随着Intranet/Internet等信息技术的发展,企业将采用TCP/IP协议升级、改造自己的网络系统。然而,全部更新网络设备需要数额巨大的投资,并且要在技术、管理方面对人员进行培训。因此,并不是每个企业都有可能完全进行这样的升级改造。网络系统的主干部分采用交换机、路由器等新型专用设备,部门级子网采用从原有系统升级的改造方案,更有利于保护原有投资,保证系统的平稳过渡,从而更适应大多数企业的需求。
当前这些需要升级改造的企业内部网的子网,基本上是使用IPX协议的局域网系统。这样的网络一般主要由一个或几个NetWare服务器以及几十台PC机构成。Novell NetWare作为一种优秀的网络服务器操作系统,在升级到IntraNetWare4.11以来,已提供对Intranet的充分支持。在NetWare服务器上配置TCP/IP协议、将NetWare服务器配置为路由器等支持TCP/IP的网络,已在实践当中得到应用。本文介绍了使用NetWare服务器来构建内部子网过程中涉及到的一些问题。
一、使用ARP代理构建子网及分支子网
为了便于管理和维护,在规划网络的时候会将整个网络按物理位置或业务部门划分为多个子网。然而,设定子网除了需要对路由器进行相关的设置以外,还必须对网络中每台计算机的网络设置进行修改。在计算机较多和使用者对子网划分不太了解的情况下,网络配置的维护工作将十分繁重。使用ARP代理(Proxy ARP)可以使网络管理员修改子网及路由器的配置而不必改动每台计算机的网络设置。分支子网(Stub Subnetwork)可以在原有网络划分的基础上任意划出一个子网,而不影响网络的其它子网划分。使用这两种路由器的配置方法将会大大减轻网络管理员的配置及维护工作,并使整个网络更具灵活性。
在TCP/IP协议中,ARP协议(Address Resolution Protocol)是用来查找一个IP地址所对应计算机物理地址的一个协议。通常,一台计算机需要和另一台计算机进行通讯时,它使用本机IP地址、目的计算机IP地址以及网络掩码来判断目的计算机是否在网络内部。如果在网络内部,它广播一个ARP请求,接受到请求的计算机将自己的物理地址返回给发送方,然后才能开始建立连接。路由器的ARP代理(Proxy ARP)功能是指路由器将代理实际子网外的计算机,用路由器的物理地址回应网络上的ARP请求。然后,利用路由功能将接收到的数据包转发到目的计算机上,代理ARP的目的是把子网给隐蔽起来。
正常情况下,子网划分是非常严格的,不允许网络存在重叠和嵌套现象。然而,在使用ARP代理的情况下,分支子网可以存在。这样就大大减少了网络划分的复杂程度,增加了划分网络的灵活性。
ARP代理作为NetWare操作系统支持高级路由能力的一项基本功能,在安装了NetWare服务器操作系统后即可配置使用。全部配置可以在服务器的控制台上通过NetWare的网络配置软件来完成。
用户在配置网络的时候,不必了解具体的子网划分,只需按照未划分子网前的配置进行网络配置即可。因此,减轻了网络划分和配置维护造成的负担,增加了灵活性。
二、使用DHCP服务器动态配置主机
由于在TCP/IP协议中,网络上每台计算机都必须拥有一个IP地址,必须配置包括IP地址、网络掩码、缺省网关以及名字服务器等等信息。用户使用自己选取的IP地址配置计算机,就会很容易造成地址冲突。同时,网络掩码和缺省网关设置不正确会使计算机不能与子网外计算机正常通信。另外,如果计算机需要在属于不同网络的不同地点使用,网络配置就需要经常改换。因此,管理计算机网络设置,对于用户和网络管理员都是一个繁重的管理和维护工作。
DHCP是动态主机配置协议(Dynamic Host Configuration Protocol),DHCP服务器能够在网络上进行IP地址及其它TCP/IP配置信息的分配和维护工作,每一次DHCP客户启动时便从DHCP服务器中请求IP地址以及其它配置信息,服务器将从它允许发放的IP地址数据库中挑选一个分配给DHCP客户机。如果客户机接受了这个地址,那么在客户机运行阶段,这个IP地址将归该计算机专有。使用这个协议,用户便不必了解配置网络的相关知识,同时网络管理员也减少了维护负担。更为重要的是,它提供了IP地址的集中管理手段,避免了地址冲突及其它配置错误,保证了网络的可用性。
在IntraNetWare4.11版本中提供了DHCP服务器,可以使用NetWare的Install.nlm进行安装。
1在服务器上装入IntraNetWare操作系统的第一张CD,在控制台上键入Load Install,并输入正确的路径即可进行安装。
2使用Dhcpcfg.nlm进行配置。使用Insert键为每个要使用DHCP服务的网络界面进行设置。设置的信息包括DHCP服务的网络及掩码、帧类型、缺省路由器、DNS的有关设置、NetBios的有关设置、动态IP的范围以及NetWare/IP的有关设置。
3装入DHCP服务器程序Dhcpsrvr.nlm,使用Load Dhcpsrvr并将该句放入Autoexec.ncf中,则IntraNetWare中的DHCP服务器将开始工作。
对于客户计算机,只需简单激活DHCP客户程序即可。例如在Windows95中,在控制面板中的网络选项中选择或添加TCP/IP协议,并在IP地址选项中设为Obtain an IP address automatically,重新启动计算机则DHCP客户程序将自动为用户配置好网络。
三、将NetWare服务器配置为包过滤型的防火墙
由于TCP/IP是为公共网络系统Internet而设计的,且大部分基于TCP/IP的应用程序很少考虑到安全性的要求。又由于TCP/IP的开放性,网络上存在很多专门攻击使用TCP/IP协议的计算机程序,例如著名的Land和Teardrop攻击。因此,即使在企业内部,如何在网络互联的情况下保障信息安全,仍然是网络管理的一个重要任务。
为了加强网络安全管理,需要在多个网络间提供访问控制。选择在运行NetWare的路由器上使用包过滤的高级特性,就能够将来自不受欢迎的节点的用户隔离在子网之外,并且不影响网络的正常工作。NetWare提供的包过滤的高级特性和路由功能完全集成在一起,它基于IP数据包源或目标地址或TCP端口来判断数据包是否合法,如合法则直接转发,否则就丢弃该包。这种方法对用户完全透明,速度快并具有较高的网络性能和较好的应用程序透明性,而且不需要任何额外的费用,只需配置NetWare服务器即可支持。
将NetWare服务器配置为包过滤型的防火墙,首先要在NetWare服务器上配置好TCP/IP并将服务器配置为路由器。这些设置需通过NetWare网络设置程序Inetcfg.nlm来完成,而过滤规则则由过滤器配置程序Filtcfg.nlm来完成。
1在控制台输入Load Inetcfg启动配置程序,将Filter Support选项设为“Enable”,退出Inetcfg并重新初始化网络。
2输入Load Filtcfg载入过滤器配置程序,选择TCP/IP配置TCP/IP的过滤规则,选Packet Forwarding Filters,将Status选项设为“Enable”,然后通过“Action”、“Filters”、“Exceptions”选项的设置,即可定义源或目的报文地址、端口以及路由器转发数据包的网络界面的限定规则。其中对网络界面的设置对于防止IP spoofing(IP地址伪造)侵入非常重要。
通过对包过滤的设置,NetWare服务器可以作为一种高效率的防火墙,在保障内部网络运行的同时,防止从未授权的外部节点访问被保护的内部网络,也能够控制内部网络访问收费或敏感节点。
四、使用IPX/IP网关接入Internet
企业内部网络在接入Internet的时候,将会遇到很多问题。第一个问题便是前面提到的网络安全问题,通过包过滤型防火墙的设置能够起到安全保障作用,但由于包过滤无法有效区分来自同一IP地址的不同用户,所以它的安全性不能在用户级进行控制;另一问题是当接入Internet时,企业只能得到有限的IP地址空间,而无法为其每一台计算机都申请到合法的IP地址。
IntraNetWare中使用了IPX/IP网关来解决这些问题。在NetWare服务器上运行IPX/IP网关,网络内部的工作站使用IPX与服务器进行通讯,当工作站要访问IP网络时,由网关服务器将IPX协议转换为IP协议,使用网关服务器的IP地址与外部IP网络进行通讯。这样,外部网络和内部网络使用不同的协议,只通过网关进行通讯,而不存在直接的连接,对外部网络形成一道天然的防火墙。由于IPX/IP网关和Novell的NDS(Novell Directory Service)目录服务紧密集成在一起,网络管理员可以基于NDS对用户进行访问授权,完美地解决了包过滤型防火墙不能区分用户的问题。此外,由于内部工作站只需配置IPX,因此仅仅为网关服务器申请一个IP地址,就能满足全部工作站上网的要求。
IPX/IP网关使多个工作站共享一个IP,使用IPX报头封装IP,发送到具体的工作站上。而工作站要保持各种TCP应用程序的兼容,必须使用特定的TCP支持堆栈。IntraNetWare在其Client32客户程序中提供了IPX/IP网关客户程序,它通过使用一个支持IPX的Winsock.dll来支持网络应用程序与网关服务器通讯。
安装IPX/IP网关首先应该在NetWare服务器上使用Install.nlm安装网关服务器软件。
1控制台键入Load Install,选择Product Options|Install a products not listed,键入CD的路径并在驱动器中装入IntraNetWare第四张CD,进行安装,并重新启动。
2Load Inetcfg,选择Protocols|TCP/IP|IPX/IP Gateway Configuration将IPX/IP Gateway选项设为“Enable”。然后使用load servman修改系统参数,将Maximum acket Receive Buffers的值改为1000,Minimum PacketReceive Buffers改为400,重新启动系统。
3管理员需要在管理工作站上修改Windows系统目录下的Nwadmin3x.ini文件,在[snapin Object DLLs WIN3X]下增加一行Ipxgw3X.DLL=Ipxgw3X.DLL。然后启动Nwadmin3x,就能发现NDS树中多了一个以-GW结尾的网关对象。为了使网关正常使用,管理员必须手工修改权限托管关系。
①使[Public]对象成为网关对象的托管者,对“Object rights”具有Browse权,对“all properties”具有Read和Compare权限。
②使[Public]对象成为服务器对象的托管者,对“Object rights”具有Browse权,对“network address property”具有Read和Compare权限。
③使网关对象成为[Root]对象的托管者,对“Objectrights”具有Browse权,对“all properties”具有Read和Compare权限。
4安装IPX/IP网关后,NDS对象将增加两个属性,一个是“IPX/IP Gateway Service Restrictions”,管理员用它对用户可以使用的端口进行限制。另一个是“IPX/IP Gateway Host Restrictions”,管理员使用它对用户连接的计算机及网络进行限制。
服务器端安装完毕之后,需要对客户端进行安装。服务器安装过程中已将相应客户软件安装在sys:public\client\win95中(Windows 3.1客户软件在相应目录中),在该目录中用setup安装client32软件。然后使用Windows 95控制面板上的网络选项配置IPX/IP网关,需要增加一个Novell NetWare IPX/IP Gateway的协议,重新启动系统,即可使用IPX/IP网关。
通过合理配置NetWare服务器,使用IntraNetWare提供的各种功能,企业可以将原有基于IPX的网络改造为基于TCP/IP的Intranet。NetWare服务器提供了路由能力、IP地址分配与复用能力、基于包过滤和网关的防火墙能力,为Intranet的升级改造,提供了一个合适的方案。
返回