Str. 1 Ćwiczenie 6 TCP/IP w 2000 Server Cel ćwiczenia: Zapoznanie się z konfiguracją i zarządzaniem serwerem TCP/IP. Poznanie DHCP, DNS, routingu TCP/IP, NAT, filtrowania IP. Przed przystąpieniem do ćwiczenia uczeń powinien umieć: - poruszać się po systemie Windows 2000, - zarządzać kontami użytkowników i grup, - zarządzać zabezpieczeniami folderów i plików, - konfigurować sieć i protokół TCP/IP w Windows 2000, - instalować i konfigurować połączenia telefoniczne. Po wykonaniu ćwiczenia uczeń będzie umiał: - zainstalować i skonfigurować serwer DHCP, - zainstalować i skonfigurować serwer DNS, - skonfigurować routing w sieci, - udostępnić połączenie internetowe wykorzystując NAT, - zabezpieczyć serwer za pomocą filtrów IP. Uwagi o realizacji ćwiczenia: Ćwiczenie podzielone jest na rozdziały. Rozdział zbudowany jest z opisu teoretycznego omawiającego wybrane zagadnienie i zadania do wykonania. Zadania umieszczone są w ramkach. Po wykonaniu zadania uczeń zobowiązany jest do przeprowadzenia samooceny, korzystając z punktacji 1-5. Nauczyciel może skorygować ocenę ucznia. W czasie tego ćwiczenia uczniowie pracują na oddzielnych komputerach, przy czym dwie osoby korzystają z 3 komputerów. Dokładną konfigurację stanowisk przedstawiają rysunki 6.1 6.6. Przed przystąpieniem do ćwiczenia uczeń powinien odświeżyć swój komputer z obrazu Windows 2000 Server i dodatkowy komputer, pracujący jako stacja robocza, z obrazu Windows 2000 Professional. W czasie ćwiczenia uczeń ma do dyspozycji: płytę z obrazem Windows 2000 Server i Professional, płyty instalacyjne Small Business Server 2000.
Str. 2 G03 LAN CKP - Fast Ethernet Brama 10.0.10.100 DNS 212.160.198.2 G01 Koncentrator (Hub) - 5 portowy P5 P4 P3 P2 P1 G02 IP 10.0.10.3 IP 192.168.1.2 IP 10.0.10.1 IP 192.168.3.1 RS232 / COM1 IP 192.168.3.2 IP 192.168.1.1 RS232 / COM1 stanowisko 03 k309-03.srv03.ckp.pl k309-03.lan.srv03.ckp.pl Modem analogowy U.S.Robotics 56K IP 212.160.198.10x ip10x.ckp.pl stanowisko 02 k309-02.lan.srv01.ckp.pl k309-02.lan.srv03.ckp.pl IP 212.160.198.10x ip10x.ckp.pl Modem analogowy U.S.Robotics 56K stanowisko 01 k309-01.srv01.ckp.pl k309-01.lan.srv01.ckp.pl T02 T01 nr tel. 52 nr tel. 92 Internet nr tel. 91 nr tel. 51 Rys. 6.1 Konfiguracja stanowisk 1, 2, 3 G06 LAN CKP - Fast Ethernet Brama 10.0.10.100 DNS 212.160.198.2 G04 Koncentrator (Hub) - 5 portowy P5 P4 P3 P2 P1 G05 IP 10.0.10.6 IP 192.168.4.2 IP 10.0.10.4 IP 192.168.6.1 RS232 / COM1 IP 192.168.6.2 IP 192.168.4.1 RS232 / COM1 stanowisko 06 k309-06.srv06.ckp.pl k309-06.lan.srv06.ckp.pl Modem analogowy U.S.Robotics 56K IP 212.160.198.10x ip10x.ckp.pl stanowisko 05 k309-05.lan.srv04.ckp.pl k309-05.lan.srv06.ckp.pl IP 212.160.198.10x ip10x.ckp.pl Modem analogowy U.S.Robotics 56K stanowisko 04 k309-04.srv04.ckp.pl k309-04.lan.srv04.ckp.pl T04 T03 nr tel. 54 nr tel. 94 Internet nr tel. 93 nr tel. 53 Rys. 6.2 Konfiguracja stanowisk 4, 5, 6
Str. 3 G09 LAN CKP - Fast Ethernet Brama 10.0.10.100 DNS 212.160.198.2 G07 Koncentrator (Hub) - 5 portowy P5 P4 P3 P2 P1 G08 IP 10.0.10.9 IP 192.168.7.2 IP 10.0.10.7 IP 192.168.9.1 RS232 / COM1 IP 192.168.9.2 IP 192.168.7.1 RS232 / COM1 stanowisko 9 k309-09.srv09.ckp.pl k309-09.lan.srv09.ckp.pl T6 Modem ISDN AVM FRITZ!X PC IP 212.160.198.10x ip10x.ckp.pl stanowisko 8 k309-08.lan.srv07.ckp.pl k309-08.lan.srv09.ckp.pl IP 212.160.198.10x ip10x.ckp.pl Modem ISDN AVM FRITX!X PC stanowisko 7 k309-07.srv07.ckp.pl k309-07.lan.srv07.ckp.pl T5 nr tel. 21-24 nr tel. 96 Internet nr tel. 95 nr tel. 11-14 Rys. 6.3 Konfiguracja stanowisk 7, 8, 9 G12 LAN CKP - Fast Ethernet Brama 10.0.10.100 DNS 212.160.198.2 G10 Koncentrator (Hub) - 5 portowy P5 P4 P3 P2 P1 G11 IP 10.0.10.12 IP 192.168.10.1 IP 10.0.10.10 IP 192.168.12.1 RS232 / COM1 IP 192.168.12.2 IP 192.168.10.1 RS232 / COM1 stanowisko 12 k309-12.srv12.ckp.pl k309-12.lan.srv12.ckp.pl T08 Modem ISDN AVM FRITZ!X PC IP 212.160.198.10x ip10x.ckp.pl stanowisko 11 k309-11.lan.srv10.ckp.pl k309-11.lan.srv12.ckp.pl IP 212.160.198.10x ip10x.ckp.pl Modem ISDN AVM FRITX!X PC stanowisko 10 k309-10.srv10.ckp.pl k309-10.lan.srv10.ckp.pl T07 nr tel. 41-44 nr tel. 98 Internet nr tel. 97 nr tel. 31-34 Rys. 6.4 Konfiguracja stanowisk 10, 11, 12
Str. 4 G15 LAN CKP - Fast Ethernet Brama 10.0.10.100 DNS 212.160.198.2 G13 Koncentrator (Hub) - 5 portowy P5 P4 P3 P2 P1 G14 IP 10.0.10.15 IP 192.168.13.2 IP 10.0.10.13 IP 192.168.15.1 RS232 / COM1 IP 192.168.15.2 IP 192.168.13.1 RS232 / COM1 stanowisko 15 k309-15.srv15.ckp.pl k309-15.lan.srv15.ckp.pl Terminal HiS IP 212.160.198.110 ip110.ckp.pl stanowisko 14 k309-14.lan.srv13.ckp.pl k309-14.lan.srv15.ckp.pl IP 212.160.198.109 ip109.ckp.pl Terminal HiS stanowisko 13 k309-13.srv13.ckp.pl k309-13.lan.srv13.ckp.pl T10 T09 Internet Rys. 6.5 Konfiguracja stanowisk 13, 14, 15 G18 LAN CKP - Fast Ethernet Brama 10.0.10.100 DNS 212.160.198.2 G16 Koncentrator (Hub) - 4 portowy P5 P4 P3 P2 P1 G17 IP 10.0.10.18 IP 192.168.16.2 IP 10.0.10.16 IP 192.168.18.1 RS232 / COM1 IP 192.168.18.2 IP 192.168.16.1 RS232 / COM1 stanowisko 18 k309-18.srv18.ckp.pl k309-18.lan.srv18.ckp.pl Terminal HiS IP 212.160.198.112 ip112.ckp.pl stanowisko 17 k309-17.lan.srv16.ckp.pl k309-17.lan.srv18.ckp.pl IP 212.160.198.111 ip111.ckp.pl Terminal HiS stanowisko 16 k309-16.srv16.ckp.pl k309-16.lan.srv16.ckp.pl T12 T11 Internet Rys. 6.6 Konfiguracja stanowisk 16, 17, 18
Str. 5 6.1 Konfiguracja protokołu TCP/IP W Windows 2000 Server podstawowe parametry protokołu TCP/IP konfiguruje się identycznie jak w Windows 2000 Professional. Zadanie 6.1 Konfiguracja TCP/IP pod ćwiczenie - serwer 1. W sali 309 zmień nazwę połączenia: Połączenie lokalne na Internet i Połączenie lokalne 2 na LAN. 2. W sali 111 zmień nazwę połączenia: Połączenie lokalne 2 na Internet i Połączenie lokalne na LAN. 3. Połączeniu Internet przypisz: - adres IP - 10.0.1.xx, gdzie xx to numer twojego serwera, - maskę - 255.255.255.0, - bramę domyślną - 10.0.1.100, - sufiks DNS - srvxx-111.ckp.pl, gdzie xx to numer twojego serwera np.01, - wyłącz opcję - Zarejestruj adres tego połączenia w DNS. 4. Połączeniu LAN przypisz: - adres IP - 192.168.xx.1, gdzie xx to numer twojego serwera, - maskę - 255.255.255.0, - sufiks DNS - lan.srvxx-111.ckp.pl, gdzie xx to numer twojego serwera np. 01, - pozostaw załączoną opcję - Zarejestruj adres tego połączenia w DNS. 5. Wprowadź zmiany w identyfikacji sieciowej: - ustaw nazwę komputera na k111-xx, gdzie xx to numer twojego serwera np. 01, - ustaw sufiks podstawowej domeny DNS lan.srvxx-111.ckp.pl, gdzie xx to numer twojego serwera np. 01, - ustaw grupę roboczą SRVXX-111, gdzie xx to numer twojego serwera np. 01. 6.2 DHCP - Dynamic Host Configuration Protocol 6.2.a Wstęp Dynamic Host Configuration Protocol (DHCP) jest protokołem umożliwiającym automatyczną konfigurację IP komputerów. Odpowiednio skonfigurowana usługa na serwerze Windows 2000 może znacznie uprościć zarządzanie stacjami roboczymi, pracującymi w sieci TCP/IP. Klienci DHCP mogą otrzymać adres IP z maską, a także wiele innych opcjonalnych parametrów protokołu TCP/IP, jak: adres bramy, adres serwera DNS czy WINS. Stacja robocza, z załączoną funkcją automatycznego uzyskania adresu IP, prosi serwer DHCP o parametry IP. Serwer, po otrzymaniu żądania, dzierżawi na określony czas adres IP z puli. W sieciach, w których pracują stacjonarne komputery, dzierżawę ustala się na kilka, kilkanaście dni. Zapobiega to blokowaniu adresów, w przypadku wymiany karty sieciowej. Po wygaśnięciu dzierżawy, adres wraca do puli. Proces dzierżawy składa się z czterech kroków: DHCPDISCOVER na początku procesu dzierżawy klient inicjuje ograniczoną wersję protokołu TCP/IP i emituje komunikat z żądaniem lokalizacji serwera DHCP i adresu IP. Ponieważ klient nie ma własnego adresu IP i nie zna także adresu serwera, dlatego w komunikacie DHCPDISCOVER jako adres źródłowy wykorzystany jest 0.0.0.0, a jako docelowy 255.255.255.255. DHCPDISCOVER zawiera także adres sprzętowy (MAC) klienta i nazwę komputera, dzięki czemu serwer DHCP może określić, który klient wysłał żądanie.
Str. 6 DHCPOFFER wszystkie serwery DHCP, które odebrały żądanie, emitują komunikat DHCPOFFER zawierający: sprzętowy adres klienta, oferowany adres IP, maskę podsieci, długość trwania dzierżawy, adres serwera oferującego. Serwery DHCP wysyłają komunikat emisji (broadcast), ponieważ klient nie posiada jeszcze adresu IP. DHCPREQUEST po odebraniu DHCPOFFER, klient wybiera pierwszą ofertę i emituje komunikat DHCPREQUEST do wszystkich serwerów DHCP, informujący o zaakceptowaniu oferty. Komunikat ten zawiera adres IP serwera, którego oferta została zaakceptowana, pozostałe serwery odwołują ofertę i przenoszą oferowany adres z powrotem do puli. DHCPACK serwer DHCP, który nadał zaakceptowaną ofertę, wysyła potwierdzenie komunikatem DHCPACK. Zawiera on prawidłową dzierżawę adresu IP i inne informacje konfiguracyjne. Stacja robocza, konfigurowana przez DHCP, w połowie czasu dzierżawy, wysyła komunikat DHCPPREQUEST do serwera, który wydzierżawił adres, z prośbą o odnowienie dzierżawy wykorzystywanego adresu. Jeżeli adres jest dostępny, serwer wysyła DHCPACK z nowym terminem dzierżawy i uaktualnionymi parametrami konfiguracyjnymi. Jeżeli klient stara się wydzierżawić swój poprzedni adres IP, a jest on zajęty lub komputer został przeniesiony do innej podsieci, wówczas serwer wysyła komunikat DHCPNACK. Jeżeli serwer jest niedostępny przy odnowieniu dzierżawy, wówczas po upływie 87,5 procent czasu dzierżawy, klient emituje DHCPPREQUEST do dowolnego dostępnego serwera DHCP. Serwery DHCP mogą przedłużyć dzierżawę, wysyłając DHCPACK lub zmusić klienta do ponownego inicjowania dzierżawy komunikatem DHCPNACK. Po upływie czasu dzierżawy, klient musi natychmiast zaprzestać korzystania z adresu IP i ponowić proces dzierżawy. W systemie Windows 2000, poleceniem ipconfig można odnowić dzierżawę, korzystając z przełącznika /renew. System wysyła wówczas komunikat DHCPPREQUEST. Można także za pomocą przełącznika /release zwolnić dzierżawę, wysyłany jest wówczas komunikat DHCPRELEASE. 6.2.b Instalacja usługi DHCP i uruchomienie przystawki DHCP Przed instalacją, karcie sieciowej serwera, należy przypisać statyczny adres IP z maską podsieci (opcjonalnie bramą i DNS). Usługę DHCP instaluje się przez wybór z narzędzia Dodaj/Usuń programy opcji Dodaj/Usuń składniki systemu Windows. Protokół dynamicznej konfiguracji hosta znajduje się w Usługach sieciowych. Po zainstalowaniu w Narzędziach administracyjnych, pojawi się skrót do przystawki DHCP, za pomocą której można zarządzać serwerem DHCP. 6.2.c Tworzenie zakresu DHCP Serwer DHCP dzierżawi adresy z puli, określonego zakresu. Zakres można zdefiniować, przez kliknięcie prawym przyciskiem myszy na nazwie serwera i wybraniu Nowy zakres. Zostanie uruchomiony w ten sposób kreator, który przeprowadzi użytkownika przez konfigurację.
Str. 7 1. Na wstępie należy podać nazwę i opcjonalny opis. Posłużą one do identyfikacji zakresu. 2. Kolejny krok, to określenie początkowego i końcowego adresu IP dla zakresu. Zazwyczaj zakres obejmuje wszystkie adresy podsieci, z których wyklucza się adresy definiowane statycznie. W tym kroku należy podać także maskę podsieci. 3. Następne okno, to podanie adresów wykluczenia. Można określić jeden adres lub zdefiniować przedział podając adres początkowy i końcowy. Adresy wykluczenia powinny obejmować wszystkie adresy przydzielone statycznie danej podsieci. Rys. 6.7 Dodanie nowego zakresu 4. Kolejne okno, to podanie czasu dzierżawy. 5. Serwer DHCP, oprócz przydzielania adresów z puli, może przydzielać inne parametry protokołu TCP/IP takie, jak: adres bramy domyślnej, nazwę domeny i adres serwera DNS. W celu określenia opcjonalnych parametrów, w oknie kreatora, należy wybrać Tak, chcę teraz skonfigurować te opcje i w kolejnych oknach podać odpowiednie dane. 6. Na koniec działania kreatora padnie pytanie: Czy chcesz uaktywnić zakres. Zadanie 6.2.a Instalacja i konfiguracja DHCP 1. Wyłącz połączenie Internet i LAN (w sieci nie mogą działać dwa serwery DHCP na systemie Windows 2000, bez autoryzacji w domenie Active Directory). 2. Zainstaluj usługę DHCP na serwerze. 3. Utwórz zakres dzierżawy, podając: - nazwę lan xx, gdzie xx oznacza numer twojego komputera, - opis dowolny, - zakres dzierżawy 192.168.xx.10 192.168.xx.20, - wyklucz adres 192.168.xx.19, - czas dzierżawy ustaw na 8 dni, - adres bramy domyślnej - bramą będzie twój serwer, - domenę nadrzędną - nazwa twojej domeny lokalnej (lan.srvxx-111.ckp.pl), - serwer DNS DNS będzie działać na twoim serwerze, - WINS w czasie działania kreatora nie ustawiaj WINS. 3. Uaktywnij zakres. UWAGA: poniższe ćwiczenia wykonaj na zmianę z sąsiadem, pracującym w twojej małej sieci lokalnej. W czasie ćwiczenia na jednym z komputerów musi być wyłączone połączenie LAN.
Str. 8 4. Sprawdź na stacji roboczej, czy twój serwer DHCP dostarcza dzierżawę IP. Wykorzystaj polecenie ipconfig /renew. 5. Przeglądnij dzierżawę adresów na serwerze DHCP. 6.2.d Konfigurowanie zakresu DHCP W serwerze DHCP istnieją przy poziomy definiowania opcji: - dla serwera prawy przycisk na Opcje serwera i wybór Konfiguruj opcje, - dla zakresu prawy przycisk na Opcje zakresu i wybór Konfiguruj opcje, - dla klienta prawy przycisk na zastrzeżeniu określonego klienta i wybór Konfiguruj opcje. Do najczęściej definiowanych opcji należą: Router 003 adres bramy domyślnej, Serwer DNS 006 adres serwera DNS, Nazwa domeny 015 nazwa domeny dla połączenia, Serwer WINS 044 adres serwera WINS, Typ węzła WINS 046 o B-węzeł (1) - korzysta z rozgłoszeń. o P-węzeł (2) - korzysta z komunikacji typu punkt-punkt z serwerem NetBIOS - WINS. o M-węzeł (4) - korzysta najpierw z rozgłoszeń (b-węzeł), a następnie, jeżeli nie otrzyma odpowiedzi, ze skierowanych zapytań (p-węzeł). o H-węzeł (8) - korzysta najpierw z zapytań (p-węzeł), a następnie jeżeli serwer nazw jest niedostępny lub nazwa nie jest zarejestrowana w bazie danych WINS, z rozgłoszeń. Zadanie 6.2.b Konfiguracja DHCP konfigurowanie zakresu 1. Ustaw dla zakresu Typ węzła WINS na 0x8. 2. Ustaw dla zakresu adres serwera WINS na adres lokalny twojego serwera. UWAGA: poniższe ćwiczenia wykonaj na zmianę z sąsiadem, pracującym w twojej małej sieci lokalnej. W czasie ćwiczenia na jednym z komputerów musi być wyłączone połączenie LAN. 3. Odnów dzierżawę na stacji roboczej. 4. Sprawdź, czy klient otrzymał nowe parametry. 6.2.e Superzakresy Superzakres pozwala serwerowi DHCP dzierżawić w jednej sieci fizycznej adresy z kilku zakresów. Superzakres będzie pomocny, jeżeli w jednej sieci fizycznej znajduje się kilka podsieci. Można go także wykorzystać, gdy w sieci ma działać kilka serwerów DHCP obsługujących różne podsieci. W takiej sytuacji zakresy obsługiwane przez jeden serwer, powinny zostać zdefiniowane w drugim serwerze, z wykluczeniem wszystkich adresów. Niestety serwery DHCP nie potrafią współdziałać ze sobą. Superzakres można określić po zdefiniowaniu zakresów. Wystarczy kliknąć prawym przyciskiem myszy na nazwie serwera i z menu podręcznego wybrać Nowy superzakres. Zadanie 6.2.c Konfiguracja DHCP - superzakres 1. Utwórz zakres dla podsieci obsługiwanej przez drugi serwer twojej sieci lokalnej. Wyklucz z niego wszystkie adresy. 2. Utwórz superzakres ze zdefiniowanych zakresów.
Str. 9 6.2.f Konfigurowanie zastrzeżeń klienta Administrator, aby mieć pełną kontrolę nad adresami komputerów swojej sieci, może na serwerze DHCP zastrzec numery dla konkretnych kart sieciowych. Wystarczy na gałęzi Zastrzeżenia określonego zakresu, kliknąć prawym przyciskiem myszy i wybrać Nowe zastrzeżenie. W oknie należy podać nazwę zastrzeżenia (np. nazwę komputera), adres IP i adres MAC, jako jeden ciąg znaków, bez myślników. Rys. 6.8 Nowe zastrzeżenie Jeżeli w jednej sieci fizycznej ma pracować kilka serwerów DHCP, obsługujących różne podsieci, najlepiej zastrzec wszystkie adresy, a pozostałe wolne wykluczyć. Zadanie 6.2.d Konfiguracja DHCP - zastrzeżenia 1. Zdefiniuj zastrzeżenie dla jednej z kart sieciowych stacji roboczej, na 192.168.x.21. 2. Pozostałe adresy wyklucz. UWAGA: poniższe ćwiczenia wykonaj na zmianę z sąsiadem, pracującym w twojej małej sieci lokalnej. W czasie ćwiczenia na jednym z komputerów musi być wyłączone połączenie LAN. 3. Zwolnij i odnów dzierżawę na stacji roboczej. 4. Sprawdź, czy klient otrzymał nowe adresy. 6.2.g Autoryzowanie serwera DHCP Jeżeli w sieci fizycznej mają pracować dwa lub więcej serwery DHCP na Windows 2000, wymagana jest autoryzacja w Active Directory. Autoryzacja jest środkiem zabezpieczającym przez uruchomieniem dodatkowego serwera DHCP, który mógłby wprowadzić spore zamieszanie w działaniu sieci. Autoryzować mogą się jedynie serwery podłączone do Active Directory. Aby dokonać autoryzacji serwera DHCP w Active Directory, należy w przystawce DHCP, z menu Akcja, wybrać Zarządzaj autoryzowanymi serwerami. Następnie, po wybraniu Autoryzuj, podać adres serwera DHCP. 6.2.h Kopia zapasowa i dziennik System Windows tworzy kopię zapasową bazy DHCP co 60 minut. Przechowuje ją w katalogu <%SystemRoot%\System32\DHCP\Backup\Jet\new>. Jeżeli przy starcie serwer DHCP stwierdzi uszkodzenie, automatycznie odtwarza bazę. Bazę można także ręcznie odtworzyć, przez skopiowanie plików z katalogu..\dhcp\backup\jet\new do..\dhcp. Serwer DHCP tworzy pliki dziennika. Umożliwiają one przeanalizowanie działania serwera DHCP. Pliki te domyślnie znajdują się w <%SystemRoot%\System32\DHCP>.
Str. 10 6.3 DNS Domain Name System 6.3.a Wstęp DNS jest rozproszoną bazą danych, używaną w sieciach TCP/IP do tłumaczenia nazw komputerów na ich adresy IP. DNS wykorzystywany jest przede wszystkim w Internecie, ale także sieci prywatne (intranety) często korzystają z DNS. W Windows 2000 DNS jest podstawowym systemem rozpoznawania nazw, a usługa Active Directory Windows 2000 Server jest ściśle powiązana z DNS. DNS tworzy hierarchiczną strukturę przypominającą odwrócone drzewo. Każdy węzeł w drzewie DNS może być identyfikowany przez pełną nazwę domeny (FQDN, Full Qualified Domain Name). Składa się ona z nazw domen węzłów rozdzielanych znakiem kropki. Z prawej strony znajduje się domena najwyższego poziomu np. pracownia111.ckp.pl. Nazwy domen mogą składać się ze znaków a-z, A-Z, 0-9, (-) (maksymalnie 63, FQDN to maksymalnie 255 znaków, nie jest rozróżniana wielkość liter). Na samej górze znajduje się domena katalogu głównego oznaczana znakiem. Internetowa domena katalogu głównego zarządzana jest przez kilka organizacji, w tym Network Solutions Inc. Pod domeną katalogu głównego znajduje się domena najwyższego poziomu, zwana domeną pierwszego poziomu. Istnieją trzy rodzaje domen wysokiego poziomu: Domeny organizacji - są skrótami typu organizacji np. com komercyjne, edu edukacyjne, gov rządowe, org niekomercyjne, int międzynarodowe, mil wojskowe, net operatorów sieciowych. Domeny organizacyjne najwyższego poziomu dotyczą organizacji znajdujących się w Stanach Zjednoczonych lub o zasięgu ogólnoświatowym. Domeny geograficzne - są dwuliterowymi skrótami państw np. pl to Polska, ru Rosja, de Niemcy, uk Wielka Brytania. Tylko Stany Zjednoczone nie korzystają z domeny geograficznej pierwszego poziomu. Domena wsteczna - in-addr.arpa jest specjalnym typem domeny używanym do odwzorowywania adresów IP na nazwy, nazywanym odwzorowaniem wstecznym.. com de pl intel amd intel sony ckp wroc www www pwr www.intel.com support products www ftp www www.ckp.pl www.pwr.wroc.pl Rys. 6.9 Hierarchiczna struktura domen
Str. 11 Pod domeną najwyższego poziomu znajduje się domena drugiego poziomu. Jeżeli pierwszym poziomem jest domena geograficzna, wówczas drugi poziom tworzy domena organizacji lub domena regionalna np. wroc Wrocław, waw Warszawa. W tej sytuacji drugi poziom nie jest jednak obowiązkowy. Domenę można zarejestrować u operatora wybranej domeny pierwszego lub drugiego poziomu. W Polsce za obsługę domeny pl odpowiedzialny jest NASK (Naukowa Akademicka Sieć Komputerowa), a za obsługę domeny wroc.pl WCSS (Wrocławskie Centrum Sieciowo-Superkomputerowe przy Politechnice Wrocławskiej). W domenie mogą znajdować się nazwy hostów, odnoszące się do konkretnych komputerów lub inne domeny, zwane poddomenami. Podczas zarządzania systemem DNS korzysta się ze stref. Strefa jest częścią obszaru nazw domeny zakotwiczoną w konkretnym węźle domeny, w przeciwieństwie do domeny, którą jest cała gałąź domeny. Domena może zostać podzielona na wiele części (strefy) każda z nich może być zarządzana przez inny serwer DNS. Oprócz strefy podstawowej istnieje strefa pomocnicza stanowiąca kopie strefy z serwera głównego. Dla każdej domeny tylko jeden serwer DNS może zarządzać strefą podstawową. Natomiast strefa zapasowa może znajdować się na wielu serwerach. Jeden serwer DNS może przechowywać bazę wielu stref podstawowych i pomocniczych. Strefa musi posiadać przynajmniej jeden serwer podstawowy i zapasowy. Poniższy rysunek przedstawia domenę ckp.pl i podział na strefy wykorzystywane podczas tego ćwiczenia. pl ckp ezn strefa ckp.pl www srv01 strefa srv01.ckp.pl srv02 strefa srv02.ckp.pl srv03 strefa srv03.ckp.pl Rys. 6.10 Podział na strefy domeny ckp.pl Zapytania do serwera DNS nazywane są kwerendami. DNS może rozwiązywać kwerendy wyszukiwania do przodu, odwzorowujące nazwę na adres IP i kwerendy wyszukiwania wstecznego, odwzorowujące adres IP na nazwę. Klient wysyła kwerendę do swojego serwera DNS. Jeżeli pytanie dotyczy stref zarządzanych przez dany serwer, to uzyskuje natychmiast odpowiedź. W przeciwnym wypadku, jego zapytanie kierowane jest do innych serwerów DNS, wg hierarchii domeny, zaczynając od serwera katalogu głównego. Serwer DNS buforuje wszystkie kwerendy, zanim wyśle zapytanie do innego serwera, sprawdza czy odpowiedzi nie ma w buforze.
Str. 12 Dla rozwiązywania zapytań wstecznych, została utworzona specjalna domena in-addr.arpa. Wykorzystuje ona także hierarchiczny system nazewniczy, ale w połączeniu z adresami IP zapisywanymi od końca w notacji kropkowo dziesiętnej, np. dla klasy C 212.160.198.x domena odwrotna to 198.160.212.in-addr.arpa. Organizacje administrują subdomenami, w oparciu o przyznane im adres IP i maskę podsieci. Odwrotną domenę można stworzyć zatem dla podsieci przynajmniej 256 adresów. Często jednak ISP przydziela mniejszą ilość adresów, wówczas to ISP jest odpowiedzialny za administrowanie domeną odwrotną. W takiej sytuacji można stworzyć bezklasową strefę odwrotną, jednak nie wszyscy ISP zezwalają na delegowanie strefy bezklasowej. 6.3.b Rekordy zasobów i strefy Pliki stref w serwerze DNS zbudowane są z rekordów, które wiążą informacje o zasobach z nazwami domen DNS. Rekordy zasobów mają następującą składnię: Właściciel wskazuje nazwę domeny DNS, która jest właścicielem rekordu zasobu. Znak <@> oznacza nazwę strefy. Czas wygasania TTL 32-bitowa liczba całkowita, reprezentująca w sekundach czas, przez jaki serwer lub przelicznik (lokalny bufor) ma przechowywać dany rekord w buforze, zanim go odrzuci. Pole to jest opcjonalne i jeśli nie jest określone, to klient decyduje o minimalnym czasie. Klasa określa używaną rodzinę protokołów. Dla Internetu jest to IN. Typ określa typ rekordu. Dane specyficzne dane rekordu zasobu. Typ zależy od przechowywanych informacji. System DNS korzysta z kilku typów rekordów: SOA znajduje się na początku każdej strefy. Jest rekordem adresu startowego. Posiada złożone pole danych. Znajduje się w nim: - Serwer autorytatywny podstawowy serwer DNS dla strefy, - Osoba odpowiedzialna zawiera adres e-mail administratora odpowiedzialnego za strefę. UWAGA: zamiast znaku <@> występuje <.> - Numer seryjny zawiera informacje o aktualizacji strefy, zazwyczaj podaje się w formacie rrrrmmddnn, gdzie rrrr to rok, mm miesiąc, dd dzień, nn numer aktualizacji w dniu. Po każdej zmianie strefy, numer seryjny powinien być aktualizowany. Serwer pomocniczy, na postawie numeru, określa konieczność transferu strefy z serwera głównego. - Interwał odświeżania określa w sekundach, jak często serwer pomocniczy ma sprawdzać, czy strefa została zaktualizowana. Zazwyczaj ustawiany na 8 godz. 28800 sek. - Interwał ponawiania określa jak długo po wysłaniu żądania transferu stref serwer pomocniczy ma czekać na odpowiedź serwera głównego, zanim wyśle powtórzenie żądania. Zazwyczaj ustawiany na 1 godz. 3600 sek. - Interwał wygasania określa jak długo, po ostatnim transferze stref serwer, pomocniczy odpowiada na zapytania dotyczące danej strefy, zanim uzna ją za nieważną. Zazwyczaj ustawiany na 1 tydzień 604800 sek. - Minimalny TTL minimalny TTL dla wszystkich rekordów strefy, które nie mają własnego pola TTL. Zazwyczaj ustawiany na kilka, kilkanaście godzin. 24 godz. 86400 sek.
Str. 13 Przykładowy rekord SOA: @ IN SOA (k111-01.srv01.ckp.pl. ; serwer strefy administrator.k111-01.srv01.ckp.pl. ;e-mail administratora strefy 2002051501 ; numer seryjny 28800 ; interwał odświeżania 3600 ; interwał ponawiania 604800 ; interwał wygasania 86400 ; domyślny TTL ) UWAGA: nazwy domen w pliku strefy muszą zawierać kropkę katalogu głównego, np. k111-01.srv01.ckp.pl. NS - serwer nazw. Rekordy NS określają serwer podstawowy i pomocniczy dla strefy. Każda strefa musi zawierać przynajmniej jeden rekord NS. Wskazują także delegowanie określonej strefy na inny serwer. Przykładowe rekordy NS: @ IN NS k111-01.srv01.ckp.pl. ; serwer strefy poddomena IN NS k111-01.srv01.ckp.pl. ; delegacja domeny A adres hosta, odwzorowuje pełną nazwę domeny na adres IP. Przykładowy rekord A: k111-01 IN A 10.0.1.1 PTR odwzorowuje adres IP na nazwę. Wykorzystywany w strefach odwrotnych. Przykładowy rekord PTR dla strefy 10.0.1.in-addr.arpa. 1 IN PTR k111-01.srv01.ckp.pl. CNAME tworzy nazwę kanoniczną (alias) dla podanej nazwy FQDN. Dzięki rekordowi CNAME można tworzyć wirtualne serwery. Wiele nazw skojarzonych z jednym adresem IP. Przykładowe rekordy CNAME: www IN CNAME k111-01.srv01.ckp.pl. ftp IN CNAME k111-01.srv01.ckp.pl. MX określa serwer poczty dla nazwy domeny. Aby serwer pocztowy mógł działać, musi mieć zdefiniowany rekord MX. Domena może korzystać z kilku serwerów pocztowych. Wówczas, po typie rekordu, należy podać priorytet. Preferowane są serwery z niższym priorytetem. Jeżeli będzie niedostępny serwer z najniższym priorytetem, wówczas wykorzystywany jest serwer z wyższym priorytetem. Przykładowe rekordy MX: srv01.ckp.pl IN MX 0 k111-01.srv01.ckp.pl. srv01.ckp.pl IN MX 10 k111-01a.srv01.ckp.pl. SRV umożliwia lokalizację innych usług w domenie. Korzysta z niego usługa Active Directory do lokalizacji serwera domeny. TXT tekst opisowy dla domeny
Str. 14 6.3.c Instalowanie usługi DNS Przed instalacją, serwer musi mieć skonfigurowany statyczny adres IP i ustawienia DNS tak, aby wskazywały z powrotem na serwer. Serwer DNS jest usługą sieciową i można zainstalować ją przez Dodaj/Usuń programy -> Dodaj/Usuń składniki systemu Windows -> Usługi sieciowe -> System DNS. Po instalacji, folder <%SystemRoot%\System32\DNS> zawierać będzie pliki bazy danych DNS. W Narzędziach administracyjnych pojawi się skrót do przystawki DNS, za pomocą której można konfigurować serwer. Rys. 6.11 Przystawka DNS 6.3.d Tworzenie stref i rekordów Aby usługa DNS mogła działać na serwerze, należy utworzyć przynajmniej jedną strefę wyszukiwania do przodu. Aby utworzyć nową strefę, należy wskazać nazwę serwera i po kliknięciu prawym przyciskiem myszy wybrać Nowa strefa. Wywołany zostanie w ten sposób kreator, który szybko przeprowadzi przez proces konfiguracji. 1. Na początku należy określić Typ strefy. Dostępna jest Podstawowa standardowa. Przy korzystaniu z Active Directory można wybrać Zintegrowana usługa AD. Jeżeli serwer DNS ma być serwerem pomocniczym wówczas Pomocnicza standardowa. 2. Następnie należy określić, czy kreator ma stworzyć strefę wyszukiwania do przodu, czy wyszukiwania wstecznego. 3. Kolejne okno, to podanie nazwy strefy, np. srvxx-111.ckp.pl 4. W ostatnim kroku należy określić nazwę pliku strefy. Domyślna nazwa pliku, to nazwa strefy z rozszerzeniem dns. Kreator tworzy strefę z rekordami SOA i NS. Rekordy te można modyfikować przez wybranie Właściwości danej strefy. Rekordy A i CNAME można zdefiniować przez wybór Nowy host lub Nowy alias z menu podręcznego danej strefy. Natomiast rekord MX za pomocą opcji Nowa usługa wymiany poczty. Inne rekordy definiuje się, po wybraniu Inne nowe rekordy. Jeżeli zachodzi potrzeba utworzenia poddomeny, wówczas należy wybrać opcję Nowa domena. Dla delegacji należy wybrać Nowe pełnomocnictwo.
Str. 15 Rys. 6.12 Modyfikacja rekordów SOA i NS Rys. 6.13 Dodanie nowych rekordów A i CNAME 6.3.e Nslookup W systemie Windows 2000 znajduje się narzędzie diagnostyczne dla usług DNS. Jest nim program nslookup. Program ten może pracować w trybie interakcyjnym i nieinterkacyjnym (wywołanie programu z parametrami). Poniżej znajduje się lista najważniejszych poleceń trybu interakcyjnego: nazwa - drukuje informacje o hoście/domenie nazwa, używając serwera domyślnego, help lub? - drukuje informacje o najczęściej używanych poleceniach, set type=x lub set querytype=x - ustawia typ kwerendy na określony rekord, all oznacza wszystkie,
Str. 16 server nazwa - ustawia domyślny serwer na nazwa, używając bieżącego serwera domyślnego, ls [opt] domena [> plik] - wyświetla adresy w domenie (opcjonalnie: kieruje wyniki do pliku) a (wyświetla kanoniczne nazwy i aliasy), -d (wyświetla wszystkie rekordy), -t typ (wyświetla rekordy określonego typu, all oznacza wszystkie), exit - kończy pracę programu. Zadanie 6.3 Instalacja i konfiguracja DNS 1. Ustaw, dla połączeń Internet i LAN, adres serwera DNS na własny adres serwera. 2. Zainstaluj serwer DNS. 3. Dla domeny srvxx-111.ckp.pl utwórz strefę wyszukiwania do przodu, gdzie xx to numer twojego serwera. Uwaga: srvxx-111.ckp.pl, to dla ciebie strefa, którą będziesz zarządzał w czasie ćwiczenia. 4. Zmodyfikuj rekord SOA (adres startowy uwierzytelniania): ustaw odpowiednio numer seryjny, serwer podstawowy, e-mail osoby odpowiedzialnej, interwały, TTL (patrz punkt 6.3.b). 5. Zmodyfikuj rekordy NS (serwer nazw), musi pozostać rekord z adresem własny serwera i rekordy z adresami serwerów zapasowych (serwer sąsiada będzie dla ciebie serwerem zapasowym). 6. Dodaj rekord A (host) dla twojej nazwy k111-xx. Sprawdź, za pomocą polecenia ping i nslookup, działanie twojego serwera. UWAGA: w strefie musi pozostać tylko jeden rekord wskazujący na nazwę k111-xx. 7. Dodaj rekord A (host) dla nazw www, ftp. Sprawdź, za pomocą polecenia ping i nslookup, działanie twojego serwera. 8. Dodaj rekord MX (usługa wymiany poczty) dla twojej domeny srvxx-111.ckp.pl. Twój serwer w przyszłości będzie serwerem pocztowym. 9. Dodaj rekord TXT (tekst) dla twojej domeny. 10. Utwórz poddomenę o nazwie lan. Pozostaw w niej tylko rekordy A (hosta), dla nazwy k111-xx, powiązanej z połączeniem LAN i dla nazwy twojej stacji roboczej. 11. Sprawdź ze stacji roboczej, za pomocą polecenia ping i nslookup, działanie twojego serwera DNS. 12. Utwórz strefę pomocniczą dla twojego sąsiada. 13. Pobierz strefę z serwera głównego z menu podręcznego należy wybrać Transferuj z wzorca. 14. Utwórz strefę wyszukiwania wstecznego dla twojej domeny lokalnej. 15. Zmodyfikuj rekord SOA (adres startowy uwierzytelniania) strefy wyszukiwania wstecznego. Ustaw numer seryjny, serwer podstawowy, e-mail osoby odpowiedzialnej, interwały, TTL. 16. Sprawdź na stacji roboczej działanie serwera DNS, np. za pomocą polecenia tracert i nslookup. 17. We właściwościach serwera DNS załącz usługi przesyłania dalej. Jako adres serwera DNS podaj adres twojego operatora Internetu, w czasie ćwiczenia to 212.160.198.2
Str. 17 6.3.f Dynamiczne aktualizacje Serwer DNS Windows 2000 udostępnia dynamiczną aktualizację zwaną DDNS. Klienci mogą automatycznie przekazywać do serwera zmiany nazwy. Przekazują serwerowi rekordy A i PTR. Serwer DNS może także współpracować z serwerem DHCP, który odświeżać będzie informacje o hostach. Odpowiednie opcje konfiguracyjne znajdują się we właściwościach strefy, na zakładce Ogólne. 6.4 WINS Windows Internet Name Service 6.4.a Wstęp Klienci Windows 9x/ME i NT do komunikowania używają nazw NetBIOS. Dlatego też sieć wykorzystująca Windows 2000, współpracująca z Windows 9x/ME/NT, potrzebuje środowiska do rozwiązywania nazw NetBIOS na adresy IP. W tej sytuacji można skorzystać z mechanizmu rozgłaszania nazw. Jest to jednak metoda mało efektywna i w większych sieciach powoduje generowanie znacznego ruchu. Lepszym rozwiązaniem jest instalacja serwera nazw NetBIOS WINS. Rejestruje on dynamicznie nazwy komputerów i dostarcza adresy IP. Przy każdym uruchomieniu klienta WINS, rejestruje on swoją nazwę i adres IP na serwerze WINS. A gdy klient inicjuje połączenie NetBIOS, wysyła do serwera WINS żądanie z pytaniem, zamiast emitować ją w sieci lokalnej. 6.4.b Instalacja i zarządzanie WINS Serwer WINS jest usługą sieciową, zatem można zainstalować ją przez Dodaj/Usuń programy -> Dodaj/Usuń składniki systemu Windows -> Usługi sieciowe -> WINS. Po instalacji w Narzędziach administracyjnych, dostępna będzie przystawka WINS, za pomocą której można zarządzać serwerem. Aby zobaczyć zarejestrowane nazwy, po kliknięciu na Rejestracje aktywne, należy wybrać z menu podręcznego Znajdź według właściciela. Aby ręcznie zarejestrować nazwę z menu podręcznego, należy wybrać opcję Nowe mapowanie statyczne. Rys. 6.14 Przystawka WINS Zadanie 6.4 Instalacja WINS 1. Zainstaluj serwer WINS. 2. W konfiguracji TCP/IP serwera (dla połączenia LAN) i stacji roboczej ustaw korzystanie z serwera WINS. Podaj odpowiedni adres. 3. Sprawdź w serwerze WINS, czy zostały automatycznie zarejestrowane nazwy.
Str. 18 6.5 Routing 6.5.a Wstęp do routingu Routing jest procesem polegającym na przekazaniu danych przez zespół sieci, z systemu źródłowego do docelowego. Proces ten jest dwuetapowy. Na początku odbywa się routing w systemie końcowym, następnie dane przekazywane są do routera. Host, przed wysłaniem pakietu, porównuje adres docelowy z adresem swojej sieci i na tej podstawie określa, czy pakiet należy przekazać bezpośrednio do systemu końcowego, czy użyć routera. Po decyzji, iż pakiet należy przesłać do routera, host musi określić adres pierwszego przeskoku. Korzysta przy tym z kilku technik: Trasa domyślna w celu uproszczenia konfiguracji hostów, definiuje się trasę domyślną dla adresów z poza lokalnej podsieci, przez podanie bramy domyślnej. Tabela routingu hosta w systemie można zdefiniować statyczną tabelę routingu. Dynamiczne uaktualnienie tabeli routingu jeżeli w sieci znajduje się klika routerów, mogą one za pomocą protokołu ICMP, informować o lepszych trasach dla hosta docelowego. Monitorowanie hosty są w stanie monitorować ruch generowany przez routery z informacjami o trasach sieciowych. Routery korzystają przy tym ze specjalnego protokołu (np. RIP). Router, po otrzymaniu pakietu, który nie jest dla niego przeznaczony, musi przesłać go dalej, do docelowego hosta lub do kolejnego routera. Jeżeli pakiet kierowany jest do sieci, do których podłączony jest router, przekazuje go do docelowego hosta, dostarczając pakiet bezpośrednio. W przeciwnym wypadku przekazuje pakiet do kolejnego pośredniczącego routera, wybierając go na podstawie tabeli routingu. Router może korzystać ze statycznej tabeli routingu lub dynamicznej. Tabele dynamiczne tworzone są na postawie komunikacji między routerami. Routery korzystają przy tym ze specjalnych protokołów np. RIP. 6.5.b Translacja adresów sieciowych Translacja adresów sieciowych (NAT Network Address Translation) jest routerem IP, który posiada zdolność translacji adresów IP i numerów portów TCP/UDP w czasie ich przekazywania. NAT wykorzystywany jest w sytuacji, gdy sieć podłączona jest do Internetu i korzysta jedynie z jednego adresu IP. Dzięki NAT komputery sieci lokalnej korzystające z adresów prywatnych, są w stanie komunikować się z Internetem. Gdy użytkownik sieci LAN pobiera dane z Internetu, system wysyła pakiet IP, który w nagłówku posiada: adres przeznaczenia adres IP zasobu w Internecie, adres źródła prywatny adres IP (zmieniany przez NAT), port przeznaczenia port TCP lub UDP zasobu w Internecie, port źródła port TCP lub UDP aplikacji źródłowej (zmieniany przez NAT). Router NAT przesyła pakiet IP, dokonując odpowiedniej translacji: adres źródła zamienia na adres publiczny, przypisany przez ISP, port źródła przemapowuje na inny port TCP lub UDP, wolny na serwerze NAT. Po odebraniu odpowiedzi, dokonuje odwrotnej translacji: adres przeznaczenia zamienia na prywatny adres IP (na postawie portu), port przeznaczenia na port TCP lub UDP aplikacji źródłowej.
Str. 19 Jeżeli użytkownicy LAN komunikują się z Internetem, NAT korzysta z mapowania dynamicznego. Istnieje także możliwość zdefiniowania mapowania statycznego, dzięki czemu usługi działające w sieci prywatnej mogą być dostępne z Internetu, np. port 80 serwera NAT można przemapować na port 80 komputera w sieci prywatnej, z działającą usługą WWW. Domyślnie NAT zamienia adresy IP i numery portów TCP/UDP w nagłówkach pakietów. Dla większości protokołów taka translacja jest przeźroczysta. Występują jednak protokoły aplikacyjne, które dodatkowo przenoszą adresy i numery portów w nagłówkach. Np. protokół FTP przenosi adres IP w nagłówku polecenia port. Jeżeli NAT nie zamieni poprawnie tego adresu, mogą pojawić się problemy z połączeniem. W takim przypadku wymagany jest edytor NAT. Jest on dodatkowo instalowanym składnikiem, który potrafi dokonać odpowiednich translacji. W systemie Windows 2000 występują edytory NAT następujących protokołów: FTP, ICMP, PPTP, NetBIOS nad TCP/IP. 6.5.c Uruchomienie usługi routingu i zdalnego dostępu Usługa Routing i zdalny dostęp (RRAS Routing and Remote Access Service) jest automatycznie instalowana podczas instalacji serwera Windows 2000, w stanie wyłączonym. Za zarządzanie RRAS odpowiedzialna jest przystawka Routing i zdalny dostęp, dostępna z Narzędzi administracyjnych. Aby włączyć usługę, należy kliknąć na nazwę serwera lokalnego i z podręcznego menu wybrać Konfiguruj i włącz routing i zdalny dostęp. Wywołany zostanie w ten sposób kreator, który prowadzi przez proces konfiguracji. Na wstępie można wybrać Typową konfigurację. Użytkownik ma do wyboru: - Serwer połączenia internetowego, - Serwer dostępu zdalnego, - Serwer prywatnej sieci wirtualnej, - Router sieciowy, - Serwer konfigurowany ręcznie. Rys. 6.15 Przystawka Routing i zdalny dostęp
Str. 20 6.5.d Konfiguracja RRSA Po wybraniu Właściwości serwera, na zakładce Ogólne, określa się, czy komputer ma pełnić rolę routera tylko routingu lokalnego, czy routera sieci LAN w wybieraniem numerów na żądanie. Drugi typ wykorzystywany jest, gdy system korzysta z połączeń dial-up. Można także zaznaczyć, aby system pełnił rolę Serwera dostępu zdalnego. Na zakładce Zabezpieczenia ustawia się sposób autoryzacji przy dostępie zdalnym. Wystarczy wybrać Metody uwierzytelniania. Domyślnie wybrany jest MS-CHAP. Rys. 6.16 Właściwości serwera RRAS Na zakładce Protokół IP można ustalić, czy klienci połączeń telefonicznych mają mieć dostęp do całej sieci, czy tyko do zasobów na serwerze (opcje Włącz routing IP). Na zakładce tej można także zaznaczyć pole Zezwalaj na połączenia dostępu zdalnego i wybierania numerów na żądanie oparte na protokole IP. Dodatkowo, w sekcji Przypisywanie adresów IP, można określić sposób adresowania klientów dostępu zdalnego. Można wybrać między DHCP a Statyczną pulą adresów. W dolnej części okna wybiera się kartę sieciową, którą system ma używać w celu pozyskiwania adresów protokołów DHCP, DNS i WINS dla klientów telefonowania. Kolejna zakładka umożliwia konfigurowanie opcji PPP dla klientów zdalnego dostępu. Natomiast ostatnia, parametry Rejestrowania zdarzeń. Rys. 6.17 Właściwość serwera RRSA
Str. 21 Po kliknięciu w drzewie konsoli na Interfejsy Routingu, w oknie szczegółów pojawią się dostępne interfejsy sieciowe: Sprzężenie zwrotne lokalny interfejs protokołu IP, Połączenia lokalne interfejs kart sieciowych serwera RRSA, Interfejs wewnętrzny. Interfejsy te dostępne będą także po rozwinięciu gałęzi Routing IP i wybraniu Ogólne. W menu podręcznym tej opcji dostępna jest funkcja Nowy protokół routingu, która umożliwia dodanie protokołu NAT czy RIP. Gałąź Statyczne trasy jest używana do przeglądania oraz konfigurowania dodatkowych tras do innych sieci. W menu podręcznym dostępne są opcje: Nowa trasa statyczna i Pokaż tabele routingu IP. Rys. 6.18 Tabela routingu Zadanie 6.5.a Konfiguracja routingu 1. Załącz usługę RRSA w kreatorze wybierz serwer konfigurowany ręcznie. 2. Ustaw, aby serwer pełnił role routera tylko routingu lokalnego i nie działał jako serwer dostępu zdalnego. 3. Przeglądnij tabelę routingu i sprawdź, czy możliwy jest routing miedzy twoją siecią lokalną, a siecią 10.0.1.0 4. Wyłącz na stacji roboczej połączenie lokalne. 5. Sprawdź czy stacja robocza może przedostać się przez twój router do sieci 10.0.1.0 (np. czy może połączyć się z bramą 10.0.1.100). 6.5.e Konfiguracja NAT Po dodaniu protokołu routingu NAT, w drzewie konsoli pojawi się gałąź Translacja adresów sieciowych NAT. Aby komputery sieci lokalnej miały dostęp do Internetu, należy do NAT dodać interfejs, którym uzyskuje się połączenie z Internetem. W tym celu, z podręcznego menu należy wybrać Nowy interfejs, wskazać odpowiedni i ustawić opcję Publiczny interfejs podłączony do sieci Internet i Wykonaj translację nagłówków protokołu TCP/UDP. Dodatkowo, należy dodać interfejs połączenia z siecią LAN, z zaznaczoną opcją Prywatny interfejs podłączony do prywatnej sieci.
Str. 22 Rys. 6.19 Konfiguracja interfejsu dla NAT Jeżeli firma otrzymała pulę adresów od ISP, można ją podać na zakładce Pule adresów tak, aby serwer NAT wykorzystywał przy translacji większą ilość adresów. Na zakładce Porty specjalne można zamapować sesje przychodzące na określony port, do określonych portów i adresów działających w sieci lokalnej. W ten sposób można udostępnić usługi działające w prywatnej sieci lokalnej użytkownikom Internetu. Protokół NAT serwera RRSA zawiera prosty serwer DHCP i Proxy DNS. Po wybraniu Właściwości gałęzi Translacja adresów sieciowych NAT, można załączyć te dodatkowe serwery. Rys. 6.20 Ustawienia DHCP, Proxy DNS dla NAT Zadanie 6.5.b Konfiguracja NAT 1. Zainstaluj protokół NAT. 2. Dodaj interfejsy do NAT, aby twój router udostępniał Internet twojej sieci LAN. 3. Sprawdź, czy twoja stacja robocza ma dostęp do Internetu, np. tracert www.wp.pl. 4. Udostępnij w Internecie usługi WWW, FTP, działające na komputerze twojej sieci lokalnej.
Str. 23 6.5.f Routing z wybieraniem numerów na żądanie System Windows 2000 potrafi przekazywać pakiety IP przez łącze PPP, reprezentowane przez interfejs wybierający numer na żądanie. W usłudze routingu i zdalnego dostępu można zdefiniować statyczną trasę wykorzystującą połączenie dial-up. Interfejs wybierający numer na żądanie, może być wykorzystywany z połączeniami wybieranymi na żądanie (połączenia telefoniczne opłacane za czas) lub z połączeniami trwałymi (np. SDI lub połączenia telefoniczne opłacane abonamentem). Aby zdefiniować nowy interfejs, należy kliknąć w konsoli Routing i zdalny dostęp na Interfejsy routingu i podręcznego menu wybrać Nowy interfejs wybierania numerów na żądanie. Wywołany zostanie w ten sposób kreator, który przeprowadza przez proces konfiguracji. 1. Pierwszy krok kreatora to, podanie Nazwy interfejsu. 2. Drugi, to wybór Połącz używając modemu, karty sieci ISDN lub innego urządzenia fizycznego. Jeżeli ma zostać ustanowione połączenie VPN, należy wybrać opcję drugą. 3. Kolejne okno, to wybór urządzenia wykorzystywanego podczas połączenia. 4. W następnym kroku należy podać numer telefonu, z którym ma zostać nawiązane połączenie. 5. Kolejne okno, to wybór protokołów i opcji zabezpieczenia. Przy podłączeniu do Internetu, należy wybrać Prześlij pakiety po interfejsie, Prześlij hasło zwykłym tekstem, jeżeli nie ma możliwości połączenia. 6. Ostatni krok, to podanie informacji poświadczenia połączeń wychodzących: nazwy użytkownika, domeny (przy dostępie do Internetu nie podaje się), hasła. 7. Po zakończeniu pracy kreatora, definiowany interfejs pojawi się w liście interfejsów. Typ ustawiony będzie na Wybieranie numerów na żądanie. Rys. 6.21 Interfejsy routingu i zdalnego dostępu We Właściwościach interfejsu można skonfigurować modem, zmienić numer dostępowy, na zakładce Opcje określić Czas bezczynności przed rozłączeniem lub wybrać Połączenie trwałe. Dodatkowo można ustalić Zasady ponownego wybierania numeru: próby ponownego wybierania, średni interwał pomiędzy próbami.
Str. 24 Jeżeli połączenie komutowane ma tworzyć jedyne połączenie z Internetem, należy zdefiniować trasę domyślną na interfejs wybierania na żądanie i dodać interfejs do NAT. Wcześniej jednak, we właściwościach TCP/IP kart sieciowych, należy usunąć definicję bramy domyślnej. Aby zdefiniować trasę domyślną: 1. W konsoli Routing i dostęp zdalny należy wybrać Statyczne trasy. 2. Następnie z podręcznego menu opcję Nowa trasa statyczna. 3. W oknie Trasa statyczna wybrać interfejs z wybieraniem numeru na żądanie. 4. Jako miejsce docelowe podać 0.0.0.0 5. Jako maskę podać 0.0.0.0 6. Załączyć opcję Użyj tej trasy do inicjowania połączeń z wybieraniem numerów na żądanie. Rys. 6.22 Definiowanie trasy domyślnej Aby dodać interfejs do NAT: 1. Z podręcznego menu gałęzi Translacja adresów sieciowych należy wybrać nowy interfejs. 2. Wskazać odpowiedni interfejs. 3. We Właściwościach zaznaczyć Publiczny interfejs podłączony do sieci Internet i Wykonaj translacje nagłówków protokołu TCP/UDP. 6.5.g Udostępnienie Internetu sieci LAN - kreator Jeżeli usługa routing nie była jeszcze konfigurowana, a administrator systemu chce szybko udostępnić połączenie modemowe z Internetem sieci LAN, może skorzystać z kreatora. W przystawce Routing i dostęp zdalny, w menu podręcznym serwera znajduje się opcja Konfiguruj i włącz routing i dostęp zdalny. 1. W pierwszym kroku należy wybrać Serwer połączenia internetowego. 2. W drugim Zainstaluj router z protokołem translacji adresów sieciowych. 3. Następnie opcję Utwórz nowe połączenie internetowe z wybieraniem numerów na żądanie. 4. W oknie Wybór sieci należy wybrać interfejs, który wykorzystywany jest przy dostępie do sieci lokalnej. Po zatwierdzeniu system wywoła kreatora nowego interfejsu.
Str. 25 5. Na początku należy podać nazwę. 6. Następnie Łącz używając modemu, karty sieci ISDN lub innego urządzenia fizycznego. 7. W kolejnym kroku - wybrać urządzenie, którym system będzie się łączył. 8. Następnie podać numer telefonu. 9. W oknie Protokoły i zabezpieczenia wybrać: Prześlij pakiety IP po interfejsie i Prześlij hasło zwykłym tekstem, jeżeli nie ma innej możliwości połączenia. 10. W kolejnym oknie podać dane dla ISP: Nazwa użytkownika, Hasło. 11. Po zakończeniu pracy kreatora, system utworzy nowy interfejs, zdefiniuje trasę domyślną, doda do NAT wskazany interfejs LAN i interfejs wybierania na żądanie. Zadanie 6.5.c Routing z wybieraniem numerów na żądanie 1. Zainstaluj modem analogowy, ISDN lub terminal HiS. Sprawdź, czy urządzenie odpowiada. 2. Usuń bramę domyślną z konfiguracji TCP/IP kart sieciowych. 3. Załącz routing w sieci LAN z wybieraniem numerów na żądanie. 4. Dodaj nowy interfejs z wybieraniem numerów na żądanie. 5. W nowym interfejsie: - wyłącz kompresję modemową, - ustaw połączenie trwałe, - ustaw 99 prób ponownego wybierania, - ustaw 3 sekundowy interwał pomiędzy próbami, - zezwól na niezabezpieczone hasło, - włącz kompresję programową, - wyłącz klienta sieci Microsoft Networks. 6. Ustaw trasę domyślną na interfejs z wybieraniem numeru na żądanie. 7. Skonfiguruj odpowiednio NAT. 8. Sprawdź, czy możesz połączyć się interfejsem (prawy przycisk na interfejsie i połącz). 9. Sprawdź czy twój serwer może połączyć się z Internetem np. za pomocą poleceń ping -t, tracert. 10. Sprawdź, czy stacja robocza może dostać się do Internetu przez twój serwer. 11. Wyłącz routing i dostęp zdalny. 12. Za pomocą kreatora, skonfiguruj udostępnienie połączenia komutowanego do Internetu sieci LAN, z wykorzystaniem NAT. 13. Ustaw tak, aby po włączeniu serwera, automatycznie nawiązał połączenie z Internetem.
Str. 26 6.6 Filtrowanie pakietów 6.6.a Wstęp W celu zwiększenia bezpieczeństwa systemu, router może akceptować lub odrzucać określone pakiety IP. Operacja ta nazywana jest filtrowaniem pakietów. Konfiguracja filtrowania polega na definiowaniu reguł wejściowych i wyjściowych, określających jaki ruch jest dozwolony lub zabroniony. Filtry wejściowe określają, jaki ruch napływający do danego interfejsu routera może podlegać przetworzeniu i routingowi. Filtry wyjściowe określają, jaki ruch router może wysłać z danego interfejsu. Filtrowanie pakietów w Windows 2000 jest oparte na wyjątkach. System można skonfigurować tak, aby przepuszczał lub odrzucał cały ruch z wyjątkiem określonego. Jeżeli zdefiniowanych jest kilka filtrów, nakładane są one kolejno na przychodzący lub wychodzący pakiet. Jeżeli pakiet pasuje przynajmniej do jednego filtru, jest akceptowany lub odrzucany, w zależności od akcji przypisanej do filtru. Podczas definiowania filtrów, jako parametry podaje się: Sieć źródłową: - Adres IP Identyfikator sieci źródłowej lub źródłowy adres IP. - Maska podsieci maska odpowiadająca identyfikatorowi źródłowej sieci lub wartość 255.255.255.255 dla źródłowego adresu IP. Sieć docelową: - Adres IP Identyfikator sieci docelowej lub docelowy adres IP. - Maska podsieci maska odpowiadająca identyfikatorowi docelowej sieci lub wartość 255.255.255.255 dla docelowego adresu IP. Protokół - TCP port źródłowy i docelowy, można podać tylko jedną wartość. Jeżeli nie poda się wartości jest to równoznaczne z wartością 0, oznaczającą dowolny port. - TCP (nawiązane) pakiety ustanowionych połączeń. - UDP port źródłowy i docelowy, można podać tylko jedną wartość. Jeżeli nie poda się wartości jest to równoznaczne z wartością 0, oznaczającą dowolny port. - ICMP kod oraz typ, można określić jeden z tych parametrów. Jeżeli nie poda się żadnych wartości przyjmowana jest wartość 255, co oznacza dowolny kod lub typ. - Dowolny oznacza każdą wartość protokołu IP. - Inny można podać wartość protokołu IP. 6.6.b Definiowanie filtrów Aby zdefiniować filtr, w konsoli Routingu i dostępu zdalnego należy kliknąć prawym przyciskiem myszy wybrany interfejs i wybrać Właściwości. Na zakładce Ogólne dostępne będą przyciski Filtry wejściowe i Filtry wyjściowe. Po dodaniu filtru należy wybrać domyślną akcję: Transmituj wszystkie pakiety oprócz tych, które spełniają poniższe kryteria Porzuć wszystkie pakiety oprócz tych, które spełniają poniższe kryteria