Установка и администрирование служб маршрутизации и удаленного доступа. [Занятие 14]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Thursday 23 November 2006 - 00:00:00
[newpage=Общие сведения о маршрутизации.]
Занятие 14 Установка и администрирование служб маршрутизации и удаленного доступа.
Любая редакция Windows Server 2003 включает службу маршрутизации и удаленного доступа, которая предназначена для выполнения следующих задач:
По своим возможностям служба не уступает многим специализированным маршрутизаторам и является хорошей альтернативой в небольших сетях.
Общие сведения о маршрутизации.
Служба маршрутизации и удаленного доступа, входящая в состав Windows Server 2003 - это полнофункциональный программный маршрутизатор и открытая платформа для маршрутизации и объединения сетей. Она предлагает службы маршрутизации в локальных и глобальных сетевых средах, а также через Интернет с помощью безопасных виртуальных частных подключений. Служба маршрутизации и удаленного доступа объединяет функции раздельных служб маршрутизации и удаленного доступа Windows NT 4.0 и является расширением службы Routing and Remote Access Service (RRAS) Windows NT 4.0.
Компьютер под управлением Windows Server 2003 с установленной и настроенной службой маршрутизации и удаленного доступа, обеспечивающий маршрутизацию в локальной или глобальной сети, здесь и далее называется "маршрутизатором Windows Server 2003".
Маршрутизатор Windows Server 2003 поддерживает:
Интерфейсы маршрутизации, устройства и порты.
Маршрутизатор Windows Server 2003 рассматривает установленное сетевое оборудование как набор интерфейсов маршрутизации, устройств и портов.
Интерфейс маршрутизации
Маршрутизатор Windows Server 2003 использует интерфейс маршрутизации для перенаправления одноадресных IP-, IPX- или AppleTalk-пакетов, а также многоадресных IP-пакетов. Существует три типа интерфейсов маршрутизации.
Устройство
Устройство - это оборудование или программное обеспечение, предоставляющее порты, которые используются подключениями удаленного доступа для создания соединений "точка-точка". Устройства могут быть физическими, например модем, или виртуальными, например протоколы виртуальных частных сетей. Устройства могут поддерживать один порт, например модем, или несколько портов, например пул модемов, способный принять одновременно большое количество входящих вызовов по телефонным линиям. Примерами виртуальных многопортовых устройств являются протоколы PPTP и L2TP. Каждый из этих туннельных протоколов поддерживает несколько виртуальных частных подключений.
Порт
Порт - это канал устройства, который поддерживает одно соединение "точка-точка". Для однопортовых устройств, таких как модемы, устройство и порт неразличимы. Для многопортовых устройств порт является частью устройства, обеспечивающим отдельный канал связи "точка-точка". Например, адаптеры ISDN с интерфейсом BRI поддерживают два отдельных канала, называемых B-каналами. Адаптер ISDN является устройством. Каждый B-канал является портом, так как по каждому B-каналу создается отдельное соединение "точка-точка".
[newpage=Общие сведения об одноадресной маршрутизации.]
Общие сведения об одноадресной маршрутизации.
Одноадресной маршрутизацией называют перенаправление трафика, предназначенного для одного получателя в объединенной сети, от узла-источника к узлу-приемнику с помощью маршрутизаторов. Объединенная сеть - это по меньшей мере две сети, соединенные маршрутизаторами. Маршрутизатор - это промежуточная система сетевого уровня, используемая для соединения сетей на основе общего протокола сетевого уровня, такого как TCP/IP или IPX. Сеть - это часть сетевой инфраструктуры, которая подключена к маршрутизатору и имеет один и тот же адрес сетевого уровня, называемый адресом сети.
Обычно маршрутизатор подключен к двум или нескольким локальным или глобальным сетям. Компьютеры одной сети могут отправлять пакеты компьютерам других сетей, перенаправляя пакеты на маршрутизатор. Маршрутизатор исследует пакет и по адресу сети назначения в заголовке пакета определяет интерфейс, который нужно использовать для перенаправления пакета. С помощью протоколов маршрутизации (OSPF, RIP и других) маршрутизатор получает информацию о сети, например сетевые адреса, от соседних маршрутизаторов и распространяет эту информацию на маршрутизаторы других сетей для обеспечения связи между всеми компьютерами во всех сетях.
Маршрутизатор Windows Server 2003 может обслуживать трафик протоколов IP, IPX и AppleTalk.
Таблицы маршрутизации.
Решение о пересылке данных по определенному маршруту принимается на основании сведений о том, какие сети входят в состав объединенной сети. Эти сведения содержатся в базе данных, называемой таблицей маршрутизации. Таблица маршрутизации представляет собой набор записей, называемых маршрутами, которые содержат информацию о способах достижения отдельных сетей. Таблицы маршрутизации могут существовать не только на маршрутизаторах. Узлы, не являющиеся маршрутизаторами, могут также вести свои таблицы маршрутизации для определения оптимальных маршрутов.
Типы записей в таблице маршрутизации
Каждая запись в таблице маршрутизации считается маршрутом и может иметь один из следующих типов:
Конфигурации маршрутизации.
Маршрутизаторы можно использовать при многих топологиях и конфигурациях сетей. При добавлении маршрутизатора Windows Server 2003 в сеть необходимо выбрать:
Простой сценарий маршрутизации
Ниже представлена простая сетевая конфигурация с маршрутизатором Windows Server 2003, соединяющим два сегмента локальной сети (сети A и B). В такой конфигурации протоколы маршрутизации не нужны, поскольку в сети нет других маршрутизаторов.
Сценарий с несколькими маршрутизаторами
Ниже представлена более сложная конфигурация сети с использованием маршрутизации.
В этой конфигурации присутствуют три сети (сети A, B и C) и два маршрутизатора (маршрутизаторы 1 и 2). Маршрутизатор 1 подключен к сетям A и B, а маршрутизатор 2 - к сетям B и C. Маршрутизатор 1 должен уведомить маршрутизатор 2 о том, что сеть A достижима через маршрутизатор 1, а маршрутизатор 2 должен уведомить маршрутизатор 1, что сеть C достижима через маршрутизатор 2. Эта информация передается автоматически протоколами маршрутизации, такими как RIP или OSPF. Когда пользователь сети A пытается связаться с пользователем сети C, компьютер пользователя сети A перенаправляет пакет на маршрутизатор 1. Маршрутизатор 1 затем перенаправляет пакет маршрутизатору 2. И наконец, маршрутизатор 2 перенаправляет пакет компьютеру пользователя в сети C.
Если протоколы маршрутизации не используются, сетевой администратор должен настроить статические маршруты в таблицах маршрутизации маршрутизаторов 1 и 2. Для показанной здесь конфигурации сети хорошо подходят статические маршруты, однако они не учитывают изменения в топологии сети и малопригодны для более крупных сетей.
Сценарий с маршрутизацией вызова по требованию
Ниже представлена конфигурация с маршрутизацией вызова по требованию.
Сети A и B расположены в географически разных регионах; для объема трафика между этими сетями использовать выделенный канал связи экономически нецелесообразно. Маршрутизатор 1 и маршрутизатор 2 могут подключаться друг к другу по аналоговой телефонной линии с помощью установленных на них модемов (или по другим каналам связи, например ISDN). Когда компьютер в сети A инициирует связь с компьютером в сети B, маршрутизатор 1 осуществляет подключение по телефонной линии к маршрутизатору 2. Модемное подключение поддерживается так долго, как это необходимо для передачи и приема пакетов. Если подключение в течение определенного времени находится в состоянии простоя, маршрутизатор 1 разрывает подключение с целью экономии.
IP-маршрутизация.
IP-маршрутизация - это перенаправление IP-трафика от узла-источника к узлу-приемнику через IP-маршрутизаторы. На каждом маршрутизаторе в таблице маршрутизации выполняется поиск наилучшего маршрута для IP-адреса назначения, указанного в пакете. Маршруты могут быть как статическими (задаются и изменяются администратором), так и динамическими (настраиваются и обновляются динамически при помощи протоколов маршрутизации).
Протоколы IP-маршрутизации
В средах с динамической IP-маршрутизацией распространение информации IP-маршрутизации осуществляется с помощью протоколов IP-маршрутизации. Маршрутизатор Windows Server 2003 поддерживает два наиболее популярных протокола одноадресной IP-маршрутизации:
Маршрутизатор Windows Server 2003 может использовать не только протоколы RIP для IP и OSPF. Он является расширяемой платформой, и независимые разработчики могут реализовать другие протоколы IP-маршрутизации, например IGRP (Interior Gateway Routing Protocol) и BGP (Border Gateway Protocol).
В одной локальной сети могут работать несколько разных протоколов маршрутизации. В таком случае необходимо с помощью уровней предпочтений выбрать протокол маршрутизации, который будет наиболее предпочтительным источником информации о маршрутах. Предпочтительный протокол маршрутизации является источником маршрута, добавляемого в таблицу маршрутизации, независимо от метрики этого маршрута. Например, если метрика маршрута, обнаруженного OSPF, равна 5, а метрика соответствующего маршрута, вычисленного RIP, равна 3, и OSPF является предпочтительным протоколом маршрутизации, то в таблицу IP-маршрутизации добавляется маршрут OSPF, а маршрут RIP игнорируется.
Если используется несколько протоколов IP-маршрутизации, настраивайте для каждого интерфейса только один протокол.
Протокол RIP для IP.
Протокол RIP (Routing Information Protocol) предназначен для обмена информацией о маршрутизации в небольших и средних по размеру объединенных сетях.
Самым главным преимуществом RIP является простота его развертывания и настройки. Основной же недостаток RIP заключается в неспособности обеспечить масштабируемость в больших и очень больших объединенных сетях. RIP-маршрутизаторы поддерживают маршруты максимум из 15 узлов. Сети, маршруты до которых содержат более 15 узлов, считаются недостижимыми. Также по мере расширения объединенной сети периодические объявления каждого из RIP-маршрутизаторов могут существенно увеличить межсетевой трафик. Еще один недостаток RIP - значительное время переконфигурирования. Если топология сети изменилась, для перенастройки RIP-маршрутизаторов с учетом новой топологии может потребоваться несколько минут. Также при изменении конфигурации объединенной сети могут возникнуть циклические маршруты, следствием чего является невозможность доставки или потеря данных.
Изначально таблица маршрутизации для каждого маршрутизатора содержит записи только для тех сетей, которые физически подключены к нему. RIP-маршрутизатор периодически отправляет объявления, содержащие записи его таблицы маршрутизации, во все доступные сети, достижимые через него. RIP версии 1 использует для своих объявлений широковещательные IP-пакеты. RIP версии 2 использует для своих объявлений широковещательные или многоадресные пакеты.
RIP-маршрутизаторы могут также обмениваться информацией о маршрутизации с помощью инициируемых обновлений. Инициируемые обновления выполняются при изменении топологии сети для оповещения о произошедших изменениях. При инициируемом обновлении информация об изменениях отправляется незамедлительно, не дожидаясь следующего периодического объявления. Например, когда маршрутизатор обнаруживает сбой канала связи или другого маршрутизатора, он обновляет собственную таблицу маршрутизации и отправляет обновленные маршруты другим маршрутизаторам. Каждый маршрутизатор, принимающий данные инициируемого обновления, изменяет свою таблицу маршрутизации и распространяет изменения дальше.
Маршрутизатор Windows Server 2003 поддерживает обе версии протокола RIP. Реализация протокола RIP в данном маршрутизаторе обладает следующими возможностями:
Протокол OSPF.
Протокол OSPF (Open Shortest Path First) предназначен для обмена информацией о маршрутизации в больших и очень больших объединенных сетях.
Основным преимуществом OSPF является его эффективность; даже в очень больших сетях OSPF мало загружает сеть своим трафиком. Самый существенный недостаток OSPF - его сложность: OSPF требует грамотного планирования и более сложен в настройке и администрировании.
Для вычиления маршрутов в таблице маршрутизации OSPF использует алгоритм выбора кратчайшего пути (SPF). Алгоритм SPF вычисляет кратчайший (имеющий наименьшую стоимость) путь между маршрутизатором и всеми сетями объединенной сети. Маршруты, вычисленные по алгоритму SPF, не могут быть циклическими.
Вместо того чтобы обмениваться записями таблиц маршрутизации, как это делают RIP-маршрутизаторы, OSPF-маршрутизаторы хранят схему объединенной сети, обновляя ее после каждого изменения топологии сети. Эта схема, называемая базой данных состояния связей, синхронизируется между всеми OSPF-маршрутизаторами и используется для вычисления маршрутов в таблице маршрутизации. Соседствующие OSPF-маршрутизаторы образуют соседство - логическую связь между маршрутизаторами для синхронизации базы данных состояния связей.
Изменения в топологии сети эффективно распространяются по всей объединенной сети, обеспечивая синхронизацию и актуальность базы данных состояния связей на всех маршрутизаторах.
По мере увеличения размера базы данных состояния связей увеличивается и требуемый объем памяти, а также время, необходимое для пересчета. Для решения этой проблемы масштабирования OSPF делит объединенную сеть на области (совокупности соединенных сетей), которые связаны друг с другом через магистральную область. Каждый маршрутизатор хранит базу данных состояния связей только для тех областей, которые к нему подключены. Маршрутизаторы на границах областей связывают магистральную область с другими областями. Ниже представлена диаграмма объединенной сети с протоколом OSPF.
OSPF имеет следующие преимущества перед RIP:
Реализация протокола OSPF в маршрутизаторе Windows Server 2003 обладает следующими возможностями:
Маршрутизатор Windows Server 2003 не поддерживает использование протокола OSPF при подключениях по требованию, выполняемых по временным коммутируемым каналам связи.
[newpage=Общие сведения о многоадресной маршрутизации.]
Общие сведения о многоадресной маршрутизации.
Одноадресной рассылкой называется отправка сетевого трафика определенному конечному узлу. Многоадресная рассылка - это отправка сетевого трафика группе конечных узлов. Многоадресный трафик обрабатывают только те члены группы, которые прослушивают этот трафик (группа многоадресной рассылки). Все остальные узлы игнорируют многоадресный трафик.
Информация в режиме "точка-многие точки" может распространяться тремя способами:
Многоадресный трафик позволяет:
Многоадресное перенаправление - это интеллектуальное перенаправление многоадресного трафика. Многоадресная маршрутизация - это распространение информации о прослушивающих многоадресный трафик группах. Windows Server 2003 поддерживает многоадресное перенаправление и ограниченную многоадресную маршрутизацию.
Более подробную информацию о многоадресной маршрутизации вы можете получить в справочной системе Windows Server 2003.
[newpage=Общий доступ для подключения к Интернету и преобразование сетевых адресов.]
Общий доступ для подключения к Интернету и преобразование сетевых адресов.
Для подключения небольшой офисной или домашней сети к Интернету можно использовать два способа:
Windows Server 2003 подключение к Интернету с преобразованием сетевых адресов можно настроить либо путем предоставления общего доступа для подключения к Интернету, либо с помощью протокола NAT (Network Address Translation), входящего в состав службы маршрутизации и удаленного доступа. И общий доступ для подключения к Интернету, и преобразование сетевых адресов обеспечивают узлам небольшой локальной сети преобразование и назначение адресов и предоставляют им службы разрешения имен.
Возможность общего доступа к подключению Интернета предназначена для максимального облегчения настройки (всего один флажок) компьютера Windows Server 2003 на предоставление всем узлам небольшой локальной сети доступа к Интернету с преобразованием сетевых адресов. Однако, будучи включенным, общий доступ для подключения к Интернету не позволит больше выполнять настройки, выходящие за пределы настройки приложений и служб небольшой локальной сети. Например, общий доступ для подключения к Интернету рассчитан на использование только одного IP-адреса, получаемого от провайдера, и не позволит изменять диапазон IP-адресов, выделенный узлам небольшой локальной сети.
Протокол маршрутизации NAT предназначен для обеспечения максимальной гибкости в настройке компьютера Windows Server 2003 на предоставление подключения к Интернету с преобразованием сетевых адресов. Протокол NAT позволяет использовать диапазоны IP-адресов, выделяемые провайдером, и настраивать диапазон IP-адресов, назначаемых узлам небольшой локальной сети.
В следующей таблице перечислены функции и возможности общего доступа для подключения к Интернету и преобразования сетевых адресов.
Общий доступ для подключения к Интернету и преобразование сетевых адресов это средства Windows Server 2003, предназначенные для подключения к Интернету небольших офисных или домашний сетей. Они не предназначены для:
Введение в преобразование сетевых адресов.
Преобразование сетевых адресов в Windows Server 2003 позволяет настроить домашнюю или небольшую офисную сеть на совместное использование одного подключения к Интернету. Преобразование сетевых адресов осуществляется следующими компонентами:
Так как преобразование сетевых адресов осуществляется, в частности, компонентами адресации и разрешения имен, предоставляющими службы DHCP и DNS узлам частной сети, в сети нельзя запускать следующие службы:
Частные адреса в Интернете.
Для работы в Интернете необходимо использовать уникальные адреса, распределяемые координирующими организациями, такими как InterNIC. Компьютеры с такими адресами могут принимать трафик от узлов Интернета и называются общими адресами. Для небольших офисных или домашних сетей провайдером обычно выделяет один общий адрес (или адреса) из собственного диапазона общих адресов.
Любой компьютер локальной сети, которому требуется доступ к ресурсам Интернет, должен использовать свой собственный общий адрес. Это требование налагает существенное ограничение на доступное множество общих адресов.
Чтобы ослабить это ограничение, предусмотрена схема повторного использования адресов, заключающаяся в резервировании ряда адресов сетей для использования в частных сетях. В число зарезервированных для частных сетей диапазонов адресов входят:
Дополнительные сведения об областях пространства IP-адресов, зарезервированных для частных сетей, можно получить в стандарте RFC 1597. Все адреса из этих диапазонов называются частными адресами.
Частные адреса не могут напрямую получать трафик от узлов Интернета. Поэтому если в локальной сети используются частные адреса и требуется связь с узлами Интернета, частный адрес должен быть преобразован в общий адрес. Преобразователь сетевых адресов (NAT) располагается между локальной сетью и Интернетом. Частные адреса исходящих пакетов локальной сети преобразовываются NAT в общие адреса. Общие адреса входящих пакетов Интернета преобразовываются NAT в частные адреса.
Пример использования NAT.
Если в небольшой организации используется сеть с адресом 192.168.0.0, а провайдер выделил этой организации общий адрес w1.x1.y1.z1, то средство преобразования сетевых адресов (NAT) отображает все частные адреса сети 192.168.0.0 на IP-адрес w1.x1.y1.z1. Если несколько частных адресов отображены на один общий адрес, NAT использует динамически выбираемые TCP- и UDP-порты для идентификации различных узлов сети.
На следующем рисунке показан пример использования NAT для подключения локальной сети к Интернету.
Если пользователь частной сети с адресом 192.168.0.10 обращается с помощью браузера к веб-серверу по адресу w2.x2.y2.z2, на компьютере пользователя создается IP-пакет со следующими параметрами:
Этот IP-пакет перенаправляется преобразователю сетевых адресов (NAT), который преобразовывает адреса исходящего пакета следующим образом:
Преобразователь сетевых адресов (NAT) сохраняет в своей таблице отображение адреса {192.168.0.10, TCP, 1025} на адрес {w1.x1.y1.z1, TCP, 5000}.
Преобразованный IP-пакет отправляется по Интернету веб-серверу. Пакет, посылаемый в ответ на преобразованный пакет, принимается преобразователем сетевых адресов (NAT). Полученный пакет содержит следующие данные:
Преобразователь сетевых адресов (NAT) проверяет свою таблицу преобразования, после чего отображает общий адрес на частный адрес и перенаправляет пакет на компьютер с адресом 192.168.0.10. Перенаправляемый пакет содержит следующие данные:
Для исходящих пакетов частный IP-адрес источника отображается на общий адрес, выделенный провайдером, а номера TCP/UDP-портов отображаются на другие номера TCP/UDP-портов.
Для входящих пакетов общий IP-адрес источника отображается на исходный частный адрес, а номера TCP/UDP-портов отображаются на исходные номера TCP/UDP-портов.
Пакеты, содержащие IP-адрес только в заголовке IP, правильно преобразовываются протоколом NAT. Пакеты, содержащие IP-адрес в полезных данных, могут неправильно преобразовываться протоколом NAT.
Редакторы NAT.
Обычно преобразование сетевых адресов заключается в преобразовании следующих данных:
Для преобразования любых других данных требуется дополнительная обработка, выполняемая дополнительными программными компонентами, называемыми редакторами NAT. Редактор NAT вносит в IP-пакет все остальные изменения, не связанные с преобразованием IP-адреса в заголовке IP, порта TCP в заголовке TCP и порта UDP в заголовке UDP.
Например, трафик протокола HTTP не требует редактора NAT, так как для этого протокола требуется лишь преобразование IP-адреса в заголовке IP и порта TCP в заголовке TCP.
Ниже показаны две ситуации, в которых редактор NAT необходим.
Windows Server 2003 имеет встроенные редакторы NAT для следующих протоколов:
Кроме того, протокол NAT содержит программное обеспечение прокси-агентов для следующих протоколов:
Преобразование трафика IPSec невозможно даже с помощью редактора NAT.
Фильтрация пакетов.
Маршрутизатор Windows Server 2003 поддерживает фильтрацию IP- и IPX-пакетов, которая позволяет задать типы исходящего и входящего трафика, разрешенные для данного маршрутизатора. Фильтрация пакетов в маршрутизаторе Windows Server 2003 основана на исключениях. Фильтры пакетов задаются для конкретного интерфейса и могут быть настроены на:
[newpage=Маршрутизация вызова по требованию]
Маршрутизация вызова по требованию.
Маршрутизатор Windows Server 2003 поддерживает также маршрутизацию вызова по требованию. Используя интерфейс вызова по требованию, маршрутизатор при получении им пакета, который требуется направить удаленному узлу, может инициировать подключение к этому узлу. Если в течение определенного времени данные по установленному каналу не передаются, связь будет разорвана. Возможность подключения по требованию позволяет использовать существующие коммутируемые телефонные линии вместо выделенных линий в ситуациях, когда объем трафика невелик. Маршрутизация вызова по требованию позволяет существенно уменьшить стоимость подключения.
Маршрутизатор Windows Server 2003 также поддерживает фильтры вызова по требованию и ограничения на часы исходящих вызовов.
Фильтры вызова по требованию позволяют указать типы трафика, которым разрешается осуществлять подключение. Следует отличать фильтры вызова по требованию от фильтров IP-пакетов, которые используются для ограничения входящего и исходящего трафика на интерфейсе после подключения.
Ограничения на часы исходящих вызовов определяют время, в которое маршрутизатору разрешается выполнять исходящие вызовы для осуществления подключений по требованию.
Задать условия, при которых маршрутизатор принимает входящие подключения, можно с помощью политики удаленного доступа.
Несмотря на очень простую концепцию маршрутизации вызова по требованию, ее настройка довольно сложна. Эта сложность обусловлена следующими факторами:
Настройка статических маршрутов. Не следует использовать протоколы динамической маршрутизации для подключений по требованию. Поэтому маршруты к сетям, доступным через интерфейс вызова по требованию, должны быть добавлены в таблицу маршрутизации в виде статических маршрутов. Это можно сделать вручную или с помощью автостатических обновлений.
Пример маршрутизации вызова по требованию.
Ниже описывается пример, демонстрирующий сложность (и элегантность) маршрутизации вызова по требованию. В нем показана конфигурация с двумя офисами, которые используют IP-маршрутизацию вызова по требованию.
В офисе, расположенном в Сиэтле, находится компьютер с Windows Server 2003, выполняющий функции сервера удаленного доступа и маршрутизатора вызова по требованию. Все компьютеры в офисе Сиэтла подключены к сети 172.16.1.0 (маска подсети 255.255.255.0). К порту COM1 маршрутизатора офиса, расположенного в Сиэтле (далее - маршрутизатор 1), подключен модем, использующий номер телефона 555-0111.
В офисе, расположенном в Нью-Йорке, находится компьютер с Windows Server 2003, выполняющий функции сервера удаленного доступа и маршрутизатора вызова по требованию. Все компьютеры в нью-йоркском офисе подключены к сети 172.16.2.0 (маска подсети 255.255.255.0). К порту COM2 маршрутизатора офиса, расположенного в Нью-Йорке (далее - маршрутизатор 2), подключен модем, использующий номер телефона 555-0122.
Пользователю компьютера с IP-адресом 172.16.1.10 требуется связаться с пользователем компьютера, имеющего IP-адрес 172.16.2.20, и наоборот.
В этом примере описана ручная настройка маршрутизации вызова по требованию, что позволяет лучше понять принципы ее работы. Настоятельно рекомендуется использовать мастер интерфейса вызова по требованию, который позволяет автоматизировать процесс настройки. Мастер интерфейса вызова по требованию выполняет все описанные ниже действия по настройке, за исключением создания статического маршрута.
Настройка маршрутизатора 1.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 1 нужно выполнить следующие действия:
Настройка маршрутизатора 2.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 2 нужно выполнить следующие действия:
Результирующая конфигурация.
На следующем рисунке показана конфигурация маршрутизации вызова по требованию для офисов в Сиэтле и Нью-Йорке.
Для нормальной работы двусторонне-инициируемых подключений по требованию на обеих сторонах подключения имя пользователя вызывающего маршрутизатора должно совпадать с именем интерфейса вызова по требованию.
Процесс подключения по требованию.
Когда пользователь компьютера с адресом 172.16.1.10 пытается подключиться к ресурсам компьютера с адресом 172.16.2.20, происходит следующее:
Если имя пользователя не совпадает с именем соответствующего интерфейса вызова по требованию, то отвечающий маршрутизатор будет считать, что вызов выполняет клиент удаленного доступа к сети, что приведет к неправильной маршрутизации.
Например, если маршрутизатор 1 использует имя пользователя "DialUpRouter1", то маршрутизатор 1 идентифицируется как клиент удаленного доступа к сети, а не как маршрутизатор. Пакеты с компьютера с адресом 172.16.1.10 маршрутизируются на компьютер с адресом 172.16.2.20 как описано выше.
Однако ответные пакеты от компьютера с адресом 172.16.2.20 для компьютера с адресом 172.16.1.10 перенаправляются на маршрутизатор 2, который после просмотра своей таблицы маршрутизации определяет, что нужно использовать интерфейс "DD_Seattle". Интерфейс "DD_Seattle" находится в отключенном состоянии. На основании конфигурации интерфейса "DD_Seattle" должен использоваться порт COM2. Однако порт COM2 в настоящее время используется клиентом удаленного доступа (маршрутизатором 2). Маршрутизатор 2 пытается найти другой, не используемый в настоящее время модем. Если такой модем будет найден, маршрутизатор 2 выполняет вызов маршрутизатора 1 и после подключения перенаправляет пакет. Если другой модем не найден, ответные пакеты от компьютера с адресом 172.16.2.20 для компьютера с адресом 172.16.1.10 отклоняются.
[newpage=Обновление маршрутов при маршрутизации вызова по требованию.]
Обновление маршрутов при маршрутизации вызова по требованию.
Использование маршрутизации вызова по требованию позволяет снизить расходы на оплату связи, но при этом нужно учитывать, что обычные протоколы маршрутизации применяют периодические объявления для обмена информацией маршрутизации. Например, протокол RIP для IP объявляет содержимое своей таблицы маршрутизации каждые 30 секунд на всех интерфейсах. Такой режим работы не вызывает затруднений при постоянном подключении по локальным или глобальным каналам связи. При использовании временных подключений такой режим работы приведет к тому, что маршрутизатор будет вызывать другой маршрутизатор каждые 30 секунд, существенно увеличивая объем трафика через временное подключение. По этой причине не следует использовать протоколы маршрутизации для временных подключений по каналам глобальной связи.
Если для обновления таблиц маршрутизации не используются протоколы маршрутизации, новые маршруты должны добавляться в виде статических маршрутов. Статические маршруты к сетям, доступным через данный интерфейс, могут вводиться вручную или автоматически. Автоматическое задание статических маршрутов для интерфейсов вызова по требованию называется автостатическим обновлением и поддерживается маршрутизатором Windows Server 2003. Автостатические обновления поддерживаются для протоколов RIP для IP, RIP для IPX и SAP для IPX, но не для протокола OSPF.
Интерфейс вызова по требованию, настроенный на использование автостатических обновлений, отправляет по активному подключению запрос на все маршруты, имеющиеся на маршрутизаторе на другом конце подключения. В ответ на этот запрос все маршруты с опрашиваемого маршрутизатора автоматически заносятся в таблицу маршрутизации запрашивающего маршрутизатора в виде статических маршрутов. Статические маршруты являются постоянными: они сохраняются в таблице маршрутизации даже при отключении интерфейса или при перезапуске маршрутизатора. Автостатическое обновление - это однократное одностороннее получение информации маршрутизации.
Автостатические обновления можно планировать и автоматизировать, назначая их в качестве заданий Windows Server 2003.
При запросе на автостатическое обновление существующие на интерфейсе автостатические маршруты удаляются перед отправкой запроса на обновление другим маршрутизаторам. Если ответ на запрос получен не будет, то маршрутизатор не сможет заменить удаленные маршруты. Результатом этого может быть нарушение связи с удаленными сетями.
Ненумерованные подключения.
Подключения по требованию используют в процессе подключения протокол PPP, при подключении по которому согласовываются параметры TCP/IP. Важным этапом PPP-подключения по протоколу TCP/IP является назначение IP-адреса.
В случае использования маршрутизаторов вызова по требованию на основе Windows Server 2003, вызывающий маршрутизатор запрашивает IP-адрес у отвечающего маршрутизатора. Кроме того, отвечающий маршрутизатор запрашивает IP-адрес у вызывающего маршрутизатора. Если оба маршрутизатора имеют IP-адреса, которые они могут предоставить друг другу, логическому интерфейсу PPP-подключения на каждом маршрутизаторе другой маршрутизатор назначает IP-адрес. Такие подключения называются нумерованными.
Для подключений по требованию Windows NT 4.0 требуются нумерованные подключения. Если вызывающий или отвечающий маршрутизатор не имеет IP-адреса, который он мог бы предоставить другому маршрутизатору, процесс подключения оканчивается неудачей. Для того чтобы оба маршрутизатора могли назначать друг другу IP-адреса, нужно правильно настроить на них назначение IP-адресов. Обычной проблемой является настройка на использование DHCP-сервера, которого в сети нет.
Эта проблема больше не присуща службе маршрутизации и удаленного доступа, входящей в состав Windows Server 2003, по двум причинам:
Используя ненумерованные подключения, маршрутизаторы Windows Server 2003 могут подключаться к другим маршрутизаторам, которые не назначают IP-адреса в процессе подключения. Например, некоторые провайдеры предпочитают в целях экономии IP-адресов использовать ненумерованные подключения.
Протоколы маршрутизации, являющиеся частью службы маршрутизации и удаленного доступа, не могут работать с ненумерованными подключениями. При использовании ненумерованных подключений нужно применять статическую маршрутизацию. Это ограничение не распространяется на случай, когда маршрутизатор Windows Server 2003 служит для подключения к Интернету и для него задается статический IP-маршрут по умолчанию, а не используется протокол маршрутизации.
[newpage=Односторонне-инициируемые подключения по требованию]
Односторонне-инициируемые подключения по требованию.
Если подключение по требованию всегда инициируется одним маршрутизатором (односторонне-инициируемое подключение по требованию), то можно упростить настройку отвечающего маршрутизатора, задав статические маршруты для учетной записи вызывающего маршрутизатора.
В этом примере используется конфигурация, подобная описанной в разделе Пример маршрутизации вызова по требованию, с тем отличием, что маршрутизатор в Сиэтле (маршрутизатор 1) всегда вызывает маршрутизатор, расположенный в Нью-Йорке (маршрутизатор 2).
Настройка маршрутизатора 1.
Настройка маршрутизатора 1 аналогична описанной в разделе Пример маршрутизации вызова по требованию. ( Выше)
Настройка маршрутизатора 2.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 2 нужно выполнить следующие действия:
Статические маршруты в параметрах входящих звонков учетной записи пользователя можно задавать только на изолированных серверах Windows Server 2003 или на серверах Windows Server 2003, являющихся членами домена Windows Server 2003, работающего в основном режиме.
Процесс подключения для односторонне-инициируемого подключения по требованию.
Когда пользователь компьютера с адресом 172.16.1.10 пытается подключиться к ресурсам компьютера с адресом 172.16.2.20, происходит следующее:
После подключения статические маршруты учетной записи вызывающего маршрутизатора добавляются в таблицу маршрутизации отвечающего маршрутизатора. Если для распространения нового статического маршрута используются протоколы маршрутизации, то до того как все маршрутизаторы интрасети отвечающего маршрутизатора получат этот новый маршрут, с момента подключения должно пройти некоторое время. Поэтому узлы интрасети вызывающего маршрутизатора могут начать получать трафик от узлов интрасети отвечающего маршрутизатора по прошествии некоторого времени с момента подключения.
Маршрутизация при виртуальных частных подключениях.
Обычная маршрутизация предназначена для маршрутизаторов, использующих технологии локальных сетей общего доступа, такие как Ethernet или Token Ring, или технологии "точка-точка" глобальных сетей, такие как T1 или Frame Relay. В обычных глобальных сетях IP-пакеты перенаправляются между двумя маршрутизаторами по физическому или логическому каналу связи "точка-точка".
Благодаря широкому распространению Интернета появилась возможность маршрутизировать пакеты между подключенными к Интернету маршрутизаторами с помощью виртуального частного подключения, которое имитирует характеристики выделенного частного канала "точка-точка". Этот тип подключения называется виртуальной частной сетью "маршрутизатор-маршрутизатор". Виртуальные частные сети "маршрутизатор-маршрутизатор" позволяют использовать вместо дорогостоящих глобальных каналов связи на длинные расстояния местные подключения по глобальным сетям к провайдерам.
Для имитации частного подключения "точка-точка" пакеты, пересылаемые между маршрутизаторами, инкапсулируются (помещаются в оболочку) с дополнительным заголовком, содержащим информацию маршрутизации, необходимую для их доставки в точку назначения. Конечными точками такого подключения являются маршрутизаторы. Участок виртуальной частной сети, на котором инкапсулируются данные, называется туннелем.
В защищенных виртуальных частных подключениях пакеты перед инкапсуляцией зашифровываются. Перехваченные пакеты практически невозможно расшифровать, не имея ключей шифрования. Участок виртуальной частной сети, на котором данные шифруются, называется виртуальным частным подключением. В виртуальных частных сетях "маршрутизатор-маршрутизатор" туннель и виртуальное частное подключение совпадают.
Более подробную информацию о маршрутизации при виртуальных частных подключениях вы можете получить в справочной системе Windows Server 2003.
Дополнительные возможности маршрутизатора Windows.
Помимо стандартных возможностей любого маршрутизатора, маршрутизатор Windows Server 2003 поддерживает ряд дополнительных возможностей, ряд из которых характерен для Windows Server 2003.
Агент ретрансляции DHCP
Компонент Агент DHCP-ретрансляции маршрутизатора Windows Server 2003 представляет собой агент ретрансляции протокола BOOTP, который ретранслирует сообщения DHCP между DHCP-клиентами и DHCP-серверами, расположенными в различных IP-сетях. Для каждого сегмента IP-сети, содержащего DHCP-клиентов, требуется либо DHCP-сервер, либо компьютер, выступающий в качестве агента ретрансляции DHCP.
Нельзя использовать агент ретрансляции DHCP на компьютере с Windows Server 2003, на котором работает служба DHCP или протокол трансляции адресов NAT при включенной автоматической адресации.
Обнаружение маршрутизатора средствами ICMP
Для настройки на узлах IP-адресов локальных маршрутизаторов и предоставления узлам способа обнаружения маршрутизаторов можно использовать сообщения протокола ICMP - запросы на определение маршрутизаторов и объявления маршрутизаторов, описанные в стандарте RFC 1256.
Протокол TCP/IP в Windows Server 2003 поддерживает обнаружение маршрутизаторов средствами ICMP. Маршрутизатор Windows Server 2003 поддерживает ICMP-объявления маршрутизатора.
Интерфейсы IP-в-IP
Интерфейс IP-в-IP - это логический интерфейс для отправки IP-пакетов в туннельном режиме. Те IP-пакеты, которые обычно не передаются по локальной сети или Интернету, инкапсулируются и получают дополнительный заголовок IP. Полученные пакеты могут передаваться по локальной сети или Интернету.
Обычно интерфейсы IP-в-IP используются для перенаправления многоадресного IP-трафика из одной части сети в другую через участок сети, в котором не поддерживается многоадресное перенаправление или маршрутизация.
Интерфейс IP-в-IP настраивается так же, как и любой другой IP-интерфейс, включая задание фильтров пакетов для ограничения входящего и исходящего трафика этого интерфейса.
Поддержка управления питанием
Сведения о поддержке службой маршрутизации и удаленного доступа Windows Server 2003 управления питанием перечислены таблице ниже. В первом столбце указана конфигурация маршрутизатора удаленного доступа Windows Server 2003, во втором столбце - возможность перехода компьютера в спящий режим по соответствующему запросу интерфейса ACPI или APM, а в третьем столбце - возможность перехода компьютера в спящий режим по запросу пользователя.
Если при поступлении от пользователя запроса на переход в спящий режим имеются активные подключения, маршрутизатор не сообщит о них. Все активные подключения будут прерваны.
[newpage=Общие сведения об удаленном доступе.]
Общие сведения об удаленном доступе.
Система удаленного доступа Windows Server 2003, являющаяся частью службы маршрутизации и удаленного доступа, служит для подключения удаленных или мобильных пользователей к локальной сети. Удаленные пользователи могут работать так же, как если бы их компьютеры были физически подключены к сети.
Пользователи с помощью средств удаленного доступа инициируют подключение к серверу удаленного доступа. Сервер удаленного доступа, функции которого выполняет компьютер с Windows Server 2003 и работающей на нем службой маршрутизации и удаленного доступа, осуществляет проверку подлинности и обеспечивает сеансы пользователей и служб, пока они не будут завершены пользователем или сетевым администратором. Все основные службы, доступные пользователям локальной сети (включая общий доступ к файлам и принтерам, доступ к веб-серверам и службы сообщений), поддерживаются средствами удаленного доступа.
Клиенты удаленного доступа также используют стандартные средства для доступа к ресурсам. Например, на компьютере с Windows Server 2003 клиенты могут подключаться к сетевым дискам и принтерам с помощью Проводника. Эти подключения постоянны: во время сеанса удаленного доступа пользователям не требуется повторно подключаться к сетевым ресурсам. Так как буквенные имена дисков и имена в формате UNC полностью поддерживаются средствами удаленного доступа, большинство коммерческих и специализированных приложений будет работать без каких-либо модификаций.
Сервер удаленного доступа под управлением Windows Server 2003 поддерживает два различных типа удаленных подключений:
Сервер для удаленных подключений к сети.
Windows Server 2003 предоставляет традиционные службы удаленного доступа к сети для поддержки мобильных пользователей, которым требуется доступ к локальной сети организации. Оборудование для подключений удаленного доступа к сети, установленное на сервере удаленного доступа Windows Server 2003, отвечает на входящие запросы на подключение, отправляемые клиентами удаленного доступа к сети. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности и авторизацию вызывающего и приступает к передаче данных между клиентом удаленного доступа к сети и интрасетью организации.
Ниже показана работа системы удаленного доступа к сети.
Сервер виртуальной частной сети
Виртуальное частное подключение имитирует подключение "точка-точка". Для этого данные инкапсулируются (помещаются в оболочку) с дополнительным заголовком, содержащим информацию для маршрутизации к конечной точке. Конечной точкой может быть либо клиент виртуальной частной сети, либо сервер виртуальной частной сети.
Для создания виртуального частного подключения клиент виртуальной частной сети и сервер виртуальной частной сети должны поддерживать один и тот же туннельный протокол. Сервер удаленного доступа Windows Server 2003 является сервером виртуальной частной сети для протоколов PPTP и L2TP.
Ниже показано функционирование виртуальной частной сети.
Новые возможности удаленного доступа в Windows Server 2003.
Система удаленного доступа Windows Server 2003 обладает следующими новыми возможностями:
[newpage=Компоненты Windows Server 2003 для подключений удаленного доступа к сети. ]
Компоненты Windows Server 2003 для подключений удаленного доступа к сети.
Для подключений удаленного доступа к сети с помощью Windows Server 2003 используются следующие компоненты:
Ниже показаны компоненты, используемые подключениями удаленного доступа к сети. Реальная конфигурация системы на основе Windows Server 2003, использующей подключения удаленного доступа к сети, может быть другой.
Клиенты подключений удаленного доступа к сети.
К серверам удаленного доступа на основе Windows Server 2003 могут подключаться клиенты Windows XP, Windows Server 2003, Windows NT, Windows 2000, Windows 98, Windows 95, Microsoft Windows для рабочих групп, MS-DOS, LAN Manager, а также любые другие клиенты, использующие протокол PPP. Клиентский компьютер должен иметь модем, подключенный к телефонной линии, или устройство для подключения к глобальной сети, а также программное обеспечение удаленного доступа.
Возможность автоматического набора номера, имеющаяся в Windows Server 2003, позволяет автоматически подключаться к серверам удаленного доступа. Возможность автонабора номера запоминает все подключения, осуществляемые с помощью удаленного доступа, и автоматически восстанавливает подключение при повторном обращении к ресурсу.
PPP-клиенты Microsoft
PPP-клиенты Майкрософт, использующие протоколы TCP/IP, IPX или NetBEUI, могут подключаться к серверу удаленного доступа на основе Windows NT версии 3.5 и более поздней. PPP-клиенты Майкрософт не могут использовать протокол AppleTalk. Сервер удаленного доступа автоматически согласовывает способы проверки подлинности с PPP-клиентами.
Поддержка средств удаленного доступа для PPP-клиентов Майкрософт подключений удаленного доступа к сети описана ниже.
Windows 95 с пакетом обновления Windows Dial-Up Networking 1.3 Performance & Security Upgrade для Windows 95 поддерживает использование протокола MS-CHAP v2 поверх виртуальных частных подключений (VPN), но не поверх подключений удаленного доступа.
PPP-клиенты других разработчиков
PPP-клиенты других разработчиков, использующие протоколы TCP/IP, IPX, NetBEUI или AppleTalk, могут получать доступ к серверу удаленного доступа на основе Windows Server 2003. Сервер удаленного доступа автоматически согласовывает проверку подлинности с PPP-клиентами. Для PPP-клиентов других разработчиков не требуется специальной настройки сервера удаленного доступа на основе Windows 2000; необходимо лишь убедиться, что и сервер удаленного доступа, и PPP-клиент используют одинаковые сетевые протоколы и протоколы проверки подлинности.
Клиенты протокола Microsoft RAS
Следующие клиенты не могут использовать протокол удаленного доступа PPP, но все же поддерживаются сервером удаленного доступа на основе Windows Server 2003 с помощью протокола Microsoft RAS, который работает только с протоколом NetBEUI.
SLIP-клиенты
Сервер удаленного доступа на основе Windows Server 2003 не поддерживает протокол удаленного доступа SLIP (Serial Line Internet Protocol). SLIP-клиенты не могут подключаться к серверу удаленного доступа на основе Windows Server 2003.
[newpage=Протоколы удаленного доступа.]
Серверы для подключений удаленного доступа.
Для клиентов подключений удаленного доступа к сети на сервере должен быть установлен хотя бы один модем или многопортовый адаптер, подключенный к телефонной линии, или другое устройство для подключения к глобальной сети. Если сервер обеспечивает доступ к сети, необходимо установить и подключить отдельный сетевой адаптер для этой сети.
При настройке сервера удаленного доступа необходимо выбрать протоколы для использования в локальной сети (IPX, TCP/IP, AppleTalk и NetBEUI) и указать, будет ли доступ по данным протоколам предоставляться ко всей сети или только к ресурсам на сервере удаленного доступа. Нужно также выбрать используемые средства проверки подлинности и шифрования.
Протоколы удаленного доступа.
Протоколы удаленного доступа управляют передачей данных по глобальным сетям. То, какой протокол удаленного доступа могут использовать клиенты, зависит от используемых клиентами и серверами удаленного доступа операционной системы и протоколов локальной сети.
Протокол PPP (Point-to-Point Protocol)
Windows Server 2003 поддерживает протокол PPP - набор стандартных протоколов упаковки кадров и проверки подлинности, обеспечивающий функционирование решений на основе удаленного доступа в сетях с компонентами разных изготовителей. PPP рекомендуется использовать по причине его гибкости и стандартности, а также из-за того, что он будет поддерживаться будущим клиентским и серверным программным обеспечением и оборудованием.
Поддержка PPP позволяет компьютерам с Windows Server 2003 получать с помощью подключений удаленного доступа к сети доступ к любому серверу, также поддерживающему стандарт PPP. Совместимость со стандартом PPP позволяет компьютеру с Windows Server 2003 принимать входящие вызовы и предоставлять доступ к сети клиентам удаленного доступа, использующим программное обеспечение других разработчиков.
Архитектура протокола PPP также позволяет клиентам удаленного доступа использовать любую комбинацию протоколов IPX, TCP/IP, NetBEUI и AppleTalk. Клиенты удаленного доступа Windows XP, Windows Server 2003, Windows NT, Windows 2000, Windows 98 и Windows 95 могут использовать любую комбинацию протоколов TCP/IP, IPX и NetBEUI и программ с интерфейсом Windows Sockets, NetBIOS и IPX. Клиенты удаленного доступа Майкрософт не поддерживают использование протокола AppleTalk в подключениях удаленного доступа.
Протокол SLIP (Serial Line Internet Protocol)
Протокол SLIP (Serial Line Internet Protocol) является старым стандартом удаленного доступа, используемым, в основном, серверами удаленного доступа на платформе UNIX. Клиенты удаленного доступа, использующие Windows Server 2003, поддерживают SLIP и могут подключаться к любому серверу удаленного доступа, также поддерживающему стандарт SLIP. Это позволяет клиентам Windows NT версии 3.5 и последующих версий подключаться к множеству существующих UNIX-серверов. Сервер удаленного доступа на основе Windows Server 2003 не поддерживает SLIP-клиентов.
Протокол Microsoft RAS
Протокол Microsoft RAS - это частный протокол удаленного доступа, поддерживающий стандарт NetBIOS. Протокол Microsoft RAS поддерживается во всех предшествующих версиях системы удаленного доступа Майкрософт и используется в клиентами Windows NT 3.1, Windows для рабочих групп, MS-DOS и LAN Manager.
Клиент удаленного доступа, который подключается с компьютера, работающего под управлением Windows NT 3.1 или Windows для рабочих групп, должен использовать протокол NetBEUI. Сервер удаленного доступа будет выступать в качестве шлюза NetBIOS для удаленного клиента, обеспечивая ему доступ к ресурсам по протоколам NetBEUI, NetBIOS через TCP/IP или NetBIOS через IPX.
Протоколы локальных сетей.
Планирование, интеграция и настройка системы удаленного доступа зависит от используемых в сети протоколов. Средства удаленного доступа Windows Server 2003 поддерживают сетевые протоколы TCP/IP, IPX, AppleTalk и NetBEUI. Это означает, что систему удаленного доступа на основе Windows Server 2003 можно интегрировать в существующие сети Microsoft, UNIX, Apple Macintosh или Novell NetWare с помощью протокола удаленного доступа PPP. Клиенты удаленного доступа Windows Server 2003 могут также подключаться к существующим SLIP-серверам удаленного доступа (в основном это UNIX-серверы). В процессе установки и настройки удаленного доступа все протоколы, уже установленные на компьютере (TCP/IP, IPX, AppleTalk и NetBEUI), автоматически включаются для входящих и исходящих подключений удаленного доступа. Для каждого сетевого протокола можно также указать, следует ли предоставлять доступ по нему ко всей сети или только к ресурсам сервера удаленного доступа. Если доступ ко всей сети предоставляется по протоколу TCP/IP или IPX, нужно также настроить способ назначения сервером IP-адресов или номеров сети IPX. Если доступ ко всей сети предоставляется по протоколу NetBEUI, не требуется никакой дополнительной настройки.
TCP/IP и удаленный доступ.
TCP/IP является самым популярным сетевым протоколом. Его возможности маршрутизации и масштабирования обеспечивают максимальную гибкость для сетей крупных организаций.
В TCP/IP-сетях узлам необходимо назначить IP-адреса. Узлам также могут потребоваться средства разрешения имен.
Назначение IP-адресов клиентам удаленного доступа
Каждый удаленный компьютер, подключающийся к серверу удаленного доступа на основе Windows Server 2003 по протоколу PPP из TCP/IP-сети, получает IP-адрес автоматически. Сервер удаленного доступа получает IP-адрес, назначаемый клиенту удаленного доступа, либо от DHCP-сервера, либо из статического диапазона IP-адресов, выделенного серверу удаленного доступа администратором.
Сервер удаленного доступа и DHCP
Когда сервер удаленного доступа настроен на получение IP-адресов от DHCP-сервера, он получает от DHCP-сервера 10 IP-адресов. Сервер удаленного доступа использует первый полученный от DHCP адрес для себя, а остальные адреса назначает подключающимся клиентам удаленного доступа, использующим TCP/IP. Высвобождающиеся при отключении клиентов IP-адреса используются повторно. Если все 10 IP-адресов заняты, сервер удаленного доступа получает еще 10-адресов. Когда служба маршрутизации и удаленного доступа останавливается, все полученные от DHCP-сервера адреса освобождаются.
Если при запуске службы маршрутизации и удаленного доступа DHCP-сервер недоступен, то используются IP-адреса из диапазона 169.254.0.1 - 169.254.255.254, зарезервированного для средства автоматического назначения частных IP-адресов (APIPA).
Статические пулы IP-адресов для сервера удаленного доступа
Статический пул IP-адресов задается одним или несколькими диапазонами IP-адресов. В предыдущих версиях Windows NT пул адресов указывался в виде диапазона IP-адресов с исключениями. В Windows Server 2003 тех же результатов можно добиться, задавая несколько диапазонов. Сервер удаленного доступа выбирает для себя первый IP-адрес из первого диапазона.
Если статический пул IP-адресов содержит диапазоны IP-адресов, являющиеся подмножеством диапазона IP-адресов сети, к которой подключен сервер удаленного доступа, то необходимо убедиться, что диапазоны IP-адресов из пула IP-адресов для удаленного доступа не назначаются другим узлам TCP/IP ни статически, ни с использованием DHCP.
Если статический пул IP-адресов содержит диапазоны IP-адресов, соответствующие различным подсетям, то необходимо либо задействовать на сервере удаленного доступа протокол IP-маршрутизации, либо добавить для маршрутизаторов локальной сети статические IP-маршруты для каждого диапазона. В противном случае клиенты удаленного доступа не смогут взаимодействовать с некоторыми узлами локальной сети.
Клиенты удаленного доступа Windows Server 2003 могут также использовать заранее назначенные им IP-адреса, содержащиеся в их настройках. В таком случае следует настроить сервер удаленного доступа на основе Windows Server 2003 с помощью политик удаленного доступа так, чтобы он разрешал пользователям запрашивать определенный адрес.
Разрешение имен для серверов и клиентов удаленного доступа
Кроме IP-адреса, серверам и клиентам удаленного доступа в TCP/IP-сети требуется механизм разрешения имен компьютеров в IP-адреса. Сервер удаленного доступа может использовать любой из следующих способов разрешения имен:
Сервер удаленного доступа предоставляет клиентам удаленного доступа IP-адреса DNS- и WINS-серверов, заданные для интерфейса локальной сети. Если компьютер имеет только один интерфейс локальной сети, что является обычной конфигурацией сервера для подключений удаленного доступа к сети, то сервер удаленного доступа предоставляет клиентам удаленного доступа IP-адреса DNS- и WINS-серверов этого интерфейса.
При наличии нескольких интерфейсов локальной сети, что является обычной конфигурацией для VPN-сервера, сервер удаленного доступа при запуске выбирает случайным образом один из этих интерфейсов и предоставляет клиентам удаленного доступа IP-адреса DNS- и WINS-серверов выбранного интерфейса.
Клиенты удаленного доступа в небольших сетях, где IP-адреса и имена не изменяются, могут использовать для разрешения имен файл Hosts или Lmhosts . При использовании этих файлов, находящихся на локальном диске, не требуется передавать по подключению удаленного доступа запросы на разрешение имен DNS-серверу или WINS-серверу.
Использование SLIP в сетях TCP/IP
Используя протокол SLIP, клиенты удаленного доступа Windows Server 2003 могут подключаться к серверам удаленного доступа, поддерживающим протокол SLIP. Клиенты могут использовать протокол SLIP только в том случае, если в настройках для этого подключения указан последовательный (COM) порт.
[newpage=Безопасность удаленного доступа.]
Безопасность удаленного доступа.
Чтобы понять, почему попытки подключения принимаются или отклоняются, необходимо представлять себе различие между проверкой подлинности и авторизацией.
Чтобы попытка подключения была принята, она должна успешно пройти как проверку подлинности, так и авторизацию. Бывает так, что попытка подключения успешно проходит проверку подлинности с помощью допустимых учетных данных, но не авторизуется. В таком случае подключение не разрешается.
Если сервер удаленного доступа настроен на проверку подлинности Windows, то проверку подлинности учетных данных выполняет система безопасности Windows Server 2003, а для авторизации используются свойства входящих звонков учетной записи пользователя и локальная политика удаленного доступа.
Если сервер удаленного доступа настроен на проверку подлинности RADIUS, учетные данные попытки подключения передаются серверу RADIUS для проверки подлинности и авторизации. Сервер RADIUS сообщает серверу удаленного доступа о принятии или отклонении данной попытки.
Если сервером RADIUS является компьютер с Windows Server 2003 и службой проверки подлинности в Интернете (IAS), то сервер IAS выполняет проверку подлинности с помощью системы безопасности Windows Server 2003, а для авторизации использует параметры входящих звонков учетной записи пользователя и политику удаленного доступа, хранящуюся на сервере IAS.
Шифрование данных.
Для защиты данных, пересылаемых между клиентом удаленного доступа и сервером удаленного доступа, можно использовать шифрование данных. Это защищает данные от перехвата или подделки во время передачи по открытым каналам связи. Для использования шифрования необходимо настроить сервер удаленного доступа на требование защищенных подключений. Пользователи, подключающиеся к такому серверу, должны шифровать свои данные - в противном случае запрос на подключение отклоняется. Для подключений удаленного доступа к сети Windows Server 2003 использует шифрование MPPE (Microsoft Point-to-Point Encryption).
Для виртуальных частных подключений защита данных обеспечивается их шифрованием между конечными точками виртуальной частной сети (VPN). Следует всегда использовать шифрование для виртуальных частных подключений при пересылке конфиденциальных данных по открытым сетям, таким как Интернет, где всегда существует опасность их перехвата. Для VPN-подключений Windows Server 2003 использует шифрование по методу MPPE с протоколом PPTP и шифрование по методу IPSec с протоколом L2TP. Так как данные шифруются между VPN-клиентом и VPN-сервером, нет необходимости в шифровании данных в канале связи между клиентом удаленного доступа к сети и провайдером.
Шифрование данных для PPP- или PPTP-подключений доступно только при использовании протоколов проверки подлинности MS-CHAP (v1 или v2) или EAP-TLS. Шифрование данных для L2TP-подключений выполняется по методу IPSec, который не требует использования каких-либо конкретных протоколов проверки подлинности.
Шифрование данных при удаленном доступе не обеспечивает шифрования на всем пути данных. Шифрование на всем пути данных - это шифрование данных между клиентским приложением и сервером, на котором находится ресурс или служба, к которым обращается клиентское приложение. Чтобы обеспечить шифрование на всем пути данных, используйте IPSec для создания безопасного подключения после установления подключения удаленного доступа.
Разрешения для входящих подключений удаленного доступа.
После установки сервера удаленного доступа необходимо указать пользователей, от которых сервер удаленного доступа может принимать входящие вызовы. В Windows Server 2003 авторизация выполняется на основании параметров входящих звонков учетной записи пользователя и политики удаленного доступа.
Не требуется создавать учетные записи пользователей специально для клиентов удаленного доступа. Серверы удаленного доступа используют учетные записи пользователей из доступных баз данных системы безопасности Windows Server 2003.
Безопасность после подключения
После прохождения проверки подлинности и подключения к локальной сети клиенты удаленного доступа входят в домен Windows Server 2003. После успешного входа в домен для управления доступом к ресурсам домена используются учетные данные пользователя домена. Клиенты удаленного доступа обрабатываются системой безопасности в Windows Server 2003 так же, как если бы они были подключены к локальной сети.
Можно предоставить клиентам удаленного доступа доступ лишь к общим ресурсам, расположенным на сервере удаленного доступа, а не ко всей сети, к которой подключен этот сервер. Таким образом можно обеспечить более строгий контроль за тем, какая информация доступна клиентам удаленного доступа, и повысить безопасность системы в целом.
Идентификация звонящего и ответный вызов.
В качестве дополнительной меры безопасности система удаленного доступа предлагает возможности идентификации звонящего и ответного вызова, которые позволяют подключаться к серверу удаленного доступа только пользователям, находящимся в определенном месте. Эти возможности также снижают расходы пользователей на оплату услуг телефонной компании.
Идентификация звонящего
При использовании идентификации звонящего задается номер телефона, с которого пользователь может подключаться к серверу удаленного доступа. Если пользователь будет подключаться с другого номера телефона, попытка подключения будет отклонена сервером удаленного доступа.
Возможность идентификации звонящего должна поддерживаться клиентом, выполняющим вызов, телефонной системой между звонящим и сервером удаленного доступа, и самим сервером удаленного доступа. Система идентификации звонящего на сервере удаленного доступа состоит из оборудования, поддерживающего передачу информации о вызывающем клиенте, и соответствующего драйвера Windows Server 2003, передающего эту информацию службе маршрутизации и удаленного доступа.
Если задан номер телефона для идентификации звонящего, а передача информации о вызывающем клиенте от клиента службе маршрутизации и удаленного доступа не поддерживается, то выполнить подключение не удастся.
Для виртуальных частных подключений в качестве идентификатора звонящего выступает IP-адрес VPN-клиента.
Ответный вызов
При использовании ответного вызова пользователь инициирует вызов и подключается к серверу удаленного доступа. После проверки подлинности и авторизации сервер удаленного доступа разрывает соединение и выполняет ответный вызов по согласованному или заранее заданному номеру телефона.
Привилегии на использование ответного вызова настраиваются для каждого пользователя при предоставлении разрешения на удаленный доступ.
Службы проверки подлинности и учета.
Службы проверки подлинности и учета представляют собой набор программных компонентов, обеспечивающих функционирование определенной группы протоколов проверки подлинности. Эти же компоненты осуществляют регистрацию всех событий, связанных с проверкой подлинности в журналах учета службы удаленного доступа.
Домен Windows Server 2003 или Active Directory
Сервер удаленного доступа на основе Windows Server 2003 поддерживает использование системы безопасности основного контроллера домена (PDC) Windows NT (Windows NT Server 4.0 и более ранних версий) или системы безопасности Windows Server 2003 Active Directory (Windows Server 2003) в качестве службы проверки подлинности клиентов удаленного доступа.
Сервер удаленного доступа на основе Windows Server 2003 поддерживает также занесение в локальный журнал информации о проверке подлинности и учетной информации для подключений удаленного доступа, если используется служба учета Windows.
RADIUS
Протокол RADIUS - это стандартный протокол (описанный в стандартах RFC 2138 и 2139), предоставляющий службы проверки подлинности, авторизации и учета для подключений удаленного доступа к сети. Клиент RADIUS (обычно им является сервер для подключений удаленного доступа к сети) отправляет информацию о пользователе и о подключении серверу RADIUS. Сервер RADIUS выполняет проверку подлинности и авторизацию запроса клиента RADIUS.
В состав сервера удаленного доступа Windows Server 2003 входит клиент RADIUS, что позволяет использовать сервер удаленного доступа поставщикам услуг Интернета или организациям, которые применяют RADIUS для проверки подлинности и учета.
Службу проверки подлинности и службу учета для сервера удаленного доступа на основе Windows Server 2003 можно настроить отдельно друг от друга. Таким образом, сервер удаленного доступа может использовать службу проверки подлинности Windows Server 2003 и службу учета RADIUS. Можно настроить использование нескольких серверов RADIUS, чтобы в случае недоступности основного сервера RADIUS были автоматически задействованы дополнительные.
В Windows Server 2003 также входит сервер RADIUS, называемый сервером службы проверки подлинности в Интернете (IAS), который сервер удаленного доступа может использовать в качестве службы проверки подлинности или учета.
[newpage=Планирование маршрутизации.]
Планирование маршрутизации.
В этом разделе описываются типичные конфигурации сетей, использующих маршрутизатор Windows Server 2003. В каждом сценарии описывается сетей, адресации, протоколов маршрутизации и других служб. Несмотря на то, что конфигурации реальных сетей могут отличаться от описанных ниже, основные принципы остаются неизменными.
Для назначения сетевых адресов в этих сценариях используются диапазоны частных адресов, описанные в стандарте RFC 1597. Если сеть подключена к Интернету, обратитесь к провайдеру для получения общих сетевых адресов.
Подключение небольшой сети к Интернету.
Для подключения небольшой офисной или домашней сети к Интернету можно использовать два способа:
Небольшая офисная или домашняя сеть имеет следующие характеристики:
Маршрутизатор Windows Server 2003 должен использовать сетевой адаптер для подключения к локальной сети и ISDN-адаптер или аналоговый модем для подключения к провайдеру. Можно также использовать подключение по выделенной линии или другие технологии постоянного подключения, такие как xDSL и кабельные модемы, но в этом сценарии описана наиболее типичная конфигурация с применением коммутируемого подключения к провайдеру.
Маршрутизируемое подключение к Интернету.
Маршрутизируемое подключение, предоставляющее наибольшую гибкость в выборе типов принимаемого и отправляемого трафика, требует большей настройки. Маршрутизатор Windows Server 2003 должен быть настроен на использование статического IP-адреса. В сети должен быть установлен и настроен DHCP-сервер, либо все клиентские компьютеры должны быть настроены вручную на использование статических IP-адресов.
В этом сценарии диапазон IP-адресов для узлов локальной сети и IP-адреса DNS-серверов назначаются провайдером, т.к. локальная сеть должна использовать адреса, известные маршрутизаторам провайдера.
Для распространения в небольшой сети информации IP-маршрутизации не требуется, поэтому протоколы маршрутизации не используются. На всех компьютерах локальной сети (вручную или при помощи DHCP) в качестве адреса основного шлюза указывается адрес маршрутизатора Windows Server 2003. На маршрутизаторе Windows Server 2003 настраивается не основной шлюз, а маршрут по умолчанию.
Маршрутизируемое подключение к Интернету обеспечивает непосредственную связь через Интернет с любым узлом. При этом локальная сеть становится легкоуязвимой для атак злоумышленников. Для обеспечения безопасности на маршрутизаторе Windows Server 2003 необходимо настроить фильтры пакетов, позволяющие предотвратить поступление нежелательного трафика из Интернета в локальную сеть.
Подключение к Интернету с преобразованием сетевых адресов.
Конфигурация сети упрощается благодаря использованию протокола маршрутизации NAT, обеспечивающего преобразование сетевых адресов, назначение адресов и службы разрешения имен для компьютеров небольшой офисной или домашней сети.
В этом сценарии компьютер, выполняющий преобразование сетевых адресов, автоматически назначает уникальные адреса из диапазона частных IP-адресов 192.168.0.0 с маской подсети 255.255.255.0, всем другим компьютерам небольшой домашней или офисной сети.
Для распространения в небольшой сети информации IP-маршрутизации не требуется, поэтому протоколы маршрутизации не используются. На всех компьютерах локальной сети автоматически указывается адрес маршрутизатора Windows Server 2003 в качестве адреса основного шлюза и адреса DNS-сервера. На компьютере, выполняющем преобразование сетевых адресов, должен быть настроен маршрут по умолчанию.
[newpage=Подключение Офисной сети среднего размера]
Офисная сеть среднего размера.
Типичная офисная сеть среднего размера имеет следующие характеристики:
Ниже представлен пример офисной сети среднего размера.
В офисной сети среднего размера могут использоваться различные протоколы канального уровня, например Ethernet или Token Ring для подключения клиентских компьютеров, и Fast Ethernet или Fiber Distributed Data Interface (FDDI) в магистрали.
В этом примере для подключения компьютеров в сегментах сети используется Ethernet, а магистраль использует FDDI:
Планирование адресации в офисной сети среднего размера.
Адреса сетей получаются путем деление частной сети 192.168.0.0 на подсети класса C с маской подсети 255.255.255.0. Таким образом, в каждый сегмент сети может содержать до 254 компьютеров.
В следующей таблице показаны IP-адреса, назначаемые компьютерам в этом сценарии.
Протоколы маршрутизации для офисной сети среднего размера.
Протоколом IP-маршрутизации для сетей среднего размера является протокол RIP версии 2. В этом сценарии протокол RIP v2 настраивается на всех маршрутизаторах.
Другие службы для офисной сети среднего размера.
В этом сценарии для автоматической настройки IP-адресов и других параметров на клиентских компьютерах используется служба DHCP Windows Server 2003. Так как используется DHCP, на маршрутизаторах 1, 2 и 3 должны быть настроены агенты ретрансляции DHCP. Агенты ретрансляции DHCP позволяют клиентским компьютерам сетей A, B и C получать адреса от DHCP-сервера, подключенного к магистрали.
Если в каждом сегменте сети есть свой DHCP-сервер, то агенты ретрансляции DHCP использовать не нужно.
[newpage=Установка службы маршрутизации и удаленного доступа.]
Установка службы маршрутизации и удаленного доступа.
Так как служба маршрутизации и удаленного доступа входит в стандартную установку Windows Server 2003, никаких дополнительных действий по ее установке производить не требуется. Тем не менее, по умолчанию служба находится в отключенном состоянии и, прежде чем начать работу с ней, вы должны осуществить процедуру ее начальной настройки.
Предварительные требования.
Перед установкой маршрутизатора Windows Server 2003 нужно установить и привести в рабочее состояние все необходимое оборудование. В зависимости от имеющейся сети и предъявляемых требований может потребоваться следующее оборудование:
Настройка службы маршрутизации и удаленного доступа.
Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через Консоль управления. Для запуска консоли управления службой маршрутизации и удаленного доступа выберите меню Пуск, в нем выберите подменю Администрирование, в котором щелкните пункт Маршрутизация и удаленный доступ.
Чтобы начать процедуру начальной настройки сервера маршрутизации и удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера.
Нажмите правую кнопку мыши на имени сервера и выберите пункт Настроить и включить маршрутизацию и удаленный доступ из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа.
На первом шаге мастера вы должны выбрать роль, которую будет выполнять сервер.
Можно выбрать одну из следующих ролей:
Для настройки общего доступа к Интернет выберите вариант Преобразование сетевых адресов (NAT) и щелкните кнопку Далее.
На следующем шаге вы должны выбрать способ организации общего доступа к Интернет.
Если в вашем компьютере установлен и настроен на Интернет один или более сетевых адаптеров, установите переключатель в положение Использовать общедоступный интерфейс для подключения к Интернету и выберите необходимое подключение из списка.
Если вы собираетесь использовать модем для подключения к Интернету, установите переключатель в положение Создать интерфейс для нового подключения по требованию к Интернету.
В списке подключений к Интернету выводятся только активные сетевые подключения, настроенные на использование протокола TCP/IP с использованием статического адреса. Если в списке отсутствуют сетевые адаптеры, необходимо прервать работу мастера, настроить сетевой адаптер на использование статического IP-адреса, включить сетевой адаптер, проверить его работу и снова запустить мастер настройки сервера маршрутизации и удаленного доступа.
На следующем шаге мастер сообщает, что будет запущен мастер для настройки интерфейса подключения по требованию. В качестве устройства для такого подключения будет использоваться модем. Щелкните кнопку Далее, чтобы продолжить настройку.
На первом шаге этого мастера вам необходимо задать имя интерфейса.
Интерфейсы сервера маршрутизации и удаленного доступа во многом похожи на сетевые подключения, но отображаются только в консоли управления маршрутизацией. Вы можете использовать в качестве имени интерфейса название вашего провайдера.
На следующем шаге мастера вы должны указать способ подключения интерфейса вызова по требованию.
Можно выбрать один из вариантов:
Выберите вариант Подключаться используя модем, адаптер ISDN или другое устройство и щелкните кнопку Далее.
На следующем шаге мастера укажите устройство или порт, которые будут использоваться для установления соединения.
В списке выводятся все устройства и порты, которые могут быть использованы сервером маршрутизации и удаленного доступа. Выберите ваш модем из списка и щелкните кнопку Далее.
На следующем шаге мастера вы можете указать номер телефона (для обычного или ISDN-модема) или адрес (для соединения X.25).
Вы можете использовать более одного телефона или адреса для дозвона. Для указания дополнительных телефонов щелкните кнопку Дополнительно.
В появившемся окне вы можете управлять списком телефонов и адресов. Для добавления нового номера телефона к списке введите номер в поле Новый номер телефона или адрес и щелкните кнопку Добавить. Для изменения номера в списке выберите нужный номер в списке, откорректируйте его в поле Новый номер телефона или адрес и щелкните кнопку Заменить. Для изменения порядка телефонов в списке вы можете использовать кнопки Вверх и Вниз. Кнопка Удалить служит для удаления выбранного номера из списка.
Если вы хотите, чтобы при установлении следующего соединения использовался номер, по которому было успешно установлено последнее соединение, установите флажок При подключении переместить удачный номер или адрес в начало.
Служба маршрутизации и удаленного доступа не использует данных о местонахождении и правила дозвона при наборе телефонных номеров при помощи модема. Поэтому, при задании номеров, вы должны включать все необходимые префиксы и специальные символы в добавляемые номера.
На следующем шаге вы должны задать основные параметры безопасности и маршрутизации для создаваемого интерфейса.
Для включения IP-маршрутизации необходимо установить флажок Перенаправлять пакеты IP на этот интерфейс.
Остальные параметры отвечают за настройки безопасности интерфейса:
При организации удаленного доступа к провайдеру с использованием модема рекомендуется установить только следующие флажки:
Остальные флажки необходимо снять и устанавливать только в случае необходимости.
На следующем шаге мастера вы должны задать данные, которые будут использоваться для аутентификации при установлении соединения.
Служба маршрутизации и удаленного доступа не предоставляет диалогового окна для ввода этих данных в момент установления соединения, поэтому данные должны быть введены заранее.
В поля Имя пользователя, Пароль и Подтверждение введите соответственно имя пользователя и два раза пароль пользователя. Поле Домен следует заполнять, только если другая сторона также использует сервер удаленного доступа Windows NT, Windows 2000 или Windows Server 2003.
На следующем шаге мастер сообщает, что создание интерфейса вызова по требованию было успешно завершено. После щелчка по кнопке Готово будет создан интерфейс, который будет использован для установления соединения в случае необходимости.
После завершения мастера создания интерфейса завершается и работа мастера настройки сервера маршрутизации и удаленного доступа.
После щелчка по кнопке Готово мастер настройки завершит свою работу. При выбранной конфигурации будут установлены следующие интерфейсы:
Между указанными интерфейсами будет настроена IP-маршрутизация. Также будет установлен протокол NAT, осуществляющий трансляцию адресов между интерфейсами удаленного маршрутизатора и подключения по локальной сети.
[newpage=Администрирование сервера маршрутизации и удаленного доступа.]
Администрирование сервера маршрутизации и удаленного.
Правильно настроенный сервер маршрутизации и удаленного доступа практически не нуждается в обслуживании. Однако его стабильная работа требует выполнения ряда обязательных процедур по настройке сервера. Большинство этой работы выполняется Мастером настройки сервера маршрутизации и удаленного доступа, однако дополнительно рекомендуется выполнить следующие задачи:
Управление сервером маршрутизации и удаленного доступа.
Для управления сервером маршрутизации и удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера.
Все необходимые операции по управлению осуществляются при помощи контекстного меню.
Настройка параметров сервера.
Для настройки параметров сервера маршрутизации и удаленного доступа нажмите правую кнопку мыши на имени сервера в дереве Консоли управления Маршрутизация и удаленный доступ и выберите пункт Свойства контекстного меню.
На вкладке Общие вы можете указать роли, выполняемые компьютером с установленной службой маршрутизации и удаленного доступа.
Установив флажок маршрутизатор, вы указываете, что компьютер будет осуществлять маршрутизацию пакетов между установленными на нем интерфейсами. Вы можете указать один из двух видов маршрутизации при помощи переключателя:
Установив флажок сервер удаленного доступа, вы указываете, что компьютер будет работать в качестве сервера удаленного доступа.
На вкладке Безопасность вы можете настроить параметры проверки подлинности пользователей при удаленном доступе к серверу или использования вызова по требованию.
В качестве службы проверки подлинности вы можете использовать:
При выборе службы проверки подлинности RADIUS вы можете использовать кнопку Настроить для указания списка серверов, которые будут осуществлять проверку подлинности пользователей.
Щелкнув кнопку Методы проверки подлинности, в появившемся окне вы можете настроить методы, которые будут использоваться сервером удаленного доступа при аутентификации пользователя.
Выбранные протоколы должны поддерживаться не только сервером, но и клиентом, иначе процедура проверки подлинности закончится с ошибкой.
Установив флажок Разрешить подключение удаленных систем без проверки вы разрешите удаленное подключение пользователей без проверки подлинности – пользователям не надо будет предоставлять имя и пароль при подключении к серверу удаленного доступа.
На вкладке IP вы можете настроить параметры маршрутизации TCP/IP
Для включения IP-маршрутизации необходимо установить флажок Разрешить IP-маршрутизацию. При использовании подключения по требованию и необходимости маршрутизации между сетевым интерфейсом и интерфейсом удаленного подключения необходимо установить флажок Удаленный IP-доступ с предоставлением канала по требованию.
При использовании сервера удаленного доступа необходимо выделять клиентам сервера уникальные IP -адреса. Выделение адресов может осуществляться как с использованием протокола DHCP (переключатель протокол DHCP), так и с помощью сервера удаленного доступа (переключатель статический пул адресов). В последнем случае вы можете задать один или более диапазонов IP -адресов для выделения клиентским компьютерам.
Для добавления диапазона IP -адресов для выделения клиентам сервера удаленного доступа щелкните кнопку Добавить.
В появившемся окне необходимо указать начальный и конечный адрес диапазона адресов. Значение поля Количество адресов вычисляется автоматически на основе введенной информации. Также на основании введенной информации автоматически вычисляются адрес и маска сети.
Для изменения границ диапазона необходимо выбрать его из списка и щелкнуть кнопку Изменить. Удаление диапазона осуществляется кнопкой Удалить.
На вкладке PPP вы можете настроить параметры протокола PPP, используемого сервером удаленного доступа.
Установив флажок Многоканальные подключения вы разрешите клиентам объединять несколько физических подключений в одно логическое для увеличения пропускной способности канала связи. Установив флажок Динамическое управление пропускной способностью (BAP/BACP), вы разрешите клиентам использовать протоколы BAP и BACP для динамической настройки многоканальных подключений.
Установив флажок Расширения LCP, вы разрешите клиентам использовать протокол LCP при установлении соединения с сервером удаленного доступа. Установив флажок Программное сжатие данных, вы разрешите использование протокола MPPC для сжатия передаваемых данных.
По умолчанию все флажки установлены, что позволяет клиентам использовать все возможные расширения протокола PPP.
На вкладке Ведение журнала вы можете управлять набором событий, фиксируемых в журнале сервера маршрутизации и удаленного доступа.
При помощи переключателя Ведение журнала вы можете выбрать один из следующих вариантов:
Установив флажок Журнал дополнительных сведений о маршрутизации и удаленном доступе вы включите ведение журнала соединений протокола PPP. Этот журнал по умолчанию хранится в файле %systemroot%\Tracing\Ppp.log.
При изменении параметров ведения журналов службы маршрутизации и удаленного доступа требуется перезапуск службы.
Запуск и остановка сервера.
Вы имеете возможность управлять состоянием службы маршрутизации и удаленного доступа, не покидая оснастки Маршрутизация и удаленный доступ Консоли управления. Для управления службой маршрутизации и удаленного доступа нажмите правую кнопку мыши на имени сервера в дереве консоли управления и выберите в контекстном меню подменю Все задачи, а затем выберите ту операцию, которую вы хотите выполнить. Вам доступны следующие операции:
Все операции выполняются немедленно без дополнительных подтверждений. Процесс выполнения операции наглядно отображается на экране.
[newpage=Управление интерфейсами маршрутизации]
Управление интерфейсами маршрутизации.
Интерфейсы маршрутизации используются для представления различных соединений маршрутизатора, которые могут использоваться для маршрутизации данных. При необходимости использования устройства для маршрутизации, оно должно быть предварительно добавлено в список интерфейсов маршрутизатора.
Для управления интерфейсами маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Интерфейсы сети. Все настроенные интерфейсы будут выведены в виде списка в правой части окна консоли управления.
В списке выводятся не только названия интерфейсов, но и их основные характеристики (тип, состояние, имя соответствующего устройства и т.п.).
Управление установленными интерфейсами осуществляется при помощи контекстного меню, вызываемого нажатием правой кнопки мыши на имени соответствующего интерфейса.
Маршрутизатор Windows Server 2003 не разрешает управление интерфейсами подключений по локальной сети и замыканий на себя. Первые настраиваются в окне Сеть и удаленный доступ к сети, вторые – не имеют параметров для настройки. При добавлении нового подключения по локальной сети (например, при добавлении нового сетевого адаптера), это подключение будет автоматически добавлено в список интерфейсов маршрутизатора Windows Server 2003.
Помимо интерфейсов подключений по локальной сети и интерфейсов, установленных вручную, список всегда содержит два внутренних интерфейса, которые используются самим маршрутизатором:
Добавление нового интерфейса маршрутизации.
Для добавления нового интерфейса маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Интерфейсы сети. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Создать новый интерфейс вызова по требованию или Создать IP-туннель, в зависимости от того, какого типа интерфейс вы хотите добавить. Добавление других типов интерфейсов вручную невозможно.
Управление интерфейсом вызова по требованию.
Интерфейсы вызова по требованию являются практически единственными управляемыми интерфейсами маршрутизатора Windows Server 2003. Для управления интерфейсами вызова по требованию необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Интерфейсы сети. В списке справа выберите интересующий вас интерфейс и нажмите на нем правую кнопку мыши. Управление осуществляется при помощи команд, выбираемых из контекстного меню.
Изменение свойств интерфейса вызова по требованию.
Для настройки свойств интерфейса выберите пункт Свойства контекстного меню. На вкладке Общие вы можете настроить основные параметры подключения: модем, используемый для подключения, и телефонный номер, по которому осуществляется подключение.
При помощи кнопки Другие вы можете настроить дополнительные телефоны, которые будут использоваться при установлении соединения.
На вкладке Параметры настраиваются параметры подключения, связанные с установлением соединения и набором номера.
При помощи переключателя Тип подключения вы можете настроить время активности подключения. Выбрав вариант Вызов по требованию и установив необходимое значение в раскрывающемся списке Время простоя до разъединения, вы укажете серверу удаленного доступа, что соединение должно устанавливаться только при необходимости, а разрываться должно после указанного времени простоя. При выборе варианта Постоянное подключение, соединение устанавливается при первом обращении пользователей к внешним ресурсам и больше не разрывается.
Следующие параметры определяют параметры набора номера:
Щелкнув кнопку Ответный вызов в появившемся окне, вы можете настроить параметры ответного вызова.
Установив переключатель в положение Всегда выполнять ответный вызов по указанным номерам, вы сможете указать устройство для обратного вызова и номер телефона, по которому он будет осуществляться. Эта возможность может быть использована при настройке маршрутизации по требованию, когда соединение осуществляется между одной и той же парой маршрутизаторов.
На вкладке Безопасность вы можете настроить параметры безопасности при установлении соединения с использованием вызова по требованию.
Установив переключатель Параметры безопасности в положение Обычные (рекомендуемые параметры), вы используете стандартные параметры соединения. В раскрывающемся списке При проверке используется вы можете указать, в каком виде передаются учетные данные удаленному маршрутизатору при установлении соединения. Вот возможные варианты.
При использовании любого способа проверки подлинности, кроме небезопасного пароля, вы можете установить флажок Требуется шифрование данных. В этом случае все данные при передаче удаленному маршрутизатору и обратно будут шифроваться на основе ключей, определяемых используемыми протоколами.
Установив переключатель Параметры безопасности в положение Дополнительные (особые параметры), вы можете настроить любые параметры безопасности соединения при помощи кнопки Настроить. Это следует использовать только в том случае, если вы обладаете полной информацией о протоколах безопасности, поддерживаемых обеими сторонами соединения.
При необходимости, допустим, если удаленный маршрутизатор не поддерживает стандартную процедуру входа, вы можете включить выполнение определенного сценария при установлении соединения. Для этого необходимо установить флажок Сценарий и выбрать необходимый сценарий в раскрывающемся списке. При необходимости можно указать собственный сценарий, щелкнув кнопку Обзор. Если требуется отредактировать выбранный сценарий, щелкните кнопку Изменить — выбранный сценарий загрузится в текстовый редактор.
На вкладке Сеть вы можете изменить параметры сетевых служб и протоколов, используемых при подключении к удаленному маршрутизатору.
В раскрывающемся списке Тип подключаемого сервера удаленного доступа укажите правильный тип сервера, используемого удаленным маршрутизатором. Сервер удаленного доступа Windows Server 2003 поддерживает соединения только по протоколу PPP. Щелкнув кнопку Параметры, вы можете настроить дополнительные параметры используемого протокола, в данном случае PPP.
В списке Отмеченные компоненты используются этим подключением перечислены сетевые службы, клиенты и протоколы, установленные на вашем компьютере. Рядом с компонентами, используемыми при подключении к удаленному маршрутизатору, установлены флажки. Выбрав нужный компонент из списка, вы можете настроить его параметры для этого подключения, щелкнув кнопку Свойства. Если какой-либо компонент не установлен, можно его добавить, щелкнув кнопку Установить.
Кнопка Удалить предназначена для удаления выбранного компонента из всех сетевых подключений, что может привести к неработоспособности некоторых из них.
Настройка учетных данных интерфейса вызова по требованию.
Для настройки учетных данных, используемых при подключении через интерфейс вызова по требованию, выберите пункт Установить учетные данные контекстного меню.
В появившемся окне вы должны указать имя пользователя (поле Пользователь) и пароль (поля Пароль и Подтверждение).
Эти данные будут автоматически использоваться при установлении соединения с удаленным маршрутизатором. Если удаленный маршрутизатор работает под управлением Windows Server 2003 и является членом домена, то необходимо указать имя домена в поле Домен.
Подключение/отключение интерфейса вызова по требованию.
Вы можете самостоятельно инициировать установление или разрыв соединения с использованием интерфейса вызова по требованию. Обычно это требуется при настройке маршрутизации с использованием интерфейса вызова по требованию, либо при различных неполадках в работе маршрутизатора Windows Server 2003.
Для установления соединения с удаленным маршрутизатором выберите пункт Подключить контекстного меню. При этом будет запущен процесс соединения. Об установлении соединения вы узнаете по изменению состояния интерфейса в списке интерфейсов маршрутизации.
Активное соединение может с удаленным маршрутизатором быть прервано вручную. Для этого выберите пункт Отключить контекстного меню. Соединение будет разорвано немедленно, о чем вы узнаете по изменению состояния интерфейса в списке интерфейсов маршрутизации.
Разрешение/запрет интерфейса вызова по требованию.
Также, как и подключение по локальной сети, любой интерфейс маршрутизатора может быть отключен. Отключенный интерфейс не может использоваться для маршрутизации или установления соединения.
Для отключения интерфейса маршрутизации выберите пункт Запретить контекстного меню, а для включения – пункт Разрешить. Отключение и включение интерфейса производится незамедлительно. Если при запрете интерфейса он был активен, то перед запретом производится отключение всех активных подключений.
Настройка IP-фильтров вызова подключения по требованию.
Для настройки фильтров протокола IP, использующихся для данных, передаваемых через интерфейс вызова по требованию, выберите пункт Установить IP -фильтры вызова по требованию контекстного меню.
Настройка расписания исходящих вызовов.
Для настройки времени, когда разрешены исходящие вызовы с использованием подключения по требованию, выберите пункт Расписание исходящих вызовов контекстного меню.
В появившемся окне вы можете указать периоды времени, в которые разрешено или запрещено использование данного интерфейса для соединения с удаленным маршрутизатором.
Такая возможность позволяет вам использовать для доступа в Интернет несколько удаленных маршрутизаторов, осуществляя доступ к каждому из них в то время, когда расходы на связь минимальны. Также вы можете ограничивать доступ пользователей локальной сети в Интернет.
Удаление интерфейса.
Любой интерфейс, за исключением интерфейсов локальной сети и внутренних интерфейсов маршрутизатора, может быть удален. При удалении интерфейс также исключается из всех таблиц маршрутизации, преобразования сетевых адресов и т.п. Таблицы маршрутизации автоматически перестраиваются таким образом, чтобы в них не было неизвестных маршрутов.
Для удаления интерфейса выберите пункт Удалить контекстного меню. После дополнительного подтверждения интерфейс будет удален. Все подключения, осуществляемые через этот интерфейс, будут прерваны.
[newpage=Управление портами сервера удаленного доступа]
Управление портами сервера удаленного доступа.
Порты представляют отдельное подключение, осуществляемое с использованием устройства через интерфейс маршрутизатора. Маршрутизатор Windows Server 2003 не предоставляет никаких дополнительных средств по управлению портами. Предполагается, что управление портами осуществляется при помощи инструментов, предоставляемых разработчиками соответствующего устройства. Для однопортовых устройств, таких как модем, настройки порта совпадают с настройками устройства в целом. Настройка таких устройств осуществляется через Панель управления.
Для управления портами устройств маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Порты. Все установленные порты будут выведены в виде списка в правой части окна консоли управления.
Просмотр информации о состоянии порта.
Функция просмотра информации о состоянии порта является единственной функцией, доступной при управлении портами устройств маршрутизации. Для просмотра состояния порта необходимо в списке справа выбрать интересующий порт и нажать на нем правую кнопку мыши. Выберите пункт Состояние контекстного меню.
В появившемся окне вы можете получить информацию о времени соединения, количестве принятых и переданных байт, количество различных ошибок. Также выводится информация об адресах, назначенных установленному подключению.
[newpage=Управление IP-маршрутизацией]
Управление IP-маршрутизацией.
IP-маршрутизация является необходимым средством для доступа к Интернету. Все необходимые параметры маршрутизации (протоколы, таблицы маршрутизации, таблицы адресов и т.п.) настраиваются в ветви IP-маршрутизация.
Для управления IP-маршрутизацией необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь IP -маршрутизация.
В ветви IP-маршрутизация находятся отдельные ветви для настройки общих свойств IP-маршрутизации и установленных протоколов.
Управление общими параметрами маршрутизации.
Для управления общими параметрами IP-маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. Все интерфейсы, участвующие в IP-маршрутизации, отображаются в виде списка справа.
В списке выводятся не только названия интерфейсов, но и их основные характеристики (тип, IP-адрес, состояние, количество переданных байт и т.п.).
Управление интерфейсами маршрутизации осуществляется при помощи контекстного меню, вызываемого нажатием правой кнопки мыши на имени соответствующего интерфейса.
Настройка свойств маршрутизации.
Для настройки свойств IP-маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP- маршрутизация, а в ней выбрать ветвь Общие. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Свойства.
На вкладке Ведение журнала вы можете настроить параметры ведения журнала IP-маршрутизации.
Вы можете выбрать один из следующих вариантов:
На вкладке Уровни предпочтений вы можете настроить предпочтения использования информации из различных источников маршрутов.
Чем меньше уровень предпочтения у источника маршрута, тем важнее и надежнее считается маршрут, полученный из этого источника. Обычно самым надежным является локальный маршрут, то есть маршрут, получателем в котором указан один из интерфейсов маршрутизатора.
Вы можете изменять уровни предпочтений для различных источников. Для этого необходимо выбрать нужный источник в списке и изменить уровень его предпочтения с помощью кнопок Повысить уровень и Понизить уровень. Имеет смысл изменять уровни предпочтения для различных протоколов маршрутизации и источников автоматических маршрутов, изменять, а тем более, понижать уровни предпочтения для локальных и статических маршрутов не рекомендуется.
На вкладке Многоадресные области вы можете задать области многоадресной рассылки, обслуживаемые маршрутизатором.
Для добавления области в список необходимо щелкнуть кнопку Добавить. При помощи кнопки Изменить можно изменить параметры выбранной области.
Добавление нового интерфейса.
Для добавления нового интерфейса маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый интерфейс.
В появившемся окне выберите интерфейс, который должен использоваться IP-маршрутизатором, и щелкните кнопку OK. Будет отображено окно свойств нового интерфейса. Интерфейс будет добавлен в список интерфейсов IP -маршрутизации с настройками по умолчанию. При ручном добавлении интерфейса никаких изменений в таблицу маршрутизации внесено не будет. Вы должны будете самостоятельно изменить статические маршруты, либо использовать протокол маршрутизации для настройки таблицы.
При добавлении нового интерфейса маршрутизации этот интерфейс автоматически добавляется в список интерфейсов маршрутизации тех протоколов, которые были указан при добавлении интерфейса.
Добавление нового протокола маршрутизации.
Для добавления нового протокола маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый протокол маршрутизации.
В появившемся окне выберите протокол, который должен поддерживаться маршрутизатором, и щелкните кнопку ОК. В списке отображаются только те протоколы, которые еще не установлены на маршрутизаторе. Каждый протокол маршрутизации отображается в виде дочерней ветви в ветви IP-маршрутизация дерева консоли управления.
При добавлении нового протокола ни один из интерфейсов с ним не связывается. Вы должны добавить необходимые интерфейсы и произвести их настройку вручную.
Настройка свойств интерфейса маршрутизации.
Для настройки свойств интерфейса маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Свойства.
Любой интерфейс маршрутизации содержит три стандартных вкладки: Общие, Границы многоадресной области и Пульс многоадресной рассылки, которые будут рассмотрены ниже. Окно свойств интерфейса маршрутизации будет рассмотрено на примере интерфейса вызова по требованию. Кроме того, окно свойств интерфейса может содержать дополнительные вкладки, которые определяются особенностями конкретного интерфейса. Например, окно свойств интерфейса подключения по локальной сети содержит вкладку Конфигурация, на которой настраиваются параметры TCP/IP для интерфейса.
Общие свойства интерфейсов маршрутизации
На вкладке Общие вы можете настроить основные параметры IP-маршрутизации для конкретного интерфейса.
Для включения IP-маршрутизации через интерфейс необходимо установить флажок Включить диспетчер IP-маршрутизации.
Установив флажок Включить объявления обнаружения маршрутизатора вы включите функцию объявления маршрутизатора по протоколу ICMP. Параметры объявления задаются в следующих полях:
При помощи кнопок Фильтры входа и Фильтры выхода вы можете настроить фильтрацию IP-пакетов, проходящих через интерфейс IP-маршрутизации. Входящими считаются пакеты, полученные интерфейсом от клиентов, исходящими – пакеты, полученные интерфейсом с другого интерфейса в результате маршрутизации.
Установив флажок Включить проверку фрагментации вы включите проверку целостности фрагментированных IP-пакетов, проходящих через интерфейс.
На вкладке Границы многоадресной области вы можете управлять областями многоадресной рассылки и их границами.
Для нормальной работы многоадресной маршрутизации клиенты и серверы вашей сети должны поддерживать протоколы многоадресной рассылки. Так как многоадресная рассылка является расширенной возможностью протокола TCP/IP и не рассматривается в данном курсе.
На вкладке Пульс многоадресной рассылки вы можете настроить параметры прослушивания многоадресного трафика сети и обеспечения работоспособности групп многоадресной рассылки. Так как многоадресная рассылка является расширенной возможностью протокола TCP/IP и не рассматривается в данном курсе.
Дополнительные свойства интерфейса подключения по локальной сети
На вкладке Конфигурация вы можете изменять параметры протокола TCP/IP , привязанного к сетевому адаптеру. Эта вкладка является отражением окна свойств TCP/IP сетевого адаптера.
Для изменения параметров протокола TCP/IP сетевого адаптера рекомендуется использовать окно Сеть и удаленный доступ к сети.
Просмотр информации об IP-маршрутизации.
Маршрутизатор Windows Server 2003 предоставляет возможность просматривать большое количество статистической информации как об IP-маршрутизации в целом, так и маршрутизации через конкретный интерфейс.
Для просмотра информации об IP-маршрутизации в целом необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню один из пунктов, описанных ниже:
Для просмотра информации о маршрутизации с использованием определенного интерфейса необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню один из пунктов, описанных ниже:
Удаление интерфейса маршрутизации.
Любой интерфейс маршрутизации, за исключением внутренних интерфейсов маршрутизатора, может быть удален. При удалении интерфейс также исключается из всех таблиц маршрутизации, преобразования сетевых адресов и т.п. Таблицы маршрутизации автоматически перестраиваются таким образом, чтобы в них не было неизвестных маршрутов.
Для удаления интерфейса маршрутизации выберите пункт Удалить контекстного меню. После дополнительного подтверждения интерфейс будет удален. Все подключения, осуществляемые через этот интерфейс, будут прерваны.
Удаление интерфейса маршрутизации не приводит к удалению физического интерфейса и потере его настроек.
[newpage=Управление статическими маршрутами]
Управление статическими маршрутами.
Для управления таблицей статических маршрутов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. Все настроенные статические маршруты указываются в списке справа.
Информация о каждом статическом маршруте соответствует сведениям таблицы маршрутизации: адрес и маска сети назначения, адрес шлюза, интерфейс, метрика.
Добавление статического маршрута.
Для добавления нового статического IP-маршрута необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый статический маршрут.
В появившемся окне вы должны указать интерфейс, через который будут маршрутизироваться IP-пакеты (поле Интерфейс) и адрес (поле Назначение) и маску (поле Маска подсети) сети назначения. При маршрутизации по локальной сети вы должны указать адрес шлюза, который будет использоваться для маршрутизации (поле Шлюз). Маршрутизируемые пакеты, направленные в указанную сеть, будут пересылаться на указанный шлюз с использованием указанного интерфейса.
В поле Метрика вы можете указать метрику добавляемого маршрута. Маршруты, имеющие меньшую метрику, имеют больший приоритет при маршрутизации. Например, если в сеть X существует два маршрута с метриками 1 и 10, то сначала будет использован маршрут с метрикой 1, и только при его недоступности будет использован маршрут с метрикой 10. Обычно, маленькие значения метрики задаются для дешевых высокоскоростных подключений, например, для подключений с использованием локальной сети. Большие значения метрики используются для резервных или более дорогих и медленных подключений, которые используются в качестве альтернативы или при выходе высокоскоростного канала из строя.
Установив флажок Использовать этот маршрут для подключений по требованию, вы укажете, что маршрут использует подключение по требованию, и, при необходимости, нужно устанавливать подключение к удаленному маршрутизатору. Этот флажок должен быть установлен для всех маршрутов, использующих подключение по требованию, и сброшен для всех подключений по локальной сети.
Изменение статического маршрута.
Для изменения статического IP -маршрута необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. В списке справа выберите нужный маршрут, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Свойства.
Для изменения свойств статического маршрута используется тоже окно, что и для добавления нового маршрута.
Удаление статического маршрута.
Для удаления статического IP -маршрута необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. В списке справа выберите нужный маршрут, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Удалить. После дополнительного подтверждения маршрут будет удален.
Будьте осторожны при удалении статических маршрутов! Удаление важных маршрутов может привести к сбоям в работе объединенной сети или самого маршрутизатора.
Просмотр таблицы IP-маршрутизации.
Для просмотра таблицы IP -маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Отобразить таблицу IP-маршрутизации.
В появившемся окне выводится полная таблица IP-маршрутизации, содержащая не только сведения о статически настроенных маршрутах, но и о маршрутах, настроенных при помощи различных протоколов маршрутизации. Часть этих маршрутов не выводится в таблице статических маршрутов, т.к. эти маршруты добавляются в таблицу автоматически самим маршрутизатором и необходимы для его нормальной работы.
[newpage=Управление протоколом NAT]
Управление протоколом NAT.
Для управления параметрами протокола NAT необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Все интерфейсы, настроенные на использование протокола NAT, отображаются в списке справа.
В списке отображаются интерфейсы, участвующие в трансляции адресов, а также статистика трансляции IP-пакетов.
Свойства протокола NAT.
Для настройки параметров трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Свойства.
На вкладке Общие вы можете настроить параметры ведения журнала протокола NAT.
Вы можете выбрать один из следующих вариантов:
На вкладке Преобразование вы можете настроить основные параметры преобразования IP-адресов, связанные с ведением таблицы трансляции.
В полях Удалить TCP-сопоставление через и Удалить UDP-сопоставление через указывается интервал в минутах, по истечении которого записи удаляются из таблицы трансляции NAT. Щелкнув кнопку Восстановить умолчания вы вернете значения этих параметров по умолчанию.
На вкладке Назначение адресов вы можете управлять параметрами упрощенной службы DHCP-сервера, которую вы можете использовать совместно с протоколом NAT.
Установив флажок Назначать IP-адреса с помощью DHCP-распределителя вы включаете службу упрощенного DHCP-сервера на маршрутизаторе Windows Server 2003. В полях IP-адрес и Маска вы должны задать адрес и маску сети, адреса которой будут выделяться клиентским компьютерам. При настройке клиентов им будут передаваться следующие параметры:
DHCP-сервер обслуживает только клиентов, подключенных к маршрутизатору через интерфейс частной сети (см. ниже). Ретрансляция DHCP-запросов не осуществляется.
При помощи кнопки Исключить вы можете настроить диапазоны IP -адресов, которые не будут выделяться DHCP-клиентам.
На вкладке Разрешение имен в адреса вы можете настроить параметры DNS-прокси, являющегося частью протокола NAT.
Установив флажок для клиентов, использующих службу DNS, вы включите DNS-прокси. В этом случае маршрутизатор будет являться DNS-сервером для клиентских компьютеров. Все приходящие запросы он будет разрешать используя локальный кэш имен, либо осуществляя DNS-запросы на сервера имен в Интернете. Если для этого требуется подключение к Интернет, то вы должны установить флажок Подключаться при этом к публичной сети и указать интерфейс вызова по требованию, который будет использоваться для подключения к удаленному маршрутизатору с целью разрешения имен. В этом случае, если запрашиваемое имя не будет найдено в локальном кэше DNS-прокси, маршрутизатор осуществит подключение с использованием указанного интерфейса вызова по требованию и передаст запрос на разрешение имени дальше.
Использование DNS-прокси позволяет не открывать на брандмауэре 53 порт, запрещая тем самым прямые обращения к DNS-серверам, расположенным в Интернете. Если при этом маршрутизатор использует DNS-сервера локальной сети, у вас появляется возможность контролировать разрешение различных имен клиентскими компьютерами.
Для настройки параметров брандмауэра выберите в правой части окна консоли интерфейс, который необходимо настроить и щелкните правой кнопкой мышки. В контекстном меню выберите Свойства.
На вкладке NAT и простой брандмауэр вы можете настроить параметры брандмауэра.
Выполните одно из следующих действий:
Можно разрешить или запретить определенные типы сетевого трафика из сети с помощью настройки дополнительных фильтров статических пакетов. Для этого нажмите кнопку Фильтры входа или Фильтры выхода, в зависимости от того, какой трафик вы хотите ограничить.
Что бы добавить новый фильтр нажмите кнопку Создать, для изменения параметров имеющихся фильтров, выберите нужный фильтр из списка и нажмите кнопку Изменить. Чтобы удалить фильтр, нажмите кнопку Удалить.
Для добавления нового фильтра и изменения параметров существующего фильтра используется одно и то же окно. В этом окне вы можете указать параметры источника пакета и кому он адресован. Так же можно выбрать из списка используемый протокол и указать порт. После нажатия кнопки OK фильтр будет занесен в список фильтров брандмауэра.
Затем следует установить действие фильтров, выбрав одно из положений переключателя Действие фильтра. По окончании настройки нажмите кнопку OK.
На вкладке Пул адресов можно настроить диапазоны IP-адресов интерфейса.
Что бы добавить новый диапазон нажмите кнопку Добавить, для изменения имеющихся IP-адресов, выберите диапазон адресов из списка и нажмите кнопку Изменить. Чтобы удалить диапазон, нажмите кнопку Удалить.
Если используется диапазон IP-адресов, который можно задать IP-адресом и маской подсети, введите в поле Начальный адрес начальный IP-адрес, а в поле Маска — маску подсети. Если используется диапазон IP-адресов, который нельзя задать IP-адресом и маской подсети, введите в поле Начальный адрес начальный IP-адрес, а в поле Конечный адрес — конечный IP-адрес диапазона. Если используется несколько диапазонов адресов, с помощью кнопки Добавить можно отдельно добавить каждый из них.
Вкладка Службы и порты дает возможность создать список приложений, которым разрешен доступ к ресурсам Интернета. Если список пуст, доступ разрешен всем приложениям к любым ресурсам Интернета. Добавление хотя бы одного приложения в список автоматически запрещает доступ к ресурсам Интернета всем остальным приложениям.
При определении списка приложений и ресурсов, к которым они имеют доступ, имейте в виду следующее.
Чтобы добавить новое приложение в список разрешений, щелкните кнопку Добавить.
В появившемся окне в поле Описание службы введите имя, которое позволит идентифицировать это приложение в списке разрешений. Используйте не только обобщенное название приложения (например, Web-браузер), но и протокол, по которому осуществляется соединение (например, HTTP), т. к. многие приложения используют несколько протоколов и требуют различных параметров настройки для различных протоколов. Например, для Web-серверов используйте имя Web-браузер (HTTP).
Укажите протокол и порт, который использует данная служба. Установив переключатель TCP/UDP, укажите, какой из этих двух протоколов используется для исходящий соединений.
В поле Входящий порт укажите номер порта, который может использоваться для приема данных от сервера по указанному протоколу.
В поле Адрес в частной сети укажите IP-адрес компьютера, на котором установлена данная служба.
В поле Исходящий порт укажите порт, используемый сервером вашей сети, работающими по соответствующему протоколу.
В большинстве случаев можно указывать все разрешенные порты, вводя значение 1024-65535. Набор портов можно задать отдельно для протоколов TCP и UDP.
Щелкните кнопку ОК, чтобы добавить службу в список разрешений.
Добавляйте приложения в список по одному. После добавления сохраняйте все изменения и проверяйте работоспособность приложения с одного из клиентских компьютеров.
На вкладке ICMP вы можете разрешить или запретить сообщения ICMP.
При настройке поля Использовать следующие возможности возможен один из следующих вариантов:
После этого щелкните кнопку ОК во всех окнах свойств для сохранения изменений.
Добавление нового интерфейса.
Для добавления нового интерфейса трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый интерфейс.
В появившемся окне выберите интерфейс, который должен обслуживаться протоколом NAT и щелкните кнопку ОК. Будет отображено окно настройки интерфейса.
В списке отображаются только те интерфейсы, которые установлены и настроены на маршрутизаторе, а также установлены как интерфейсы IP-маршрутизации. Внутренние интерфейсы маршрутизатора не могут обслуживаться протоколом NAT.
[newpage=Свойства интерфейса трансляции адресов]
Свойства интерфейса трансляции адресов.
Для настройки свойств интерфейса трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Свойства.
Интерфейсы трансляции адресов бывают двух типов:
Для нормальной работы протокола NAT требуется наличие хотя бы одного частного и одного общего интерфейсов.
Свойства частного интерфейса
Для частного интерфейса окно свойств содержит только одну вкладку – NAT и простой брандмауэр. Эта вкладка позволяет вам только указать тип интерфейса, изменив его на общий. Такая возможность требуется крайне редко, обычно только при изменении конфигурации сетей, входящих в состав объединенной сети.
Все параметры трансляции адресов настраиваются в окне свойств общего интерфейса трансляции.
Свойства общего интерфейса
Окно свойств общего интерфейса позволяет настроить все необходимые параметры трансляции адресов. На вкладке NAT и простой брандмауэр для такого интерфейса должен быть указан его тип, а также должен быть установлен флажок Включить NAT на данном интерфейсе.
Если этот флажок не установлен, то осуществляется преобразование только IP-заголовков, что означает невозможность использование несколькими компьютерами локальной сети функции трансляции адресов. В большинстве случаев это означает то, что клиенты локальной сети не смогут пользоваться сервисами Интернет.
На вкладке Пул адресов вы можете настроить пул адресов, связанных с общим интерфейсом. Адреса этого пула будут использоваться при трансляции пакетов. Чем больше адресов в этом пуле, тем больше клиентов локальной сети смогут воспользоваться трансляцией адресов. В пул адресов должны входить только общие адреса, доступные из Интернета.
При использовании коммутируемых подключений пул адресов задавать не требуется, т.к. в этом случае используется один единственный IP-адрес, назначенный для общего интерфейса вручную или автоматически. Пул адресов обычно используется при маршрутизации между несколькими локальными сетями, либо при подключении к Интернету с использованием выделенной линии.
При помощи кнопки Резервирование вы можете зарезервировать определенные адреса из пула для использования конкретными компьютерами локальной сети. Хотя такая возможность используется крайне редко, это может потребоваться для некоторых сетевых приложений.
На вкладке Службы и порты вы можете настроить сопоставление входящих сеансов конкретным компьютерам и портам в частной сети. Например, если вы хотите разместить Web-сервер, то для того, чтобы он был доступен пользователям Интернета, он должен быть расположен на компьютере с общим IP-адресом. Если вы используете трансляцию адресов, то вы должны размещать такие сервера на маршрутизаторе Windows Server 2003. Это не всегда возможно, поэтому Web-сервер можно разместить в частной сети, настроив соответствующим образом доступ к нему из общей сети.
Для этого необходимо выбрать протокол, используемый сервером, из раскрывающегося списка Службы и щелкнуть кнопку Добавить. Если сервер использует и TCP-, и UDP-порты, то вам необходимо добавить его дважды – для каждого из протоколов.
В появившемся окне в поле Описание службы введите имя, которое позволит идентифицировать это приложение в списке разрешений.
Укажите протокол и порт, который использует данная служба. Установив переключатель TCP/UDP, укажите, какой из этих двух протоколов используется для исходящий соединений.
В поле Входящий порт укажите номер порта, который может использоваться для приема данных от сервера по указанному протоколу.
В поле Адрес в частной сети укажите IP-адрес компьютера, на котором установлена данная служба.
В поле Исходящий порт укажите порт, используемый сервером вашей сети, работающими по соответствующему протоколу.
TCP- и UDP-порты, используемые различными приложениями и службами в Интернете перечислены в разделе Порты TCP/UDP, используемые приложениями и службами.
Удаление интерфейса.
Для удаления интерфейса трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Удалить. После дополнительного подтверждения интерфейс будет удален.
Для нормальной работы протокола NAT требуется наличие хотя бы одного частного и одного общего интерфейсов.
Просмотр информации о трансляции адресов.
Для просмотра таблицы IP-маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Отображение сопоставлений.
Для отображения трансляции адресов при обращении пользователей локальной сети необходимо просматривать сопоставления для общего интерфейса, а для отображения обращений пользователей Интернет к ресурсам локальной сети – сопоставления для частного интерфейса.
В появившемся окне выводится таблица, содержащая IP-адрес клиентского компьютера, использованного интерфейса маршрутизатора, IP-адрес удаленного компьютера и номер использованных портов.
[newpage=Управление политикой удаленного доступа.]
Управление политикой удаленного доступа.
Политики удаленного доступа — это упорядоченный набор правил, определяющих порядок авторизации подключения или отказа в подключении. Для каждого правила имеется одно или несколько условий, набор параметров профиля и настройка разрешений удаленного доступа.
На следующем рисунке показан алгоритм обработки попыток подключения с использованием политики удаленного доступа.
Для управления политикой удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. Все настроенные политики удаленного доступа отображаются в списке справа.
На сервере удаленного доступа может быть установлено несколько политик. В этом случае порядок их анализа и применения определяется числом, указанным в колонке Порядок. Вы можете изменять порядок применения политик, используя команды Вверх и Вниз контекстного меню, вызываемого при нажатии правой кнопки мыши на имени политики. Политики анализируются в порядке возрастания числа в колонке Порядок.
Добавление новой политики удаленного доступа.
Для добавления новой политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Создать политику удаленного доступа. Будет запущен Мастер создания политики удаленного доступа.
На первом шаге мастера вы должны указать имя политики, которое будет использоваться для ее отображения в списке политик. К тому же вы можете выбрать стандартный набор правил создаваемой политики или создать свой, установив переключатель Каким образом следует установить эту политику в соответствующее положение.
На следующем шаге мастера вы должны задать способ доступа к серверу, для которого создается новая политика.
Имеется два способа предоставления авторизации с помощью политик удаленного доступа:
На следующем шаге мастера вы должны указать, способ предоставления авторизации.
Список Имя группы содержит имена групп, на которые будет распространяться действие данной политики. Добавить или удалить группу из списка можно нажав соответствующую кнопку.
На данном шаге мастера вы можете выбрать методы проверки подлинности удаленного подключения. Методы проверки подлинности обычно используют протокол проверки подлинности, который согласовывается в процессе установления соединения.
Протокол EAP, по соображениям безопасности, следует использовать только при работе со смарт-картами. Если проверка подлинности выполняется по протоколу MS-CHAP, используйте MS-CHAP версии 2.
Следующий шаг мастера позволяет установить уровень шифрования.
MPPE и IPSec используют следующие ключи шифрования: 40-битный (простое шифрование), 56-битный (сильное шифрование) или 128-битный (стойкое шифрование).
При подключении к старым операционным системам, не поддерживающим шифрование с 56-битным или 128-битным ключом, следует использовать 40-битные ключи шифрования. В других случаях применяйте 56-битные ключи шифрования. Ключи шифрования определяются во время подключения. MPPE требует использования протоколов проверки подлинности MS-CHAP (v1 или v2) или EAP.
На последнем шаге мастера выводится сводная информация о создаваемой политике. При необходимости можно изменить параметры создаваемой политики, щелкая кнопку Назад.
После щелчка по кнопке Готово новая политика удаленного доступа будет создана и добавлена в список политик.
Настройка параметров политики удаленного доступа.
Для настройки параметров политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. В списке справа выберите нужную политику, нажмите на ней правую кнопку мыши и выберите из контекстного меню пункт Свойства.
На вкладке Параметры вы можете настроить параметры выбранной политики удаленного доступа.
В списке Укажите условия, которым должны удовлетворять запросы на подключение вы должны указать одно или более условий, которые должны выполняться для того, чтобы к клиентам удаленного доступа применялась указанная политика доступа. Новое условие можно добавить щелкнув кнопку Добавить. Условие можно изменить, щелкнув кнопку Изменить, или удалить, щелкнув кнопку Удалить. Окно настройки условия зависит от типа условия.
При помощи переключателя Если запрос на подключение удовлетворяет указанным условиям вы можете настроить поведение сервера удаленного доступа после выполнения клиентом необходимых условий. Вы можете выбрать один из вариантов:
Щелкнув кнопку Изменить профиль, вы можете изменить параметры профиля пользователя удаленного доступа, который будет использоваться для каждого удаленного пользователя, удовлетворяющего условиям политики.
На вкладке Ограничения по входящим звонкам вы можете настроить ограничения для входящих соединений.
Для того, чтобы установить ограничение на время простоя при удаленном соединении, установите флажок Время простоя сервера до разъединения и введите необходимое количество минут. Для того, чтобы ограничить продолжительность любого сеанса удаленного пользователя, установите флажок Время, в течение которого клиент может быть подключен и введите необходимое количество минут.
Установив флажок Разрешить доступ только в определенное время, вы можете настроить дни недели и часы, в которые пользователь может подключаться к серверу удаленного доступа. Для изменения графика используйте кнопку Изменить.
Для того, чтобы разрешить подключение пользователя только с определенного телефонного номера, установите флажок Разрешить вход только по этому номеру и введите нужный номер. Вы также можете ограничить набор средств, которыми пользователь может подключаться к серверу удаленного доступа. Для этого установите флажок Разрешить доступ только через эти носители и установите пометки рядом с нужными параметрами в списке.
На вкладке IP вы можете настроить параметры IP-адреса клиента.
При помощи переключателя Назначение IP-адресов вы можете выбрать один из следующих вариантов поведения:
При помощи кнопок Фильтры входа и Фильтры выхода вы можете настроить фильтрацию IP-пакетов, применяемых сервером удаленного доступа при подключении клиента.
На вкладке Многоканальное подключение настраивается возможность использования клиентом многоканальных подключений.
При помощи переключателя Параметры многоканального подключения вы можете выбрать один из следующих вариантов поведения:
Ниже вы можете настроить параметры протокола BAP, используемого при многоканальных подключениях. Для отключения дополнительных линий при снижении нагрузки на соединение в целом, установите необходимые значения в поле Процент загрузки. В этом случае линии будут отключаться по одной при снижении общей нагрузки до указанного уровня в течение указанного периода времени. Установив флажок Требовать BAP для динамических многоканальных запросов, вы укажете, что клиент должен использовать протокол BAP для динамического подключения или отключения дополнительных линий. В противном случае после отключения дополнительных линий при снижении нагрузки клиент не сможет подключить их обратно, когда нагрузка на канал возрастет.
На вкладке Проверка подлинности вы можете настроить поддержку различных протоколов проверки подлинности и шифрования при обмене данных с клиентом удаленного доступа.
Устанавливая флажки рядом с соответствующими протоколами, убедитесь, что эти протоколы поддерживаются и клиентом удаленного доступа и сервером удаленного доступа.
Установка флажка Разрешить подключение клиентов без согласования метода проверки подлинности ускорит процесс регистрации клиентов удаленного доступа, однако должна использоваться только в том случае, когда и клиент и сервер удаленного доступа поддерживают одинаковые протоколы проверки подлинности. Обычно этот флажок имеет смысл устанавливать только при настройке подключения по требованию между двумя маршрутизаторами.
На вкладке Шифрование вы можете настроить уровни шифрования, которые могут использоваться клиентом удаленного доступа. Рекомендуется установить все флажки для того, чтобы уровень шифрования определялся клиентом удаленного доступа.
На вкладке Дополнительно вы можете настроить дополнительные атрибуты, которые будут передаваться серверу удаленного доступа после установления подключения. В основном здесь указываются параметры, которые могут использоваться при взаимодействии с сервером RADIUS.
Для добавления параметра щелкните кнопку Добавить и выберите нужный параметр из списка. Щелкнув кнопку Изменить, вы можете указать значение параметра, которое будет передано серверу удаленного доступа.
Удаление политики удаленного доступа.
Для удаления политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. В списке справа выберите нужную политику, нажмите на ней правую кнопку мыши и выберите из контекстного меню пункт Удалить. После дополнительного подтверждения политика удаленного доступа будет удалена. Клиенты, подключенные с использованием удаленной политики отключены не будут и продолжат работу в соответствии с параметрами, полученными во время подключения.
Для нормальной работы сервера удаленного доступа рекомендуется не удалять политику удаленного доступа, установленную и настроенную по умолчанию. При необходимости вы можете добавить и настроить свою собственную политику удаленного доступа, назначив ей более высокий приоритет.
[newpage=Управление журналами удаленного доступа]
Управление журналами удаленного доступа.
Для управления ведением журналов удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Ведение журнала удаленного доступа. Все настроенные методы ведения журнала отображаются в списке справа.
Журналы удаленного доступа хранят информацию о проверке подлинности и учете доступа пользователей через сервер удаленного доступа. Учет событий ведется компонентами службы проверки подлинности в Интернете (IAS).
Настройка метода ведения журнала.
Для настройки метода ведения журнала необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Ведение журнала удаленного доступа. В списке справа выберите нужный метод, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Свойства.
На вкладке Параметры вы можете задать, какие события должны регистрироваться в журнале удаленного доступа.
Для этого вы можете использовать следующие флажки:
На вкладке Файл журнала вы можете настроить параметры ведения файла журнала.
Файл журнала маршрутизатора Windows Server 2003 представляет собой простой текстовый файл в кодировке UTF-8, который хранятся в папке, указанной в поле Папка (по умолчанию %systemroot%\system32\LogFiles).
Формат файла журнала определяется переключателем Формат и может быть одним из:
При активной работе пользователей через сервер удаленного доступа журнал сервера удаленного доступа быстро увеличивается в размерах. Для того, чтобы вам было удобнее анализировать журнал, вы можете настроить автоматический переход на создание нового файла журнала при помощи переключателя Создавать новый файл журнала. Вы можете выбрать один из следующих вариантов:
[newpage=Управление IP-фильтрами.]
Управление IP-фильтрами.
Маршрутизатор Windows Server 2003 поддерживает фильтрацию входящих и исходящих пакетов данных на различных уровнях:
На любом уровне фильтрация осуществляется отдельно для входящих и исходящих пакетов. Например, при передаче данных через маршрутизатор из локальной сети в Интернет для интерфейса подключения по локальной сети эти данные будут считаться входящими, а для интерфейса вызова по требованию – исходящими. Для клиентов удаленного доступа входящими всегда считаются данные, передаваемые клиентом, а исходящими – данные передаваемые клиенту.
В интерфейсе управления маршрутизатором Windows Server 2003 входящие фильтры обычно настраиваются кнопкой Фильтры входа, а исходящие – кнопкой Фильтры выхода.
Покажем настройку фильтров на примере входящих фильтров. Настройка исходящих фильтров осуществляется аналогично.
В окне Фильтры входа указывается набор действующих фильтров и условия фильтрации.
Последние определяются переключателем в верхней части окна, который может быть установлен в одно из положений:
Набор условий для проверки задается в списке Фильтры. Для добавления условия в список необходимо щелкнуть кнопку Создать.
В появившемся окне вы должны задать параметры исходного и конченого адреса проверяемого пакета. Если должен анализироваться адрес отправителя, то необходимо установить флажок Исходная сеть и указать адрес и маску сети отправителя. Если должен фильтроваться только один определенный IP-адрес, его необходимо указать в поле IP-адрес, а в поле маска указать значение 255.255.255.255. По аналогии настраивается анализ адреса получателя.
В раскрывающемся списке Протокол вы должны указать протокол, пакеты которого должны анализироваться фильтром. При указании протоколов TCP или UDP, вы должны будете дополнительно задать диапазон исходящих и входящих портов.
Например, для выделения всех запросов к Web-серверу локальной сети (адрес 192.168.0.10), например, для того, чтобы разрешить их, может задаваться фильтр со следующими параметрами:
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.152 )
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Thursday 23 November 2006 - 00:00:00
[newpage=Общие сведения о маршрутизации.]
Занятие 14 Установка и администрирование служб маршрутизации и удаленного доступа.
Любая редакция Windows Server 2003 включает службу маршрутизации и удаленного доступа, которая предназначена для выполнения следующих задач:
- организации удаленного доступа пользователей к ресурсам локальной сети с использованием коммутируемых линий или виртуальных частных сетей;
- организации доступа пользователей локальной сети к ресурсам Интернет или других сетей с использованием различных способов подключения;
- мультипротокольной маршрутизации и трансляции адресов.
По своим возможностям служба не уступает многим специализированным маршрутизаторам и является хорошей альтернативой в небольших сетях.
Общие сведения о маршрутизации.
Служба маршрутизации и удаленного доступа, входящая в состав Windows Server 2003 - это полнофункциональный программный маршрутизатор и открытая платформа для маршрутизации и объединения сетей. Она предлагает службы маршрутизации в локальных и глобальных сетевых средах, а также через Интернет с помощью безопасных виртуальных частных подключений. Служба маршрутизации и удаленного доступа объединяет функции раздельных служб маршрутизации и удаленного доступа Windows NT 4.0 и является расширением службы Routing and Remote Access Service (RRAS) Windows NT 4.0.
Компьютер под управлением Windows Server 2003 с установленной и настроенной службой маршрутизации и удаленного доступа, обеспечивающий маршрутизацию в локальной или глобальной сети, здесь и далее называется "маршрутизатором Windows Server 2003".
Маршрутизатор Windows Server 2003 поддерживает:
- многопротокольную одноадресную маршрутизацию для протоколов IP, IPX и AppleTalk;
- стандартные протоколы одноадресной IP-маршрутизации: OSPF и RIP версий 1 и 2;
- стандартные протоколы и службы IPX-маршрутизации: RIP для IPX и SAP для IPX;
- службы многоадресной IP-рассылки для обеспечения перенаправления многоадресного IP-трафика;
- службы преобразования адресов, упрощающие работу в небольшой офисной или домашней сети и подключение такой сети к Интернету;
- фильтрацию IP- и IPX-пакетов для обеспечения безопасности и повышения производительности;
- маршрутизацию вызова по требованию по коммутируемым каналам глобальной связи;
- поддержку виртуальных частных сетей с протоколами PPTP и L2TP поверх IPSec;
- поддержку стандартных агентов ретрансляции DHCP;
- стандартную поддержку объявлений маршрутизаторов с использованием обнаружения маршрутизатора средствами ICMP;
- поддержку туннелей с помощью туннелей IP-в-IP;
- интерфейс командной строки для запуска сценариев и автоматизации настройки и удаленного наблюдения;
- поддержку возможностей управления питанием Windows Server 2003;
- возможность управления по протоколу SNMP с поддержкой основных информационных баз управления (MIB).
Интерфейсы маршрутизации, устройства и порты.
Маршрутизатор Windows Server 2003 рассматривает установленное сетевое оборудование как набор интерфейсов маршрутизации, устройств и портов.
- Интерфейс маршрутизации - это физический или логический интерфейс, через который перенаправляются одноадресные или многоадресные пакеты.
- Устройство - это оборудование или программное обеспечение, позволяющее создавать физические или логические соединения "точка-точка".
- Порт - это коммуникационный канал устройства, поддерживающий одно соединение "точка-точка".
Интерфейс маршрутизации
Маршрутизатор Windows Server 2003 использует интерфейс маршрутизации для перенаправления одноадресных IP-, IPX- или AppleTalk-пакетов, а также многоадресных IP-пакетов. Существует три типа интерфейсов маршрутизации.
Тип интерфейса | Описание | ||||
Интерфейсы локальной сети | Интерфейс локальной сети - это физический интерфейс, обычно представляющий подключение к локальной сети посредством сетевого адаптера. Установленный адаптер глобальной сети часто представляется в виде интерфейса локальной сети. Интерфейсы локальной сети всегда активны; для их активизации обычно не требуется проверка подлинности | ||||
Интерфейсы вызова по требованию | Интерфейс вызова по требованию - это логический интерфейс, представляющий соединение "точка-точка". Соединение "точка-точка" основано либо на физическом соединении, например, когда два маршрутизатора связаны по аналоговой телефонной линии с помощью модемов, либо на логическом соединении, как в случае, когда два маршрутизатора связываются друг с другом по виртуальному частному подключению, использующему Интернет. Подключения по требованию могут быть двух типов:
Обычно интерфейсы вызова по требованию используют для подключения проверку подлинности. Необходимым оборудованием для интерфейса вызова по требованию является порт устройства | ||||
Интерфейсы туннелей IP-в-IP | Интерфейс туннеля IP-в-IP - это логический интерфейс, представляющий туннельное подключение "точка-точка". Интерфейсы туннелей IP-в-IP не требуют для подключения использования проверки подлинности |
Устройство
Устройство - это оборудование или программное обеспечение, предоставляющее порты, которые используются подключениями удаленного доступа для создания соединений "точка-точка". Устройства могут быть физическими, например модем, или виртуальными, например протоколы виртуальных частных сетей. Устройства могут поддерживать один порт, например модем, или несколько портов, например пул модемов, способный принять одновременно большое количество входящих вызовов по телефонным линиям. Примерами виртуальных многопортовых устройств являются протоколы PPTP и L2TP. Каждый из этих туннельных протоколов поддерживает несколько виртуальных частных подключений.
Порт
Порт - это канал устройства, который поддерживает одно соединение "точка-точка". Для однопортовых устройств, таких как модемы, устройство и порт неразличимы. Для многопортовых устройств порт является частью устройства, обеспечивающим отдельный канал связи "точка-точка". Например, адаптеры ISDN с интерфейсом BRI поддерживают два отдельных канала, называемых B-каналами. Адаптер ISDN является устройством. Каждый B-канал является портом, так как по каждому B-каналу создается отдельное соединение "точка-точка".
[newpage=Общие сведения об одноадресной маршрутизации.]
Общие сведения об одноадресной маршрутизации.
Одноадресной маршрутизацией называют перенаправление трафика, предназначенного для одного получателя в объединенной сети, от узла-источника к узлу-приемнику с помощью маршрутизаторов. Объединенная сеть - это по меньшей мере две сети, соединенные маршрутизаторами. Маршрутизатор - это промежуточная система сетевого уровня, используемая для соединения сетей на основе общего протокола сетевого уровня, такого как TCP/IP или IPX. Сеть - это часть сетевой инфраструктуры, которая подключена к маршрутизатору и имеет один и тот же адрес сетевого уровня, называемый адресом сети.
Обычно маршрутизатор подключен к двум или нескольким локальным или глобальным сетям. Компьютеры одной сети могут отправлять пакеты компьютерам других сетей, перенаправляя пакеты на маршрутизатор. Маршрутизатор исследует пакет и по адресу сети назначения в заголовке пакета определяет интерфейс, который нужно использовать для перенаправления пакета. С помощью протоколов маршрутизации (OSPF, RIP и других) маршрутизатор получает информацию о сети, например сетевые адреса, от соседних маршрутизаторов и распространяет эту информацию на маршрутизаторы других сетей для обеспечения связи между всеми компьютерами во всех сетях.
Маршрутизатор Windows Server 2003 может обслуживать трафик протоколов IP, IPX и AppleTalk.
Таблицы маршрутизации.
Решение о пересылке данных по определенному маршруту принимается на основании сведений о том, какие сети входят в состав объединенной сети. Эти сведения содержатся в базе данных, называемой таблицей маршрутизации. Таблица маршрутизации представляет собой набор записей, называемых маршрутами, которые содержат информацию о способах достижения отдельных сетей. Таблицы маршрутизации могут существовать не только на маршрутизаторах. Узлы, не являющиеся маршрутизаторами, могут также вести свои таблицы маршрутизации для определения оптимальных маршрутов.
Типы записей в таблице маршрутизации
Каждая запись в таблице маршрутизации считается маршрутом и может иметь один из следующих типов:
Тип маршрута | Описание |
Маршрут к сети | Маршрут к сети ведет к сети, входящей в объединенную сеть и имеющей указанный адрес |
Маршрут к узлу | Маршрут к узлу ведет к конкретному узлу в объединенной сети, обладающему указанным. Маршруты к узлу обычно используются для создания пользовательских маршрутов к отдельным узлам с целью оптимизации или контроля сетевого трафика. |
Маршрут по умолчанию | Маршрут по умолчанию используется, если в таблице маршрутизации не были найдены подходящие маршруты. Например, если маршрутизатор или узел не могут найти нужный маршрут к сети или маршрут к узлу, то используется маршрут по умолчанию. Маршрут по умолчанию упрощает настройку узлов. Вместо того чтобы настраивать на узлах маршруты ко всем сетям объединенной сети, используется один маршрут по умолчанию для перенаправления всех пакетов с адресами сетей, не обнаруженными в таблице маршрутизации |
Конфигурации маршрутизации.
Маршрутизаторы можно использовать при многих топологиях и конфигурациях сетей. При добавлении маршрутизатора Windows Server 2003 в сеть необходимо выбрать:
- протоколы, обслуживаемые маршрутизатором (IP, IPX или AppleTalk);
- протоколы маршрутизации (RIP для IP или IPX, OSPF, или SAP для IPX) для каждого маршрутизируемого протокола;
- устройства для подключения к локальным или глобальным сетям (сетевые адаптеры, модемы или другое оборудование для подключений удаленного доступа).
Простой сценарий маршрутизации
Ниже представлена простая сетевая конфигурация с маршрутизатором Windows Server 2003, соединяющим два сегмента локальной сети (сети A и B). В такой конфигурации протоколы маршрутизации не нужны, поскольку в сети нет других маршрутизаторов.
Сценарий с несколькими маршрутизаторами
Ниже представлена более сложная конфигурация сети с использованием маршрутизации.
В этой конфигурации присутствуют три сети (сети A, B и C) и два маршрутизатора (маршрутизаторы 1 и 2). Маршрутизатор 1 подключен к сетям A и B, а маршрутизатор 2 - к сетям B и C. Маршрутизатор 1 должен уведомить маршрутизатор 2 о том, что сеть A достижима через маршрутизатор 1, а маршрутизатор 2 должен уведомить маршрутизатор 1, что сеть C достижима через маршрутизатор 2. Эта информация передается автоматически протоколами маршрутизации, такими как RIP или OSPF. Когда пользователь сети A пытается связаться с пользователем сети C, компьютер пользователя сети A перенаправляет пакет на маршрутизатор 1. Маршрутизатор 1 затем перенаправляет пакет маршрутизатору 2. И наконец, маршрутизатор 2 перенаправляет пакет компьютеру пользователя в сети C.
Если протоколы маршрутизации не используются, сетевой администратор должен настроить статические маршруты в таблицах маршрутизации маршрутизаторов 1 и 2. Для показанной здесь конфигурации сети хорошо подходят статические маршруты, однако они не учитывают изменения в топологии сети и малопригодны для более крупных сетей.
Сценарий с маршрутизацией вызова по требованию
Ниже представлена конфигурация с маршрутизацией вызова по требованию.
Сети A и B расположены в географически разных регионах; для объема трафика между этими сетями использовать выделенный канал связи экономически нецелесообразно. Маршрутизатор 1 и маршрутизатор 2 могут подключаться друг к другу по аналоговой телефонной линии с помощью установленных на них модемов (или по другим каналам связи, например ISDN). Когда компьютер в сети A инициирует связь с компьютером в сети B, маршрутизатор 1 осуществляет подключение по телефонной линии к маршрутизатору 2. Модемное подключение поддерживается так долго, как это необходимо для передачи и приема пакетов. Если подключение в течение определенного времени находится в состоянии простоя, маршрутизатор 1 разрывает подключение с целью экономии.
IP-маршрутизация.
IP-маршрутизация - это перенаправление IP-трафика от узла-источника к узлу-приемнику через IP-маршрутизаторы. На каждом маршрутизаторе в таблице маршрутизации выполняется поиск наилучшего маршрута для IP-адреса назначения, указанного в пакете. Маршруты могут быть как статическими (задаются и изменяются администратором), так и динамическими (настраиваются и обновляются динамически при помощи протоколов маршрутизации).
Протоколы IP-маршрутизации
В средах с динамической IP-маршрутизацией распространение информации IP-маршрутизации осуществляется с помощью протоколов IP-маршрутизации. Маршрутизатор Windows Server 2003 поддерживает два наиболее популярных протокола одноадресной IP-маршрутизации:
- RIP (Routing Information Protocol) для IP;
- OSPF (Open Shortest Path First).
Маршрутизатор Windows Server 2003 может использовать не только протоколы RIP для IP и OSPF. Он является расширяемой платформой, и независимые разработчики могут реализовать другие протоколы IP-маршрутизации, например IGRP (Interior Gateway Routing Protocol) и BGP (Border Gateway Protocol).
В одной локальной сети могут работать несколько разных протоколов маршрутизации. В таком случае необходимо с помощью уровней предпочтений выбрать протокол маршрутизации, который будет наиболее предпочтительным источником информации о маршрутах. Предпочтительный протокол маршрутизации является источником маршрута, добавляемого в таблицу маршрутизации, независимо от метрики этого маршрута. Например, если метрика маршрута, обнаруженного OSPF, равна 5, а метрика соответствующего маршрута, вычисленного RIP, равна 3, и OSPF является предпочтительным протоколом маршрутизации, то в таблицу IP-маршрутизации добавляется маршрут OSPF, а маршрут RIP игнорируется.
Если используется несколько протоколов IP-маршрутизации, настраивайте для каждого интерфейса только один протокол.
Протокол RIP для IP.
Протокол RIP (Routing Information Protocol) предназначен для обмена информацией о маршрутизации в небольших и средних по размеру объединенных сетях.
Самым главным преимуществом RIP является простота его развертывания и настройки. Основной же недостаток RIP заключается в неспособности обеспечить масштабируемость в больших и очень больших объединенных сетях. RIP-маршрутизаторы поддерживают маршруты максимум из 15 узлов. Сети, маршруты до которых содержат более 15 узлов, считаются недостижимыми. Также по мере расширения объединенной сети периодические объявления каждого из RIP-маршрутизаторов могут существенно увеличить межсетевой трафик. Еще один недостаток RIP - значительное время переконфигурирования. Если топология сети изменилась, для перенастройки RIP-маршрутизаторов с учетом новой топологии может потребоваться несколько минут. Также при изменении конфигурации объединенной сети могут возникнуть циклические маршруты, следствием чего является невозможность доставки или потеря данных.
Изначально таблица маршрутизации для каждого маршрутизатора содержит записи только для тех сетей, которые физически подключены к нему. RIP-маршрутизатор периодически отправляет объявления, содержащие записи его таблицы маршрутизации, во все доступные сети, достижимые через него. RIP версии 1 использует для своих объявлений широковещательные IP-пакеты. RIP версии 2 использует для своих объявлений широковещательные или многоадресные пакеты.
RIP-маршрутизаторы могут также обмениваться информацией о маршрутизации с помощью инициируемых обновлений. Инициируемые обновления выполняются при изменении топологии сети для оповещения о произошедших изменениях. При инициируемом обновлении информация об изменениях отправляется незамедлительно, не дожидаясь следующего периодического объявления. Например, когда маршрутизатор обнаруживает сбой канала связи или другого маршрутизатора, он обновляет собственную таблицу маршрутизации и отправляет обновленные маршруты другим маршрутизаторам. Каждый маршрутизатор, принимающий данные инициируемого обновления, изменяет свою таблицу маршрутизации и распространяет изменения дальше.
Маршрутизатор Windows Server 2003 поддерживает обе версии протокола RIP. Реализация протокола RIP в данном маршрутизаторе обладает следующими возможностями:
- выбор версии RIP, запускаемой на каждом интерфейсе для входящих и исходящих пакетов;
- алгоритмы расщепленных уровней, запретных возвратов и инициируемого обновления, применяемые для отсечения циклических маршрутов и для быстрой перенастройки при изменении топологии объединенной сети;
- фильтры маршрутов для выбора объявляемых или принимаемых маршрутов;
- фильтры равных маршрутизаторов для выбора маршрутизаторов, от которых следует принимать объявления;
- настраиваемые таймеры объявлений и маршрутов;
- поддержка простой парольной проверки подлинности;
- способность отключать суммирование подсетей.
Протокол OSPF.
Протокол OSPF (Open Shortest Path First) предназначен для обмена информацией о маршрутизации в больших и очень больших объединенных сетях.
Основным преимуществом OSPF является его эффективность; даже в очень больших сетях OSPF мало загружает сеть своим трафиком. Самый существенный недостаток OSPF - его сложность: OSPF требует грамотного планирования и более сложен в настройке и администрировании.
Для вычиления маршрутов в таблице маршрутизации OSPF использует алгоритм выбора кратчайшего пути (SPF). Алгоритм SPF вычисляет кратчайший (имеющий наименьшую стоимость) путь между маршрутизатором и всеми сетями объединенной сети. Маршруты, вычисленные по алгоритму SPF, не могут быть циклическими.
Вместо того чтобы обмениваться записями таблиц маршрутизации, как это делают RIP-маршрутизаторы, OSPF-маршрутизаторы хранят схему объединенной сети, обновляя ее после каждого изменения топологии сети. Эта схема, называемая базой данных состояния связей, синхронизируется между всеми OSPF-маршрутизаторами и используется для вычисления маршрутов в таблице маршрутизации. Соседствующие OSPF-маршрутизаторы образуют соседство - логическую связь между маршрутизаторами для синхронизации базы данных состояния связей.
Изменения в топологии сети эффективно распространяются по всей объединенной сети, обеспечивая синхронизацию и актуальность базы данных состояния связей на всех маршрутизаторах.
По мере увеличения размера базы данных состояния связей увеличивается и требуемый объем памяти, а также время, необходимое для пересчета. Для решения этой проблемы масштабирования OSPF делит объединенную сеть на области (совокупности соединенных сетей), которые связаны друг с другом через магистральную область. Каждый маршрутизатор хранит базу данных состояния связей только для тех областей, которые к нему подключены. Маршрутизаторы на границах областей связывают магистральную область с другими областями. Ниже представлена диаграмма объединенной сети с протоколом OSPF.
OSPF имеет следующие преимущества перед RIP:
- маршруты, вычисленные OSPF, не могут быть циклическими;
- OSPF обеспечивает масштабируемость для больших и очень больших объединенных сетей;
- более быстрая перенастройка при изменении топологии сети.
Реализация протокола OSPF в маршрутизаторе Windows Server 2003 обладает следующими возможностями:
- фильтры маршрутов для управления взаимодействием с другими протоколами маршрутизации;
- динамическая перенастройка всех параметров OSPF;
- сосуществование с RIP;
- динамическое добавление и удаление интерфейсов.
Маршрутизатор Windows Server 2003 не поддерживает использование протокола OSPF при подключениях по требованию, выполняемых по временным коммутируемым каналам связи.
[newpage=Общие сведения о многоадресной маршрутизации.]
Общие сведения о многоадресной маршрутизации.
Одноадресной рассылкой называется отправка сетевого трафика определенному конечному узлу. Многоадресная рассылка - это отправка сетевого трафика группе конечных узлов. Многоадресный трафик обрабатывают только те члены группы, которые прослушивают этот трафик (группа многоадресной рассылки). Все остальные узлы игнорируют многоадресный трафик.
Информация в режиме "точка-многие точки" может распространяться тремя способами:
- Отправка информации каждому конечному узлу в отдельности с помощью одноадресной рассылки. Недостатком этого способа является увеличение трафика и издержки, связанные с поддержанием списка адресов конечных узлов.
- Однократная отправка информации с помощью широковещательной рассылки. Преимущества такого подхода состоят в передаче всего лишь одной копии каждого пакета и в отсутствии издержек на хранение списка получателей. К числу недостатков можно отнести использование широковещательных пакетов, которые требуют обработки каждым узлом сети и в большинстве случаев не перенаправляются маршрутизаторами. Широковещательные пакеты получают все узлы локальной сети, но не все узлы объединенной сети.
- Однократная отправка информации с помощью многоадресной рассылки. Преимущества такого подхода также состоят в передаче всего лишь одной копии каждого пакета и в отсутствии издержек на хранение списка получателей. В отличие от широковещательных пакетов, многоадресный трафик не обрабатывается узлами, которые его не ожидают. Маршрутизаторы могут поддерживать многоадресную рассылку и перенаправлять многоадресные пакеты во все сети, в которых есть хотя бы один прослушивающий их узел.
Многоадресный трафик позволяет:
- обнаруживать ресурсы объединенной сети;
- поддерживать приложения, выполняющие рассылку данных, например распространение файлов или синхронизацию базы данных;
- поддерживать многоадресные мультимедийные приложения, например передающие цифровые изображения или звук.
Многоадресное перенаправление - это интеллектуальное перенаправление многоадресного трафика. Многоадресная маршрутизация - это распространение информации о прослушивающих многоадресный трафик группах. Windows Server 2003 поддерживает многоадресное перенаправление и ограниченную многоадресную маршрутизацию.
Более подробную информацию о многоадресной маршрутизации вы можете получить в справочной системе Windows Server 2003.
[newpage=Общий доступ для подключения к Интернету и преобразование сетевых адресов.]
Общий доступ для подключения к Интернету и преобразование сетевых адресов.
Для подключения небольшой офисной или домашней сети к Интернету можно использовать два способа:
- Маршрутизируемое подключение. При маршрутизируемом подключении компьютер с Windows Server 2003 выполняет функции IP-маршрутизатора, перенаправляющего пакеты между узлами локальной сети и узлами Интернета. Будучи концептуально простым, маршрутизируемое подключение в то же время требует знания конфигурации IP-адресов и маршрутизации узлов локальной сети и маршрутизатора Windows Server 2003. Однако маршрутизируемые подключения обеспечивают прохождение всего IP-трафика между узлами локальной сети и узлами Интернета.
- Подключение с преобразованием сетевых адресов. При подключении с преобразованием сетевых адресов компьютер с Windows Server 2003 Server выполняет функции преобразователя сетевых адресов (NAT) - IP-маршрутизатора, который преобразовывает адреса пакетов, перенаправляемых между узлами локальной сети и узлами Интернета. Подключения с преобразованием сетевых адресов, используемые компьютерами Windows Server 2003, требуют меньших знаний об IP-адресах и маршрутизации и обеспечивают более простую настройку узлов локальной сети и маршрутизатора Windows Server 2003. Однако подключения с преобразованием сетевых адресов могут не обеспечивать прохождение всего IP-трафика между узлами локальной сети и узлами Интернета.
Windows Server 2003 подключение к Интернету с преобразованием сетевых адресов можно настроить либо путем предоставления общего доступа для подключения к Интернету, либо с помощью протокола NAT (Network Address Translation), входящего в состав службы маршрутизации и удаленного доступа. И общий доступ для подключения к Интернету, и преобразование сетевых адресов обеспечивают узлам небольшой локальной сети преобразование и назначение адресов и предоставляют им службы разрешения имен.
Возможность общего доступа к подключению Интернета предназначена для максимального облегчения настройки (всего один флажок) компьютера Windows Server 2003 на предоставление всем узлам небольшой локальной сети доступа к Интернету с преобразованием сетевых адресов. Однако, будучи включенным, общий доступ для подключения к Интернету не позволит больше выполнять настройки, выходящие за пределы настройки приложений и служб небольшой локальной сети. Например, общий доступ для подключения к Интернету рассчитан на использование только одного IP-адреса, получаемого от провайдера, и не позволит изменять диапазон IP-адресов, выделенный узлам небольшой локальной сети.
Протокол маршрутизации NAT предназначен для обеспечения максимальной гибкости в настройке компьютера Windows Server 2003 на предоставление подключения к Интернету с преобразованием сетевых адресов. Протокол NAT позволяет использовать диапазоны IP-адресов, выделяемые провайдером, и настраивать диапазон IP-адресов, назначаемых узлам небольшой локальной сети.
В следующей таблице перечислены функции и возможности общего доступа для подключения к Интернету и преобразования сетевых адресов.
Общий доступ для подключения к Интернету | Преобразование сетевых адресов |
Настройка всего одним флажком | Ручная настройка |
Единственный общий IP-адрес | Несколько общих IP-адресов |
Фиксированный диапазон адресов для узлов локальной сети | Настраиваемый диапазон адресов для узлов локальной сети |
Единственный интерфейс с локальной сетью | Несколько интерфейсов с локальной сетью |
Общий доступ для подключения к Интернету и преобразование сетевых адресов это средства Windows Server 2003, предназначенные для подключения к Интернету небольших офисных или домашний сетей. Они не предназначены для:
- непосредственного соединения небольших офисных или домашних локальных сетей друг с другом;
- соединения отдельных сетей в локальной сети;
- непосредственного соединения сетей подразделений с сетью организации;
- соединения сетей подразделений с сетью организации через Интернет.
Введение в преобразование сетевых адресов.
Преобразование сетевых адресов в Windows Server 2003 позволяет настроить домашнюю или небольшую офисную сеть на совместное использование одного подключения к Интернету. Преобразование сетевых адресов осуществляется следующими компонентами:
Компонент | Описание |
Компонент преобразования | Маршрутизатор Windows Server 2003 с настроенным протоколом NAT (далее именуемый "компьютер, выполняющий преобразование сетевых адресов") преобразовывает IP-адреса и номера портов TCP/UDP пакетов, перенаправляемых между частной сетью и Интернетом. |
Компонент адресации | Компьютер, выполняющий преобразование сетевых адресов, предоставляет информацию о параметрах конфигурации протокола TCP/IP другим компьютерам локальной сети. Компонент адресации - это упрощенный DHCP-сервер, назначающий IP-адрес, маску подсети, адрес основного шлюза и IP-адреса DNS-серверов. Для автоматического получения параметров TCP/IP необходимо настроить клиентские компьютеры на использование динамической адресации. |
Компонент разрешения имен | Компьютер, выполняющий преобразование сетевых адресов, становится DNS-сервером для других компьютеров локальной сети. Когда компьютер, выполняющий преобразование сетевых адресов, получает запросы на разрешение имен, он перенаправляет их DNS-серверу в Интернете, на работу с которым он настроен, и возвращает ответы компьютеру локальной сети. |
Так как преобразование сетевых адресов осуществляется, в частности, компонентами адресации и разрешения имен, предоставляющими службы DHCP и DNS узлам частной сети, в сети нельзя запускать следующие службы:
- службу DHCP или агент ретрансляции DHCP, если включено назначение адресов средствами преобразования сетевых адресов;
- службу DNS, если включено разрешение сетевых имен TCP/IP средствами преобразования сетевых адресов.
Частные адреса в Интернете.
Для работы в Интернете необходимо использовать уникальные адреса, распределяемые координирующими организациями, такими как InterNIC. Компьютеры с такими адресами могут принимать трафик от узлов Интернета и называются общими адресами. Для небольших офисных или домашних сетей провайдером обычно выделяет один общий адрес (или адреса) из собственного диапазона общих адресов.
Любой компьютер локальной сети, которому требуется доступ к ресурсам Интернет, должен использовать свой собственный общий адрес. Это требование налагает существенное ограничение на доступное множество общих адресов.
Чтобы ослабить это ограничение, предусмотрена схема повторного использования адресов, заключающаяся в резервировании ряда адресов сетей для использования в частных сетях. В число зарезервированных для частных сетей диапазонов адресов входят:
- сеть 10.0.0.0 с маской подсети 255.0.0.0;
- сеть 172.16.0.0 с маской подсети 255.240.0.0;
- сеть 192.168.0.0 с маской подсети 255.255.0.0.
Дополнительные сведения об областях пространства IP-адресов, зарезервированных для частных сетей, можно получить в стандарте RFC 1597. Все адреса из этих диапазонов называются частными адресами.
Частные адреса не могут напрямую получать трафик от узлов Интернета. Поэтому если в локальной сети используются частные адреса и требуется связь с узлами Интернета, частный адрес должен быть преобразован в общий адрес. Преобразователь сетевых адресов (NAT) располагается между локальной сетью и Интернетом. Частные адреса исходящих пакетов локальной сети преобразовываются NAT в общие адреса. Общие адреса входящих пакетов Интернета преобразовываются NAT в частные адреса.
Пример использования NAT.
Если в небольшой организации используется сеть с адресом 192.168.0.0, а провайдер выделил этой организации общий адрес w1.x1.y1.z1, то средство преобразования сетевых адресов (NAT) отображает все частные адреса сети 192.168.0.0 на IP-адрес w1.x1.y1.z1. Если несколько частных адресов отображены на один общий адрес, NAT использует динамически выбираемые TCP- и UDP-порты для идентификации различных узлов сети.
На следующем рисунке показан пример использования NAT для подключения локальной сети к Интернету.
Если пользователь частной сети с адресом 192.168.0.10 обращается с помощью браузера к веб-серверу по адресу w2.x2.y2.z2, на компьютере пользователя создается IP-пакет со следующими параметрами:
IP-адрес приемника | w2.x2.y2.z2 |
IP-адрес источника | 192.168.0.10 |
Порт приемника | TCP-порт 80 |
Порт источника | TCP-порт 1025 |
Этот IP-пакет перенаправляется преобразователю сетевых адресов (NAT), который преобразовывает адреса исходящего пакета следующим образом:
IP-адрес приемника | w2.x2.y2.z2 |
IP-адрес источника | w1.x1.y1.z1 |
Порт приемника | TCP-порт 80 |
Порт источника | TCP-порт 5000 |
Преобразователь сетевых адресов (NAT) сохраняет в своей таблице отображение адреса {192.168.0.10, TCP, 1025} на адрес {w1.x1.y1.z1, TCP, 5000}.
Преобразованный IP-пакет отправляется по Интернету веб-серверу. Пакет, посылаемый в ответ на преобразованный пакет, принимается преобразователем сетевых адресов (NAT). Полученный пакет содержит следующие данные:
IP-адрес приемника | w1.x1.y1.z1 |
IP-адрес источника | w2.x2.y2.z2 |
Порт приемника | TCP-порт 5000 |
Порт источника | TCP-порт 80 |
Преобразователь сетевых адресов (NAT) проверяет свою таблицу преобразования, после чего отображает общий адрес на частный адрес и перенаправляет пакет на компьютер с адресом 192.168.0.10. Перенаправляемый пакет содержит следующие данные:
IP-адрес приемника | 192.168.0.10 |
IP-адрес источника | w2.x2.y2.z2 |
Порт приемника | TCP-порт 1025 |
Порт источника | TCP-порт 80 |
Для исходящих пакетов частный IP-адрес источника отображается на общий адрес, выделенный провайдером, а номера TCP/UDP-портов отображаются на другие номера TCP/UDP-портов.
Для входящих пакетов общий IP-адрес источника отображается на исходный частный адрес, а номера TCP/UDP-портов отображаются на исходные номера TCP/UDP-портов.
Пакеты, содержащие IP-адрес только в заголовке IP, правильно преобразовываются протоколом NAT. Пакеты, содержащие IP-адрес в полезных данных, могут неправильно преобразовываться протоколом NAT.
Редакторы NAT.
Обычно преобразование сетевых адресов заключается в преобразовании следующих данных:
- IP-адресов в заголовке IP;
- Номеров портов TCP в заголовке TCP;
- Номеров портов UDP в заголовке UDP.
Для преобразования любых других данных требуется дополнительная обработка, выполняемая дополнительными программными компонентами, называемыми редакторами NAT. Редактор NAT вносит в IP-пакет все остальные изменения, не связанные с преобразованием IP-адреса в заголовке IP, порта TCP в заголовке TCP и порта UDP в заголовке UDP.
Например, трафик протокола HTTP не требует редактора NAT, так как для этого протокола требуется лишь преобразование IP-адреса в заголовке IP и порта TCP в заголовке TCP.
Ниже показаны две ситуации, в которых редактор NAT необходим.
Ситуация | Описание |
IP-адрес, порт TCP или порт UDP хранятся в полезных данных | Например, протокол FTP хранит точечно-десятичные представления IP-адресов в заголовке FTP для команды FTP PORT. Если NAT не сможет правильно преобразовать IP-адрес из заголовка FTP и откорректировать поток данных, то передача данных по протоколу будет невозможна |
TCP или UDP не используются для идентификации потока данных | Например, данные, передаваемые по туннелю PPTP, не используют заголовки TCP или UDP. Вместо этого используется заголовок общей маршрутизирующей инкапсуляции (GRE), а код туннеля, хранящийся в заголовке GRE, идентифицирует поток данных. Если NAT не сможет правильно преобразовать код туннеля из заголовка GRE, то связь по туннелю не будет установлена |
Windows Server 2003 имеет встроенные редакторы NAT для следующих протоколов:
- FTP;
- ICMP;
- PPTP;
- NetBIOS через TCP/IP.
Кроме того, протокол NAT содержит программное обеспечение прокси-агентов для следующих протоколов:
- H.323;
- Direct Play;
- Регистрация ILS на основе LDAP;
- RPC.
Преобразование трафика IPSec невозможно даже с помощью редактора NAT.
Фильтрация пакетов.
Маршрутизатор Windows Server 2003 поддерживает фильтрацию IP- и IPX-пакетов, которая позволяет задать типы исходящего и входящего трафика, разрешенные для данного маршрутизатора. Фильтрация пакетов в маршрутизаторе Windows Server 2003 основана на исключениях. Фильтры пакетов задаются для конкретного интерфейса и могут быть настроены на:
- пропускание всего трафика за исключением пакетов, запрещенных фильтрами;
- отклонение всего трафика за исключением пакетов, разрешенных фильтрами.
[newpage=Маршрутизация вызова по требованию]
Маршрутизация вызова по требованию.
Маршрутизатор Windows Server 2003 поддерживает также маршрутизацию вызова по требованию. Используя интерфейс вызова по требованию, маршрутизатор при получении им пакета, который требуется направить удаленному узлу, может инициировать подключение к этому узлу. Если в течение определенного времени данные по установленному каналу не передаются, связь будет разорвана. Возможность подключения по требованию позволяет использовать существующие коммутируемые телефонные линии вместо выделенных линий в ситуациях, когда объем трафика невелик. Маршрутизация вызова по требованию позволяет существенно уменьшить стоимость подключения.
Маршрутизатор Windows Server 2003 также поддерживает фильтры вызова по требованию и ограничения на часы исходящих вызовов.
Фильтры вызова по требованию позволяют указать типы трафика, которым разрешается осуществлять подключение. Следует отличать фильтры вызова по требованию от фильтров IP-пакетов, которые используются для ограничения входящего и исходящего трафика на интерфейсе после подключения.
Ограничения на часы исходящих вызовов определяют время, в которое маршрутизатору разрешается выполнять исходящие вызовы для осуществления подключений по требованию.
Задать условия, при которых маршрутизатор принимает входящие подключения, можно с помощью политики удаленного доступа.
Несмотря на очень простую концепцию маршрутизации вызова по требованию, ее настройка довольно сложна. Эта сложность обусловлена следующими факторами:
- Адресация конечных точек подключения. Подключение устанавливается по общедоступным сетям передачи данных, таким как телефонная линия. Конечная точка подключения должна идентифицироваться номером телефона или другим идентификатором.
- Проверка подлинности и авторизация вызывающего. Необходима проверка подлинности и авторизация любых клиентов, подключающихся к маршрутизатору. Проверка подлинности выполняется на основе учетных данных вызывающего клиента, передаваемых в процессе подключения. Для подключения должна использоваться существующая учетная запись пользователя. Авторизация выполняется на основании параметров входящих звонков учетной записи пользователя и политики удаленного доступа.
- Различие между клиентами удаленного доступа и маршрутизаторами. На компьютере Windows Server 2003 службы маршрутизации и удаленного доступа сосуществуют. Клиенты удаленного доступа и маршрутизаторы могут выполнять вызов по одному и тому же номеру телефона. Компьютер с Windows Server 2003, отвечающий на вызов, должен уметь отличать клиента удаленного доступа от маршрутизатора, пытающегося установить подключение по требованию. Чтобы можно было отличить маршрутизатор вызова по требованию от клиента удаленного доступа, маршрутизатор вызова по требованию должен использовать имя пользователя, совпадающее с именем интерфейса отвечающего маршрутизатора. В противном случае считается, что выполняется подключение клиента удаленного доступа.
- Настройка обеих сторон подключения. Необходима настройка обеих сторон подключения, даже если подключение по требованию всегда будет инициироваться одной стороной. Если настроить только одну сторону подключения, то пакеты будут успешно маршрутизироваться только в одном направлении. Для нормальной связи требуется передача информации в обоих направлениях.
Настройка статических маршрутов. Не следует использовать протоколы динамической маршрутизации для подключений по требованию. Поэтому маршруты к сетям, доступным через интерфейс вызова по требованию, должны быть добавлены в таблицу маршрутизации в виде статических маршрутов. Это можно сделать вручную или с помощью автостатических обновлений.
Пример маршрутизации вызова по требованию.
Ниже описывается пример, демонстрирующий сложность (и элегантность) маршрутизации вызова по требованию. В нем показана конфигурация с двумя офисами, которые используют IP-маршрутизацию вызова по требованию.
В офисе, расположенном в Сиэтле, находится компьютер с Windows Server 2003, выполняющий функции сервера удаленного доступа и маршрутизатора вызова по требованию. Все компьютеры в офисе Сиэтла подключены к сети 172.16.1.0 (маска подсети 255.255.255.0). К порту COM1 маршрутизатора офиса, расположенного в Сиэтле (далее - маршрутизатор 1), подключен модем, использующий номер телефона 555-0111.
В офисе, расположенном в Нью-Йорке, находится компьютер с Windows Server 2003, выполняющий функции сервера удаленного доступа и маршрутизатора вызова по требованию. Все компьютеры в нью-йоркском офисе подключены к сети 172.16.2.0 (маска подсети 255.255.255.0). К порту COM2 маршрутизатора офиса, расположенного в Нью-Йорке (далее - маршрутизатор 2), подключен модем, использующий номер телефона 555-0122.
Пользователю компьютера с IP-адресом 172.16.1.10 требуется связаться с пользователем компьютера, имеющего IP-адрес 172.16.2.20, и наоборот.
В этом примере описана ручная настройка маршрутизации вызова по требованию, что позволяет лучше понять принципы ее работы. Настоятельно рекомендуется использовать мастер интерфейса вызова по требованию, который позволяет автоматизировать процесс настройки. Мастер интерфейса вызова по требованию выполняет все описанные ниже действия по настройке, за исключением создания статического маршрута.
Настройка маршрутизатора 1.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 1 нужно выполнить следующие действия:
Действие | Описание | ||||||||
Создание интерфейса вызова по требованию | Создается интерфейс вызова по требованию с именем "DD_NewYork" со следующими параметрами:
| ||||||||
Создание статического маршрута | Создается статический IP-маршрут со следующими параметрами:
| ||||||||
Создание учетной записи с разрешением на удаленный доступ | Создается учетная запись пользователя со следующими параметрами:
|
Настройка маршрутизатора 2.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 2 нужно выполнить следующие действия:
Действие | Описание | ||||||||
Создание интерфейса вызова по требованию | Создается интерфейс вызова по требованию с именем "DD_Seattle" со следующими параметрами:
| ||||||||
Создание статического маршрута | Создается статический IP-маршрут со следующими параметрами:
| ||||||||
Создание учетной записи с разрешением на удаленный доступ | Создается учетная запись пользователя со следующими параметрами:
|
Результирующая конфигурация.
На следующем рисунке показана конфигурация маршрутизации вызова по требованию для офисов в Сиэтле и Нью-Йорке.
Для нормальной работы двусторонне-инициируемых подключений по требованию на обеих сторонах подключения имя пользователя вызывающего маршрутизатора должно совпадать с именем интерфейса вызова по требованию.
Процесс подключения по требованию.
Когда пользователь компьютера с адресом 172.16.1.10 пытается подключиться к ресурсам компьютера с адресом 172.16.2.20, происходит следующее:
- пакет с компьютера с адресом 172.16.1.10, предназначенный для компьютера с адресом 172.16.2.20, перенаправляется на маршрутизатор 1;
- маршрутизатор 1 получает пакет и просматривает свою таблицу маршрутизации. Он находит маршрут к компьютеру с адресом 172.16.2.20, использующий интерфейс "DD_NewYork";
- маршрутизатор 1 проверяет состояние интерфейса "DD_NewYork" и обнаруживает, что тот не подключен;
- маршрутизатор 1 запрашивает конфигурацию интерфейса вызова по требованию "DD_NewYork";
- используя конфигурацию интерфейса "DD_NewYork", маршрутизатор 1 выполняет с помощью модема, подключенного к порту COM1, вызов по номеру 555-0122;
- маршрутизатор 2 отвечает на входящий звонок;
- маршрутизатор 2 запрашивает у вызывающего маршрутизатора учетные данные для проверки подлинности;
- маршрутизатор 1 отправляет имя пользователя "DD_Seattle" и соответствующий пароль;
- по получении учетных данных маршрутизатор 2 проверяет с помощью системы безопасности Windows Server 2003 имя и пароль пользователя и убеждается, что маршрутизатор 1 имеет разрешение на удаленный доступ, заданное параметрами входящих звонков учетной записи "DD_Seattle" и политикой удаленного доступа;
- маршрутизатор 2 теперь должен определить, кто выполняет входящий вызов - клиент удаленного доступа к сети или маршрутизатор, создающий подключение по требованию. Маршрутизатор 2 просматривает список своих интерфейсов вызова по требованию в поисках интерфейса, имя которого совпадает с именем пользователя, отправленным в учетных данных маршрутизатора 1. Маршрутизатор 2 находит интерфейс вызова по требованию с именем "DD_Seattle", совпадающим с именем пользователя;
- маршрутизатор 2 переводит интерфейс вызова по требованию "DD_Seattle" в подключенное состояние;
- маршрутизатор 1 перенаправляет пакеты от компьютера с адресом 172.16.1.10 по подключению по требованию на маршрутизатор 2;
- маршрутизатор 2 получает пакет и перенаправляет его на компьютер с адресом 172.16.2.20;
- твет на запрос компьютера с адресом 172.16.1.10 перенаправляется компьютером с адресом 172.16.2.20 на маршрутизатор 2;
- маршрутизатор 2 получает пакет, предназначенный для компьютера с адресом 172.16.1.10, и просматривает свою таблицу маршрутизации. Он находит маршрут к компьютеру с адресом 172.16.1.10, использующий интерфейс "DD_Seattle";
- маршрутизатор 2 проверяет состояние интерфейса "DD_Seattle" и обнаруживает, что тот подключен;
- маршрутизатор 2 перенаправляет пакет маршрутизатору 1;
- маршрутизатор 1 перенаправляет пакет на компьютер с адресом 172.16.1.10.
Если имя пользователя не совпадает с именем соответствующего интерфейса вызова по требованию, то отвечающий маршрутизатор будет считать, что вызов выполняет клиент удаленного доступа к сети, что приведет к неправильной маршрутизации.
Например, если маршрутизатор 1 использует имя пользователя "DialUpRouter1", то маршрутизатор 1 идентифицируется как клиент удаленного доступа к сети, а не как маршрутизатор. Пакеты с компьютера с адресом 172.16.1.10 маршрутизируются на компьютер с адресом 172.16.2.20 как описано выше.
Однако ответные пакеты от компьютера с адресом 172.16.2.20 для компьютера с адресом 172.16.1.10 перенаправляются на маршрутизатор 2, который после просмотра своей таблицы маршрутизации определяет, что нужно использовать интерфейс "DD_Seattle". Интерфейс "DD_Seattle" находится в отключенном состоянии. На основании конфигурации интерфейса "DD_Seattle" должен использоваться порт COM2. Однако порт COM2 в настоящее время используется клиентом удаленного доступа (маршрутизатором 2). Маршрутизатор 2 пытается найти другой, не используемый в настоящее время модем. Если такой модем будет найден, маршрутизатор 2 выполняет вызов маршрутизатора 1 и после подключения перенаправляет пакет. Если другой модем не найден, ответные пакеты от компьютера с адресом 172.16.2.20 для компьютера с адресом 172.16.1.10 отклоняются.
[newpage=Обновление маршрутов при маршрутизации вызова по требованию.]
Обновление маршрутов при маршрутизации вызова по требованию.
Использование маршрутизации вызова по требованию позволяет снизить расходы на оплату связи, но при этом нужно учитывать, что обычные протоколы маршрутизации применяют периодические объявления для обмена информацией маршрутизации. Например, протокол RIP для IP объявляет содержимое своей таблицы маршрутизации каждые 30 секунд на всех интерфейсах. Такой режим работы не вызывает затруднений при постоянном подключении по локальным или глобальным каналам связи. При использовании временных подключений такой режим работы приведет к тому, что маршрутизатор будет вызывать другой маршрутизатор каждые 30 секунд, существенно увеличивая объем трафика через временное подключение. По этой причине не следует использовать протоколы маршрутизации для временных подключений по каналам глобальной связи.
Если для обновления таблиц маршрутизации не используются протоколы маршрутизации, новые маршруты должны добавляться в виде статических маршрутов. Статические маршруты к сетям, доступным через данный интерфейс, могут вводиться вручную или автоматически. Автоматическое задание статических маршрутов для интерфейсов вызова по требованию называется автостатическим обновлением и поддерживается маршрутизатором Windows Server 2003. Автостатические обновления поддерживаются для протоколов RIP для IP, RIP для IPX и SAP для IPX, но не для протокола OSPF.
Интерфейс вызова по требованию, настроенный на использование автостатических обновлений, отправляет по активному подключению запрос на все маршруты, имеющиеся на маршрутизаторе на другом конце подключения. В ответ на этот запрос все маршруты с опрашиваемого маршрутизатора автоматически заносятся в таблицу маршрутизации запрашивающего маршрутизатора в виде статических маршрутов. Статические маршруты являются постоянными: они сохраняются в таблице маршрутизации даже при отключении интерфейса или при перезапуске маршрутизатора. Автостатическое обновление - это однократное одностороннее получение информации маршрутизации.
Автостатические обновления можно планировать и автоматизировать, назначая их в качестве заданий Windows Server 2003.
При запросе на автостатическое обновление существующие на интерфейсе автостатические маршруты удаляются перед отправкой запроса на обновление другим маршрутизаторам. Если ответ на запрос получен не будет, то маршрутизатор не сможет заменить удаленные маршруты. Результатом этого может быть нарушение связи с удаленными сетями.
Ненумерованные подключения.
Подключения по требованию используют в процессе подключения протокол PPP, при подключении по которому согласовываются параметры TCP/IP. Важным этапом PPP-подключения по протоколу TCP/IP является назначение IP-адреса.
В случае использования маршрутизаторов вызова по требованию на основе Windows Server 2003, вызывающий маршрутизатор запрашивает IP-адрес у отвечающего маршрутизатора. Кроме того, отвечающий маршрутизатор запрашивает IP-адрес у вызывающего маршрутизатора. Если оба маршрутизатора имеют IP-адреса, которые они могут предоставить друг другу, логическому интерфейсу PPP-подключения на каждом маршрутизаторе другой маршрутизатор назначает IP-адрес. Такие подключения называются нумерованными.
Для подключений по требованию Windows NT 4.0 требуются нумерованные подключения. Если вызывающий или отвечающий маршрутизатор не имеет IP-адреса, который он мог бы предоставить другому маршрутизатору, процесс подключения оканчивается неудачей. Для того чтобы оба маршрутизатора могли назначать друг другу IP-адреса, нужно правильно настроить на них назначение IP-адресов. Обычной проблемой является настройка на использование DHCP-сервера, которого в сети нет.
Эта проблема больше не присуща службе маршрутизации и удаленного доступа, входящей в состав Windows Server 2003, по двум причинам:
- Использование средства автоматического назначения частных IP-адресов (APIPA). В Windows Server 2003 по умолчанию по-прежнему используется получение IP-адресов от DHCP-сервера. Однако если DHCP-сервер недоступен, используются адреса APIPA из диапазона от 169.254.0.1 до 169.254.255.254. Поэтому стандартная конфигурация не мешает двум маршрутизаторам Windows Server 2003 устанавливать нумерованное подключение.
- Поддержка ненумерованных подключений. По умолчанию для подключений по требованию не требуются нумерованные подключения. Вызывающий и отвечающий маршрутизаторы в процессе подключения по-прежнему запрашивают IP-адреса друг у друга. Но если один из маршрутизаторов отклоняет такой запрос, маршрутизаторы продолжают процесс подключения. Логический интерфейс подключения "точка-точка" не имеет назначенного ему IP-адреса. Такие подключения называются ненумерованными.
Используя ненумерованные подключения, маршрутизаторы Windows Server 2003 могут подключаться к другим маршрутизаторам, которые не назначают IP-адреса в процессе подключения. Например, некоторые провайдеры предпочитают в целях экономии IP-адресов использовать ненумерованные подключения.
Протоколы маршрутизации, являющиеся частью службы маршрутизации и удаленного доступа, не могут работать с ненумерованными подключениями. При использовании ненумерованных подключений нужно применять статическую маршрутизацию. Это ограничение не распространяется на случай, когда маршрутизатор Windows Server 2003 служит для подключения к Интернету и для него задается статический IP-маршрут по умолчанию, а не используется протокол маршрутизации.
[newpage=Односторонне-инициируемые подключения по требованию]
Односторонне-инициируемые подключения по требованию.
Если подключение по требованию всегда инициируется одним маршрутизатором (односторонне-инициируемое подключение по требованию), то можно упростить настройку отвечающего маршрутизатора, задав статические маршруты для учетной записи вызывающего маршрутизатора.
В этом примере используется конфигурация, подобная описанной в разделе Пример маршрутизации вызова по требованию, с тем отличием, что маршрутизатор в Сиэтле (маршрутизатор 1) всегда вызывает маршрутизатор, расположенный в Нью-Йорке (маршрутизатор 2).
Настройка маршрутизатора 1.
Настройка маршрутизатора 1 аналогична описанной в разделе Пример маршрутизации вызова по требованию. ( Выше)
Настройка маршрутизатора 2.
Для настройки маршрутизации вызова по требованию на маршрутизаторе 2 нужно выполнить следующие действия:
Действие | Описание | ||||||
Создание учетной записи с разрешением на удаленный доступ | Создается учетная запись пользователя со следующими параметрами:
| ||||||
Настройка статических маршрутов для учетной записи | В параметры учетной записи "DD_Seattle" добавляются статический маршрут к сетям офиса, расположенного в Сиэтле:
|
Статические маршруты в параметрах входящих звонков учетной записи пользователя можно задавать только на изолированных серверах Windows Server 2003 или на серверах Windows Server 2003, являющихся членами домена Windows Server 2003, работающего в основном режиме.
Процесс подключения для односторонне-инициируемого подключения по требованию.
Когда пользователь компьютера с адресом 172.16.1.10 пытается подключиться к ресурсам компьютера с адресом 172.16.2.20, происходит следующее:
- пакет с компьютера с адресом 172.16.1.10, предназначенный для компьютера с адресом 172.16.2.20, перенаправляется на маршрутизатор 1;
- маршрутизатор 1 получает пакет и просматривает свою таблицу маршрутизации. Он находит маршрут к компьютеру с адресом 172.16.2.20, использующий интерфейс "DD_NewYork";
- маршрутизатор 1 проверяет состояние интерфейса "DD_NewYork" и обнаруживает, что тот не подключен;
- маршрутизатор 1 запрашивает конфигурацию интерфейса вызова по требованию "DD_NewYork";
- используя конфигурацию интерфейса "DD_NewYork", маршрутизатор 1 выполняет с помощью модема, подключенного к порту COM1, вызов по номеру 555-0122;
- маршрутизатор 2 отвечает на входящий звонок;
- маршрутизатор 2 запрашивает у вызывающего маршрутизатора учетные данные для проверки подлинности;
- маршрутизатор 1 отправляет имя пользователя "DD_Seattle" и соответствующий пароль;
- по получении учетных данных маршрутизатор 2 проверяет с помощью системы безопасности Windows Server 2003 имя и пароль пользователя и убеждается, что маршрутизатор 1 имеет разрешение на удаленный доступ, заданное параметрами входящих звонков учетной записи "DD_Seattle" и политикой удаленного доступа;
- маршрутизатор 2 получает статический маршрут (172.16.1.0 с маской подсети 255.255.255.0), заданный для учетной записи "DD_Seattle", и создает соответствующий статический маршрут в своей таблице маршрутизации. Если маршрутизатор 2 настроен на использование протоколов маршрутизации, он с помощью этих протоколов распространяет маршрут к сети офиса, расположенного в Сиэтле, на все маршрутизаторы нью-йоркского офиса;
- маршрутизатор 2 теперь должен определить, кто выполняет входящий вызов - клиент удаленного доступа к сети или маршрутизатор, создающий подключение по требованию. Маршрутизатор 2 просматривает список своих интерфейсов вызова по требованию и не находит интерфейса с именем "DD_Seattle". Поэтому маршрутизатор 2 считает подключение к офису, расположенному в Сиэтле, подключением удаленного доступа к сети;
- маршрутизатор 1 перенаправляет пакеты от компьютера с адресом 172.16.1.10 по подключению по требованию на маршрутизатор 2;
- маршрутизатор 2 получает пакет и перенаправляет его на компьютер с адресом 172.16.2.20;
- ответ на запрос компьютера с адресом 172.16.1.10 перенаправляется компьютером с адресом 172.16.2.20 на маршрутизатор 2;
- маршрутизатор 2 получает пакет, предназначенный для компьютера с адресом 172.16.1.10, и просматривает свою таблицу маршрутизации. Он находит маршрут к компьютеру с адресом 172.16.1.10, использующий подключение к маршрутизатору 1;
- маршрутизатор 2 перенаправляет пакет маршрутизатору 1;
- маршрутизатор 1 перенаправляет пакет на компьютер с адресом 172.16.1.10.
После подключения статические маршруты учетной записи вызывающего маршрутизатора добавляются в таблицу маршрутизации отвечающего маршрутизатора. Если для распространения нового статического маршрута используются протоколы маршрутизации, то до того как все маршрутизаторы интрасети отвечающего маршрутизатора получат этот новый маршрут, с момента подключения должно пройти некоторое время. Поэтому узлы интрасети вызывающего маршрутизатора могут начать получать трафик от узлов интрасети отвечающего маршрутизатора по прошествии некоторого времени с момента подключения.
Маршрутизация при виртуальных частных подключениях.
Обычная маршрутизация предназначена для маршрутизаторов, использующих технологии локальных сетей общего доступа, такие как Ethernet или Token Ring, или технологии "точка-точка" глобальных сетей, такие как T1 или Frame Relay. В обычных глобальных сетях IP-пакеты перенаправляются между двумя маршрутизаторами по физическому или логическому каналу связи "точка-точка".
Благодаря широкому распространению Интернета появилась возможность маршрутизировать пакеты между подключенными к Интернету маршрутизаторами с помощью виртуального частного подключения, которое имитирует характеристики выделенного частного канала "точка-точка". Этот тип подключения называется виртуальной частной сетью "маршрутизатор-маршрутизатор". Виртуальные частные сети "маршрутизатор-маршрутизатор" позволяют использовать вместо дорогостоящих глобальных каналов связи на длинные расстояния местные подключения по глобальным сетям к провайдерам.
Для имитации частного подключения "точка-точка" пакеты, пересылаемые между маршрутизаторами, инкапсулируются (помещаются в оболочку) с дополнительным заголовком, содержащим информацию маршрутизации, необходимую для их доставки в точку назначения. Конечными точками такого подключения являются маршрутизаторы. Участок виртуальной частной сети, на котором инкапсулируются данные, называется туннелем.
В защищенных виртуальных частных подключениях пакеты перед инкапсуляцией зашифровываются. Перехваченные пакеты практически невозможно расшифровать, не имея ключей шифрования. Участок виртуальной частной сети, на котором данные шифруются, называется виртуальным частным подключением. В виртуальных частных сетях "маршрутизатор-маршрутизатор" туннель и виртуальное частное подключение совпадают.
Более подробную информацию о маршрутизации при виртуальных частных подключениях вы можете получить в справочной системе Windows Server 2003.
Дополнительные возможности маршрутизатора Windows.
Помимо стандартных возможностей любого маршрутизатора, маршрутизатор Windows Server 2003 поддерживает ряд дополнительных возможностей, ряд из которых характерен для Windows Server 2003.
Агент ретрансляции DHCP
Компонент Агент DHCP-ретрансляции маршрутизатора Windows Server 2003 представляет собой агент ретрансляции протокола BOOTP, который ретранслирует сообщения DHCP между DHCP-клиентами и DHCP-серверами, расположенными в различных IP-сетях. Для каждого сегмента IP-сети, содержащего DHCP-клиентов, требуется либо DHCP-сервер, либо компьютер, выступающий в качестве агента ретрансляции DHCP.
Нельзя использовать агент ретрансляции DHCP на компьютере с Windows Server 2003, на котором работает служба DHCP или протокол трансляции адресов NAT при включенной автоматической адресации.
Обнаружение маршрутизатора средствами ICMP
Для настройки на узлах IP-адресов локальных маршрутизаторов и предоставления узлам способа обнаружения маршрутизаторов можно использовать сообщения протокола ICMP - запросы на определение маршрутизаторов и объявления маршрутизаторов, описанные в стандарте RFC 1256.
- Запросы на определение маршрутизаторов отправляются узлами с целью обнаружения маршрутизаторов в локальной сети.
- Объявления маршрутизаторов отправляются самими маршрутизаторами в ответ на запросы на определение маршрутизаторов, а также периодически для уведомления узлов сети о том, что данный маршрутизатор все еще доступен.
Протокол TCP/IP в Windows Server 2003 поддерживает обнаружение маршрутизаторов средствами ICMP. Маршрутизатор Windows Server 2003 поддерживает ICMP-объявления маршрутизатора.
Интерфейсы IP-в-IP
Интерфейс IP-в-IP - это логический интерфейс для отправки IP-пакетов в туннельном режиме. Те IP-пакеты, которые обычно не передаются по локальной сети или Интернету, инкапсулируются и получают дополнительный заголовок IP. Полученные пакеты могут передаваться по локальной сети или Интернету.
Обычно интерфейсы IP-в-IP используются для перенаправления многоадресного IP-трафика из одной части сети в другую через участок сети, в котором не поддерживается многоадресное перенаправление или маршрутизация.
Интерфейс IP-в-IP настраивается так же, как и любой другой IP-интерфейс, включая задание фильтров пакетов для ограничения входящего и исходящего трафика этого интерфейса.
Поддержка управления питанием
Сведения о поддержке службой маршрутизации и удаленного доступа Windows Server 2003 управления питанием перечислены таблице ниже. В первом столбце указана конфигурация маршрутизатора удаленного доступа Windows Server 2003, во втором столбце - возможность перехода компьютера в спящий режим по соответствующему запросу интерфейса ACPI или APM, а в третьем столбце - возможность перехода компьютера в спящий режим по запросу пользователя.
Конфигурация маршрутизатора удаленного доступа | По запросу ACPI/APM | По запросу пользователя |
Маршрутизатор локальной и глобальной сети | Нет | Да |
Маршрутизатор только локальной сети | Нет | Нет |
Маршрутизатор с активным VPN-подключением | Нет | Да |
Маршрутизатор с активным преобразованием сетевых адресов | Нет | Да |
Сервер удаленного доступа | Нет | Да |
Сервер удаленного доступа с активным подключением удаленного доступа к сети | Нет | Да |
Сервер удаленного доступа с активным VPN-подключением | Нет | Да |
Если при поступлении от пользователя запроса на переход в спящий режим имеются активные подключения, маршрутизатор не сообщит о них. Все активные подключения будут прерваны.
[newpage=Общие сведения об удаленном доступе.]
Общие сведения об удаленном доступе.
Система удаленного доступа Windows Server 2003, являющаяся частью службы маршрутизации и удаленного доступа, служит для подключения удаленных или мобильных пользователей к локальной сети. Удаленные пользователи могут работать так же, как если бы их компьютеры были физически подключены к сети.
Пользователи с помощью средств удаленного доступа инициируют подключение к серверу удаленного доступа. Сервер удаленного доступа, функции которого выполняет компьютер с Windows Server 2003 и работающей на нем службой маршрутизации и удаленного доступа, осуществляет проверку подлинности и обеспечивает сеансы пользователей и служб, пока они не будут завершены пользователем или сетевым администратором. Все основные службы, доступные пользователям локальной сети (включая общий доступ к файлам и принтерам, доступ к веб-серверам и службы сообщений), поддерживаются средствами удаленного доступа.
Клиенты удаленного доступа также используют стандартные средства для доступа к ресурсам. Например, на компьютере с Windows Server 2003 клиенты могут подключаться к сетевым дискам и принтерам с помощью Проводника. Эти подключения постоянны: во время сеанса удаленного доступа пользователям не требуется повторно подключаться к сетевым ресурсам. Так как буквенные имена дисков и имена в формате UNC полностью поддерживаются средствами удаленного доступа, большинство коммерческих и специализированных приложений будет работать без каких-либо модификаций.
Сервер удаленного доступа под управлением Windows Server 2003 поддерживает два различных типа удаленных подключений:
Тип подключения | Описание |
Удаленный доступ к сети | Клиент удаленного доступа создает временное подключение к физическому порту сервера удаленного доступа, используя один из возможных каналов связи. Лучшим примером удаленного доступа к сети является набор клиентом телефонного номера для связи с одним из портов сервера удаленного доступа. |
Виртуальная частная сеть | Виртуальные частные сети (VPN) используют безопасные подключения "точка-точка" по частной сети или по общедоступной сети, такой как Интернет. Клиент виртуальной частной сети использует специальные протоколы на основе TCP/IP, называемые туннельными протоколами, для осуществления виртуального вызова виртуального порта VPN-сервера. Лучшим примером виртуальной частной сети является создание VPN-клиентом виртуального частного подключения к серверу удаленного доступа, подключенному к Интернету. |
Сервер для удаленных подключений к сети.
Windows Server 2003 предоставляет традиционные службы удаленного доступа к сети для поддержки мобильных пользователей, которым требуется доступ к локальной сети организации. Оборудование для подключений удаленного доступа к сети, установленное на сервере удаленного доступа Windows Server 2003, отвечает на входящие запросы на подключение, отправляемые клиентами удаленного доступа к сети. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности и авторизацию вызывающего и приступает к передаче данных между клиентом удаленного доступа к сети и интрасетью организации.
Ниже показана работа системы удаленного доступа к сети.
Сервер виртуальной частной сети
Виртуальное частное подключение имитирует подключение "точка-точка". Для этого данные инкапсулируются (помещаются в оболочку) с дополнительным заголовком, содержащим информацию для маршрутизации к конечной точке. Конечной точкой может быть либо клиент виртуальной частной сети, либо сервер виртуальной частной сети.
Для создания виртуального частного подключения клиент виртуальной частной сети и сервер виртуальной частной сети должны поддерживать один и тот же туннельный протокол. Сервер удаленного доступа Windows Server 2003 является сервером виртуальной частной сети для протоколов PPTP и L2TP.
Ниже показано функционирование виртуальной частной сети.
Новые возможности удаленного доступа в Windows Server 2003.
Система удаленного доступа Windows Server 2003 обладает следующими новыми возможностями:
Возможность | Описание |
Интеграция с Active Directory | Сервер удаленного доступа на основе Windows Server 2003, являющийся частью домена Active Directory, может получать доступ к параметрам входящих звонков пользователей (таким как разрешение на удаленный доступ и параметры ответного вызова), хранящимся в каталоге. |
Протокол MS-CHAP версии 2 | Протокол проверки подлинности Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) версии 2 значительно усиливает безопасность при передаче учетных данных и генерации ключей шифрования во время установления удаленного подключения. Протокол MS-CHAP версии 2 был специально разработан для обеспечения безопасности виртуальных частных сетей. |
Протокол EAP | Протокол расширенной проверки подлинности Extensible Authentication Protocol (EAP) позволяет использовать новые методы проверки подлинности при удаленных подключениях, что особенно важно для развертывания системы безопасности на основе смарт-карт. Протокол EAP является интерфейсом, который позволяет другим модулям проверки подлинности встраиваться в компоненты удаленного доступа Windows Server 2003, использующие протокол PPP. Windows Server 2003 поддерживает протоколы EAP-MD5 CHAP, EAP-TLS (используемый для проверки подлинности на основе смарт-карт и сертификатов), а также передачу сообщений EAP серверу RADIUS. |
Протокол BAP | Протоколы BAP (Bandwidth Allocation Protocol) и BACP (Bandwidth Allocation Control Protocol) повышают эффективность многоканальных подключений по протоколу PPP, динамически подключая и отключая дополнительные каналы связи в соответствии с изменением трафика. BAP особенно важен в тех случаях, когда плата за подключение зависит от используемой полосы пропускания. |
Политика удаленного доступа | Политика удаленного доступа - это набор условий и параметров подключения, дающих сетевым администраторам большую гибкость в предоставлении разрешений на удаленный доступ в систему и задании параметров подключения. |
Клиент RADIUS | Сервер удаленного доступа Windows Server 2003 может выступать в качестве клиента сервера RADIUS (Remote Authentication Dial-In User Service). Windows Server 2003 реализует функции сервера RADIUS с помощью службы проверки подлинности в Интернете (IAS). Сервер IAS обеспечивает функции централизованной проверки подлинности, авторизации и учета и является местом централизованной настройки политики удаленного доступа. |
Протокол L2TP | В дополнение к протоколу PPTP (Point-to-Point Tunneling Protocol) в состав сервера удаленного доступа на основе Windows Server 2003 входит стандартный протокол L2TP (Layer Two Tunneling Protocol), который используется совместно со средствами IP-безопасности (IPSec) для создания защищенных виртуальных частных подключений. |
Поддержка клиентов удаленного доступа Macintosh, использующих протокол AppleTalk | Система удаленного доступа Windows Server 2003 теперь поддерживает подключения удаленного доступа к сети клиентов удаленного доступа Apple Macintosh, использующих протокол AppleTalk с протоколом удаленного доступа PPP (Point-to-Point Protocol). |
Поддержка многоадресной IP-рассылки | Используя протокол маршрутизации IGMP, сервер удаленного доступа может перенаправлять многоадресный IP-трафик между подключенными клиентами удаленного доступа и Интернетом или сетью организации. |
Блокировка учетной записи | Блокировка учетной записи - это возможность системы безопасности, позволяющая запретить пользователю доступ к ресурсам после определенного числа неудачных попыток проверки подлинности. Блокировка учетной записи предназначена для того, чтобы исключить возможность несанкционированного доступа к ресурсам путем перебора учетных данных. |
[newpage=Компоненты Windows Server 2003 для подключений удаленного доступа к сети. ]
Компоненты Windows Server 2003 для подключений удаленного доступа к сети.
Для подключений удаленного доступа к сети с помощью Windows Server 2003 используются следующие компоненты:
Компонент | Описание |
Серверы для подключений удаленного доступа | Сервер удаленного доступа на основе Windows Server 2003 можно использовать для предоставления клиентам удаленного доступа, как ко всей сети, так и только к общим ресурсам, находящимся на сервере удаленного доступа. |
Клиенты подключений удаленного доступа | Клиенты подключений удаленного доступа, использующие средства удаленного доступа и удаленных подключений Windows Server 2003, Windows XP, Windows NT, Windows 2000, Windows 98, Windows 95, Windows для рабочих групп, MS-DOS, LAN Manager, а также системы Apple Macintosh, могут подключаться к серверу удаленного доступа, работающему под управлением операционной системы Windows Server 2003. |
Протоколы локальных сетей и удаленного доступа | Прикладные программы используют протоколы локальных сетей для передачи информации. Протоколы удаленного доступа служат для согласования подключений и упаковки кадров данных протоколов локальных сетей, пересылаемых по глобальным каналам связи. Система удаленного доступа Windows Server 2003 поддерживает сетевые протоколы TCP/IP, IPX, AppleTalk и NetBEUI, что обеспечивает доступ к ресурсам Интернета, UNIX, Apple Macintosh и Novell NetWare. Система удаленного доступа Windows Server 2003 поддерживает такие протоколы удаленного доступа, как PPP, SLIP и Microsoft RAS (только для NetBEUI). |
Компоненты глобальных сетей | Клиенты могут устанавливать связь через стандартные телефонные линии с использованием модема или группы модемов. Более быстрая связь достигается при использовании линий ISDN. Клиенты подключений удаленного доступа могут подключаться к серверам удаленного доступа также по сетям X.25 и ATM. Кроме того, поддерживаются прямые подключения с помощью нуль-модемных кабелей RS-232C, подключений через параллельные порты и инфракрасной связи. |
Поддержка Интернета | Подключения удаленного доступа к сети Windows Server 2003 предоставляют все необходимые службы для доступа к Интернету. Компьютер с Windows Server 2003 можно настроить в качестве поставщика услуг Интернета, обеспечивающего PPP-клиентам возможность удаленного подключения к Интернету. Компьютер с Windows Server 2003 может устанавливать удаленную связь с подключенным к Интернету компьютером, использующим операционную систему Windows NT Server версии 3.5 и старше, а также с любым из множества стандартных PPP- или SLIP-серверов Интернета. |
Средства безопасности | Процедура входа в Windows Server 2003 и доменная безопасность, поддержка узлов защиты, шифрование данных, служба удаленной проверки подлинности внешних пользователей RADIUS, смарт-карты, политика удаленного доступа и возможность ответного вызова обеспечивают безопасный доступ к сети клиентам подключений удаленного доступа. |
Ниже показаны компоненты, используемые подключениями удаленного доступа к сети. Реальная конфигурация системы на основе Windows Server 2003, использующей подключения удаленного доступа к сети, может быть другой.
Клиенты подключений удаленного доступа к сети.
К серверам удаленного доступа на основе Windows Server 2003 могут подключаться клиенты Windows XP, Windows Server 2003, Windows NT, Windows 2000, Windows 98, Windows 95, Microsoft Windows для рабочих групп, MS-DOS, LAN Manager, а также любые другие клиенты, использующие протокол PPP. Клиентский компьютер должен иметь модем, подключенный к телефонной линии, или устройство для подключения к глобальной сети, а также программное обеспечение удаленного доступа.
Возможность автоматического набора номера, имеющаяся в Windows Server 2003, позволяет автоматически подключаться к серверам удаленного доступа. Возможность автонабора номера запоминает все подключения, осуществляемые с помощью удаленного доступа, и автоматически восстанавливает подключение при повторном обращении к ресурсу.
PPP-клиенты Microsoft
PPP-клиенты Майкрософт, использующие протоколы TCP/IP, IPX или NetBEUI, могут подключаться к серверу удаленного доступа на основе Windows NT версии 3.5 и более поздней. PPP-клиенты Майкрософт не могут использовать протокол AppleTalk. Сервер удаленного доступа автоматически согласовывает способы проверки подлинности с PPP-клиентами.
Поддержка средств удаленного доступа для PPP-клиентов Майкрософт подключений удаленного доступа к сети описана ниже.
Клиент подключений удаленного доступа к сети | Поддерживаемые средства удаленного доступа PPP Windows Server 2003 | Неподдерживаемые средства удаленного доступа PPP Windows Server 2003 |
Windows 2000, Windows XP, Windows Server 2003 | Многоканальные подключения, BAP, MS-CHAP, CHAP, SPAP, PAP, MS-CHAP v2 и EAP | |
Windows NT 4.0 | Многоканальные подключения, MS-CHAP, CHAP, SPAP, PAP и MS-CHAP v2 (Windows NT 4.0 с пакетом обновления 4 или более поздним) | BAP и EAP |
Windows NT 3.5x | MS-CHAP, CHAP, SPAP и PAP | Многоканальные подключения, BAP, MS-CHAP v2 и EAP |
Windows 98 | Многоканальные подключения, MS-CHAP, CHAP, SPAP, PAP и MS-CHAP v2 (Windows 98 с пакетом обновления 1 или более поздним) | BAP и EAP |
Windows 95 | MS-CHAP, CHAP, SPAP и PAP (с пакетом обновления Windows Dial-Up Networking 1.3 Performance & Security Upgrade для Windows 95) | MS-CHAP v2, многоканальные подключения, BAP и EAP |
Windows 95 с пакетом обновления Windows Dial-Up Networking 1.3 Performance & Security Upgrade для Windows 95 поддерживает использование протокола MS-CHAP v2 поверх виртуальных частных подключений (VPN), но не поверх подключений удаленного доступа.
PPP-клиенты других разработчиков
PPP-клиенты других разработчиков, использующие протоколы TCP/IP, IPX, NetBEUI или AppleTalk, могут получать доступ к серверу удаленного доступа на основе Windows Server 2003. Сервер удаленного доступа автоматически согласовывает проверку подлинности с PPP-клиентами. Для PPP-клиентов других разработчиков не требуется специальной настройки сервера удаленного доступа на основе Windows 2000; необходимо лишь убедиться, что и сервер удаленного доступа, и PPP-клиент используют одинаковые сетевые протоколы и протоколы проверки подлинности.
Клиенты протокола Microsoft RAS
Следующие клиенты не могут использовать протокол удаленного доступа PPP, но все же поддерживаются сервером удаленного доступа на основе Windows Server 2003 с помощью протокола Microsoft RAS, который работает только с протоколом NetBEUI.
Клиент | Описание |
Windows NT 3.1 | Клиенты Windows NT 3.1 используют протокол Microsoft RAS и полностью совместимы со всеми версиями системы удаленного доступа Microsoft. |
Windows для рабочих групп, MS-DOS и LAN Manager | Windows NT Server 4.0 предоставляет клиента Microsoft Network Client версии 3.0 для MS-DOS и клиента для Windows для рабочих групп, которые обеспечивают возможность удаленного доступа. Приобретаемые отдельно клиенты удаленного доступа для Windows для рабочих групп и LAN Manager могут также подключаться к серверам удаленного доступа на основе Windows NT версии 3.5 и более поздней. |
SLIP-клиенты
Сервер удаленного доступа на основе Windows Server 2003 не поддерживает протокол удаленного доступа SLIP (Serial Line Internet Protocol). SLIP-клиенты не могут подключаться к серверу удаленного доступа на основе Windows Server 2003.
[newpage=Протоколы удаленного доступа.]
Серверы для подключений удаленного доступа.
Для клиентов подключений удаленного доступа к сети на сервере должен быть установлен хотя бы один модем или многопортовый адаптер, подключенный к телефонной линии, или другое устройство для подключения к глобальной сети. Если сервер обеспечивает доступ к сети, необходимо установить и подключить отдельный сетевой адаптер для этой сети.
При настройке сервера удаленного доступа необходимо выбрать протоколы для использования в локальной сети (IPX, TCP/IP, AppleTalk и NetBEUI) и указать, будет ли доступ по данным протоколам предоставляться ко всей сети или только к ресурсам на сервере удаленного доступа. Нужно также выбрать используемые средства проверки подлинности и шифрования.
Протоколы удаленного доступа.
Протоколы удаленного доступа управляют передачей данных по глобальным сетям. То, какой протокол удаленного доступа могут использовать клиенты, зависит от используемых клиентами и серверами удаленного доступа операционной системы и протоколов локальной сети.
Протокол PPP (Point-to-Point Protocol)
Windows Server 2003 поддерживает протокол PPP - набор стандартных протоколов упаковки кадров и проверки подлинности, обеспечивающий функционирование решений на основе удаленного доступа в сетях с компонентами разных изготовителей. PPP рекомендуется использовать по причине его гибкости и стандартности, а также из-за того, что он будет поддерживаться будущим клиентским и серверным программным обеспечением и оборудованием.
Поддержка PPP позволяет компьютерам с Windows Server 2003 получать с помощью подключений удаленного доступа к сети доступ к любому серверу, также поддерживающему стандарт PPP. Совместимость со стандартом PPP позволяет компьютеру с Windows Server 2003 принимать входящие вызовы и предоставлять доступ к сети клиентам удаленного доступа, использующим программное обеспечение других разработчиков.
Архитектура протокола PPP также позволяет клиентам удаленного доступа использовать любую комбинацию протоколов IPX, TCP/IP, NetBEUI и AppleTalk. Клиенты удаленного доступа Windows XP, Windows Server 2003, Windows NT, Windows 2000, Windows 98 и Windows 95 могут использовать любую комбинацию протоколов TCP/IP, IPX и NetBEUI и программ с интерфейсом Windows Sockets, NetBIOS и IPX. Клиенты удаленного доступа Майкрософт не поддерживают использование протокола AppleTalk в подключениях удаленного доступа.
Протокол SLIP (Serial Line Internet Protocol)
Протокол SLIP (Serial Line Internet Protocol) является старым стандартом удаленного доступа, используемым, в основном, серверами удаленного доступа на платформе UNIX. Клиенты удаленного доступа, использующие Windows Server 2003, поддерживают SLIP и могут подключаться к любому серверу удаленного доступа, также поддерживающему стандарт SLIP. Это позволяет клиентам Windows NT версии 3.5 и последующих версий подключаться к множеству существующих UNIX-серверов. Сервер удаленного доступа на основе Windows Server 2003 не поддерживает SLIP-клиентов.
Протокол Microsoft RAS
Протокол Microsoft RAS - это частный протокол удаленного доступа, поддерживающий стандарт NetBIOS. Протокол Microsoft RAS поддерживается во всех предшествующих версиях системы удаленного доступа Майкрософт и используется в клиентами Windows NT 3.1, Windows для рабочих групп, MS-DOS и LAN Manager.
Клиент удаленного доступа, который подключается с компьютера, работающего под управлением Windows NT 3.1 или Windows для рабочих групп, должен использовать протокол NetBEUI. Сервер удаленного доступа будет выступать в качестве шлюза NetBIOS для удаленного клиента, обеспечивая ему доступ к ресурсам по протоколам NetBEUI, NetBIOS через TCP/IP или NetBIOS через IPX.
Протоколы локальных сетей.
Планирование, интеграция и настройка системы удаленного доступа зависит от используемых в сети протоколов. Средства удаленного доступа Windows Server 2003 поддерживают сетевые протоколы TCP/IP, IPX, AppleTalk и NetBEUI. Это означает, что систему удаленного доступа на основе Windows Server 2003 можно интегрировать в существующие сети Microsoft, UNIX, Apple Macintosh или Novell NetWare с помощью протокола удаленного доступа PPP. Клиенты удаленного доступа Windows Server 2003 могут также подключаться к существующим SLIP-серверам удаленного доступа (в основном это UNIX-серверы). В процессе установки и настройки удаленного доступа все протоколы, уже установленные на компьютере (TCP/IP, IPX, AppleTalk и NetBEUI), автоматически включаются для входящих и исходящих подключений удаленного доступа. Для каждого сетевого протокола можно также указать, следует ли предоставлять доступ по нему ко всей сети или только к ресурсам сервера удаленного доступа. Если доступ ко всей сети предоставляется по протоколу TCP/IP или IPX, нужно также настроить способ назначения сервером IP-адресов или номеров сети IPX. Если доступ ко всей сети предоставляется по протоколу NetBEUI, не требуется никакой дополнительной настройки.
TCP/IP и удаленный доступ.
TCP/IP является самым популярным сетевым протоколом. Его возможности маршрутизации и масштабирования обеспечивают максимальную гибкость для сетей крупных организаций.
В TCP/IP-сетях узлам необходимо назначить IP-адреса. Узлам также могут потребоваться средства разрешения имен.
Назначение IP-адресов клиентам удаленного доступа
Каждый удаленный компьютер, подключающийся к серверу удаленного доступа на основе Windows Server 2003 по протоколу PPP из TCP/IP-сети, получает IP-адрес автоматически. Сервер удаленного доступа получает IP-адрес, назначаемый клиенту удаленного доступа, либо от DHCP-сервера, либо из статического диапазона IP-адресов, выделенного серверу удаленного доступа администратором.
Сервер удаленного доступа и DHCP
Когда сервер удаленного доступа настроен на получение IP-адресов от DHCP-сервера, он получает от DHCP-сервера 10 IP-адресов. Сервер удаленного доступа использует первый полученный от DHCP адрес для себя, а остальные адреса назначает подключающимся клиентам удаленного доступа, использующим TCP/IP. Высвобождающиеся при отключении клиентов IP-адреса используются повторно. Если все 10 IP-адресов заняты, сервер удаленного доступа получает еще 10-адресов. Когда служба маршрутизации и удаленного доступа останавливается, все полученные от DHCP-сервера адреса освобождаются.
Если при запуске службы маршрутизации и удаленного доступа DHCP-сервер недоступен, то используются IP-адреса из диапазона 169.254.0.1 - 169.254.255.254, зарезервированного для средства автоматического назначения частных IP-адресов (APIPA).
Статические пулы IP-адресов для сервера удаленного доступа
Статический пул IP-адресов задается одним или несколькими диапазонами IP-адресов. В предыдущих версиях Windows NT пул адресов указывался в виде диапазона IP-адресов с исключениями. В Windows Server 2003 тех же результатов можно добиться, задавая несколько диапазонов. Сервер удаленного доступа выбирает для себя первый IP-адрес из первого диапазона.
Если статический пул IP-адресов содержит диапазоны IP-адресов, являющиеся подмножеством диапазона IP-адресов сети, к которой подключен сервер удаленного доступа, то необходимо убедиться, что диапазоны IP-адресов из пула IP-адресов для удаленного доступа не назначаются другим узлам TCP/IP ни статически, ни с использованием DHCP.
Если статический пул IP-адресов содержит диапазоны IP-адресов, соответствующие различным подсетям, то необходимо либо задействовать на сервере удаленного доступа протокол IP-маршрутизации, либо добавить для маршрутизаторов локальной сети статические IP-маршруты для каждого диапазона. В противном случае клиенты удаленного доступа не смогут взаимодействовать с некоторыми узлами локальной сети.
Клиенты удаленного доступа Windows Server 2003 могут также использовать заранее назначенные им IP-адреса, содержащиеся в их настройках. В таком случае следует настроить сервер удаленного доступа на основе Windows Server 2003 с помощью политик удаленного доступа так, чтобы он разрешал пользователям запрашивать определенный адрес.
Разрешение имен для серверов и клиентов удаленного доступа
Кроме IP-адреса, серверам и клиентам удаленного доступа в TCP/IP-сети требуется механизм разрешения имен компьютеров в IP-адреса. Сервер удаленного доступа может использовать любой из следующих способов разрешения имен:
- DNS и файл Hosts , используемые для разрешения имен узлов;
- WINS и файл Lmhosts, используемые для разрешения имен NetBIOS.
Сервер удаленного доступа предоставляет клиентам удаленного доступа IP-адреса DNS- и WINS-серверов, заданные для интерфейса локальной сети. Если компьютер имеет только один интерфейс локальной сети, что является обычной конфигурацией сервера для подключений удаленного доступа к сети, то сервер удаленного доступа предоставляет клиентам удаленного доступа IP-адреса DNS- и WINS-серверов этого интерфейса.
При наличии нескольких интерфейсов локальной сети, что является обычной конфигурацией для VPN-сервера, сервер удаленного доступа при запуске выбирает случайным образом один из этих интерфейсов и предоставляет клиентам удаленного доступа IP-адреса DNS- и WINS-серверов выбранного интерфейса.
Клиенты удаленного доступа в небольших сетях, где IP-адреса и имена не изменяются, могут использовать для разрешения имен файл Hosts или Lmhosts . При использовании этих файлов, находящихся на локальном диске, не требуется передавать по подключению удаленного доступа запросы на разрешение имен DNS-серверу или WINS-серверу.
Использование SLIP в сетях TCP/IP
Используя протокол SLIP, клиенты удаленного доступа Windows Server 2003 могут подключаться к серверам удаленного доступа, поддерживающим протокол SLIP. Клиенты могут использовать протокол SLIP только в том случае, если в настройках для этого подключения указан последовательный (COM) порт.
[newpage=Безопасность удаленного доступа.]
Безопасность удаленного доступа.
Чтобы понять, почему попытки подключения принимаются или отклоняются, необходимо представлять себе различие между проверкой подлинности и авторизацией.
- Проверка подлинности - это проверка учетных данных, представленных при попытке подключения. Этот процесс включает отправку учетных данных клиентом удаленного доступа серверу удаленного доступа либо в виде обычного текста, либо зашифрованных с помощью протокола проверки подлинности.
- Авторизация - это проверка того, разрешена ли попытка подключения. Авторизация выполняется после успешной проверки подлинности.
Чтобы попытка подключения была принята, она должна успешно пройти как проверку подлинности, так и авторизацию. Бывает так, что попытка подключения успешно проходит проверку подлинности с помощью допустимых учетных данных, но не авторизуется. В таком случае подключение не разрешается.
Если сервер удаленного доступа настроен на проверку подлинности Windows, то проверку подлинности учетных данных выполняет система безопасности Windows Server 2003, а для авторизации используются свойства входящих звонков учетной записи пользователя и локальная политика удаленного доступа.
Если сервер удаленного доступа настроен на проверку подлинности RADIUS, учетные данные попытки подключения передаются серверу RADIUS для проверки подлинности и авторизации. Сервер RADIUS сообщает серверу удаленного доступа о принятии или отклонении данной попытки.
Если сервером RADIUS является компьютер с Windows Server 2003 и службой проверки подлинности в Интернете (IAS), то сервер IAS выполняет проверку подлинности с помощью системы безопасности Windows Server 2003, а для авторизации использует параметры входящих звонков учетной записи пользователя и политику удаленного доступа, хранящуюся на сервере IAS.
Шифрование данных.
Для защиты данных, пересылаемых между клиентом удаленного доступа и сервером удаленного доступа, можно использовать шифрование данных. Это защищает данные от перехвата или подделки во время передачи по открытым каналам связи. Для использования шифрования необходимо настроить сервер удаленного доступа на требование защищенных подключений. Пользователи, подключающиеся к такому серверу, должны шифровать свои данные - в противном случае запрос на подключение отклоняется. Для подключений удаленного доступа к сети Windows Server 2003 использует шифрование MPPE (Microsoft Point-to-Point Encryption).
Для виртуальных частных подключений защита данных обеспечивается их шифрованием между конечными точками виртуальной частной сети (VPN). Следует всегда использовать шифрование для виртуальных частных подключений при пересылке конфиденциальных данных по открытым сетям, таким как Интернет, где всегда существует опасность их перехвата. Для VPN-подключений Windows Server 2003 использует шифрование по методу MPPE с протоколом PPTP и шифрование по методу IPSec с протоколом L2TP. Так как данные шифруются между VPN-клиентом и VPN-сервером, нет необходимости в шифровании данных в канале связи между клиентом удаленного доступа к сети и провайдером.
Шифрование данных для PPP- или PPTP-подключений доступно только при использовании протоколов проверки подлинности MS-CHAP (v1 или v2) или EAP-TLS. Шифрование данных для L2TP-подключений выполняется по методу IPSec, который не требует использования каких-либо конкретных протоколов проверки подлинности.
Шифрование данных при удаленном доступе не обеспечивает шифрования на всем пути данных. Шифрование на всем пути данных - это шифрование данных между клиентским приложением и сервером, на котором находится ресурс или служба, к которым обращается клиентское приложение. Чтобы обеспечить шифрование на всем пути данных, используйте IPSec для создания безопасного подключения после установления подключения удаленного доступа.
Разрешения для входящих подключений удаленного доступа.
После установки сервера удаленного доступа необходимо указать пользователей, от которых сервер удаленного доступа может принимать входящие вызовы. В Windows Server 2003 авторизация выполняется на основании параметров входящих звонков учетной записи пользователя и политики удаленного доступа.
Не требуется создавать учетные записи пользователей специально для клиентов удаленного доступа. Серверы удаленного доступа используют учетные записи пользователей из доступных баз данных системы безопасности Windows Server 2003.
Безопасность после подключения
После прохождения проверки подлинности и подключения к локальной сети клиенты удаленного доступа входят в домен Windows Server 2003. После успешного входа в домен для управления доступом к ресурсам домена используются учетные данные пользователя домена. Клиенты удаленного доступа обрабатываются системой безопасности в Windows Server 2003 так же, как если бы они были подключены к локальной сети.
Можно предоставить клиентам удаленного доступа доступ лишь к общим ресурсам, расположенным на сервере удаленного доступа, а не ко всей сети, к которой подключен этот сервер. Таким образом можно обеспечить более строгий контроль за тем, какая информация доступна клиентам удаленного доступа, и повысить безопасность системы в целом.
Идентификация звонящего и ответный вызов.
В качестве дополнительной меры безопасности система удаленного доступа предлагает возможности идентификации звонящего и ответного вызова, которые позволяют подключаться к серверу удаленного доступа только пользователям, находящимся в определенном месте. Эти возможности также снижают расходы пользователей на оплату услуг телефонной компании.
Идентификация звонящего
При использовании идентификации звонящего задается номер телефона, с которого пользователь может подключаться к серверу удаленного доступа. Если пользователь будет подключаться с другого номера телефона, попытка подключения будет отклонена сервером удаленного доступа.
Возможность идентификации звонящего должна поддерживаться клиентом, выполняющим вызов, телефонной системой между звонящим и сервером удаленного доступа, и самим сервером удаленного доступа. Система идентификации звонящего на сервере удаленного доступа состоит из оборудования, поддерживающего передачу информации о вызывающем клиенте, и соответствующего драйвера Windows Server 2003, передающего эту информацию службе маршрутизации и удаленного доступа.
Если задан номер телефона для идентификации звонящего, а передача информации о вызывающем клиенте от клиента службе маршрутизации и удаленного доступа не поддерживается, то выполнить подключение не удастся.
Для виртуальных частных подключений в качестве идентификатора звонящего выступает IP-адрес VPN-клиента.
Ответный вызов
При использовании ответного вызова пользователь инициирует вызов и подключается к серверу удаленного доступа. После проверки подлинности и авторизации сервер удаленного доступа разрывает соединение и выполняет ответный вызов по согласованному или заранее заданному номеру телефона.
Привилегии на использование ответного вызова настраиваются для каждого пользователя при предоставлении разрешения на удаленный доступ.
Службы проверки подлинности и учета.
Службы проверки подлинности и учета представляют собой набор программных компонентов, обеспечивающих функционирование определенной группы протоколов проверки подлинности. Эти же компоненты осуществляют регистрацию всех событий, связанных с проверкой подлинности в журналах учета службы удаленного доступа.
Домен Windows Server 2003 или Active Directory
Сервер удаленного доступа на основе Windows Server 2003 поддерживает использование системы безопасности основного контроллера домена (PDC) Windows NT (Windows NT Server 4.0 и более ранних версий) или системы безопасности Windows Server 2003 Active Directory (Windows Server 2003) в качестве службы проверки подлинности клиентов удаленного доступа.
Сервер удаленного доступа на основе Windows Server 2003 поддерживает также занесение в локальный журнал информации о проверке подлинности и учетной информации для подключений удаленного доступа, если используется служба учета Windows.
RADIUS
Протокол RADIUS - это стандартный протокол (описанный в стандартах RFC 2138 и 2139), предоставляющий службы проверки подлинности, авторизации и учета для подключений удаленного доступа к сети. Клиент RADIUS (обычно им является сервер для подключений удаленного доступа к сети) отправляет информацию о пользователе и о подключении серверу RADIUS. Сервер RADIUS выполняет проверку подлинности и авторизацию запроса клиента RADIUS.
В состав сервера удаленного доступа Windows Server 2003 входит клиент RADIUS, что позволяет использовать сервер удаленного доступа поставщикам услуг Интернета или организациям, которые применяют RADIUS для проверки подлинности и учета.
Службу проверки подлинности и службу учета для сервера удаленного доступа на основе Windows Server 2003 можно настроить отдельно друг от друга. Таким образом, сервер удаленного доступа может использовать службу проверки подлинности Windows Server 2003 и службу учета RADIUS. Можно настроить использование нескольких серверов RADIUS, чтобы в случае недоступности основного сервера RADIUS были автоматически задействованы дополнительные.
В Windows Server 2003 также входит сервер RADIUS, называемый сервером службы проверки подлинности в Интернете (IAS), который сервер удаленного доступа может использовать в качестве службы проверки подлинности или учета.
[newpage=Планирование маршрутизации.]
Планирование маршрутизации.
В этом разделе описываются типичные конфигурации сетей, использующих маршрутизатор Windows Server 2003. В каждом сценарии описывается сетей, адресации, протоколов маршрутизации и других служб. Несмотря на то, что конфигурации реальных сетей могут отличаться от описанных ниже, основные принципы остаются неизменными.
Для назначения сетевых адресов в этих сценариях используются диапазоны частных адресов, описанные в стандарте RFC 1597. Если сеть подключена к Интернету, обратитесь к провайдеру для получения общих сетевых адресов.
Подключение небольшой сети к Интернету.
Для подключения небольшой офисной или домашней сети к Интернету можно использовать два способа:
- Маршрутизируемое подключение. При маршрутизируемом подключении компьютер с Windows Server 2003 выполняет функции IP-маршрутизатора, перенаправляющего пакеты между узлами локальной сети и узлами Интернета.
- Подключение с преобразованием сетевых адресов. При подключении с преобразованием сетевых адресов компьютер с Windows Server 2003 выполняет функции преобразователя сетевых адресов (NAT) - IP-маршрутизатора, который преобразовывает адреса пакетов, перенаправляемых между узлами локальной сети и узлами Интернета.
Небольшая офисная или домашняя сеть имеет следующие характеристики:
- один сегмент локальной сети;
- один сетевой протокол: TCP/IP;
- подключения по требованию или подключения по выделенной линии к провайдеру услуг Интернета.
Маршрутизатор Windows Server 2003 должен использовать сетевой адаптер для подключения к локальной сети и ISDN-адаптер или аналоговый модем для подключения к провайдеру. Можно также использовать подключение по выделенной линии или другие технологии постоянного подключения, такие как xDSL и кабельные модемы, но в этом сценарии описана наиболее типичная конфигурация с применением коммутируемого подключения к провайдеру.
Маршрутизируемое подключение к Интернету.
Маршрутизируемое подключение, предоставляющее наибольшую гибкость в выборе типов принимаемого и отправляемого трафика, требует большей настройки. Маршрутизатор Windows Server 2003 должен быть настроен на использование статического IP-адреса. В сети должен быть установлен и настроен DHCP-сервер, либо все клиентские компьютеры должны быть настроены вручную на использование статических IP-адресов.
В этом сценарии диапазон IP-адресов для узлов локальной сети и IP-адреса DNS-серверов назначаются провайдером, т.к. локальная сеть должна использовать адреса, известные маршрутизаторам провайдера.
Для распространения в небольшой сети информации IP-маршрутизации не требуется, поэтому протоколы маршрутизации не используются. На всех компьютерах локальной сети (вручную или при помощи DHCP) в качестве адреса основного шлюза указывается адрес маршрутизатора Windows Server 2003. На маршрутизаторе Windows Server 2003 настраивается не основной шлюз, а маршрут по умолчанию.
Маршрутизируемое подключение к Интернету обеспечивает непосредственную связь через Интернет с любым узлом. При этом локальная сеть становится легкоуязвимой для атак злоумышленников. Для обеспечения безопасности на маршрутизаторе Windows Server 2003 необходимо настроить фильтры пакетов, позволяющие предотвратить поступление нежелательного трафика из Интернета в локальную сеть.
Подключение к Интернету с преобразованием сетевых адресов.
Конфигурация сети упрощается благодаря использованию протокола маршрутизации NAT, обеспечивающего преобразование сетевых адресов, назначение адресов и службы разрешения имен для компьютеров небольшой офисной или домашней сети.
В этом сценарии компьютер, выполняющий преобразование сетевых адресов, автоматически назначает уникальные адреса из диапазона частных IP-адресов 192.168.0.0 с маской подсети 255.255.255.0, всем другим компьютерам небольшой домашней или офисной сети.
Для распространения в небольшой сети информации IP-маршрутизации не требуется, поэтому протоколы маршрутизации не используются. На всех компьютерах локальной сети автоматически указывается адрес маршрутизатора Windows Server 2003 в качестве адреса основного шлюза и адреса DNS-сервера. На компьютере, выполняющем преобразование сетевых адресов, должен быть настроен маршрут по умолчанию.
[newpage=Подключение Офисной сети среднего размера]
Офисная сеть среднего размера.
Типичная офисная сеть среднего размера имеет следующие характеристики:
- не очень большое количество сегментов локальной сети, подключенных к магистрали (например, один сегмент на каждый этаж или крыло здания);
- несколько сетевых протоколов (IP или IPX);
- подключения удаленного доступа для пользователей, находящихся дома или в дороге;
- подключения к Интернету.
Ниже представлен пример офисной сети среднего размера.
В офисной сети среднего размера могут использоваться различные протоколы канального уровня, например Ethernet или Token Ring для подключения клиентских компьютеров, и Fast Ethernet или Fiber Distributed Data Interface (FDDI) в магистрали.
В этом примере для подключения компьютеров в сегментах сети используется Ethernet, а магистраль использует FDDI:
Маршрутизатор | Подключение к | Способ подключения |
Маршрутизатор 1 Windows Server 2003 | сеть A | Ethernet (10/100 Мбит/с) |
Маршрутизатор 2 Windows Server 2003 | сеть B | Ethernet (10/100 Мбит/с) |
Маршрутизатор 3 Windows Server 2003 | сеть C | Ethernet (10/100 Мбит/с) |
Маршрутизатор 4 Windows Server 2003 | магистраль | Ethernet (10/100 Мбит/с) |
клиенты удаленного доступа к сети | Модемы и/или адаптеры ISDN |
Планирование адресации в офисной сети среднего размера.
Адреса сетей получаются путем деление частной сети 192.168.0.0 на подсети класса C с маской подсети 255.255.255.0. Таким образом, в каждый сегмент сети может содержать до 254 компьютеров.
В следующей таблице показаны IP-адреса, назначаемые компьютерам в этом сценарии.
Сегмент | Адрес IP-сети и маска | Диапазон адресов узлов |
Магистраль | 192.168.1.0, 255.255.255.0 | 192.168.1.1–192.168.1.254 |
Сеть A | 192.168.2.0, 255.255.255.0 | 192.168.2.1–192.168.2.254 |
Сеть B | 192.168.3.0, 255.255.255.0 | 192.168.3.1–192.168.3.254 |
Сеть C | 192.168.4.0, 255.255.255.0 | 192.168.4.1–192.168.4.254 |
Протоколы маршрутизации для офисной сети среднего размера.
Протоколом IP-маршрутизации для сетей среднего размера является протокол RIP версии 2. В этом сценарии протокол RIP v2 настраивается на всех маршрутизаторах.
Другие службы для офисной сети среднего размера.
В этом сценарии для автоматической настройки IP-адресов и других параметров на клиентских компьютерах используется служба DHCP Windows Server 2003. Так как используется DHCP, на маршрутизаторах 1, 2 и 3 должны быть настроены агенты ретрансляции DHCP. Агенты ретрансляции DHCP позволяют клиентским компьютерам сетей A, B и C получать адреса от DHCP-сервера, подключенного к магистрали.
Если в каждом сегменте сети есть свой DHCP-сервер, то агенты ретрансляции DHCP использовать не нужно.
[newpage=Установка службы маршрутизации и удаленного доступа.]
Установка службы маршрутизации и удаленного доступа.
Так как служба маршрутизации и удаленного доступа входит в стандартную установку Windows Server 2003, никаких дополнительных действий по ее установке производить не требуется. Тем не менее, по умолчанию служба находится в отключенном состоянии и, прежде чем начать работу с ней, вы должны осуществить процедуру ее начальной настройки.
Предварительные требования.
Перед установкой маршрутизатора Windows Server 2003 нужно установить и привести в рабочее состояние все необходимое оборудование. В зависимости от имеющейся сети и предъявляемых требований может потребоваться следующее оборудование:
- Адаптер локальной или глобальной сети с драйвером, поддерживающим спецификацию NDIS (Network Driver Interface Specification).
- Один или несколько совместимых модемов и свободный последовательный (COM) порт.
- ISDN-адаптер (при использовании линии ISDN).
Настройка службы маршрутизации и удаленного доступа.
Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через Консоль управления. Для запуска консоли управления службой маршрутизации и удаленного доступа выберите меню Пуск, в нем выберите подменю Администрирование, в котором щелкните пункт Маршрутизация и удаленный доступ.
Чтобы начать процедуру начальной настройки сервера маршрутизации и удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера.
Нажмите правую кнопку мыши на имени сервера и выберите пункт Настроить и включить маршрутизацию и удаленный доступ из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа.
На первом шаге мастера вы должны выбрать роль, которую будет выполнять сервер.
Можно выбрать одну из следующих ролей:
- Удаленный доступ (модем). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к вашей сети с помощью модема или другого оборудования удаленного доступа.
- Удаленный доступ (VPN). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к вашей сети через Интернет.
- Преобразование сетевых адресов (NAT). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров вашей локальной сети. Компьютеры, находящиеся в Интернете, не в состоянии определять IP-адреса компьютеров в вашей сети.
- Виртуальная частная сеть (VPN) и преобразование сетевых адресов (NAT). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров вашей локальной сети и разрешения подключения удаленных клиентов к вашей сети через Интернет. Компьютеры в Интернете не в состоянии определять IP-адреса компьютеров в частной сети. Однако клиенты VPN в состоянии подключаться к компьютерам вашей сети, как если бы они были физически присоединены к этой сети.
- Безопасное соединение между двумя частными сетями. При выборе данной роли два сервера со службой маршрутизации и удаленного доступа будут настроены для безопасной передачи частных данных через Интернет. Данный путь необходимо выбрать на каждом сервере при запуске мастера настройки маршрутизации и удаленного доступа. Подключение между двумя серверами может быть постоянным (включено постоянно), либо по требованию (вызов по требованию).
Для настройки общего доступа к Интернет выберите вариант Преобразование сетевых адресов (NAT) и щелкните кнопку Далее.
На следующем шаге вы должны выбрать способ организации общего доступа к Интернет.
Если в вашем компьютере установлен и настроен на Интернет один или более сетевых адаптеров, установите переключатель в положение Использовать общедоступный интерфейс для подключения к Интернету и выберите необходимое подключение из списка.
Если вы собираетесь использовать модем для подключения к Интернету, установите переключатель в положение Создать интерфейс для нового подключения по требованию к Интернету.
В списке подключений к Интернету выводятся только активные сетевые подключения, настроенные на использование протокола TCP/IP с использованием статического адреса. Если в списке отсутствуют сетевые адаптеры, необходимо прервать работу мастера, настроить сетевой адаптер на использование статического IP-адреса, включить сетевой адаптер, проверить его работу и снова запустить мастер настройки сервера маршрутизации и удаленного доступа.
На следующем шаге мастер сообщает, что будет запущен мастер для настройки интерфейса подключения по требованию. В качестве устройства для такого подключения будет использоваться модем. Щелкните кнопку Далее, чтобы продолжить настройку.
На первом шаге этого мастера вам необходимо задать имя интерфейса.
Интерфейсы сервера маршрутизации и удаленного доступа во многом похожи на сетевые подключения, но отображаются только в консоли управления маршрутизацией. Вы можете использовать в качестве имени интерфейса название вашего провайдера.
На следующем шаге мастера вы должны указать способ подключения интерфейса вызова по требованию.
Можно выбрать один из вариантов:
- Подключаться используя модем, адаптер ISDN или другое устройство - соответствующее устройство должно быть установлено в вашем компьютере и настроено. Будет использован доступ по коммутируемым каналам связи.
- Подключаться с использованием виртуальной частной сети (VPN) - дополнительные устройства не требуются, для подключения может быть использовано существующее подключение к Интернет или другим сетям.
- Подключиться через Ethernet (PPPoE) с использованием PPP - для данного подключения используется сетевой адаптер.
Выберите вариант Подключаться используя модем, адаптер ISDN или другое устройство и щелкните кнопку Далее.
На следующем шаге мастера укажите устройство или порт, которые будут использоваться для установления соединения.
В списке выводятся все устройства и порты, которые могут быть использованы сервером маршрутизации и удаленного доступа. Выберите ваш модем из списка и щелкните кнопку Далее.
На следующем шаге мастера вы можете указать номер телефона (для обычного или ISDN-модема) или адрес (для соединения X.25).
Вы можете использовать более одного телефона или адреса для дозвона. Для указания дополнительных телефонов щелкните кнопку Дополнительно.
В появившемся окне вы можете управлять списком телефонов и адресов. Для добавления нового номера телефона к списке введите номер в поле Новый номер телефона или адрес и щелкните кнопку Добавить. Для изменения номера в списке выберите нужный номер в списке, откорректируйте его в поле Новый номер телефона или адрес и щелкните кнопку Заменить. Для изменения порядка телефонов в списке вы можете использовать кнопки Вверх и Вниз. Кнопка Удалить служит для удаления выбранного номера из списка.
Если вы хотите, чтобы при установлении следующего соединения использовался номер, по которому было успешно установлено последнее соединение, установите флажок При подключении переместить удачный номер или адрес в начало.
Служба маршрутизации и удаленного доступа не использует данных о местонахождении и правила дозвона при наборе телефонных номеров при помощи модема. Поэтому, при задании номеров, вы должны включать все необходимые префиксы и специальные символы в добавляемые номера.
На следующем шаге вы должны задать основные параметры безопасности и маршрутизации для создаваемого интерфейса.
Для включения IP-маршрутизации необходимо установить флажок Перенаправлять пакеты IP на этот интерфейс.
Остальные параметры отвечают за настройки безопасности интерфейса:
- Добавить учетную запись для входящих звонков удаленного маршрутизатора - если удаленный маршрутизатор, с которым осуществляется соединение, также может инициировать соединение, необходимо создать учетную запись, которую он будет использовать для регистрации на сервере удаленного доступа. Если удаленный маршрутизатор не будет инициировать соединение (например, если вы устанавливаете соединение по коммутируемой линии с провайдером), то устанавливать этот флажок не требуется.
- Использовать незашифрованный пароль, если это единственный способ подключения - указывает серверу удаленного доступа, что в случае, если удаленный маршрутизатор не поддерживает шифрование данных, использовать незашифрованный пароль. Если этот флажок не установлен и шифрование данных не поддерживается, сервер удаленного доступа не сможет установить соединение.
- Использовать сценарий для завершения подключения к удаленному маршрутизатору - если удаленный маршрутизатор не поддерживает стандартную аутентификацию или требует ввода дополнительных команд после установления соединения, то вам потребуется специальный сценарий для выполнения этих команд - сервер удаленного доступа не поддерживает отображение терминального окна для ручного ввода команд.
При организации удаленного доступа к провайдеру с использованием модема рекомендуется установить только следующие флажки:
- Перенаправлять пакеты IP на этот интерфейс ;
- Использовать незашифрованный пароль, если это единственный способ подключения.
Остальные флажки необходимо снять и устанавливать только в случае необходимости.
На следующем шаге мастера вы должны задать данные, которые будут использоваться для аутентификации при установлении соединения.
Служба маршрутизации и удаленного доступа не предоставляет диалогового окна для ввода этих данных в момент установления соединения, поэтому данные должны быть введены заранее.
В поля Имя пользователя, Пароль и Подтверждение введите соответственно имя пользователя и два раза пароль пользователя. Поле Домен следует заполнять, только если другая сторона также использует сервер удаленного доступа Windows NT, Windows 2000 или Windows Server 2003.
На следующем шаге мастер сообщает, что создание интерфейса вызова по требованию было успешно завершено. После щелчка по кнопке Готово будет создан интерфейс, который будет использован для установления соединения в случае необходимости.
После завершения мастера создания интерфейса завершается и работа мастера настройки сервера маршрутизации и удаленного доступа.
После щелчка по кнопке Готово мастер настройки завершит свою работу. При выбранной конфигурации будут установлены следующие интерфейсы:
- Интерфейс удаленного маршрутизатора;
- Интерфейс подключения по локальной сети;
- Интерфейс замыкания на себя (loopback);
- Внутренний интерфейс.
Между указанными интерфейсами будет настроена IP-маршрутизация. Также будет установлен протокол NAT, осуществляющий трансляцию адресов между интерфейсами удаленного маршрутизатора и подключения по локальной сети.
[newpage=Администрирование сервера маршрутизации и удаленного доступа.]
Администрирование сервера маршрутизации и удаленного.
Правильно настроенный сервер маршрутизации и удаленного доступа практически не нуждается в обслуживании. Однако его стабильная работа требует выполнения ряда обязательных процедур по настройке сервера. Большинство этой работы выполняется Мастером настройки сервера маршрутизации и удаленного доступа, однако дополнительно рекомендуется выполнить следующие задачи:
- Настройте параметры сервера маршрутизации и удаленного доступа
- Проверьте установленные интерфейсы маршрутизации и их параметры
- Проверьте правильность настройки порта модема
- Проверьте настройку IP-маршрутизации: интерфейсы, участвующие в маршрутизации, настройку протокола NAT
- При необходимости настройте политику удаленного доступа
Управление сервером маршрутизации и удаленного доступа.
Для управления сервером маршрутизации и удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера.
Все необходимые операции по управлению осуществляются при помощи контекстного меню.
Настройка параметров сервера.
Для настройки параметров сервера маршрутизации и удаленного доступа нажмите правую кнопку мыши на имени сервера в дереве Консоли управления Маршрутизация и удаленный доступ и выберите пункт Свойства контекстного меню.
На вкладке Общие вы можете указать роли, выполняемые компьютером с установленной службой маршрутизации и удаленного доступа.
Установив флажок маршрутизатор, вы указываете, что компьютер будет осуществлять маршрутизацию пакетов между установленными на нем интерфейсами. Вы можете указать один из двух видов маршрутизации при помощи переключателя:
- только локальной сети – маршрутизация осуществляется между двумя и более интерфейсами сетевых адаптеров;
- локальной сети и вызова по требованию – маршрутизация осуществляется между интерфейсом сетевого адаптера и интерфейсом удаленного маршрутизатора.
Установив флажок сервер удаленного доступа, вы указываете, что компьютер будет работать в качестве сервера удаленного доступа.
На вкладке Безопасность вы можете настроить параметры проверки подлинности пользователей при удаленном доступе к серверу или использования вызова по требованию.
В качестве службы проверки подлинности вы можете использовать:
- Windows Authentication – проверка подлинности – проверка подлинности пользователя осуществляется средствами системы безопасности Windows Server 2003;
- RADIUS Authentication – проверка подлинности – для проверки подлинности используется протокол RADIUS, поддерживаемый службой проверки подлинности в Интернете.
При выборе службы проверки подлинности RADIUS вы можете использовать кнопку Настроить для указания списка серверов, которые будут осуществлять проверку подлинности пользователей.
Щелкнув кнопку Методы проверки подлинности, в появившемся окне вы можете настроить методы, которые будут использоваться сервером удаленного доступа при аутентификации пользователя.
Выбранные протоколы должны поддерживаться не только сервером, но и клиентом, иначе процедура проверки подлинности закончится с ошибкой.
Установив флажок Разрешить подключение удаленных систем без проверки вы разрешите удаленное подключение пользователей без проверки подлинности – пользователям не надо будет предоставлять имя и пароль при подключении к серверу удаленного доступа.
На вкладке IP вы можете настроить параметры маршрутизации TCP/IP
Для включения IP-маршрутизации необходимо установить флажок Разрешить IP-маршрутизацию. При использовании подключения по требованию и необходимости маршрутизации между сетевым интерфейсом и интерфейсом удаленного подключения необходимо установить флажок Удаленный IP-доступ с предоставлением канала по требованию.
При использовании сервера удаленного доступа необходимо выделять клиентам сервера уникальные IP -адреса. Выделение адресов может осуществляться как с использованием протокола DHCP (переключатель протокол DHCP), так и с помощью сервера удаленного доступа (переключатель статический пул адресов). В последнем случае вы можете задать один или более диапазонов IP -адресов для выделения клиентским компьютерам.
Для добавления диапазона IP -адресов для выделения клиентам сервера удаленного доступа щелкните кнопку Добавить.
В появившемся окне необходимо указать начальный и конечный адрес диапазона адресов. Значение поля Количество адресов вычисляется автоматически на основе введенной информации. Также на основании введенной информации автоматически вычисляются адрес и маска сети.
Для изменения границ диапазона необходимо выбрать его из списка и щелкнуть кнопку Изменить. Удаление диапазона осуществляется кнопкой Удалить.
На вкладке PPP вы можете настроить параметры протокола PPP, используемого сервером удаленного доступа.
Установив флажок Многоканальные подключения вы разрешите клиентам объединять несколько физических подключений в одно логическое для увеличения пропускной способности канала связи. Установив флажок Динамическое управление пропускной способностью (BAP/BACP), вы разрешите клиентам использовать протоколы BAP и BACP для динамической настройки многоканальных подключений.
Установив флажок Расширения LCP, вы разрешите клиентам использовать протокол LCP при установлении соединения с сервером удаленного доступа. Установив флажок Программное сжатие данных, вы разрешите использование протокола MPPC для сжатия передаваемых данных.
По умолчанию все флажки установлены, что позволяет клиентам использовать все возможные расширения протокола PPP.
На вкладке Ведение журнала вы можете управлять набором событий, фиксируемых в журнале сервера маршрутизации и удаленного доступа.
При помощи переключателя Ведение журнала вы можете выбрать один из следующих вариантов:
- вести только журнал ошибок – в журнале будут фиксироваться только различные ошибки сервера маршрутизации и удаленного доступа;
- вести журнал ошибок и предупреждений – в журнале будут фиксироваться не только ошибки, но и предупреждения;
- вести журнал всех событий – в журнале будут фиксироваться все события сервера маршрутизации и удаленного доступа;
- Не записывать в журнал никаких событий – не вести журнал.
Установив флажок Журнал дополнительных сведений о маршрутизации и удаленном доступе вы включите ведение журнала соединений протокола PPP. Этот журнал по умолчанию хранится в файле %systemroot%\Tracing\Ppp.log.
При изменении параметров ведения журналов службы маршрутизации и удаленного доступа требуется перезапуск службы.
Запуск и остановка сервера.
Вы имеете возможность управлять состоянием службы маршрутизации и удаленного доступа, не покидая оснастки Маршрутизация и удаленный доступ Консоли управления. Для управления службой маршрутизации и удаленного доступа нажмите правую кнопку мыши на имени сервера в дереве консоли управления и выберите в контекстном меню подменю Все задачи, а затем выберите ту операцию, которую вы хотите выполнить. Вам доступны следующие операции:
Операция | Описание |
Пуск | Запускает ранее остановленную службу маршрутизации и удаленного доступа. Сервер заново загружает свои настройки и начинает осуществлять маршрутизацию. Удаленные клиенты могут связываться с сервером |
Стоп | Останавливает запущенную службу маршрутизации и удаленного доступа. Сервер прекращает выполнять функции маршрутизатора и отвечать на запросы удаленных клиентов |
Пауза | Приостанавливает выполнение службы маршрутизации и удаленного доступа. Сервер прекращает выполнять функции маршрутизатора и отвечать на запросы удаленных клиентов, однако очистка таблиц маршрутизации и используемой памяти не производится |
Продолжение | Возобновляет выполнение приостановленной службы маршрутизации и удаленного доступа. Сервер начинает выполнять функции маршрутизатора и отвечать на запросы удаленных клиентов, однако перезагрузки таблиц маршрутизации и параметров сервера не производится |
Перезапуск | Последовательно выполняет останов и запуск службы маршрутизации и удаленного доступа. Обычно используется для того, чтобы быстро перезапустить сервер в случае сбоев или изменения конфигурации |
Все операции выполняются немедленно без дополнительных подтверждений. Процесс выполнения операции наглядно отображается на экране.
[newpage=Управление интерфейсами маршрутизации]
Управление интерфейсами маршрутизации.
Интерфейсы маршрутизации используются для представления различных соединений маршрутизатора, которые могут использоваться для маршрутизации данных. При необходимости использования устройства для маршрутизации, оно должно быть предварительно добавлено в список интерфейсов маршрутизатора.
Для управления интерфейсами маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Интерфейсы сети. Все настроенные интерфейсы будут выведены в виде списка в правой части окна консоли управления.
В списке выводятся не только названия интерфейсов, но и их основные характеристики (тип, состояние, имя соответствующего устройства и т.п.).
Управление установленными интерфейсами осуществляется при помощи контекстного меню, вызываемого нажатием правой кнопки мыши на имени соответствующего интерфейса.
Маршрутизатор Windows Server 2003 не разрешает управление интерфейсами подключений по локальной сети и замыканий на себя. Первые настраиваются в окне Сеть и удаленный доступ к сети, вторые – не имеют параметров для настройки. При добавлении нового подключения по локальной сети (например, при добавлении нового сетевого адаптера), это подключение будет автоматически добавлено в список интерфейсов маршрутизатора Windows Server 2003.
Помимо интерфейсов подключений по локальной сети и интерфейсов, установленных вручную, список всегда содержит два внутренних интерфейса, которые используются самим маршрутизатором:
Интерфейс | Описание |
Замыкание на себя | Интерфейс с IP-адресом 127.0.0.1, предназначенный для отправки пакетов компьютером самому себе. Обычно используется для тестирования работы стека TCP/IP и маршрутизации, а также может использоваться в некоторых маршрутах таблицы маршрутизации. Например, любая таблица маршрутизации содержит маршрут {IP-адрес_маршрутизатора, 255.255.255.255, 127.0.0.1, 1} . |
Добавление нового интерфейса маршрутизации.
Для добавления нового интерфейса маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Интерфейсы сети. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Создать новый интерфейс вызова по требованию или Создать IP-туннель, в зависимости от того, какого типа интерфейс вы хотите добавить. Добавление других типов интерфейсов вручную невозможно.
Управление интерфейсом вызова по требованию.
Интерфейсы вызова по требованию являются практически единственными управляемыми интерфейсами маршрутизатора Windows Server 2003. Для управления интерфейсами вызова по требованию необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Интерфейсы сети. В списке справа выберите интересующий вас интерфейс и нажмите на нем правую кнопку мыши. Управление осуществляется при помощи команд, выбираемых из контекстного меню.
Изменение свойств интерфейса вызова по требованию.
Для настройки свойств интерфейса выберите пункт Свойства контекстного меню. На вкладке Общие вы можете настроить основные параметры подключения: модем, используемый для подключения, и телефонный номер, по которому осуществляется подключение.
При помощи кнопки Другие вы можете настроить дополнительные телефоны, которые будут использоваться при установлении соединения.
На вкладке Параметры настраиваются параметры подключения, связанные с установлением соединения и набором номера.
При помощи переключателя Тип подключения вы можете настроить время активности подключения. Выбрав вариант Вызов по требованию и установив необходимое значение в раскрывающемся списке Время простоя до разъединения, вы укажете серверу удаленного доступа, что соединение должно устанавливаться только при необходимости, а разрываться должно после указанного времени простоя. При выборе варианта Постоянное подключение, соединение устанавливается при первом обращении пользователей к внешним ресурсам и больше не разрывается.
Следующие параметры определяют параметры набора номера:
- Число повторений набора номера – в этом поле задается количество попыток, которое будет предпринято сервером удаленного доступа для установления соединения. После исчерпания всех попыток процесс набора номера будет остановлен. При указании значения 0 в этом поле набор номера будет осуществляться до тех пор, пока не будет установлено соединение.
- Среднее время между попытками – в этом поле задается интервал времени, который сервер удаленного доступа ожидает перед осуществлением повторной попытки набора номера.
Щелкнув кнопку Ответный вызов в появившемся окне, вы можете настроить параметры ответного вызова.
Установив переключатель в положение Всегда выполнять ответный вызов по указанным номерам, вы сможете указать устройство для обратного вызова и номер телефона, по которому он будет осуществляться. Эта возможность может быть использована при настройке маршрутизации по требованию, когда соединение осуществляется между одной и той же парой маршрутизаторов.
На вкладке Безопасность вы можете настроить параметры безопасности при установлении соединения с использованием вызова по требованию.
Установив переключатель Параметры безопасности в положение Обычные (рекомендуемые параметры), вы используете стандартные параметры соединения. В раскрывающемся списке При проверке используется вы можете указать, в каком виде передаются учетные данные удаленному маршрутизатору при установлении соединения. Вот возможные варианты.
- Небезопасный пароль — при проверке подлинности имя пользователя, пароль и другие данные передаются в незашифрованном виде, что дает злоумышленнику потенциальную возможность перехватить их в процессе установления соединения. Поддерживается любыми маршрутизаторами.
- Безопасный пароль — при проверке подлинности используется один из безопасных протоколов, гарантирующий, что имя пользователя, пароль и другие данные не передаются в незашифрованном виде. При выборе следует убедиться, что этот способ проверки подлинности поддерживается удаленным маршрутизатором.
- Смарт-карта — при проверке подлинности используется цифровой сертификат, хранящийся на смарт-карте. При этом используется еще более надежная защита, чем в случае безопасного пароля. При выборе следует убедиться, что этот способ проверки подлинности поддерживается удаленным маршрутизатором.
При использовании любого способа проверки подлинности, кроме небезопасного пароля, вы можете установить флажок Требуется шифрование данных. В этом случае все данные при передаче удаленному маршрутизатору и обратно будут шифроваться на основе ключей, определяемых используемыми протоколами.
Установив переключатель Параметры безопасности в положение Дополнительные (особые параметры), вы можете настроить любые параметры безопасности соединения при помощи кнопки Настроить. Это следует использовать только в том случае, если вы обладаете полной информацией о протоколах безопасности, поддерживаемых обеими сторонами соединения.
При необходимости, допустим, если удаленный маршрутизатор не поддерживает стандартную процедуру входа, вы можете включить выполнение определенного сценария при установлении соединения. Для этого необходимо установить флажок Сценарий и выбрать необходимый сценарий в раскрывающемся списке. При необходимости можно указать собственный сценарий, щелкнув кнопку Обзор. Если требуется отредактировать выбранный сценарий, щелкните кнопку Изменить — выбранный сценарий загрузится в текстовый редактор.
На вкладке Сеть вы можете изменить параметры сетевых служб и протоколов, используемых при подключении к удаленному маршрутизатору.
В раскрывающемся списке Тип подключаемого сервера удаленного доступа укажите правильный тип сервера, используемого удаленным маршрутизатором. Сервер удаленного доступа Windows Server 2003 поддерживает соединения только по протоколу PPP. Щелкнув кнопку Параметры, вы можете настроить дополнительные параметры используемого протокола, в данном случае PPP.
В списке Отмеченные компоненты используются этим подключением перечислены сетевые службы, клиенты и протоколы, установленные на вашем компьютере. Рядом с компонентами, используемыми при подключении к удаленному маршрутизатору, установлены флажки. Выбрав нужный компонент из списка, вы можете настроить его параметры для этого подключения, щелкнув кнопку Свойства. Если какой-либо компонент не установлен, можно его добавить, щелкнув кнопку Установить.
Кнопка Удалить предназначена для удаления выбранного компонента из всех сетевых подключений, что может привести к неработоспособности некоторых из них.
Настройка учетных данных интерфейса вызова по требованию.
Для настройки учетных данных, используемых при подключении через интерфейс вызова по требованию, выберите пункт Установить учетные данные контекстного меню.
В появившемся окне вы должны указать имя пользователя (поле Пользователь) и пароль (поля Пароль и Подтверждение).
Эти данные будут автоматически использоваться при установлении соединения с удаленным маршрутизатором. Если удаленный маршрутизатор работает под управлением Windows Server 2003 и является членом домена, то необходимо указать имя домена в поле Домен.
Подключение/отключение интерфейса вызова по требованию.
Вы можете самостоятельно инициировать установление или разрыв соединения с использованием интерфейса вызова по требованию. Обычно это требуется при настройке маршрутизации с использованием интерфейса вызова по требованию, либо при различных неполадках в работе маршрутизатора Windows Server 2003.
Для установления соединения с удаленным маршрутизатором выберите пункт Подключить контекстного меню. При этом будет запущен процесс соединения. Об установлении соединения вы узнаете по изменению состояния интерфейса в списке интерфейсов маршрутизации.
Активное соединение может с удаленным маршрутизатором быть прервано вручную. Для этого выберите пункт Отключить контекстного меню. Соединение будет разорвано немедленно, о чем вы узнаете по изменению состояния интерфейса в списке интерфейсов маршрутизации.
Разрешение/запрет интерфейса вызова по требованию.
Также, как и подключение по локальной сети, любой интерфейс маршрутизатора может быть отключен. Отключенный интерфейс не может использоваться для маршрутизации или установления соединения.
Для отключения интерфейса маршрутизации выберите пункт Запретить контекстного меню, а для включения – пункт Разрешить. Отключение и включение интерфейса производится незамедлительно. Если при запрете интерфейса он был активен, то перед запретом производится отключение всех активных подключений.
Настройка IP-фильтров вызова подключения по требованию.
Для настройки фильтров протокола IP, использующихся для данных, передаваемых через интерфейс вызова по требованию, выберите пункт Установить IP -фильтры вызова по требованию контекстного меню.
Настройка расписания исходящих вызовов.
Для настройки времени, когда разрешены исходящие вызовы с использованием подключения по требованию, выберите пункт Расписание исходящих вызовов контекстного меню.
В появившемся окне вы можете указать периоды времени, в которые разрешено или запрещено использование данного интерфейса для соединения с удаленным маршрутизатором.
Такая возможность позволяет вам использовать для доступа в Интернет несколько удаленных маршрутизаторов, осуществляя доступ к каждому из них в то время, когда расходы на связь минимальны. Также вы можете ограничивать доступ пользователей локальной сети в Интернет.
Удаление интерфейса.
Любой интерфейс, за исключением интерфейсов локальной сети и внутренних интерфейсов маршрутизатора, может быть удален. При удалении интерфейс также исключается из всех таблиц маршрутизации, преобразования сетевых адресов и т.п. Таблицы маршрутизации автоматически перестраиваются таким образом, чтобы в них не было неизвестных маршрутов.
Для удаления интерфейса выберите пункт Удалить контекстного меню. После дополнительного подтверждения интерфейс будет удален. Все подключения, осуществляемые через этот интерфейс, будут прерваны.
[newpage=Управление портами сервера удаленного доступа]
Управление портами сервера удаленного доступа.
Порты представляют отдельное подключение, осуществляемое с использованием устройства через интерфейс маршрутизатора. Маршрутизатор Windows Server 2003 не предоставляет никаких дополнительных средств по управлению портами. Предполагается, что управление портами осуществляется при помощи инструментов, предоставляемых разработчиками соответствующего устройства. Для однопортовых устройств, таких как модем, настройки порта совпадают с настройками устройства в целом. Настройка таких устройств осуществляется через Панель управления.
Для управления портами устройств маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Порты. Все установленные порты будут выведены в виде списка в правой части окна консоли управления.
Просмотр информации о состоянии порта.
Функция просмотра информации о состоянии порта является единственной функцией, доступной при управлении портами устройств маршрутизации. Для просмотра состояния порта необходимо в списке справа выбрать интересующий порт и нажать на нем правую кнопку мыши. Выберите пункт Состояние контекстного меню.
В появившемся окне вы можете получить информацию о времени соединения, количестве принятых и переданных байт, количество различных ошибок. Также выводится информация об адресах, назначенных установленному подключению.
[newpage=Управление IP-маршрутизацией]
Управление IP-маршрутизацией.
IP-маршрутизация является необходимым средством для доступа к Интернету. Все необходимые параметры маршрутизации (протоколы, таблицы маршрутизации, таблицы адресов и т.п.) настраиваются в ветви IP-маршрутизация.
Для управления IP-маршрутизацией необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь IP -маршрутизация.
В ветви IP-маршрутизация находятся отдельные ветви для настройки общих свойств IP-маршрутизации и установленных протоколов.
Управление общими параметрами маршрутизации.
Для управления общими параметрами IP-маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. Все интерфейсы, участвующие в IP-маршрутизации, отображаются в виде списка справа.
В списке выводятся не только названия интерфейсов, но и их основные характеристики (тип, IP-адрес, состояние, количество переданных байт и т.п.).
Управление интерфейсами маршрутизации осуществляется при помощи контекстного меню, вызываемого нажатием правой кнопки мыши на имени соответствующего интерфейса.
Настройка свойств маршрутизации.
Для настройки свойств IP-маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP- маршрутизация, а в ней выбрать ветвь Общие. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Свойства.
На вкладке Ведение журнала вы можете настроить параметры ведения журнала IP-маршрутизации.
Вы можете выбрать один из следующих вариантов:
- вести только журнал ошибок – в журнале будут фиксироваться только различные ошибки, возникающие при IP -маршрутизации;
- вести журнал ошибок и предупреждений – в журнале будут фиксироваться не только ошибки, но и предупреждения;
- вести журнал всех событий – в журнале будут фиксироваться все события, возникающие при IP-маршрутизации;
- отключить журнал событий – не вести журнал.
На вкладке Уровни предпочтений вы можете настроить предпочтения использования информации из различных источников маршрутов.
Чем меньше уровень предпочтения у источника маршрута, тем важнее и надежнее считается маршрут, полученный из этого источника. Обычно самым надежным является локальный маршрут, то есть маршрут, получателем в котором указан один из интерфейсов маршрутизатора.
Вы можете изменять уровни предпочтений для различных источников. Для этого необходимо выбрать нужный источник в списке и изменить уровень его предпочтения с помощью кнопок Повысить уровень и Понизить уровень. Имеет смысл изменять уровни предпочтения для различных протоколов маршрутизации и источников автоматических маршрутов, изменять, а тем более, понижать уровни предпочтения для локальных и статических маршрутов не рекомендуется.
На вкладке Многоадресные области вы можете задать области многоадресной рассылки, обслуживаемые маршрутизатором.
Для добавления области в список необходимо щелкнуть кнопку Добавить. При помощи кнопки Изменить можно изменить параметры выбранной области.
Добавление нового интерфейса.
Для добавления нового интерфейса маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый интерфейс.
В появившемся окне выберите интерфейс, который должен использоваться IP-маршрутизатором, и щелкните кнопку OK. Будет отображено окно свойств нового интерфейса. Интерфейс будет добавлен в список интерфейсов IP -маршрутизации с настройками по умолчанию. При ручном добавлении интерфейса никаких изменений в таблицу маршрутизации внесено не будет. Вы должны будете самостоятельно изменить статические маршруты, либо использовать протокол маршрутизации для настройки таблицы.
При добавлении нового интерфейса маршрутизации этот интерфейс автоматически добавляется в список интерфейсов маршрутизации тех протоколов, которые были указан при добавлении интерфейса.
Добавление нового протокола маршрутизации.
Для добавления нового протокола маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый протокол маршрутизации.
В появившемся окне выберите протокол, который должен поддерживаться маршрутизатором, и щелкните кнопку ОК. В списке отображаются только те протоколы, которые еще не установлены на маршрутизаторе. Каждый протокол маршрутизации отображается в виде дочерней ветви в ветви IP-маршрутизация дерева консоли управления.
При добавлении нового протокола ни один из интерфейсов с ним не связывается. Вы должны добавить необходимые интерфейсы и произвести их настройку вручную.
Настройка свойств интерфейса маршрутизации.
Для настройки свойств интерфейса маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Свойства.
Любой интерфейс маршрутизации содержит три стандартных вкладки: Общие, Границы многоадресной области и Пульс многоадресной рассылки, которые будут рассмотрены ниже. Окно свойств интерфейса маршрутизации будет рассмотрено на примере интерфейса вызова по требованию. Кроме того, окно свойств интерфейса может содержать дополнительные вкладки, которые определяются особенностями конкретного интерфейса. Например, окно свойств интерфейса подключения по локальной сети содержит вкладку Конфигурация, на которой настраиваются параметры TCP/IP для интерфейса.
Общие свойства интерфейсов маршрутизации
На вкладке Общие вы можете настроить основные параметры IP-маршрутизации для конкретного интерфейса.
Для включения IP-маршрутизации через интерфейс необходимо установить флажок Включить диспетчер IP-маршрутизации.
Установив флажок Включить объявления обнаружения маршрутизатора вы включите функцию объявления маршрутизатора по протоколу ICMP. Параметры объявления задаются в следующих полях:
- Время жизни объявления – в этом поле указывается время жизни объявления, рассылаемого маршрутизатором;
- Уровень предпочтения – уровень предпочтений маршрутизатора; клиенты обычно принимают объявления с более высоким уровнем предпочтения;
- Отправлять объявления в этом интервале – указывается минимальный (поле минимальное время) и максимальный (поле максимальное время) интервал между последовательными объявлениями; обычно объявления отправляются в момент минимальной нагрузки на маршрутизатор.
При помощи кнопок Фильтры входа и Фильтры выхода вы можете настроить фильтрацию IP-пакетов, проходящих через интерфейс IP-маршрутизации. Входящими считаются пакеты, полученные интерфейсом от клиентов, исходящими – пакеты, полученные интерфейсом с другого интерфейса в результате маршрутизации.
Установив флажок Включить проверку фрагментации вы включите проверку целостности фрагментированных IP-пакетов, проходящих через интерфейс.
На вкладке Границы многоадресной области вы можете управлять областями многоадресной рассылки и их границами.
Для нормальной работы многоадресной маршрутизации клиенты и серверы вашей сети должны поддерживать протоколы многоадресной рассылки. Так как многоадресная рассылка является расширенной возможностью протокола TCP/IP и не рассматривается в данном курсе.
На вкладке Пульс многоадресной рассылки вы можете настроить параметры прослушивания многоадресного трафика сети и обеспечения работоспособности групп многоадресной рассылки. Так как многоадресная рассылка является расширенной возможностью протокола TCP/IP и не рассматривается в данном курсе.
Дополнительные свойства интерфейса подключения по локальной сети
На вкладке Конфигурация вы можете изменять параметры протокола TCP/IP , привязанного к сетевому адаптеру. Эта вкладка является отражением окна свойств TCP/IP сетевого адаптера.
Для изменения параметров протокола TCP/IP сетевого адаптера рекомендуется использовать окно Сеть и удаленный доступ к сети.
Просмотр информации об IP-маршрутизации.
Маршрутизатор Windows Server 2003 предоставляет возможность просматривать большое количество статистической информации как об IP-маршрутизации в целом, так и маршрутизации через конкретный интерфейс.
Для просмотра информации об IP-маршрутизации в целом необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню один из пунктов, описанных ниже:
Пункт меню | Описание |
Отобразить сведения о TCP/IP | Отображаются сводные сведения о маршрутизации IP с использованием всех настроенных интерфейсов. Отображается количество отправленных и полученных IP-, TCP- и UDP-пакетов, количество ICMP-сообщений. Позволяет оценить нагрузку на маршрутизатор |
Отобразить таблицу многоадресных перенаправлений | Отображаются сводные сведения о перенаправлении многоадресных пакетов членам группы многоадресной рассылки |
Отобразить статистику многоадресной рассылки | Отображаются сводные сведения о многоадресной рассылке, осуществляемой маршрутизатором |
Для просмотра информации о маршрутизации с использованием определенного интерфейса необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Общие. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню один из пунктов, описанных ниже:
Пункт меню | Описание |
Отображение сведений о TCP/IP | Отображаются сводные сведения о маршрутизации IP с использованием интерфейса. Отображается количество отправленных и полученных IP-, TCP- и UDP-пакетов, количество ICMP-сообщений. Позволяет оценить нагрузку на конкретный интерфейс |
Отобразить преобразование адресов | Отображается информация о преобразовании IP-адресов с использованием протокола NAT, настроенного для этого интерфейса. Доступен только при установленном протоколе NAT |
Отобразить IP-адреса | Отображает список IP -адресов клиентов, пакеты которых обрабатывались маршрутизатором и пересылались через интерфейс. Позволяет быстро оценить работоспособность интерфейса и определить клиентские компьютеры, использующие интерфейс |
Отобразить таблицу IP-маршрутизации | Отображает таблицу IP-маршрутизации, содержащую все настроенные маршруты. |
Отобразить подключения TCP | Отображает список клиентских IP-адресов, IP-адресов маршрутизатора и TCP-портов, к которым есть активные подключения |
Отобразить порты UDP-прослушивателя | Отображает список клиентских IP-адресов, IP-адресов маршрутизатора и UDP-портов, к которым есть активные подключения |
Удаление интерфейса маршрутизации.
Любой интерфейс маршрутизации, за исключением внутренних интерфейсов маршрутизатора, может быть удален. При удалении интерфейс также исключается из всех таблиц маршрутизации, преобразования сетевых адресов и т.п. Таблицы маршрутизации автоматически перестраиваются таким образом, чтобы в них не было неизвестных маршрутов.
Для удаления интерфейса маршрутизации выберите пункт Удалить контекстного меню. После дополнительного подтверждения интерфейс будет удален. Все подключения, осуществляемые через этот интерфейс, будут прерваны.
Удаление интерфейса маршрутизации не приводит к удалению физического интерфейса и потере его настроек.
[newpage=Управление статическими маршрутами]
Управление статическими маршрутами.
Для управления таблицей статических маршрутов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. Все настроенные статические маршруты указываются в списке справа.
Информация о каждом статическом маршруте соответствует сведениям таблицы маршрутизации: адрес и маска сети назначения, адрес шлюза, интерфейс, метрика.
Добавление статического маршрута.
Для добавления нового статического IP-маршрута необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый статический маршрут.
В появившемся окне вы должны указать интерфейс, через который будут маршрутизироваться IP-пакеты (поле Интерфейс) и адрес (поле Назначение) и маску (поле Маска подсети) сети назначения. При маршрутизации по локальной сети вы должны указать адрес шлюза, который будет использоваться для маршрутизации (поле Шлюз). Маршрутизируемые пакеты, направленные в указанную сеть, будут пересылаться на указанный шлюз с использованием указанного интерфейса.
В поле Метрика вы можете указать метрику добавляемого маршрута. Маршруты, имеющие меньшую метрику, имеют больший приоритет при маршрутизации. Например, если в сеть X существует два маршрута с метриками 1 и 10, то сначала будет использован маршрут с метрикой 1, и только при его недоступности будет использован маршрут с метрикой 10. Обычно, маленькие значения метрики задаются для дешевых высокоскоростных подключений, например, для подключений с использованием локальной сети. Большие значения метрики используются для резервных или более дорогих и медленных подключений, которые используются в качестве альтернативы или при выходе высокоскоростного канала из строя.
Установив флажок Использовать этот маршрут для подключений по требованию, вы укажете, что маршрут использует подключение по требованию, и, при необходимости, нужно устанавливать подключение к удаленному маршрутизатору. Этот флажок должен быть установлен для всех маршрутов, использующих подключение по требованию, и сброшен для всех подключений по локальной сети.
Изменение статического маршрута.
Для изменения статического IP -маршрута необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. В списке справа выберите нужный маршрут, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Свойства.
Для изменения свойств статического маршрута используется тоже окно, что и для добавления нового маршрута.
Удаление статического маршрута.
Для удаления статического IP -маршрута необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. В списке справа выберите нужный маршрут, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Удалить. После дополнительного подтверждения маршрут будет удален.
Будьте осторожны при удалении статических маршрутов! Удаление важных маршрутов может привести к сбоям в работе объединенной сети или самого маршрутизатора.
Просмотр таблицы IP-маршрутизации.
Для просмотра таблицы IP -маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь Статические маршруты. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Отобразить таблицу IP-маршрутизации.
В появившемся окне выводится полная таблица IP-маршрутизации, содержащая не только сведения о статически настроенных маршрутах, но и о маршрутах, настроенных при помощи различных протоколов маршрутизации. Часть этих маршрутов не выводится в таблице статических маршрутов, т.к. эти маршруты добавляются в таблицу автоматически самим маршрутизатором и необходимы для его нормальной работы.
[newpage=Управление протоколом NAT]
Управление протоколом NAT.
Для управления параметрами протокола NAT необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Все интерфейсы, настроенные на использование протокола NAT, отображаются в списке справа.
В списке отображаются интерфейсы, участвующие в трансляции адресов, а также статистика трансляции IP-пакетов.
Свойства протокола NAT.
Для настройки параметров трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Свойства.
На вкладке Общие вы можете настроить параметры ведения журнала протокола NAT.
Вы можете выбрать один из следующих вариантов:
- вести только журнал ошибок – в журнале будут фиксироваться только различные ошибки, возникающие при трансляции адресов;
- вести журнал ошибок и предупреждений – в журнале будут фиксироваться не только ошибки, но и предупреждения;
- вести журнал всех событий – в журнале будут фиксироваться все события, происходящие при трансляции адресов;
- отключить журнал событий – не вести журнал.
На вкладке Преобразование вы можете настроить основные параметры преобразования IP-адресов, связанные с ведением таблицы трансляции.
В полях Удалить TCP-сопоставление через и Удалить UDP-сопоставление через указывается интервал в минутах, по истечении которого записи удаляются из таблицы трансляции NAT. Щелкнув кнопку Восстановить умолчания вы вернете значения этих параметров по умолчанию.
На вкладке Назначение адресов вы можете управлять параметрами упрощенной службы DHCP-сервера, которую вы можете использовать совместно с протоколом NAT.
Установив флажок Назначать IP-адреса с помощью DHCP-распределителя вы включаете службу упрощенного DHCP-сервера на маршрутизаторе Windows Server 2003. В полях IP-адрес и Маска вы должны задать адрес и маску сети, адреса которой будут выделяться клиентским компьютерам. При настройке клиентов им будут передаваться следующие параметры:
- IP-адрес из указанной сети;
- Маска, указанная в поле Маска;
- IP-адрес маршрутизатора в качестве шлюза по умолчанию;
- Адреса DNS-серверов определяются настройками на вкладке Разрешение имен в адреса: если маршрутизатор выполняет функции DNS-прокси, то клиенту будет передаваться IP-адрес маршрутизатора в качестве адреса DNS-сервера. Если маршрутизатор не выполняет функций DNS-прокси, то клиентам будут передаваться адреса DNS-серверов, настроенные для соответствующего интерфейса маршрутизатора.
DHCP-сервер обслуживает только клиентов, подключенных к маршрутизатору через интерфейс частной сети (см. ниже). Ретрансляция DHCP-запросов не осуществляется.
При помощи кнопки Исключить вы можете настроить диапазоны IP -адресов, которые не будут выделяться DHCP-клиентам.
На вкладке Разрешение имен в адреса вы можете настроить параметры DNS-прокси, являющегося частью протокола NAT.
Установив флажок для клиентов, использующих службу DNS, вы включите DNS-прокси. В этом случае маршрутизатор будет являться DNS-сервером для клиентских компьютеров. Все приходящие запросы он будет разрешать используя локальный кэш имен, либо осуществляя DNS-запросы на сервера имен в Интернете. Если для этого требуется подключение к Интернет, то вы должны установить флажок Подключаться при этом к публичной сети и указать интерфейс вызова по требованию, который будет использоваться для подключения к удаленному маршрутизатору с целью разрешения имен. В этом случае, если запрашиваемое имя не будет найдено в локальном кэше DNS-прокси, маршрутизатор осуществит подключение с использованием указанного интерфейса вызова по требованию и передаст запрос на разрешение имени дальше.
Использование DNS-прокси позволяет не открывать на брандмауэре 53 порт, запрещая тем самым прямые обращения к DNS-серверам, расположенным в Интернете. Если при этом маршрутизатор использует DNS-сервера локальной сети, у вас появляется возможность контролировать разрешение различных имен клиентскими компьютерами.
Для настройки параметров брандмауэра выберите в правой части окна консоли интерфейс, который необходимо настроить и щелкните правой кнопкой мышки. В контекстном меню выберите Свойства.
На вкладке NAT и простой брандмауэр вы можете настроить параметры брандмауэра.
Выполните одно из следующих действий:
- если этот интерфейс подключен к Интернету, выберите переключатель Общий интерфейс подключен к Интернету и установите флажок Включить NAT на данном интерфейсе. Если необходимо, чтобы общий интерфейс был защищен динамическими фильтрами пакетов, установите флажок Включить основной брандмауэр для этого интерфейса;
- если интерфейс подключен к локальной сети, выберите переключатель Частный интерфейс подключен к частной сети.
- Можно включить основной брандмауэр без использования NAT для общего интерфейса, выбрав Только простой брандмауэр.
Можно разрешить или запретить определенные типы сетевого трафика из сети с помощью настройки дополнительных фильтров статических пакетов. Для этого нажмите кнопку Фильтры входа или Фильтры выхода, в зависимости от того, какой трафик вы хотите ограничить.
Что бы добавить новый фильтр нажмите кнопку Создать, для изменения параметров имеющихся фильтров, выберите нужный фильтр из списка и нажмите кнопку Изменить. Чтобы удалить фильтр, нажмите кнопку Удалить.
Для добавления нового фильтра и изменения параметров существующего фильтра используется одно и то же окно. В этом окне вы можете указать параметры источника пакета и кому он адресован. Так же можно выбрать из списка используемый протокол и указать порт. После нажатия кнопки OK фильтр будет занесен в список фильтров брандмауэра.
Затем следует установить действие фильтров, выбрав одно из положений переключателя Действие фильтра. По окончании настройки нажмите кнопку OK.
На вкладке Пул адресов можно настроить диапазоны IP-адресов интерфейса.
Что бы добавить новый диапазон нажмите кнопку Добавить, для изменения имеющихся IP-адресов, выберите диапазон адресов из списка и нажмите кнопку Изменить. Чтобы удалить диапазон, нажмите кнопку Удалить.
Если используется диапазон IP-адресов, который можно задать IP-адресом и маской подсети, введите в поле Начальный адрес начальный IP-адрес, а в поле Маска — маску подсети. Если используется диапазон IP-адресов, который нельзя задать IP-адресом и маской подсети, введите в поле Начальный адрес начальный IP-адрес, а в поле Конечный адрес — конечный IP-адрес диапазона. Если используется несколько диапазонов адресов, с помощью кнопки Добавить можно отдельно добавить каждый из них.
Вкладка Службы и порты дает возможность создать список приложений, которым разрешен доступ к ресурсам Интернета. Если список пуст, доступ разрешен всем приложениям к любым ресурсам Интернета. Добавление хотя бы одного приложения в список автоматически запрещает доступ к ресурсам Интернета всем остальным приложениям.
При определении списка приложений и ресурсов, к которым они имеют доступ, имейте в виду следующее.
- Большинство приложений при обращении к ресурсам Интернета открывает на компьютере порты с номерами более 1024 для приема данных. Блокирование доступа к этим портам может привести к неработоспособности этих приложений.
- При использовании клиентами локальной сети DNS-серверов, расположенных в Интернете, разрешайте доступ к порту 53 TCP/UDP, который используется службой DNS-сервера.
- Некоторые приложения могут открывать или использовать дополнительные порты, не указанные в документации. При неработоспособности таких приложений свяжитесь с их разработчиками для определения правильных параметров брандмауэра.
Чтобы добавить новое приложение в список разрешений, щелкните кнопку Добавить.
В появившемся окне в поле Описание службы введите имя, которое позволит идентифицировать это приложение в списке разрешений. Используйте не только обобщенное название приложения (например, Web-браузер), но и протокол, по которому осуществляется соединение (например, HTTP), т. к. многие приложения используют несколько протоколов и требуют различных параметров настройки для различных протоколов. Например, для Web-серверов используйте имя Web-браузер (HTTP).
Укажите протокол и порт, который использует данная служба. Установив переключатель TCP/UDP, укажите, какой из этих двух протоколов используется для исходящий соединений.
В поле Входящий порт укажите номер порта, который может использоваться для приема данных от сервера по указанному протоколу.
В поле Адрес в частной сети укажите IP-адрес компьютера, на котором установлена данная служба.
В поле Исходящий порт укажите порт, используемый сервером вашей сети, работающими по соответствующему протоколу.
В большинстве случаев можно указывать все разрешенные порты, вводя значение 1024-65535. Набор портов можно задать отдельно для протоколов TCP и UDP.
Щелкните кнопку ОК, чтобы добавить службу в список разрешений.
Добавляйте приложения в список по одному. После добавления сохраняйте все изменения и проверяйте работоспособность приложения с одного из клиентских компьютеров.
На вкладке ICMP вы можете разрешить или запретить сообщения ICMP.
При настройке поля Использовать следующие возможности возможен один из следующих вариантов:
- Чтобы разрешить типу сообщения ICMP доступ к сети, установите соответствующий флажок.
- Чтобы запретить типу сообщения ICMP доступ к сети, снимите соответствующий флажок.
После этого щелкните кнопку ОК во всех окнах свойств для сохранения изменений.
Добавление нового интерфейса.
Для добавления нового интерфейса трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Новый интерфейс.
В появившемся окне выберите интерфейс, который должен обслуживаться протоколом NAT и щелкните кнопку ОК. Будет отображено окно настройки интерфейса.
В списке отображаются только те интерфейсы, которые установлены и настроены на маршрутизаторе, а также установлены как интерфейсы IP-маршрутизации. Внутренние интерфейсы маршрутизатора не могут обслуживаться протоколом NAT.
[newpage=Свойства интерфейса трансляции адресов]
Свойства интерфейса трансляции адресов.
Для настройки свойств интерфейса трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Свойства.
Интерфейсы трансляции адресов бывают двух типов:
Тип интерфейса | Описание |
Частный | Частный интерфейс используется для связи с компьютерами, имеющими частные IP -адреса и нуждающимися в трансляции адресов. Обычно частным интерфейсом является интерфейс подключения по локальной сети |
Общий | Общий интерфейс используется для связи с компьютерами, имеющими общие IP -адреса, которые доступны через Интернет. Обычно общим интерфейсом является интерфейс, подключенный к глобальным сетям |
Для нормальной работы протокола NAT требуется наличие хотя бы одного частного и одного общего интерфейсов.
Свойства частного интерфейса
Для частного интерфейса окно свойств содержит только одну вкладку – NAT и простой брандмауэр. Эта вкладка позволяет вам только указать тип интерфейса, изменив его на общий. Такая возможность требуется крайне редко, обычно только при изменении конфигурации сетей, входящих в состав объединенной сети.
Все параметры трансляции адресов настраиваются в окне свойств общего интерфейса трансляции.
Свойства общего интерфейса
Окно свойств общего интерфейса позволяет настроить все необходимые параметры трансляции адресов. На вкладке NAT и простой брандмауэр для такого интерфейса должен быть указан его тип, а также должен быть установлен флажок Включить NAT на данном интерфейсе.
Если этот флажок не установлен, то осуществляется преобразование только IP-заголовков, что означает невозможность использование несколькими компьютерами локальной сети функции трансляции адресов. В большинстве случаев это означает то, что клиенты локальной сети не смогут пользоваться сервисами Интернет.
На вкладке Пул адресов вы можете настроить пул адресов, связанных с общим интерфейсом. Адреса этого пула будут использоваться при трансляции пакетов. Чем больше адресов в этом пуле, тем больше клиентов локальной сети смогут воспользоваться трансляцией адресов. В пул адресов должны входить только общие адреса, доступные из Интернета.
При использовании коммутируемых подключений пул адресов задавать не требуется, т.к. в этом случае используется один единственный IP-адрес, назначенный для общего интерфейса вручную или автоматически. Пул адресов обычно используется при маршрутизации между несколькими локальными сетями, либо при подключении к Интернету с использованием выделенной линии.
При помощи кнопки Резервирование вы можете зарезервировать определенные адреса из пула для использования конкретными компьютерами локальной сети. Хотя такая возможность используется крайне редко, это может потребоваться для некоторых сетевых приложений.
На вкладке Службы и порты вы можете настроить сопоставление входящих сеансов конкретным компьютерам и портам в частной сети. Например, если вы хотите разместить Web-сервер, то для того, чтобы он был доступен пользователям Интернета, он должен быть расположен на компьютере с общим IP-адресом. Если вы используете трансляцию адресов, то вы должны размещать такие сервера на маршрутизаторе Windows Server 2003. Это не всегда возможно, поэтому Web-сервер можно разместить в частной сети, настроив соответствующим образом доступ к нему из общей сети.
Для этого необходимо выбрать протокол, используемый сервером, из раскрывающегося списка Службы и щелкнуть кнопку Добавить. Если сервер использует и TCP-, и UDP-порты, то вам необходимо добавить его дважды – для каждого из протоколов.
В появившемся окне в поле Описание службы введите имя, которое позволит идентифицировать это приложение в списке разрешений.
Укажите протокол и порт, который использует данная служба. Установив переключатель TCP/UDP, укажите, какой из этих двух протоколов используется для исходящий соединений.
В поле Входящий порт укажите номер порта, который может использоваться для приема данных от сервера по указанному протоколу.
В поле Адрес в частной сети укажите IP-адрес компьютера, на котором установлена данная служба.
В поле Исходящий порт укажите порт, используемый сервером вашей сети, работающими по соответствующему протоколу.
TCP- и UDP-порты, используемые различными приложениями и службами в Интернете перечислены в разделе Порты TCP/UDP, используемые приложениями и службами.
Удаление интерфейса.
Для удаления интерфейса трансляции адресов необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Удалить. После дополнительного подтверждения интерфейс будет удален.
Для нормальной работы протокола NAT требуется наличие хотя бы одного частного и одного общего интерфейсов.
Просмотр информации о трансляции адресов.
Для просмотра таблицы IP-маршрутизации необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, в ней выбрать ветвь IP-маршрутизация, а в ней выбрать ветвь NAT/Простой брандмауэр. В списке справа выберите нужный интерфейс, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Отображение сопоставлений.
Для отображения трансляции адресов при обращении пользователей локальной сети необходимо просматривать сопоставления для общего интерфейса, а для отображения обращений пользователей Интернет к ресурсам локальной сети – сопоставления для частного интерфейса.
В появившемся окне выводится таблица, содержащая IP-адрес клиентского компьютера, использованного интерфейса маршрутизатора, IP-адрес удаленного компьютера и номер использованных портов.
[newpage=Управление политикой удаленного доступа.]
Управление политикой удаленного доступа.
Политики удаленного доступа — это упорядоченный набор правил, определяющих порядок авторизации подключения или отказа в подключении. Для каждого правила имеется одно или несколько условий, набор параметров профиля и настройка разрешений удаленного доступа.
На следующем рисунке показан алгоритм обработки попыток подключения с использованием политики удаленного доступа.
Для управления политикой удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. Все настроенные политики удаленного доступа отображаются в списке справа.
На сервере удаленного доступа может быть установлено несколько политик. В этом случае порядок их анализа и применения определяется числом, указанным в колонке Порядок. Вы можете изменять порядок применения политик, используя команды Вверх и Вниз контекстного меню, вызываемого при нажатии правой кнопки мыши на имени политики. Политики анализируются в порядке возрастания числа в колонке Порядок.
Добавление новой политики удаленного доступа.
Для добавления новой политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Создать политику удаленного доступа. Будет запущен Мастер создания политики удаленного доступа.
На первом шаге мастера вы должны указать имя политики, которое будет использоваться для ее отображения в списке политик. К тому же вы можете выбрать стандартный набор правил создаваемой политики или создать свой, установив переключатель Каким образом следует установить эту политику в соответствующее положение.
На следующем шаге мастера вы должны задать способ доступа к серверу, для которого создается новая политика.
Имеется два способа предоставления авторизации с помощью политик удаленного доступа:
- Для отдельных пользователей.
- Для групп.
На следующем шаге мастера вы должны указать, способ предоставления авторизации.
Список Имя группы содержит имена групп, на которые будет распространяться действие данной политики. Добавить или удалить группу из списка можно нажав соответствующую кнопку.
На данном шаге мастера вы можете выбрать методы проверки подлинности удаленного подключения. Методы проверки подлинности обычно используют протокол проверки подлинности, который согласовывается в процессе установления соединения.
Протокол EAP, по соображениям безопасности, следует использовать только при работе со смарт-картами. Если проверка подлинности выполняется по протоколу MS-CHAP, используйте MS-CHAP версии 2.
Следующий шаг мастера позволяет установить уровень шифрования.
MPPE и IPSec используют следующие ключи шифрования: 40-битный (простое шифрование), 56-битный (сильное шифрование) или 128-битный (стойкое шифрование).
При подключении к старым операционным системам, не поддерживающим шифрование с 56-битным или 128-битным ключом, следует использовать 40-битные ключи шифрования. В других случаях применяйте 56-битные ключи шифрования. Ключи шифрования определяются во время подключения. MPPE требует использования протоколов проверки подлинности MS-CHAP (v1 или v2) или EAP.
На последнем шаге мастера выводится сводная информация о создаваемой политике. При необходимости можно изменить параметры создаваемой политики, щелкая кнопку Назад.
После щелчка по кнопке Готово новая политика удаленного доступа будет создана и добавлена в список политик.
Настройка параметров политики удаленного доступа.
Для настройки параметров политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. В списке справа выберите нужную политику, нажмите на ней правую кнопку мыши и выберите из контекстного меню пункт Свойства.
На вкладке Параметры вы можете настроить параметры выбранной политики удаленного доступа.
В списке Укажите условия, которым должны удовлетворять запросы на подключение вы должны указать одно или более условий, которые должны выполняться для того, чтобы к клиентам удаленного доступа применялась указанная политика доступа. Новое условие можно добавить щелкнув кнопку Добавить. Условие можно изменить, щелкнув кнопку Изменить, или удалить, щелкнув кнопку Удалить. Окно настройки условия зависит от типа условия.
При помощи переключателя Если запрос на подключение удовлетворяет указанным условиям вы можете настроить поведение сервера удаленного доступа после выполнения клиентом необходимых условий. Вы можете выбрать один из вариантов:
- Предоставить право удаленного доступа – пользователю будет предоставлено право использования удаленного доступа;
- Отказать в праве удаленного доступа – пользователю будет отказано в праве использования удаленного доступа. Если для конкретного пользователя переопределены права доступа в параметрах его учетной записи, то доступ будет предоставлен в соответствии с параметрами учетной записи.
Щелкнув кнопку Изменить профиль, вы можете изменить параметры профиля пользователя удаленного доступа, который будет использоваться для каждого удаленного пользователя, удовлетворяющего условиям политики.
На вкладке Ограничения по входящим звонкам вы можете настроить ограничения для входящих соединений.
Для того, чтобы установить ограничение на время простоя при удаленном соединении, установите флажок Время простоя сервера до разъединения и введите необходимое количество минут. Для того, чтобы ограничить продолжительность любого сеанса удаленного пользователя, установите флажок Время, в течение которого клиент может быть подключен и введите необходимое количество минут.
Установив флажок Разрешить доступ только в определенное время, вы можете настроить дни недели и часы, в которые пользователь может подключаться к серверу удаленного доступа. Для изменения графика используйте кнопку Изменить.
Для того, чтобы разрешить подключение пользователя только с определенного телефонного номера, установите флажок Разрешить вход только по этому номеру и введите нужный номер. Вы также можете ограничить набор средств, которыми пользователь может подключаться к серверу удаленного доступа. Для этого установите флажок Разрешить доступ только через эти носители и установите пометки рядом с нужными параметрами в списке.
На вкладке IP вы можете настроить параметры IP-адреса клиента.
При помощи переключателя Назначение IP-адресов вы можете выбрать один из следующих вариантов поведения:
- IP-адрес должен быть назначен сервером – IP-адрес клиенту всегда выделяется сервером удаленного доступа;
- Клиент может запросить IP-адрес – клиент может использовать как статический IP-адрес, так и динамический, который он запрашивает у сервера удаленного доступа;
- IP-адрес определяют параметры сервера – порядок настройки IP-адреса клиента определяется настройками сервера удаленного доступа и параметрами учетной записи пользователя.
- Статический IP-адрес пользователя - устанавливается администратором вручную.
При помощи кнопок Фильтры входа и Фильтры выхода вы можете настроить фильтрацию IP-пакетов, применяемых сервером удаленного доступа при подключении клиента.
На вкладке Многоканальное подключение настраивается возможность использования клиентом многоканальных подключений.
При помощи переключателя Параметры многоканального подключения вы можете выбрать один из следующих вариантов поведения:
- Определяются сервером – возможность использования многоканальных подключений определяется настройками сервера удаленного доступа;
- Не разрешать многоканальные подключения – клиент удаленного доступа может использовать только один порт для подключения;
- Разрешать многоканальные подключения – клиенту разрешено использование указанного (поле Максимальное число портов) или меньшего количества портов для подключения.
Ниже вы можете настроить параметры протокола BAP, используемого при многоканальных подключениях. Для отключения дополнительных линий при снижении нагрузки на соединение в целом, установите необходимые значения в поле Процент загрузки. В этом случае линии будут отключаться по одной при снижении общей нагрузки до указанного уровня в течение указанного периода времени. Установив флажок Требовать BAP для динамических многоканальных запросов, вы укажете, что клиент должен использовать протокол BAP для динамического подключения или отключения дополнительных линий. В противном случае после отключения дополнительных линий при снижении нагрузки клиент не сможет подключить их обратно, когда нагрузка на канал возрастет.
На вкладке Проверка подлинности вы можете настроить поддержку различных протоколов проверки подлинности и шифрования при обмене данных с клиентом удаленного доступа.
Устанавливая флажки рядом с соответствующими протоколами, убедитесь, что эти протоколы поддерживаются и клиентом удаленного доступа и сервером удаленного доступа.
Установка флажка Разрешить подключение клиентов без согласования метода проверки подлинности ускорит процесс регистрации клиентов удаленного доступа, однако должна использоваться только в том случае, когда и клиент и сервер удаленного доступа поддерживают одинаковые протоколы проверки подлинности. Обычно этот флажок имеет смысл устанавливать только при настройке подключения по требованию между двумя маршрутизаторами.
На вкладке Шифрование вы можете настроить уровни шифрования, которые могут использоваться клиентом удаленного доступа. Рекомендуется установить все флажки для того, чтобы уровень шифрования определялся клиентом удаленного доступа.
На вкладке Дополнительно вы можете настроить дополнительные атрибуты, которые будут передаваться серверу удаленного доступа после установления подключения. В основном здесь указываются параметры, которые могут использоваться при взаимодействии с сервером RADIUS.
Для добавления параметра щелкните кнопку Добавить и выберите нужный параметр из списка. Щелкнув кнопку Изменить, вы можете указать значение параметра, которое будет передано серверу удаленного доступа.
Удаление политики удаленного доступа.
Для удаления политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. В списке справа выберите нужную политику, нажмите на ней правую кнопку мыши и выберите из контекстного меню пункт Удалить. После дополнительного подтверждения политика удаленного доступа будет удалена. Клиенты, подключенные с использованием удаленной политики отключены не будут и продолжат работу в соответствии с параметрами, полученными во время подключения.
Для нормальной работы сервера удаленного доступа рекомендуется не удалять политику удаленного доступа, установленную и настроенную по умолчанию. При необходимости вы можете добавить и настроить свою собственную политику удаленного доступа, назначив ей более высокий приоритет.
[newpage=Управление журналами удаленного доступа]
Управление журналами удаленного доступа.
Для управления ведением журналов удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Ведение журнала удаленного доступа. Все настроенные методы ведения журнала отображаются в списке справа.
Журналы удаленного доступа хранят информацию о проверке подлинности и учете доступа пользователей через сервер удаленного доступа. Учет событий ведется компонентами службы проверки подлинности в Интернете (IAS).
Настройка метода ведения журнала.
Для настройки метода ведения журнала необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Ведение журнала удаленного доступа. В списке справа выберите нужный метод, нажмите на нем правую кнопку мыши и выберите из контекстного меню пункт Свойства.
На вкладке Параметры вы можете задать, какие события должны регистрироваться в журнале удаленного доступа.
Для этого вы можете использовать следующие флажки:
- Запросы учета – в журнале будут фиксироваться сведения о начале и завершении сеансов работы пользователей через сервер удаленного доступа;
- Запросы проверки подлинности – в журнале будут фиксироваться все события, связанные с проверкой подлинности пользователей и действиями сервера удаленного доступа в результате проверки;
- Промежуточное состояние – в журнале будут фиксироваться различные промежуточные события, связанные с работой пользователя через сервер удаленного доступа.
На вкладке Файл журнала вы можете настроить параметры ведения файла журнала.
Файл журнала маршрутизатора Windows Server 2003 представляет собой простой текстовый файл в кодировке UTF-8, который хранятся в папке, указанной в поле Папка (по умолчанию %systemroot%\system32\LogFiles).
Формат файла журнала определяется переключателем Формат и может быть одним из:
- Совместимый с базой данных – записи журнала хранятся в виде отдельных строк, поля записей разделяются запятыми, порядок полей строго фиксирован;
- Формат IAS – журнал хранится в формате, совместимом с журналами службы проверки подлинности в Интернете (IAS), и содержит записи переменной длины, которые имеют фиксированный заголовок и область произвольных необязательных параметров.
При активной работе пользователей через сервер удаленного доступа журнал сервера удаленного доступа быстро увеличивается в размерах. Для того, чтобы вам было удобнее анализировать журнал, вы можете настроить автоматический переход на создание нового файла журнала при помощи переключателя Создавать новый файл журнала. Вы можете выбрать один из следующих вариантов:
- Ежедневно – при начале новых суток будет создаваться новый файл журнала;
- Еженедельно – новый файл журнала будет создаваться в воскресенье в 00:00;
- Ежемесячно – новый файл журнала будет создаваться первого числа каждого месяца в 00:00;
- Никогда (размер файла не ограничен) – журнал всегда будет храниться в одном файле;
- Когда размер журнала достигает – новый файл журнала будет создаваться, когда текущий файл превысит установленное ограничение.
[newpage=Управление IP-фильтрами.]
Управление IP-фильтрами.
Маршрутизатор Windows Server 2003 поддерживает фильтрацию входящих и исходящих пакетов данных на различных уровнях:
- уровень физического интерфейса – фильтрация осуществляется для всех пакетов, проходящих через интерфейс. Обычно это происходит после маршрутизации пакета;
- уровень интерфейса маршрутизации – фильтрация осуществляется при прохождении данных через интерфейс маршрутизации, при маршрутизации конкретного протокола;
- уровень клиента удаленного доступа – фильтрация данных осуществляется при передаче клиенту удаленного доступа по каналу связи.
На любом уровне фильтрация осуществляется отдельно для входящих и исходящих пакетов. Например, при передаче данных через маршрутизатор из локальной сети в Интернет для интерфейса подключения по локальной сети эти данные будут считаться входящими, а для интерфейса вызова по требованию – исходящими. Для клиентов удаленного доступа входящими всегда считаются данные, передаваемые клиентом, а исходящими – данные передаваемые клиенту.
В интерфейсе управления маршрутизатором Windows Server 2003 входящие фильтры обычно настраиваются кнопкой Фильтры входа, а исходящие – кнопкой Фильтры выхода.
Покажем настройку фильтров на примере входящих фильтров. Настройка исходящих фильтров осуществляется аналогично.
В окне Фильтры входа указывается набор действующих фильтров и условия фильтрации.
Последние определяются переключателем в верхней части окна, который может быть установлен в одно из положений:
- Не разрешать перечисленные пакеты – через фильтр пропускаются все пакеты, кроме тех, которые отвечают условиям, указанным в списке Фильтры;
- Разрешать только перечисленные пакеты – через фильтр пропускаются только те пакеты, которые отвечают условиям, указанным в списке Фильтры.
Набор условий для проверки задается в списке Фильтры. Для добавления условия в список необходимо щелкнуть кнопку Создать.
В появившемся окне вы должны задать параметры исходного и конченого адреса проверяемого пакета. Если должен анализироваться адрес отправителя, то необходимо установить флажок Исходная сеть и указать адрес и маску сети отправителя. Если должен фильтроваться только один определенный IP-адрес, его необходимо указать в поле IP-адрес, а в поле маска указать значение 255.255.255.255. По аналогии настраивается анализ адреса получателя.
В раскрывающемся списке Протокол вы должны указать протокол, пакеты которого должны анализироваться фильтром. При указании протоколов TCP или UDP, вы должны будете дополнительно задать диапазон исходящих и входящих портов.
Например, для выделения всех запросов к Web-серверу локальной сети (адрес 192.168.0.10), например, для того, чтобы разрешить их, может задаваться фильтр со следующими параметрами:
Параметр | Значение |
IP-адрес исходной сети | пусто (может задаваться 0.0.0.0) |
Маска исходной сети | пусто (может задаваться 0.0.0.0) |
IP-адрес сети назначения | 192.168.0.10 |
Маска сети назначения | 255.255.255.255 |
Протокол | TCP |
Исходный порт | > 1023 ( можно оставить пустым) |
Порт назначения | 80 |
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.152 )