Использование сервера Windows 2003 в качестве NAT роутера (маршрутизатора)
Первоначальная настройка сервера маршрутизации и удаленного доступа выполняется в дереве «Консоли управления», в меню «Маршрутизация и удаленный доступ» выбирается ветвь с именем локального сервера. Затем при нажатии правой кнопки мыши на имени сервера выбирается пункт «Настроить и включить маршрутизацию и удаленный доступ» из контекстного меню. Будет запущен Мастер настройки сервера… Читать ещё >
Использование сервера Windows 2003 в качестве NAT роутера (маршрутизатора) (реферат, курсовая, диплом, контрольная)
Использование сервера WINDOWS 2003 в качестве NAT роутера (маршрутизатора)
Рассмотрено программное обеспечение в качестве маршрутизатора информационной сети на базе серверной операционной системы Windows 2003. информационный операционный маршрутизатор windows.
В настоящее время очень остро стоит проблема обеспечение безопасности и надежности функционирования информационных сетей на предприятиях. В связи с этим возникает ряд задач, позволяющих решить данные проблемы, в частности: установка специального программного обеспечения, организация хранения данных, настройка программных маршрутизаторов и т. п.
Для решения означенных задач был выполнен анализ существующих программных средств и выделено применение сервера Windows 2003. основана задача данного сервера заключается в маршрутизации пакетов двух и более сегментов информационной сети. Анализ информации в интернете и специальной литературы не позволил однозначно выделить искомое решение, поэтому было решено исследовать данную проблему.
Маршрутизаторы являются ключевым звеном любой сети internetwork. Основные задачи, которые решают маршрутизаторы:
- · нахождение наилучшего маршрута;
- · отправка пакета по этому маршруту.
Маршрутизация сделала возможным объединение отдельных сетей в одну глобальную сеть, где каждому участнику сети доступны все ресурсы. Можно говорить о трех принципах маршрутизации:
- · Каждый маршрутизатор принимает решение сам. При этом не оговаривается, откуда получена информация о маршрутах.
- · Если один маршрутизатор имеет полную таблицу маршрутизации, то это не значит, что и у остальных она тоже полная. Можно привести много причин и примеров, когда сеть не сходится. В некоторых случаях это может привести к потере данных, а в некоторых и к циклам маршрутизации. Именно поэтому важно правильно и полно настроить статические маршруты на маршрутизаторах и/или правильно подобрать и настроить динамический протокол маршрутизации.
- · Существование маршрута в одну сторону не гарантирует существование обратного маршрута. Простыми словами, пакет может достигнуть получателя, но обратного пути для ответного пакета может не быть. К этому приводит неполнота таблицы маршрутизации на каком-нибудь маршрутизаторе по пути.
Решением стало установка Windows Server 2003 на отдельном компьютере с двумя сетевыми картами, с установкой роли Routing и Remote Access Service (RRAS) на данной машине с дальнейшим использованием его в качестве маршрутизатора.
В первую очередь был настроен RRAS модуль в качестве роутера с трансляцией сетевых адресов (Network Address Translation — NAT). NAT является IETF стандартом, обеспечивающим способ трансляции IPv4 адресов компьютеров в одной сети в IPv4 адреса компьютеров в другой сети.
Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через консоль управления. Для запуска консоли управления службой маршрутизации и удаленного доступа выбирается меню Пуск и в нем подменю Администрирование, в котором — пункт Маршрутизация и удаленный доступ (рисунок 1).
Рисунок 1 Главное окно роли «Routing and Remote Access».
Первоначальная настройка сервера маршрутизации и удаленного доступа выполняется в дереве «Консоли управления», в меню «Маршрутизация и удаленный доступ» выбирается ветвь с именем локального сервера. Затем при нажатии правой кнопки мыши на имени сервера выбирается пункт «Настроить и включить маршрутизацию и удаленный доступ» из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа. На первом шаге Мастера необходимо выбрать роль, которую будет выполнять сервер. Можно выбрать одну из следующих ролей:
Удаленный доступ (модем). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя с помощью модема или другого оборудования удаленного доступа (рисунок 2).
Рисунок 2 Пример роли «Удаленный доступ (модем)».
Удаленный доступ (VPN). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя через Интернет (рисунок 3).
Рисунок 3 Пример роли «Удаленный доступ (VPN)».
Преобразование сетевых адресов (NAT). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров частной локальной сети. Компьютеры, находящиеся в Интернете, не в состоянии определять IP-адреса компьютеров в сети пользователя (рисунок 4).
Рисунок 4 Пример роли «Преобразование сетевых адресов (NAT)».
Виртуальная частная сеть (VPN) и преобразование сетевых адресов (NAT). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров локальной сети пользователя и разрешения подключения удаленных клиентов к сети пользователя через Интернет. Компьютеры в Интернете не в состоянии определять IP-адреса компьютеров в частной сети. Однако клиенты VPN в состоянии подключаться к компьютерам сети пользователя, как если бы они были физически присоединены к этой сети (рисунок 5).
Рисунок 5 Пример роли «Виртуальная частная сеть (VPN)».
Безопасное соединение между двумя частными сетями. При выборе данной роли два сервера со службой маршрутизации и удаленного доступа будут настроены для безопасной передачи частных данных через Интернет. Данный путь необходимо выбрать на каждом сервере при запуске мастера настройки маршрутизации и удаленного доступа. Подключение между двумя серверами может быть постоянным (включено постоянно) либо по требованию (вызов по требованию) (рисунок 6).
Рисунок 6 Пример роли «Безопасное соединение между двумя частными сетями».
У Маршрутизатор Windows Server 2003 поддерживает фильтрацию входящих и исходящих пакетов данных на различных уровнях:
- · уровень физического интерфейса — фильтрация осуществляется для всех пакетов, проходящих через интерфейс, обычно это происходит после маршрутизации пакета;
- · уровень интерфейса маршрутизации — фильтрация осуществляется при прохождении данных через интерфейс маршрутизации, при маршрутизации конкретного протокола;
- · уровень клиента удаленного доступа — фильтрация данных осуществляется при передаче клиенту удаленного доступа по каналу связи.
На любом уровне фильтрация осуществляется отдельно для входящих и исходящих пакетов. Например, при передаче данных через маршрутизатор из локальной сети в Интернет для интерфейса подключения по локальной сети эти данные будут считаться входящими, а для интерфейса вызова по требованию — исходящими. Для клиентов удаленного доступа входящими всегда считаются данные, передаваемые клиентом, а исходящими — данные, передаваемые клиенту.
В интерфейсе управления маршрутизатором Windows Server 2003 входящие фильтры обычно настраиваются кнопкой «Фильтры входа», а исходящие — кнопкой «Фильтры выхода». Покажем настройку фильтров на примере входящих фильтров. Настройка исходящих фильтров осуществляется аналогично.
В окне «Фильтры входа» указывается набор действующих фильтров и условия фильтрации. Последние определяются переключателем в верхней части окна, который может быть установлен в одно из положений:
- · Не разрешать перечисленные пакеты. Через фильтр пропускаются все пакеты, кроме тех, которые отвечают условиям, указанным в списке «Фильтры».
- · Разрешать только перечисленные пакеты. Через фильтр пропускаются только те пакеты, которые отвечают условиям, указанным в списке «Фильтры».
Набор условий для проверки задается в списке «Фильтры». Для добавления условия в список необходимо щелкнуть кнопку «Создать» (рисунок 7).
Рисунок 7 Добавление IP-фильтра.
В данном окне необходимо задать параметры исходного и конечного адреса проверяемого пакета. Если должен анализироваться адрес отправителя, то необходимо установить флажок «Исходная сеть» и указать адрес и маску сети отправителя. Если должен фильтроваться только один определенный IP-адрес, его необходимо указать в поле IP-адрес, а в поле «Маска» указать значение 255.255.255.255. По аналогии настраивается анализ адреса получателя.
В раскрывающемся списке «Протокол» должен быть выбран протокол, пакеты которого анализирутся фильтром. При указании протоколов TCP или UDP необходимо дополнительно задать диапазон исходящих и входящих портов. Например, для выделения всех запросов к Web-серверу локальной сети (адрес 192.168.0.10) должен задаваться фильтр со следующими параметрами:
Для поставленной задачи была выбрана роль RRAS «Преобразование сетевых адресов (NAT)» для работы маршрутизатора.
Рисунок 8 Схема подключения маршрутизатора.
Windows Server 2003 был установлена на машину с двумя сетевыми картами, параметры TCP/IP этих карт были настроены следующим образом:
Сетевой интерфейс Realtek подключен к основной сети:
- — IP адрес = 192.168.10.1;
- — Маска подсети = 255.255.255.0;
- — Основной шлюз = 192.168.10.1;
- — DNS серверы = 192.168.0.250.
Сетевой интерфейс NIC подключен к сегменту сети:
- — IP адрес = 192.168.0.250.
- — Маска подсети = 255.255.255.0.
- — Основной шлюз = 192.168.0.2.
- — DNS серверы = 212.154.163.162.
Установка клиентских компьютеров в основной сети LAN.
Установки на клиентских машинах: для сегмента сети были назначены DHCP-сервером и были следующие:
- · IP адрес = 192.168.10.0/32.
- · Маска подсети = 255.255.255.0.
- · Основной шлюз = 192.168.10.1 (ближайший интерфейс сервера RRAS).
- · DNS серверы = 192.168.0.250(DNS сервер домена).
Таким образом, маршрутизатор стал связующим звеном между сегментом сети и основной сетью (рисунок 8) со своими правилами адресации в сети и настройками безопасности. При такой настройке в сегмент сети нет необходимости вводить для каждой машины сетевые правила подключения к серверам или обращения за пределы сегмента сети, маршрутизатор работает на правилах, созданных для работы в сети на основе фильтров, установленных администратором сети.