Опубликован: 19.02.2008 | Уровень: специалист | Доступ: платный
Лекция 6:

Сетевые протоколы и службы

Технологии виртуальных частных сетей

Для создания виртуальных частных сетей в системах семейства Windows используются два различных протокола — PPTP разработки корпорации Microsoft ( Point-to-Point Tunneling Protocol ) и L2TP, объединивший лучшие черты протоколов PPTP и L2F компании Cisco ( Level 2 Tunneling Protocol ). Основной принцип работы обоих протоколов заключается в том, что они создают защищенный " туннель " между пользователем и корпоративной сетью или между двумя подсетями. Туннелирование состоит в том, что пакеты, передаваемые в защищенной сети, снабжаются специальными заголовками (у обоих протоколов свои заголовки), содержимое данных в этих пакетах шифруется (в PPTP — алгоритмом MPPE компании Microsoft, в L2TP — технологией IPSec), а затем пакет, предназначенный для защищенной корпоративной сети и имеющий заголовок с IP-адресами внутренней корпоративной сети, инкапсулируется в пакет, передаваемый по сети Интернет и имеющий соответствующий заголовок и IP- адреса отправителя и получателя.

Отличия между двумя протоколами следующие:

  • алгоритмы шифрования (MPPE для PPTP, IPSec для L2TP);
  • транспортная среда (PPTP работает только поверх протокола TCP/IP, L2TP может работать также поверх протоколов X.25, Frame Relay, ATM, хотя реализация L2TP в системе Windows работает только поверх TCP/IP);
  • L2TP осуществляет взаимную аутентификацию обеих сторон, участвующих в создании защищенной сети, для этого используются сертификаты X.509 или общий секрет ( preshared key ). Общий секрет ( предварительный ключ ) реализован начиная с версии Windows 2003, устанавливается в Свойствах службы RRAS на закладке " Безопасность " (рис. 10.31).

    Рис. 10.31.
Политики удаленного доступа

Как уже говорилось выше, в основном режиме домена Windows 2000/2003 разрешениями на подключения к службе удаленного доступа можно управлять с помощью политик удаленного доступа. Напомним, что политики удаленного доступа применяются к учетной записи пользователя при его попытке подключиться к службе удаленного доступа только в том случае, если в Свойствах этой учетной записи указано " Управление на основе политики удаленного доступа ". Если в явном виде указано разрешение или запрет подключения, то политики не проверяются.

Каждая политика состоит из трех компонент:

  • Условия ( Conditions ) — определяются условия подключения пользователя (в сетях на базе MS Windows Server наиболее интересные условия — день недели и время, а также членство в определенной группе );
  • Профиль ( Profile ) — определяются некие параметры подключения (например, тип аутентификации или вид коммуникаций);
  • Разрешения ( Permissions ) — разрешить или запретить подключение.

В начале проверки политики всегда проверяются условия — если ни одно из условий не совпадает с параметрами учетной записи пользователя, то происходит переход к следующей политике. Если условия совпали, то проверяются параметры профиля подключения, если параметры политики и пользователя не совпадают, то также происходит переход к следующей политике. Если же параметры профиля совпали и данная политика разрешает подключение, то пользователю выдается разрешение на подключение к серверу удаленного доступа. Если же политика запрещает подключение, то пользователю выдается отказ на подключение к серверу.

Резюме

Данный раздел посвящен ознакомлению с наиболее часто используемыми, кроме TCP/IP, сетевыми протоколами и основными инфраструктурными сетевыми службами — DHCP, WINS, RRAS.

Служба DHCP значительно облегчает работу сетевого администратора по управлению конфигурацией протокола TCP/IP на множестве сетевых узлов (преимущественно на рабочих станциях пользователей), позволяя автоматически настраивать параметры TCP/IP на этих узлах.

Задачи сетевого администратора:

  • планирование пространства IP-адресов для тех узлов, которые будут конфигурироваться автоматически службой DHCP;
  • планирование установки серверов DHCP (количество серверов, их размещение, какие IP-диапазоны они будут обслуживать и т.д.);
  • установка серверов DHCP, создание и настройка параметров областей;
  • установка и настройка, при необходимости, агентов ретрансляции DHCP.

Служба WINS, хотя и теряет постепенно свою актуальность, еще полностью не вышла из использования в корпоративных сетях.

Задачи сетевого администратора:

  • планирование установки серверов WINS;
  • установка и настройка серверов WINS, установление партнеров репликации;
  • настройка клиентов WINS (статическая или автоматическая через службу DHCP).

Служба RRAS необходима:

  • для подключения мобильных и домашних пользователей к корпоративной сети (преимущественно через модемы по коммутируемым телефонным линиям);
  • объединения в единую сеть удаленных сегментов корпоративной сети (подключенных друг к другу по коммутируемым или выделенным телефонным линиям);
  • создания защищенных виртуальных частных сетей между мобильными пользователями и корпоративной сетью или сегментами корпоративной сети, подключенными к сетям общего пользования (например, к сети Интернет);
  • для маршрутизации пакетов между IP-сетями корпоративной сети.

Задачи сетевого администратора:

  • планирование серверов маршрутизации и удаленного доступа;
  • установка и настройка серверов;
  • планирование работы пользователей через службу удаленного доступа;
  • определение разрешений пользователей на подключение к серверам удаленного доступа и настройка политик удаленного доступа;
  • планирование и настройка маршрутизации в корпоративной сети.
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Михаил Байков
Михаил Байков
Россия, Москва, Московский Авиационный Институт, 2009
Юрий Малышев
Юрий Малышев
Россия, Великий Новгород, НовГУ им. Ярослава Мудрого, 2013