8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Раздел: Документация

0 ... 94 95 96 97 98 99 100 ... 136

применять. Вы можете назначить компьютерам статические I Р-адреса или воспользоваться DHCP-сервером.

Маршрутизатор Windows 2000 следует настроить на работу с сетевым адаптером внутренней сети (например. lOBaseT или 100BaseT Ethernet). Кроме того, для маршрутизатора необходимо создать подключение к Интернету, например, аналоговый или ISDN-модем. xOSl -молем, кабельный модем.

Транслируемый доступ (С использованием NAT) значительно безопаснее, поскольку адреса частной сети полностью скрываются от Интернета. NAT-компьютер. разделяемый соединением, преобразует все адреса Интернета в адреса частной сети и наоборот. Не забывайте, однако, что NAT-компьютер не способен транслировать всю полезную информацию. Это связано с тем, что некоторые приложения используют IP-адреса в других по-;я\, помимо стандартных полей заголовка TCP/IP.

С NAT не работают следующие протоколы:

•КегЬе;-.зк,

•IP Security Protocol(IPSec).

Поддержка протоколом NAT выделения адресов DHCP-сервером позволяет всем.

в сети автоматически получить отмаску под-

сети, шлюз по умолчанию и адрес DNS-сервера. Если в сети имеются компьютеры без поддержки DHCP, настройте для них статические

Для минимизации затрл i на ресурсы в небольшой сети достаточно установить лишь один сервер с Windows 2000. В зависимости от типа соединения (транслируемое или маршрутизируемое) этот сервер, может выполнять службы NAT. API PA, Routing And Remote Access и DHCP.

Общие и частные адреса

Если ваша интрасеть не подключена к Интернету, вы в праве внедрить люб у на схему II-адресации. Если вам требуется прямое (через маршрутизатор) или косвенное (через прокси-сервер или транслятор) соединение с Интернетом, стоит использовать общие и частные адреса.

Общие адреса

Обшпе адреса присваиваются центром inier К и состоят из сетевых идентификаторов, которые основаны на классах, или блоков адресов, которые основаны на протоколе С laseless Inter-Domain Routing (CIDR-блоки) и гарантированно являются глобально уникальными и Интернете. Если назначаются общие адреса, в Интернет-маршрутизаторы заносятся маршруты, чтобы трафик кадресам достигал конечной точки.к

конечным общим адресам дослпдет своего места назначения.

Частные адреса

Каждому IP-узлу требуется IP-адрес, аЯЮщИЙСЯ в данной IP-сети уникальным. В случае с Интернетом каждому IP-узлу сети, подключенной к Интернету, необходим IP-адрес, являющийся в Интернете глобально уникальным. С развитием Интернета подключающимся к нему организациям требовалось все больше общих адресов — для каждог > из узлов их ннт расе гей. Это привело к тому, что диапазон доступных общих адресе» значительно сократился.

Анализируя потребности организаций в адресах, разработчики Интернета заметили, что во многих организациях большинство узлов интрасети не нуждалось в прямом соединении с узлами Интернета. Те узлы, которым действительно требовался определенный


набор служб Интернета, например,к World Wide Web и электронной почте, обыч-

но работали с этими службами через шлюзы прикладного уровня вродеи

серверов электронной почты. В результате оказалось, что большей части ортаип ашшг необходимо лишь небольшое числоузлов, непосредственно подключенных к Нигерией (прокси-серверы, маршрутизаторы, браидчауары. трансляторы и др.).

Компьютерам внутри ориши киши, не ну*,чаюшпмся в прямом доступе к И пернесу. необходимы I Р-алреса, отличные от уже присвоенных обших адресов, Для решения этой проблемыИнтернета зарезервировали часть пространстваи на-

звали это пространство пространством частных адресов. Частные IP-адреса никогда не в качестве обших. Поскольку пространства частных и общих адресов не пересекаются, частные адреса никогда не дублируют обптае адреса. RFC определяет следующие диапазоны IP-адресов:

•10.0.0.0-10.255.255.255 - частная сеть с IP-адресом 10.0.0.0 - сетевой идентификатор класса А, допускающий использование действительных IP-адресов из диапазона 10.0.0.1 -10.255.255.254. У частной сети 10.0.0.0 имеется 24 разряда для обозначения узла, которые можно использовать для внедрения в организации любой схемы подсетей;

•172.16.0.0 172.31.255.255 —часжаа сеть с адресом 172. i6.0,0 интерпретируется блок из 16сетевых идентификаторов класса В или как 20-разрядное присваиваемое пространство(20 разрядов дляузла), которое можно использовать для вне-

организации любой схемы подсетей. Частная сетьдопускает исполь-

зование действительных 1 Р-адресов из диапазона 172.16.0.1 - 172.31.255.254; •192.168.0.0 192.168.255.255 - частая сеть192. 168,0,0/16 интерпретируется как блок из 256 сетевых идентификаторов класса С или как 16-разрядное присваиваемое пространство адресов разрядов для обозначениякоторое можно для внедрения в любой схемы подсетей. Частная сетьдопускает использование I из диапазона —

к частным адресам из Интернета нельзя. Следовательно, компьютер с частным адресом должен посылать свой Интернет-трафик шлюзу прикладного уровня (например, прокси-серверу),общим адресом, или использовать транслятор, который будет перед пересылкой графика в Интернет преобразовывать частный адрес этого компьютера в действительный адрес.

Принципы работы NAT

Транслятор сетевых адресов — опреде.иащыч в стандарте RFC 16ч1 1Р-чаршр\1н а юр. способный в процессе передачи пакетов транслировать ихи номера Рассмотрим небольшую сеть из нескольких компьютеров, подключающихся к Интернету. В обычной ситуации компании потребо <адось бы получить у поставщика услуг Интернета для каждого из этих компьютеров обший IP-адрес. Протокол NAT позволяет реализовать в сети компании схему частной адресации (см. RFC I :>ч7) и привязать частные адреса компьютеров к одному или несколькимууслуг Интернета. Например, интрасеп. небольшой компании реализована как частная сеть с адресом 10.0.0.0, и поставщик услуг Интернета выделил фирме общий IP-адрес 198.200.200.1. NAT привязывает (статически или динамически) все используемые в сети 10.0.0.0 частные IP-адреса к общему IP-адресу 198.200.200.1.

Статическая и динамическая привязка адресов

Протокол NAT использует статическую или динамическую привязку адресов. При статической привязке трафик всегда направляется в определенное место. Весьи


:едгш.:-::- трафик определенного сегмента частной сети можно принизан, к определенному месту в Интернете. Например, чтобы установить Web-сервер на одном из компьютеров частной cei и. выстатическую привязку обшего I Ра ркч.а (порт номер 80 прото-

кола TCP) к частному IP-адресу (порт номер 80 протокола TCP),

Динамические привязки создаются, если пользователи частной сети обмениваются информацией с узлами Интернета. Служба NAT автоматически добавляет эти привязки в свою laoaimy привязок и обновляет их при каждом обращении. Не применяемые динамические привязки по истечении определенного времени удаляются из таблицы приемок проекций NAT после заданного периода времени. Тайм-аут приня sk.ii для ТСР-иодк точений по умолчанию составляет 24 часа. Для трафика UDP тайм-аут равняется I минуте.

Корректное преобразование полей заголовков

По умолчанию NAT преобразовывает IP-адреса и порты TCP/UDP. При этом в дейтаграмму вносятся определенные изменения, которые требуют модификации и корректировки следующих полей заголовков IP. TCP и UDP:

•исходного IP-адреса;

•контрольной суммы TCP, UDP и IP; исходного порта.

Если информация об IP-адресах и портах содержится только в заголовках IP и TCP, U DP, как. например, в протоколе HTTP или трафике WWW, прикладной протокол может транслироваться прозрачно. Впрочем, некоторые приложения и протоколы записывают и в(юр-мацию об IP-адресах и портах в собственные заголовки. Например, протокол FTP хранит заголовке FTP для команды порта FTP десятичную нотацию IP-адреса. При некорректном преобразовании адреса протоколом NAT иногда возникают проблемы связи. Кроме а случае с FTP IP-адрес хранится в десятичной нотации, и поэтому мреобра овап-ный IP-алрсс в заголовке FTP может иметь иной размер. В связи с этим во ч юс -щние потери данных служба NAT должна такжепорядковые номера TCP.

Редакторы NAT

Они необходимы, если компоненту NAT требуется дополнительно преобразовывать и распределять полезную информацию вне заголовков IP, TCP и UDP. Редактор NAT — устанавливаемый компонент, позволяющий корректно транслировать полезную информацию, которую нельзя преобразовать каким-либо другим образом, для пересылки через NAT. В Windows 2000 встроены редакторы-i NAT для следующих протоколов:

•FTP:

•IС N. 11

•РРТР;

•NetBIOS поверх TCP/I P.

Кроме того, протокол маршрутизации NAT включает программное обеспечение прокси-сервера для следующих протоколов:

Direct Play;

•LDAP (регистрация !LS на основе LDAP);

•RPC.

трафика невозможно.



0 ... 94 95 96 97 98 99 100 ... 136