Сетевые протоколы и службы

Использование службы RADIUS

Служба RADIUS ( Remote Authentication Dial-in User Service ) является промежуточным звеном между сервером удаленного доступа (который в данном случае называют клиентом RADIUS) и службой каталогов корпоративной сети. Сервер RADIUS позволяет решить две основные задачи:

• интеграция в единую систему серверов удаленного доступа от различных производителей;
• централизованное управление доступом в корпоративную сеть (служба RRAS в системе Windows Server настраивается индивидуально для каждого сервера RRAS).

Служба RADIUS работает по следующей схеме:

1. вначале устанавливается телефонное (или иное) соединение между клиентом и сервером удаленного доступа;
2. пользователь пересылает серверу RAS запрос на аутентификацию (свои имя и пароль);
3. сервер удаленного доступа (являющийся клиентом сервера RADIUS) пересылает данный запрос серверу RADIUS;
4. сервер RADIUS проверяет запрос на аутентификацию в службе каталогов (например, в службе Active Directory) и посылает в ответ RAS-серверу разрешение или запрещение данному пользователю на подключение к серверу удаленного доступа;
5. сервер удаленного доступа либо подключает пользователя к корпоративной сети, либо выдает отказ в подключении.

Реализация службы RADIUS в системе Windows Server называется службой IAS ( Internet Authentication Service ).

Раздел " Интерфейсы сети " консоли " Маршрутизация и удаленный доступ "

В данном разделе консоли перечисляются все сетевые интерфейсы, установленные на сервере (сетевые адаптеры, модемы). Напомним, что интерфейс " Внутренний " — это интерфейс, к которому подключаются все клиенты удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную сеть и т.д.).

Раздел " Клиенты удаленного доступа " консоли " Маршрутизация и удаленный доступ "

В данном разделе осуществляется мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа.

Раздел " Порты " консоли " Маршрутизация и удаленный доступ "

В разделе " Порты " перечисляются все доступные точки подключения к службе удаленного доступа:

• параллельный порт (для прямого соединения двух компьютеров через порт LPT);
• модемы, доступные для службы удаленного доступа;
• порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола).

Раздел " IP-маршрутизация " консоли " Маршрутизация и удаленный доступ "

В этом разделе добавляются, удаляются и настраиваются как статические маршруты, так и необходимые динамические протоколы маршрутизации:

• Агент ретрансляции DHCP-запросов ( DHCP Relay Agent ) — использование агента ретрансляции запросов DHCP подробно обсуждалось в пункте, посвященном службе DHCP, настройка данного агента производится именно в данном разделе службы RRAS;
• Протокол IGMP — данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации);
• Служба трансляции сетевых адресов ( NAT, Network Address Translation ) — данная служба позволяет обмениваться информацией между сетями с внутренними IP-адресами и сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера);
• Протокол RIP версии 2 для IP — протокол динамической маршрутизации IP-пакетов;
• Протокол OSPF ( Open Shortest Path First ) — также протокол динамической маршрутизации IP-пакетов, более сложный в настройке по сравнению с RIP, но более эффективный в больших сетях.

Подробное изучение протоколов маршрутизации выходит за рамки данного курса.

Виртуальные частные сети

Виртуальные частные сети ( Virtual Private Networks ) — технология создания защищенных подключений между компьютерами, подключенными к публичным сетям (например, к сети Интернет).

Рассмотрим пример на рис. 10.24. Допустим, некий мобильный пользователь желает подключиться к корпоративной сети. Он может это сделать, подключившись к корпоративному серверу удаленного доступа по коммутируемой телефонной линии. Однако, если пользователь находится в другом городе или даже другой стране, такой звонок может обойтись очень дорого. Может оказаться значительно дешевле подключиться к сети Интернет через местного Интернет-провайдера. Корпоративная сеть, в свою очередь, тоже имеет свое подключение к Интернет. В этом случае нужно решить две задачи:

• как получить доступ в корпоративную сеть (в данном примере IP-адреса корпоративной сети принадлежат к диапазону внутренних адресов и пакеты от мобильного пользователя не смогут попасть в эту сеть);
• как защитить данные, передаваемые через Интернет (все сетевые пакеты, передаваемые через Интернет, содержат информацию в открытом тексте, и грамотный злоумышленник может перехватить пакеты и извлечь из них информацию).

Обе эти задачи решаются созданием VPN-подключений между удаленным пользователем и сервером удаленного доступа. В данном примере пользователю необходимо создать еще одно подключение, но не через модем, а через " Подключение к виртуальной частной сети ". При этом в качестве "телефонного номера" выступит IP-адрес внешнего интерфейса сервера удаленного доступа.

Рис. 10.24.

Процесс создания подключения выглядит следующим образом:

1. Запускаем Мастер новых подключений (кнопка " Пуск " — " Панель управления " — " Сетевые подключения " — " Мастер новых подключений ")
2. Выбираем тип сетевого подключения — " Подключить к сети на рабочем месте " (рис. 10.25):
   

   
   Рис. 10.25.
3. Выбираем способ сетевого подключения — " Подключение к виртуальной частной сети " (рис. 10.26):
   

   
   Рис. 10.26.
4. Задаем имя подключения.
5. Указываем VPN-сервер (имя или IP-адрес; в данном примере — 217.15.1.2 ; рис. 10.27):
   

   
   Рис. 10.27.
6. Определяем доступность ярлычка этого подключения (для данного пользователя или для всех пользователей).
7. Нажимаем кнопку " Готово ".
8. Вводим имя и пароль пользователя, нажимаем кнопку " Подключение " (рис. 10.28):
   

   
   Рис. 10.28.

   Если все настройки сделаны правильно, то будет установлено соединение с корпоративным сервером удаленного доступа. Сетевая конфигурация будет такая, как изображено на рис. 10.29:

   

   
   Рис. 10.29.

   Между ПК мобильного пользователя и сервером удаленного доступа будет установлен защищенный "виртуальный" канал, клиентский ПК получит IP-адрес из пула адресов сервера RRAS (таким образом будет решена задача маршрутизации IP-пакетов между клиентом и корпоративной сетью), все пакеты, передаваемые между клиентом корпоративной сетью, будут шифроваться.

Аналогично можно создать защищенное виртуальное подключение между двумя офисами корпоративной сети, подключенными к различным Интернет-провайдерам (рис. 10.30):

Рис. 10.30.