Назначение и особенности использования сетевых служб DNS, DHCP и Proxy — серверов

Основу современных корпоративных сетей составляет стек протоколов TCP/IP. Поэтому в данном курсе этому стеку посвящена отдельная глава. Однако во многих сетях со старых времен остались другие сетевые протоколы. Наиболее часто используемые среди них — NetBEUI, IPX/SPX.

Основная инфраструктурная сетевая служба — это служба разрешения имен DNS, которая также составляет основу инфраструктуры современных сетей. Кроме этой службы, очень важную роль в сетевой инфраструктуре играет также служба DHCP, предназначенная для автоматизации управления конфигурацией протокола TCP/IP сетевых узлов.

Служба WINS, предназначенная для разрешения имен узлов в пространстве имен NetBIOS, сейчас играет все меньшую роль в сетевой корпоративной инфраструктуре, но по-прежнему используется достаточно широко.

Служба маршрутизации и удаленного доступа RRAS предоставляет возможность доступа в корпоративную сеть мобильным пользователям через различные средства коммуникаций — коммутируемые телефонные линии, сети Frame Relay и X.25, создание защищенных виртуальных частных сетей при доступе через публичные сети, а также выполняет функцию маршрутизации сетевых пакетов по протоколам TCP/IP иIPX/SPX в сетях, состоящих из множества подсетей.

10.1 Обзор сетевых протоколов NetBEUI, IPX/SPX; служб DHCP, WINS, RRAS.

Сетевые протоколы IPX/SPX, NetBEUI.

Существует достаточно много стеков протоколов, широко применяемых в сетях. Это и стеки, являющиеся международными и национальными стандартами, и фирменные стеки, получившие распространение благодаря распространенности оборудования той или иной фирмы. Примерами популярных стеков протоколов могут служить: стек IPX/SPX фирмы Novell, стек TCP/IP, используемый в сети Internet и во многих сетях на основе операционной системы UNIX, стек OSI международной организации по стандартизации и некоторые другие.

Протокол NetBEUI.

Протокол NetBEUI (NetBIOS Extended User Interface) ведет свою историю от сетевого программного интерфейса NetBIOS (Network Basic Input/Output System), появившегося в 1984 году как сетевое расширение стандартных функций базовой системы ввода/вывода (BIOS) IBM PC для сетевой программы PC Network фирмы IBM.

Протокол NetBEUI разрабатывался как эффективный протокол, потребляющий немного ресурсов, для использования в сетях, насчитывающих не более 200 рабочих станций. Этот протокол содержит много полезных сетевых функций, которые можно отнести к сетевому, транспортному и сеансовому уровням модели OSI, однако с его помощью невозможна маршрутизация пакетов. Это ограничивает применение протокола NetBEUI локальными сетями, не разделенными на подсети, и делает невозможным его использование в составных сетях. Некоторые ограничения NetBEUI снимаются реализацией этого протокола NBF (NetBEUI Frame), которая включена в операционную систему Microsoft Windows NT.

В настоящее время в операционных системах семейства Windows 2000 данный протокол уже практически не используется, а в системах Windows XP/2003 отсутствует даже возможность добавления данного протокола в Свойствах сетевого подключения системы (хотя, если необходима совместимость с какими-либо приложениями, унаследованными от старых систем и работающих только по протоколу NetBEUI, в дистрибутивах систем Windows XP/2003 имеются установочные файлы для добавления данного протокола).

Стек протоколов IPX/SPX.

Этот стек является оригинальным стеком протоколов фирмы Novell, разработанным для сетевой операционной системы NetWare еще в начале 80-х годов. Протоколы сетевого и сеансового уровня Internetwork Packet Exchange (IPX) и Sequenced Packet Exchange (SPX), которые дали название стеку, являются прямой адаптацией протоколов XNS фирмы Xerox, распространенных в гораздо меньшей степени, чем стек IPX/SPX. Популярность стека IPX/SPX непосредственно связана с операционной системой Novell NetWare.

Многие особенности стека IPX/SPX обусловлены ориентацией ранних версий ОС NetWare (до версии 4.0) на работу в локальных сетях небольших размеров, состоящих из персональных компьютеров со скромными ресурсами. Понятно, что для таких компьютеров Novell нужны были протоколы, на реализацию которых требовалось бы минимальное количество оперативной памяти и которые бы быстро работали на процессорах небольшой вычислительной мощности. В результате протоколы стека IPX/SPX до недавнего времени хорошо работали в локальных сетях и не очень — в больших корпоративных сетях, так как они слишком перегружали медленные глобальные связишироковещательными пакетами, которые интенсивно используются несколькими протоколами этого стека (например, для установления связи между клиентами и серверами). Это обстоятельство, а также тот факт, что стек IPX/SPX является собственностью фирмы Novell, и на его реализацию нужно получать у нее лицензию, долгое время ограничивали распространенность его только сетями NetWare. С момента выпуска версии NetWare 4.0 Novell внесла и продолжает вносить в свои протоколы серьезные изменения, направленные на приспособление их для работы в корпоративных сетях. Сейчас стек IPX/SPX реализован не только в NetWare, но и в нескольких других популярных сетевых ОС, например, Microsoft Windows NT. Начиная с версии 5.0 фирма Novell в качестве основного протокола своей серверной операционной системы стала использовать протокол TCP/IP, и с тех пор практическое применение IPX/SPX стало неуклонно снижаться.

Как уже говорилось выше, стек протоколов IPX/SPX является фирменным запатентованным стеком компании Novell. Реализация данного протокола в операционных системах Microsoft называется NWLink (или IPX/SPX-совместимый протокол). Добавить данный протокол можно через Свойства «Подключения по локальной сети «(кнопка «Установить «, выбрать «Протокол «, кнопка «Добавить «, выбрать «NWLink «, кнопка «ОК «; рисунок 1).

Рисунок 1.

Для того, чтобы из сети под управлением систем семейства Windows получить доступ в сеть под управлением служб каталогов Novell, кроме NWLink, необходимо установить также клиента сетей Novell (Свойства «Подключения по локальной сети «, кнопка «Установить «, выбрать «Клиент «, кнопка «Добавить «, выбрать «Клиент для сетей NetWare «, кнопка «ОК «; рисунок 2).

Рисунок 2.

В серверных системах Windows (до Windows 2000 включительно) имелась также служба под названием «Шлюз для сетей NetWare «, позволявшая клиентам сетей Microsoft без установки клиента сетей NetWare получать доступ к ресурсам серверов под управлением Novell NetWare (через шлюз, установленный на сервере Windows NT/2000). В системе Windows 2003 служба шлюза отсутствует.

Служба DHCP.

Служба DHCP (Dynamic Host Configuration Protocol) — это одна из служб поддержки протокола TCP/IP, разработанная для упрощения администрирования IP-сети за счет использования специально настроенного сервера для централизованного управления IP-адресами и другими параметрами протокола TCP/IP, необходимыми сетевым узлам. Сервер DHCP избавляет сетевого администратора от необходимости ручного выполнения таких операций, как:

• · автоматическое назначение сетевым узлам IP-адресов и прочих параметров протокола TCP/IP (например, маска подсети, адрес основного шлюза подсети, адреса серверов DNS и WINS);
• · недопущение дублирования IP-адресов, назначаемых различным узлам сети;
• · освобождение IP-адресов узлов, удаленных из сети;
• · ведение централизованной БД выданных IP-адресов.

Особенности службы DHCP в системах семейства Windows Server:

• · интеграция с DNS — DHCP-серверы могут осуществлять динамическую регистрацию выдаваемых IP-адресов и FQDN-имен сетевых узлов в базе данных DNS-сервера (это особенно актуально для сетевых клиентов, которые не поддерживают динамическую регистрацию на сервере DNS, например, Windows 95/98/NT4);
• · авторизация сервера DHCP в Active Directory — если сетевой администратор установит службу DHCP на сервере Windows 2000/2003, то сервер не будет функционировать, пока не будет авторизован в AD (это обеспечивает защиту от установки несанкционированных DHCP-серверов);
• · резервное копирование базы данных DHCP — Созданная резервная копия может использоваться впоследствии для восстановления работоспособности DHCP-сервера.

Определим основные термины, относящиеся к службе DHCP.

• · клиент DHCP — сетевой узел с динамическим IP-адресом, полученным от сервера DHCP;
• · период аренды — срок, на который клиенту предоставляется IP-адрес;
• · область — это полный последовательный диапазон допустимых IP-адресов в сети (чаще всего области определяют отдельную физическую подсеть, для которой предоставляются услуги DHCP);
• · исключаемый диапазон — это ограниченная последовательность IP-адресов в области, которая исключается из числа адресов, предлагаемых службой DHCP (исключаемые диапазоны гарантируют, что сервер не предложит ни один адрес из этих диапазонов DHCP-клиентам в сети);
• · доступный пул адресов в области — адреса, оставшиеся после определения области DHCP и исключаемых диапазонов (адреса из пула могут быть динамически назначены сервером DHCP-клиентам в сети);
• · резервирование — назначение DHCP-сервером определенному сетевому узлу постоянного IP-адреса (резервирования гарантируют, что указанный сетевой узел будет всегда использовать один и тот же IP-адрес).

Рассмотрим технологию предоставления IP-адресов DHCP-сервером DHCP-клиентам При загрузке компьютера, настроенного на автоматическое получение IP-адреса, или при смене статической настройки IP-конфигурации на динамическую, а также при обновлении IP-конфигурации сетевого узла происходят следующие действия:

• 1. компьютер посылает широковещательный запрос на аренду IP-адреса (точнее, на обнаружение доступного DHCP-сервера, DHCP Discover);
• 2. DHCP-серверы, получившие данный запрос, посылают данному сетевому узлу свои предложения IP-адреса (DHCP Offer);
• 3. клиент отвечает на предложение, полученное первым, соответствующему серверу запросом на выбор арендуемого IP-адреса (DHCP Request);
• 4. DHCP-сервер регистрирует в своей БД выданную IP-конфигурацию (вместе с именем компьютера и физическим адресом его сетевого адаптера) и посылает клиенту подтверждение на аренду IP-адреса (DHCP Acknowledgement).

Данный процесс изображен на рисунок 3:

Рисунок 3.

Планирование серверов DHCP.

При планировании серверов DHCP необходимо учитывать в первую очередь требования производительности и отказоустойчивости (доступности) данной службы. Поэтому основные рекомендации при развертывании службы DHCP в корпоративной сети будут следующими:

• · желательно в каждой IP-сети установить отдельный DHCP-сервер;
• · если нет возможности установить свой сервер в каждой IP-сети, необходимо на маршрутизаторах, объединяющих IP-сети, запустить и настроить агент ретрансляции DHCP-запросов (DHCP Relay Agent) таким образом, чтобы он пересылал широковещательные запросы DHCP из подсети, в которой нет DHCP-сервера, на соответствующий DHCP-сервер, а на самом DHCP-сервере создать области для всех обслуживаемых IP-сетей;
• · для повышения отказоустойчивости следует установить несколько серверов DHCP, при этом на каждом DHCP-сервере, кроме областей для «своих» IP-сетей, необходимо создать области для других подсетей (при этом диапазоны IP-адресов в таких резервных областях не должны пересекаться с основными областями, созданными на серверах DHCP в «своих» подсетях);
• · в больших IP-сетях DHCP-серверы должны иметь мощные процессоры, достаточно большие объемы оперативной памяти и быстродействующие дисковые подсистемы, т.к. обслуживание большого количества клиентов требует интенсивной работы с базой данных DHCP-сервера.

Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — сервер (комплекс программ) в компьютерных сетях, позволяющий клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента.

Чаще всего прокси-серверы применяются для следующих целей:

ь Обеспечение доступа компьютеров локальной сети к сети Интернет.

ь Кэширование данных: если часто происходят обращения к одним и тем же внешним ресурсам, то можно держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.

ь Сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт информацию конечному пользователю в сжатом виде. Такие прокси-серверы используются в основном с целью экономии внешнего сетевого трафика клиента или внутреннего — компании, в которой установлен прокси-сервер.

ь Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер). См. также NAT.

ь Ограничение доступа из локальной сети к внешней: например, можно запретить доступ к определённым веб-сайтам, ограничить использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.

ь Анонимизация доступа к различным ресурсам. Прокси-сервер может скрывать сведения об источнике запроса или пользователе. В таком случае целевой сервер видит лишь информацию о прокси-сервере, например, IP-адрес, но не имеет возможности определить истинный источник запроса. Существуют также искажающие прокси-серверы, которые передают целевому серверу ложную информацию об истинном пользователе.

ь Обход ограничений доступа. Прокси-серверы популярны среди пользователей стран, где доступ к некоторым ресурсам ограничен законодательно и фильтруется.

Прокси-сервер, к которому может получить доступ любой пользователь сети интернет, называется открытым.

Виды прокси-серверов[править | править вики-текст].

Прозрачный прокси — схема связи, при которой трафик, или его часть, перенаправляется на прокси-сервер неявно (средствами маршрутизатора). При этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернетом). Пример: routep add 10.32.5.5 mask 255.255.255.255 10.32.1.14.

Обратный прокси — прокси-сервер, который в отличие от прямого, ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Часто используется для балансировки сетевой нагрузки между несколькими веб-серверами и повышения их безопасности, играя при этом роль межсетевого экрана на прикладном уровне. internet сервер спутниковый провайдер Классификация прокси-серверов для целей анонимизации представлена в статье Веб-прокси.

Технические подробности[править | править вики-текст].

Клиентский компьютер имеет настройку (конкретной программы или операционной системы), в соответствии с которой все сетевые соединения по некоторому протоколу совершаются не на IP-адрес сервера (ресурса), выделяемый из DNS-имени ресурса, или напрямую заданный, а на ip-адрес (и другой порт) прокси-сервера.

При необходимости обращения к любому ресурсу по этому протоколу, клиентский компьютер открывает сетевое соединение с прокси-сервером (на нужном порту) и совершает обычный запрос, как если бы он обращался непосредственно к ресурсу.

Распознав данные запроса, проверив его корректность и разрешения для клиентского компьютера, прокси-сервер, не разрывая соединения, сам открывает новое сетевое соединение непосредственно с ресурсом и делает тот же самый запрос. Получив данные (или сообщение об ошибке), прокси-сервер передаёт их клиентскому компьютеру.

Таким образом прокси-сервер является полнофункциональным сервером и клиентом для каждого поддерживаемого протокола и имеет полный контроль над всеми деталями реализации этого протокола, имеет возможность применения заданных администратором политик доступа на каждом этапе работы протокола.

Прокси-серверы являются самым популярным способом выхода в Интернет из локальных сетей предприятий и организаций. Этому способствуют следующие обстоятельства:

Основной используемый в интернете протокол — HTTP, в стандарте которого описана поддержка работы через прокси;

Поддержка прокси большинством браузеров и операционных систем;

Контроль доступа и учёт трафика по пользователям;

Фильтрация трафика (интеграция прокси с антивирусами);

Прокси-сервер — может работать с минимальными правами на любой ОС с поддержкой сети (стека TCP/IP);

Многие приложения, использующие собственные специализированные протоколы, могут использовать HTTP как альтернативный транспорт или SOCKS-прокси как универсальный прокси, подходящий для практически любого протокола;

Отсутствие доступа в Интернет по другим (нестандартным) протоколам может повысить безопасность в корпоративной сети.

В настоящее время, несмотря на возрастание роли других сетевых протоколов, переход к тарификации услуг сети Интернет по скорости доступа, а также появлением дешёвых аппаратных маршрутизаторов с функцией NAT, прокси-серверы продолжают широко использоваться на предприятиях, так как NAT не может обеспечить достаточный уровень контроля над использованием Интернета (аутентификацию пользователей, фильтрацию контента).

Наиболее распространённые прокси-серверы[править | править вики-текст].

3proxy (BSD, многоплатформенный).

CoolProxy (проприетарный, Windows).

Eserv (shareware, Windows).

HandyCache (shareware, Windows) бесплатен для домашнего использования.

Kerio Control (проприетарный, Windows, Linux).

Microsoft Forefront Threat Management Gateway, ранее Microsoft ISA Server (proprietary, Windows).

Blue Coat Proxy SG (аппаратный/виртуальный appliance).

nginx (веб-сервер, имеющий режим работы в качестве reverse proxy и часто для этого использующийся).

Squid (GPL, многоплатформенный).

Traffic Inspector (проприетарный, Windows).

UserGate (проприетарный, Windows).

Интернет Контроль Сервер (shareware, FreeBSD).

TOR (BSD, многоплатформенный).

Ideco ICS (проприетарный, Linux).

WinGate (проприетарный, Windows).

Cntlm (с авторизацией) Проксификаторы[править | править вики-текст].

Проксификатор — это программа, перенаправляющая другие программы через прокси-серверы. Проксификаторы часто применяются для интернет-клиентов, которые не поддерживают прокси-серверы.

Сравнение проксификаторов (англ.).

Proxy software and scripts в каталоге ссылок Open Directory Project (dmoz).

Free web-based proxy services в каталоге ссылок Open Directory Project (dmoz).

Free http proxy servers в каталоге ссылок Open Directory Project (dmoz).

Proxy test online.