Если в сети есть и RIP v1-, и RIP v2-маршрутизаторы, то нужно настроить интерфейсы маршрутизатора Windows 2000 на отправку широковещательных объявлений RIP v1 или RIP v2 и на прием объявлений RIP v1 или RIP v2.
5.4 Проверка подлинности RIP версии 2
Если используется простая парольная проверка подлинности RIP версии 2, то необходимо задать для всех интерфейсов RIP v2 в одной сети одинаковый пароль (с учетом регистра). Можно задать как одинаковый пароль для всех сетей, так и свой пароль для каждой сети.
RIP версии 2 и подключения по требованию
Если с помощью RIP выполняются автостатические обновления при подключениях по требованию, нужно настроить каждый интерфейс вызова по требованию на многоадресную рассылку объявлений RIP v2 и на прием объявлений RIP v2. В противном случае маршрутизатор, находящийся на другом конце подключения по требованию, не будет отвечать на запросы маршрутов, отправляемые RIP-маршрутизатором.
RIP и Frame Relay
Так как RIP является протоколом, основанным на многоадресной и широковещательной рассылке, для его правильной работы с нешироковещательными сетевыми технологиями, такими как Frame Relay, необходимо его соответствующим образом настроить. То, как именно нужно настраивать RIP для работы с Frame Relay, зависит от представления виртуальных каналов Frame Relay в виде сетевых интерфейсов на компьютерах с Windows 2000. Возможны два варианта представления: либо адаптер Frame Relay представляется в виде одного адаптера для всех виртуальных каналов (модель с одним адаптером), либо каждый виртуальный канал представляется в виде отдельного адаптера (модель с несколькими адаптерами).
При использовании модели с одним адаптером, также называемой моделью с нешироковещательным множественным доступом (NBMA), сеть поставщика услуг Frame Relay (также называемая облаком Frame Relay) рассматривается как IP-сеть, а конечным точкам назначаются IP-адреса из диапазона, выделенного данной IP-сети. Чтобы обеспечить возможность приема трафика RIP всеми необходимыми конечными точками облака, нужно настроить интерфейс Frame Relay на одноадресную отправку его объявлений RIP всем соответствующим конечным точкам. Для этого необходимо задать соседей RIP. Кроме того, в центрально-лучевой топологии Frame Relay для интерфейса Frame Relay центрального маршрутизатора должна быть отключена обработка расщепленных уровней. Иначе маршрутизаторы на концах лучей не смогут получать маршруты друг от друга.
5.6 Модель с несколькими адаптерами
При использовании модели с несколькими адаптерами каждый виртуальный канал Frame Relay представляется в виде канала связи «точка-точка» со своим идентификатором (кодом) сети, а конечным точкам назначаются IP-адреса из диапазона, выделенного данной IP-сети. Так как каждый виртуальный канал является подключением «точка-точка», то можно применять либо широковещательную (предполагая, что обе конечные точки принадлежат одной IP-сети), либо многоадресную рассылку объявлений RIP.
Примечание
· Вышеописанные соображения применимы и к другим нешироковещательным технологиям, таким как X.25 и ATM.
Пассивный RIP-узел (не являющийся маршрутизатором) не отправляет сам объявления RIP, а только лишь обрабатывает полученные объявления RIP. Обработанные объявления RIP используются для построения таблицы маршрутизации для узла. На пассивных RIP-узлах не обязательно задавать основной шлюз. Пассивные RIP-узлы широко используются в средах UNIX. Если в сети есть пассивные RIP-узлы, необходимо выяснить, какую версию RIP они поддерживают. Если пассивные узлы RIP поддерживают только RIP v1, то для них необходимо использовать RIP v1.
Windows 2000 Professional содержит пассивный RIP-компонент для прослушивания объявлений RIP. Он устанавливается как дополнительный сетевой компонент и поддерживает протокол RIP версии 1.
5.8 Безопасность протокола RIP для IP
В дополнение к мерам защиты, перечисленным в разделе Безопасность статической маршрутизации, можно повысить безопасность RIP для IP с помощью следующих средств.
Проверка подлинности RIP версии 2
Чтобы предотвратить изменение маршрутов RIP не имеющими на это разрешения RIP-маршрутизаторами в среде с протоколом RIP версии 2, можно настроить интерфейсы маршрутизатора, использующие RIP v2, на простую парольную проверку подлинности. Получаемые объявления RIP с паролями, не совпадающими с заданным, будут отклоняться. Учтите, что пароли пересылаются в виде обычного текста. Любой пользователь, имеющий средство прослушивания сети, например сетевой монитор Майкрософт, может перехватывать объявления RIP v2 и просматривать содержащиеся в них пароли.
5.9 Задание равных маршрутизаторов
На каждом RIP-маршрутизаторе можно задать список маршрутизаторов (по IP-адресам), от которых должны приниматься объявления RIP. По умолчанию принимаются объявления RIP от всех источников. Задание списка равных RIP-маршрутизаторов позволяет не принимать объявления RIP от нежелательных маршрутизаторов.
Можно настроить фильтры маршрутов на каждом интерфейсе RIP, чтобы в таблицу маршрутизации могли добавляться только те маршруты, которые ведут к достижимым адресам сетей в объединенной сети. Например, если в организации используются подсети частной сети с адресом 10.0.0.0, то можно задействовать фильтрацию маршрутов, чтобы RIP-маршрутизаторы отклоняли все маршруты, кроме тех, которые связывают подсети сети с кодом 10.0.0.0.
По умолчанию протокол RIP распространяет свои объявления с помощью широковещательной (RIP версии 1 или RIP версии 2) или многоадресной рассылки (только RIP v2). Чтобы трафик RIP не могли получать никакие другие узлы, кроме соседствующих RIP-маршрутизаторов, маршрутизатор можно настроить на одноадресную рассылку оповещений RIP. Будучи изначально предназначенной для использования сетевыми технологиями нешироковещательного множественного доступа (NBMA), такими как Frame Relay, настройка соседей RIP обеспечивает направление объявлений RIP на соседствующие RIP-маршрутизаторы.