Сетевые протоколы и службы

Технологии виртуальных частных сетей

Для создания виртуальных частных сетей в системах семейства Windows используются два различных протокола — PPTP разработки корпорации Microsoft ( Point-to-Point Tunneling Protocol ) и L2TP, объединивший лучшие черты протоколов PPTP и L2F компании Cisco ( Level 2 Tunneling Protocol ). Основной принцип работы обоих протоколов заключается в том, что они создают защищенный " туннель " между пользователем и корпоративной сетью или между двумя подсетями. Туннелирование состоит в том, что пакеты, передаваемые в защищенной сети, снабжаются специальными заголовками (у обоих протоколов свои заголовки), содержимое данных в этих пакетах шифруется (в PPTP — алгоритмом MPPE компании Microsoft, в L2TP — технологией IPSec), а затем пакет, предназначенный для защищенной корпоративной сети и имеющий заголовок с IP-адресами внутренней корпоративной сети, инкапсулируется в пакет, передаваемый по сети Интернет и имеющий соответствующий заголовок и IP- адреса отправителя и получателя.

Отличия между двумя протоколами следующие:

• алгоритмы шифрования (MPPE для PPTP, IPSec для L2TP);
• транспортная среда (PPTP работает только поверх протокола TCP/IP, L2TP может работать также поверх протоколов X.25, Frame Relay, ATM, хотя реализация L2TP в системе Windows работает только поверх TCP/IP);
• L2TP осуществляет взаимную аутентификацию обеих сторон, участвующих в создании защищенной сети, для этого используются сертификаты X.509 или общий секрет ( preshared key ). Общий секрет ( предварительный ключ ) реализован начиная с версии Windows 2003, устанавливается в Свойствах службы RRAS на закладке " Безопасность " (рис. 10.31).
  

  
  Рис. 10.31.

Политики удаленного доступа

Как уже говорилось выше, в основном режиме домена Windows 2000/2003 разрешениями на подключения к службе удаленного доступа можно управлять с помощью политик удаленного доступа. Напомним, что политики удаленного доступа применяются к учетной записи пользователя при его попытке подключиться к службе удаленного доступа только в том случае, если в Свойствах этой учетной записи указано " Управление на основе политики удаленного доступа ". Если в явном виде указано разрешение или запрет подключения, то политики не проверяются.

Каждая политика состоит из трех компонент:

• Условия ( Conditions ) — определяются условия подключения пользователя (в сетях на базе MS Windows Server наиболее интересные условия — день недели и время, а также членство в определенной группе );
• Профиль ( Profile ) — определяются некие параметры подключения (например, тип аутентификации или вид коммуникаций);
• Разрешения ( Permissions ) — разрешить или запретить подключение.

В начале проверки политики всегда проверяются условия — если ни одно из условий не совпадает с параметрами учетной записи пользователя, то происходит переход к следующей политике. Если условия совпали, то проверяются параметры профиля подключения, если параметры политики и пользователя не совпадают, то также происходит переход к следующей политике. Если же параметры профиля совпали и данная политика разрешает подключение, то пользователю выдается разрешение на подключение к серверу удаленного доступа. Если же политика запрещает подключение, то пользователю выдается отказ на подключение к серверу.

Резюме

Данный раздел посвящен ознакомлению с наиболее часто используемыми, кроме TCP/IP, сетевыми протоколами и основными инфраструктурными сетевыми службами — DHCP, WINS, RRAS.

Служба DHCP значительно облегчает работу сетевого администратора по управлению конфигурацией протокола TCP/IP на множестве сетевых узлов (преимущественно на рабочих станциях пользователей), позволяя автоматически настраивать параметры TCP/IP на этих узлах.

Задачи сетевого администратора:

• планирование пространства IP-адресов для тех узлов, которые будут конфигурироваться автоматически службой DHCP;
• планирование установки серверов DHCP (количество серверов, их размещение, какие IP-диапазоны они будут обслуживать и т.д.);
• установка серверов DHCP, создание и настройка параметров областей;
• установка и настройка, при необходимости, агентов ретрансляции DHCP.

Служба WINS, хотя и теряет постепенно свою актуальность, еще полностью не вышла из использования в корпоративных сетях.

Задачи сетевого администратора:

• планирование установки серверов WINS;
• установка и настройка серверов WINS, установление партнеров репликации;
• настройка клиентов WINS (статическая или автоматическая через службу DHCP).

Служба RRAS необходима:

• для подключения мобильных и домашних пользователей к корпоративной сети (преимущественно через модемы по коммутируемым телефонным линиям);
• объединения в единую сеть удаленных сегментов корпоративной сети (подключенных друг к другу по коммутируемым или выделенным телефонным линиям);
• создания защищенных виртуальных частных сетей между мобильными пользователями и корпоративной сетью или сегментами корпоративной сети, подключенными к сетям общего пользования (например, к сети Интернет);
• для маршрутизации пакетов между IP-сетями корпоративной сети.

Задачи сетевого администратора:

• планирование серверов маршрутизации и удаленного доступа;
• установка и настройка серверов;
• планирование работы пользователей через службу удаленного доступа;
• определение разрешений пользователей на подключение к серверам удаленного доступа и настройка политик удаленного доступа;
• планирование и настройка маршрутизации в корпоративной сети.