Использование сервера WINDOWS 2003 в качестве NAT роутера (маршрутизатора)

Рассмотрено программное обеспечение в качестве маршрутизатора информационной сети на базе серверной операционной системы Windows 2003. 

В настоящее время очень остро стоит проблема обеспечение безопасности и надежности функционирования информационных сетей на предприятиях. В связи с этим возникает ряд задач, позволяющих решить данные проблемы, в частности: установка специального программного обеспечения, организация хранения данных, настройка программных маршрутизаторов и т.п.

Для решения означенных задач был выполнен анализ существующих программных средств и выделено применение сервера Windows 2003. основана задача данного сервера заключается в маршрутизации пакетов двух и более сегментов информационной сети. Анализ информации в интернете и специальной литературы не позволил однозначно выделить искомое решение, поэтому было решено исследовать данную проблему.

Маршрутизаторы являются ключевым звеном любой сети internetwork. Основные задачи, которые решают маршрутизаторы:

• нахождение наилучшего маршрута;
• отправка пакета по этому маршруту.

Маршрутизация сделала возможным объединение отдельных сетей в одну глобальную сеть, где каждому участнику сети доступны все ресурсы. Можно говорить о трех принципах маршрутизации:

• Каждый маршрутизатор принимает решение сам. При этом не оговаривается, откуда получена информация о маршрутах.
• Если один маршрутизатор имеет полную таблицу маршрутизации, то это не значит, что и у остальных она тоже полная. Можно привести много причин и примеров, когда сеть не сходится. В некоторых случаях это может привести к потере данных, а в некоторых и к циклам маршрутизации. Именно поэтому важно правильно и полно настроить статические маршруты на маршрутизаторах и/или правильно подобрать и настроить динамический протокол маршрутизации.
• Существование маршрута в одну сторону не гарантирует существование обратного маршрута. Простыми словами, пакет может достигнуть получателя, но обратного пути для ответного пакета может не быть. К этому приводит неполнота таблицы маршрутизации на  каком-нибудь маршрутизаторе по пути.

Решением стало установка Windows Server 2003 на отдельном компьютере с двумя сетевыми картами, с установкой роли Routing и Remote Access Service (RRAS) на данной машине с  дальнейшим использованием его в качестве маршрутизатора.

В первую очередь был настроен RRAS модуль в качестве роутера с трансляцией сетевых адресов (Network Address Translation – NAT). NAT является IETF стандартом, обеспечивающим способ трансляции IPv4 адресов компьютеров в одной сети в IPv4 адреса компьютеров в другой сети.

Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через консоль управления. Для запуска консоли управления службой маршрутизации  и  удаленного  доступа  выбирается  меню  Пуск  и  в  нем  подменю    Администрирование, в котором - пункт Маршрутизация и удаленный доступ (рисунок 1).

Рисунок 1 – Главное окно роли «Routing and Remote Access» 

Первоначальная  настройка   сервера  маршрутизации  и  удаленного  доступа   выполняется  в    дереве «Консоли управления», в меню «Маршрутизация и удаленный доступ» выбирается ветвь с именем локального  сервера.   Затем   при  нажатии  правой  кнопки  мыши  на   имени   сервера  выбирается пункт «Настроить и включить маршрутизацию и удаленный доступ» из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа. На первом шаге Мастера необходимо выбрать роль, которую будет выполнять сервер. Можно выбрать одну из следующих ролей:

Удаленный доступ (модем). При выборе данной роли, сервер со службой маршрутизации и удаленного доступа будет   настроен  для  разрешения  подключения  удаленных  клиентов   к  сети    пользователя с помощью модема или другого оборудования удаленного доступа (рисунок 2). 

Рисунок 2 – Пример роли «Удаленный доступ (модем)» 

Удаленный доступ (VPN). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для разрешения подключения удаленных клиентов к сети пользователя через Интернет (рисунок 3).

Рисунок 3 – Пример роли «Удаленный доступ (VPN)» 

Преобразование сетевых адресов (NAT). При выборе данной роли, сервер со службой  маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров частной локальной сети. Компьютеры, находящиеся в Интернете, не в состоянии определять IP-адреса компьютеров в сети пользователя (рисунок 4).

Рисунок 4 – Пример роли «Преобразование сетевых адресов (NAT)» 

Виртуальная частная сеть (VPN) и преобразование сетевых адресов (NAT). При выборе данной роли сервер со службой маршрутизации и удаленного доступа будет настроен для подключения к Интернету компьютеров локальной сети пользователя и разрешения подключения удаленных клиентов к сети пользователя через Интернет. Компьютеры в Интернете не в состоянии определять IP-адреса компьютеров в частной сети. Однако клиенты VPN в состоянии подключаться к компьютерам сети пользователя, как если бы они были физически присоединены к этой сети (рисунок 5). 

Рисунок 5 – Пример роли «Виртуальная частная сеть (VPN)» 

Безопасное соединение между двумя частными сетями. При выборе данной роли два сервера со службой маршрутизации и удаленного доступа будут настроены для безопасной передачи частных данных через Интернет. Данный путь необходимо выбрать на каждом сервере при запуске мастера настройки маршрутизации и удаленного доступа. Подключение между двумя серверами может быть постоянным (включено постоянно) либо по требованию (вызов по требованию) (рисунок 6).

Рисунок 6 – Пример роли «Безопасное соединение между двумя частными сетями» 

Управление IP-фильтрами. Маршрутизатор Windows Server 2003 поддерживает фильтрацию входящих и исходящих пакетов данных на различных уровнях:

• уровень физического интерфейса – фильтрация осуществляется для всех пакетов, проходящих через интерфейс, обычно это происходит после маршрутизации пакета;
• уровень интерфейса маршрутизации – фильтрация осуществляется при прохождении данных через интерфейс маршрутизации, при маршрутизации конкретного протокола;
• уровень клиента удаленного доступа – фильтрация данных осуществляется при передаче клиенту удаленного доступа по каналу связи.

На любом уровне фильтрация осуществляется отдельно для входящих и исходящих пакетов. Например, при передаче данных через маршрутизатор из локальной сети в Интернет для интерфейса подключения по локальной сети эти данные будут считаться входящими, а для интерфейса вызова по требованию – исходящими. Для клиентов удаленного доступа входящими всегда считаются данные, передаваемые клиентом, а исходящими – данные, передаваемые клиенту.

В интерфейсе управления маршрутизатором Windows Server 2003 входящие фильтры обычно настраиваются кнопкой «Фильтры входа», а исходящие – кнопкой «Фильтры выхода». Покажем настройку фильтров на примере входящих фильтров. Настройка исходящих фильтров осуществляется аналогично.

В окне «Фильтры входа» указывается набор действующих фильтров и условия фильтрации. Последние определяются переключателем  в верхней части  окна,  который  может быть установлен в  одно из положений:

• Не разрешать перечисленные пакеты. Через фильтр пропускаются все пакеты, кроме тех, которые отвечают условиям, указанным в списке «Фильтры».

• Разрешать только перечисленные пакеты. Через фильтр пропускаются только те пакеты, которые отвечают условиям, указанным в списке «Фильтры».

Набор условий для проверки задается в списке «Фильтры». Для добавления условия в список необходимо щелкнуть кнопку «Создать» (рисунок 7).

Рисунок 7 –Добавление IP-фильтра 

В данном окне необходимо задать параметры исходного и конечного адреса проверяемого пакета. Если должен анализироваться адрес отправителя, то необходимо установить флажок «Исходная сеть» и указать адрес  и  маску  сети  отправителя.  Если  должен  фильтроваться  только   один   определенный   IP-адрес, его необходимо указать в поле IP-адрес, а в поле «Маска» указать значение 255.255.255.255. По аналогии настраивается анализ адреса получателя.

В раскрывающемся списке «Протокол» должен быть выбран протокол, пакеты которого анализирутся фильтром. При указании протоколов TCP или UDP необходимо дополнительно задать диапазон исходящих и входящих портов. Например, для выделения всех запросов к Web-серверу локальной сети (адрес 192.168.0.10) должен задаваться фильтр со следующими параметрами:

Для  поставленной  задачи  была  выбрана  роль  RRAS  «Преобразование  сетевых  адресов  (NAT)» для работы маршрутизатора. 

Рисунок 8 – Схема подключения маршрутизатора 

Windows Server 2003 был установлена на машину с двумя сетевыми картами, параметры TCP/IP этих карт были настроены следующим образом:

Сетевой интерфейс Realtek подключен к основной сети:

-       IP адрес = 192.168.10.1;

-       Маска подсети = 255.255.255.0;

-       Основной шлюз = 192.168.10.1;

-       DNS серверы = 192.168.0.250. 

Сетевой интерфейс NIC подключен к сегменту сети:

-       IP адрес = 192.168.0.250.

-       Маска подсети = 255.255.255.0.

-       Основной шлюз = 192.168.0.2.

-       DNS серверы = 212.154.163.162.

Установка клиентских компьютеров в основной сети LAN.

Установки на клиентских машинах: для сегмента сети были назначены DHCP-сервером и были следующие:

• IP адрес = 192.168.10.0/32.
• Маска подсети = 255.255.255.0.
• Основной шлюз = 192.168.10.1 (ближайший интерфейс сервера RRAS).
• DNS серверы = 192.168.0.250(DNS сервер домена).

Таким образом, маршрутизатор стал связующим звеном между сегментом сети и основной сетью (рисунок  8)  со  своими  правилами  адресации  в  сети  и  настройками  безопасности.  При  такой настройке в сегмент сети нет необходимости вводить для каждой машины сетевые правила подключения к серверам или обращения за пределы сегмента  сети,  маршрутизатор работает на правилах, созданных для работы в сети на основе фильтров, установленных администратором сети.