- •Содержание
- •Введение
- •Тема 1. Основы работы в информационных сетях
- •1.1 Основные понятия компьютерных сетей
- •1.2 Классы информационных сетей как открытых информационных систем
- •1.3 Модели и структуры информационных сетей
- •1.4 Топология и виды информационных сетей
- •1.5 Теоретические основы современных информационных сетей
- •1.6 Информационные ресурсы сетей
- •Контрольные вопросы:
- •Тема 2. Базовая эталонная модель Международной организации стандартов
- •2.1 Понятие сетевой модели
- •2.2 История разработки базовой эталонной модели международной организации стандартов
- •2.3 Сетевая модель osi
- •2.4 Компоненты информационных сетей
- •Контрольные вопросы:
- •Тема 3. Сети передачи данных
- •3.1 Коммуникационные подсети
- •3.2 Моноканальные подсети
- •3.3. Циклические подсети
- •3.4 Узловые подсети
- •Контрольные вопросы:
- •Тема 4. Маршрутизация информационных потоков. Коммутация информации
- •4.1 Общие вопросы маршрутизации
- •4.2 Методы маршрутизации информационных потоков
- •4.3 Устройства с функциями маршрутизации
- •4.4 Методы коммутации информации
- •Контрольные вопросы:
- •Тема 5. Стандартные стеки коммуникационных протоколов
- •5.1 Протоколы. Протокольные реализации. Основные понятия, принципы взаимодействия
- •5.2 Стеки протоколов
- •5.3 Основы адресации в сетях
- •Контрольные вопросы:
- •Тема 6. Работа в сетях Windows. Сетевые службы
- •6.1 Служба dhcp
- •6.2 Служба dns
- •6.3 Служба wins
- •6.4 Служба ras / rras. Работа с nat
- •Контрольные вопросы:
- •Тема 7. Распределенная обработка информации. Базовые функциональные профили. Оценка эффективности информационных сетей
- •7.1 Модели распределенной обработки информации
- •7.2 Безопасность информации
- •7.3 Базовые функциональные профили
- •7.4. Полные функциональные профили
- •7.5 Методы оценки эффективности информационных сетей
- •7.6 Сетевые программные и технические средства информационных сетей
- •Контрольные вопросы:
- •Тестовые задания
- •Язык разметки гипертекста, используемый при создании web-страниц
- •Второго уровня
- •Хостингом
- •Заключение
- •Список литературы
- •Терминологический словарь
- •Извлечение из рабочей программы дисциплины содержание разделов и тем дисциплины
6.4 Служба ras / rras. Работа с nat
Служба маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS), позволяет удаленным пользователям подключаться к корпоративным вычислительным сетям. При этом подключение может быть выполнено как по коммутируемой линии, так и через виртуальные частные сети (Virtual Private Network, VPN). При коммутируемом соединении клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя некоторую службу - посредника для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа - установление соединения клиентом удаленного доступа при помощи модема, т. е. путем набора телефонного номера одного из портов сервера удаленного доступа.
Соединение с виртуальной частной сетью (или VPN-подключение) представляет собой защищенное соединение типа «точка - точка» через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Поддержка службой удаленного доступа механизма виртуальных частных сетей позволяет устанавливать безопасное соединение с корпоративной сетью через различные открытые сети. Для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию, необходимую для маршрутизации, чтобы пакет мог достигнуть адресата. Получателем пакета является VPN - клиент либо VPN - сервер. Часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.
Для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. Перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. Участок VPN соединения, на котором данные передаются в зашифрованном виде, и называется, виртуальной частной сетью. Сервер удаленного доступа в случае использования механизма виртуальных частных сетей выступает в качестве посредника, осуществляя обмен данными между клиентом VPN и корпоративной сетью. При этом сервер удаленного доступа осуществляет все необходимые преобразования данных (шифрование/дешифрование). Для этого используются специальные протоколы туннелирования. VPN - клиент и VPN - сервер должны использовать один и тот же протокол туннелирования, чтобы создать VPN-соединение. В службе удаленного доступа в Windows Server реализована поддержка протоколов туннелирования РРТР и L2TP.
Сервер удаленного доступа в Windows Server 2003/8 является частью интегрированной Службы маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS). Пользователи устанавливают соединение с сервером удаленного доступа при помощи клиентского программного обеспечения удаленного доступа, которое имеется в составе любой версии Windows. Сервер удаленного доступа аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. Все службы, доступные пользователям, работающим в локальной сети (включая доступ к совместно используемым файлам и принтерам, доступ к вебсерверам и серверам электронной почты), доступны также и пользователям, подключающимся удаленно (через сервер удаленного доступа).
Отдельно надо сказать про механизм NAT (англ. Network Address Translation - «преобразование сетевых адресов»), работающий в сетях TCP/IP и позволяющий преобразовывать IP - адреса транзитных пакетов, который можно настроить в службе маршрутизации и удаленного доступа.
Преобразование адресов посредством NAT может производиться почти любым маршрутизирующим устройством - маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника при прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.
Принимая пакет от локального компьютера, роутер смотрит на IP - адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер “на лету” производит трансляцию IP-адреса и порта и запоминает эту трансляцию у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись об n-ом порту за сроком давности.
Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, NAT Overload, PAT).
Статический NAT - отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.
Динамический NAT отображает незарегистрированный IP-адрес на зарегистрированный адрес от группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированным и зарегистрированным адресом, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.
Перегруженный NAT (NAPT, NAT Overload) - форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP - адрес, используя различные порты. Известен также как PAT (Port Address Translation).