Опубликован: 19.02.2008 | Уровень: специалист | Доступ: платный
Лекция 6:

Сетевые протоколы и службы

Использование службы RADIUS

Служба RADIUS ( Remote Authentication Dial-in User Service ) является промежуточным звеном между сервером удаленного доступа (который в данном случае называют клиентом RADIUS) и службой каталогов корпоративной сети. Сервер RADIUS позволяет решить две основные задачи:

  • интеграция в единую систему серверов удаленного доступа от различных производителей;
  • централизованное управление доступом в корпоративную сеть (служба RRAS в системе Windows Server настраивается индивидуально для каждого сервера RRAS).

Служба RADIUS работает по следующей схеме:

  1. вначале устанавливается телефонное (или иное) соединение между клиентом и сервером удаленного доступа;
  2. пользователь пересылает серверу RAS запрос на аутентификацию (свои имя и пароль);
  3. сервер удаленного доступа (являющийся клиентом сервера RADIUS) пересылает данный запрос серверу RADIUS;
  4. сервер RADIUS проверяет запрос на аутентификацию в службе каталогов (например, в службе Active Directory) и посылает в ответ RAS-серверу разрешение или запрещение данному пользователю на подключение к серверу удаленного доступа;
  5. сервер удаленного доступа либо подключает пользователя к корпоративной сети, либо выдает отказ в подключении.

Реализация службы RADIUS в системе Windows Server называется службой IAS ( Internet Authentication Service ).

Раздел " Интерфейсы сети " консоли " Маршрутизация и удаленный доступ "

В данном разделе консоли перечисляются все сетевые интерфейсы, установленные на сервере (сетевые адаптеры, модемы). Напомним, что интерфейс " Внутренний " — это интерфейс, к которому подключаются все клиенты удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную сеть и т.д.).

Раздел " Клиенты удаленного доступа " консоли " Маршрутизация и удаленный доступ "

В данном разделе осуществляется мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа.

Раздел " Порты " консоли " Маршрутизация и удаленный доступ "

В разделе " Порты " перечисляются все доступные точки подключения к службе удаленного доступа:

  • параллельный порт (для прямого соединения двух компьютеров через порт LPT);
  • модемы, доступные для службы удаленного доступа;
  • порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола).

Раздел " IP-маршрутизация " консоли " Маршрутизация и удаленный доступ "

В этом разделе добавляются, удаляются и настраиваются как статические маршруты, так и необходимые динамические протоколы маршрутизации:

  • Агент ретрансляции DHCP-запросов ( DHCP Relay Agent ) — использование агента ретрансляции запросов DHCP подробно обсуждалось в пункте, посвященном службе DHCP, настройка данного агента производится именно в данном разделе службы RRAS;
  • Протокол IGMP — данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации);
  • Служба трансляции сетевых адресов ( NAT, Network Address Translation ) — данная служба позволяет обмениваться информацией между сетями с внутренними IP-адресами и сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера);
  • Протокол RIP версии 2 для IP — протокол динамической маршрутизации IP-пакетов;
  • Протокол OSPF ( Open Shortest Path First ) — также протокол динамической маршрутизации IP-пакетов, более сложный в настройке по сравнению с RIP, но более эффективный в больших сетях.

Подробное изучение протоколов маршрутизации выходит за рамки данного курса.

Виртуальные частные сети

Виртуальные частные сети ( Virtual Private Networks ) — технология создания защищенных подключений между компьютерами, подключенными к публичным сетям (например, к сети Интернет).

Рассмотрим пример на рис. 10.24. Допустим, некий мобильный пользователь желает подключиться к корпоративной сети. Он может это сделать, подключившись к корпоративному серверу удаленного доступа по коммутируемой телефонной линии. Однако, если пользователь находится в другом городе или даже другой стране, такой звонок может обойтись очень дорого. Может оказаться значительно дешевле подключиться к сети Интернет через местного Интернет-провайдера. Корпоративная сеть, в свою очередь, тоже имеет свое подключение к Интернет. В этом случае нужно решить две задачи:

  • как получить доступ в корпоративную сеть (в данном примере IP-адреса корпоративной сети принадлежат к диапазону внутренних адресов и пакеты от мобильного пользователя не смогут попасть в эту сеть);
  • как защитить данные, передаваемые через Интернет (все сетевые пакеты, передаваемые через Интернет, содержат информацию в открытом тексте, и грамотный злоумышленник может перехватить пакеты и извлечь из них информацию).

Обе эти задачи решаются созданием VPN-подключений между удаленным пользователем и сервером удаленного доступа. В данном примере пользователю необходимо создать еще одно подключение, но не через модем, а через " Подключение к виртуальной частной сети ". При этом в качестве "телефонного номера" выступит IP-адрес внешнего интерфейса сервера удаленного доступа.


Рис. 10.24.

Процесс создания подключения выглядит следующим образом:

  1. Запускаем Мастер новых подключений (кнопка " Пуск " — " Панель управления " — " Сетевые подключения " — " Мастер новых подключений ")
  2. Выбираем тип сетевого подключения — " Подключить к сети на рабочем месте " (рис. 10.25):

    Рис. 10.25.
  3. Выбираем способ сетевого подключения — " Подключение к виртуальной частной сети " (рис. 10.26):

    Рис. 10.26.
  4. Задаем имя подключения.
  5. Указываем VPN-сервер (имя или IP-адрес; в данном примере — 217.15.1.2 ; рис. 10.27):

    Рис. 10.27.
  6. Определяем доступность ярлычка этого подключения (для данного пользователя или для всех пользователей).
  7. Нажимаем кнопку " Готово ".
  8. Вводим имя и пароль пользователя, нажимаем кнопку " Подключение " (рис. 10.28):

    Рис. 10.28.

    Если все настройки сделаны правильно, то будет установлено соединение с корпоративным сервером удаленного доступа. Сетевая конфигурация будет такая, как изображено на рис. 10.29:


    Рис. 10.29.

    Между ПК мобильного пользователя и сервером удаленного доступа будет установлен защищенный "виртуальный" канал, клиентский ПК получит IP-адрес из пула адресов сервера RRAS (таким образом будет решена задача маршрутизации IP-пакетов между клиентом и корпоративной сетью), все пакеты, передаваемые между клиентом корпоративной сетью, будут шифроваться.

Аналогично можно создать защищенное виртуальное подключение между двумя офисами корпоративной сети, подключенными к различным Интернет-провайдерам (рис. 10.30):


Рис. 10.30.
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Михаил Байков
Михаил Байков
Россия, Москва, Московский Авиационный Институт, 2009
Юрий Малышев
Юрий Малышев
Россия, Великий Новгород, НовГУ им. Ярослава Мудрого, 2013