Главная страница \ Статьи \ Администрирование сетей \ Настройка маршрутизации в Windows Server

Настройка маршрутизации в Windows Server

В один прекрасный, не помню солнечный или нет, день встала задача разделить два сегмента сети, ограничив доступ из одного сегмента в другой. Естественно, нормальный маршрутизатор никто не собирался покупать, сказали делать на чем есть: Windows 2003 Server.

Ну что ж делать... Надо так надо. Как показал поиск в интернете, на вопрос: как настроить маршрутизацию? Однозначного ответа не было найдено. Везде была расшифровка что такое IP адрес и маска подсети. Однако этого не было достаточно для настройки маршрутизации, т.к. в Windows этого не достаточно. Поэтому описываю как настраивали мы.

Начало

Поставили Windows 2003 Server, добавили роль маршрутизатора (Routing and Remote Access). На компьютере-маршрутизаторе стоят 3 сетевые карты: 1 сегмент, 2 сегмент, интернет (да, не слишком большое финансирование, 1 сервер выполняет все, что только можно придумать, и файл-сервер, и прокси, и маршрутизатор, и dns-сервер, и контроллер домена...). На примере рассмотрим маршрутизацию между 1 и 2 сегментом сети.

Дано: два сегмента сети. Один: 192.168.0.х, второй: 192.168.1.х. Сделать так, чтобы сегменты были полностью разделены, но из первого сегмента несколько компьютеров имели доступ ко второму сегменту.

Процесс

Для начала разделим сегменты. Заходим в оснастку управления маршрутизацией.

Оснастка управления маршрутизацией и удаленным доступом в Windows 2003 Server

Выбираем один из интерфейсов. Интерфейс - грубо говоря есть та сетевая карта, для которой мы хотим настроить правила маршрутизации. В нашем случае - правила маршрутизации определят то, с каких адресов на какие пакеты могут проходить беспрепятственно, а какие адреса не имеют доступ друг к другу.

Настройки интерфейса маршрутизации

Настройка

Окно настройки интерфейса выглядит так:
Окно настройки правил маршрутизации интерфейса

Нас интересуют кнопки "Inbound Filters..." и "Outbound Filters...". Суть этих кнопок сводится к тому, что Inbound Filters - работают с пакетами пришедшими на этот интерфейс, а Outbound Filters - работают с пакетами, которые пытаются уйти через выбранный интерфейс. Можно провести такую аналогию: Inbound Filters - фейс контроль на входе, Outbound Filters - фейс контроль на выходе.

Мы настраивали фейс-контроль на выходе для интерфейса (Outbound Filters...)
Настройка выходных фильтров маршрутизации

Transmit all packets except those that meet criteria below - значит пропускать все пакеты, кроме тех, которые указаны. Политика безопасности "Разрешено все, что не запрещено".
Drop all packets except those that meet criteria below - значит не пропускать пакеты, кроме тех, которые указаны. Политика безопасности "Запрещено все, что не разрешено". В нашем случае это лучше, потому что нам необходимо порезать весь траффик, кроме разрешенного.
Итак, у нас есть несколько адресов, которым должны быть доступны все сегменты сети:
192.168.0.100, 192.168.0.101, 192.168.0.200

Окно настройки правила выглядит так:
Настройка правила маршрутизации в Windows 2003 Server

Итак, возьмем 2-ой интерфейс и создадим правила, которые позволят пропускать пакеты от наших 3-х компьютеров:
Source IP Source Mask Destination IP Destination mask
192.168.0.100 255.255.255.254 192.168.1.0 255.255.255.0
Данное правило означает: пропустить через выбранный интерфейс все пакеты от адресов 192.168.0.100, 192.168.0.101 (потому что маска подсети 255.255.255.254 задает не строгое соответствие адреса) для адресов 192.168.1.х
192.168.0.200 255.255.255.255 192.168.1.0 255.255.255.0
Данное правило означает: пропустить через выбранный интерфейс все пакеты от адреса 192.168.0.200 (потому что маска подсети 255.255.255.255 задает строгое соответствие адреса) для адресов 192.168.1.х
 
Примеры задания масок подсети:
192.168.0.111/255.255.0.255 - значит, что будет взят 111 адрес из любого сегмента. Под это правило попадут адреса: 192.168.0.111, 192.168.2.111, ..., 192.168.255.111.

192.168.0.1/255.255.255.255 - значит, что будет взят строго адрес 192.168.0.1.

Вопросы? Комментарии?

SLAVA725G [27.02.2013]
:) :D :( :fishing: :army: :bad: :phone: :cold: :cook:
Powered by Elise