Введение
Мы часто слышим жалобы от людей, в сети которых присутствуют два (или более!) маршрутизатора, по поводу невозможности настроить совместный доступ к файлам и принтерам (Microsoft file and printer sharing) между всеми компьютерами. В нашем очередном руководстве мы объясним, почему совместный доступ не работает по умолчанию, и поможем решить эту проблему.
Настройка
На Рис. 1 показана конфигурация сети с двумя маршрутизаторами, которую мы будем использовать в качестве примера. Конечно, возможны и другие конфигурации, однако данный вариант будет иллюстрировать ключевые моменты.
Рис. 1. Пример LAN с двумя маршрутизаторами.
Во-первых, обратите внимание на то, что два маршрутизатора принадлежат к разным подсетям: проводной маршрутизатор имеет адрес 192.168.1.1 и беспроводный маршрутизатор – 192.168.2.1. Такая особенность характерна для сетей с несколькими маршрутизаторами, поскольку если адреса устройств не будут принадлежать к разным подсетям, они не смогут строить свои таблицы маршрутизации должным образом. Эти таблицы указывают маршруты передачи данных, благодаря ним данные посылаются на правильный маршрутизатор, где они уже будут доставлены клиентам. Клиенты маршрутизаторов тоже принадлежат к разным подсетям (в данном случае – класса C).
Совет: подсети класса C могут содержать максимум 254 IP-адреса. Первые три октета у них занимает адрес подсети (например, 192.168.3.X), и он одинаков для всех узлов данной подсети. Маска подсети здесь будет 255.255.255.0.
Порт WAN у второго маршрутизатора (беспроводного) подключён к одному из портов LAN проводного маршрутизатора с помощью обычного кабеля UTP, причём этот порт имеет IP-адрес в подсети первого маршрутизатора. На иллюстрации показан IP-адрес у порта WAN беспроводного маршрутизатора 192.168.1.100, но вы можете назначить любой IP-адрес из подсети 192.168.1.X.
Совет: вам совсем необязательно использовать те же подсети 192.168.X, которые показаны на примере. Вы можете установить любые две подсети из специального диапазона IP-адресов, главное чтобы они имели разные адреса сетей.
Имейте в виду, что вы можете присваивать IP-адрес порту WAN второго маршрутизатора как статически, так и через DHCP (получать автоматически). Мы предпочли последний вариант, поскольку если вы будете вводить IP-адрес вручную, вам придётся указать информацию о шлюзе по умолчанию и о DNS, что неискушённому пользователю найти проблематично.
Две проблемы
Подобная конфигурация с двумя маршрутизаторами не приводит к появлению проблем при простом использовании Интернета, включая электронную почту, путешествие по web, использование ICQ/MSN Messenger и многие другие приложения. То есть проблем не будет, если пользователь инициирует запрос на получение данных. Однако при организации совместного доступа к файлам и принтерам возникнут две проблемы, которые мы разъясним ниже.
Проблема 1 заключается в том, что множество подсетей в нашем примере LAN приводит к появлению проблем с просмотром сети (browsing). То есть когда вы будете пытаться использовать My Network Places в Win2000 и XP или Сетевое окружение/ Network Neighborhood в более ранних версиях Windows, вы увидите лишь компьютеры, подключённые к тому же маршрутизатору. Проблема может быть решена с помощью установки сервера WINS, однако есть и более простые способы, описанные в следующей секции.
Проблема 2 создаётся брандмауэром каждого маршрутизатора. По умолчанию маршрутизаторы потребительского уровня блокируют все незапрошенные данные, пытающиеся пройти с порта WAN (Интернет) на клиентов LAN, и передают все исходящие данные от клиентов LAN к WAN. Блокировка входящих снаружи запросов обеспечивает простейшую функцию “брандмауэра” маршрутизатора NAT и предотвращает доступ к локальным компьютерам из Интернета. Однако этот фильтр работает и в нашей ситуации, мешая организовать совместный доступ к файлам и принтерам.
В соответствии с примером сети LAN, приведённым на Рис. 1, клиенты беспроводного маршрутизатора смогут получать доступ к файлам и принтерам клиентов проводного маршрутизатора, но не наоборот.
Примечание: “односторонний” характер связи также усложняет доступ к серверам или серверным приложениям, запущенным на любом компьютере, подключённом ко второму маршрутизатору. Проще всего будет подключить эти компьютеры к первому маршрутизатору, однако можно использовать и сценарий совместного доступа к файлам и принтерам, показанный ниже.
Решение 1: отключаем второй маршрутизатор
Самый лёгкий путь полностью избежать указанных проблем – не использовать второй маршрутизатор в роли маршрутизатора! В конце концов, все эти проблемы создаёт брандмауэр NAT, и если он вам не нужен – не используйте его!
Вам необходимо использовать режим маршрутизатора на втором устройстве только если:
- Вы желаете создать защищённую часть вашей локальной сети с помощью брандмауэра второго маршрутизатора, или
- Вы желаете комбинировать функции брандмауэра второго маршрутизатора, то есть фильтрацию портов, фильтрацию содержания, журналирование и т.д.
Если вам это не нужно, то лучше отключить второй маршрутизатор. Ниже мы покажем, как это сделать.
- Выберите любой компьютер в LAN и статически установите его IP-адрес в соответствии с его текущими значениями (используйте закладку Support окна Local Area Connection Status под WinXP и 2000, либо команду ipconfig, или выполните Start > Run > winipcfg под Win95 и 98 для получения информации об IP-адресе). В результате компьютер, который вы будете использовать на дальнейших этапах, не потеряет свой IP-адрес и сможет подключаться к маршрутизаторам.
Примечение: игнорируйте этот шаг, если компьютер уже использует статическое присвоение IP-адреса. Не забудьте изменить обратно на “Получать IP-адрес автоматически/ Obtain an IP address automatically”, конечно, если вы не предпочитаете прописывать всё вручную.
- Выключите сервер DHCP на втором маршрутизаторе. На первом маршрутизаторе уже присутствует сервер DHCP, поэтому нам не нужен конфликт между ними.
- Измените адрес второго маршрутизатора, чтобы он находился в той же подсети, что и первый маршрутизатор и не конфликтовал (не совпадал) с IP-адресом базового маршрутизатора или диапазоном выдаваемых сервером DHCP адресов. В результате вы сможете достичь консоли администрирования второго маршрутизатора с любого компьютера в LAN.
В нашем примере адрес базового маршрутизатора составляет 192.168.1.1, при этом сервер DHCP раздаёт адреса из диапазона от 192.168.1.100 до 192.168.1.150. Поэтому для второго маршрутизатора можно выставить любой IP-адрес между 192.168.1.151 и 192.168.1.254.
- Как только вы разобрались с адресами, подсоедините порт LAN Uplink на одном маршрутизаторе к обычному порту на другом. Не важно, какой порт вы будете использовать на каком маршрутизаторе, однако не используйте порты Uplink на обоих маршрутизаторах! Если ни один из маршрутизаторов не оснащён портом Uplink, возьмите кабель с перекрещенной обжимкой и подключите любой порт LAN на одном устройстве к любому порту LAN на другом. На Рис. 2 показан пример двух схем соединения, когда один из маршрутизаторов имеет порт Uplink.
Рис. 2. Соединение маршрутизаторов.Имейте в виду: поскольку вы больше не используете маршрутизацию на втором устройстве, его параметры конфигурации WAN (или Интернет) не будут работать. Вы можете просто оставить их в покое – они ни на что не повлияют.
Поздравления! Вы только что превратили второй маршрутизатор в обычный коммутатор и/или точку доступа – и все ваши проблемы на этом закончены!
Решение 2: используем IP-адрес.
Если вам всё же необходимы два маршрутизатора, то придётся смириться с ограничениями совместного использования файлов и принтеров и просмотра сети. Как мы уже упоминали выше, компьютеры, прикреплённые к маршрутизатору, смогут просматривать сеть и осуществлять совместный доступ к файлам и папкам на других клиентах, которые прикреплены к этому же маршрутизатору. Если же компьютеры прикреплены ко второму маршрутизатору, и они желают обмениваться файлами с компьютерами первого маршрутизатора, то для этого необходимо компьютерам второго маршрутизатора первыми начинать передачу файла.
Если вас устраивают эти ограничения, ниже мы расскажем, как получить доступ к удалённому сетевому каталогу или диску:
- Присвойте компьютерам с общими ресурсами статический IP-адрес. Это немаловажно, поскольку вы будете осуществлять доступ к ним именно по IP-адресу. Если компьютер с ресурсом будет получать иной IP-адрес от сервера DHCP после окончания аренды, то вам придётся отслеживать эту ситуацию и запоминать новый адрес.
Примечание: убедитесь, что присвоенные вами статические IP-адреса находятся вне диапазона сервера DHCP (в нашем случае диапазон составляет от 192.168.1.100 до 192.168.1.150). К примеру, в нашей сети вы можете присвоить любые статические адреса в диапазоне от 192.168.1.151 до 192.168.1.254.
- Откройте меню Выполнить/ Run (Start > Run) и наберите \ , вслед за этим укажите IP-адрес того компьютера, к которому вы пытаетесь получить доступ (без пробелов). Мы подразумеваем, что вы уже отдали в совместный доступ диск или папку на этом компьютере. На Рис. 3 показан пример для компьютера с IP-адресом 192.168.1.102.
Рис. 3. Получаем доступ к удалённому компьютеру.После небольшого ожидания должно появиться окно, в котором будут перечислены ресурсы целевого компьютера. На Рис. 4 показан пример – доступные папки на компьютере 192.168.3.154.
Рис. 4. Доступные папки на 192.168.3.154.Совет: вы также можете использовать функцию Windows Найти компьютер/ Find Computer. Просто опустите символы “\” и просто наберите IP-адрес машины с ресурсом.
- Чтобы избежать всех этих проблем с доступом на будущее, нажмите правой клавишей мыши на любую из общих папок шага 2 и выберите Создать ярлык/ Create Shortcut или Подключить сетевой диск/ Map Network Drive. (Если вы используете WinXP, то вы можете обнаружить пункт “Подключить сетевой диск/ Map Network Drive” в My Computer > Tools). После этого для доступа к удалённому ресурсу вам достаточно будет просто нажать на ярлык или открыть сетевой диск в “Мой компьютер/ My Computer”.
Также вполне возможно использовать имена вместо IP-адресов, для чего вам потребуется отредактировать файлы LMHOSTS на нужных компьютерах. Однако в связи с отсутствием просмотра сети (browsing), для некоторых эта задача покажется слишком тяжёлой, поэтому мы не рекомендуем с ней связываться, если вы не причисляете себя к опытным пользователям.
Совет: если вы хотите узнать дополнительную информацию про работу с файлом LMHOSTS, обратитесь к статье Microsoft Windows NT Workstation Resource Kit – Using LMHOSTS Files (на английском).
Идём другим путём
Наше раннее утверждение, что клиенты, подключённые к первому маршрутизатору, не смогут получить доступ к клиентам, подключённым ко второму маршрутизатору, на самом деле не совсем истинно. Если вы будете использовать на втором маршрутизаторе функцию DMZ (или вынесенный/exposed компьютер), то вы сможете раздавать ресурсы и в этом направлении, однако только для одного компьютера второго маршрутизатора в один момент времени.
Всё, что вам нужно, – поместить IP-адрес компьютера с ресурсом в DMZ, а затем обращаться к нему из сети первого маршрутизатора по IP-адресу порта WAN второго маршрутизатора. Вам не следует беспокоиться за безопасность ресурсов компьютера в DMZ, поскольку он будет защищён брандмауэром первого маршрутизатора.
Конечно, если вы считаете себя “комсомольцем”, и вам интересен самый трудоёмкий путь, то вы можете просто открыть порты TCP и UDP 137, 138 и139 для IP-адреса компьютера с нужным ресурсом вместо помещения его в DMZ.