Немного оффтопа: Приблизительно месяц назад сдал экзамен CCNA (на 980/1000 баллов) и осталось много материала за год моей подготовки и обучения. Учился я сначала в академии Cisco около 7 месяцев, а оставшееся время вел конспекты по всем темам, которые были мною изучены. Также консультировал многих ребят в области сетевых технологий и заметил, что многие наступают на одни и те же грабли, в виде пробелов по каким-то ключевым темам. На днях пару ребят попросили меня объяснить, что такое сети и как с ними работать. В связи с этим решил максимально подробно и простым языком описать самые ключевые и важные вещи. Статьи будут полезны новичкам, которые только встали на путь изучения. Но, возможно, и бывалые сисадмины подчеркнут из этого что-то полезное. Так как я буду идти по программе CCNA, это будет очень полезно тем людям, которые готовятся к сдаче. Можете держать статьи в виде шпаргалок и периодически их просматривать. Я во время обучения делал конспекты по книгам и периодически читал их, чтобы освежать знания.
Итак, начнем с основных сетевых терминов.
Что такое сеть? Это совокупность устройств и систем, которые подключены друг к другу (логически или физически) и общающихся между собой. Сюда можно отнести сервера, компьютеры, телефоны, маршрутизаторы и так далее. Размер этой сети может достигать размера Интернета, а может состоять всего из двух устройств, соединенных между собой кабелем. Чтобы не было каши, разделим компоненты сети на группы:
1) Оконечные узлы: Устройства, которые передают и/или принимают какие-либо данные. Это могут быть компьютеры, телефоны, сервера, какие-то терминалы или тонкие клиенты, телевизоры.
2) Промежуточные устройства: Это устройства, которые соединяют оконечные узлы между собой. Сюда можно отнести коммутаторы, концентраторы, модемы, маршрутизаторы, точки доступа Wi-Fi.
3) Сетевые среды: Это те среды, в которых происходит непосредственная передача данных. Сюда относятся кабели, сетевые карточки, различного рода коннекторы, воздушная среда передачи. Если это медный кабель, то передача данных осуществляется при помощи электрических сигналов. У оптоволоконных кабелей, при помощи световых импульсов. Ну и у беспроводных устройств, при помощи радиоволн.
Посмотрим все это на картинке:
На данный момент надо просто понимать отличие. Детальные отличия будут разобраны позже.
Теперь, на мой взгляд, главный вопрос: Для чего мы используем сети? Ответов на этот вопрос много, но я освещу самые популярные, которые используются в повседневной жизни:
1) Приложения: При помощи приложений отправляем разные данные между устройствами, открываем доступ к общим ресурсам. Это могут быть как консольные приложения, так и приложения с графическим интерфейсом.
2) Сетевые ресурсы: Это сетевые принтеры, которыми, к примеру, пользуются в офисе или сетевые камеры, которые просматривает охрана, находясь в удаленной местности.
3) Хранилище: Используя сервер или рабочую станцию, подключенную к сети, создается хранилище доступное для других. Многие люди выкладывают туда свои файлы, видео, картинки и открывают общий доступ к ним для других пользователей. Пример, который на ходу приходит в голову, — это google диск, яндекс диск и тому подобные сервисы.
4) Резервное копирование: Часто, в крупных компаниях, используют центральный сервер, куда все компьютеры копируют важные файлы для резервной копии. Это нужно для последующего восстановления данных, если оригинал удалился или повредился. Методов копирования огромное количество: с предварительным сжатием, кодированием и так далее.
5) VoIP: Телефония, работающая по протоколу IP. Применяется она сейчас повсеместно, так как проще, дешевле традиционной телефонии и с каждым годом вытесняет ее.
Из всего списка, чаще всего многие работали именно с приложениями. Поэтому разберем их более подробно. Я старательно буду выбирать только те приложения, которые как-то связаны с сетью. Поэтому приложения типа калькулятора или блокнота, во внимание не беру.
1) Загрузчики. Это файловые менеджеры, работающие по протоколу FTP, TFTP. Банальный пример — это скачивание фильма, музыки, картинок с файлообменников или иных источников. К этой категории еще можно отнести резервное копирование, которое автоматически делает сервер каждую ночь. То есть это встроенные или сторонние программы и утилиты, которые выполняют копирование и скачивание. Данный вид приложений не требует прямого человеческого вмешательства. Достаточно указать место, куда сохранить и скачивание само начнется и закончится.
Скорость скачивания зависит от пропускной способности. Для данного типа приложений это не совсем критично. Если, например, файл будет скачиваться не минуту, а 10, то тут только вопрос времени, и на целостности файла это никак не скажется. Сложности могут возникнуть только когда нам надо за пару часов сделать резервную копию системы, а из-за плохого канала и, соответственно, низкой пропускной способности, это занимает несколько дней. Ниже приведены описания самых популярных протоколов данной группы:
FTP- это стандартный протокол передачи данных с установлением соединения. Работает по протоколу TCP (этот протокол в дальнейшем будет подробно рассмотрен). Стандартный номер порта 21. Чаще всего используется для загрузки сайта на веб-хостинг и выгрузки его. Самым популярным приложением, работающим по этому протоколу — это Filezilla. Вот так выглядит само приложение:
TFTP- это упрощенная версия протокола FTP, которая работает без установления соединения, по протоколу UDP. Применяется для загрузки образа бездисковыми рабочими станциями. Особенно широко используется устройствами Cisco для той же загрузки образа и резервных копий.
Приложения в реальном времени. Приложения, позволяющие передавать информацию в реальном времени. Как раз к этой группе относится IP-телефония, системы потокового вещания, видеоконференции. Самые чувствительные к задержкам и пропускной способности приложения. Представьте, что вы разговариваете по телефону и то, что вы говорите, собеседник услышит через 2 секунды и наоборот, вы от собеседника с таким же интервалом. Такое общение еще и приведет к тому, что голоса будут пропадать и разговор будет трудноразличимым, а в видеоконференция превратится в кашу. В среднем, задержка не должна превышать 300 мс. К данной категории можно отнести Skype, Lync, Viber (когда совершаем звонок).
Теперь поговорим о такой важной вещи, как топология. Она делится на 2 большие категории: физическая и логическая. Очень важно понимать их разницу. Итак, физическая топология — это как наша сеть выглядит. Где находятся узлы, какие сетевые промежуточные устройства используются и где они стоят, какие сетевые кабели используются, как они протянуты и в какой порт воткнуты.
Теперь посмотрим и разберем виды топологии:
1) Топология с общей шиной (англ. Bus Topology)
Одна из первых физических топологий. Суть состояла в том, что к одному длинному кабелю подсоединяли все устройства и организовывали локальную сеть. На концах кабеля требовались терминаторы. Как правило — это было сопротивление на 50 Ом, которое использовалось для того, чтобы сигнал не отражался в кабеле. Преимущество ее было только в простоте установки. С точки зрения работоспособности была крайне не устойчивой. Если где-то в кабеле происходил разрыв, то вся сеть оставалась парализованной, до замены кабеля.
2) Кольцевая топология (англ. Ring Topology)
В данной топологии каждое устройство подключается к 2-ум соседним. Создавая, таким образом, кольцо. Здесь логика такова, что с одного конца компьютер только принимает, а с другого только отправляет. То есть, получается передача по кольцу и следующий компьютер играет роль ретранслятора сигнала. За счет этого нужда в терминаторах отпала. Соответственно, если где-то кабель повреждался, кольцо размыкалось и сеть становилась не работоспособной. Для повышения отказоустойчивости, применяют двойное кольцо, то есть в каждое устройство приходит два кабеля, а не один. Соответственно, при отказе одного кабеля, остается работать резервный.
3) Топология звезда (англ. Star Topology)
Все устройства подключаются к центральному узлу, который уже является ретранслятором. В наше время данная модель используется в локальных сетях, когда к одному коммутатору подключаются несколько устройств, и он является посредником в передаче. Здесь отказоустойчивость значительно выше, чем в предыдущих двух. При обрыве, какого либо кабеля, выпадает из сети только одно устройство. Все остальные продолжают спокойно работать. Однако если откажет центральное звено, сеть станет неработоспособной.
Все устройства связаны напрямую друг с другом. То есть с каждого на каждый. Данная модель является, пожалуй, самой отказоустойчивой, так как не зависит от других. Но строить сети на такой модели сложно и дорого. Так как в сети, в которой минимум 1000 компьютеров, придется подключать 1000 кабелей на каждый компьютер.
5)Неполносвязная топология (англ. Partial-Mesh Topology)
Как правило, вариантов ее несколько. Она похожа по строению на полносвязную топологию. Однако соединение построено не с каждого на каждый, а через дополнительные узлы. То есть узел A, связан напрямую только с узлом B, а узел B связан и с узлом A, и с узлом C. Так вот, чтобы узлу A отправить сообщение узлу C, ему надо отправить сначала узлу B, а узел B в свою очередь отправит это сообщение узлу C. В принципе по этой топологии работают маршрутизаторы. Приведу пример из домашней сети. Когда вы из дома выходите в Интернет, у вас нет прямого кабеля до всех узлов, и вы отправляете данные своему провайдеру, а он уже знает куда эти данные нужно отправить.
6) Смешанная топология (англ. Hybrid Topology)
Самая популярная топология, которая объединила все топологии выше в себя. Представляет собой древовидную структуру, которая объединяет все топологии. Одна из самых отказоустойчивых топологий, так как если у двух площадок произойдет обрыв, то парализована будет связь только между ними, а все остальные объединенные площадки будут работать безотказно. На сегодняшний день, данная топология используется во всех средних и крупных компаниях.
И последнее, что осталось разобрать — это сетевые модели. На этапе зарождения компьютеров, у сетей не было единых стандартов. Каждый вендор использовал свои проприетарные решения, которые не работали с технологиями других вендоров. Конечно, оставлять так было нельзя и нужно было придумывать общее решение. Эту задачу взвалила на себя международная организация по стандартизации (ISO — International Organization for Standartization). Они изучали многие, применяемые на то время, модели и в результате придумали модель OSI, релиз которой состоялся в 1984 году. Проблема ее была только в том, что ее разрабатывали около 7 лет. Пока специалисты спорили, как ее лучше сделать, другие модели модернизировались и набирали обороты. В настоящее время модель OSI не используют. Она применяется только в качестве обучения сетям. Мое личное мнение, что модель OSI должен знать каждый уважающий себя админ как таблицу умножения. Хоть ее и не применяют в том виде, в каком она есть, принципы работы у всех моделей схожи с ней.
Состоит она из 7 уровней и каждый уровень выполняет определенную ему роль и задачи. Разберем, что делает каждый уровень снизу вверх:
1) Физический уровень (Physical Layer): определяет метод передачи данных, какая среда используется (передача электрических сигналов, световых импульсов или радиоэфир), уровень напряжения, метод кодирования двоичных сигналов.
2) Канальный уровень (Data Link Layer): он берет на себя задачу адресации в пределах локальной сети, обнаруживает ошибки, проверяет целостность данных. Если слышали про MAC-адреса и протокол «Ethernet», то они располагаются на этом уровне.
3) Сетевой уровень (Network Layer): этот уровень берет на себя объединения участков сети и выбор оптимального пути (т.е. маршрутизация). Каждое сетевое устройство должно иметь уникальный сетевой адрес в сети. Думаю, многие слышали про протоколы IPv4 и IPv6. Эти протоколы работают на данном уровне.
4) Транспортный уровень (Transport Layer): Этот уровень берет на себя функцию транспорта. К примеру, когда вы скачиваете файл с Интернета, файл в виде сегментов отправляется на Ваш компьютер. Также здесь вводятся понятия портов, которые нужны для указания назначения к конкретной службе. На этом уровне работают протоколы TCP (с установлением соединения) и UDP (без установления соединения).
5) Сеансовый уровень (Session Layer): Роль этого уровня в установлении, управлении и разрыве соединения между двумя хостами. К примеру, когда открываете страницу на веб-сервере, то Вы не единственный посетитель на нем. И вот для того, чтобы поддерживать сеансы со всеми пользователями, нужен сеансовый уровень.
6) Уровень представления (Presentation Layer): Он структурирует информацию в читабельный вид для прикладного уровня. Например, многие компьютеры используют таблицу кодировки ASCII для вывода текстовой информации или формат jpeg для вывода графического изображения.
7) Прикладной уровень (Application Layer): Наверное, это самый понятный для всех уровень. Как раз на этом уроне работают привычные для нас приложения — e-mail, браузеры по протоколу HTTP, FTP и остальное.
Самое главное помнить, что нельзя перескакивать с уровня на уровень (Например, с прикладного на канальный, или с физического на транспортный). Весь путь должен проходить строго с верхнего на нижний и с нижнего на верхний. Такие процессы получили название инкапсуляция (с верхнего на нижний) и деинкапсуляция (с нижнего на верхний). Также стоит упомянуть, что на каждом уровне передаваемая информация называется по-разному.
На прикладном, представления и сеансовым уровнях, передаваемая информация обозначается как PDU (Protocol Data Units). На русском еще называют блоки данных, хотя в моем круге их называют просто данные).
Информацию транспортного уровня называют сегментами. Хотя понятие сегменты, применимо только для протокола TCP. Для протокола UDP используется понятие — датаграмма. Но, как правило, на это различие закрывают глаза.
На сетевом уровне называют IP пакеты или просто пакеты.
И на канальном уровне — кадры. С одной стороны это все терминология и она не играет важной роли в том, как вы будете называть передаваемые данные, но для экзамена эти понятия лучше знать. Итак, приведу свой любимый пример, который помог мне, в мое время, разобраться с процессом инкапсуляции и деинкапусуляции:
1) Представим ситуацию, что вы сидите у себя дома за компьютером, а в соседней комнате у вас свой локальный веб-сервер. И вот вам понадобилось скачать файл с него. Вы набираете адрес страницы вашего сайта. Сейчас вы используете протокол HTTP, которые работает на прикладном уровне. Данные упаковываются и спускаются на уровень ниже.
2) Полученные данные прибегают на уровень представления. Здесь эти данные структурируются и приводятся в формат, который сможет быть прочитан на сервере. Запаковывается и спускается ниже.
3) На этом уровне создается сессия между компьютером и сервером.
4) Так как это веб сервер и требуется надежное установление соединения и контроль за принятыми данными, используется протокол TCP. Здесь мы указываем порт, на который будем стучаться и порт источника, чтобы сервер знал, куда отправлять ответ. Это нужно для того, чтобы сервер понял, что мы хотим попасть на веб-сервер (стандартно — это 80 порт), а не на почтовый сервер. Упаковываем и спускаем дальше.
5) Здесь мы должны указать, на какой адрес отправлять пакет. Соответственно, указываем адрес назначения (пусть адрес сервера будет 192.168.1.2) и адрес источника (адрес компьютера 192.168.1.1). Заворачиваем и спускаем дальше.
6) IP пакет спускается вниз и тут вступает в работу канальный уровень. Он добавляет физические адреса источника и назначения, о которых подробно будет расписано в последующей статье. Так как у нас компьютер и сервер в локальной среде, то адресом источника будет являться MAC-адрес компьютера, а адресом назначения MAC-адрес сервера (если бы компьютер и сервер находились в разных сетях, то адресация работала по-другому). Если на верхних уровнях каждый раз добавлялся заголовок, то здесь еще добавляется концевик, который указывает на конец кадра и готовность всех собранных данных к отправке.
7) И уже физический уровень конвертирует полученное в биты и при помощи электрических сигналов (если это витая пара), отправляет на сервер.
Процесс деинкапсуляции аналогичен, но с обратной последовательностью:
1) На физическом уровне принимаются электрические сигналы и конвертируются в понятную битовую последовательность для канального уровня.
2) На канальном уровне проверяется MAC-адрес назначения (ему ли это адресовано). Если да, то проверяется кадр на целостность и отсутствие ошибок, если все прекрасно и данные целы, он передает их вышестоящему уровню.
3) На сетевом уровне проверяется IP адрес назначения. И если он верен, данные поднимаются выше. Не стоит сейчас вдаваться в подробности, почему у нас адресация на канальном и сетевом уровне. Это тема требует особого внимания, и я подробно объясню их различие позже. Главное сейчас понять, как данные упаковываются и распаковываются.
4) На транспортном уровне проверяется порт назначения (не адрес). И по номеру порта, выясняется какому приложению или сервису адресованы данные. У нас это веб-сервер и номер порта — 80.
5) На этом уровне происходит установление сеанса между компьютером и сервером.
6) Уровень представления видит, как все должно быть структурировано и приводит информацию в читабельный вид.
7) И на этом уровне приложения или сервисы понимают, что надо выполнить.
Много было написано про модель OSI. Хотя я постарался быть максимально краток и осветить самое важное. На самом деле про эту модель в Интернете и в книгах написано очень много и подробно, но для новичков и готовящихся к CCNA, этого достаточно. Из вопросов на экзамене по данной модели может быть 2 вопроса. Это правильно расположить уровни и на каком уровне работает определенный протокол.
Как было написано выше, модель OSI в наше время не используется. Пока разрабатывалась эта модель, все большую популярность получал стек протоколов TCP/IP. Он был значительно проще и завоевал быструю популярность.
Вот так этот стек выглядит:
Как видно, он отличается от OSI и даже сменил название некоторых уровней. По сути, принцип у него тот же, что и у OSI. Но только три верхних уровня OSI: прикладной, представления и сеансовый объединены у TCP/IP в один, под названием прикладной. Сетевой уровень сменил название и называется — Интернет. Транспортный остался таким же и с тем же названием. А два нижних уровня OSI: канальный и физический объединены у TCP/IP в один с названием — уровень сетевого доступа. Стек TCP/IP в некоторых источниках обозначают еще как модель DoD (Department of Defence). Как говорит википедия, была разработана Министерством обороны США. Этот вопрос встретился мне на экзамене и до этого я про нее ничего не слышал. Соответственно вопрос: «Как называется сетевой уровень в модели DoD?», ввел меня в ступор. Поэтому знать это полезно.
Было еще несколько сетевых моделей, которые, какое то время держались. Это был стек протоколов IPX/SPX. Использовался с середины 80-х годов и продержался до конца 90-х, где его вытеснила TCP/IP. Был реализован компанией Novell и являлся модернизированной версией стека протоколов Xerox Network Services компании Xerox. Использовался в локальных сетях долгое время. Впервые IPX/SPX я увидел в игре «Казаки». При выборе сетевой игры, там предлагалось несколько стеков на выбор. И хоть выпуск этой игры был, где то в 2001 году, это говорило о том, что IPX/SPX еще встречался в локальных сетях.
Еще один стек, который стоит упомянуть — это AppleTalk. Как ясно из названия, был придуман компанией Apple. Создан был в том же году, в котором состоялся релиз модели OSI, то есть в 1984 году. Продержался он совсем недолго и Apple решила использовать вместо него TCP/IP.
Также хочу подчеркнуть одну важную вещь. Token Ring и FDDI — не сетевые модели! Token Ring — это протокол канального уровня, а FDDI это стандарт передачи данных, который как раз основывается на протоколе Token Ring. Это не самая важная информация, так как эти понятия сейчас не встретишь. Но главное помнить о том, что это не сетевые модели.
Вот и подошла к концу статья по первой теме. Хоть и поверхностно, но было рассмотрено много понятий. Самые ключевые будут разобраны подробнее в следующих статьях. Надеюсь теперь сети перестанут казаться чем то невозможным и страшным, а читать умные книги будет легче). Если я что-то забыл упомянуть, возникли дополнительные вопросы или у кого есть, что дополнить к этой статье, оставляйте комментарии, либо спрашивайте лично. Спасибо за прочтение. Буду готовить следующую тему.
Сервер политики сети | Microsoft Docs
- Чтение занимает 12 мин
В этой статье
Область применения: Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2019Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2019
Этот раздел содержит общие сведения о сервере политики сети в Windows Server 2016 и Windows Server 2019.You can use this topic for an overview of Network Policy Server in Windows Server 2016 and Windows Server 2019. СЕРВЕР политики сети устанавливается при установке компонента служб сетевой политики и доступа (NPAS) в Windows Server 2016 и 2019.NPS is installed when you install the Network Policy and Access Services (NPAS) feature in Windows Server 2016 and Server 2019.
Примечание
Помимо этого раздела, доступна следующая документация по NPS.In addition to this topic, the following NPS documentation is available.
Сервер сетевых политик (NPS) позволяет создавать и применять политики доступа к сети на уровне организации для проверки подлинности и авторизации сетевых подключений.Network Policy Server (NPS) allows you to create and enforce organization-wide network access policies for connection request authentication and authorization.
Вы также можете настроить сервер политики сети в качестве прокси-сервера протокол RADIUS (RADIUS) для перенаправления запросов на подключение к удаленному серверу политики сети или другим серверам RADIUS, чтобы обеспечить балансировку нагрузки запросов на подключение и пересылать их в правильный домен для проверки подлинности. и авторизация.You can also configure NPS as a Remote Authentication Dial-In User Service (RADIUS) proxy to forward connection requests to a remote NPS or other RADIUS server so that you can load balance connection requests and forward them to the correct domain for authentication and authorization.
NPS позволяет централизованно настраивать проверку подлинности, авторизацию и учет доступа к сети, а также предоставляет следующие возможности.NPS allows you to centrally configure and manage network access authentication, authorization, and accounting with the following features:
- Сервер RADIUS.RADIUS server. NPS выполняет централизованную проверку подлинности, авторизацию и учет для беспроводного подключения, коммутатора с проверкой подлинности, коммутируемого удаленного доступа и подключений виртуальной частной сети (VPN).NPS performs centralized authentication, authorization, and accounting for wireless, authenticating switch, remote access dial-up and virtual private network (VPN) connections. Если сервер политики сети используется в качестве RADIUS-сервера, серверы доступа к сети, например точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиенты на сервере политики сети.When you use NPS as a RADIUS server, you configure network access servers, such as wireless access points and VPN servers, as RADIUS clients in NPS. Кроме того, можно настроить политики сети, используемые сервером политики сети для авторизации запросов на подключение. Также можно настроить RADIUS-учет, чтобы сервер политики сети сохранял информацию в файлах журнала, хранящихся на локальном жестком диске или в базе данных Microsoft SQL Server.You also configure network policies that NPS uses to authorize connection requests, and you can configure RADIUS accounting so that NPS logs accounting information to log files on the local hard disk or in a Microsoft SQL Server database. Дополнительные сведения см. в разделе сервер RADIUS.For more information, see RADIUS server.
- Прокси-сервер RADIUS.RADIUS proxy. При использовании NPS в качестве прокси-сервера RADIUS вы настраиваете политики запросов на подключение, которые сообщают серверу политики сети, какие запросы на подключение перенаправляются на другие серверы RADIUS, и на какие серверы RADIUS требуется перенаправлять запросы на подключение.When you use NPS as a RADIUS proxy, you configure connection request policies that tell the NPS which connection requests to forward to other RADIUS servers and to which RADIUS servers you want to forward connection requests. На сервере политики сети можно также настроить переадресацию данных учета для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов.You can also configure NPS to forward accounting data to be logged by one or more computers in a remote RADIUS server group. Сведения о настройке NPS в качестве прокси-сервера RADIUS см. в следующих разделах.To configure NPS as a RADIUS proxy server, see the following topics. Дополнительные сведения см. в разделе RADIUS proxy.For more information, see RADIUS proxy.
- Учет RADIUS.RADIUS accounting. Сервер политики сети можно настроить для ведения журнала событий в локальном файле журнала или на локальном или удаленном экземпляре Microsoft SQL Server.You can configure NPS to log events to a local log file or to a local or remote instance of Microsoft SQL Server. Дополнительные сведения см. в разделе ведение журнала NPS.For more information, see NPS logging.
Важно!
Защита доступа к сети ()NAP, центр регистрации работоспособности ()HRA и Протокол авторизации учетных данных узла (HCAP) были устаревшими в Windows Server 2012 R2 и недоступны в Windows Server 2016.Network Access Protection (NAP), Health Registration Authority (HRA), and Host Credential Authorization Protocol (HCAP) were deprecated in Windows Server 2012 R2, and are not available in Windows Server 2016. При наличии развертывания NAP с использованием операционных систем, предшествующих Windows Server 2016, вы не сможете перенести развертывание NAP на Windows Server 2016.If you have a NAP deployment using operating systems earlier than Windows Server 2016, you cannot migrate your NAP deployment to Windows Server 2016.
Вы можете настроить NPS с помощью любого сочетания этих функций.You can configure NPS with any combination of these features. Например, можно настроить один сервер политики сети в качестве сервера RADIUS для VPN-подключений, а также прокси-сервер RADIUS для пересылки некоторых запросов на подключение членам группы удаленных серверов RADIUS для проверки подлинности и авторизации в другом домене.For example, you can configure one NPS as a RADIUS server for VPN connections and also as a RADIUS proxy to forward some connection requests to members of a remote RADIUS server group for authentication and authorization in another domain.
Выпуски Windows Server и NPSWindows Server Editions and NPS
Сервер политики сети предоставляет различные функциональные возможности в зависимости от установленного выпуска Windows Server.NPS provides different functionality depending on the edition of Windows Server that you install.
Windows Server 2016 или Windows Server 2019 Standard/Datacenter EditionWindows Server 2016 or Windows Server 2019 Standard/Datacenter Edition
С NPS в Windows Server 2016 Standard или Datacenter можно настроить неограниченное число RADIUS-клиентов и удаленных групп RADIUS-серверов.With NPS in Windows Server 2016 Standard or Datacenter, you can configure an unlimited number of RADIUS clients and remote RADIUS server groups. Кроме того, для настройки клиентов RADIUS можно использовать диапазон IP-адресов.In addition, you can configure RADIUS clients by specifying an IP address range.
Примечание
Компонент «службы политики сети и доступа WIndows» недоступен в системах, установленных с параметром установки Server Core.The WIndows Network Policy and Access Services feature is not available on systems installed with a Server Core installation option.
Следующие разделы содержат более подробные сведения о сервере политики сети в качестве сервера RADIUS и прокси.The following sections provide more detailed information about NPS as a RADIUS server and proxy.
RADIUS-сервер и проксиRADIUS server and proxy
Сервер политики сети можно использовать в качестве сервера RADIUS, прокси-сервера RADIUS или и того, и другого.You can use NPS as a RADIUS server, a RADIUS proxy, or both.
RADIUS-серверRADIUS server
Сервер политики сети — это реализация Майкрософт стандарта RADIUS, заданная в (IETF) в RFC 2865 и 2866.NPS is the Microsoft implementation of the RADIUS standard specified by the Internet Engineering Task Force (IETF) in RFCs 2865 and 2866. В качестве RADIUS-сервера сервер политики сети выполняет централизованное подключение, авторизацию и учет для многих типов сетевого доступа, включая беспроводную сеть, коммутатор с проверкой подлинности, коммутируемое подключение и виртуальную частную сеть (VPN) удаленного доступа и подключений между маршрутизаторами.As a RADIUS server, NPS performs centralized connection authentication, authorization, and accounting for many types of network access, including wireless, authenticating switch, dial-up and virtual private network (VPN) remote access, and router-to-router connections.
NPS позволяет использовать разнородный набор беспроводных, коммутаторов, удаленного доступа или оборудования VPN.NPS enables the use of a heterogeneous set of wireless, switch, remote access, or VPN equipment. Сервер политики сети можно использовать со службой удаленного доступа, которая доступна в Windows Server 2016.You can use NPS with the Remote Access service, which is available in Windows Server 2016.
NPS использует службы домен Active Directory Services (AD DS) домена или учетные записи локальных учетных записей безопасности (SAM) для проверки подлинности учетных данных пользователя при попытке подключения.NPS uses an Active Directory Domain Services (AD DS) domain or the local Security Accounts Manager (SAM) user accounts database to authenticate user credentials for connection attempts. Если сервер службы NPS входит в домен AD DS, служба NPS использует службу каталогов в качестве базы данных учетных записей пользователей и является частью решения единого входа.When a server running NPS is a member of an AD DS domain, NPS uses the directory service as its user account database and is part of a single sign-on solution. Один и тот же набор учетных данных используется для контроля доступа к сети (проверки подлинности и авторизации доступа к сетевым) и для входа в домен AD DS.The same set of credentials is used for network access control (authenticating and authorizing access to a network) and to log on to an AD DS domain.
Примечание
NPS использует свойства входящих звонков учетной записи пользователя и политики сети для авторизации подключения.NPS uses the dial-in properties of the user account and network policies to authorize a connection.
Поставщики услуг Интернета (поставщики услуг Интернета) и организации, которые поддерживают доступ к сети, имеют повышенную сложность управления доступом к сети из одной точки администрирования, независимо от типа используемого оборудования сетевого доступа.Internet service providers (ISPs) and organizations that maintain network access have the increased challenge of managing all types of network access from a single point of administration, regardless of the type of network access equipment used. Стандарт RADIUS поддерживает эту функциональность как в однородных, так и в разнородных средах.The RADIUS standard supports this functionality in both homogeneous and heterogeneous environments. RADIUS — это протокол клиент-сервер, который позволяет использовать оборудование сетевого доступа (используется в качестве клиентов RADIUS) для отправки запросов на проверку подлинности и учетные данные на сервер RADIUS.RADIUS is a client-server protocol that enables network access equipment (used as RADIUS clients) to submit authentication and accounting requests to a RADIUS server.
Сервер RADIUS имеет доступ к сведениям об учетной записи пользователя и может проверять учетные данные для проверки подлинности доступа к сети.A RADIUS server has access to user account information and can check network access authentication credentials. Если учетные данные пользователя проходят проверку подлинности, а попытки подключения авторизованы, сервер RADIUS авторизует доступ пользователей на основе указанных условий, а затем записывает подключение к сети в журнал учета.If user credentials are authenticated and the connection attempt is authorized, the RADIUS server authorizes user access on the basis of specified conditions, and then logs the network access connection in an accounting log. Использование RADIUS позволяет собирать и хранить данные проверки подлинности, авторизации и учета пользователей сети в центральном расположении, а не на каждом сервере доступа.The use of RADIUS allows the network access user authentication, authorization, and accounting data to be collected and maintained in a central location, rather than on each access server.
Использование сервера политики сети в качестве сервера RADIUSUsing NPS as a RADIUS server
Сервер политики сети можно использовать в качестве сервера RADIUS в следующих случаях:You can use NPS as a RADIUS server when:
- Вы используете домен AD DS или локальную базу данных учетных записей пользователей SAM в качестве базы данных учетных записей пользователей для доступа к клиентам.You are using an AD DS domain or the local SAM user accounts database as your user account database for access clients.
- Вы используете удаленный доступ на нескольких серверах удаленного доступа, VPN-серверах или маршрутизаторах вызова по требованию и хотите централизовать настройку сетевых политик, а также ведение журнала подключения и учета.You are using Remote Access on multiple dial-up servers, VPN servers, or demand-dial routers and you want to centralize both the configuration of network policies and connection logging and accounting.
- Вы набираете связь через коммутируемый, VPN-или беспроводный доступ к поставщику услуг.You are outsourcing your dial-up, VPN, or wireless access to a service provider. Серверы доступа используют RADIUS для проверки подлинности и авторизации подключений, произведенных членами вашей организации.The access servers use RADIUS to authenticate and authorize connections that are made by members of your organization.
- Необходимо централизовать проверку подлинности, авторизацию и учет для разнородного набора серверов доступа.You want to centralize authentication, authorization, and accounting for a heterogeneous set of access servers.
На следующем рисунке показан сервер политики сети в качестве сервера RADIUS для различных клиентов доступа.The following illustration shows NPS as a RADIUS server for a variety of access clients.
RADIUS-проксиRADIUS proxy
В качестве прокси-сервера RADIUS сервер политики сети перенаправляет сообщения проверки подлинности и учета на сервер политики сети и другие серверы RADIUS.As a RADIUS proxy, NPS forwards authentication and accounting messages to NPS and other RADIUS servers. Сервер политики сети можно использовать в качестве прокси-сервера RADIUS для предоставления маршрутизации сообщений RADIUS между клиентами RADIUS (также называемых серверами сетевого доступа) и серверами RADIUS, выполняющими проверку подлинности пользователей, авторизацию и учет при попытке подключения.You can use NPS as a RADIUS proxy to provide the routing of RADIUS messages between RADIUS clients (also called network access servers) and RADIUS servers that perform user authentication, authorization, and accounting for the connection attempt.
При использовании в качестве прокси-сервера RADIUS сервер политики сети является центральным коммутатором или точкой маршрутизации, через которую проходят сообщения о доступе и учете RADIUS.When used as a RADIUS proxy, NPS is a central switching or routing point through which RADIUS access and accounting messages flow. NPS записывает сведения в журнал учета о перенаправляемых сообщениях.NPS records information in an accounting log about the messages that are forwarded.
Использование NPS в качестве прокси-сервера RADIUSUsing NPS as a RADIUS proxy
NPS можно использовать в качестве прокси-сервера RADIUS в следующих случаях:You can use NPS as a RADIUS proxy when:
- Вы являетесь поставщиком услуг, который предоставляет доступ к нескольким клиентам через коммутируемые, VPN-или беспроводные сетевые службы доступа.You are a service provider who offers outsourced dial-up, VPN, or wireless network access services to multiple customers. Серверы NAS отправляют запросы на подключение к прокси-серверу сервера политики сети.Your NASs send connection requests to the NPS RADIUS proxy. В зависимости от части имени пользователя в запросе на подключение прокси-сервер NPS перенаправляет запрос на соединение на сервер RADIUS, обслуживаемый клиентом, и может пройти проверку подлинности и авторизовать попытку подключения.Based on the realm portion of the user name in the connection request, the NPS RADIUS proxy forwards the connection request to a RADIUS server that is maintained by the customer and can authenticate and authorize the connection attempt.
- Необходимо обеспечить проверку подлинности и авторизацию для учетных записей пользователей, которые не входят в домен, членом которого является сервер политики сети или другой домен, имеющий двустороннее доверие с доменом, в котором находится сервер политики сети.You want to provide authentication and authorization for user accounts that are not members of either the domain in which the NPS is a member or another domain that has a two-way trust with the domain in which the NPS is a member. Сюда входят учетные записи в недоверенных доменах, односторонние доверенные домены и другие леса.This includes accounts in untrusted domains, one-way trusted domains, and other forests. Вместо настройки серверов доступа для отправки запросов на подключение на сервер политики сети RADIUS можно настроить их на отправку запросов на подключение к прокси-серверу сервера политики сети.Instead of configuring your access servers to send their connection requests to an NPS RADIUS server, you can configure them to send their connection requests to an NPS RADIUS proxy. Прокси-сервер NPS RADIUS использует имя области в имени пользователя и перенаправляет запрос на сервер политики сети в правильном домене или лесу.The NPS RADIUS proxy uses the realm name portion of the user name and forwards the request to an NPS in the correct domain or forest. Попытки подключения учетных записей пользователей в одном домене или лесу могут проходить проверку подлинности для серверов NAS в другом домене или лесу.Connection attempts for user accounts in one domain or forest can be authenticated for NASs in another domain or forest.
- Необходимо выполнить проверку подлинности и авторизацию, используя базу данных, которая не является базой данных учетных записей Windows.You want to perform authentication and authorization by using a database that is not a Windows account database. В этом случае запросы на подключение, соответствующие заданному имени области, перенаправляются на сервер RADIUS, который имеет доступ к другой базе данных учетных записей пользователей и данных авторизации.In this case, connection requests that match a specified realm name are forwarded to a RADIUS server, which has access to a different database of user accounts and authorization data. К примерам других пользовательских баз данных относятся службы Novell Directory Services (NDS) и базы данных язык SQL (SQL).Examples of other user databases include Novell Directory Services (NDS) and Structured Query Language (SQL) databases.
- Необходимо обработать большое количество запросов на соединение.You want to process a large number of connection requests. В этом случае вместо настройки клиентов RADIUS для распределения запросов на подключение и учет на нескольких серверах RADIUS можно настроить их для отправки запросов на подключение и учет на прокси-сервер NPS.In this case, instead of configuring your RADIUS clients to attempt to balance their connection and accounting requests across multiple RADIUS servers, you can configure them to send their connection and accounting requests to an NPS RADIUS proxy. Прокси-сервер NPS RADIUS динамически распределяет нагрузку на запросы подключения и учета на нескольких серверах RADIUS и увеличивает обработку большого количества клиентов RADIUS и проверок подлинности в секунду.The NPS RADIUS proxy dynamically balances the load of connection and accounting requests across multiple RADIUS servers and increases the processing of large numbers of RADIUS clients and authentications per second.
- Вы хотите предоставить проверку подлинности и авторизацию RADIUS для поставщиков услуг, а также минимальную конфигурацию брандмауэра интрасети.You want to provide RADIUS authentication and authorization for outsourced service providers and minimize intranet firewall configuration. Брандмауэр интрасети находится между сетью периметра (сетью между интрасетью и Интернетом) и интрасетью.An intranet firewall is between your perimeter network (the network between your intranet and the Internet) and intranet. Поместив NPS в сеть периметра, брандмауэр между сетью периметра и интрасетью должен разрешить передачу трафика между сервером политики сети и несколькими контроллерами домена.By placing an NPS on your perimeter network, the firewall between your perimeter network and intranet must allow traffic to flow between the NPS and multiple domain controllers. Заменив NPS прокси-сервером NPS, брандмауэр должен разрешить потоковую передачу трафика RADIUS между прокси-сервером NPS и одним или несколькими НПСС в интрасети.By replacing the NPS with an NPS proxy, the firewall must allow only RADIUS traffic to flow between the NPS proxy and one or multiple NPSs within your intranet.
На следующем рисунке показан сервер политики сети в качестве прокси-сервера RADIUS между клиентами RADIUS и серверами RADIUS.The following illustration shows NPS as a RADIUS proxy between RADIUS clients and RADIUS servers.
С помощью NPS организации могут также использовать инфраструктуру удаленного доступа для поставщика услуг, сохраняя контроль над проверкой подлинности, авторизацией и учетом пользователей.With NPS, organizations can also outsource remote access infrastructure to a service provider while retaining control over user authentication, authorization, and accounting.
Конфигурации NPS можно создавать в следующих сценариях:NPS configurations can be created for the following scenarios:
- Беспроводной доступWireless access
- Удаленный доступ Организации по коммутируемому телефону или виртуальной частной сети (VPN)Organization dial-up or virtual private network (VPN) remote access
- Коммутируемый или беспроводный доступ через внешнего источникаOutsourced dial-up or wireless access
- Доступ к сети ИнтернетInternet access
- Доступ с проверкой подлинности к ресурсам экстрасети для бизнес-партнеровAuthenticated access to extranet resources for business partners
Примеры конфигурации RADIUS-сервера и прокси-серверов RADIUSRADIUS server and RADIUS proxy configuration examples
В следующих примерах конфигурации показано, как можно настроить сервер политики сети в качестве сервера RADIUS и прокси-сервера RADIUS.The following configuration examples demonstrate how you can configure NPS as a RADIUS server and a RADIUS proxy.
Сервер политики сети в качестве сервера RADIUS.NPS as a RADIUS server. В этом примере сервер политики сети настроен в качестве сервера RADIUS, политика запросов на подключение по умолчанию — единственная настроенная политика, а все запросы на подключение обрабатываются локальным сервером политики сети.In this example, NPS is configured as a RADIUS server, the default connection request policy is the only configured policy, and all connection requests are processed by the local NPS. NPS может выполнять проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене сервера политики сети и в доверенных доменах.The NPS can authenticate and authorize users whose accounts are in the domain of the NPS and in trusted domains.
NPS как прокси-сервер RADIUS.NPS as a RADIUS proxy. В этом примере NPS настраивается в качестве прокси-сервера RADIUS, который перенаправляет запросы на подключение к удаленным группам серверов RADIUS в двух недоверенных доменах.In this example, the NPS is configured as a RADIUS proxy that forwards connection requests to remote RADIUS server groups in two untrusted domains. Политика запросов на подключение по умолчанию удаляется, и создаются две новые политики запросов на подключение для перенаправления запросов к каждому из двух недоверенных доменов.The default connection request policy is deleted, and two new connection request policies are created to forward requests to each of the two untrusted domains. В этом примере NPS не обрабатывает запросы на подключение на локальном сервере.In this example, NPS does not process any connection requests on the local server.
В качестве сервера RADIUS и RADIUS-прокси.NPS as both RADIUS server and RADIUS proxy. В дополнение к политике запросов на подключение по умолчанию, которая указывает, что запросы на подключение обрабатываются локально, создается новая политика запросов на подключение, которая перенаправляет запросы на подключение к NPS или другому серверу RADIUS в домене, не являющемся доверенным.In addition to the default connection request policy, which designates that connection requests are processed locally, a new connection request policy is created that forwards connection requests to an NPS or other RADIUS server in an untrusted domain. Вторая политика называется прокси-политикой.This second policy is named the Proxy policy. В этом примере политика прокси-сервера отображается первой в упорядоченном списке политик.In this example, the Proxy policy appears first in the ordered list of policies. Если запрос на подключение соответствует политике прокси, запрос на подключение перенаправляется на сервер RADIUS в группе удаленных серверов RADIUS.If the connection request matches the Proxy policy, the connection request is forwarded to the RADIUS server in the remote RADIUS server group. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запросов на подключение по умолчанию, NPS обрабатывает запрос на подключение на локальном сервере.If the connection request does not match the Proxy policy but does match the default connection request policy, NPS processes the connection request on the local server. Если запрос на подключение не соответствует ни одной из политик, он отбрасывается.If the connection request does not match either policy, it is discarded.
Сервер политики сети в качестве сервера RADIUS с удаленными серверами учета.NPS as a RADIUS server with remote accounting servers. В этом примере локальный сервер политики сети не настроен для выполнения учета, и изменена политика запросов на подключение по умолчанию, поэтому сообщения учета RADIUS перенаправляются на сервер политики сети или другой RADIUS в группе удаленных серверов RADIUS.In this example, the local NPS is not configured to perform accounting and the default connection request policy is revised so that RADIUS accounting messages are forwarded to an NPS or other RADIUS server in a remote RADIUS server group. Несмотря на то, что сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный сервер политики сети выполняет эти функции для локального домена и всех доверенных доменов.Although accounting messages are forwarded, authentication and authorization messages are not forwarded, and the local NPS performs these functions for the local domain and all trusted domains.
Сервер политики сети с сопоставлением удаленных RADIUS и пользователей Windows.NPS with remote RADIUS to Windows user mapping. В этом примере сервер политики сети выступает в качестве сервера RADIUS и прокси-сервера RADIUS для каждого отдельного запроса на подключение, перенаправляя запрос проверки подлинности на удаленный сервер RADIUS при использовании локальной учетной записи пользователя Windows для авторизации.In this example, NPS acts as both a RADIUS server and as a RADIUS proxy for each individual connection request by forwarding the authentication request to a remote RADIUS server while using a local Windows user account for authorization. Эта конфигурация реализуется путем настройки атрибута сопоставления пользователя Remote RADIUS to Windows в качестве условия политики запросов на подключение.This configuration is implemented by configuring the Remote RADIUS to Windows User Mapping attribute as a condition of the connection request policy. (Кроме того, учетная запись пользователя должна быть создана локально на сервере RADIUS, имя которого совпадает с именем удаленной учетной записи пользователя, для которой выполняется проверка подлинности на удаленном RADIUS-сервере.)(In addition, a user account must be created locally on the RADIUS server that has the same name as the remote user account against which authentication is performed by the remote RADIUS server.)
КонфигурацияConfiguration
Чтобы настроить NPS в качестве сервера RADIUS, можно использовать стандартную конфигурацию или расширенную конфигурацию в консоли NPS или в диспетчер сервера.To configure NPS as a RADIUS server, you can use either standard configuration or advanced configuration in the NPS console or in Server Manager. Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо использовать расширенную конфигурацию.To configure NPS as a RADIUS proxy, you must use advanced configuration.
Стандартная конфигурацияStandard configuration
С помощью стандартных конфигураций предоставляются мастера, помогающие настроить NPS для следующих сценариев.With standard configuration, wizards are provided to help you configure NPS for the following scenarios:
- RADIUS-сервер для подключений удаленного доступа или VPNRADIUS server for dial-up or VPN connections
- RADIUS-сервер для беспроводных или проводных подключений 802.1 XRADIUS server for 802.1X wireless or wired connections
Чтобы настроить NPS с помощью мастера, откройте консоль NPS, выберите один из предыдущих сценариев, а затем щелкните ссылку, которая открывает мастер.To configure NPS using a wizard, open the NPS console, select one of the preceding scenarios, and then click the link that opens the wizard.
Расширенная настройкаAdvanced configuration
При использовании расширенной конфигурации вы вручную настраиваете сервер политики сети в качестве сервера RADIUS или прокси-сервера RADIUS.When you use advanced configuration, you manually configure NPS as a RADIUS server or RADIUS proxy.
Чтобы настроить NPS с помощью расширенной конфигурации, откройте консоль NPS и щелкните стрелку рядом с дополнительными настройками , чтобы развернуть этот раздел.To configure NPS by using advanced configuration, open the NPS console, and then click the arrow next to Advanced Configuration to expand this section.
Предоставляются следующие дополнительные элементы конфигурации.The following advanced configuration items are provided.
Настройка сервера RADIUSConfigure RADIUS server
Чтобы настроить NPS в качестве сервера RADIUS, необходимо настроить клиенты RADIUS, сетевую политику и учет RADIUS.To configure NPS as a RADIUS server, you must configure RADIUS clients, network policy, and RADIUS accounting.
Инструкции по выполнению этих конфигураций см. в следующих разделах.For instructions on making these configurations, see the following topics.
Настройка прокси-сервера RADIUSConfigure RADIUS proxy
Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо настроить клиенты RADIUS, группы удаленных RADIUS-серверов и политики запросов на подключение.To configure NPS as a RADIUS proxy, you must configure RADIUS clients, remote RADIUS server groups, and connection request policies.
Инструкции по выполнению этих конфигураций см. в следующих разделах.For instructions on making these configurations, see the following topics.
Ведение журнала NPSNPS logging
Ведение журнала NPS также называется учетом RADIUS.NPS logging is also called RADIUS accounting. Настройте ведение журнала NPS в соответствии с требованиями независимо от того, используется ли NPS в качестве сервера RADIUS, прокси или любого сочетания этих конфигураций.Configure NPS logging to your requirements whether NPS is used as a RADIUS server, proxy, or any combination of these configurations.
Чтобы настроить ведение журнала NPS, необходимо настроить события, которые должны регистрироваться и просматриваться с Просмотр событий, а затем определить, какие другие сведения нужно заносить в журнал.To configure NPS logging, you must configure which events you want logged and viewed with Event Viewer, and then determine which other information you want to log. Кроме того, необходимо решить, нужно ли регистрировать данные проверки подлинности и учета пользователей в текстовых файлах журнала, хранящихся на локальном компьютере или в SQL Server базе данных на локальном или удаленном компьютере.In addition, you must decide whether you want to log user authentication and accounting information to text log files stored on the local computer or to a SQL Server database on either the local computer or a remote computer.
Дополнительные сведения см. в разделе Настройка учета сервера политики сети.For more information, see Configure Network Policy Server Accounting.
Мы начинаем публикацию цикла статей на тему развертывания небольшой (в пределах дома или небольшого офиса) локальной сети и подключения ее к Интернет.
Полагаю, актуальность этого материала на сегодня довольно высока, так как только за последние пару месяцев несколько моих знакомых, неплохо знающие компьютеры в целом, задавали мне вопросы на сетевые темы, которые я считал очевидными. Видимо таковыми они являются далеко не для всех 😉
По ходу статьи будут использованы термины из сетевой области, большинство их них объясняется в мини-ЧаВо о сетях, составленного Дмитрием Редько.
К сожалению, этот материал давно не обновляется. Хотя он и не потерял актуальности, но в нем довольно много пробелов, поэтому, если найдутся добровольцы эти пробелы заполнить, пишите на емейл, указанный в конце этой статьи.
При первом использовании сетевого термина, с него будет идти гиперссылка на объяснение оного в ЧаВо. Если некоторые термины не будут объяснены по ходу статьи или в ЧаВо, не стесняйтесь упомянуть этот факт в конференции, где эта статья будет обсуждаться.
Итак. В первой части будет рассмотрен самый простой случай. Имеем 2 или более компьютеров со встроенной в материнскую плату или установленной отдельно сетевой картой, коммутатор (switch) или даже без него, а так же канал в Интернет, предоставленный ближайшим провайдером.
Зафиксируем, что на всех компьютерах установлена операционная система Microsoft Windows XP Professional с Service Pack версии 1. Не буду утверждать, что это наиболее массовая ОС, установленная сейчас на компьютерах, но рассматривать все существующие семейства той же Microsoft довольно долго (но, если найдется много страждущих, проанализируем и другие). Версия языка ОС – English. На русской версии все будет работать аналогичным образом, читателям надо будет лишь найти соответствия русских аналогов названий в представленных ниже скришнотах.
Если у нас всего лишь два компьютера и в наличии нет коммутатора, то для создания сети между двумя компьютерами требуется наличие сетевой карты в каждом из них и кросс-овер кабель для объединения компьютеров друг с другом.
Почему кросс-овер и чем плох обычный кабель? В стандартах Ethernet на 10 и 100Мбит (10Base-T и 100Base-TX) для витой пары используется 4 провода (две свитых меж собой пары проводов). Обычно в кабеле, типа витая пара, 8 проводов, но из них используются только 4 (все восемь применяются в Gigabit Ethernet).
В разъемах типа MDI, установленных на сетевых картах, контакты 1 и 2 отвечают за передачу, 3, 6 — за прием. Если совместить контакты двух сетевых карт прямым кабелем (один к одному), то ничего не будет работать, что очевидно из рисунка:
MDI порт сетевой карты1,
| MDI порт сетевой карты2
|
На обеих сетевых картах, в случае прямого провода, совмещаются пары 3,6, отвечающие за прием (обе будут ждать передачи, слушать линию) и пары 1,2, отвечающие за передачу (обе будут пытаться передавать, но их никто не услышит). Эту проблему исправляет кросс-овер кабель, он перекрещивает пары проводов 1,2 и 3,4, т.е. меняет их местами. Таким образом, сигнал из 1,2 пары пойдет в 3,6 пару второй сетевой карты, а из 3,6 — в 1,2.
Два коммутатора между собой объединяются по тому же принципу (на коммутаторах стоят разъемы MDI-X, для их соединения необходим тот же самый кроссовер кабель).
А теперь возвращаемся к нашей сети из двух компьютеров. Если пропустить теорию, то для соединения вышеназванных машин нам нужно или купить готовый кроссовер кабель, или обжать его самостоятельно, воспользовавшись обжимным инструментом.
После получения кабеля, соединяем с помощью него сетевые карты компьютеров и вуаля — все должно заработать (на физическом уровне). Для проверки работоспособности сети на физическом уровне (уровне сигналов) имеет смысл посмотреть на индикаторы (чаще всего зеленого цвета), которые расположены на сетевой карте вблизи RJ-45 разъема. Как минимум один из них должен отвечать за индикацию наличия линка (физического соединения). Если загорелись индикаторы на обеих сетевых картах, то физический линк есть, кабель обжат верно. Горящий индикатор лишь на одной из двух карт не говорит о том, что на физическом уровне все в порядке. Мерцание этих (или соседних) индикаторов сигнализирует о передаче данных между компьютерами. Если индикаторы на обеих картах не горят, то с большой вероятностью неверно обжат или он поврежден кабель. Так же возможно, что одна из сетевых карт вышла из строя.
Конечно, описанное в предыдущем абзаце не означает, что операционная система видит сетевую карту. Горение индикаторов говорит лишь о наличии физического линка между компьютерами, не более того. Чтобы Windows увидела сетевую карту, нужен драйвер этой карты (обычно, операционка сама находит нужный и ставит его автоматически). Цитата из форума: «Как раз вчера диагностировал случай с подключенной сетевухой, не до конца вставленной в PCI-разъем. В результате “физически” сеть работала, но ОС ее не видела.».
Рассмотрим вторую ситуацию. Имеется коммутатор и два или более компьютера. Если два компьютера еще можно соединить без коммутатора, то если их три (или больше), то их объединение без свича является проблемой. Хотя проблема и разрешима — для объединения трех компьютеров нужно в один из них вставить две сетевые карты, перевести этот компьютер в режим маршрутизатора (роутера) и соединить его с двумя оставшимися машинами. Но описание этого процесса уже выходит за рамки этой статьи. Остановимся на том, что для объединения в одну локальную сеть трех и более компьютеров нужен коммутатор (тем не менее, есть и другие варианты: можно объединять компьютеры с посощью FireWire интерфейса или USB DataLink кабеля; а так же с помощью беспроводных (WiFi) карт, переведенных в Ad Hoc режим функционирования… но об этом в следующих сериях).
К коммутатору компьютеры подсоединяются прямым кабелем. Какой вариант заделки (568A или 568B) будет выбран — абсолютно не важно. Главное помнить, что с обеих сторон кабеля она (заделка) совпадала.
После обжима кабеля (или покупки оного в магазине), и подсоединения всех имеющихся компьютеров к коммутатору, следует проверить наличие физического линка. Проверка протекает аналогично вышеописанному способу для двух компьютеров. На коммутаторе рядом с портами так же должны присутствовать индикаторы, сигнализирующие о наличии физического соединения. Вполне может оказаться, что индикаторы находятся не рядом (сверху, сбоку, снизу) с портом, а вынесены на отдельную панель. В таком случае они будут пронумерованы в соответствии с номерами портов.
Добравшись до этого абзаца, мы уже имеем физически объединенные в локальную сеть 2 или более компьютеров. Переходим к настройке операционной системы.
Для начала, проверим правильность установок IP-адресации у сетевой карты. По-умолчанию, ОС Windows (2K/XP) сама назначает нужные IP адреса картам, но лучше в этом убедится самим.
Идем в настройки сетевой карты. Это можно сделать двумя путями, через панель управления (Start —> Control Panel —> Network Connection)
Или, если сетевое окружение (Network Places) вынесено на рабочий стол, то достаточно кликнуть по нему правой кнопкой и выбрать Properties (Свойства).
В появившемся окне выбираем нужный сетевой адаптер (обычно он там один). Новое окно сообщает нам довольно много информации. Во-первых, статус соединения (в данном случае — Connected, т.е. физическое подключение есть) и его скорость (100 Мбит). А так же количество посланных и принятых пакетов. Если кол-во принимаемых пакетов равно нулю, а в сети находится более одного компьютера (включенными), то это, возможно, указывает на неисправность нашей сетевой карты или порта коммутатора (если компьютер подключен к нему). Так же возможна неисправность самого кабеля.
Выбрав закладку Support, можно узнать текущий IP адрес и маску подсети, назначенные сетевой карте. По умолчанию, ОС Windows дают адаптерам IP адреса их диапазона 169.254.0.0 — 169.254.255.254 с маской подсети 255.255.0.0. Обсуждение масок, классов подсетей и так далее выходит за рамки этой статьи. Главное запомнить, что маска подсети у всех компьютеров из одной сети должна совпадать, а IP адреса — различаться. Но опять таки, цифры IP адреса, которые совпадают по позициям с ненулевыми цифрами маски подсети, у всех компьютерах должны быть одинаковыми, т.е. в данном примере у всех хостов из локальной сети в IP адресе будут совпадать две первые позиции цифр — 169.254.
IP-настройки сетевой карты могут задаваться и вручную (Свойства сетевого адаптера —> Properties —> Internet Protocol (TCP/IP) —> Properties). Но в большинстве случаев имеет смысл выставить настройки в значение по умолчанию (автоматическое определение IP адреса и DNS) и операционная система настроит сетевые адаптеры сама.
Кроме сетевых адресов, всем компьютерам нужно задать одинаковое имя рабочей группы. Это настраивается в настройках системы (System Properties). Туда можно попасть через панель управления (System —> Computer Name). Разумеется, можно задавать и разные имена рабочим группам. Это удобно, если у вас много компьютеров в сети и нужно как то логически разделить работающие машины между собой. Следствием этого станет появление нескольких рабочих групп в сетевом окружении (вместо одной).
или, если значок My Computer был выведен на рабочий стол, то правым кликом мыши на этом значке и выборе (Properties —> Computer Name).
В появившемся окне (появляющимся после нажатия кнопки Change) можно изменить имя компьютера (каждой машине — свое уникальное имя). И тут же надо ввести название рабочей группы. У всех компьютеров в локальной сети название рабочей группы должно совпадать.
После этого ОС попросит перезагрузиться, что и нужно будет сделать.
На любом из компьютеров можно «расшаривать» (т.е. выкладывать в общий доступ) директории. Это делается следующим образом:
В проводнике жмем правой кнопкой на директорию, выбираем Свойства (Properties).
Выкладывание директорий в общий доступ осуществляется в закладке Sharing. В первый раз нам предложат согласиться, что мы понимаем то, что делаем.
Во все последующие — достаточно лишь поставить галку в поле Share this foldier (к директории будет открыт доступ по сети только в режиме чтения). Если нужно разрешить изменение данных по сети, то придется поставить галку в поле Allow Network User to Change my Files.
После подтверждения (нажатия OK), значок директории сменится на тот, что показан на скриншоте.
С других компьютеров получить доступ к расшаренным директориям можно, зайдя в сетевое окружение (My Network Places), находящееся в меню Пуск или на рабочем столе, выбрав View Workgroup Computers,
а затем щелкнуть на нужном имени компьютера.
Выложенные в общий доступ директории будут представлены в появившемся окне.
После выбора любой из них можно работать с ними так же, как будто они расположены на локальном компьютере (но, если разрешение на изменение файлов при шаринге директории не было активировано, то изменять файлы не получится, только смотреть и копировать).
Обращаю внимание, что вышеописанный метод без проблем будет работать, если на обоих компьютерах (на котором директория была расшарена и который пытается получить к ней доступ по сети) были заведены одинаковые имена пользователей с одинаковыми паролями. Другими словами, если вы, работая под пользователем USER1, выложили в общий доступ директорию, то что бы получить к ней доступ с другого компьютера, на нем так же должен быть создан пользователь USER1 с тем же самым паролем (что и на первом компьютере). Права пользователя USER1 на другом компьютере (том, с которого пытаются получить доступ к расшаренному ресурсу) могут быть минимальными (достаточно дать ему гостевые права).
Если вышеописанное условие не выполняется, могут возникнуть проблемы с доступом к расшаренным директориям (выпадающие окошки с надписями вида отказано в доступе и тд). Этих проблем можно избежать, активировав гостевой аккаунт. Правда в этом случае ЛЮБОЙ пользователь внутри локальной сети сможет увидеть ваши расшаренные директории (а в случае сетевого принтера — печатать на нем) и, если там было разрешено изменение файлов сетевыми пользователями, то любой сможет их изменять, в том числе и удалять.
Активация гостевого аккаунта производится следующим образом:
Пуск —> панель управления —>
такой вид, как на скриншоте, панель управления приобретает после щелканья на кнопке Switch to Classic View (переключиться к классическому виду)
—> администрирование —> computer management —>
В появившемся окне управления компьютером выбираем закладку управления локальными пользоватлями и группами, находим гостевой (Guest) аккаунт и активируем его. По умолчанию в Windows гостевой аккаунт уже заведен в системе, но заблокирован.
Пару слов о добавлении пользователей в систему (подробнее об этом в следующих статьях). В том же менеджере управления локальными пользователями и группами, щелкаем правой кнопкой мыши на свободном месте списка пользователей, выбираем New user (добавить нового пользователя).
В появившемся окне вводим логин (в данном случае введен user2), полное имя и описание, последние два значения не обязательны ко вводу. Далее назначаем пароль (password), в следующем поле — повторяем тот же самый пароль. Снятие галки User must change password at next logon (пользователь должен сменить пароль при следующем входе в систему), дает пользователю входить в систему под заданным паролем и не будет требовать его смены при первом логоне. А галка напротив Password never expiries (пароль никогда не устареет), дает возможность пользоваться заданным паролем бесконечное время.
По умолчанию, вновь созданный пользользователь входит в группу Users (пользователи). Т.е. у пользователя будут довольно ограниченные права. Тем не менее, их будет довольно много и на локальном компьютере можно будет зайти под этим логином и вполне конфортно работать. Можно еще более ограничить права (до минимума) этого пользователя, выведя его из группы Users и введя в группу Guests (гости). Для этого жмем правой кнопкой мыши на пользователя, выбираем Properties (свойства),
Member of —> Add, в появившемся окне жмем на Advanced (дополнительно)
Жмем Find Now (найти). И в появившемся списке выбираем нужную группу (Guest, гости).
Пользователь введен в группу Guest. Осталось вывести его из группы Users: выделяем ее и щелкаем на кнопке Remove (удалить).
Более гибкое управление доступом к расшареным ресурсам можно получить, отключив режим Simple File Sharing (простой доступ к файлам) в настройках Explorer-а. Но это опять выходит за рамки текущей статьи.
Предоставление в общий доступ (расшаривание) принтеров производится аналогичным способом. На компьютере, к которому подключен принтер, выбираем его значок (через пуск —> принтеры), жмем на нем правой кнопкой мыши, выбираем свойства (properties).
Управление общим доступом к принтеру осуществляется в закладке Sharing. Нужно выбрать пункт Shared As и ввести имя принтера, под которым он будет виден в сетевом окружении.
На других компьютерах, подключенных к той же локальной сети, сетевой принтер, скорее всего, сам появится в меню принтеров. Если этого не произошло, запускаем значок Add Printer (добавить принтер),
который вызовет визард по подключению принтеров.
Указываем ему, что мы хотим подключить сетевой принтер.
В следующем меню указываем, что хотим найти принтер в сетевом окружении. Так же можно ввести прямой UNC до принтера, например, \компьютер1принтер1, воспользовавшись пунктом Connect to this Printer.
UNC (Universal Naming Convention) — Универсальный сетевой путь, используется в операционных системах от Microsoft. Представляется в виде \имя_компьютераимя_расшаренного_ресурса, где имя_компьютера = NetBIOS имя машины, а имя_расшаренного_ресурса = имя расшаренной директории, принтера или другого устройства.
Если мы выбрали пункт поиска принтера в сетевом окружении, то после нажатия кнопки Next появится окно просмотра сетевого окружения, где и нужно выбрать расшареный принтер. После этой операции, с локальной машины можно посылать документы на печать на удаленный принтер.
Итак. Мы получили работоспособную локальную сеть. Пора бы дать ей доступ в Интернет. Далее в этой статье будет рассказано, как организовать такой доступ, используя один из компьютеров в качестве маршрутизатора (роутера). Для этого в нем должно стоять две сетевых карты. Например, одна — встроенная в материнскую плату, а вторая — внешняя, вставленная в PCI слот. Или две внешние, это неважно.
Ко второй сетевой карте роутера (первая смотрит в локальную сеть) подключаем провод, идущий от провайдера. Это может быть витая пара (кроссовер или прямой кабель) от ADSL модема, так же витая пара, протянутая монтажниками локальной сети вашего района или еще что-нибудь.
Вполне возможна ситуация, что ADSL модем (или другое подобное устройство) подключается к компьютеру через USB интерфейс, тогда вторая сетевая карта не нужна вовсе. Возможно так же, что компьютер-роутер является ноутбуком, у которого есть одна сетевая карта, подключенная проводом в локальную сеть и WI-FI (беспроводная) сетевая карта, подключенная к беспроводной сети провайдера.
Главное, что в окне Network Connections видны два сетевых интерфейса. В данном случае (см.скришнот) левый интерфейс (Local Area Connection 5) отвечает за доступ в локальную сеть, а правый (Internet) — за доступ в глобальную сеть Интернет. Разумеется, названия интерфейсов будут отличаться в каждом конкретном случае.
До реализации следующих шагов внешний интерфейс (смотрящий в Интернет) должен быть настроен. Т.е. с компьютера-будущего-роутера доступ в Интернет уже должен работать. Эту настройку я опускаю, так как физически невозможно предусмотреть все возможные варианты. В общем случае интерфейс должен автоматически получить нужные настройки от провайдера (посредством DHCP сервера). Можно проверить, получила ли сетевая карта какие-то адреса, аналогично способу, описанному выше в этой статье. Встречаются варианты, когда представитель провайдера выдает Вам список параметров для ручного конфигурирования адаптера (как правило, это IP адрес, список DNS-серверов и адрес шлюза).
Для активации доступа к Интернет для всей локальной сети кликаем правой кнопкой на внешнем (смотрящим в сторону Интернет) интерфейсе.
Выбираем закладку Advanced. И тут ставим галку напротив пункта Allow other Network Users to Connect through this Computer’s Internet Connection. Если нужно, что бы этим Интернет доступом можно было управлять с других компьютеров локальной сети, включаем Allow other Network Users to Control…
Если на машине не используется какой либо дополнительный файрвол (брандмауэр), помимо встроенного в Windows (т.е. программа, которая была дополнительно установлена на машину), то обязательно включаем файрвол (защита нашего роутера от внешнего мира) — Protect my Computer and Network. Если дополнительный файрвол установлен, то встроенную защиту можно не активировать, а лишь настроить внешний брандмауэр. Главное — что бы файрвол на интерфейсе, смотрящим в сторону Интернет обязательно был включен, встроенный или внешний.
После подтверждения (нажатия кнопки OK) в компьютере активируется режим роутера, реализуемого посредством механизма NAT. А над сетевым интерфейсом, где этот механизм активирован, появляется символ ладони (замочек сверху означает включение защиты файрволом этого интерфейса).
Прямым следствием этого режима является изменение адреса на локальном (смотрящем в локальную сеть) интерфейсе маршрутизатора на 192.168.0.1 с маской подсети 255.255.255.0. Кроме этого на компьютере, выступающем в роли маршрутизатора, активируется сервис DHCP (маршрутизатор начинает раздавать нужные параметры IP-адресации на все компьютеры локальной сети), и DNS (преобразования IP адресов в доменные имена и обратно). Маршрутизатор становится шлюзом по умолчанию для всех остальных компьютеров сети.
А вот как это выглядит с точки зрения остальных компьютеров локальной сети. Все они получают нужные настройки IP-адресации от маршрутизатора по DHCP. Для этого, разумеется, в настройках их сетевых карт должны стоять автоматическое получение IP адреса и DNS. Если это не было сделано, то ничего работать не будет. Настройка автоматического получения IP адреса и DNS была описана выше. Возможно, что компьютер получит нужные адреса от маршрутизатора не сразу, чтобы не ждать, можно нажать кнопку Repair, которая принудительно запросит DHCP сервис выдать нужную информацию.
При правильной настройке сетевой карты, компьютеры получат адреса из диапазона 192.168.0.2—254 с маской 255.255.255.0. В качестве шлюза по умолчанию (default gw) и DNS сервера будет установлен адрес 192.168.0.1 (адрес маршрутизатора).
Начиная с этого момента, компьютеры локальной сети должны получить доступ в Интернет. Проверить это можно, открыв какой-либо сайт в Internet Explorer или пропинговав какой-либо хост в интернете, например, www.ru. Для этого надо нажать Пуск –> Выполнить и в появившемся окошке набрать
ping www.ru -t
Разумеется, вместо www.ru можно выбрать любой другой работающий и отвечающий на пинги хост в Интернет. Ключ «-t» дает возможность бесконечного пинга (без него будет послано всего четыре пакета, после чего команда завершит работу, и окно с ней закроется).
В случае нормальной работы канала в Интернет, вывод на экран от команды ping должен быть примерно такой, как на скриншоте, т.е. ответы (reply) должны идти. Если хост не отвечает (т.е. канал в Интернет не работает или что-то неверно настроено на маршрутизаторе) то вместо ответов (reply-ев) будут появляться timeout-ы. Кстати говоря, не у всех провайдеров разрешен ICMP протокол, по которому работает команда ping. Другими словами, вполне возможна ситуация, что «пинг не проходит», но доступ в Интернет есть (сайты открываются нормально).
Напоследок немного подробнее остановлюсь на механизме NAT. NAT — Network Address Translation, т.е. технология трансляции (преобразования) сетевых адресов. При помощи этого механизма несколько машин из одной сети могут выходить в другую сеть (в нашем случае — несколько машин из локальной сети могут выходить в глобальную сеть Интернет) используя только один IP адрес (вся сеть маскируется под одним IP адресом). В нашем случае это будет IP адрес внешнего интерфейса (второй сетевой карты) маршрутизатора. IP адреса пакетов из локальной сети, проходя через NAT (в сторону Интернет), перезаписываются адресом внешнего сетевого интерфейса, а возвращаясь обратно, на пакетах восстанавливается правильный (локальный) IP адрес машины, которая и посылала исходный пакет данных. Другими словами, машины из локальной сети работают под своими адресами, ничего не замечая. Но с точки зрения внешнего наблюдателя, находящегося в Интернет, в сети работает лишь одна машина (наш маршрутизатор с активированным механизмом NAT), а еще две, три, сто машин из локальной сети, находящейся за маршрутизатором для наблюдателя не видны совсем.
С одной стороны, механизм NAT очень удобен. Ведь, получив лишь один IP адрес (одно подключение) от провайдера, можно вывести в глобальную сеть хоть сотню машин, буквально сделав несколько кликов мышкой. Плюс локальная сеть автоматически защищается от злоумышленников — она просто не видна для внешнего мира, за исключением самого компьютера-маршрутизатора (многочисленные уязвимости семейства ОС от Microsoft опять выпадают за рамки этой статьи, отмечу лишь, что активировать защиту, т.е. включать файрвол на внешнем интерфейсе маршрутизатора, о чем было сказано выше, нужно обязательно). Но есть и обратная сторона медали. Не все протоколы (и, соответственно, не все приложения) смогут работать через NAT. Например, ICQ откажется пересылать файлы. Netmeeting, скорее всего, не заработает, могут возникнуть проблемы с доступом на некоторые ftp-сервера (работающие в активном режиме) и т.д. Но для подавляющего большинства программ механизм NAT останется полностью прозрачным. Они его просто не заметят, продолжив работать, как ни в чем не бывало.
Но. Что делать, если внутри локальной сети стоит WEB или какой-либо другой сервер, который должен быть виден снаружи? Любой пользователь, обратившись по адресу http://my.cool.network.ru (где my.cool.network.ru — адрес маршрутизатора), попадет на 80й порт (по умолчанию WEB сервера отвечают именно на этому порту) маршрутизатора, который ничего не знает о WEB-сервере (ибо он стоит не на нем, а где-то внутри локальной сети ЗА ним). Поэтому маршрутизатор просто ответит отлупом (на сетевом уровне), показав тем самым, что он действительно ничего не слышал о WEB (или каком-либо ином) сервере.
Что делать? В этом случае надо настроить редирект (перенаправление) некоторых портов с внешнего интерфейса маршрутизатора внутрь локальной сети. Например, настроим перенаправление порта 80 внутрь, на веб сервер (который у нас стоит на компьютере 169.254.10.10):
В том же меню, где активировали NAT, жмем кнопку Settings и выбираем в появившемся окне Web Server (HTTP).
Так как мы выбрали стандартный протокол HTTP, который уже был занесен в список до нас, то выбирать внешний порт (External Port), на который будет принимать соединения маршрутизатор и внутренний порт (Internel Port) на который будет перенаправляться соединение в локальную сеть, не нужно, — там уже выставлены стандартное значение 80. Тип протокола (TCP или UDP) уже так же определен. Осталось лишь задать IP адрес машины в локальной сети, куда будет перенаправлено входящее из Интернет соединение на веб-сервер. Хотя, как меня правильно поправили в форуме, лучше задавать не IP адрес, а имя этой машины. Так как IP-адрес (который выдается автоматически, DHCP сервером), вполне может сменится, а имя машины — нет (его можно поменять лишь вручную).
Теперь с точки зрения внешнего наблюдателя (находящегося в Интернет), на маршрутизаторе (локальная сеть за ним по прежнему не видна) на 80м порту появился веб-сервер. Он (наблюдатель) будет с ним работать как обычно, не предполагая, что на самом то деле веб-сервер находится совсем на другой машине. Удобно? Полагаю, да.
Если потребуется дать доступ извне к какому-нибудь нестандартному сервису (или стандартному, но не занесенному заранее в список), то вместо выбора сервисов из списка в вышеприведенном скриншоте, надо будет нажать кнопку Add и ввести все требуемые значения вручную.
Вместо заключения
В первой части цикла статей была рассмотрена возможность организации доступа локальной сети в Интернет с помощью встроенных возможностей Windows XP от компании Microsoft. Не следует забывать, что полученный в результате настройки компьютер-маршрутизатор должен работать постоянно, ведь если он будет выключен, остальные хосты из локальной сети доступ в Интернет потеряют. Но постоянно работающий компьютер — не всегда удобно (шумит, греется, да и электричество кушает).
Варианты организации доступа локальных сетей в глобальную, не ограничиваются вышеописанным. В следующих статьях будут рассмотрены другие способы, например посредством аппаратных маршрутизаторов. Последние уже фигурировали в обзорах на нашем сайте, но в тех статьях упор делался на тестирование возможностей, без особых объяснений, что эти возможности дают пользователю. Постараемся исправить это досадное упущение.
Навигация
Для домовых сетей и сетей малых и средних предприятий очень важно иметь средства контроля за выходом пользователей в Интернет. Управление доступом можно решать с помощью разных инструментов, но одним из лучших на сегодня является UserGate от компании Entensys, который давно известен как продукт, решающий многие проблемы системных администраторов при раздаче прав пользователям на доступ в Интернет. В новой версии расширены возможности по обеспечению безопасности выхода в Сеть для пользователей таких сетей за счет добавления файрвола и антивирусных модулей.
Наше издание уже знакомило читателей как с самим UserGate, так и с его создателями. Поэтому мы лишь только слегка коснемся основных свойств программы, а поговорим в основном о новшествах в версии 4.2.
UserGate – прокси-сервер, выполняющий функции контроля и распределения прав при организации выхода в Интернет пользователей локальных сетей через один внешний IP-адрес. Этот прокси-сервер имеет гибкое управление ограничениями по каждому пользователю в отдельности или группе в целом, удобные средства мониторинга всех процессов в сети, встроенную биллинговую систему и ряд дополнительных сервисов для администратора сети. Учитывая то, что в реальном использовании находятся прокси-серверы UserGate разных версий, компания-разработчик одновременно осуществляет поддержку нескольких версий программы.
Интерфейс программы
Администрирование пользователей
Администрирование пользователей — основная функция программы. С помощью несложных правил администратор сети может гибко управлять подключением пользователей к локальной сети и Интернету. Ограничения можно вводить для групп и отдельных пользователей по времени, протоколам, определенным ресурсам, скорости доступа в Сеть.
Администрирование осуществляется либо через драйвер NAT (Network Address Translation – внутренняя технология учета трафика), либо через прокси-сервер. Администрирование через NAT обладает большей производительностью. Переадресация портов обеспечивает нормальную работу приложений, требующих трафика на конкретный IP-адрес.
Задаем правила для пользователя
Биллинговая система
Биллинговая система — это подсчет расходов на Интернет и управление подключениями к разным провайдерам. Создание тарифной сетки подключений и правил использования этих тарифов позволит автоматически переходить с одного выгодного тарифа на другой.
Основное назначение биллинговой системы — управление доступом пользователей в зависимости от выделенной им квоты. Благодаря этому инструменту можно осуществлять допуск пользователя в соответствии с внесенным им финансовым вкладом (для домовых сетей) либо с разрешенной начальством квотой. Благодаря учету трафика конкретного пользователя и с учетом использования наиболее выгодного тарифа в конкретный промежуток времени можно максимально эффективно использовать даже небольшие финансовые ресурсы.
Пополняем счет пользователя
Встроенный файрвол
Файрвол UserGate обрабатывает пакеты, не прошедшие обработку на уровне правил NAT. Возможности в создании правил во встроенном файрволе UserGate для непроходящих через NAT пакетов довольно просты. Действие можно либо разрешить, либо запретить — не более. Есть возможность организовать доступ к определенным ресурсам компьютера из Интернета, обеспечив, таким образом, публикацию веб-серверов.
«Прозрачный прокси»
Суть «прозрачного прокси» в том, что при его включении происходит пересылка клиентских запросов, перехваченных драйвером NAT, на порт HTTP-прокси UserGate. В результате этого отпадает необходимость в настройках браузеров пользователей локальной сети. Без этой функции приходилось указывать адрес и порт прокси в LAN для каждого из компьютеров, кому разрешен выход в Сеть. Либо приходилось отказываться от возможности контроля за посещаемыми сайтами. «Прозрачный прокси» – это следующий шаг после реализации «прозрачного FTP» в третьей версии программы.
VPN
Особенность VPN-сетей в том, что они используют общедоступные линии связи при обеспечении достаточно высокого уровня безопасности в обмене информацией. Поэтому естественно, что такие сети будут развиваться дальше и учет трафика в них становится реальной потребностью. Возможность подсчета трафика для защищенных, туннелированных соединений важна для достаточно большой группы задач. Это – аудио- и видеоконференции, линии «клиент — банк», сети магазинов электронного контента, комьюнити-сети, территориально разнесенные сети предприятий и так далее. Управление VPN-трафиком – одна из ключевых возможностей в новой версии.
Антивирусы
Модуль антивирусов
Встроенные в UserGate антивирусы работают ограниченно: проверяют только трафик и не имеют возможности проверить локальные файлы даже на сервере, где установлен сам UserGate. Однако для большинства организаций использование, если так можно выразиться, «полных» антивирусов не оправданно. Если в конторе стоят тонкие клиенты или на рабочих станциях нет никаких устройств для внешних носителей (Floppy, CD-ROM, картридеров и прочих), то появление вирусной заразы возможно только через Интернет. В этом случае проверка трафика обеспечивает полную защиту всей сети от угроз заражения. А организация может существенно сэкономить на антивирусной защите.
В качестве встроенных антивирусов используются «Антивирус Касперского» и Panda или оба вместе. С проверкой текущего трафика они справляются без проблем, не особо перегружая сервер. В качестве конкретного примера приведем следующий факт. Сервер: двухъядерный Zeon 3 Ггц, по 1 Мб кеша на ядро, 3 Гб оперативной памяти. Нагрузку на сервер создавал сам UserGate (при включенных антивирусах, полная проверка по всем видам трафика) и 50-60 активных пользователей, которые через прокси грузили сервер. Нагрузка составляла 20-60% в зависимости от количества запросов. Если такая нагрузка администратору может показаться большой, то можно отключить тот или иной движок или ограничить проверку по видам трафика.
При обнаружении вирусов в почте UserGate выдает сообщения о том, что один или несколько прикрепленных файлов содержали вирус и были удалены UserGate. При обнаружении вируса в HTTP-трафике страница не отображается и выводится сообщение, что на ней был обнаружен вирус.
Как известно, ни один антивирус не может гарантировать 100%-ной защиты от вирусов, поэтому двойная защита предпочтительнее. Кроме того, не надо забывать про скорость реакции антивирусных компаний на появление новых вирусов. И хотя обе компании — и «Лаборатория Касперского», и Panda Software — известны своей оперативностью, тем не менее вероятность того, что кто-то из них не успеет отреагировать вовремя, теоретически имеется.
Страница управления антивирусными движками
Дополнительным плюсом антивирусной защиты можно назвать неограниченную по времени возможность обновления антивирусных баз с сайтов антивирусных лабораторий Касперского и Panda, а также гибкие возможности настроек порядка проверки трафика движками. Любой из движков можно отключить полностью либо от проверки того или иного вида трафика. Более того, администратор может задать последовательность проверки трафика одного движка за другим. Управление антивирусами крайне простое, интуитивно понятное, все делается с помощью мыши.
И антивирус, и файрвол в UserGate легко отключаются, и это позволяет без проблем применять другие, сторонние средства защиты. А поскольку антивирусы прокси-сервера используются только для проверки трафика, то они не конфликтуют с установленными на локальные компьютеры антивирусными программами.
Резюме
Встроенные антивирусы вместе с файрволом позволяют говорить о движении программы в направлении к классу Internet Security. Однако новый UserGate — это программа не совсем такого класса. Прежде всего потому, что предназначена не для частного использования, а для контроля за работой сети. И потому, что антивирусные движки не имеют возможности проверки локальных файлов, а проверяют только трафик. И, наконец, собственный файрвол, как уже говорилось, шлюзовый, а не персональный. Так что класс этого продукта точно указать невозможно, ему просто нет аналогов. Ближайшие конкуренты не имеют хотя бы равного уровня защиты от угроз извне.
сервер сети — это… Что такое сервер сети?
СЕРВЕР СЕТИ — ЦЕНТРАЛЬНЫЙ ПРОЦЕССОР (СЕРВЕР СЕТИ), большой, быстродействующий и мощный центральный КОМПЬЮТЕР и связанные с ним устройства памяти. Пользователи могут иметь маленькие терминалы, напоминающие персональные компьютеры, в которых есть ПРОГРАММНОЕ… … Научно-технический энциклопедический словарь
сервер (сети и системы связи) — Функциональный узел в сети связи, который предоставляет данные другим функциональным узлам или выдает разрешение на доступ к своим ресурсам другим функциональным узлам, который может быть также логическим подразделом с независимым управлением… … Справочник технического переводчика
Сервер удаленного доступа — программный сервер, принимающий PPP соединения и обеспечивающий удаленный доступ. Сервер удаленного доступа: подключается одновременно к локальной и к территориальной коммуникационной сетям; обеспечивает маршрутизацию блоков данных при их… … Финансовый словарь
сервер диспетчерской системы цифровой сети железнодорожной радиосвязи — Сервер со специализированным программным обеспечением и централизованной базой данных, предназначенный для управления соединениями в цифровой сети железнодорожной радиосвязи. [ГОСТ Р 53953 2010] Тематики железнодорожная электросвязь EN dispatcher … Справочник технического переводчика
Сервер Интернет — компьютер, подключенный к сети, или выполняющаяся на нем программа, предоставляющие клиентам доступ к общим ресурсам и управляющие этими ресурсами. Каждый компьютер, подключенный к сети Интернет имеет два равноценных уникальных адреса: цифровой… … Финансовый словарь
СЕРВЕР — [англ. server Словарь иностранных слов русского языка
Сервер проверки подлинности локальной системы безопасности — Сервер проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) часть операционной системы Windows, отвечающей за авторизацию локальных пользователей отдельного компьютера. Сервис… … Википедия
сервер с запоминанием данных — Файл сервер, который принимает запросы клиентов, обрабатывает их и отсылает ответы, сохраняя в памяти информацию о текущей конфигурации сети. Обмен данными осуществляется короткими пакетами, т.к. отпадает необходимость в каждом из них передавать… … Справочник технического переводчика
сервер вызовов — Зависящий от протокола механизм сигнализации, который маршрутизирует видео или речевые вызовы в сети. В протоколе H.323 таким объектом является контроллер шлюза. В протоколе SIP таким объектом является уполномоченный сервер SIP. Следует отметить … Справочник технического переводчика
Сервер — программно аппаратный комплекс, предназначенный для централизованного хранения и обработки данных, поддержки функционирования основного программного обеспечения портала и т.п. Физически может представлять собой группу компьютеров и иного… … Официальная терминология
Сервер базы данных — Сервер БД выполняет обслуживание и управление базой данных и отвечает за целостность и сохранность данных, а также обеспечивает операции ввода вывода при доступе клиента к информации. Архитектура клиент сервер состоит из клиентов и серверов.… … Википедия
сервер сети — с русского на все языки
СЕРВЕР СЕТИ — ЦЕНТРАЛЬНЫЙ ПРОЦЕССОР (СЕРВЕР СЕТИ), большой, быстродействующий и мощный центральный КОМПЬЮТЕР и связанные с ним устройства памяти. Пользователи могут иметь маленькие терминалы, напоминающие персональные компьютеры, в которых есть ПРОГРАММНОЕ… … Научно-технический энциклопедический словарь
сервер (сети и системы связи) — Функциональный узел в сети связи, который предоставляет данные другим функциональным узлам или выдает разрешение на доступ к своим ресурсам другим функциональным узлам, который может быть также логическим подразделом с независимым управлением… … Справочник технического переводчика
Сервер удаленного доступа — программный сервер, принимающий PPP соединения и обеспечивающий удаленный доступ. Сервер удаленного доступа: подключается одновременно к локальной и к территориальной коммуникационной сетям; обеспечивает маршрутизацию блоков данных при их… … Финансовый словарь
сервер диспетчерской системы цифровой сети железнодорожной радиосвязи — Сервер со специализированным программным обеспечением и централизованной базой данных, предназначенный для управления соединениями в цифровой сети железнодорожной радиосвязи. [ГОСТ Р 53953 2010] Тематики железнодорожная электросвязь EN dispatcher … Справочник технического переводчика
Сервер Интернет — компьютер, подключенный к сети, или выполняющаяся на нем программа, предоставляющие клиентам доступ к общим ресурсам и управляющие этими ресурсами. Каждый компьютер, подключенный к сети Интернет имеет два равноценных уникальных адреса: цифровой… … Финансовый словарь
СЕРВЕР — [англ. server Словарь иностранных слов русского языка
Сервер проверки подлинности локальной системы безопасности — Сервер проверки подлинности локальной системы безопасности (англ. Local Security Authority Subsystem Service, LSASS) часть операционной системы Windows, отвечающей за авторизацию локальных пользователей отдельного компьютера. Сервис… … Википедия
сервер с запоминанием данных — Файл сервер, который принимает запросы клиентов, обрабатывает их и отсылает ответы, сохраняя в памяти информацию о текущей конфигурации сети. Обмен данными осуществляется короткими пакетами, т.к. отпадает необходимость в каждом из них передавать… … Справочник технического переводчика
сервер вызовов — Зависящий от протокола механизм сигнализации, который маршрутизирует видео или речевые вызовы в сети. В протоколе H.323 таким объектом является контроллер шлюза. В протоколе SIP таким объектом является уполномоченный сервер SIP. Следует отметить … Справочник технического переводчика
Сервер — программно аппаратный комплекс, предназначенный для централизованного хранения и обработки данных, поддержки функционирования основного программного обеспечения портала и т.п. Физически может представлять собой группу компьютеров и иного… … Официальная терминология
Сервер базы данных — Сервер БД выполняет обслуживание и управление базой данных и отвечает за целостность и сохранность данных, а также обеспечивает операции ввода вывода при доступе клиента к информации. Архитектура клиент сервер состоит из клиентов и серверов.… … Википедия
технология коммутации
—
[Интент]
Современные технологии коммутации
[ http://www.xnets.ru/plugins/content/content.php?content.84]
Статья подготовлена на основании материалов опубликованных в журналах «LAN», «Сети и системы связи«, в книге В.Олифер и Н.Олифер «Новые технологии и оборудование IP-сетей«, на сайтах www.citforum.ru и опубликована в журнале «Компьютерные решения» NN4-6 за 2000 год.
Введение
На сегодня практически все организации, имеющие локальные сети, остановили свой выбор на сетях типа Ethernet. Данный выбор оправдан тем, что начало внедрения такой сети сопряжено с низкой стоимостью и простотой реализации, а развитие — с хорошей масштабируемостью и экономичностью.
Бросив взгляд назад — увидим, что развитие активного оборудования сетей шло в соответствии с требованиями к полосе пропускания и надежности. Требования, предъявляемые к большей надежности, привели к отказу от применения в качестве среды передачи коаксиального кабеля и перевода сетей на витую пару. В результате такого перехода отказ работы соединения между одной из рабочих станций и концентратором перестал сказываться на работе других рабочих станций сети. Но увеличения производительности данный переход не принес, так как концентраторы используют разделяемую (на всех пользователей в сегменте) полосу пропускания. По сути, изменилась только физическая топология сети — с общей шины на звезду, а логическая топология по-прежнему осталась — общей шиной.
Дальнейшее развитие сетей шло по нескольким путям:
- увеличение скорости,
- внедрение сегментирования на основе коммутации,
- объединение сетей при помощи маршрутизации.
Увеличение скорости при прежней логической топологии — общая шина, привело к незначительному росту производительности в случае большого числа портов.
Большую эффективность в работе сети принесло сегментирование сетей с использованием технология коммутации пакетов. Коммутация наиболее действенна в следующих вариантах:
Вариант 1, именуемый связью «многие со многими» – это одноранговые сети, когда одновременно существуют потоки данных между парами рабочих станций. При этом предпочтительнее иметь коммутатор, у которого все порты имеют одинаковую скорость, (см. Рисунок 1).
Вариант 2, именуемый связью «один со многими» – это сети клиент-сервер, когда все рабочие станции работают с файлами или базой данных сервера. В данном случае предпочтительнее иметь коммутатор, у которого порты для подключения рабочих станций имеют одинаковую небольшую скорость, а порт, к которому подключается сервер, имеет большую скорость,(см. Рисунок 2).
Когда компании начали связывать разрозненные системы друг с другом, маршрутизация обеспечивала максимально возможную целостность и надежность передачи трафика из одной сети в другую. Но с ростом размера и сложности сети, а также в связи со все более широким применением коммутаторов в локальных сетях, базовые маршрутизаторы (зачастую они получали все данные, посылаемые коммутаторами) стали с трудом справляться со своими задачами.
Проблемы с трафиком, связанные с маршрутизацией, проявляются наиболее остро в средних и крупных компаниях, а также в деятельности операторов Internet, так как они вынуждены иметь дело с большими объемами IP-трафика, причем этот трафик должен передаваться своевременно и эффективно.
С подключением настольных систем непосредственно к коммутаторам на 10/100 Мбит/с между ними и магистралью оказывается все меньше промежуточных устройств. Чем выше скорость подключения настольных систем, тем более скоростной должна быть магистраль. Кроме того, на каждом уровне устройства должны справляться с приходящим трафиком, иначе возникновения заторов не избежать.
Рассмотрению технологий коммутации и посвящена данная статья.
Коммутация первого уровня
Термин «коммутация первого уровня» в современной технической литературе практически не описывается. Для начала дадим определение, с какими характеристиками имеет дело физический или первый уровень модели OSI:
физический уровень определяет электротехнические, механические, процедурные и функциональные характеристики активации, поддержания и дезактивации физического канала между конечными системами. Спецификации физического уровня определяют такие характеристики, как уровни напряжений, синхронизацию изменения напряжений, скорость передачи физической информации, максимальные расстояния передачи информации, физические соединители и другие аналогичные характеристики.
Смысл коммутации на первом уровне модели OSI означает физическое (по названию уровня) соединение. Из примеров коммутации первого уровня можно привести релейные коммутаторы некоторых старых телефонных и селекторных систем. В более новых телефонных системах коммутация первого уровня применяется совместно с различными способами сигнализации вызовов и усиления сигналов. В сетях передачи данных данная технология применяется в полностью оптических коммутаторах.
Коммутация второго уровня
Рассматривая свойства второго уровня модели OSI и его классическое определение, увидим, что данному уровню принадлежит основная доля коммутирующих свойств.
Определение. Канальный уровень (формально называемый информационно-канальным уровнем) обеспечивает надежный транзит данных через физический канал. Канальный уровень решает вопросы физической адресации (в противоположность сетевой или логической адресации), топологии сети, линейной дисциплины (каким образом конечной системе использовать сетевой канал), уведомления о неисправностях, упорядоченной доставки блоков данных и управления потоком информации.
На самом деле, определяемая канальным уровнем модели OSI функциональность служит платформой для некоторых из сегодняшних наиболее эффективных технологий. Большое значение функциональности второго уровня подчеркивает тот факт, что производители оборудования продолжают вкладывать значительные средства в разработку устройств с такими функциями.
С технологической точки зрения, коммутатор локальных сетей представляет собой устройство, основное назначение которого — максимальное ускорение передачи данных за счет параллельно существующих потоков между узлами сети. В этом — его главное отличие от других традиционных устройств локальных сетей – концентраторов (Hub), предоставляющих всем потокам данных сети всего один канал передачи данных.
Коммутатор позволяет передавать параллельно несколько потоков данных c максимально возможной для каждого потока скоростью. Эта скорость ограничена физической спецификацией протокола, которую также часто называют «скоростью провода». Это возможно благодаря наличию в коммутаторе большого числа центров обработки и продвижения кадров и шин передачи данных.
Коммутаторы локальных сетей в своем основном варианте, ставшем классическим уже с начала 90-х годов, работают на втором уровне модели OSI, применяя свою высокопроизводительную параллельную архитектуру для продвижения кадров канальных протоколов. Другими словами, ими выполняются алгоритмы работы моста, описанные в стандартах IEEE 802.1D и 802.1H. Также они имеют и много других дополнительных функций, часть которых вошла в новую редакцию стандарта 802.1D-1998, а часть остается пока не стандартизованной.
Коммутаторы ЛВС отличаются большим разнообразием возможностей и, следовательно, цен — стоимость 1 порта колеблется в диапазоне от 50 до 1000 долларов. Одной из причин столь больших различий является то, что они предназначены для решения различных классов задач. Коммутаторы высокого класса должны обеспечивать высокую производительность и плотность портов, а также поддерживать широкий спектр функций управления. Простые и дешевые коммутаторы имеют обычно небольшое число портов и не способны поддерживать функции управления. Одним из основных различий является используемая в коммутаторе архитектура. Поскольку большинство современных коммутаторов работают на основе патентованных контроллеров ASIC, устройство этих микросхем и их интеграция с остальными модулями коммутатора (включая буферы ввода-вывода) играет важнейшую роль. Контроллеры ASIC для коммутаторов ЛВС делятся на 2 класса — большие ASIC, способные обслуживать множество коммутируемых портов (один контроллер на устройство) и небольшие ASIC, обслуживающие по несколько портов и объединяемые в матрицы коммутации.
Существует 3 варианта архитектуры коммутаторов:
На рисунке 3 показана блок-схема коммутатора с архитектурой, используемой для поочередного соединения пар портов. В любой момент такой коммутатор может обеспечить организацию только одного соединения (пара портов). При невысоком уровне трафика не требуется хранение данных в памяти перед отправкой в порт назначения — такой вариант называется коммутацией на лету cut-through. Однако, коммутаторы cross-bar требуют буферизации на входе от каждого порта, поскольку в случае использования единственно возможного соединения коммутатор блокируется (рисунок 4). Несмотря на малую стоимость и высокую скорость продвижения на рынок, коммутаторы класса cross-bar слишком примитивны для эффективной трансляции между низкоскоростными интерфейсами Ethernet или token ring и высокоскоростными портами ATM и FDDI.
Коммутаторы с разделяемой памятью имеют общий входной буфер для всех портов, используемый как внутренняя магистраль устройства (backplane). Буферизагия данных перед их рассылкой (store-and-forward — сохранить и переслать) приводит к возникновению задержки. Однако, коммутаторы с разделяемой памятью, как показано на рисунке 5 не требуют организации специальной внутренней магистрали для передачи данных между портами, что обеспечивает им более низкую цену по сравнению с коммутаторами на базе высокоскоростной внутренней шины.
На рисунке 6 показана блок-схема коммутатора с высокоскоростной шиной, связывающей контроллеры ASIC. После того, как данные преобразуются в приемлемый для передачи по шине формат, они помещаются на шину и далее передаются в порт назначения. Поскольку шина может обеспечивать одновременную (паралельную) передачу потока данных от всех портов, такие коммутаторы часто называют «неблокируемыми» (non-blocking) — они не создают пробок на пути передачи данных.
Применение аналогичной параллельной архитектуры для продвижения пакетов сетевых протоколов привело к появлению коммутаторов третьего уровня модели OSI.
Коммутация третьего уровня
В продолжении темы о технологиях коммутации рассмотренных в предыдущем номера повторим, что применение параллельной архитектуры для продвижения пакетов сетевых протоколов привело к появлению коммутаторов третьего уровня. Это позволило существенно, в 10-100 раз повысить скорость маршрутизации по сравнению с традиционными маршрутизаторами, в которых один центральный универсальный процессор выполняет программное обеспечение маршрутизации.
По определению Сетевой уровень (третий) — это комплексный уровень, который обеспечивает возможность соединения и выбор маршрута между двумя конечными системами, подключенными к разным «подсетям», которые могут находиться в разных географических пунктах. В данном случае «подсеть» это, по сути, независимый сетевой кабель (иногда называемый сегментом).
Коммутация на третьем уровне — это аппаратная маршрутизация. Традиционные маршрутизаторы реализуют свои функции с помощью программно-управляемых процессоров, что будем называть программной маршрутизацией. Традиционные маршрутизаторы обычно продвигают пакеты со скоростью около 500000 пакетов в секунду. Коммутаторы третьего уровня сегодня работают со скоростью до 50 миллионов пакетов в секунду. Возможно и дальнейшее ее повышение, так как каждый интерфейсный модуль, как и в коммутаторе второго уровня, оснащен собственным процессором продвижения пакетов на основе ASIC. Так что наращивание количества модулей ведет к наращиванию производительности маршрутизации. Использование высокоскоростной технологии больших заказных интегральных схем (ASIC) является главной характеристикой, отличающей коммутаторы третьего уровня от традиционных маршрутизаторов. Коммутаторы 3-го уровня делятся на две категории: пакетные (Packet-by-Packet Layer 3 Switches, PPL3) и сквозные (Cut-Through Layer 3 Switches, CTL3). PPL3 — означает просто быструю маршрутизацию (Рисунок_7). CTL3 – маршрутизацию первого пакета и коммутацию всех остальных (Рисунок 8).
У коммутатора третьего уровня, кроме реализации функций маршрутизации в специализированных интегральных схемах, имеется несколько особенностей, отличающих их от традиционных маршрутизаторов. Эти особенности отражают ориентацию коммутаторов 3-го уровня на работу, в основном, в локальных сетях, а также последствия совмещения в одном устройстве коммутации на 2-м и 3-м уровнях:
- поддержка интерфейсов и протоколов, применяемых в локальных сетях,
- усеченные функции маршрутизации,
- обязательная поддержка механизма виртуальных сетей,
- тесная интеграция функций коммутации и маршрутизации, наличие удобных для администратора операций по заданию маршрутизации между виртуальными сетями.
Наиболее «коммутаторная» версия высокоскоростной маршрутизации выглядит следующим образом (рисунок 9). Пусть коммутатор третьего уровня построен так, что в нем имеется информация о соответствии сетевых адресов (например, IP-адресов) адресам физического уровня (например, MAC-адресам) Все эти МАС-адреса обычным образом отображены в коммутационной таблице, независимо от того, принадлежат ли они данной сети или другим сетям.
Первый коммутатор, на который поступает пакет, частично выполняет функции маршрутизатора, а именно, функции фильтрации, обеспечивающие безопасность. Он решает, пропускать или нет данный пакет в другую сеть Если пакет пропускать нужно, то коммутатор по IP-адресу назначения определяет МАС-адрес узла назначения и формирует новый заголовок второго уровня с найденным МАС-адресом. Затем выполняется обычная процедура коммутации по данному МАС-адресу с просмотром адресной таблицы коммутатора. Все последующие коммутаторы, построенные по этому же принципу, обрабатывают данный кадр как обычные коммутаторы второго уровня, не привлекая функций маршрутизации, что значительно ускоряет его обработку. Однако функции маршрутизации не являются для них избыточными, поскольку и на эти коммутаторы могут поступать первичные пакеты (непосредственно от рабочих станций), для которых необходимо выполнять фильтрацию и подстановку МАС-адресов.
Это описание носит схематический характер и не раскрывает способов решения возникающих при этом многочисленных проблем, например, проблемы построения таблицы соответствия IP-адресов и МАС-адресов
Примерами коммутаторов третьего уровня, работающих по этой схеме, являются коммутаторы SmartSwitch компании Cabletron. Компания Cabletron реализовала в них свой протокол ускоренной маршрутизации SecureFast Virtual Network, SFVN.
Для организации непосредственного взаимодействия рабочих станций без промежуточного маршрутизатора необходимо сконфигурировать каждую из них так, чтобы она считала собственный интерфейс маршрутизатором по умолчанию. При такой конфигурации станция пытается самостоятельно отправить любой пакет конечному узлу, даже если этот узел находится в другой сети. Так как в общем случае (см. рисунок 10) станции неизвестен МАС-адрес узла назначения, то она генерирует соответствующий ARP-запрос, который перехватывает коммутатор, поддерживающий протокол SFVN. В сети предполагается наличие сервера SFVN Server, являющегося полноценным маршрутизатором и поддерживающего общую ARP-таблицу всех узлов SFVN-сети. Сервер возвращает коммутатору МАС-адрес узла назначения, а коммутатор, в свою очередь, передает его исходной станции. Одновременно сервер SFVN передает коммутаторам сети инструкции о разрешении прохождения пакета с МАС-адресом узла назначения через границы виртуальных сетей. Затем исходная станция передает пакет в кадре, содержащем МАС-адрес узла назначения. Этот кадр проходит через коммутаторы, не вызывая обращения к их блокам маршрутизации. Отличие протокола SFVN компании Cabletron от — описанной выше общей схемы в том, что для нахождения МАС-адреса по IP-адресу в сети используется выделенный сервер.
Протокол Fast IP компании 3Com является еще одним примером реализации подхода с отображением IP-адреса на МАС-адрес. В этом протоколе основными действующими лицами являются сетевые адаптеры (что не удивительно, так как компания 3Com является признанным лидером в производстве сетевых адаптеров Ethernet) С одной стороны, такой подход требует изменения программного обеспечения драйверов сетевых адаптеров, и это минус Но зато не требуется изменять все остальное сетевое оборудование.
При необходимости передать пакет узлу назначения другой сети, исходный узел в соответствии с технологией Fast IP должен передать запрос по протоколу NHRP (Next Hop Routing Protocol) маршрутизатору сети. Маршрутизатор переправляет этот запрос узлу назначения, как обычный пакет Узел назначения, который также поддерживает Fast IP и NHRP, получив запрос, отвечает кадром, отсылаемым уже не маршрутизатору, а непосредственно узлу-источнику (по его МАС-адресу, содержащемуся в NHRP-запросе). После этого обмен идет на канальном уровне на основе известных МАС-адресов. Таким образом, снова маршрутизировался только первый пакет потока (как на рисунке 9 кратковременный поток), а все остальные коммутировались (как на рисунке 9 долговременный поток).
Еще один тип коммутаторов третьего уровня — это коммутаторы, работающие с протоколами локальных сетей типа Ethernet и FDDI. Эти коммутаторы выполняют функции маршрутизации не так, как классические маршрутизаторы. Они маршрутизируют не отдельные пакеты, а потоки пакетов.
Поток — это последовательность пакетов, имеющих некоторые общие свойства. По меньшей мере, у них должны совпадать адрес отправителя и адрес получателя, и тогда их можно отправлять по одному и тому же маршруту. Если классический способ маршрутизации использовать только для первого пакета потока, а все остальные обрабатывать на основании опыта первого (или нескольких первых) пакетов, то можно значительно ускорить маршрутизацию всего потока.
Рассмотрим этот подход на примере технологии NetFlow компании Cisco, реализованной в ее маршрутизаторах и коммутаторах. Для каждого пакета, поступающего на порт маршрутизатора, вычисляется хэш-функция от IP-адресов источника, назначения, портов UDP или TCP и поля TOS, характеризующего требуемое качество обслуживания. Во всех маршрутизаторах, поддерживающих данную технологию, через которые проходит данный пакет, в кэш-памяти портов запоминается соответствие значения хэш-функции и адресной информации, необходимой для быстрой передачи пакета следующему маршрутизатору. Таким образом, образуется квазивиртуальный канал (см. Рисунок 11), который позволяет быстро передавать по сети маршрутизаторов все последующие пакеты этого потока. При этом ускорение достигается за счет упрощения процедуры обработки пакета маршрутизатором — не просматриваются таблицы маршрутизации, не выполняются ARP-запросы.
Этот прием может использоваться в маршрутизаторах, вообще не поддерживающих коммутацию, а может быть перенесен в коммутаторы. В этом случае такие коммутаторы тоже называют коммутаторами третьего уровня. Примеров маршрутизаторов, использующих данный подход, являются маршрутизаторы Cisco 7500, а коммутаторов третьего уровня — коммутаторы Catalyst 5000 и 5500. Коммутаторы Catalyst выполняют усеченные функции описанной схемы, они не могут обрабатывать первые пакеты потоков и создавать новые записи о хэш-функциях и адресной информации потоков. Они просто получают данную информацию от маршрутизаторов 7500 и обрабатывают пакеты уже распознанных маршрутизаторами потоков.
Выше был рассмотрен способ ускоренной маршрутизации, основанный на концепции потока. Его сущность заключается в создании квазивиртуальных каналов в сетях, которые не поддерживают виртуальные каналы в обычном понимании этого термина, то есть сетях Ethernet, FDDI, Token Ring и т п. Следует отличать этот способ от способа ускоренной работы маршрутизаторов в сетях, поддерживающих технологию виртуальных каналов — АТМ, frame relay, X 25. В таких сетях создание виртуального канала является штатным режимом работы сетевых устройств. Виртуальные каналы создаются между двумя конечными точками, причем для потоков данных, требующих разного качества обслуживания (например, для данных разных приложений) может создаваться отдельный виртуальный канал. Хотя время создания виртуального канала существенно превышает время маршрутизации одного пакета, выигрыш достигается за счет последующей быстрой передачи потока данных по виртуальному каналу. Но в таких сетях возникает другая проблема — неэффективная передача коротких потоков, то есть потоков, состоящих из небольшого количества пакетов (классический пример — пакеты протокола DNS).
Накладные расходы, связанные с созданием виртуального канала, приходящиеся на один пакет, снижаются при передаче объемных потоков данных. Однако они становятся неприемлемо высокими при передаче коротких потоков. Для того чтобы эффективно передавать короткие потоки, предлагается следующий вариант, при передаче нескольких первых пакетов выполняется обычная маршрутизация. Затем, после того как распознается устойчивый поток, для него строится виртуальный канал, и дальнейшая передача данных происходит с высокой скоростью по этому виртуальному каналу. Таким образом, для коротких потоков виртуальный канал вообще не создается, что и повышает эффективность передачи.
По такой схеме работает ставшая уже классической технология IP Switching компании Ipsilon. Для того чтобы сети коммутаторов АТМ передавали бы пакеты коротких потоков без установления виртуального канала, компания Ipsilon предложила встроить во все коммутаторы АТМ блоки IP-маршрутизации (рисунок 12), строящие обычные таблицы маршрутизации по обычным протоколам RIP и OSPF.
Компания Cisco Systems выдвинула в качестве альтернативы технологии IP Switching свою собственную технологию Tag Switching, но она не стала стандартной. В настоящее время IETF работает над стандартным протоколом обмена метками MPLS (Multi-Protocol Label Switching), который обобщает предложение компаний Ipsilon и Cisco, а также вносит некоторые новые детали и механизмы. Этот протокол ориентирован на поддержку качества обслуживания для виртуальных каналов, образованных метками.
Коммутация четвертого уровня
Свойства четвертого или транспортного уровня модели OSI следующие: транспортный уровень обеспечивает услуги по транспортировке данных. В частности, заботой транспортного уровня является решение таких вопросов, как выполнение надежной транспортировки данных через объединенную сеть. Предоставляя надежные услуги, транспортный уровень обеспечивает механизмы для установки, поддержания и упорядоченного завершения действия виртуальных каналов, систем обнаружения и устранения неисправностей транспортировки и управления информационным потоком (с целью предотвращения переполнения данными из другой системы).
Некоторые производители заявляют, что их системы могут работать на втором, третьем и даже четвертом уровнях. Однако рассмотрение описания стека TCP/IP (рисунок 1), а также структуры пакетов IP и TCP (рисунки 2, 3), показывает, что коммутация четвертого уровня является фикцией, так как все относящиеся к коммутации функции осуществляются на уровне не выше третьего. А именно, термин коммутация четвертого уровня с точки зрения описания стека TCP/IP противоречий не имеет, за исключением того, что при коммутации должны указываться адреса компьютера (маршрутизатора) источника и компьютера (маршрутизатора) получателя. Пакеты TCP имеют поля локальный порт отправителя и локальный порт получателя (рисунок 3), несущие смысл точек входа в приложение (в программу), например Telnet с одной стороны, и точки входа (в данном контексте инкапсуляции) в уровень IP. Кроме того, в стеке TCP/IP именно уровень TCP занимается формированием пакетов из потока данных идущих от приложения. Пакеты IP (рисунок 2) имеют поля адреса компьютера (маршрутизатора) источника и компьютера (маршрутизатора) получателя и следовательно могут наряду с MAC адресами использоваться для коммутации. Тем не менее, название прижилось, к тому же практика показывает, что способность системы анализировать информацию прикладного уровня может оказаться полезной — в частности для управления трафиком. Таким образом, термин «зависимый от приложения» более точно отражает функции так называемых коммутаторов четвертого уровня.
Тематики
EN
Что такое сетевой сервер? (с картинками)
Сетевой сервер — это компьютер, который предоставляет различные общие ресурсы рабочим станциям и другим серверам в компьютерной сети. Общие ресурсы могут включать дисковое пространство, доступ к оборудованию и службы электронной почты. Обычно бывает, что практически любой компьютер может быть «сетевым сервером». То, что отделяет сервер от рабочей станции, это не аппаратное обеспечение, а функция, выполняемая компьютером.В общем, рабочая станция — это любой компьютер, используемый отдельным человеком для выполнения определенной работы или списка личных целей, а сервер — это компьютер, который предоставляет пользователям доступ к общим программным или аппаратным ресурсам. Часто случается, что этот обмен происходит через Интернет, но не всегда. До тех пор, пока все машины в той или иной мере связаны или «связаны» друг с другом, сервер сможет функционировать.
Серверы обычно имеют больше оперативной памяти, чем рабочие станции.Основные цели
Основная идея любой компьютерной сети — упрощение: упрощение передачи данных, коммуникации и информации в широком масштабе.Большинство сетей способны вместить несколько различных устройств. Компьютеры, как правило, являются наиболее распространенными, но планшеты, смартфоны и даже некоторые другие устройства, такие как телевизоры и интернет-радиоприемники, могут быть подключены друг к другу с помощью соответствующего оборудования. Тем не менее, сеть должна возникать где-то, и данные, которые одновременно облегчают и поддерживают взаимосвязанность, должны физически располагаться в некоторой конкретной локали. В большинстве случаев это сетевой сервер.
Большинство сетей способны вместить множество устройств, в том числе планшетов.Основные компоненты
Часто можно купить выделенные серверы, которые представляют собой небольшие машины, все цели которых — взаимосвязь и маршрутизация.Тем не менее, почти любое устройство может быть запрограммировано для работы таким образом. Тем не менее, важно отметить, что серверы обычно состоят из более мощных компонентов, чем отдельные рабочие станции, по крайней мере, в начале. Например, на сервере обычно установлено больше оперативной памяти (ОЗУ), чем на обычном настольном компьютере, и он также, вероятно, будет использовать более надежную операционную систему (ОС). Хотя это может увеличить цену сервера по сравнению с отдельной рабочей станцией, общая стоимость может быть значительно ниже для организации, если учитывать повышение эффективности.
Телевизоры могут быть подключены к сетевым серверам.Управление данными
В дополнение к общим серверам, предоставляемым серверами, они также могут упростить задачи управления для сетевых и системных администраторов.Благодаря централизованному расположению этих служб на одном жестком диске, а не на каждой рабочей станции, изменения конфигурации и обновления безопасности обычно должны применяться только к сетевому серверу один раз — что может сэкономить много энергии, особенно в организациях с сотнями сотрудников. работает множество связанных устройств. Сетевые администраторы могут избавить себя от многих проблем, установив обновления для таких вещей, как программное обеспечение принтера и исправления для вирусов, всего один раз, а затем разрешить серверу автоматически передавать эти изменения на все подключенные машины.
Роль в упрощении информации
Файловые серверыпредоставляют централизованно расположенный пул дискового пространства для пользователей сети для хранения и обмена различными документами.Эти серверы помогают организациям поддерживать отдельные версии файлов в разных отделах и могут упростить администрирование. Когда все данные хранятся в одном месте, администраторам нужны только файлы резервных копий с одного компьютера, что часто может сэкономить как время, так и головную боль, если что-то не удастся загрузить должным образом или непоследовательно обновить на платформах сотрудников.
Выполненные другие услуги
Отдельные серверы обычно запрограммированы на выполнение различных ролей в зависимости от потребностей организации.Связанные функции печати и электронной почты являются одними из самых распространенных, а также наиболее ценными. Серверы печати позволяют организациям совместно использовать один принтер, что исключает необходимость наличия у каждого отдельного рабочего места своего принтера. Почтовые серверы предоставляют услуги электронной почты компьютерам в сети, а также обычно обеспечивают хранение и отслеживание сообщений, которые были отправлены и получены.
Файловые серверы также часто выступают в роли серверов службы доменных имен (DNS), которые связаны с веб-хостингом и созданием уникального интернет-домена.Серверы аутентификации также несколько распространены. Они предоставляют сетям централизованную базу данных для хранения информации об учетной записи и пароле, что позволяет пользователям входить в систему с любого компьютера, планшета или связанного телефона в сети.
Сетевой сервер — это компьютер, который предоставляет различные общие ресурсы рабочим станциям и другим серверам в компьютерной сети.,сетевой сервер — это … Что такое сетевой сервер?
Сетевой сервер — (кодовое имя Shiner) Warine Serien von Netzwerkservern der Firma Apple, auf Basis von PowerPC 604 bzw. 604e Prozessoren, die mit dem Dem Betriebssystem AIX ausgeliefert wurden. Die Network Server verfügten über sechs PCI Steckplätze, eine…… Deutsch Wikipedia
сетевой сервер — tinklo serveris statusas T sritis informatika apibrėžtis ↑ Serveris, esantis ink tinkle ir turintis išteklius (programas, duomenis), kuriais gali naudotis kiti tinkle esantys kompiuteriai.atitikmenys: англ. сетевой сервер ryšiai: dar žiūrėk -…… Enciklopedinis kompiuterijos žodynas
сетевой сервер — блок в компьютере, который обеспечивает файловые службы и связь в сети… Английский современный словарь
Apple Network Server — Сетевой сервер (кодовое имя Shiner) война Сериан фон Нецверксерверн дер Фирма Apple, основа PowerPC 604 bzw. 604e Prozessoren, die mit einer angepassten Версия от системы IBM Betriebssystem AIX для пользователей (das Betriebssystem gehörte…… Deutsch Wikipedia
Apple Network Server — Разработчик Apple Computer Дата выпуска Февраль 1996 г. Прекращено в апреле 1997 г. Процессор PowerPC 604 / PowerPC 604e, 132 200 МГц Сетевой сервер Apple (ANS) представлял собой недолгую линию серверов на базе PowerPC с… Wikipedia
Сетевой администратор — Сетевой инженер перенаправляет сюда.Для других целей, см. Сетевое проектирование (значения неоднозначности). Сетевой администратор, сетевой аналитик или сетевой инженер — это лицо, ответственное за обслуживание компьютерного оборудования и программного обеспечения, которое включает в себя… Wikipedia
Сервер (вычислительный) — Для других целей, см. Сервер (значения). Серверы в дата-центре. Несколько серверов смонтированы на стойке и подключены к дисплею… Wikipedia
Защита доступа к сети — (NAP) — это технология Microsoft для управления сетевым доступом хоста компьютера на основе работоспособности системы хоста, впервые представленная в Windows Server 2008.С защитой доступа к сети, системные администраторы компьютера организации … Википедия
Производительность сети — относится к качеству обслуживания телекоммуникационного продукта с точки зрения потребителя. Это не следует рассматривать просто как попытку получить больше через сеть. В следующем списке приведены примеры показателей производительности сети для цепи…… Wikipedia
Службы балансировки сетевой нагрузки — (NLBS) — реализация кластеризации и балансировки нагрузки от Microsoft, предназначенная для обеспечения высокой доступности и высокой надежности, а также высокой масштабируемости.NLBS предназначена для приложений с относительно небольшими наборами данных, которые редко…… Wikipedia
Балансировка сетевой нагрузки — (обычно называемая двойной маршрутизацией WAN или множественной адресацией) — это возможность балансировать трафик по двум каналам WAN без использования сложных протоколов маршрутизации, таких как BGP. Эта возможность балансирует сетевые сеансы, такие как Интернет, электронная почта и т. Д., По нескольким … ,
сетевой сервер — это … Что такое сетевой сервер?
Сетевой сервер — (кодовое имя Shiner) Warine Serien von Netzwerkservern der Firma Apple, auf Basis von PowerPC 604 bzw. 604e Prozessoren, die mit dem Dem Betriebssystem AIX ausgeliefert wurden. Die Network Server verfügten über sechs PCI Steckplätze, eine…… Deutsch Wikipedia
сетевой сервер — tinklo serveris statusas T sritis informatika apibrėžtis ↑ Serveris, esantis ink tinkle ir turintis išteklius (programas, duomenis), kuriais gali naudotis kiti tinkle esantys kompiuteriai.atitikmenys: англ. сетевой сервер ryšiai: dar žiūrėk -…… Enciklopedinis kompiuterijos žodynas
сетевой сервер — блок в компьютере, который обеспечивает файловые службы и связь в сети… Английский современный словарь
Apple Network Server — Сетевой сервер (кодовое имя Shiner) война Сериан фон Нецверксерверн дер Фирма Apple, основа PowerPC 604 bzw. 604e Prozessoren, die mit einer angepassten Версия от системы IBM Betriebssystem AIX для пользователей (das Betriebssystem gehörte…… Deutsch Wikipedia
Apple Network Server — Разработчик Apple Computer Дата выпуска Февраль 1996 г. Прекращено в апреле 1997 г. Процессор PowerPC 604 / PowerPC 604e, 132 200 МГц Сетевой сервер Apple (ANS) представлял собой недолгую линию серверов на базе PowerPC с… Wikipedia
Сетевой администратор — Сетевой инженер перенаправляет сюда.Для других целей, см. Сетевое проектирование (значения неоднозначности). Сетевой администратор, сетевой аналитик или сетевой инженер — это лицо, ответственное за обслуживание компьютерного оборудования и программного обеспечения, которое включает в себя… Wikipedia
Сервер (вычислительный) — Для других целей, см. Сервер (значения). Серверы в дата-центре. Несколько серверов смонтированы на стойке и подключены к дисплею… Wikipedia
Защита доступа к сети — (NAP) — это технология Microsoft для управления сетевым доступом хоста компьютера на основе работоспособности системы хоста, впервые представленная в Windows Server 2008.С защитой доступа к сети, системные администраторы компьютера организации … Википедия
Производительность сети — относится к качеству обслуживания телекоммуникационного продукта с точки зрения потребителя. Это не следует рассматривать просто как попытку получить больше через сеть. В следующем списке приведены примеры показателей производительности сети для цепи…… Wikipedia
Службы балансировки сетевой нагрузки — (NLBS) — реализация кластеризации и балансировки нагрузки от Microsoft, предназначенная для обеспечения высокой доступности и высокой надежности, а также высокой масштабируемости.NLBS предназначена для приложений с относительно небольшими наборами данных, которые редко…… Wikipedia
Балансировка сетевой нагрузки — (обычно называемая двойной маршрутизацией WAN или множественной адресацией) — это возможность балансировать трафик по двум каналам WAN без использования сложных протоколов маршрутизации, таких как BGP. Эта возможность балансирует сетевые сеансы, такие как Интернет, электронная почта и т. Д., По нескольким … ,
- 5 минут, чтобы прочитать
В этой статье
Относится к
Эта тема о протоколе Server Message Block (SMB) v1.SMBv1 не является безопасным и устарел в Windows. Начиная с Windows 10 Fall Creators Update и Windows Server версии 1709, SMB v1 не устанавливается по умолчанию.
В оставшейся части этого раздела описываются рекомендации, расположение, значения, управление политиками и вопросы безопасности для сетевого сервера Microsoft : цифровая подпись (всегда) Параметр политики безопасности только для SMBv1. Тот же параметр политики можно применить к компьютерам, работающим под управлением SMBv2. Для получения дополнительной информации см. Сетевой сервер Microsoft: цифровая подпись сообщений (всегда).
Ссылка
Протокол Server Message Block (SMB) обеспечивает основу для совместного использования файлов и печати и многих других сетевых операций, таких как удаленное администрирование Windows. Для предотвращения атак «человек посередине», которые изменяют пакеты SMB при передаче, протокол SMB поддерживает цифровую подпись пакетов SMB. Этот параметр политики определяет, следует ли согласовывать подпись пакетов SMB, прежде чем разрешить дальнейшую связь со службой сервера.
Внедрение цифровых подписей в сетях с высокой степенью защиты помогает предотвратить олицетворение клиентских компьютеров и серверов, которое известно как «перехват сеансов».«Но неправильное использование этих параметров политики является распространенной ошибкой, которая может привести к потере данных или проблемам с доступом к данным или безопасностью.
Чтобы эта политика вступила в силу на компьютерах под управлением Windows 2000, также должна быть включена подпись пакетов на стороне клиента. Чтобы включить подписывание SMB-пакетов на стороне клиента, настройте клиент сети Microsoft: Цифровая подпись сообщений (если сервер согласен). Устройства с таким набором политик не смогут взаимодействовать с устройствами, на которых не включена подпись пакетов на стороне сервера.По умолчанию подписывание пакетов на стороне сервера включено только на контроллерах домена. Подпись на стороне сервера может быть включена на устройствах путем установки сетевого сервера Microsoft: Цифровая подпись сообщений (если клиент согласен).
Если требуется подпись SMB на стороне сервера, клиентское устройство не сможет установить сеанс с этим сервером, если на нем не включена подпись SMB на стороне клиента. По умолчанию подпись SMB на стороне клиента включена на рабочих станциях, серверах и контроллерах домена. Точно так же, если требуется подпись SMB на стороне клиента, это клиентское устройство не сможет установить сеанс с серверами, на которых подпись пакетов не включена.По умолчанию подпись SMB на стороне сервера включена только на контроллерах домена.
Если подпись SMB на стороне сервера включена, подпись пакетов SMB будет согласовываться с клиентскими устройствами, на которых включена подпись SMB.
Использование подписи пакетов SMB может снизить производительность транзакций файловой службы в зависимости от версии SMB и доступных циклов ЦП.
Существуют три других параметра политики, которые относятся к требованиям подписи пакетов для коммуникаций блока сообщений сервера (SMB):
Возможные значения
- включено
- Отключено
- Не определено
Лучшие практики
Настройте следующие параметры политики безопасности следующим образом:
Кроме того, вы можете установить все эти параметры политики на Включено, но их включение может привести к снижению производительности на клиентских устройствах и помешать им обмениваться данными с устаревшими приложениями и операционными системами SMB.
Расположение
Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности
Значения по умолчанию
В следующей таблице перечислены действительные и действующие значения по умолчанию для этой политики. Значения по умолчанию также перечислены на странице свойств политики.
| Тип сервера или GPO | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Не определено |
| Политика контроллера домена по умолчанию | включено |
| Настройки автономного сервера по умолчанию | Не определено |
| DC эффективные настройки по умолчанию | включено |
| Рядовой сервер Действующие настройки по умолчанию | Не определено |
| Клиентский компьютер Эффективные настройки по умолчанию | инвалид |
Политика управления
В этом разделе описаны функции и инструменты, доступные для управления этой политикой.
Требование перезагрузки
Нет. Изменения в этой политике вступают в силу без перезапуска устройства, когда они сохраняются локально или распространяются через групповую политику.
Соображения безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеры и возможные негативные последствия реализации контрмеры.
Уязвимость
Для перехвата сеансовиспользуются инструменты, позволяющие злоумышленникам, имеющим доступ к той же сети, что и клиентское устройство или сервер, прерывать, завершать или перехватывать выполняемый сеанс.Злоумышленники могут потенциально перехватывать и изменять неподписанные пакеты SMB, а затем изменять трафик и пересылать его, чтобы сервер мог выполнять нежелательные действия. В качестве альтернативы злоумышленник может выдать себя за сервер или клиентское устройство после законной аутентификации и получить несанкционированный доступ к данным.
SMB — это протокол совместного использования ресурсов, который поддерживается многими операционными системами Windows. Это основа NetBIOS и многих других протоколов. Подписи SMB проверяют подлинность пользователей и серверов, на которых размещаются данные.Если любая из сторон не проходит процесс аутентификации, передача данных не происходит.
Контрмера
Настройте параметры следующим образом:
В средах с высокой степенью защиты мы рекомендуем настроить все эти параметры на Включено. Однако такая конфигурация может привести к снижению производительности на клиентских устройствах и помешать связи с более ранними приложениями и операционными системами SMB.
Примечание: Альтернативная контрмера, которая может защитить весь сетевой трафик, заключается в реализации цифровых подписей с IPsec.Существуют аппаратные ускорители для шифрования и подписи IPsec, которые можно использовать для минимизации влияния производительности на процессоры серверов. Нет таких ускорителей для подписи SMB.
Потенциальное воздействие
Реализации SMB-файлов и протокола совместного использования печати поддерживают взаимную аутентификацию. Это предотвращает атаки перехвата сеансов и поддерживает аутентификацию сообщений для предотвращения атак «человек посередине». Подписание SMB обеспечивает эту аутентификацию путем размещения цифровой подписи в каждом SMB, которая затем проверяется клиентом и сервером.
Реализация подписи SMB может негативно повлиять на производительность, поскольку каждый пакет должен быть подписан и проверен. Если эти параметры включены на сервере, выполняющем несколько ролей, например на сервере малого бизнеса, который выполняет роль контроллера домена, файлового сервера, сервера печати и сервера приложений, производительность может существенно снизиться. Кроме того, если вы настроите компьютеры на игнорирование всех неподписанных сообщений SMB, старые приложения и операционные системы не смогут подключиться.Тем не менее, если вы полностью отключите все подписи SMB, устройства будут уязвимы для атак перехвата сеанса.
,