CATEGORII DOCUMENTE |
Rutarea intr-o retea client -server cu Windows 2000 Server.
Rutarea in retea era inainte greu de inteles. Organizatiile cu retele de dimensiuni mari aveau angajati a caror sarcina era gestionarea ruterelor, pentru a le pastra in stare de functionare. Desigur, pe masura ce utilizarea IP si IPX in retele a devenit din ce in ce mai frecventa, a crescut si cererea de rutere usor de instalat si de configurat. Nu orice companie mica ce doreste sa se conecteze la Internet sau sa-si conecteze doua sedii separate isi poate permite un ruter sofisticat si un profesionist atestat care sa il administreze. Prima incercare a corporatiei Microsoft de a rezolva aceasta problema a fost versiunea serviciului Routing and Remote Access Service (RRAS), inclus in Windows NT 4.0 Option Pack; acesta este predecesorul direct al componentelor RRAS incluse in Windows 2000.
Versiunea RRAS din Windows 2000 consta intr-un ruter multi-protocol complet functional. Acesta poate gestiona trafic IP, IPX si Apple Talk si poate fi extins la alte tipuri pentru a adauga protocoale de retea sau metode de rutare, Ideea care sta la baza RRAS pentru rutare este aceea ca se poate instala RRAS pe un calculator Windows 2000, pentru a-l utiliza ca ruter, pe langa celelalte functii pe care le avea. De exemplu, se poate utiliza un calculator Windows 2000 Server cu RRAS pentru rutare, IIS pentru mail SMTP si servicii Web si doua NIC pentru a servi ca o combinatie intre un firewall, ruter si server Internet,
NOTA : Desi RRAS permite rutarea pentru retelele IPX si Appte Talk, acest capitol se va referi la rutarea IP, deoarece Microsoft pune accentul pe aceasta la examen.
Intelegerea adreselor IP este critica pentru a intelege cum functioneaza rutarea IP, O adresa IP este un identificator numeric atribuit fiecarui calculator dintr-o retea IP. Adresa IP desemneaza pozitia atribuita in retea a dispozitivului careia ii este atribuita. Dupa cum am mentionat anterior, acest tip de adresa este o adresa software, nu o adresa hardware (care este codificata in calculator sau in placa de retea).
NOTA : In restul acestei sectiuni vom presupune ca sunteti suficient de familiarizati cu notatiile binare si cu matematica.
Schema ierarhica de adrese IP
O adresa IP este compusa din 32 biti de informatie. Acesti biti sunt impartiti in patru sectiuni (numite octeti) care compun un octet (8 biti) fiecare. Exista trei metode pentru a specifica unei adrese IP:
Notatia zecimala cu puncte, de exemplu 130.57.30.56
. Notatia binara, cum ar fi 10000010.00111001.00011110.00111000
. Notatia hexazecimala, cum ar fi 82 39 1E 38.
Toate exemplele anterioare specifica aceeasi adresa IP.
Adresa IP pe 32 biti este o adresa structurata sau ierarhica, spre deosebire de o adresa non-ierarhica. Desi IP putea utiliza fie adresele simple, fie pe cele ierarhice, proiectantii sai au ales adresarea ierarhica - dintr-un motiv foarte bun.
Care este diferenta intre acest doua tipuri de adrese? Un exemplu de schema de adresare simpla este numarul unui act de identitate. Nu contine nici o divizare: intervalul de cifre permise nu este limitat in nici un fel. Daca aceasta metoda ar fi fost utilizata pentru adresele IP, fiecare calculator din Internet ar fi avut nevoie de o adresa unica. Avantajul adreselor simple este acela ca poate contine un numar mare de adrese, si anume 4,3 miliarde (un spatiu de adresa de 32 biti cu doua valori posibile pentru fiecare pozitie - 1 sau 0 - are valoarea 232, care este aproximativ 4,3 miliarde). Dezavantajul - si motivul pentru care adresarea simpla nu este utilizata in IP - consta in rutare. Daca fiecare adresa este unica, fiecare ruter din Internet ar trebui sa stocheze adresele tuturor calculatoarelor din Internet. Acest lucru ar face ca rutarea eficienta sa fie imposibila, chiar daca s-ar utiliza numai o parte din adresele posibile.
Solutia acestei probleme consta in utilizarea unei scheme de adresare ierarhica, care divide spatiul de adresa in portiuni ordonate. Numerele de telefon reprezinta un exemplu al acestui tip de adresare. Prima parte a unui numar de telefon - codul de zona - desemneaza o zona foarte mare, urmeaza apoi prefixul, care se refera la o anumita regiune locala. Segmentul final, numarul propriu-zis, indica o singura conexiune. De exemplu, un numar de telefon 256-233-xxxx, se poate determina foarte repede ca acel numar se afla in nordul Alabamei (codul de zona 256), in zona Athens/East Limestone (prefixul 233). Adresele IP functioneaza in acelasi mod. In loc de a trata toti cei 32 biti ca un identificator unic, o parte a adresei IP este desemnata ca adresa de retea, iar cealalta parte ca adresa a nodului, oferind o structura ierarhica, pe nivele.
Adresa de retea Adresa de retea identifica unic fiecare retea in adresa sa IP.
In adresa IP 130.57.30.56, partea 130.57 reprezinta adresa de retea.
Adresa nodului Adresa nodului este atribuita si identifica unic fiecare calculator din retea. Aceasta parte a adresei trebuie sa fie unica, deoarece identifica un anumit calculator - care este individual, spre deosebire de o retea, care este un grup. Acest numar se mai numeste si adresa de host. In exemplul 130.57.30.56, .30.56 reprezinta adresa nodului.
Proiectantii Internetului au decis sa creeze clase de retele, in functie de dimensiunea retelei. Pentru retelele care au foarte multe noduri, au creat reteaua de clasa A. La cealalta extrema se afla reteaua de clasa C, rezervata pentru retelele cu numar mic de noduri. Distinctia de clasa intre retele - de la foarte mari la foarte mici - formeaza reteaua de clasa B. Cum se subdivide o adresa IP in adresa de retea si adresa de nod este determinat de decizia de clasa a retelei. Tabelul 8.1 ofera un rezumat al celor trei clase de retele, care vor fi descrise mai detaliat in sectiunile urmatoare.
TABELUL 1. Clasele de adrese de retea
Clasa |
Format |
Modelul primului bit |
Intervalul zecimal pentru primul octet din adresa de retea |
Numarul maxim de retele |
Numarul maxim de noduri din retea |
A |
Nod | ||||
B |
Nod | ||||
C |
Nod |
Pentru a asigura rutarea eficienta, proiectantii Internetului au definit un mandat pentru sectiunea de inceput a adresei pentru fiecare clasa de retea, De exemplu, deoarece un ruter stie ca o adresa de retea de clasa A incepe intotdeauna cu un zero; ruterul va putea sa mareasca viteza unui pachet, dupa ce citeste doar primul bit din adresa. Tabelul 8.1 ilustreaza modul de definire a primilor biti dintr-o adresa de retea. Unele adrese IP sunt rezervate pentru anumite scopuri si nu ar trebui sa fie atribuite nodurilor de administratori de retea. Tabelul 8.2. contine aceste adrese rezervate, precum si motivul pentru care sunt rezervate:
TABELUL 8.2. Adresele de retea speciale
Adresa |
Functia |
Adresa de retea doar cu cifre de 0 Adresa de retea doar cu cifre de 0 Adrese de retea 127 Adresa de nod doar cu cifre de 0 Adresa de nod doar cu cifre de 1 Adresa IP doar cu cifre de 0 Adresa IP doar cu cifre de 1 (de Exemplu, 255.255.255.255) |
Interpretata ca "aceasta retea". Interpretata ca "toate retelele". Rezervate pentru teste loopback. Desemneaza nodul local si permite acelui nod sa trimita un pachet de test catre el insusi, fara a genera trafic de retea. Interpretata ca "acest nod". Interpretata ca "toate nodurile" din reteaua specificata; De exemplu 128.2.255.255 inseamna "toate nodurile" Din reteaua 128.2 (adresa de clasa B) Utilizata de protocolul RIP pentru a desemna ruta Implicita Transmite catre toate nodurile din reteaua curenta; Numita uneori o transmisiune doar cu 1. |
Retelele de clasa A
Dintr-o retea de clasa A primul octet reprezinta adresa retelei, iar ceilalti trei octeti sunt utilizati pentru adresele nodurilor. Formatul clasei A este urmatorul: Retea.Nod.Nod.Nod.
De exemplu, in adresa IP 49.22.102.70, 49 reprezinta adresa retelei, iar 22.102.70 este adresa nodului. Fiecare calculator din aceasta retea va avea adresa de retea 49; in aceasta retea pot exista foarte multe calculatoare.
Deoarece lungimea unei adrese de retea de clasa A este de un octet, primul bit fiind rezervat ramane sapte biti din primul octet pentru manipulare. Aceasta inseamna ca numarul maxim de retele de clasa A care pot fi create este 128. Acest lucru se intampla deoarece fiecare dintre pozitiile din acest octet poate avea valoarea 0 sau 1, ceea ce duce la 27 pozitii, adica 128. Pentru a complica ti mai mult lucrurile. s-a decis ca adresele de retea compuse doar din 0 (00000000) sa fie rezervate. Aceasta inseamna ca numarul de adrese de retea de clasa A utilizabile este 128 -1 = 127. Mai exista o adresa de clasa A rezervata (127), care consta in adresa de retea formata doar din 1 (111 1111). Deoarece din 128 adrese, doua sunt rezervate, raman 126 adrese posibile de clasa A.
Fiecare retea de clasa A are trei octeti (24 biti) pentru adresa nodului unui calculator, ceea ce inseamna ca exist 224 sau 16.777.216 combinati unice. De aceea, exista 224 adrese de nod posibile si unice pentru fiecare retea de clasa A, deoarece adresele formate doar din 0 si doar din 1 suni rezervate, numarul maxim de noduri pentru o retea de clasa A este de 224-2, adica 16.777.214.
Retelele de clasa B.
Intr-o retea de clasa B, primii doi octeti sunt atribuiti adresei de retea, iar ceilalti doi adreselor de nod. Formatul este: Retea.Retea.Nod.Nod.
De exemplu, in adresa IP 130.57.30.56, adresa de retea este 130.57, iar adresa nodului este 30.56.
Deoarece adresa de retea are 2 octeti, exista 216 combinatii unice. Insa proiectantii Internetului au decis ca toate retelele de clasa B ar trebui sa inceapa cu 10. Raman astfel 14 pozitii; de aceea, exista 16.884 (sau 214 retele de clasa B unice.
Exista astfel o modalitate simpla de a recunoaste adresele de clasa B. Daca primii doi biti din primul octet pot fi doar 10, raman adresele din intervalul 128-191. De retinut ca se poate recunoaste usor o retea de clasa B dupa primul octet - chiar daca exista 16.384 retele de clasa B diferite. Daca primul numar din adresa este intre 128 si 191, reteaua este de clasa B.
O retea de clasa B are doi octeti pentru adresa nodului. Aceasta inseamna 216 - 2 (adresele rezervate, formate doar din zero sau doar din cifre de 1), din totalul de 65536 ramanand 65534 adrese posibile pentru un nod, pentru fiecare retea de clasa B.
FIGURA 8.4. Masca de subretea
Masca de subretea scrisa zecimal 255 . 255 . 255 . 0
Clasa |
Formatul |
Masca de subretea implicita |
A |
Retea.Nod.Nod.Nod. | |
B |
Retea.Retea.Nod.Nod | |
C |
Retea. Retea. Retea.Nod |
Adresa de IP a unei masini din subreteaua1: 1000 0010. 0011 1001. 0000 0001. 0011 1000
(Zecimal este: 130.57.1.56)
Numar de subretele dorit |
Masca de subretea |
Numarul de subretele |
Adresa ruterului |
Adresa de transmisiune |
Numarul de adrese IP ramase |
|
|
x.y.z.0 |
x.y.z.1 |
x.y.z.225 |
|
|
|
x.y.z.0 |
x.y.z.1 |
x.y.z.0127 |
|
|
x.y.z.128 |
x.y.z.129 |
x.y.z.255 |
|
|
|
|
x.y.z.0 |
x.y.z.1 |
x.y.z.63 |
|
|
x.y.z.64 |
x.y.z.65 |
x.y.z.127 |
|
|
|
x.y.z.128 |
x.y.z.129 |
x.y.z.191 |
|
|
|
x.y.z.192 |
x.y.z.193 |
x.y.z.255 |
|
|
|
|
x.y.z.0 |
x.y.z.1 |
x.y.z.31 |
|
|
x.y.z.32 |
x.y.z.33 |
x.y.z.63 |
|
|
|
x.y.z.64 |
x.y.z.65 |
x.y.z.95 |
|
|
|
x.y.z.96 |
x.y.z.97 |
x.y.z.127 |
|
|
|
x.y.z.128 |
x.y.z.129 |
x.y.z.159 |
|
|
|
x.y.z.160 |
x.y.z.161 |
x.y.z.191 |
|
|
|
x.y.z.192 |
x.y.z.193 |
x.y.z.223 |
|
|
|
x.y.z.224 |
x.y.z.225 |
x.y.z.255 |
|
33-62
65-94
97-126
129-158
161-190
193-222
129-142
NOTA: Nou pentru Microsoft, dar vechi pentru Cisco, este modul in care sunt scrise intervalele de adresa. De exemplu, adresa 131.107.2.0 cu o adresa de subretele 255.255.255.0 apare astfel; 131.07.2.0/24, deoarece masca de subretea contine 24 de 1. O adresa scrisa 141.10.32.0/19 ar avea o masca de subretea 255.255.224.0, sau 19 de 0 (masca de subretea implicita pentru o adresa de clasa B plus 3 biti). Aceasta este noua nomenclatura utilizata in toate examenele Microsoft).Intelegerea rutarii IP
Rutarea IP este simplu de inteles la nivelul de baza; pachetele au adrese, iar procesul de rutare implica transportul unui pachet de la sursa la destinatie. Mecanismul acesta este totusi ceva mai complicat. Pentru a intelege pe deplin restul acestui capitol trebuie sa fi citit deja partea referitoare la rutere din Capitolul 3, trebuie sa cunoasteti principiile de baza ale rutarii si diferentele dintre OSPF si RIP1/RIP2.
"R' din RRAS
RRAS ofera un ruter multiprotocol - un mod sofisticat de a spune ca motorul de rutare RRAS poate gestiona mai multe protocoale de retea si mai multe metode de rutare pe mai multe NIC. Daca se considera ca un Motorola 68030 ruland la 25Mhz sta la baza ruterelor de viteza T1 in retelele de astazi, se poate observa de ce un calculator suficient de bun pentru a sustine Windows 2000 nu ar trebui sa aiba nici o problema cu rutarea.
RRAS ofera unele caracteristici specifice, care prezinta interes atunci cand se vorbeste despre rutare in retea. Printre aceste caracteristici enumeram:
Poate crea conexiuni cu anumite retele atunci cand ruterul primeste pachete adresate acelor retele. Aceasta este rutarea demand - dial, sau cu conectare la cerere, ii permite utilizarea unor legaturi la cerere, in locul unor conexiuni fixe, Acest lucru este util mai ales pentru ISDN, care combina taxe pe minut in majoritatea locurilor cu timpi de configurare foarte mici. Conexiunile PPTP pot fi demand - dial sau se pot utiliza interfete demand - dial pentru a realiza conexiuni pe distante mari doar atunci cand acestea sunt necesare.
Se pot stabili rute statice care specifica unde ar trebui sa ajunga pachetele pentru anumite retele. Utilizarea cea mai frecventa a acestei caracteristici consta in legarea unei retele la distanta cu reteaua LAN proprie; reteaua la distanta obtine o ruta statica, prin care tot traficul care iese din aceasta retea trebuie trimis ruterului, de unde il va prelua RRAS.
Ofera rutarea dinamica, utilizand versiunile 1 si 2 ale protocolului Routing Information Protocol (R!P) si prococolul Open Shortest Path First (OSPF). Aceste protocoale. mentionate in Capitolul 3, ofera doua modalitati diferite prin care ruterul poate partaja informatii despre rutere cu alte rutere din spatiul de retea.
Ofera rutarea pachetelor pentru a elimina pachetele nedorite in ambele directi. De exemplu, se poate crea un filtru de pachete pentru a elimina traficul FTP sau se poate adauga un filtru pe o interfata demand - dial, astfel incat sa aduca doar traficul Web sau e-mail. Alte tipuri de trafic vor trece daca legatura este activa, insa RRAS nu va deschide legatura, daca aceasta nu era deja deschisa. (Vezi sectiunea "Configurarea filtrelor de pachete TCP/IP' din acest capitol).
Terminologia RRAS
Desi poate nu v-ati dat seama, majoritatea informatiilor prezentate in capitolele anterioare ale acestui manual s-a bazat pe cunostintele deja existente pe care le aveti despre aplicatiile si protocoalele de retea din Windows. Rutarea este diferita, totusi, deoarece la baza nu are nici o legatura cu Windows 2000 - deci terminologia sa este complet noua.
Ce este Internetwork?
Internetwork reprezinta o retea de retele. De exemplu, Figura 8.9 prezinta un internetwork care contine 5 retele distincte: Atlanta, Boston, Orlando, Portland si San Diego. Internetwork sau interreteaua reprezinta colectia tuturor acestor retele, fiecare dintre retele putand fi independente in mod normal. (A nu se confunda "Internetwork' cu "Internet'; Internetul este de fapt o interretea foarte mare si foarte complexa).
FIGURA 8.9. Exemplu de Internetwork
Internetwork (interreteaua) din exemplul anterior utilizeaza rutere pentru a conecta patru retele prin satelit din Atlanta. In restul acestui capitol, vom examina diferite optiuni de configurare pentru rutere si modul in care aceste optiuni afecteaza performantele si increderea interretelei.
Tabelele de rutare
O tabela de rutare este o baza de date care stocheaza informatii referitoare la rute. Poate fi considerata o harta a interretelei - tabela de rutare contine rutele existente intre retele, astfel incat ruterul sau calculatorul host sa poata gasi informatiile necesare, atunci cand intalneste un pachet adresat unei alte retele. Fiecare inregistrare din tabela de rutare contine urmatoarele patru tipuri de informatii:
Adresa de retea a calculatorului host sau retelei la distanta.
Adresa de inaintare catre care ar trebui sa se trimita traficul catre reteaua la distanta.
Interfata de retea care ar trebui sa fie utilizata pentru a trimite catre adresa de inaintare. ' Un cost sau o metrica, care indica ce prioritate relativa ar trebui sa aiba aceasta ruta.
De exemplu, se poate scrie ruta San Diego Atlanta astfel: 10.1.1.0:10.10.1.254:ATL:1, presupunand ca numele interfetei este "ATL" si ca se va utiliza o metrica egala cu 1. Formatul efectiv in care sunt stocate aceste inregistrari nu este important (de fapt, nu este vizibil in RRAS); este important doar sa se stie ca fiecare inregistrare din tabela de rutare contine aceste informatii.
Tabelele de rutare pot contine urmatoarele trei tipuri diferite de rute:
Rutele de retea (network routes) ofera o ruta catre o intreaga retea. De exemplu, ruta San Diego - Atlanta este o ruta de retea, deoarece poate fi utilizata pentru a ruta traficul de la orice host din San Diego catre orice host din Atlanta.
Rutele host (host routes) ofera o ruta catre un singur sistem. Acestea pot fi considerate ca scurtaturi - asigura pentru un ruter un mod mai eficient de a sti cum sa duca trafic catre un calculator la distanta, astfel incat sunt utilizate in mod normal atunci cand se directioneaza traficul catre retele la distanta printr-un anumit calculator.
Ruta implicita (default route) este locul unde ajung pachetele atunci cand nu exista o ruta explicita pentru ele. Este similara cu poarta de acces implicita utilizata pentru configurarea clientilor TCP/IP. Ori de cate ori un ruter intalneste un pachet pentru o retea indepartata, va cerceta mai intai tabela de rutare; daca nu poate gasi o ruta de retea sau o ruta de host, va utiliza ruta implicita. Acest lucru ne scuteste de efortul de a configura o ruta de retea sau de host pentru fiecare retea cu care se va comunica vreodata.
Rutarea statica
Rutele statice specifica modul in care se vor duce pachete catre o anumita retea. De exemplu, cel mai simplu mod de a configura interreteaua din exemplul anterior consta in configurarea fiecarui ruter dintr-un birou la distanta cu o ruta statica care ruteaza toate pachetele pentru adresele straine prin legatura catre Atlanta. De exemplu, sa presupunem ca cineva din San Diego doreste sa acceseze o resursa din reteaua din Boston. Pachetul merge de la calculatorul client catre ruterul din San Diego, care ii cerceteaza tabela de rutare si nu gaseste nici o ruta de retea pentru reteaua din Boston. Va actiona ruta implicita, iar pachetul va ajunge la Atlanta, care are o ruta de retea pentru Boston.
Daca s-ar fi definit o ruta statica pentru traseul San Diego - Boston, cum ar fi aratat aceasta? Adresa de retea este 10.2.4.0, iar adresa de inaintare corespunzatoare este 10.1.1.254 - aceasta combinatie arata ca toate pachetele care merg la Boston trebuie sa fie trimise la Atlanta. Interfata si metrica vor varia, in functie de modul de configurare a rutei.
Rutarea border
Rutarea border are loc atunci cand pachetele parasesc interreteaua si merg in alta interretea. Sa consideram ca exemplu ce se intampla atunci cand se utilizeaza calculatorul de acasa pentru a naviga un site Web. Pachetele TCP/IP din calculatorul de acasa ajunge la furnizorul de servicii Internet (probabil prin PPP, printr-o conexiune analoga, prin cablu, DEL sau ISDN). ISP examineaza adresa de destinatie a pachetelor si determina ca acestea trebuie sa ajunga intr-o retea cu care nu are o conexiune directa.
Ca exemplu, sa consideram ce se intampla atunci cand se doreste aducerea unei pagini Web din site-ul Web al corporatiei Microsoft. Se va face conectarea la un ISP local (cum ar fi hiwaay.net), care este conectat la mai multi furnizori de servicii de nivel mai inalt, printre care si Sprint and Cable & Winless. Microsoft utilizeaza atat de multa latime de banda, incat se comporta ca propriul sau ISP, insa serverul Web este localizat in alta retea.
Figura 8.10 prezinta aceasta interretea cu o limitare in jurul fiecarei componente a interretelei: una pentru HIWAAY, alta pentru Cable & Winless, alta pentru msft.net si alta pentru Microsoft. Liniile groase negre dintre limite indica legaturi backbone, care leaga intre ele zonele delimitate.
PIGURA 8.10. Retelele sunt impartite in zone limitate, legate prin backbones
Intr-o retea cu rutare border unele rutere sunt responsabile cu gestionarea pachetelor si interiorul zonei, in timp ce altele gestioneaza comunicatia de retea cu alte zone. Aceste rutere de border sunt responsabile cu stocarea ruterelor catre alte limite pe care le pot atinge prin backbone. Deoarece numarul de rute potentiale este foarte mare, rutarea de border utilizeaza in mod normal protocoale de rutare dinamica, cum ar fi OSPF si RIP2, pentru a permite unui ruter de border de la HIWAAY de a descoperi rute din zona de border adiacenta Cable & Wireless.
Rutarea interna
Rutarea interna este un termen generic care se refera la procesul de mutare a pachetelor in interiorul interretelei proprii. Aceasta distinctie poate fi greu de rezistat, insa are sens daca ne gandim la rutarea de border. Ruterele de border se comporta ca agentii de rezervare a biletelor de pe un aeroport international; va pot ajuta sa ajungeti dintr-un loc in altul, insa nu sunt de mare folos daca doriti indicii de traseu de la un aeroport la un alt loc. Ruterele interne pot utiliza tehnici de rutare statica sau dinamica, pentru a-si construi tabela de rutare pentru zonele lor locale.
Roto-rutarea
Aceasta are loc atunci cand un camion imens va intra in casa si utilizeaza bizare dispozitive metalice flexibile pentru a va curata si dezinfecta sistemul de scurgere.
RIP si OSPF
RIP si OSPF sunt protocoale de configurare dinamica a ruterelor, insa exista unele
diferente subtile.
RIP Un ruter compatibil RIP trimite periodic anunturi. ("lata retelele catre care stiu sa rutez') - primind simultan anunturi de la vecinii sai. Acest schimb de informatii de rutare face ca fiecare ruter sa stie ce rutere exista in retea si la ce destinati de retea stiu sa ajunga fiecare dintre aceste rutere. Fiecarei rute ii este asociat un cost; costul reprezinta suma costurilor fiecarui ruter de pe ruta. RIP incearca sa efectueze o rutare cu costul cel mai scazut, cautand in tabela de rutere ruta cu costul cel mai mic care duce la o anumita destinatie. (Pentru detalii despre protocolul RIP, vezi RFC 2453, sursa informatiilor despre functionarea RIP).
RIP are doua moduri de functionare. In modul actualizare periodica (periodic update mode), un ruter RIP trimite o lista a rutelor cunoscute la intervale regulate (definite de administrator). Ruterul marcheaza rutele despre care afla de la alte rutere ca fiind rutere RIP, ceea ce inseamna ca acestea raman active doar atata timp cat ruterul este activ. Daca ruterul este oprit, rutele dispar. Acest mod este implicit pentru RIP in interfetele LAN, insa nu este potrivit pentru conexiunile demand - dial, deoarece nu se doreste ca ruterul sa creeze o conexiune doar pentru a-si anunta prezenta.
In modul auto-static, ruterul RRAS transmite continutul tabelei sale de rutare doar cand un alt ruter i-o solicita. Rutele despre care ruterul RRAS afla de la vecinii sai RIP sunt marcate ca rute statice in tabela de rutare si ele raman pana cand sunt sterse manual - chiar daca ruterul este oprit si restartat sau daca RIP este dezactivat pentru acea interfata. Modul auto-static este implicit pentru interfetele demand - dial. (Opusul modului auto-static este modul periodic, in care ruterul trimite actualizari, atunci cand are ceva de partajat.)
OSPF Ca si RIP, OSPF este proiectat sa permita ruterelor sa partajeze in mod dinamic datele de rutare. Totusi, procesul prin care aceste rute sunt descoperite si partajate este complet diferit (desi, prea complex pentru a fi descris acum). Retelele OSPF sunt impartite in zone; o zona este o colectie a retelelor interconectate. Aceasta zona poate fi considerata o subsectiune dintr-o interretea. Zonele sunt conectate prin backbones. Fiecare ruter OSPF pastreaza o baza de date de stare a legaturii doar pentru zonele cu care este conectat. Rutere OSPF speciale numite rutere de limita ale zonelor interconecteaza zonele. Figura 8.11 arata toate acestea.
FIGURA 8.11. 0 retea OSPF simpla
Instalarea RRAS
Componentele RRAS sunt instalate pe calculatoarele care ruleaza Wndows 2000 Server si Advanced Server, chiar daca nu sunt activate. Inainte ca serverul sa fie capabil de a ruta pachete IP (sau sa efectueze oricare dintre operatiunile pe care RRAS le poate face, prezentate in capitolele 9,10 si 13), trebuie sa activeze si sa se configureze RRAS. Acest proces este gestionat in mod normal prin intermediul instrumentului wizard RRAS Server Setup.
Configurarea rutarii IP
Pagina de rezumat a instrumentului wizard RRAS Setup va va aminti sa efectuati doua sau trei dintre operatiunile urmatoare:
Sa adaugati interfete demand - dial, daca doriti sa folositi optiunea de demand dialing.
Sa atribuiti fiecarei interfete rutabile o adresa de retea pentru fiecare protocol pe care il foloseste. De exemplu, daca se utilizeaza TCP/IP si IPX pe un calculator cu trei NIC, fiecare NIC care participa la rutare trebuie sa aiba adrese TCP/IP si IPX distincte.
Sa instalati si sa configurati protocoalele de rutare (de exemplu, OSPF sau RIP pentru IP in cazul de fata) pentru interfetele care ar trebui sa le permita.
Acesti trei pasi formeaza nucleul operatiunilor care trebuie efectuate pentru a transforma serverul RRAS intr-un ruter IP. Se incepe prin a examina modul in care RRAS trateaza interfetele.
Setarea proprietatilor rutarii IP
Nodul IP Routing din consola RRAS are mai multe subnoduri, inclusiv cel numit General. Cand se selecteaza nodul General si se opteaza pentru comanda Properties, veti descoperi ca exista setari care pot fi modificate si care se aplica tuturor protocoalelor de rutare IP instalate pe server. Aceste setari nu sunt prea importante, insa ofera un control suplimentar asupra modului in care functioneaza rutarea.
Pagina General
Prima pagina este pagina General, care ar trebui sa se numeasca Logging din cauza setarilor continute. Exista patru butoane radio care controleaza ce informatii vor inregistra in jurnal componentele de rutare IP ale RRAS. Aceste butoane sunt urmatoarele:
Butonul radio Log Errors Only spune serverul sa inregistreze doar erorile referitoare la rutarea IP. Acesta ofera indicati adecvate despre probleme dupa ce acestea au loc, insa nu indica problemele potentiale scoase in evidenta de mesajele de avertizare.
Butonul radio Log Errors and Warnings este optiunea implicita, RRAS va inregistra mesajele de eroare si de avertizare in jurnalul de evenimente, fara a adauga nici un mesaj informativ. Daca aveti obiceiul de a citi cu atentie jurnalele de evenimente, aceste mesaje de avertizare pot oferi o atentionare asupra problemelor incipiente.
Butonul radio Log the maximum amount of information spune stivei de rutare IP sa inregistreze mesajele despre aproape tot ce face. Astfel se obtin foarte multe informatii utile pentru depanare, dar care pot umple jurnalul - de aceea, aceasta optiune nu trebuie activata decat daca se incearca izolarea si repararea unei probleme.
Butonul radio Disable Event Logging dezactiveaza orice inregistrare a evenimentelor referitoare la rutarea IP. Nu utilizati aceasta optiune, deoarece va va impiedica sa cititi jurnalele serviciului in cazul in care apar probleme.
Pagina Preferance Levels
Pagina Preference Levels (Figura 8.13) ofera o modalitate de a modifica comportamentul ruterului, spunandu-i acestuia ce clase de rutere sa prefere. In discutia anterioara referitoare la rutere, am afirmat ca ruterul selecteaza rutele pe baza informatiilor legate de cost. Acest lucru este adevarat, insa exista un alt factor care are influenta: nivelul de preferinta al sursei de rutare. Configuratia implicita a RRAS duce la preferarea rutelor locale si statice, in locul celor descoperite in mod dinamic. Ce inseamna acest lucru? Ca exemplu, sa presupunem ca exista doua inregistrari in tabela de rutare care indica rutele cu 216.80.* - o inregistrare introdusa ca ruta statica si una pe care ruterul a descoperit-o printr-o pereche RIP. In acest exemplu, ruterul va incerca intotdeauna mai intai ruta statica; daca nu poate, va incerca sa utilizeze ruta generata de RIP. Se poate modifica preferinta de clasa a ruterului selectand clasa care se va modifica si utilizand butoanele Move Up si Move Down.
FIGURA 8.13. Pagina Preference Levels
NOTA: Pagina Multicast Scopes foloseste pentru setarea si gestionarea scopurilor multicast, care nu vor mai fi prezentate in acest capitol.
Gestionarea protocoalelor de rutare
Protocoalele de rutare nu necesita o gestionare prea amanuntita; dupa ce se instaleaza RIP sau OSPF, motorul protocolului are grija de schimbul de rute cu alte rutere de la distanta. Spre deosebire de ruterele dedicate care folosesc un sistem de operare pentru rutere, cum ar fi IOS de la Cisco, nu exista nici o modalitate de a edita direct continutul tabelei de rutare generata de protocoalele de rutare dinamica. Acest lucru inseamna ca gestionarea acestor protocoale se limiteaza in mare masura la instalare, configurarea conform necesitatilor si urmarirea functionarii lor.
Instalarea protocoalelor RIP si OSPF
Se pot adauga protocoale de rutare folosind subnodul General din nodul IP Routing din RRAS. Acest lucru este destul de diferit de modul in care se gestioneaza protocoalele de retea in Windows NT, insa este logic - nu exista nici un motiv sa se instaleze RIP sau OSPF daca nu se utilizeaza RRAS, de aceea este logic sa se instaleze RIP sau OSPF din RRAS. Exercitiul 8.2 explica cum se instaleaza protocoalele RIP si OSPF; acestea trebuie instalate pentru exercitiile urmatoare din cest capitol.
Setarea proprietatilor protocolului RIP
Protocolul RIP se autoregleaza, intr-o mare masura. Dupa ce se configureaza un ruter RRAS astfel incat sa utilizeze protocolul RIP acesta va cauta ruterele vecine si va schimba informatii de rutare, fara efort din partea administratorului de retea. Exista un grup restrans de setari care pot fi modificate din caseta de dialog RIP Properties (care poate fi accesata selectand nodul RIP de sub nodul IP Routing la consola RRAS, apoi alegand Comanda Action Properties).
Pagina General
Pagina General (figura 8.14) contine aceleasi controale pentru inscrierea in jurnal ca si pagina General a casetei de dialog IP Routing Properties. Acest lucru nu este prea surprinzator (ghiciti ce se afla in pagina General a casetei de dialog OSPF Properties), insa exista un control suplimentar ce poate fi utilizat. Controlul Maximum Delay (Seconds) guverneaza durata cat ruterul va astepta inainte de a trimite un anunt de actualizare vecinilor sai. (Veti afla mai multe despre aceste actualizari atunci cand vom vorbi despre elementele specifice ale actualizarilor declansate).
Pagina Security
Pagina Security (Figura 8.15) permite specificarea anunturilor de ruter pe care ruterul propriu le va accepta. Implicit, implementarea RIP din RRAS va accepta rute oferite de oricare alt ruter; acest comportament poate fi restrictionat fie specificand o lista de rutere acceptate, fie o lista de rutere ale caror rute vor fi respinse. Daca descrierile din aceasta sectiune vi se par sumare, acest lucru se intampla deoarece trebuie sa stiti doar ce rol au aceste setari, nu cum functioneaza, in detaliu, OSPF, pentru a promova examenul.
Figura 8.14. Pagina General din caseta de text RIP Properties
Figura 8.15. Pagina Securitz din caseta de text RIP Properties
Setarea proprietatilor protocolului OSPF
Se pot seta unele proprietati specifice OSPF selectand nodul OSPF de sub nodul IP Routing din consola RRA si deschizand caseta de dialog OSPF Properties.
NOTA: daca descrierile din aceasta sectiune vi se par sumare, acest lucru se intampla deoarece trebuie sa stiti doar ce rol au aceste setari, nu cum functioneaza in detaliu, OSPF, pentru a promova examenul.
Pagina General
Pagina General din caseta de dialog OSPF Properties (Figura 8.16) contine controalele referitoare la inscrierea in jurnal prezentate deja in acest capitol, plus doua controale aditionale, pe care probabil le veti folosi.
FIGURA 8.16. Pagina General din caseta de dialog OSPF Properties
Aceste controale sunt urmatoarele:
Campul Router identification permite introducerea unei adrese IP pe care ruterul o utilizeaza pentru a se identifica. Deoarece nu este o idee buna sa se atribuie o adresa IP falsa ca identificator pentru ruter, ar fi bine sa se introduca dresa IP publica, chiar si pentru interfetele interne.
Caseta de validare Enable Autonomous System Boundary Router controleaza daca ruterul OSPF va anunta sau nu rutele pe care le gaseste din alte surse (inclusiv rutele sale statice si rutele de care afla prin intermediul RIP) lumii inconjuratoare.
Pagina External Routing nu va fi activata decat daca se bifeaza aceasta caseta; bifati-o daca se doreste ca aceste rutere RRAS sa incerce sa schimbe informatii de rutere OSPF cu vecinii sai.
Pagina Areas
Pagina Areas contine zonele OSPF pe care le cunoaste ruterul.
Se pot adauga, modifica sau sterge zone din aceasta lista, utilizand butoanele corespunzatoare de sub lista.
Pagina Virtual Interfaces
De retinut ca OSPF divide conceptual retelele in zone, zone care pot face parte din backbone sau nu. Deoarece un ruter non-backbone nu poate fi conectat la backbone, trebuie sa existe o alta modalitate de a permite ruterelor backbone si non-backbone sa partajeze informatii de rutare. Aceasta modalitate exista: legatura virtuala. O legatura virtuala conecteaza un ruter de border de tip backbone cu unul non-backbone. Dupa ce legatura a fost creata, cele doua rutere pot partaja informatii de rutere ca si cum ar fi conectate la aceeasi retea fizica.
Pagina Virtual Interfaces este utilizata pentru a crea si a modifica aceste legaturi virtuale.
Pagina External Routing
OSPF nu este singura sursa potentiala pentru informatiile de rutare - ruterul poate obtine rute de la mai multe surse. Este posibil sa nu se doreasca ca toate rutele sa fie acceptate si utilizate, indiferent de sursa. Cand se utilizeaza OSPF, se poate controla ce alte surse de rutare vor utiliza componentele OSPF, bifand casetele corespunzatoare din pagina Externel Routing (Figura 8.17). Cele doua butoane radio din partea superioara a paginii, Accept Routes from all route sources except those selected si Ignore routes from all route sources except those selectede, permit controlarea semnificatiei casetelor de validare din lista Route Sources. Implicit, OSPF va accepta toate rutele, de la toate sursele. Pentru a dezactiva anumite surse de rute (de exemplu, rutele statice) se vor deselecta casetele corespunzatoare. Daca se doreste respingerea tuturor surselor de rute, cu exceptia celor dintr-un anumit grup, bifati butonul radio Ignore Routes, apoi selectati sursele de rute ce se vor utiliza.
NOTA: Aceasta pagina va fi activa doar daca se bifeaza caseta de validare Enable Autonomous System Boundary Router din pagina General.
FIGURA 8.17. Pagina External Routing din caseta de dialog OSPF Properties
Butonul Route Filters va permite fie ignorarea, fie acceptarea rutelor individuale. Aceasta este o modalitate utila pentru a filtra anumite rute, care nu vor trebui utilizate, fara a respinge intreaga clasa de informatii de surse de rute.
Gestionarea rutelor statice
Atunci cand se utilizeaza rute statice; exista avantaje si dezavantaje. Avantajele constau in simplitatea gestionarii si configurarii, deoarece aceste rute nu participa in nici un fel de proces de descoperire automata. Rutele statice sunt foarte simple, din punct de vedere conceptual - ele combina o adresa de retea de destinatie cu o masca de subretea pentru a oferi o lista de destinatii posibile. (Pentru mai multe detalii despre subretelele TCP/IP, vezi cartea "TCP/IP: 24 Servere' de la Sybex). Adresa de destinatie este atinsa printr-o anumita interfata de pe ruter, si este trimisa unei anumite porti de acces (de obicei, unui alt ruter, fie din reteaua locala, fie dintr-o alta retea). Fiecare ruta statica are o metrica asociata
Se pot crea noi rute statice in doua moduri: utilizand comanda route add de la linia de comanda sau executand click dreapta pe nodul Static Routes din consola RRAS si utilizand comanda New Static Route. Sectiunile urmatoare vor prezenta aceste doua metode.
Comanda route add
Comanda route add permite adaugarea unei rute statice; se poate selecta daca aceasta ruta va ramane in tabela de rutare dupa restartarea sistemului. Rutele care raman dupa restartare se numesc rute permanente. Comanda este simpla:
route add destination mask netMask gateWay metric interface
La linia de comanda se specifica destinatia, masca de retea, poarta de acces, metrica si numele interfetei. Acesti parametrii sunt toti obligatorii. Comanda route add realizeaza verificarea validitatii datelor introduse, pentru a se asigura ca masca de retea si destinatia se potrivesc. Pentru a imbunatatii performantele se specifica interfata printr-un numar, nu printr-un nume. Totusi, comanda route print afiseaza interfetele si numerele asociate acestora.
Utilizarea RRAS
Cand se creaza o ruta statica noua utilizand consola RRAS, trebuie doar sa se selecteze comanda New Static Route si se va deschide caseta de dialog Static Route (figura 8.18). Se vor introduce aceiasi parametrii ca in cazul comenzii route add - interfata care va fi utilizata pentru conectare, destinatia si masca de retea, poarta de acces pentru pachetele externe si o metrica. Daca se creeaza o ruta care nu este legata de o interfata LAN, se poate utiliza caseta de validare Use this route to initiate demand dial connections, pentru a specifica faptul ca acea ruta va trebui sa creeze o noua conexiune demand - dial pe interfata specificata.
FIGURA 8.18. Utilizarea casetei de dialog Static Route pentru crearea rutelor statice
Crearea si gestionarea interfetelor
Nodul Routing Interfaces din consola RRAS prezinta un rezumat al interfetelor rutabile disponibile pe calculator, pentru toate protocoalele. Contine toate interfetele LAN si demand - dial, plus doua interfete speciale gestionate de RRAS: Loopback si Internal. Fiecare dintre interfetele afisate are un timp, o stare (activa sau inactiva) si o stare a conexiunii cu care este asociata. De exemplu, un calculator dintr-un laborator de test are doua interfete LAN - "Public (HIWAAY)' si -Privaie (192.168.0.x)'. Fiecare dintre aceste interfete reprezinta o destinatie potentiala pentru pachetele rutate.
Pentru fiecare dintre aceste interfete, se poate executa click dreapta pe aceasta pentru a avea acces la un meniu de context cu unele comenzi utile, printre care Disable, Enable, Unreachability Reasore (aceasta comanda explica de ce o interfata este marcata ca fiind "inaccesibila"). Exista unele comenzi specifice interfetelor demand - dial, care vor fi prezentate in sectiunile urmatoare.
Ce inseamna "inaccesibil"?
O interfata demand - dial poate avea mai multe stari diferite. Mai intai, starile "activa" si "inactiva" care apar in coloana Status indica faptul daca legatura este disponibila din punct de vedere al administratorului. Coloana Connection State arata daca acea conexiune este functionala sau nu, ceea ce o face mai utila. Starea implicita pentru o conexiune demand - dial este Disconnected, ceea ce este perfect explicabil. Atunci cand RRAS incearca sa stabileasca o conexiune, starea se modifica pe Connected, de asemenea perfect explicabil. In ambele stari Connected si Disconnected, orice ruta statica legata de interfata demand - dial este disponibila.
Atunci cand RRAS incearca sa formeze un numar si nu reuseste sa se conecteze, vor incerca in continuare, pana cand atinge limita de incercari, setata in pagina Dialing din caseta de dialog Properties a interfetei. Daca se atinge aceasta limita, interfata va fi marcata cu Unreachable, pentru o perioada de expirare. Atata timp cat interfata este inaccesibila, orice rute statice care indica spre aceasta interfata vor fi indisponibile - de fapt, vor disparea din tabela de rutare. Dupa perioada de expirare, RRAS va incerca din nou conectarea; daca nu reuseste nici de aceasta data, intra din nou intr-o perioada de asteptare de 10 minute, dupa care incearca din nou. Perioada incepe de la 10 minute; daca ajunge la 6 ore, va inceta sa incrementeze contorul, astfel incat perioada de asteptare va dura pana cand se reuseste o conexiune sau pana cand se restarteaza serviciul RRAS. Din fericire, se pot modifica valorile minime si maxime pentru aceasta perioada de asteptare, prin valorile implicite (10 minute, respectiv 6 ore). Aceasta modificare este posibila adaugand doua valori REG_DWOR in HKLMSystemCurrent ControlSetServicesRouterInterfacesInterfaceName (unde Interface Name este numele interfetei pentru care se va modifica aceasta perioada). Valoarea MinUnreachabilitylnterval controleaza atat intervalul de reincarcare minim, precum si cu cat este incrementat intervalul de reincercare dupa fiecare esec, valoarea MaxUnreachabilitylnterval seteaza limita - superioara. Ambele valori trebuie exprimate in secunde.
Gestionarea interfetelor LAN
Fiecare interfata LAN are proprietati proprii; aceste interfete, care apar cand se selecteaza nodul General de sub nodul IP Routing din RRAS, corespund cu interfetele LAN definite in RRAS. Aceste interfete permit setarea proprietatilor generale ale interfetei; dupa ce s-au adaugat protocoale de rutare specifice, aceste protocoale pot fi configurate in mod individual. Pentru a vizualiza proprietatile unei interfete, se selecteaza nodul General de la consola, se alege interfata dorita din fereastra din dreapta si se utilizeaza comanda Action Properties.
Pagina General
Pagina General (Figura 8.19) permite setarea unor parametrii utili pentru intreaga interfata, printre care optiunea ca interfata sa trimita sau nu anunturi de descoperire a rutelor, astfel incat alte rutere din retea sa o poata gasi.
FIGURA 8.19. Pagina General
Controalele din pagina General sunt urmatoarele:
Caseta de validare Enable IP Router Manager controleaza optiunea ca interfata sa permita rutarea IP. Atunci cand aceasta caseta este bifata, starea de administrare a interfetei va apare "Up", ceea ce indica faptul ca este disponibila pentru traficul de rutare. Atunci cand este deselectata, interfata va fi marcata cu "Down" si nu va ruta nici un pachet, si nici alte rutere nu vor putea sa comunice cu ea.
Caseta de validare Enable Router Discovery Advertisments controleaza daca ruterul va transmite mesaje de descoperire a ruterelor. Aceste mesaje permit clientilor sa gaseasca un ruter apropiat, fara nici o interventie din partea administratorului. Cand aceasta caseta este bifata, celelalte controale de sub ea devin active, astfel incat se pot seta campurile urmatoare:
Campul Advertisment Lifetime (Minutes) stabileste cat timp vor fi valide anunturile. Clientii vor ignora orice anunt pe care il primesc dupa ce aceasta perioada a trecut.
Nivelul de preferinta atribuit pentru utilizarea acestui ruter. Clientii vor utiliza mai intai ruterele cu preferintele de nivelul cel mai mare; daca exista mai multe rutere in acelasi nivel de preferinta, clientul va selecta la intamplare unul dintre ele.
Intervalele de timp maxime si minime pentru transmiterea anunturilor. RRAS va trimite anunturi la un interval selectat aleator, care se incadreaza intre timpul minim si cel maxim; folosind setarile implicite, RRAS va trimite un anunt la intervale cuprinse intre 7 si10 minute.
Butoanele Input Filters si Output Filters permit acceptarea sau refuzarea pachetelor de catre interfata specificata, in mod selectiv. Se pot accepta toate pachetele care nu indeplinesc conditiile unui filtru sau se pot accepta numai acele pachete care indeplinesc conditiile. Fiecare tip de filtru poate utiliza adresa IP sursa sau destinatie si masca de retea ca un criteriu de filtrare. De exemplu, se poate crea un filtru care refuza toate pachetele de la 206.151.234.0, cu o masca de retea de 255.255.255.0, aceasta conditie va elimina orice trafic care provine de la acea subretea.
Caseta de validare Enable Fragmentation Checking informeaza ruterul sa refuze orice pachet, IP fragmentat, in loc de a-l accepta pentru prelucrare. Deoarece incarcarea unui ruter cu pachete IP fragmentate reprezinta o forma populara de atacare a refuzarii serviciilor, se recomanda sa se bifeze aceasta casuta.
Pagina Configuration
Pagina Configuration (Figura 8.20) poate parea nepotrivita in caseta de dialog Interface Properties, deoarece are aceleasi controale ca si cele intalnite cand se modifica proprietatile unei interfete LAN din directorul Network and DiaI-Up Connections. Aceasta pagina este utilizata pentru a seta adresa IP, masca de subretea si poarta de acces implicita pentru o interfata, daca se doreste sa se foloseasca un set de parametri diferiti fata de cei definiti pentru interfata. Butonul Advanced permite sa se specifice mai multe adrese IP si porti de acces implicite, ca si in caseta de dialog TCP/IP Properties.
NOTA: In caseta de dialog Interface Properties mai exista doua pagini, insa acestea se refera la multicasting, care nu face parte din subiectele acestui examen.
FIGURA 8.20 Pagina Configuration
Configurarea interfetelor demand-dial
Cand se instaleaza RRAS, acesta va crea automat o interfata pentru fiecare conexiune LAN pe care o gaseste. Este sarcina administratorului sa creeze noi interfete demand - dial. Din fericire, acest lucru este simplu de realizat, utilizand instrumentul wizard Demand Dial Interface, care este activat folosind comanda New Demand Dial Interface (disponibila in meniul de comenzi pentru nodul Routing Interfaces din consola RRAS).
Denumirea interfetei
Prima pagina de wizard este Interface Name, in care se specifica numele noii interfete. Acesta este numele care va aparea in consola RRAS, de aceea este bine sa se aleaga un nume care sa identifice sursa si destinatia conexiunii (de exemplu, HSV-ATL pentru o conexiune intre Huntsville si Atlanta). Acest lucru este folositor cand se doreste utilizarea unei console RRAS intr-o retea pentru a gestiona multe servere RRAS - oferind o modalitate simpla de a vedea cu ce anume legatura se lucreaza.
Alegerea tipului conexiunii
Interfetele demand - dial pot utiliza un dispozitiv fizic (cum ar fi un modem sau un adaptor ISDN) sau o conexiune Virtual Private Networking (VPN). De exemplu. poate exista o conexiune demand - dial care deschide un tunel VPN catre o retea la distanta atunci cand intalneste trafic destinat acelei retele. In functie de optiunile selectate in aceasta pagina, urmatoarele pagini din wizard pot fi diferite. (Treceti la Conectarea prin intermediul VPN daca doriti sa stabiliti o conexiune VPN demand - dial).
Conectarea folosind un dispozitiv fizic
Presupunand ca ati selectat sa utilizati un dispozitiv fizic ca baza pentru retea, urmatoarea pagina din wizard solicita selectarea unui dispozitiv (modem sau adaptor de terminal ISDN) care sa fie utilizat pentru aceasta interfata demand - dial. Daca dispozitivul care trebuie sa fie utilizat nu exista inca, trebuie adaugat, de aceea, este mai bine sa se adauge si sa se configureze modemurile si alte dispozitive inainte de a configura RRAS.
Conectarea prin intermediul VPN
Daca se specifica faptul ca se va utiliza o conexiune VPN, urmatorul pas consta in specificarea tipului de conexiune VPN. Acest lucru este posibil in pagina VPN Type, care ofera urmatoarele trei optiuni:
Butonul radio Automatic arata RRAS sa determine tipul conexiunii atunci cand negociaza cu serverul la distanta. Aceasta este optiunea cea mai folosibila, de aceea este implicita.
Butonul radio Point - to - Point Tunneling Protocol (PPTT) spune RRAS ca aceasta conexiune va utiliza intotdeauna PPTP.
Butonul radio Layer 2 Tunneling Protocol (L2TP) indica faptul ca aceasta conexiune va utiliza intotdeauna L2TP.
Destinatia conexiunii
Etapa urmatoare este identica atat pentru VPN, cat si pentru conexiunile fizice, desi paginile corespunzatoare din instrumentul wizard poarta nume diferite. Pentru conexiunile VPN exista pagina Network Address, iar pentru conexiunile dial - up obisnuite pagina se numeste Phone Number. In ambele cazuri, trebuie sa se introduca numarul de telefon sau adresa IP a ruterului la discanta.
Setarea optiunilor de ruter si de securitate
Urmatoarea etapa, pentru ambele tipuri de conexiuni, este pagina Protocols and Security (Figura 8.21, care contine cinci casete de validare pentru configurare, dupa cum urmeaza:
Casetele de validare Route IP Packets on this interface si Route IPX Pachets on this interface stabilesc daca interfata va gestiona lipsurile specificate de pachete sau nu. Implicit, rutarea IP este activa, iar rutarea IPX nu este.
Daca se doreste adaugarea unui cont de utilizare, astfel incat un ruter la distanta (fie ca ruleaza RRAS, fie ca nu) sa se poate conecta, se va bifa caseta de validare Add a user account so a remote router can dial in. Atunci cand aceasta caseta de validare este bifata, se poate solicita si auto-autentificarca serverului atunci cand este apelat - bifati caseta de validare Authenticate remote router when dialing aut.
Unele rutere suporta autentificarea PAP. CHAP sau MS-CHAP, insa altele suporta numai PAP. Daca ruterul la distanta nu suporta decat PAP, bifati caseta de validare. Send a plain-text password if that is the only way to connect.
Daca pe sistemul pe care serverul RRAS il apeleaza nu ruleaza RRAS, este de asteptat o interactiune manuala cu acesta, eventual printr-o fereastra terminal. Pentru acest lucru se va bifa caseta de validare Use scripting to complete the conoection with the remoute router. Se va deschide o fereastra terminal dupa ce modemul se conecteaza, in care se pot introduce comenzile de autentificare dorite.
FIGURA 8.21 Pagina Protocols and Security
Pagina Dial-ln Credentials
Daca se opteaza pentru a permite ruterele la distanta sa se conecteze la calculatorul RRAS pe care ii configurati, va trebui sa se creeze un cont de utilizator, cu permisiunile corespunzatoare. Instrumentul wizard Demand Dial Interface se ocupa de procesul de creare a contului, sarcina administratorului fiind sa introduca datele solicitate in pagina Dial - In Credentials (Figura 8.22). Microsoft recomanda sa se aleaga an nume de utilizator sugestiv pentru a reiesi ce rutere utilizeaza legatura; in acest caz, "HSV-MCO" sugereaza ca acest cont este utilizat pentru legatura Huntsville - Orlando. Se poate folosi orice alt nume, cu conditia sa fie sugestiv.
FIGURA 8.22. Pagina Dial - In Credentials
Pagina Dial-Out Credentials
Daca se doreste ca ruterul propriu sa initieze apeluri catre un alt ruter, este nevoie sa se indice instalarii RRAS locale ce acreditari sa utilizeze cand lanseaza un apel. Spre deosebire de pagina Dial - In Credentials (Figura 8.23), RRAS nu face nici o incercare de a folosi acreditarile introduse in aceasta pagina. (De fapt, verifica cele doua campuri de parola, pentru a se asigura ca cele doua parole introduse coincid). Acreditarile oferite aici trebuie sa coincida cu acreditarile pe care ruterul la distanta se asteapta sa le gaseasca, altfel ruterul nu va putea sa se autentifice fata de serverul la distanta,
FIGURA 8.23. Pagina Dial-Out Credentials
Crearea si stergerea interfetelor RIP sau OSPF
Dupa ce se creaza interfetele fizice (utilizand fie interfete demand - dial, fie LAN), urmeaza crearea unei interfete pentru protocolul de rutare care se va utiliza. Acest lucru este posibil executand click dreapta pe unul dintre nodurile RIP sau OSPF din consola RRAS si lansand comanda New Interface. Se va deschide astfel caseta de dialog New interface, care afiseaza toate interfetele fizice disponibile pentru protocolul selectat. De exemplu, daca un calculator are doua NIC si s-a conectat deja RIP la ambele, se poate adauga OSPF. Insa daca se incearca sa se adauge o alta interfata RIP se va afisa un mesaj de eroare. Dupa ce s-a selectat interfata in modul corespunzator in consola si se va deschide caseta de dialog de proprietati corespunzatoare. Se pot sterge interfete RIP sau OSPF, selectandu-le in directorul corespunzator si apasand tasta Delete sau utilizand comanda Action f Delete sau utilizand comanda Delete din meniul de context.
Setarea proprietatilor interfetei RIP
Interfetele RIP au proprietati specifice protocolului RIP. Acestea pot fi modificate selectand interfata RIP si utilizand comanda Properties din meniurile Context sau Action.
Pagina General
Pagina General din caseta de dialog RIP Interface Properties (Figura 8.24) permite controlarea modului operational al ruterului, protocoalele utilizate pentru a trimite si a accepta pachete si alte cateva setari.
FIGURA 8.24. Pagina General din caseta de dialog RIP Interface Properties
Pagina general contine urmatoarele controale:
Lista Operation Mode controleaza modul ruterului. Implicit, interfetele demand - dial vor fi setate pe modul "actualizare auto-statica" iar interfetele LAN vor fi setate pe modul "actualizare periodica".
Lista Outgoing Packet Protocol controleaza tipul de pachete RIP trimise de ruter. Daca reteaua are numai rutere care folosesc RIP versiunea 2, se va selecta optiunea RIP Version 2 Multicast, pentru ca RRAS sa poata trimite in mod eficient transmisiuni multicast; daca ruterele folosesc versiunea 1 sau o combinatie intre versiunea 1 si versiunea 2, exista optiuni si pentru aceste cazuri. Cea de a patra optiune Silent RIP, este utila in cazul in care se doreste ca ruterul RRAS sa "citeasca" rutele altor rutere, insa sa nu anunte nici o ruta proprie. In mod obisnuit, se va utiliza optiunea Silent RIP cand se foloseste RRAS pentru a conecta o retea mica care nu are alte rutere catre o retea mai mare - reteaua mica nu are de anuntat nici o ruta deoarece este conectata doar cu o retea.
Lista Incoming Packet Protocol este utilizata pentru a specifica tipul de pachete RIP acceptate de aceasta interfata. Se poate opta sa se accepte numai pachete RIP versiunea 1, numai pachete RIP versiunea 2, pachete cu ambele versiuni sau nici un pachet. Optiunea implicita presupune acceptarea pachetelor cu ambele versiuni.
Campul Added Cost for Routes permite stabilirea valorii cu care acest ruter va incrementa costul rutei. In mod normal, este mai bine sa se lase valoarea 1, deoarece o valoare mai mare ar creste prea mult costul interfetei, astfel incat nimeni nu o va utiliza (asta doar daca nu acesta este efectul dorit).
Campul Tag for Announced Routes ofera o modalitate de a introduce un marcaj, care va fi inclus in (toate pachetele RIP trimise de acest ruter. RRAS nu utilizeaza marcaje RIP, insa alte rutere le pot utiliza.
Caseta de validare Activate Authentication si campul Password ofera un instrument de identificare pentru rutere. Daca se dezactiveaza autentificarea, toate pachetele RIP sosite si trimise trebuie sa contina parola specificata. De aceea, toti vecinii acestui ruter trebuie sa utilizeze aceeasi parola. Parola este transmisa sub forma de text, de aceea aceasta optiune nu ofera nici o securitate.
Pagina security
Pagina Security (vezi Figura 8.25) ajuta la stabilirea rutelor pe care interfata le va accepta sau le va transmite vecinilor sai. Exista motive serioase pentru a selecta cu atentie rutele acceptate in tabela de rutare, deoarece un atacator rau - intentionat poate trimite rute false. De asemenea, nu se doreste sa se anunte orice ruta din tabela de rutare, mai ales daca aceleasi rutere gestioneaza atat traficul Internet, cat si traficul Intranet. Se pot utiliza controalele din aceasta pagina pentru a refuza rutele dintr-un anumit interval de adrese, sau se pot accepta numai acele rute care se afla intr-un anumit interval.
FIGURA 8.25 Pagina Security din caseta de dialog RIP Interface Properties
Setarea implicita consta in acceptarea tuturor rutelor, insa se poate modifica utilizand controalele urmatoare:
Lista derulanta Action permite alegerea unui mod de actiune: impunerea setarilor pentru rutele primite de la vecinii ruterului sau pentru rutele trimise prin anunturile ruterului. In functie de optiunea selectata, bifele celor doua butoane radio de sub aceasta lista se vor modifica.
Campurile From si To si butoanele Add, Edit si Remove si lista de intervale de adrese sunt utilizate pentru a specifica setul de adrese care se va utiliza cu butoanele radio restrictive.
Butoanele radio restrictive din centrul casetei de dialog controleaza actiunea aplicata rutelor primite si trimise;
Setarea implicita, Annonce all routes (outgoing) sau Process all routes (incoming) specifica faptul ca se anunta, respectiv se accepta toate rutele, indiferent de sursa.
Selectarea optiunii Announce all routes in the ranges listed (outgoing) sau Accept all routes in the range listed (incoming) are ca efect faptul ca RRAS ignora orice ruta care nu se afla in intervalele specificate. Aceasta optiune este utilizata de obicei cand se urmareste limitarea domeniului rutelor pe care ruterele le folosesc pentru schimbul de trafic.
Optiunile Do not announce all routes in the range listed (outgoing) si Ignore all routes in the savages listed (incoming) duc la ignorarea de catre RRAS a tuturor rutelor care se afla in intervalele specificate. Acestea sunt utile pentru filtrarea rutelor care nu trebuie sa fie disponibile, sau a celor care nu trebuie utilizate pentru a accesa alte sisteme.
Pagina Neighbors
Pagina Neighbors (Figura 8.26) ofera un mod de a controla tipul de interactiune al acestei interfete cu ruterele RIP vecine. Specificand o lista de rutere vecine "de incredere" (un concept: OSPF pe care Microsoft l-a inclus in implementarea RIP), se poate selecta sa se utilizeze rutele ruterelor vecine pe langa sau in locul anunturilor RIP broadcast sau multicast.
FIGURA 8.26. Pagina Neighbors din caseta de dialog RIP Interface Properties
In pagina Neighbors exista urmatoarele butoane radio:
Butonul radio Use Broadcast or Multicast Only informeaza RRAS sa ignore orice vecin RIP. Aceasta este setarea implicita. Orice ruter poate transmite simplu sau multicast rute, care sa fie memorate in tabela de rutare.
Butonul radio Use Neighbors In Addition To Broadcast Or Multicast informeaza RRAS sa accepte rute de la vecinii RIP, precum si de la vecinii specificati.
Butonul radio Use Neighbors Instead Of Broadcast Or Multicast indica faptul ca nu se vor accepta anunturi RIP primite de ruter din retea; in schimb, RRAS va accepta rute doar de la cei vecini care sunt definiti in lista de vecini.
Lista de rutere vecine de incredere este gestionata utilizand campul IP Address, butoanele Add, Edit si Remove si lista propriu-zisa. Aceste controale sunt activate cand se specifica faptul ca se doreste sa se utilizeze informatii de rutare oferite de ruterele vecine;
dupa ce aceste controale sunt activate, se pot adauga adresele IP de ruter in lista de vecini.
Pagina Advanced
Pagina Advanced (Figura 8.27) contine 12 controale care asigura un comportament mai sofisticat pentru RIP. Cu toate acestea, este nevoie sa cunoasteti rolul si modul de functionare pentru aceste controale, pentru examen.
FIGURA 8.27. Pagina Advanced din caseta de dialog RIP Interface Properties
Primele trei controale sunt active doar daca se activeaza modul actualizare periodica in pagina General:
Campul Periodic Announcement Interval (Seconds) controleaza intervalul la care au loc anunturi periodice ale ruterelor.
Campul Time Before Routes Expire (Seconds) controleaza cat timp va ramane ruta in tabela de rutare pana cand este considerata a fi expirata. Sesiunea unui nou anunt RIP pentru acea ruta reseteaza cronometrul - va fi marcata ca fiind revalida doar daca ajunge la timpul de expirare fara a fi reinnoita printr-un anunt nou.
Campul Time Before Route Is Removed (Seconds) controleaza intervalul dintre momentul in care expira o ruta si momentul in care este eliminata.
Urmatorul grup de casete de validare controleaza prelucrarea actualizarilor si detectarea ciclurilor:
Caseta de validare Enable Split-Horizon Processing activeaza prelucrarea "split-horizon", care presupune ca o ruta primita de la un ruter RIP din retea nu va fi retransmisa catre acea retea. Prelucrarea split-horizon impiedica ciclarile de rutare, de aceea este activa implicit.
Caseta de validare Enable Poison-Reveree Processing (care este activa doar daca s-a bifat caseta Enable Split - Horizon Processing) modifica modul in care prelucrarea split-horizon functioneaza. Cand se bifeaza aceasta caseta, rutele primite de la o retea sunt retransmise retelei cu o metrica cu valoarea 16, o valoare speciala care indica ruterelor ca acea ruta este inaccesibila, De asemenea, impiedica ciclarile de rutare, pastrand in acelasi timp tabela de rutare actualizata.
Caseta de validare Enable Triggered Updates indica daca se doreste ca modificarile din tabela de rutare sa fie trimise imediat ce sunt observate (valoarea implicita) sau nu. Actualizarile declansate ajuta la pastrarea tabelei de rutare actualizata in cel mai scurt timp.
Caseta de validare Send Clean-Up Updates When Stopping indica daca, RRAS va trimite sau nu anunturi care marcheaza rutele sale ca indisponibile. Acest lucru face ca ruterele RIP vecine sa afle imediat ca rutele pe care le foloseau nu mai sunt utile.
Ultimul set de controale sunt utilizate pentru a determina ce se intampla cu rutele host si cu cele implicite;
Implicit, RRAS ignora orice rute de host din anunturile RIP. Se va selecta caseta de validare Process Host Routes In Recived Announcements daca se doreste ca aceste rute sa fie acceptate.
Caseta de validare include Host Routes In Sent Annouocements indica RRAS sa trimita informatii despre rutele host ca parte din anunturile sale RIP; in mod normal, nu va face acest lucru.
Casetele de validare Process Default Routes In Received Announcements si Include Default Routes In Sent Announcements au aceeasi functie ca si casetele corespunzatoare pentru rutele host.
Caseta de validare Disable Subnet Summarization este activa doar daca se specifica tipul de pachete externe RIP versiunea 2 pentru ruter. Cand aceasta caseta este deselectata, RIP nu va anunta subretelele ruterelor care se afla in alte subretele.
Setarea proprietatilor interfetei OSPF
OSPF are un set de proprietati care se pot configura pentru interfetele compatibile OSPF. Aceste proprietati sunt atat mai simple, cat si mai complexe decat RIP - nu sunt atat de multe, deoarece OSPF este in mare masura autoreglabil, insa proprietatile care trebuie configurate sunt ceva mai complicate.
Pagina General
Pagina General (Figura 8.28) din caseta de dialog OSPF Properties controleaza, printre altele, daca se activeaza sau nu OSPF pentru o anumita adresa de interfata.
FIGURA 8.28. Pagina General din caseta de dialog OSPF Properties
Controalele din pagina General au urmatoarele functii:
Caseta de validare Enable OSPF For This Address, combinata cu lista derulanta de adrese, specifica daca OSPF este activ sau nu pentru adresa selectata. Deoarece o interfata poate avea mai multe adrese IP, aceasta caseta de validare si lista asociata sunt utilizate pentru a specifica ce adrese IP sunt compatibile OSPF. Setarile din caseta de dialog OSPF Properties se aplica adresei IP selectate aici.
Lista derulanta Area ID permite selectarea zonei OSPF din care face parte aceasta interfata. Exista o regula simpla: o adresa IP poate fi intr-o zona. Totusi, daca s-au definit mai multe adrese IP, fiecare se poate afla intr-o zona diferita.
Campul Router Priority controleaza prioritatea interfetei, comparativ cu alte rutere OSPF din aceeasi zona. OSPF permite conceptul de ruter de zona; acest ruter are rolul de ruter implicit pentru zona in care se afla. Ruterul cu cea mai mare prioritate va deveni ruter desemnat, cu conditia sa nu existe deja un ruter desemnat:
Campul Cost controleaza metrica asociata rutelor acestui ruter in baza de date de stare a legaturii.
Campul Password are acelasi rol ca si pentru RIP - toate ruterele dintr-o anumita zona pot partaja o parola de tip text pentru identificare. Acest lucru nu are nici un efect asupra controlului accesului (mai ales din cauza ca parola implicita este simplu de ghicit:"12345678").
Network Type cotroleaza modul in care ruterul interactioneaza cu vecinii sai, insa pentru a intelege ce rol au controalele sale trebuie sa cunoasteti cateva notiuni fundamentale. Un ruter broadcast este un ruter care poate comunica cu orice numar de rutere - cum ar fi un ruter LAN tipic. care are acces la multe alte rutere din LAN. Un ruter point-to-point este acel ruter care are numai un vecin. De exemplu o instalare DSL tipica va avea un ruter in reteaua proprie si un ruter la furnizorul de servicii Internet -aceasta este o configuratie punct-la-punct. Cea de-a treia optiune, ruterul non-broadcast multiple access (NBMA) este mai greu de definit. Un ruter NBMA este acel ruter care poate comunica cu mai multe rutere vecine, fara a utiliza o transmisiune, cum este cazul intr-o Retea ATM sau X.25. Aceste butoane radio se utilizeaza pentru a specificat tipul de retea la care participa ruterul. Daca se selecteaza modul NBMA pentru ruter, se poate utiliza pagina NBMA Neighbers pentru a specifica ruterele cu care ruterul NBMA ar trebui sa comunice.
Pagina NBMA Neigbers
Cand s-a discutat despre vecinii RIP s-a afirmat ca Microsoft a refolosit un concept OSPF pentru a-l utiliza in RIP. Pagina NBMA Neighbors (vezi Figura 8.29) va arata, de aceea, la fel ca si pagina RIP Neighbers. Lista derulanta din partea superioara a acestei pagini permite selectarea adreselor IP pentru vecinii care se configureaza. Dupa ce s-a selectat o adresa IP se poc utiliza celelalte controale din aceasta pagina pentru a specifica adresele IP si prioritatile vecinilor NBMA cu care aceasta interfata de ruter poate comunica.
FIGURA 8.29. Pagina NBMA Neighbors din caseta de dialog OSPF Properties
Pagina Advanced
Pagina Advanced (Figura 8.30) contine o serie de parametri care nu au putut fi inclusi in alta parte in interfata utilizator pentru configurarea OSPF. Se va observa ca se poate selecta ce adresa IP se configureaza. Dupa aceea, se vor utiliza cele sase campuri cara ofera acces la unii parametri interni ai OSPF.
FIGURA 8.30 Pagina Advanced din caseta de dialog OSPF Properties
Cele sase campuri din pagina Advanced sunt urmatoarele:
Campul Transit Delay (Seconds) specifica intervalul de care considerati ca este nevoie pentru ca o actualizare in starea legaturii sa se propage de la acest ruter; aceasta valoare este utilizata de OSPF pentru a decide cum vor arata informatiile despre rutele inutile.
Campul Retransmit Interval (Seconds) este utilizat pentru a estima intarzierea pentru parcurgerea unei rute, necesara pentru ca doua rutere sa comunice - daca dureaza mai mult pentru ca un pachet sa soseasca, acesta va fi retransmis.
Campul Hello Interval (Seconds) controleaza frecventa la care ruterele OSPF trimit pachete de anuntare a prezentei lor, pentru a descoperi alte rutere. Aceasta valoare trebuie sa fie aceeasi pentru toate ruterele din aceeasi retea; reducerea acestui interval are ca efect grabirea descoperirii modificarilor de topologie, cu pretul generarii unui trafic OSPF mai mare.
Campul Dead Interval (Seconds) controleaza intervalul dupa care un ruter este marcat ca "mort" de catre vecinii sai. Microsoft recomanda utilizarea unei valori intregi multiple a valori campului anterior; spre exemplu, daca intervalul Hello are valoarea implicita de 10 secunde, intervalul Dead implicit de 40 secunde va functiona perfect.
Campul Poll Interval (Seconds) controleaza intervalul de timp dupa care ruterul NBMA va incerca din nou sa contacteze un ruter aparent mort, pentru a verifica daca este intr-adevar mort. Acest interval trebuie sa fie cel putin de doua ori mai mare decat intervalul Dead.
Campul Maximum Transmission Unit (MTU) Size determina cat de mare poate fi un pachet IP in OSPF. Se recomanda sa nu se modifice aceasta valoare.
Gestionarea rutarii IP
Gestionarea rutarii IP este destul de simpla: daca intelegeti cum functioneaza optiunile descrise anterior in acest capitol, atunci inseamna ca stiti aproximativ 75% din tot ce este necesar pentru a gestiona eficient rutarea IP. Ce a mai ramas si trebuie sa stiti se refera la monitorizarea ruterelor, pentru a se asigura ca traficul circula corect si pe depanarea problemelor ocazionale.
Monitorizarea starii rutarii IP
Exista cateva comenzi utile pentru afisarea starii in consola RRAS. Cunoasterea functiilor acestor comenzi permite folosirea lor eficienta pentru a vizualiza datele de stare pentru RRAS. Fiecare dintre aceste comenzi afiseaza altceva:
Comanda General Show TCP/IP Information Aceasta comanda afiseaza o selectie generala de date de rutare IP, printre care numarul de rute din tabela de rutare, numarul de datagrame IP si UDP receptionate si trimise, precum si numarul de incercari de conectare. Se poate utiliza comanda Select Columns (click dreapta din fereastra TCP/IP Information) pentru a selecta ce sa se afiseze in accasta fereastra
Comanda Static Routes Show IP Routing Table Aceasta comanda prezinta intregul continut al tabelei de rutare, inclusiv destinatia, masca de retea si poarta de acces pentru fiecare ruta. Aceasta versiune a tabelei de rutare nu afiseaza sursa rutei (de exemplu, RIP sau OSPF).
RIP Show Neighbors Aceasta comanda afiseaza vecinii RIP existenti; pentru fiecare ruter, se poate observa cate pachete si rute incorecte a incercat acel vecin sa transmita ruterului propriu.
OSPF Show Areas Aceasta comanda afiseaza o lista a tuturor zonelor definite (de retinut ca exista o singura zona pentru o interfata). Pentru fiecare zona, se poate observa daca este activa sau nu, precum si numarul calculat de cai optime pentru acea legatura.
OSPF Show Link-State Database Aceasta comanda afiseaza intregul continut al bazei de date de stare a legaturii care nu reprezinta subiectul acestei carti. Daca doriti sa aflati mai multe despre formatul bazei de date de stare a legaturii, cititi "CCNP:
Advanced Cisco Router Configuration Study Ghide", scrisa de Todd Lammle, Kevin Hales si Devald Porter (Sybex, 1999).
OSPF Show Neighbors Aceasta comanda afiseaza tot ce stie RRAS despre vecinii OSPF ai acestui ruter, inclusiv tipul de ruter vecin (point-to-point, broadcast sau NBMA), starea vecinului si identificatorul ruterului.
OSPF Show Virtual Interfaces aceasta comanda afiseaza o lista a interfetelor virtuale pentru acest ruter OSPF. Daca reteaua OSPF nu este prea complicata, aceasta lista va fi vida.
Utilizarea comenzii Route print
Comanda route add, care are rolul de a adauga noi rute statice de la linia de comanda, a fost deja prezentata. Totusi, comanda route print poate afisa o parte din tabela de rutare la linia de comanda. Daca se introduce route print intr-o fereastra de comanda se va afisa intregul continut al tabelei de rutare; adaugand o adresa IP (de exemplu, Route print 206.151.*) se vor afisa numai rutele care incep cu 206.151.
Depanarea
Un rezumat cuprinzator al depanarii rutarii IP ar putea umple cu usurinta un manual ca acesta, sau poate chiar doua. Sistemul de asistenta online de la Microsoft este suficient de bun pentru a sugera cauzele probabile si solutiile pentru majoritatea problemelor de rutare, iar pentru examene trebuie sa se cunoasca doar problemele cele mai frecvente (si solutiile lor). Atunci cand se banuieste ca serverul RRAS nu ruteaza corect traficul, se va incepe prin a verifica urmatoarele:
Servidul RRAS functioneaza si este configurat pentru a se comporta ca ruter IP.
Configuratia TCP/IP a ruterului este corecta (incluzand o adresa IP statica).
Exista protocoale de rutare IP pentru fiecare interfata.
In continuare, trebuie sa se verifice urmatoarele setari specifice rutarii.
Daca se utilizeaza OSPF, asigurati-va ca s-a bifat caseta de validare Enable OSPF In This Interface din caseta de dialog OSPF Properties.
Verificati ca ruterul receptioneaza rute de la vecinii sai. Aceasta verificare poate fi efectuata deschizand tabela de rutare si cercetand coloana Protocol. Daca se gasesc inregistrari marcate OSPF sau RIP, inseamna ca cel putin cateva rutere vecine primesc informatii de rutare. Daca nu exista nici o ruta OSPF sau RIP, acesta este un semnal de alarma.
Trebuie sa existe o ruta statica implicita activa, daca ruterul nu a receptionat nici o rota implicita. Pentru a face acest lucru, se va adauga o ruta statica noua, cu destinatia 0.0.0.0., masca de retea 0.0.0.0 si o interfata demand - dial sau LAN corespunzatoare pentru configuratia retelei.
Configurarea filtrelor pentru pachetele TCP/IP
Una dintre caracteristicile cele mai utile si cele mai putin apreciate in RRAS este posibilitatea de a filtra selectiv pachetele TCP/IP in ambele directii. Se pot crea filtre care permit sau refuza trafic in sau din retea, pe baza regulilor care specifica adresele si porturile sursa si destinatie. Ideea de baza pentru filtrarea pachetelor este simpla. Se specifica regula de filtrare, iar pachetele receptionate vor fi verificate folosind aceste reguli. Exista doua posibilitati: se accepta toate pachetele cu exceptia celor interzise de o regula sau se refuza toate pachetele cu exceptia celor permise de o regula.
Filtrele sunt utilizate in mod normal pentru a bloca traficul nedorit. Desigur, definitia de "trafic nedorit" variaza de la caz la caz, insa ideea generala consta in refuzarea pachetelor care nu trebuie sa ajunga in retea. De exemplu, se poate configura un filtru de pachete care va bloca toace pachetele catre un server Web, cu exceptia celor de pe porturile TCP 80 si 443. Pe de alta parte, se poate crea un filtru care sa blocheze toate pachetele trimise pe porturile utilizate de instrumentele de mesaje MSN si AOL. Un alt exemplu (care este mai util pentru examen) consta in utilizarea filtrelor pentru un server PPTP sau L2TP; aceste filtre blocheaza totul, cu exceptia traficului VPN, astfel incat se poate expune fara probleme unui Server VPN cu Windows 2000.
Filtrele sunt asociate cu o anumita interfata; filtrele atribuite unei interfete sunt total independente de acelea ale altor interfete, iar filtrele la intrare sunt complet separate de cele de iesire. Filtrele pot fi create sau sterse utilizand butoanele Input Packet Filters si Output Packet Filters din pagina General a casetei de dialog Properties pentru acea interfata (vezi Figura8.19). Mecanismul de functionare al acestor filtre este identic, trebuie sa se repuna ca se creaza filtre la intrare pentru a bloca traficul care soseste la interfata si filtre la iesire pentru a bloca traficul care este trimis prin acea interfata.
Pentru a crea un filtru, gasiti interfata pentru care se adauga filtrul, apoi deschideti caseta de dialog Properties pentru aceasta interfata. Apasati butonul corespunzator si se va deschide o caseta de dialog asemanatoare cu caseta Input Filters (Figura 8.31).
FIGURA 8.31. Caseta de dialog Input Filters
Aceasta caseta de dialog contine sase regiuni:
Butoanele radio Recive all packets except those that meet the criteria below si Drop all packets except those that meet the criteria below controleaza functia filtrului. Pentru a crea un filtru care sa excluda doar pachetele specificate, selectati butonul Receive all packets . Pentru a proceda invers, si a accepta doar pachetele care se supun regulii stabilite, selectati butonul Drop all packets De observat ca aceste butoane vor ramane inactive pana cand se creaza o regula de filtrare.
Lista Filters, care initial este vida, afiseaza filtrele care sunt definite pentru aceasta interfata. Fiecare inregistrare pentru filtre din lista contine adresa sursa si masca. adresa destinatie si masca, precum si protocolul, portul si tipul de trafic specificate in regula.
Butoanele Add, Edit si Remove, isi fac datoria lor.
Crearea unui filtru este simpla: se apasa butonul Add si se va deschide caseta de dialog Add IP Filter (Figura 8.32). Conditiile care se specifica in aceasta caseta trebuie sa fie indeplinite toate pentru a declansa regula. De exemplu, daca se specifica atat adresa sursa, cat si adresa destinatie, doar traficul de la sursa definita catre destinatia definita va fi filtrat.
FIGURA 8.32. Caseta de dialog Add IP Filter
Urmati pasii descrisi in continuare pentru a completa datele cerute in caseta de dialog Add IP Filter:
Pentru a crea un filtru care blocheaza pachetele dupa adresa sursa, bifati caseta de validare Source Network si introduceti adresa IP si masca de subretea pentru sursa care trebuie blocata.
Pentru a crea un filtru care blocheaza pachetele in functie de destinatie, bifati caseta Destination Network si completati adresa si masca de subretea.
Pentru a filtra in functie de protocol, selectau protocolul respectiv: Any (blocheaza orice protocol), TCP, established TCP, IP, UDP, ICMP sau Other, Pentru fiecare dintre aceste protocoale trebuie sa se introduca si cateva informatii suplimentare; de exemplu, daca se selecteaza TCP trebuie sa se specifice porturile sursa si destinatie (sau ambele), in timp ce pentru optiunea Other trebuie sa se introduca numarul unui protocol (mai multe detalii in Exercitiul 8.6).
Dupa ce se specifica filtrul dorit, apasati butonul OK si acest filtru va aparea in lista de filtre. Filtrele devin efective din momentul in care se inchide caseta de dialog Properties a interfetei; in orice moment este posibil sa se adauge, sa se modifice sau sa se stearga filtrele.
Configurarea filtrelor de pachete VPN
Filtrele de pachete ofera un mecanism de securitate util pentru blocarea traficului nedorit pe anumite calculatoare. Este bine sa se utilizeze filtre de pachete pentru a pastra traficul non-VPN in afara servereIor VPN. Regulile care stau la baza acestora sunt destul de simple
Filtre de pachete PPTP
Este nevoie de cel putin doua filtre pentru a bloca in mod eficient traficul non-PPTP. Primul Filtru permite traficului cu identificatorul de protocol 47 (Generic Routing Encapsulation sau GRE) sa treaca catre adresa destinatie a interfetei PPTP. Cel de-al doilea filtru permite traficul trimis pentru portul TCP 1723 (portul PPTP) sa ajunga la interfata PPTP.
Se poate adauga un al treilea filtru, daca serverul PPTP functioneaza si ca un client PPTP. In acest caz, cel de-al treilea filtru are nevoie de adresa de destinatie a interfetei, un tip de protocol TCP (stabilit) si port sursa 1723.
Dupa ce s-au creat aceste filtre, bifati butonul radio Drop All Packets Except Those That Meet The Criteria Below din caseta de dialog Input Filters si inchideti caseta. Se va repeta acest proces pentru iesire, creand doua sau trei filtre de iesire corespunzatoare care sa blocheze orice trafic care nu a pornit de ia interfata VPN si utilizand protocoalele corecte.
Filtre de pachete L2TP
Pentru a utiliza filtre de pachete L2TP se va folosi procesul descris anterior, insa va fi nevoie de filtre putin diferite. Exista un total de patru filtre necesare - doua filtre de intrare si doua filtre de iesire:
Un filtru de intrare cu adresa de destinatie a interfetei VPN si masca de retea 255.255.255.255, care filtreaza UDP cu un port de sursa si de destinatie de 500.
Un filtru de intrare cu adresa de destinatie a interfetei VPN si masca de retea 255.255.255.255, care filtreaza UDP cu un port de sursa si de destinatie de 1701
Un filtru de iesire cu adresa sursa a interfetei VPN si masca de retea 255.255.255.255. care filtreaza UDP cu un port de sursa si de destinatie de 500
Un filtru de iesire cu adresa sursa a interfetei VPN si masca de retea 255.255.255.255, care filtreaza UDP cu un port de sursa si de destinatie de 1701.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 1194
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved