Настройка маршрутизации и удаленного доступа

Меню Пуск/Настройка/Панель управления/Администрирование/ Маршрутизация и удаленный доступ позволяет создать маршрутизатор локальной сети и сервер удаленного доступа к сети (RAS, Remote Access Server). Функции и принципы работы маршрутизатора, а также основные протоколы маршрутизации были рассмотрены ранее в лекциях. Сервер удаленного доступа позволяет организовать подключение удаленных пользователей к серверу (и, при желании, ко всей остальной сети) при помощи модема. Создание маршрути-затора и сервера удаленного доступа можно осуществить при помощи удобных мастеров (Выделить сервер / Контекстное меню/Настроить и включить маршрутизацию и удаленный доступ) или выбрать ручную настройку. Ниже приведен список некоторых задач и методы их решения.

Задача	Решение
Просмотр или созда-ние новых сетевых интерфейсов.	Выделить сервер / Интерфейсы маршрутизации.
Задание статических маршрутов вручную.	Выделить сервер/IP-маршрутизация/Статические маршруты/Контекстное меню/Новый статический маршрут
Задание протоколов маршрутизации.	Выделить сервер/IP-маршрутизация/Общие/Контекстное меню/Новый протокол маршрутизации. Можно воспользоваться протоколами RIPv2 и OSPF.
Задание приоритета использования марш-рутной информации, поступающей из разных источников.	Если до одного и того же компьютера/сети в таблице маршрутизации существует несколько маршрутов, то они используются в следующем порядке: 1) статические маршруты, 2) маршруты, полученные по протоколу OSPF, 3) маршруты, получен-ные по протоколу RIP. Можно изменить приоритеты обработки маршрутной информации: Выделить сервер /IP-маршрутизация/Общие/Контекстное меню/ Свойства/Уровни предпочтений.
Отображение сущес-твующих маршрутов.	Выделить сервер/IP-маршрутизация/Статические маршруты/ Контекстное меню/ Отобразить таблицу IP-маршрутизации
Запрещение продвижения пакетов между сетевыми интерфейсами	Выделить сервер/Контекстное меню/Свойства/Вкладка "IP"/ Разрешить IP-маршру-тизацию - снять флажок. Если компьютер используется как маршрутизатор локаль-ной сети, то иногда запрещают продвижение пакетов между сетевыми интерфейса-ми, а доступ из одного сегмента сети в другой осуществляют при помощи прокси-сервисов, прослушивающих соответствующие порты (подробнее о прокси-серверах и их преимуществах, с точки зрения обеспечения безопасности, см. ранее в лек-циях). Если компьютер используют в качестве сервера удаленного доступа, то запрет IP-маршрутизации позволит удаленным пользователям подключаться только к серверу, но не даст доступа к остальной сети.
Задание трансляции сетевых адресов (NAT)	Трансляция сетевых адресов NAT уже подробно рассматривалась ранее в лекциях и позволяет большому количеству компьютеров работать с Internet или другой сетью при помощи одного или нескольких IP-адресов. Использование NAT также позво-ляет скрывать структуру своей сети от внешней сети, т.к. для внешней сети вся внутренняя сеть будет представлена всего одним IP-адресом. Настройка NAT осуществляется через меню IP-маршрутизация/Общие/Контекстное меню/Новый протокол маршрутизации/NAT-преобразование сетевых адресов. После создания протокола NAT: IP-маршрутизация/NAT/Контекстное меню/Новый интерфейс/ Выбрать интерфейс, соответствующей внутренней сети и в диалоговом окне указать "Частный интерфейс, подключен к частной сети". Аналогично выбрать второй интерфейс, соответствующий внешней сети (например, Internet), и в диалоговом окне указать/Общий интерфейс, подключен к интернет, а также установить флажок "Преобразовать TCP/UDP заголовки" и на вкладке "Пул адресов" указать IP-адрес, которым ваша внутренняя сеть будет представлена во внешней сети. Можно указать

Задача	Решение
	несколько адресов, или при помощи кнопки "Резервирование" указать, что конкретный IP-адрес внутренней сети, всегда будет заменяться в пакетах на конкретный IP-адрес внешней сети.
Создание IP-туннеля	При создании IP-туннеля между двумя компьютерами устанавливается логическое (а не физическое) соединение точка-точка. Если между компьютерами A и B существует IP-туннель, и пакет был направлен в этот туннель, то он помещается в дополнительный IP-пакет, в котором в качестве адреса назначения будет указан компьютер B. После поступ-ления такого IP-пакета на компьютер B, из него извлекается первоначальный пакет и передается далее по сети, к которой подключен компьютер B. Обычно IP-туннель (интер-фейс IP-в-IP) используется для перенаправления многоадресного IP-трафика из одной части сети в другую, через участок сети, в котором не поддерживается многоадресный IP-трафик. Создать IP-туннель можно следующим образом: "Интерфейсы маршрутизации/ Контекстное меню/Создать IP-туннель", а затем "IP-маршрутизация /Общие/ Контекстное меню/Новый интерфейс/ Выделить созданный ранее IP-туннель/OK/в диалоговом окне задать локальный (компьютер A) и удаленный (компьютер B) IP-адрес. В том же диало-говом окне, на вкладке "Общие", можно установить фильтры на входящие и исходящие пакеты туннеля (фильтрация по IP-адресам, типам протоколов, портам).
Создание интерфейса вызова по требованию	Поясним на примере. Если известно, что доступ к сети 15.0.0.0 можно получить при помо-щи модема (адаптера ISDN, другого устройства), позвонив по тел. 555-00-15, а доступ к сети 17.0.0.0 можно получить при помощи модема, позвонив по тел. 555-00-17, то для автоматизации этого процесса можно создать два интерфейса вызова по требованию и добавить в таблицы маршрутизации записи, отправляющие пакеты до соответствующих сетей на эти интерфейсы. Тогда если на маршрутизатор попадет пакет до сети 15.0.0.0, то модем автоматически наберет номер 555-00-15, установит соединение с удаленным компьютером (маршрутизатором) и передаст пакет. В случае если появится пакет до сети 17.0.0.0, то соединение будет установлено по номеру 555-00-17. Настройка интерфейса вызова по требованию происходит следующим образом: Интерфейсы маршрутизации/ Контекстное меню/ Создать новый интерфейс вызова по требованию/Указать тел. и др. параметры. Затем: IP-маршрутизация/Статические маршруты/Контекстное меню/Новый статический маршрут/Выбрать созданный интерфейс вызова по требованию и указать IP-адрес и маску сети (компьютера) назначения. Может также понадобиться указать: "Выде-лить сервер/Контекстное меню/Свойства/Вкладка "Общие"/ Использовать компьютер как маршрутизатор локальной сети и вызова по требованию".
Настройка компьютера в качестве серве-ра удаленного доступа (RAS)	Выделить сервер/Контекстное меню/Свойства/Вкладка "Общие"/Использовать компьютер как сервер удаленного доступа – установить флажок. В том же диалоговом окне осуществляются и другие настройки: Вкладка "Безопасность" – указывается выбор между службами проверки подлинности и учета пользователей (служба Windows или служба Radius). Кнопка "Методы проверки подлинности" позволяет включить запрос пароля по схеме CHAP или PAP (подробнее см. ранее в лекциях, протокол PPP) или разрешить удаленное подключение без проверки пароля и имени пользователя. Вкладка "IP" – назначение IP-адресов для подключающихся пользователей: используя протокол DHCP или из статического пула адресов, задаваемого вручную на этой же вклад-ке (адреса DHCP, DNS и WINS серверов выбираются автоматически, см. выпадающий список "Адаптер"). В дополнение к этому, в политике безопасности удаленного доступа (см. ниже) указывается: назначает ли сервер IP-адрес клиенту, или клиент может сам запросить IP-адрес. Вкладка "PPP" – позволяет задавать объединение нескольких физических подключений (например, несколько модемов) в один логический канал, а также управлять пропускной способностью канала, создавая дополнительные подключения при необходимости. Помимо описанных выше процедур, необходимо также создать соответствующих пользователей (Пуск/Настройка/Панель управления/Администрирование/Active Directory – пользователи и компьютеры/Выделить подразделение/Создать/Пользователь), задать им пароли и разрешить для них "Входящие звонки" (Active Directory – пользователи и компьютеры/Выделить пользователя/Двойной щелчок/Входящие звонки).
Настройка политики удаленного доступа	Создание политики – Выбрать сервер/Политика удаленного доступа/Контекстное меню/ Создать политику удаленного доступа. В уже созданной политике используя кнопку "Добавить", можно задать следующие условия, по которым пользователям будет разрешено/отказано в удаленном доступе: - номер телефона исходящего звонка, который набрал пользователь. - номер телефона входящего звонка. - используемые протоколы и тип службы, которые запрашивает пользователь. - IP-адрес пользователя. - время звонка пользователя. - группа пользователей, к которой принадлежит звонивший и др. Используя кнопку "Изменить профиль" можно настроить профиль подключаемого пользователя: - назначается ли сервером IP-адрес клиенту, или клиент может сам запросить IP-адрес. - задать фильтр пакетов (межсетевой экран, firewall) для данного подключения, ограничивающий прохождение пакетов от клиентов и к клиенту, в зависимости от типа протокола и номера портов. - ограничить максимальную продолжительность и время звонков. - определить методы проверки подлинности и шифрования и др.
Настройка ве-дения журна-лов событий удаленного доступа и мар-шрутизации	Для настройки регистрации всех событий, связанных с удаленным доступом и маршрути-зацией следует выбрать меню "Выделить сервер/Контекстное меню/Свойства/Журнал событий" – позволяет указать условия записи событий сервера, связанных с маршрутиза-цией и удаленным доступом (записывать только ошибки/ошибки и предупреждения/все события/отключить запись). Для настройки ведения журнала удаленного доступа необходимо воспользоваться меню "Выбрать сервер/Ведение журнала удаленного доступа" – позволяет настроить размеры, местоположение, формат файла журнала удаленного доступа и уровень детализации веде-ния журнала.