Текст книги "Самоучитель системного администратора"

Автор книги: Александр Кенин

сообщить о нарушении

Текущая страница: 8 (всего у книги 39 страниц) [доступный отрывок для чтения: 14 страниц]

обычно рекомендуется устанавливать одну точку доступа приблизительно на

10 клиентов, хотя технический предел подключений беспроводных устройств, как

правило, составляет не одну сотню систем.

Рис. 3.8. Проектирование установки беспроводных точек доступа.

Для обеспечения работы в любой точке здания в беспроводной сети необходимо учесть многие

факторы. Специализированное программное обеспечение позволяет построить возможные зоны

покрытия на основе замеров и анализа параметров радиосигнала.

На рисунке представлен пример от AirMagnet, Inc.

Беспроводные решения могут помочь соединить, например, два здания. Для этого

созданы специализированные беспроводные мосты и направленные антенны.

ПРИМЕЧАНИЕ

Если режим работы системы предполагает мобильность устройств (постоянное пере-

мещение их во время работы с системой с переключением между различными точка-

ми доступа), то для исключения прерывания сессий необходимо использовать специ-

альное программное обеспечение.

Структура сети

71

Безопасность беспроводной сети

Точку доступа можно сравнить с концентратором локальной сети, который постав-

лен в общедоступное помещение. Любой может "подключиться" к данному сегмен-

ту и прослушивать передаваемую информацию. Поэтому правильной настройке

подключения клиентов необходимо уделить особое внимание.

Шифрование трафика беспроводной сети

Для защиты передаваемой по беспроводной сети информации все данные шифру-

ются. Исторически первый стандарт безопасности для Wi-Fi – протокол WEP

(Wired Equivalent Privacy или Wireless Encryption Protocol, протокол шифрования в

беспроводной связи) – предусматривает шифрование с помощью статичного клю-

ча, известного как пользователю, так и администратору точки доступа. К сожале-

нию, в практической реализации этого документа были найдены ошибки, которые

позволяют за короткое время (порядка нескольких часов) вычислить данный ключ.

Поэтому протоколы WEP, даже с увеличенной длиной ключа, не могут считаться

безопасными при создании корпоративной беспроводной сети.

ПРИМЕЧАНИЕ

Если примененные при создании беспроводной сети устройства не поддерживают но-

вых протоколов безопасности, то администраторы могут защитить передаваемую ин-

формацию путем создания виртуальных частных сетей (VPN) поверх беспроводных

каналов связи.

Новый стандарт безопасности WPA (Wi-Fi Protected Access) предусматривает как

использование динамических (изменяемых) ключей шифрования, так и аутентифи-

кацию пользователя при входе в беспроводную сеть. Проектируя беспроводной

сегмент сети, следует приобретать только устройства, удовлетворяющие данному

стандарту.

Аутентификация пользователей и устройств Wi-Fi

В беспроводных сетях применяются два способа проверки пользователей и уст-

ройств при их подключении. Первый – это проверка MAC-адресов устройств,

подключаемых к данной точке доступа. В этом случае администратор вручную

должен настроить для каждой точки доступа соответствующий список MAC-

адресов устройств, которым разрешено беспроводное подключение.

Способ не может считаться безопасным, поскольку МАС-адреса легко определяют-

ся при прослушивании беспроводного сегмента, а "подмена" MAC-адреса не пред-

ставляет никакой сложности даже для не совсем опытного пользователя.

Второй способ основан на протоколе двухточечного соединения с надежной аутен-

тификацией – EAP (Extensible Authentication Protocol). Для предприятий следует

рекомендовать аутентификацию на основе стандарта 802.1x с использованием сер-

вера RADIUS.

Наиболее безопасен способ, при котором для аутентификации вместо паролей ис-

пользуются сертификаты. Однако он требует наличия на предприятии настроенной

72

Глава 3

системы PKI (Public Key Infrastructure, инфраструктура открытых ключей)

(см. главу 9). Настройка беспроводных устройств для аутентификации с использо-

ванием сертификатов по протоколу 802.1x практически идентична примеру, опи-

санному в главе 9 в разд. «Настройка протокола 802.1х» . Единственное отличие

заключается в выборе шаблона политики, используемой на сервере RADIUS

(рис. 3.9).

Рис. 3.9. Создание политики RADIUS-сервера для беспроводной сети.

При создании политики удаленного доступа для сервера RADIUS

должен быть выбран шаблон Беспроводной доступ

ПРИМЕЧАНИЕ

При такой настройке клиенты, ранее не работавшие в составе домена, не могут быть

подключены к нему по беспроводной сети, поскольку на них не установлены необхо-

димые сертификаты. Вам следует либо заранее осуществить подсоединение компью-

тера к домену с помощью проводной сети, либо настроить особую политику для вре-

менного подключения гостевых записей (введя в этом случае временные ограничения

сессии в политике подключения сервера RADIUS). При краткосрочном подключении

к сети клиент получит сертификат и в дальнейшем будет работать в соответствии

с постоянной политикой беспроводного доступа.

Безопасность клиента

При подключении компьютера к публичной беспроводной сети следует принимать

те же меры безопасности, что и при работе в Интернете. Прежде всего следует обя-

зательно защитить подключение брандмауэром (например, встроенный брандмауэр

Windows – опция Защитить подключение к Интернету в свойствах беспровод-

ного подключения). Этим вы блокируете доступ к данным, хранимым на локальном

компьютере, из внешней сети.

Структура сети

73

Обратите внимание, что в целях безопасности необходимо в обязательном порядке

запретить допущенные разработчиком по умолчанию разрешения доступа к ком-

пьютеру извне (осуществляется через настройку брандмауэра отключением исклю-

чений, рис. 3.10).

Рис. 3.10. Настройка брандмауэра Windows.

В межсетевом экране Windows XP имеются так называемые исключения, предназначенные

для работы в локальной доверенной сети, которые позволяют подключиться к защищенному компьютеру

извне. Не нужно забывать, что в публичных сетях допущенные по умолчанию исключения

должны быть запрещены (выделено на рисунке)

Настройка транспортных протоколов

Протоколы

Сетевой протокол – это набор программно реализованных правил общения ком-

пьютеров, подключенных к сети. Практически это "язык", на котором компьютеры

разговаривают друг с другом. В настоящее время стандартом стало использование

только протокола TCP/IP. В предыдущих версиях Windows по умолчанию устанав-

ливалось несколько протоколов, обычно это NetBEUI, NWLink IPX/SPX, TCP/IP.

 NetBEUI.

Компактный и эффективный протокол для взаимодействия в малых сетях (до

200 компьютеров). Используется в самых разнообразных системах: Microsoft

LAN Manager, Windows 3.1/3.11 for Workgroups/95/98/NT 4.0, IBM PCLAN, LAN

74

Глава 3

Server и т. п. В Windows 2000 и старше применяется новая спецификация этого

протокола, которая получила название NetBIOS Frame Protocol (NBFP). NetBEUI

(NBFP) не требует никаких дополнительных настроек. Если нужно быстро соз-

дать сеть и вы не чувствуете себя уверенными в понимании дополнительных на-

строек, которых, например, требует протокол TCP/IP, то включите протокол

NBFP. Вы получите простую и весьма быстро функционирующую локальную

сеть.

 NWLink IPX/SPX.

Если в сети есть серверы Novell NetWare (в последних версиях Netware по умол-

чанию используется протокол TCP/IP), то этот протокол необходим для органи-

зации с ними связи. В противном случае данный протокол следует исключить из

числа используемых в системе.

 TCP/IP.

Основной рекомендуемый протокол как для больших сетей предприятий и ма-

лых офисов, так и для соединения домашних компьютеров в частную сеть.

В отличие от других протоколов требует ряда предварительных настроек.

ПРИМЕЧАНИЕ

Не следует использовать в сети больше служб и протоколов, чем требуется для нор-

мальной работы в конкретной ситуации. Во-первых, при этом будут непроизводитель-

но использоваться ресурсы компьютера. Во-вторых, любая дополнительная служба

и неиспользуемый протокол – это еще один "вход" в систему, который надо защи-

щать. Поэтому проще не предоставлять дополнительных возможностей хакерам, чем

постоянно следить за обнаруживаемыми в этих службах уязвимостями, устанавливать

необходимые обновления и т. п.

Модель OSI

С целью систематизации часто используется модель OSI (Open Systems Inter-

connection model, модель взаимодействия открытых систем), условно разбиваю-

щая сетевое взаимодействие на семь уровней (табл. 3.5).

Знание уровней OSI обычно требуется при сдаче тех или иных сертификационных

экзаменов, но на практике такое деление потеряло свое значение. Если первые три

уровня еще можно достаточно хорошо вычленить при анализе того или иного сете-

вого проекта, то классифицировать функциональность оборудования по остальным

уровням достаточно сложно. В маркетинговых целях часто указывают в описаниях

коммутаторов, что они работают, например, на уровне 4 или 7. На практике это оз-

начает только, что при реализации определенного функционала в коммутаторах

осуществляется анализ пакета данных по характеристикам, относящимся к соответ-

ствующим уровням. Например, это происходит при операциях маршрутизации

группового трафика (коммутатор анализирует пакет на принадлежность той или

иной программе), приоритезации пакетов и т. п.

Структура сети

75

Таблица 3.5. Модель OSI

Необходимое

Уровень

Назначение

Примеры

сетевое

OSI

оборудование

Application

Обеспечение служб сетевых Протоколы SMTP, HTTP,

–

(7)

приложений

FTP и т. п.

Presentation Службы кодирования и пре-

Стандарты кодирования

–

(6)

образования данных, исполь– изображений (GIF, JPEG,

зуемых на уровне приложе-

TIFF и т. п.), аудио

ний

и видео (MPEG) и т. п.

Session

Обеспечение коммуникаций

Session Control Protocol

–

(5)

между приложениями более

(SPC)

высокого уровня (согласова-

Remote Procedure Call

ние, поддержка, завершение Zone Information Protocol

сессий)

(AppleTalk)

Transport

Обеспечивает передачу дан-

TCP (используются

–

(4)

ных от одной точки до другой соединения)

UDP (передача данных без

создания соединения)

Network

Обеспечивает логическую

IP

Маршрутизаторы

(3)

структуру сети (сетевые ад-

Маршрутизирующие

реса)

коммутаторы

Data Link

Обеспечивает передачу дан-

Ethernet

Коммутаторы

(2)

ных по тем или иным физи-

Token Ring

Мосты

ческим каналам связи

FDDI

Point-to-Point Protocol

Frame Relay

Physical

Определяет физические,

LAN категории 3

Концентраторы

(1)

механические, электрические LAN категории 5

и другие параметры физиче-

ских каналов связи (напряже– V.35

ние, частота, максимальные

длины участков и т. п.)

Стек протоколов TCP/IP

Когда говорят о TCP/IP, то обычно подразумевают под этим именем множество

различных протоколов, использующих в своей основе TCP/IP. Существует большое

количество различных стандартов, которые определяют те или иные варианты

взаимодействия в сети с использованием протоколов TCP/IP.

Так, есть правила, по которым осуществляется обмен сообщениями между почто-

выми серверами, и есть правила, по которым конечные пользователи могут полу-

чать в свой ящик письма. Имеются правила для проведения широковещательных

видео– и аудиотрансляций, правила для организации телефонных переговоров по

Интернету. Существуют правила, которые определяют поведение участников пере-

дачи данных в случае возникновения ошибки и т. п.

76

Глава 3

Логично, что при разработке правил пересылки файла никто не создает новых ме-

ханизмов пересылки единичного пакета данных и что протокол пересылки файлов

основан на более простом протоколе передачи пакетов.

Поэтому принято говорить, что существуют уровни протокола IP, а на каждом

уровне – различные варианты специальных протоколов. Весь этот набор протоко-

лов называют стеком протоколов TCP/IP.

Протоколы UPD, TCP, ICMP

Для передачи данных используются протоколы TCP (Transmission Control Protocol,

протокол управления передачей данных) и UDP (User Datagram Protocol, протокол

пользовательских дейтаграмм). UDP применяется в тех случаях, когда не требуется

подтверждения приема (например, DNS-запросы, IP-телефония). Передача данных

по протоколу TCP предусматривает наличие подтверждений получения информа-

ции. Если передающая сторона не получит в установленные сроки необходимого

подтверждения, то данные будут переданы повторно. Поэтому протокол TCP отно-

сят к протоколам, предусматривающим соединение (connection oriented), а UDP —

нет (connection less).

Протокол Internet Control Message Protocol ( ICMP, протокол управляющих сообще-

ний Интернета) используется для передачи данных о параметрах сети. Он включает

такие типы пакетов, как ping, destination unreachable, TTL exceeded и т. д.

IPv6

Бурное развитие Интернета привело к тому, что параметры, заложенные при созда-

нии протоколов IP, стали сдерживать дальнейшее развитие глобальной сети. Так

появился протокол IPv6.

К основным особенностям IPv6 относятся:

 сохранение неизменными основных действующих принципов построения про-

токола IP;

 использование более длинных адресов (128-битные);

 применение встроенного 64-битного алгоритма шифрования;

 учет механизма резервирования пропускной способности протокола (ранее про-

блема решалась введением классов обслуживания);

 наличие больших возможностей дальнейшего расширения функций: строго опи-

сана только часть характеристик, остальные допускают дальнейшее развитие.

Протокол IPv6 устанавливается по умолчанию в новые версии операционных сис-

тем Windows и Linux, его поддержка включена в Windows XP (для включения не-

обходимо выполнить команду ipv6 install). Некоторые технологии, например

DirectAccess (рассматривается в главе 5), основаны на возможностях этого прото-

кола. Протокол IPv6 принят в качестве основного в некоторых странах (Китай).

В нашей стране пока не создана инфраструктура, поддерживающая данный прото-

кол. Поэтому в случае желания его использовать не только внутри сети организа-

Структура сети

77

ции, когда вся инфраструктура находится под контролем и управлением, нужно

учитывать все нюансы (например, система разрешения имен в DirectAccess по-

строена через сервер корпорации Microsoft).

Параметры TCP/IP-протокола

Здесь и далее мы будем рассматривать характеристики протокола IРv4.

IP-адрес

Каждый компьютер, работающий по протоколу TCP/IP, обязательно имеет IP-

адрес – 32-битное число, используемое для идентификации узла (компьютера)

в сети. Адрес принято записывать десятичными значениями каждого октета этого

числа с разделением полученных значений точками. Например: 192.168.101.36.

IP-адреса уникальны. Это значит, что каждый компьютер имеет свое сочетание

цифр, и в сети не может быть двух компьютеров с одинаковыми адресами. IP-

адреса распределяются централизованно. Интернет-провайдеры делают заявки в

национальные центры в соответствии со своими потребностями. Полученные про-

вайдерами диапазоны адресов распределяются далее между клиентами. Клиенты

сами могут выступать в роли интернет-провайдера и распределять полученные IP-

адреса между субклиентами и т. д. При таком способе распределения IP-адресов

компьютерная система точно знает "расположение" компьютера, имеющего уни-

кальный IP-адрес; ей достаточно переслать данные в сеть "владельца". Провайдер

в свою очередь проанализирует пункт назначения и, зная, кому отдана эта часть

адресов, отправит информацию следующему владельцу поддиапазона IP-адресов,

пока данные не поступят на компьютер назначения.

Для построения локальных сетей организаций выделены специальные диапазоны

адресов. Это адреса 10.х.х.х, 192.168.х.х, 10.х.х.х, с 172.16.х.х по 172.31.х.х,

169.254.х.х (под "х" подразумевается любое число от 0 до 254). Пакеты, передавае-

мые с указанных адресов, не маршрутизируются (иными словами, не пересылают-

ся) через Интернет, поэтому в различных локальных сетях компьютеры могут

иметь совпадающие адреса из указанных диапазонов. Такие адреса часто называют

серыми адресами.

Для пересылки информации с таких компьютеров в Интернет и обратно использу-

ются специальные программы, "на лету" заменяющие локальные адреса реальными

при работе с Интернетом. Иными словами, данные в Сеть пересылаются от реаль-

ного IP-адреса. Этот процесс происходит "незаметно" для пользователя. Такая тех-

нология называется трансляцией адресов и более подробно описана в главе 5.

Групповые адреса

Если данные должны быть переданы на несколько устройств (например, просмотр

видео с одной веб-камеры на различных компьютерах или одновременное развора-

чивание образа операционной системы на несколько систем), то уменьшить нагруз-

ку на сеть может использование групповых рассылок (IP Multicast Addressing).

78

Глава 3

Для этого компьютеру присваивается еще один IP-адрес из специального диапазо-

на: с 224.0.0.0 по 239.255.255.2551, причем диапазоны 224.0.0.0—224.0.0.255 и

239.0.0.0—239.255.255.255 не могут быть использованы в приложениях и предна-

значены для протоколов маршрутизации (например, адрес 224.0.0.1 принадлежит

всем системам сегмента сети; адрес 224.0.0.2 – всем маршрутизаторам сегмента

и т. д) и т. п. Назначение адресов групповой рассылки производится соответствую-

щим программным обеспечением.

Групповая рассылка поступает одновременно на все подключенные устройства.

В результате сетевой трафик может быть существенно снижен по сравнению с ва-

риантом передачи таких данных каждому устройству сети независимо.

По умолчанию рассылки передаются на все порты, даже если к ним не подключены

устройства, подписавшиеся на эту рассылку. Чтобы исключить такой паразитный

трафик, используются специальные возможности коммутаторов – поддержка

IGMP snoophing (прослушивание протокола IGMP), PIM DM/PIM SM (PIM-DM —

Protocol Independent Multicast Dense Mode и PIM-SM – Protocol Independent

Multicast Sparse Mode – протоколы маршрутизации многоадресных сообщений).

При включении и настройке этого функционала (поддерживается не всеми моделя-

ми оборудования) данные будут передаваться только на нужные порты.

Распределение IP-адресов сети малого офиса

В сетях предприятий обычно задействованы серые диапазоны IP-адресов. Часть

адресов закрепляется статически, часть – раздается динамически с помощью

DHCP (Dynamic Host Configuration Protocol, динамический протокол конфигурации

сервера).

Статические адреса закрепляются:

 за шлюзом, для которого обычно используют адрес xxx.xxx.xxx.1, но это тради-

ция, а не правило;

 за серверами DNS, DHCP, WINS;

 за контроллерами домена;

 за серверами сети (например, централизованные файловые ресурсы, почтовый

сервер и т. п.);

 за станциями печати, имеющими непосредственное подключение к сети;

 за управляемыми сетевыми устройствами (например, сетевыми переключателя-

ми, SNMP-управляемыми источниками аварийного питания и т. п.).

Рабочие станции традиционно используют динамические адреса. Удобно часть ди-

намических адресов выдавать для локального использования, а часть – для внеш-

них клиентов, "гостей" сети. Это позволит проще настраивать ограничения доступа

к внутренним ресурсам сети для сторонних систем.

1 Multicast-адрес присваивается динамически. Это делает соответствующая программа, использующая

многоадресную рассылку.

Структура сети

79

Для упрощения администрирования сети рекомендуется выработать план распре-

деления диапазона адресов, предусмотрев в нем некоторый запас для будущего

развития информационной системы.

Маска адреса

Понятие подсети введено, чтобы можно было выделить часть IP-адресов одной

организации, часть другой и т. д. Подсеть представляет собой диапазон IP-адресов,

которые считаются принадлежащими одной локальной сети. При работе в локаль-

ной сети информация пересылается непосредственно получателю. Если данные

предназначены компьютеру с IP-адресом, не принадлежащим локальной сети, то к

ним применяются специальные правила для вычисления маршрута пересылки из

одной сети в другую. Поэтому при использовании протокола TCP/IP важно знать,

к какой сети принадлежит получатель информации: к локальной или удаленной.

Маска адреса – это параметр, который «сообщает» программному обеспечению

о том, сколько компьютеров объединено в данную группу ("подсеть"). Маска адре-

са имеет такую же структуру, как и сам IP-адрес: это набор из четырех групп чисел,

каждое из которых может быть в диапазоне от 0 до 255. При этом чем меньше зна-

чение маски, тем больше компьютеров объединено в данную подсеть. Для сетей

небольших предприятий маска обычно имеет вид 255.255.255.х (например,

255.255.255.224). Маска сети присваивается компьютеру одновременно с IP-ад-

ресом.

Так, сеть 192.168.0.0 с маской 255.255.255.0 (иначе можно записать 192.168.0.0/241)

может содержать хосты с адресами от 192.168.0.1 до 192.168.0.254. Адрес

192.168.0.255 – это адрес широковещательной рассылки для данной сети. А сеть

192.168.0.0 с маской 255.255.255.128 (192.168.0.0/25) допускает адреса от

192.168.0.1 до 192.168.0.127 (адрес 192.168.0.128 используется при этом в качестве

широковещательного).

На практике сети с небольшим возможным числом хостов используются интернет-

провайдерами (с целью экономии IP-адресов). Например, клиенту может быть на-

значен адрес с маской 255.255.255.252. Такая подсеть содержит только два хоста.

При разбиении сети организации используют диапазоны локальных адресов сетей

класса С. Сеть класса С имеет маску адреса 255.255.255.0 и может содержать до 254

хостов. Применение сетей класса С при разбиении на подсети VLAN в условиях

предприятия связано с тем, что протоколы автоматической маршрутизации исполь-

зуют именно такие подсети.

При создании подсетей в организации рекомендуется придерживаться следующего

правила: подсети, относящиеся к определенному узлу распределения, должны вхо-

дить в одну сеть. Это упрощает таблицы маршрутизации и экономит ресурсы ком-

1 24 соответствует длине маски, используемой для адресации подсетей. Если записать маску

255.255.255.0 в двоичном виде, то получится последовательность из 24 единиц и 8 нулей. Маска

255.255.255.128 будет представлять собой последовательность из 25 единиц и 7 нулей. Поэтому ее

записывают также в виде /25 и т. д.

80

Глава 3

мутаторов. Например, если к данному коммутатору подключены подсети

192.168.0.0/255.255.255.0, 192.168.1.0/255.255.255.0, 192.168.3.0/255.255.255.0, то

другому коммутатору достаточно знать, что в этом направлении следует пересылать

пакеты для сети 192.168.0.0/255.255.252.0.

Эта рекомендация несущественна для сетей малых и средних организаций, по-

скольку ресурсов современных коммутаторов достаточно для хранения настроек

такого объема.

ПРИМЕЧАНИЕ

Хотя многие сертификационные экзамены содержат вопросы, так или иначе связан-

ные с разбиением на подсети (правильный подсчет маски сети, числа адресов и т. п.),

на практике проводить ручной подсчет вряд ли придется. Существует много онлайно-

вых ресурсов, которые предлагают различные варианты калькуляторов сетевых адре-

сов (Network Calculator), например

http://www.globalstrata.com/services/network/bscnetcalc.asp.

После того как компьютер получил IP-адрес и ему стало "известно" значение маски

подсети, программа может начать работу в данной локальной подсети. Чтобы об-

мениваться информацией с другими компьютерами в глобальной сети, необходимо

знать правила, куда пересылать информацию для внешней сети. Для этого служит

такая характеристика IP-протокола, как адрес шлюза.

Шлюз (Gateway, default gateway)

Шлюз (gateway) – это устройство (компьютер), которое обеспечивает пересылку

информации между различными IP-подсетями. Если программа определяет (по

IP-адресу и маске), что адрес назначения не входит в состав локальной подсети, то

она отправляет эти данные на устройство, выполняющее функции шлюза. В на-

стройках протокола указывают IP-адрес такого устройства.

Для работы только в локальной сети шлюз может не назначаться. Если для доступа

в Интернет используется прокси-сервер, то компьютерам локальной сети адрес

шлюза также может не назначаться.

Для индивидуальных пользователей, подключающихся к Интернету, или для не-

больших предприятий, имеющих единственный канал подключения, в системе

должен быть только один адрес шлюза – это адрес того устройства, которое имеет

подключение к Сети. При наличии нескольких маршрутов (путей пересылки дан-

ных в другие сети) будет существовать несколько шлюзов. В этом случае для опре-

деления пути передачи данных используется таблица маршрутизации.

Таблицы маршрутизации

Организация может иметь несколько точек подключения к Интернету (например,

в целях резервирования каналов передачи данных или использования более деше-

вых каналов и т. п.) или содержать в своей структуре несколько IP-сетей. В этом

случае, чтобы система "знала", каким путем (через какой шлюз) посылать ту или

иную информацию, используются таблицы маршрутизации (routing table). В таб-

лицах маршрутизации для каждого шлюза указывают те подсети Интернета, для

которых через них должна передаваться информация. При этом для нескольких

Структура сети

81

шлюзов можно задать одинаковые диапазоны назначения, но с разной стоимостью

передачи данных: информация будет отсылаться по каналу, имеющему самую низ-

кую стоимость, а в случае его выхода из строя по тем или иным причинам автома-

тически будет использоваться следующее наиболее "дешевое" подсоединение.

Таблицы маршрутизации имеются на каждом устройстве, использующем протокол

IP. Администраторы в основном работают с таблицами маршрутизации коммути-

рующего оборудования. Настройка таблиц маршрутизации компьютеров имеет

смысл только в случае наличия нескольких сетевых адаптеров, подключенных

к различным сегментам сети. Если у компьютера есть только одна сетевая карта

(одно подключение к Интернету), таблица маршрутизации имеет наиболее простой

вид: в ней записано, что все сигналы должны отправляться на шлюз, назначенный

по умолчанию (default gateway).

Просмотреть таблицу маршрутизации протокола TCP/IP можно при помощи ко-

манды route print для Windows или route – в Linux. С помощью команды route

можно также добавить новый статический маршрут (route add) или постоянный

маршрут – route add -p (маршрут сохраняется в настройках после перезагрузки

системы).

Покажем на примере, как можно использовать модификации таблицы маршрутиза-

ции. Предположим, что на Windows-компьютере имеются две сетевые карты, одна

из которых непосредственно подключена к Интернету (имеет реальный адрес), а

вторая используется для работы во внутренней сети (локальный адрес). Доступ

в Интернет осуществляется по умолчанию через шлюз в локальной сети. В этом

случае таблица маршрутизации, отображаемая по команде route print, выглядит

примерно так:

Активные маршруты:

Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика

0.0.0.0 0.0.0.0 192.168.0.4 192.168.0.29 1

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.0.0 255.255.255.0 192.168.0.29 192.168.0.29 1

192.168.0.29 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.0.255 255.255.255.255 192.168.0.29 192.168.0.29 1

195.161.192.0 255.255.255.224 195.161.192.2 195.161.192.2 1

195.161.192.2 255.255.255.255 127.0.0.1 127.0.0.1 1

195.161.192.255 255.255.255.255 195.161.192.2 195.161.192.2 1

224.0.0.0 240.0.0.0 192.168.0.29 192.168.0.29 1

224.0.0.0 240.0.0.0 195.161.192.2 195.161.192.2 1

255.255.255.255 255.255.255.255 192.168.0.29 192.168.0.29 1

255.255.255.255 255.255.255.255 195.161.192.2 195.161.192.2 1

Основной шлюз: 192.168.0.4

==================================

Постоянные маршруты: Отсутствует

Проверим путь прохождения пакетов на адрес Интернета, например 109.84.231.210,

с помощью команды tracert:

tracert 109.84.231.210 -d

82

Глава 3

Ключ -d в команде использован для ускорения операции, чтобы отключить запросы

DNS-имен тех хостов, через которые передается пакет данных.

В итоге получаем примерно такую картину (листинг ограничен первыми четырьмя

узлами):

Трассировка маршрута к 109.84.231.210 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.0.4

2 <1 мс <1 мс 1 ms 195.12.72.145

3 15 ms 1 ms 1 ms 195.12.75.245

4 40 ms 57 ms 41 ms 195.12.75.241

...

Предположим, что мы хотим изменить путь прохождения пакетов к выбранному

нами хосту, направив информацию через вторую сетевую карту (а не через шлюз

по умолчанию). Для этого с помощью команды route add нужно добавить желае-

мый нами маршрут:

route add 109.84.231.210 mask 255.255.255.255 195.161.192.2

В команде мы указали, что хотим назначить новый маршрут не для диапа-

зона адресов, а только для конкретного значения (поэтому маска —

255.255.255.255). Кроме того, явно указали адрес сетевого интерфейса, через кото-

рый нужно пересылать пакеты.

После выполнения данной команды (на экран система не выводит никаких итогов

операции) можно просмотреть новую таблицу маршрутизации:

Активные маршруты:

Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика

...

109.84.231.210 255.255.255.255 195.161.192.2 195.161.192.2 1

...

Основной шлюз: 192.168.0.4

==================================

Постоянные маршруты: Отсутствует

По сравнению с исходным вариантом таблица маршрутизации дополнилась одной

строкой, которая приведена в данном примере (остальные строки не изменились и

опущены для наглядности).

Проверяем новый путь прохождения сигналов:

Трассировка маршрута к 109.84.231.210 с максимальным числом прыжков 30

1 1 ms 1 ms 1 ms 195.161.192.1

2 23 ms 22 ms 23 ms 195.161.94.137

3 23 ms 23 ms 23 ms 195.161.94.5

...

Видно, что пакеты пересылаются уже через другой интерфейс.

Эти изменения маршрутизации действуют до перезагрузки системы или до подачи

обратной команды: удаления записей маршрутизации. Для восстановления пара-

Структура сети

83

метров маршрутизации достаточно подать команду, указав тот маршрут, который

требуется удалить:

route delete 109.84.231.210

Если подобные изменения необходимы постоянно, то следует использовать запуск

команды с ключом -p, после чего добавленный маршрут будет отображен также

в строке Постоянные маршруты. При этом обычно можно не указывать параметры

маски и интерфейса (если они однозначно определяются по вводимому в команде

адресу).

ПРИМЕЧАНИЕ

На практике автор встречался с ситуациями, когда изменение параметров маршрути-

зации в операционной системе Windows не сразу "отрабатывалось" корректно. Иногда

после операций над таблицей маршрутизации для достижения успеха нужно было

программно отключить и вновь включить тот сетевой интерфейс, для которого выпол-

нялась настройка.

Понимание правил маршрутизации важно не только при построении маршрутов в

Интернете, – задаче, которую вряд ли придется решать администраторам сетей

некрупных предприятий. На практике для выделения обособленных участков ло-