Е. В. Котельников Сетевое администрирование на основе Microsoft Windows Server 2003 Курс лекций



Pdf просмотр
страница4/8
Дата26.11.2016
Размер1.88 Mb.
Просмотров1391
Скачиваний0
ТипРеферат
1   2   3   4   5   6   7   8
Создание таблиц маршрутизации
Для построения таблиц маршрутизации существует два метода: статический и динамический. Статический метод заключается в том, что администратор вручную создает и удаляет записи в таблице. В состав операционной системы Windows Server 2003 входит утилита route
. Она может использоваться с четырьмя командами:
• print
– печать текущего содержимого таблицы;
• add
– добавление новой записи;
• delete
– удаление устаревшей записи;

37
• change
– редактирование существующей записи.
Запись должна определяться следующим образом:
MASK METRIC IF
Например: route add 160.95.1.0 mask 255.255.255.0 160.95.1.1 metric 20 IF 1
Кроме того, можно использовать два ключа:
-f
– удаление из таблицы всех записей, кроме записей по умолчанию;

– создание постоянной записи (т. е. не исчезающей после перезагрузки). По умолчанию создаются временные записи.
Достоинством статического метода является простота. С другой стороны, для сетей с быстро меняющейся конфигурацией этот метод не подходит, так как администратор может не успевать отслеживать все изменения. В этом случае применяют динамический метод построения таблицы маршрутизации, основанный на протоколах маршрутизации. В
Windows Server 2003 реализовано два таких протокола – RIP и OSPF.
Протокол маршрутизации RIP
Маршрутизаторы, работающие по протоколу RIP (Routing Information
Protocol – протокол маршрутной информации), обмениваются содержимым своих таблиц путем групповых рассылок через каждые 30 секунд. Если за
3 минуты не получено никаких сообщений от соседнего маршрутизатора, линия связи между маршрутизаторами считается недоступной.
Максимальное число маршрутизаторов, определенное в протоколе RIP, – 15.
Узлы, находящиеся на большем расстоянии, считаются недоступными.
Так как обмен происходит целыми таблицами, при увеличении числа маршрутизаторов объем трафика сильно возрастает. Поэтому протокол RIP не применяется в крупных сетях.
В Windows Server 2003 реализована вторая версия протокола – RIP v2
(см. RFC 1723).
Протокол маршрутизации OSPF
Протокол OSPF (Open Shortest Path First – первыми открываются кратчайшие маршруты, описан в RFC 2328) в отличие от RIP может применяться в крупных сетях, так как, во-первых, в процессе обмена информацией о маршрутах передаются не таблицы маршрутизации целиком, а лишь их изменения. Во-вторых, в таблице содержится информация не о всей сети, а лишь о некоторой её области. Если адрес назначения отсутствует

38
в таблице, пакет направляется на специальный
пограничный
маршрутизатор, находящийся между областями.
Своё название протокол OSPF получил по алгоритму Дейкстры, лежащему в основе протокола и позволяющему найти наиболее короткий маршрут между двумя узлами сети.
Резюме
Задача маршрутизации заключается в определении оптимального пути передачи сообщения в составных сетях с меняющейся топологией. В сетях
TCP/IP эту задачу решают маршрутизаторы на основе таблиц маршрутизации. В таблицы маршрутизации входит информация о номерах и масках подсетей назначения, адресах шлюзов и собственных портов маршрутизатора, а также о метриках. Решение о передаче пакета на тот или иной порт принимается на основании совпадения адреса назначения из пакета с адресом из таблицы, при этом оптимальный маршрут выбирается на основе метрики. Для адресов, отсутствующих в таблице, применяется специальный адрес – адрес шлюза по умолчанию.
Для создания таблиц маршрутизации в Windows Server 2003 используют два метода – статический, с помощью утилиты route
, и динамический, с применением протоколов маршрутизации RIP и OSPF,
Контрольные вопросы
1. В чем заключается задача маршрутизации?
2. Для чего нужна таблица маршрутизации?
3. Назовите основные поля в таблице маршрутизации.
4. Что такое default gateway?
5. Перечислите ключи утилиты route
6. Назовите преимущества и недостатки протокола RIP.
7. Назовите преимущества и недостатки протокола OSPF.

39
Лекция 5. Имена в TCP/IP
План лекции
Необходимость применения символьных имен.
• Система доменных имен.
• Процесс разрешения имен.
• Записи о ресурсах.
• Утилита NSLOOKUP.
• Имена NetBIOS и служба WINS.
• Резюме.
• Контрольные вопросы.
Необходимость применения символьных имен
Как отмечалось в лекции 3, в стеке протоколов TCP/IP используются три типа адресов – аппаратные, IP-адреса и символьные доменные имена.
Аппаратные адреса служат для адресации на канальном уровне. IP-адреса применяются на сетевом уровне, с их помощью можно построить большую составную сеть, например Интернет. Доменные имена кажутся в этом ряду необязательными; действительно, сеть будет работать и без них. Однако человеку-пользователю сети неудобно запоминать числовые IP-адреса, ассоциируя их с конкретными сетевыми объектами. Мы привыкли к символьным именам, и именно поэтому в стек TCP/IP была введена система доменных имен DNS (Domain Name System). Она описывается в RFC 1034 и
RFC 1035. Полное название доменных имен – FQDN (Fully Qualified Domain
Name – полностью определенное имя домена).
Кроме DNS-имен Windows Server 2003 поддерживает символьные имена NetBIOS (о них, а также о службе WINS, предназначенной для преобразования NetBIOS-имен в IP-адреса, рассказывается в конце этой лекции).
Система доменных имен
Система DNS основана на иерархической древовидной структуре, называемой пространством доменных имен. Доменом является каждый узел и лист этой структуры. На рис. 5.1 приведен фрагмент пространства доменных имен Интернета.
Самый верхний домен называется корневым (root domain). Корневой домен как реальный узел не существует, он исполняет роль вершины дерева.
Непосредственные его потомки (поддомены) – домены первого уровня TLD
(Top-Level Domain – домены верхнего уровня). Их можно разделить на три группы (см. Приложение II):

40
.arpa – особый домен, используемый для преобразования
IP-адресов в доменные имена (обратное преобразование).
Содержит единственный дочерний домен – in-addr;
• домены организаций – .com (коммерческие организации), .org
(некоммерческие организации),
.edu
(образовательные учреждения) и т. д.;
• домены стран (географические домены) – .ru (Россия), .fr
(Франция), .de (Германия) и т. д.
Домены первого уровня
Домены второго уровня root arpa microsoft com org ru fr de in-addr www support rambler yandex kirov www vshu
Домены третьего уровня
Корневой домен www
Домены четвертого уровня

Рис. 5.1. Фрагмент пространства доменных имен Интернета
Домены первого уровня включают только домены второго уровня, записи об отдельных хостах могут содержаться в доменах, начиная со второго уровня.
Созданием и управлением доменами первого уровня с 1998 года занимается международная некоммерческая организация ICANN (Internet
Corporation for Assigned Names and Numbers – Корпорация Интернет по присвоению имен и адресов, www.icann.org). Домены второго уровня, находящиеся в географических доменах, распределяются специальными национальными организациями, которым ICANN передало полномочия в этом вопросе. Управлением доменами третьего и следующего уровней занимаются владельцы соответствующих доменов второго уровня.
Полностью определенное доменное имя FQDN записывается следующим образом. Сначала идет имя хоста (лист в дереве пространства имен), затем через точку следует DNS-суффикс – последовательность доменных имен всех уровней до первого включительно. Запись оканчивается точкой, после которой подразумевается корневой домен. Пример FQDN для хоста www домена vshu:

www.vshu.kirov.ru.

41
В этой записи www – имя хоста, vshu.kirov.ru. – DNS-суффикс. Точку в конце FQDN обычно можно опускать.
Служба DNS
Пользователь работает с доменными именами, компьютеры пересылают пакеты, пользуясь IP-адресами. Для согласования двух систем адресаций необходима специальная служба, которая занимается переводом доменного имени в IP-адрес и обратно. Такая служба в TCP/IP называется
Domain Name Service – служба доменных имен (аббревиатура DNS совпадает с аббревиатурой системы доменных имен). Процесс преобразования доменного имени в IP-адрес называется разрешением доменного имени.
В те времена, когда в сети ARPANET было несколько десятков компьютеров, задача преобразования символьного имени в IP-адрес решалась просто – создавался текстовый файл hosts, в котором хранились соответствия IP-адреса символьному имени. Этот файл должен был присутствовать на всех узлах сети. По мере увеличения числа узлов объем файла стал слишком большим, кроме того, администраторы не успевали отслеживать все изменения, происходящие в сети. Потребовалась автоматизация процесса разрешения имен, которую взяла на себя служба
DNS.
Служба доменных имен поддерживает распределенную базу данных, которая хранится на специальных компьютерах – DNS-серверах. Термин
«распределенная» означает, что вся информация не хранится в одном месте, её части распределены по отдельным DNS-серверам. Например, за домены первого уровня отвечают 13 корневых серверов, имеющих имена от
A.ROOT-SERVERS.NET до M.ROOT-SERVERS.NET, расположенных по всему миру (большинство в США).
Такие части пространства имен называются зонами (zone).
Пространство имен делится на зоны исходя из удобства администрирования.
Одна зона может содержать несколько доменов, так же как информация о домене может быть рассредоточена по нескольким зонам. На DNS-сервере могут храниться несколько зон. В целях повышения надежности и производительности зона может быть размещена одновременно на нескольких серверах, в этом случае один из серверов является главным и хранит основную копию зоны (primary zone), остальные серверы являются дополнительными, на них содержатся вспомогательные копии зоны
(secondary zone).
Для преобразования IP-адресов в доменные имена существуют зоны
обратного преобразования (reverse lookup zone). На верхнем уровне пространства имен Интернета этим зонам соответствует домен in-addr.arpa.
Поддомены этого домена формируются из IP-адресов, как показано на рис. 5.2.

42
root arpa in-addr
156 195 27 98 57 100 10 115 69

Рис. 5.2. Формирование поддоменов домена arpa
Следуя правилам формирования DNS-имен, зона обратного преобразования, соответствующая подсети 156.98.10.0, будет называться
10.98.156.in-addr.arpa.
Процесс разрешения имен
Служба DNS построена по модели «клиент-сервер», т. е. в процессе разрешения имен участвуют DNS-клиент и DNS-серверы. Системный компонент DNS-клиента, называемый DNS-распознавателем, отправляет запросы на DNS-серверы. Запросы бывают двух видов:
итеративные – DNS-клиент обращается к DNS-серверу с просьбой разрешить имя без обращения к другим DNS-серверам;
рекурсивные – DNS-клиент перекладывает всю работу по разрешению имени на DNS-сервер. Если запрашиваемое имя отсутствует в базе данных и в кэше сервера, он отправляет итеративные запросы на другие DNS-серверы.
В основном DNS-клиентами используются рекурсивные запросы.
На рис. 5.3 проиллюстрирован процесс разрешения доменного имени с помощью рекурсивного запроса.

43
База данных
DNS-сервера
Кэш
DNS-сервера
Файл
HOSTS
Кэш
DNS-сервера
DNS-клиент
Предпочитаемый
DNS-сервер
Альтернативный
DNS-сервер
DNS-сервер домена первого уровня
DNS-сервер домена второго уровня
Корневой
DNS-сервер
Кэш
DNS-клиента
База данных
DNS-сервера

Рис. 5.3. Процесс обработки рекурсивного DNS-запроса
Сначала DNS-клиент осуществляет поиск в собственном локальном кэше DNS-имен. Это память для временного хранения ранее разрешенных запросов. В эту же память переносится содержимое файла HOSTS (каталог
windows/system32/drivers/etc
). Утилита
IPconfig с ключом
/displaydns отображает содержимое DNS-кэша.
Если кэш не содержит требуемой информации, DNS-клиент обращается с рекурсивным запросом к предпочитаемому DNS-серверу
(Preferred DNS server), адрес которого указывается при настройке стека
TCP/IP. DNS-сервер просматривает собственную базу данных, а также кэш- память, в которой хранятся ответы на предыдущие запросы, отсутствующие в базе данных. В том случае, если запрашиваемое доменное имя не найдено,
DNS-сервер осуществляет итеративные запросы к DNS-серверам верхних уровней, начиная с корневого DNS-сервера.
Рассмотрим процесс разрешения доменного имени на примере. Пусть, требуется разрешить имя www.microsoft.com. Корневой домен содержит информацию о DNS-сервере, содержащем зону .com. Следующий запрос происходит к этому серверу, на котором хранятся данные о всех поддоменах зоны .com, в том числе о домене microsoft и его DNS-сервере. Сервер зоны
microsoft.com может непосредственно разрешить имя www.microsoft.com в
IP-адрес.
Иногда оказывается, что предпочитаемый DNS-сервер недоступен.
Тогда происходит запрос по той же схеме к альтернативному DNS-серверу, если, конечно, при настройке стека TCP/IP был указан его адрес.

44
Записи о ресурсах
База данных DNS-сервера содержит записи о ресурсах (resource record), в которых содержится информация, необходимая для разрешения доменных имен и правильного функционирования службы DNS. Существует более 20 типов записей о ресурсах, приведем самые важные:
• А (Host Address – адрес хоста) – основная запись, используемая для непосредственного преобразования доменного имени в
IP-адрес;
• CNAME (Canonical Name –
псевдоним) – запись определяет псевдоним хоста и позволяет обращаться по разным именам
(псевдонимам) к одному и тому же IP-адресу;
• MX (Mail Exchanger – почтовый обменник) – запись для установления соответствия имени почтового сервера IP-адресу;
• NS (Name Server – сервер имен) – запись для установления соответствия имени DNS-сервера IP-адресу;
• PTR (Pointer – указатель) – запись для обратного преобразования
IP-адреса в доменное имя;
• SOA (Start Of Authority – начало авторизации) – запись для определения DNS-сервера, который хранит основную копию зоны;
• SRV (Service Locator – определитель служб) – запись для определения серверов некоторых служб (например, POP3, SMTP,
LDAP).
Утилита NSLOOKUP
Утилита nslookup используется для проверки способности
DNS-серверов выполнять разрешение имен. Утилита может работать в двух режимах:
• режим командной строки – обычный режим запуска утилит командной строки. Утилита nslookup выполняется в этом режиме, если указан какой-либо ключ;
• интерактивный режим – в этом режиме возможен ввод команд и ключей утилиты без повторения ввода имени утилиты.
Команды утилиты nslookup
:
• help
или
?
– вывод справки о командах и параметрах утилиты;
• set
– установка параметров работы утилиты;
• server <имя>
– установка сервера по умолчанию (Default Server), используемого утилитой, с помощью текущего сервера по умолчанию;
• lserver <имя>
– установка сервера по умолчанию утилиты с помощью первоначального;

45
• root
– установка сервера по умолчанию утилиты на корневой сервер;
• ls <домен>
– вывод информации о соответствии доменных имен
IP-адресам для заданного домена;
• exit
– выход из интерактивного режима.
Имена NetBIOS и служба WINS
Протокол NetBIOS (Network Basic Input Output System – сетевая базовая система ввода-вывода) был разработан в 1984 году для корпорации
IBM как сетевое дополнение стандартной BIOS на компьютерах IBM PC. В операционных системах Microsoft Windows NT, а также в Windows 98, протокол и имена NetBIOS являлись основными сетевыми компонентами.
Начиная с Windows 2000, операционные системы Microsoft ориентируются на глобальную сеть Интернет, в связи с чем фундаментом сетевых решений стали протоколы TCP/IP и доменные имена.
Однако поддержка имен NetBIOS осталась и в операционной системе
Windows Server 2003. Обусловлено это тем, что функционирование в сети таких операционных систем, как Windows NT и Windows 98, невозможно без
NetBIOS.
Система имен NetBIOS представляет собой простое неиерархическое пространство, т. е. в имени NetBIOS отсутствует структура, деление на уровни, как в DNS-именах. Длина имени не более 15 символов (плюс один служебный).
Для преобразования NetBIOS-имен в IP-адреса в операционной системе
Windows Server 2003 используется служба WINS – Windows Internet Naming
Service (служба имен в Интернете для Windows). Служба WINS работает, как и служба DNS, по модели «клиент-сервер». WINS-клиенты используют
WINS-сервер для регистрации своего NetBIOS-имени и преобразования неизвестного NetBIOS-имени в IP-адрес. Функции сервера NetBIOS-имен описаны в RFC 1001 и 1002.
Резюме
Символьные доменные имена введены в стек протоколов TCP/IP для удобства работы пользователей в сети. Доменные имена упорядочены иерархическую систему DNS, представляющую собой дерево доменов.
Имеется единственный корневой домен, домены первого уровня делятся на три группы: по организационному признаку, по географическому признаку и специальный домен arpa, служащий для обратного преобразования
IP-адресов.
Для преобразования доменных имен в IP-адреса в сетях TCP/IP функционирует служба DNS. Разрешение имен осуществляется при помощи локальных баз данных и запросов к DNS-серверам. Запросы бывают двух

46
видов – итеративные и рекурсивные. Итеративный запрос к DNS-серверу предполагает, что сервер будет осуществлять поиск только в своей базе данных. Рекурсивный запрос требует, чтобы DNS-сервер кроме поиска в локальной базе данных отправлял запросы на другие серверы.
Для диагностики работы службы DNS предназначена утилита nslookup
Помимо доменных имен в сетях Microsoft используются имена
NetBIOS. Для работы с ними устанавливается служба WINS.
Контрольные вопросы
1. Для чего необходимы доменные имена?
2. Для чего нужна служба DNS?
3. Что такое корневой домен?
4. Каково было предназначение файла hosts? Используется ли он сегодня?
5. Чем отличается служба DNS от системы DNS?
6. Объясните принцип действия итеративного запроса.
7. Объясните принцип действия рекурсивного запроса.
8. В чем отличие доменных имен от имен NetBIOS?

47
Лекция 6. Протокол DHCP
План лекции
Проблема автоматизации распределения IP-адресов.
Реализация DHCP в Windows.
• Параметры DHCP.
• Адреса для динамической конфигурации.
• DHCP-сообщения.
• Принцип работы DHCP.
• Авторизация DHCP-сервера.
• Резюме.
• Контрольные вопросы.
Проблема автоматизации распределения IP-адресов
Одной из основных задач системного администратора является настройка стека протоколов TCP/IP на всех компьютерах сети. Есть несколько необходимых параметров, которые следует настроить на каждом компьютере, – это IP-адрес, маска подсети, шлюз по умолчанию, IP-адреса
DNS-серверов. Назначенные IP-адреса должны быть уникальны. В случае каких-либо изменений (например, изменился IP-адрес DNS сервера или шлюза по умолчанию) их нужно отразить на всех компьютерах. Если какие- либо параметры не указаны или не верны, сеть не будет работать стабильно.
Если в сети менее десяти компьютеров, администратор может успешно справляться с задачей настройки стека TCP/IP вручную, т. е. на каждом компьютере отдельно вводить параметры. IP-адрес, назначенный таким образом, называется статическим. При числе узлов сети более десяти (а многие сети включают десятки и сотни хостов) задача распределения параметров вручную становится трудной или вовсе не выполнимой.
В стеке TCP/IP существует протокол, позволяющий автоматизировать процесс назначения IP-адресов и других сетевых параметров, который называется DHCP – Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста). Использование этого протокола значительно облегчает труд системного администратора по настройке сетей средних и больших размеров. Описание протокола DHCP приводится в документе RFC 2131.
Реализация
DHCP
в Windows
Протокол DHCP реализуется по модели «клиент-сервер», т. е. в сети должны присутствовать DHCP-сервер (роль которого может исполнять компьютер с операционной системой Windows Server 2003) и DHCP-клиент.

48
На компьютере-сервере хранится база данных с сетевыми параметрами и работает служба DHCP сервера. Компьютер-клиент (точнее, служба клиента
DHCP) осуществляет запросы на автоматическую конфигурацию, и
DHCP-сервер при наличии свободных IP-адресов выдает требуемые параметры.
Набор IP-адресов, выделяемых для компьютеров одной физической подсети, называется областью действия (scope). На одном сервере можно создать несколько областей действия. Важно только отслеживать, чтобы области действия не пересекались.
При запросе клиента DHCP-сервер выделяет ему произвольный свободный IP-адрес из области действия совместно с набором дополнительных сетевых параметров. При необходимости некоторые адреса из области действия можно зарезервировать (reserve) за определенным
МАС-адресом. В этом случае только компьютеру с этим МАС-адресом
(например, DNS-серверу, адрес которого не должен меняться) будет выделяться зарезервированный IP-адрес.
Адреса выделяются клиентам на определенное время, поэтому предоставление адреса называется арендой (lease). Время аренды в
Windows Server 2003 может быть от 1 минуты до 999 дней (или неограниченно) и устанавливается администратором.
Параметры DHCP
Основная функция протокола DHCP – предоставление в аренду
IP-адреса. Однако для правильной работы в сети TCP/IP хосту необходим ещё ряд параметров, которые также можно распространять посредством
DHCP. Набор параметров указан в RFC 2132.
Перечислим только основные параметры:
• Subnet mask – маска подсети;
• Router – список IP-адресов маршрутизаторов;
• Domain Name Servers – список адресов DNS-серверов;
• DNS Domain Name – DNS-суффикс клиента;
• WINS Server Names – список адресов WINS-серверов;
• Lease Time – срок аренды (в секундах);
• Renewal Time (T1) – период времени, через который клиент начинает продлевать аренду;
• Rebinding Time (T2) – период времени, через который клиент начинает осуществлять широковещательные запросы на продление аренды.
Параметры могут применяться на следующих уровнях:
• уровень сервера;
• уровень области действия;
• уровень класса;
• уровень клиента (для зарезервированных адресов).

49
Параметры, определенные на нижележащем уровне, перекрывают параметры вышележащего уровня, например параметры клиента имеют больший приоритет, чем параметры сервера. Самый высокий приоритет имеют параметры, настроенные вручную на клиентском компьютере.
Уровень класса используется для объединения клиентов в группы и применения для этой группы отдельных параметров. Отнести клиента к определенному классу можно, применив утилиту
IPconfig с ключом
/setclassid

Адреса для динамической конфигурации
При настройке областей действия перед администратором встает вопрос, какой диапазон адресов выбрать для сети своей организации? Ответ зависит от того, подключена ли сеть к Интернету.
Если сеть имеет доступ в Интернет, диапазон адресов назначается провайдером (ISP – Internet Service Provider, поставщик интернет-услуг) таким образом, чтобы обеспечить уникальность адресов в Интернете. Чаще всего бывает так, что провайдер выделяет один или несколько адресов для прямого доступа в Интернет и они присваиваются прокси-серверам, почтовым серверам и другим хостам, которые являются буферными узлами между сетью организации и Интернетом. Большинство остальных хостов получают доступ к интернет-трафику через эти буферные узлы. В этом случае диапазон внутренних адресов организации должен выбираться из множества частных адресов.
Частные адреса (Private addresses), описанные в RFC 1918, специально выделены для применения во внутренних сетях и не могут быть присвоены хостам в Интернете. Существует три диапазона частных адресов:
• ID подсети – 10.0.0.0, маска подсети: 255.0.0.0;
• ID подсети – 172.16.0.0, маска подсети: 255.240.0.0;
• ID подсети – 192.168.0.0, маска подсети: 255.255.0.0.
Внутри этих диапазонов адресов можно организовывать любые возможные подсети.
Если сеть не имеет доступа в Интернет, то теоретически можно выбрать любой диапазон IP-адресов, не учитывая наличия хостов с такими же адресами в Интернете. Однако на практике все равно лучше выбирать адреса из диапазона частных адресов, так как для сети, не имеющей выхода в
Интернет, в ближайшем будущем подключение к глобальной сети может оказаться необходимым, и тогда возникнет проблема изменения схемы адресации.
Также следует отметить, что помимо описанных частных адресов существует диапазон автоматических частных адресов APIPA (Automatic
Private IP Address): ID подсети – 169.254.0.0, маска подсети: 255.255.0.0.
Адрес из этого диапазона выбирается хостом TCP/IP случайно, если отсутствует статический IP-адрес, DHCP-сервер не отвечает, и не указан
1   2   3   4   5   6   7   8


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал