Одна из самых полезных сетевых функций Windows 2000 - трансляция сетевых адресов (Network Address Translation - NAT). Протокол маршрутизации NAT, с помощью которого подключенное к Internet устройство может делить канал связи с остальными узлами сети, определен в документе RFC 1631 комитета IETF (Internet Engineering Task Force). Протокол обеспечивает эту возможность, преобразуя внутренние IP-адреса локальной сети, указанные в IP-заголовке пакетов TCP и UDP, в единый маршрутизируемый адрес сетевого интерфейса в Internet. NAT обеспечивает не только разделение канала связи с Internet, но и безопасность локальных сетей, поскольку узлам Internet неизвестны частные адреса, назначенные машинам, скрытым за NAT-совместимым устройством.

Функции NAT реализованы в двух программных компонентах Windows 2000: Internet Connection Sharing (ICS), входящем в состав Windows 2000 Professional и всех серверных продуктов Windows 2000, и протоколе маршрутизации NAT - составной части службы RRAS в серверных продуктах Windows 2000. Компонент ICS очень пригодится сотрудникам малого/домашнего офиса (SOHO) с сетью на базе Windows 2000 Pro, которым нужно подключить несколько компьютеров к одному каналу связи с Internet.

Windows 2000 ICS

Функция ICS в Windows 2000 похожа на одноименный компонент Windows 98 Second Edition, но более проста в применении. ICS работает с Internet-соединениями всех типов, в том числе адаптерами, подключенными к маршрутизаторам (например, xDSL, ретрансляции кадров, ISDN), и коммутируемыми соединениями через модемы и терминальные адаптеры ISDN. Кроме того, Windows 2000 Pro автоматически инсталлирует ICS, поэтому компонент всегда под рукой.

Процедура установки ICS довольно проста. Чтобы активизировать ICS на существующем коммутируемом или втором сетевом соединении, следует щелкнуть правой кнопкой мыши на пиктограмме соединения в разделе Network and Dial-Up Connections и выбрать пункт Properties. На закладке Sharing диалогового окна нужно указать флажок Enable Internet Connection Sharing for this connection. Если данное соединение - коммутируемое, то в диалоговом окне (например, для модема или терминального ISDN-адаптера) появится еще один флажок, Enable on-demand dialing. Если эта функция активизирована, то Windows 2000 автоматически устанавливает соединение с Internet всякий раз, когда операционная система обнаруживает трафик, предназначенный для Internet. Данная функция особенно полезна для локальных сетей малых офисов, так как соединение устанавливается независимо от того, генерируется трафик Internet локально или на другой сетевой машине.

Затем следует настроить всех сетевых клиентов на работу с DHCP. В результате клиенты получают IP-адреса от встроенного в службу ICS сервера DHCP, DHCP Allocator, и могут обращаться в Internet.

Одновременно следует настроить и клиентские браузеры. Из меню Tools браузера Microsoft Internet Explorer (IE) нужно выбрать пункт Internet Options. Необходимо убедиться, что в разделе Dial-Up Settings на закладке Connections диалогового окна установлен флажок Never dial a connection; не исключено, машина ранее использовала коммутируемую линию и была настроена на соединение по требованию. Затем нужно щелкнуть на кнопке Settings и в разделе Automatic Configuration диалогового окна установить флажок Automatically detect settings, а также убрать флажок Use automatic configuration. В разделе Proxy Server следует снять флажок Use a proxy server. После перезагрузки клиентских машин канал связи с Internet готов для совместного использования.

Правила и ограничения ICS

Как видно, администратору не требуется прилагать больших усилий для конфигурирования ICS. Однако платой за простоту оказывается некоторая потеря гибкости, которую не сразу замечают новые пользователи. Прежде чем применить ICS в сети, необходимо понять, какие существуют ограничения.

Во-первых, следует помнить, что ICS располагает усеченными серверами DHCP, DNS и WINS, ни один из которых не может быть отключен администратором. Поэтому никогда не следует устанавливать ICS на серверах Windows 2000, которые играют роль контроллеров домена (DC) или работают со службами DHCP или DNS (или в сетях, где используются эти службы), так как они будут конфликтовать с ICS. Это условие распространяется и на домены Windows 2000 на базе Active Directory (AD), поскольку в них полноценные службы DNS необходимы.

Во-вторых, ICS предъявляет довольно жесткие требования к сетевой конфигурации: после активизации ICS автоматически конфигурирует машину Windows 2000, которая играет роль шлюза в Internet, присваивая внутреннему адаптеру сети IP-адрес 192.168.0.1 с маской подсети 255.255.255.0 класса C. Чтобы дать клиентам локальной сети возможность находить ICS-систему, необходимо разместить их в той же подсети 192.168.0.x и использовать ICS-совместимую машину в качестве выбираемого по умолчанию шлюза. Самый простой (и рекомендуемый Microsoft) способ сделать это - просто настроить клиентов на использование DHCP, в результате чего они получают корректную информацию об IP-адресах от системы, реализующей ICS. В данной конфигурации ICS-машина предоставляет клиентам сети доступ к службам DNS и WINS, поэтому необходимо убедиться в корректности адресов DNS и WINS серверов на машине с ICS.

Индивидуальная настройка ICS

Если параметры сетевой среды согласуются с ограничениями ICS, и выполнены все рекомендации по конфигурированию, то можно приступать к настройке совместно используемого Internet-соединения. Единственная действительно мощная функция конфигурирования ICS - настройка ICS для работы с конкретными типами приложений и служб через Internet-соединение.

Функции NAT-маршрутизации ICS совместимы с большинством прикладных программ, но часто возникают проблемы с приложениями, которые используют IP-адреса клиентов и не могут функционировать корректно, если адрес преобразуется в адрес ICS-системы (например, приложения, использующие IP Security (IPSec), удаленный вызов процедур (RPC), облегченный протокол доступа к каталогам (LDAP) или SNMP). Некоторые приложения принципиально несовместимы с NAT-функциями ICS, и они не будут работать ни при каких условиях, но можно обеспечить совместимость с остальными программами, настроив конфигурацию ICS с помощью программы NAT Editor.

Для вызова NAT Editor следует обратиться к закладке Sharing, которую мы использовали ранее, чтобы активизировать ICS для сетевого соединения, и щелкнуть на кнопке Settings. Отыскать NAT Editor можно с помощью закладки Applications диалогового окна Settings.

Чтобы подготовить конкретное приложение для работы с NAT, необходимо собрать информацию о программе. В частности, необходимо знать удаленный порт, используемый сервером, на котором размещено приложение, для прослушивания; способность приложения работать с TCP и UDP-трафиком; порты ответа TCP и UDP для трафика, поступающего сетевым клиентам от удаленного сервера.

Эту информацию можно найти в файле с FAQ и других документах на Web-узле поставщика приложения. Если ее там нет, нужные сведения можно собрать в конференциях Internet и с помощью поисковых механизмов. Можно обратиться и на Web-узлы, где публикуется подробная информация о настройках ICS, например,

  • Practically Networked по адресу
    http://www.practicallynetworked.com/sharing/sharing.htm,
  • InfinSource по адресу
    http://www.infinsource.com/ics.html,
  • узел Кейта Гамарда по адресу
    http://members.home.com/kgamard/win2ktip.htm#ics.

    Еще одна возможность, которую администратор может предоставить пользователям Internet - доступ к службам на машинах локальной сети. Для этого необходимо перейти к закладке Sharing раздела Network and Dial-Up Connections и щелкнуть на кнопке Settings. На закладке Services диалогового окна приведен список нескольких наиболее распространенных IP-служб, в том числе FTP, IMAP4 и IMAP3, SMTP, POP3 и Telnet. Чтобы предоставить внешним пользователям доступ к определенной службе, следует пометить эту службу флажком и ввести имя DNS и IP-адрес сервера в диалоговом окне. Если сервера в списке нет, но известен его номер порта, то нужно ввести соответствующую информацию, щелкнув на кнопке Add в выведенном на экран диалоговом окне (Экран 1).

    Заключительные замечания

    У пользователей DSL-соединений вида PPPoE (Point-to-Point Protocol over Ethernet), в настоящее время предоставляемых многими Internet-провайдерами, может возникнуть проблема, связанная с размером окна MTU (Maximum Transmission Unit - максимальный размер пакета) IP-протоколов, установленных на ICS-совместимом компьютере. Обычно в таком случае пользователи не могут просматривать некоторые Web-узлы, посылать электронную почту с присоединенными файлами и т.д. Проблема хорошо известна, и ее можно устранить, вручную изменив размер MTU в реестре. Более подробную информацию можно найти в статье Microsoft "PPPoE with ICS Requires MTU Setting Below 1492 on the ICS Clients".

    Шон Дейли - один из редакторов журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет сертификат MCSE. Последней из его книг была «Optimizing Windows NT», выпущенная издательством IDG Books. С ним можно связаться по адресу: sean@ntsol.com.