WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 || 4 | 5 |   ...   | 13 |

«Internetworking Guide Microsoft Windows 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof Windows 2000 Server ...»

-- [ Страница 3 ] --

IP-адреса серверов имен, предоставляемые ISP, динамически назначаются при каждом соединении с ISP. В этом случае Вы должны воспользоваться командой ipconfig после соединения с ISP.

Фильтрация IP-пакетов Для обеспечения защиты IP-маршрутизатор может фильтровать IP-трафик. Эта функциональность, называемая фильтрацией IP-пакетов, позволяет администрато ру сети очень точно определять, какой именно IP-трафик разрешается принимать и пересылать маршрутизатору. Фильтрация IP-пакетов — важное звено в соедине нии корпоративных интрасетей с общедоступными сетями типа Интернета.

Фильтрация IP-пакетов требует создания серии определений, называемых фильт рами;

они определяют, какие виды трафика разрешены па каждом интерфейсе мар шрутизатора. Фильтры могут устанавливаться как для входящего, так и для исхо дящего трафика.

• Входные фильтры определяют, какой входящий трафик на данном интерфейсе может быть перенаправлен или обработан маршрутизатором • Выходные фильтры определяют, какой трафик разрешено передавать маршру тизатору по данному интерфейсу.

Маршрутизация 104 ЧАСТЬ Поскольку для каждого интерфейса можно определить как входные, так и выход ные фильтры, есть риск создать конфликтующие фильтры. Например, входной фильтр на одном интерфейсе разрешает прием какого-то входящего трафика, но выходной фильтр на другом интерфейсе запрещает передачу этого трафика. Дело кончится тем, что этот трафик не сможет пересечь данный маршрутизатор Win dows 2000.

Фильтрация пакетов может быть реализована не только на маршрутизаторе, но и на любом другом компьютере под управлением Windows 2000. Это позволит филь тровать специфические подмножества входящего и исходящего трафика.

Фильтры пакетов следует создавать с осторожностью, чтобы они не оказались чрез мерно ограничивающими и fie нарушили функционирование других протоколов, которые могут работать на данном компьютере. Например, если на компьютере с Windows 2000 выполняются Internet Information Services (IIS) — службы, которые превращают этот компьютер в Web-сервер, — а фильтры пакетов определены так, что пропускают лишь трафик, относящийся к Web, то Вы не сможете использовать утилиту Ping (выдающую ICMP-сообщения Echo Request и Echo Reply) для про верки базовой функциональности IP. Л если этот Web-сервер является еще и хос том Silent RIP, те же фильтры не позволят службе Silent RIP (Пассивный RIP) при нимать RIP-оповещения.

Примечание При устранении проблем с сетевыми соединениями и базовой функ циональностью IP на компьютере под управлением Windows 2000, использующем фильтрацию пакетов, сначала убедитесь, что эти фильтры не препятствуют переда че или приему пакетов того протокола, с которым возникли проблемы.

Фильтрация IP-пакетов в Windows Фильтрация IP-пакетов в Windows 2000 основана на принципе исключения. Вы настраиваете Windows 2000 либо на пропуск всего трафика, кроме запрещенного фильтрами, либо на игнорирование всего трафика, кроме разрешенного фильтра ми, Например, Вам может понадобиться сконфигурировать фильтр, пропускающий весь трафик, кроме трафика Telnet (TCP-порт 23). Или создать фильтры на выде ленном Web-сервере для обработки только TCP-трафика, связанного с Web (TCP порт 80).

Примечание Маршрутизатор Windows 2000 не позволяет применять пользователь ские фильтры там, где администратор сети может создать фильтр на основе каких либо полей IP-, TCP-, UDP- или ICMP-заголовка;

кроме того, он поддерживает фильтрацию лить но протоколам IP, TCP, UDP и ICMP.

Windows 2000 поддерживает фильтрацию на основе содержимого различных полей в IP-, TCP-, UDP- и ICMP-заголовках входящих и исходящих пакетов.

IP-заголовок В IP-заголовке фильтры могут быть определены для следующих полей.

IP Protocol (IP-протокол). Идентификатор, применяемый при демультиплекси ровании полезных данных IP-пакета для протокола более высокого уровня. Напри мер, по умолчанию TCP использует протокол 6, UDP — 17, a ICMP — 1.

Одноадресная IP-маршрутизация ГЛАВД 3 Source IP Address (IP-адрес источника). IP-адрес источника, в котором может быть указана маска подсети, что позволяет задавать целый диапазон IP-адресов (со ответствующих IP-сети) в одном элементе фильтра.

Destination IP Address (IP-адрес приемника). IP-адрес назначения, в котором может быть указана маска подсети, что позволяет задавать целый диапазон IP-ад ресов (соответствующих IP-сети) в одном элементе фильтра.

TCP-заголовок В TCP-заголовке фильтры могут быть определены для двух полей: 1) TCP Source Port (TCP-порт источника), используемого для идентификации процесса-источни ка, который отправляет данный TCP-сегмент, и 2) TCP Destination Port (ТСР-пирт приемника), применяемого для идентификации процесса-приемника данного ТС'Р сегмента.

Примечание Маршрутизатор Windows 2000 не позволяет указывать в одном филь тре диапазон TCP-портов. Чтобы задать диапазон TCP-портов, придется опреде лять отдельные фильтры для каждого порта из диапазона.

UDP-заголовок В UDP-заголовке фильтры могут быть определены для двух полей: 1) UDP Souice Port (t'DP-порт источника), используемого для идентификации процесса-источни ка, который отправляет данное UDP-сообшение, и 2) UDP Destination Port (UDP порт приемника), применяемого для идентификации процесса-приемника данного UDP-сообщения.

Примечание Маршрутизатор Windows 2000 не позволяет указывать в одном филь тре диапазон UDP-портов. Чтобы задать диапазон UDP-нортов, придется опреде лять отдельные фильтры для каждого порта из диапазона.

ЮМР-заголовок J3 ICMP-заголовке фильтры могут быть определены для двух полей: 1) ICMP Ту >е (Тип 1СМР), задающего тип ICMP-пакста (например, эхо-запрос или эхо-ответ), и 2) ICMP Code (Код ICMP), указывающего одну из нескольких функций, допусти мых для данного тина. Если для данного типа имеется лишь одна функция, ноле ICMP Code содержит 0.

Часто используемые типы и коды 1СМР перечислены в таблице 3-6.

Таблица 3-6. Часто используемые типы и коды ICMP Тип ICMP Код ICMP Описание,^ О 0 Echo Reply (Эхо-ответ) Echo Request (Эхо-запрос1) В 3 0 Destination Unreachable/Network Unreachable (Адресат недоступен/ Сеть недоступна) 3 1 Destination Unreachable/Host Unreachable (Адресат недоступен/Узел недоступен) (см. след, стр.) Маршрутизация 106 ЧАСТЬ Таблица 3-6. (продолжение) Тип ICMP Код ICMP Описание 3 2 Destination Unreacbable/Protocol Unreachable (Адресат недоступен/ Протокол недоступен) 3 3 Destination Unreachable/Port Unreachable (Адресат недоступен/Порт недоступен) 3 4 Destination Unreachable/Fragmentation Needed and Don't Fragment Flag Set (Адресат недоступен/Требуется фрагментация, но установлен флаг DF) 4 0 Source Quench (Замедление источника)."i I Redirect/Redirected datagrams for the host (Перенаправление/Дейтаг раммы перенаправлены на узел) 9 0 Router Advertisement (Оповещение маршрутизатора) 10 0 Router Solicitation (Сбор сведений о маршрутизаторах) 11 0 Time Exceeded/TTL Expired (Время превышено/TTL истек) 11 1 Time Exceeded/Fragmentation Reassembly Expiration (Время превыше но/Срок восстановления фрагментации истек) 12 0 Parameter Problem (Проблема с параметром) Примечание Полный список типов и кодов ICMP см. по ссылке на странице http:// windows.microsoft.com/windows2000/reskit/vvebresources.

Входные фильтры Входные фильтры настраиваются по принципу исключения. Вы можете сделать так, чтобы фильтр либо принимал весь трафик, кроме заданного, либо игнорировал весь трафик, кроме указанного.

Если задано несколько фильтров, то отдельные фильтры, применяемые к входяще му пакету, сравниваются логической операцией OR. Если пакет подходит хотя бы под один фильтр, он принимается или игнорируется в зависимости от действия данного фильтра.

Выходные фильтры Выходные фильтры тоже настраиваются по принципу исключения. Вы можете сде лать так, чтобы фильтр либо пропускал весь трафик, кроме заданного, либо игно рировал весь трафик, кроме указанного.

Если задано несколько фильтров, то отдельные фильтры, применяемые к исходя щему пакету, сравниваются логической операцией OR. Если пакет подходит хотя бы под один фильтр, он передается или игнорируется в зависимости от действия данного фильтра.

Настройка фильтра При добавлении или изменении фильтра Вы настраиваете его параметры в диало говом окне Add IP Filter (Добавление IP-фильтра) или Edit IP Filter (Изменение IP-фильтра) соответственно. Если Вы задаете несколько параметров для какого ГЛАВА 3 Одноадресная IP-маршрутизация либо фильтра, то при его применении к входящему пакету эти параметры сравни ваются логической операцией AND. Чтобы пакет удовлетворял критериям фильт ра, его поля должны соответствовать всем параметрам этого фильтра.

Примечание Сконфигурировать раздельные активные фильтры для Receive all packets except those that meet the criteria below (Принимать все пакеты, кроме тех, что отвечают указанным ниже критериям) и Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указан ным ниже критериям) нельзя.

В диалоговом окне Add IP Filter или Edit IP Filter можно настроить следую щие поля.

Source Network (Исходная сеть) • JP Address (IP-адрес). Введите идентификатор сети источника или IP-адрес ис точника.

• Subnet Mask (Маска подсети). Для идентификатора сети источника введите со ответствующую маску подсети, а для IP-адреса источника — 255.255.255.255.

Destination Network (Сеть назначения) m IP Address (IP-адрес). Введите идентификатор сети назначения или IP-адрес назначения.

• Subnet Mask (Маска подсети). Для идентификатора сети назначения введите соответствующую маску подсети, а для IP-адреса источника — 255.255.255.2л5.

Protocol (Протокол) m TCP (TCP). Протокол = 6. Выберите этот вариант, чтобы появились поля, в которых Вы сможете указать TCP-порты источника и назначения (адресата).

Можно заполнить только одно или оба поля. Если Вы оставите эти поля пусты ми, они получат значение по умолчанию (0), что соответствует любому порту.

• TCP [established] (TCP [установлено]). Протокол = 6. Выберите этот вариант, если Вы хотите определить TCP-трафик для TCP-соединений, установленных с помощью маршрутизатора.

• UDP (UDP). Протокол = 17. Выберите этот вариант, чтобы появились поля, в которых Вы сможете указать UDP-иорты источника и назначения (адресата).

Можно заполнить только одно или оба поля. Если Вы оставите эти поля пусты ми, они получат значение по умолчанию (0), что соответствует любому порту.

• JCMP (ICMP). Протокол = 1. Выберите этот вариант, чтобы появились поля, в которых Вы сможете указать код и тип ICMP. Можно заполнить только одно или оба поля. Если Вы оставите эти поля пустыми, они получат значение то умолчанию (255), что соответствует любому коду или типу.

• Any (Любой). Выберите этот вариант, чтобы был принят любой номер прото кола IP.

• Other (Другой). Выберите этот вариант, чтобы появилось поле, в котором 1>ы сможете указать любой протокол IP.

108 ЧАСТЬ 1 Маршрутизация Варианты фильтрации В этом раз дел с приведены примеры конфигураций фильтров для наиболее часто реализуемых вариантой фильтрации.

Внимание Если Вы решили скомбинировать любые из предлагаемых наборов филь тров, убедитесь, что они разрешают пропуск нужного подмножества трафика и в то же время обеспечивают требуемый уровень защиты. Например, если Вы комбини руете наборы фильтров для локального хоста и Web-трафика, то из-за особеннос тей применения фильтров (AND — внутри фильтра, OR — между фильтрами), бу дет разрешен весь трафик, адресованный хосту. Входной фильтр для Web-трафика будет фактически игнорироваться.

Фильтрация локального хоста Используйте такую фильтрацию, чтобы разрешить обработку только трафика, ад ресованного хосту. Фильтрация локального хоста (local host filtering) блокирует пересылку пакетов по интерфейсу, на котором она включена. Эта фильтрация при меняется в том случае, когда интрасеть подключена к Интернету и прямая марш рутизация пакетов между интрасетью и Интернетом нежелательна. В этом вариан те фильтрация локального хоста осуществляется на Интернет-интерфейсе.

Сконфигурируйте следующие фильтры на интерфейсе, соединенном с Интернетом.

Они разрешают пропуск по интерфейсу только трафика, адресованного данному хосту или всем хостам в его сети, либо группового трафика.

Выбор действия фильтра Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям) приведет к созданию серии входных фильтров со следующими атрибутами.

IP-адрес назначения для хоста В диалоговом окне Add IP Filter (Добавление IP-фильтра) установите флажок Destination network (Сеть назначения), а затем введите в соответствующих полях IP-адрес хоста и маску подсети 255.255.255.255.

IP-адрес назначения для широковещательной рассылки в подсети 1. В диалоговом окне Add IP Filter установите флажок Destination network, а за тем введите в соответствующих полях IP-адрес широковещательной рассылки в подсети хоста и маску подсети 255.255.255.255.

2. Чтобы определить широковещание в подсети, установите все биты идентифи катора в 1. Например, если IP-адрес хоста определен как 172.16.5.98, а маска подсети — как 255.255.255.0 (подсеть частной IP-сети 172.16.0.0), то этот фильтр будет действовать применительно к IP-адресу назначения 172.16.5.255.

IP-адрес назначения для широковещательной рассылки по всем подсетям В диалоговом окне Add IP Filter установите флажок Destination network, а затем введите в соответствующих полях IP-адрес широковещательной рассылки во все подсети и маску подсети 255.255.255,255.

IP-адрес широковещательной рассылки во все подсети (all subnets-directed broad cast) является широковещательным адресом на основе класса, где биты идентифи Одноадресная IP-маршрутизация ГЛАВА 3 катора хоста установлены в 1 до разбиения на подсети. Для хоста, используемого в данном примере, этот фильтр будет действовать применительно к IP-адресу назна чения 172.16.255.255. Фильтр для широковещания во псе подсети нужен только при разбиении па подсети.

IP-адрес назначения для ограниченной широковещательной рассылки В диалоговом окне Add IP Filter установите флажок Destination network, а за тем введите в соответствующих полях IP-адрес 255.255.255.255 и маску подсети 255.255.255.255.

IP-адрес ограниченной широковещательной рассылки определен как 255,255.255.255.

IP-адрес назначения для всех возможных видов группового трафика В диалоговом окне Add IP Filter установите флажок Destination network, а затем введите в соответствующих полях IP-адрес 224.0.0.0 и маску подсети 240.0.0.0. Па данном интерфейсе будет разрешен любой входящий групповой трафик.

Примечание Фильтрация локального хоста на каком-либо интерфейсе фактически отключает одноадресную маршрутизацию па этом интерфейсе, потому что через него разрешается пропуск лишь того одноадресного трафика, который предназна чен непосредственно хосту. Транзитный трафик отбрасывается.

Фильтрация Web-трафика Фильтрация Web-трафика осуществляется на хостах, работающих в качестве Web серверов;

при этом разрешается обработка только принимаемого или передаваемо го хостом Web-трафика. Это позволяет защитить от атак злоумышленников другие службы, функционирующие на Web-сервере. В случае Web-сервера, подключенно го к Интернету, Web-трафик фильтруется на Интернет-интерфейсе.

Выбрав переключатель Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям), настройте следующие фильтры, чтобы разрешить пропуск только тех пакетов, ко торые принимаются или передаются службой Web-сервера.

• Входной фильтр: в поле IP-адреса назначения введите IP-адрес Web-сервера, а в поле TCP-порта назначения — 80.

• Выходной фильтр: в ноле IP-адреса источника введите IP-адрес Web-сервера, а в поле TCP-порта источника - 80.

Если Вы определили только эти фильтры, то по данному интерфейсу будет разре шен пропуск лишь TCP-трафика, принимаемого и передаваемого службой Web-сер вера на компьютере под управлением Windows 2000 Server.

Примечание В предыдущем примере мы исходили из того, что по умолчанию но мер порта Web-сервера равен 80. Если Вы используете какой-то другой тторт, под ставьте вместо 80 соответствующее значение.

Фильтрация РТР-трафика Фильтрация FTP-трафика осуществляется на хостах, работающих в качестве РТР серверов;

при этом разрешается обработка только принимаемого или передаваемо Маршрутизация 110 ЧАСТЬ го хостом FTP-трафика. Это позволяет защитить от атак злоумышленников другие службы, функционирующие на FTP-сервере. В случае FTP-ссрвера, подключенно го к Интернету, FTP-трафик фильтруется на Интернет-интерфейсе.

Выбрав переключатель Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям), настройте следующие фильтры, чтобы разрешить пропуск только тех пакетов, ко торые принимаются или передаются службой FTP-сервсра.

• Входные фильтры: в поля IP-адреса назначения введите IP-адрес РТР-сервера, а в поля TCP-порта назначения — 21 (порт управления FTP) и 20 (порт данных FTP).

• Выходные фильтры: в поля IP-адреса источника введите IP-адрес РТР-сервера, а в поля TCP-порта источника — 21 и 20.

Если Вы определили только эти фильтры, то по данному интерфейсу будет разре шен пропуск лишь TCP-трафика, принимаемого и передаваемого службой FTP-cep вера на компьютере под управлением Windows 2000 Server.

Примечание В предыдущем примере мы исходили из того, что по умолчанию но мера портов FTP-сервера равны 20 и 21. Если Вы используете какие-то другие пор ты, подставьте вместо 20 и 21 соответствующие значения.

Фильтрация РРТР-трафика Фильтрация РРТР-трафика осуществляется на хостах, работающих в качестве РРТР-серверов;

при этом разрешается обработка только принимаемого или пере даваемого хостом РРТР-трафика. Это позволяет защитить от атак злоумышленни ков другие службы, функционирующие на РРТР-сервере. В случае РРТР-сервера, подключенного к Интернету, РРТР-трафик фильтруется на Интернет-интерфейсе.

Выбрав переключатель Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям), настройте следующие фильтры, чтобы разрешить пропуск только тех пакетов, ко торые принимаются или передаются службой РРТР, выполняемой на сервере.

• Входные фильтры: для первого фильтра в поле IP-адреса назначения введите IP адрес РРТР-сервера, а в поле TCP-порта назначения — 1723;

для второго филь тра в качестве IP-адреса назначения укажите IP-адрес РРТР-сервера и выбери те IP-протокол 47 (Generic Routing Encapsulation [GRE|).

• Выходные фильтры: для первого фильтра в поле IP-адреса источника введите IP-адрес РРТР-сервера, а в поле TCP-порта источника — 1723;

для второго фильтра в качестве IP-адреса источника укажите IP-адрес РРТР-сервера и вы берите IP-протокол 47 (Generic Routing Encapsulation [GRE]).

Если РРТР-сервер используется и как РРТР-клиент для инициации туннелирован ных соединений с использованием виртуальной частной сети, настройте дополни тельные фильтры.

• Входной фильтр: в поле IP-адреса назначения укажите IP-адрес РРТР-сервера, а затем, выбрав в списке TCP (established) (TCP [установлено]), введите 1723 в поле TCP-порта источника.

Одноадресная IP-маршрутизация ГЛАВА • Выходной фильтр: в поле IP-адреса источника укажите IP-адрес РРТР-сервера, а затем, выбрав в списке TCP (established) (TCP [установлено]), введите 1723 в поле TCP-порта назначения.

Фильтр TCP (established) используется для того, чтобы разрешить пропуск трафи ка только но TCP-соединению, установленному РРТР-клиентом. Без этого фильт ра злоумышленник мог бы проникнуть на РРТР-сервср из Интернета, посылая па кеты из приложений, использующих TCP-порт 1723.

Если Вы определили только эти фильтры, то по данному интерфейсу будет разре шен пропуск лишь TCP-трафика и тупнелированных данных (GRE-трафика), при нимаемых и передаваемых РРТР-сервером и РРТР-клиентом на компьютере под управлением Windows 2000 Server, Подробнее о РРТР см. главу 9 «Виртуальные частные сети» в этой книге.

Фильтрация 1_2ТР-трафика Фильтрация трафика L2TP (Layer Two Tunneling Protocol) поверх IPSec осуществ ляется на хостах, работающих в качестве L2TP-серверов;

при этом разрешается об работка только Ь2ТР-трафика. принимаемого или передаваемого службой L1ITP ссрвера. Это позволяет защитить от атак злоумышленников другие службы, функ ционирующие на Ь2ТР-сервере. В случае ЬЗТР-сервера, подключенного к Интер нету, Ь2ТР-трафик фильтруется на Интернет-интерфейсе.

Выбрав переключатель Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям), настройте следующие фильтры, чтобы разрешить пропуск только тех пакетов, ко торые принимаются или передаются службой L2TP, выполняемой на сервере.

• Входной фильтр: в поле IP-адреса назначения укажите IP-адрес L2TP-eepuepa, а в поле UDP-порта назначения — 1701.

• Входной фильтр: в поле IP-адреса назначения укажите IP-адрес Ь2ТР-сервера, а в поле UDP-порта назначения — 500.

• Выходной фильтр: в поле IP-адреса источника укажите IP-адрес L2TP-cepnepa, а в поле UDP-порта источника — 1701.

• Выходной фильтр: в поле IP-адреса источника укажите IP-адрес Ь2ТР-сервера, а в тюле UDP-порта источника — 500.

Фильтры для UDP-порта 1701 предназначены для протокола L2TP, а фильтры для UDP-порта 500 — для Internet Key Exchange (IKE), используемой при создании сопоставления безопасности IPSec (IPSec security association). Фильтры пакетов для ESP-заголовка (Encapsulating Security Payload), использующего IP-протокил 50, не требуются, так как входящие и исходящие пакеты сначала обрабатываются служ бой IPSec (IP-безопасность), которая добавляет или удаляет ESP-заголовок до при менения фильтров IP-пакетов службой маршрутизации и удаленного доступа.

Если Вы определили только эти фильтры, то по данному интерфейсу будет разре шен пропуск лишь UDP-трафика, принимаемого и передаваемого Ь2ТР-сериером и Ь2ТР-клиентом на компьютере под управлением Windows 2000 Server.

Подробнее о L2TP поверх IPSec см. главу 9 «Виртуальные частные сети» в этой книге.

Маршрутизация 112 ЧАСТЬ Отклонение фальсифицированных пакетов с частных IP-адресов Один из способов реализации атак типа «отказ в обслуживании*- (denial of service attacks) заключается в том, чтобы наводнить серверы пакетами (например, запро сами на установление TCP-соединения) с адресов, на которые нельзя ответить. В таких случаях злоумышленник фальсифицирует, или подменяет, IP-адрес источни ка пакетов другим адресом, отличным от IP-адреса интерфейса, с которого они ре ально посылаются. Проще всего воспользоваться каким-нибудь частным адресом, так как ответ, отправленный на частный адрес в Интернете, приведет к генерации IСМР-сообщения Destination Unreachable.

Чтобы отклонять Интернет-трафик с фальсифицированных частных IP-адресов, создайте входные фильтры на Интернет-интерфейсе для приема всех пакетов, кро ме отвечающих следующим критериям;

• IP-адрес источника 10.0.0.0 с маской подсети 255.0.0.0;

• IP-адрес источника 172.16.0.0 с маской подсети 255.240.0.0;

• IP-адрес источника 192.168.0.0 с маской подсети 255.255.0.0.

Фильтрация фрагментов Служба маршрутизации и удаленного доступа также поддерживает фильтрацию фрагментированных IP-дейтаграмм. Фрагментированная IP-дейтаграмма — это IP дейтаграмма, содержащая фрагмент полезных данных IP. Хосты-отправители или маршрутизаторы фрагментируют полезные данные IP для того, чтобы получаемые в результате IP-дейтаграммы были достаточно малыми для передачи по сетевому сегменту за следующим переходом. Фильтрация фрагментов применима только к входящему трафику.

^- Чтобы включить фильтрацию фрагментов:

1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация) для нужного сервера.

2. Укажите General (Общие), щелкните правой кнопкой мыши нужный интерфейс и выберите команду Properties (Свойства).

3. На вкладке General (Общие) установите флажок Enable fragmentation checking (Включить проверку фрагментации).

Чтобы маршрутизатор не пересылал фрагментированные IP-пакеты транзитного трафика по любому из своих интерфейсов, установите этот флажок в свойствах каждого интерфейса маршрутизатора. Такая настройка не запрещает пересылки фрагментированных пакетов, передаваемых с самого маршрутизатора.

Фильтрация фрагментов также предотвращает «Ping of Death», одну из атак типа «отказ в обслуживании», при которой злоумышленники посылают одно или не сколько 64-килобайтных ICMP-сообщений Echo Request. 64-килобайтные сообще ния фрагментируются, а на хосте-получателе восстанавливаются. Для каждого 64 килобайтного сообщения TCP/IP должен выделять память, таблицы, таймеры и другие ресурсы. При достаточно большом количестве фрагментировапных сообще ний компьютер с Windows 2000 Server может просто «захлебнуться» в них, и об служивание нормальных запросов резко ухудшится. Фильтрация фрагментов Одноадресная IP-маршрутизация ГЛАВА 3 приводит к тому, что входящие фрагментированные IP-дейтаграммы тут же от брасываются.

Обнаружение маршрутизаторов средствами ICIWP Маршрутизатор Windows 2000 включает поддержку оповещений маршрутизаторов (router advertisements) и схему обнаружения маршрутизаторов, дсжументиронан ную в RFC 1256. Чтобы упростить настройку IP-хостов на IP-адреса локальных маршрутизаторов и обеспечить распознавание хостами отключенных маршрутиза торов, RFC 1256 предлагает использовать ICMP-сообщения Router Advertisement и Router Solicitation.

ICMP-сообщение Router Advertisement Маршрутизатор периодически посылает ICMP-сообщение Router Advertisement (Оповещение маршрутизатора) (тип 9, код 0). Это сообщение может быть отправ лено на адрес групповой IP-рассылки всем хостам (all-hosts IP multicast addr >ss) 224.0.0.1 и адрес локальной широковещательной IP-рассылки, также называемый адресом ограниченной широковещательной рассылки (255.255.255.255). На практи ке сообщение Router Advertisement посылается на адрес групповой рассылки. Эти сообщения явно уведомляют все хосты в сети о том, что данный маршрутизатор все еще доступен.

Сообщение Router Advertisement содержит параметр Advertisement Lifetime (Бре мя жизни объявления) — время, по истечении которого маршрутизатор можно счи тать отключенным, если не поступило очередное сообщение Router Advertisement (по умолчанию — 30 минут), — и параметр Preference Level (Уровень предпочте ния), учитываемый при выборе маршрутизатора на роль основного шлюза для сети.

Основным шлюзом становится маршрутизатор с наивысшим уровнем предпочтения.

ICMP-сообщение Router Solicitation Когда хосту, который поддерживает RFC 1256, нужно настроиться на основной шлюз (либо при инициализации, либо при выходе из строя предыдущего основно го шлюза), он посылает ICMP-сообщение Router Solicitation (Сбор сведений о мар шрутизаторах) (тип 10, код 0). Это сообщение может быть отправлено па адрес групповой IP-рассылки всем маршрутизаторам (all-routers IP multicast address) 224.0.0.2 и адрес локальной широковещательной IP-рассылки, также называемый адресом ограниченной широковещательной рассылки (255.255.255.255). На практи ке хосты посылают сообщения Router Solicitation на адрес групповой рассылки.

Маршрутизаторы в сети хоста, поддерживающие RFC 1256, немедленно отвечают lCMP-сообщением Router Advertisement, и хост выбирает в качестве своего основ ного шлюза маршрутизатор с наивысшим уровнем предпочтения.

Примечание Поддержка обнаружения маршрутизаторов средствами ICMP не име ет ничего общего с протоколами маршрутизации. Маршрутизаторы лишь оповеща ют о своем присутствии, но не объявляют об оптимальном маршруте к какой-либо сети назначения. Если хост использует неоптимальный маршрут, ICMP-сообще* ия Redirect перенацелят хост на более эффективный маршрут.

5 Зак Маршрутизация 114 ЧАСТЬ Настройки обнаружения маршрутизаторов средствами ICMP описываются в таб лице 3-7.

Таблица 3-7. Настройки обнаружения маршрутизаторов средствами ICMP Параметр Описание Level of Preference Уровень предпочтения данного маршрутизатора (Уровень предпочтения) как основного шлюза. По умолчанию — 0.

Advertisement Lifetime (minutes) Время (в.минутах), по истечении которого хост [Время жизни объявления (мин)] считает маршрутизатор отключенным (если не посту пило очередное сообщение Router Advertisement).

По умолчанию — 30 мин.

Advertisement interval: minimum Минимальный интервал между сообщениями Router time (minutes) [Отправлять Advertisement, посылаемыми данным маршрутизатором, объявления в этом интервале: По умолчанию — 7 мин.

минимальное время (мин)] Advertisement interval: maximum Максимальный интервал между сообщениями Router (minutes) [Отправлять Advertisement, посылаемыми данным маршрутизатором, объявления в этом интервале: По умолчанию — 10 мин. На практике периодичность максимальное время (мин)] посылки сообщений Router Advertisement случайным образом варьируется в пределах между минимальным и максимальным интервалами.

> Чтобы включить оповещения маршрутизатора для его распознавания хостами:

1. В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршрутизация) для нужного сервера.

2. Укажите General (Общие), щелкните правой кнопкой мыши нужный интерфейс и выберите команду Properties (Свойства).

3. На вкладке General (Общие) установите флажок Enable router discovery adver tisements (Включить объявления обнаружения маршрутизатора).

При активизации флажка Enable router discovery advertisements Windows посылает сообщения Router Advertisement (как периодически, так и в ответ на со общения Router Solicitation) с использованием адреса групповой IP-рассылки 224.0.0.1, TCP/IP в Windows 2000 и Windows 98 поддерживает применение сооб щений Router Solicitation для выбора основного шлюза. О том, как отключить рас познавание маршрутизатора для TCP/IP в Windows 2000, см. книгу «Сети TCP/ IP» из серии «Ресурсы Microsoft Windows 2000 Server».

Дополнительные материалы Более подробную информацию об IP-маршрутизации см. в следующих книгах:

• Christian Huitema «Routing in the Internet»,1995, Englewood Cliff's, NJ: Prentice Hall;

• John T. Moy «OSPF: Anatomy of an Internet Routing Protocol», 1998, Reading, MA:

Addison-Weslev.

ГЛАВА Поддержка групповой IP-рассылки Windows 2000 предоставляет поддержку для передачи, приема и пересылки груп пового IP-трафика. Соответствующие компоненты службы маршрутизации и уда ленного доступа позволяют передавать и принимать групповой IP-трафик от кли ентов удаленного доступа и из тех частей Интернета или частной интрасети, кото рые поддерживают групповые рассылки.

В этой главе Обзор Интрасеть с поддержкой групповой IP-рассылки IGMP Поддержка групповой IP-рассылки в службе маршрутизации и удаленного доступа Поддерживаемые конфигурации многоадресной пересылки Средства диагностики См. также • О базовых концепциях групповой IP-рассылки — главу 1 «Введение в TCP/IP» в книге «Сети TCP/IP» из серии «Ресурсы Microsoft Windows 2000 Server».

• Подробнее о поддержке групповой IP-рассылки в TCP/IP для Windows 2000 — главу 2 «Реализация TCP/IP в Windows 2000» в книге «Сети TCP/IP» из се рии «Ресурсы Microsoft Windows 2000 Server».

• Подробнее об удаленном доступе — главу 7 «Сервер удаленного доступа» в этой книге.

• Подробнее о маршрутизаторах под управлением Windows 2000 Server — главу «Служба маршрутизации и удаленного доступа» в этой книге.

Маршрутизация 116 ЧАСТЬ Обзор Кроме поддержки адресной (unicasl) передачи и широковещательной рассылки, IP также предоставляет механизм для приема и передачи группового IP-трафика, Та кой трафик посылается на единственный IP-адрес назначения, БО принимается и обрабатывается несколькими IP-хостами независимо от их местонахождения в меж сетевой IP-среде. Хост прослушивает определенный IP-адрес групповой рассылки и принимает все пакеты, поступающие на этот адрес.

При доставке данных по типу «один-ко-многим» групповая IP-рассылка эффектив нее, чем адресная IP-передача или широковещание. В отличие от адресной переда чи в этом случае посылается только одна копия данных, а трафик — в отличие от широковещания — принимается и обрабатывается лишь теми компьютерами, кото рые прослушивают специальный IP-адрес.

Дополнительные особенности групповой IP-рассылки:

• набор хостов, прослушивающих определенный IP-адрес групповой рассылки, называется группой хостов (host group);

• членство в группах хостов является динамическим: хосты могут в любое время присоединяться к группе и покидать ее;

• никаких ограничений на размер группы хостов не накладывается;

• группа хостов может охватывать IP-маршрутизаторы во множестве сетевых сег ментов. Такая конфигурация требует от IP-маршрутизаторов поддержки много адресной IP-пересылки, а от хостов — способности самостоятельно регистриро ваться на маршрутизаторе. Регистрация хоста осуществляется по протоколу IGMP (Internet Group Managcjnent Protocol);

• хост может посылать трафик на IP-адрес групповой рассылки, даже если он не входит в соответствующую группу хостов.

IP-адреса групповой рассылки, также называемые групповыми адресами (group addresses), относятся к классу О и находятся в диапазоне от 224.0.0.0 до 239.255.255.255 (четыре старших бита устанавливаются как 1110). При использо вании префикса сети или нотации C1DR (Classless Inter-Domain Routing) IP-адре са групповой рассылки суммируются как 224.0.0.0/4. Адреса групповой рассылки в диапазоне от 224.0.0.0 до 224.0.0.255 (224.0.0.0/24) резервируются для локальной подсети, и IP-маршрутизаторы не пересылают на них пакеты независимо от значе ния TTL в IP-заголовках этих пакетов.

IP-адреса групповой рассылки в диапазоне от 224.0.1.0 до 238.255.255.255 либо ре зервируются, либо выделяются какому-либо приложению групповой рассылки.

Адреса от 239.0.0.0 до 239.255.255.255 (239.0.0.0/8) резервируются как адресное пространство групповой рассылки, которое можно разбивать на области. Подроб нее об этих адресах см. раздел «Ограничители групповой рассылки» далее в этой главе.

Вот несколько примеров зарезервированных IP-адресов групповой рассылки:

• 224.0.0.1 — групповая рассылка всем хостам в данной подсети;

• 224.0.0.2 -- групповая рассылка всем маршрутизаторам в данной подсети;

Поддержка групповой IP-рассылки ГЛАВА 4 • 224.0.0.5 — групповая рассылка всем OSPF-маршрутизаторам в какой-либо сети (соответствующая поддержка введена в OSPF версии 2);

• 224.0.0.6 -•- групповая рассылка всем главным OSPF-маршрутизаторам в какой либо сети (соответствующая поддержка введена в OSPF версии 2);

• 224.0.0.9 — используется протоколом RIP версии 2;

• 224.0.1.1 — используется протоколом NTP (Network Time Protocol).

Полный список зарезервированных групповых адресов см. по ссылке Information Sciences Institute на http://windows.microsoft.com/windows2000/reskit/vvebresources.

Подробнее о поддержке групповой IP-рассылки см. RFC 1112.

Взаимосвязь IP-адресов групповой рассылки с эквивалентными МАС-адресами Для поддержки групповой IP-рассылки организации, отвечающие за развитие Ин тернета, зарезервировали диапазон МАС-адресов для Ethernet и FDDI от 01-00- 5Е 00-00-00 до 01-00-5E-7F-FF-FF. Старшие 25 битов 48-битного МАС-адреса зафик сированы, а младшие 23 бита варьируются, как показано па рис. 4-1.

Младшие 23 бита и 5итов 16 битов 24 бита 32 бита 40 битов 1 : Т шЕИ I IP-адрес гру 1повой рассылки,,.ТГ[, ™.

Ethernet-адрес гр упповой рассылк А iI 8i : OJOJG|Q|G 0 1 0 0 оТоГоТоТоШо 1|о \\ 1 •1 BJ 10 1 I Младшие Рис. 4-1. Взаимосвязь между IP-адресами и МАС-адресами Ethernet и FDD. (выделенными для групповой рассылки) IP-адрес групповой рассылки преобразуется в эквивалентный МАС-адрес следую щим образом: младшие 23 бита IP-адреса прямо переписываются в младшие 23 бита МАС-адреса. Первые 4 бита IP-адреса групповой рассылки зафиксированы в соот ветствии с требованиями к адресам класса D, а остальные 5 битов в МАС-адрес групповой рассылки не переносятся. Поэтому хост мог бы обрабатывать пакеты групповой рассылки на МАС-уровне, адресованные группам, к которым этот ^ост не принадлежит. Однако такие пакеты просто отбрасываются IP, если определен IP адрес назначения.

Например, адрес групповой рассылки 22-1.192.16.1 становится МАС-адресом 01-00 5Е-40-10-01. IP-адрес преобразуется в эквивалентный МАС-адрес следующим об разом. Первый октет отбрасывается, а из второго октета используются лишь пос ледние 7 битов. Третий и четвертый октеты преобразуются непосредственно в ыес тнадцатеричныс числа. Второй октет (192) в двоичном виде выглядит как 11000000.

Если Вы отбросите старший бит, то получите 1000000 в двоичном виде, 64 в деся тичном или 0x40 в шестнадцатиричном. Следующий октет (16) в шест над цате чич Маршрутизация 118 ЧАСТЬ ной форме рапен 0x10, а последний октет (1) — 0x01. Таким образом, из IP-адреса 224.192.16.1 получается соответствующий МАС-адрес 01-00-5Е-40-10-01.

В Token Ring для получения эквивалентных МАС-адресов групповой рассылки при меняется тот же метод. Однако многие сетевые адаптеры Token Ring этот метод не поддерживают. Так что для любого трафика групповой IP-рассылки в сетях Token Ring но умолчанию используется функциональный адрес ОхСО-00-00-04-00-00, Подробнее о поддержке групповой IP-рассылки в Token Ring см. RFC 1469.

Примечание Windows NT версий 4.0 (или ниже) не поддерживает групповую IP-рассылку при использовании сетевых адаптеров Token Ring.

Интрасеть с поддержкой групповой IP-рассылки В интрассти с поддержкой групповой IP-рассылки любой хост может отправить групповой трафик на любой групповой адрес и принять его с любого группового адреса независимо от своего местонахождения. Для реализации такой возможнос ти групповая IP-рассылка должна поддерживаться всеми хостами и маршрутиза торами в интрасети.

Хосты Хост поддерживает групповую IP-рассылку на одном из следующих уровней:

• уровень 0 — прием и передача группового IP-трафика не поддерживается;

• уровень 1 — поддерживается только передача группового IP-трафика;

• уровень 2 — поддерживается и прием, и передача группового 1Р-трафика.

TCP/IP в Windows 2000 поддерживает все эти уровни и по умолчанию настроен на уровень 2. О том, как изменить уровень поддержки групповой рассылки, см. гла ву 2 «Реализация TCP/IP в Windows 200()>> в книге «Сети TCP/IP» из серии «Ре сурсы Microsoft Windows 2000 Server».

Чтобы послать групповой IP-пакет, хост должен выполнить следующие операции.

• Определить нужный IP-адрес групповой рассылки.

Выбирая этот адрес, приложение должно сначала определить: создать новую группу хостов или использовать одну из существующих. Чтобы присоединить ся к существующей группе хостов, приложение с помощью какого-либо прото кола поиска службы выясняет групповой адрес для конкретной службы.

Адрес групповой рассылки для новой группы хостов может быть либо опреде лен приложением, либо получен через какой-либо механизм, который выделяет уникальный адрес групповой рассылки, например через протокол MADCAP (Multicast Address Dynamic Client Allocation Protocol). MADCAP — это расши рение протокола DHCP (Dynamic Hosl Configuration Protocol), которое можно использовать для поддержки динамического назначения и конфигурирования IP-адресов групповой рассылки в ТСР/1Р-сетях.

DHCP-области обеспечивают выделение клиентам диапазонов одновещатель ных IP-адресов,, а MADCAP-области — диапазонов IP-адресов групповой рас сылки. Подробнее о MADCAP и его поддержке в Windows 2000 см. главу ГЛАВА 4 Поддержка групповой IP-рассылки «DHCP» в книге «Сети TCP/IP» из серии «Ресурсы Microsoft Windows Server».

• Поместить групповой IP-пакет в несущую среду.

Хост-отправитель должен сформировать IP-пакет, содержащий нужный группе* вой IP-адрес назначения, и поместить его в несущую среду. Если используются сетевые технологии разделяемого доступа, например Ethernet, FDDI или Token Ring, то групповой IP-адрес сначала преобразуется в МАС-адрес назначения, Чтобы принять групповой IP-пакет, хост должен выполнить следующие операции.

• Сообщить IP о приеме группового трафика.

Определяя IP-адрес групповой рассылки, приложение должно сначала решить:

создать новую группу хостов или использовать одну из существующих. Чтобы присоединиться к существующей группе хостов, приложение с помощью клко го-либо протокола поиска службы выясняет групповой адрес для конкретной службы.

Определив групповой адрес, приложение должно уведомить IP о приеме груп пового трафика на указанный групповой IP-адрес назначения. Если этим адре сом пользуется несколько приложений, IP должен передать копию группового трафика каждому приложению. По мере того как приложения присоединяются к какой-либо группе хостов или покидают ее, IP должен вести учет, какие при ложения используют групповые адреса и что это за адреса. А в случае многоад ресных хостов IP должен отслеживать членство приложений в группах хо«тои применительно к каждой подсети, • Сообщить МАС-адрес групповой рассылки сетевому адаптеру.

Если сетевая технология поддерживает аппаратные средства групповой рассыл ки, тогда сетевому адаптеру указывается передать пакеты па конкретный адрес групповой рассылки. В случае технологий разделяемого доступа типа Ethernet, FDDI или Token Ring запрограммировать сетевой адаптер так, чтобы он реаги ровал на групповой МАС-адрес, соответствующий нужному IP-адресу группо вой рассылки, можно с помощью функции NdisRequest.

• Уведомить локальные маршрутизаторы.

Хост должен уведомить маршрутизаторы и локальной подсети о том, что он про слушивает групповой трафик по определенному групповому адресу. Для регис трации информации о группе хостов используется протокол IGMP (Internet Group Management Protocol).

IGMP необходим на всех хостах, поддерживающих групповую IP-рассылку на уровне 2. Для регистрации своего членства в определенной группе хост посыла ет IGMP-сообщение Host Membership Report. TCP/IP в Windows 2000 поддер живает IGMP версии 2. Подробнее об IGMP см. разделы «IGMP v l » и «IGMP v2» далее в этой главе.

Маршрутизаторы Для пересылки групповых IP-пакетов только в те подсети, в которых есть члены каких-либо групп хостов, маршрутизатор группового IP-трафика должен:

• принимать весь групповой 1Р-трафик;

Маршрутизация 120 ЧАСТЬ • пересылать групповой IP-трафик;

• принимать и обрабатывать IGMP-сообщения Host Membership Report;

• получать от подключенных к нему подсетей информацию о членстве хостов в группах;

• передавать эту информацию другим маршрутизаторам группового 1Р-трафика.

Прием всего группового IP-трафика В случае таких технологий разделяемого доступа, как Ethernet и FDDI, нормаль ный режим работы сетевых адаптеров — режим адресного прослушивания (unicast listening mode). Режим прослушивания — это метод, по которому сетевой адаптер анализирует MAC-адреса назначения входящих кадров, решая, как обрабатывать их дальше. В режиме адресного прослушивания для дальнейшей обработки отбирают ся только те кадры, чьи МАС-адреса назначения присутствуют в таблице МАС-ад ресов назначения сетевого адаптера. Как правило, это широковещательный адрес (OxFF-FF-FF-FF-FF-FF) и одновешательный, также называемый МАС-адресом се тевого адаптера.

Однако, чтобы маршрутизатор группового ТР-трафика мог принимать весь такой трафик, он должен перевести сетевой адаптер в особый режим прослушивания, на зываемый режимом прослушивания смешанного группового трафика (multicast promiscuous mode). В этом режиме сетевой адаптер анализирует состояние бита — признака группового адреса (multicast, hit), определенного IEEE (Institute of Elect rical and Electronics Engineers), чтобы выяснить, требует ли данный кадр дальней шей обработки. В Ethernet и FDDI это последний бит первого байта МАС-адрсса назначения.

Признак группового адреса может принимать следующие значения:

• 0 — данный адрес является одновещательным, или индивидуальным;

• 1 — данный адрес является групповым, или адресом групповой рассылки. То же значение устанавливается и для широковещательного адреса.

Сетевой адаптер, переведенный в режим прослушивания смешанного группового трафика, отбирает для дальнейшей обработки любые кадры с установленным би том — признаком группового адреса.

Режим прослушивания смешанного группового трафика отличается от режима про слушивания смешанного трафика (promiscuous mode). В последнем случае на даль нейшую обработку передаются все кадры независимо от МАС-адреса назначения.

Режим прослушивания смешанного трафика используется анализаторами протоко лов, например полной версией Microsoft Network Monitor (Сетевой монитор), ко торая поставляется с Microsoft Systems Management Server.

Режим прослушивания смешанного группового трафика поддерживается большин ством сетевых адаптеров. Однако сетевой адаптер, который поддерживает режим прослушивания смешанного трафика, может не поддерживать режим прослушива ния смешанного группового графика. Проверьте документации) на Ваш сетевой адаптер или выясните у его изготовителя, поддерживает ли этот сетевой адаптер режим прослушивания смешанного группового трафика.

Поддержка групповой IP-рассылки ГЛАВА 4 Пересылка группового IP-трафика Поддержка пересылки групповых IP-пакетов предусмотрена в TCP/IP, и его реа лизация в Windows 2000 включает соответствующую функциональность. Если мно гоадресная пересылка разрешена, маршрутизатор анализирует групповые IP-паке ты из нелокальных подсетей, чтобы определить, по каким интерфейсам следует переслать тот или иной пакет. Анализ осуществляется сравнением групповогс ад реса назначения с записями в таблице многоадресной IP-пересылки (IP multicast forwarding table). При приеме нелокального группового IP-пакета значение T"L о его IP-заголовке уменьшается на 1. Если после этой операции значение TTL оста ется ненулевым, проверяется содержимое таблицы многоадресной 1Р-псрссы'[Ки.

Если в ней есть запись, подходящая для данного группового IP-адреса назначения, групповой IP-пакет с новым значением TTL пересылается по соответствующим интерфейсам.

Процесс многоадресной пересылки (multicast forwarding process) не делает ника ких различий между хостами в локально подключенных подсетях, принимающими групповой трафик, и хостами, доступными через другой маршрутизатор, который расположен далее по пути передачи этого трафика. Иначе говоря, маршрутизатор группового трафика может переслать групповой пакет в подсеть, где нет хостов, ожидающих групповой трафик. Так происходит потому, что другой маршрутизатор в той подсети сообщает, что па одном из его маршрутов имеется хост, принимаю щий групповой трафик.

В таблице многоадресной IP-пересылки регистрируется лишь тот факт, что для та кого-то группового адреса имеется по крайней мере один член группы хостои, список и количество членов групп хостов не фиксируются.

О том, как просмотреть таблицу многоадресной IP-пересылки на компьютере под управлением Windows 2000 Server и службы маршрутизации и удаленного досту па, см. раздел «Средства диагностики» далее в этой главе.

Многоадресная пересылка разрешена, если параметру EnableMuIticastForwarding в разделе HKEY_LOCAL_MACHINE\Systein\CurrentControlSet\Scrvices\Tcpip\ Parameters присвоено значение 1. Этот параметр создается и получает значение, равное 1, при установке службы маршрутизации и удаленного доступа.

Внимание Не модифицируйте реестр самостоятельно (с помощью редактора реест ра) — делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит стандартные средства зашиты, призванные не допускать ввода конфликтующих значений параметров, а также тех, которые могут снизить быстродействие системы или привести к ее краху. Прямое редактирование реестра может повлечь за собой непредсказуемые последствия, и Вам придется переустанавливать Windows 2000. Для настройки и конфигурирова ния Windows 2000 по возможности используйте Control Panel (Панель управления) или Microsoft Management Console (Консоль управления Microsoft).

Прием и обработка IGMP-сообщений Host Membership Report Маршрутизаторы группового трафика принимают IGMP-сообщения Host Mem bership Report от всех хостов во всех локально подключенных подсетях. Эти ин формация используется для отслеживания членства хостов в группах и записыва Маршрутизация 122 ЧАСТЬ ется в таблицу многоадресной пересылки. Поскольку такие маршрутизаторы рабо тают в режиме прослушивания смешанного группового трафика, они принимают все IGMP-сообщения Host Membership Report, посылаемые по любому группово му адресу.

В службе маршрутизации и удаленного доступа Windows 2000 эта функциональ ность становится доступной после добавления протокола маршрутизации IGMP и включения на интерфейсе режима работы в качестве IGMP-маршрутизатора. Под робнее см. раздел «Протокол IGMP» далее в этой главе.

Получение от подключенных подсетей информации о членстве хостов в группах Б подсети могут находиться хосты как с TGMP vl, так и с IGMP v2. Хост IGMP vl, прекращая прием группового IP-трафика по какому-либо групповому адресу (т. е.

покидая соответствующую группу хостов), не уведомляет об этом локальные мар шрутизаторы. Если он был последним членом группы в данной подсети, локаль ные маршрутизаторы какое-то время продолжают пересылать групповой трафик этой группе в этой подсети до тех пор, пока самостоятельно не выяснят, что груп пы больше нет.

Чтобы уменьшить интервал между тем, когда последний хост покидает группу, и тем, когда прекращается пересылка группового трафика для этой группы в данной подсети, маршрутизаторы группового трафика периодически посылают в локаль ную подсеть IGMP-сообщения Host Membership Query, запрашивая информацию о членстве хостов в группах. Какой-либо хост, все еще являющийся членом группы, отвечает на этот запрос IGMP-сообщением Host Membership Report. Чтобы предот вратить посылку таких сообщений несколькими хостами одной и той же группы, хосты настраиваются на передачу IGMP-сообщения Host Membership Report с не которой задержкой, варьируемой случайным образом. Если такое сообщение уже послано одним из хостов в подсети, остальные хосты его не посылают.

Чтобы еще больше сократить упомянутый выше интервал, хост IGMP v2, покидая какую-либо группу в подсети, посылает IGMP-сообщение Leave Group. Тогда мар шрутизатор IGMP v2 направляет этой группе запросы и, если в ней больше нет хостов в данной подсети, не получает никаких ответов. Благодаря этому маршру тизатор IGMP v2 быстро узнает, что членов данной группы в данной подсети боль ше нет, и прекращает пересылку соответствующего группового трафика.

Передача информации о членстве хостов в группах другим маршрутизаторам группового IP-трафика Чтобы создать межсетевую IP-среду, которая поддерживает групповую рассылку и содержит более одного маршрутизатора, маршрутизаторы групповой рассылки дол жны обмениваться друг с другом информацией о членстве хостов в группах — тог да члены групп смогут получать групповой IP-трафик независимо от своего место нахождения в межсетевой IP-среде.

Маршрутизаторы групповой рассылки обмениваются информацией о членстве хо стов в группах с использованием одного из протоколов многоадресной маршрути зации, например DVMRP (Distance Vector Multicast Routing Protocol), MOSPF (Multicast Open Shortest Path First) или PIM (Protocol Independent Multicast).

Информация о членстве в группах передается либо в явном виде (путем обмена ГЛАВА 4 Поддержка групповой IP-рассылки сведениями о групповых адресах и подсетях), либо в неявном (уведомлением мар шрутизаторов, расположенных ближе к источнику группового трафика, о том, су ществуют ли члены групп далее па пути от этого источника).

Протокол многоадресной маршрутизации (multicast routing protocol) предназна чен для:

• пересылки трафика от источника с запретом возвратов во избежание петель мар шрутизации;

• минимизации или полного исключения пересылки группового трафика в те под сети, которым этот трафик не нужен;

• минимизации нагрузки на центральный процессор и память маршрутизатора для большей масштабируемости;

• минимизации издержек, связанных с применением протокола маршрутизации;

• уменьшения времени, уходящего на то, чтобы первый хост, присоединившийся к группе в какой-либо подсети, начал получать групповой трафик.

Многоадресная маршрутизация сложнее, чем одноадресная. При одноадресной мар шрутизации трафик пересылается на глобально уникальный адрес назначения.

Маршруты суммируют диапазоны глобально уникальных адресов назначения. К ро ме того, такие маршруты относительно постоянны и обновляются лишь при изме нении топологии межсетевой IP-среды.

При многоадресной маршрутизации групповой трафик пересылается группам хос тов, изменчивым но своему составу. Групповые адреса представляют индивидуаль ные группы и, как правило, их нельзя суммировать в таблице многоадресной пере сылки. Местонахождение членов групп непостоянно, и маршрутизаторам группо вого трафика приходится обновлять таблицы многоадресной пересылки всякий раз, когда какой-либо хост присоединяется к группе или покидает ее.

Если протоколы одноадресной маршрутизации обновляют таблицу (адресной) IP пересылки, то протоколы многоадресной маршрутизации — таблицу многоадресной IP-пересылки. Служба маршрутизации и удаленного доступа в Windows 2000 не содержит никаких протоколов многоадресной маршрутизации, но предоставляет платформу, на которой они могут работать. Единственный компонент Win dows 2000, способный обновлять записи в таблице многоадресной маршрутиза ции, - 1GMP.

МВопе MBone (Internet Multicast Backbone) — это часть Интернета, которая ноддержлва ст многоадресную маршрутизацию и пересылку группового IP-трафика, генериру емого в Интернете. Структура МВопе представляет собой серию островков, под держивающих многоадресную пересылку (multicast-enabled islands), — наборы смежных сетей, соединенные друг е другом туннелями. Групповой трафик переда ется от одного островка другому методом туннелирования, т. с. инкапсулирования группового IP-пакета в пакет с дополнительным IP-заголовком;

этот пакет переда ется между маршрутизаторами островков, поддерживающих многоадресную пере сылку. Туннелирование обеспечивает передачу группового трафика по тем участ кам Интернета, где нет поддержки многоадресной пересылки.

Маршрутизация 124 ЧАСТЬ МВопе используется для групповой трансляции аудио- и видеоинформации с со вещаний IETF, из NASA (National Aeronautics and Space Administration), Палаты представителей и Сената США, а также некоторых других учреждений. Разные провайдеры услуг Интернета по-разному реализуют поддержку МВопе.

IGMP IGMP (Internet Group Management Protocol) применяется между хостами и их ло кальным маршрутизатором группового трафика. IGMP-сообщения инкапсулируют ся IP и используют номер IP-протокола 0x02.

Существует две версии TGMP.

• Версия 1 (IGMP vl) поддерживается TCP/IP в Windows NT версии 4.0 с Service Pack 3 (или ниже) и в Windows 95.

• Версия 2 (IGMP v2) поддерживается TCP/IP в Windows NT 4.0 Service Pack (и выше), в Windows 98 и Windows 2000.

IGMP v2 обратно совместим с IGMP v l. Различия между этими двумя версиями рассматриваются в следующих разделах.

Примечание IGMP применяется только для поддержки членства хостов в группах в локальной подсети. Групповой IP-трафик посылается без IGMP-заголовка. В ти пичном случае для группового IP-трафика используются UDP-заголовки.

IGMP v IGMP версии 1 — простой протокол, предусматривающий всего два сообщения.

Структура этих сообщений показана на рис. 4-2.

Версия llil Не используется Контрольная сумма Групповой адрес Рис, 4-2. Структура сообщений IGMP vl Версия. Поле длиной в 4 бита, в которое записывается значение 0x1 для IGMP vl.

Тип. Поле длиной в 4 бита, содержащее либо 0x1, либо 0x2. Первое значение ука зывает на то. что данное сообщение — Host Membership Query, посланное маршру тизатором группового IP-трафика в подсеть для получения текущей информации о членстве хостов в группах. Второе значение указывает на то, что данное сообще ние — HOSL Membership Report, посланное хостом при присоединении к какой-либо группе или в ответ на сообщение Host Membership Query.

Не используемое поле. Однобайтовое поле, устанавливаемое отправителем в 0x и игнорируемое получателем. Не используется.

Контрольная сумма. Двухбайтовое поле, в которое записывается 16-битная кон трольная сумма для данного IGMP-сообщения. Контрольная сумма IGMP не вклю чает IP-заголовок.

Поддержка групповой IP-рассылки ГЛАВА 4 Групповой адрес. Четырехбайтовое поле, которое в сообщении Host Membership Query содержит 0.0.0.0, а в сообщении Host Membership Report — конкретный груп повой адрес.

Сообщение Host Membership Report Когда хост присоединяется к группе многоадресной рассылки, он посылает IGMP сообщение Host Membership Report на определенный групповой адрес независимо от того, имеются ли в его подсети другие хосты, уже являющиеся членами этой группы. В отличие от маршрутизатора группового трафика хост не отслеживает членство других хостов в группах. Поскольку в данном случае маршрутизатор ра ботает в режиме прослушивания смешанного группового трафика, он полу част и обрабатывает IGMP-сообщения Host Membership Report, посылаемые на любой групповой адрес.

Если служба маршрутизации и удаленного доступа в Windows 2000 сконфигуриро вана на использование протокола маршрутизации IGMP, если какой-либо интер фейс работает в режиме IGMP-маршрутизатора и если к группе хостов в контс >ет пой подсети присоединяется первый хост, то протокол IGMP создает запись в таб лице групп этого интерфейса (interface group table). При необходимости создастся и запись в таблице многоадресной IP-маршрутизации;

в ней отмечается регистри руемый групповой адрес и интерфейс, по которому было принято IGMP-сообще ние Host Membership Reporl.

Сообщение Host Membership Query Маршрутизатор TGMP vl периодически посылает IGMP-сообщение Host Mem bership Query на адрес 224.0.0.1 (адрес рассылки всем группам хостов), чтобы об новить свою информацию о членстве хостов в группах в данной подсети. В каждой группе хостов, члены которой имеются в дайной подсети, один из хостов отвечает IGMP-сообщением Host Membership Report. Механизм ответа на запрос маршру тизатора о членстве хостов в группах был рассмотрен в одном из предыдущих раз делов.

Получив ответ от группы хостов, служба маршрутизации и удаленного доступа в Windows 2000 продлевает срок действия соответствующей записи в таблице групп IGMP-интерфейса и оставляет в таблице многоадресной IP-пересылки запись для данной группы хостов. Если ответ на запрос по какой-либо группе хостов не по ступает и срок действия соответствующей записи в таблице групп IGMP-интерфей са истекает, то IGMP удаляет запись о группе хостов из таблицы многоадресной пересылки.

Значения IP-адресов источника и приемника, TTL в IP-заголовке и групповые ад реса в IGMP-заголовке для двух типов сообщений IGMP vl показаны в таблице 4-1.

Таблица 4-1. Адреса и значения TTL, используемые для сообщений IGMP vl Адрес Host Membership Query Host Membership Report IP-адрес источника [IP-адрес интерфейса [IP-адрес интерфейса хоста] маршрутизатора] IP-адрес приемника 224.0.0.1 [Групповой адрес] TTL 1 Групповой адрес 0.0.0.0 [Групповой адрес] Маршрутизация 126 ЧАСТЬ Более подробную информацию см. в RFC 1112 (Appendix I).

IGMP v IGMP версии 2 расширяет функциональность IGMP, в то же время сохраняя об ратную совместимость с IGMP версии 1, При использовании IGMP vl выбор маршрутизатора, посылающего периодические запросы, осуществляется протоколами многоадресной маршрутизации. В IGMP v процесс выборов такого маршрутизатора упрощен: в каждой подсети назначается один маршрутизатор, периодически посылающий IGMP-сообщения Host Member ship Query. На его роль избирается маршрутизатор с наименьшим числовым значе нием IP-адреса. Процесс выборов заключается в том, что маршрутизатор прослу шивает IGMP-запросы от других маршрутизаторов. Если принимается запрос с меньшим значением IP-адреса источника, слушающий остается рядовым маршру тизатором. Если запросы от других маршрутизаторов не поступают, слушающий становится опрашивающим — маршрутизатором, который периодически рассылает запросы.

В IGMP v2 введено два новых типа сообщений: Host Membership Report v2 и Leave Group. Кроме того, добавлена разновидность сообщения Host Membership Query — Group-Specific Host Membership Query. Детальное описание этих сообщений см. в следующих разделах.

Структура сообщений IGMP v2 показана на рис. 4-3.

Inn Максимальное время ответа Контрольная сумма Групповой адрес Рис. 4-3. Структура сообщений IGMP v Тип. Указывает тип IGMP-пакета. В IGMP v2 два четырехбитовых поля версии и типа, используемые IGMP vl, объединены в одно восьмибитовое поле типа.

Типы сообщений IGMP v2 представлены в таблице 4-2.

Таблица 4-2. Типы сообщений IGMP v Десятичное Шестнздцатеричное значение значение Тип сообщения и описание 0x11 (поле версии IGMP v l, 17 Сообщение Host Membership Query. Для равное 0x1, и поле типа IGMP vl, общего запроса в поле группового адреса равное 0x1, становится полем записывается 0.0.0.0, а для запроса, адресо типа IGMP v2, равным 0x11) ванного конкретной группе. •- адрес группы хостов.

0x12 (поле версии TGMP vl. 18 Сообщение Host Membership Report.

равное 0x1, и поле типа IGMP vl. Поле группового адреса указывает равное 0x2, становится полем на группу хостов.

типа IGMP v2, равным 0x12) Сообщение Host Membership Report 0x16 версии 2. Поло группового адреса указывает па группу хостов.

ГЛАВА 4 Поддержка групповой IP-рассылки Таблица 4-2. (продолжение) Десятичное Шестнадцатеричное значение значение Тип сообщения и описание 0x17 23 Сообщение Leave Group. Поле группового адреса укалывает на группу хостов.

Максимальное время ответа. Однобайтовое поле, которое указывает максималь ное время задержки (в десятых долях секунды), допустимой перед отправкой сооб щения Host Membership Report в ответ на сообщение Host Membership Query. Это поле используется только в общих или адресованных конкретной группе запросах, Его значение соответствует значению параметра Query Response Interval (Интер вал между ответами на запросы), который можно настроить одним из двух способов:

• на вкладке Router (Маршрутизатор) окна свойств IGMP-интерфейса в оснаст ке Routing and Remote Access (Маршрутизация и удаленный доступ);

• командой netsh routing ip igmp set interface.

Контрольная сумма. Двухбайтовое поле, в которое записывается 16-битная кон трольная сумма для данного IGMP-сообщения. Контрольная сумма IGMP не вклю чает IP-заголовок.

Групповой адрес. Четырехбайтовое поле, которое в общем сообщении Host Mem bership Query содержит 0.0.0.0, а в сообщениях Host Membership Report, Leave Group и в адресованном конкретной группе Host Membership Query — конкретный групповой адрес.

IGMP-сообщение Host Membership Report версии Это сообщение выполняет ту же функцию, что и IGMP-сообщение Host Member ship Report версии 1, но принимается только маршрутизаторами IGMP v2.

Сообщение Leave Group Сообщение Leave Group позволяет сократить время, затрачиваемое на то, чтобы маршрутизатор прекратил пересылку группового трафика группе, в которой боль ше нет хостов. Если какой-нибудь хост отвечает на последний IGMP-запрос, он может быть последним или единственным членом данной группы хостов. Когда этот хост покидает группу, он посылает IGMP-сообщение Leave Group на адрес 224.0.0.2 (адрес рассылки всем маршрутизаторам в данной подсети). Получив со общение Leave Group, маршрутизатор посылает серию запросов, адресованных дан.ной группе хостов. Если ни один хост не отвечает, маршрутизатор считает, что в данной группе больше нет хостов из данной подсети, и удаляет соответствующую запись из таблицы групп IGMP-интсрфейса.

IGMP-запрос, адресованный конкретной группе IGMP-сообщение Host Membership Query посылается на адрес 224.0.0.1 (адрес рас сылки всем группам хостов), чтобы получить информацию о членстве хосте в в группах применительно к данной подсети. Маршрутизаторы IGMP v2 также могут посылать запрос, адресованный конкретной группе (направляемый непосредствен но на адрес этой группы).

Маршрутизация 128 ЧАСТЬ Значении IP-адресов источника и приемника, TTL в IP-заголовке и групповые ад реса в ЮМР-заголовке для двух дополнительных типов сообщений IGMP v2 по казаны в таблице 4-3.

Таблица 4-3. Адреса и значения TTL, используемые для сообщений IGMP v IGMP-залрос, адресованный Адрес конкретной группе IGMP-сообщение Leave Group IP-адрес источника [IP-адрес интерфейса [IP-адрес интерфейса хоста] маршрутизатора] IP-адрес приемника [Запрашиваемая группа хостов] 224.0.0. TTL I I Групповой адрес [Запрашиваемая группа хостов] [Покидаемая группа хостов] Более подробную информацию см. в RFC 2236, Поддержка групповой IP-рассылки в службе маршрутизации и удаленного доступа Поддержка групповой IP-рассылки, предоставляемая службой маршрутизации и удаленного доступа в Windows 2000, состоит из следующих элементов:

• протокола IGMP;

• ограничителей групповой рассылки (multicast boundaries);

• пульса групповой рассылки (multicast heartbeat);

* • туннелей IP-B-IP (IP-in-IP tunnels):

• многоадресных статических маршрутов (multicast static routes).

Протокол IGMP Поскольку с Windows 2000 никаких протоколов многоадресной маршрутизации не поставляется, поддержка записей в таблице многоадресной IP-пересылки возлага ется на IGMP -- компонент, добавляемый как один из протоколов маршрутизации IP. После установки IGMP к нему добавляются интерфейсы маршрутизатора. Каж дый интерфейс, добавленный к протоколу маршрутизации IGMP, можно настроить на работу в одном из двух режимов: IGMP-маршрутизатора и IGMP-прокси. Эти режимы подробно рассматриваются в следующих разделах.

Хотя IGMP предоставляет некоторые, довольно ограниченные возможности для создания или расширения межсетевой IP-среды с поддержкой многоадресной мар шрутизации, он не является протоколом многоадресной маршрутизации, как, на пример, DVMRP или PIM. Не используйте IGMP в Windows 2000 для создания межсетевой IP-среды с поддержкой многоадресной маршрутизации произвольного размера или топологии. Подробнее о том, как можно применить маршрутизаторы Windows 2000 с установленным протоколом маршрутизации IGMP, см. раздел «Поддерживаемые конфигурации многоадресной пересылки» далее в этой главе.

В русской версии Windows 2000 Server этот термин называется пульсом многоадресной рассылки. -- Прим, перев.

Поддержка групповой IP-рассылки ГЛАВА 4 Режим IGMP-маршрутизатора Если IGMP-интерфейс настроен на режим IGMP-маршрутизатора, он выполняет следующие функции.

• Работает в режиме прослушивания смешанного группового трафика. Если такой режим не поддерживается сетевым адаптером, в системном журнале регис трируется событие 20157 диспетчера IP-маршрутизатора (IP Router Managei).

• Прослушивает IGMP-сообщения Host Membership Report и Leave Group.

Интерфейс и режиме IGMP-маршрутизатора прослушивает IGMP-сообщения Host Membership Report и Leave Group, посылаемые хостами в подсети.

• Посылает IGMP-сообщения Host Membership Query, Интерфейс в режиме IGMP-маршрутизатора периодически посылает общие и адресованные конкрет ной группе хостов запросы после приема сообщения Leave Group.

• Участвует в выборах опрашивающего IGMP-маршрутизатора (IGMP querier).

Интерфейс в режиме IGMP-маршрутизатора участвует в выборах опрашимаю щего IGMP-маршрутизатора в своей подсети.

• Обрабатывает записи в таблице многоадресной IP-пересылки. На основе те кущей информации о членстве хостов в группах в подсети IGMP ведет соответ ствующие записи в таблице многоадресной IP-пересылки.

Режим IGMP-маршрутизатора может быть разрешен на нескольких интерфейсах, причем на каждом интерфейсе можно включить любую из версий IGMP. По умол чанию предлагается IGMP v2.

Параметры режима IGMP-маршрутизатора IGMP v2, работающий в режиме IGMP-маршрутизатора, настраивается на каждом интерфейсе отдельно. Бы можете модифицировать соответствующие параметры, используя:

• вкладку Router (Маршрутизатор) окна свойств IGMP-иптерфсйса в оснастке Rouiing and Remote Access (Маршрутизация и удаленный доступ):

• команду netsh routing ip igmp set interface.

Па рис. 4-4 показаны параметры режима IGMP-маршрутизатора для интерфейса Local Area Connection (Подключение по локальной сети) в оснастке Routing and Remote Access.

Robustness Variable (Переменная надежности). Переменная, которая служит ин дикатором того, насколько чувствительна подсеть к потере пакетов. IGMP обеспе чивает восстановление, если потери IGMP-пакетов не превышают значение пере менной надежности за вычетом единицы. Вы можете указать другое значение этого параметра, отличное от предлагаемого но умолчанию (2). Переменная надежности должна быть не менее чем 2.

Query Interval (Интервал между запросами). Промежуток времени (в секундах) между общими IGMP-запросами, посылаемыми маршрутизатором (если данный маршрутизатор является опрашивающим в этой подсети). Интервал по умолчанию — 125 секунд.

Маршрутизация 130 ЧАСТЬ eca( Area LenmH-Hun praps* ties S^lupqugyi-ourtt Uuffiemba query count Enable шотайс. recalculate»! > I rsnp f) q икнет plesen! t Рис. 4-4. Параметры маршрутизатора IGMP v Query Response Interval (Интервал между ответами на запросы). Максималь ное время ожидания (в секундах) IGMP-маршрутизатора ответа на общий запрос.

Интервал между ответами на запросы представляет содержимое поля максималь ного времени ответа в IGMP-сообщении Host Membership Query v2. Интервал по умолчанию — 10 секунд (должен быть меньше интервала между запросами).

Last Member Query Interval (Интервал между запросами последнего участника).

Время ожидания (в секундах) IGMP-маршрутизатора ответа на запрос, адресован ный конкретной группе. Этот параметр также представляет собой интервал (в се кундах) между успешными запросами, адресованными конкретной группе. Интер вал по умолчанию — 1 секунда.

Calculated Defaults (Вычисляемые значения по умолчанию). IGMP-переменные настраиваются вручную или автоматически — на основе значений переменной на дежности и интервала между запросами. Для автоматической настройки установи те флажок Enable automatic recalculation of defaults (Разрешить автоматический пересчет умолчаний).

Startup Query Interval (Интервал между запросами при запуске). Интервал (в секундах) между успешными общими запросами, которые посылаются опрашива ющим маршрутизатором в процессе запуска. Этот интервал по умолчанию состав ляет четверть интервала между запросами.

Startup Query Count (Счетчик запросов при запуске). Число общих запросов, посылаемых при запуске. Значение этого счетчика по умолчанию — 2.

Last Member Query Count (Счетчик запросов последнего участника). Число ад ресованных конкретной группе запросов, посылаемых перед тем, как данный мар шрутизатор будет считать, что в группе, запрашиваемой по данному интерфейсу, больше нет хостов. Значение этого счетчика по умолчанию — 2.

Поддержка групповой IP-рассылки ГЛАВА 4 Enable Automatic Recalculation of Defaults (Разрешить автоматический пересчет умолчаний). Указывает, надо ли автоматически вычислять значения интервала между запросами и счетчика запросов при запуске, а также счетчика запросов пос леднего участника. Вычисления осуществляются так:

• интервал между запросами при запуске приравнивается четверти интервала между запросами;

• счетчики запросов при запуске и запросов последнего участника получают то же значение, что и переменная надежности.

Group Membership Interval (Интервал принадлежности к группе). Время (в се кундах), по истечении которого маршрутизатор группового трафика считает, что в группе хостов больше нет членов, находящихся в данной подсети. Этот интервал вычисляется как (неременная надежности) * (интервал между запросами) + (интер вал между ответами на запросы). Данный параметр определяется на основе вычис лений, и его нельзя модифицировать вручную, Other Querier Present Interval (Интервал проверки присутствия других опрос чиков). Время (в секундах), по истечении которого данный маршрутизатор груп пового трафика считает, что другие маршрутизаторы группового трафика не могут быть опрашивающими. Этот интервал вычисляется как [(переменная надежности) • (интервал между запросами) + (интервал между ответами на запросы)] / 2. Дан ный параметр определяется па основе вычислений, и его нельзя модифицировать вручную.

Примечание Подробнее об этих параметрах и их взаимосвязи см. RFC 2236.

Режим IGMP-прокси Если режим IGMP-маршрутизатора позволяет использовать интерфейс маршрути затора для многоадресной пересылки, то режим IGMP-прокси — в качестве про кси-узла многоадресной пересылки (multicast proxy) для хостов, подключенных к интерфейсам, работающим в режиме IGMP-маршрутизатора. Когда IGMP-итер фейс настроен на режим IGMP-прокси, он выполняет следующие функции.

• Пересылает IGMP-сообщения Host Membership Report.

Все IGMP-сообщения Host Membership Report, принятые на интерфейсах, ра ботающих в режиме IGMP-маршрутизатора, ретранслируются по интерфейсу, работающему в режиме IGMP-прокси.

• Регистрирует МАС-адреса групповой (многоадресной) рассылки.

При использовании сетевых технологий разделяемого доступа типа Ethernet сетевой адаптер поначалу остается в режиме прослушивания адресного трафи ка. Для каждой уникальной группы хостов, зарегистрированной IGMP-сообще нием Host Membership Report, которое пересылается на интерфейс IGMP-i po кси, сетевой адаптер программируется на сквозную передачу кадров с соответ ствующим МАС-адресом групповой рассылки. Каждый дополнительный груп повой МАС-адрес требует отдельной записи в таблице MAC-адресов назначе ния на сетевом адаптере. Максимальное число записей в этой таблице ограни чено и зависит от конкретного сетевого адаптера. Как только эта таблица пол 132 ЧАСТЬ 1 Маршрутизация ностыо заполняется, протокол маршрутизации IGMP переводит сетевой адап тер в режим прослушивания смешанного группового трафика.

• Добавляет записи в таблицу многоадресной пересылки.

Когда интерфейс, работающий в режиме IGMP-маршрутизатора, принимает не локальный групповой трафик, протокол маршрутизации IGMP добавляет или обновляет запись в таблице многоадресной пересылки для дальнейшей переда чи этого группового трафика с интерфейса lGMP-нрокси. Конечный результат этого процесса заключается в том, что любой нелокальный групповой трафик, принятый по интерфейсу режима IGMP-маршрутизатора, копируется па интер фейс IGMP-прокеи.

• Принимает групповой трафик, полученный интерфейсами IGMP-прокси.

Групповой трафик, принимаемый по интерфейсу IGMP-прокеи и адресованный группам, которые зарегистрированы хостами, подключенными к интерфейсам режима IGMP-маршрутизатора, перенаправляется на соответствующие интер фейсы с использованием IP-протокола и таблицы многоадресной пересылки.

Предназначение режима IGMP-прокси подключить маршрутизатор Windows к межсетевой IP-среде с поддержкой многоадресной пересылки, например к МВопе, или к частной интрасети, в которой используются протоколы многоадресной мар шрутизации иролс DVMRP и PIM. Интерфейс, работающий в режиме IGMP-про кси, действует как хост и присоединяется к группам в интересах хостов, подклю ченных к интерфейсам режима IGMP-маршрутизатора. Групповой трафик, посы лаемый членам групп хостов, подключенных к интерфейсам режима IGMP-марш рутизатора, принимается интерфейсом IGMP-прокси и перенаправляется с исполь зованием процесса многоадресной IP-пересылки. Групповой трафик, посылаемый хостами, подключенными к интерфейсам режима IGMP-маршрутизатора, переда ется на интерфейс IGMP-прокси, откуда следующий от источника группового тра фика маршрутизатор может либо переслать этот трафик дальше, либо проигнори ровать его.

Режим IGMP-прокси можно включить только на одном IGMP-интерфейсе. Этот интерфейс должен быть подключен к какой-нибудь полсети, в которой присутству ет маршрутизатор группового трафика с установленными протоколами многоадрес ной маршрутизации. Иначе говоря, интерфейс IGMP-прокси «указывает* на инт расеть с поддержкой многоадресной пересылки, Сравнение режимов IGMP-маршрутизатора и IGMP-прокси Особенности и функциональность режимов IGMP-маршрутизатора и IGMP-про кси суммированы в таблице 4-4.

Таблица 4-4. Сравнение режимов IGMP-маршрутизатора и IGMP-ирокси Функциональность Режим IGMP-маршрутизатора Режим IGMP-прокси IGMP-маршрутизатор Действует как маршрутизатор Действует как IGMP-хост, пере сылая IGMP-сообщения Host или хост группового трафика на основе IGMP и прослушивает Membership Report и отвечая IGMP-сообщения Host на IGMP-запросы;

прослушивает Membership Report IGMP-сообщения Hosi Member ship Report как хост, а не как маршрутизатор ГЛАВА 4 Поддержка групповой IP-рассылки Таблица 4-4. (продолжение) Функциональность Режим IGMP маршрутизатора Режим IGMP-прокси Режим прослушивания Прослушивание смешанного Прослушивание адресного трапика группового трафика Обновление таблицы Обновляет таблицу много- Обновляет таблицу многоадресной многоадресной адресной IP-пересылки IP-пересылки для распространения IP-пересылки на основе IGMP-трафика нелокального группового трафика, принимаемого но интерфейсам режима IGMP-маршрутизатор;

!

Отправка Посылает IGMP-запросы Никаких IGMP-запрогон IGMP-запросов для поддержания таблицы не посылает нересылки в актуальном состоянии Ограничители групповой рассылки Ограничители групповой рассылки это настраиваемые административные барь еры, ограничивающие пересылку группового трафика рамками определенной обла сти межсетевой IP-среды. Без таких ограничителей пересылается весь групповой IP-трафик. На маршрутизаторе Windows 2000 ограничители групповой рассылки можно определять на основе диапазона IP-адресов, называемого многоадресной областью (multicast scope), значения поля TTL (Time-To-Live) в IP-заголовке или максимального объема группового трафика.

Ограничители групповой рассылки настраиваются па каждом интерфейсе отдель но. Для этого используется вкладка Multicast Boundaries (Границы многоадресной области) в окне свойств нужного интерфейса, которое открывается из папки Gene ral (Общие) узла IP Routing (IP-маршрутизация) в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ).

Ограничители на основе областей Диапазон IP-адресов групповой рассылки 239.0.0.0/8 определяется как админист ративно выделенное адресное пространство IP-рассылки. Передачу или прием по групповым адресам из этого диапазона можно запретить за счет применения огра ничителей на основе областей (.scope-based boundaries). Ограничитель па основе области определяет границу, за пределы которой групповой пакет, направляемый на определенный диапазон адресов, не пересылается.

Чтобы сконфигурировать многоадресную область (диапазон IP-адресов групповой рассылки) для использования ограничителей, Вы должны сначала добавить эту область одним из двух способов:

• с помощью вкладки Multicast Scopes (Многоадресные области) окна общих свойств IP-маршрутизации. Для этого в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) раскройте узел IP Routing (IP-маршру тизация), щелкните правой кнопкой мыши папку General (Общие) и выберите команду Properties (Свойства);

• командой netsh routing ip set scope.

Вы должны указать соответствующий области диапазон адресов в виде IP-адре са и маски. Однако локальная область 239.25.5.0.0/16 всегда исключается. Так Маршрутизация 134 ЧАСТЬ что определяемые Вами области должны укладываться в диапазон от 239.0.0. до 239.254.255.255. Чтобы охватить диапазон IP-адресов групповой рассылки, вве дите соответствующий IP-адрес и маску, охватывающую этот диапазон. А в случае единственного группового адреса введите требуемый IP-адрес и маску, равную 255,255.255.255.

Создав области, Вы можете создать соответствующие ограничители для отдельных интерфейсов, используя вкладку Multicast Boundaries (Границы многоадресной области) в окне свойств нужного интерфейса. Подробнее об административном управлении групповым IP-трафиком см. RFC 2356.

Ограничители на основе TTL Ограничители на основе TTL (TTL-based boundaries) препятствуют пересылке групповых IP-пакетов с TTL, меньшими определенного значения. Ограничители на основе TTL применяются ко всем групповым пакетам независимо от того, какой группе хостов они адресованы. Типичные пороговые значения TTL, используемые в таких случаях, показаны в таблице 4-5.

Таблица 4-5. Пороговые значения TTL Пороговое значение TTL Запрещаемая область 1 Тот же хост Та же подсеть !

15 Тот же сайт 63 Тот же регион 127 Глобальная 191 Глобальная;

ограниченная полоса пропускания 255 Без ограничений Таким образом, установив на каком-либо интерфейсе пороговое TTL в 15, Вы зап ретите пересылку группового IP-трафика, не рассчитанного на передачу за преде лы сайта*. Будет пересылаться только региональный и прочий трафик.

Ограничители на основе TTL менее эффективны, чем ограничители на основе об ластей. Более подробную информацию см. в RFC 2365.

Ограничение максимального объема группового трафика Для введения такого ограничения Вы устанавливаете предел скорости передачи группового трафика в Кб/с.

Пульс групповой рассылки Пульс групповой рассылки (multicast heartbeat) — это групповые уведомления, ре гулярно посылаемые на определенный групповой адрес. Пульс групповой рассыл ки используется для проверки возможности соединений в сети для передачи груп пового IP-трафика. Если по какому-либо интерфейсу пульс групповой рассылки в течение определенного времени не прослушивается, состояние этого интерфейса * Следует иметь в виду, что под сайтом подразумевается совокупность подсетей с серверами Active Directory. — Прим. nepe.fi.

Поддержка групповой IP-рассылки ГЛАВА считается неактивным. Чтобы маршрутизатор Windows 2000 распознавал отсут ствие пульса групповой рассылки, Вы должны создать механизм опроса, пери* ми пески проверяющий состояние пульса групповой рассылки. Как только его состоя ние становится неактивным, возникает уведомляющее событие, определенное Влми.

Подробнее на эту тему см. по ссылке Microsoft Platform SDK на http://win dows.niicrosoft.coin/windows2000/reskit/vvebresources.

Допустим, Вы решили создать механизм, который посылает SNMP-перехват скон фигурированной станции управления SNMP в тот момент, когда состояние пульса групповой рассылки становится неактивным. Для этого Вам потребуется создать субагент SNMP, а агент SNMP па маршрутизаторе Windows 2000 настроить на гмя SNMP-сообщества, указав при этом, кому будут посылаться перехваты. Подробнее на эту тему см. главу 10 «SNMP» в книге «Сети TCP/IP* и.ч серии «Ресурсы Microsoft Windows 2000 Server».

Стандартный протокол, применяемый для передачи пульса групповой рассылки, — SMTP (Simple Network Time Protocol). SNTP использует зарезервированный груп повой IP-адрес 224.0.1.1 и предназначен для синхронизации по времени. Если ис точник трафика, связанного с пульсом групповой рассылки (SNTP-сервер), разме щен на стратегическом участке межсетевой среды, то потеря пульса будет указы вать на наличие какой-либо проблемы в инфраструктуре многоадресной IP-марш рутизации. Windows 2000 Server включает SNTP-сервер — Windows Time Synchro nization Service (W32Time) (Служба времени Windows) — и SNTP-клиент. Подроб нее о SNTP см. RFC 1769.

Вы можете настроить пульс групповой рассылки на вкладке Multicast Heartbeat (Пульс многоадресной рассылки) окна свойств интерфейса, открываемого из пап ки General (Общие) узла IP Routing (IP-маршрутизация) в оснастке Routing iind Remote Access (Маршрутизация и удаленный доступ).

Туннели IP-B-IP Туннели IP-B-IP (IP-in-IP tunnels) используются для пересылки информации меж ду конечными точками, образующими мост между разными частями межсетевой IP среды с разными возможностями. Типичное применение туннелей IP-B-IP — пере сылка группового IP-трафика из одной области интрасети в другую через участок, на котором пересылка или маршрутизация группового трафика не поддерживается.

При таком туннелировании IP-дейтаграмма инкапсулируется другим 1Р-заголов ком для передачи между конечными точками туннеля ГР-в-IP, как показано на рис. 4-5. Признаком туннеля IP-в-ТР служит значение 4 в поле IP-протокола внеш него IP-заголовка. Подробнее о туннелировании IP-B-IP см. RFC 1853.

Рис. 4-5. Структура пакета при туннелировании IP-B-IP Интерфейсы IP-B-IP Интерфейс IP-B-1P — это логический интерфейс, который посылает IP-пакеть в режиме туннелирования. Чтобы создать такой интерфейс, запустите оснастку Routing and Remote Access (Маршрутизация и удаленный доступ), щелкните пра Маршрутизация 136 ЧАСТЬ вой кнопкой мыши папку Routing Interfaces (Интерфейсы маршрутизации) и вы берите команду New Tunnel (IP only) (Создать IP-туннель). Создав туннель, до бавьте его как интерфейс IP-маршрутизации, для чего раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши папку General (Общие) и выберите команду New Interface (Новый интерфейс).

После создания всех интерфейсов lP-в-ТР и добавления их в качестве интерфейсов IP-маршрутизации Вы должны определить конечные точки туннеля. Затем Вы мо жете настроить эти интерфейсы точно так же, как и любой другой IP-интерфейс.

Многоадресные статические маршруты Когда по интерфейсу маршрутизатора Windows 2000 с поддержкой многоадресной пересылки принимается групповой IP-пакет, IP-адреса источника и назначения это го пакета проверяются в записях таблицы многоадресной IP-пересылки. Если под ходящая запись найдена, групповой IP-пакет пересылается по маршруту, указанно му в УТОЙ записи. Если па пути за д а н н ы м маршрутизатором членов нужной груп пы хостов нет, пакет просто отбрасывается.

Если запись не найдена, она должна быть создана. Запись в таблице многоадрес ной IP-пересылки состоит из группового адреса, IP-адреса источника, списка ин терфейсов, по которым пересылается трафик (интерфейсы следующего перехода), и одного интерфейса, по которому должен поступать трафик для дальнейшей пере сылки (интерфейс предыдущего перехода). Групповой адрес и IP-адрес источника извлекаются из группового пакета. Интерфейсы следующего перехода определяют ся при регистрации членства хостов в группах с использованием IGMP (и любых протоколов многоадресной маршрутизации, если они есть).

Интерфейс предыдущего перехода — это интерфейс, ближайший (в терминах мет рик маршрутов) к источнику ГР-трафнка. Для определения такого интерфейса про сматриваются записи в таблице многоадресной маршрутизации. В качестве интер фейса предыдущего перехода выбирается один интерфейс с наилучшим маршрутом обратно к источнику группового IP-пакета. Наилучшим считается маршрут, наибо лее точно соответствующий многоадресному маршруту с минимальной метрикой.

Таблица многоадресной маршрутизации (multicast routing table) логически отделе на от таблицы одноадресной маршрутизации (imicast routing table), также называ емой просто таблицей маршрутизации. Диспетчер таблиц маршрутизации (Route Table Manager, RTM) службы маршрутизации и удаленного доступа хранит мастер список маршрутов, или таблицу маршрутизации RTM (RTM routing table). Каж дый маршрут помечается как одноадресный или как многоадресный, или как то и другое. Следовательно, список получаемых маршрутов зависит от выбранного Вами представления. Набор одноадресных маршрутов в таблице маршрутизации RTM называется одноадресным представлением (unicast view), а набор многоадресных маршрутов в той же таблице — многоадресным (multicast view). Одноадресное представление таблицы маршрутизации RTM используется для определения интер фейса предыдущего перехода и соседа на предыдущем переходе, что необходимо для диагностических утилит тина Ml race.

По умолчанию все одноадресные маршруты, получаемые протоколами маршрути зации RIP и OSPF, а также статические маршруты, вручную сконфигурированные с помощью оснастки Routing and Remote Access, помечаются как появляющиеся в Поддержка групповой IP-рассылки ГЛАВА 4 обоих представлениях. Если Ваши маршрутизаторы адресного трафика являются и маршрутизаторами группового трафика, никаких изменений не требуется.

Однако Б некоторых конфигурациях инфраструктуры одноадресной и многоадрес ной маршрутизации различны. Например, чтобы сбалансировать нагрузку. Вы ис пользуете для адресного и группового трафика разные наборы маршрутизаторов.

Тогда Вам скорее всего придется отказаться от предлагаемого по умолчанию добав ления всех маршрутов в одноадресное и многоадресное представления и создать многоадресный статический маршрут командой netsh routing ip add rtmroute.

Пример одной из таких конфигураций — маршрутизатор Windows 2000 с двумя интерфейсами: первый подключен к одноадресному маршрутизатору, а второй — к многоадресному. Для упрощения примера будем считать, что для пересылки всего нелокального одноадресного IP-трафика па следующий маршрутизатор через ин терфейс 1 используется единственный статический маршрут по умолчанию. По скольку этот статический маршрут был сконфигурирован в оснастке Routing and Remote Access, on помечается и как одноадресный, и как многоадресный.

А теперь представьте, что получится, когда по интерфейсу 2 будет принят группо вой IP-пакет. Чтобы создать запись в таблице многоадресной IP-пересылки, ну.'Кно определить интерфейс предыдущего перехода. На основе многоадресного представ ления таблицы маршрутизации RTM и качестве такового будет выбран интерфейс 1, а не интерфейс 2, так как первый находится ближе к источнику группового тра фика (в терминах метрик маршрутов). Поскольку групповые IP-пакеты, направля емые группе и на IP-адрес источника, могут быть приняты только по интерфейсу предыдущего перехода, групповые IP-пакеты, поступающие на интерфейс 2, будут «молча» отбрасываться.

Чтобы избежать этой проблемы, используйте команду netsh routing ip add rtmroute и создайте многоадресный статический маршрут по умолчанию, который исполь зует интерфейс 2 и имеет меньшую метрику. Этот новый маршрут заменит стати ческий маршрут по умолчанию.

Поддерживаемые конфигурации многоадресной пересылки Поскольку IGMP-маршрутизатор и TGMP-прокси, включенные в службу маршру тизации и удаленного доступа Windows 2000, не могут заменить какой-либо прото кол многоадресной маршрутизации (например, DVMRP или Р1М), в следующих разделах описываются рекомсн.-чуемые и поддерживаемые конфигурации маршру тизатора Windows 2000 с применением протокола маршрутизации IGA1P, а также режимов IGMP-маршрутизатора и IGMP-прокси.

Интрасеть с единственным маршрутизатором Маршрутизатор Windows 2000 обеспечивает полнопенную поддержку многоадрес ной пересылки в интрасети с единственным маршрутизатором. В этой конфигура ции все интерфейсы добавляются к протоколу маршрутизации 1GMP, и каждый интерфейс настраивается па режим IGMP-маршрутизатора. Тогда любой хосг в любой подсети может передавать и принимать групповой трафик от любого друго го хоста. Весь групповой трафик пересылается в те подсети, где находятся члены групп хостов.

Маршрутизация 138 ЧАСТЬ Конфигурация интрасети с единственным маршрутизатором показана на рис, 4-6.

г Режим IGMP маршрутизатора Режим IGMP маршрутизатора Режим IGMP маршрутизатора Марирутизатор Windows I- Режим IGMP маршрутизатора Рис. 4-6. Интрасеть с единственным маршрутизатором Интрасеть с единственным маршрутизатором и подключением к МВопе Маршрутизатор Windows 2000 обеспечивает поддержку многоадресной пересылки в интрасети с единственным маршрутизатором и подключением к МВопе. Б этой конфигурации все интерфейсы добавляются к протоколу маршрутизации IGMP.

Интерфейсы частных подсетей настраиваются на режим IGMP-маршрутизатора, а Интернет-интерфейс — на режим lGMP-нрокси.

Хосты, присоединяющиеся к группам, посылают IGMP-сообщения Host Member ship Report, которые затем копируются на Интернет-интерфейс. На тот же интер фейс передается групповой трафик из Интернета. После приема этот трафик пере сылается хосту в соответствующей подсети. Групповой трафик, посылаемый хос том, который находится в одной из подсетей интрасети, копируется на Интернет интерфейс. А маршрутизатор группового трафика, размещенный у провайдера ус луг Интернета (ISP), либо игнорирует, либо пересылает этот трафик.

В такой конфигурации групповой трафик, передаваемый между двумя хостами в частной интрасети, копируется и на Интернет-интерфейс, что приводит к пеэффек - Режим IGMP маршрушзатора Режим IGMP маршрутизатора Режим IGMP-прокси Маршрутизатор Windows Internet МВопе Рис. 4-7. Интрасеть с единственным маршрутизатором и подключением к МВопе Поддержка групповой IP-рассылки ГЛАВА тившшу использованию пропускной способности канала связи с 1SP. Чтобы избе жать копирования внутреннего группового трафика на Интернет-интерфейс, на стройте приложения или диапазоны групповых адресов на MADCAP-серверах ин трасоти на использование групповых IP-адресов из административно выделенного диапазона 239.0.0.0-239.254.255.255 и создайте подходящий ограничитель на осно ве области, действующий применительно к Интернет-интерфейсу.

Конфигурация интрасети с единственным маршрутизатором и подключением к МВопе показана на рис. 4-7.

Периферийный маршрутизатор в интрасети с поддержкой групповой рассылки В этой конфигурации, очень похожей на предыдущую, маршрутизатор Windows 2000, обеспечивая поддержку многоадресной пересылки, выступает в роли периферий ного маршрутизатора, который подключен к частной интрасети с поддержкой груп повой рассылки. Периферийным называется маршрутизатор, подключенный к не скольким подсетям, из которых лишь одна содержит другой маршрутизатор. В та кой ситуации последний является основным маршрутизатором группового трафи ка в интрасети с поддержкой групповой рассылки, и на нем работают все необхо димые протоколы маршрутизации.

В данном случае все интерфейсы добавляются к протоколу маршрутизации IGIV1P.

Интерфейсы, не связанные с маршрутизатором группового трафика, настраивают ся на режим IGMP-маршрутизатора, а интерфейс, подключенный к подсети с ос новным маршрутизатором группового трафика, — на режим ЮМР-прокси.

Хосты, присоединяющиеся к группам, посылают IGMP-сообщения Host Member ship Report, которые копируются на интерфейс, подключенный к подсети с основ ным маршрутизатором группового трафика. Групповой трафик из интрасети пере сылается на интерфейс, работающий в режиме ЮМР-прокси. После приема этот трафик пересылается хосту в соответствующей подсети. Групповой трафик, посы лаемый хостом, который находится в одной из подсетей, подключенных к интер - Режим IGMP маршрушзатора Режим IGMP маршрутизатора Режим ЮМР-прокси Основной маршрутизатор f Маршрутизатор illf- группового трасрика Windows Инграсеть с поддержкой групповой рассылки Рис. 4-8. Периферийный маршрутизатор в интрасети с поддержкой групповой рассылки 140 ЧАСТЬ 1 Маршрутизация фейсу IGMP-маршрутизатора, копируется на интерфейс IGMP-прокси. А основной маршрутизатор группового трафика либо игнорирует, либо пересылает этот трафик находящимся за ним членам групп хостов.

Периферийный маршрутизатор в интрассти с поддержкой групповой рассылки по казан на рис. 4-8.

Поддержка групповой рассылки для клиентов удаленного доступа Протокол маршрутизации IGMP в Windows 2000 часто используется для предос тавления сервисов групповой рассылки клиентам удаленного доступа, которые со единяются по коммутируемым линиям или через виртуальные частные сети (VPK).

По аналогии с предыдущими конфигурациями сервер удаленного доступа или VPN-cepRcp Windows 2000 выступает и роли периферийного маршрутизатора для межсетевой IP-среды с поддержкой многоадресной пересылки.

В данном случае возможны две конфигурации:

• MBone-доступ, предоставляемый провайдером услуг Интернета (ISP) клиентам удаленного доступа, которые подключаются по коммутируемым линиям (dial up clients);

• доступ к частной сети с поддержкой групповой рассылки для клиентов удален ного доступа, которые подключаются по коммутируемым линиям или через VPN.

MBone-доступ для клиентов, подключающихся к ISP по коммутируемым линиям Если Вы — в качестве ISP — используете службу маршрутизации и удаленного до ступа Windows 2000 для того, чтобы предоставлять доступ к Интернету клиентам удаленного доступа, подключающимся по коммутируемым линиям, то должны вы полнить следующие операции.

1. Добавьте к протоколу маршрутизации IGMP интерфейс Internal (Внутренний) и интерфейс, соединенный с Интернетом. Внутренний интерфейс представляет все клиенты удаленного доступа.

2. Настройте интерфейс Internal па режим IGMP-маршрутизатора.

3. Настройте Интернет-интерфейс на режим IGMP-прокси.

Подключенные клиенты удаленного доступа, присоединяясь к группам хостов, по сылают IGMP-сообщсния HOSL Membership Report, которые копируются на Интер нет-интерфейс. На этот же интерфейс поступает и групповой трафик из Интерне та. После приема групповой трафик пересылается подключенному хосту (клиенту удаленного доступа). Групповой трафик, посылаемый подключенным хостом, пере сылается другим подключенным членам групп хостов и копируется на Интернет интерфейс. Следующий маршрутизатор группового трафика в Интернете либо иг норирует групповой трафик, либо пересылает его членам групп хостов, расположен ным за ним.

Конфигурация МБопе-доступа, предоставляемого клиентам, которые подключают ся к ISP по коммутируемым линиям, показана на рис. 4-9.

Поддержка групповой !Р-рассылки ГЛАВА - Режим IGMP-маршрутизатора Режим IGMP-прокси Клиенты ISP МВопе Сервер удаленного доступа -I под управлением Windows Рис. 4-9. MBone-доступ, предоставляемый клиентам, подключающимся к ISP по коммутируемым линиям Доступ к частной сети для клиентов, подключающихся по коммутируемым линиям или через VPN Если Вы используете службу маршрутизации и удаленного доступа Windows для того, чтобы предоставлять доступ к интрасети клиентам удаленного доступа, подключающимся по коммутируемым линиям или через VPN, то должны выпол нить следующие операции.

1. Добавьте к протоколу маршрутизации IGMP интерфейс Internal (Внутренний) и интерфейс, соединенный с частной интрасетью. Внутренний интерфейс пред ставляет все клиенты удаленного доступа. Интерфейс частной интрасети дол жен быть подключен к подсети, содержащей основной маршрутизатор группо вого трафика.

2. Настройте интерфейс Internal на режим IGMP-маршрутизатора.

3. Настройте интерфейс частной интрасети па режим IGMP-прокси.

Подключенные клиенты удаленного доступа, присоединяясь к группам хостов, по сылают IGMP-сообщения Host Membership Report, которые копируются па интер фейс частной интрасети. На этот же интерфейс поступает и групповой трафик из интрасети. После приема групповой трафик пересылается полключенным членам групп хостов (клиентам удаленного доступа). Групповой трафик, посылаемый под - Режим IGMP-маршрутизатора Режим IGMP-прокси Клиенты удаленного доступа Основной маршрутизатор группового трафика -Сервер удаленного доступа или VPN-cepsep под управлением Windows Интрасеть с поддержкой групповой рассылки Рис. 4-10, Доступ к частной интрасети для клиентов, подключающихся по коммутируемым линиям или через VPN Маршрутизация 142 ЧАСТЬ ключенным хостом, пересылается другим подключенным членам групп хостов и копируется на интерфейс частной иптрасети. Основной маршрутизатор группово го трафика либо игнорирует групповой трафик, либо пересылает его членам групп хостов, расположенным за ним.

Конфигурация доступа к частной интрасети, предоставляемого клиентам, которые подключаются по коммутируемым линиям или через VPN, показана на рис. 4-10.

Подробнее о поддержке групповой рассылки сервером удаленного доступа см. гла ву 7 «Сервер удаленного доступа* в этой книге.

Поддержка многоадресной пересылки для сетей филиалов Маршрутизатор 2000 обеспечивает полноценную поддержку многоадресной пере сылки для филиала с единственным маршрутизатором, подключенным к интрасе ти центрального офиса с поддержкой групповой рассылки. Эта конфигурация тре бует должной настройки как маршрутизатора филиала, так и маршрутизатора цен трального офиса.

В случае маршрутизатора филиала все его интерфейсы добавляются к протоколу маршрутизации IGMP, причем интерфейсы, подключенные к подсетям филиала, настраиваются на режим IGMP-маршрутизатора. Интерфейс, соединенный с мар шрутизатором центрального офиса, настраивается на режим IGMP-прокси. Этот интерфейс может быть LAN-интерфейсом (при использовании соединения на ос нове, например, Т-Сагпег или Frame Relay) или интерфейсом соединения по тре бованию (при использовании, например, коммутируемой линии вроде аналоговой телефонной и ISDN или VPN-соединения между маршрутизаторами). Подробнее об интерфейсах соединения по требованию и их конфигурациях см. главу 6 «Мар шрутизация с соединением по требованию» в этой книге.

Б случае маршрутизатора центрального офиса все его интерфейсы добавляются к протоколу маршрутизации IGMP, причем интерфейс, подключенный к филиалу, настраивается на режим IGMP-маршрутизатора. Этот интерфейс может быть LAN интерфейсом (при использовании соединения на основе, например, Т-Carrier или Frame Relay) или интерфейсом соединения по требованию (при использовании, например, коммутируемой линии вроде аналоговой телефонной и ISDN или VPN соединения между маршрутизаторами). Наконец, интерфейс, соединенный с под сетью, в которой находится основной маршрутизатор группового трафика, настра ивается на режим IGMP-прокси.

IGMP-сообщения Group Membership Report для членов групп хостов копируются по каналу связи с центральным офисом в подсеть с основным маршрутизатором группового трафика. Через канал связи с центральным офисом в эту подсеть пере дается и групповой трафик от хостов филиала.

В такой конфигурации групповой трафик, передаваемый между двумя хостами в интрасети филиала, поступает и в канал связи с центральным офисом, что приво дит к неэффективному использованию пропускной способности этого канала. Что бы избежать этого, настройте приложения или диапазоны групповых адресов на MADCAP-серверах интрасети на использование групповых IP-адресоь из админи стративно выделенного диапазона 239.0.0.0-239,254.255.255 и создайте подходящие ограничители на основе областей, действующие применительно к интерфейсу, свя занному с центральным офисом.

ГЛАВА 4 Поддержка групповой IP-рассылки Конфигурация поддержки многоадресной пересылки для сетей филиалов представ лена на рис. 4-11.

Филиал _. цкм фйиьмы11 ифии <"KJi • Канал связи с центральным г v ^ J 'li "*fN _ -^ офисом Маршрутизатор Windows Режим - \ IGMP маршрут/затара ir :

Of l^ Режим J Маршрутизатор IGMP-прокси \,Х'"' Windows Режим IGMP- маршрутизатора Основной маршрутизатор :

группового Режим J трафика IGMP-прок ;

и Интрасеть с поддержкой групповой рассылки Рис. 4-11. Поддержка многоадресной пересылки для сетей филиалов Средства диагностики Для устранения проблем с групповой IP-рассылкой служба маршрутизации и уда ленного доступа Windows 2000 предоставляет:

• таблицы оснастки Routing and Remote Access;

• команду Mrinfo;

• поддержку Мtrace;

• команды Netsh;

• поддержку регистрации событий IGMP;

• поддержку трассировки.

Подробнее об общих принципах выявления и устранения проблем с групповой рас сылкой см. проект Интернет-документа «Multicast Debugging Handbook».

Таблицы оснастки Routing and Remote Access С помощью этой оснастки можно просмотреть три таблицы, содержащих информа цию о групповой IP-рассылке:

• Multicast Forwarding Table (Таблица многоадресного перенаправления);

Маршрутизация 144 ЧАСТЬ • Multicast Statistics (Статистика многоадресной рассылки);

• IGMP Interface Group Table (Таблица интерфейса IGMP-группы)*.

Таблица многоадресной пересылки Таблица многоадресной пересылки** - это таблица, используемая ТР для пересыл ки группового IP-трафика. В каждой ее записи регистрируется определенная груп па хостов и источник трафика. В колонке Туре (Тип) сообщается Active, если идет пересылка пакетов для данной группы хостов, или Negative, если соответствующий трафик в сети имеется, но маршрутизатор не пересылает его, так как для данной группы никаких хостов не зарегистрировано.

Чтобы просмотреть таблицу многоадресной пересылки, раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши папку General (Общие) и выберите команду Show Multicast forwarding table (Отобразить таблицу многоад ресного перенаправления).

Статистика групповой рассылки Статистика групповой рассылки предстанлена счетчиками и другой информацией, поддерживаемой IP для каждой группы хостов, которой пересылается групповой трафик. В каждой записи таблицы статистики групповой расылки регистрируется групповой адрес, IP-адрес источника группового трафика, интерфейс, по которому был принят этот трафик, число принятых пакетов и прочие сведения.

Чтобы просмотреть статистику групповой рассылки, раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыпти папку General (Общие) и выберите команду Show Multicast statistics (Отобразить статистику многоадрес ной рассылки).

Таблица IGMP-rpynn Эта таблица сообщает информацию о членстве хостов в группах, зарегистрирован ных на всех интерфейсах, работающих в режиме IGMP-маршрутизатора. В каждой записи этой таблицы регистрируется время работы (сколько секунд прошло с мо мента регистрации группы), истечение срока (сколько секунд осталось до оконча ния срока существования группы, если ни один хост не отправит на этот адрес IGMP-сообщение Host Membership Report) и прочие сведения.

Чтобы просмотреть IGMP Group Table (Таблицу IGMP-групп), раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши папку IGMP (IGMP) и выберите команду Show group table (Отобразить таблицу групп).

* В разных частях пользовательского интерфейса оснастки Routing and Remote Access в русской ворсин Windows 2000 Server эта таблица называется либо «Таблица интерфейса IGMP фуппы». либо «Таблица IGMP-групп». Первое название используется при просмотре таблицы применительно к конкретному интерфейсу, а второе — при просмотре сводной таблицы по всем интерфейсам. Здесь рассматриваются обе таблицы. Следует также отметить, что название «Таб лица интерфейса IGMP-группы» неправильно, так как речь идет о группах, зарегистрированных на данном интерфейсе, а не об интерфейсе какой-то одной группы. — Прим. переа, * В русской версии Windows 2000 Server используется термин «таблица многоадресного пере направления». По мере возможности мы стараемся употреблять вместо термина «многоадрес ный» термин «групповой*, который гораздо точнее отражает смысл оригинального термина «multicast». - Прим. перев.

Поддержка групповой IP-рассылки ГЛАВА 4 Таблица групп IGMP-интерфейса Эта таблица сообщает информацию о членстве хостов в труппах, зарегистрирован ных па конкретном интерфейсе, работающем в режиме IGMP-маршрутизатора. В каждой записи этой таблицы регистрируется время работы (сколько секунд про шло с момента регистрации группы), истечение срока (сколько секунд осталось до окончания срока существования группы, если пи один хост не отправит на ;

-JTOT адрес IGMP-сообщение Host Membership Report) и прочие сведения.

Чтобы просмотреть IGMP Interface Group Table (Таблица интерфейса IGMP-rpyn пы), раскройте узел IP Routing (IP-маршрутизация), щелкните правой кнопкой мыши нужный интерфейс в лапке IGMP (IGMP) и выберите команду Show inter face group table (Отобразить таблицу групп интерфейса).

Команда Mrinfo Windows 2000 поддерживает команду mrinfo, которая позволяет просматривать конфигурацию маршрутизатора группового трафика. Эта информация может при годиться при выявлении и устранении проблем с многоадресной пересылкой и мар шрутизацией.

Команда mrinfo посылает указанному маршрутизатору группового трафика специ альный запрос. В ответе на этот запрос сообщается номер версии, список интер фейсов и соседей на каждом интерфейсе, метрики, пороговые значения TTL и фла ги. Синтаксис команды mrinfo выглядит так:* mrinfo [ -d уровень_отладки ] [ -г число_повторов ] [ -t таймаут ] маршрутизатор Таблица 4-6. Параметры команды Mrinfo Параметр Описание -d Уровень отладки. По умолчанию — 0. Если уровень отладки равен 1, отображ,. ются вес предупреждения, связанные с пакетами. Если уровень отладки равен 2, покалываются уведомления об отключенных сетях и все сообщения уровня 1. А если уровень отладки равен 3, выводятся уведомления о таймаутах пакетов и все сообщения уровня 2.

-г Число повторных попыток получения информации о соседях. По умолчанию - 3.

-t Время ожидания (в секундах) ответа на запрос о соседях. По умолчанию — 4.

Вот пример использования команды mrinfo:

C:\>rcrinfo 10.1.0. 10.1.0.1 (testl.ntdev.microsoft.com) [version 20.50,mtrace,snmp]:

10.1.0.1 -> 0.0.0,0 (local) [1/0/querier/leaf] 10.2.0.1 -> 10.2.0,2 (test2.ntdev.microsoft.com) [1/0] 10.2.0.1 -> 10.2.0.3 (test3.ntdev.microsoft.com) [1/0] 10.3.0.1 -> 0. 0. 0. 0 (local) [1/0/querier/leaf] В этом примере mrinfo выполняется применительно к маршрутизатору (группово го трафика) с адресом 10.1.0.1. В первой строке показывается конфигурация этого маршрутизатора: номер версии (в случае маршрутизаторов Windows 2000 тлжер * По крайней мери в русской версии команды mrinfo параметр -d не поддерживается, - Прим. персе.

Маршрутизация 146 ЧАСТЬ версии отражает номер сборки Windows 2000) и флаги (в данном случае сообщает ся, что поддерживаются mtrace и SNMP).

В каждой последующей строке отображается информация об интерфейсах марш рутизатора группового трафика и о соседях на каждом интерфейсе. На интерфей сах 10.1.0.1 и 10.3.0.1 соседей нет, а на интерфейсе 10.2.0.1 есть два соседа: 10.2.0. и 10.2.0.3. Б каждой из этих строк mrinfo сообщает об интерфейсе, соседях и их доменных именах, метрику многоадресного маршрута, пороговое значение TTL и флаги, указывающие, является ли данный интерфейс маршрутизатора опрашиваю щим (querier) и есть ли у него соседи (если нет, то выводится слово «leaf»).

Поддержка Mtrace Хотя в Windows 2000 нет какой-либо версии утилиты Mtrace, предназначенной для трассировки групповых пакетов, маршрутизатор Windows 2000 реагирует на запро сы от таких утилит, поставляемых сторонними разработчиками.

Команды Netsh Чтобы просмотреть таблицы многоадресной пересылки и собрать информацию, полезную при выявлении источника проблем с многоадресной маршрутизацией и пересылкой, используйте следующие команды netsh.

• netsh routing ip show mfe Выводит содержимое таблицы многоадресной пересылки. Эта команда показы вает ту же таблицу, что и оснастка Routing and Remote Access (Маршрутизация и удаленный доступ).

• netsh routing ip show mfestats Сообщает статистику о переданных и принятых пакетах, а также информацию о входных и выходных интерфейсах но каждой записи в таблице многоадресной пересылки. Эта команда показывает ту же статистику, что и оснастка Routing and Remote Access.

• netsh routing ip igmp show grouptabte Выводит информацию о членстве хостов в группах, зарегистрированных на всех интерфейсах, которые работают в режиме IGMP-маршрутизатора. Эта команда показывает ту же таблицу IGMP-rpynn, что и оснастка Routing and Remote Access.

• netsh routing ip igmp show ifstals Отображает статистику IGMP по каждому интерфейсу.

• netsh routing ip igmp show iftable Выводит информацию о членстве хостов в группах, зарегистрированных па кон кретном интерфейсе, который работает в режиме IGMP-маршрутизатора. Эта команда показывает ту же таблицу групп IGMP-интерфейса, что и оснастка Routing and Remote Access.

• netsh routing ip igmp show rasgrouptable Выводит таблицу групп для интерфейса Internal (Внутренний), используемого сервером удаленного доступа, Поддержка групповой IP-рассылки ГЛАВА netsh routing ip igmp show proxygrouptable • Выводит таблицу групп для интерфейса, работающего в режиме IGMP-прокси.

Регистрация событий IGMP Уровень регистрации событий для протокола маршрутизации IGMP, записываемых в системном журнале событий Windows 2000 устанавливается:

• в окне свойств протокола маршрутизации IGMP, открываемого в оснастке Rou ting and Remote Access (Маршрутизация и удаленный доступ);

• командой netsh routing ip igmp set global.

Уровни регистрации событий могут быть следующими:

• Log errors only (Вести только журнал ошибок);

• Log errors and warnings (Вести журнал ошибок и предупреждений);

• Log the maximum amount of information (Вести журнал всех событий);

• Disable event logging (Отключить журнал событий).

Уровень по умолчанию — Log errors only. При выявлении причины проблем с про токолом маршрутизации IGMP установите уровень Log the maximum amount of information. Получив нужную информацию, верните уровень регистрации событий на Log errors only.

Трассировка Средства трассировки записывают последовательность вызываемых функций в файл. Для.-записи детальной информации о процессах, выполняемых протоколом маршрутизации 1GMP, в файл журнала %SystemRoot%\Trfd(:mg\lGMPv2.\og при свойте параметру EnableFileTracing в разделе реестра HKEY_LOCAL_MACHIXE\ Software\Microsoft\Tracing\IGMPv2 значение 1. Закончив трассировку, верните этому параметру исходное значение (0).

Трассировочная информация может оказаться сложной и очень детальной. Часть ее полезна только инженерам службы технической поддержки Microsoft или сете вым администраторам, имеющим большой опыт работы со службой маршрутиза ции и удаленного доступа. Трассировочную информацию можно сохранить в виде файлов и послать в службу технической поддержки Microsoft для анализа. Подроб нее о возможностях трассировки см. главу 2 «Служба маршрутизации и удаленно го доступа* в этой книге.

Дополнительные материалы Более подробную информацию о групповой IP-рассылке см. в книге:

• Thomas A. Maufcr «Deploying IP Multicast in the Enterprise», 1998, Upper Sad.lie River, NJ: Prentice Hall PTR.

ГЛАВА IPX-маршрутизация Служба маршрутизации и удаленного доступа Windows 2000 является полнофунк циональным IPX-маршрутизатором, который поддерживает RIP for IPX (основной протокол маршрутизации, используемый в межсетевых IPX-средах), Novell Net Ware SAP for IPX (протокол для сбора и распространения имен и адресов служб) и пересылку широковещательных пакетов NetBIOS поверх IPX.

В этой главе Windows 2000 и IP Х-маршрутизация Фильтрация IPX-пакетов RIP for IPX SAP for IPX Широковещание NetBIOS См.также • Об одноадресной маршрутизации — главу 1 «Обзор одноадресной маршрутиза ции» в этой книге.

• Подробнее о маршрутизаторе Windows 2000 — главу 2 «Служба маршрутизации и удаленного доступа» в этой книге.

• О маршрутизации с соединением по требованию — главу 6 «Маршрутизация с соединением по требованию» в этой книге.

• Подробнее о взаимодействии с NetWare — главу 12 «Взаимодействие с NetWare» в этой книге.

Windows 2000 и IPX-маршрутизация Маршрутизатор IPX (Internetwork Packet Exchange) — это комбинация агента IPX маршрутизации (IPX routing agent) и агента SAP (Service Advertising Protocol).

Первый агент перенаправляет IPX-пакеты между IPX-сетями и ведет свою табли цу маршрутизации, используя протокол RIP (Routing Information Protocol) for IPX.

Агент SAP собирает и распространяет SAP-информацию (список служб, доступных в сети, и их межсетевые IPX-адреса), а также отвечает па запросы клиентов SAP.

Подробнее о компонентах IPX-маршрутизатора в Windows 2000 см. главу 2 «Служ ба маршрутизации и удаленного даступн» в этой книге.

ГЛДВА 5 IPX-маршрутизация Windows NT Server версии 4.0 (и ниже) предоставляла службу агента SAP, которая позволяла приложениям и службам Windows NT (в частности, File and Print Ser vices for NetWare и Microsoft Exchange Server) оповещать клиенты NetWare о сво их именах и адресах, a Windows NT версии 3.51 (с Service Pack 2 и выше) и Win dows NT Server 4.0 — агент IPX-маршрутизации, использующий протокол RIP for IPX. Windows 2000 Server предоставляет интегрированный 1РХ-маршрутизат(.|р с агентом SAP и агентом IPX-маршрутизации, который работает с протоколом RIP for IPX.

Функциональность маршрутизатора Windows для набора протоколов IPX Маршрутизатор Windows 2000 (Windows 2000 Router) — компьютер под управле нием Windows 2000 Server и службы маршрутизации и удаленного доступа — пре дусматривает богатую функциональность для поддержки межсетевых IPX-сред.

Фильтрация IPX-пакетов. Для каждого интерфейса можно определить входные и выходные фильтры с использованием ключевых полей в IPX-заголовке.

RIP for IPX, Полная поддержка RIP for IPX, основного протокола маршрутиза ции, применяемого в межсетевых IPX-средах.

Фильтрация IPX-маршрутов. Фильтрация входящих и исходящих маршруток и оповещений о маршрутах, Статические IPX-маршруты. Статические IPX-маршруты, объявляемые по про токолу RIP for IPX.

SAP for IPX. Полная поддержка SAP — механизма, с помощью которого клиен ты NetWare получают информацию об именах и адресах служб, работающих на IPX-узлах.

Фильтрация SAP, Фильтрация входящих и исходящих имен служб и оповещений об именах служб.

Статические службы SAP. Статические службы SAP имена которых объявляют ся по протоколу SAP.

Распространение широковещательных пакетов NetBIOS. Пересылка широкове щательных пакетов NetBIOS поверх IPX, гибко настраиваемая на LAN-интерфей сах и интерфейсах соединений по требованию.

Статические NetBIOS-имена. Статические NetBIOS-имена можно настроить так, чтобы широковещательные запросы определенных имен NetBIOS поверх IPX пе ресылались по определенным интерфейсам, Платформа для поддержки других протоколов IPX-маршрутизации. Предусмот рена поддержка для дополнительных протоколов IPX-маршрутизации, например NLSP (NetWare Link Services Protocol). (Маршрутизатор Windows 2000 не включа ет NLSP, но этот протокол может быть предоставлен сторонними разработчиках и программного обеспечения.) Фильтрация IPX-пакетов Кроме маршрутизации IPX-трафика, IPX-маршрутизатор может пропускать или отклонять определенные виды IPX-трафика. Эта фунциональность, называемая Маршрутизация 150 ЧАСТЬ фильтрацией IPX-пакетов, позволяет точно указывать тип IPX-трафика, которому разрешено пересекать данный маршрутизатор.

Вы можете создать серии определений, называемых фильтрами, которые задают маршрутизатору, какой тип трафика разрешен или запрещен на каждом интерфей се. Такие фильтры могут быть установлены как для входящего, так и для исходя щего трафика. Входные фильтры определяют, какой входящий трафик, принимае мый по данному интерфейсу, может быть перенаправлен или как-то иначе обрабо тан маршрутизатором. Выходные фильтры указывают, какой трафик может посы латься по данному интерфейсу.

Фильтрацию IPX-пакетов иллюстрирует рис. 5-1.

IPX-трафик -I Выходные фильтры Входные фильтры — - г Сетевой адаптер IPX-трафик Рис. 5-1. Фильтрация IPX-пакетов Поскольку для каждого интерфейса можно определить как входные, так и выход ные фильтры, есть риск создать конфликтующие фильтры. Например, входной фильтр на одном интерфейсе разрешает прием какого-то входящего трафика, но выходной фильтр на другом интерфейсе запрещает передачу этого трафика. Дело кончится тем, что этот трафик не сможет пересечь данный маршрутизатор.

Маршрутизатор Windows 2000 поддерживает фильтрацию на основе содержимого основных полей в IPX-заголовках входящих и исходящих пакетов. Структура IPX заголовка поясняется в следующем разделе — это даст Вам представление о типах IPX-фильтрации, поддерживаемых маршрутизатором Windows 2000.

Структура IPX-заголовка IPX-заголовок, следующий за заголовками, относящимися к физическому и каналь ному уровням (например, Ethernet, Token Ring или РРР), показан на рис. 5-2.

Контрольная сумма. 16-битная контрольная сумма IPX-заголовка и полезных данных обычно не применяется. Если она не используется, в это поле записывает ся значение OxFF-FF, а если все же используется, то настроить IPX-узел па приме нение кадров Ethernet802.3 нельзя.

Длина. Указывает длину IPX-пакета (IPX-заголовка и полезных данных в IPX пакете) в байтах. Для адаптации под устаревшие маршрутизаторы и сетевые адап теры IPX-узлы иногда приходится настраивать так, чтобы генерируемые ими IPX IPX-маршрутизация ГЛАВА пакеты содержали четное число байтов. Если в пакете содержится нечетное число байтов, к нему добавляется еще один байт, но в поле длины он не учитывается.

Контрольная сумма Длина Контроль транспорта Тип пакета Сеть назначения Узел назначения Сокет назначения Сеть источника Узел источника Сокет источника = 1 байт Рис. 5-2. IPX-заголовок Контроль транспорта. Указывает число IPX-маршрутизаторов, через которые уже прошел данный IPX-пакет;

также называется числом переходов (hop count). Пере дающие узлы записывают в это поле нулевое значение, а каждый IPX-маршрутиза тор на пути от источника к адресату увеличивает это значение на 1. Маршрутиза торы RIP for IPX ограничивают максимальное число переходов до 15. На 16-м маршрутизаторе RIP for IPX пакет «молча* отбрасывается (без уведомления узла отправителя). Маршрутизаторы NLSP (NetWare Link Services Protocol) for IPX поддерживают число переходов до 127.

Тип пакета. Указывает тип полезных данных в IPX-пакете. Благодаря этому кли ентские протоколы могут использовать IPX и распознаются IPX-маршрутизатор ом.

Некоторые из возможных значений этого поля перечислены в таблице 5-1.

Таблица 5-1. Типы IPX-пакетов Тип пакета {значение в шестнадцатеричной форме) Клиентский протокол Не заданный RIP SAP/Normal IPX ui SPX IPX WAN Broadcast (используется для передачи 14 (в десятичной форме — 20) широковещательных пакетов NetBIOS поверх IPX) Маршрутизаторы могут отфильтровывать IPX-трафик на основе содержимого поля типа пакета. Например, некоторые маршрутизаторы по умолчанию не распростра няют широковещательный трафик NetBIOS поверх IPX и должны быть вручную настроены на пересылку таких пакетов (со значением поля типа, равным 20).

Сеть (назначения и источника). Поля сети назначения и сети источника иденти фицируют сети (сеть — это сегмент межсетевой IPX-среды, ограниченной 1РХ-мар Маршрутизация 152 ЧАСТЬ шрутизаторами), к которым подключены IPX-узлы назначения и источника. Но мера IPX-сетей образуют линейное пространство адресации. При использовании протокола маршрутизации RIP for IPX ни разбиение на подсети, ни суммирование групп IPX-сетей не поддерживается. В таблицах маршрутизации на маршрутизато рах RIP for IPX должен быть маршрут к каждой сети. Всем IPX-сетям присваива ется уникальный номер.

Узел (назначения и источника). Ноля узла назначения и узла источника иденти фицируют соответствующие узлы в IPX-сети. В этих шестибайтовых полях можно хранить физические адреса, также называемые МЛС-адресами.

Сокет (назначения и источника). Поля сокета назначения и сокета источника идентифицируют адреса программных процессов приложения-адресата и приложе ния-отправителя. При взаимодействии нескольких процессов между двумя компью терами номера IPX-сети и узла совпадают. Номер IPX-сокета — это идентифика тор программного процесса, используемый при пересылке полезных данных IPX нужному процессу.

Многие номера сокетов являются общеизвестными. Например, процесс файл-сер вера, выполняемый на файл-сервере Novell NetWare или совместимых файл-серве рах, использует общеизвестный сокет 0x451. Любые запросы к сокету 0x451 на файл-сервере NetWare пересылаются процессу файл-сервера NetWare. Клиенты файл-сервера NetWare и IPX-приложения, не использующие какой-либо из обще известных номеров сокетов, оперируют динамически назначаемыми номерами сокетов. Некоторые из общеизвестных номеров IPX-сокетов перечислены в таб лице 5-2.

Таблица 5-2. Номера 1РХ-сокетов Номер сокета (в шестнадцатеричной форме) Процесс NCP Server RIP SAP NetBIOS 451) Примечание 1РХ-сокеты отличаются от сокетов Windows Sockets 2.x API (Winsock).

Сокет Winsock на основе TCP/IP представляет собой комбинацию IP-адреса и но мера порта, идентифицирующую конечную точку какого-либо процесса в межсете вой IP-среде, а сокет Winsock на основе IPX — комбинацию номеров IPX-сети, IPX узла и IPX-сокета, определяющую конечную точку того или иного процесса в меж сетевой IPX-среде.

Демультиплексирование IPX-пакета Когда IPX-пакет прибывает по назначении) и передается протоколу IPX, данные приложения должны быть демультиплексированы, т. е. перенаправлены нужному процессу.

Демультиплексирование IPX-пакета на хосте-получателе осуществляется в два эта па. На первом этапе модуль IPX проверяет номера сети назначения и узла, чтобы убедиться в их соответствии локальному IPX-интерфейсу. А на втором этапе мо ГЛАВА 5 IPX-маршрутизация дуль IPX проверяет номер сокета назначения и, исходя из его значения, передает полезные данные IPX (полученный пакет без IPX-заголовка) соответствующему про пес су Процесс демультиплексирования IPX-пакета показан на рис. 5-3.

Файл-сервер Процесс Процесс Процесс NetWare RIP NetBIOS SAP А А I Т Соквт Т Сокет Т Сокет Сокет \ назначения 1 -назначений f назначения I назначения I 0X451 | 6x453 I 0x452 | 0x IPX Сеть назначения и адрес узла Рис. 5-3. Демультиплексирование IPX-пакета Например, какой-то клиент NetWare посылает серверу NetWare запрос на доступ к файлу. Когда модуль IPX на сервере NetWare получает этот запрос, он проверяет номера сети назначения и узла, чтобы убедиться в их соответствии локальному ГРХ-интерфейсу. Далее модуль IPX обнаруживает, что значение в иоле сокета на значения равно 0x451, и поэтому передает полезные данные IPX процессу файл сервера NetWare.

Фильтрация IPX-пакетов на маршрутизаторе Windows Фильтрация IPX-пакетов на маршрутизаторе Windows 2000 основана па принципе исключения. Вы настраиваете Windows 2000 либо на пропуск всего IPX-трафика, кроме запрещенного фильтрами, либо на игнорирование всего IPX-трафика, кроме разрешенного фильтрами. Например, Вам может понадобиться сконфигурировать выходные фильтры, пропускающие весь трафик, кроме объявлений SAP. Или го здать входной фильтр на выделенном сервере SQL для обработки только трафика SPX (Sequencer! Packet Exchange), связанного с SQL.

Маршрутизатор Windows 2000 позволяет определять IPX-фильтры на основе сле дующих полей;

• типа пакета;

• сети источника;

• узла источника;

Маршрутизация 154 ЧАСТЬ сокета источника;

сети назначения;

узла назначения;

сокета назначения.

Примечание Номера сетей источника и назначения можно указывать с использова нием маски сети, что позволяет задавать в одном элементе фильтра целый диапа зон номеров IPX-сетей. Определяя, соответствует ли номер сети IPX-пакета кри териям фильтра, маршрутизатор Windows 2000 использует логическую операцию AND для комбинирования маски сети и номера сети в IPX-пакете, а затем сравни вает полученный результат с номером сети в фильтре. При этом 0 можно использо вать как символ подстановки для любого шестнадцатеричного разряда, a F — для определенного шестнадцатеричного разряда.

Настройка IPX-фильтра Вы можете сконфигурировать входную и выходную фильтрацию IPX, выбрав дей ствие фильтра и добавив набор фильтров через диалоговое окно IPX Packet Filters Configuration (Конфигурация фильтров IPX-пакетов), показанное на рис. 5-4.

ас liar. йгаО'э! васЬей e*eept Ihes*;

that mee* (he сгёеге «L Рис. 5-4. Диалоговое окно IPX Packet Filters Configuration Примечание Сконфигурировать раздельные активные фильтры для Receive all packets except those that meet the criteria below (Принимать все пакеты, кроме тех, что отвечают указанным ниже критериям) и Drop all packets except those that meet the criteria below (Игнорировать все пакеты, кроме тех, что отвечают указан ным ниже критериям) нельзя.

Вы можете задать параметры входного или выходного фильтра в диалоговом окне Add IPX Filter (Добавление IPX-фильтра) или Edit IPX Filter (Изменение IPX IPX-маршрутизация ГЛАВА 5 фильтра), как показано па рис. 5-5. Если Вы настраиваете несколько параметров фильтра, то в процессе фильтрации они комбинируются логической операцией AMD. Так, если в фильтре указаны Packet Type (Тип пакетов) и Destination Socket (Сокет назначения), он пропускает IPX-пакет только в том случае, когда содержи мое обоих полей IPX-пакета — и типа пакета, и сокета назначения — удовлетворя ет значениям соответствующих параметров этого фильтра.

Pages:     | 1 | 2 || 4 | 5 |   ...   | 13 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.