WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     || 2 | 3 | 4 | 5 |   ...   | 13 |
-- [ Страница 1 ] --

Internetworking Guide Microsoft Windows 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof Windows 2000 Server

Москва, 2002 УДК 004 ББК 32.973.26-018,2 М59 Microsoft Corporation М59 Межсетевое взаимодействие. Ресурсы Microsoft Windows 2000 Server/Пер, с англ. — М.: Издательско-торговый дом «Русская Редакция*, 2002. — 736 с.: ил, ISBN 5-7502-0163-5 Книга представляет собой техническое руководство по серверу маршрутиза ции и удаленного доступа под управлением Windows 2000 Server и организации взаимодействия между сетями различных типов (TCP/IP, IBM SKA, UNIX, NetWare, AppleTalk. ATM). Кроме того, дается детальная техническая информа ция о виртуальных частных сетях, службе Internet Authentication Service, об ин теграции телефонии и поддержке конференций. Книга состоит из введения, шес ти частей (17 глав), трех приложений, словаря терминов (содержится на компакт диске) и предметного указателя. Предназначена сетевым инженерам, сетевым и системным администраторам, квалифицированным пользователям и всем, кто хочет досконально изучить взаимодействие операционной системы Windows с различными сетями и другими операционными системами.

Названия всех команд, диалоговых окон и других интерфейсных элементов тфиведены как на английском языке, так и на русском (по коммерческой русской версии Windows 2000 Server).

УДК ББК 32.973.26-018. Подготовлено к изданию но лицензионному договору с Microsoft Corporation, Редмонд, Вашингтон, США.

Active Accessibility, Active Channel, Active Client. Active Desktop, Active Directory, ActivcMovic, ActiveX, Authenticode, BackOffice, DvrectAnimatkm, DirectPlay, DirectShow, DircctSound, DirectX, DoubleSpace, DriveSpace, FrontPage, Georgia, Hotmail. fntelHMirror, InteUiSense. JScript, Links, Microsoft, Microsoft Press, MSDN, MS-DOS, MSN, Natural, Net Meeting. NetShow, OpenType. Outlook, PowerPoint, Sidewalk, Slate, Starts Here, Truelmage, Verdana, Visual Basic, Visual C4-+, Visual InterDev, Visual J + -*-, Visual Studio, WebBot, Win32, Windows. Windows Media и Windows NT являются либо охраняемыми то варными знаками, либо товарными знаками корпорации Microsoft в США и/или других странах. NT — товарный знак компании Nothern Telecom Limited. Все другие товарные зна ки являются собственностью соответствующих фирм.

Информация, приведенная в этой книге, в том числе URL и другие ссылки на Web-узлы, может быть изменена без предварительного уведомления. Все названия компаний, органи заций и продуктов, а также имена лиц. используемые в примерах, вымышлены и не имеют никакого отношения к реальным компаниям, организациям, продуктам и лицам.

© Оригинальное издание на английском языке, Microsoft Corporation. © Перевод на русский язык, Microsoft Corporation. -805-8 (англ)

Эта серия состоит из нескольких книг и одного компакт-диска, на котором содер жатся различные утилиты, дополнительные справочные материалы и электронные версии всех книг. Новая информация, относящаяся к «Ресурсам Microsoft Windows 2000 Server*, будет доступна в Интернете по мере се появления.

Книга «Межсетевое взаимодействие» предоставляет глубокую техническую инфор мацию о службах и протоколах, которые позволяют сетям Microsoft® Windows® взаимодействовать с самыми разнообразными локальными (LAN) и региональны ми сетями (WAN) и поддерживать соединения с удаленными сетями. В этой книге объясняется, как управлять всеми аспектами технологий межсетевого взаимодей ствия в Windows 2000, а также выявлять и устранять любые проблемы, возникаю щие в этой связи. Особое внимание уделяется:

• службе маршрутизации и удаленного доступа (Routing and Remote Access Ser vice), в том числе технологиям виртуальных частных сетей (VPN);

• взаимодействию Windows 2000 с другими операционными системами;

• новейшим технологиям сетевых сред, в частности ATM (Asynchronous Transfer Mode) и поддержке телефонии.

Данная информация дополняет (но не заменяет) электронную документации), по ставляемую с Microsoft Windows 2000 Server, и требует знания материалов, изло женных в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» (M.: Рус ская редакция, 2001).

Соглашения В этой книге приняты следующие соглашения по оформлению текста.

Элемент оформления Описание Полужирное начертание шрифта Выделяет команды, ключи или символы, которые Вы вводите к диалоговом окне или в командной строке;

точно так же выделяются и элементы пользовательского интерфейса Выделяет нгаблон для подстановки конкретных данных;

Курсивное начертание шрифта например, вместо Filename,ext можно подставить имя нужного в данном случае файла Введение XV Элемент оформления Описание Фиксированный шрифт Выделяет примеры кода %SystemRoot% Папка, в которую установлена Windows Совет Выделяет дополнительную информацию, необязатель ную для выполнения данной операции Примечание Выделяет любую другую дополнительную информацию Внимание Выделяет особо важную информацию, необходимую для выполнения данной операции;

точно так же помечаются части текста, в которых предупреждается о возможнос ти потери данных, сбоев системы, появлении брешей в лащите и других серьезных проблем в результате тех или иных действий Компакт-диск «Ресурсы Microsoft Windows 2000 Server» Включает информационные ресурсы и утилиты, позволяющие эффективнее рабо тать с операционной системой Windows 2000. Распространяется отдельно, прила гается к брошюре «Ресурсы Microsoft Windows 2000 Server. Компакт-диск: допол нительная техническая информация и утилиты для развертывания, настройки, оп тимизации и поддержки Microsoft Windows 2000 Server» (M.: Русская редакция, 2001).

Примечание Утилиты разработаны и протестированы с использованием американ ской версии Windows 2000. Выполнение этих программ в других версиях W i n dows 2000 или в Microsoft® Windows NT® может привести к непредсказуемым ре зультатам.

Компакт-диск содержит следующие материалы и программное обеспечение, Windows 2000 Server Resource Kit Online Books Электронные версии печатных книг в формате HTML Help. Дают возможность быстро находить информацию, не обходимую лля выполнения какой-либо операции.

Windows 2000 Server Resource Kit Tools and Tools Help Более 200 утилит с до кументацией на них и другие ресурсы, которые помогут полнее использовать воз можности Windows 2000. Применяйте эти утилиты для управления службой ката логов Active Directory™, администрирования служб защиты, работы с реестром, ав томатизации рутинных операций и выполнения многих других важных задач. Как пользоваться утилитами, Бы узнаете из документации Tools Help.

Windows 2000 Server Resource Kit References Набор справочных материален в формате HTML Help.

• Error and Event Messages Help Содержит большую часть сообщении об ошиб ках и событиях, генерируемых Windows 2000. Для каждого сообщения дается подробное описание и перечисляются возможные ответные действия со сторо ны пользователя.

XVI Введение Technical Reference to the Registry Детальное описание ветвей, разделов, иод разделов и параметров реестра Windows 2000, в частности тех, которые могут понадобиться опытным пользователям и которые нельзя изменить средствами Windows 2000 или через программные интерфейсы.

Performance Counter Reference Сведения обо всех объектах и счетчиках, пре доставляемых для использования с инструментами оснастки (snap-in)* Per formance (Производительность) в Windows 2000. Из этого справочника Вы уз наете, как применять различные счетчики (показатели) для диагностики про блем и выявления «узких мест» в Вашей системе.

Group Policy Reference Полное описание всех параметров групповой полити ки в Windows 2000.

Техническая поддержка Техническая поддержка программного обеспечения Ресурсов не предусматривает ся. Microsoft не гарантирует безошибочную работу инструментальных средств и утилит, содержащихся на прилагаемом компакт-диске, немедленный ответ на ка кие-либо вопросы или исправление ошибок в программном обеспечении. Однако, если Вы обнаружите какие-либо ошибки в книгах или программном обеспечении Ресурсов, присылайте сообщения о них на адрес rkinput@microsoft.com, и. возмож но, Вам будут предоставлены соответствующие исправления и обновления. Обра тите внимание, что на этот адрес следует направлять сообщения лишь по вопро сам, относящимся к «Ресурсам Microsoft Windows 2000 Server», а не к самой опе рационной системе Windows 2000. О том, как получить техническую поддержку по Windows 2000, Вы узнаете из документации, поставляемой с этим программным продуктом.

* Здесь используется терминология русской версии Windows 2000 Server. — Прим. перев.

ЧАСТЬ I Маршрутизация Службы маршрутизации обеспечивают доставку IP- и IPX-трафика между сетями. В этой части излагаются базовые сведения о маршрутизации, а так же о соответствующих протоколах и механизмах, поддерживаемых службой маршрутизации и удаленного доступа в Windows 2000.

В этой части Обзор одноадресной маршрутизации Служба маршрутизации и удаленного доступа Одноадресная IP-маршрутизация Поддержка групповой IP-рассылки IPX-маршрутизация Маршрутизация с соединением по требованию ГЛАВА !

Обзор одноадресной маршрутизации Одноадресная маршрутизация (unicasi routing) — это пересылка одноадресного тра фика от отправителя получателю по межсетевой среде (internetwork). Одноадрес ный трафик посылается на уникальный адрес. Чтобы разобраться в деталях рабо ты протоколов маршрутизации (routing protocols), например RIP (Routing Infor mation Protocol) и OSPF (Open Shortest Path First), и в их реализации в Microsoft'^ Windows* 2000 Server, важно иметь четкое представление о принципах одноадрес ной маршрутизации. Поскольку Windows 2000 с Routing and Remote Access Service (Служба маршрутизации и удаленного доступа) является открытой платформой, на которую может быть установлен практически любой протокол межсетевого взаи модействия и маршрутизации, в этой глаие дается обзор по одноадресной маршру тизации, независимой от конкретного протокола. В качестве примеров использу ются протоколы ТР (Internet Protocol) и IPX (Internetwork Packet Exchange).

В этой главе Межсетевая маршрутизация Концепции маршрутизации Основы протоколов маршрутизации Инфраструктура маршрутизации См. также • О поддержке одноадресной IP-маршрутизации — главу 3 «Одноадресная IP-мар шрутизация» в этой книге.

• О поддержке IPX-маршрутизации — главу 5 «IPX-маршрутизапия» в этой книге.

• О виртуальных частных сетях — главу 9 «Виртуальные частные сети» в этой книге.

Обзор одноадресной маршрутизации ГЛАВА Межсетевая маршрутизация Для понимания маршрутизации Вы должны знать следующие термины.

Конечные системы (end systems). По определению International Standards Organi zation (ISO), конечные системы — это сетевые устройства, не способные пересы лать пакеты между отдельными частями сети. Конечные системы также называют ся хостами (hosts).

Промежуточные системы (intermediate systems). Сетевые устройства, способные пересылать пакеты между отдельными частями сети. К таким устройствам относят ся мосты, коммутаторы и маршрутизаторы.

Сеть (network). Часть сетевой инфраструктуры, ограниченная промежуточной си стемой сетевого уровня и имеющая тот же адрес сетевого уровня.

Маршрутизатор (router). Промежуточная система сетевого уровня, соединяющая отдельные сети па основе общего протокола сетевого уровня.

Аппаратный маршрутизатор (hardware router). Сетевое устройство, рассчитанное только на выполнение маршрутизации и аппаратно оптимизированное для этой задачи.

Программный маршрутизатор (software router). Сетевое устройство, выполняющее маршрутизацию лишь как одну из множества функций. Программным маршрути затором может быть компьютер под управлением Windows 2000 Server и службы маршрутизации.

Межсетевая среда (internetwork). Минимум дне сети, соединенные маршрутизато рами (рис. 1-1).

Межсетевая среда Сеть Маршрутизатор Промежуточная Конечная система Конечная система система Рис. 1-1. Межсетевая среда Адресация в межсетевой среде Для понимания маршрутизации важны и термины, относящиеся к адресации в меж сетевой среде.

Адрес сети, или сетевой адрес (network address). Также называется идентификато ром сети. Это число, присваиваемое отдельной сети в межсетевой среде. Сетевые адреса используются хостами и маршрутизаторами при пересылке пакета от источ ника получателю в межсетевой среде.

Адрес хоста (host address). Также называется идентификатором хоста, или иденти фикатором узла. Представляет собой либо физический адрес хоста (адрес сетевой Маршрутизация 4 ЧАСТЬ интерфейсной платы), либо назначенный администратором адрес, уникально иден тифицирующий хост в своей сети.

Межсетевой адрес (internetwork address). Комбинация адресов сети и хоста, кото рая уникально идентифицирует хост в межсетевой среде. IP-адрес, состоящий из идентификатора сети и идентификатора хоста, как раз и является межсетевым адресом.

Подробнее о том, как в IP реализуется адресация па основе идентификаторов се тей и хостов, см. книгу «Сети TCP/IP» из серии «Ресурсы Microsoft Windows Server*.

Когда пакет посылается от хоста-источника хосту-получателю в межсетевой среде, заголовок сетевого уровня в пакете содержит:

• межсетевой адрес источника (Source Internetwork Address) — определяет адреса сети и хоста отправителя;

• межсетевой адрес получателя (Destination Internetwork Address) — определяет адреса сети и хоста получателя;

• счетчик переходов (Hop Count) — инициализируется либо нулевым значением и при пересечении каждого маршрутизатора увеличивается на 1 до некоего мак симального значения, либо, наоборот, максимальным значением, которое умень шается на 1 всякий раз, когда пакет проходит через очередной маршрутизатор, и в конечном счете достигает нулевого значения. Этот параметр предотвращает бесконечную циркуляцию пакета в межсетевой среде.

Концепции маршрутизации Маршрутизация — это процесс передачи данных по межсетевой среде от хоста-от правителя хосту-получателю. Опа может проходить как маршрутизация хостом (host routing) и как маршрутизация маршрутизатором (router routing).

Маршрутизация хостом происходит, когда хост пересылает пакет. Исходя из адре са сети получателя этот хост должен решить, кому следует переслать пакет — хос ту-получателю или маршрутизатору. Па рис. 1-2 хост-отправитель пересылает ад ресованный хосту-получателю пакет маршрутизатору 1.

г Маршрутизация хостом • Хост- Хост отправитель Маршрутизатор 1 Маршрутизатор 2 получатель за Г Маршрутизация маршрутизатором Рис. 1-2. Процесс маршрутизации Маршрутизация маршрутизатором происходит, когда маршрутизатор принимает пакет, который следует переслать другому адресату. Пакет пересылается между мар шрутизаторами (если данный маршрутизатор не подключен напрямую к сети на значения) или между маршрутизатором и хостом-получателем (если данный мар ГЛАВА 1 Обзор одноадресной маршрутизации шрутизатор напрямую подключен к сети назначения). На рис. 1-2 маршрутизатор 1 пересылает пакет маршрутизатору 2, а тот — хосту-получателю.

Маршрутизация хостом Когда хосту, использующему маршрутизируемый протокол (rentable protocol), нуж но послать данные другому хосту, он должен сначала выяснить межсетевой адрес получателя. Этот адрес определяется в процессе разрешения адреса, если хост-от правитель ссылается на хост-получатель по его логическому имени. Например, ч ля разрешения доменного DNS-имени в IP-адрес ТСР/1Р-хост использует DNS (Do main Name System). А для разрешения имени сервера в межсетевой IPX -адрес ра бочие станции Novell NetWare запрашивают регистрационную базу данных (bin dery), которая хранится на NetWare-сервере, или дерево каталогов своего основно го сервера.

После определения межсетевого адреса получателя проводится сравнение адресов сетей отправителя и получателя: Если эти адреса совпадают (отправитель и полу чатель находятся в одной сети), отправитель посылает пакеты непосредственно получателю без использования маршрутизатора (рис. 1-3). Хост-отправитель посы лает пакет, ссылаясь на физический адрес получателя. Такая схема называется пря мой доставкой (direct delivery). В этом случае межсетевой и физический адрес по лучателя относятся к одной и той же конечной системе.

Если же отправитель и получатель находятся в разных сетях, источник не может напрямую доставлять пакеты адресату- Тогда отправитель посылает пакеты проме жуточному маршрутизатору (рис. 1-3), адресуя их на физический адрес этого мар шрутизатора. Данная схема называется непрямой доставкой (indirect delivery). В этом случае межсетевой и физический адрес получателя относятся к разным системам.

В ходе непрямой доставки хост-отправитель пересылает пакет маршрутизатор 1 ;

' в своей сети;

при этом выбирается маршрутизатор, соответствующий первому перехо ду (hop), либо сначала определяется весь путь от источника до конечного адресата, Локальный хост Хост-отправитель Прямая доставка Маршрутизатор,00, Рис. 1-3. Процесс маршрутизации хостом Определение хостом первого перехода 1Р- и IPX-хосты определяют физический адрес маршрутизатора первою перехода одним из следующих способов.

Маршрутизация ЧАСТЬ Таблица маршрутизации на хосте. Такая таблица сообщает адрес маршрутизато ра, который следует использовать для того, чтобы переслать пакет в нужную сеть.

Примером может служить таблица IP-маршрутизации на ТСР/ТР-хосте. Детальное описание таблицы маршрутизации см. в разделе «Таблицы маршрутизации» далее в этой главе.

Динамическое обновление таблицы маршрутизации на хосте. TCP/IP поддер живает механизм динамического обновления таблицы маршрутизации на хосте, за писывая в нее более эффективные маршруты по мере пересылки пакетов адреса там. Для этого IP-маршрутизатор посылает хосту-отправителю ICMP-сообщение Redirect, которое информирует его о наличии более эффективного маршрута к хо сту-получателю. В таблице маршрутизации этот маршрут становится маршрутом к данному хосту (host route). TCP/IP u Windows 2000 обеспечивает динамическое обновление таблицы IP-маршрутизации при получении ICMP-сообщения Redirect.

Прослушивание. TCP/IP-хосты способны прослушивать трафик, передаваемый по протоколам маршрутизации, используемым маршрутизаторами. Эта функцио нальность известна под названием прослушивание (eavesdropping), или перехват (wiretapping). Прослушивающие хосты получают ту же информацию, что и марш рутизаторы. Пример — Silent RIP (Пассивный RIP). Silent RIP позволяет TCP/1P хосту прослушивать RIP с целью полумения связанного с IP-маршрутизацией тра фика, которым обмениваются RIP-маршрутизаторы, и на основе принимаемой ин формации обновлять свою таблицу маршрутизации. Поддержка Silent RIP реали зована в Microsoft® Windows NT® Server 3.51 с Service Pack 2 (и выше), а также в Microsoft® Windows NT® Workstation 4.0 с Service Pack 4 (и выше).

Маршрут по умолчанию. Для упрощения настройки хостов и маршрутизаторов, а также для сокращения издержек, связанных с тем, что на каждом хосте имеются маршруты ко всем сетям в межсетевой среде, хост-отправитель конфигурируется с единственным маршрутом по умолчанию. Этот маршрут и адрес основного марш рутизатора используются, когда не удается найти других маршрутов к сети назна чения. В случае TCP/IP-хостов основным маршрутизатором является Default Gateway (Основной шлюз).

Опрос сети для определения оптимального маршрута. Применительно к хостам, у которых нет таблицы маршрутизации или для которых не сконфигурирован ос новной маршрутизатор, хост-отправитель определяет физический адрес маршрути затора первого перехода, опрашивая псе маршрутизаторы в сети. Запрос на опреде ление наилучшего маршрута к сети назначения посылается как широковещатель ный (broadcast) или групповой (multicast) пакет. Хост-отправитель анализирует ответы от маршрутизаторов и выбирает самый эффективный маршрут. Пример та кого процесса — RIP-сообщение GetLocalTarget, посылаемое IPX-хостом. Это со общение содержит идентификатор нужной IPX-сети. IPX-маршрутизаторы в сети хоста-отправителя, способные достичь этой сети, посылают ответ хосту-отправите лю. На основе RIP-ответов от локальных маршрутизаторов хост-отправитель вы бирает наиболее подходящий маршрутизатор для пересылки IPX-пакета.

Определение хостом всего пути При использовании некоторых маршрутизируемых протоколов хост-отправитель определяет не только первый переход;

он выполняет процесс обнаружения марш рута (route discovery process) и выбирает маршрут к адресату. После этого в заголо Обзор одноадресной маршрутизации ГЛАВА вок сетевого уровня включается список сетей или маршрутизаторов, который ис пользуется маршрутизаторами для пересылки пакета по указанному пути. Такой процесс называется маршрутизацией источника (source routing).

При маршрутизации источника маршрутизаторы функционируют просто как при емопередающие устройства, поскольку все решения по выбору маршрута уже при няты хостом-отправителем. Маршрутизация источника не является типичным ме тодом маршрутизации, так как путь должен быть либо известен, либо обнаружен.

Процессы обнаружения маршрутов генерируют большие объемы трафика и,прохо дят довольно медленно. IP-маршрутизация обычно реализуется за счет принятия соответствующих решений хостами-отправителями и IP-маршрутизаторами на ос нове локальных таблиц маршрутизации. Однако при отладке и тестировании сети иногда приходится указывать точный маршрут через межсетевую IP-среду, заменя ющий путь, который был бы выбран в нормальных условиях. Этот вариант назы вается IP-маршрутизацией источника (IP source routing).

При IP-маршрутизации источника весь маршрут указывается хостом-отправителем как последовательный набор IP-адресов IP-маршрутизаторов на пути между источ ником и конечным адресатом. При этом на каждом IP-маршрутизаторе IP-дейтаг рамма пересылается на следующий маршрутизатор с использованием поля IP-ад реса получателя в IP-заголовке.

IP поддерживает два типа мартпрутизации источника. Первый — это нестрогая мдр шрутизация источника (loose source routing), при которой в качестве IP-адреса сле дующего маршрутизатора может быть указан маршрутизатор, отдаленный на не сколько переходов. Второй тип — строгая маршрутизация источника (strict source routing), при которой следующим должен быть именно соседний маршрутизатор (отдаленный па один переход).

Примечание Маршрутизация источника Token Ring представляет собой схему мар шрутизации МАС-подуровня (MAC-sublayer routing scheme) и не применима к мар шрутизации источника в межсетевой среде, о которой шла речь в данном разделе.

Маршрутизация маршрутизатором Маршрутизатор, получив пакет, адресованный другому сетевому устройству, дол жен доставить его либо хосту-получателю, либо другому маршрутизатору, как по казано на рис. 1-4.

Хост-получатель Маршрутизатор Йсшка "..i ^. Маршрутизатор Непрямая доставка Рис. 1-4. Процесс маршрутизации маршрутизатором Маршрутизация 8 ЧАСТЬ • Если сеть назначения совпадает с сетью, к которой подключен данный маршру тизатор, он пересылает пакет хосту-получателю, направляя его на физический адрес этого хоста. В этом случае маршрутизатор выполняет прямую доставку.

• Если сеть назначения, напротив, не подключена к данному маршрутизатору, он пересылает пакет промежуточному маршрутизатору, который выбирается на ос нове оптимального маршрута в таблице маршрутизации. При этом он пересы лает пакет па физический адрес промежуточного маршрутизатора, т. е. выпол няет непрямую доставку (на следующий маршрутизатор на пути к адресату).

Таблицы маршрутизации В процессе маршрутизации хосты и маршрутизаторы принимают решения, исполь зуя базу данных маршрутов — таблицу маршрутизации (routing table). Эта таблица ае является исключительной принадлежностью только маршрутизаторов. В зави симости от маршрутизируемого протокола на хостах тоже могут храниться табли цы маршрутизации, помогающие выбирать оптимальные маршруты для пересыла емых пакетов. Таблицы маршрутизации имеются на IP-хостах, но отсутствуют на IPX-хостах.

Ниже перечислены типы записей, которые могут быть в таблице маршрутизации.

Маршрут к сети (network route). Маршрут к сети с определенным идентификатором.

Маршрут к хосту (host route). Маршрут к определенному межсетевому адресу (комбинации идентификаторов сети и хоста). Решение о маршрутизации принима ется на основе не одного идентификатора сети, а в комбинации с идентификатором хоста. Такие маршруты позволяют принимать более «интеллектуальные» решения применительно к каждому межсетевому адресу. Маршруты к хостам обычно исполь зуются для создания нестандартных маршрутов, что позволяет контролировать или оптимизировать специфические виды межсетевого трафика.

Маршрут по умолчанию (default route). Маршрут, используемый в том случае, если в таблице маршрутизации нет других маршрутов к адресату. Например, если марш рутизатор или конечная система не может найти маршрут к сети или к хосту полу чателя, выбирается маршрут по умолчанию. Последний упрощает настройку конеч ных систем или маршрутизаторов, позволяя не записывать в их таблицы маршру ты к каждой сети в межсетевой среде.

Примечание Во многих реализациях маршрутизаторов, включая службу маршрути зации и удаленного доступа в W i n d o w s 2000, поддерживается как таблица маршру тизации, так и таблица пересылки (forwarding table). Таблица маршрутизации хра пит все маршруты от всех возможных источников, а таблица пересылки — это как раз то, что используется маршрутизируемым протоколом при пересылке пакета.

Так, в случае маршрутизатора под управлением Windows 2000 служба маршрутиза ции и удаленного доступа поддерживает таблицу IP-маршрутизации, используя компонент Route Table Manager. Таблица IP-пересылки содержится в самом TCP/ IP. Route Table Manager обновляет эту таблицу на основе информации о маршру тах, поступающей из множества источников. Содержимое таблицы маршрутизации не обязательно соответствует содержимому таблицы пересылки. В этой вводной главе мы не будем делать различий между таблицами маршрутизации и пересылки.

Обзор одноадресной маршрутизации ГЛАВА Структура таблицы маршрутизации Записи таблицы маршрутизации обычно состоят из следующих нолей (рис. 1-5).

Пересылочный Метрика Срок Идентификатор Интерфейс сети адрес действия Рис. 1-5. Структура таблицы маршрутизации Идентификатор сети (Network ID), Поле, содержащее идентификационный но мер (код) для маршрута к сети или межсетевой адрес для маршрута к хосту.

Пересылочный адрес (Forwarding Address). Поле, содержащее адрес, на который следует пересылать пакеты. Пересылочный адрес может быть адресом сетевой ин терфейсной платы (сетевого адаптера) или межсетевым адресом. В случае сетей, к которым конечная система или маршрутизатор подключены напрямую, поле пере сылочного адреса может быть пустым.

Интерфейс (Interface). Поле, указывающее сетевой интерфейс, который надо ис пользовать при пересылке пакетов в определенную сеть. Это номер порта или ка кой-нибудь другой логический идентификатор. Например, интерфейс: для сетевого адаптера 3COM EtherLink III в таблице маршрутизации может быть указан как ELNK3.

Метрика (Metric). Поле, указывающее «цену» маршрута;

обычно выражается числом переходов (т. е. количеством пересекаемых маршрутизаторов) до конечной сети. Если к адресату ведет несколько маршрутов, выбирается тот, у которого ми нимальная метрика. Некоторые алгоритмы маршрутизации предусматривают за пись в таблицу маршрутизации только по одному маршруту к каждому идентифи катору сети — даже если возможно использование нескольких маршрутов. В этом случае маршрутизатор на основе значения в поле метрики решает, какой из марш рутов сохранить в таблице.

Метрики могут содержать значения различных типов.

Число переходов (hop count). Стандартная метрика. Сообщает число маршрутиза торов (переходов) на пути к сети с определенным идентификатором.

Задержка (delay). Время, необходимое дли доставки пакета в определенную есть.

Задержка отражает скоростные характеристики маршрута (в локальных сетях ма лые задержки, а в региональных — большие) или его загруженность.

Маршрутизация 10 ЧАСТЬ Пропускная способность (throughput). Эффективный объем данных, который мо жет быть передан по этому пути за секунду. Пропускная способность не обязатель но отражает скорость передачи битов по данному каналу, поскольку очень загру женный канал Ethernet может иметь меньшую пропускную способность, чем незаг руженный WAN-канал на 64 Кбит/с.

Надежность (reliability). Мера постоянства пути. Некоторые типы каналов в боль шей степени подвержены сбоям, чем другие. Например, в случае WAN-каналов вы деленные линии более надежны, чем обычные телефонные.

Срок действия (Lifetime). Поле, указывающее срок действия данного маршрута;

по истечении этого срока маршрут считается недействительным. Это поле исполь зуется при получении маршрутов в процессе обмена информацией с другими мар шрутизаторами. Полученные маршруты имеют конечные сроки действия. Чтобы такие маршруты оставались в таблице маршрутизации, их нужно периодически обновлять. Как только срок действия маршрута, полученного в результате обмена информацией с другими маршрутизаторами, истекает, огн удаляется из таблицы маршрутизации. Этот механизм позволяет маршрутизаторам автоматически пере настраиваться при изменениях в топологии межсетевой среды, связанных с отклю чением какого-либо канала связи или маршрутизатора.

Примечание Поле срока действия в таблицах маршрутизации обычно невидимо.

Здесь был приведен список лишь стандартных полей в записях таблицы маршру тизации. Реальный набор полей зависит от конкретного маршрутизируемого про токола. Подробнее о таблице IP-маршрутизации см. книгу «Сети TCP/IP* из се рии «Ресурсы Microsoft Windows 2000 Server». Подробнее о таблице IPX-маршру тизации см. главу 5 «IPX-маршрутизация» в этой книге.

Местонахождение таблицы маршрутизации Все решения по маршрутизации, принимаемые конечной системой или маршрути затором, основываются на информации из локальной таблицы маршрутизации, ко торая физически находится в оперативной памяти данной системы. Единого, цело стного представления межсетевой среды, которое собиралось бы каким-нибудь сер вером и загружалось бы им на каждую конечную систему и каждый маршрутиза тор, нет.

Каждый маршрутизатор на пути между источником и конечным адресатом прини мает решение о маршрутизации на основе собственной таблицы маршрутизации.

Путь от источника к конечному адресату может не совпадать с маршрутом ответ ных пакетов от получателя. Если информация в локальных таблицах на конечных системах или маршрутизаторах некорректна из-за иеправттльнои настройки или из за изменения условий в сети, то с маршрутизацией могут возникнуть проблемы.

Выявление и устранение таких проблем может потребовать изучения таблиц мар шрутизации на конечных системах (отправителе и получателе) и на всех маршру тизаторах, пересылающих пакеты между этими системами.

Об IP-маршрутизации см. главу 3 «Одноадресная IP-маршрутизация», а об IPX маршрутизации — главу 5 «IPX-маршрутизация» в этой книге.

Обзор одноадресной маршрутизации ГЛАВА 1 Статические и динамические маршрутизаторы Для эффективной маршрутизации между маршрутизаторами в межсетевой среде последние должны знать об идентификаторах других сетей или должны быть на строены на маршрут по умолчанию. В больших межсетевых средах таблицы марш рутизации следует настраивать так, чтобы трафик всегда проходил по оптималь ным путям. Способ настройки этих таблиц зависит от того, какая маршрутизация используется — статическая или динамическая.

Статическая маршрутизация Маршрутизатор с таблицей маршрутизации, сконфигурированной вручную, явля ется статическим (static router). Сетевой администратор, знающий топологию меж сетевой среды, вручную создает и обновляет таблицу маршрутизации, программи руя в ней все маршруты, Статические маршрутизаторы эффективно работают в малых межсетевых средах, но плохо масштабируются и не могут динамически реа гировать на изменения в межсетевой среде из-за необходимости управления ими вручную.

Статические маршрутизаторы не являются отказоустойчивыми. Срок действия вручную сконфигурированного статического маршрута бесконечен, и поэтому ста тические маршрутизаторы не распознают отключения каких-либо маршрутизато ров или каналов связи.

Яркий пример статического маршрутизатора — многоадресный компьютер под уп равлением Windows 2000 (многоадресным называется компьютер с несколькими сетевыми адаптерами). Создать статический IP-маршрутизатор с помощью W i n dows 2000 несложно: установите несколько сетевых адаптеров, настройте TCP/IP и разрешите применение IP-маршрутизации, Динамическая маршрутизация Маршрутизатор с динамически конфигурируемыми таблицами маршрутизации на зывается динамическим (dynamic router). В этом случае таблицы маршрутизации создаются и поддерживаются автоматически — за счет обмена информацией между маршрутизаторами. Такое взаимодействие обеспечивается протоколом маршрути зации, но которому периодически или по требованию передаются серии сообщений, содержащие информацию о маршрутизации. Если не считать начальной настрой ки, динамические маршрутизаторы практически не требуют обслуживания и поэто му легко масштабируются при расширении межсетевой среды.

Динамическая маршрутизация обеспечивает отказоустойчивость. Динамические маршруты, получаемые от других маршрутизаторов, имеют конечный срок дей ствия. Если какой-либо маршрутизатор или канал связи выходит из строя, дина мические маршрутизаторы распознают соответствующее изменение в топологии межсетевой среды, как только в таблице маршрутизации истекает срок действия ранее полученного маршрута. Информация об этом изменении распространяется на другие маршрутизаторы, и в конечном счете все маршрутизаторы в межсетевой сре де узнают о ее новой топологии.

Благодаря способности к масштабированию и автоматическому восстановлению после сбоев в межсетевой среде динамическая маршрутизация — более эффектив ный выбор для средних, больших и очень больших межсетевых сред.

Маршрутизация 12 ЧАСТЬ Типичный пример динамического маршрутизатора — компьютер под управлением Windows 2000 Server и службы маршрутизации и удаленного доступа, на котором работают протоколы RIP for IP и OSPF tor IP, а также RIP for IPX.

Проблемы маршрутизации Проблемы с маршрутизацией возможны, когда в таблице маршрутизации либо хо ста, либо одного из маршрутизаторов содержится информация, неправильно отра жающая топологию межсетевой среды.

Петли маршрутизации В процессе маршрутизации маршрутизатором пакеты пересылаются по оптималь ному пути в соответствии с информацией, записанной в локальной таблице марш рутизации. Если записи таблиц маршрутизации на всех маршрутизаторах правиль ны, пакет следует по оптимальному маршруту от источника к получателю. Но, если какая-то из записей в таблице маршрутизации неверна (из-за неправильной на стройки или из-за того, что полученный маршрут не точно отражает топологию межсетевой среды), могут формироваться так называемые петли маршрутизации (routing loops). Петля маршрутизации — это путь к сети с определенным иденти фикатором, замкнутый на себя.

Рис. 1-6 иллюстрирует петлю маршрутизации, возникшей при следующих условиях:

• согласно таблице маршрутизации на маршрутизаторе 1, оптимальный маршрут к сети 10 проходит через маршрутизатор 2;

• согласно таблице маршрутизации на маршрутизаторе 2, оптимальный маршрут к сети 10 проходит через маршрутизатор 3;

• согласно таблице маршрутизации па маршрутизаторе 3, оптимальный маршрут к сети 10 проходит через маршрутизатор 1.

Чтобы предотвратить бесконечное циркулирование пакета, в заголовке сетевого уровня присутствует счетчик переходов. Всякий раз, когда маршрутизатор переда ет пакет из одной сети в другую, он либо увеличивает, либо уменьшает счетчик пе реходов на 1. Если этот счетчик достигает своего максимума (в случае увеличения) или обнуляется (в случае уменьшения), маршрутизатор отбрасывает пакет.

Маршрутизатор Сеть 10 Сеть Маршрутизатор Сеть Маршрутизатор Рис. 1-6. Петля маршрутизации ГЛАВА 1 Обзор одноадресной маршрутизации Например, IPX-хост посылает IPX-пакеты, присваивая счетчику переходов нуле вое значение. Каждый маршрутизатор RIP for IPX увеличивает этот счетчик на 1.

Когда он достигает 17, пакет «молча» отбрасывается. IP-хост, посылая IP-пакеты, записывает в поле TTL (Tim e-to-Live) IP-заголовка максимальное число переходов, Каждый IP-маршрутизатор на пути пакета уменьшает TTL на 1. Когда TTL стано вится равным 0, IP-маршрутизатор отбрасывает пакет и посылает хосту-отправи телю ICMP-сообщение Time Exceeded. По умолчанию TCP/IP-хосты под управле нием Windows NT версии 4.0 (и выше) присваивают TTL значение 128.

Черные дыры Наиболее распространенные межсетевые протоколы вроде IP и IPX не ориентиро ваны на логические соединения (connectionless) и используют дейтаграммы. Они не гарантируют успешную доставку. IP и IPX осуществляют доставку и точку оче редного перехода или конечному адресату по принципу «максимум возможного» (best effort delivery) и не ожидают подтверждения о приеме данных. А это может создавать такие условия в межсетевой среде, при которых данные теряются.

Если следующий на пути маршрутизатор (downstream router) выхолит из строя и этот факт не распознается предыдущим на пути маршрутизатором (upstream rou ter), то последний продолжает пересылать пакеты первому. Поскольку вышедший из строя маршрутизатор не принимает пакеты, они «выпадают» из межсетевой сре ды. Получается, что предыдущий маршрутизатор посылает пакеты в черную дыру, — это ситуация в межсетевой среде, при которой пакеты теряются, а об ошибке ниче го не сообщается. Так, па рис. 1-7 маршрутизатор 1, не уведомленный о том, что маршрутизатор 2 отключен, продолжает посылать ему пакеты. И отключенный мар шрутизатор 2 создает черную дыру.

Хост-отправитель Непрямая доставка Хост-получатель Непрямая доставка Рис. 1-7, Маршрутизация при образовании черной дыры Черные дыры могут образовываться, когда канал связи или маршрутизатор выво дит из строя и авария еще не обнаружена. В среде со статической маршрутизацией черные дыры сохраняются до восстановления канала связи или маршрутизатора либо до перенастройки статических маршрутизаторов сетевым администратором В среде с динамической маршрутизацией неработающие каналы связи или маршру тизаторы распознаются по истечении срока действия маршрутов, полученных в ре зультате обмена информацией с другими маршрутизаторами.

Маршрутизация 14 ЧАСТЬ Черные дыры могу возникать и в тех случаях, когда активный маршрутизатор от брасывает пакеты, не сообщая о причине этого. Примером может служить маршру тизатор типа «черная дыра* PMTU (PMTU black hole router), который отбрасыва ет IP-пакеты, подлежащие фрагментации, и не посылает отправителю сообщение о соответствующей ошибке. Обнаружить такие маршрутизаторы весьма непросто, потому что пакеты меньшего размера пересылаются нормально. Подробнее на эту тему см. книгу «Сети TCP/IP» из серии «Ресурсы Microsoft Windows 2000 Server*.

Маршрутизаторы и широковещательный трафик Широковещательный трафик межсетевого уровня представляет собой широкове щательные кадры МАС-уровня со специальным межсетевым адресом, который ин формирует маршрутизатор о том, что соответствующие пакеты следует пересылать во все сети, кроме той, из которой они поступают. Маршрутизаторы — и отличие от мостов — но пересылают широковещательный трафик МАС-уровня. Для пере дачи широковещательного трафика межсетевого уровня маршрутизаторы требуют дополнительной настройки. В сети широковещательные кадры МАС-уровня рассы лаются каждому хосту. Для передачи такого трафика каждому хосту в межсетевой среде некоторые маршрутизируемые протоколы поддерживают широковещание межсетевого уровня (internetwork-level broadcasts).

Потенциальная опасность пересылки широковещательного трафика межсетевого уровня заключается в том, что существует возможность лавинообразного нараста ния широковещательного трафика в межсетевой среде, если какой-то хост работа ет некорректно и постоянно посылает один и тот же широковещательный пакет межсетевого уровня. Если маршрутизаторы пересылают такой трафик, все хосты в межсетевой среде вынуждены обрабатывать каждый широковещательный кадр, и в конечном счете работа всей межсетевой среды скорее всего просто парализуется.

Широковещание «NetBIOS поверх IPX» как раз и является широковещанием меж сетевого уровня. NetBIOS-приложения в межсетевой IPX-среде при регистрации, разрешении и освобождении имен используют широковещательные рассылки «NetBIOS поверх IPX*. IPX-маршрутизатор, получив широковещательный пакет «NetBIOS поверх IPX», отмечает сеть, из которой поступил этот пакет, в заголовке «NetBIOS поверх IPX». Таким образом, по мере прохождения пакета но межсете вой среде в этом заголовке регистрируется его маршрут.

Перед пересылкой IPX-маршрутизатор проверяет эту информации», чтобы не до пустить пересылку широковещательного пакета «NetBIOS поверх IPX» в сеть, ко торую он уже прошел. Это предотвращает зацикливание широковещательного па кета и лавинообразное нарастание широковещательного трафика. В качестве допол нительной меры предосторожности широковещательные пакеты «NetBIOS поверх IPX» могут распространяться только через восемь сетей с использованием макси мум семи маршрутизаторов. На восьмом маршрутизаторе пакет отбрасывается без уведомления хоста-отправителя. Подробнее о широковещании «NetBIOS поверх IPX» см. главу 5 «IPX-маршрутизация» и этой книге.

Примечание Путь в межсетевой IPX-среде аналогичным образом регистрируется в информации о маршрутизации на МАС-нодуровне (MAC-sublaycr routing infor mation) внутри кадра Explorer, связанного с маршрутизацией источника в Token Ring (Token Ring source routing Explorer frame). Однако в отличие от случая марш ГЛАВА 1 Обзор одноадресной маршрутизации рутизании источника Token Ring путь в межсетевой IPX-среде при последующей коммуникационной связи не используется — он применяется только для того, чтобы не допустить повторной пересылки широковещательного пакета в ту же IPX-сеть.

Туннелирование Туннелирование (tunneling), также известное как инкапсулирование (encapsu lation), — это способ использования межсетевой инфраструктуры одного протоко ла для передачи «полезной нагрузки» (т. е. собственно данных), которая, как пра вило, представляет собой кадры (или пакеты) другого протокола (рис. 1-8). Вместо отправки кадров по мере их генерации хостом-отправителем они инкапсулирую гея в пакет с дополнительным изголовком. Этот заголовок содержит информацию о маршрутизации, чтобы инкапсулированные данные могли быть переданы через про межуточную среду (также называемую транзитной). Далее пакеты проходят сшж путь между конечными точками тутшеля, сформированного в транзитной межсете вой среде. Как только пакеты е инкапсулированной полезной нагрузкой достигают точки назначения, из них извлекаются исходные кадры, которые и пересылаются конечному адресату.

Таким образом, Туннелирование — это процесс, включающий инкапсуляцию кад ров в пакеты, их передачу и восстановление исходных кадров. Логический путь пакетов с инкапсулированными кадрами по транзитной межсетевой среде называ ется туннелем.

Конечные точки туннеля Заголовок межсетевого транзита Транзитная межсетевая среда Полезные Полезные данные данные Туннель Туннелированные полезные данные Рис. 1-8. Туннелирование Транзитной может быть любая межсетевая ереда, например Интернет.

Ниже перечислены некоторые распространенные типы тупнелирования.

SNA Tunneling over IP Internetworks. Для передачи SNA-трафика (System Net work Architecture) через корпоративную межсетевую IP-среду SNA-кадр инкапсу лируется в пакет с заголовками UDP (User Datagram Protocol) и IP. Этот вариант известен под названием Data Link Switching (DLSw) и описан и RFC 1795.

IPX Tunneling for Novell NetWare. IPX-пакеты передаются Net Ware-серверу и in IPX-маршрутизатору, который включает в них UDP- и IP-заголовки, а затем посы лает полученные пакеты через межсетевую IP-среду. IP-маршрутизатор в сети на значения удаляет UDP- и IP-заголовки и пересылает пакеты конечному 1РХ-хосгу.

Point-to-Point Tunneling Protocol

Layer 2 Tunneling Protocol (L2TP). L2TP позволяет шифровать IP-, IPX- или NetBEUI-трафик, а затем передавать его по любой среде, которая поддерживает доставку дейтаграмм по типу «точка-точка», например по IP, Х.25, Frame Relay или ATM. Подробнее на эту тему см. главу 9 «Виртуальные частные сети» в этой книге, IP Security (IPSec) Tunnel Mode. IPSec Tunnel Mode позволяет шифровать по лезные данные IP, а затем инкапсулировать их в пакеты с IP-заголовком для пере дачи через корпоративную межсетевую IP-среду или открытые межсетевые среды типа Интернета. Подробнее об IPSec см. книгу «Сети TCP/IP» из серии «Ресурсы Microsoft Windows 2000 Server».

Примечание В Windows 2000 Server включена поддержка туннелирования только по РРТР, L2TP и IPSec.

Основы протоколов маршрутизации Динамические маршрутизаторы используют протоколы маршрутизации для взаи модействия друг с другом и динамическою обновления таблиц маршрутизации. Эти протоколы применяются между маршрутизаторами и создают в сети дополнитель ный трафик, который может стать важным фактором при планировании нагрузки на WAN-канал. RIP for IP, OSPF for [P, а также RIP for IPX и NLSP for IPX - все это протоколы маршрутизации. Некоторые из них, например RIP for IP (версии 1) и RIP for IPX, для обмена информацией о маршрутизации используют широкове щание МАС-уровня.

Важный элемент реализации протокола маршрутизации — его способность распоз навать сбои в межсетевой среде и восстанавливаться после них. Насколько быстро происходит восстановление после сбоя, зависит от типа сбоя, способа его распоз навания и метода распространения информации о маршрутизации в межсетевой среде.

Когда и таблицах маршрутизации на всех маршрутизаторах в межсетевой среде со держится корректная информация о маршрутах, межсетевая среда пребывает в ста бильном состоянии (достигнута конвергенция) и вее потоки данных идут по опти мальным маршрутам.

Когда какой-то канал связи или маршрутизатор выходит из строя, межсетевая сре да должна перенастроиться под новую топологию. Соответственно должна обно виться информация в таблицах маршрутизации. Пока межсетевая среда не достиг нет конвергенции, она будет находиться в нестабильном состоянии, при котором могут возникать петли маршрутизации и появляться черные дыры. Период, необ ходимый на восстановление стабильного состояния межсетевой среды, называется временем конвергенции (convergence time). Это время зависит от применяемого протокола и вида сбоя (отказ канала связи или отключение маршрутизатора).

Протоколы маршрутизации базируются па одной из двух технологий: векторе рас стояний (distance vector) или состоянии канала (link state). Протоколы, построен ные на этих двух технологиях, отличаются тем, как и когда происходит обмен ин формацией о маршрутизации, а также тем, насколько быстро может восстановить ся межсетевая среда после отключения канала связи или маршрутизатора.

ГЛАВА 1 Обзор одноадресной маршрутизации Вектор расстояний Маршрутизаторы, использующие протоколы маршрутизации на основе векторов расстояний (distance vector-based routing protocols), периодически оповещают друг друга о маршрутах, записанных в их таблицах маршрутизации. Информация, кото рой обычно обмениваются такие маршрутизаторы, не синхронизируется и не тре бует подтверждения о приеме. Некоторые протоколы маршрутизации на основе векторов расстояний перечислены в таблице 1-1.

Таблица 1-1. Протоколы маршрутизации на основе векторов расстояний Маршрутизируемый протокол Протокол маршрутизации на основе векторов расстояний IP RIP (Routing Information Protocol) IGRP (Interior Gateway Routing Protocol) IPX RIP AppIeTalk RTMP (Routing Table Maintenance Protocol) Преимущества протоколов маршрутизации на основе векторов расстояний • Простота реализации — такие протоколы не требуют сложных процессов опо вещения маршрутизаторов.

• Легкость настройки — в простейшем случае вся настройка протокола маршру тизации на основе векторов расстояний заключается лишь в том, что Вы разре шаете его применение на интерфейсах маршрутизатора.

Недостатки протоколов маршрутизации на основе векторов расстояний • Большой размер таблиц маршрутизации — в таблице маршрутизации может присутствовать несколько записей с маршрутами к одной и той же сети. В боль ших межсетевых средах со множеством путей в таблице маршрутизации могут оказаться сотни или даже тысячи записей.

• Большой объем дополнительного сетевого трафика — оповещение о маршрутах выполняется через регулярные интервалы времени, даже если топология меж сетевой среды остается неизменной.

• Невозможность масштабирования — из-за больших размеров таблиц маршрути зации и высоких издержек, связанных с дополнительным трафиком, протокол ы маршрутизации на основе векторов расстояний плохо работают в крупных и очень крупных межсетевых средах.

• Длительное время конвергенции — из-за отсутствия синхронизации и подтвер ждений о приеме передаваемой информации о маршрутизации конвергенция межсетевой среды занимает до нескольких минут, и в этот промежуток могут возникать петли маршрутизации и черные дыры.

Состояние канала Маршрутизаторы, использующие протоколы маршрутизации на основе состояния каналов (link state-based routing protocols), обмениваются объявлениями о состоя нии каналов связи для обновления своих таблиц;

маршрутизации. Такое объявле ние состоит из списка идентификаторов сетей, к которым подключен маршрутизл тор;

оно посылается маршрутизатором при запуске и при распознавании любых 18 ЧАСТЬ 1 Маршрутизация изменений в топологии межсетевой среды. Обновления состояния каналов переда ются как адресный или групповой трафик;

широковещание не применяется. Мар шрутизатор этого вида создает базу данных с объявлениями о состоянии каналов связи и использует ее для формирования таблицы маршрутизации. Информация о маршрутизации, которой обмениваются такие маршрутизаторы, синхронизируется и требует подтверждения о приеме. Некоторые протоколы маршрутизации на ос нове состояния каналов перечислены в таблице 1-2.

Таблица 1-2. Протоколы маршрутизации на основе состояния каналов Маршрутизируемый протокол Протокол маршрутизации на основе состояния каналов IP OSPF (Open Shortest Path First) IPX NLSP (NetWare Link Services Protocol) Преимущества протоколов маршрутизации на основе состояния каналов • Компактность таблиц маршрутизации — в них хранится лишь по одному опти мальному маршруту к каждой сети.

• Малый объем дополнительного сетевого трафика — маршрутизаторы не обме ниваются информацией, если межсетевая среда достигла конвергенции.

• Возможность масштабирования — из-за малых размеров таблиц маршрутизации и низких издержек, связанных с дополнительным трафиком, протоколы марш рутизации на основе состояния каналов хорошо работают в крупных и очень крупных межсетевых средах.

• Малое время конвергенции — протоколы маршрутизации на основе состояния каналов обеспечивают меньшее время конвергенции и практически исключают вероятность появления петель маршрутизации.

Недостатки протоколов маршрутизации на основе состояния каналов Сложность реализации — эти протоколы гораздо сложнее, чем протоколы мар ш шрутизации на основе векторов расстояний.

• Трудность настройки — применение протокола маршрутизации на основе состо яния канала требует дополнительного планирования и конфигурирования.

• Интенсивное использование вычислительных ресурсов — в очень больших меж сетевых средах база данных объявлений о состоянии каналов связи требует больших объемов памяти, а вычисления, связанные с записями таблицы марш рутизации, сильно нагружают процессор.

Инфраструктура маршрутизации Инфраструктура маршрутизации — это вся структура маршрутизируемой межсе тевой среды. При выборе маршрутизируемых протоколов и протоколов маршрути зации следует учитывать ряд важных свойств такой инфраструктуры, Одно- и многопутевая инфраструктуры маршрутизации Однопутевая инфраструктура маршрутизации (single-path routing infrastructure), в которой каждая из сетей в межсетевой среде связана одним маршрутом, позволяет упростить таблицы маршрутизации и пути передачи данных, но не обеспечивает Обзор одноадресной маршрутизации ГЛАВА 1 отказоустойчивости. Динамический маршрутизатор может распознать сбой в меж сетевой среде, но соответствующие сети останутся недоступными до тех пор, пока этот сбой не будет устранен. Успешная доставка пакетов в эти сети возможна лишь после того, как вышедший из строя канал связи или маршрутизатор будет возира щен в работоспособное состояние.

Многопутевая инфраструктура маршрутизации (nniltipath routing infrastructure), в которой каждая из сетей в межсетевой среде связана множеством маршрутов, об ладает высокой отказоустойчивостью при использовании динамической маршрути зации, а некоторые протоколы маршрутизации, например OSPF, могут распределять сетевой трафик по нескольким маршрутам с одинаковой метрикой. Однако много путевые межсетевые среды более сложны в конфигурировании, а вероятность иоз никповения в них петель маршрутизации в ходе конвергенции (при использовании протоколов маршрутизации на основе векторов расстояний) выше.

Плоская и иерархическая инфраструктуры маршрутизации В плоской инфраструктуре в таблице маршрутизации представлены все идентифи каторы сетей, и они не содержат идентификаторы подсетей. Межсетевые IPX-сре ды на основе RIP используют линейную адресацию и имеют плоскую инфраструк туру маршрутизации (flat routing infrastructure).

В иерархической инфраструктуре маршрутизации (hierarchical routing infrast ructure) группы идентификаторов сетей могут быть представлены единствен! шй записью в таблице маршрутизации за счет суммирования маршрутов (route summa rization). Идентификаторы сетей в такой инфраструктуре включают идентифика торы подсетей и вложенных подсетей (sub-subnet IDs). Запись в таблице маршру тизации для высшего уровня (сети) также является маршрутом, который исполь зуется для подсетей этой сети и вложенных в них подсетей. Иерархические инфра структуры маршрутизации упрощают таблицы маршрутизации и уменьшают объе мы информации, которой обмениваются маршрутизаторы, но требуют более тща тельного планирования. IP реализует иерархическую адресацию к сетям, и поэто му межсетевые IP-среды могут иметь иерархическую структуру маршрутизации.

При иерархической инфраструктуре маршрутизации межсетевая среда делится на домены маршрутизации (routing domains), также называемые регионами (regions) или областями (areas). Домен маршрутизации — набор смежных сетей, соединен ных маршрутизаторами, которые совместно используют одну и ту же информацию о маршрутах внутри этого домена. Домены маршрутизации объединяются общим доменом маршрутизации (common routing domain), также называемым магистралью (backbone). Внутридомснпая маршрутизация осуществляется маршрутизаторами, расположенными в данном домене, а междоменная — маршрутизаторами домена, подключенными к магистрали.

Автономные системы Очень большие межсетевые среды приходится делить на отдельные пространства, называемые автономными системами (autonomous systems, AS) (рис. 1-9). Автоном ная система — это часть межсетевой среды, находящаяся в ведении одного админи стративного центра. Этим центром может быть некое учреждение или корпорация;

однако он может быть определен с помощью одного из протоколов маршрутизации, например OSPF. Непрерывная часть межсетевой IP-среды, в которой для распрос Маршрутизация 20 ЧАСТЬ гранения информации о маршрутизации применяется OSPF, считается находящей ся в ведении административного центра OSPF (OSPF administrative authority) и, следовательно, является автономной системой OSPF. Автономная система в свою очередь может быть разделена на регионы (домены, области), определяющие иерар хическую структуру автономной системы.

Протоколы, используемые для распространения информации о маршрутизации внутри автономной системы, известны как протоколы внутренних шлюзов (Interior Gateway Protocols, IGP). а протоколы, применяемые для распространения инфор мации о маршрутизации между автономными системами, — как протоколы внешних шлюзов (Exterior Gateway Protocols, KGP).

IGP Рис. 1-9. Автономные системы с протоколами IGP и EGP IGP-протоколы IGP — это протоколы маршрутизации, применяемые внутри автономной системы.

По ним распространяется информация о маршрутах внутри автономной системы, имеющей плоскую или иерархическую структуру.

IGP-протоколы для межсетевых IP-сред:

• RIP for IP — стандартный IGP на основе векторов расстояний;

• OSPF — стандартный IGP на основе состояния каналов;

• IGRP (Interior Gateway Routing Protocol) — нестандартный IGP на основе век торов расстояний, разработанный компанией Cisco Systems, Inc.

EGP-протоколы EGP — это протоколы маршрутизации, применяемые между автономными систе мами. EGP определяют, как сети внутри автономной системы объявляют о себе за пределами этой системы. В плоской инфраструктуре маршрутизации может предо Обзор одноадресной маршрутизации ГЛАВА 1 ставляться список маршрутов к сетям, а в иерархической — список суммирован ных маршрутов к сетям. EGP независимы от IGP, применяемых внутри автоном ной системы. EGP упрощают обмен информацией о маршрутах между автономны ми системами, использующими различные IGP.

EGP-протоколы для межсетевых IP-сред:

• EGP (Exterior Gateway Protocol) — стандартный EGP, разработанный для ис пользования между автономными системами в Интернете. В Интернете болыие не применяется из-за отсутствия поддержки сложных многопутевых сред и CTDR (Classless Inter-Domain Routing);

• BGP (Border Gateway Protocol) — стандартный EGP, используемый между ав тономными системами в Интернете в настоящее время. В BGP устранены недо статки, присущие EGP.

Дополнительные материалы Более подробную информацию о маршрутизации см. в следующих книгах:

• Christian Huitema «Routing in the Internet», Englewood Cliffs, NJ: 1995, Prentice Ball;

Radia Perlman «Interconnections: Bridges and Routers», Reading, MA: 19':*2, • Ad dison-Wesley.

ГЛАВА Служба маршрутизации и удаленного доступа Windows 2000 включает службу маршрутизации и удаленного доступа, которая обеспечивает маршрутизацию по нескольким протоколам и удаленный доступ, а также предоставляет серверную часть поддержки виртуальных частных сетей для компьютеров под управлением Windows 2000 Server.

В этой главе Введение в службу маршрутизации и удаленного доступа Функциональность службы маршрутизации и удаленного доступа Архитектура службы маршрутизации и удаленного доступа Дополнительные средства, поставляемые со службой маршрутизации и удаленного доступа См. также • Об одноадресной IP-маршрутизации — главу 3 «Одноадресная IP-маршрутиза ция» и этой книге.

• О групповой IP-рассылке — главу 4 «Поддержка групповой IP-рассылки» в этой книге.

• Об IPX-маршрутизации — главу 5 «IPX-маршрутизация» в этой книге, • О соединении по требовании» — главу 6 «Маршрутизация с соединением по тре бованию* в этой книге.

• Об удаленном доступе — главу 7 «Сервер удаленного доступа» в этой книге.

• О поддержке виртуальных частных сетей — главу 9 «Виртуальные частные сети» в этой книге.

Служба маршрутизации и удаленного доступа ГЛАВА Введение в службу маршрутизации и удаленного доступа Впервые поддержка маршрутизации по нескольким протоколам для операционных систем семейства Windows NT была введена в Microsoft® Windows NT® 3.51 Service Pack 2, который включал компоненты для RIP for IP, RIP for IPX и SAP for IPX. В Windows NT 4.0 эти компоненты тоже присутствовали. В июне 1996 года Microsoft выпустила для Windows NT 4.0 службу маршрутизации и удаленного доступа (Flou ting and Remote Access Service, RRAS) — компонент, заменивший службу удален ного доступа (Remote Access Service) Windows NT 4.0, а также сервисы RIP for IP, RIP for IPX и SAP for IPX.

RRAS для Windows NT 4.0 поддерживала:

• протокол маршрутизации RIP for IP версии 2;

• протокол маршрутизации OSPF for IP;

• маршрутизацию с соединением по требованию (demand-dial routing) по посто янным (persistent) либо подключаемым по требованию (on-demand) WAN-кана лам (например, по аналоговым телефонным линиям и ISDN) или с применени ем РРТР (Point-to-point Tunneling Protocol);

• обнаружение маршрутизатора средствами 1СМР (ICMP Router Discovery);

• клиент RADIUS (Remote Authentication Dial-In User Service);

• фильтрацию IP- и IPX-пакетов;

• РРТР для VPN-соединений между маршрутизаторами;

• административную программу с графическим пользовательским интерфейсом (Routing and RAS Admin) и утилиту командной строки (Routemon).

Служба маршрутизации и удаленного доступа в Windows Служба маршрутизации и удаленного доступа в Windows 2000 Server — это даль нейшее развитие многопротокольных служб маршрутизации и удаленного доступа для платформы Windows. Вот некоторые из новых средств и возможностей этой службы:

• поддержка 1GMP (Internet Group Management Protocol) и ограничителей rpvn новой рассылки (multicast boundaries);

• трансляция сетевых адресов, упрощающая соединение сети малого или домаш него офиса с Интернетом;

• маршрутизация Integrated AppleTalk;

• поддержка L2TP (Layer Two Tunneling Protocol) поверх IPSec (IP-безопасность) для VPN-соединений между маршрутизаторами;

• более совершенные средства администрирования и управления — компонент Routing and Remote Access (Маршрутизация и удаленный доступ), который яв ляется оснасткой Microsoft Management Console (MMC) (Консоль управления Microsoft), и Netsh, утилита командной строки.

Функциональность службы маршрутизации и удаленного доступа позволяет ком пьютеру под управлением Windows 2000 Server выступать в нескольких ролях.

Маршрутизация 24 ЧАСТЬ • Многопротокольный маршрутизатор (multiprotocol router). Компьютер со службой маршрутизации и удаленного доступа может пересылать IP-, IPX- и AppleTalk-пакеты одновременно. Все маршрутизируемые протоколы и протоко лы маршрутизации настраиваются с помощью одной оснастки (Routing and Remote Access).

• Маршрутизатор с поддержкой соединения по требованию (demand-dial rou ter). Компьютер со службой маршрутизации и удаленного доступа может пе ресылать IP- и IPX-пакеты по постоянным или подключаемым но требованию WAN-каналам (например, по аналоговым телефонным линиям и ISDN) либо по VPN-соединениям с использованием РРТР или L2TP поверх IPSec.

• Сервер удаленного доступа (remote access server). Компьютер со службой маршрутизации и удаленного доступа может функционировать как сервер уда ленного доступа к сети для клиентов, соединяющихся по коммутируемым ли ниям (dial-up clients), или для VPN-клиентов с использованием IP, IPX, Apple Talk или NetBEUI.

Сочетание сервисов маршрутизации и удаленного доступа на одном компьютере позволяет превратить его в маршрутизатор удаленного доступа (remote access router).

Преимущество службы маршрутизации и удаленного доступа — ее тесная интегра ция с операционной системой Windows 2000 Server. Эта служба работает на широ ком спектре аппаратных платформ и с сотнями моделей сетевых адаптеров;

в ре зультате Вы получаете более экономичное решение, чем при использовании выде ленных маршрутизаторов или серверов удаленного доступа среднего ценового уровня.

Служба маршрутизации и удаленного доступа предусматривает возможность рас ширения за счет поддержки нескольких API, с помощью которых сторонние разра ботчики могут создавать собственные сетевые решения.

Объединение маршрутизации и удаленного доступа Зачем понадобилось объединять маршрутизацию и удаленный доступ в одну служ бу? В первоначальной версии Windows NT 4.0 обе службы работали отдельно.

Причина объединения двух служб связана с РРР (Point-to-Point Protocol) — набо ром протоколов, часто применяемых при установлении соединений типа «точка точка» для клиентов удаленного доступа. РРР обеспечивает согласование парамет ров канала, обмен аутентификационными удостоверениями и согласование прото кола сетевого уровня. Например, когда Вы уста![аиливаете связь с провайдером ус луг Интернета (Internet Service Provider, ISP) no телефонной линии, используя РРР, Ваш модем договаривается о размере посылаемых им пакетов и о том, как они разбиваются на кадры (этап согласования канала);

далее Вы вводите свое имя и пароль (этап аутентификации) и, наконец, получаете IP-адрес (этап согласования сетевого уровня).

При маршрутизации с соединением по требованию РРР используется в тех же це лях, что и при удаленном доступе (согласование канала, аутентификация и согла сование сетевого уровня). Таким образом, интеграция маршрутизации (которая включает маршрутизацию с соединением но требованию) и удаленного доступа позволила задействовать клиент-серверную инфраструктуру РРР, уже существовав шую для компонентов поддержки удаленного доступа.

Служба маршрутизации и удаленного доступа ГЛАВА Инфраструктура РРР в Windows 2000 Server включает поддержку:

• удаленного доступа по коммутируемым линиям (например, по аналоговым те лефонным линиям и ISDN) в качестве либо клиента, либо сервера;

• удаленного VPN-доступа (удаленного доступа через VPN-соединения с исполь зованием РРТР или L2TP поверх IPSec) в качестве либо клиента, либо сервера;

• маршрутизации с соединением по требованию по коммутируемым линиям (на пример, по аналоговым телефонным линиям и ISDN) в качестве либо вызываю щего, либо отвечающего маршрутизатора;

• маршрутизации с соединением по требованию через VPN-соединения (с исполь зованием РРТР или L2TP поверх IPSec) в качестве либо вызывающего, либо отвечающего маршрутизатора, Аутентификация и авторизация Знание различий между аутентификацией и авторизацией очень важно для пони мания того, как принимается или отклоняется запрос на соединение.

• Аутентификация (authentication) — проверка удостоверений при запросе на соединение. Этот процесс включает передачу удостоверений (credentials) от кли ента удаленного доступа серверу удаленного доступа в незашифрованном или шифрованном виде с применением какого-либо протокола аутентификации.

• Авторизация (authorization) — проверка нрав на установление соединения. Ав торизация происходит после успешной аутентификации.

Запрос на соединение принимается только после успешной аутентификации и ав торизации. Возможна ситуация, R которой запрос на соединение успешно аутен ги фицируется благодаря наличию правильных удостоверений, по не проходит авто ризацию. В таком случае запрос на соединение отклоняется.

Если сервер удаленного доступа сконфигурирован на аутентификации» через Win dows, удостоверения и параметры удаленного соединения по данной пользователь ской учетной записи проверяет система защиты Windows 2000, а авторизация со единения реализуется за счет локально хранящихся правил политики удаленного доступа- Если запрос на соединение проходит и аутентификацию, и авторизацию, он принимается, и соединение устанавливается.

Если сервер удаленного доступа сконфигурирован на аутентификацию через RADIUS, удостоверения передаются на сервер RADIUS для аутентификации и ав торизации. Если запрос на соединение проходит аутентификацию и авторизацию, сервер RADIUS посылает серверу удаленного доступа сообщение о приеме запро са, и соединение устанавливается. Если запрос на соединение не проходит аутен тификацию или авторизацию, сервер RADIUS посылает серверу удаленного досту па сообщение об отказе, и запрос на соединение отклоняется.

Если сервер RADIUS представляет собой компьютер под управлением W i n dows 2000 Server и Internet Authentication Service (IAS) (Служба проверки подлин ности в Интернете), аутентификация выполняется сервером IAS через систему за щиты Windows 2000, а авторизация — за счет проверки параметров удаленного со единения по данной пользовательской учетной записи и правил политики удален ного доступа, хранящихся на сервере IAS.

Маршрутизация 26 ЧАСТЬ Настройка компонента аутентификации службы маршрутизации и удаленного до ступа осуществляется через вкладку Security (Безопасность) окна свойств марш рутизатора удаленного доступа, открываемого из оснастки Routing and Remote Access (Маршрутизация и удаленный доступ), либо командами netsh ras aaaa set authentication и netsh ras aaaa set authserver.

Учет Службу маршрутизации и удаленного доступа можно настроить на регистрацию учетной информации в следующих местах.

• В локально хранящихся файлах журнала при настройке на учет средствами Windows. Конкретное место хранения информации указывается в свойствах пап ки Remote Access Logging (Ведение журнала удаленного доступа) в окне оснас тки Routing and Remote Access (Маршрутизация и удаленный доступ), • На сервере RADIUS при настройке на учет средствами RADIUS. Если сервер RADIUS является сервером IAS, файлы журнала хранятся на сервере IAS. Кон кретное место хранения информации указывается в свойствах папки Remote Access Logging (Ведение журнала удаленного доступа) в окне оснастки Internet Authentication Service (Служба проверки подлинности в Интернете), Настройка компонента учета службы маршрутизации и удаленного доступа осуще ствляется через вкладку Security (Безопасность) окна свойств маршрутизатора уда ленного доступа, открываемого из оснастки Routing and Remote Access, либо ко мандами netsh ras aaaa set accounting и netsh ras aaaa set acctserver.

Установка и конфигурирование В отличие от RRAS для Windows NT -1.0 и большинства сетевых служб Win dows 2000 службу маршрутизации и удаленного доступа нельзя установить или удалить через апплет Add/Remove Programs (Установка и удаление программ) в Control Panel (Панель управления). Эта служба автоматически устанавливается в отключенном состоянии.

^ Чтобы включить и настроить службу маршрутизации и удаленного доступа:

1. Запустите компонент Routing and Remote Access (Маршрутизация и удален ный доступ) из папки Administrative Tools (Администрирование).

2. В случае локального компьютера щелкните значок сервера правой кнопкой мыши и выберите команду Configure and Enable Routing and Remote Access (Настроить и включить маршрутизацию и удаленный доступ).

В случае удаленного компьютера щелкните правой кнопкой мыши значок Server Status (Состояние сервера) и выберите команду Add Server (Добавление сер вера). В диалоговых окнах Add Server (Добавление сервера) выберите сервер, который Вы хотите добавить.

3. Для настройки маршрутизатора удаленного доступа воспользуйтесь Routing and Remote Access Server Setup Wizard (Мастер настройки сервера маршрутизации и удаленного доступа) и укажите требуемые параметры.

Эта процедура позволяет включить маршрутизатор удаленного доступа и настро ить его в соответствии с параметрами, выбранными в мастере. Для дополнитель Служба маршрутизации и удаленного доступа ГЛАВА ной настройки используйте оснастку Routing and Remote Access (Маршрутизация и удаленный доступ).

Изменение конфигурации Удалить службу маршрутизации и удаленного доступа через апплет Add/Remove Programs (Установка и удаление программ) в Control Panel (Панель управления) нельзя, но Вы можете обновить конфигурацию, отключив эту службу, а затем из менив ее конфигурацию. Отключение данной службы влечет за собой удаление из реестра всех параметров, относящихся к маршрутизации и удаленному доступу ^ Чтобы изменить конфигурацию службы маршрутизации и удаленного доступа:

1. Запустите компонент Routing and Remote Access (Маршрутизация и удален ный доступ) из папки Administrative Tools (Администрирование).

2. Для нужного компьютера щелкните значок сервера правой кнопкой мыши и выберите команду Disable Routing and Remote Access (Отключить маршрути зацию и удаленный доступ).

3. Когда появится окно с предупреждением, выберите Yes (Да).

4. Для создания новой конфигурации службы маршрутизации и удаленного дос тупа используйте процедуру включения и настройки этой службы, описанную в предыдущем разделе.

Примечание Если Вы отключите службу маршрутизации и удаленного доступа, все параметры ее текущей конфигурации, в том числе конфигурации протоколов мар шрутизации и интерфейсов соединения по требованию (demand-dial interfaces), будут удалены из реестра, а все подключенные в данный момент клиенты — отсо единены.

Функциональность службы маршрутизации и удаленного доступа Служба маршрутизации и удаленного доступа в Windows 2000 включает обширную функциональность для одно- и многоадресной IP-маршрутизации, IPX- и Apple Talk-маршрутизации, удаленного доступа и поддержки VPN.

Поддержка Unicast IP Состоит из следующих функций и компонентов.

• Статическая IP-маршрутизация. Эта встроенная функция TCP/IP в W i n dows 2000 позволяет управлять статическими маршрутами через оснастку Rou ting and Remote Access, не используя утилиту Route.

• RIP (Routing Information Protocol) версий 1 и 2. Протокол маршрутизации на основе векторов расстояний, часто применяемый в малых и средних межсе тевых IP-средах.

• OSPF (Open Shortest Path First). Протокол маршрутизации на основе состо яния каналов, обычно применяемый в больших межсетевых IP-средах.

Маршрутизация 28 ЧАСТЬ • DHCP Relay Agent (Агент ретрансляции DHCP). Агент, ретранслирующий сообщения DHCP (Dynamic Host Configuration Protocol) между DHCP-клиен тами и DHCP-серверами, которые находятся в разных сегментах сети.

• Транслятор сетевых адресов. Этот компонент обеспечивает трансляцию сете вых адресов при подключении к Интернету сетей, в которых используются час тные адреса.

• Фильтрация IP-пакетов. Функция, позволяющая указывать, какой трафик принимается и передается по каждому интерфейсу Критерии фильтрации вклю чают IP-адреса отправителя и получателя, номера TCP- и UDP-портов, типы и коды ICMP и номера протоколов IP.

• Обнаружение маршрутизаторов средствами ICMP. Функция, которая перио дически оповещает об имеющихся маршрутизаторах и отвечает на запросы хос тов для поддержки обнаружения маршрутизаторов хостами в сегменте сети с использованием средств 1СМР.

Подробнее о поддержке одноадресной IP-маршрутизации см. главу 3 «Одноадрес ная IP-маршрутизация» в этой книге.

Поддержка IP Multicast Состоит из следующих функций и компонентов.

• Пересылка группового трафика (multicast forwarding). Эта встроенная фун кция TCP/IP в Windows 2000 позволяет просматривать таблицу пересылки группового трафика (inulticasl forwarding table) с помощью оснастки Routing and Remote Access.

• IGMP (Internet Group Management Protocol) версий 1 и 2. Протокол из на бора TCP/IP для учета членства в группах рассылки в подключенных сегмен тах сети.

• Поддержка пересылки и маршрутизации ограниченного группового трафика.

Когда Вы используете протокол маршрутизации IGMP и настраиваете интер фейсы для режимов IGMP-маршрутизатора (IGMP router mode) и IGMP-про кси (IGMP proxy mode), маршрутизатор под управлением Windows 2000 может пересылать и маршрутизировать групповой трафик только для специфических конфигураций.

• Поддержка ограничителей групповой рассылки. Ограничители групповой рассылки (multicast boundaries) (барьеры, ограничивающие пересылку группо вого IP-трафика) можно определять на основе адреса группы IP-рассылки, зна чения поля TTL (Time-To-Live) в IP-заголовке или максимального объема груп пового трафика (в Кб/с).

Подробнее о поддержке групповой IP-рассылки см. главу 4 «Поддержка групповой IP-рассылки» в этой книге.

Поддержка IPX Состоит из следующих функций и компонентов, • Фильтрация IPX-пакетов. Функция, позволяющая указывать, какой трафик принимается и передается по каждому интерфейсу Критерии фильтрации вклю чают IPX-адреса отправителя и получателя, узел, номера сокетов и тип пакетов.

Служба маршрутизации и удаленного доступа ГЛАВА • RIP for IPX. Протокол маршрутизации на основе векторов расстояний, часто применяемый в межсетевых IPX-средах. Служба маршрутизации и удаленного доступа позволяет настраивать статические IPX-маршруты и фильтры маршру тов RIP (RIP route filters).

SAP for IPX. SAP (Service Advertising Protocol) — протокол маршрутизации • на основе векторов расстояний, обычно применяемый в межсетевых IPX-средах для оповещения о сервисах и их местонахождении. Служба маршрутизации и удаленного доступа позволяет настраивать статические SAP-сервисы и фильт ры SAP-сервисов (SAP service filters).

• NetBIOS поверх IPX. NetBIOS поверх IPX используется сетевыми компонен тами Microsoft для поддержки компонентов доступа к файлам и принтерам в IPX-сетях. Служба маршрутизации и удаленного доступа позволяет пересылать широковещательные пакеты «NetBIOS поверх IPX» и настраивать статические NetBIOS-имена.

Подробнее о поддержке IPX-маршрутизации см. главу 5 «IPX-маршрутизация» и этой книге.

AppleTalk AppleTalk подержи нает пересылку Apple Talk-пакетов как маршрутизатор AppleTalk и использование протокола RTMP (Routing Table Maintenance Protocol). Подроб нее о маршрутизации AppleTalk см. главу 13 «Services for Macintosh» в этой книге.

Маршрутизация с соединением по требованию IP- и IPX-трафик можно пересылать через интерфейсы с соединением по требова нию (demand-dial interfaces) по постоянным или подключаемым по требованию WAN-каналам, Для соединений по требованию служба маршрутизации и удален ного доступа автоматически создает РРР-соединение со сконфигурированной ко нечной точкой при получении трафика, соответствующего статическому маршруту (см. главу 6 «Маршрутизация с соединением по требованию» в этой книге).

Удаленный доступ Служба маршрутизации и удаленного доступа позволяет превратить компьютер в сервер удаленного доступа, принимающий запросы на соединение от клиентов уда ленного доступа, использующих традиционные технологии связи по коммутируе мым линиям, например по аналоговым телефонным линиям или ISDN.

Более подробную информацию см. в главе 7 «Сервер удаленного доступа» в этой книге.

VPN-сервер Служба маршрутизации и удаленного доступа дает возможность превратить ком пьютер в сервер виртуальной частной сети (virtual private network, VPN), который поддерживает как РРТР, так и L2TP поверх IPSec, и принимает запросы на VPN соединения от клиентов удаленного доступа и вызывающих маршрутизаторов.

Более подробную информацию см. в главе 9 «Виртуальные частные сети» в этой книге.

Маршрутизация 30 ЧАСТЬ Клиент RADIUS Службу маршрутизации и удаленного доступа можно настроить в качестве клиен та RADIUS (Remote Authentication Dial-In User Service) для аутентификации, ав торизации и веления учета. Параметры всех запросов на РРР-соединения посыла ются сконфигурированному серверу RADIUS для аутентификации и авторизации.

Информация о соединениях передается на сконфигурированный сервер RADIUS для учета.

Windows 2000 также включает Internet Authentication Service (IAS) (Служба про верки подлинности в Интернете), которая представляет собой реализацию сервера RADIUS. Более подробную информацию см. в главе 8 «Служба проверки подлин ности в Интернете» в этой книге.

Поддержка SNMP MIB Windows 2000 и служба маршрутизации и удаленного доступа обеспечивают функ циональность агента SNMP (Simple Network Management Protocol) версии 1 с под держкой Internet MIB II в соответствии с RFC 1213. Для управления маршрутиза тором удаленного доступа Windows 2000 можно использовать станции SNMP-yn равления (SNMP management stations). Кроме поддержки Internet MIB II. служба маршрутизации и удаленного доступа предоставляет динамически подключаемые библиотеки (DLL) MIB для:

• IP Forwarding Table MIB — объекты в IP Forwarding Table MIB документирова ны в RFC 1354 «IP Forwarding Table MIB»;

• Microsoft RIP 2 for Internet Protocol МГВ;

• Wel1fleet>Series7-MIB for OSPF;

• Microsoft BOOTP for Internet Protocol MIB;

• Microsoft IPX MIB;

• Microsoft RIP and SAP for IPX MIB;

• Internet Group Management Protocol MIB - объекты в Internet Group Mana gement Protocol MIB документированы в Интернет-проекте «Internet Group Management Protocol MIB»;

• IP Multicast Routing MIB — объекты в IP Multicast Routing MIB документиро ваны в Интернет-проекте «IP Multicast Routing MIB».

Всесторонняя поддержка LAN и WAN Служба маршрутизации и удаленного доступа может работать с любыми сетевыми адаптерами, которые поддерживаются Windows 2000 Server, в том числе с WAN платами от компаний Eicon, Cisco, SysKonnect, Allied и US Robotics. Подробнее о поддерживаемых сетевых адаптерах см. ссылку Windows 2000 Hardware Compa tibility на http://window5.microsoft.com/windows2000/reskit/webresources.

Утилиты командной строки и с графическим интерфейсом Служба маршрутизации и удаленного доступа включает оснастку Routing and Remote Access (Маршрутизация и удаленный доступ) — административную утили ту Windows 2000, которая позволяет легко просматривать и настраивать локальные или удаленные маршрутизаторы удаленного доступа под управлением W i n Служба маршрутизации и удаленного доступа ГЛАВА clows 2000, — а также Netsh.exe, утилиту командной строки, способную выполнять сценарии локальной автоматизированной настройки. Более подробную информа цию см. в разделе «Дополнительные средства, поставляемые со службой маршру тизации и удаленного доступа» далее в этой главе.

API-поддержка для компонентов сторонних поставщиков Служба маршрутизации и удаленного доступа предоставляет полностью открытые наборы API для поддержки одно- и многоадресных протоколов маршрутизации, а также для создания административных утилит. Разработчики могут создавать до полнительные протоколы маршрутизации и напрямую включать их в архитектуру службы маршрутизации и удаленного доступа. Кроме того, используя API-функ ции управления службы маршрутизации и удаленного доступа, можно разрабаты вать дополнительные утилиты управления.

Архитектура службы маршрутизации и удаленного доступа Архитектура службы маршрутизации и удаленного доступа показана па рис. 2-1.

Агент Управляющие SNMP. приложения.. API-функции маршрутизации API-функции Протоколы г Диспетчер динамических Протокбяы управления одноадресной интерфейсов многоадресной маршрутизации IP IPX Диспетчер соединений Router Вшйг {протоколы ДАЛА Manager Manager управления РРР) Route Table Mtdlicast Group Manager, Manager TAPI • " : | Пользовательский режим | Компонент Компонент Компонент пересылки пересылки IPX IP- пересылки одноадресного фильтрация группового фишрация IPX-трафика iP-трафика IP-трафика Оболочка NDIS Оболочка NDIS WAN Miniport TR €thernet FDDI | "AsyneJ Х. ШР ISDN РРТР [frame Relay ATM X.25... | Рис. 2-1. Архитектура службы маршрутизации и удаленного доступа Примечание Компонент Network Address Translation (NAT) службы маршрутизации и удаленного доступа на рис. 2-1 не показан. NAT не является протоколом марш рутизации. Подробнее о том, как компонент NAT взаимодействует с другими ком Маршрутизация 32 ЧАСТЬ шшентами службы маршрутизации и удаленного доступа, а также с TCP/IP, см.

главу 3 «Одноадресная IP-маршрутизация» в этой книге.

Агент SNMP Служба маршрутизации и удаленного доступа в Windows 2000 поддерживает SNMP (Simple Network Management Protocol) MIB (Management Information Bases), опи санные в разделе «Функциональность службы маршрутизации и удаленного дос тупа» ранее в этой главе.

Управляющие приложения К управляющим приложениям для службы маршрутизации и удаленного доступа относятся оснастка Routing and Remote Access (Маршрутизация и удаленный дос туп), доступная из нанки Administrative Tools (Администрирование), и Netsh, ути лита командной строки.

АААА Набор компонентов, обеспечивающих аутентификацию, авторизацию, аудит и учет (authentication, authorization, auditing, accounting — АААА) для службы маршрути зации и удаленного доступа, если она настроена на аутентификацию и учет через Windows. Если же эта служба сконфигурирована на аутентификацию и учет через RADIUS, локальные компоненты АААА не используются.

Компоненты АААА также применяются службой IAS.

DIM (Mprdlm.dll) Диспетчер динамических интерфейсов (dynamic interface manager, DIM) — это ком понент, который:

• поддерживает RFC-интерфейс для функций управления на основе SNMP, ис пользуемых такими утилитами управления, как оснастка Routing and Remote Access;

• загружает конфигурационную информацию из реестра Windows 2000;

• взаимодействует с диспетчером соединений (Connection Manager) при исполь зовании соединений, устанавливаемых но требованию (demand-dial connections);

• передает конфигурационную информацию диспетчерам маршрутизаторов (rou ter managers) (например, IP Router Manager и IPX Router Manager);

• управляет всеми интерфейсами маршрутизации.

Диспетчер соединений Набор компонентов, который:

• управляет WAN -устройствами;

• устанавливает соединения с использованием TAPI;

• обеспечивает согласование управляющих протоколов РРР, в том числе ЕАР (Extensible Authentication Protocol);

• реализует Multilink (поддержку многоканальных соединений) и ВАР (Band width Allocation Protocol).

Служба маршрутизации и удаленного доступа ГЛАВА TAPI TAPI (Telephony Application Programming Interface), также называемый Telephony API, предоставляет аппаратно-незаштсимые сервисы для установления, мониторин га и завершения соединений. Диспетчер соединений использует TAPI для создания или приема соединений, устанавливаемых но требованию. Подробнее о TAPI см.

главу 15 «Интеграция телефонии и поддержка конференций» в этой книге.

IP Router Manager (lprtmgr.dll) Компонент, который:

• получает конфигурационную информацию от DIM;

• сообщает о конфигурации фильтрации IP-пакетов драйверу IP-фильтрации;

• сообщает конфигурационную информацию об IP-маршрутизации компоненту пересылки IP-трафика (IP forwarder) в TCP/IP;

• поддерживает базу данных по всем интерфейсам ТР-маршрутизации;

• загружает конфигурационную информацию и передает ее протоколам 1Р-ма]ип рутизации (например, RIP for IP и OSPF, поставляемым с Windows 2000);

• взаимодействуя с DIM, инициирует устанавливаемые по требованию соедине ния в интересах протоколов маршрутизации.

IPX Router Manager (lpxrtmgr.dll) Компонент, который:

• получает конфигурационную информацию от DIM;

• сообщает о конфигурации фильтрации IPX-пакетов драйверу IPX-фильтраш-ш;

• сообщает конфигурационную информацию об 1РХ-маршрути;

(ации драйверу компонента пересылки IPX-трафика (IPX forwarder driver);

• поддерживает базу данных по всем интерфейсам ТРХ-мартпрутизации;

• загружает конфигурационную информацию и передает ее протоколам IPX-мар шрутизации (например, RIP for IPX, SAP for IPX);

• взаимодействуя с DIM, инициирует устанавливаемые по требованию соедине ния в интересах протоколов маршрутизации.

Протоколы одноадресной маршрутизации Служба маршрутизации и удаленного доступа предоставляет следующие протоко лы одноадресной маршрутизации.

RIP lor IP (Iprip2.dll) Компонент, который:

• сообщает Route Table Manager полученные маршруты RIP for IP (RIP for IP learned routes);

• использует Windows Sockets для передачи и приема трафика RIP for IP;

• экспортирует API-функции управления для поддержки М1В и управляющих приложений через IP Router Manager.

Маршрутизация 34 ЧАСТЬ OSPF (Ospf.dll) Компонент, который:

• сообщает Route Table Manager полученные маршруты OSPF;

• использует Windows Sockets для передачи и приема трафика OSPF;

• экспортирует API-функции управления для поддержки MIB и управляющих приложений через IP Router Manager.

RIP for IPX (lpxrip.dll} Компонент, который:

• сообщает Route Table Manager полученные маршруты RIP for IPX;

• использует Windows Sockets для передачи и приема трафика RIP for IPX;

• экспортирует API-функции управления для поддержки MIB и управляющих приложений через IPX Router Manager.

SAP lor IPX (lpxsap.dll) Компонент, который:

• сообщает Route Table Manager полученные сервисы SAP for IPX (SAP for IPX learned services);

• использует Windows Sockets для передачи и приема трафика SAP for IPX;

• экспортирует API-функции управления для поддержки MIB и управляющих приложений через IPX Router Manager.

Протоколы групповой IP-рассылки Служба маршрутизации и удаленного доступа предоставляет следующий протокол групповой IP-рассылки (IP multicast protocol).

IGMP версий 1 и Компонент, который:

• сообщает Multicast Group Manager информацию о членстве в группах рассылки (multicast group membership);

• использует Windows Sockets для передачи и приема трафика IGMP;

• экспортирует API-функции управления для поддержки М1В и управляющих приложений через Multicast Group Manager.

Route Table Manager (Rtm.dll) Компонент, который:

• поддерживает таблицу маршрутов пользовательского режима (user mode route table) для всех маршрутизируемых протоколов (IP и IPX). Эта таблица вклю чает все маршруты из всех возможных источников маршрутов;

• предоставляет API-функции для добавления, удаления и перечисления марш рутов, используемых протоколами маршрутизации;

• обеспечивает устаревание полученных маршрутов;

• сообщает только самые эффективные маршруты соответствующему драйверу компонента пересылки. Самыми эффективными являются маршруты с наимень Служба маршрутизации и удаленного доступа ГЛАВА шим уровнем предпочтения (lowest preference level) (в случае IP-маршрутов) и наименьшими метриками. Такие маршруты записываются в таблицы IP- и IPX псрссылки.

Multicast Group Manager Компонент, который:

• поддерживает членство во всех группах рассылки;

• сообщает записи пересылки группового трафика (multicast forwarding entries, MFE) в компоненте пересылки группового 1Р-трафика;

• отражает членство в группах на все протоколы многоадресной IP-маршрути ta ции.

Драйвер IP-фильтрации (Ipfltdrv.sys) Компонент, который:

• получает конфигурационную информацию от ТР Router Manager;

• применяет IP-фильтры после того, как компонент пересылки IP-трафика нахо дит какой-либо маршрут.

Компонент пересылки одноадресного IP-трафика Компонент TCP/IP (Tcpip.sys), который:

• получает конфигурационную информацию от IP Router Manager;

• хранит таблицу IP-пересылки — таблицу е наиболее эффективными маршрута ми, полученными от Route Table Manager;

• может инициировать соединения, устанавливаемые по требованию;

• пересылает одноадресный 1Р-трафик.

Компонент пересылки группового IP-трафика Компонент TCP/IP (Tcpip.sys), который:

• хранит записи пересылки группового трафика (MFE), полученные от протоко лов многоадресной 1Р-маршрути;

1ации через Multicast Group Manager;

• на основе принимаемого многоадресного трафика сообщает Multicast. Group Manager новую информацию в виде [источник, группа];

• пересылает пакеты групповой IP-рассылки.

Драйвер IPX-фильтрации (Nwlnkfltsys) Компонент, который:

• получает конфигурационную информацию от IPX Router Manager;

• применяет IPX-фильтры после того, как драйвер компонента пересылки IPX трафика находит какой-либо маршрут.

Драйвер компонента пересылки IPX-трафика (Nwlnkfwd.sys) Компонент, который:

• получает конфигурационную информацию от IPX Router Manager;

Маршрутизация 36 ЧАСТЬ • хранит таблицу IPX-пересылки — таблицу с наиболее эффективными маршру тами, полученными от Route Table Manager;

• может инициировать соединения, устанавливаемые по требовании);

• пересылает IPX-трафик, Компоненты и процессы поддержки одноадресной IP-маршрутизации Компоненты одноадресной IP-маршрутизации службы маршрутизации и удаленно го доступа представлены на рис. 2-2.

В следующих подразделах типичные процессы одноадресной IP-маршрутизации рассматриваются в терминах соответствующих компонентов службы маршрутиза ции и удаленного доступа, Оснастка Routing Команда and Metsh Remote Access нп-функции маршрутизации...

API-функции Диспетчер управления 05Й динамических интерфейсов Диспетчер соединений (протоколы Route Tabte управления РРР) Manager TAPI Попьзоватвльский режим Режим ядра TCFVfP Компонент пересылки |Р-фш1ьтрация одноадресного S 1Р-траф«ка NDIS Оболочка NDIS т Ethernet Оболочка NDIS WAN Miniport FDOI j L2TP ! PPTP I] ftsync j X.25 ISDN j Frame Relay 1 ATM X.21.. | Рис. 2-2. Одноадресная IP-маршрутизация и служба маршрутизации и удаленного доступа Входящий-исходящий пакет (транзитный трафик) Входящий пакет сначала передается компоненту пересылки IP-трафика (IP for warder), который находит маршрут, а затем передает пакет драйверу IP-фильтра ции для проверки входными и выходными фильтрами. Если входные фильтры раз решают прием пакета, а выходные — его пересылку, пакет возвращается драйверу компонента пересилки IP-трафика, который пересылает его по подходящему ин Служба маршрутизации и удаленного доступа ГЛАВА 2 тсрфейсу, используя NDIS (Network Driver Interlace Specification). Если входные или выходные фильтры не разрешают пересылку пакета, он «молча» отбрасывает ся. Если маршрут не найден, источнику пакета возвращается ICMP-сообщение Destination Unreachable/Host Unreachable. (Описание ICMP-сообщений см. в кни ге «Сети TCP/IP» из серии «Ресурсы Microsoft Windows 2000 Server».) Входящий пакет (локальный трафик хоста) Входящий пакет сначала передается компоненту пересылки ТР-трафика, который отмечает, что данный пакет не подлежит маршрутизации (IP-адрес получателя со ответствует адресу широковещательной рассылки, либо получателем является мар шрутизатор). Тогда компонент пересылки IP-трафика передает этот пакет драйве ру IP-фильтрации для проверки входными фильтрами. Если входные фильтры раз решают прием пакета, он передается драйверу TCP/IP, который обрабатывает этот пакет. Если входные фильтры не разрешают прием пакета, он «молча» отбрасы вается.

Исходящий пакет (локальный трафик хоста) Исходящий TCP/IP-пакет передается драйвером TCP/IP драйверу IP-фильтрации, который проверяет его выходными фильтрами. Если выходные фильтры разреша ют передачу пакета, он направляется компоненту пересылки IP-трафика, который посылает его по наиболее эффективному маршруту через подходящий интерфейс, используя NDIS. Если выходные фильтры не разрешают передачу пакета, он «мол ча» отбрасывается. Если маршрут не найден, приложению — источнику пакета со общается об ошибке IP-маршрутизации.

Работа протоколов маршрутизации в сети Протоколы маршрутизации RIP for IP и OSPF работают точно так же, как и лю бые другие приложения Windows Sockets, передающие и принимающие IP-пакеты.

Обновления таблицы маршрутизации RIP for IP и OSPF обновляют маршруты в Route Table Manager. Таблица самых эффективных маршрутов в компоненте пересылки IP-трафика обновляется с уче том наилучшего маршрута и ранга источника маршрута (route source ranking).

Компоненты и процессы поддержки многоадресной IP-маршрутизации Компоненты многоадресной IP-маршрутизации службы маршрутизации и удален ного доступа представлены па рис. 2-3.

В следующих подразделах типичные процессы многоадресной IP-маршрутизации рассматриваются в терминах соответствующих компонентов службы маршрутиза ции и удаленного доступа.

Входящий групповой пакет (в отсутствие MFE) Адрес источника входящего группового IP-пакета и адрес группы сравниваются с MFE-записями в таблице пересылки группового ТР-трафика. Если записи [источ ник, группа] нет, в таблицу пересылки добавляется неактивная MFE для [источ ник, группа] и сообщается компоненту Multicast Group Manager. Пакет помешает ся в буфер на время ожидания активизации MFE.

Маршрутизация 38 ЧАСТЬ Оснастка Routing. Команда and Netsh Remote Access API-функции Диспетчер управления IGMP, динамических интерфейсов Диспетчер соединений (йратоколы Route Table WticastBraap АААА управления РРР) Manager Manager ТАР! | Пользовательский режим Режим ядра ТСРЛР Компонент перееыяю*. многоадресного IP-фильтрация IP-трафика NDIS Оболочка NDIS ra Ethernet Оболочка NDIS WAN Miniport FODI ISDN | ftsync Х. L2TR РРТР Frame Relay X.25.,.

! ATM Рис. 2-3. Многоадресная IP-маршрутизация и служба маршрутизации и удаленного доступа Входящий групповой пакет (при наличии активной MFE) Адрес источника входящего группового IP-пакета и адрес группы сравниваются с MFE-записями в таблице пересылки группового IP-трафика. Если активная запись для [источник, группа] найдена, групповой трафик пересылается по нужному ин терфейсу или интерфейсам.

Работа протоколов многоадресной маршрутизации в сети Протокол многоадресной маршрутизации IGMP v2 работает точно так же, как и другие приложения Windows Sockets, передающие и принимающие IP-пакеты.

Обновления таблицы многоадресной маршрутизации Протокол многоадресной маршрутизации IGMP v2 обновляет записи [источник, группа] в Multicast Group Manager на основе IGMP-трафика, поступающего на те интерфейсы, которые работают в режиме маршрутизатора IGMP. После этого Multicast Group Manager вносит изменения в таблицу пересылки группового IP графика.

Компоненты и процессы IPX-маршрутизации Компоненты IPX службы маршрутизации и удаленного доступа представлены на рис. 2-4.

Служба маршрутизации и удаленного доступа ГЛАВА 2 Оснастка Routing Команда and Welsh Remote Access API-функции маршрутизации API-функции Диспетчер управления SAP for IPX RIP for IPX динамических интерфейсов Диспетчер соединений (протоколы Route Table управления IW) ;

Manager ТАР!

Пользовательский режим Режим ядра «>ХУ5РХ Компонент тюрееьши IPX-фмйьтрамия 1РХ-трафйка NDIS Оболочка NOIS TR Ethernet Оболочка NDIS WAN Miniport FODi • РГТР 1 Async • L2TP Х.25 ISDN Frame Retay КПП X.25...

Рис. 2-4. IPX-маршрутизация и служба маршрутизации и удаленного доступа В следующих подразделах типичные процессы IPX-маршрутизации рассматрива ются в терминах соответствующих компонентов службы маршрутизации и удален ного доступа.

Входящий-исходящий пакет (транзитный трафик) Входящий пакет сначала передастся драйверу компонента пересылки IPX-трафика (IPX forwarder driver), который находит маршрут, а затем передает пакет драйверу IPX-фильтрации для проверки сходными и выходными фильтрами. Если входные фильтры разрешают прием пакета, а выходные — его пересылку, пакет возвращает ся драйверу компонента пересылки IPX-трафика, который пересылает его по под ходящему интерфейсу, используя NDIS. Если входные или выходные фильтры не разрешают пересылку пакета, он «молча» отбрасывается.

Входящий пакет (локальный трафик хоста) Входящий пакет сначала передается драйверу компонента пересылки IPX-трафи ка, который отмечает, что данный пакет не подлежит маршрутизации (IPX-адрес получателя соответствует адресу широковещательной рассылки, либо получателем является маршрутизатор), и передает его драйверу IPX-фильтрации для проверки входными фильтрами. Если входные фильтры разрешают прием пакета, он переда ется драйверу IPX/SPX, который обрабатывает этот пакет обычным образом. Если входные фильтры не разрешают прием пакета, он «молча» отбрасывается.

Маршрутизация 40 ЧАСТЬ Исходящий пакет (локальный трафик хоста) Исходящий ТРХ-пакст передается драйвером IPX/SPX драйверу IPX-фильтрации, который проверяет его выходными фильтрами. Если выходные фильтры разреша ют передачу пакета, он направляется драйверу компонента пересылки IPX-трафи ка, который посылает его по наиболее эффективному маршруту через подходящий интерфейс, используя NDTS. Если выходные фильтры не разрешают передачу па кета, он «молча» отбрасывается. Если маршрут не найден, посылается RIP-сообще ние GetLocalTarget. Подробнее о процессах IPX-маршрутизации см. главу 5 «IPX маршрутизация» в этой книге.

Работа протоколов маршрутизации в сети Протоколы маршрутизации RIP for IPX и SAP работают точно так же, как и лю бые другие приложения Windows Sockets, передающие и принимающие IPX-пакеты.

Обновления таблицы маршрутизации RTP for IPX и SAP обновляют маршруты в Route Table Manager. Таблица самых эффективных маршрутов в драйвере компонента пересылки IPX-трафика обновля ется с учетом наилучшего маршрута и принимаемой информации, Настройки в реестре При включении службы маршрутизации и удаленного доступа в реестре W i n dows 2000 создаются и поддерживаются соответствующие настройки. Для больше го быстродействия основная часть конфигурационной информации этой службы хранится в двоичной форме крупными блоками, а не отдельными записями, кото рые можно было бы легко просмотреть и изменить. Поэтому настройка службы маршрутизации и удаленного доступа осуществляется исключительно через оснас тку Routing and Remote Access (Маршрутизация и удаленный доступ) или утили той Netsh, которая будет детально рассмотрена чуть позже.

Конфигурационная информация об интерфейсах маршрутизатора и службе марш рутизации и удаленного доступа хранится в разделе реестра HKEY_LOCAL_MA CHINE\System\CurrentControlSet\Services\RemoteAccess.

Конфигурационная информация о компонентах маршрутизатора хранится в разде ле реестра HKEY_LOCAL_MACHINE\Sortware\Microsoft\Router.

Настройки телефонной книги маршрутизатора хранятся в разделе реестра HKEY_ LOCAL_MACHINE\Software\Microsoft\RouterPhonebook.

Дополнительные средства, поставляемые со службой маршрутизации и удаленного доступа Для упрощения настройки и сбора информации для учета, аудита или диагностики служба маршрутизации и удаленного доступа предоставляет ряд дополнительных средств:

• оснастку Routing and Remote Access (Маршрутизация и удаленный доступ);

• утилиту Netsh (командной строки);

• средства записи аутентификационной и учетной информации;

• средства регистрации событий;

• средства трассировки.

Служба маршрутизации и удаленного доступа ГЛАВА Оснастка Routing and Remote Access Оснастка Routing and Remote Access (Маршрутизация и удаленный доступ) запус кается ин папки Administrative Tools (Администрирование) и является основным инструментом настройки локальных и удаленных серверов доступа и маршрутиза торов в Windows 2000 Server.

Плавающие окна оснастки Routing and Remote Access В этой оснастке можно открыть целый набор плавающих окоп, отображающих ста тистику или записи в таблицах. Плавающее окно можно переместить в любое мес то и оставить его поверх окна оснастки, если она является активным приложени ем. Список плавающих окон оснастки Routing and Remote Access приведен в таб лице 2-1.

Таблица 2-1. Плавающие окна оснастки Routing and Remote Access Описание Плавающее окно Местонахождение TCP/IP information IP Routing/General Глобальная статистика TCP/IP, (Сведения о TCP/IP) (IP-маршрутизация/Общие) например количество маршруток, IP Routing/General/ число принятых и перенаправ Interface (IP-маршрути- л е н н ы х пакетов зация/Обшие/Интерфейс) Multicast forwarding cable IP Routing/General Содержимое таблицы пересылки (Таблица многоадресного группового ТСР/1Р-трафика перенаправления) Multicast statistics Статистика по каждой группе, IP Routing/General например число принятых (Статистика много групповых пакетом адресной области) Содержимое кэша A R P Address translations IP Routing/General/ (Преобразование Interface (Address Resolution Protocol) IP-адресов) IP-адреса, назначенные IP addresses (IP-адреса) IP Routing/General/ Interface интерфейсам маршрутизации IP routing table (Таблица IP Routing/General/ Содержимое табл нцы IP-маршрутизации маршрутизации IP) Interface IP Routing/Static Routes (IP-маршрутизация/ Статические март] футы) TCP connections Список TCP-соединений, в том IP Routing/General/ Interface числе локальных и удаленных (Подключения TCP) адресов и TCP-портов Список UDP-портов, прослушина L'DP listener ports IP Routing/General/ (Порты UDP) Interface емых маршрутизатором Список сконфигурированных Areas (Области OSPF) IP Roiiting/OSPF (1Р-маршрутизация/О8РР) областей OSPF Содержимое базы данных Link state database IP Routing/OSPF состояния каналов (OSPF - база данных состояния связи) Список соседних OSPF-маршрути Neighbors (OSPF) IP Routing/OSPF заторов и их состояние (Соседи OSPF) (см. след, стр.) Маршрутизация 42 ЧАСТЬ Таблица 2-1. (продолжение,) Местонахождение Описание Плавающее окно IP Routing/OSPF Список сконфигурированных Virtual interfaces виртуальных интерфейсов и их (Виртуальные интерфейсы состояние OSPF) IP Routing/RIP Список соседних Neighbors (RIP) (I Р-мартрутизация/RIP) RIP-маршрутизаторов (Соседи RIP) IP Routing/Network Статистика но количеству типов DHCP Allocator information Address Translation отправленных и полученных (Сведения DHCP-распре (IP-маршрутизация/КАТ - DHCP-сообщепий делителя) преобразование сетевых адресов) DNS Proxy information IP Routing/Network Статистика по количеству типов отправленных и полученных (Сведения о DNS-прокси) Address Translation DNS-сообщений IP Routing/Network Add- Содержимое таблицы Mappings [Таблица сопоставления сеанса ress Translation/Interface сопоставлений NAT преобразования сетевых (IP-маршрутизация/NAT преобразование сетевых адресов (NAT)] адресов/Интерфейс) IP Routing/IGMP Group table Глобальный список групп, обнару (1Р-мар)1Грутн.г1ация/'1СМР) женных с применением протокола (Таблица IGMP-групп) маршрутизации IGMP Interface group table IP Routing/IGMP/Interface Действительный для данного (Таблица интерфейса (IP-маршрутизация/ЮМР/ интерфейса список групп, обнару Интерфейс) IGMP-группы) женных с применением протокола маршрутизации IGMP IPX parameters IPX Routing/General Глобальная статистика IPX, напри (Глобальные параметры мер количество маршрутов и служб, (IPX-маршрутизация/ число принятых и перенаправлен Общие) IPX) ных пакетов IPX routing table IPX Routing/General Содержимое таблицы (Таблица IPX-маршру- (IPX-маршрутизация/ IPX-маршрутизации тизации) Общие) IPX Ron ting/Static Routes (IPX-маршрутизация/ Статические маршруты) IPX service table IPX Routing/General Содержимое таблицы служб SAP (Таблица служб IPX) IPX Routing/Static Services (IPX-маршрутизация/ Статические службы) RIP parameters IPX Routing/RIP for IPX Глобальная статистика (Глобальные параметры (IPX-маршрутизация/RIP по протоколу RIP for IPX IPX для RIP)* для IPX) SAP parameters IPX Routing/SAP for IPX Глобальная статистика (Глобальные параметры (IPX-маршрутизация/SAP по протоколу SAP for IPX IPX для SAP) для IPX) Несмотря на такое название этого окна л русской версии Windows 2000 Server, речь идет, конечно же, о параметрах RIP for IPX. To же относится и к параметрам SAP for IPX (см, следующую строку в таблице). — Прим. персе.

ГЛАВА 2 Служба маршрутизации и удаленного доступа Утилита Netsh Netsh — это утилита командной строки и средство выполнения сценариев для сете вых компонентов Windows 2000 как на локальных, так и на удаленных компьюте рах. Она также позволяет сохранять сценарий конфигурирования в виде текстово го файла для архивных целей или для настройки других серверов.

Netsh представляет собой оболочку, способную поддерживать множество сетевых компонентов Windows 2000 за счет добавления вспомогательных DLL. Такие DLL расширяют функциональность Netsh, предоставляя дополнительные команды для мониторинга или настройки конкретных сетевых компонентов Windows 2000. Каж дая вспомогательная DLL предоставляет контекст — группу команд для определен ного сетевого компонента. Внутри каждого контекста могут существовать подкон тексты. Например, в контексте routing существуют подконтексты ip и ipx, группи рующие команды для IP- и IPX-маршрутизации соответственно.

Ниже кратко описываются параметры командной строки Netsh.

а файл_псевдонимов Заставляет использовать указанный файл псевдонимов (alias file). Файл псевдони мов содержит список команд Netsh и их псевдонимов, что позволяет переимено вать команды Netsh так, как Вам удобнее. Файлы псевдонимов полезны для сопос тавления команд Netsh и эквивалентных команд, более привычных на других плат формах.

-с контекст Определяет контекст команды, который соответствует установленной вспомога тельной DLL.

команда Задает команду Netsh, которую нужно выполнить.

-/ файл.сценария Заставляет выполнять все команды Netsh в указанном файле сценария.

-/•имя_или_1Р-адрес_удаленного_компьютера Заставляет выполнять команды Netsh на удаленном компьютере, указанном по име ни или IP-адресу.

Названия команд можно сокращать до таких аббревиатур, которые не вызывают неоднозначности. Например, команда го ip sh int эквивалентна команде routing ip show interface. Команды Netsh могут быть либо глобальными, либо контекстными.

Глобальные команды действуют в любом контексте и используются для выполне ния универсальных функций Netsh. Контекстные команды зависят от конкретного контекста.

Список глобальных команд Netsh приведен в таблице 2-2.

Netsh поддерживает два режима работы.

• Интерактивный (online). В этом режиме команды, вводимые в командной строке Netsh, выполняются немедленно.

• Автономный (offline). В этом режиме команды, вводимые в командной строке Netsh, аккумулируются и выполняются пакетом после ввода глобальной коман 44 ЧАСТЬ 1 Маршрутизация ды commit. Аккумулированные команды можно отбросить, введя глобальную команду flush.

Таблица 2-2. Глобальные команды Netsh Команда Описание Перемещает на один уровень контекста вверх ? или help Выводит краткую справочную информацию Добавляет вспомогательную DLL add helper delete helper Удаляет вспомогательную DLL show helper Перечисляет установленные вспомогательные DLL online Устанавливает интерактивный режим как текущий offline Устанавливает автономный режим как текущий set mode Устанавливает интерактивный или автономный режим как текущий Показывает текущий режим show mode flush Отбрасывает любые изменения, внесенные в автономном режиме commit Фиксирует изменения, внесенные в автономном режиме show machine Показывает, на каком компьютере выполняются команды Netsh exec Выполняет файл сценария с командами Netsh quit, или bye, Завершает работу Netsh или exit add alias Добавляет псевдоним существующей команды delete alias Удаляет псевдоним существующей команды show alias Показывает все псевдонимы dump Записывает настройки popd Команда, применяемая в сценариях для выталкивания контекста из стека pushd Команда, применяемая в сценариях для заталкивания текущего контекста Вы также можете запускать сценарии (сценарий — это текстовый файл со списком команд Netsh), используя либо параметр -f, либо глобальную команду exec в ко мандной оболочке Netsh.

Чтобы создать сценарий, устанавливающий текущую конфигурацию, используйте глобальную команду dump. Она генерирует описание текущей конфигурации в виде команд Netsh. Впоследствии Вы сможете использовать этот сценарий для конфи гурирования нового сервера или для перенастройки существующего. При внесении множества изменений в конфигурацию какого-либо компонента рекомендуется на чать сеанс настройки с выполнения команды dump на тот случай, если понадобит ся восстановить исходную конфигурацию этого компонента.

Для службы маршрутизации и удаленного доступа Netsh поддерживает следующие контексты.

газ Позволяет использовать команды и контексте ras для настройки конфигурации удаленного доступа.

Служба маршрутизации и удаленного доступа ГЛАВА аааа Позволяет использовать команды в контексте аааа для настройки компонента А А А А, применяемого как службой маршрутизации и удаленного доступа, так и Internet Authentication Service (Служба проверки подлинности в Интернете).

routing Позволяет использовать команды в контексте routing для настройки ТР- и 1РХ-мар шрутизации.

interface Позволяет использовать команды в контексте interface для настройки интерфей сов соединений по требованию.

Подробнее о контекстных командах см. справочную систему Windows 2000 Server и справочную информацию, встроенную в утилиту \etsh, Запись аутентификационной и учетной информации Если Вы выбрали аутентификацию или учет черен Windows, служба маршрутиза ции и удаленного доступа может регистрировать аутентификационную и учетную информацию для запросов на соединения на основе РРР. Соответствующие журна лы ведутся отдельно от системных журналов. Эта информация позволяет отслежи вать попытки аутентификации и использование сетевых ресурсов клиентами уда ленного доступа. Она особенно полезна при устранении каких-либо проблем с уда ленным доступом.

Аутентификационная и учетная информация хранится в файле или файлах журна ла в папке %5z/stemfioot%\System32\LogFiles. Эти файлы записываются в формате Internet Authentication Service (IAS) 1.0 или баз данных ODBC (в последнем слу чае любая программа, работающая с базами данных, может напрямую считывать файл журанала для последующего анализа).

Вы можете указывать типы регистрируемой активности (использование удаленно го доступа или операции, связанные с аутентификацией) и настраивать параметры файлов журнала через свойства папки Remote Access Logging (Ведение журнала удаленного доступа) в оснастке Routing and Remote Access (Маршрутизация и уда ленный доступ).

Если маршрутизатор удаленного доступа настроен па аутентификацию или у ют через RADIUS и сервером R A D I U S является компьютер под управлением W i n dows 2000 и Internet Authentication Service (Служба проверки подлинности в Ин тернете), та же информация регистрируется и на компьютере — сервере IAS.

Pages:     || 2 | 3 | 4 | 5 |   ...   | 13 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.