Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Инфраструктура интрасети

Инфраструктура интрасети является важным элементом разработки VPN. Без правильного проектирования этого элемента VPN-клиенты не смогут получать необходимые IP-адреса и имена в интрасети, а пакеты не будут пересылаться между VPN-клиентами и ресурсами интрасети.

Разрешение имен

Если Вы используете DNS (Domain Name System) для присвоения имен узлам в интрасети или WINS (Windows Internet Name Service) для присвоения сетевых имен NetBIOS, убедитесь, что VPN-сервер может быть настроен на использование серверов DNS и WINS вручную или в качестве DHCP-клиента. Как часть процесса согласования PPP, VPN-клиенты получают IP-адреса от DNS и WINS серверов. По умолчанию VPN-клиент наследует адреса серверов DNS и WINS, настроенные на VPN-сервере.

После завершения согласования PPP-подключения VPN-клиенты Windows XP и Windows 2000 отправляют сообщение DHCPInform VPN-серверу. Ответ, приходящий обратно VPN-клиенту, содержит DNS-имя домена, дополнительные адреса DNS-сервера для DNS-серверов, которые проверяются до настройки DNS-сервера путем PPP-согласования, а также адреса WINS-сервера, которые заменяют собой адреса WINS-сервера, настроенные во время согласования PPP. Это взаимодействие упрощается при помощи агента DHCP-ретрансляции. (Агент DHCP-ретрансляции, является компонентом протокола маршрутизации службы маршрутизации и удаленного доступа, которая автоматически устанавливается мастером установки сервера маршрутизации и удаленного доступа.)

Если VPN-сервер является DHCP-клиентом (использует DHCP для настройки интерфейса интрасети), то он отправляет сообщение DHCPInform DHCP-серверу, указанному во время настройки с помощью мастера установки сервера маршрутизации и удаленного доступа. Если настройки TCP/IP интерфейса интрасети конфигурируются вручную (рекомендуемый метод), то агент DHCP-ретрансляции должен быть настроен на IP-адрес хотя бы одного DHCP-сервера Вашей интрасети. Чтобы добавить IP-адрес DHCP-сервера, откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), выберите узел IP-маршрутизация (IP Routing) и затем Агент DHCP-ретрансляции (DHCP Relay Agent), откройте свойства объекта и выберите вкладку Общие (General).

Вопросы проектирования: разрешения имен VPN-клиентов для ресурсов интрасети.

При настройке разрешения имен для клиентов удаленного доступа обратите внимание на следующие моменты:

  • Используйте на VPN-сервере служебные утилиты ping и net для проверки разрешения имен DNS и WINS для ресурсов интрасети. Если VPN-сервера не может разрешить имена, то не смогут и VPN-клиенты. Устраните неполадки, связанные с разрешением имен для VPN-сервера перед проверкой VPN-подключений.
  • Если VPN-сервер является DHCP-клиентом (использует DHCP для настройки интерфейса интрасети), дополнительной настройки не требуется. Настройки служб DNS и WINS для VPN-сервера также будут унаследованы VPN-клиентами. Настройки по умолчанию мастера установки сервера маршрутизации и удаленного доступа добавляют агента DHCP-ретрансляции и настраивают его на использование IP-адресов DHCP-сервера, который обслуживает VPN-сервер, таким образом сообщение DHCPInform, отправленное VPN-клиентами под управлением Windows XP и Windows 2000, и соответствующий ответ пересылается между VPN-клиентом и DHCP-сервером, обслуживающим VPN-сервер.

    Тем не менее настройка VPN-сервера в качестве клиента DHCP не рекомендуется из-за проблем с конфигурированием основного шлюза VPN-сервера. Поэтому рекомендуется вручную указать IP-адрес одного или нескольких Ваших DHCP-серверов в параметрах TCP/IP интерфейса интрасети VPN-сервера и Агента DHCP-ретрансляции.

  • Если параметры TCP/IP VPN-сервера настроены вручную, проверьте адреса серверов DNS и WINS. При такой настройке мастер установки сервера маршрутизации и удаленного доступа не может автоматически сконфигурировать агента DHCP-ретрансляции. Вы должны вручную добавить IP-адрес хотя бы одного DHCP-сервера Вашей интрасети для того, чтобы сообщения DHCPInform пересылались между VPN-клиентами Windows XP и Windows 2000 и DHCP-сервером. Если Вы не получаете сообщений DHCPInform от VPN-клиентов Windows XP и Windows 2000, это означает, что VPN-клиенты не смогут получать обновленные адреса серверов DNS и WINS или DNS-имя домена.
  • Если у Вас локальная сеть класса SOHO (Small Office/Home Office – небольшая офисная или домашняя сеть), состоящая из единственного сегмента, и в ней отсутствуют DHCP-, DNS- или WINS-серверы, Вы должны или настроить DNS- или WINS-сервер для разрешения имен компьютеров в подсети SOHO и VPN-клиентов, или использовать в качестве протокола локальной сети NetBEUI для VPN-подключений удаленного доступа.

    Клиенты SOHO разрешают имена друг друга при помощи широковещательного запроса локального имени на основе TCP/IP в подсети SOHO. VPN-клиенты отправляют такой же запрос локального имени, однако, пакет с запросом локального имени не распространяется в подсети SOHO. В результате этого, в то время как все клиентские компьютеры подсети SOHO могут разрешать все остальные имена, компьютеры VPN-клиентов не могут разрешать имена без использования DNS- или WINS-сервера. В качестве альтернативного решения Вы можете вручную отредактировать файл Hosts или Lmhosts и распространить этот файл на все компьютеры VPN-клиентов, однако, компьютеры, входящие в подсеть SOHO, не смогут разрешать имена компьютеров VPN-клиентов.

    При использовании протокола NetBEUI для VPN-подключений разрешение имен, отправляемых с использованием протокола NetBEUI и получаемых VPN-сервером и пересылаемых при помощи всех протоколов на основе NetBEUI, установленных на сервере, используется компонент службы маршрутизации и удаленного доступа шлюз NetBIOS. Этот компонент отправляет широковещательный запрос локального имени TCP/IP в локальной подсети. Для установки поддержки NetBEUI VPN-клиентом установите на нем протокол NetBEUI и убедитесь, что этот протокол используется VPN-подключением. Для установки поддержки NetBEUI VPN-сервером установите на нем протокол NetBEUI и убедитесь в том. Что он используется для подключений удаленного доступа. Для этого откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), откройте свойства VPN-сервера и перейдите на вкладку NetBEUI. Протокол NetBEUI не поддерживается компьютерами под управлением Windows XP.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.