Настройка маршрутизации с помощью службы Routing and Remote Access Обзор IP/маршрутизации

Настройка маршрутизации с помощью службы
Routing and Remote Access
Обзор IP/маршрутизации
Сетевая среда часто бывает сегментирована по различным причинам, включая
следующие факторы.




Количество доступных IP-адресов в сетевой среде TCP/IP.
Разделение функций администрирования и управления.
Соображения безопасности.
Владение сетью.
Многие маршрутизаторы могут маршрутизировать TCP/IP, IPX и AppleTalk. Но
поскольку работа Windows Server 2003 и интернета основываются на TCP/IP,
основное внимание в этом разделе уделяется маршрутизации TCP/IP.
При использовании TCP/IP адрес сети определяется IP-адресом в сочетании с маской
подсети. Адрес сети идентифицирует сеть, где находится данное устройство (рис.
4.1).
Рис. 4.1. Определение адреса сети
Этим разъединенным сетям может требоваться обмен информацией, и тогда на
помощь приходит маршрутизация. Маршрутизация – это процесс передачи
информации через межсетевую границу. Точка отправки называется источником
(отправителем), и точка приема называется пунктом назначения (получателем).
Промежуточное устройство (обычно маршрутизатор, иногда это несколько устройств)
отвечает за передачу информации из одной сети в другую, пока эта информация не
дойдет до указанного получателя, как это показано на рис. 4.2.
//
Например, когда компьютер одной сети отправляет информацию компьютеру,
который находится в другой сети, он направляет эту информацию маршрутизатору.
Маршрутизатор рассматривает этот пакет и использует адрес получателя в заголовке
пакета для передачи информации в соответствующую сеть.
Маршрутизация и мосты
Маршрутизацию иногда путают с использованием мостов. Эти две технологии, по
сути, выполняют одну и ту же задачу, передавая информацию в интерсети от
источника к месту назначения, но для этого используются совершенно разные
механизмы. Маршрутизация происходит на сетевом уровне (Network Layer), в то
время как мосты используются на канальном уровне (Data Link Layer) в сетевой
модели OSI. Работа различных уровней модели OSI определяет способ обработки и
передачи информации от источника к месту назначения.
Рис. 4.2. Две сети, связанные маршрутизатором
Хотя обычно используют отдельный маршрутизатор, Windows Server 2003 позволяет
также конфигурировать сервер как маршрутизирующее устройство. Функцией
маршрутизатора является направление пакетов из одной сети в следующую сеть.
\\
Он делает это, определяя сначала оптимальный маршрут с помощью
алгоритмов маршрутизации. Алгоритмы маршрутизации определяют кратчайшее
"расстояние" (путь с наименьшей "стоимостью") между отправителем и получателем
пакета, а также поддерживают таблицы маршрутизации, которые содержат
маршрутную информацию, помогающую оптимизировать передачу информации. На
рис. 4.3 показан пример таблицы маршрутизации, которая информирует
маршрутизатор о том, как он может пересылать пакеты информации.
Рис. 4.3. Пример таблицы маршрутизации
\\
Маршрутизаторы могут также использовать сообщения об изменениях
маршрутной информации для взаимодействия с другими маршрутизаторами, чтобы
определять оптимальные маршруты для информации, передаваемой из одной сети в
другую. Использование сообщений об изменениях маршрутной информации
позволяет маршрутизаторам сравнивать и обновлять свои таблицы маршрутизации,
вводя в них информацию о маршрутах в другие сети.
Алгоритмы маршрутизации
Маршрутизаторы, а также компьютеры Windows 2000, сконфигурированные как
маршрутизаторы, обычно используют алгоритмы статической или динамической
маршрутизации, но поддерживается также маршрутизация с коммутируемым
соединением по требованию (demand-dial routing). Все эти алгоритмы
маршрутизации в основном отвечают одной цели, хотя они имеют различные
механизмы передачи информации от источника к месту назначения.
Статическая маршрутизация
Статическая маршрутизация задает единственный путь, который должен
использоваться для передачи информации между двумя точками. Администратор
должен задавать и конфигурировать статические маршруты в таблицах
маршрутизации, и они не изменяются, пока это не сделает администратор.
\\
Сетевые среды со статической маршрутизацией организуются достаточно
просто и особенно подходят для небольших окружений, где возможны лишь
небольшие изменения в топологии маршрутизации.
Примечание. Конкретные маршруты не обязательно являются постоянными
маршрутами в операционных системах Microsoft Windows. Иными словами, вы
должны указать, что маршрут является постоянным, с помощью ключа -p, чтобы в
случае перезагрузки сервера по какой-либо причине этот статический маршрут был
привязан к таблице маршрутизации.
Основным недостатком сетевых сред со статической маршрутизацией является то,
что они не адаптируются к изменению состояния сети.
\\
Например, в случае отключения маршрутизатора или канала статический
маршрут не позволяет перенаправлять пакеты на другие маршрутизаторы, чтобы
передать их нужным получателям. Кроме того, при добавлении или удалении какой-
либо сети в вашем окружении администратор должен задавать возможные сценарии
маршрутизации и конфигурировать их соответствующим образом. Поэтому сетевые
среды со статической маршрутизацией (в особенности те, что подвержены частым
изменениям) не подходят для более крупных сетей. Достаточно оценить расходы на
администрирование, чтобы понять, что статическая маршрутизация подходит только
для небольших сетевых окружений.
\\
В качестве эмпирического правила используйте статические маршруты только
при следующих условиях.



Домашний офис или филиал.
Сетевые окружения с небольшим числом сетей.
Соединения, которые не предполагается изменять в ближайшем будущем
(например, маршрутизатор, который используется как последнее средство,
когда информацию нельзя маршрутизировать иным способом).
Авто-статическая маршрутизация. Маршрутизаторы Windows Server 2003, которые
используют статические маршруты, могут иметь собственные таблицы
маршрутизации, обновляемые вручную или автоматически. Автоматические
обновляемые статические маршруты называют авто-статической маршрутизацией.
Соответствующие обновления можно конфигурировать с помощью интерфейса RRAS,
см. рис. 4.4, или с помощью утилиты NETSH. Это позволяет вам обновлять
информацию маршрутизаторов Windows Server 2003 только в определенные периоды
времени, что дает экономию затрат на соединения и/или использование меньшей
доли пропускной способности каналов.
Рис. 4.4. Авто-статическая маршрутизация с помощью интерфейса RRAS
\\
Когда вы указываете, что нужно обновить статические маршруты,
маршрутизатор отправляет запрос через активное соединение, чтобы обновить все
маршрутизаторы данного соединения. Получивший запрос маршрутизатор удаляет
все существующие авто-статические маршруты и затем вводит новые записи автостатической маршрутизации в виде статических (постоянных) маршрутов.
Примечание. Авто-статические обновления поддерживаются только в тех случаях,
когда вы используете протокол RIP для IP.
Динамическая маршрутизация
Как можно понять из этого названия, алгоритмы динамической маршрутизации
адаптируются к изменениям сетевой среды без ручного вмешательства. Вносимые
изменения почти мгновенно отражаются в информации маршрутизатора. Ниже
приводится список условий, при которых выгодно использовать динамическую
маршрутизацию.




Происходит отключение маршрутизатора или канала, что требует изменения
маршрута для передаваемой информации.
В интерсети добавляется или удаляется маршрутизатор.
Большое сетевое окружение, где имеется много сценариев маршрутизации.
Большое сетевое окружение, в котором часто происходят изменения сетевой
топологии.
\\
Алгоритмы динамической маршрутизации могут адаптироваться в реальном
масштабе времени к изменению состояний путем взаимодействия с другими
маршрутизаторами. Когда маршрутизатор получает уведомление, что в сети
произошло какое-либо изменение, он перерассчитывает маршруты и уведомляет
другие маршрутизаторы. Это позволяет всем маршрутизаторам интерсети получать
информацию о топологии всей сети даже в те моменты, когда она изменяется. В
настоящее время большинство маршрутизаторов используют алгоритмы
динамической маршрутизации и хорошо адаптируются к сети любого размера.
Маршрутизация с коммутируемым соединением по требованию
(demand/dial routing)
Большинство протоколов маршрутизации (RIP, OSPF и т.д.), которые используют для
взаимодействия с другими маршрутизаторами, периодически отправляют
маршрутную информацию, чтобы адаптироваться к динамическим изменениям
состояния сети. Это требуется для того, чтобы информация передавалась по
маршрутам с наименьшей "стоимостью". Однако существуют ситуации, когда
периодические обновления маршрутизаторов весьма нежелательны. Например,
каждая активизация канала может требовать дополнительной оплаты.
Во избежание таких ситуаций вы можете использовать маршрутизацию с
коммутируемым соединением по требованию. При такой маршрутизации активизация
канала происходит только при необходимости передачи информации другой стороне
соединения, что дает экономию затрат на соединения. Для поддержки обновлений
маршрутизаторов используется статическая или авто-статическая маршрутизация.
Дистанционные соединения и дистанционное управление
Прежде чем продолжить описание RRAS в Windows Server 2003, стоит рассказать,
чем отличаются дистанционные соединения от дистанционного (удаленного)
управления. RRAS обеспечивает именно дистанционные соединения. С помощью
RRAS создается сетевое соединение, чтобы пользователи могли осуществлять
дистанционный доступ к ресурсам, таким как принтеры, сетевые разделяемые
ресурсы и т.д. Можно также (но обычно не рекомендуется) запускать приложения
через канал глобальной сети (WAN). Но этого следует избегать, поскольку каналы
WAN обычно дают низкоскоростные соединения. В зависимости от размера и типа
приложения, которое вы пытаетесь запустить, может оказаться, что оно работает
крайне медленно.
Рис. 4.6. Общераспространенный сценарий использования RRAS
С другой стороны, используя дистанционное (удаленное) управление, клиенты видят
на своем экране то, что представлено на мониторе сервера. Каждая операция,
которая выполняется во время сеанса дистанционного управления, на самом деле
выполняется на самом сервере. Через сетевое соединение передается только
экранная информация. Дистанционное управление позволяет вам, клиенту,
воспринимать все, как будто вы находитесь непосредственно перед экраном
сервера.
\\
Иначе говоря, дистанционное соединение делает ваш компьютер частью
удаленной сети, в то время как дистанционное управление позволяет вам
непосредственно работать с удаленным компьютером.
Примечание. Windows Server 2003 обеспечивает операции дистанционного
управления, но не через RRAS. Вместо этого вы используете Terminal Server
(Терминальный сервер), который поставляется в комплекте с этой операционной
системой.
Межсетевые экраны с пакетной фильтрацией
Межсетевой экран с пакетной фильтрацией — наименее интеллектуальный, но наиболее
быстрый тип межсетевого экрана. Правила фильтрации могут быть основаны на IP-адресах
отправителя и получателя, типе протокола (TCP/UDP) и портах отправителя и получателя.
Межсетевой экран с пакетной фильтрацией рассматривает каждый сетевой пакет отдельно от
остальных и «не понимает» соединений. Это приводит к тому, что ответные пакеты
рассматриваются аналогично пакетам, инициирующим соединение из внешней сети. ,
\\
Таким образом, межсетевой экран с пакетной фильтрацией требует детальной
настройки правил фильтрации, явно разрешающих и обычные входящие пакеты, и ответные
пакеты.
Межсетевые экраны с пакетной фильтрацией не позволяют настроить правила, разрешающие
«выход» во внешнюю сеть только для определенных пользователей внутренней сети.
Межсетевые экраны с пакетной фильтрацией являются «прозрачными» для клиентских
приложений, т.е не требуют настройки клиентских приложений на использование межсетевого
экрана.
NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это
механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
Преобразование адресов методом NAT может производиться почти
любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым
экраном. Наиболее популярным является SNAT, суть механизма которого состоит в замене
адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене
адреса назначения (англ. destination) в ответном пакете. Наряду с адресами
источник/назначение могут также заменяться номера портов источника и назначения.
Помимо source NAT (предоставления пользователям локальной сети с внутренними
адресами доступа к сети Интернет) часто применяется также destination NAT, когда обращения
извне транслируются межсетевым экраном на сервер в локальной сети, имеющий внутренний
адрес и потому недоступный извне сети непосредственно (без NAT).
Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address
Translation), динамическая (Dynamic Address Translation ), маскарадная (NAPT, PAT).
Преимущества
NAT выполняет три важных функции.
1.
Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний
публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних).
\\
По такому принципу построено большинство сетей в мире: на небольшой район домашней сети
местного провайдера или на офис выделяется 1 «белый» (то есть внешний) IP-адрес, за которым
работают и получают доступ вовне все «серые» (то есть внутренние) IP-адреса.
2.
Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя
возможность обращения изнутри наружу.
\\
При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие
снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих
снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации
соединения или статической), они не пропускаются.
3.
Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути,
выполняется та же указанная выше трансляция на определённый порт, но возможно подменить
внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на
внешний 54055-й).
\\
Тем самым, снаружи, на внешнем IP-адресе после трансляции адресов на сайт (или форум) для
осведомлённых посетителей можно будет попасть по адресу http://mysite.org:54055, но на внутреннем
сервере, находящимся за NAT, он будет работать на обычном 80-м порту. Повышение безопасности и
скрытие «непубличных» ресурсов.
Недостатки
1. Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути
между взаимодействующими хостами есть трансляция адресов.
\\ Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот
недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более
высоких уровнях (например, в командах протокола FTP). См. Application-level gateway.
2. Из-за трансляции адресов «много в один» появляются дополнительные сложности с
идентификацией пользователей и необходимость хранить полные логи трансляций.
3. DoS со стороны узла, осуществляющего NAT — если NAT используется для подключения многих
пользователей к одному и тому же сервису, это может вызвать иллюзию DoS-атаки на сервис
(множество успешных и неуспешных попыток).
\\ Например, избыточное количество пользователей ICQ за NAT приводит к проблеме с
подключением к серверу некоторых пользователей из-за превышения допустимой скорости
подключений. Частичным решением проблемы является использование пула адресов (группы
адресов), для которых осуществляется трансляция.
В некоторых случаях, необходимость в дополнительной настройке (см. Трансляция портадрес) при работе с пиринговыми сетями и некоторыми другими программами (Battle.net-игры),
в которых необходимо не только инициировать исходящие соединения, но также принимать
Пример
Трансляция локальной сети с диапазоном адресов 172.17.14.0/24 в глобальную сеть будет
осуществляться через один внешний IP-адрес (адрес маршрутизатора, выполняющего трансляцию).
Настройка защиты периметра с помощью Basic Firewall
Basic Firewall — один из субкомпонентов службы Routing and Remote Access (RRAS) в
Windows Server 2003. Поэтому перед настройкой Basic Firewall необходимо сначала
активировать службу RRAS и добавить Basic Firewall (если он не будет добавлен автоматически
в ходе активации RRAS).
Для активации RRAS следует запустить административное средство Routing and Remote Access,
в контекстном меню выбрать пункт Configure and Enable Routing and Remote Access и пройти
Мастер настройки RRAS. Подробные шаги описаны в статье КВ816581 How to configure Network
Address Translation in Windows Server 2003. Выполнение шагов, описанных в этой статье,
позволяет настроить компьютер как NAT-устройство и автоматически активировать Basic
Firewall на внешнем интерфейсе.
При этом на внешнем интерфейсе блокируются все входящие соединения, кроме тех, которые
являются ответами на исходящие соединения пользователей внутренней сети.
Дополнительная настройка Basic Firewall может включать в себя публикацию внутренних
ресурсов (закладка Services and Ports) и разрешение определенных входящих ICMP-пакетов
(закладка ICMP).