Сети УМК. Учебник-06 (Сетевое администрирование). 6 Сетевые протоколы и службы
 Скачать 1.43 Mb.
|
1 2 В данном разделе консоли перечисляются все сетевые интерфейсы, установленные на сервере (сетевые адаптеры, модемы). Напомним, что интерфейс «Внутренний» — это интерфейс, к которому подключаются все клиенты удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную сеть и т.д.). Раздел «Клиенты удаленного доступа» консоли «Маршрутизация и удаленный доступ» В данном разделе осуществляется мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа. Раздел «Порты» консоли «Маршрутизация и удаленный доступ» В разделе «Порты» перечисляются все доступные точки подключения к службе удаленного доступа: параллельный порт (для прямого соединения двух компьютеров через порт LPT); модемы, доступные для службы удаленного доступа; порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола). Раздел «IP-маршрутизация» консоли «Маршрутизация и удаленный доступ» В этом разделе добавляются, удаляются и настраиваются как статические маршруты, так и необходимые динамические протоколы маршрутизации: Агент ретрансляции DHCP-запросов (DHCP Relay Agent) — использование агента ретрансляции запросов DHCP подробно обсуждалось в пункте, посвященном службе DHCP, настройка данного агента производится именно в данном разделе службы RRAS; Протокол IGMP — данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации); Служба трансляции сетевых адресов (NAT, Network Address Translation) — данная служба позволяет обмениваться информацией между сетями с внутренними IP-адресами и сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера); Протокол RIP версии 2 для IP — протокол динамической маршрутизации IP-пакетов; Протокол OSPF (OpenShortestPathFirst) — также протокол динамической маршрутизации IP-пакетов, более сложный в настройке по сравнению с RIP, но более эффективный в больших сетях. Подробное изучение протоколов маршрутизации выходит за рамки данного курса. Виртуальные частные сети Виртуальные частные сети (VirtualPrivateNetworks) — технология создания защищенных подключений между компьютерами, подключенными к публичным сетям (например, к сети Интернет). Рассмотрим пример на рис. 6.24. Допустим, некий мобильный пользователь желает подключиться к корпоративной сети. Он может это сделать, подключившись к корпоративному серверу удаленного доступа по коммутируемой телефонной линии. Однако, если пользователь находится в другом городе или даже другой стране, такой звонок может обойтись очень дорого. Может оказаться значительно дешевле подключиться к сети Интернет через местного Интернет-провайдера. Корпоративная сеть, в свою очередь, тоже имеет свое подключение к Интернет. В этом случае нужно решить две задачи: как получить доступ в корпоративную сеть (в данном примере IP-адреса корпоративной сети принадлежат к диапазону внутренних адресов и пакеты от мобильного пользователя не смогут попасть в эту сеть); как защитить данные, передаваемые через Интернет (все сетевые пакеты, передаваемые через Интернет, содержат информацию в открытом тексте, и грамотный злоумышленник может перехватить пакеты и извлечь из них информацию). Обе эти задачи решаются созданием VPN-подключений между удаленным пользователем и сервером удаленного доступа. В данном примере пользователю необходимо создать еще одно подключение, но не через модем, а через «Подключение к виртуальной частной сети». При этом в качестве «телефонного номера» выступит IP-адрес внешнего интерфейса сервера удаленного доступа.  Рис. 6.24 Процесс создания подключения выглядит следующим образом: 1. Запускаем Мастер новых подключений (кнопка «Пуск» — «Панель управления» — «Сетевые подключения» — «Мастер новых подключений») 2. Выбираем тип сетевого подключения — «Подключить к сети на рабочем месте» (рис. 6.25):  Рис. 6.25 3. Выбираем способ сетевого подключения — «Подключение к виртуальной частной сети» (рис. 6.26):  Рис. 6.26 4. Задаем имя подключения. 5. Указываем VPN-сервер (имя или IP-адрес; в данном примере — 217.15.1.2; рис. 6.27):  Рис. 6.27 6. Определяем доступность ярлычка этого подключения (для данного пользователя или для всех пользователей). 7. Нажимаем кнопку «Готово». 8. Вводим имя и пароль пользователя, нажимаем кнопку «Подключение» (рис. 6.28):  Рис. 6.28 Если все настройки сделаны правильно, то будет установлено соединение с корпоративным сервером удаленного доступа. Сетевая конфигурация будет такая, как изображено на рис. 6.29:  Рис. 6.29 Между ПК мобильного пользователя и сервером удаленного доступа будет установлен защищенный «виртуальный» канал, клиентский ПК получит IP-адрес из пула адресов сервера RRAS (таким образом будет решена задача маршрутизации IP-пакетов между клиентом и корпоративной сетью), все пакеты, передаваемые между клиентом корпоративной сетью, будут шифроваться. Аналогично можно создать защищенное виртуальное подключение между двумя офисами корпоративной сети, подключенными к различным Интернет-провайдерам (рис.6 30):  Рис. 6.30 Технологии виртуальных частных сетей. Для создания виртуальных частных сетей в системах семейства Windows используются два различных протокола — PPTP разработки корпорации Microsoft (Point-to-PointTunnelingProtocol) и L2TP, объединивший лучшие черты протоколов PPTP и L2F компании Cisco (Level 2 TunnelingProtocol). Основной принцип работы обоих протоколов заключается в том, что они создают защищенный «туннель» между пользователем и корпоративной сетью или между двумя подсетями. Туннелирование состоит в том, что пакеты, передаваемые в защищенной сети, снабжаются специальными заголовками (у обоих протоколов свои заголовки), содержимое данных в этих пакетах шифруется (в PPTP — алгоритмом MPPE компании Microsoft, в L2TP — технологией IPSec), а затем пакет, предназначенный для защищенной корпоративной сети и имеющий заголовок с IP-адресами внутренней корпоративной сети, инкапсулируется в пакет, передаваемый по сети Интернет и имеющий соответствующий заголовок и IP- адреса отправителя и получателя. Отличия между двумя протоколами следующие: алгоритмы шифрования (MPPE для PPTP, IPSec для L2TP); транспортная среда (PPTP работает только поверх протокола TCP/IP, L2TP может работать также поверх протоколов X.25, Frame Relay, ATM, хотя реализация L2TP в системе Windows работает только поверх TCP/IP); L2TP осуществляет взаимную аутентификацию обеих сторон, участвующих в создании защищенной сети, для это используются сертификаты X.509 или общий секрет (presharedkey). Общий секрет (предварительный ключ) реализован начиная с версии Windows 2003, устанавливается в Свойствах службы RRAS на закладке «Безопасность» (рис. 6.31).  Рис. 6.31 Политики удаленного доступа Как уже говорилось выше, в основном режиме домена Windows 2000/2003 разрешениями на подключения к службе удаленного доступа можно управлять с помощью политик удаленного доступа. Напомним, что политики удаленного доступа применяются у четной записи пользователя при его попытке подключиться к службе удаленного доступа только в том случае, если в Свойствах этой учетной записи указано «Управление на основе политики удаленного доступа». Если в явном виде указано разрешение или запрет подключения, то политики не проверяются. Каждая политика состоит из трех компонент: Условия (Conditions) — определяются условия подключения пользователя (в сетях на базе MS Windows Server наиболее интересные условия — день недели и время, а также членство в определенной группе); Профиль (Profile) — определяются некие параметры подключения (например, тип аутентификации или вид коммуникаций); Разрешения (Permissions) — разрешить или запретить подключение. В начале проверки политики всегда проверяются условия — если ни одно из условий не совпадает с параметрами учетной записи пользователя, то происходит переход к следующей политике. Если условия совпали, то проверяются параметры профиля подключения, если параметры политики и пользователя не совпадают, то также происходит переход к следующей политике. Если же параметры профиля совпали и данная политика разрешает подключение, то пользователю выдается разрешение на подключение к серверу удаленного доступа. Если же политика запрещает подключение, то пользователю выдается отказ на подключение к серверу. Резюме Данный раздел посвящен ознакомлению с наиболее часто используемыми, кроме TCP/IP, сетевыми протоколами и основными инфраструктурными сетевыми службами — DHCP, WINS, RRAS. Служба DHCP значительно облегчает работу сетевого администратора по управлению конфигурацией протокола TCP/IP на множестве сетевых узлов (преимущественно на рабочих станциях пользователей), позволяя автоматически настраивать параметры TCP/IP на этих узлах. Задачи сетевого администратора: планирование пространства IP-адресов для тех узлов, которые будут конфигурироваться автоматически службой DHCP; планирование установки серверов DHCP (количество серверов, их размещение, какие IP-диапазоны они будут обслуживать и т.д.); установка серверов DHCP, создание и настройка параметров областей; установка и настройка, при необходимости, агентов ретрансляции DHCP. Служба WINS, хотя и теряет постепенно свою актуальность, еще полностью не вышла из использования в корпоративных сетях. Задачи сетевого администратора: планирование установки серверов WINS; установка и настройка серверов WINS, установление партнеров репликации; настройка клиентов WINS (статическая или автоматическая через службу DHCP). Служба RRAS необходима: для подключения мобильных и домашних пользователей к корпоративной сети (преимущественно через модемы по коммутируемым телефонным линиям); объединения в единую сеть удаленных сегментов корпоративной сети (подключенных друг к другу по коммутируемым или выделенным телефонным линиям); создания защищенных виртуальных частных сетей между мобильными пользователями и корпоративной сетью или сегментами корпоративной сети, подключенными к сетям общего пользования (например, к сети Интернет); для маршрутизации пакетов между IP-сетями корпоративной сети. Задачи сетевого администратора: планирование серверов маршрутизации и удаленного доступа; установка и настройка серверов; планирование работы пользователей через службу удаленного доступа; определение разрешений пользователей на подключение к серверам удаленного доступа и настройка политик удаленного доступа; планирование и настройка маршрутизации в корпоративной сети. Лабораторные работы Для закрепления материала раздела 6 необходимо выполнить упражнения лабораторных работ. Всего предусмотрено выполнение трех упражнений. Упражнение 1. Установка и настройка сервера DHCP. Практическое освоение процесса установки сервера DHCP, авторизации в службе каталогов Active Directory, создание и настройка параметров области, настройка клиентов. Упражнение 2. Установка и настройка сервера WINS. Установка и настройка сервера WINS, настройка клиентов WINS. Упражнение 3. Установка и настройка службы маршрутизации и удаленного доступа, настройка клиентских подключений, управление доступом через Active Directory и политики службы маршрутизации и удаленного доступа. Включение и настройка службы RRAS, настройка параметров сервера, настройка разрешений на подключение через свойства пользователей в AD, настройка и подключение к виртуальной частной сети, настройка политик удаленного доступа. © Власов Ю. В, Рицкова Т. И. 1 2 |