Раздел: Документация

0 ... 112 113 114 115 116 117 118 ... 131

1)2.д(,*.в.1 12V Й.В.1

у F

:вч .лет I». ч

и.В I

•гтz.fte

1ЧГ,И

1VJ.UH 0.1

i v. I... ,

J 21,

Рис. 10-2. Данные таблицы маршрутизации, no ифашенные утилитой route

Процесс определения маршрута

При определении маршрута пересылки IP-пакетов в протоколе IP используется таблица маршрутизации.

Для каждого маршрута в таблице протокол применяет к IP-адресу назначения и номеру подсети побитовую логическую операцию «И» (колонка ISetmask на рис. :й-2). чтобы выяснить тип сети — локальная или удаленная. Протокол IP сравнивает результат с адресом назначения, пытаясь найти нужный маршрут. Когда он найден, протокол отмечает маршрут как соответствующий IP-адресу назначения.

2.Из списка найденных маршрутов выбирается маршрут с наибольшим числом совпадающих бит в маске сети. Этот процесс называется нахождением самого длинного, или ближайшего совпадающего, маршрута.

3.Обнаружив несколько совпадающих маршрутов, IP использует маршрут с самой низкой метрикой.

4.При обнаружении нескольких совпадающих маршрутов с одинаково низкой метрикой случайным образом выбирается один из них.

Конечным результатом процесса определения маршрута является выбор одного маршрута из таблицы маршрутизации. Если маршрут найти не удается, протокол IP объявляет ошибку маршрутизации.

Устранение неполадок в таблицах маршрутизации

Утилиты Ping и Traecri позволяют определить недоступные сегменты сети. При установке ISA-сервера в сложной сети утилита Route используется для изменения табл и п. маршрутизации и конфигурирования корректных маршрутов во всех сегментах сети. Например, если у ISA-сервера нет интерфейса с удаленной подсетью, для пересылки трафика в эту подсеть необходимо создать соответствующий статический маршрут. (Статическими называются маршруты, которые не создаются в таблице маршрутизации автоматически.) Вот пример добавления статического маршрута средствами утилиты Route:

route add 172.16.41.0 mask 2Ь5. 255. 255.0 172.16.40.1 metric 2

В этом примере команда Route add указывает, чтонаправляемые в подсеть

172.16.41.0 c маской 255.255.255.0, следует пересылать на шлюз 172.16.40.1. Значение метрики равно 2, так как удаленность подсети составляет два перехода. (Обычно метрика pt.3-

---

на числу переходов, или количеству пройденных к цели маршрутизаторов.) В этом случае иногда требуется определить статический маршрут к нижестоящим маршрутизаторам, чтобы указать пакетам обратный путь к полсети 172.16.40.0/24.

Так как таблица маршрутизации автоматически создается заново при каждом перезапуске компьютера, для сохранения статических маршрутов в таблице маршрутизации необходимо добавить в таблицу постоянные записи. Командой Route add -р их можно автоматически добавить в таблицу маршр>тизации при каждом ее построении.

Статические маршруты также создаются средствами консоли Routing and Remote Access (Маршрутизация и удаленный доступ) в Windows 2000. Статические маршруты, созданные средствами консоли Routing andAccess, считаются постоянными.

► Создание статического маршрута средствами оснастки Routing and Remote Asst-

1.В меню Start (Пуск) последовательно выберите Programs (Программы), Administrative Tools (Администрирование) и щелкните Routing And Remote Access (Маршрутизация и

удаленный доступ).

2.Двойным щелчком раскройте объект IP Routing (IP-маршрутизация).

3.Щелкните правой кнопкой Static Routes (Статические маршруты) и в контекстном меню выберите команду New Static Route (Новый статический маршрут). Откроется

диалоговое окно Static Route (Статический маршрут).

4.Заполните поля окна статического маршрута и щелкните кнопку ОК.

Практикум. Определение состояния портов

Вы воспользуетесь командами Netstat и Telnet для определения состояния портов ISA-сервера. Этот способ применяется для проверки защиты, а также для опреде-

ления доступности с внешних узлов службы, работающей на ISA-сервере.

Задание. Определение состояния портов ISA-сервера

Сейчас выутилиты командной строки Netstat найдете открытые порты на

внешнем интерфейсе ISA-сервера, а затем подключитесь к ним по протоколу Telnet. ► Проверка состояния портов ISA-сервера

1.Войдите в систему Serverl под учетной записью Administrator (Администратор).

2.В меню Start (Пуск) выберите команду Run (Выполнить).

3.В текстовом окне Open (Выполнить) диалогового окна Run введите команду and и щелкните кнопку ОК. Откроется окно командной строки.

4.В командной строке введите команду netstat -an -р tcp.

В окне отобразится список всех активных TCP-портов ISA-сервера. В окне вывода в левой колонке IP-адресов с номерами портов указаны локальные адреса, а в правой — внешние адреса активных подключений. Большинству локальных адресов соответствует внутренний интерфейс 192.168.0.1. Однако в конце списка, возможно, есть несколько подключений, локальный адрес которых является внешним IP-адресом ISA-сервера.

5.Сколько активных подключений указано для внешнего интерфейса ISA-сервера в колонке Local Address? Посмотрите на внешние адреса подключений: действительно ли они внешние, или лишь представляют другой порт локального адреса? Какие порты этих внешних адресовдля отправки информации на локальные адреса ISA-сервера.

Запишите свои ответы здесь:

---

6.Откройте Microsoft Internet Explorer на компьютере с ISA-сервером и подключитесь к внешнему VVeb-узлу, например к www.microsoft.cont.

7.Во время загрузки Web-страницы в Internet Explorer переключитесь в окно командной строки и снова выполните команду netstat —am —р tcp. В окне отобразится спиан всех активных TCP-портов ISA-сервера.

8.Взгляните в конец списка вывода. Сколько дополнительных активных подключений (по сравнению с данными, полученными в результате выполнения пункта 5) появилось на внешнем интерфейсе ISA-сервера в колонке Local Address? Есть ли новые активные порты на внешних адресах? После просмотра данных скажите, какой внешний порт используется для отправки Ш>-данных на локальный внешний IP-адрес? Запишите свои ответы здесь:

9. На какие локальные порты внешнего интерфейса ISA-сервера отправляются We!>-данные? Эти динамические порты обычно изменяются от подключения к подключению. Укажите номера этих портов.

Предположим, у вас есть доказательства несанкционированного проникновения в сеть и требуется проверить защиту путем тестирования состояния внешних портов, через которые хакеры могли бы получить доступ к сети. Для этого подключитесь средствами Telnet к внешним портам и проверьте, откликаются ли службы на этих портах. (Обычно эту операцию выполняют с внешнего компьютера.) 10. Подключитесь средствами Telnet к одному из определенных на шаге 9 внешних портов еледуюшим образом. В командной строке выполните команду telnet <внешний 1Р-ад-рес> <номерпорта> (например telnet 64.43.113.110 10123), где <внешний 1Р-адрес> -это назначенный ISA-серверу внешний IP-адрес, а <номерпорта> - один из определенных в пункте 9 локальных портов.

Появится сообщение об ошибке подключения к порту. Порт не прослушивается. Если порт принимает внешние подключения, операция пройдет без ошибки, и в окне отобразится пустая строка или сообщение о работающей на указанном порте службе.

П. Средствами Telnet попытайтесь подключиться к каждому из перечисленных в левой колонке приведенной ниже таблицы портов. Например, чтобы подключится к порту 25 IP-адреса 64,43.113.110, выполняется команда telnet 64.43.113.110 25. Отметьте состояние (Открыт или Закрыт) портов в правой колонке таблицы.

Номер портаСостояние порта

25 7

389 443 21

8080

1030

12-2186

0 ... 112 113 114 115 116 117 118 ... 131