Раздел: Документация

0 ... 87 88 89 90 91 92 93 ... 136

240

и

Глава 11

LONDON IPR	ullnu Fable
	! Ие+ио* имя*
ИИЗД			ь>г««иг i
IB «545 45 .		127 (151	ЬЗДСйЫ 1	LKd
t:?<i»<i		»Йвй1
U7O01	253 255 ЗЯ 255	t.-7tin 1	Lmjpbsck 1
	а*м оо	П 45 45 й5	U«;*l« С - 1
дагиавиа		1045 4545

:iL — . - , , . . i2i.

Рис.Таблица маршрутов

Каждая annci.. таблицы маршрутов включает несколько полей. Четыре перечислены ниже:

•Destination (Назначение) - сетевой идентификатор или адрес промежуточной сети для маршрута компьютера. На IP-маршрутизаторах имеются дополнительные поля маски подсети, выделяющие идемтифик irop IP-сети из конечного IP-адреса;

•Gateway (Шлюз) — аппаратный адрес или адрес промежуточной сети, на который пересылается пакет. Для сетей, к ксюрым напрямую подключен узел или маршрутизатор, поле Gateway можетадресподсоединенного к сети;

•Interface (Интерфейс) - сетевой интерфейс, через который пакеты пересылаются сетевому идентификатору. Данное поле содержит номер порта или другой логический идентификатор;

•Metric(Метрика) — значение данного поля указываететепепь предпочтительности маршрута. Обычно меньшим значениям метрики соответствуют наиболее предпочтительные маршруты. Если к конечному адресу существует несколько маршрутов, используется маршрут с наименьшим:ем метрики. Некоторые алгоритмы маршрутизации хранят в таблице маршрутов только простейший маршрут к любому сетевому идентификатору, даже если существует несколько маршрутов. В этом случае метрика позволяет маршрутизатору выбрать маршрут, который будет занесен в таблицу.

Это лишь примерный список полей таблицы маршрутизации. Реальный перечень полей зависит от используемого маршрутизируемого протокола.

Маршрутизация по требованию

Интерфейс доступа по требованию — это интерфейс маршрутизатора, вызываемый в случае необходимости; для выявления такой кчнпптнмоеш используется анализ сетевого трафика. Соединение по требованию устанавливается лишь в случае, если из /аблипы маршрутов следует, что данный интерфейс необходим для достижения конечного IP-адреса. Маршрутная таблица не позволяет выбрать пользователя или протокол, который способен устанавливать соединение по запросу. Выбор оеущее пишется в зависимости от места назначения

трафика.

Фильтры доступа по требованию определяют, для какого трафика может устанавливаться соединение по требованию. Фильтры разрешается настроить для допуска или блокирования конкретных/конечных IP-адресов, портов и протоколов. Кроме тега, вы вправе задатьпо времени суток. Даже если соединение соответствует параметрам фильтра, при несоответствии ограничениям посутокустановить это соединение будет заблокирована.

Ниже описаны поля из заголовков IP, TCP, I.! DP. которые допустимо применять для создания фильтров доступа по требованию. Служба Routing and Remote Access позволяет выполнять фильтрование по нескольким полям: заголовок заголовок TCP. заголовок UDP, заголовок ICMP.

---

Внедрение №-мнр1Лр/тизз>ц*и на сервере

241

Заголовок IP

IP-лен пирамид включает заголовок IРдлиной 20 байт со следующими полями:

•IP-протокол - идентификатор клиентского IP-протокола. Например, идентификатор для TCP — 6, для UDP — 17, для ICMP — I. Поле Protocol применяется для пересылки IP-пакета протоколу более высокого уровня;

•Исходный IP-адрес - IP-адрес исходного узла;

•Целевой IP-адрес - IP-адрес конечного узла. В качестве конечного IP-адреса можно указать маску подсети, что позволяет охватить одним фильтром диапазон IP-a ip сои

Заголовок TCP

В протоколе TCP данные, со.г.г>жп::ис=. в сегменте TCP, считаются последовательностью байтов без границ лишееп или полей. Ниже описаны ключевые поля заголовка TCP:

•Исходный TCP-порт — данное поле по июляе г определить исходный процесс, пославший сегмент TCP:

•Целеиой TCP-порт — данное поле поаволаег определить конечный процесс для аанно-го сегмента

Заголовок UDP

Протокол используется приложениями,подтверждения приема дан-

ных и обычно пересылающих небольшие объемы информации. Ниже описаны ключевые поля заголовка UDP:

•Исходныйданное поле позволяетисходный процесс, пославший сообщение С DP;

•Целевой UDP-порт — данное поле позволяет определить конечный процесс для данного сообщения UDP.

Прда-ш-шшй Список широко используемых портов вы можете найти к .vrv/e«?™>fV>ysi аш.*2\

drivers\efc\>,erviee:> или в RFC Роп.

Заголовок ICMP

Сообщения инкапсулируются в IP-дейтаграммы, благодаря чему их удается маршрутизировать через промежуточную сеть. Ниже описаныполя пакета ICMP: >• Тип ICMP - указывает тип пакета ICMP (эхо-запрос, эхо-ответ и т.д.); • Код ICMP —ука>ынае1 одну из нескольких возможных функций пределах ганнок типа.

Настройка фильтров доступа по требованию

В Windows 2000 разрешается настраивать фильтры доступа по требованию и определять время, когда подключение разрешено.

►Настройка фильтров доступа по требованию

1.Откройте оснастку Routing and Remote Access.

2.Щелкните узел Routing Interfaces (Интерфейсы маршрутизации).

3.Щелкните правой кнопкой мыши значок интерфейса доступа по требованию.

4.Выберите в контекстном меню команду Set Demand-Dial Filters.

5.В диалоговом окне Sei Demand-Dial Filters (рис. - . щелкните кнопку Add.

---

и удапвтный доступ

Глава 1I

gfll ii.:.F..irri( .ti.il ( ,»...<

You nr.b5J --;,! * Star = о «руиЗчп. fr* OnA-IWtbelwItwiiylrrtfftt.

for el i) arte t«c*3f

at

Add I j~~E<aWwwva )

Рис 11-13. Настройка фи.плров доступа по требованию Исходный и конечный IP-адреса

Указываются как маска подсети, что позволяет о\ваш п. одним фильтром лиана юп IP-адресов (соответствующих сетевым идентификаторам). Например, фильтр 10.45.45.45 с маской 255.2:55.255.255 относится только к одному адресу, вто время как фильтр 10.0.0.0с маской 255.0 0.0 распространяется на всю сеть класса А.

Протокол

Для каждого фильтра можно применять различные протоколы:

•для протоколов TCP и llDf1 ука ил !Л1от1.я номера начального и конечного портов;

•для протокола указываются тип и код ICMP;

•ANY означает любой протокол.

•Othei позволяет указа и, идентификатор (название или номер) I Р-протокола. Преобразование протоколов в номерас использованием файла PROTOCOL, хранящегося в каталоге .\rnrciwinivur\>ycm32\driva*\eiе.

Дейстние

Фидьтроваш:; соединений по требованию основано на исключениях. Например, вы вправе настроить службу RRAS, чтобы соединения устанавливались для любого трафика, соответствующего фильтрам, или любого трафика, кроме указанного в фильтрах.

Заданиекогда разрешено подключение

Вы вправе указать время суток и дни недели, когда подключения по требованию запрещаются или

► Настройка ограничений по времени суток

Откройте оснастку Routing and Remote Access.

2.Щелкните узел Routing Interfaces.

3.Щелкните правой кнопкой мыши значок интерфейса доступа по требованию.

4.Выберите контекстном меню команду Dial-Out Hours.

5.В диалоговом окне Dial-Out Hours (рис. 11-14) залайте часы, когда можно или нельзя

соединения.

0 ... 87 88 89 90 91 92 93 ... 136