения нового статического маршрута используются протоколы маршрутизации, то до того как все маршрутизаторы интрасети отвечающего маршрутизатора получат этот новый маршрут, с момента подключения должно пройти некоторое время. Поэтому узлы интрасети вызывающего маршрутизатора могут начать получать трафик от узлов интрасети отвечающего маршрутизатора по прошествии некоторого времени с момента подключения.
Маршрутизация при виртуальных частных подключениях.
Обычная маршрутизация предназначена для маршрутизаторов, использующих технологии локальных сетей общего доступа, такие как Ethernet или Token Ring, или технологии "точка-точка" глобальных сетей, такие как T1 или Frame Relay. В обычных глобальных сетях IP-пакеты перенаправляются между двумя маршрутизаторами по физическому или логическому каналу связи "точка-точка".
Благодаря широкому распространению Интернета появилась возможность маршрутизировать пакеты между подключенными к Интернету маршрутизаторами с помощью виртуального частного подключения, которое имитирует характеристики выделенного частного канала "точка-точка". Этот тип подключения называется виртуальной частной сетью "маршрутизатор-маршрутизатор". Виртуальные частные сети "маршрутизатор-маршрутизатор" позволяют использовать вместо дорогостоящих глобальных каналов связи на длинные расстояния местные подключения по глобальным сетям к провайдерам.
Для имитации частного подключения "точка-точка" пакеты, пересылаемые между маршрутизаторами, инкапсулируются (помещаются в оболочку) с дополнительным заголовком, содержащим информацию маршрутизации, необходимую для их доставки в точку назначения. Конечными точками такого подключения являются маршрутизаторы. Участок виртуальной частной сети, на котором инкапсулируются данные, называется туннелем.
В защищенных виртуальных частных подключениях пакеты перед инкапсуляцией зашифровываются. Перехваченные пакеты практически невозможно расшифровать, не имея ключей шифрования. Участок виртуальной частной сети, на котором данные шифруются, называется виртуальным частным подключением. В виртуальных частных сетях "маршрутизатор-маршрутизатор" туннель и виртуальное частное подключение совпадают.
Более подробную информацию о маршрутизации при виртуальных частных подключениях вы можете получить в справочной системе Windows Server 2003.
Дополнительные возможности маршрутизатора Windows.
Помимо стандартных возможностей любого маршрутизатора, маршрутизатор Windows Server 2003 поддерживает ряд дополнительных возможностей, ряд из которых характерен для Windows Server 2003.
Агент ретрансляции DHCP
Компонент Агент DHCP-ретрансляции маршрутизатора Windows Server 2003 представляет собой агент ретрансляции протокола BOOTP, который ретранслирует сообщения DHCP между DHCP-клиентами и DHCP-серверами, расположенными в различных IP-сетях. Для каждого сегмента IP-сети, содержащего DHCP-клиентов, требуется либо DHCP-сервер, либо компьютер, выступающий в качестве агента ретрансляции DHCP.
Нельзя использовать агент ретрансляции DHCP на компьютере с Windows Server 2003, на котором работает служба DHCP или протокол трансляции адресов NAT при включенной автоматической адресации.
Обнаружение маршрутизатора средствами ICMP
Для настройки на узлах IP-адресов локальных маршрутизаторов и предоставления узлам способа обнаружения маршрутизаторов можно использовать сообщения протокола ICMP - запросы на определение маршрутизаторов и объявления маршрутизаторов, описанные в стандарте RFC 1256.
Запросы на определение маршрутизаторов отправляются узлами с целью обнаружения маршрутизаторов в локальной сети.
Объявления маршрутизаторов отправляются самими маршрутизаторами в ответ на запросы на определение маршрутизаторов, а также периодически для уведомления узлов сети о том, что данный маршрутизатор все еще доступен.
Протокол TCP/IP в Windows Server 2003 поддерживает обнаружение маршрутизаторов средствами ICMP. Маршрутизатор Windows Server 2003 поддерживает ICMP-объявления маршрутизатора.
Интерфейсы IP-в-IP
Интерфейс IP-в-IP - это логический интерфейс для отправки IP-пакетов в туннельном режиме. Те IP-пакеты, которые обычно не передаются по локальной сети или Интернету, инкапсулируются и получают дополнительный заголовок IP. Полученные пакеты могут передаваться по локальной сети или Интернету.
Обычно интерфейсы IP-в-IP используются для перенаправления многоадресного IP-трафика из одной части сети в другую через участок сети, в котором не поддерживается многоадресное перенаправление или маршрутизация.
Интерфейс IP-в-IP настраивается так же, как и любой другой IP-интерфейс, включая задание фильтров пакетов для ограничения входящего и исходящего трафика этого интерфейса.
Поддержка управления питанием
Сведения о поддержке службой маршрутизации и удаленного доступа Windows Server 2003 управления питанием перечислены таблице ниже. В первом столбце указана конфигурация маршрутизатора удаленного доступа Windows Server 2003, во втором столбце - возможность перехода компьютера в спящий режим по соответствующему запросу интерфейса ACPI или APM, а в третьем столбце - возможность перехода компьютера в спящий режим по запросу пользователя.
Конфигурация маршрутизатора удаленного доступа
По запросу ACPI/APM
По запросу пользователя
Маршрутизатор локальной и глобальной сети
Нет
Да
Маршрутизатор только локальной сети
Нет
Нет
Маршрутизатор с активным VPN-подключением
Нет
Да
Маршрутизатор с активным преобразованием сетевых адресов
Нет
Да
Сервер удаленного доступа
Нет
Да
Сервер удаленного доступа с активным подключением удаленного доступа к сети
Нет
Да
Сервер удаленного доступа с активным VPN-подключением
Нет
Да
Если при поступлении от пользователя запроса на переход в спящий режим имеются активные подключения, маршрутизатор не сообщит о них. Все активные подключения будут прерваны.
