AppleTalk
AppleTalk
Работа с сетью в Apple Macintosh основана на протоколе AppleTalk. Приложения и процессы могут взаимодействовать при помощи одиночной сети AppleTalk или совокупности связанных AppleTalk сетей (ApplTalk internet). Используя AppleTalk, приложения и процессы могут передавать данные и обмениваться информацией, а также совместно использовать ресурсы, например принтеры и файловые серверы. Удаленный доступ AppleTalk поддерживается в соответствии с AppleTalk Remote Access Protocol (Протокол удаленного доступа AppleTalk, ARAP) и AppleTalk Control Protocol (Протокол управления AppleTalk, ATCP).
ARAP — протокол коммутируемого соединения для компьютеров Apple Macintosh. Пользователи Macintosh с помощью ARAP могут удаленно подключаться к компьютеру с поддержкой AppleTalk под управлением Windows XP, получать доступ к файловым томам Macintosh и принтерам \ppleTalk. Поддерживаются клиенты удаленного доступа AppleTalk (AppteTalk Remote Access client) версий 1.0, 2.x и 3.x.
При помощи ATCP клиенты Macintosh могут работать с сетевым протоколом AppleTalk поверх РРР, а удаленный пользователь может получить доступ к веб-серверам поверх TCP/IP, печатать документы на принтерах
AppleTalk, а также соединяться с файловым сервером Macintosh (по TCP/IP или AppleTalk) по одному коммутируемому РРР-соединению.
расширяет первоначальную реализацию интерфейса
Архитектура Win Sock 2
Обеспечивая полную совместимость с предыдущими версиями, WinSock 2 расширяет первоначальную реализацию интерфейса в ряде областей:
Улучшенная эффективность работы | |
|
Дополнительная поддержка разрешения имен |
Параллельный доступ к нескольким сетевым транспортам | |
Поддержка процедур управления качеством обслуживания (QoS) | |
Поддержка многоточечного и многоадресного вещания |
DLL-библиотека Windows Sockets 2 (WS2-32.DLL) включает все API, используемые разработчиками приложений. Она включает существующий Windows Sockets 1.1 API, а также новый API для расширенных средств обмена данными и API обобщенной службы имен. Многие поставщики теперь предлагают параллельный доступ к их собственным транспортам, создавая DLL поставщика услуг, которая соответствует спецификации Windows Sockets 2 SPI. Это означает, что можно разработать приложение, обращающееся через новый API, например, к TCP/IP и IPX/SPX одновременно.
Интерфейс SPI пространства имен позволяет обращаться к нескольким службам разрешения имен (Name Resolution Services) через единый API. Поскольку производители поставляют программные модули уровня поставщика услуг для DNS, для службы каталогов NetWare (NDS) и Х.500 все их функции разрешения имен будут доступны через API пространства имен Windows Sockets 2.
Автоматический набор номера
Автоматический набор номера
Для настройки повторного набора номера при разрыве соединения:
1. | В меню Дополнительно папки Сеть и удаленный доступ к сети выберите пункт Параметры удаленного доступа (Dial-up Preferences). |
2. | На вкладке Автонабор номера (AutoDial) установите флажок, соответствующий тому местоположению, для которого нужно разрешить автонабор, и нажмите кнопку ОК. |
Безопасность
Безопасность
Для телефонных и VPN-подключений можно задавать различные методы аутентификации и уровни шифрования данных: в простейшем случае используются незашифрованные имена и пароли, в более сложных — специальные протоколы аутентификации (например, протокол ЕАР). ЕАР обеспечивает гибкую поддержку широкого диапазона методов аутентификации, включая такие механизмы, как жетонная карта (token card), одноразовый пароль и открытый ключ. Можно устанавливать шифрование данных в подключении в зависимости от выбранного уровня аутентификации пароля (MS CHAP или ЕАР). Наконец, можно настраивать параметры ответного вызова для повышения безопасности коммутируемого подключения.
Безопасность в сетевом мониторе
Безопасность в сетевом мониторе
Из соображений безопасности сетевой монитор в Windows XP перехватывает только те кадры (включая широковещательные кадры и кадры группового вещания), которые посланы с локального компьютера или адресованы ему. Сетевой монитор также отображает полную сетевую статистику сегмента для широковещательных кадров, кадров многоадресного вещания, коэффициент использования сети, общее число байтов, полученных за секунду, и общее число кадров, полученных за секунду.
Сетевой монитор в Windows XP использует новую особенность спецификации NDIS 4.0 для копирования всех обнаруженных кадров в буфер сбора данных (область памяти переменной длины, предназначенная для хранения данных). Процесс, в ходе которого сетевой монитор копирует кадры, называется фиксацией (перехватом).
Примечание
|
|
Поскольку сетевой монитор использует NDIS 4.0 вместо разнородного режима (где плата сетевого адаптера передавала все кадры, посланные в сеть), можно использовать сетевой монитор, даже если плата сетевого адаптера не поддерживает разнородный режим. На производительности работы сети не сказывается использование драйвера NDIS 4.0 для перехвата кадров. (Использование платы сетевого адаптера в разнородном режиме может более чем на 30% увеличить загрузку центрального процессора.) |
Кроме того, чтобы защитить сеть от несанкционированного использования инсталлированного сетевого монитора, сетевой монитор обеспечивает:
Защиту с использованием пароля | |
Возможность обнаружить другие инсталляции сетевого монитора в локальном сегменте сети |
Если драйвер сетевого монитора установлен и запущен на компьютере, а пароль не задан, то любой, кто использует на другом компьютере сетевой монитор из поставки Systems Management Server, может подсоединиться к первому компьютеру и использовать его для перехвата данных в сети.
В некоторых случаях архитектура сети может подавить обнаружение одной установленной копии сетевого монитора другой. Например, если установленная копия сетевого монитора отделяется от второй копии маршрутизатором, который не пропускает многоадресные посылки, то вторая копия сетевого монитора не сможет обнаружить первую.
Добавление дополнительных сетевых компонентов
Добавление дополнительных сетевых компонентов
В Windows XP можно добавлять или удалять дополнительные сетевые компоненты (Optional Networking Components) — различные сетевые службы, которые могут работать под управлением Windows XP, но не устанавливаются автоматически во время установки Windows XP. Примеры: Простые службы TCP/IP .(Simple TCP/IP Services), Протокол SNMP (Simple Netowrok Management Protocol), Службы печати для, Unix (Printing Services for Unix) и т. п.
Дополнительные сетевые компоненты-можно добавить как для всего компьютера целиком, так и для отдельного подключения.
Примечание
|
|
О добавлении дополнительных сетевых компонентов для отдельных подключений к сети и удаленного доступа к сети см. раздел "Сетевые компоненты" этой главы. |
Устанавливать только те сетевые компоненты, в которых есть реальная необходимость, нужно по следующим причинам:
В этом случае пропускная способность используемых каналов увеличивается за счет снижения ненужного служебного трафика. | |
В случае возникновения проблем при подключении к локальной сети или телефонного модемного подключения система Windows XP не будет пытаться произвести подключение на основе лишних протоколов, следовательно она быстрее получит информацию о состоянии подключения. | |
Лишние службы, установленные на компьютере, могут уменьшать производительность компьютера, занимая ресурсы — память, процессор, жесткий диск и т. п. |
Доступ через ISDN
Доступ через ISDN
Для повышения быстродействия сетевого подключения можно использовать линию ISDN (Integrated Services Digital Network) — цифровую сеть с интегрированными службами. Стандартные телефонные линии обычно позволяют осуществлять обмен со скоростями до 56 Кбит/с, по линии ISDN можно достичь скоростей 64 и даже 128 Кбит/с.
Линия ISDN должна быть установлена телефонной компанией как на сервере, так и на противоположном конце соединения. -Работа ISDN также требует, чтобы на обоих концах были установлены платы ISDN. Затраты на оборудование и линии ISDN могут быть выше, чем на установку стандартных модемов и прокладку телефонных линий. Однако быстродействие связи уменьшает время соединения, что сокращает денежные затраты.
Линия ISDN состоит из двух В-каналов, передающих данные со скоростью 64 Кбит/с, и одного D-канала для передачи управляющих сигналов со скоростью 16 Кбит/с. Можно конфигурировать каждый канал В, чтобы он работал как отдельный порт. При помощи некоторых драйверов ISDN-устройств можно объединять каналы. Это означает, что можно получить большую ширину полосы пропускания, настроив работу обоих В-каналов в качестве единственного порта. При конфигурации такого рода скорость линии увеличивается до 128 Кбит/с.
Функция многоканальной связи (multilink) в Windows XP логически объединяет части канала ISDN. Многоканальная связь объединяет несколько физических линий в логическую совокупность (пучок, bundle) с увеличенной шириной йолосы пропускания. Кроме того, можно распределять многоканальную связь динамически, используя линии только тогда, когда они реально требуются. Эта функция устраняет избыточность ширины полосы пропускания, представляя существенное преимущество для пользователей.
Настройка параметров ISDN. Для настройки параметров ISDN:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню соединения, использующего ISDN, выберите пункт Свойства. |
2. | На вкладке Общие в списке Подключить через (Connect using) выберите требуемое устройство ISDN и нажмите кнопку Настроить (Configure). |
3. | В открывшемся диалоговом окне Настройка ISDN (ISDN Configure) выполнить одно или оба действия: В списке Тин линии (Line type) выберите нужный тип линии. Линии более высокого качества указаны ближе к началу списка. Если требуется установить соединение с выбранным типом линии, а затем повторно установить соединение с более низким качеством в зависимости от состояния линии, установите флажок Согласование типа линии (Negotiate line type). |
Примечание
|
|
В зависимости от типа используемого ISDN-адаптера может появиться окно настройки параметров модема. |
Фильтры сбора данных
Фильтры сбора данных
Функции фильтра сбора данных подобны функциям запросов к базе данных. Их можно использовать для определения типа отслеживаемой информации о сети. Например, чтобы видеть только заданное подмножество компьютеров или протоколов, можно создать базу данных адресов, добавить адреса из базы данных в фильтр, а затем сохранить фильтр в файле. Фильтрация кадров экономит ресурсы буфера сбора данных и время. Позже, при необходимости, можно загрузить файл фильтра сбора данных и использовать фильтр снова.
Проектирование фильтров сбора данных Для разработки фильтра сбора данных надо задать инструкции принятия решения в диалоговом окне Фильтр записи (Capture Filter). В диалоговом окне Фильтр записи отображается дерево принятия реше- ния фильтра, графически представляющее логику фильтра. При включении или исключении информации из определения фильтра сбора данных дерево принятия решения отражает такого рода изменения. |
Фильтрация в соответствии с протоколом Чтобы перехватывать кадры, посланные с использованием специфического протокола, надо задать этот протокол в фильтре SAP/ETYPE = "хххх". Например, чтобы собирать только IP-пакеты, нужно отключить все протоколы и затем разрешить перехват IP ETYPE 0x800 и SAP IP 0x6. По умолчанию разрешены все протоколы, поддерживаемые сетевым монитором. |
|
Фильтрация по адресу Чтобы сохранять кадры, полученные (переданные) с (на) заданных компьютеров в сети, нужно определить одну или более пар адресов в фильтре сбора данных, при этом можно задать до четырех пар адресов одновременно. |
|
Фильтрация по образцу данных Задавая соответствие образцу в фильтре сбора данных, можно: Ограничить сбор данных только теми кадрами, которые содержат образец данных, заданный кодом ASCII или в шестнадцатеричном виде. Задать число байтов в кадре (смещение), которые должны быть просмотрены на соответствие образцу.Когда выполняется фильтрация трафика в соответствии с образцом, необходимо задать положение образца в кадре (количество байтов с начала или с конца). |
|
Триггер сбора данных Триггер— это набор условий, при выполнении которых инициируется некоторое действие. Например, перед использованием сетевого монитора при сборе данных в сети можно установить триггер, который остановит процесс сбора данных или запустит некоторую программу, или выполнит командный файл. |
Формирование базы данных адресов
Формирование базы данных адресов
Иногда нужно перехватывать только кадры, приходящие с определенных компьютеров. Для этого нужно знать сетевой адрес компьютера. Сетевой монитор может сопоставить шестнадцатеричный адрес компьютера более привычному имени. После того как это соответствие установлено, можно сохранить имя в базе данных адресов (файл *.adr), которую потом использовать для разработки фильтров сбора данных и фильтров отображения.
В дополнение к выбору достаточного размера буфера и созданию фильтра сбора данных можно перевести сетевой монитор в специализированный режим сбора данных, в котором окно сбора данных с динамически изменяющейся статистикой сетевого монитора заменено сокращенным диалоговым окном.
Если на компьютере функционирует несколько сетевых адаптеров, то можно при помощи сетевого монитора получать данные со всех сетевых адаптеров, переключаясь между адаптерами или запустив несколько экземпляров сетевого монитора.
IPX/SPX
IPX/SPX
Internetwork Packet Exchange/Sequenced Packet Exchange (Протокол обмена пакетами/Последовательный обмен пакетами, IPX/SPX) — протокол, изначально предназначенный для сетей на базе Novell NetWare.
В среде Windows компьютер должен использовать (помимо протокола IPX/SPX) редиректор (redirector) для NetWare, чтобы получить доступ к per сурсам Novell NetWare. На компьютерах под управлением Windows XP Professional этот редиректор называется Client Service for NetWare (CSNW, Клиентская служба для NetWare). На компьютерах под управлением Windows XP Server этот редиректор (не путать с Client Service!) входит в состав Gateway Service for NetWare (GSNW, Служба шлюза для NetWare).
Сервер удаленного доступа в Windows XP является и маршрутизатором IPX/SPX, и агентом SAP (Service Advertising Protocol, протокол объявления служб) (только для клиентов удаленного доступа к сети). Серверы удаленного доступа и клиенты удаленного доступа к сети используют протокол IPXCP (IPX Control Protocol, протокол конфигурации IPX для РРР) в соответствии с RFC 1552 для настройки линии удаленного доступа на использо: вание IPX/SPX. После того как сервер удаленного доступа настроен, он обеспечивает поддержку служб обмена файлами и печати и позволяет использовать приложения Windows Sockets no IPX/SPX в сети NetWare совместно с подключениями к сети и удаленным доступом к сети.
Адресация IPX для удаленных клиентов. Клиентам сетевых и коммутируемых соединений адрес IPX всегда выдается сервером удаленного доступа. Номер сети IPX генерируется автоматически сервером удаленного доступа, либо серверу удаленного доступа задается статический пул сетевых номеров для назначения сетевым и коммутируемым соединениям.
Для автоматически сгенерированных номеров сети IPX сервер удаленного доступа под управлением Windows XP использует протокол RIP (Routing Information Protocol, Информационный протокол маршрутизации) для IPX NetWare, чтобы определить номер сети IPX, который не используется в сети IPX. Сервер удаленного доступа назначает этот номер соединению.
Использование окна терминала и сценариев входа
Использование окна терминала и сценариев входа
При подключении к серверу удаленного доступа стороннего производителя может понадобиться предоставить информацию, для входа в систему в отдельном окне терминала. Данное подключение должно быть соответствующим образом настроено для использования этой возможности.
Существует два метода создания сценария автоматизации входа в систему при помощи терминала. Метод с использованием файла Switch.inf был разработан для ранних версий Windows NT. Можно также использовать более простой, чем Switch.inf, язык сценариев Windows 95.
Использование терминала для входа
Использование терминала для входа
При подключении к серверу РРР или SLIP удаленный компьютер, к которому производится подключение, может потребовать входа в систему с использованием терминального окна. При этом, после установления подключения к удаленной системе, в терминальном текстовом окне будет отображаться последовательность команд входа в систему на удаленном компьютере. Кроме того, можно автоматизировать процесс входа в систему, используя сценарий Switch.inf.
Примечание
|
|
Если удаленный, компьютер — сервер удаленного доступа Windows, то вход с использованием терминального окна не требуется. Процесс входа в систему полностью автоматизирован для пользователя. |
Для разрешения входа при помощи терминала:
1. | В папке Сеть и удаленный доступ к сети выберите пункт Свойства (Properties) контекстного меню сетевого подключения, затем на вкладке Безопасность (Security) установите флажок Вывести окно терминала (Show terminal window). |
2. | После подключения появляется окно Терминал после набора номера (After Dial Terminal window), в котором выполняется диалог с пользователем для входа в систему. После завершения входа на удаленный компьютер нажмите кнопку Готово (Done). После этого происходит аутентификация на сервере удаленного доступа. |
Если последовательность входа в систему постоянна, можно написать сценарий, автоматически передающий информацию на удаленный компьютер во время входа в систему, что позволит полностью автоматизировать подключение.
Для задания сценария в папке Сеть и удаленный доступ к сети выберите пункт Свойства (Properties) контекстного меню подключения. На вкладке Безопасность (Security) установите флажок Сценарий (Execute script). Затем:
Чтобы использовать существующий файл сценария, нажмите кнопку Обзор (Browse). | |
Чтобы использовать файл Switch.inf, нажмите кнопку Изменить (Edit). |
Примечание
|
|
Если вы нажали кнопку Изменить, и файл Switch.inf загрузился в программу Блокнот (Notepad), необходимо сразу же сохранить его с другим именем, чтобы не изменить исходный файл Switch.inf. |
Изменение порядка привязки протоколов
Изменение порядка привязки протоколов
Для изменения порядка привязки протоколов:
1. | В меню Дополнительно папки Сеть и удаленный доступ к сети выберите команду Дополнительные параметры. |
Изменение порядка служб доступа
Изменение порядка служб доступа
Для изменения порядка служб доступа к сети:
1. | В папке Сеть и удаленный доступ к сети выберите команду Дополнительные настройки меню Дополнительно. |
2. | На вкладке Порядок служб доступа (Provider Order, Рисунок 16.7) в списке Службы доступа к сети (Network providers) выберите службу доступа, которую требуется переместить в списке выше или ниже и нажмите кнопку со стрелкой вверх или вниз. |
Примечание
|
|
Обращение к службам доступа к сети производится в порядке этого списка. Для изменения порядка служб доступа к сети необходимо иметь полномочия администратора. |
Краткий обзор возможностей сетевого монитора
Краткий обзор возможностей сетевого монитора
Сетевой монитор контролирует сетевой поток данных, т. е. всю информацию, передаваемую по сети в любой заданный момент времени. До передачи эта информация разделяется сетевым программным обеспечением на меньшие части (пакеты, кадры или фреймы). Каждый кадр содержит следующую информацию:
Адрес компьютера, пославшего кадр | |
Адрес компьютера, получившего кадр | |
Заголовки каждого протокола, используемого для пересылки данного кадра | |
Данные или их часть |
Чтобы гарантировать безопасность сети на базе Windows XP, сетевой монитор показывает только те кадры, которые посланы на/с компьютер(а) пользователя, широковещательные кадры и кадры группового (multicast) вещания.
Сетевой монитор может перехватить и запомнить только тот объем информации, который сможет поместиться в доступной памяти компьютера. Обычно не требуется фиксировать большой объем информации, нужно только записать небольшое подмножество кадров, передаваемых в сети. Чтобы выделить подмножество кадров, можно разработать фильтр сбора данных, функционирующий подобно запросу базы данных. Возможна фильтрация на основе адресов источника и адресата, протоколов, свойств протокола или по образцу смещения.
Для того чтобы способ сбора данных отвечал событиям, происходящим в сети, как только они будут обнаружены, разрабатывают триггер сбора данных, который выполняет определенное действие (например, запускает исполняемый файл), когда сетевой монитор обнаруживает в сети набор условий, соответствующий триггеру. Сетевой монитор поддерживает множество популярных протоколов, включая NetBIOS (NetBEUI), IPX, SPX и большую часть протоколов из набора TCP/IP.
После того как данные зафиксированы (и факультативно сохранены в файле сбора данных), их можно просмотреть. Сетевой монитор проделает большую часть работы по анализу данных, формируя из необработанных собранных данных кадр согласно его логической структуре.
Основные функциональные возможности сетевого монитора, описанные в этой главе, поддерживаются службами поддержки продуктов Microsoft (Microsoft Product Support Services, MPSS,). Службы поддержки не решают задачи, зависящие от конкретной сети, такие как интерпретация данных, которые перехватываются и сохраняются в сети.
Настройка аутентификации и шифрования
Настройка аутентификации и шифрования данных телефонного подключения
Для настройки аутентификации и шифрования данных:
1. | В папке Сеть и удаленный доступ к сети выберите команду Свойства контекстного меню телефонного подключения. |
2. | На вкладке Безопасность (Security) выполните одно из следующих действий:
Для применения заранее заданных комбинаций методов аутентификации и требований шифрования данных выберите положение Обычные (рекомендуемые параметры) (Typical (recommended settings)) переключателя и в списке Производить проверку с использованием (Validate my identity as follows) выберите метод проверки. В зависимости от выбора можно установить или снять флажки Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует) (Automatically use my Windows logon name and password (and domain if any)) и Требуется шифрование данных (иначе отключаться) (Require data encryption (disconnect if none)). В табл. 16.6 показаны возможные комбинации параметров. Для индивидуальной настройки и разрешения методов аутентификации и требований шифрования выберите положение переключателя
Дополнительные (особые параметры) (Advanced (custom settings)) и нажмите кнопку Настройка (Settings). |
Примечание
|
|
Если флажок Требуется шифрование данных (иначе отключаться) не установлен, то шифрование необязательно. Чтобы запретить шифрование, выберите положение переключателя Дополнительные (особые параметры) и нажмите кнопку Настройка. В списке Шифрование данных (Data encryption) (Рисунок 16.22) выберите опцию не разрешено (отключиться, если требуется шифрование) (No encryption allowed (disconnect if server required encryption)). Изменение параметров при выборе положения Дополнительные (особые параметры) переключателя требует знания протоколов безопасности. |
Настройка аутентификации и шифрования данных VPNподключения
Настройка аутентификации и шифрования данных VPN-подключения
Чтобы настроить аутентификацию и шифрование данных для VPN-подключения:
1. | В папке Сеть и удаленный доступ к сети выберите пункт Свойства контекстного меню VPN-соединения. |
2. | . На вкладке Безопасность (Security) выполните одно из следующих действий:
Для выбора заранее заданных комбинаций методов аутентификации и требований шифрования данных выберите положение Обычные (рекомендуемые параметры) (Typical (recommended settings) переключателя и в списке Производить проверку с использованием (Validate my identity as follows) выберите метод проверки. В зависимости от выбора можно установить или снять флажки Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует) (Automatically use my Windows logon name and password (and domain if any) и Требуется шифрование данных (иначе отключаться) (Require data encryption (disconnect if none)). В табл. 16.7 показаны возможные комбинации параметров. Для индивидуальной настройки и разрешения методов аутентификации и требований шифрования выберите положение Дополнительные (особые параметры) (Advanced (custom settings)) переключателя и нажмите кнопку Настройка (Settings). |
Настройка многоканального соединения
Настройка многоканального соединения
Возможность многоканальной связи для подключений с использованием РРР позволяет устанавливать соединения через несколько линий ISDN,
Х.25 или телефонных линий. Эта возможность позволяет объединить множественные физические линии связи в единый логический канал. Полученное составное соединение имеет суммарную ширину полосы пропускания, равную сумме полос пропускания входящих в него каналов. Чтобы устанавливать соединения через несколько устройств, как клиент, так и сервер удаленного доступа должны иметь возможность многоканальной связи (multilink), и эта возможность должна быть разрешена.
Подключения динамически управляют многоканальными линиями, т. е. линии используются только тогда, когда они реально требуются. Следовательно, ширина полосы пропускания многоканального соединения в случае необходимости будет автоматически уменьшена. Настраивая параметры подключений, можно сконфигурировать состояния, при которых дополнительные линии подключаются, а недогруженные линии отключаются.
Если для подключения к серверу удаленного доступа, который требует ответного вызова, используется многоканальная связь, то только одно из их устройств в составе многоканального соединения произведет ответ. Причина в том, что в учетной записи пользователя можно записать только один номер. Следовательно, только одно устройство установит соединение, а все другие устройства будут не в состоянии завершить установление соединения, и соединение потеряет функциональные возможности многоканального соединения. Этой проблемы можно избежать:
Если запись телефонной книги для многоканального соединения использует модем стандартной конфигурации, а сервер удаленного доступа имеет многоканальный телефонный номер (то есть более одной телефонной линии на один номер телефона). | |
Если запись телефонной книги для многоканального соединения служит для подключения к номеру ISDN с двумя каналами, которые имеют один и тот же телефонный номер. |
Для разрешения установления соединения при помощи нескольких устройств:
1. | В папке Сел. и удаленный доступ к сети в контекстном меню соединения выберите пункт меню Свойства. |
2. | На вкладке Параметры (Options) в группе Использование нескольких устройств (Multiple devices) выполните одно из следующих действий:
Если требуется, чтобы ОС Windows XP устанавливала соединение только через первое доступное устройство, выберите в списке Задействовать первое из доступных устройств (Dial only first available device). Если требуется, чтобы ОС Windows XP использовала все устройства, выберите в списке Задействовать все устройства (Dial all devices). Если требуется, чтобы ОС Windows XP динамически набирала номер и разрывала соединение, только когда это нужно, выберите в списке Лишь необходимые устройства (Dial devices only as needed) и нажмите кнопку Настроить (Configure). В группе Автоматическое подключение (Automatic dialing) задайте значения активности (в процентах) в поле Активно не менее (Activity at least) и продолжительности (не менее) в поле Продолжительность не менее (Duration at least). Будет осуществлено соединение при помощи дополнительной линии, если активность соединения достигает этого уровня в течение заданного количества времени. В группе Автоматический разрыв соединения (Automatic hangup) задайте значения активности в поле Активно не более (Activity no more than) и продолжительности (не менее) в поле Продолжительность не менее. Устройство разорвет соединение, когда активность соединения уменьшится до указанного уровня и продержится по крайней мере заданное количество времени. |
Примечание
|
|
Если выбрана опция Лишь необходимые устройства, то последнее использованное устройство игнорирует установку Автоматический разрыв соединения, и вместо этого задается значение 20-минутного тайм-аута. |
Настройка номера телефона
Настройка номера телефона
Для настройки номера телефона:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню соединения выберите пункт Свойства. |
2. | Введите номер телефона, используя один или более знаков из приведенного списка (табл. 16.5). |
Настройка ответного вызова
Настройка ответного вызова
Для настройки ответного вызова:
1. | В меню Дополнительно (Advanced) папки Сеть н удаленный доступ к сети выберите пункт Параметры удаленного доступа (Dial-up Preferences). |
Настройка параметров буфера сбора данных
Настройка параметров буфера сбора данных
Перехваченные кадры сохраняются в буфере сбора данных. Когда происходит переполнение буфера сбора данных, каждый новый кадр заменяет самый старый кадр в буфере.
На быстроту заполнения буфера, кроме интенсивности сетевого трафика и сложности используемых фильтров, влияют следующие факторы:
Размер буфера сбора данных Буфер сбора данных хранится в памяти, а не на диске. Хотя сетевой монитор может использовать виртуальную память, чтобы сохранить буфер сбора данных, лучше использовать достаточно большой буфер для гарантии того, что критические кадры не будут потеряны. Однако он должен быть не слишком большим, чтобы предотвратить подкачку части буфера сбора данных с диска и на диск. (Заданный по умолчанию максимальный размер буфера сбора данных на 8 Мбайт меньше, чем объем оперативной памяти, установленной на компьютере.) |
|
Размер кадра Хотя; изменять размер кадра нельзя, можно сохранять только часть кадра для экономии места в буфере сбора данных. Например, если нужны только данные из заголовка кадра, надо установить размер сохраняемого кадра (в байтах) равным размеру заголовка кадра. |
Настройка подключений
Настройка подключений
Подключения к сети и удаленного доступа к сети можно настраивать. Параметры настройки телефонного соединения, например номер телефона подключения, число попыток повторного набора и т. д., задаются для каждого подключения. Они являются атрибутами подключения и не действуют на настройку других подключений. Например, можно создать коммутируемое подключение, которое пытается дозвониться до занятого сервера 15 раз. Можно создать второе коммутируемое подключение, которое пытается дозваниваться до более свободного сервера. Настройка повторного набора для первого подключения не повлияет на параметры повторного набора второго подключения — они автономны, т. е. вне собственных параметров телефонного подключения настройка не требуется.
Однако некоторые параметры сетевых подключений могут воздействовать на другие подключения. Например, если добавить протокол AppleTalk к списку протоколов для одного подключения, этот протокол также будет доступен другим подключениям на том же компьютере.
Можно изменять параметры настройки и переименовывать подключение, даже когда оно установлено. Однако, чтобы изменения вступили в силу, подключение нужно повторно установить.
Каждое подключение создается с общими параметрами настройки, предоставляющими минимальную информацию, необходимую для успешного установления подключения. Эти параметры отражены на вкладке Общие (General): например, для локального подключения достаточно указать сетевой адаптер, для телефонного подключения — устройство для подключения, код города, номер телефона и код страны.
Для исходящего подключения можно задавать дополнительные настройки на вкладках Параметры (Options), Безопасность (Security), Сеть (Networking), Общий доступ (Shared Access). Для входящего подключения можно устанавливать дополнительные настройки на вкладках Пользователи (Users) и Сеть (Networking).
Для улучшения производительности подключений можно дополнительно настраивать параметры в окне команды Дополнительные параметры (Advanced Settings) меню Дополнительно (Advanced) папки Сеть и удаленный доступ к сети. Например, Windows XP получает доступ к службам доступа к сети и протоколам в порядке, установленном в этом окне. Если локальному подключению разрешено обращаться к Novell NetWare и сетям Microsoft Windows, использующим TCP/IP и IPX, но базовым подключением является подключение к сети Microsoft Windows с использованием TCP/IP, можно переместить опцию Сеть Microsoft Windows (Microsoft Windows Network) в начало списка Службы доступа к сети (Network Providers) на вкладке Порядок служб доступа (Provider Order) и переместить Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)) в начало списка Служба доступа к файлам и принтерам сетей Microsoft (File and Printer Sharing for Microsoft Networks) на вкладке Адаптеры и привязки (Adapters and Bindings). Изменяя порядок провайдеров и порядок протоколов, можно улучшить производительность работы.
Дополнительные возможности настройки набора номера, позволяющие упростить конфигурирование телефонного подключения, приведены в табл. 16.4.
Настройка подключения
Настройка подключения
Для настройки подключения в папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите команду Свойства и выполните одно или несколько действий:
Чтобы настроить устройство, номера телефона, адрес узла, код страны или правила набора номера, перейдите на вкладку Общие (General). | |
Чтобы настроить набор номера, повторный набор, многоканальное соединение или параметры Х.25, перейдите на вкладку Параметры (Options). | |
Чтобы настроить аутентификацию, шифрование данных или терминальное окно и параметры сценариев, перейдите на вкладку Безопасность (Security). | |
Чтобы настроить сервер удаленного доступа и протоколы, используемые для этого подключения, перейдите на вкладку Сеть (Networking). | |
Чтобы разрешить или запретить совместное иЬпользование подключения и набор номера по требованию, перейдите на вкладку Общий доступ (Shared Access). |
Примечание
|
|
В зависимости от типа подключения отображаются различные параметры настройки. Например, для локального подключения будет видна только вкладка Общие. |
Настройка TCP/IP
Настройка TCP/IP
Чтобы настроить протокол TCP/IP для подключения:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите пункт Свойства и выполните одно из следующих действий: Если подключение является подключением к ЛВС, то в списке Отмеченные компоненты используются этим подключением (Components checked are used in this connection) выберите элемент Протокол Интернет (TCP/IP) (Internet Protocol (TCP/IP)) и нажмите кнопку Свойства. Если подключение является коммутируемым, VPN- или входящим подключением, то на вкладке Сеть (Networking) в списке Отмеченные компоненты используются этим подключением (Components checked are used in this connection) выберите элемент Протокол Интернет (TCP/IP) (Internet Protocol (TCP/IP)) и нажмите кнопку Свойства. |
2. | Выполните одно из следующих действий:
Чтобы параметры настройки IP были назначены автоматически, выберите положение переключателя Получить IP-адрес автоматически (Obtain an IP address automatically) и нажмите кнопку ОК. Чтобы задать определенный IP-адрес или адрес сервера DNS: установите переключатель Использовать следующий IP-адрес (Use following IP address) и в поле IP-адрес (IP address) введите нужный IP-адрес; установите переключатель Использовать следующие адреса DNS-cep-веров (Use following DNS server addresses) и в полях Предпочитаемый DNS-сервер (Preferred DNS server) и Альтернативный DNS-сервер (Alternate DNS server) введите адреса первичного и вторичного серверов DNS. |
3. | Чтобы настроить параметры DNS, WINS и прочие параметры, нажмите кнопку Дополнительно (Advanced). |
Автоматическую настройку IP-адресов (DHCP) желательно использовать всегда, когда это возможно, по следующим причинам:
Dynamic Host Configuration Protocol (Протокол автоматического конфигурирования хостов, DHCP) разрешен по умолчанию. | |
Если расположение компьютеров изменилось, не требуется производить различные настройки IP, поскольку все действия производятся автоматически. | |
Автоматическая настройка IP может использоваться для всех типов подключений, следовательно, не требуется настройка различных параметров этих подключений, например адресов DNS, WINS и т. д. |
Назвачение нескольких телефонных номеров одному подключению
Назвачение нескольких телефонных номеров одному подключению
Для назначения нескольких телефонных номеров одному подключению:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите команду Свойства. |
2. | На вкладке Общие нажмите кнопку Другой (Alternates). |
3. | Если нужно, чтобы набирались разные номера в случае, если попытка звонка по первому номеру в списке не удалась, установите флажок При сбое пытаться соединиться по следующему номеру (If number fails try next number). |
4. | Если нужно, чтобы первый успешный номер перемещался в начало списка телефонных номеров и использовался в следующий раз при попытке подключения, установите флажок Переносить успешно набранный номер в начало списка (Move successful number to top of list) (Рисунок 16.20). |
5. | Чтобы добавить к списку новый телефонный номер, нажмите кнопку Добавить (Add) и в поле Номер телефона (Phone number) введите номер телефона. Чтобы использовались заданные код города и правила набора номера, установите флажок Использовать правила набора номера (Use area code and dialing rules). По окончании добавления нового телефонного номера нажмите кнопку ОК. |
6. | Если требуется изменить положение или удалить телефонный номер из списка, выберите нужный номер и нажмите кнопку со стрелкой вверх (вниз) или кнопку Удалить (Delete). |
Примечание
|
|
Если известен дополнительный номер телефона для данного подключения, то его можно задать во время подключения. |
NetBEUI
NetBEUI
Расширенный интерфейс пользователя для NetBIOS (NetBIOS Extended User Interface, NetBEUI) подходит для использования в малых рабочих группах или несегментированных локальных сетях. Можно устанавливать шлюз NetBIOS (NetBIOS gateway) и клиентский протокол NetBEUI на всех серверах удаленного доступа Windows XP и на большинстве сетевых клиентов Windows. Клиенты удаленного доступа Windows NT/XP, LAN Manager, MS-DOS и Windows for Workgroups могут использовать NetBEUI.
Новые возможности TCP/IP в Windows XP
Новые возможности TCP/IP в Windows XP
Протокол TCP/IP претерпел ряд изменений в Windows XP по сравнению с предыдущей версией операционной системы. Усовершенствована работа с широкополосными локальными и глобальными вычислительными сетями:
Поддержка окна передачи большого размера. Эта возможность улучшает производительность TCP/IP в случае, когда передается большое количество данных или не требуется передача подтверждения при связи, между двумя компьютерами в течение длительного периода времени. При связи на основе протокола TCP окно (максимальное число пакетов, переданных в виде непрерывного потока до первого пакета подтверждения) обычно имеет фиксированный размер и устанавливается в начале сеанса связи между принимающим и передающим компьютерами. С поддержкой больших окон фактический размер окна может быть динамически вычислен повторно и соответственно увеличен в течение более длинных сеансов. Это позволяет передать большее количество пакетов данных за один раз и увеличивает эффективную полосу пропускания. | |
Выборочные подтверждения. Эта возможность позволяет сетям быстро восстанавливать свою работоспособность после сетевого конфликта или временного сбоя в физической среде. Получатель может выборочно подтверждать или требовать повторную передачу у отправителя только для тех пакетов, которые были опущены или повреждены во время передачи данных. В предыдущих реализациях TCP/IP, если компьютер-получатель не смог получить одиночный TCP-пакет, отправитель был вынужден повторно передавать не только поврежденный или отсутствующий пакет, но и всю последовательность пакетов, идущую после неподтвержденного пакета. С новой возможностью будут повторно посланы только действительно поврежденные или пропущенные пакеты. Это приводит к передаче меньшего количества пакетов, т. е. к лучшему использованию сети. | |
Лучшая оценка времени кругового пути (Round Trip Time, RTT). Эта возможность повышает эффективность стека протоколов TCP/IP, позволяя точно оценивать время, затрачиваемое на путешествие пакета туда и обратно (RTT) между двумя хостами сети. (RTT — количество времени, которое требуется для кругового прохождения пакета между отправителем и получателем в установленном TCP-соединении.) Повышение точности оценки RTT позволяет установить более точное значение тайм-аута, до истечения которого компьютеры не будут перезапрашивать пакет. Лучшая синхронизация приводит к повышению эффективности работы в сетях с большими значениями RTT (например, в глобальных сетях), покрывающих большие расстояния (нередко, целые континенты), или при использовании TCP/IP в беспроводных или спутниковых каналах. |
Основные технологии и программное
Основные технологии и программное обеспечение сторонних производителей
TCP/IP компании Microsoft — полная реализация стека протоколов TCP/IP и набора утилит. Стек TCP/IP в Windows XP включает следующие функции:
Поддержка основных протоколов TCP/IP, включая протокол управления передачей (TCP), протокол Интернета (IP), протокол пользовательских да-таграмм (UDP), протокол разрешения адресов (ARP) и протокол управляющих сообщений Интернет (ICMP). Этот набор межсетевых протоколов является основой для связи компьютеров и взаимодействия сетей. | |
Поддержка таких сетевых интерфейсов программирования, как Windows Sockets, удаленный вызов процедур (RPC), интерфейс NetBIOS и сетевой динамический обмен данными (Network DDE). | |
Базовые утилиты связи TCP/IP, включая Finger, Ftp, Lpr, Rep, Rexec, Rsh, Telnet и Tftp. Эти утилиты позволяют пользователям, работающим с Windows XP, использовать ресурсы и взаимодействовать с компьютерами под управлением операционных систем производства не фирмы Microsoft (например, UNIX). | |
Диагностические инструменты TCP/IP, включая Arp, Hostname, Ipconfig, Lpq, Nbtstat, Netstat, Ping, Route и Tracert. Системные администраторы могут использовать эти утилиты, чтобы обнаружить и решить проблемы работы с сетями TCP/IP. | |
Поддержка служб интранет и прикладных средств их администрирования, включая следующие службы для сетевых компьютеров: службы Internet Information Services, используемые для публикации информации в Интернете, служба DHCP для автоматического конфигурирования TCP/IP, служба WINS (Windows Internet Name Service) для динамической регистрации и ответов на запросы имен компьютеров NetBIOS, DNS-сервер для регистрации и ответов на запросы имен DNS, а также службы печати через TCP/IP для доступа к принтерам, подключенным к компьютерам под управлением UNIX, или к принтерам, подключенным непосредственно к сети и использующим специализированные аппаратные средства сетевого адаптера. | |
Агент простого протокола управления сетью (Simple Network Management Protocol, SNMP). Этот компонент позволяет дистанционно управлять компьютером с Windows XP при помощи инструментов типа Sun Net Manager или HP Open View. TCP/IP в Windows XP также включает поддержку SNMP для DHCP- и WINS-серверов. | |
Серверное программное обеспечение для простых сетевых протоколов, включая генератор символов (Chargen), Daytime, Discard, Echo, и Quote of The Day. Эти протоколы позволяют компьютеру под управлением Win- dows XP отвечать на запросы других систем, которые поддерживают эти протоколы. |
|
Определение максимального размера передаваемого блока (Maximum Transfer Unit, MTU) для заданного пути, что позволяет вычислить оптимальный размер датаграммы для всех маршрутизаторов на пути между компьютером с Windows XP и любой другой системой глобальной сети. TCP/IP в Windows XP также поддерживает протокол IGMP (Internet Group Management Protocol, межсетевой протокол управления группами), используемый программным обеспечением рабочих групп. |
TCP/IP в Windows XP не включает полный набор утилит связи TCP/IP или серверных служб (демонов, daemons). Существует много прикладных программ и утилит такого рода, совместимых с реализацией TCP/IP производства Microsoft из состава Windows XP,1- как свободно распространяемых, так и сторонних производителей.
Отключение от сети
Отключение от сети
Для отключения от сети в папке Сеть и удаленный доступ к сети выберите команду Отключить (Disconnect) контекстного меню подключения.
Параметры повторного набора
Параметры повторного набора
Можно задать количество повторных попыток подключения к серверу удаленного доступа. Можно также настроить повторное автоматическое подключение в случае разрыва связи.
По умолчанию телефонное подключение совершает попытки подключения 3 раза подряд через 1 мин, если соединение с сервером удаленного доступа по какой-либо причине невозможно. Также, по умолчанию, подключение может неопределенно долго бездействовать и не будет повторно устанавливаться при обрыве связи.
Чтобы настроить параметры повторного набора номера:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню телефонного подключения выберите пункт Свойства (Properties). |
2. | На вкладке Параметры (Options) (Рисунок 16.19) счетчик Число повторений
набора номера (Redial attempts) установите в значение, соответствующее числу автоматических попыток подключения при неудачном вызове. |
3. | В списке Интервал между повторениями (Time between redial attempts) задайте продолжительность паузы между концом одной попытки и началом другой. |
4. | В списке Время простоя до разъединения (Idle time before hanging up) задайте длительность простоя, после которого необходимо разорвать подключение. |
5. | Если требуется, чтобы подключение автоматически восстанавливалось после обрыва связи, установите флажок Перезвонить при разрыве связи (Redial if line is dropped). |
Примечание
|
|
Функция повторного набора номера при обрыве работает только при запущенной службе Диспетчера автоподключений удаленного доступа (Remote Access Auto Connectrion Manager). Для ее запуска можно воспользоваться оснасткой Службы (Services). |
Пауза между звонками позволяет устройству произвести инициализацию непосредственно перед повторным набором. Значение по умолчанию — 1 мин. Если этого недостаточно, увеличьте значение. Можно также экспериментировать с более короткими паузами, но при слишком короткой паузе устройству не хватит времени на сброс.
Не забывайте, что сервер удаленного доступа тоже может иметь установку по тайм-ауту. Если значение параметра Время простоя до разъединения достаточно велико, нет гарантии, что подключение не будет разорвано до истечения этого времени — сервер может разорвать подключение, руководствуясь собственными настройками.
Перехват кадров из сети
Перехват кадров из сети
Как уже упоминалось, фиксация происходит тогда, когда сетевая плата передает подмножество кадров в сеть, и они одновременно поступают в сетевой монитор. Сетевой монитор сохраняет эти кадры в буфере сбора данных — специально выделяемой области памяти. Если происходит переполнение буфера сбора данных, самый новый кадр, добавленный в буфер, заменяет самый старый кадр. Для предотвращения переполнения буфера сбора данных и для того, чтобы сделать анализ кадров проще, используют фильтры сбора данных, применяемые для фиксирования только кадров, соответствующих определенным критериям. Чтобы собирать данные в соответствии с событиями, происходящими в сети, разрабатывают триггер сбора данных.
Окно сбора данных сетевого монитора Поскольку кадры собираются из сети, статистика о кадрах отображается в окне сбора данных сетевого монитора. |
|
Перехват и просмотр кадров Кадры, перехваченные в сети, копируются в буфер сбора данных (зарезервированную область памяти). Информация об этих кадрах появляется по мере их получения в окне сбора данных сетевого монитора (Capture Window). Для управления состоянием сбора данных выберите команду Запустить (Start), Остановить (Stop), Остановить и просмотреть (Stop and capture), Приостановить (Pause) или Продолжить (Resume) меню Запись (Capture). |
Примечание
|
|
Сетевой монитор отображает статистику сеанса по первым 100 уникальным сетевым сеансам, которые он обнаруживает. Для сброса статистики и просмотра информации по следующим 100 обнаруженным сетевым сеансам используйте команду Очистить статистику (Clear Statistics) меню Запись. |
Поддерживаемые парсеры протоколов
Поддерживаемые парсеры протоколов
Так называемый парсер, то есть синтаксический анализатор протокола — динамическая библиотека (DLL), которая идентифицирует протоколы передачи кадров по сети. Информацию об этих протоколах можно увидеть, просматривая перехваченные кадры в окне просмотра кадров. Для каждого протокола, который поддерживается сетевым монитором, имеется соответствующий парсер.
Вот список протоколов, поддерживаемых сетевым монитором (сетевой монитор из состава SMS поддерживает также дополнительные синтаксические анализаторы, см. документацию по SMS):
AARP | FINGER |
NBT |
RPC |
ADSP |
FRAME |
NCP |
RPL |
AFP |
FTP |
NDR |
RTMP |
ARP и RARP |
ICMP |
NetBIOS |
SAP |
ASP |
IGMP |
NETLOGON |
8MB |
АТР |
IP |
NFS |
SMT |
BONE |
IPCP |
NMPI |
SNAP |
BPDU |
IPX |
NSP |
SPX |
BROWSER |
IPXCP |
NWDP |
TCP |
СВСР |
LAP |
OSPF |
TMAC |
ССР |
LCP |
PAP |
TOKEN RING |
DDP |
C | PPP |
UDP |
DHCP |
MSRPC |
PPPCHAP |
XNS |
DNS |
NBFCP |
PPPPAP |
ZIP |
ETHERNET |
NBIPX |
RIP |
|
FDDI |
NBP |
RIPX |
Если требуется перехватывать данные, посылаемые по протоколу, не поддерживаемому сетевым монитором, необходимо использовать сетевой монитор из состава SMS или добавить собственный синтаксический анализатор.
Подключение к Интернету
Подключение к Интернету
Доступ к Интернету легко реализуется при помощи сетевых подключений. Для этого требуется выполнение следующих условий:
Наличие протокола TCP/IP. | |
Если пользователь принадлежит домену, то учетная запись пользователя должна иметь разрешения удаленного доступа. | |
Наличие модема или другого соединения с Интернет-провайдером (Internet Service Provider, ISP). | |
Наличие учетной записи у Интернет-провайдера. |
Подключение к Интернету производится путем установления прямого подключения к Интернет-провайдеру и регистрации в его системе. Последовательность входа зависит от требовании провайдера. Подключения по протоколу РРР обычно полностью автоматизированы. Подключения по протоколу
SLIP могут потребовать входа в систему при помощи терминального окна; этот процесс можно (или нельзя) автоматизировать с применением сценария в файле Switch.inf.
Прежде чем подключение к Интернету будет создано, необходимо связаться с представителем Интернет-провайдера, чтобы проверить параметры настройки подключения:
Заданный IP-адрес | |
Опцию сжатия заголовков IP (для РРР) | |
Адрес DNS и имя домена | |
Дополнительные параметры настройки, например, использование протокола защиты Интернета (IPSec) |
Подключение к Интернет-провайдеру может использовать модем и телефонную линию, адаптер ISDN и линию ISDN, протокол удаленного доступа AppleTalk (ARAP), протокол управления AppleTalk (АТСР), сеть Х.25, протокол туннелирования "точка-точка" (РРТР) или протокол туннелирования второго уровня (L2TP).
По модему желательно использовать самое надежное (устойчивое) и, по возможности, самое быстрое соединение, что снизит время загрузки данных из Интернета. Рекомендуется использовать модем со скоростью 28,8 Кбит/с или выше, имеющий также поддержку протоколов V.34, V.90 и т. п.
После установления соединения с провайдером пользователь получает доступ к Интернету и любым другим услугам, например к электронной почте, предоставляемым этим провайдером.
Создание подключения к Интернату. Для создания подключения:
1. | В папке Сеть и удаленный доступ к сети дважды щелкните на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next). |
2. | Выберите положение Телефонное подключение к Интернету (Dial-up to the Internet) переключателя, нажмите кнопку Далее и следуйте командам мастера сетевого подключения. |
передает данные, используя протокол
Подключения Х.25
Сеть Х. 25 передает данные, используя протокол коммутации пакетов; при этом данные передаются не по обычным зашумленным телефонным линиям, а по специальной глобальной сети коммутации пакетов.
Подключения к сети и удаленный доступ к сети поддерживают Х.25, используя сборщик/разборщик пакетов (Packet Assembler/Disassembler, PAD) и смарт-карты Х.25. Можно также использовать модем и специальный коммутируемый доступ к Х-25 (например, Sprintnet или Infonet) вместо PAD или смарт-карты Х.25.
Для установления соединения клиент удаленного доступа Windows XP Server может использовать смарт-карту Х.25 или производить телефонное подключение к Х.25 PAD. Чтобы принимать входящие подключения с использованием Х.25 на компьютере под управлением Windows XP Server, необходимо использовать смарт-карту Х.25.
Создание коммутируемого соединения с использованием Х.25. Для создания коммутируемого соединения с использованием Х.25:
1. | В папке Сеть и удаленный доступ к сети дважды щелкните на значке Создание нового подключения и нажмите кнопку Далее. |
2. | Выберите Телефонное подключение к частной сети, нажмите кнопку Далее и следуйте командам мастера сетевых соединений. |
3. | Когда мастер закончит работу, в контекстном меню нового соединения выберите команду Свойства и выполните следующие действия: На вкладке Параметры (Options) установите переключатель Х.25. В списке Сеть (Network) выберите своего поставщика Х.25. В поле Адрес Х.121 (Х.121 Address) введите адрес X. 121 (эквивалент номера телефона в Х.25) для сервера, который нужно вызывать. В поле Данные пользователя (User Data) введите дополнительную информацию о соединении, если этого требует хост Х.25. В поле Услуги (Facilities) введите значения дополнительных параметров услуг, которые нужно запросить у провайдера сети Х.25. |
Построение сетей
Построение сетей
TCP/IP на базе Windows XP Архитектура TCP/IP в Windows XP
Семейство TCP/IP — стандартный набор сетевых протоколов, предназначенных для управления передачей данных между сетевыми компьютерами. Реализация TCP/IP от Microsoft, позволяет осуществлять взаимодействие компьютеров с Windows XP и устройств с другим ПО компании Microsoft, а также с системами под управлением ОС, созданных не фирмой Microsoft (например, UNIX). TCP/IP — основной набор протоколов для множества частных глобальных сетей, которые объединяют локальные сети корпораций.
Протокол TCP/IP вообще и его реализация в Windows XP имеют следующие достоинства:
Стандартный, маршрутизируемый сетевой протокол, который является наиболее полным и доступным общепринятым протоколом. Все современные операционные системы поддерживают TCP/IP, и самые крупные сети используют TCP/IP для организации их основного трафика. | |
Технология объединения разнородных систем. Доступно множество стандартных утилит для организации взаимодействия и передачи данных между разнородными системами, включая протокол передачи файлов FTP и протокол эмуляции терминала (Telnet). Некоторые стандартные утилиты поставляются с Windows XP. | |
Технология, позволяющая подключать сеть или одиночный компьютер на базе Windows NT к глобальной сети Интернет. TCP/IP, протокол "точка-точка" (РРР), протокол туннелирования "точка-точка" (РРТР) и архитектура Windows Sockets обеспечивают необходимую основу для организации подключения к Интернету и использования всех служб Интернета. | |
Основа для организации устойчивого, масштабируемого, межплатформенного, клиент-серверного взаимодействия. В TCP/IP поддерживается интерфейс Windows Sockets, который является реализацией в среде Windows широко распространенного интерфейса Berkeley Sockets, используемого для создания сетевых приложений. |
Прямые подключения
Прямые подключения
Папка Сеть и удаленный доступ к сети позволяет создавать физическое соединение с другим компьютером через последовательный кабель, кабель прямого параллельного подключения (DirectParallel), модем, устройство ISDN или другим способом. Например, можно объединить две (или больше) физически не связанные сети, находящиеся в одном здании.
Примечание
|
|
Создание прямого подключения с помощью мастера сетевых подключений возможно только на компьютере, не входящем в домен; иначе нужно использовать службу маршрутизации и удаленного доступа (RRAS). |
Если требуется доступ к ресурсам обеих сетей с одного компьютера, можно использовать последовательное подключение по нуль-модемному кабелю RS-232C (кабель длиной до 15 м). Подключив кабель RS-232C к СОМ-портам компьютера и сервера удаленного доступа, можно предоставить доступ к сети.
Драйвер прямого параллельного порта поддерживает подключения "компьютер компьютер", используя стандартные и расширенные параллельные порты, соединенные параллельными кабелями разного типа.
Примечание
|
|
Чтобы создавать или изменять прямое подключение, необходимо иметь полномочия администратора. |
Создание прямого сетевого подключения. Для создания прямого сетевого подключения:
1. | В папке Сеть и удаленный доступ к сети дважды щелкните на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next). |
2. | Установите переключатель Прямое подключение к другому компьютеру
(Connect directly to another computer), нажмите кнопку Далее, затем следуйте подсказкам мастера сетевого подключения (Network Connection Wizard) (Рисунок 16.17). |
Примечание
|
|
Чтобы создать прямое сетевое подключение, делающее компьютер ведомым (host), нужно иметь полномочия администратора. Ведущее (guest) прямое сетевое подключение не требует полномочий администратора. |
После создания подключения его значок появляется в папке Сеть и удаленный доступ к сети ведомого компьютера как Входящее подключение.
Можно создавать множество прямых подключений копированием в папке Сеть и удаленный доступ к сети, переименовывать и настраивать их, легко адаптируя под разные нужды.
Прямые подключения могут обходиться без аутентификации (для этого нужно настроить входящее подключение на ведомом компьютере). Это полезно для устройств, подобных palmtop-компьютерам.
Просмотр собранных данных
Просмотр собранных данных
Сетевой монитор упрощает анализ данных, интерпретируя необработанные данные, собранные в течение сеанса сбора данных, и отображая их в окне просмотра кадров.
Использование фильтра отображения Как и фильтр сбора данных, фильтр отображения работает подобно запросу к базе данных, позволяя выделять информацию заданного типа. Поскольку фильтр отображения использует уже собранные данные, он не воздействует на содержимое буфера сбора данных сетевого монитора. |
|
Фильтрация в соответствии с протоколом При отображении собранных данных вся доступная информация о перехваченных кадрах появляется в окне просмотра кадров (Frame Viewer). Для отображения только кадров, представляющих какой-то специфический протокол, надо отредактировать строчку, задающую протокол, в диалоговом окне Фильтр отображения (Display Filter). |
|
Фильтрация по свойствам протокола Свойства протокола — информационные элементы, которые определяют цель протокола. Поскольку цели протоколов различны, свойства меняются от одного протокола к другому. |
Фильтрация по адресам компьютеров При отображении сохраненных данных все адреса, информация от которых была перехвачена, появляются в окне просмотра кадров. Чтобы отобразить только кадры, отправленные с конкретного компьютера, надо отредактировать строчку Any ¬ ® Any в диалоговом окне фильтра отображения. |
Просмотр состояния подключения
Просмотр состояния подключения
Об активном подключении можно получить информацию при помощи пункта Состояние (Status) его контекстного меню.
В окне Состояние можно просматривать:
Продолжительность подключения. | |
Начальное быстродействие. | |
Число байт, переданных (Sent) и полученных (Received) во время активности подключения, коэффициент сжатия (Compression) и количество ошибок (Errors). | |
Диагностические средства, которые можно применить к данному подключению. Например, Windows Network Troubleshooter, TCP/IP Autoping и TCP/IP Windows IP Configuration. |
Для одноканального подключения и для индивидуальных подключений в многоканальном подключении быстродействие определяется во время установления подключения. Для многоканальных подключений быстродействие равно сумме скоростей индивидуальных подключений. Для многоканальных подключений быстродействие может изменяться, если подключения, входящие в его состав, будут удалены или будут добавлены новые подключения.
Если компьютер настроен на прием входящих подключений, значок подключения с именем пользователя, присвоенным этому подключению, автоматически появляется в папке Сеть и удаленный доступ к сети, как только данный пользователь подключается к компьютеру. Можно просматривать состояние входящего подключения, выбирая в его контекстном меню пункт Состояние.
Можно также управлять подключением, выбирая пункт Состояние меню Файл (File) или используя значок на панели задач. Если необходимо просмотреть общее состояние всех подключений, в меню Вид (View) выберите пункт
Протокол РРР
Протокол РРР
Протокол "точка-точка" (РРР) — набор стандартных протоколов, обеспечивающих взаимодействие программного обеспечения удаленного доступа от различных поставщиков. При помощи подключения с поддержкой РРР можно производить подключения к удаленным сетям через любой сервер РРР, поддерживающий этот промышленный стандарт. РРР также позволяет компьютеру, на котором функционирует служба удаленного доступа Windows XP Server, принимать запросы и обеспечивать доступ к сети клиентам с программным обеспечением удаленного доступа третьих фирм, соответствующим стандартам РРР.
Стандарты РРР также открывают дополнительные возможности, недоступные при более старых стандартах, например SLIP. РРР поддерживает несколько методов аутентификации, сжатие и шифрование данных.- Большинство реализаций РРР позволяет полностью автоматизировать последовательность входа в систему.
РРР также поддерживает несколько сетевых протоколов, в качестве которых могут выступать TCP/IP, IPX или NetBEUI.
РРР — основа для протоколов РРТР и L2TP, которые используются в VPN-соединениях. РРР — эталон для большинства приложений удаленного доступа.
Работа РРР и протоколы. Реализация протокола двухточечного соединения (Point-to-Point Protocol, РРР) должна твердо придерживаться стандартов, установленных в RFC по РРР. Ниже дан краткий обзор механизмов функционирования РРР и протоколов, используемых в РРР-соединении.
Последовательность установления соединения РРР. После начального соединения с удаленным сервером РРР производятся следующие переговоры по установлению РРР-соединения:
Установление протоколов управления связью (Link Control Protocols, LCP). Протоколы LCP служат для установления и настройки связи и параметров окон передачи данных, например, максимальный размер окна. | |
Установление протоколов аутентификации. Протоколы аутентификации служат для определения используемого сервером удаленного доступа уровня безопасности. Уровень безопасности может изменяться от незашифрованного (аутентификация при помощи пароля, передаваемого открытым текстом) до сильно зашифрованного (аутентификация при помощи смарт-карт). | |
Установление протоколов управления сетью (Network Control Protocols, NCP). Протоколы NCP служат для установления и настройки различных параметров сетевых протоколов (IP, IPX и NetBEUI) (параметры сжатия заголовков протокола и протоколы управления сжатием). |
Установленное в результате переговоров соединение будет оставаться активным до его разрыва по одной из следующих причин:
Пользователь явно разорвал соединение | |
Истекло время простоя | |
Администратор разорвал соединение | |
Произошла неустранимая ошибка связи |
Протоколы управления связью. Протоколы управления связью (Link Control Protocols, LCP) устанавливают и настраивают кадрирование (framing) РРР. Кадрирование РРР определяет, как формируются данные перед передачей по глобальной сети. Стандарт кадрирования РРР гарантирует, что программное обеспечение удаленного доступа любых производителей может передавать и распознавать пакеты данных от любого программного обеспечения удаленного доступа, которое твердо придерживается стандартов РРР. РРР и Windows XP используют модификацию кадрирования HDLC (Высокоуровневое управление каналом передачи данных, High-level Data Link Control) для последовательного доступа или ISDN.
Протоколы управления сетью. Протоколы управления сетью (табл. 16.9) устанавливают и настраивают различные параметры сетевых протоколов (TCP/IP, IPX, NetBEUI и AppleTalk).
Протоколирование и просмотр команд модема
Протоколирование и просмотр команд модема
Для регистрации в журнале и просмотра команд модема:
1. | На панели управления выберите опцию Параметры телефона и модема (Phone and modem options). |
2. | На вкладке Модемы (Modems) выберите модем, для которого нужно настроить регистрацию, и нажмите кнопку Свойства. |
3. | В открывшемся окне перейдите на вкладку Диагностика (Troubleshooting). В группе Ведение журнала (Logging) установите флажок Добавить в журнал (Append to the end of the log) (для Windows XP Professional) или Вести журнал (Record to log file) (для Windows XP Server). |
4. | Чтобы просмотреть журнал, нажмите кнопку Просмотр журнала (View Log). Процедура регистрации записывает команды, переданные модему, в файл %SystemRoot%\ModemLog_Model.txt, где Model — название модема в том виде, как оно отображено в списке установленных модемов на вкладке Модемы. |
В Windows XP Professional регистрация включена всегда, а файл регистрации перезаписывается в начале каждого сеанса связи, если не установлен флажок Добавить в журнал. В Windows XP Server регистрация по умолчанию выключена, если не установлен флажок Вести журнал.
Разрешение аутентификации при помощи смарткарты
Разрешение аутентификации при помощи смарт-карты
Для разрешения аутентификации при помощи смарт-карт:
1. | В папке Сеть и удаленный доступ к сети выберите команду Свойства контекстного меню соединения. |
2. | На вкладке Безопасность выполните одно из следующих действий: Для выбора заранее заданных комбинаций методов аутентификации и требований шифрования данных установите переключатель Обычные (рекомендуемые параметры) и в группе Производить проверку с использованием выберите вариант Смарт-карта (Use smartcard). Для индивидуальной настройки и разрешения метддов аутентификации и требований шифрования установите переключатель Дополнительные (особые параметры), нажмите кнопку Настройка и выберите нужные значения. |
3. | В группе Безопасный вход (Logon security) выберите переключатель Расширяемый протокол идентификации (ЕАР) (Use Extensible Authentication Protocol (ЕАР) и в списке выберите вариант Смарт-карта или иной сертификат (шифрование включено) (Smartcard or other certificate (TLS) (encryption enabled)), затем нажмите кнопку Свойства и выполните следующие действия:
Если требуется использовать сертификат, находящийся на емарт-кар-те, выберите опцию использовать мою смарт-карту (Use my smartcard). Если требуется использовать сертификат, постоянно находящийся на компьютере, выберите использовать сертификат на этом компьютере (Use a certificate on this computer). Если требуется проверить, что серверный сертификат, предоставленный компьютеру, все еще действителен, установите флажок Проверять сертификат сервера (Validate server certificate). Если нужно устанавливать соединения только с серверами в пределах заданного домена, установите флажок Подключаться только если имя сервера заканчивается на (Connect only if server name ends in) и введите имя домена. Чтобы использовались только сертификаты, для которых задан центр сертификации (поставщик сертификатов), выберите в списке Доверенный корневой центр сертификации (Trusted root certificate authority) соответствующий центр сертификации. Если имя пользователя отличается от полученного при помощи смарт-карты, или если имя пользователя в смарт-карте или в другом сертификате отличается от имени пользователя в домене, установите флажок Использовать для подключения другое имя пользователя (Use a different user name for the connection). |
Примечание
|
|
Если, например, нужно устанавливать соединения только с серверами в домене MyFirm.com, введите MyFirm.com в поле Подключаться только если имя сервера заканчивается на. |
Папка Сеть и удаленный
Рисунок 16.1. Папка Сеть и удаленный доступ к сети (Network and Dial-up connections)
Поскольку все службы и методы связи настраиваются внутри подключения, для конфигурирования параметров подключения не нужно обращаться к внешним инструментам управления. Например, параметры настройки для телефонного подключения при помощи модема включают те, которые нужно использовать до, в течение и после подключения: тип модема для связи; тип шифрования пароля, необходимый для этого подключения; сетевые протоколы, применяемые после установления соединения. Состояние каждого подключения (продолжительность и быстродействие) можно просматривать непосредственно в окне подключения.
Защита на уровне системы и защита на уровне доменов в Windows XP, применение хостов безопасности, шифрование данных, аутентификация и ответный вызов обеспечивают безопасный доступ для подключений к сети и удаленного доступа к сети.
Задание аутентификационной информации для
Рисунок 16.2.
Задание аутентификационной информации для подключения
Примечание
Примечание |
|
Подключения к сети и удаленного доступа к сети используют идентификационную информацию для проверки наличия у пользователя права физически обращаться к сети. Сеть и удаленный доступ к сети фактически не производит регистрацию в сети. Следовательно, после того как соединение установлено, может потребоваться вход в систему (после нажатия комбинации клавиш <Ctrl>+<Alt>+<Del> для Windows XP) для обращения к защищенным сетевым ресурсам. Можно обойти этот этап, войдя с данной учетной записью из домена при запуске компьютера под управлением Windows XP (до установления соединения при помощи удаленного доступа). Домен, имя которого необходимо ввести для входа в систему, должен быть доменом Windows XP, в котором находится сервер удаленного доступа Windows XP. Это не имя домена DNS, которое предоставляется некоторыми поставщиками услуг доступа через PPP/SLIP. Подключение к локальной сети производится автоматически. Если при соединении с ЛВС и при коммутируемом подключении используется протокол IP, то после установления подключения компьютеры в локальной сети станут недоступны. Это происходит, поскольку установленное подключение становится маршрутом по умолчанию для пересылки IP-трафика. Следовательно, после подключения можно будет видеть компьютеры в удаленной сети, а также другие компьютеры в том же самом сегменте ЛВС, к которому подключен компьютер. Невозможно будет связаться с компьютерами, находящимися в сетях, которые были до этого доступны через, маршрутизатор в локальной сети. Вместо выполнения двойного щелчка на подключении можно из контекстного меню этого, подключения выбрать пункт Подключить (Connect, Рисунок 16.3). |
Контекстное меню подключения
Рисунок 16.3. Контекстное меню подключения
Дополнительные сетевые
Рисунок 16.4. Дополнительные сетевые компоненты для всего компьютера
Для добавления дополнительных сетевых компонентов в меню Дополнительно (Advanced) в папке Сеть и удаленный доступ к сети выберите команду Дополнительные сетевые компоненты (Optional Networking Components, Рисунок 16.4). Затем выполните одно из следующих действий:
Чтобы добавить все дополнительные сетевые компоненты, установите флажки для тех компонентов, которые необходимо добавить, и нажмите кнопку Далее (Next). | |
Чтобы добавить отдельные подкомпоненты дополнительных сетевых компонентов, установите флажок для того компонента, который необходимо установить частично, и нажмите кнопку Состав (Details). В списке подкомпонентов дополнительного сетевого компонента установите флажки рядом с нужными компонентами и нажмите кнопку ОК. |
Добавление сетевого компонента. Для
Рисунок 16.5.
Сетевые компоненты для подключения
Добавление сетевого компонента. Для добавления сетевого компонента:
1. | В контекстном меню соответствующего подключения в папке Сеть и удаленный доступ к сета выберите пункт Свойства (Properties) (Рисунок 16.5) и выполните одно из следующих действий:
Если это локальное подключение, то в появившемся окне нажмите кнопку Install (Установить). Если это коммутируемое, VPN- или входящее подключение, то в появившемся окне на вкладке Сеть (Networking) нажмите кнопку Установить (Install). |
2. | В диалоговом окне Выбор типа сетевого компонента (Select Network Component Type) выберите в списке Клиент (Client), Служба (Service) или Протокол (Protocol), затем нажмите кнопку Добавить (Add) и выполните одно из следующих действий:
Если инсталляционного диска для данного компонента нет (компонент входит в состав Windows), выберите соответствующий компонент (клиента, службу или протокол) и нажмите кнопку ОК. Если есть инсталляционный диск для данного компонента, выберите соответствующий компонент (клиента, службу или протокол), нажмите кнопку Установить с диска (Have Disk), вставьте инсталляционный диск в указанный дисковод и нажмите кнопку ОК. |
1. | В контекстном меню подключения в папке Сеть и удалённый доступ к сети выберите команду Свойства (Properties) и выполните одно из следующих действий:
Если это локальное подключение, в списке Отмеченные компоненты используются этим подключением (Network components used in this connection), выберите клиента, службу или протокол, которые требуeтся удалить, и нажмите кнопку Удалить (Uninstall). Если это коммутируемое, VPN- или входящее подключение, в списке Отмеченные компоненты используются этим подключением на вкладке Сеть выберите клиента, службу или протокол, которые требуется удалить, и нажмите кнопку Удалить. |
2. | В открывшемся диалоговом окне нажмите кнопку Да (Yes). |
1. | В контекстном меню подключения в папке Сеть и удаленный доступ к сети выберите команду Свойства. |
2. | Выполните одно из следующих действий:
Если это локальное подключение, в списке сетевых компонентов, используемых этим подключением, установите флажок рядом “ клиентом., службой или протоколом, которые требуется разрешить. Если это коммутируемое, VPN- или входящее подключение, на вкладке Сеть (Networking) в списке сетевых компонентов, используемых этим подключением, установите флажок рядом с клиентом, службой или протоколом, которые требуется разрешить. |
1. | В контекстном меню подключения в папке Сеть и удаленный доступ к сети выберите команду Свойства. |
2. | Выполните одно из следующих действий:
Если это локальное подключение, в списке сетевых компонентов, используемых этим подключением, снимите флажок рядом с клиентом, службой, или протоколом, которые требуется запретить. Если это коммутируемое, VPN- или входящее подключение, на вкладке Сеть в списке сетевых компонентов, используемых этим подключением, снимите флажок рядом с клиентом; службой или протоколом, которые требуется запретить. |
Рисунок 16.6.
Привязка протоколов
Примечание
Примечание |
|
Чтобы изменять порядок привязки протоколов, необходимо иметь полномочия администратора. |
Adapters and Bindings, Рисунок
Рисунок 16.6.
Привязка протоколов
Примечание
Примечание |
|
Чтобы изменять порядок привязки протоколов, необходимо иметь полномочия администратора. |
Порядок поставщиков услуг
Рисунок 16.7. Порядок поставщиков услуг
подключение на основе подключения
Рисунок 16.8.
VPN- подключение на основе подключения к Интернет-провайдеру
Пример 2. Пользователь, имеющий выход в Интернет, соединяется с сервером удаленного доступа при помощи VPN-подключения (Рисунок 16.9). Таким
пользователем может быть тот, чей компьютер подключен к локальной сети, пользователь кабельного модема или абонент службы типа ASDL, где протокол IP доступен сразу после включения компьютера. Драйвер РРТР или L2TP создает туннель через Интернет и производит подключение к серверу удаленного доступа, использующему РРТР или L2TP. После аутентификации пользователь может получить доступ к корпоративной сети, как и в предыдущем примере.
Рисунок 16.9.
VPN-подключение, использующее существующее подключение к Интернету
Меньшая стоимость. При помощи VPN мобильные пользователи и сотрудники-надомники (telecommuters) могут получить доступ к корпоративной локальной сети через Интернет за меньшую плату, чем при традиционных решениях по поддержке удаленного доступа. гораздо эффективнее использовать мощную коммуникационную инфраструктуру телефонной компании, чем прокладывать собственную сеть, устанавливать телефонные линии и закупать коммутаторы.
Подключение к виртуальной частной сети через сетевой адаптер подобно набору номера при помощи модема для подключения к обычному ceрверу удаленного доступа, VPN освобождает корпорацию от эксплуатационных расходов и затрат на покупку модемных пулов и специально предназначенных для этого аналоговых телефонных линий. Модемы и сопутствующая инфраструктура находятся в ведении поставщика услуг Интернета, при этом не страдают ни безопасность, ни возможности управления удаленным доступом. В то же время, очевидны преимущества безопасности доступа к частным данным, обеспечиваемой дополнительной аутентификацией, шифрованием и сжатием данных пользователя.
Аутсорсинг телефонных подключений. Коммуникационное оборудование, необходимое для телефонных подключений, достаточно сложно. На большом предприятии создание сервера удаленного доступа для поддержки телефонных подключений на базе Windows XP требует установки модемов; контроллеров, а также прокладки множества коммуникационных кабелей. Кроме того, большинство решений не обеспечивает эффективную поддержку технологий ISDN, V.34 и V.90.
Корпорации часто выбирают аутсорсинг (outsourcing) коммутируемого доступа к своим базовым корпоративным сетям при помощи рентабельного, не зависящего от протокола, безопасного способа, который не требует никаких изменений в существующем адресном пространстве. Поддержка виртуальных глобальных сетей на основе VPN-подключений — один из путей, при помощи которого Интернет-провайдер может обеспечивать потребности корпораций. Таким образом, обслуживающая компания поддерживает и управляет модемами удаленного доступа и каналами связи, оставляя системному администратору корпорации управление пользователями и их аутентификацию. В этом решении воплощены все преимущества аутентификации РРР, шифрования и технологий сжатия (Рисунок 16.10).
Рисунок 16.10.
Пример сети, использующей аутсорсинг
В подключении не участвует драйвер РРТР; клиент просто устанавливает РРР-подключение к серверу удаленного доступа или модемному пулу. В свою очередь, сервер или пул модемов должен осуществить подключение с помощью РРТР для связи с сервером удаленного доступа.
Улучшенная безопасность. VPN-подключения, использующие РРТР и L2TP, аутентифицируются по методам аутентификации протокола РРР на уровне пользователя, включающим PAP, CHAP, SPAP, MS-CHAP и, дополнительно, ЕАР.
Благодаря возможностям протокола ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) и средств безопасности IP (IPSec), виртуальная частная сеть предоставляет улучшенную безопасность для удаленных пользователей. Пользуясь преимуществом аутентификации РРР и параметрами шифрования, задавая РРТР-фильтрацию на сервере удаленного доступа и ограничивая сервер удаленного доступа работой только с аутентифицированными РРТР-клиентами, которые используют шифрованные данные, системный администратор может укрепить безопасность данных и управлять удаленными пользователями намного эффективнее.
В некоторых средах данные являются строго конфиденциальными и может потребоваться, чтобы они были физически отделены и скрыты от большинства корпоративных пользователей. Финансовые или личные данные — это данные, требующие максимальной защищенности. Пользователи в корпоративной интрасети, которым предоставлены соответствующие разрешения, могут устанавливать удаленное VPN-соединение с VPN-сервером и получать доступ к защищенным ресурсам частной сети отдельных подразделений корпорации. Весь обмен данными через VPN шифруется, что обеспечивает конфиденциальность данных. Пользователи, не имеющие соответствующих разрешений по установлению VPN-подключения с VPN-сервером, не могут увидеть этот "скрытый" сервер.
Поддержка сетевых протоколов. Поскольку технология организации VPN поддерживает наиболее распространенные сетевые протоколы, клиентам сетей Ethernet, TCP/IP, IPX и NetBEUI не требуются дополнительные затраты на использование VPN. Любой сетевой протокол, поддерживаемый службой удаленного доступа, поддерживается и в технологии VPN. Это означает, что можно удаленно выполнять приложения, зависящие от определенных сетевых протоколов. В свою очередь, это снижает затраты по созданию и поддержке VPN-подключений.
Безопасность IP-адресов. Если в корпоративной сети используется незарегистрированный IP-адрес (или адрес, зарезервированный InterNIC для частных сетей, например, из диапазона Ю.аДэ.с), то можно направлять трафик через Интернет, указывая только один реальный внешний IP-адрес. Внутри VPN-пакета содержится как этот реальный адрес, так и частный адрес получателя. Поскольку пакет зашифрован, адреса абонентов удаленной частной сети защищены от просмотра. В Интернете видны только внешние IP-адреса. Преимущество VPN наиболее очевидно для корпораций с частными внутренними IP-адресами, поскольку им не требуются административные затраты на изменение IP-адресов для организации удаленного доступа.
Администрирование VPN. При помощи Active Directory (на Windows XP Server) администратор системы может настраивать VPN для пользователя, значительно усиливая безопасность сети, например, задавать уровни шифрования данных и паролей, а также аутентификацию. Эти требования могут применяться к индивидуальным пользователям или к группе однотипных пользователей (при помощи групповой политики). Например, администратор системы может настроить удаленный доступ, задав такую групповую политику, чтобы для всех пользователей группы, которой она назначена, требовалась аутентификация с использованием протокола ЕАР и сильное шифрование данных (128-битное). При наличии групповой политики критерии безопасности автоматически устанавливаются по отношению к любому пользователю, которому назначена эта групповая политика, когда он соединяется с сервером удаленного доступа.
Создание VPN-подключения. Чтобы создать подключение для виртуальной частной сети:
1. | В папке Сеть и удаленный доступ к сети сделайте двойной щелчок на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next). |
2. | Установите переключатель Подключение к виртуальной частной сети через
Интернет (Gormect to a private network through the Internet, Рисунок 16.11), нажмите фюпку Далее и выполните одно из следующих действий: Если :перед установкой "туннельного" доступа к нужному компьютеру или сети требуется произвести подключение к провайдеру услуг Интернет или другой сетью, выберите положение переключателя Набрать номер для следующего предварительного подключения (Automatically dial this initial connection) и, выбрав нужное подключение в списке нажмите кнопку Next (Рисунок 16.12). Если не требуется автоматически производить начальное подключение то выберите положение переключателя Не набирать номер для предварительного подключения (Do not dial the initial connection) и нажмите кнопку Далее. |
3. | Введите имя хоста или IP-адрес компьютера или сети, с которой происходит соединение, и нажмите кнопку Далее (Рисунок 16.13). |
4. | Выполните одно из следующих действий: Если необходимо, чтобы подключение было сделано общим для всех пользователей, выберите положение переключателя для всех пользователей (For all users) и нажмите кнопку Далее (Рисунок 16.14). Если данное подключение предназначено только для текущего пользователя, выберите положение только для меня (Only for myself) переключателя и нажмите кнопку Далее. |
5. | Если нужно разрешить совместный доступ к ресурсам с других компьютеров через это телефонное подключение, установите флажок Разрешить общий доступ для этого подключения (Enable shared access for this connection), а также укажите, нужно ли производить автоматическое установление данного подключения, если другой компьютер в вашей локальной сета попытается получить доступ к внешним ресурсам установив, по необходимости, флажок Разрешить вызов по требованию (Enable on-demand dialing) и нажмите кнопку Далее, затем введите название этого подключения и нажмите кнопку Завершить (Finish). |
Примечание
Примечание |
|
Чтобы сделать подключение доступным для всех пользователей, нужно войти в систему с административными полномочиями. Можно создавать множественные виртуальные подключения к сети копируя их в папке Сеть и удаленный доступ к сети. Можно переименовывать подключения и настраивать их параметры, легко создавая различные подключения, для разных соединений с разными параметрами безопасности и т. д. |
Меньшая стоимость. При помощи
Рисунок 16.9.
VPN-подключение, использующее существующее подключение к Интернету
Меньшая стоимость. При помощи VPN мобильные пользователи и сотрудники-надомники (telecommuters) могут получить доступ к корпоративной локальной сети через Интернет за меньшую плату, чем при традиционных решениях по поддержке удаленного доступа. гораздо эффективнее использовать мощную коммуникационную инфраструктуру телефонной компании, чем прокладывать собственную сеть, устанавливать телефонные линии и закупать коммутаторы.
Подключение к виртуальной частной сети через сетевой адаптер подобно набору номера при помощи модема для подключения к обычному ceрверу удаленного доступа, VPN освобождает корпорацию от эксплуатационных расходов и затрат на покупку модемных пулов и специально предназначенных для этого аналоговых телефонных линий. Модемы и сопутствующая инфраструктура находятся в ведении поставщика услуг Интернета, при этом не страдают ни безопасность, ни возможности управления удаленным доступом. В то же время, очевидны преимущества безопасности доступа к частным данным, обеспечиваемой дополнительной аутентификацией, шифрованием и сжатием данных пользователя.
Аутсорсинг телефонных подключений. Коммуникационное оборудование, необходимое для телефонных подключений, достаточно сложно. На большом предприятии создание сервера удаленного доступа для поддержки телефонных подключений на базе Windows XP требует установки модемов; контроллеров, а также прокладки множества коммуникационных кабелей. Кроме того, большинство решений не обеспечивает эффективную поддержку технологий ISDN, V.34 и V.90.
Корпорации часто выбирают аутсорсинг (outsourcing) коммутируемого доступа к своим базовым корпоративным сетям при помощи рентабельного, не зависящего от протокола, безопасного способа, который не требует никаких изменений в существующем адресном пространстве. Поддержка виртуальных глобальных сетей на основе VPN-подключений — один из путей, при помощи которого Интернет-провайдер может обеспечивать потребности корпораций. Таким образом, обслуживающая компания поддерживает и управляет модемами удаленного доступа и каналами связи, оставляя системному администратору корпорации управление пользователями и их аутентификацию. В этом решении воплощены все преимущества аутентификации РРР, шифрования и технологий сжатия (Рисунок 16.10).
В подключении не участвует
Рисунок 16.10.
Пример сети, использующей аутсорсинг
В подключении не участвует драйвер РРТР; клиент просто устанавливает РРР-подключение к серверу удаленного доступа или модемному пулу. В свою очередь, сервер или пул модемов должен осуществить подключение с помощью РРТР для связи с сервером удаленного доступа.
Улучшенная безопасность. VPN-подключения, использующие РРТР и L2TP, аутентифицируются по методам аутентификации протокола РРР на уровне пользователя, включающим PAP, CHAP, SPAP, MS-CHAP и, дополнительно, ЕАР.
Благодаря возможностям протокола ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) и средств безопасности IP (IPSec), виртуальная частная сеть предоставляет улучшенную безопасность для удаленных пользователей. Пользуясь преимуществом аутентификации РРР и параметрами шифрования, задавая РРТР-фильтрацию на сервере удаленного доступа и ограничивая сервер удаленного доступа работой только с аутентифицированными РРТР-клиентами, которые используют шифрованные данные, системный администратор может укрепить безопасность данных и управлять удаленными пользователями намного эффективнее.
В некоторых средах данные являются строго конфиденциальными и может потребоваться, чтобы они были физически отделены и скрыты от большинства корпоративных пользователей. Финансовые или личные данные — это данные, требующие максимальной защищенности. Пользователи в корпоративной интрасети, которым предоставлены соответствующие разрешения, могут устанавливать удаленное VPN-соединение с VPN-сервером и получать доступ к защищенным ресурсам частной сети отдельных подразделений корпорации. Весь обмен данными через VPN шифруется, что обеспечивает конфиденциальность данных. Пользователи, не имеющие соответствующих разрешений по установлению VPN-подключения с VPN-сервером, не могут увидеть этот "скрытый" сервер.
Поддержка сетевых протоколов. Поскольку технология организации VPN поддерживает наиболее распространенные сетевые протоколы, клиентам сетей Ethernet, TCP/IP, IPX и NetBEUI не требуются дополнительные затраты на использование VPN. Любой сетевой протокол, поддерживаемый службой удаленного доступа, поддерживается и в технологии VPN. Это означает, что можно удаленно выполнять приложения, зависящие от определенных сетевых протоколов. В свою очередь, это снижает затраты по созданию и поддержке VPN-подключений.
Безопасность IP-адресов. Если в корпоративной сети используется незарегистрированный IP-адрес (или адрес, зарезервированный InterNIC для частных сетей, например, из диапазона Ю.аДэ.с), то можно направлять трафик через Интернет, указывая только один реальный внешний IP-адрес. Внутри VPN-пакета содержится как этот реальный адрес, так и частный адрес получателя. Поскольку пакет зашифрован, адреса абонентов удаленной частной сети защищены от просмотра. В Интернете видны только внешние IP-адреса. Преимущество VPN наиболее очевидно для корпораций с частными внутренними IP-адресами, поскольку им не требуются административные затраты на изменение IP-адресов для организации удаленного доступа.
Администрирование VPN. При помощи Active Directory (на Windows XP Server) администратор системы может настраивать VPN для пользователя, значительно усиливая безопасность сети, например, задавать уровни шифрования данных и паролей, а также аутентификацию. Эти требования могут применяться к индивидуальным пользователям или к группе однотипных пользователей (при помощи групповой политики). Например, администратор системы может настроить удаленный доступ, задав такую групповую политику, чтобы для всех пользователей группы, которой она назначена, требовалась аутентификация с использованием протокола ЕАР и сильное шифрование данных (128-битное). При наличии групповой политики критерии безопасности автоматически устанавливаются по отношению к любому пользователю, которому назначена эта групповая политика, когда он соединяется с сервером удаленного доступа.
Создание VPN-подключения. Чтобы создать подключение для виртуальной частной сети:
1. | В папке Сеть и удаленный доступ к сети сделайте двойной щелчок на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next). |
2. | Установите переключатель Подключение к виртуальной частной сети через
Интернет (Gormect to a private network through the Internet, Рисунок 16.11), нажмите фюпку Далее и выполните одно из следующих действий: Если :перед установкой "туннельного" доступа к нужному компьютеру или сети требуется произвести подключение к провайдеру услуг Интернет или другой сетью, выберите положение переключателя Набрать номер для следующего предварительного подключения (Automatically dial this initial connection) и, выбрав нужное подключение в списке нажмите кнопку Next (Рисунок 16.12). Если не требуется автоматически производить начальное подключение то выберите положение переключателя Не набирать номер для предварительного подключения (Do not dial the initial connection) и нажмите кнопку Далее. |
3. | Введите имя хоста или IP-адрес компьютера или сети, с которой происходит соединение, и нажмите кнопку Далее (Рисунок 16.13). |
4. | Выполните одно из следующих действий: Если необходимо, чтобы подключение было сделано общим для всех пользователей, выберите положение переключателя для всех пользователей (For all users) и нажмите кнопку Далее (Рисунок 16.14). Если данное подключение предназначено только для текущего пользователя, выберите положение только для меня (Only for myself) переключателя и нажмите кнопку Далее. |
5. | Если нужно разрешить совместный доступ к ресурсам с других компьютеров через это телефонное подключение, установите флажок Разрешить общий доступ для этого подключения (Enable shared access for this connection), а также укажите, нужно ли производить автоматическое установление данного подключения, если другой компьютер в вашей локальной сета попытается получить доступ к внешним ресурсам установив, по необходимости, флажок Разрешить вызов по требованию (Enable on-demand dialing) и нажмите кнопку Далее, затем введите название этого подключения и нажмите кнопку Завершить (Finish). |
Примечание
Примечание |
|
Чтобы сделать подключение доступным для всех пользователей, нужно войти в систему с административными полномочиями. Можно создавать множественные виртуальные подключения к сети копируя их в папке Сеть и удаленный доступ к сети. Можно переименовывать подключения и настраивать их параметры, легко создавая различные подключения, для разных соединений с разными параметрами безопасности и т. д. |
Выбор типа подключения
Рисунок 16.11. Выбор типа подключения
Выбор способа подключения
Рисунок 16.12. Выбор способа подключения
Ввод имени/адреса удаленного компьютера
Рисунок 16.13. Ввод имени/адреса удаленного компьютера
Разрешение использования
Рисунок 16.14. Разрешение использования подключения другим пользователям
В контекстном меню телефонного,
Рисунок 16.15.
Окно программы-мастера сетевых подключений
Копирование телефонного подключения. В контекстном меню телефонного, VPN- или прямого подключения в папке Сеть и удаленный доступ к сети выберите команду Создать копию (Duplicate).
Примечание
Примечание |
|
Подключения к ЛВС и входящие подключения нельзя копировать. Можно создать сколько угодно коммутируемых, VPN- или прямых подключений, копируя их в папке Сеть и удаленный доступ к сети. Можно также переименовывать и настраивать их, создавая отдельные подключения для различных модемов, поставщиков услуг Интернет, параметров набора номера и т. д. |
1. | В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите команду Свойства (Properties). |
2. | В списке Подключить через (Connect using) выберите модем, который необходимо настроить, и нажмите кнопку Настроить (Configure). |
3. | В группе Параметры оборудования (Hardware features) установите флажки для разрешения необходимых функций (аппаратное управление потоком, обработка ошибок модемом или сжатие данных модемом, Рисунок 16.16). |
4. | В группе Инициализация (Initialization) установите флажки для выбора тех параметров, которые необходимо разрешить (вывод окна терминала и сценарий). |
5. | Если требуется активизировать динамик модема, установите флажок Включить динамик модема (Enable modem speaker). |
Примечание
Примечание |
|
Чтобы гарантировать совместимость, желательно использовать тот же тип модема, что и на сервере удаленного доступа, выбрать ту же начальную скорость и разрешить те же функциональные возможности оборудования; Если используется другая модель модема, то, по крайней мере, необходимо выбрать модем с поддержкой тех же стандартов ITU-T, что поддерживаются модемом на сервере. Разрешение функциональных возможностей, не поддерживаемых модемом; не влияет на его производительность. |
Настройка модема для подключения
Рисунок 16.16. Настройка модема для подключения
Если создается прямое подключение
Рисунок 16.17.
Создание прямого подключения
Если создается прямое подключение через последовательный кабель RS-232C, то порт, выбранный при создании нового подключения, будет разрешен для подключения с использованием нуль-модема.
Если пользователь имеет в системе полномочия администратора, то при создании прямого подключения ему будет предоставлен список устройств для выбора, включая параллельные порты данного компьютера, установленные и разрешенные порты инфракрасной связи и последовательные порты. Если пользователь вошел в систему как обычный пользователь, то при создании прямого подключения список устройств будет включать параллельные порты, установленные и разрешенные порты инфракрасной связи и только те последовательные порты, которые администратор сконфигурировал для использования с нуль-модемом. Если для прямого подключения требуется CQM-порт, попросите администратора настроить один из коммуникационных портов на этом компьютере на работу с нуль-модемом, используя Параметры телефона. и модема (Phone & Modem Properties) на панели управления
Создание входящего подключения
Рисунок 16.18. Создание входящего подключения
Предоставление разрешений на установление входящего подключения. Для предоставления разрешения на установление входящего подключения:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню значка Входящие подключения (Incoming Connections) выберите команду Свойства (Properties). |
2. | Перейдите на вкладку Общие (General) и выполните одно или несколько следующих действий: В списке Устройства (Devices) установите флажки устройств, через которые может быть установлено входящее подключение. Если выбрано более одного устройства и нужно разрешить многоканальную связь, то установите флажок Многоканальное подключение (Enable mulitlink). По необходимости выберите флажок Разрешить другим пользователям устанавливать частные подключения к моему компьютеру с помощью туннеля в Интернете или в другой сети (Allow others to make private connections to my computer by tunneling through the Internet or other network). Если значок должен отображаться на панели задач, когда входящее подключение установлено, установите флажок Вывести значки соединений на панель задач (Show icons on taskbar when connected). |
3. | На вкладке Пользователи (Users) выполните одно или несколько следующих действий: Чтобы разрешить пользователю производить подключение, установите флажок рядом с его именем. Чтобы запретить пользователю производить подключение, снимите флажок рядом с его именем. Чтобы добавить пользователя, имеющего разрешение для подключения, нажмите кнопку Новый (New). Чтобы удалить пользователя, нажмите кнопку Удалить (Delete). Чтобы изменить имя пользователя, пароль и разрешение ответного вызова сервера, нажмите кнопку Свойства (Properties). Если требуется, чтобы все пользователи подключались с надежно зашифрованными паролями и данными, установите флажок Все пользователи должны держать в секрете свои пароли и данные (Require all users to secure their passwords their passwords and data). Если требуется, чтобы устройство, соединенное напрямую\ можно было подключать без указания пароля, установите флажок Всегда разрешать подключение без пароля устройствам с прямым соединением, таким как карманные компьютеры (palmtop PC) (Always allow directly connected devices such as palmtop computers to connect without providing a password). |
4. | На вкладке Сеть (Networking) выполните одно или несколько следующих действий: Чтобы разрешить функционирование сетевого компонента, в списке сетевых компонентов установите флажок рядом с названием компонента. Чтобы запретить функционирование сетевого компонента, в списке сетевых компонентов снимите флажок рядом с названием компонента. Чтобы добавить сетевой компонент, нажмите кнопку Установить (Install). Чтобы удалить сетевой компонент, нажмите кнопку Удалить (Uninstall). Чтобы сконфигурировать сетевой компонент, нажмите кнопку Свойства (Properties). |
Примечание
|
|
Если на вкладке Пользователи доступ к входящему подключению разрешен, то теоретически, не дать пользователю установить входящее подключение могут другие факторы: учетная запись пользователя может быть запрещена или заблокирована, попытка подключения произведена вне дозволенного времени и т. п. Чтобы изменить входящее подключение, необходимо иметь полномочия администратора. Если протоколы TCP/IP, NetBEUI, ARAP или NWLINK (PX/SPX/NetBIOS/ Compatible Transport Protocol будут разрешены или запрещены для какого-либо входящего подключения, то параметры настройки этих протоколов воздействуют только на входящие подключения. Другие протоколы, например AppleTalk, разрешаются или запрещаются сразу же для всех типов подключения. |
Настройка входящего подключения для использования TCP/IP. Чтобы настроить входящее подключение для использования TCP/IP:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню значка Входящие подключения (Incoming Connections) выберите пункт Свойства (Properties). |
2. | На вкладке Сеть (Networking) в списке выберите пункт Протокол Интер-иета (TCP/IP) (Internet Protocol (TCP/IP)) и нажмите кнопку Свойства. Если требуется, чтобы звонящие пользователи могли обращаться к локальной сети, в которой находится данный компьютер, установите флажок Разрешить звонящим доступ к локальной сети (Allow callers to access my local area network). |
3. | Выполните одно из следующих действий:
Если нужно автоматически назначить адрес TCP/IP, выберите переключатель Назначать адреса TCP/IP автоматически по DHCP (Assign TPC/IP addresses automatically using DHCP). Если нужно задать адреса TCP/IP вручную, выберите переключатель Указать адреса TCP/IP явным образом (Specify TCP/IP addresses), в поле С (Start address) введите IP-адрес начала диапазона, а в поле По (End address) — IP-адрес конца диапазона. |
4. | Чтобы входящие подключения могли бы использовать конкретный адрес TCP/IP, установите флажок Разрешить звонящему указать свой адрес IP
(Allow calling computer to specify its own IP address). |
Настройка входящего соединения для использования IPX. Чтобы настроить входящее соединение для использования IPX:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню значка Входящие подключения выберите пункт Свойства. |
2. | На вкладке Сеть в списке выберите NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол и нажмите кнопку Свойства. |
3. | Чтобы звонящие пользователи могли обращаться к локальной сети, в которой находится данный компьютер, установите флажок Разрешить звонящим доступ к локальной сети. |
4. | Чтобы постоянно использовался один и тот же сетевой номер, установите флажок Присвоить единый номер сети всем компьютерам (Assign same network number to all computers) и выполните одно из следующих действий:
Чтобы входящее .соединение использовало протокол RIP для определения сетевого номера IPX, который не используется в сети, выберите положение переключателя Назначить номер сети автоматически (Assign network number automatically). Чтобы управлять назначением сетевого номера вручную в целях безопасности или управления, выберите положение переключателя Назначить указанный номер сети (Assign specified network number) и введитеномер сети. |
5. | Если нужно задавать различные сетевые номера, снимите флажок Присвоить единый номер сети всем компьютерам и выполните одно из следующих действий: Для назначения уникальных номеров сетей установите переключатель Назначать номера сети последовательно из (Assign network numbers sequentially from) и введите первый номер сети. Сетевые номера будут назначаться последовательно, начиная с этого номера. Если нужно, чтобы входящие соединения могли использовать определенные ими номера узлов, установите флажок Разрешать звонящим указывать их собственные номера узлов (Allow callers to specify their own node numbers). |
Примечание
|
|
Разрешение удаленным клиентам выбирать собственные номера узлов — потенциальная угроза для безопасности сети: клиент может притвориться подключавшимся ранее клиентом и получить доступ к сетевым ресурсам, к которым обращался другой клиент. При изменении состояния флажка Разрешить звонящим доступ к локальной сети или Разрешать звонящим указывать их собственные номера узлов изменение немедленно вступает в силу. При изменении состояния флажка (и переключателей) Присвоить единый номер сети всем компьютерам, Назначить номер сети автоматически или Назначить указанный номер сети изменение вступает в силу, как только не окажется ни одного подключенного вызывающего абонента. |
Настройка ответного вызова для входящих соединений. Чтобы настроить ответный вызов для входящих соединений:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню значка Входящие подключения выберите пункт Свойства. |
2. | На вкладке Пользователи (Users) выберите пользователя, для которого необходимо настроить ответный вызов, и нажмите кнопку Свойства. |
3. | На вкладке Ответный вызов сервера (Callback) выполните одно из следующих действий: Если не нужно использовать ответный вызов для входящих соединений, выберите положение переключателя Запретить ответный вызов (Do not allow callback). Чтобы разрешить входящим соединениям определять настройки номера, выберите переключатель Звонящий может выбирать номер ответного вызова (Allow the caller to set the callback number). Чтобы использовать конкретный номер, выберите переключатель Только этот номер для ответного вызова (Always use the following callback number) и введите номер. |
Настройка параметров набора
Рисунок 16.19.
Настройка параметров набора номера
Назначение нескольких номеров подключению
Рисунок 16.20. Назначение нескольких номеров подключению
На вкладке Ответный вызов
Рисунок 16.21.
Настройка ответного вызова
Примечание
Примечание |
|
Разрешения ответного вызова задаются администратором. Администратор может запретить использование ответного вызова, разрешить пользователю устанавливать параметры ответного вызова или потребовать выполнить ответный вызов по заданному телефону. Для того чтобы использовать ответный вызов, нужно установить флажок Включить расширения LCP (Enable LCP Extensions) в свойствах соединения (вкладка Сеть, кнопка Настройка, в окне Параметры РРР). |
Настройка аутентификации и шифрования
Рисунок 16.22. Настройка аутентификации и шифрования
Примечание
|
|
Если флажок Требуется шифрование данных (иначе отключаться) не установлен, то шифрование необязательно. Чтобы запретить шифрование, выберите положение Дополнительные (особые параметры) переключателя и нажмите кнопку Настройка (Settings). В списке Шифрование данных (Data encryption) выберите опцию не разрешено (отключиться, если требуется шифрование) (No encryption aHowed (disconnect if server required encryption)). Изменение параметров при выборе положения Дополнительные (особые параметры) переключателя требует знания протоколов безопасности. |
Поддержка данных, передаваемых вне
Рисунок 16.23.
Архитектура TCP/IP в Windows XP
Основные возможности NDIS 5.0:
Поддержка данных, передаваемых вне полосы пропускания (что требуется для широковещания) | |
Расширение для средств WirelessWAN | |
Высокоскоростные передача и прием пакетов (что приводит к значительному повышению производительности) | |
Расширение для средств высокоскоростных портов инфракрасной передачи IrDA | |
Автоматическое определение среды (требуется для получения эмблемы "Разработано для Windows" в соответствии с руководством по построению аппаратных средств спецификации РС'98) | |
Фильтрация пакетов (предотвращает монопольный захват процессора утилитой Сетевой монитор (Network Monitor)) | |
Многочисленные новые системные функции интерфейса NDIS (требуются для двоичной совместимости мини-порта Windows 95 и Windows NT) | |
Управление питанием NDIS (требуется для сетевого управления питанием и включения компьютера через сеть) | |
Поддержка Plug and Play | |
Поддержка инструментария управления Windows (Windows Management Instrumentation, WMI), что обеспечивает создание совместимых с WBEM (Управление предприятием на основе технологии Web) средств управления аппаратурой мини-портов NDIS и связанных с ними адаптеров | |
Поддержка единого формата INF для всех операционных систем Windows. Новый формат INF основан на формате INF, принятом в Windows 95. | |
Распараллеленный мини-порт для поддержки улучшенной производительности | |
Механизмы разгрузки процессора для служебных процессов типа расчета контрольной суммы пакетов протоколов TCP и UDP, а также для быстрой пересылки пакетов | |
Расширение для средств широковещания (необходимо для широковещательных служб в Windows) | |
Поддержка механизмов установления логического соединения (требуется для сетей ATM и ADSL, а также для работы WDM-CSA (Windows Driver Model-Connection Streaming Architecture) — модели драйвера потоковой архитектуры соединения для Windows поверх всех сред с установлением логического соединения) | |
Поддержка для реализации служб качества обслуживания (Quality of Service, QoS) | |
Поддержка промежуточных драйверов (требуется для широковещания PC, виртуальных ЛВС, планирования пакетов дли QoS и для поддержки сетевых устройств IEEE-1394) |
Ручной набор номера
Ручной набор номера
Для разрешения ручного набора номера:
1. | В меню Дополнительно папки Сеть и удаленный доступ к сети выберите команду Набор номера через оператора (Operator-Assisted Dialing). |
2. | Дважды щелкните на соединении, которое требуется установить. Поднимите телефонную трубку и наберите нужный номер или попросите оператора сделать это. Номер, назначенный соединению, отображается в диалоговом окне для справки. |
3. | Сразу после того, как набор номера закончен, нажмите кнопку Вызов (Dial) и положите трубку (после того, как модем поднимет трубку и возьмет управление линией на себя). Лучше всего класть трубку, как только коммутируемое соединение начнет проверять имя пользователя и его пароль. |
Сеть и удаленный доступ к сети
Сеть и удаленный доступ к сети
Введение
Папка Сеть и удаленный доступ к сети (Network and Dial-up connections) в Windows XP служит для подключения компьютера к Интернету, локальной сети или к другим компьютерам и позволяет использовать сетевые ресурсы и службы в локальной сети или удаленно.
Папка Сеть и удаленный доступ к сети (Пуск | Настройка | Панель управления (Start | Setting | Control Panel)) объединяют средства Dial-up Networking из Windows NT 4.0 и функции, прежде доступные из панели управления (значок Network), например, настройки сетевых протоколов и прочих служебных параметров. Каждое подключение в папке Сеть и удаленный доступ к сети (Рисунок 16.1) служит для создания и использования связи между данным и другим компьютером или сетью. С помощью таких подключений упрощается настройка сети. Например, изменить набор установленных сетевых протоколов можно выбором пункта Свойства (Properties) контекстного меню и несколькими щелчками в открывшемся окне.
Исходящие подключения (outgoing connections) устанавливают связь с сервером удаленного доступа, используя определенный метод доступа (ЛВС, модем для коммутируемых линий, адаптер и линия ISDN и т. п.) для подключения к сети. В отличие от исходящего, входящее подключение (incoming connection) позволяет компьютеру под управлением Windows XP поддерживать подключения, инициализируемые другими компьютерами. Это означает, что этот компьютер может работать как сервер удаленного доступа (remote access server). Вне зависимости от того, является ли связь локальной (ЛВС) или удаленной (телефонная линия, ISDN и т. п.), подключения можно настроить так, чтобы они могли полноценно выполнять все требуемые функции. Например, при помощи любых сетевых подключений можно печатать на сетевых принтерах, получать доступ к сетевым дискам и файлам, просматривать другие сети или получать доступ к Интернету (если подключение поддерживает соответствующие протоколы).
Сетевой монитор
Сетевой монитор
Сетевые администраторы могут использовать Сетевой монитор (Network Monitor) Microsoft Windows XP для перехвата и отображения кадров (также называемых пакетами или фреймами) при обнаружении и решении проблем в локальных сетях. Например, с помощью сетевого монитора можно диагностировать аппаратные и программные проблемы в случае, если два (или более) компьютера не могут связаться друг с другом. Можно также зафиксировать (перехватить) сетевой трафик, а затем файл с полученными данными послать специалистам по сетям или организации, занимающейся поддержкой сети. Разработчики сетевых приложений могут использовать сетевой монитор для того, чтобы контролировать и отлаживать сетевые приложения во время разработки.
Сервер Microsoft Systems Management Server (SMS) также включает в себя версию сетевого монитора. В дополнение к функциональным возможностям, описанным в этой главе, версия из состава SMS может перехватывать пакеты, посланные с любого компьютера в сети, редактировать и передавать пакеты по сети, а также дистанционно перехватывать пакеты (например, посредством удаленного доступа по телефонной линии) с других компьютеров в сети, в которой работает Агент сетевого монитора (Network Monitor Agent) (включая компьютеры под управлением Windows XP Professional/NT Workstation и Windows 95).
Сетевые коммуникации
Сетевые коммуникации
Сетевые протоколы, методы доступа и серверные протоколы обеспечивают взаимодействие между компьютером и сетью.
Независимо от того, передается ли информация от компьютера к серверу по прямому последовательному кабелю или по безопасному VPN-подключению
через поставщика услуг Интернета к корпоративной сети, для передачи информации используются различные комбинации методов доступа и протоколы (табл. 16.8).
SLIP
SLIP
Протокол последовательной линии (Serial Line Internet Protocol, SLIP) — старый стандарт удаленного доступа, ранее использовавшийся серверами удаленного доступа UNIX. Подключения к сети и удаленный доступ к сети в Windows XP поддерживают SLIP и могут соединяться с любым сервером удаленного доступа по стандарту SLIP. Это позволяет клиентам Windows XP соединяться с большим количеством серверов UNIX.
Когда производится подключение к серверу SLIP, появляется окно терминала Терминал для входа SLIP (SLIP Logon Terminal Window) для интерактивного входа на сервер SLIP. Вход в систему UNIX замещает и предотвращает обычный вход в систему удаленного доступа. После установления соединения служба удаленного доступа становится прозрачной для пользователя.
Примечание
|
|
Компьютер под управлением Windows XP не может служить сервером SLIP. Поддерживаются только клиенты Windows XP, которые соединяются с серверами SLIP третьих фирм. Чтобы соединяться с сервером SLIP, нужно использовать протокол TCP/IP и последовательный СОМ-порт. |
Сохранение записанных данных
Сохранение записанных данных
Перехваченные данные из буфера сбора данных записываются для сохранения в файл перехвата данных (с расширением cap). Необходимо сохранять собранные данные в следующих случаях:
Перед запуском другого процесса сбора данных (чтобы предотвратить потерю собранных данных) | |
Когда данные будут проанализированы позже | |
Когда требуется задокументировать использование сети или возникшей проблемы |
Совместное использование Интернетподключения
Совместное использование Интернет-подключения
Возможность совместного использования Интернет-подключения (Internet Connection Sharing, ICS) позволяет применять Windows XP для подключения домашней или малой офисной сети к Интернету. Например, можно создать домашнюю сеть, которая соединяется с Интернетом с помощью телефонного соединения. Если разрешить совместное использование подключения на компьютере, соединенном по телефонной линии, то этот компьютер предоставит службы преобразования сетевых адресов (Network Address
Translation, NAT), выдачи адресов (DHCP) и разрешения имен (DNS) всем компьютерам домашней сети.
Можно настраивать приложения и службы, которые должны работать через Интернет. Например, если пользователи домашней сети хотят получить доступ к ресурсам SQL Server корпоративной сети, можно настроить приложение SQL Server для подключения, которому разрешено совместное использование. Услуги, предоставляемые домашней сетью, можно настроить так, чтобы к ним могли получить доступ пользователи Интернета. Например, если в домашней сети есть веб-сервер, то, чтобы пользователи Интернета могли соединяться с ним, нужно на совместно используемом подключении настроить службу WWW.
Возможность совместного использования удобна в малом офисе или в домашней сети, где конфигурирование сети и подключение к Интернету выполняет компьютер под управлением Windows XP, на котором располагается данное подключение. Считается, что в этой сети данный компьютер — единственное подключение к Интернету, единственный шлюз в Интернет, и что он назначает все сетевые адреса.
Примечание
|
|
Чтобы настраивать совместное использование Интернет-подключения, необходимо иметь полномочия администратора. |
ICS недоступно в сети с контроллерами доменов Windows XP Server, серверами DNS, шлюзами, серверами DHCP или системами, настроенными для использования статического IP. Если используется Windows XP Server и существует один (или несколько) из этих компонентов, то, чтобы достичь того же результата, необходимо использовать возможности NAT из состава службы маршрутизации и удаленного доступа (RRAS). Компьютеру с ICS требуется два подключения. Первое, обычно адаптер ЛВС, служит для связи с компьютерами в домашней сети, второе подключает домашнюю сеть к Интернету. Необходимо проверить, что совместный доступ разрешен для подключения, которое соединяет домашнюю сеть с Интернетом. При этом домашнее сетевое подключение правильно распределяет адреса TCP/IP внутренним пользователям, а общедоступное подключение будет правильно соединять домашнюю сеть с Интернетом. Пользователи вне домашней сети ограждены от опасности получения пакетов с адресами из домашней сети. Разрешая совместное использование для подключения, компьютер удаленного доступа становится DHCP-сервером для домашней сети. DHCP динамически назначает TCP/IP-адреса компьютерам при их запуске. Если совместное использование ошибочно разрешено на внешнем сетевом адаптере (подключающем сеть к Интернету), домашний сервер DHCP может предоставлять адреса TCP/IP пользователям вне домашней сети, что приведет к проблемам в других сетях.;
Когда разрешается совместное использование подключения, сетевой адаптер, связанный с домашней или малой офисной сетью, получает новый статический IP-адрес. Существующие подключения, использующие TCP/IP на компьютере с совместным использованием соединения, будут потеряны и должны быть восстановлены вручную.
Настройка ICS. При разрешении совместного использования подключения некоторые протоколы, службы, интерфейсы и маршруты будут сконфигурированы автоматически (табл. 16.10).
Типы сетевых подключений
Таблица 16.1. Типы сетевых подключений
Тип подключения |
Технология связи |
Пример |
Телефонное подключение (Dial-up connection) |
Модем, ISDN, X.25 |
Соединение с корпоративной сетью или Интернетом с использованием телефонного подключения |
ЛВС (LAN, Local Area connection) |
Ethernet, Token Ring, кабельный модем, xDSL, FDDI, IP no ATM, IrDA, радиомодем, Е1/T1 и т. п. |
Типичный корпоративный пользователь |
Виртуальная частная сеть (VPN connection, Virtual private network) |
Виртуальные частные сети по протоколам РРТР или L2TP, объединяющие или подключающие к корпоративным сетям через Интернет или другую сеть общего пользования (public network) |
Безопасное соединение с корпоративной сетью через Интернет |
Прямое подключение (Direct Connection) |
Последовательное соединение, инфракрасная связь, параллельный кабель (DtrectParaUel) |
Соединение карманного или портативного компьютера с настольным компьютером |
Входящее подключение (Incoming connection) |
Коммутируемая связь, VPN или прямое подключение |
Подключение к корпоративному серверу удаленного доступа |
Общие задачи при
Таблица 16.2. Общие задачи при работе с подключениями и пути их выполнения
Задача
Windows NT 4.0
Windows XP
Подключиться к серверу удаленного доступа
Выбрать значок Dial-Up Networking (Удаленный доступ) в папке My Computer (Мой компьютер)
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Установление подключения к сети"
Подключиться к сети с помощью модема или линии ISDN
Выбрать значок Dial-Up Networking в папке My Computer, нажать кнопку New (Новое)
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Создание телефонного подключения"
Подключиться к сети с использованием виртуальной частной ceти (VPN)
Выбрать значок Dial-Up Networking в папке My Computer, нажать кнопку New
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Создание VPN-подключения"
Настроить компьютер для входящих подключений
Выбрать значок Network (Сеть) на панели управления
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Создание входящего подключения"
Настроить протокол TCP/IP
Выбрать значок Network на панели управления
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Настройка TCP/IP"
Изменить настройки подключения
Выбрать значок Dial-Up Networking в папке My Computer, нажать кнопку More (Больше)
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Настройка подключений к сети и удаленного доступа к сети"
Добавить клиента или сетевую службу
Выбрать значок Network на панели управления
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Добавление сетевого компонента"
Добавить протокол
Выбрать значок Network на панели управления
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Добавление сетевого компонента"
Добавить дополнительные сетевые компоненты
Выбрать значок Network на панели управления
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе Добавление дополнительных сетевых компонентов"
Просматривать состояние входящего или исходящего подключения
Выбрать значок Dial-Up Monitor (Монитор удаленного доступа) на панели управления
Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Просмотр состояния подключения"
Достоинства Использования сетей VPN
Таблица 16.3. Достоинства Использования сетей VPN
Преимущество |
Пример |
Меньшая стоимость |
Для подключения используется Интернет (вместо установления телефонного подключения с использованием дорогой междугородной связи). Поскольку Интернет-провайдер сам поддерживает оборудование связи (модемы, адаптеры ISDN и т. п.), при развертывании сети нужно закупать и сопровождать меньшее количество оборудования |
Аутсорсинг (Передача третьим лицам, outsourcing) забот по поддержке телефонных подключений |
Пользователь может по городскому номеру подключиться к телефонной компании или ISP, который затем подключит его к серверу удаленного доступа Windows XP и к корпоративной сети. Телефонная компания или ISP управляет модемами и телефонными линиями, выделенными для коммутируемого доступа. ISP поддерживает сложную инфраструктуру коммуникационного оборудования, а сетевой администратор корпорации занимается централизованным управлением учетными записями пользователей на сервере удаленного доступа |
Расширенная безопасность |
Подключение через Интернет (если используются протоколы PPTP/L2TP) является шифрованным и безопасным, поскольку сервер удаленного доступа поддерживает современные протоколы аутентификации и шифрования. Конфиденциальные данные надежно защищены от пользователей Интернета, но доступны для пользователей виртуальной частной сети. Поскольку данные, передаваемые по VPN-подключению зашифрованы, используемые адреса защищены от просмотра извне; в сети Интернет "видны" только внешние IP-адреса (концов соединения). Это особо важно для корпораций с внутренними IP-адресами, поскольку исключаются административные затраты на изменение IP-адресов для удаленного доступа через Интернет |
Поддержка сетевых протоколов |
Поскольку поддерживаются широко распространенные сетевые протоколы (включая TCP/IP, IPX и NetBEUI), с использованием VPN можно дистанционно выполнять любое приложение, зависящее от конкретного сетевого протокола |
Как показано в следующих примерах, есть два способа создать VPN-подключение: устанавливая соединение с ISP, или соединяясь с Интернетом напрямую.
Пример 1. VPN-подключение сначала производит запрос к Интернет-провайдеру. После того как это подключение произведено, VPN-подключение делает другой запрос к серверу удаленного доступа, который устанавливает туннель L2TP или РРТР. После аутентификации можно получать доступ к корпоративной сети, как это показано на Рисунок 16.8.
Настройка параметров телефонного подключения
Таблица 16.4. Настройка параметров телефонного подключения
Функциональные возможности набора номера |
Функция |
Ответный вызов сервера (CallBack) |
Уменьшает затраты на телефонную связь с помощью сервера, производящего ответный вызов |
Автонабор номера (Autodial) |
Помнит сетевые адреса, что позволяет автоматически производить подключение, когда приложение или команда, введенная в командной строке, обращается к удаленной сети |
Использование нескольких устройств (Dial multiple devices) |
Объединяет несколько физических соединений, что увеличивает общую ширину полосы пропускания для этого подключения, и динамически устанавливает и разрывает подключения внутри многоканального подключения по требованию |
Модификаторы телефонного номера (Phone number modifiers) |
Символы, делающие набор номера более гибким (функции: пауза, приостановка набора номера до ввода требуемых данных и т. д.) |
Параметры повторного звонка (Redial options) |
Определяют, сколько раз автоматически повторно будет производиться подключение, если сервер удаленного доступа недоступен. Можно также настроить эту функциональную возможность для повторного звонка в случае разрыва подключения |
Дополнительные номера телефонов (Multiple phone numbers) |
Назначение более одного номера телефонному подключению. Это полезно, если производится подключение к модемному пулу, содержащему ряд телефонных номеров |
Набор номера через оператора (Operator-assisted dialing) |
Отменяет автоматическое подключение в случае, если требуется вмешательство пользователя (оператора). Например, это нужно при звонке через коммутационный узел с ручным управлением |
Примечание
|
|
Можно конфигурировать параметры телефонных подключений, применяемые ко всем подключениям в пределах одного местоположения (например, набор "9" для выхода на внешнюю линию, использование импульсного или тонального набора номера и т. д.), с помощью опции Параметры телефона и модема (Phone and Modem options) из панели управления. |
Модификаторы набора номера
Таблица 16.5. Модификаторы набора номера
Знак |
Функция |
, (запятая) |
Короткая пауза (2 секунды для большинства модемов) |
Р |
Переключает набор номера с тонового на импульсный |
Т |
Переключает набор номера с импульсного на тоновый |
$ |
Ожидание гудка для ввода номера телефонной карты |
Например, если номер телефона набирается в офисе с установленной офисной АТС, вероятно, к нему придется добавить "9" для выхода на внешнюю линию. В результате номер может выглядеть, например, так:
9,123-4567.
Запятая после "9" дает паузу, достаточную чтобы выйти на внешнюю линию перед набором оставшейся части номера.
Возможные параметры
Таблица 16.6. Возможные параметры настройки безопасности телефонного подключения
Значение в списке Производить проверку с использованием (Validate my identity as follows) |
Состояние флажка Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует) (Automatically use my Windows logon name and password (and domain if any) |
Состояние флажка Требуется Шифрование данных (иначе отключаться) (Require data encryption (disconnect if none)) |
Небезопасный пароль (Allow unsecured password) |
Недоступен |
Недоступен |
Безопасный пароль (Require secured password) |
Доступен |
Доступен |
Смарт-карта (Use smartcard) |
Недоступен |
Доступен |
Возможные параметры
Таблица 16.7. Возможные параметры настройки безопасности VPN-подключеия
Значение в списке Производить проверку с использованием (Validate my identity as follows) |
Состояние флажка Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует) (Automatically use my Windows logon name and password (and domain if any) |
Состояние флажка Требуется шифрование данных (иначе отключаться) (Require data encryption (disconnect if none)) |
Безопасный пароль (Require secured password) |
Доступен |
Доступен (разрешен по умолчанию) |
Смарт-карта (Use smartcard) |
Недоступен |
Доступен (разрешен по умолчанию) |
Используемые протоколы и методы доступа
Таблица 16.8. Используемые протоколы и методы доступа
Сетевые транспортные протоколы |
TCP/IP, IPX/SPX, NetBEUI, AppleTalk |
Методы доступа |
Телефонные линии и модемы, ISDN, X.25, последовательный кабель (RS-232C), параллельный кабель (DirectParatlel) |
Серверные протоколы |
РРР, SLIP, РРТР, L2TP, ARAP, АТСР |
Протоколы управления сетью
Таблица 16.9. Протоколы управления сетью
Протокол управления сетью |
Описание |
IP Control Protocol (Протокол управления IP, IPC) |
Служит для конфигурирования, разрешения и запрещения модулей IP на обоих концах соединения |
IPX Control Protocol (Протокол управления IPX, IPXCP) |
Служит для конфигурирования, разрешения и запрещения модулей IPX на обоих концах соединения |
NetBEUI Control Protocol (Протокол управления NetBEUI, NBTP) |
Служит для конфигурирования, разрешения и запрещения модулей NetBEUI на обоих концах соединения |
AppleTalk Control Protocol (Протокол управления AppleTalk, ATCP) |
Служит для конфигурирования, разрешения и запрещения модулей AppleTalk на обоих концах соединения |
Использование РРР для подключения к Интернету. Протокол РРР используется в Windows XP по умолчанию. Автономный компьютер под управлением Windows XP Server, настроенный на прием входящих подключений, не требует никаких специальных настроек для поддержки входящих подключений с использованием РРР. Если подключение сконфигурировано должным образом, запрос на подключение по РРР автоматически будет удовлетворен.
Если происходит подключение к удаленному РРР-серверу, обычно подходят настройки по умолчанию и не требуется дополнительное конфигурирование. Однако, если требуется, можно настраивать дополнительные параметры РРР для исходящего или входящего подключения.
Настройки совместного
Таблица 16.10. Настройки совместного использования подключения
Сконфигурированные элементы |
Состояние |
IP-адрес =169.254.0.1 |
Настроен с маской подсети 255.255.0.0 на адаптере ЛВС, который связан с домашней сетью или сетью малого офиса |
Возможность автоматического вызова (AutoDial) |
Разрешена |
Статический IP-маршрут по умолчанию |
Создается, когда производится телефонное подключение |
Служба совместного использования |
Запущена |
Служба распределения DHCF (DHCP allocator) |
Разрешена с заданным по умолчанию диапазоном адресов 169.254.0.0 и маской подсети 255.255.0.0. |
Посредник DNS (DNS proxy) |
Разрешен |
Разрешение совместного использования Интернет-подключения. Для разрешения совместного использования Интернет-подключения:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите пункт Свойства. |
2. | На вкладке Общий доступ (Internet Connection Sharing) установите флажок Разрешить общий доступ для этого подключения (Enable Internet Connection Sharing for this connection). |
3. | . Если требуется, чтобы это подключение автоматически активизировалось, когда другой компьютер в ЛВС пытается обратиться к внешним ресурсам, установите флажок Разрешить вызов по требованию (Enable on-demand dialing). |
Примечание
|
|
Нельзя использовать эту возможность в сети с другими контроллерами доменов Windows XP Server, серверами DNS, шлюзами, серверами DHCP или системами, сконфигурированными для использования статических IP-адресов. Чтобы разрешить совместное использование подключения, необходимо иметь полномочия администратора. |
Настройка приложений и служб для ICS. Чтобы настроить совместное использование для приложений и служб:
1. | В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите пункт Свойства. |
2. | Убедитесь, что на вкладке Общий доступ установлен флажок Разрешить общий доступ для этого подключения и нажмите кнопку Параметры (Settings). |
3. | Если для компьютеров, совместно использующих подключение, нужно настроить сетевые приложения, то на вкладке Приложения (Applications) нажмите кнопку Добавить (Add) и выполните следующие действия: В поле Имя приложения (Name of application) введите легко запоминающееся имя этого приложения (Рисунок 16.26). В поле Порты удаленного сервера (Remote server port number) введите номер порта удаленного сервера, который использует данное приложение, а затем выберите протокол — TCP или UDP. В поле TCP или UDP, или в обоих полях введите номер порта в той сети, с которой соединится приложение. Некоторые приложения требуют использования и TCP и UDP. |
4. | . Если нужно настроить службу, которая будет доступна пользователям в удаленных сетях, на вкладке Службы (Services) нажмите кнопку Добавить (Add) и выполните следующие действия: В поле Имя службы (Name pf service) введите легко запоминающееся название для данной службы. В поле Номер порта службы (Service port number) введите номер порта на том компьютере, на котором функционирует данная служба, а затем переключателем выберите протокол TCP или UDP. В поле Имя или адрес сервера в частной сети (Name or address of server computer on private network) введите имя или IP-адрес компьютера в частной сети, на котором функционирует данная служба. |
Пример настройки приложения — широко известная игра Diablo. Если вы хотите разрешить пользователям в домашней сети играть в Diablo с другими пользователями в сети Интернет, введите Diablo в качестве имени приложения, не — в качестве номера порта удаленного сервера, а 6112 — для ответного порта U DP.
Пример настройки службы — веб-сервер. Если пользователь в домашней сети поддерживает веб-сервер на компьютере с именем michael, к которому необходимо предоставить доступ пользователям Интернета, введите web server в качестве имени службы, во — в качестве номера порта TCP (поле Номер порта службы) и michael — в качестве имени компьютера-сервера в частной сети (поле Имя или адрес сервера в частной сети).
Таблица (Details) Также можно
Таблица (Details). Также можно разрывать активные подключения нажатием кнопки Отключить (Disconnect) в диалоговом окне Состояние (или при помощи команды Отключить или Запретить в контекстном меню подключения).
TCP/IP
TCP/IP
Протокол управления передачей/Протокол Интернета (Transmission Control Protocol/Internet Protocol, TCP/IP) - наиболее популярный протокол, который является основой сети Интернет. Его возможности маршрутизации трафика обеспечивают максимальную гибкость в сетях в масштабе предприятия.
В сетях на базе TCP/IP необходимо выделять IP-адреса клиентам. Клиентам также может потребоваться наличие службы имен или другого метода разрешения имен (файлы HOSTS, LMHOSTS).
Назначение IP-адресов подключению. В Windows XP каждому удаленному компьютеру, подключающемуся к серверу удаленного доступа, который использует TCP/IP, выделяется IP-адрес. IP-адрес автоматически предоставляется службой DHCP или выбирается из статического диапазона, назначенного серверу удаленного доступа.
Если используется IP-адрес, заданный в конфигурации для данного телефонного подключения сервер удаленного доступа Windows XP должен быть настроен так, чтобы пользователям было разрешено запрашивать предопределенный адрес.
Разрешение имен для подключения. В дополнение к требованию выделения IP-адреса, сетевому или телефонному подключению в сети на основе TCP/IP может потребоваться механизм разрешения имен компьютеров в IP-адреса. В сети на базе Windows XP можно использовать четыре способа разрешения имен: службу доменных имен (Domain Name System, DNS), службу Интернет-имен Windows (Windows Internet Name System, WINS), широковещательное разрешение имен и разрешение имен с помощью файлов HOSTS и LMHOSTS.
Можно назначать подключению К сети и подключениям удаленного доступа к сети те же серверы имен WINS и DNS, которые назначены серверу удаленного доступа. Параметры настройки сети TCP/IP и телефонного подключения могут отменить эти назначения по умолчанию. В малых сетях, где IP-адреса не изменяются, подключения к сети и подключения удаленного доступа к сети могут использовать файлы HOSTS или LMHOSTS для разрешения имен. Поскольку эти файлы размещены на локальном диске, не требуется передавать запрос на разрешение имен серверу WINS или серверу DNS и ждать ответ на этот запрос через телефонное подключение.
Утилиты Интернета. В состав утилит TCP/IP в Windows XP входят программы Ftp и Telnet. Ftp — консольная утилита, позволяющая устанавливать соединение с FTP-серверами и передавать файлы. Утилита Telnet — графическое приложение, позволяющее входить на отдаленные компьютеры и выполнять команды так, будто они введены с клавиатуры удаленного компьютера. Сюда же относится ряд диагностических утилит, например Ping, Tracert и PathPing. Эти утилиты позволяют проверять доступность удаленных компьютеров и диагностировать соединение. Утилита Ping — консольная программа, позволяющая по заданному имени или адресу определить время задержки передачи до указанного компьютера. Утилита Tracert диагностирует последовательность межсетевых соединений (хопов, hop) на пути между двумя компьютерами. Она показывает все маршрутизаторы на пути сигнала и указывает время задержки до каждого из них. Утилита PathPing вмещает в себя средства двух упомянутых утилит и .имеет дополнительные возможности.
TCP/IP и сетевая архитектура Windows XP
TCP/IP и сетевая архитектура Windows XP
Архитектура TCP/IP в операционной системе Windows XP (Рисунок 16.23) обеспечивает интегрированную, не зависящую от протоколов поддержку работы с сетями: работу прикладных программ, работу с файлами, печать и другие услуги поверх любого сетевого протокола, который поддерживает Интерфейс транспортного драйвера (Transport Driver Interface, TDI). Протоколы отвечают за упаковку сетевых запросов к приложениям в соответствующие форматы и отправку этих запросов на соответствующий сетевой адаптер посредством интерфейса NDIS. NDIS позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров.
В сочетании с транспортно-независимой архитектурой Windows XP протоколы TCP/IP могут предоставлять системам на базе Windows возможности работы с сетями. TCP/IР-протоколы дают компьютерам под управлением
Windows XP, Windows NT, Windows 9x и Windows for Workgroups прозрачный доступ друг к другу и позволяют связываться с другими системами, входящими в сети предприятий. В Windows NT использовались версии 3.1— 4.0 NDIS. Новая версия 5.0, которую поддерживает Windows XP, обладает рядом преимуществ перед версиями 3.1 и 4.0.
Телефонные (коммутируемые) подключения
Телефонные (коммутируемые) подключения
Телефонное (коммутируемое) подключение (dial-up connection) соединяет компьютер с корпоративной сетью или с сетью Интернет при помощи устройств, подключаемых к коммутируемой телефонной сети. Такими устройствами могут быть: модем (стандартная телефонная линия), платы ISDN (линии ISDN) или оборудование для подключения к сети Х.25 по соответствующему каналу.
Обычно у пользователя имеется одно или два модемных подключения, например, с Интернетом и со своей корпоративной сетью. Windows XP Server позволяет создавать несколько телефонных коммутируемых подключений, чтобы осуществить более сложную схему подключений.
Можно создать несколько телефонных модемных подключений, копируя их в папке Сеть и удаленный доступ к сети. Переименовывая подключения и настраивая их параметры, можно легко создавать различные подключения для различных модемов, конфигураций дозвона и т. д.
Использование телефонных линий и модемов. Наиболее часто телефонное подключение производится с помощью модемов и стандартных аналоговых телефонных линий, которые есть везде и удовлетворяют большинству требований мобильного пользователя. Стандартные аналоговые телефонные линии также называются PSTN (Public Switched Telephone Network, коммутируемая телефонная сеть общего пользования) или POTS (Plain Old Telephone Service, простая старая телефонная служба).
С Windows XP совместимы сотни модемов, соответствующих промышленным стандартам. Однако проблемы возникают при обнаружении и идентификации модемов с помощью стандартных средств Windows. Проверить совместимость устанавливаемого модема можно по списку аппаратной совместимости (Hardware Compatibility List) на сайте Microsoft (http://www.mkrosoft.com) или в файле Hcl.txt на компакт-диске Windows XP Server.
Система Windows обнаруживает модемы автоматически, что особенно удобно пользователям, которые не знают, какой модем установлен в их компьютере (например, если это внутренний модем). Для установления телефонного подключения можно использовать общедоступные сетевые модемы (при помощи программного обеспечения сторонних производителей).
Создание телефонного подключения. Для создания телефонного подключения:
1. | Выполните двойной щелчок в папке Сеть и удаленный доступ к сети на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next). |
2. | Установите переключатель Телефонное подключение к частной сети (Dial-up to private network), нажмите кнопку Далее и следуйте командам Мастеpa сетевого подключения (Network Connection Wizard), которому нужно будет указать номер телефона (Рисунок 16.15) и прочие параметры подключения. |
Типы подключений
Типы подключений
Локальное подключение
Как правило, компьютеры под управлением Windows XP подключены к локальной сети (ЛВС). При инсталляции операционная система обнаруживает сетевой адаптер и создает локальное сетевое подключение для данного адаптера. Это подключение отображается, как и все другие подключения, в папке Сеть и удаленный доступ к сети. По умолчанию локальное подключение всегда активно. Локальное подключение — единственный тип подключения, которое автоматически становится активным после запуска компьютера или установки ОС.
Если разъединить локальное подключение, оно больше не активизируется автоматически (информация об этом хранится в профиле оборудования — hardware profile). В соответствии с требованиями мобильного пользователя происходит автоматическая подстройка оборудования. Например, если пользователь переезжает в удаленный офис корпорации и создает для этого местоположения отдельную конфигурацию оборудования, которая не содержит средств доступа к ЛВС, то Windows XP не тратит время впустую на ожидание готовности сетевого адаптера. Адаптер даже не будет производить попыток подключения к несуществующей ЛВС.
Если в компьютере имеется более одного сетевого адаптера, в папке Сеть и удаленный доступ к сети появится значок локального подключения для каждого адаптера.
Для установления локальных подключений применяются среды Ethernet, Token Ring, кабельные модемы, xDSL, FDDI, IP no ATM, IrDA (инфракрасная связь), радио- и эмулированные ЛВС на базе ATM. Эмулированные локальные сети используют драйверы виртуальных адаптеров, например, драйверы, поддерживающие протокол LANE (LAN Emulation, эмуляция ЛВС).
Если в сети произошли изменения, можно настроить существующее локальное подключение, чтобы это отразить. Выбирая в контекстном меню сетевого или коммутируемого подключения пункт Состояние (Status), можно просматривать информацию о подключении (продолжительность и быстродействие подключения, объемы переданных и полученных данных), а также использовать диагностические средства, применимые для конкретного подключения.
При установке на компьютер нового устройства для подключения к ЛВС, после перезапуска Windows XP в папке Сеть и удаленный доступ к сети появится новый значок локального подключения. Можно установить сетевой адаптер PCMCIA при включенном компьютере, перезапуск Windows XP не потребуется — значок локального подключения немедленно появится в указанной папке.
Для настройки устройства, используемого для подключения, и связанных с ним клиентов, служб и протоколов служит пункт Свойства контекстного
меню. Клиенты определяют доступ через это подключение к компьютерам и файлам в соответствующей сети. Службы предоставляют доступ к ресурсам, например к совместно используемым принтерам и файлам, Протоколы, например TCP/IP, определяют "язык" для связи между компьютерами.
Можно конфигурировать адаптеры ЛВС при помощи пункта Дополнительные параметры (Advanced Settings) меню Дополнительно (Advanced) папки Сеть и удаленный доступ к сети. Можно изменять порядок адаптеров, используемых подключением и связанными с ними клиентами, службами и протоколами.
Создание подключения к ЛВС. Как правило, большинство пользователей Windows XP подключены к локальной сети. При запуске Windows XP обнаруживает сетевой адаптер и автоматически создает подключение к ЛВС. В отличие от других типов подключений, подключение к ЛВС выполняется автоматически.
Управление сетевыми компонентами
Управление сетевыми компонентами
Дополнительные компоненты (вкладка Сеть (Networking) окна свойств подключения, Рисунок 16.5) можно разрешить и настроить как для всего компьютера целиком, так и для отдельного подключения.
Входящие подключения
Входящие подключения
При наличии входящего подключения компьютер под управлением Windows XP может служить сервером удаленного доступа. Можно создавать входящие подключения для приема вызовов посредством: телефонного подключения (модем, ISDN, X.25), виртуальной частной сети (РРТР, L2TP) или прямого подключения (последовательный, параллельный кабель, инфракрасная связь). Для Windows XP Professional входящее подключение может
принимать до трех входящих вызовов для каждого из указанных типов средств. На Windows XP Server число входящих вызовов ограничено только возможностями компьютера (его аппаратным обеспечением).
Для настройки нескольких модемов или адаптеров ISDN на работу со входящими телефонными подключениями можно использовать возможности многоканальной связи (multilink).
При создании подключения определяются пользователи, которые могут соединяться с данным входящим подключением, и сетевые протоколы, по которым они могут работать. Для каждого пользователя, подключающегося к входящему подключению, должна существовать локальная учетная запись.
Примечание
|
|
При большом количестве входящих подключений на компьютере под управлением Windows XP Server, который входит в состав корпоративной сети или является контроллером домена, для управления сервером удаленного доступа нужно использовать оснастку Маршрутизация и удаленный доступ (Routing and Remote Access) Windows XP Server. Чтобы создать входящее подключение, необходимо иметь полномочия администратора. |
Клиенты входящих подключений. Windows XP поддерживает подключение к входящему подключению клиентов следующих операционных систем (помимо клиентов Windows XP):
Клиенты Windows NT 4.0 — могут использовать все возможности входящего подключения, кроме динамического распределения многоканального соединения, расширяемого протокола аутентификации (ЕАР), клиента защиты передаваемых данных IPSec, а также L2TP для туннелирования через глобальные сети. | |
Клиенты Windows NT 3.1, 3.5 и 3.51 — могут использовать те же возможности входящего подключения, что и клиенты Windows NT 4.0, кроме многоканальных функциональных возможностей. Клиент Windows NT 3.1 не поддерживает протокол двухточечного соединения (РРР), введенный в Windows NT 3.5. | |
Клиенты Windows 98— могут использовать все возможности входящего подключения, кроме динамического распределения многоканального подключения и расширяемого протокола аутентификации (ЕАР). | |
Клиенты Windows 95 — могут использовать все возможности входящего подключения, кроме многоканального соединения, динамического распределения многоканального соединения и расширяемого протокола аутентификации (ЕАР). | |
Клиенты Macintosh— могут соединяться с WindowsXP Server и обращаться к файловым томам и принтерам Macintosh и AppleTalk, используя протокол удаленного доступа AppleTalk (ARAP). Поддерживаются клиенты удаленного доступа AppleTalk 1.0, 2.x и 3.x |
|
Клиенты Windows for Workgroups, MS-DOS и LAN Manager— Windows XP Server поставляется с Microsoft Network Client for MS-DOS и TCP/IP-32 for Windows for Workgroups, которые поддерживают удаленный доступ. Поставляемые самостоятельно продукты Windows for Workgroups и LAN Manager также могут соединяться с входящим подключением. Чтобы использовать полную систему переадресации, необходимо установить Microsoft Network Client for MS-DOS (настройка по умолчанию). Если используется базовая (basic) система переадресации, удаленный доступ не сможет использовать программу rasphone, а входящее подключение не сможет быть установлено. Компьютеры под управлением Windows for Workgroups, MS DOS и LAN Manager могут, используя удаленный доступ, обращаться через шлюз NetBIOS к серверам NetBIOS, использующим TCP/IP, IPX или NetBEUI, но не могут выполнять приложения, использующие TCP/IP или IPX на клиентской стороне. Эти клиенты также не поддерживают протокол РРР, введенный в Windows NT 3.5. | |
Клиенты РРР. Клиенты РРР под управлением ОС сторонних поставщиков, использующие TCP/IP, IPX, NetBEUI или ARAP, могут устанавливать входящее подключение. Входящее подключение автоматически аутентифицирует клиентов РРР; специальные настройки РРР для таких клиентов не требуются. |
Создание входящего подключения. Для создания входящего подключения;
1. | В папке Сеть и удаленный доступ к сети дважды щелкните на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next). |
2. | Выберите положение Принимать входящие подключения (Accept incoming connections) переключателя, нажмите кнопку Далее и следуйте командам мастера, которому надо указать используемые для установления входящих подключений устройства (Рисунок 16.18). |
Примечание
|
|
Если при создании входящего сетевого подключения повторно используется мастер сетевых подключений, то изменяются настройки существующего входящего сетевого подключения. Чтобы создавать входящие сетевые подключения, необходимо иметь полномочия администратора. . Если входящее подключение и Microsoft Fax некорректно работают совместно, например звонки не принимаются через модем, разрешенный для приема факсов, может оказаться, что модем не поддерживает адаптивный ответ. Изучите документацию модема, чтобы проверить возможность адаптивного ответа. Возможно, для корректной работы со входящим подключением-фй-дется запретить работу с факсом. |
Виртуальные частные сети (VPN)
Виртуальные частные сети (VPN)
Протоколы РРТР или L2TP, по умолчанию установленные на компьютере, обеспечивают надежный доступ к ресурсам в сети, соединяясь с сервером удаленного доступа Windows XP через Интернет или другую сеть. Если для создания сетевого подключение к частной (private) сети используется обще доступная (public) сеть, то совокупность таких подключений называется виртуальной частной сетью (Virtual Private Network, VPN). Достоинства таких сетей перечислены в табл. 16.3, а их особенности и способы использования подробно рассматриваются в следующих разделах главы.