Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Использование сервера Windows 2003 в качестве NAT роутера (маршрутизатора)

Использование сервера Windows 2003 в качестве NAT роутера (маршрутизатора)


Использование сервера WINDOWS 2003 в качестве NAT роутера (маршрутизатора)

Рассмотрено программное обеспечение в качестве маршрутизатора информационной сети на базе серверной операционной системы Windows 2003. информационный операционный маршрутизатор windows

В настоящее время очень остро стоит проблема обеспечение безопасности и надежности функционирования информационных сетей на предприятиях. В связи с этим возникает ряд задач, позволяющих решить данные проблемы, в частности: установка специального программного обеспечения, организация хранения данных, настройка программных маршрутизаторов и т.п.

Для решения означенных задач был выполнен анализ существующих программных средств и выделено применение сервера Windows 2003. основана задача данного сервера заключается в маршрутизации пакетов двух и более сегментов информационной сети. Анализ информации в интернете и специальной литературы не позволил однозначно выделить искомое решение, поэтому было решено исследовать данную проблему.

Маршрутизаторы являются ключевым звеном любой сети internetwork. Основные задачи, которые решают маршрутизаторы:

· нахождение наилучшего маршрута;

· отправка пакета по этому маршруту.

Маршрутизация сделала возможным объединение отдельных сетей в одну глобальную сеть, где каждому участнику сети доступны все ресурсы. Можно говорить о трех принципах маршрутизации:

· Каждый маршрутизатор принимает решение сам. При этом не оговаривается, откуда получена информация о маршрутах.

· Если один маршрутизатор имеет полную таблицу маршрутизации, то это не значит, что и у остальных она тоже полная. Можно привести много причин и примеров, когда сеть не сходится. В некоторых случаях это может привести к потере данных, а в некоторых и к циклам маршрутизации. Именно поэтому важно правильно и полно настроить статические маршруты на маршрутизаторах и/или правильно подобрать и настроить динамический протокол маршрутизации.

· Существование маршрута в одну сторону не гарантирует существование обратного маршрута. Простыми словами, пакет может достигнуть получателя, но обратного пути для ответного пакета может не быть. К этому приводит неполнота таблицы маршрутизации на каком-нибудь маршрутизаторе по пути.

Решением стало установка Windows Server 2003 на отдельном компьютере с двумя сетевыми картами, с установкой роли Routing и Remote Access Service (RRAS) на данной машине с дальнейшим использованием его в качестве маршрутизатора.

В первую очередь был настроен RRAS модуль в качестве роутера с трансляцией сетевых адресов (Network Address Translation - NAT). NAT является IETF стандартом, обеспечивающим способ трансляции IPv4 адресов компьютеров в одной сети в IPv4 адреса компьютеров в другой сети.

Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через консоль управления. Для запуска консоли управления службой маршрутизации и удаленного доступа выбирается меню Пуск и в нем подменю Администрирование, в котором - пункт Маршрутизация и удаленный доступ (рисунок 1).

Рисунок 1 Главное окно роли «Routing and Remote Access»

Первоначальная настройка сервера маршрутизации и удаленного доступа выполняется в дереве «Консоли управления», в меню «Маршрутизация и удаленный доступ» выбирается ветвь с именем локального сервера. Затем при нажатии правой кнопки мыши на имени сервера выбирается пункт «Настроить и включить маршрутизацию и удаленный доступ» из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа. На первом шаге Мастера необходимо выбрать роль, которую будет выполнять сервер. Можно выбрать одну из следующих ролей:

Удаленный доступ (модем). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя с помощью модема или другого оборудования удаленного доступа (рисунок 2).

Рисунок 2 Пример роли «Удаленный доступ (модем)»

Удаленный доступ (VPN). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя через Интернет (рисунок 3).

Рисунок 3 Пример роли «Удаленный доступ (VPN)»

Преобразование сетевых адресов (NAT). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров частной локальной сети. Компьютеры, находящиеся в Интернете, не в состоянии определять IP-адреса компьютеров в сети пользователя (рисунок 4).

Рисунок 4 Пример роли «Преобразование сетевых адресов (NAT)»

Виртуальная частная сеть (VPN) и преобразование сетевых адресов (NAT). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров локальной сети пользователя и разрешения подключения удаленных клиентов к сети пользователя через Интернет. Компьютеры в Интернете не в состоянии определять IP-адреса компьютеров в частной сети. Однако клиенты VPN в состоянии подключаться к компьютерам сети пользователя, как если бы они были физически присоединены к этой сети (рисунок 5).

Рисунок 5 Пример роли «Виртуальная частная сеть (VPN)»

Безопасное соединение между двумя частными сетями. При выборе данной роли два сервера со службой маршрутизации и удаленного доступа будут настроены для безопасной передачи частных данных через Интернет. Данный путь необходимо выбрать на каждом сервере при запуске мастера настройки маршрутизации и удаленного доступа. Подключение между двумя серверами может быть постоянным (включено постоянно) либо по требованию (вызов по требованию) (рисунок 6).

Рисунок 6 Пример роли «Безопасное соединение между двумя частными сетями»

У Маршрутизатор Windows Server 2003 поддерживает фильтрацию входящих и исходящих пакетов данных на различных уровнях:

· уровень физического интерфейса - фильтрация осуществляется для всех пакетов, проходящих через интерфейс, обычно это происходит после маршрутизации пакета;

· уровень интерфейса маршрутизации - фильтрация осуществляется при прохождении данных через интерфейс маршрутизации, при маршрутизации конкретного протокола;

· уровень клиента удаленного доступа - фильтрация данных осуществляется при передаче клиенту удаленного доступа по каналу связи.

На любом уровне фильтрация осуществляется отдельно для входящих и исходящих пакетов. Например, при передаче данных через маршрутизатор из локальной сети в Интернет для интерфейса подключения по локальной сети эти данные будут считаться входящими, а для интерфейса вызова по требованию - исходящими. Для клиентов удаленного доступа входящими всегда считаются данные, передаваемые клиентом, а исходящими - данные, передаваемые клиенту.

В интерфейсе управления маршрутизатором Windows Server 2003 входящие фильтры обычно настраиваются кнопкой «Фильтры входа», а исходящие - кнопкой «Фильтры выхода». Покажем настройку фильтров на примере входящих фильтров. Настройка исходящих фильтров осуществляется аналогично.

В окне «Фильтры входа» указывается набор действующих фильтров и условия фильтрации. Последние определяются переключателем в верхней части окна, который может быть установлен в одно из положений:

· Не разрешать перечисленные пакеты. Через фильтр пропускаются все пакеты, кроме тех, которые отвечают условиям, указанным в списке «Фильтры».

· Разрешать только перечисленные пакеты. Через фильтр пропускаются только те пакеты, которые отвечают условиям, указанным в списке «Фильтры».

Набор условий для проверки задается в списке «Фильтры». Для добавления условия в список необходимо щелкнуть кнопку «Создать» (рисунок 7).

Рисунок 7 Добавление IP-фильтра

В данном окне необходимо задать параметры исходного и конечного адреса проверяемого пакета. Если должен анализироваться адрес отправителя, то необходимо установить флажок «Исходная сеть» и указать адрес и маску сети отправителя. Если должен фильтроваться только один определенный IP-адрес, его необходимо указать в поле IP-адрес, а в поле «Маска» указать значение 255.255.255.255. По аналогии настраивается анализ адреса получателя.

В раскрывающемся списке «Протокол» должен быть выбран протокол, пакеты которого анализирутся фильтром. При указании протоколов TCP или UDP необходимо дополнительно задать диапазон исходящих и входящих портов. Например, для выделения всех запросов к Web-серверу локальной сети (адрес 192.168.0.10) должен задаваться фильтр со следующими параметрами:

Для поставленной задачи была выбрана роль RRAS «Преобразование сетевых адресов (NAT)» для работы маршрутизатора.

Рисунок 8 Схема подключения маршрутизатора

Windows Server 2003 был установлена на машину с двумя сетевыми картами, параметры TCP/IP этих карт были настроены следующим образом:

Сетевой интерфейс Realtek подключен к основной сети:

- IP адрес = 192.168.10.1;

- Маска подсети = 255.255.255.0;

- Основной шлюз = 192.168.10.1;

- DNS серверы = 192.168.0.250.

Сетевой интерфейс NIC подключен к сегменту сети:

- IP адрес = 192.168.0.250.

- Маска подсети = 255.255.255.0.

- Основной шлюз = 192.168.0.2.

- DNS серверы = 212.154.163.162.

Установка клиентских компьютеров в основной сети LAN.

Установки на клиентских машинах: для сегмента сети были назначены DHCP-сервером и были следующие:

· IP адрес = 192.168.10.0/32.

· Маска подсети = 255.255.255.0.

· Основной шлюз = 192.168.10.1 (ближайший интерфейс сервера RRAS).

· DNS серверы = 192.168.0.250(DNS сервер домена).

Таким образом, маршрутизатор стал связующим звеном между сегментом сети и основной сетью (рисунок 8) со своими правилами адресации в сети и настройками безопасности. При такой настройке в сегмент сети нет необходимости вводить для каждой машины сетевые правила подключения к серверам или обращения за пределы сегмента сети, маршрутизатор работает на правилах, созданных для работы в сети на основе фильтров, установленных администратором сети.

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
 
Предметы
Агропромышленность
Банковское дело
БЖД
Бухучет и аудит
География
Документоведение
Естествознание
Журналистика
Информатика
История
Культурология
Литература
Логика
Логистика
Маркетинг
Математика, химия, физика
Медицина
Менеджмент
Недвижимость
Педагогика
Политология
Право
Психология
Религиоведение
Социология
Статистика
Страховое дело
Техника
Товароведение
Туризм
Философия
Финансы
Экология
Экономика
Этика и эстетика
Прочее