Использование сервера Windows 2003 в качестве NAT роутера (маршрутизатора)

Использование сервера WINDOWS 2003 в качестве NAT роутера (маршрутизатора)

Рассмотрено программное обеспечение в качестве маршрутизатора информационной сети на базе серверной операционной системы Windows 2003. информационный операционный маршрутизатор windows.

В настоящее время очень остро стоит проблема обеспечение безопасности и надежности функционирования информационных сетей на предприятиях. В связи с этим возникает ряд задач, позволяющих решить данные проблемы, в частности: установка специального программного обеспечения, организация хранения данных, настройка программных маршрутизаторов и т. п.

Для решения означенных задач был выполнен анализ существующих программных средств и выделено применение сервера Windows 2003. основана задача данного сервера заключается в маршрутизации пакетов двух и более сегментов информационной сети. Анализ информации в интернете и специальной литературы не позволил однозначно выделить искомое решение, поэтому было решено исследовать данную проблему.

Маршрутизаторы являются ключевым звеном любой сети internetwork. Основные задачи, которые решают маршрутизаторы:

• · нахождение наилучшего маршрута;
• · отправка пакета по этому маршруту.

Маршрутизация сделала возможным объединение отдельных сетей в одну глобальную сеть, где каждому участнику сети доступны все ресурсы. Можно говорить о трех принципах маршрутизации:

• · Каждый маршрутизатор принимает решение сам. При этом не оговаривается, откуда получена информация о маршрутах.
• · Если один маршрутизатор имеет полную таблицу маршрутизации, то это не значит, что и у остальных она тоже полная. Можно привести много причин и примеров, когда сеть не сходится. В некоторых случаях это может привести к потере данных, а в некоторых и к циклам маршрутизации. Именно поэтому важно правильно и полно настроить статические маршруты на маршрутизаторах и/или правильно подобрать и настроить динамический протокол маршрутизации.
• · Существование маршрута в одну сторону не гарантирует существование обратного маршрута. Простыми словами, пакет может достигнуть получателя, но обратного пути для ответного пакета может не быть. К этому приводит неполнота таблицы маршрутизации на каком-нибудь маршрутизаторе по пути.

Решением стало установка Windows Server 2003 на отдельном компьютере с двумя сетевыми картами, с установкой роли Routing и Remote Access Service (RRAS) на данной машине с дальнейшим использованием его в качестве маршрутизатора.

В первую очередь был настроен RRAS модуль в качестве роутера с трансляцией сетевых адресов (Network Address Translation — NAT). NAT является IETF стандартом, обеспечивающим способ трансляции IPv4 адресов компьютеров в одной сети в IPv4 адреса компьютеров в другой сети.

Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через консоль управления. Для запуска консоли управления службой маршрутизации и удаленного доступа выбирается меню Пуск и в нем подменю Администрирование, в котором — пункт Маршрутизация и удаленный доступ (рисунок 1).

Рисунок 1 Главное окно роли «Routing and Remote Access».

Первоначальная настройка сервера маршрутизации и удаленного доступа выполняется в дереве «Консоли управления», в меню «Маршрутизация и удаленный доступ» выбирается ветвь с именем локального сервера. Затем при нажатии правой кнопки мыши на имени сервера выбирается пункт «Настроить и включить маршрутизацию и удаленный доступ» из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа. На первом шаге Мастера необходимо выбрать роль, которую будет выполнять сервер. Можно выбрать одну из следующих ролей:

Удаленный доступ (модем). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя с помощью модема или другого оборудования удаленного доступа (рисунок 2).

Рисунок 2 Пример роли «Удаленный доступ (модем)».

Удаленный доступ (VPN). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя через Интернет (рисунок 3).

Рисунок 3 Пример роли «Удаленный доступ (VPN)».

Преобразование сетевых адресов (NAT). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров частной локальной сети. Компьютеры, находящиеся в Интернете, не в состоянии определять IP-адреса компьютеров в сети пользователя (рисунок 4).

Рисунок 4 Пример роли «Преобразование сетевых адресов (NAT)».

Виртуальная частная сеть (VPN) и преобразование сетевых адресов (NAT). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров локальной сети пользователя и разрешения подключения удаленных клиентов к сети пользователя через Интернет. Компьютеры в Интернете не в состоянии определять IP-адреса компьютеров в частной сети. Однако клиенты VPN в состоянии подключаться к компьютерам сети пользователя, как если бы они были физически присоединены к этой сети (рисунок 5).

Рисунок 5 Пример роли «Виртуальная частная сеть (VPN)».

Безопасное соединение между двумя частными сетями. При выборе данной роли два сервера со службой маршрутизации и удаленного доступа будут настроены для безопасной передачи частных данных через Интернет. Данный путь необходимо выбрать на каждом сервере при запуске мастера настройки маршрутизации и удаленного доступа. Подключение между двумя серверами может быть постоянным (включено постоянно) либо по требованию (вызов по требованию) (рисунок 6).

Рисунок 6 Пример роли «Безопасное соединение между двумя частными сетями».

У Маршрутизатор Windows Server 2003 поддерживает фильтрацию входящих и исходящих пакетов данных на различных уровнях:

• · уровень физического интерфейса — фильтрация осуществляется для всех пакетов, проходящих через интерфейс, обычно это происходит после маршрутизации пакета;
• · уровень интерфейса маршрутизации — фильтрация осуществляется при прохождении данных через интерфейс маршрутизации, при маршрутизации конкретного протокола;
• · уровень клиента удаленного доступа — фильтрация данных осуществляется при передаче клиенту удаленного доступа по каналу связи.

На любом уровне фильтрация осуществляется отдельно для входящих и исходящих пакетов. Например, при передаче данных через маршрутизатор из локальной сети в Интернет для интерфейса подключения по локальной сети эти данные будут считаться входящими, а для интерфейса вызова по требованию — исходящими. Для клиентов удаленного доступа входящими всегда считаются данные, передаваемые клиентом, а исходящими — данные, передаваемые клиенту.

В интерфейсе управления маршрутизатором Windows Server 2003 входящие фильтры обычно настраиваются кнопкой «Фильтры входа», а исходящие — кнопкой «Фильтры выхода». Покажем настройку фильтров на примере входящих фильтров. Настройка исходящих фильтров осуществляется аналогично.

В окне «Фильтры входа» указывается набор действующих фильтров и условия фильтрации. Последние определяются переключателем в верхней части окна, который может быть установлен в одно из положений:

• · Не разрешать перечисленные пакеты. Через фильтр пропускаются все пакеты, кроме тех, которые отвечают условиям, указанным в списке «Фильтры».
• · Разрешать только перечисленные пакеты. Через фильтр пропускаются только те пакеты, которые отвечают условиям, указанным в списке «Фильтры».

Набор условий для проверки задается в списке «Фильтры». Для добавления условия в список необходимо щелкнуть кнопку «Создать» (рисунок 7).

Рисунок 7 Добавление IP-фильтра.

В данном окне необходимо задать параметры исходного и конечного адреса проверяемого пакета. Если должен анализироваться адрес отправителя, то необходимо установить флажок «Исходная сеть» и указать адрес и маску сети отправителя. Если должен фильтроваться только один определенный IP-адрес, его необходимо указать в поле IP-адрес, а в поле «Маска» указать значение 255.255.255.255. По аналогии настраивается анализ адреса получателя.

В раскрывающемся списке «Протокол» должен быть выбран протокол, пакеты которого анализирутся фильтром. При указании протоколов TCP или UDP необходимо дополнительно задать диапазон исходящих и входящих портов. Например, для выделения всех запросов к Web-серверу локальной сети (адрес 192.168.0.10) должен задаваться фильтр со следующими параметрами:

Для поставленной задачи была выбрана роль RRAS «Преобразование сетевых адресов (NAT)» для работы маршрутизатора.

Рисунок 8 Схема подключения маршрутизатора.

Windows Server 2003 был установлена на машину с двумя сетевыми картами, параметры TCP/IP этих карт были настроены следующим образом:

Сетевой интерфейс Realtek подключен к основной сети:

• — IP адрес = 192.168.10.1;
• — Маска подсети = 255.255.255.0;
• — Основной шлюз = 192.168.10.1;
• — DNS серверы = 192.168.0.250.

Сетевой интерфейс NIC подключен к сегменту сети:

• — IP адрес = 192.168.0.250.
• — Маска подсети = 255.255.255.0.
• — Основной шлюз = 192.168.0.2.
• — DNS серверы = 212.154.163.162.

Установка клиентских компьютеров в основной сети LAN.

Установки на клиентских машинах: для сегмента сети были назначены DHCP-сервером и были следующие:

• · IP адрес = 192.168.10.0/32.
• · Маска подсети = 255.255.255.0.
• · Основной шлюз = 192.168.10.1 (ближайший интерфейс сервера RRAS).
• · DNS серверы = 192.168.0.250(DNS сервер домена).

Таким образом, маршрутизатор стал связующим звеном между сегментом сети и основной сетью (рисунок 8) со своими правилами адресации в сети и настройками безопасности. При такой настройке в сегмент сети нет необходимости вводить для каждой машины сетевые правила подключения к серверам или обращения за пределы сегмента сети, маршрутизатор работает на правилах, созданных для работы в сети на основе фильтров, установленных администратором сети.