ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 1090
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
1 Выберите раздел Защищенная сеть.
2 Дважды щелкните координатор, который туннелирует нужные открытые узлы.
3 В окне Свойства узла на вкладке Туннель установите флажок Использовать IP-адреса для
туннелирования и с помощью соответствующих кнопок сформируйте список IP-адресов туннелируемых узлов. Заданным адресам автоматически будут сопоставлены виртуальные
IP-адреса.
Если вам не известен IP-адрес туннелируемого узла, то вы можете определить его по имени компьютера. Для этого нажмите кнопку Определить имя/IP-адрес и в появившемся окне выполните поиск IP-адреса по указанному имени.
При добавлении IP-адреса будет автоматически выполнена его проверка на пересечение с
IP-адресами, уже заданными в списке, и IP-адресами других сетевых узлов (в том числе, туннелируемых). Данная проверка позволит исключить возможность задания одинаковых
IP-адресов. Если в ходе проверки будет обнаружено пересечение IP-адресов, появится соответствующее сообщение. Устраните пересечение IP-адресов (см.
Обнаружен конфликт
IP-адресов или DNS-имен на стр. 285).
Вы также можете выполнить проверку на пересечение IP-адресов вручную. Для этого нажмите кнопку Проверить конфликты
ViPNet Client 4. Руководство пользователя |
107
Рисунок 40. Задание адресов туннелируемых узлов
4 Если возможен конфликт IP-адресов в подсетях, установите флажок Использовать
виртуальные IP-адреса.
5 Если туннелируемый узел находится в одной подсети с вашим узлом и на нем не настроена специальная маршрутизация, убедитесь, что установлен флажок Не туннелировать IP-адреса,
входящие в подсеть Вашего компьютера. Иначе соединение с туннелируемым узлом будет невозможно.
6 Если при соединении с какими-либо туннелированными узлами шифрование данных не требуется, рекомендуется установить флажок Не туннелировать следующие IP-адреса и добавить в список ниже IP-адреса этих узлов.
7 Выполнив необходимые настройки, нажмите кнопку Применить.
Настройки, описанные в данном разделе, должны быть выполнены на сетевом узле для всех координаторов, с туннелируемыми узлами которых требуется устанавливать соединения.
ViPNet Client 4. Руководство пользователя |
108
Установка адресов видимости туннелируемых узлов по умолчанию
При добавлении в корпоративную сеть специализированных устройств (например, IP-АТС, аппаратных IP-телефонов или серверов) используется технология туннелирования. Как правило, для доступа к этим устройствам необходимо указать реальные адреса. Это означает, что при добавлении в сеть новых координаторов, туннелирующих эти устройства, необходимо переключать видимость туннелируемых узлов на реальные адреса. Для автоматизации этого процесса вы можете установить видимость новых координаторов по умолчанию.
Чтобы установить видимость туннелируемых узлов для всех новых координаторов:
1 В меню Сервис выберите пункт Настройка приложения.
2 В окне Настройка выберите раздел Защищенная сеть > IP-адреса видимости.
Рисунок 41. Настройка IP-адресов видимости
3 В списке Вновь создаваемые координаторы выберите нужный вид адресов и нажмите кнопку
OK.
Теперь при добавлении в сеть новых координаторов адреса туннелируемых им узлов будут всегда реальными или виртуальными, в зависимости от заданного параметра.
Чтобы изменить адреса видимости уже существующих туннелируемых узлов:
1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройка приложения.
ViPNet Client 4. Руководство пользователя |
109
2 На панели навигации окна Настройка выберите раздел Защищенная сеть > IP-адреса
видимости.
3 Нажмите кнопку Установить для существующих координаторов.
4 В окне Настройка видимости выберите нужный вид адресов и нажмите кнопку Установить.
Если адреса меняются на реальные, будет выполнена проверка конфликтов адресов в сети.
Если в ходе проверки конфликтов не обнаружено, будет установлена видимость туннелируемых узлов по реальным адресам для всех существующих координаторов.
При обнаружении конфликтов появится окно Проверка конфликтов. Укажите в нем одно из нужных действий: o
Удалить IP-адрес из параметров другого узла; o
Удалить IP-адрес из списка текущего узла; o
Пропустить конфликт.
5 Для продолжения проверки на наличие конфликтов нажмите кнопку Продолжить. Чтобы прервать проверку и устранить конфликт другими способами, нажмите кнопку Прервать
проверку.
6 Чтобы впоследствии вернуться к проверке конфликтов нажмите кнопку Проверить
конфликты.
После выполнения указанных действий и устранения конфликтов, будет установлена видимость туннелируемых узлов для всех существующих координаторов по нужному виду адресов.
ViPNet Client 4. Руководство пользователя |
110
Просмотр информации о сетевом узле
При организации доступа к узлу или при возникновении проблем с доступом, администратор сети
ViPNet или служба технической поддержки может запросить информацию об этом сетевом узле, а также о вашем сетевом узле.
Чтобы просмотреть информацию о чужом сетевом узле ViPNet:
1 В разделе Защищенная сеть дважды щелкните нужный сетевой узел.
2 В окне Свойства узла перейдите на вкладку Общие.
3 Если необходимо, скопируйте нужный текст, чтобы передать его администратору или службе технической поддержки.
Для просмотра информации о своем сетевом узле в главном окне программы в меню Файл выберите пункт Свойства моего узла.
ViPNet Client 4. Руководство пользователя |
111
6
Настройка и использование служб имен DNS и WINS в сети ViPNet
Службы DNS и WINS
112
Службы DNS и WINS в сети ViPNet
115
DNS- (WINS-) сервер на защищенном или туннелируемом узле
116
Незащищенный DNS- (WINS-) сервер
118
Использование защищенного DNS- (WINS-) сервера для удаленной работы с корпоративными ресурсами
120
Использование публичного DNS-сервера
125
Использование DNS-серверов на контроллерах домена
127
ViPNet Client 4. Руководство пользователя |
112
Службы DNS и WINS
К компьютерам удобнее обращаться не по цифровым адресам, а по каким-либо осмысленным именам, которые соответствуют функциям и местоположению компьютеров. Людям проще запомнить буквенное имя, чем последовательность цифр. Локальные сети и интернет объединяют огромное количество компьютеров, поэтому необходимы специализированные службы имен, обеспечивающие сопоставление имен компьютеров с их IP-адресами. В настоящее время в сетях используются две службы имен — DNS и WINS.
DNS
В сетях TCP/IP используется система доменных имен (Domain Name System, DNS), которая служит для преобразования IP-адреса в доменное имя и наоборот: например, 79.11.15.23 — в www.company.ru
Следующий рисунок иллюстрирует использование DNS, то есть обнаружение IP-адреса компьютера по его имени.
Рисунок 42. Общий принцип работы службы DNS
Компьютер-клиент запрашивает у DNS-сервера IP-адрес компьютера с доменным именем www.company.ru
. Поскольку DNS-сервер может ответить на запрос с помощью своей локальной базы данных, он возвращает ответ, содержащий запрашиваемую информацию, то есть запись об узле, в которой содержится IP-адрес, соответствующий имени www.company.ru
Этот пример демонстрирует простой запрос DNS от клиента к DNS-серверу. На практике запросы
DNS могут потребовать привлечения других серверов и выполнения дополнительных шагов, не показанных в этом примере.
Система именования, используемая DNS, носит иерархический характер. Доменное имя складывается из нескольких частей, расположенных справа налево. Первая часть (домен верхнего уровня) является фиксированной и назначается централизованно Сетевым Информационным
Центром (Network Information Center, NIC). Домены остальных уровней присваиваются на серверах доменных имен произвольно.
ViPNet Client 4. Руководство пользователя |
113
WINS
Аналогично DNS работает служба WINS (Windows Internet Name Service, служба имен сети интернет для Windows), которая преобразует IP-адрес в NetBIOS-имя и наоборот: например, 192.168.1.20 — в
HOST-A. Служба WINS является наиболее удобным средством разрешения имен NetBIOS в маршрутизируемых сетях, использующих NetBIOS через стек TCP/IP.
Примечание. NetBIOS (Network Basic Input Output System, сетевая базовая система ввода-вывода) — протокол сеансового уровня для работы в локальных сетях, обеспечивающий доступ компьютера как к собственным локальным ресурсам, так и к ресурсам удаленных компьютеров. Поскольку NetBIOS применяет рассылку широковещательных сообщений, он не поддерживает передачу информации через маршрутизаторы. Но с другой стороны, усовершенствования, внесенные в
NetBIOS, позволяют этой системе работать поверх протоколов маршрутизации, таких как IP и IPX.
Служба WINS упрощает управление пространством имен NetBIOS в сетях на основе стека протоколов TCP/IP. Следующий рисунок иллюстрирует типичную последовательность событий, связанных с клиентами и серверами WINS.
Рисунок 43. Общий принцип работы службы WINS
Этот пример демонстрирует следующие события:
WINS-клиент HOST-A регистрирует любое из своих локальных имен NetBIOS на своем
WINS-сервере WINS-A.
В случае если компьютер HOST-A не имеет в своем распоряжении IP-адреса WINS-сервера, он передает в широковещательной рассылке свое имя NetBIOS, объявляя тем самым о своем присутствии в сети. Когда происходит подобное событие, локальный WINS-сервер принимает такое широковещательное сообщение и вводит содержащееся в нем имя и соответствующий
IP-адрес в свою базу данных.
Другой WINS-клиент HOST-B запрашивает сервер WINS-A найти IP-адрес компьютера
HOST-A в сети.
Сервер WINS-A возвращает 192.168.1.20 — IP-адрес компьютера HOST-A.
ViPNet Client 4. Руководство пользователя |
114
Службы WINS и DNS могут бесконфликтно работать в пределах одной сети. Пространства имен той и другой службы не совпадают. DNS использует иерархическую структуру именования, в то время как WINS — одноранговую. Служба WINS особенно актуальна для сетей, где есть компьютеры с ОС
Windows Server 2003. В сетях, в которых применяются и доменные имена, и имена NetBIOS, рекомендуется использовать обе службы.
ViPNet Client 4. Руководство пользователя |
115
Службы DNS и WINS в сети ViPNet
В сетях ViPNet приложения могут использовать виртуальные IP-адреса, реально не существующие в сети и уникальные на каждом сетевом узле, что позволяет избежать конфликтов при наличии пересекающихся адресов в разных сетях.
Для обеспечения работы служб DNS и WINS в сети ViPNet с виртуальными адресами программное обеспечение ViPNet автоматически выполняет специальную обработку IP-пакетов этих служб.
Такая обработка требуется для того, чтобы на защищенных узлах приложения, которые обращаются к службам DNS и WINS, использовали для доступа к другим защищенным и туннелируемым узлам правильные IP-адреса (реальные или виртуальные).
Если на DNS (WINS) сервере, к которому обращаются приложения, установлено ПО ViPNet или этот сервер туннелируется координатором, поддержка DNS (NetBIOS) имен для виртуальных адресов обеспечивается без дополнительных настроек ПО ViPNet при соблюдении определенных правил
(см.
DNS- (WINS-) сервер на защищенном или туннелируемом узле на стр. 116).
DNS-имена для защищенных узлов можно задать вручную в программе ViPNet Client на сетевом узле либо в программе ViPNet Центр управления сетью. В этом случае при использовании службы
DNS появляются дополнительные возможности:
Обеспечивается безопасная работа приложений с удаленными защищенными узлами ViPNet по DNS-именам при использовании открытых (публичных) DNS-серверов (см.
Незащищенный
DNS- (WINS-) сервер на стр. 118).
Появляется возможность взаимодействия защищенного узла ViPNet со своим координатором по DNS-имени путем публикации на DNS-сервере IP-адреса, не принадлежащего координатору (например, IP-адреса доступа к координатору через NAT-устройство). При автоматической публикации адреса доступа к координатору на публичном DNS-сервере
(технология динамического DNS, или DYN DNS) можно организовать безопасный доступ к координатору, адрес доступа к которому динамически изменяется.
ViPNet Client 4. Руководство пользователя |
116
DNS- (WINS-) сервер на защищенном или туннелируемом узле
Особенности использования
Использование DNS- (WINS-) сервера, расположенного на защищенном или туннелируемом узле, имеет следующие особенности:
Для обеспечения работоспособности служб имен DNS и WINS не нужно выполнять никаких дополнительных настроек ПО ViPNet.
Если DNS (NetBIOS) имена и соответствующие им IP-адреса защищенных и туннелируемых узлов автоматически регистрируются на DNS- (WINS-) сервере, то технология ViPNet обеспечивает автоматическую публикацию на этом сервере требуемых реальных или виртуальных IP-адресов защищенных и туннелируемых узлов. ViPNet-драйвер на DNS- (WINS-) сервере (или на координаторе, туннелирующем этот сервер) выполняет подмену адреса в
IP-пакете на виртуальный или реальный IP-адрес.
Если к DNS- (WINS-) серверу обращается защищенный или туннелируемый узел, к ответу добавляется идентификатор запрашиваемого узла в сети ViPNet (или идентификатор координатора, который туннелирует запрашиваемый узел). По этому идентификатору программное обеспечение ViPNet на узле, с которого был отправлен запрос (или на координаторе, его туннелирующем), определяет правильный адрес доступа к запрашиваемому узлу — реальный или виртуальный.
Если к защищенному DNS- (WINS-) серверу обращается открытый компьютер, программное обеспечение ViPNet на DNS- (WINS-) сервере или на туннелирующем координаторе обрабатывает ответ таким образом, чтобы сообщить открытому компьютеру реальные
IP-адреса защищенных и туннелируемых узлов, даже если для них опубликованы виртуальные
IP-адреса.
ViPNet Client 4. Руководство пользователя |
117
Рисунок 44. DNS-сервер на защищенном или туннелируемом узле
Рекомендации по настройке
При использовании DNS- (WINS-) сервера, расположенного на защищенном или туннелируемом узле, и при необходимости публикации виртуальных IP-адресов следует соблюдать следующие рекомендации:
При регистрации вручную на DNS- (WINS-) сервере IP-адресов защищенных и туннелируемых узлов следует указывать их виртуальные или реальные IP-адреса, по которым эти узлы видны в программе ViPNet Client, установленной на DNS- (WINS-) сервере, или на координаторе, осуществляющем туннелирование этого сервера.
Если DNS- (WINS-) сервер расположен на узле с ПО ViPNet, то в подсети этого сервера не следует размещать туннелируемые каким-либо координатором узлы, с которых будут поступать запросы на сервер (или адреса которых будут запрашиваться другими узлами). Если сервер расположен на координаторе, то данное требование относится к туннелируемым узлам других координаторов.
Если DNS- (WINS-) сервер туннелируется координатором, то в подсети этого сервера не следует размещать узлы с ПО ViPNet, с которых будут поступать запросы на сервер (или адреса которых будут запрашиваться другими узлами).
Если возникает необходимость размещения узлов в нарушение приведенных рекомендаций, то на узлах с ПО ViPNet следует снять флажок Не туннелировать IP-адреса, входящие в
подсеть Вашего компьютера (см.
Настройка доступа к туннелируемым узлам на стр. 106), а на туннелируемых узлах настроить частный маршрут на узлы с ПО ViPNet через координатор.
2 Дважды щелкните координатор, который туннелирует нужные открытые узлы.
3 В окне Свойства узла на вкладке Туннель установите флажок Использовать IP-адреса для
туннелирования и с помощью соответствующих кнопок сформируйте список IP-адресов туннелируемых узлов. Заданным адресам автоматически будут сопоставлены виртуальные
IP-адреса.
Если вам не известен IP-адрес туннелируемого узла, то вы можете определить его по имени компьютера. Для этого нажмите кнопку Определить имя/IP-адрес и в появившемся окне выполните поиск IP-адреса по указанному имени.
При добавлении IP-адреса будет автоматически выполнена его проверка на пересечение с
IP-адресами, уже заданными в списке, и IP-адресами других сетевых узлов (в том числе, туннелируемых). Данная проверка позволит исключить возможность задания одинаковых
IP-адресов. Если в ходе проверки будет обнаружено пересечение IP-адресов, появится соответствующее сообщение. Устраните пересечение IP-адресов (см.
Обнаружен конфликт
IP-адресов или DNS-имен на стр. 285).
Вы также можете выполнить проверку на пересечение IP-адресов вручную. Для этого нажмите кнопку Проверить конфликты
ViPNet Client 4. Руководство пользователя |
107
Рисунок 40. Задание адресов туннелируемых узлов
4 Если возможен конфликт IP-адресов в подсетях, установите флажок Использовать
виртуальные IP-адреса.
5 Если туннелируемый узел находится в одной подсети с вашим узлом и на нем не настроена специальная маршрутизация, убедитесь, что установлен флажок Не туннелировать IP-адреса,
входящие в подсеть Вашего компьютера. Иначе соединение с туннелируемым узлом будет невозможно.
6 Если при соединении с какими-либо туннелированными узлами шифрование данных не требуется, рекомендуется установить флажок Не туннелировать следующие IP-адреса и добавить в список ниже IP-адреса этих узлов.
7 Выполнив необходимые настройки, нажмите кнопку Применить.
Настройки, описанные в данном разделе, должны быть выполнены на сетевом узле для всех координаторов, с туннелируемыми узлами которых требуется устанавливать соединения.
ViPNet Client 4. Руководство пользователя |
108
Установка адресов видимости туннелируемых узлов по умолчанию
При добавлении в корпоративную сеть специализированных устройств (например, IP-АТС, аппаратных IP-телефонов или серверов) используется технология туннелирования. Как правило, для доступа к этим устройствам необходимо указать реальные адреса. Это означает, что при добавлении в сеть новых координаторов, туннелирующих эти устройства, необходимо переключать видимость туннелируемых узлов на реальные адреса. Для автоматизации этого процесса вы можете установить видимость новых координаторов по умолчанию.
Чтобы установить видимость туннелируемых узлов для всех новых координаторов:
1 В меню Сервис выберите пункт Настройка приложения.
2 В окне Настройка выберите раздел Защищенная сеть > IP-адреса видимости.
Рисунок 41. Настройка IP-адресов видимости
3 В списке Вновь создаваемые координаторы выберите нужный вид адресов и нажмите кнопку
OK.
Теперь при добавлении в сеть новых координаторов адреса туннелируемых им узлов будут всегда реальными или виртуальными, в зависимости от заданного параметра.
Чтобы изменить адреса видимости уже существующих туннелируемых узлов:
1 В окне программы ViPNet Монитор в меню Сервис выберите пункт Настройка приложения.
ViPNet Client 4. Руководство пользователя |
109
2 На панели навигации окна Настройка выберите раздел Защищенная сеть > IP-адреса
видимости.
3 Нажмите кнопку Установить для существующих координаторов.
4 В окне Настройка видимости выберите нужный вид адресов и нажмите кнопку Установить.
Если адреса меняются на реальные, будет выполнена проверка конфликтов адресов в сети.
Если в ходе проверки конфликтов не обнаружено, будет установлена видимость туннелируемых узлов по реальным адресам для всех существующих координаторов.
При обнаружении конфликтов появится окно Проверка конфликтов. Укажите в нем одно из нужных действий: o
Удалить IP-адрес из параметров другого узла; o
Удалить IP-адрес из списка текущего узла; o
Пропустить конфликт.
5 Для продолжения проверки на наличие конфликтов нажмите кнопку Продолжить. Чтобы прервать проверку и устранить конфликт другими способами, нажмите кнопку Прервать
проверку.
6 Чтобы впоследствии вернуться к проверке конфликтов нажмите кнопку Проверить
конфликты.
После выполнения указанных действий и устранения конфликтов, будет установлена видимость туннелируемых узлов для всех существующих координаторов по нужному виду адресов.
ViPNet Client 4. Руководство пользователя |
110
Просмотр информации о сетевом узле
При организации доступа к узлу или при возникновении проблем с доступом, администратор сети
ViPNet или служба технической поддержки может запросить информацию об этом сетевом узле, а также о вашем сетевом узле.
Чтобы просмотреть информацию о чужом сетевом узле ViPNet:
1 В разделе Защищенная сеть дважды щелкните нужный сетевой узел.
2 В окне Свойства узла перейдите на вкладку Общие.
3 Если необходимо, скопируйте нужный текст, чтобы передать его администратору или службе технической поддержки.
Для просмотра информации о своем сетевом узле в главном окне программы в меню Файл выберите пункт Свойства моего узла.
ViPNet Client 4. Руководство пользователя |
111
6
Настройка и использование служб имен DNS и WINS в сети ViPNet
Службы DNS и WINS
112
Службы DNS и WINS в сети ViPNet
115
DNS- (WINS-) сервер на защищенном или туннелируемом узле
116
Незащищенный DNS- (WINS-) сервер
118
Использование защищенного DNS- (WINS-) сервера для удаленной работы с корпоративными ресурсами
120
Использование публичного DNS-сервера
125
Использование DNS-серверов на контроллерах домена
127
ViPNet Client 4. Руководство пользователя |
112
Службы DNS и WINS
К компьютерам удобнее обращаться не по цифровым адресам, а по каким-либо осмысленным именам, которые соответствуют функциям и местоположению компьютеров. Людям проще запомнить буквенное имя, чем последовательность цифр. Локальные сети и интернет объединяют огромное количество компьютеров, поэтому необходимы специализированные службы имен, обеспечивающие сопоставление имен компьютеров с их IP-адресами. В настоящее время в сетях используются две службы имен — DNS и WINS.
DNS
В сетях TCP/IP используется система доменных имен (Domain Name System, DNS), которая служит для преобразования IP-адреса в доменное имя и наоборот: например, 79.11.15.23 — в www.company.ru
Следующий рисунок иллюстрирует использование DNS, то есть обнаружение IP-адреса компьютера по его имени.
Рисунок 42. Общий принцип работы службы DNS
Компьютер-клиент запрашивает у DNS-сервера IP-адрес компьютера с доменным именем www.company.ru
. Поскольку DNS-сервер может ответить на запрос с помощью своей локальной базы данных, он возвращает ответ, содержащий запрашиваемую информацию, то есть запись об узле, в которой содержится IP-адрес, соответствующий имени www.company.ru
Этот пример демонстрирует простой запрос DNS от клиента к DNS-серверу. На практике запросы
DNS могут потребовать привлечения других серверов и выполнения дополнительных шагов, не показанных в этом примере.
Система именования, используемая DNS, носит иерархический характер. Доменное имя складывается из нескольких частей, расположенных справа налево. Первая часть (домен верхнего уровня) является фиксированной и назначается централизованно Сетевым Информационным
Центром (Network Information Center, NIC). Домены остальных уровней присваиваются на серверах доменных имен произвольно.
ViPNet Client 4. Руководство пользователя |
113
WINS
Аналогично DNS работает служба WINS (Windows Internet Name Service, служба имен сети интернет для Windows), которая преобразует IP-адрес в NetBIOS-имя и наоборот: например, 192.168.1.20 — в
HOST-A. Служба WINS является наиболее удобным средством разрешения имен NetBIOS в маршрутизируемых сетях, использующих NetBIOS через стек TCP/IP.
Примечание. NetBIOS (Network Basic Input Output System, сетевая базовая система ввода-вывода) — протокол сеансового уровня для работы в локальных сетях, обеспечивающий доступ компьютера как к собственным локальным ресурсам, так и к ресурсам удаленных компьютеров. Поскольку NetBIOS применяет рассылку широковещательных сообщений, он не поддерживает передачу информации через маршрутизаторы. Но с другой стороны, усовершенствования, внесенные в
NetBIOS, позволяют этой системе работать поверх протоколов маршрутизации, таких как IP и IPX.
Служба WINS упрощает управление пространством имен NetBIOS в сетях на основе стека протоколов TCP/IP. Следующий рисунок иллюстрирует типичную последовательность событий, связанных с клиентами и серверами WINS.
Рисунок 43. Общий принцип работы службы WINS
Этот пример демонстрирует следующие события:
WINS-клиент HOST-A регистрирует любое из своих локальных имен NetBIOS на своем
WINS-сервере WINS-A.
В случае если компьютер HOST-A не имеет в своем распоряжении IP-адреса WINS-сервера, он передает в широковещательной рассылке свое имя NetBIOS, объявляя тем самым о своем присутствии в сети. Когда происходит подобное событие, локальный WINS-сервер принимает такое широковещательное сообщение и вводит содержащееся в нем имя и соответствующий
IP-адрес в свою базу данных.
Другой WINS-клиент HOST-B запрашивает сервер WINS-A найти IP-адрес компьютера
HOST-A в сети.
Сервер WINS-A возвращает 192.168.1.20 — IP-адрес компьютера HOST-A.
ViPNet Client 4. Руководство пользователя |
114
Службы WINS и DNS могут бесконфликтно работать в пределах одной сети. Пространства имен той и другой службы не совпадают. DNS использует иерархическую структуру именования, в то время как WINS — одноранговую. Служба WINS особенно актуальна для сетей, где есть компьютеры с ОС
Windows Server 2003. В сетях, в которых применяются и доменные имена, и имена NetBIOS, рекомендуется использовать обе службы.
ViPNet Client 4. Руководство пользователя |
115
Службы DNS и WINS в сети ViPNet
В сетях ViPNet приложения могут использовать виртуальные IP-адреса, реально не существующие в сети и уникальные на каждом сетевом узле, что позволяет избежать конфликтов при наличии пересекающихся адресов в разных сетях.
Для обеспечения работы служб DNS и WINS в сети ViPNet с виртуальными адресами программное обеспечение ViPNet автоматически выполняет специальную обработку IP-пакетов этих служб.
Такая обработка требуется для того, чтобы на защищенных узлах приложения, которые обращаются к службам DNS и WINS, использовали для доступа к другим защищенным и туннелируемым узлам правильные IP-адреса (реальные или виртуальные).
Если на DNS (WINS) сервере, к которому обращаются приложения, установлено ПО ViPNet или этот сервер туннелируется координатором, поддержка DNS (NetBIOS) имен для виртуальных адресов обеспечивается без дополнительных настроек ПО ViPNet при соблюдении определенных правил
(см.
DNS- (WINS-) сервер на защищенном или туннелируемом узле на стр. 116).
DNS-имена для защищенных узлов можно задать вручную в программе ViPNet Client на сетевом узле либо в программе ViPNet Центр управления сетью. В этом случае при использовании службы
DNS появляются дополнительные возможности:
Обеспечивается безопасная работа приложений с удаленными защищенными узлами ViPNet по DNS-именам при использовании открытых (публичных) DNS-серверов (см.
Незащищенный
DNS- (WINS-) сервер на стр. 118).
Появляется возможность взаимодействия защищенного узла ViPNet со своим координатором по DNS-имени путем публикации на DNS-сервере IP-адреса, не принадлежащего координатору (например, IP-адреса доступа к координатору через NAT-устройство). При автоматической публикации адреса доступа к координатору на публичном DNS-сервере
(технология динамического DNS, или DYN DNS) можно организовать безопасный доступ к координатору, адрес доступа к которому динамически изменяется.
ViPNet Client 4. Руководство пользователя |
116
DNS- (WINS-) сервер на защищенном или туннелируемом узле
Особенности использования
Использование DNS- (WINS-) сервера, расположенного на защищенном или туннелируемом узле, имеет следующие особенности:
Для обеспечения работоспособности служб имен DNS и WINS не нужно выполнять никаких дополнительных настроек ПО ViPNet.
Если DNS (NetBIOS) имена и соответствующие им IP-адреса защищенных и туннелируемых узлов автоматически регистрируются на DNS- (WINS-) сервере, то технология ViPNet обеспечивает автоматическую публикацию на этом сервере требуемых реальных или виртуальных IP-адресов защищенных и туннелируемых узлов. ViPNet-драйвер на DNS- (WINS-) сервере (или на координаторе, туннелирующем этот сервер) выполняет подмену адреса в
IP-пакете на виртуальный или реальный IP-адрес.
Если к DNS- (WINS-) серверу обращается защищенный или туннелируемый узел, к ответу добавляется идентификатор запрашиваемого узла в сети ViPNet (или идентификатор координатора, который туннелирует запрашиваемый узел). По этому идентификатору программное обеспечение ViPNet на узле, с которого был отправлен запрос (или на координаторе, его туннелирующем), определяет правильный адрес доступа к запрашиваемому узлу — реальный или виртуальный.
Если к защищенному DNS- (WINS-) серверу обращается открытый компьютер, программное обеспечение ViPNet на DNS- (WINS-) сервере или на туннелирующем координаторе обрабатывает ответ таким образом, чтобы сообщить открытому компьютеру реальные
IP-адреса защищенных и туннелируемых узлов, даже если для них опубликованы виртуальные
IP-адреса.
ViPNet Client 4. Руководство пользователя |
117
Рисунок 44. DNS-сервер на защищенном или туннелируемом узле
Рекомендации по настройке
При использовании DNS- (WINS-) сервера, расположенного на защищенном или туннелируемом узле, и при необходимости публикации виртуальных IP-адресов следует соблюдать следующие рекомендации:
При регистрации вручную на DNS- (WINS-) сервере IP-адресов защищенных и туннелируемых узлов следует указывать их виртуальные или реальные IP-адреса, по которым эти узлы видны в программе ViPNet Client, установленной на DNS- (WINS-) сервере, или на координаторе, осуществляющем туннелирование этого сервера.
Если DNS- (WINS-) сервер расположен на узле с ПО ViPNet, то в подсети этого сервера не следует размещать туннелируемые каким-либо координатором узлы, с которых будут поступать запросы на сервер (или адреса которых будут запрашиваться другими узлами). Если сервер расположен на координаторе, то данное требование относится к туннелируемым узлам других координаторов.
Если DNS- (WINS-) сервер туннелируется координатором, то в подсети этого сервера не следует размещать узлы с ПО ViPNet, с которых будут поступать запросы на сервер (или адреса которых будут запрашиваться другими узлами).
Если возникает необходимость размещения узлов в нарушение приведенных рекомендаций, то на узлах с ПО ViPNet следует снять флажок Не туннелировать IP-адреса, входящие в
подсеть Вашего компьютера (см.
Настройка доступа к туннелируемым узлам на стр. 106), а на туннелируемых узлах настроить частный маршрут на узлы с ПО ViPNet через координатор.