Раздел: Документация
0 ... 94 95 96 97 98 99 100 ... 136 применять. Вы можете назначить компьютерам статические I Р-адреса или воспользоваться DHCP-сервером. Маршрутизатор Windows 2000 следует настроить на работу с сетевым адаптером внутренней сети (например. lOBaseT или 100BaseT Ethernet). Кроме того, для маршрутизатора необходимо создать подключение к Интернету, например, аналоговый или ISDN-модем. xOSl -молем, кабельный модем. Транслируемый доступ (С использованием NAT) значительно безопаснее, поскольку адреса частной сети полностью скрываются от Интернета. NAT-компьютер. разделяемый соединением, преобразует все адреса Интернета в адреса частной сети и наоборот. Не забывайте, однако, что NAT-компьютер не способен транслировать всю полезную информацию. Это связано с тем, что некоторые приложения используют IP-адреса в других по-;я\, помимо стандартных полей заголовка TCP/IP. С NAT не работают следующие протоколы: •КегЬе;-.зк, •IP Security Protocol(IPSec). Поддержка протоколом NAT выделения адресов DHCP-сервером позволяет всем. в сети автоматически получить отмаску под- сети, шлюз по умолчанию и адрес DNS-сервера. Если в сети имеются компьютеры без поддержки DHCP, настройте для них статические Для минимизации затрл i на ресурсы в небольшой сети достаточно установить лишь один сервер с Windows 2000. В зависимости от типа соединения (транслируемое или маршрутизируемое) этот сервер, может выполнять службы NAT. API PA, Routing And Remote Access и DHCP. Общие и частные адреса Если ваша интрасеть не подключена к Интернету, вы в праве внедрить люб у на схему II-адресации. Если вам требуется прямое (через маршрутизатор) или косвенное (через прокси-сервер или транслятор) соединение с Интернетом, стоит использовать общие и частные адреса. Общие адреса Обшпе адреса присваиваются центром inier К и состоят из сетевых идентификаторов, которые основаны на классах, или блоков адресов, которые основаны на протоколе С laseless Inter-Domain Routing (CIDR-блоки) и гарантированно являются глобально уникальными и Интернете. Если назначаются общие адреса, в Интернет-маршрутизаторы заносятся маршруты, чтобы трафик кадресам достигал конечной точки.к конечным общим адресам дослпдет своего места назначения. Частные адреса Каждому IP-узлу требуется IP-адрес, аЯЮщИЙСЯ в данной IP-сети уникальным. В случае с Интернетом каждому IP-узлу сети, подключенной к Интернету, необходим IP-адрес, являющийся в Интернете глобально уникальным. С развитием Интернета подключающимся к нему организациям требовалось все больше общих адресов — для каждог > из узлов их ннт расе гей. Это привело к тому, что диапазон доступных общих адресе» значительно сократился. Анализируя потребности организаций в адресах, разработчики Интернета заметили, что во многих организациях большинство узлов интрасети не нуждалось в прямом соединении с узлами Интернета. Те узлы, которым действительно требовался определенный набор служб Интернета, например,к World Wide Web и электронной почте, обыч- но работали с этими службами через шлюзы прикладного уровня вродеи серверов электронной почты. В результате оказалось, что большей части ортаип ашшг необходимо лишь небольшое числоузлов, непосредственно подключенных к Нигерией (прокси-серверы, маршрутизаторы, браидчауары. трансляторы и др.). Компьютерам внутри ориши киши, не ну*,чаюшпмся в прямом доступе к И пернесу. необходимы I Р-алреса, отличные от уже присвоенных обших адресов, Для решения этой проблемыИнтернета зарезервировали часть пространстваи на- звали это пространство пространством частных адресов. Частные IP-адреса никогда не в качестве обших. Поскольку пространства частных и общих адресов не пересекаются, частные адреса никогда не дублируют обптае адреса. RFC определяет следующие диапазоны IP-адресов: •10.0.0.0-10.255.255.255 - частная сеть с IP-адресом 10.0.0.0 - сетевой идентификатор класса А, допускающий использование действительных IP-адресов из диапазона 10.0.0.1 -10.255.255.254. У частной сети 10.0.0.0 имеется 24 разряда для обозначения узла, которые можно использовать для внедрения в организации любой схемы подсетей; •172.16.0.0 172.31.255.255 —часжаа сеть с адресом 172. i6.0,0 интерпретируется блок из 16сетевых идентификаторов класса В или как 20-разрядное присваиваемое пространство(20 разрядов дляузла), которое можно использовать для вне- организации любой схемы подсетей. Частная сетьдопускает исполь- зование действительных 1 Р-адресов из диапазона 172.16.0.1 - 172.31.255.254; •192.168.0.0 192.168.255.255 - частая сеть192. 168,0,0/16 интерпретируется как блок из 256 сетевых идентификаторов класса С или как 16-разрядное присваиваемое пространство адресов разрядов для обозначениякоторое можно для внедрения в любой схемы подсетей. Частная сетьдопускает использование I из диапазона — к частным адресам из Интернета нельзя. Следовательно, компьютер с частным адресом должен посылать свой Интернет-трафик шлюзу прикладного уровня (например, прокси-серверу),общим адресом, или использовать транслятор, который будет перед пересылкой графика в Интернет преобразовывать частный адрес этого компьютера в действительный адрес. Принципы работы NAT Транслятор сетевых адресов — опреде.иащыч в стандарте RFC 16ч1 1Р-чаршр\1н а юр. способный в процессе передачи пакетов транслировать ихи номера Рассмотрим небольшую сеть из нескольких компьютеров, подключающихся к Интернету. В обычной ситуации компании потребо <адось бы получить у поставщика услуг Интернета для каждого из этих компьютеров обший IP-адрес. Протокол NAT позволяет реализовать в сети компании схему частной адресации (см. RFC I :>ч7) и привязать частные адреса компьютеров к одному или несколькимууслуг Интернета. Например, интрасеп. небольшой компании реализована как частная сеть с адресом 10.0.0.0, и поставщик услуг Интернета выделил фирме общий IP-адрес 198.200.200.1. NAT привязывает (статически или динамически) все используемые в сети 10.0.0.0 частные IP-адреса к общему IP-адресу 198.200.200.1. Статическая и динамическая привязка адресов Протокол NAT использует статическую или динамическую привязку адресов. При статической привязке трафик всегда направляется в определенное место. Весьи :едгш.:-::- трафик определенного сегмента частной сети можно принизан, к определенному месту в Интернете. Например, чтобы установить Web-сервер на одном из компьютеров частной cei и. выстатическую привязку обшего I Ра ркч.а (порт номер 80 прото- кола TCP) к частному IP-адресу (порт номер 80 протокола TCP), Динамические привязки создаются, если пользователи частной сети обмениваются информацией с узлами Интернета. Служба NAT автоматически добавляет эти привязки в свою laoaimy привязок и обновляет их при каждом обращении. Не применяемые динамические привязки по истечении определенного времени удаляются из таблицы приемок проекций NAT после заданного периода времени. Тайм-аут приня sk.ii для ТСР-иодк точений по умолчанию составляет 24 часа. Для трафика UDP тайм-аут равняется I минуте. Корректное преобразование полей заголовков По умолчанию NAT преобразовывает IP-адреса и порты TCP/UDP. При этом в дейтаграмму вносятся определенные изменения, которые требуют модификации и корректировки следующих полей заголовков IP. TCP и UDP: •исходного IP-адреса; •контрольной суммы TCP, UDP и IP; исходного порта. Если информация об IP-адресах и портах содержится только в заголовках IP и TCP, U DP, как. например, в протоколе HTTP или трафике WWW, прикладной протокол может транслироваться прозрачно. Впрочем, некоторые приложения и протоколы записывают и в(юр-мацию об IP-адресах и портах в собственные заголовки. Например, протокол FTP хранит заголовке FTP для команды порта FTP десятичную нотацию IP-адреса. При некорректном преобразовании адреса протоколом NAT иногда возникают проблемы связи. Кроме а случае с FTP IP-адрес хранится в десятичной нотации, и поэтому мреобра овап-ный IP-алрсс в заголовке FTP может иметь иной размер. В связи с этим во ч юс -щние потери данных служба NAT должна такжепорядковые номера TCP. Редакторы NAT Они необходимы, если компоненту NAT требуется дополнительно преобразовывать и распределять полезную информацию вне заголовков IP, TCP и UDP. Редактор NAT — устанавливаемый компонент, позволяющий корректно транслировать полезную информацию, которую нельзя преобразовать каким-либо другим образом, для пересылки через NAT. В Windows 2000 встроены редакторы-i NAT для следующих протоколов: •FTP: •IС N. 11 •РРТР; •NetBIOS поверх TCP/I P. Кроме того, протокол маршрутизации NAT включает программное обеспечение прокси-сервера для следующих протоколов: Direct Play; •LDAP (регистрация !LS на основе LDAP); •RPC. трафика невозможно. 0 ... 94 95 96 97 98 99 100 ... 136
|