Marek Pyka
Technologie sieciowe
ITA-108
Wersja 1
Katowice, Sierpień 2008
Marek Pyka
Technologie sieciowe
ITA-108
Wersja 1
Katowice, Sierpień 2008
Marek Pyka
ITA-108 Technologie sieciowe
Moduł 0 wersja 1
Strona 2/7
2008
Marek Pyka. Autor udziela prawa do bezpłatnego kopiowania
i dystrybuowania wśród pracowników uczelni oraz studentów objętych
programem ITAcademy. Wszelkie informacje dotyczące programu można
uzyskać: pledu@microsoft.com.
Wszystkie inne nazwy firm i producentów wymienione w niniejszym
dokumencie mogą być znakami towarowymi zarejestrowanymi przez ich
właścicieli.
Inne produkty i nazwy firm używane w treści mogą być nazwami
zastrzeżonymi przez ich właścicieli.
Marek Pyka
ITA-108 Technologie sieciowe
Moduł 0 wersja 1
Strona 3/7
Spis treści
Wprowadzenie
i
Moduł I – Wprowadzenie do sieci komputerowych
I-1
Moduł II – Omówienie i analiza TCP/IP
II-1
Moduł III – Zarządzanie adresacją IP w sieciach komputerowych
III-1
Moduł IV – Konfigurowanie tras pakietów IP w sieciach komputerowych IV-1
Moduł V – Automatyczne zarządzanie adresacją IP
V-1
Moduł VI – Rozpoznawanie nazw hostów przy użyciu systemu DNS
VI-1
Moduł VII – Bezprzewodowe sieci komputerowe
VII-1
Moduł VIII – Serwer Aplikacji IIS 7.0
VIII-1
Moduł IX – Usługi terminalowe
IX-1
Moduł X – Bezpieczeństwo infrastruktury sieciowej
X-1
-
Marek Pyka
ITA-108 Technologie sieciowe
Moduł 0 wersja 1
Strona 4/7
Wprowadzenie – spis treści
Informacje o kursie ............................... ................................................... ...... 5
Zakres tematyczny kursu ........................... ................................................... .. 6
Marek Pyka
ITA-108 Technologie sieciowe
Moduł 0 wersja 1
Strona 5/7
Informacje o kursie
Opis kursu
Niniejszy kurs stanowi przegląd technologii związanych z dziedziną sieci
komputerowych oraz ich implementacją w systemach operacyjnych firmy
Microsoft. Zawartość merytoryczną kursu stanowi zarówno zestaw
informacji ogólnych na temat funkcjonowania sieci komputerowych jak
i implementacja ogólnie przyjętych standardów na platformie serwerowej.
Autor podręcznika położył główny nacisk na przedstawienie najważniejszych
cech systemu Windows Server 2008 związanych z wdrażaniem wydajnych
i bezpiecznych rozwiązań sieciowych. Zawarte w modułach informacje
stanowią wyłącznie materiał poglądowy, stanowiący uzupełnienie dla cyklu
wykładów z przedmioty Sieci Komputerowe. Zawartość merytoryczna
modułów umożliwi Ci przyswojenie wiedzy o działaniu i budowie sieci
komputerowych, analizie protokołów i aplikacji sieciowych oraz wdrażaniu
rozwiązań Windows Server 2008 w środowisku sieciowym przedsiębiorstw.
Przygotowane zadania i laboratoria oparte są o rzeczywiste problemy
i praktyczne rozwiązania realizowane podczas wdrożeń technologii
Windows Server 2008 w środowiskach przemysłowych.
Cel kursu
Celem kursu jest zapoznanie Cię z problematyką planowania, wdrażania
i zabezpieczania infrastruktury sieciowej opartej o najnowsze technologie
serwerowe Windows Server 2008.
Uzyskane kompetencje
Po zrealizowaniu kursu będziesz:
•
potrafił instalować role Windows Server 2008
•
rozumiał korzyści jakie daje organizacji Windows Server 2008
•
wiedział w jaki sposób dokonywać analizy protokołów i aplikacji
sieciowych
•
potrafił zarządzać podstawowymi usługami sieciowymi tj. DHCP,
DNS, Routing
•
znał problemy związane z budowaniem wydajnych i bezpiecznych
rozwiązań sieciowych
•
potrafił zaplanować wdrożenie technologii Windows Server 2008
zgodnie z potrzebami przedsiębiorstwa.
Wymagania wstępne
Do zrealizowania tego kursu powinieneś posiadać:
•
wiedzę teoretyczną z wykładów Systemy Operacyjne i Sieci
Komputerowe
•
umiejętności praktyczne w administracji Windows Server 2008
•
podstawową wiedzę z obsługi sieci lokalnych i sieci Internet
•
doświadczenie w obsłudze środowiska maszyn wirtualnych Virtual
PC 2007 lub Virtual Server 2005 R2.
Marek Pyka
ITA-108 Technologie sieciowe
Moduł 0 wersja 1
Strona 6/7
Zakres tematyczny kursu
Opis modułów
W Tabeli 1 przedstawiony został opis modułów, zawierający podział na
zajęcia. Każde z zajęć trwa 90 minut. Wykładowca może dostosować
harmonogram do swoich potrzeb oraz zaangażowania studentów.
Tabela 1 Opis modułów podręcznika
Numer moduł
Tytuł
Opis
Moduł 1
Wprowadzenie do sieci
komputerowych
W module 1 zostaną zaprezentowane informacje na
temat topologii i technologii sieciowych. Student
zostanie
również
zaznajomiony
z
modelem
referencyjnym ISO OSI.
Moduł 2
Omówienie i analiza
TCP/IP
W tym module przedstawione zostaną informacje
związane
i
implementacją
protokołu
TCP/IP
w systemach sieciowych. Omówione zostaną aspekty
związane z wdrażaniem i analizą stosu TCP/IP.
Przedstawione zostaną również programy służące do
analizy zawartości pakietów sieciowych przesyłanych
pomiędzy hostami sieciowymi.
Moduł 3
Zarządzanie adresacją
IP w sieciach
komputerowych
Moduł 3 traktuje o zasadach budowy adresów IPv4
i IPv6. Studenci zostaną zapoznani z zasadami podziału
sieci na podsieci oraz z zarządzaniem maskami
sieciowymi zgodnie z metodą CIDR.
Moduł 4
Konfigurowanie tras
pakietów IP w sieciach
komputerowych
W module tym studenci zostaną zapoznani z zasadami
wyznaczania tras dla pakietów IP w środowisku sieci LAN
i WAN. Przybliżone zostaną informacje na temat
działania protokołów routingu i protokołów routujących.
Moduł 5
Automatyczne
zarządzanie adresacją
IP
Zawartość
modułu
5
stanowi
zbiór
informacji
niezbędnych do wydajnego zarządzania przestrzenią
adresów
IP
przedsiębiorstwa.
Studenci
zostaną
zapoznani z zasadami instalacji i konfiguracji roli serwera
DHCP na platformie Windows Server 2008.
Moduł 6
Rozpoznawanie nazw
hostów przy użyciu
systemu DNS
W module 6 zostaną przedstawione informacje na
temat zarządzania przestrzenią nazw domenowych
w przedsiębiorstwie. Omówione zostaną podstawowe
problemy
związane
z
wdrażaniem
roli
DNS
w przedsiębiorstwie.
Moduł 7
Bezprzewodowe sieci
komputerowe
Moduł 7 traktuje o zasadach wdrażania sieci
bezprzewodowych
w
środowisku
domowym
jak
i firmowym. Ćwiczenia praktyczne umożliwiają dogłębne
zapoznanie
się
z
bezpieczeństwem
sieci
komputerowych.
Moduł 8
Serwer Aplikacji IIS 7.0
Przedstawione w module 8 informacje mają przybliżyć
studentom rolę jaką może pełnić serwer aplikacyjny
w przedsiębiorstwie. W ramach modułu opisane są
informacje o wdrażaniu aplikacji serwera WWW i FTP.
Moduł 9
Usługi terminalowe
Zbiór usług opisywanych w module 9 umożliwia
administratorom
wdrożenie
usług
terminalowych
w
środowisku
wykorzystującym
użytkowników
mobilnych i oddziały zdalne.
Moduł 10
Bezpieczeństwo
infrastruktury
sieciowej
W module 10 przedstawiona zostanie strategia
wielowarstwowej ochrony zasobów przedsiębiorstwa
oraz
omówione
będą
najważniejsze
technologie
zabezpieczeń infrastruktury systemu Windows Server
2008
Marek Pyka
ITA-108 Technologie sieciowe
Moduł 0 wersja 1
Strona 7/7
Mapa zależności między modułami
Tabeli 2 przedstawiono mapę zależności między modułami, zawierająca
podział na zajęcia.
Tabela 2 Mapa zależności modułów
Numer moduł
Obowiązkowy dla
modułów
Zalecany dla
modułów
Status modułu w
kursie
Moduł 1
Moduły: 2, 3
Moduły: 7, 10
Obowiązkowy
Moduł 2
Moduły: 3, 4, 6
Moduły: 7, 10
Obowiązkowy
Moduł 3
Moduły: 4, 5
Moduły: 6
Obowiązkowy
Moduł 4
Moduły: 5
Brak
Obowiązkowy
Moduł 5
Moduły: 7
Moduły: 8, 9
Obowiązkowy
Moduł 6
Moduły: 8
Moduły: 9, 10
Obowiązkowy
Moduł 7
Moduły: 10
Brak
Obowiązkowy
Moduł 8
Brak
Moduły: 9
Nieobowiązkowy
Moduł 9
Brak
Brak
Nieobowiązkowy
Moduł 10
Brak
Brak
Obowiązkowy
Przedstawione powyżej zależności pomiędzy modułami ukazują logiczną
kontynuację informacji w nich zawartych. Obowiązkowość modułu
w drzewie zależności oznacza iż informacje w nim zawarte są niezbędne do
przyswojenia wiedzy z modułów zależnych. W sytuacji gdy informacje
zawarte w module są wykorzystywane w innych modułach lecz nie stanowią
wiedzy podstawowej dla jego realizacji, moduł taki jest wtedy zalecany do
zapoznania się z nim. W przypadku modułów, które nie posiadają żadnych
określonych zależności, możemy je wtedy traktować jako moduły nie
obowiązkowe, choć zalecane dla odpowiedniego przyswojenia wiedzy.
Przedstawiona lista modułów sugeruje też status modułu i jego
obowiązkowość w realizacji materiału podręcznika. Aby uzyskać
dostateczną wiedzę na temat technologii sieciowych i ich wykorzystania
w środowisku sieciowym przedsiębiorstw, powinieneś zapoznać się
z wszystkimi modułami o statusie „Obowiązkowy”. Wiedza w nich zawarta
umożliwi
Ci
planowanie
i
budowanie
infrastruktury
sieciowej
wykorzystującej platformę serwerową Windows Server 2008.
ITA-108 Technologie sieciowe
Marek Pyka
Moduł I
Wersja 1
Wprowadzenie do sieci
komputerowych
Spis treści
Wprowadzenie do sieci komputerowych .................................................................. ........................... 1
Informacje o module ............................... ................................................... .......................................... 2
Przygotowanie teoretyczne ......................... ................................................... ..................................... 3
Przykładowy problem ............................... ................................................... ................................ 3
Podstawy teoretyczne............................... ................................................... ................................ 3
Przykładowe rozwiązanie ........................... ................................................... ............................. 18
Porady praktyczne ................................. ................................................... ................................. 20
Uwagi dla studenta ................................ ................................................... ................................. 20
Dodatkowe źródła informacji........................ ................................................... .......................... 20
Laboratorium podstawowe ........................... ................................................... .................................. 21
Problem 1 (czas realizacji 20 min) ................................................................... ........................... 21
Problem 2 (czas realizacji 25 min) ................................................................... ........................... 21
Laboratorium rozszerzone .......................... ................................................... .................................... 22
Zadanie 1 (czas realizacji 45 min) ................ ................................................... ............................ 22
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 2/22
Informacje o module
Opis modułu
W ramach modułu zostaną przedstawione zagadnienia elementarne
dotyczące sieci komputerowych. Omówione zostaną aspekty związane z ich
budową i funkcjonowaniem oraz wykorzystaniem fizycznych urządzeń
sieciowych. Zapoznasz się również z modelem ISO/OSI oraz jego wpływem
na rozwój technologii sieciowych.
Cel modułu
Celem modułu jest przedstawienie podstaw funkcjonowania sieci
komputerowych zarówno od strony logicznej, jak i fizycznej.
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• wiedział, jakie typy sieci są obecnie wykorzystywane
• znał zastosowanie podstawowych urządzeń sieciowych
• wiedział, jakie topologie mogą być wykorzystywane
• znał pojęcia związane z protokołami sieciowymi
• rozumiał model ISO/OSI oraz wiedział, jaki wpływ ma na rozwój
sieci komputerowych
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• posiadać podstawową wiedzę z zakresu sieci komputerowych
• dysponować wiedzą z zakresu obsługi systemów operacyjnych
Windows, a w szczególności Windows Server 2008
Mapa zależności modułu
Przed przystąpieniem do realizacji tego modułu nie jest wymagane
zapoznanie się z materiałem zawartym w innych modułach.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 3/22
Przygotowanie teoretyczne
Przykładowy problem
Ostatnie lata wykazały, iż siłą każdego przedsiębiorstwa jest wydajna i bezpieczna infrastruktura IT.
Głównym elementem tej infrastruktury są sieci komputerowe oraz usługi w nich realizowane.
Świadomy tych faktów pojąłeś decyzję o specjalizowaniu się w tej dziedzinie już na studiach. Teraz
pracując, jako inżynier systemowy musisz podejmować przedsięwzięcia umożliwiające sprawne
zarządzanie i konfigurację sieci. Pierwszym zadaniem, które masz zrealizować w nowej pracy jest
zaprojektowanie i wykonanie infrastruktury sieciowej dla przedsiębiorstwa. Rozpoczynając prace
nad jej budową musisz rozważyć wiele aspektów, takich jak topologia sieci, technologie w niej
wykorzystywane oraz aspekty bezpieczeństwa. Swoją pracę podzieliłeś na etapy, z których pierwszy
dotyczy wykonania projektu infrastruktury i wyboru urządzeń aktywnych oraz odpowiedniej ich
konfiguracji. Wykonanie projektu oraz zaplanowanie konfiguracji urządzeń umożliwi uniknąć wielu
problemów związanych z bezpieczeństwem oraz wydajnością, które powodować mogą burze
rozgłoszeń czy kolizje pakietów w sieci.
Podstawy teoretyczne
Zakres sieci
Zakres sieci zależy w głównej mierze od jej położenia geograficznego. Sieć może zawierać od kilku
komputerów w pojedynczym biurze firmy do milionów komputerów połączonych ze sobą na
dużych odległościach. Stąd też mówiąc o zakresie sieci bierzemy w głównej mierze pod uwagę jej
wielkość, odległości, jakie dzielą komputery między sobą oraz jakie urządzenia są wykorzystywane
do jej budowy. Rozróżniamy następujące zakresy sieci:
• WAN (ang. Wide Area Network)
• MAN (ang. Metropolitan Area Network)
• Sieci kampusowe
• LAN (ang. Local Area Network)
• PAN (ang. Private Area Network)
W pierwszej fazie rozwoju sieci komputerowych rozróżniano wyłącznie dwa typy: sieci rozległe
(WAN), łączące uczelnie, ośrodki obliczeniowe i inne placówki naukowobadawcze oraz sieci lokalne
(LAN), stosowane do łączenia komputerów w poszczególnych ośrodkach. Wraz z popularyzacją sieci
uczelnianych i ich rozwojem pojawił się termin „sieci kampusowe”, oznaczający sieć komputerową
jednej lub kilku uczelni powstałą w wyniku połączenia wewnętrznych sieci lokalnych. Sieci miejskie
(MAN) charakterystyczne dla dużych aglomeracji skupiają sieć uczelni, urzędów oraz firm
komercyjnych, a także istnieje specyficzna dla tego środowiska infrastruktura techniczna
(przykładem takiej sieci może być ŚASK – Śląska Akademicka Sieć Komputerowa). Popularyzacja
sieci bezprzewodowych, połączeń Bluetooth, lub domowych sieci Ethernet zaowocowała
pojawieniem się kolejnego terminu definiującego prywatne sieci komputerowe (PAN).
Podstawowe składniki sieci
Do podstawowych składników sieci zalicza się:
• karty sieciowe
• okablowanie strukturalne
• urządzenia aktywne
Karty sieciowe
Karty sieciowe stanowią fizyczny interfejs między komputerem, a kablem sieciowym lub medium
bezprzewodowym. Interfejsy sieciowego instalowane są w gniazdach rozszerzeń na każdym
komputerze oraz serwerze w sieci. Po zainstalowaniu karty sieciowej medium sieciowe jest
podłączane do gniazda na karcie w celu zapewnienia dostępu komputera do sieci. Dane
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 4/22
transmitowane przez kabel lub inne medium do karty sieciowej formatowane są w postaci
pakietów. Pakiet jest to logiczna grupa informacji, obejmująca nagłówek zawierający informacje
o lokalizacji oraz dane użytkownika. Nagłówek posiada pola adresowe, zawierające informacje
na temat adresu przeznaczenia danych i ich źródła. Karta sieciowa odczytuje adres przeznaczenia
w celu sprawdzenia, czy pakiet jest adresowany do tego komputera. Jeśli tak, karta sieciowa
przekazuje pakiet do systemu operacyjnego w celu dalszego przetworzenia. Jeśli nie, karta sieciowa
odrzuca pakiet.
Każda karta sieciowa jest identyfikowana na podstawie unikalnego adresu zapisanego w układzie
elektronicznym na karcie. Jest on nazywany adresem fizycznym lub adresem MAC (ang. Media
Access Control).
Karta sieciowa pełni następujące funkcje:
• odbiera dane z systemu operacyjnego i konwertuje je do postaci sygnału elektrycznego
transmitowanego przez medium sieciowe
• odbiera sygnały elektryczne z medium sieciowego i konwertuje je do postaci danych
zrozumiałych przez system operacyjny
• określa, czy dane odebrane są adresowane do tego komputera.
• steruje przepływem danych między komputerem a urządzeniami podłączonymi do
medium
• identyfikuje komputer na podstawie adresu MAC
Warstwa fizyczna sieci
Ustanowienie reguł przesyłania i kodowania sygnałów ma swoiste znaczenie w wykorzystaniu
istniejącego pasma przesyłu danych.
Powszechnie stosowane są dwie metody podstawowe przesyłania sygnałów, wąskopasmowa
(ang. baseband) i szerokopasmowa (ang. broadband). W ich zastosowaniu jest widoczny podział –
transmisje w sieci LAN są zwykle prowadzone przy pomocy metody wąskopasmowej, a transport
w sieci WAN przeważnie za pomocą metody szerokopasmowej z uwagi na większe obciążenie
medium.
Okablowanie sieciowe
Istnieje wiele typów okablowania sieciowego wykorzystywanych do łączenia urządzeń sieciowych.
Przykładem takich kabli mogą być kable koncentryczne, STP (ang. Shielded Twisted Pair), UDP
(ang. Unshielded Twisted Pair) czy kable światłowodowe (ang. fiber optic). Wszystkie kable
podlegają klasyfikacji i ze względu na nią należą do różnych kategorii. Nad standaryzacją
stosowanych kabli i ich połączeń czuwają międzynarodowe urzędy standaryzacji takie jak TIA oraz
EIA.
Kabel STP/UTP/FTP – „skrętka”
Skrętka (ang. twisted pair cable) to obecnie najbardziej popularne medium transmisyjne w sieciach
lokalnych. W zależności od przepustowości możemy podzielić ją na: 10BASE-T, 100BASE-T,
1000BASE-T. Używana jest także w telefonii. Wyróżnia się dużą niezawodnością i niewielkimi
kosztami realizacji sieci, zbudowana z izolowanych przewodów, z których dwa przewody są
splecione i tworzą medium, którym mogą być przesłane dane. Skrętki możemy podzielić na:
ekranowane (STP, FTP) i nieekranowane (UTP). Różnią się one tym, iż ekranowane posiadają folię
ekranującą (FTP) bądź ekran w postaci oplotu (STP), a pokrycie ochronne jest lepszej jakości,
więc w efekcie zapewnia mniejsze straty transmisji i większą odporność na zakłócenia.
STP – to medium wykonane z dwóch skręconych przewodów wraz z ekranem w postaci oplotu.
Para ekranowana jest bardziej odporna na zakłócenia impulsowe oraz szkodliwe przesłuchy niż
skrętka UTP. Rysunek kabla STP znajduje się na Rys. 1.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 5/22
Rys. 1 Schemat kabla STP
FTP – skrętka foliowana – to skrętka miedziana ekranowana za pomocą folii wraz z przewodem
uziemiającym. Przeznaczona jest głównie do budowy sieci komputerowych (Ethernet, Token Ring)
o długości nawet kilku kilometrów. Stosowana ostatnio również na krótszych dystansach w sieciach
standardu Gigabit Ethernet (1 Gb/s) z wykorzystaniem wszystkich czterech par okablowania
miedzianego kat. 5. Rysunek 2 przedstawia schemat kabla FTP.
Rys. 2 Schemat kabla FTP
UTP – skrętka nieekranowana – jest powszechnie stosowana w sieciach telefonicznych (jedna, dwie
lub cztery pary) i komputerowych (cztery skrętki w kablu). Przy przesyłaniu sygnałów cyfrowych za
pomocą skrętek UTP (cztery pary) uzyskuje się standardowa przepływności do 100 Mb/s (kat. 5),
oraz 1 Gb/s w technologii Gigabit Ethernet. Poniżej znajduje się schemat kabla UTP.
Rys. 3 Schemat kabla UTP
Poza wyżej wymienionymi rodzajami skrętek można spotkać także połączenia tych rozwiązań:
• F-FTP – każda para przewodów otoczona jest osobnym ekranem z folii, cały kabel jest
również pokryty folią
• S-FTP – każda para przewodów otoczona jest osobnym ekranem z folii, cały kabel
pokryty jest oplotem
• S-STP – każda para przewodów otoczona jest osobnym ekranem (oplotem), cały kabel
pokryty jest oplotem
Zalety:
• jest najtańszym medium transmisji (jeśli chodzi o cenę metra, bez uwzględniania
dodatkowych urządzeń)
• wysoka prędkość transmisji (do 1000Gb/s)
• łatwe diagnozowanie uszkodzeń
• prosta instalacja
• odporność na poważne awarie (przerwanie kabla unieruchamia najczęściej tylko jeden
komputer lub segment sieci)
• jest akceptowana przez wiele rodzajów sieci
Wady:
• niższa długość odcinka kabla niż w innych mediach stosowanych w Ethernecie (do 100
metrów)
• mała odporność na zakłócenia (skrętki nieekranowanej)
• niska odporność na uszkodzenia mechaniczne – konieczne jest instalowanie specjalnych
listew naściennych itp.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 6/22
Standardy zakańczania kabla
Dla połączenia komputera z koncentratorem lub przełącznikiem stosuje się tzw. kabel prosty
(ang. straight-thru cable), który z obu stron podłączony jest tak samo wg standardu 568A lub 568B.
Schemat tych standardów przedstawiony jest na rysunku 4.
Rys. 4 Schemat kabla prostego w kategorii A i B
Dla połączenia bezpośrednio dwóch komputerów bez pośrednictwa przełącznika konieczna jest
zamiana par przewodów w taki sposób, aby sygnał nadawany z jednej strony mógł być odbierany
z drugiej. Ten kabel nosi nazwę kabla krzyżowego (ang. cross-over cable) i charakteryzuje się tym,
że jeden koniec podłączony jest wg standardu 568A, zaś drugi – 568B. Schemat budowy kabli
krzyżowych w standardach A i B został przedstawiony na poniższym rysunku.
Rys. 5 Schemat kabla krzyżowego w kategorii A i B
Światłowód
Światłowód ma inną zasadę działania w stosunku do przewodów miedzianych, bowiem sygnały
elektryczne zamieniane są na impulsy świetlne przy pomocy laserowego źródła światła. Kabel
światłowodowy zakończony jest układem nadajnika i odbiornika, które służą do zamiany tychże
sygnałów. Kabel światłowodowy składa się z jednego lub więcej włókien światłowodowych.
Światłowody ze względu na ich budowę, właściwości i zastosowanie możemy podzielić na dwa
główne typy:
• Światłowody jednomodowe – rdzeń zbudowany jest z wielu warstw mających inne
współczynniki załamania światła, nie istnieje zjawisko całkowitego odbicia
wewnętrznego na granicy rdzenia i płaszcza. W takim światłowodzie propagowany jest
tylko jeden mod.
• W wyniku takiej budowy zjawisko dyspersji uległo znacznemu zmniejszeniu, a długość
pojedynczego odcinka sieci zwiększyła się do 60 km.
• Światłowody wielomodowe – promień świetlny wprowadzany jest do włókna pod
wieloma różnymi kątami zwanymi modami. Medium tego typu ma niestety wady –
powstaje dyspersja podczas drogi promienia, która powoduje ograniczenie maksymalnej
długości odcinka przewodu do 5 km.
Zalety:
• większa przepustowość w porównaniu z kablem miedzianym
• zdolność przesyłania informacji na znaczne odległości
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 7/22
• niewrażliwość na zakłócenia i przesłuchy elektromagnetyczne
• wyeliminowanie przesłuchów międzykablowych
Wady:
• cena
• mniejsza odporność na uszkodzenia mechaniczne w porównaniu z przewodem
miedzianym
Kabel koncentryczny
Kabel koncentryczny, składa się z dwóch koncentrycznych (czyli współosiowych) przewodów.
Najczęściej spotykany rodzaj kabla koncentrycznego składa się z pojedynczego przewodu
miedzianego, znajdującego się w materiale izolacyjnym. Mimo że kable koncentryczne wyglądają
podobnie, mogą charakteryzować się różnymi stopniami impedancji. Rozróżniamy dwa rodzaje
kabli koncentrycznych: cienki kabel koncentryczny (zwany też potocznie „cienkim Ethernetem”)
o oznaczeniu 10Base2 oraz gruby kabel koncentryczny (zwany potocznie „grubym Ethernetem”)
oznaczany jako 10Base5. Kable te są dobrym rozwiązaniem dla organizacji, które muszą
transmitować dane na duże odległości przy zachowaniu prostej infrastruktury sieciowej. Cienki
kabel koncentryczny może przesyłać sygnały na odległość około 185 m z prędkością 10 Mb/s,
natomiast gruby kabel koncentryczny przesyła sygnały na odległość bliską 500 m z prędkością
10 Mb/s.
Zalety:
• Potrafi obsługiwać komunikację w pasmach o dużej szerokości bez potrzeby
instalowania wzmacniaków. Kabel koncentryczny był pierwotnym nośnikiem sieci
Ethernet.
Wady:
• Kabel koncentryczny jest dość wrażliwą strukturą. Nie znosi ostrych zakrętów ani nawet
łagodnie przykładanej siły gniotącej. Jego struktura łatwo ulega uszkodzeniu, co
powoduje bezpośrednie pogorszenie transmisji sygnału.
Dodatkowymi czynnikami zniechęcającymi do stosowania kabli koncentrycznych są ich koszt
i rozmiar. Okablowanie koncentryczne jest droższe aniżeli skrętka dwużyłowa ze względu na
jego bardziej złożoną budowę.
Łączność bezprzewodowa
Urządzenia do komunikacji bezprzewodowej są używane do podłączenia do sieci, gdy użycie
standardowych kart sieciowych i okablowania jest technicznie lub ekonomicznie niewykonalne.
Sieci komunikujące się drogą bezprzewodową są połączone z sieciami LAN za pomocą urządzeń do
komunikacji bezprzewodowej, takich jak Access Point lub router bezprzewodowy.
Istnieją dwie podstawowe techniki komunikacji bezprzewodowej w sieciach LAN: transmisja na
podczerwień oraz transmisja radiowa.
Transmisja na podczerwień
W sieciach wykorzystujących transmisję na podczerwień dane między urządzeniami przesyłane są
za pomocą wiązki podczerwieni. Między urządzeniami nadawczymi a urządzeniami odbiorczymi
musi być wolna przestrzeń, gdyż każda przeszkoda na drodze sygnału zakłóca komunikację.
W takich systemach musi być generowany bardzo silny sygnał, ponieważ słaby sygnał jest podatny
na zakłócenia ze strony innych źródeł światła jak np. okna.
Transmisja radiowa
Do funkcjonowania sieci radiowych konieczne jest posiadanie nadajnika i odbiornika pracujących
na określonych częstotliwościach. Ten tym łączności nie wymaga wolnej przestrzeni, ponieważ
używane są fale radiowe. Jednakże transmisja radiowa jest zakłócana przez stal, zbrojone ściany
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 8/22
i silne źródła pola elektromagnetycznego. Przykładem tego typu transmisji mogą być
bezprzewodowe sieci komputerowe (WiFi) oraz Bluetooth.
Urządzenia sieciowe
Urządzenia sieciowe umożliwiają firmą na rozbudowę ich infrastruktury z zapewnieniem
odpowiedniej wydajności i bezawaryjnej pracy. Do najczęściej używanych urządzeń zaliczamy:
• wzmacniaki (ang. repeater) i koncentratory (ang. hub) – retransmitują sygnał
elektryczny odbierany w dowolnym z portów do wszystkich pozostałych portów,
zapewniając odpowiedni poziom sygnału
• mosty (ang. bridge) – umożliwiają przesyłanie danych pomiędzy segmentami sieci LAN
• przełączniki (ang. switch) – wieloportowe mosty, których zadaniem jest szybkie
przesyłanie sygnałów pomiędzy portami
• routery (ang. router) – umożliwiają wyznaczanie drogi pakietów pomiędzy sieciami LAN
oraz WAN, w zależności od adresów przeznaczenia
• bramy (ang. gateway) – umożliwiają przesyłanie danych w sieciach LAN lub WAN oraz
umożliwiają komunikację pomiędzy sieciami wykorzystującymi różne protokoły
Rozbudowa sieci możliwa jest również poprzez udostępnianie użytkownikom dostęp do zdalnych
lokalizacji. W celu realizacji połączeń dostępu zdalnego wymagane są trzy składowe: klient dostępu
zdalnego, serwer dostępu zdalnego oraz fizyczne połączenie. Najczęściej dostęp zdalny
użytkowników realizowany jest za pomocą:
• publicznych sieci telefonicznych PSTN (ang. Public Switched Telephone Network)
• cyfrowej sieci telefonicznej ISDN (ang. Integrated Services Digital Network)
• sieci pakietowej X.25
• linii ADSL (ang. Asymmetric Digital Subscriber Line)
• transmisji pakietowych sieci komórkowych GPRS (ang. General Packet Radio Service)
Wzmacniaki i koncentratory
Wzmacniaki i koncentratory są używane do rozbudowy sieci przez dodanie dwóch lub więcej
segmentów okablowania.
Wzmacniaki odbierają sygnały i retransmitują je z oryginalną mocą i charakterystyką. Dzięki
zastosowaniu wzmacniaków długość wykorzystywanego kabla może być zwiększona. Urządzenia te
nie zajmują się żadną dodatkową funkcją. Za pomocą wzmacniaków można:
• połączyć dwa segmenty podobnego lub różnego okablowania
• regenerować sygnał w celu zwiększenia odległości transmisji
• przesyłać dwukierunkowo ruch w sieci
• połączyć dwa segmenty tanim kosztem
Koncentratory są to urządzenia umożliwiające łączenie komputerów w topologie gwiazdy. Cechują
się dużą ilością portów (niektóre urządzenia osiągają nawet 48 portów). Podczas przesyłu
informacji każdy pojedynczy pakiet wysyłany jest do wszystkich aktywnych portów. Ta cecha
wykorzystywana jest do prowadzenia podsłuchu sieciowego całej transmisji pomiędzy
komputerami. Administratorzy często wykorzystują te urządzenia świadomie w odpowiednim
segmencie sieci aby włączyć analizatory sieciowe lub proste systemy wykrywania naruszeń
bezpieczeństwa. Rozróżniamy dwa typy koncentratorów:
• pasywne – przesyłają sygnał bezpośrednio do portów bez przetwarzania sygnału
• aktywne – odbierają sygnał, przetwarzają go i retransmitują do wszystkich portów
w oryginalnej postaci
Koncentratory umożliwiają:
• łatwą rozbudowę sieci komputerowej
• łączenie różnych typów okablowanie poprzez różne porty (najczęściej spotykane są
porty umożliwiające połączenie kabli typu skrętka oraz koncentrycznych)
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 9/22
• centralne monitorowanie aktywności i ruchu sieciowego
Most
Most jest urządzeniem przesyłającym pakiety danych między segmentami sieci używającymi tego
samego protokołu komunikacyjnego. Most przesyła na raz jeden sygnał. Jeśli pakiet jest
adresowany do komputera w tym samym segmencie co komputer wysyłający, most zatrzymuje
pakiet wewnątrz tego segmentu, w przeciwnym wypadku przesyła go do odpowiedniego segmentu.
Decyzja o przesłaniu pakietu podejmowana jest na podstawie adresu MAC. Jeżeli pakiet został
przesłany, informacje o adresie MAC zapisywane są w tablicy adresów określającej każdy komputer
oraz jego lokalizację w segmentach sieci. Kiedy most odbiera jakiś pakiet porównuje adres źródłowy
z adresami w tabeli, jeżeli na liście nie znajduje się taki adres, to jest on do niej dodawany, a pakiet
rozsyłany jest do wszystkich segmentów. Za pomocą mostu można:
• zwiększyć liczbę segmentów
• uwzględnić zwiększenie ilości komputerów w sieci
• zmniejszyć wpływ nadmiaru liczby komputerów w sieci
• podzielić przeciążoną sieć na odseparowane segmenty
• podłączyć różne typy okablowania
Przełącznik
Przełączniki działają podobnie jak mosty, lecz oferują bardziej bezpośrednie polaczenie między
komputerem źródłowym i docelowym. Kiedy przełącznik odbierze pakiet danych, tworzy oddzielne
wewnętrzne połączenie między dwoma portami i bazując na informacji zawartej w nagłówku
każdego pakietu przesyła pakiet dalej jedynie do portu komputera przeznaczenia. Dzięki temu
połączenie jest odizolowane od innych portów, a komputery źródłowy i przeznaczenia mogą
pracować z pełna przepustowością sieci. Za pomocą przełącznika można:
• przesyłać pakiety bezpośrednio z komputera źródłowego do komputera przeznaczenia
• umożliwić większe prędkości transmisji danych
• niwelować występowanie kolizji w sieci
Router
Router pełni podobne funkcje jak most lub przełącznik, lecz posiada dodatkowe możliwości.
Przesyłając dane między różnymi segmentami sieci, routery sprawdzają nagłówek pakietu, aby
określić najlepszą drogę przesłania pakietu. Router zna ścieżki do wszystkich segmentów sieci,
dzięki informacjom przechowywanym w tabeli routingu. Routery umożliwiają współdzielenie przez
wszystkich użytkowników pojedynczego łącza do sieci Internet lub sieci WAN. Za pomocą routera
można:
• Wysyłać pakiety bezpośrednio do komputera przeznaczenia w innej sieci lub segmencie.
Routery używają bardziej kompletnego adresu pakietu niż mosty w celu określenia,
który router lub klient ma jako następny odebrać pakiet. Routery zapewniają, że pakiety
wędrują do miejsca przeznaczenia najbardziej efektywną trasą. Jeśli połączenie między
dwoma routerami ulegnie awarii, router wysyłający może określić alternatywny router
w celu zapewnienia dalszego przesyłania pakietów.
• Zmniejszyć obciążenie sieci. Routery czytają tylko zaadresowane pakiety sieciowe
i przesyłają informacje tylko wtedy, gdy adres sieci jest znany, dlatego routery nie
przesyłają uszkodzonych danych. Taka możliwość kontroli przesyłanych danych przez
router zmniejsza ruch między sieciami i pozwala routerom na bardziej efektywne
wykorzystanie połączeń,
niż jest to możliwe przy zastosowaniu mostów.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 10/22
Brama
Bramy umożliwiają komunikację między różnymi architekturami sieciowymi. Brama pobiera dane
z jednej sieci i przepakowuje je w ten sposób, że każda sieć może zrozumieć dane pochodzące
z innej sieci. Brama pełni rolę tłumacza dla wykorzystywanych technologii sieciowych. Za pomocą
bramy można połączyć dwa systemy, które różnią się:
• architekturą
• zestawem zasad określających komunikację
• strukturą danych
Mechanizmy dostępu zdalnego
System Windows umożliwia zdalne łączenie się użytkowników do sieci za pomocą różnych typów
urządzeń, takich jak modemy. Klient zdalnego dostępu łączy się z serwerem zdalnego dostępu,
który pełni rolę routera lub bramy do zdalnej sieci. Dwa rodzaje zdalnego dostępu obsługiwane
w systemach Windows to: zdalny dostęp za pomocą połączeń dial-up oraz wirtualna sieć prywatna
VPN (ang. Virtual Private Network).
Zdalny dostęp za pomocą Dial-up
System Windows Server 2008 umożliwia zdalny dostęp dial-up dla użytkowników dzwoniących do
firmowych sieci intranet. Urządzenie dial-up zainstalowane na serwerze zdalnego dostępu
z systemem Windows Server odpowiada na wywołanie przychodzące od zdalnego klienta.
Oprogramowanie serwera dial-up odpowiada na wywołanie, uwierzytelnia klienta i przesyła dane
między zdalnym klientem a firmową siecią intranet.
Wirtualna sieć prywatna (Virtual Private Network)
Wirtualna sieć prywatna w celu zapewnienia bezpieczeństwa przesyłania danych oraz weryfikacji
użytkownika wykorzystuje technologie kryptograficzne. Połączenie VPN udostępnia te
zabezpieczenia w procesie tak zwanego tunelowania. Tunelowanie jest metodą wykorzystania
infrastruktury internetowej do bezpiecznego transferu danych z jednej sieci do drugiej. Połączenie
VPN umożliwia zdalnym użytkownikom i pracownikom zestawiać bezpieczne połączenia
z serwerem firmowym, który jest połączony zarówno z siecią LAN, jak również z siecią publiczną.
Z perspektywy użytkownika połączenie VPN jest połączeniem punkt-punkt między komputerem
użytkownika i serwerem firmowym. Sieć pośrednicząca jest dla użytkownika przezroczysta,
ponieważ połączenie wygląda jakby było zestawione bezpośrednio z siecią LAN przedsiębiorstwa.
Topologie sieciowe
Topologia sieciowa określa układ komputerów, okablowania i innych urządzeń w sieci. Jest to
fizyczna mapa sieci. Wybór topologii sieciowej ma wpływ na rodzaj i możliwości urządzeń
sieciowych, zarządzanie nimi oraz możliwości przyszłej rozbudowy. Istnieją dwa rodzaje topologii,
fizyczna oraz logiczna:
• topologia fizyczna opisuje, w jaki sposób fizyczne urządzenia są połączone w sieci
• topologia logiczna opisuje sposób przesyłania danych przez fizyczne urządzenia sieciowe
Istnieje pięć podstawowych topologii sieciowych:
• magistrala – komputery przyłączone są do współdzielonego kabla
• gwiazda – komputery przyłączone są do segmentów kabla wychodzących z centralnej
lokalizacji lub koncentratora
• pierścień – komputery przyłączone są do kabla, który tworzy pierścień wokół centralnej
lokalizacji
• topologia pełnych połączeń – komputery są połączone każdy z każdym, za pomocą
kabla.
• topologia mieszana – dwie lub więcej topologii wykorzystywanych razem
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 11/22
Magistrala
W topologii magistrali każdy komputer jest podłączony do jednego kabla lub segmentu łączącego je
w jednej linii. W tej liniowej topologii pakiet jest transmitowany do wszystkich kart sieciowych w
danym segmencie. Ze względu na sposób transmisji sygnału elektrycznego przez kabel, końce kabla
muszą być zamknięte przez urządzenia nazywane terminatorami, działające jako granice dla
sygnału i segmentu. Jeśli kabel jest przerwany w dowolnym miejscu lub jeśli końce kabla nie są
zamknięte terminatorami, sygnał elektryczny przesyłany jest tam i z powrotem przez sieć,
co uniemożliwia komunikację w całym segmencie. Rys. 6 przedstawia topologię magistrali.
Rys. 6 Topologia magistrali
Na wydajność magistrali ma wpływ również ilość podłączonej do niej komputerów. Im więcej
komputerów jest podłączonych do magistrali, tym więcej komputerów czeka na możliwość
przesłania danych, a co za tym idzie, sieć jest coraz wolniejsza. Poza tym ze względu na sposób
komunikacji komputerów w topologii magistrali generowanych jest dużo kolizji. Kolizje jest to ruch
generowany w sieci przez komputery, które w tym samym czasie próbują komunikować się
z innymi komputerami.
Gwiazda
W topologii gwiazdy kabel sieciowy z każdego komputera jest podłączony do centralnego
urządzenia zwanego koncentratorem lub przełącznikiem. W topologii gwiazdy sygnał jest
przesyłany z komputera przez koncentrator do wszystkich komputerów w sieci lub w przypadku
przełącznika do określonego hosta. Zaletą topologii gwiazdy jest to, że uszkodzenie kabla lub portu
na urządzeniu uniemożliwia komunikację tylko jednemu komputerowi i nie ma wpływu
na pozostałe. Schemat połączeń typu gwiazda przedstawiony jest na Rys. 7.
Rys. 7 Topologia gwiazdy
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 12/22
Wadą stosowania tej topologii jest to, że został wprowadzony pojedynczy punkt awarii. Jeśli
koncentrator ulegnie awarii, cala sieć przestanie funkcjonować. Poza tym w topologii gwiazdy
również występują kolizje.
Pierścień
W topologii pierścienia komputery połączone są w zamkniętej pętli. Sygnał wędruje w pętli od
komputera do komputera, który pełni rolę wzmacniaka regenerującego sygnał i wysyłającego go do
następnego komputera. W większej skali sieci LAN mogą być połączone w topologii pierścienia za
pomocą grubego kabla koncentrycznego lub światłowodu.
Metoda transmisji danych w pętli nazywana jest przekazywaniem żetonu dostępu. Żeton dostępu
jest określoną sekwencją bitów zawierających informację kontrolną. Przejęcie żetonu zezwala
urządzeniu w sieci na transmisję danych w sieci. Każda sieć posiada tylko jeden żeton dostępu.
Komputer wysyłający usuwa żeton z pierścienia i wysyła dane przez sieć. Każdy komputer
przekazuje dane dalej, dopóki nie zostanie znaleziony komputer, do którego pakiet jest
adresowany. Następnie komputer odbierający wysyła komunikat do komputera wysyłającego
o odebraniu danych. Po weryfikacji, komputer wysyłający tworzy nowy żeton dostępu i wysyła go
do sieci.
Zaletą topologii pierścienia jest lepsza metoda zarządzania ruchem w sieci niż w sieciach o topologii
magistrali. Poza tym w topologii pierścienia zmniejszony został poziom zakłóceń. Wadą tej topologii
jest to, że w danym momencie czasu w pojedynczym pierścieniu może nadawać tylko jeden
komputer. Dodatkowo topologie pierścienia są zwykle droższe od innych topologii. Schemat
topologii pierścienia został zaprezentowany na Rys. 8.
Rys. 8 Topologia pierścienia
Topologia pełnych połączeń
W topologii pełnych połączeń komputery są połączone każdy z każdym za pomocą oddzielnego
okablowania. Taka konfiguracja powoduje, że istnieją dodatkowe ścieżki połączeń sieciowych i jeśli
jeden kabel ulegnie awarii, łączność można nawiązać przez inny kabel i sieć funkcjonuje nadal.
W większej skali wiele sieci LAN może być ze sobą połączonych w topologii pełnych połączeń za
pomocą dzierżawionych linii telefonicznych, grubego kabla koncentrycznego lub światłowodu.
Ponieważ istnienie wielu dodatkowych ścieżek sieciowych wymaga więcej okablowania niż
w przypadku innych topologii, topologia ta jest bardziej kosztowna. Schemat topologii pełnych
połączeń został przedstawiony na Rys. 9.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 13/22
Rys. 9 Topologia pełnych połączeń
Topologia mieszana
W topologii mieszanej, dwie lub więcej topologii połączone są w jedną sieć. Sieci są rzadko
projektowane w postaci pojedynczej topologii. Najczęściej używa się dwóch topologii mieszanych:
topologia gwiazda-magistrala oraz topologia gwiazda-pierścień.
W topologii gwiazda-magistrala kilka sieci o topologii gwiazdy jest połączonych w układzie
magistrali. Ta topologia wykorzystywana jest, gdy konfiguracji gwiazdy nie da się bardziej
rozbudować. W topologii gwiazda-magistrala awaria jednego komputera nie wpływa na działanie
reszty sieci, jednakże jeśli awarii ulegnie koncentrator łączący wszystkie komputery gwiazdy, wtedy
wszystkie komputery podłączone do tego urządzenia nie będą mogły komunikować się w sieci.
Schemat tego typu połączeń został zaprezentowany na Rys. 10.
Rys. 10 Topologia mieszana gwiazda-magistrala
W topologii gwiazda-pierścień komputery są połączone do centralnego urządzenia jak w topologii
gwiazdy, jednakże urządzenia te są połączone miedzy sobą w topologii pierścienia. Podobnie jak
w przypadku topologii gwiazda-magistrala, awaria jednego komputera nie wpływa na działanie
reszty sieci. Dzięki metodzie przekazywania żetonu każdy komputer w topologii gwiazda-pierścień
ma równe szanse na komunikację. Dzięki temu możliwy jest większy ruch między segmentami niż
w przypadku sieci o topologii gwiazda-magistrala
.
Topologię gwiazda-pierścień przedstawia Rys. 11.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 14/22
Rys. 11 Topologia mieszana gwiazda-pierścień
Warstwa logiczna sieci
Technologie sieciowe
W celu zapewnienia komunikacji w sieciach LAN i WAN wykorzystywane są różnego rodzaju
technologie sieciowe. Odpowiedni wybór technologii umożliwia osiąganie wysokiej wydajności sieci
oraz innych korzyści ekonomicznych. Do najpopularniejszych technologii sieciowych zaliczamy:
• Ethernet
• Token Ring
• ATM
• FDDI
• Frame Relay
Technologie te różnią się metodami dostępu do medium oraz sposobem organizacji przesyłanych
danych.
Ethernet
Ethernet jest popularną technologią stosowaną w sieciach LAN, używającą metody dostępu
z wykrywaniem kolizji CSMA/CD (ang. Carrier Sense Multiple Access with Collision Detection)
i różnego rodzaju okablowania. Technologia Ethernet jest pasywna, co znaczy, że nie wymaga
własnego źródła zasilania, a co za tym idzie, nie ulega awarii dopóki kabel nie jest fizycznie odcięty
lub niewłaściwie zakończony. W technologii Ethernet może być używanych wiele protokołów
komunikacyjnych oraz można łączyć mieszane środowiska komputerowe, jak Netware, UNIX,
Windows oraz Macintosh.
CSMA/CD jest zestawem reguł określających, w jaki sposób urządzenia sieciowe mają reagować na
sytuację, w której dwa urządzenia próbują równocześnie wysyłać dane do sieci. Równoczesna
transmisja danych przez wiele komputerów powoduje kolizję. Aby temu zapobiec, każdy komputer
kliencki oraz serwer sprawdzają, czy możliwe jest prowadzenie transmisji, jednakże w dużych, w źle
zaprojektowanych sieciach wykrycie stanu łącza może okazać się utrudnione lub wręcz niemożliwe.
Po wykryciu kolizji urządzenie czeka losowy przedział czasu i ponownie próbuje wysłać dane. Jeśli
ponownie urządzenie wykryje kolizję, czeka dwukrotnie dłużej, zanim ponowi próbę wysłania
danych. Mechanizm powyższy nazywa się algorytmem odstąpienia (ang. backoff algorithm).
Sieci Ethernet osiągają obecnie prędkości pomiędzy 10 Mb/s i 1 Gb/s (coraz szerzej stosowany jest
już standard 10 Gb/s) i zależą one w głównej mierze od klasy urządzeń i stosowanych kabli
sieciowych.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 15/22
Token Ring
Sieci Token Ring są implementowane w postaci topologii pierścienia. Fizyczna topologia sieci Token
Ring jest topologią gwiazdy, gdzie wszystkie komputery są podłączone do koncentratora MSAU
(ang. Multistation Access Unit). Logiczny pierścień reprezentuje drogę przekazywania żetonu
między komputerami podobną do pierścienia. Kiedy pierwszy komputer w sieci Token Ring zostanie
włączony, sieć generuje żeton dostępu. Żeton dostępu wędruje do każdego komputera
w pierścieniu, dopóki jakiś komputer nie przejmie nad nim kontroli.
Kiedy komputer przejmie żeton dostępu, może wysłać ramkę danych przez sieć. Ramka wędruje
przez pierścień aż osiągnie komputer, którego adres znajduje się w ramce. Komputer przeznaczenia
kopiuje ramkę do pamięci i oznacza pole statusu ramki sygnalizując, że odebrał dane. Ramka
kontynuuje wędrówkę przez pierścień dopóki nie dotrze do komputera wysyłającego, informując go
o powodzeniu transmisji. Następnie komputer wysyłający usuwa ramkę z pierścienia i generuje
nowy żeton dostępu.
Prędkość transferu w sieciach Token Ring wynosi od 4 do 16 Mb/s.
ATM
Sieć ATM (ang. Asynchronous Transfer Mode) jest siecią z przełączaniem pakietów, w której pakiety
wysyłane w sieciach LAN lub WAN mają stały rozmiar. Pakiety o stałym rozmiarze, nazywane
komórkami, są pakietami danych zawierającymi jedynie podstawowe informacje o ścieżce,
pozwalające urządzeniom przełączającym na szybkie przekazywanie pakietów. Komunikacja
odbywa się w systemie punkt-punkt, zapewniając każdej stacji stałą, wirtualną ścieżkę wymiany
danych. Dzięki dużej przepustowości sieć ATM nadaje się do przesyłania:
• głosu
• wideo w czasie rzeczywistym
• dźwięku o jakości CD
• zdjęć, takich jak obrazy radiologiczne w czasie rzeczywistym
• megabitowych danych
Prędkość transferu w sieciach ATM wynosi od 155 do 622 Mb/s.
FDDI
Technologia FDDI (ang. Fiber Distributed Data Interface) umożliwia realizację szybkich połączeń dla
różnych rodzajów sieci. Sieć FDDI składa się z dwóch podobnych strumieni danych przepływających
w przeciwnych kierunkach w dwóch pierścieniach. Pierwszy pierścień jest nazywany pierścieniem
podstawowym, a drugi pierścieniem zapasowym. Jeśli wystąpią problemy z pierścieniem
podstawowym, takie jak awaria pierścienia czy przerwanie kabla, pierścień samoczynnie zmieni
swoją konfigurację, transmitując dane do pierścienia zapasowego, który kontynuuje transmisję.
Prędkość transferu w sieciach FDDI wynosi 100 Mb/s.
Frame Relay
Frame Relay jest siecią z przełączaniem pakietów, w której pakiety wysyłane poprzez sieci LAN lub
WAN mają zmienny rozmiar. Zmiennej długości pakiety zawierają dodatkowe informacje dotyczące
adresowania i obsługi błędów konieczne do dostarczenia pakietów do odbiorcy.
Komunikacja odbywa się w sieci, która zapewnia każdej stacji stałą, wirtualną ścieżkę wymiany
danych. Ten rodzaj sieci używa cyfrowych lub światłowodowych połączeń, umożliwiających szybki
transfer danych. Przełączanie pakietów opiera się na metodzie dzielenia dużych bloków danych na
mniejsze kawałki (pakiety) przy wysyłaniu danych poprzez sieć WAN.
Prędkość transferu w sieci Frame Relay zależy od prędkości, jaką udostępnia dostawca poprzez
cyfrowe linie dzierżawione.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 16/22
Protokoły sieciowe
Protokoły w swojej istocie stanowię element oprogramowania i jako takie muszą zostać
zainstalowane na składnikach sieci, które mają z nich korzystać. Komputery mogą komunikować się
ze sobą tylko pod warunkiem, że korzystają z tego samego protokołu. W danym środowisku
sieciowym mogą być wykorzystywane bardzo różne protokoły. Chociaż każdy protokół jest w stanie
zapewnić podstawową obsługę procesu komunikacji w sieci, każdy też ma pewne
charakterystyczne funkcje, przeznaczone do realizacji specyficznych zadań. Aby zrozumieć
poszczególne funkcje różnych protokołów, konieczne jest poznanie standardowego modelu
opisującego komunikację w sieci — modelu OSI (ang. Open Systems Interconnection).
Model ISO/OSI
Model ISO/OSI składa się z zestawu siedmiu warstw protokołów, z których każda odpowiada za
realizację pewnych funkcji umożliwiających transmisję danych w obrębie sieci. Zgodnie z modelem
koncepcyjnym OSI, aby możliwa była prawidłowa transmisja danych w sieci, kilka protokołów musi
pracować razem. W praktyce jest to realizowane poprzez zastosowanie stosu protokołów. Podczas
przesyłania danych zgodnie z modelem ISO/OSI, muszą one zostać podzielone na pakiety. Przy
przejściu przez poszczególne warstwy do pakietu dodawane są specyficzne informacje. To na jakiej
warstwie pracuje dany protokół determinuje jego funkcje i przeznaczenie. Rys. 12 przedstawia
schemat modelu referencyjnego ISO/OSI oraz typów protokołów sieciowych.
Rys. 12 Model ISO/OSI
Poszczególne warstwy modelu ISO/OSI spełniają następujące zadania:
• Warstwa 1 – Fizyczna (Layer 1, Physical layer) – najniższa warstwa modelu,
odpowiedzialna za media fizyczne łączące hosty w sieci. Specyfikuje ona medium
fizyczne oraz definiuje sygnały użyte w przesyle informacji (elektryczne, optyczne,
radiowe). Do funkcjonalności tej nazwy można także przypisać specyfikację interfejsu
sieciowego – NIC (ang. Network Interface Card), taktowanie tego interfejsu, kodowanie
binarne sygnałów oraz sprawdzanie błędów transmisji.
• Warstwa 2 – Łącza danych (Layer 2, Data Link layer) – odpowiada za sterowaniem
przepływem przesyłanych informacji oraz synchronizację transmisji. Warstwa druga
określa dostęp do mediów oraz adresuje porty z wykorzystaniem adresów MAC.
W warstwie łącza danych odbywa się kontrola sumy kontrolnej. Równie istotnymi
funkcjami warstwy drugiej są operacje na ramkach, takie jak ich mostkowanie
i przełączanie ramek.
• Warstwa 3 – Sieciowa (Layer 3, Network Layer) – najistotniejszą funkcjonalnością
warstwy trzeciej jest stosowanie protokołów adresowania w sieci, których przykładem
może być protokół IP.
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 17/22
• Warstwa 4 – Transportowa (Layer 4, Transport Layer) – zapewnia komunikację
w dwóch trybach: połączeniowym z TCP oraz bezpołączeniowym z UDP. Jej
dodatkowymi zadaniami jest segmentowanie danych oraz zarządzanie niezawodną
komunikacją typu end-to-end.
• Warstwa 5 – Sesji (Layer 5, Session Layer) – odpowiedzialna za rozpoczęcie
i zakończenie, a także sterowanie konwersacjami między dwoma aplikacjami. Jej
funkcjonalność można określić jako sterowanie i zarządzanie wieloma wiadomościami
przesyłanymi dwukierunkowo.
• Warstwa 6 – Prezentacji (Layer 6, Presentation Layer) – zapewnia zgodność formatów
informacji oraz kompresję i szyfrowanie danych w przypadku ich wykorzystania.
• Warstwa 7 – Aplikacji (Layer 7, Application Layer) – jest to najwyższa warstwa modelu,
znajdująca się najbliżej użytkownika. Jej głównym zadaniem jest kontrola integralności
danych oraz odtwarzanie błędnych informacji.
Stosy protokołów
Do podstawowych stosów protokółów zaliczyć można TCP/IP, IPX/SPX oraz AppleTalk. Każdej
warstwie stosu protokołów przyporządkowany jest jeden protokół, odpowiedzialny za wykonanie
zadania należącego do tej warstwy, jednak ogólnie rzecz biorąc, odpowiedzialność za wykonanie
poszczególnych zadań zapewniających prawidłową komunikację spoczywa na trzech typach
protokołów:
• Protokoły aplikacji – zapewniają wymianę danych pomiędzy aplikacjami pracującymi w
sieci. Przykładem często stosowanego protokołu aplikacji jest protokół FTP (ang. File
Transfer Protocol) oraz SMTP (ang. Simple Mail Transfer Protocol).
• Protokoły transportu – odpowiadają za prowadzenie sesji komunikacyjnych pomiędzy
komputerami oraz zapewniają, że dane są poprawnie przekazywane pomiędzy
komputerami. Często stosowanym protokołem transportu jest protokół TCP (ang.
Transmission Control Protocol).
• Protokoły sieci – zapewniają tzw. usługi połączeniowe. Protokoły te określają reguły
komunikowania się w poszczególnych środowiskach sieciowych. Często stosowanym
protokołem, odpowiedzialnym za usługi sieciowe, jest protokół IP (ang. Internet
Protocol).
Przesyłanie danych
Efektywne zarządzanie procesem komunikacji w dużych sieciach jest bardzo trudne z powodu zbyt
dużego natężenia ruchu. Administratorzy sieci mogą rozwiązać ten problem dzieląc dużą sieć na
kilka segmentów. Dane w sieci mogą być przesyłane z jednego segmentu sieci do drugiego wzdłuż
dowolnej z istniejących ścieżek. Przesyłanie danych pomiędzy segmentami sieci nosi nazwę
routingu. Protokoły można podzielić na dwie kategorie:
• Protokoły routowalne – są w stanie zapewnić transmisję danych z jednego segmentu
sieci do innego wzdłuż dowolnej ścieżki łączącej dwa segmenty sieci. Przykładowymi
routowalnymi protokołami są protokoły TCP/TP oraz IPX/SPX.
• Protokoły nieroutowalne – nie zapewniają transmisji danych z jednego segmentu sieci
do innego. Komputery korzystające z protokołów nieroutowalnych mogą komunikować
się tylko z komputerami znajdującymi się w tym samym segmencie sieci. Protokoły
NetBEUI (ang. Network Basic Input/Output System) oraz DLC (ang. Data Link Control) są
przykładami protokołów nieroutowalnych.
Typy transmisji danych
Możemy wyróżnić następujące typy transmisji danych:
• Unicast – w przypadku transmisji typu unicast oddzielna kopia danych przesyłana jest
ze źródła do każdego komputera będącego klientem, który ich zażąda. Transmisja typu
Marek Pyka
ITA-108 Technologie sieciowe
unicast nie jest j
danych, poniewa
• Broadcast – w tr
przesyłana do w
co komputer wys
dane mają zostać
typie transmisji d
niepotrzebne obn
• Multicast – w
wysyłana tylko do
liczne kopie tych
aplikacji multim
internetowych w
klienckimi.
Narzędzia monitorowania
Microsoft Network Monitor
Najodpowiedniejszym narz
wykorzystywanych protoko
Narzędzie to jest omówione
Podsumowanie
W rozdziale tym zostały
Zamieszczone w tym rozdzi
związane z technologiami sie
Przykładowe rozwiązanie
Jako inżynier systemowy
przedsiębiorstwa posiadające
prawdopodobieństwa wyst
administratorze odziedziczyłe
Rys
Przedyskutuj powyższą infra
na poniższe pytania:
Jakie elementy rozpozn
Wprowadze
Strona 18/22
st jednak zbyt efektywna, jeśli wiele komputerów
waż źródło musi wtedy nadać wiele jednakowych ko
trakcie transmisji danych typu broadcast pojedyn
o wszystkich klientów znajdujących się w tym sa
wysyłający. Transmisja typu broadcast nie jest jedna
stać wysłane tylko do części komputerów w segmen
sji dane są odbierane i przetwarzane przez każdego
obniżenie wydajności sieci.
przypadku transmisji typu multicast pojedync
o do klientów, którzy ich zażądali. Przez sieć nie mu
ych samych danych. Ogranicza to ruch w sieci i um
ltimedialnych bez niepotrzebnego przeciążenia
h wykorzystuje transmisję typu multicast do komu
ania protokołów sieciowych
Monitor
narzędziem służącym do monitorowania ruc
okołów sieciowych są narzędzia klasy Microso
ne w module 2 tego kursu.
ły omówione podstawowe informacje na temat
zdziale informacje stanowią podstawę do dalszych
i sieciowymi.
anie
wy masz dokonać projektu budowy infrastru
ającego oddziały zdalne. Podczas projektu musisz pa
wystąpienia kolizji podczas przesyłania pakiet
czyłeś plan sieci jak na Rys. 13.
Rys. 13 Schemat infrastruktury sieciowej przedsiębiorstwa
nfrastrukturę z kolegami i koleżankami z grupy. Sp
poznajecie?
Moduł I
adzenie do sieci komputerowych
erów zażąda tych samych
h kopii informacji.
edyncza kopia danych jest
samym segmencie sieci,
dnak zbyt efektywna, jeśli
encie, ponieważ przy tym
dego klienta. Powoduje to
yncza kopia danych jest
muszą więc być wysyłane
i umożliwia wprowadzenie
enia sieci. Wiele usług
munikacji z komputerami
ruchu sieciowego oraz
rosoft Network Monitor.
at sieci komputerowych.
zych rozważań na tematy
astruktury sieciowej dla
z pamiętać o zmniejszeniu
kietów. Po poprzednim
. Spróbujcie odpowiedzieć
Marek Pyka
ITA-108 Technologie sieciowe
Jakie technologie sieciowe m
Jaką topologie sieciowe są uk
Pierwszym zadaniem, które
z przyjętymi ogólnie zasadam
Do wykonania schematu i
sieciowe:
Symbol
Opi
10
100
ATM
Sw
Rou
Rou
W/
Wir
Rou
Tra
Wir
Inte
Przykładowy fragment prze
przedstawia segment sieci oz
Rys. 14
Wprowadze
Strona 19/22
e mogłyby być zastosowane w niniejszej infrastruktu
ą ukazane na powyższym rysunku?
tóre sobie wyznaczyłeś to przerysowanie powyżs
adami.
tu infrastruktury wykorzystaj następujące, ogóln
Opis
Symbol
10-Base-T Hub
100-Base-T Hub
ATM Switch
Switch
Router
Router
W/Firewall
Wireless
Router
Transport
Wireless
Internet
przerysowanej infrastruktury znajduje się na
ci oznaczony napisem „Switched LAN’s”
14 Schemat infrastruktury sieciowej przedsiębiorstwa- standar
Moduł I
adzenie do sieci komputerowych
ukturze?
yższego rysunku zgodnie
gólno dostępne symbole
Opis
Bridge
IDS
FDDI Concentrator
VPN
SSL
NAT
PBX
Firewall
Universal
Gateway
a Rys. 14. Rysunek ten
ndard
Marek Pyka
ITA-108 Technologie sieciowe
Czy potrafiłbyś wykona
Czy już na tym etapie p
Porady praktyczne
Uwagi ogólne
• Pamiętaj, że znaj
prowadzenie czyn
• Naucz się dobrze
• W budowie sieci w
• Unikaj kolizji i bur
• Unikaj instalowan
• Pamiętaj, że praca
• Jeżeli to możliwe
• Zapoznaj się dokła
• Przeanalizuj działa
Uwagi dla studenta
Jesteś przygotowany do reali
• znasz model ISO/
• rozumiesz działan
• wiesz, jaką rolę w
• znasz problemy w
• zapoznałeś się z
ISO/OSI, unicast,
Pamiętaj o zapoznaniu się z
że rozumiesz omawiane w
zawartego w uwagach, prz
z wykładów.
Dodatkowe źródła inform
1.
http://pl.wikipedia.org/w
Bardzo szczegółowy
związanych.
2. http://pl.wikipedia.org/w
Zbiór informacji na te
3.
Karol Krysiak, Sieci kompu
Bardzo dobry podręc
4.
Mark Sportack, Sieci komp
Książka przybliża po
współczesnemu info
pozwalając na pozna
5. Brian Komar, TCP/IP dla k
Książka omawia zaró
jak i praktyczne s
operacyjnych stosow
Wprowadze
Strona 20/22
onać pełny schemat infrastruktury?
ie potrafisz wykazać słabe strony tego projektu?
znajomość zasad działania urządzeń sieciowych mo
czynności administracyjnych w przyszłej pracy.
rze przygotowywać kable sieciowe w obu standarda
ieci wykorzystuj przełączniki i unikaj koncentratorów
i burz rozgłoszeń dzięki segmentacji sieci.
wania zbędnych protokołów.
raca w jednej dużej domenie rozgłoszeniowej zmnie
iwe stosuj multicast jako metodę przesyłania danych
okładnie z modelem ISO/OSI.
ziałanie urządzeń zgodnie z modelem ISO/OSI.
realizacji laboratorium jeśli:
SO/OSI
ałanie urządzeń sieciowych
lę w budowaniu sieci odgrywają routery i przełącznik
y wynikające z stosowania koncentratorów w sieci
ię z pojęciami dotyczącymi modułu takimi jak ko
ast, multicast czy broadcast.
ę z uwagami i poradami zawartymi w tym module. U
w nich zagadnienia. Jeśli masz trudności ze
przeczytaj ponownie informacje z tego rozdziału
ormacji
g/wiki/Model_OSI
łowy opis modelu OSI wraz z odnośnikami do
g/wiki/Protokoły_sieciowe
na temat budowy i działania protokołów sieciowych
mputerowe. Kompendium, Helion 2003
dręcznik ogólnej wiedzy o sieciach komputerowych
omputerowe. Księga eksperta, Helion 2004
podstawowe założenia sieci komputerowych, któ
informatykowi. Krok po kroku wprowadzi Cię w
znanie ich architektury i zrozumienie zasad działania
dla każdego. Helion 2002
zarówno teoretyczne podstawy funkcjonowania sie
e sposoby konfigurowania protokołów w różn
sowanych we współczesnych sieciach.
Moduł I
adzenie do sieci komputerowych
może znacznie ułatwić Ci
rdach.
rów.
niejsza wydajność sieci.
nych.
czniki
ieci
kolizja, pakiet, protokół,
le. Upewnij się,
ze zrozumieniem tematu
ziału i zajrzyj do notatek
do innych stron z nim
ych
ch.
które powinny być znane
ię w problematykę sieci,
łania.
sieci opartych na TCP/IP,
różnorodnych systemach
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 21/22
Laboratorium podstawowe
Problem 1 (czas realizacji 20 min)
Chcesz dokonać wyboru urządzeń sieciowych do projektu sieci, który właśnie opracowujesz. Musisz
zastanowić się nad zastosowaniem odpowiednich urządzeń w odpowiednim miejscu infrastruktury.
Zanim dokonasz wyboru musisz zebrać kilka podstawowych informacji.
To ćwiczenie pomoże w lepszym poznaniu siedmiu warstw modelu OSI. Szczególny nacisk położono
na sposób, w jaki są one powiązane z najpopularniejszym urządzeniami sieciowymi. Siedem warstw
modelu OSI jest najczęściej wykorzystywane do opisywania i porównywania oprogramowania
i sprzętu sieciowego pochodzącego od różnych producentów. Znajomość modelu i umiejętność
wzajemnego powiązania warstw modelu i urządzeń sieciowych na nich działających jest bardzo
ważna. Uzyskane informacje zapisz poniżej
Nr. warstwy
Nazwa warstwy
Typ urządzenia
Jednostka enkapsulacji
7
6
5
4
3
2
1
Problem 2 (czas realizacji 25 min)
Twoim zadaniem jest przygotowanie składającego się z czterech par (ośmiu żył) kabla prostego,
czyli takiego, w którym kolor przewodu na styku 1 po jednym końcu kabla będzie taki sam, jak kolor
przewodu na styku 1 na drugim końcu. Styk 2 na jednym końcu będzie taki sam, jak styk 2 na
drugim itd. Kabel powinieneś utworzyć na podstawie standardów TIA/EIA T568B lub T568A sieci
Ethernet 10BASE-T, które określają kolor przewodu na każdym styku. Standard T568B, zwany
również specyfikacją AT&T, jest bardziej popularny w Stanach Zjednoczonych, ale wiele instalacji
jest tworzonych na podstawie standardu okablowania T568A, zwanego również standardem ISDN.
Przed rozpoczęciem ćwiczenia nauczyciel lub asystent powinien zaopatrzyć Cię w szpulę skrętki
nieekranowanej UTP kategorii 5, złącza RJ-45 (8-stykowe), narzędzie do zaciskania złączy RJ-45 oraz
przyrząd do testowania ciągłości kabli Ethernet/RJ-45. Praca odbywa się indywidualnie lub
w grupach. Potrzebne będą następujące elementy:
• odcinek kabla kategorii 5 o długości od 0,6 do 0,9 m na każdą osobę lub zespół
• cztery złącza RJ-45, w tym dwa zapasowe
• narzędzie do zaciskania złączy RJ-45 na końcach kabla
• przyrząd do testowania ciągłości okablowania sieci Ethernet, służący do badania kabli
prostych i z przeplotem, T568A lub T568B
• kleszcze do cięcia kabli
Za pomocą zaciskarki przygotuj gniazdo RJ-45 do instalacji w gniazdku ściennym. Umiejętności te są
przydatne w przypadku instalowania niewielkiej liczby kabli w biurze lub w mieszkaniu. Zaciskarka
jest wyposażona w mechanizm sprężynowy, który umożliwia wciśnięcie przewodów między
metalowe styki przy jednoczesnym ściągnięciu izolacji z przewodów. Pozwala to na uzyskanie
Marek Pyka
Moduł I
ITA-108 Technologie sieciowe
Wprowadzenie do sieci komputerowych
Strona 22/22
dobrego połączenia elektrycznego między przewodami a stykami w gnieździe. W zadaniu używane
będą kable kategorii 5 lub kategorii 5e oraz gniazda T568B kategorii 5 lub 5e. Gniazda takie służą
zwykle do przyłączenia komputera PC do sieci. W tym celu stosowane są przeważnie połączeniowe
kable proste kategorii 5 lub 5e ze złączami RJ-45. W przypadku sieci Fast Ethernet (100 Mb/s)
i Gigabit Ethernet (1000 Mb/s) istotne jest zastosowanie gniazd kategorii 5 lub 5e i paneli
połączeniowych z okablowaniem kategorii 5 lub 5e. Wciskanie przewodów do gniazda
umieszczanego przy komputerze przebiega tak samo, jak w panelu połączeniowym w węźle
dystrybucji okablowania. Potrzebne będą następujące elementy:
• kabel kategorii 5 lub 5e o długości 60–90 cm
• dwa gniazda RJ-45 kategorii 5/5e (oraz jedno zapasowe);
• gniazdko ścienne kategorii 5 lub 5e
• zaciskarka typu 110
• kleszcze do cięcia kabli
Laboratorium rozszerzone
Zadanie 1 (czas realizacji 45 min)
Twoim zadaniem jest przygotowanie przeznaczonej dla biura terenowego propozycji zastąpienia
koncentratorów przełącznikami oraz rozważenie co najmniej dwóch różnych rozwiązań
i szczegółowe opracowanie propozycji. Szczegółowe założenia są następujące:
• Firma posiada oddział terenowy, w którym działa sieć Ethernet oparta na
koncentratorach. Ponieważ liczba usług dostępnych w sieci rośnie, przeciążenia stają się
poważnym problemem. Aktualnie na każdym z trzech pięter w węźle dystrybucji
okablowania jest jeden lub kilka koncentratorów, które obsługują 30-35 komputerów,
natomiast na parterze jest 65 komputerów.
• Wszystkie cztery kondygnacje są dołączone do przełącznika mającego 8 portów o
szybkości 10 Mb/s, który został dodany wcześniej w celu zmniejszenia problemów z
przeciążeniami. Chociaż to rozwiązanie przyniosło znaczną poprawę, teraz już nie
wystarcza. Do tego 8-portowego przełącznika dołączone są również dwa serwery i
router połączone z Internetem.
• Okablowanie oddziału jest względnie nowe i zgodne ze standardami kategorii 5.
Aktualnie firma nie jest zainteresowana żadnymi większymi zmianami w okablowaniu.
• Co najmniej 75% ze 160 stacji roboczych jest wyposażone w karty sieciowe o szybkości
10/100 Mb/s, działające w trybie pełnego dupleksu. Wszystkie laptopy mają nowsze
karty sieciowe. Wszystkie nowe komputery są wyposażone w podobne karty sieciowe.
• Zastanów się, co zrobić z aktualnie wykorzystywanym przełącznikiem. Czy możliwe jest
uzyskanie większej szerokości pasma połączenia obu serwerów?
• Wymagania obejmują następujące elementy:
• Zastąpienie wszystkich koncentratorów przełącznikami.
• Wymiana kart sieciowych o szybkości 10 Mb/s w komputerach stacjonarnych.
• Każde połączenie z hostem powinno obsługiwać co najmniej szybkość 10/100 Mb/s.
• Rozpocznij od zbierania informacji na temat cen i parametrów urządzeń.
• Wyniki zanotuj w tabeli, najlepiej użyj do tego programu Excel.
ITA-108 Technologie sieciowe
Marek Pyka
Moduł II
Wersja 1
Omówienie i analiza TCP/IP
Spis treści
Omówienie i analiza TCP/IP ........................ ................................................... ...................................... 1
Informacje o module ............................... ................................................... .......................................... 2
Przygotowanie teoretyczne ............................................................................ ..................................... 3
Przykładowy problem ............................... ................................................... ................................ 3
Podstawy teoretyczne............................... ................................................... ................................ 3
Przykładowe rozwiązanie ........................... ................................................... ............................. 17
Porady praktyczne ................................. ................................................... ................................. 17
Uwagi dla studenta ................................ ................................................... ................................. 17
Dodatkowe źródła informacji........................ ................................................... .......................... 18
Laboratorium podstawowe ........................... ................................................... .................................. 19
Problem 1 (czas realizacji 20 min) ................................................................... ........................... 19
Problem 2 (czas realizacji 25 min) ................................................................... ........................... 22
Laboratorium rozszerzone .......................... ................................................... .................................... 22
Zadanie 1 (czas realizacji 45 min) ................ ................................................... ............................ 23
Zadanie 2 (czas realizacji 45 min) ................ ................................................... ............................ 23
Zadanie 3 (czas realizacji 90 min) ................ ................................................... ............................ 24
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 2/24
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące zasady działania stosu
protokołów TCP/IP, jego implementacji w systemie Windows Server 2008
oraz analizy i rozwiązywania problemów z komunikacją sieciową. Zapoznasz
się z zasadami analizy pakietów TCP/IP w środowisku sieciowym Windows
Server 2008. Zawarte w module tym zadania umożliwią Ci zapoznanie się
z procesem planowania, wdrażania i analizy protokołu TCP/IP w organizacji.
Cel modułu
Celem
modułu
jest
przedstawienie
zasad
funkcjonowania
sieci
komputerowych opartych o protokół TCP/IP oraz przedstawienie
problematyki analizy przebiegu komunikacji zgodnie z modelem TCP/IP.
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• wiedział, jaką rolę w sieci pełni protokół TCP/IP
• rozumiał jego implementację w systemie Windows Server 2008
• potrafił dokonać analizy pakietów przesyłanych w sieciach
komputerowych
• wiedział, w jaki sposób wykorzystywać oprogramowanie Network
Monitor do analizy pakietów.
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• znać podstawy działania sieci komputerowych
• rozumieć działanie urządzeń sieciowych
• być zaznajomionym z modelem referencyjnym ISO/OSI
• znać zasady pracy w środowisku Windows Server 2008
Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 1.
Rys. 1 Mapa zależności modułu
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 3/24
Przygotowanie teoretyczne
Przykładowy problem
Umiejętność analizy przebiegu transmisji sieciowej jest bardzo ważnym narzędziem dla
administratora. Większość wiedzy o wykorzystywanych w infrastrukturze aplikacjach i protokołach
uzyskasz właśnie z analizy przesyłanych pakietów. Sprawne wykorzystywanie narzędzi takich jak
monitory sieciowe da Ci również możliwość analizy przebiegu ataków informatycznych
na infrastrukturę IT. Jednym z zadań, w których będziesz musiał wykazać się tą umiejętnością jest
wyszukiwanie w infrastrukturze zarażonych komputerów różnorakimi wirusami i robakami
internetowymi oraz komputerów wykorzystujących nieautoryzowane oprogramowanie takie jak
Emule czy Gadu-Gadu.
Przeprowadź analizę najpopularniejszych protokołów sieciowych oraz wykorzystujących je aplikacji
użytkowej, w oparciu o wyniki przygotuj plan zabezpieczenia jej przed atakami
teleinformatycznymi.
Podstawy teoretyczne
Protokół TCP/IP zaimplementowano w niemal wszystkich liczących się systemach operacyjnych,
począwszy
od
mikrokomputerów
a
skończywszy
na
komputerach
typu
mainframe
i superkomputerach. Dzięki stosowaniu sieci opartych o TCP/IP możliwa jest komunikacja różnego
rodzaju sprzętu, aplikacji i systemów operacyjnych. Wykorzystanie tego protokołu
w przedsiębiorstwie zapewnia routing pakietów IP (opisany szczegółowo w dalszej części tego
podręcznika) oraz dostęp do wielu usług tj. WWW czy przesyłanie poczty.
TCP/IP to pakiet zgodnych ze standardami przemysłowymi protokołów zapewniających
komunikację w środowisku heterogenicznym. Zadania do wykonania podczas komunikacji TCP/IP są
dzielone między protokoły znajdujące się w czterech różnych warstwach stosu TCP/IP.
Budowa stosu TCP/IP została przedstawiona na Rys. 2.
Rys. 2 Budowa stosu TCP/IP
Stos protokołów TCP/IP obejmuje następujące cztery warstwy:
•
aplikacji,
• transportu,
• Internetu,
• łącza.
Podzielenie funkcji sieciowych na stos oddzielnych protokołów zamiast utworzenia jednego
protokołu ma kilka zalet:
• Oddzielne protokoły ułatwiają obsługę różnych systemów komputerowych.
• Tworzenie lub modyfikowanie protokołów w celu obsługi nowych standardów nie wymaga
modyfikacji całego stosu protokołów.
• Dzięki dostępności wielu protokołów w tej samej warstwie aplikacje mogą wybierać tylko te
protokoły, które zapewnią wymagany poziom usług.
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 4/24
• Ponieważ stos jest podzielony na warstwy, personel wyspecjalizowany w zakresie
poszczególnych warstw może w tym samym czasie opracowywać różne protokoły.
Zależność protokołu TCP/IP od modelu ISO/OSI
Model OSI definiuje różne warstwy związane z pakowaniem, wysyłaniem i odbieraniem transmisji
danych w sieci. Zadania te wykonuje warstwowy pakiet protokołów składających się na stos TCP/IP.
Model odniesienia TCP/IP, zwany modelem DoD (Departament of Defense), inaczej niż OSI nie
przypisuje sztywno funkcji do każdej warstwy, jest więc bardziej elastyczny od modelu OSI.
Podstawowa różnica między modelem OSI a DoD polega na braku stałej gwarancji dostarczania
pakietów przez warstwę transportową. Protokoły TCP i IP łącznie zarządzają przepływem danych
przez sieć w obydwu kierunkach. Analogie w budowie stosu TCP/IP do modelu referencyjnego
ISO/OSI przedstawia Rys. 3.
Rys. 3 Zależności stosu protokołów TCP/IP do modelu ISO/OSI
Warstwa aplikacji stosu TCP/IP
Warstwa aplikacji odpowiada warstwom aplikacji, prezentacji i sesji modelu OSI. Udostępnia ona
usługi i narzędzia, dzięki którym aplikacje mogą uzyskiwać dostęp do zasobów sieciowych.
W warstwie tej znajdują się dwie następujące usługi, które zapewniają dostęp do zasobów
sieciowych: Windows Sockets oraz NetBIOS (Network Basic Input/Output Systems). Zarówno usługa
Windows Sockets, jak i system NetBIOS, zapewniają standardowe interfejsy aplikacji, dzięki którym
programy mogą uzyskiwać dostęp do usług sieciowych.
Adres IP
Aby komunikacja sieciowa mogła się rozpocząć, lokalizacja komputera źródłowego oraz
docelowego w sieci musi być znana. Lokalizacja jest określana przez unikalny numer, zwany
adresem IP, który jest przypisywany do każdego komputera w sieci.
Port TCP/UDP
Port jest identyfikatorem aplikacji działającej na komputerze. Port jest związany z protokołami TCP
lub UDP warstwy transportowej i jest znany jako port TCP lub port UDP. Port może mieć dowolny
numer z zakresu liczb od 0 do 65535. Porty TCP/IP podstawowych aplikacji serwerowych są
zarezerwowane z numerami poniżej 1024, w celu zapobiegania konfliktom z innymi aplikacjami.
Na przykład, serwer FTP używa portów TCP 20 i 21.
Gniazdo
Gniazdo jest złożeniem adresu IP i portu TCP lub portu UDP. Aplikacja tworzy gniazdo przez
określenie adresu IP komputera, rodzaju usługi (TCP dla gwarancji dostarczenia danych, lub UDP)
oraz portu, który aplikacja monitoruje. Adres IP pomaga określić i zlokalizować komputer docelowy,
a port określa aplikację, do której dane są wysyłane.
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 5/24
Warstwa transportowa
Warstwa transportu odpowiada warstwie transportu modelu OSI i gwarantuje dostarczenie
pakietów oraz zapewnia komunikację typu end-to-end przy użyciu jednego z dwóch protokołów.
TCP
Protokół TCP ( Transmission Control Protocol) jest protokołem transportowym wchodzącym
w skład stosu TCP/IP oferującym niezawodną, zorientowaną na połączenie usługą transportową
między dwoma komputerami. Taka komunikacja nazywana jest emisją pojedynczą (unicast).
W komunikacji zorientowanej na połączenie, zanim komputery rozpoczną wymianę danych, musi
być nawiązana sesja.
Po nawiązaniu sesji, dane są przesyłane jedynie przez takie pojedyncze połączenie. Komunikacja
zorientowana na połączenie oznacza również niezawodną komunikację, ponieważ gwarantuje
dostarczenie danych do miejsca przeznaczenia.
Wymiana danych za pomocą protokołu TCP
Protokół TCP, w celu zwiększenia wydajności wysyła pakiety w grupach. Przypisuje numer do
każdego pakietu i dzięki potwierdzeniu odbioru, sprawdza, czy komputer docelowy odebrał grupę
pakietów. Jeśli komputer docelowy, w określonym przedziale czasu nie potwierdził odebrania
każdej wysłanej grupy pakietów, komputer źródłowy ponownie wysyła dane.
Oprócz dodania numeru i żądania potwierdzenia odbioru pakietu, TCP dołącza do pakietu również
numery portów aplikacji źródłowej i aplikacji przeznaczenia. Komputer źródłowy używa portu
docelowego, w celu wysłania pakietu bezpośrednio do właściwej aplikacji na komputerze
docelowym, a komputer docelowy używa portu źródłowego, w celu odpowiedzi do właściwej
aplikacji źródłowej.
Potrójne „uściśnięcie ręki”
Ponieważ TCP jest niezawodnym protokołem komunikacyjnym, zanim dwa komputery rozpoczną
wymianę danych za pomocą protokołu TCP, muszą nawiązać połączenie. Takie połączenie jest
połączeniem wirtualnym, zwanym sesją. Dwa komputery używające TCP nawiązują połączenie lub
sesję TCP w procesie zwanym potrójnym „uściśnięciem ręki”. Proces ten synchronizuje numery
kolejnych pakietów oraz dostarcza inne informacje niezbędne do nawiązania sesji.
Potrójne „uściśnięcie ręki” przebiega w następujący sposób:
1.
Komputer źródłowy inicjuje połączenie przez wysłanie informacji sesyjnej, zawierającej
numer oraz rozmiar pakietu.
2.
Komputer docelowy odpowiada, wysyłając swoją informację sesyjną.
3.
Komputer źródłowy zgadza się i wysyła potwierdzenie odebranych informacji.
UDP
Protokół UDP (User Datagram Protocol) jest protokołem warstwy transportowej identyfikującym
aplikację docelową w komunikacji sieciowej. Protokół UDP oferuje bezpołączeniową usługę
transportową umożliwiającą szybką, lecz zawodną metodą dostarczania danych. UDP nie wymaga
potwierdzenia odebrania danych i nie ponawia wysłania danych, w przypadku ich utraty lub
uszkodzenia. Oznacza to, że mniej danych jest przesyłanych, lecz ani odebranie pakietów, ani
prawidłowy porządek odebranych pakietów nie jest potwierdzany lub gwarantowany. Protokół
UDP jest używany przez aplikacje wysyłające dane do wielu komputerów przez rozgłaszanie lub
multiemisję (multicast).
Warstwa internetowa
Warstwa Internetu odpowiada warstwie sieci modelu OSI. Protokoły w tej warstwie składają dane
z warstwy transportu w jednostki zwane pakietami, adresują je i przesyłają do odpowiednich
lokalizacji.
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 6/24
IP
Protokół IP (Internet Protocol) służy do określania lokalizacji komputera docelowego w komunikacji
sieciowej. Protokół IP jest bezpołączeniowym, zawodnym protokołem odpowiedzialnym głównie za
adresowanie pakietów oraz wybór trasy pakietów między komputerami w sieci. Chociaż protokół IP
zawsze próbuje dostarczyć pakiet, pakiet może zostać utracony, uszkodzony, dostarczony
w niewłaściwej kolejności, powielony lub opóźniony.
W przypadku wystąpienia tego typu błędów protokół IP nie próbuje odzyskać danych, przez żądanie
ponownego ich wysłania. Za żądanie potwierdzenia odbioru pakietów oraz odzyskiwanie
utraconych danych jest odpowiedzialny protokół wyższej warstwy, na przykład protokół TCP lub
sama warstwa aplikacji.
Działanie protokołu IP
Protokół IP można sobie wyobrazić jako urząd pocztowy w stosie TCP/IP, gdzie ma miejsce
sortowanie i dostarczanie pakietów. Pakiety są przekazywane w dół do protokołu IP, przez protokół
UDP lub TCP z warstwy transportowej lub do góry z warstwy interfejsu sieciowego. Głównym
zadaniem protokołu IP jest wybór trasy pakietów, aż do osiągnięcia ich celu.
Każdy pakiet zawiera adres IP hosta wysyłającego oraz adres IP hosta docelowego. Te adresy IP
w pakiecie pozostają niezmienione przez całą drogę pakietu przez sieć. Protokół IP jest również
odpowiedzialny za to, że pakiet nie pozostanie w sieci na zawsze, dzięki określeniu ograniczonej
liczby sieci przez które pakiet może przejść. Jest to zrealizowane przez przypisanie do każdego
pakietu parametru TTL (Time to Live). Parametr TTL określa maksymalny przedział czasu, przez jaki
pakiet może podróżować w sieci, zanim zostanie wygaszony.
ICMP
Protokół ICMP (Internet Control Messager Protocol) oferuje możliwość rozwiązywania problemów
oraz wysłania komunikatów o błędach, w przypadku niedostarczenia pakietów. Dzięki protokołowi
ICMP, komputery i routery mogą informować o błędach oraz wymieniać ograniczone informacje
kontrolne i statusowe. Na przykład, jeśli protokół IP nie może dostarczyć pakietu do komputera
docelowego, protokół ICMP wysyła komunikat Destination Unreachable (cel nieosiągalny) do
komputera źródłowego. Mimo, że do przesyłania danych między routerami jest używany protokół
IP, protokół ICMP zwraca komunikaty o błędach oraz komunikaty kontrolne w imieniu IP. Protokół
ICMP nie czyni protokołu IP niezawodnym, ponieważ same komunikaty ICMP nie żądają
potwierdzenia i dlatego są zawodne.
IGMP
Protokół IGMP (Internet Group Management Protocol) jest protokołem zarządzającym
członkostwem na listach multiemisji IP w sieci TCP/IP. Multiemisja IP jest procesem, w którym
informacje są przesyłane do określonej grupy odbiorców, zwanej grupą multiemisji. Protokół IGMP
zarządza listą komputerów należących do każdej grupy multiemisji.
Zarządzanie multiemisją IP
Wszyscy członkowie grupy multiemisji nasłuchują ruchu IP skierowanego do określonego adresu
multiemisji IP i odbierają pakiety wysłane na ten adres IP. Jednakże, ponieważ Multiemisja odnosi
się do wielu komputerów, pakiety są wysyłane za pomocą zawodnego protokołu UDP,
niegwarantującego dostarczenia pakietów do grupy multiemisji. Kiedy wiele komputerów
potrzebuje dostępu do informacji, takich jak strumień mediów, używany jest adres IP
zarezerwowany dla multiemisji. Routery skonfigurowane do obsługi adresów multiemisji IP,
odbierają
takie
informacje
i przesyłają je do wszystkich członków grupy multiemisji, do których został przypisany adres
multiemisji IP.
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 7/24
ARP
Protokół ARP (Address Resolution Protocol) działający na warstwie internetowej stosu TCP/IP, jest
odpowiedzialny za rozwiązanie adresów dla wychodzących pakietów. Rozwiązywanie adresu jest
procesem, w którym adresy IP są mapowane do adresów MAC. Karta sieciowa używa adresu MAC
do sprawdzenia, czy pakiet jest adresowany do tego komputera. Bez adresu MAC, karta sieciowa
nie jest w stanie określić, czy przekazać dane do wyższej warstwy, w celu dalszego przetworzenia.
Kiedy wychodzący pakiet zostanie przygotowany do wysłania przez warstwę IP, musi zostać dodany
źródłowy i docelowy adres MAC.
Pamięć podręczna ARP
Protokół ARP przechowuje tabelę zawierającą adresy IP i odpowiadające im adresy MAC. Obszar
pamięci, w którym tabela jest przechowywana, nazywany jest pamięcią podręczną ARP. Pamięć
podręczna ARP każdego komputera zawiera mapowania jedynie tych komputerów i routerów, które
są w tym samym segmencie.
Rozwiązywanie fizycznego adresu
Protokół ARP porównuje adres IP każdego wychodzącego pakietu, z pamięcią podręczną ARP,
w celu określenia adresu MAC, do którego pakiet ma zostać wysłany. Jeśli odpowiedni wpis istnieje,
adres MAC jest odczytywany z pamięci podręcznej. Jeśli nie, protokół ARP wysyła rozgłoszenie
z żądaniem uzyskania adresu MAC od komputera z określonym adresem IP.
Warstwa łącza
Warstwa łącza (zwana czasem warstwą sieci lub warstwą łącza danych) odpowiada warstwie łącza
danych i warstwie fizycznej modelu OSI. Warstwa ta określa wymagania dotyczące wysyłania
i odbierania pakietów. Odpowiada ona za umieszczanie danych w sieci fizycznej i odbieranie ich
z takiej sieci.
Omówienie procesu komunikacji TCP/IP
Omówienie procesu komunikacji wykorzystującej protokół TCP/IP można przeprowadzić
na podstawie analogii do standardowego przesyłania korespondencji pocztowej. Przebieg takiej
komunikacji został przedstawiony na Rys. 4.
Rys. 4 Przebieg komunikacji w protokole TCP/IP
Proces komunikacji za pomocą TCP/IP jest inicjowany przez aplikację na komputerze źródłowym,
która przygotowuje dane do przesłania w formacie odczytywalnym przez aplikacje na komputerze
docelowym. Proces ten jest analogiczny do napisania listu w języku zrozumiałym dla odbiorcy.
Następnie dane są kojarzone z docelową aplikacją i komputerem (proces analogiczny do
adresowania listu, gdzie adresem odbiorcy jest adres komputera odbiorcy. Po zakończeniu procesu
adresowania dane są zaopatrywane w dodatkowe informacje tj. żądanie potwierdzenia odbioru
i wysyłane są do odbiorcy. Medium transmisyjne używane do przesyłania danych zależy od
powyższych czynności, podobnie jak transport listu pomiędzy urzędami gdyż jest zależny od
zawartości i odległości (np. statek, samolot samochód).
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 8/24
Analiza procesu przesyłania danych w protokole TCP/IP
Protokół TCP/IP transmituje dane przez sieć, dzieląc je na mniejsze porcje, zwane pakietami.
Pakiety są często określane różnymi terminami, w zależności od protokołu, z którym są powiązane.
Podział danych na pakiety jest konieczny, ponieważ przesłanie dużej porcji danych przez sieć
zajmuje dużo czasu i może ograniczyć jej funkcjonowanie. Ponieważ małe pakiety nie zatykają sieci,
inne komputery mogą również przesyłać dane. Jeśli jakiś pakiet zostanie uszkodzony, tylko ten
pakiet musi być ponownie wysłany, zamiast wszystkich danych. Kiedy pakiet jest wysyłany przez
warstwę interfejsu sieciowego, jest on nazywany ramką. Ramka składa się z różnych elementów,
pełniących określone funkcje w przepływie danych na warstwie interfejsu sieciowego. Proces
przepływu danych składa się z kilku etapów, wliczając w to organizację danych w małe pakiety na
komputerze źródłowym i ich odtworzenie w oryginalnej formie na komputerze docelowym. Każda
warstwa stosu protokółów TCP/IP jest związana z podobnymi czynnościami na komputerze
źródłowym i docelowym.
Terminologia pakietów TCP/IP
Kiedy pakiet danych jest przekazywany między warstwami w stosie TCP/IP, każdy protokół dodaje
swój własny nagłówek. Pakiet, wraz z dodawanymi do niego informacjami, jest określany innymi
technicznymi nazwami identyfikowanymi z różnymi protokołami. Te nazwy to segment, komunikat,
datagram oraz ramka.
• Segment - jest związany z transmisją za pomocą protokołu TCP. Zawiera nagłówek TCP,
dodany do danych aplikacji.
• Komunikat - jest związany z transmisją za pomocą zawodnych protokołów, jak ICMP, UDP,
IGMP oraz ARP. Składa się z nagłówka protokołu, dodanego do danych aplikacji lub danych
protokołu.
• Datagram - jest związany z transmisją za pomocą protokołu IP. Składa się z nagłówka IP,
dodanego do danych warstwy transportowej i jest również uważany za zawodny.
• Ramka - jest związana z transmisją na warstwie interfejsu sieciowego i składa się z nagłówka
dodanego na warstwie interfejsu sieciowego i danych z warstwy IP.
Elementy ramki
Poniższy Rys. ukazuje w uproszeniu elementy składowe ramki TCP/IP.
Rys. 5 Elementy składowe ramki
Ramka (określenie pakietu danych na warstwie interfejsu sieciowego) składa się z trzech
elementów: nagłówka, danych oraz pola weryfikacji.
Nagłówek
Nagłówek zawiera:
• Preambułę informującą o rozpoczęciu nadawania pakietu.
• Adres źródłowy.
• Adres przeznaczenia.
Dane
Informacje wysyłane przez aplikację. Ten element pakietu może się różnić rozmiarem, w zależności
od ograniczeń sieci. Rozmiar sekcji danych w większości sieci wynosi od 0,5 kilobajta (kB) do 4 kB. W
sieci Ethernet, rozmiar danych wynosi około 1,5 kB .
Ponieważ rozmiar większości oryginalnych danych jest większy od 4 kB, dane muszą być podzielone
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 9/24
na odpowiednio mniejsze kawałki, aby można je było umieścić w pakiecie. Transmisja dużego pliku
może wymagać podziału na wiele pakietów.
Pole weryfikacji
Zawartość pola weryfikacji zależy od protokołu warstwy interfejsu sieciowego. Jednakże, pole to
zawiera zwykle informację kontroli poprawności ramki, zwaną sumą kontrolną CRC (Cyclical
Redundancy Check).
Przepływ danych
Pakiety danych przesyłane między komputerami, wędrują przez warstwy stosu protokołów TCP/IP.
Kiedy pakiety przechodzą przez każdą warstwę, protokoły na tej warstwie dodają określone
informacje do nagłówka. Informacje dodawane przez każdy protokół zawierają informacje kontroli
poprawności, zwane sumami kontrolnymi. Suma kontrolna jest używana do sprawdzenia, czy
informacje w nagłówku dodane przez protokół są takie same na komputerze docelowym, podobnie
jak CRC, służy do sprawdzenia poprawności całego pakietu. Przepływ danych został
zaprezentowany na Rys. 6.
Rys 6. Przepływ danych przez protokół TCP/IP
Informacje dodane przez protokół na danej warstwie są traktowane jak dane przez protokoły
warstwy niższej. Kiedy pakiet jest odbierany, odpowiednia warstwa odrzuca nagłówek, a pozostały
pakiet traktuje jako dane. Następnie pakiet jest przekazywany wyżej do odpowiedniego protokołu
w stosie.
Warstwa aplikacji
Proces transmisji danych rozpoczyna się na warstwie aplikacji w stosie protokołów TCP/IP.
Aplikacja, jak np. program Ftp, inicjuje proces na komputerze źródłowym, przygotowując dane
w formacie zrozumiałym dla aplikacji na komputerze docelowym. Całym procesem steruje aplikacja
na komputerze źródłowym.
Warstwa transportowa
Z warstwy aplikacji, dane wędrują do warstwy transportowej. Na warstwie tej znajdują się
protokoły TCP oraz UDP. Aplikacja inicjująca transmisję negocjuje wybranie protokołu (TCP lub
UDP) a suma kontrolna jest dodawana dla obu protokołów TCP oraz UDP.
Warstwa internetowa
Po dodaniu informacji na warstwie transportowej, pakiet danych jest przekazywany do warstwy
internetowej w stosie protokołów TCP/IP. Na tej warstwie protokół IP dodaje następujące
informacje w nagłówku:
• Adres źródłowy IP
• Adres docelowy IP
• Protokół transportowy
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 10/24
• Wartość sumy kontrolnej
• Parametr Time to Liv e (TTL) określający czas życia pakietu
Oprócz dodania tych informacji, warstwa internetowa jest również odpowiedzialna za rozwiązanie
adresu IP odbiorcy do jego adresu MAC. Protokół ARP dokonuje tego rozwiązania. Adres MAC jest
dodany do nagłówka pakietu, a następnie pakiet jest przekazany niżej do warstwy interfejsu
sieciowego.
Warstwa interfejsu sieciowego
Warstwa interfejsu sieciowego dodaje dwa rodzaje informacji (preambułę oraz sumę kontrolną
CRC) do pakietu otrzymanego z warstwy IP. Preambuła jest to sekwencja bitów określająca
rozpoczęcie ramki. Suma kontrolna CR C jest wynikiem matematycznego wzoru, dodawanego na
końcu ramki, w celu sprawdzenia czy ramka nie została uszkodzona.
Host docelowy
Kiedy ramki zostaną odebrane przez komputer docelowy, warstwa interfejsu sieciowego na tym
komputerze usuwa preambułę i ponownie oblicza CRC. Jeśli jej wartość odpowiada wartości przed
transmisją, sprawdzany jest adres MAC odbiorcy w ramce.
Jeżeli adres MAC jest adresem rozgłoszeniowym lub adres MAC odpowiada adresowi odbiorcy,
ramka jest przekazywana do protokółu IP na wyższej warstwie internetowej, w przeciwnym razie
ramka jest usuwana.
Implementacja stosu TCP/IP w Windows Server 2008
Podstawową zmianą odróżniającą Windows Server 2008 od jego poprzedników jest implementacja
nowego stosu TCP/IP. W Windows Server 2008 stos TCP/IP został przepisany od nowa dzięki czemu
stał się on bardziej funkcjonalny i bezpieczniejszy. W śród wielu zmian można zauważyć pojawienie
się nowych funkcjonalności, obsługa natywna protokołu IPv6, nową wersję protokołu SMB 2.0,
która cechuje się zwiększoną szybkością przesyłania danych i stabilnością transmisji. Architekturę
nowego stosu TCP/IP przedstawia Rys. 5.
Rys. 5 Stos TCP/IP NG w Windows Server 2008
Stos TCP/IP nowej generacji oferuje całkowicie przeprojektowaną funkcjonalność TCP/IP, zarówno
dla wersji IPv4, jak i IPv6 protokołu IP (Internet Protocol). Nowa funkcjonalność spełnia jakościowe
wymagania bardzo zróżnicowanych środowisk i technologii sieciowych obecnej doby.
Pojawiły się nowe lub zostały udoskonalone następujące funkcje i możliwości:
• automatyczne dostrajanie okna odbiorczego
• funkcja Compound TCP
• zwiększona przepustowość
• wykrywanie niedostępności sąsiadów w ruchu IPv4
• testowanie nieaktywnych bram
• wykrywanie routerów PMTU działających jak czarne dziury
• routing compartments
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 11/24
• obsługa platformy Network Diagnostics Framework
• obsługa statystyk ESTATS
• obsługa platformy Windows Filtering Platform
Automatyczne dostrajanie okna odbiorczego (Receive Window Auto-Tuning)
Funkcja ta optymalizuje rozmiar okna odbiorczego osobno dla każdego nawiązanego połączenia,
mierząc iloczyn: pasmo-opóźnienie oraz współczynnik retrieval rate komunikującej się aplikacji.
Wykorzystanie pasma sieci podczas transferów danych rośnie wraz ze wzrostem przepływności
między komunikującymi się aplikacjami.
Funkcja Compound TCP
Używana dla połączeń TCP o dużym oknie odbiorczym realizowanych w sieciach o dużym iloczynie
pasmo-opóźnienie funkcja Compound TCP agresywnie zwiększa ilość danych wysyłanych w porcji,
dbając przy tym o to, aby takie zachowanie nie wpływało negatywnie na inne połączenia TCP.
Zwiększona przepustowość
Stos TCP/IP następnej generacji jest zgodny z następującymi standardami RFC (Request for
Comments) wprowadzonymi dla zoptymalizowania przepustowości w środowiskach o wysokich
stratach:
• RFC 2582: Modyfikacja NewReno algorytmu Fast Recovery.
• RFC 2883: Poszerzenie opcji Selective Acknowledgement (SACK) dla TCP.
• RFC 3517: Algorytm Loss Recovery dla TCP oparty o Conservative Selective Acknowledgment
(SACK).
• RFC 4138: Algorytm Forward RTO-Recovery (F-RTO): wykrywanie w połączeniach TCP
przekroczeń czasu zbędnych ponownych transmisji (Spurious Retransmission Timeouts)
i protokół Stream Control Transmission (SCTP).
Wykrywanie niedostępności sąsiadów w ruchu IPv4
Neighbor Unreachability Detection to funkcja protokołu IPv6: węzły sieci ciągle sprawdzają, czy
sąsiednie węzły są dostępne, przez co można szybciej wykrywać błędy i omijać je w sytuacji, gdy
któryś z węzłów nagle stanie się niedostępny. Funkcja weryfikuje, czy sąsiedni węzeł jest dostępny,
wymieniając z nim komunikaty ARP (Address Resolution Protocol) Request i ARP Reply albo
posiłkuje się w tym celu protokołami wyższych warstw, np. TCP.
Testowanie nieaktywnych bram
Stos TCP/IP nowej generacji okresowo podejmuje próby wysłania pakietów TCP przez bramę, która
została uprzednio zakwalifikowana, jako niedostępna. Jeśli któraś z takich prób zakończy się
pomyślnie, stos z powrotem przełączy ruch TCP na tę bramę, jako bramę standardową. Funkcja fail-
back może zaowocować większą przepustowością, jeśli ruch wróci do podstawowej bramy w danej
podsieci.
Routing compartments
Aby zapobiec niepożądanemu przekazywaniu ruchu pomiędzy interfejsami wirtualnych sieci
prywatnych (VPN), stos TCP/IP następnej generacji obsługuje separację tablicy routingu (routing
compartments). Podział tablicy routingu to połączenie zestawu interfejsów VPN z sesją logowania,
która operuje swymi własnymi tabelami routingu IP. Ten sam komputer może mieć wiele
wzajemnie izolowanych przedziałów tablicy routingu, jednak każdy interfejs może należeć tylko do
jednego przedziału.
Platforma Network Diagnostics Framework
Network Diagnostics Framework to bogata platforma, mająca za zadanie wspierać użytkowników
w diagnozowaniu problemów sieciowych i przywracaniu działania sieci.
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 12/24
Platforma Network Diagnostics Framework może diagnozować następujące kwestie, odnoszące się
do komunikacji TCP/IP:
• niepoprawny adres IP
• niedostępna standardowa brama (router)
• niepoprawna standardowa brama
• niepowodzenie przy określaniu nazwy NetBIOS over TCP/IP (NetBT)
• niepoprawne ustawienia DNS
• zajęty port lokalny
• nie pracuje klient DHCP
• brak odległego odbiorcy
• odłączone media
• zablokowany port lokalny
• za mało wolnej pamięci.
Statystyki ESTATS
Stos TCP/IP następnej generacji obsługuje przedłożoną przez Internet Engineering Task Force
propozycję "TCP Extended Statistics MIB", w której zdefiniowano poszerzone dane statystyczne
obrazujące pracę TCP. Analizując statystyki ESTATS, dotyczące połączenia można określić, co jest
wąskim gardłem w tym połączeniu: aplikacja wysyłająca, aplikacja odbierająca, czy też łącza.
Zapisywanie statystyk ESTATS jest domyślnie wyłączone, funkcję można włączyć dla wykonania
konkretnego połączenia. W oparciu o statystyki ESTATS niezależni dostawcy oprogramowania (ISV)
mogą pisać silne narzędzia do diagnostyki i analizy przepustowości sieci.
Platforma Windows Filtering Platform
Windows Filtering Platform (WFP) to nowa platforma stosu TCP/IP następnej generacji
udostępniająca niezależnym dostawcom oprogramowania (ISV) interfejsy programistyczne API tak,
że mogą oni uczestniczyć w podejmowaniu decyzji dotyczących filtrowania pakietów na kilku
poziomach stosu protokołów TCP/IP oraz w kilku miejscach systemu operacyjnego. W platformie
zintegrowano obsługę takich cech zapór firewall następnej generacji jak łączność uwierzytelniana
czy dynamiczne konfigurowanie zapór uzależnione od wykorzystania przez aplikacje interfejsu
Windows Sockets API (zasady uzależnione od konkretnych aplikacji). Używając platformy, dostawcy
oprogramowania mogą tworzyć zapory, oprogramowanie antywirusowe, diagnostyczne, inne
aplikacje i usługi. Zapora Windows Firewall oraz protokół IPSec w systemach Windows Server 2008
i Windows Vista korzystają z WFP API.
Obsługa protokołu IPv6
Razem ze stosem TCP/IP następnej generacji wprowadzono następujące modyfikacje protokołu
IPv6:
•
standardowo włączona obsługa protokołu IPv6
•
podwójny stos IP
•
konfigurowanie w interfejsie graficznym
•
modernizacja adresacji Teredo
•
zintegrowana obsługa protokołu IPsec
•
protokół Multicast Listener Discovery, v 2
•
Link-Local Multicast Name Resolution
•
IPv6 przez PPP
•
losowe identyfikatory kart sieciowych
•
obsługa DHCPv6.
Zapewnienie jakości połączeń (Quality of Service)
Mechanizmy QoS były już implementowane we wcześniejszych wersjach systemów Windows,
jednakże ich wydajność i stabilność pozostawiała wiele do życzenia. Systemy Windows Server 2003
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 13/24
i Windows XP wykorzystywały do tego celu interfejs programowy API Generic QoS. Dzięki temu
mogły one zarządzać jakością połączeń poprzez ustalanie priorytetów dostarczanych pakietów.
Implementacja QoS w systemach Windows Server 2008 i Windows Vista zapewnia obsługę na
o wiele wyższym poziomie. Zasady jakościowe umożliwiają obecnie określenie parametrów
transmisji na podstawie:
• nazw aplikacji generujących ruch sieciowy
• określonych adresów IPv4 lub IPv6 aplikacji źródłowej lub docelowej
• portów TCP lub UDP używanych przez aplikacje.
Definicja powyższych reguł QoS realizowana jest w oparciu o Zasady Grupy (GPO) systemów
Windows Server 2008 i Windows Vista.
Server Message Block 2.0
Blok komunikatów serwera (SMB), znany także jako protokół CIFS (Common Internet File System),
jest protokołem udostępniania plików używanym domyślnie na komputerach z systemem
Windows. System Windows zawiera klienta SMB (składnik Klient systemu Microsoft Windows)
i serwer SMB (składnik Udostępnianie plików i drukarek systemu Microsoft Windows). Protokół
SMB 1.0 został zaprojektowany 15 lat temu dla pierwszych sieciowych systemów operacyjnych
Windows, takich jak Microsoft LAN Manager i Windows for Workgroups. Zmiana wydajności
protokołu SMB 2.0 została przedstawiona na Rys. 6, gdzie na wykresie zaznaczono wzrost
wydajności pobierania plików pomiędzy systemami obsługującymi SMB 1.0 a SMB 2.0.
Rys. 6 Pomiar wydajności pobierania plików dla SMB 2.0
Funkcja SMB w systemie Windows Server 2008 obsługuje wersję SMB 1.0 oraz wersję SMB 2.0,
która zaprojektowana jest dla potrzeb obecnych złożonych środowisk sieciowych i serwerów nowej
generacji. Protokół SMB 2.0 zapewnia szereg udoskonaleń komunikacji, takich jak większa
wydajność komunikacji z plikami udostępnianymi przez łącza cechujące się dużymi opóźnieniami
oraz wyższe bezpieczeństwo dzięki zastosowaniu techniki wzajemnego uwierzytelnienia
i podpisywania komunikatów. Dzięki przepisaniu od nowa protokołu SMB 2.0 ograniczono ilość
poleceń z 80 do 16 oraz zmieniono mechanizm przesyłania i potwierdzania pakietów. Porównanie
działania protokołów SMB 1.0 i SMB 2.0 znajduje się na Rys. 7.
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 14/24
Rys. 7 Przebieg transmisji w protokołach SMB 1.0 i SMB 2.0
Lista najważniejszych cech SMB 2.0:
• Obsługa wysyłania wielu poleceń SMB w tym samym pakiecie. Zmniejsza to liczbę pakietów
przesyłanych między klientem i serwerem SMB, która to cecha była wadą wersji SMB 1.0.
• Obsługa o wiele większych rozmiarów buforów w porównaniu z wersją SMB 1.0.
• Zwiększenie restrykcyjnych stałych w protokole, które mają umożliwiać skalowalność.
• Na przykład zwiększono liczbę dojść do równocześnie otwartych plików na serwerze i liczbę
udziałów plików dozwolonych na serwerze.
• Obsługa trwałych dojść, umożliwiająca przetrwanie krótkich przerw w dostępności sieci.
• Obsługa łączy symbolicznych.
• Przyspieszone przesyłanie numerów sekwencyjnych
• Podpisywanie SHA-256 (MD-5 w SMBv1)
• Bardziej niezawodne wznawianie sesji
• Szyfrowanie plików po stronie klienta
• Linki symboliczne w udziałach sieciowych (domyślnie wyłączone)
Narzędzia analizy komunikacji protokołów TCP/IP
Do stosu protokółów TCP/IP firmy Microsoft dołączone zostały podstawowe programy narzędziowe
TCP/IP umożliwiające komputerowi z systemem Windows na dostęp do szerokiej gamy informacji
w sieci. Za pomocą tych narzędzi można między innymi sprawdzić, czy dany komputer jest dostępny
w sieci.
Programy diagnostyczne umożliwiają użytkownikom wykrycie i rozwiązanie problemów z siecią.
Do programów tych można zaliczyć:
• Arp: Wyświetla i modyfikuje pamięć podręczną protokołu ARP (Address Resolution
Protocol).
arp <przełącznik> np. arp -a
• Hostname: Wyświetla nazwę hosta lokalnego komputera.
hostname
• Ipconfig: Wyświetla i aktualizuje bieżącą konfigurację TCP/IP, włącznie z adresem IP.
ipconfig <przełącznik> np. ipconfig /all
• Nbtstat: Wyświetla lokalną tablicę nazw NetBIOS, zawierającą mapowanie przyjaznych dla
użytkownika nazw komputerów do ich adresów IP.
nbtstat <przełącznik> np. nbtstat -a
• Netstat: Wyświetla stan sesji TCP/IP.
netstat <przełącznik> np. netstat -r
• Ping: Sprawdza konfigurację IP oraz czy istnieje połączenie między dwoma komputerami.
Polecenie Ping wysyła żądanie ICMP z komputera źródłowego, a komputer docelowy
odpowiada komunikatem ICMP.
ping [adres ip] <przełącznik> np. ping 192.168.1.100 -a
• Tracert: Sprawdza trasę przebytą przez pakiet do miejsca przeznaczenia.
tracert <przełącznik> [adres hosta/nazwa hosta] np. tracert –h 10
www.wp.pl
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 15/24
• Pathping: Sprawdza trasę przebytą przez pakiet z równoczesnym pomiarem jakości łącza.
pathping < przełącznik> [adres hosta/nazwa hosta] np.
pathping -4
www.onet.pl
• Nslookup: umożliwia analizę poprawności rozpoznawania nazw przez zdefiniowane
serwery DNS
nslookup [opcja] np. nslookup -server
• Route: Zarządza trasami oraz umożliwia wyświetlanie tablic routingu.
route [polecenie] np.
route PRINT
Analiza stanu połączenia
Powyższy zestaw narzędzi może być wykorzystany do analizy stanu połączenia komputera z siecią
Internet. Załóżmy, że nasz komputer nie ma połączenia z siecią Internet i chcemy dokonać analizy
co jest tego powodem. W tym celu można wykorzystać algorytm testowania połączeń składający
się z następujących kroków:
1.
Sprawdzenie poprawności konfiguracji IP Hosta –
ipconfig /all
. W wyniku testu
powinien być wyświetlony adres IP komputera, jeżeli wykonując to polecenie uzyskasz
adres typu: 0.0.0.0 lub 169.254.x.y to musisz być świadomy problemów z dostępem do
serwera DHCP.
2.
Wydanie polecenia ping na adres wewnętrznej pętli zwrotnej –
ping 127.0.0.1, ping
localhost, ping ::1:
(dla IPv6). Poprawność odpowiedzi świadczy o funkcjonowaniu
stosu TCP/IP.
3.
Wydanie polecenia ping na adres zewnętrzny hosta uzyskany w kroku pierwszym. Ten test
poświadczy poprawne działanie interfejsu sieciowego. Trzy pierwsze kroki potwierdzają
poprawną konfigurację hosta.
4.
Przeprowadzenie testu dostępności innych hostów w sieci –
ping x.y.z.w.
Jeżeli odpowiada którykolwiek z komputerów znajdujących się w Twoim otoczeniu możesz
być pewna(y), że przełącznik do którego jesteś podłączona(y) działa poprawnie.
5.
Sprawdzenie dostępności bramy –
ping adres bramy
(najczęściej bramy mają adres
o końcowym numerze równym 1 lub 254, lecz zależy to od podziału sieci na podsieci). Jeżeli
w wyniku testu otrzymasz odpowiedź z adresu bramy to możesz być pewien(a), że cała
infrastruktura przedsiębiorstwa działa poprawnie.
6.
Testowanie komunikacji z Internetem –
ping adres domenowy np. ping www.wp.pl.
Wydanie tego polecenia umożliwi sprawdzenie dwóch rzeczy: po pierwsze poprawność
przesyłania pakietów w sieci poprzez bramę przedsiębiorstwa, po drugie poprawność
rozpoznawania nazw przez serwery DNS.
Analizator pakietów Microsoft Network Monitor
Oprogramowanie
Microsoft
Network
Monitor
dostępne
jest
pod
adresem:
http://www.microsoft.com/downloads/details.aspx?familyid=18b1d59d-f4d8-4213-8d17-
2f6dde7d7aac&displaylang=en#filelist
NetworkMonitor jest oprogramowaniem klasy analizatorów sieciowych zwanych też potocznie
snifferami od angielskiego słowa sniffing.
Za pomocą Monitora sieci można:
• Lokalizować problemy z połączeniem typu klient-serwer.
• Identyfikować komputery wysyłające znaczną liczbę żądań usługi.
• Przechwytywać ramki (pakiety) bezpośrednio z sieci.
• Wyświetlać i filtrować przechwycone ramki.
• Identyfikować nieautoryzowanych użytkowników w sieci.
Instalacja oprogramowania jest intuicyjna i nie różni się od standardowych programów systemu
Windows.
Marek Pyka
ITA-108 Technologie sieciowe
Przechwytywanie ramek
Aby przechwytywać ramki za
1.
Outwork okno Micro
2.
Wybierz interfejs sie
3.
Rozpocznij proces pr
na pasku narzędzi.
4.
Aby zatrzymać przec
na pasku narzędzi. N
Monitor sieci można równie
filtr o nazwie http.cf, wpisz n
filtru:
start netmon /capture
Filtracja wyników
W ciągu kilku sekund przech
tysiące ramek, które zostały
filtry przechwytywania, aby d
Typy przechwytywanych da
Podczas przechwytywania pr
Monitora sieci znajduje się
opisano pola wyświetlane dla
Pole
Opis
Ramka
Liczba rame
Godzina
Czas (w sek
przechwyce
Źrd MAC adr
Adres sprzę
przypadku k
zamiast adr
Komputer,
Cel MAC adr
Adres sprzę
wstawiane s
ostatecznie pr
Protokół
Protokół do
wygenerow
Opis
Informacje
Źrd Inny adr
Inny adres s
Cel Inny adr
Inny adres (
Typ Inny adr
Typ adresu
Aby pracować z du
stronicowania system
wyświetleniem.
Podsumowanie
W rozdziale tym zostały pr
protokołu TCP/IP na platfor
powinieneś rozumieć jak dz
składowe. Powinieneś wiedz
referencyjnym ISO/OSI. Zap
sprawną analizę sieci kompu
Strona 16/24
ki za pomocą Monitora sieci:
icrosoft Network Monitor.
s sieciowy, którego chcesz używać (jeśli nie jest jeszc
s przechwytywania, klikając przycisk Rozpocznij prze
rzechwytywanie, kliknij przycisk Zatrzymaj i wyświetl
zi. Nie zamykaj okna przechwytywania.
nież obsługiwać z wiersza polecenia. Jeśli na przy
isz następujące polecenie, aby uruchomić Monitor s
refilter d:\captures\http.cf
zechwytywania pakietów w obciążonej sieci może
stały wygenerowane przez wiele różnych systemów
by do analizy były zapisywane tylko określone ramki
danych
ia przykładowego ruchu w sieci w oknie Podsumow
się lista ramek uporządkowanych chronologiczni
e dla każdej z przechwyconych ramek.
amek w próbce
sekundach), jaki upłynął od rozpoczęcia przechwyty
ycenia danej ramki.
przętowy interfejsu sieciowego w komputerze, który
ku komputera o przyjaznej nazwie, takiej jak nazwa
adresu będzie wyświetlana ta nazwa.
ter, na którym uruchomiono narzędzie do analizy, m
ętowy interfejsu sieciowego w komputerze, który odebrał
ane są nazwy przyjazne. Tworząc książkę adresową komputeró
znie przechwycić tylko nazwy przyjazne.
ł dominujący w ramce. W każdej ramce znajdują się
rowane przez protokoły w kilku różnych warstwach
cje na temat funkcji ramki z uwzględnieniem protok
res służący do identyfikacji komputera, który przesła
res (np. adres IP) służący do identyfikacji komputera
esu użytego w polach Źrd Inny adr i Cel Inny adr.
dużymi plikami przechwytywania, należy zwi
stemu Windows i zapisywać duże pliki przech
y przedstawione najważniejsze informacje związan
tformie Windows Server 2008. Po zapoznaniu się
działa protokół TCP/IP, jaki jest zbudowany i jaką
iedzieć jakie są zależności pomiędzy stosem protoko
Zapoznanie się dogłębne z przedstawionymi nar
puterowych oraz realizację następnych modułów k
Moduł II
Omówienie i analiza TCP/IP
eszcze wybrany).
przechwytywanie
ietl przechwycenie
przykład został utworzony
or sieci korzystający z tego
zostać przechwyconych
mów. Można zdefiniować
mki.
owanie przechwytywania
icznie. W poniższej tabeli
ytywania do momentu
tóry przesłał ramkę. W
zwa NetBIOS, w polu tym
y, ma nazwę LOCAL.
ł ramkę. Jeśli to możliwe,
puterów w sieci, można
się informacje
ach modelu OSI.
otokołu z pola Protokół.
esłał ramkę
tera, który odebrał ramkę
zwiększyć rozmiar pliku
echwytywania przed ich
ązane z funkcjonowaniem
się z zawartością modułu
jaką rolę pełnią protokoły
okołów TCP/IP a modelem
narzędziami umożliwi Ci
w kursu.
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 17/24
Przykładowe rozwiązanie
Znajomość budowy pakietu stanowi podstawową wiedzę z działania protokołu TCP/IP. Aby ją
zdobyć należy odpowiednio długi czas poświęcić na przechwytywanie i analizę zawartości pakietów.
Zanim jednak przejdziemy do zadania związanego z przechwytywaniem pakietów spróbuj, bazując
na swojej wiedzy, określić jakie informacje dodawane są do pakietów na poszczególnych warstwach
protokołu TCP/IP.
Załóżmy, że wysyłany jest pakiet ping do hosta sieciowego. Uzupełnij poszczególne informacje
które będą wchodziły w skład pakietu.
Poprawność odpowiedzi przedyskutuj w grupie, z nauczycielem prowadzącym lub zweryfikuj
z wynikami laboratorium podstawowego.
Porady praktyczne
Uwagi ogólne
• Pamiętaj, że znajomość zasad działania i budowy protokołów TCP/IP może znacznie ułatwić
Ci prowadzenie czynności administracyjnych w przyszłej pracy.
• W środowisku rozproszonym zaplanuj monitorowanie ruchu pomiędzy oddziałami.
• Wypracuj sobie metody analizy ruchu sieciowego w sytuacjach awaryjnych.
• Pamiętaj, że oprogramowanie to jest dostępne dla wszystkich, co powoduje że cała
transmisja TCP/IP może być podsłuchiwana przez osoby niepowołane.
• Zaplanuj rozwiązania do budowania bezpiecznych kanałów komunikacyjnych zwłaszcza dla
danych wrażliwych tj. konta dostępu do poczty czy też przesyłanie poleceń administracyjnych
po protokole LDAP.
• Pamiętaj, że przełączniki nie chronią przed podsłuchem, a jedynie go utrudniają – poszukaj
informacji na temat zatruwania tablic ARP przełączników.
• Dobra znajomość działania stosu TCP/IP świadczy o klasie administratora!
Uwagi dla studenta
Jesteś przygotowany do realizacji laboratorium jeśli:
• jesteś zaznajomiony z modelem ISO/OSI
• znasz zależności pomiędzy stosem TCP/IP a ISO/OSI
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 18/24
• rozumiesz jak zmiany stosu TCP/IP w Windows Server 2008 wpływają na wydajność sieci
przedsiębiorstwa
• potrafisz przeprowadzić analizę przechwyconych ramek, przefiltrować wyniki, odnaleźć
konkretne informacje
• zapoznałeś się z pojęciami dotyczącymi modułu tj. ramka, pakiet, TCP/IP, multicast, unicast
itp.
Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.
Dodatkowe źródła informacji
1.
http://pl.wikipedia.org/wiki/Microsoft_Windows_Server_2008
Opis środowiska Windows Server 2008 oraz podstawowych ról serwerowych.
2.
http://www.microsoft.com/poland/technet/article/default.mspx
Zbiór artykułów ekspertów w tym też kilka na temat Usług Terminalowych Windows Server
2008
3.
Karol Krysiak, Sieci komputerowe. Kompendium, Helion 2003
Bardzo dobry podręcznik ogólnej wiedzy o sieciach komputerowych.
4.
Mark Sportack, Sieci komputerowe. Księga eksperta, Helion 2004
Książka przybliża podstawowe założenia sieci komputerowych, które powinny być znane
współczesnemu informatykowi. Krok po kroku wprowadzi Cię w problematykę sieci,
pozwalając na poznanie ich architektury i zrozumienie zasad działania.
5. http://www.microsoft.com/poland/windowsserver2008/branch-office.mspx
Bardzo ciekawy artykuł traktujący o zastosowaniu Windows Server 2008 w
przedsiębiorstwie opartym o oddziały zdalne. Poruszane w nim są zagadnienia związane z
SMB2.0 oraz nowym stosem TCP/IP
Marek Pyka
ITA-108 Technologie sieciowe
Laboratorium podsta
Problem 1 (czas realizacj
Przeprowadzić analizę pakiet
w sieci Internet.
Poniższe ćwiczenie wy
się wyłącznie z maszyn
Do wykonania tego ćwiczeni
CL01 na rzeczywisty interfejs
Zadanie
Tok
1.
Instalacja
oprogramowania
Network Monitor
3.1
Aby
pob
http
f4d8
•
•
•
•
•
•
2.
Przechwytywani
e i analiza pakietów
•
•
•
•
•
•
•
•
•
Strona 19/24
stawowe
acji 20 min)
kietów w komunikacji komputera klienckiego z usług
e wykonaj na serwerze ITA-CL01. Jako, że nasze środ
szyn wirtualnych, podsłuchiwanie transmisji jest zna
zenia konieczne będzie przełączenie interfejsu siecio
rfejs z dostępem do sieci Internet
Tok postępowania
Aby zainstalować oprogramowanie Microsoft Ne
pobrać je spod adresu:
http://www.microsoft.com/downloads/details.aspx
f4d8-4213-8d17-2f6dde7d7aac&displaylang=en#file
Zalogować się na komputerze ITA-CL01 jako Adm
Uruchomić pobrany plik instalacyjny Net
NM31_Release_x86.exe
W oknie instalatora, na stronie powitania kliknąć
Zaakceptuj umowę licencyjną i kliknij przycisk Da
W oknie wyboru opcji wybierz Complete i naciśn
Rozpocznij instalację oprogramowania i po je
przycisk Finish.
Zaleca się przed przystąpieniem do realizacji t
się dołączonym do oprogramowania zestawem
Zalogować się na komputerze ITA-CL01 jako Adm
Uruchomić program Network Monitor wyb
>Programs->NetworkMonitor 3.1
W głównym oknie programu na karcie Start P
networks zaznaczyć Połączenie lokalne, któr
przechwytywania pakietów
W panelu Capture Network Traffic kliknąć Creat
Po pojawieniu się nowej karty kliknąć przycisk
pasku narzędzi aby rozpocząć przechwytywanie
Uruchomić przeglądarkę internetową i p
www.onet.pl
W oknie programu Network Monitor kliknąć p
narzędzi
Przejrzyj wartość kolumny Protocol Name, dla lo
Jej zawartość określa nazwę protokołu apli
modelem ISO/OSI
Moduł II
Omówienie i analiza TCP/IP
sługami serwerowymi
środowisko testowe składa
znacznie ułatwione.
ieciowego komputera ITA-
Network Monitor należy
spx?familyid=18b1d59d-
#filelist
Administrator.
Network Monitor 3.1
knąć Dalej.
Dalej.
ciśnij przycisk Dalej.
o jej zakończeniu kliknij
cji tego zadania zapoznać
wem plików pomocy.
Administrator.
wybierając menu Start-
rt Page w panelu Select
które zostanie użyte do
reate a new capture tab..
cisk z symbolem play na
nie pakietów
i przejść na witrynę
ąć przycisk stop na pasku
la losowych pakietów.
aplikacyjnego zgodnie z
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 20/24
• Aby wyróżnić ruch HTTP, w panelu Display Filter wpisać HTTP i kliknąć
przycisk Apply, aby pokazane zostały jedynie pakiety biorące udział w
ruchu przy użyciu protokołu HTTP.
• Wyświetl informacje szczegółowe na temat ramki w panelu Frame
Details poprzez zaznaczenie pakietu
• Rozwijamy gałąź Ethernet, która zawiera informacje nagłówka ramki
pochodzącego z 2 warstwy modelu ISO/OSI jak również występujące
w warstwie Dostępu do sieci modelu TCP/IP. Można tu zaobserwować
źródłowy
i
docelowy
fizyczny
adres
pakietu
(MAC)
(DestinationAddress, SourceAddress).
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 21/24
• Rozwiń gałąź IPv4, w której zawarte są informacje o logicznych
adresach nadawczych i odbiorczych (IP), czas życia (TTL), które to
informacje pochodzą z nagłówka 3 warstwy modelu OSI bądź z
warstwy 2 sieciowej modelu TCP/IP.
• Rozwinąć gałąź Tcp. Nazwa Tcp świadczy o protokole połączeniowym,
jaki został użyty do przesłania pakietu. W tej gałęzi znajdują się dane z
4 warstwy (transportowej) model ISO (lub z warstwy 3 modelu
TCP/IP), w których skład wchodzą porty źródłowy (srcPort)i docelowy
pakietu
(dstPort),
flagi
pakietu
(Flags),
numer
sekwencyjny(SequenceNumber), rozmiar okna (Window), jak również
suma kontrolna (Checksum).
• Rozwinąć gałąź Http. Jej zawartość to dane protokołu Http
pracującego w warstwie 7 – Aplikacji modelu OSI jak również
występujące w 4 warstwie model TCP/IP
Marek Pyka
ITA-108 Technologie sieciowe
Problem 2 (czas realizacj
Przeprowadzić analizę przech
a usługami sieciowymi zgodn
1)
Przesyłanie pakietów
2)
Użytkownik łączy się
następnie loguje się
i odbiera pocztę
3)
Połączenie z serwer
dostępny na uczelni)
4)
Użytkownik wysyła p
5)
Z komputera klienta
Zwróć szczególną u
sposób są przesyłan
Laboratorium rozszer
Uruchomienie analizatora
przesyłanych i rejestrowany
internetowego, który zainf
i wydzielenie ruchu popraw
ziarenka maku…). W celu wy
Strona 22/24
acji 25 min)
zechwyconych pakietów przesyłanych pomiędzy kom
odnie z poniższymi scenariuszami:
tów ping pomiędzy klientem a serwerem 212.77.10
y się z serwerem pocztowym publicznie dostępny
się do konta pocztowego (bez włączonego SSL o
werem FTP i zalogowanie użytkownika do serwera
elni)
ła pocztę email z klienta Outlook 2007 lub Windows
nta prowadzona jest rozmowa przy pomocy komuni
ą uwagę na zawartość pakietów. Spróbuj odnaleźć j
yłane. Jakie informacje są dla Ciebie najciekawsze?
szerzone
ra sieciowego w sieci zaowocowało tysiącam
anych w ciągu sekundy. Gdzieś w śród nich znajd
ainfekował twoją sieć. Teraz pozostaje wyłączn
prawnego od niechcianego (kurde, myślisz sobie
wydzielenia ruchu pożądanego zbuduj środowisko t
Rys. 8 Środowisko analizy pakietów sieciowych
Moduł II
Omówienie i analiza TCP/IP
komputerem klienckim
.100.101
pnym tj. wp, onet, gmail,
SL oraz z włączonym SSL)
era (dowolny serwer FTP
ows Mail
unikatora GG i Skype.
eźć jakie dane i w jaki
e?
cami różnych pakietów
ajdują się pakiety robaka
cznie przefiltrowanie ich
obie, jak ten kopciuszek,
ko testowe jak na Rys. 8.
Marek Pyka
Moduł II
ITA-108 Technologie sieciowe
Omówienie i analiza TCP/IP
Strona 23/24
Zadanie 1 (czas realizacji 45 min)
W pierwszej kolejności zdecydowałeś(łaś) się na zmierzenie jaka ilość ruchu w sieci została
wygenerowana przez transmisje:
a)
ARP
b)
ICMP (np. ping)
c)
NetBIOS
a następnie na podstawie rozmiaru przechwyconej próbki obliczyć liczbę megabitów na godzinę
generowanych przez te protokoły.
Zadanie 2 (czas realizacji 45 min)
Przeprowadzenie pomiaru wydajności przesyłania plików w protokole SMB 2.0. W celu
przeprowadzenia testów wydajności zbuduj środowisko testowe jak na Rys. 9.
Rys. 9 Środowisko testowe dla protokołu SMB 2.0
Do testów przygotuj jeden plik binarny o wielkości 100 MB oraz 10 plików binarnych o wielkości 10
MB każdy. Pomiar szybkości przesyłania przeprowadź za pomocą np. LanMark XT, którego
ewaluacyjną wersję można pobrać ze strony http://layer1software.com/. Wyniki pomiarów zapisz
w poniższej tabeli.
Pliki
System Operacyjny
Czas przesyłania
Prędkość
Min Max
Średnia
prędkość
10 x 10 MB
Windows
Vista
–
Windows XP
Windows
XP
–
Windows Server 2003
Windows
Vista
–
Windows Server 2003
Windows
XP
–
Windows Server 2008
Windows
Vista
–
Windows Server 2008
1 x 100 MB
Windows
Vista
–
Windows XP
Windows
XP
–
Windows Server 2003
Windows
Vista
–
Windows Server 2003
Windows
XP
–
Windows Server 2008
Windows
Vista
–
Windows Server 2008
Marek Pyka
ITA-108 Technologie sieciowe
Zadanie 3 (czas realizacji
Chcąc poznać anatomie atak
NetTools 5, Nmap oraz Cain
Dysponując tymi dwoma nar
• Pełne skanowanie por
• Dostęp do udziałów
złamania haseł, przy p
• Używając oprogramow
• Przeprowadź analizę in
5.0
Cała transmisja realizowa
i przeanalizowana.
Warto zauważyć dodat
być wykorzystana w au
jest dla systemów starszych
niedługo pojawią się ich aktu
Strona 24/24
acji 90 min)
ataku komputerowego pobrałeś z sieci oprogramow
Cain&Abel (programy znajdują się w katalogu narzę
narzędziami przeprowadziłeś następujące testy :
portów kontrolera domeny przy pomocy narzędzia N
ów sieciowych udostępnianych przez kontroler d
zy pomocy narzędzia Cain&Abel
mowania atSynek Spoofek przeprowadź ataki SYN Flo
izę innych ataków, które przeprowadzisz przy pomo
owana przez te narzędzia musi być przez
datkowe możliwości prezentowanych programów
autoryzowanej analizie sieci przedsiębiorstwa. Wi
zych niż Windows Vista i Windows Server 2008 j
aktualizacje.
Moduł II
Omówienie i analiza TCP/IP
owanie atSynek Spoofek,
arzędzia do tego modułu).
zia Nmap
er domeny wraz z próbą
N Flood i IP Spoofing.
mocy narzędzia Net Tools
ez Ciebie przechwycona
ów. Większość z nich może
Większość narzędzi pisana
08 jednakże na pewno za
ITA-108 Technologie sieciowe
Marek Pyka
Moduł III
Wersja 1
Zarządzanie adresacją IP w sieciach
komputerowych
Spis treści
Zarządzanie adresacją IP w sieciach komputerowych .................................................... ..................... 1
Informacje o module ............................... ................................................... .......................................... 2
Przygotowanie teoretyczne ............................................................................ ..................................... 3
Przykładowy problem ............................... ................................................... ................................ 3
Podstawy teoretyczne............................... ................................................... ................................ 3
Przykładowe rozwiązanie ........................... ................................................... ............................. 13
Porady praktyczne ................................. ................................................... ................................. 13
Uwagi dla studenta ................................ ................................................... ................................. 13
Dodatkowe źródła informacji........................ ................................................... .......................... 14
Laboratorium podstawowe ........................... ................................................... .................................. 15
Problem 1 (czas realizacji 20 min) ................................................................... ........................... 15
Problem 2 (czas realizacji 25 min) ................................................................... ........................... 16
Laboratorium rozszerzone .......................... ................................................... .................................... 17
Zadanie 1 (czas realizacji 45 min) ................................................................... ............................ 17
Zadanie 2 (czas realizacji 45 min) ................................................................... ............................ 17
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 2/18
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące budowy adresacji IPv4 i IPv6
oraz zasad przydzielania ich w organizacji. Podczas zajęć dowiesz się jak
konfigurować adresy IP w środowisku Windows Server 2008 oraz jak
wykorzystywać maski sieciowe do wdrażania podsieci.
Cel modułu
Celem modułu jest przedstawienie zasad tworzenia sieci komputerowych
wykorzystujących adresację IPv4 i IPv6. Przybliżone zostaną zasady podziału
sieci na podsieci przy pomocy masek sieciowych.
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• znał klasy adresów IP
• rozumiał jaką rolę pełni adres IP
• potrafił dokonać analizy celowości stosowania adresacji IPv6
w organizacji
• znał budowę adresów IPv4 i IPv6
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• znać podstawy działania sieci komputerowych
• rozumieć działanie urządzeń sieciowych
• być zaznajomionym z modelem referencyjnym ISO/OSI
• znać zasady pracy w środowisku Windows Server 2008
Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 1 oraz module 2 tego kursu.
Rys. 1 Mapa zależności modułu
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 3/18
Przygotowanie teoretyczne
Przykładowy problem
Poprawne zarządzanie adresami IP w przedsiębiorstwie ma ogromne znaczenie dla wydajności
i bezpieczeństwa całej infrastruktury. Pracując jako administrator szybko zauważysz, że bez
odpowiedniego projektu i dużej dyscypliny w zarządzaniu adresacją IP, zarządzanie infrastrukturą
staje się utrudnione. Częstym problemem w przedsiębiorstwach jest nie prowadzenie
dokumentacji wykorzystywanych adresów IP zarówno wewnętrznych jak i publicznych. W trakcie
pełnienia zadań administracyjnych będziesz bardzo często posługiwał się bezpośrednio adresami IP
swoich urządzeń aktywnych czy też serwerów. Przygotowanie odpowiednich procedur
w zarządzaniu IP da Ci sprawne narzędzie i kontrolę nad infrastrukturą.
Jako inżynier systemowy masz dokonać projektu ujednolicenia adresacji IP w całej organizacji oraz
zaplanowanie wykorzystania adresacji wewnętrznej klasy A. W ramach projektu masz rozważyć
celowość stosowania adresacji IPv4 lub IPv6, ponadto masz też uwzględnić projekt podziału sieci na
podsieci.
Podstawy teoretyczne
Aby dowolny komputer mógł komunikować się w sieci, musi mieć przypisany unikalny adres IP.
W przypadku adresowania IP z podziałem na klasy, w trakcie przypisywania każdemu komputerowi
adresu IP wykorzystywane są trzy klasy adresów. Wielkość oraz typ sieci determinują klasę adresu
IP stosowaną do określania adresów IP dla komputerów i innych hostów w sieci.
Adres IP stanowi unikalny identyfikator, który pozwala rozróżniać komputery w sieci i ułatwia
odnalezienie części sieci, w której dany komputer się znajduje. Każdy komputer czy inny składnik
sieci, taki jak router, który komunikuje się za pomocą pakietu protokołów TCP/IP, musi mieć
przypisany adres IP. Adres IPv4 składa się z czterech liczb, z których każda może przyjmować
wartości od 0 do 255. Ideę wykorzystywania adresów IP przedstawia Rys. 2.
Rys. 2 Schemat wykorzystania adresacji IP w przedsiębiorstwie
Składniki adresu IP
Adres IP składa się z dwóch elementów —identyfikatora hosta oraz identyfikatora sieci.
Identyfikator sieci
Pierwszą część adresu IP stanowi identyfikator sieci, który określa segment sieci, w którym znajduje
się dany komputer. Komputery znajdujące się w tym samym segmencie sieci muszą mieć taki sam
identyfikator sieci, tak jak domy znajdujące się w jednym obszarze muszą mieć taki sam kod
pocztowy.
Identyfikator hosta
Drugą część adresu IP stanowi identyfikator hosta, pozwalający zidentyfikować komputer, router
lub inne urządzenie w danym segmencie. Każdy host w obrębie segmentu musi posiadać unikalny
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 4/18
identyfikator, tak jak każdy dom musi mieć odrębny adres w obszarze określanym jednym kodem
pocztowym.
Klasy adresów IP
Adresy IP są podzielone na klasy. Adresy zarejestrowane są przydzielane przez usługodawcę
internetowego lub organizację IANA (ang. Internet Assigned Numbers Authority). Klasa adresu
zależy od rozmiaru i typu danej sieci.
Klasa adresu określa bity stanowiące identyfikator sieci oraz bity stanowiące identyfikator hosta.
Określa również maksymalną liczbę sieci i hostów w sieci. Istnieje pięć klas adresów IP: od A do E.
Protokół TCP/IP wersji 4 w systemie Microsoft Windows Server 2008 i wszystkich starszych
wersjach systemu Windows umożliwia przypisywanie hostom adresów klasy A, B oraz C .
Jak pokazano na Rys. 3, cztery oktety tworzące adres IP są umownie reprezentowane za pomocą
liter w, x, y oraz z.
Rys. 3 Klasy adresów IPv4
Klasa A
Adresy klasy A są przypisywane sieciom obejmującym dużą liczbę hostów. Klasa A umożliwia
identyfikację 126 sieci przy użyciu pierwszego oktetu jako identyfikatora sieci. Pierwszy lub
najbardziej znaczący bit w tym oktecie zawsze ma wartość zero. Następnych siedem bitów w tym
oktecie tworzy identyfikator sieci. 24 bity w pozostałych oktetach tworzą identyfikator hosta, dzięki
czemu w sieci może się znajdować 126 sieci i około 17 milionów hostów. Numery sieci klasy A
w oktecie w pochodzą z zakresu od 1 do 127.
Klasa B
Adresy klasy B są przypisywane sieciom średnim i dużym. Klasa B umożliwia identyfikację 16 384
sieci przy użyciu dwóch pierwszych oktetów jako identyfikatora sieci. Pierwsze dwa najbardziej
znaczące bity w pierwszym oktecie mają zawsze wartość 10. Pozostałych 6 bitów wraz z kolejnym
oktetem uzupełniają identyfikator sieci. 16 bitów w trzecim i czwartym oktecie reprezentuje
identyfikator hosta, dzięki czemu w sieci może się znajdować ok. 65 000 hostów. Numery sieci klasy
B w oktecie w pochodzą z zakresu od 128 do 191.
Klasa C
Adresy klasy C są przypisywane małym sieciom lokalnym (LAN). Klasa C umożliwia identyfikację
około 2 milionów sieci przy użyciu trzech pierwszych oktetów jako identyfikatora sieci.
Trzy pierwsze najbardziej znaczące bity w adresie klasy C mają zawsze wartość 110. Pozostałych 21
bitów w pierwszych trzech oktetach uzupełnia identyfikator sieci. 8 bitów w ostatnim oktecie
reprezentuje identyfikator hosta, dzięki czemu sieć może obejmować 254 hosty. Numery sieci klasy
C w oktecie w pochodzą z zakresu od 192 do 223.
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 5/18
Klasy D i E
Klasy D i E nie są przypisywane hostom. Adresy klasy D są stosowane do multiemisji, a adresy klasy
E są niedostępne do zastosowań ogólnych, gdyż są zarezerwowane do wykorzystania w przyszłości
przy konsolidacji sieci IPv4 i IPv6.
Określanie klasy adresu IP przy pomocy domyślnych masek sieciowych
Każda klasa adresów ma domyślną maskę podsieci. W przypadku dzielenia sieci na segmenty lub
podsieci można podzielić adres IP sieci za pomocą domyślnej maski podsieci danej klasy. W tabeli 1
przedstawiono wartości bitów oraz liczby sieci i hostów w trzech pierwszych klasach.
Tab. 1 Klasy adresów IP
Klasa
Pierwsze bity
Wartość
pierwszego
Bajtu
Liczba bitów
identyfikatora
sieci
Liczba bitów
identyfikatora
hosta
Liczba sieci
Liczba hostów
A
0
1 -127*
8
24
126
16777214
B
10
128 – 191
16
16
16384
65534
C
110
192 – 223
24
8
2097152
254
* identyfikator 127.0.0.0 jest zarezerwowany dla testów wewnętrznej pętli zwrotnej komputera.
Zasady przypisywania poprawnych adresów IP hostom
Nie ma żadnych wyraźnych reguł przypisywania adresów IP w sieci, istnieją jednak wskazówki,
którymi można się kierować w celu przypisania prawidłowych identyfikatorów sieci i hostów.
Przypisując adresy IP hostom warto uwzględnić następujące zasady:
• W pierwszym oktecie identyfikatora sieci nie wolno wprowadzać wartości 127. Jest to
wartość zarezerwowana do celów diagnostycznych.
• Adresów publicznych należy używać tylko w uzasadnionych przypadkach.
• Należy używać adresów z zakresów adresów prywatnych zarezerwowanych przez organizację
IANA.
• Nie wolno określać identyfikatora hosta w sieci danej klasy przy użyciu samych jedynek
binarnych. Jeśli wszystkie bity mają wartość 1, adres będzie traktowany jak adres emisji.
• Nie wolno określać identyfikatora hosta w sieci danej klasy przy użyciu samych zer.
Jeśli wszystkie bity mają wartość 0, to niektóre wersje protokołu TCP/IP będą traktować taki
adres jak adres emisji.
• Nie wolno duplikować identyfikatorów hostów w ramach danego segmentu sieci.
Podział sieci na podsieci
Dodawanie dodatkowych segmentów sieci może nastąpić za pomocą fizycznych urządzeń, takich
jak routery lub mosty. Każdą sieć można w ten sposób również podzielić na mniejsze segmenty
w celu zwiększenia jej wydajności. Segmenty sieci oddzielone od siebie routerami noszą nazwę
podsieci. W trakcie tworzenia podsieci identyfikator sieci jest współdzielony przez hosty
w poszczególnych podsieciach. Aby ustalić nowy identyfikator sieci dla każdej podsieci, należy użyć
maski podsieci, określającej, jaka część adresu IP ma być wykorzystana jako nowy identyfikator
sieci.
Podsieci
Podsieć to fizyczny segment sieci, oddzielony od reszty sieci przy użyciu co najmniej jednego
routera. W sieci może istnieć wiele podsieci. Sieć wielu podsieci połączonych routerami często jest
nazywana intersiecią.
Adresacja IP w podsieciach
Adres IP każdej podsieci jest tworzony na podstawie głównego identyfikatora sieci. Po podzieleniu
sieci na podsieci należy dla każdej z nich utworzyć unikatowy identyfikator. Aby utworzyć
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 6/18
identyfikator podsieci należy podzielić bity identyfikatora hosta na dwie części. Pierwsza część
będzie identyfikować podsieć, a druga host.
Korzyści wykorzystywania podsieci
Organizacje korzystają z podsieci w celu rozbudowy istniejącej sieci o wiele segmentów fizycznych.
Zastosowanie podsieci umożliwia:
• łączenie różnych technologii sieciowych, takich jak Ethernet i Token Ring
• przezwyciężanie ograniczeń wynikających ze stosowania obecnych technologii, takich jak
maksymalna dozwolona liczba hostów w segmencie
• dzielenie segmentu na kolejne segmenty, co zwiększa dozwoloną całkowitą liczbę hostów
• zmniejszanie obciążenia sieci przez segmentację ruchu i ograniczenie liczby emisji
przesyłanych w poszczególnych segmentach
Zasady tworzenia podsieci
Przed wdrożeniem podsieci należy wziąć pod uwagę aktualne oraz przyszłe wymagania,
aby umożliwić jej rozbudowę. Aby utworzyć podsieć:
• Ustal liczbę segmentów fizycznych sieci.
• Ustal liczbę wymaganych adresów hostów w każdym segmencie fizycznym.
• Każda karta sieciowa w segmencie fizycznym wymaga przynajmniej jednego adresu IP.
Hosty TCP/IP mają zwykle po jednej karcie.
• Na podstawie wymagań ustalonych w krokach 1 i 2 zdefiniuj:
• Jedną maskę podsieci dla całej sieci.
• Unikatowy identyfikator podsieci dla każdego segmentu fizycznego.
• Zakres identyfikatorów hostów dla każdej podsieci.
Maska podsieci
W przypadku zastosowania podziału na klasy, liczba dostępnych sieci i hostów dla poszczególnych
klas adresów jest z góry ograniczona. W rezultacie danej organizacji przydzielany jest jeden stały
identyfikator sieci oraz pewna określona liczba hostów, zależna od klasy adresu IP. Jeśli danej
organizacji został przyznany tylko jeden identyfikator sieci, może w niej funkcjonować tylko jedna
sieć, licząca określoną liczbę hostów. Jeśli liczba hostów będzie zbyt duża, sieć nie będzie w stanie
efektywnie działać.
Struktura maski podsieci
Podział identyfikatora sieci jest możliwy dzięki zastosowaniu maski podsieci. Maska podsieci
stanowi rodzaj filtra, który pozwala oddzielać w adresie IP identyfikator sieci od identyfikatora
hosta, lecz nie podlega ograniczeniom wynikającym z podziału na klasy. Maska podsieci, podobnie
jak adres IP, składa się z czterech oktetów, które definiują wartości od 0 do 255.
W przypadku zastosowania podziału na klasy, każda z tych liczb może przyjmować tylko
dopuszczalną wartość maksymalną 255 lub minimalną 0.
Domyślne maski podsieci
W przypadku zastosowania podziału na klasy, ka5da klasa adresów posiada domyślną maskę
podsieci. Dla adresów klasy A maska wynosi 255.0.0.0, dla klasy B 255.255.255.0 i dla klasy C
255.255.255.0.
Definiowanie identyfikatorów podsieci
Definiując identyfikator podsieci należy pamiętać, że liczba bitów hosta musi być taka sama jak w
masce podsieci. Należy oszacować liczbę możliwych kombinacji bitów, a następnie
przekonwertować je na format dziesiętny. Przykładowo jeżeli maska podsieci wynosi:
255.
255.
224.
0
11111111 11111111 11100000 00000000
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 7/18
to dla takiej maski możliwe jest utworzenie 8 podsieci. O wartości tej świadczy ilość jedynek na
ostatniej pozycji maski.
Maska
Podsieci
000 00000
0 – 31
001 00000
32 – 63
010 00000
64 – 95
011 00000
96 – 127
100 00000
128 – 159
101 00000
160 – 191
110 00000
192 – 223
111 00000
224 - 255
Inną metodą wyznaczania identyfikatorów jest przeliczenie ilości zer w ostatnim identyfikatorze
sieci i przekonwertowanie tej liczby na wartość dziesiętną podnosząc liczbę 2 do uzyskanej wartości
potęgi. Np. w naszym przypadku ilość zer wynosi 5, a więc podnosząc 2 do potęgi 5 uzyskujemy 32,
co informuje nas, o ile mają być zwiększane identyfikatory podsieci. Ta metoda jest o wiele
wydajniejsza niż poprzednia, zwłaszcza dla masek, których ilość jedynek jest większa niż 4.
Optymalne przydzielanie adresów IP
Wyczerpywanie się puli adresów IP doprowadziło do powstania nowego systemu adresowania,
noszącego nazwę metody CIDR (ang. Classless Inter-Domain Routing). W przypadku metody CIDR,
adresy IP oraz maski podsieci przedstawiane są w zapisie binarnym, co pozwala dzielić tradycyjne
sieci o stałym rozmiarze. Dzięki temu metoda CIDR stanowi bardziej efektywny sposób
przydzielania adresów IP niż metoda podziału na klasy.
Wykorzystanie zapisu binarnego dla adresu IP
Komputery, w trakcie realizacji wewnętrznych procesów przetwarzania danych wykorzystują zapis
binarny, ponieważ wewnętrzna komunikacja odbywa się za pomocą sygnałów, które mogą
występować tylko w dwóch stanach: włączony lub wyłączony.
W przypadku zastosowania metody CIDR, adres IP oraz maska podsieci są konwertowane na zapis
binarny. Zgodnie z metodą CIDR adresy IP składają się z zestawu 32 wartości, zamiast tylko czterech
wartości, stosowanych w przypadku podziału na klasy. Podział taki dopuszcza stosowanie wielu
różnych rozmiarów sieci, co pozwala zoptymalizować sposób, w jaki przypisywane są adresy IP.
Użycie metody CIDR powoduje, że firmy mogą otrzymywać adresy IP w liczbie bardziej
odpowiadającej ich wymaganiom, dzięki czemu zdecydowanie mniejsza liczba adresów IP pozostaje
niewykorzystana. W metodzie CIDR domyślna maska podsieci nie jest określana na podstawie
adresu IP. Zamiast tego każdemu hostowi nadawana jest niestandardowa maska podsieci, a każdy
router przesyła adres IP jako część pakietu danych.
Maski podsieci w zapisie binarnym
Maski podsieci składają się zawsze z ciągłego zakresu wartości maksymalnych, po którym następuje
ciągły zakres wartości minimalnych. W zapisie binarnym przekłada się to na serię sąsiednich
jedynek, po których następuje seria zer. Sąsiednie cyfry o wartości 1 wskazują część adresu IP, który
odpowiada identyfikatorowi sieci, natomiast sąsiednie cyfry o wartości 0 wskazują identyfikator
hosta.
Zapis adresu IP w notacji CIDR
Adres IP w zapisie CIDR oprócz wartości dziesiętnych oddzielonych kropkami zawiera także maskę
bitową. Maska bitowa określa liczbę kolejnych jedynek maski podsieci w zapisie binarnym, która
jest związana z danym adresem IP.
Na przykład dla adresu IP przedstawionego w zapisie CIDR jako 10.217.123.7/20, pierwszych 20
bitów maski podsieci stanowią jedynki. Gdybyśmy chcieli przedstawić ten zapis w notacji klasycznej,
maska sieciowa wynosiłaby: 255.255.240.0.
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 8/18
Zależność pomiędzy CIDR a klasami adresów IP
W zapisie CIDR adres IP, podany wraz z maską bitową /20, może należeć do każdej ze stosowanych
klas adresów A, B lub C.
W poniższej tabeli została zamieszczona lista praktycznych masek sieciowych w notacji CIDR.
Zapis CIDR
Maska podsieci
Liczba podsieci
/8
255.0.0.0
256 sieci klasy B
/9
255.128.0.0
128 sieci klasy B
/10
255.192.0.0
64 sieci klasy B
/11
255.224.0.0
32 sieci klasy B
/12
255.240.0.0
16 sieci klasy B
/13
255.248.0.0
8 sieci klasy B
/14
255.252.0.0
4 sieci klasy B
/15
255.254.0.0
2 sieci klasy B
/16
255.255.0.0
1 sieć klasy B lub 256 klasy C
/17
255. 255.128.0
128 sieci klasy C
…
…
…
/24
255.255.255.0
1 sieć klasy C
/25
255. 255. 255.128
½ sieci klasy C
/26
255. 255. 255.192
¼ sieci klasy C
/27
255. 255. 255.224
1/8 sieci klasy C
/28
255. 255. 255.240
1/16 sieci klasy C
Wyznaczanie identyfikatora sieci w notacji CIDR
Aby obliczyć identyfikator sieci dla adresu, którego zapis jest podany w notacji CIDR należy:
• Dokonać konwersji adresu IP na format binarny.
• Korzystając z maski bitowej, określić liczbę bitów adresu IP, które składają się na
identyfikator sieci.
• Uzupełnić identyfikator sieci o brakujące zera, nadając mu pełną, złożoną z czterech oktetów,
strukturę.
W zapisie adresu IP 10.217.123.7/20 wskazane jest, że maska podsieci zawiera 20 sąsiednich
jedynek, tak więc identyfikator sieci składa się z pierwszych 20 bitów adresu IP, po których
umieszczone są zera.
00001010 11011001 01111011 00000111
11111111 11111111 11110000 00000000
00001010 11011001 01110000 00000000
Na podstawie powyższych informacji identyfikator podsieci ma adres 10.217.112.0
Określanie adresów hostów
Zastosowanie metody CIDR pozwala w prosty sposób obliczać ilość dostępnych identyfikatorów
hosta na podstawie maski podsieci i związanego z nią bloku adresów IP.
W ramach metody CIDR stosowany jest podział na podsieci oraz tworzenie nadsieci, co pozwala
zoptymalizować sposób, w jaki przydzielane są adresy IP.
Termin tworzenie nadsieci oznacza łączenie wielu różnych adresów tak, aby można było nadać im
jeden identyfikator sieci. Podział na podsieci daje możliwość rozdzielenia dużej sieci na wiele
podsieci.
Ilość hostów, które mogą mieć taki sam identyfikator sieci, oblicza się na podstawie ilości zer
w masce podsieci. Jeśli ilość zer oznaczymy literą n, to ilość hostów obliczyć będzie można ze wzoru
2n-2. Dwa adresy, które są we wzorze odejmowane, są zarezerwowane dla identyfikacji sieci oraz
adresu rozgłoszeniowego.
Typy adresów IP
Wszystkie komputery w sieci, które są dostępne z Internetu, wymagają zarejestrowanego adresu
IP, ale nie każdy komputer mający dostęp do Internetu wymaga takiego adresu. W zależności od
wymagań danej sieci można korzystać z prywatnych lub publicznych adresów IP.
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 9/18
Prywatne adresy IP
Prywatne adresy IP to specjalne adresy sieciowe, które są przeznaczone dla sieci prywatnych i nie
są na nikogo zarejestrowane. Adresy takie można przypisywać bez udziału usługodawcy
internetowego i organizacji IANA. Adresy prywatne można przypisywać komputerom, które nie
muszą być dostępne z Internetu. Prywatny adres IP nie zostanie nigdy przypisany jako adres
publiczny i nigdy nie będzie duplikatem adresu publicznego.
Następujące adresy IP są zarezerwowane dla sieci prywatnych:
• od 10.0.0.0 do 10.255.255.255
• od 172.16.0.0 do 172.31.255.255
• od 192.168.0.0 do 192.168.255.255
Więcej informacji na temat prywatnych adresów IP można znaleźć w specyfikacji RFC 1918.
Publiczne adresy IP
Adresy publiczne są przypisywane przez organizację IANA i składają się z identyfikatorów sieci
określonej klasy lub bloków adresów CIDR (nazywanych blokami CIDR) gwarantujących globalną
unikatowość w Internecie. Liczba adresów publicznych, które można przypisać, jest ograniczona.
Po przypisaniu adresów publicznych do określonych lokalizacji trasy są zapisywane w pamięci
routerów internetowych, aby ruch wysłany pod przypisane adresy publiczne trafił do tych
lokalizacji. Ruch kierowany pod docelowe adresy publiczne jest przesyłany w Internecie.
Jeśli organizacji został przypisany na przykład blok CIDR w postaci identyfikatora sieci i maski
podsieci, to ta para identyfikator sieci-maska podsieci również jest zapisana jako trasa w routerach
internetowych. Pakiety IP przeznaczone dla adresu w bloku CIDR są przesyłane do właściwego
miejsca docelowego.
Adresacja IPv6
Budowa adresu IPv6
Zwykle adres IPv6 podaje się w postaci heksadecymalnej (szesnastkowej), oddzielając porcje 16
bitów dwukropkiem:
2001:0470:1F00:FFFF:0000:0000:006A/127
Wykorzystując kompresję zer możliwe jest skrócenie adresu do formy, która jest bardziej czytelna:
2001:470:1F00:FFFF::6A/127
Zezwala się na skrócenie jednego ciągłego bloku zer i zastąpienie go podwójnym dwukropkiem.
Opuszcza się także początkowe zera w blokach. W powyższym adresie została dołączona
127-bitowa maska („/127”). Podobny zapis jest stosowany w adresach URL, gdzie adres IPv6
zawiera się w nawiasach kwadratowych:
http://[2001:0470:1F00:FFFF:0000:0000:006A]:8080/
Adresy IPv6 mogą wydawać się ciężkie do zapamiętania użytkownikom końcowym.
Należy pamiętać jednak, że w większości przypadków adresy te zostaną przetłumaczone na nazwy
przez serwery DNS.
Typy adresów IPv6
Podobnie jak w IPv4, IPv6 adres został podzielony na części, które definiują typy adresów.
Wyróżnia się następujące typy adresów:
• Unicast – adres ten identyfikuje pojedyncze interfejsy unicast. Pakiety zaadresowane do tego
typu adresu trafiają zawsze do pojedynczego interfejsu.
• Multicast – adres ten identyfikuje interfejsy grupowe multicast. Pakiety zaadresowane do
tego typu adresu trafiają zawsze do adresów, które zostały zidentyfikowane w adresie.
Wykorzystywany do komunikacji jeden-do-wielu.
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 10/18
• Anycast – adres ten identyfikuje interfejsy grupowe. Pakiety zaadresowane do tego typu
adresu trafiają zawsze do najbliższego (o najmniejszej trasie pakietu) zidentyfikowanego
pojedynczego interfejsu. Wykorzystywany do komunikacji jeden-do-jednego-z-wielu.
Każdy z adresów IPv6 identyfikuje poszczególny interfejs. Węzły są identyfikowane poprzez adres
unicast, który został przypisany do jednego z jego interfejsów. Każdy adres posiada określoną
sekwencję bitów, która bezpośrednio go charakteryzuje. Adresy danego typu zaczynają się zawsze
od tej samej sekwencji – prefiksu. Dzięki temu możliwe jest odróżnienie adresów od siebie, tak jak
w IPv4. Prefiks IPv6 jest analogią do CIDR w IPv4.
Prefiks wskazuje na bity, które mają stałe wartości lub na identyfikatory sieciowe, np.
2001:470:1F00:FFFF::6A/48 jest prefiksem trasy, a 2001:470:1F00:FFFF::6A/64 określa prefiks
podsieci. Zamiast maski jak w protokole IPv4, w IPv6 używana jest notacja długości prefiksu.
Stosowana technika multinetting polega na przypisaniu grupowych prefiksów podsieci do tego
samego łącza.
Adresy unicast
Adresy Unicast dzielą się na poszczególne podtypy:
• Global – tzw. adresy główne
• Link-local – adresy lokalne łącza
• Site-local – adresy lokalne węzła
• Adresy Specjalne
Adres global odpowiada adresom publicznym w IPv4. Identyfikowany jest przez prefiks 001. Adres
link-local jest adresem ograniczonym zasięgiem do lokalnego połączenia np. podsieć, VLAN itp.
Identyfikuje się je przez prefiks 1111 1110 10, czyli FE80:0:0:0. Jeżeli w sieci nie ma routera, to
adresy te wykorzystywane są przez poszczególne komputery do komunikacji między sobą. Adres
ten jest wymagany do działania Neighbor Discovery, podlega autokonfiguracji i nie przekazuje
ruchu poza łącze wewnętrzne (jest nie routowalny). Powstaje na podstawie adresu MAC
(najmłodsze 64 bity).
Adres site-local jest adresem będącym odpowiednikiem adresów prywatnych w protokole IPv4
(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). W przeciwieństwie do adresów link-local, adresy
site-local nie są konfigurowalne automatycznie. Do ich konfiguracji wykorzystuje się DHCPv6 lub
konfiguruje się je ręcznie. Posiadają prefiks 1111 1110 11, czyli FEC0:0:0/48, a ich zasięg ogranicza
się do danej sieci. Oznacza to, że routery nie mogą przekazywać ruchu pochodzącego z tych
adresów poza wyznaczony obszar.
Podobnie jak w IPv4, w IPv6 również są adresy specjalne:
• Nieokreślony – wykorzystywany do określenia adresu, który nie został przypisany do
wybranego interfejsu. Oznacza się go grupą zer 0:0:0:0:0:0:0:0 lub ::, podobnie jak w IPv4 dla
takiego adresu wykorzystywano zapis 0.0.0.0. Adres ten jest przypisywany podczas, gdy host
szuka adresów do przypisania, bądź weryfikuje przypisany adres.
• Pętli zwrotnej (czyli loopback) – wykorzystywany do określania własnego interfejsu,
identyfikuje się go jako: 0:0:0:0:0:0:0:1 lub ::1. Jest odpowiednikiem 127.0.0.1 w IPv4.
Adresy multicast
Adresowanie grupowe w IPv6 identyfikowane jest przez ciąg 11111111. Adres grupowy jest łatwo
rozpoznawalny, ponieważ zawsze zaczyna się od FF i nie może być wykorzystany jako adres
źródłowy. Oprócz prefiksu, w nagłówku znajdują się także flagi, podobnie jak w IPv4. Identyfikacja
węzłów dla tzw. node-local, site-local i link-local obejmuje następujące adresy:
• FF01::1 – adres grupowy node-local o zasięgu all-nodes
• FF01::2 – adres grupowy node-local o zasięgu all-routers
• FF02::1 – adres grupowy link-local o zasięgu all-nodes
• FF02::2 – adres grupowy link-local o zasięgu all-routers
• FF05::2 – adres grupowy site-local o zasięgu all-routers
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 11/18
Adresy anycast
• Adres anycast obecnie używany jest tylko i wyłącznie, jako adres docelowy przypisany do
routera. Adres tego typu znajduje się poza pulą adresową adresów unicast. Pakiety, które
docelowo zostają przesłane na adres anycast, zwykle przesyłane są do najbliższego interfejsu,
do którego omawiany adres został przypisany.
Konfiguracja adresów IPv6
Autokonfiguracja jest jednym z ciekawszych i bardziej przydatnych aspektów zarządzania IPv6. Do
autokonfiguracji nie potrzebujemy DHCPv6, ponieważ host konfiguruje adres link-local sam, dla
każdego interfejsu. Informacje o autokonfiguracji zostały umieszczone w RFC 2462.
W autokonfiguracji wyróżnia się trzy sposoby przypisywania adresów:
• Stateless – Konfiguracja jest ściśle powiązana z wiadomościami routerów Router
Advertisement.
• Stateful – Konfiguracja opiera się na protokołach konfiguracji, np. DHCPv6, który
automatycznie nadaje adresy oraz opcje konfiguracyjne.
• Oba – Konfiguracja opiera się na wiadomościach Router Advertisement, Prefix Information
oraz MAC i OSC ustawione w wartość 1.
Adresy konfigurujące się automatycznie mogą znaleźć się w następujących stanach:
• Tentative (tymczasowy) – przybranie tej formy adresu oznacza, że następuje weryfikacja
adresu (detekcja duplikatów). Węzeł może odpowiadać jedynie na wiadomości grupowe
Neighbor Advertisement, nie może odebrać ruchu typu unicast.
• Valid (poprawny) – przybranie tej formy adresu oznacza, że adres jest unikalny i od tej pory
do komunikacji można wykorzystywać IPv6.
• Preferred (preferowany) – przybranie tej formy umożliwia wysyłanie i odbieranie unicast do
adresu preferowanego.
• Deprecated (zdewaluowany) – adres tego typu nie nawiązuje nowych połączeń, mimo tego,
że nadal jest aktywny. Połączenie, które już istnieje, może wykorzystywać ten adres, można
wysyłać i odbierać na niego ruch.
• Invalid (niewłaściwy) – adres tego typu nie pozwala na nawiązanie żadnych połączeń unicast.
Stan ten przyjmowany jest w sytuacji, gdy czas życia adresu aktywnego wygasa.
• Autokonfguracja, z wyjątkiem adresów link-local, przeznaczona jest tylko dla hostów.
Narzędzia konfiguracji adresów IP
Do zarządzania konfiguracją adresów IP można wykorzystać następujące metody:
Właściwości protokołu internetowego (TCP/IP)
Zmiana konfiguracji adresu IP może zostać przeprowadzana przy wybraniu okna właściwości
interfejsu sieciowego. W oknie tym możliwe jest dokonanie konfiguracji zarówno dla adresów IPv4
oraz IPv6. Przykładowe okno konfiguracji IP znajduje się na rysunku 4.
Rys. 4 Okno właściwości interfejsu sieciowego dla adresów IPv4 i IPv6
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 12/18
Aby wywołać okno właściwości interfejsu sieciowego wykonaj następujące kroki:
• uruchom Network and Sharing Center z Control Panel
• wybież z prawego menu opcji Manage Network Connections
• kliknij prawym klawiszem myszy interfej, którego adresację IP chcesz zmodyfikować i wybierz
Properties
• zaznacz protokół IPv4 i kliknij przycisk Properties
• pojawi się okno jak na rysunku 4
• powtórz powyższe kroki dla protokołu IPv6
Narzędzia wiersza linii poleceń
• Do zarządzania adresacją IP z wiersza linii poleceń można wykorzystać następujące
polecenia:
• Ipconfig – wyświetla i aktualizuje bieżącą konfigurację TCP/IP, włącznie z adresem IP.
• netsh – bardzo rozbudowany wiersz linii poleceń, umożliwiający zarządzanie stosem TCP/IP
oraz adresacją IP na komputerach pod kontrolą systemów Windows.
• Aby wykorzystać polecenia netsh do zmiany adresu IP dla interfejsu o nazwie „Połączenie
lokalne”, należy wykonać następujące polecenia:
interface ip
set address name="Połączenie lokalne" source=static addr=192.168.1.20
mask=255.255.255.0
set address name="Połączenie lokalne" gateway=192.168.1.1 gwmetric=0
set dns name="Połączenie lokalne" source=static addr=192.168.1.1
register=PRIMARY
add dns name="Połączenie lokalne" addr=194.204.159.1 index=2
set wins name="Połączenie lokalne" source=static addr=none
Polecenia skryptowe
Przeprowadzenie zmiany adresu IP na interfejsie sieciowym może zostać przeprowadzone również
za pomocą języków skryptowych tj. VBS lub PowerShell. Przykład wykorzystania VBS znajduje się
poniżej:
Set oLocator = New SWbemLocator
Set oServices = oLocator.ConnectServer(, "root\cimv2")
Set oObject = oServices.Get("Win32_NetworkAdapterConfiguration.Index=0")
Dim asIPAddress
Dim asSubnetMask
asIPAddress = Array("xxx.xxx.xxx.xxx")
asSubnetMask = Array("xxx.xxx.xxx.xxx")
Set oMethod = oObject.Methods_("EnableStatic")
Set inParam = oMethod.InParameters.SpawnInstance_()
inParam.IPAddress = asIPAddress
inParam.SubnetMask = asSubnetMask
Set outParam = oObject.ExecMethod_("EnableStatic", inParam)
If outParam.returnValue = 0 Then
MsgBox "Method Succeeded."
Else
MsgBox "Method Failed. " & CStr(outParam.returnValue)
End If
W powyższym kodzie w miejsce „xxx.xxx.xxx.xxx” należ wpisać odpowiednio poprawny adres IP
oraz maskę sieciową.
Podsumowanie
W rozdziale tym zostały przedstawione najważniejsze informacje związane z adresowaniem IP.
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 13/18
Po zapoznaniu się z zawartością modułu powinieneś rozumieć jak zbudowany jest adres IPv4 i IPv6,
wiedzieć jaką rolę w zarządzaniu adresacją IP odgrywa maska sieciowa i potrafić zaplanować
wykorzystanie adresacji IP w rozproszonej infrastrukturze sieciowej.
Przykładowe rozwiązanie
Dokonaj projektu wykorzystania adresów IP dla przedsiębiorstwa, które zakupiło pulę adresów IP
w sieci o identyfikatorze 157.54.0.0/16. Przeprowadzany przez Ciebie projekt ma zagwarantować
optymalne wykorzystanie adresów IP. W ramach projektu należy utworzyć jedną podsieć
obsługującą maksymalnie 32 000 hostów, 15 podsieci obsługujących maksymalnie po 2000 hostów
oraz osiem podsieci obsługujących maksymalnie po 250 hostów.
Utworzenie podsieci dla 32000 hostów
Aby spełnić wymaganie dotyczące utworzenia jednej podsieci zawierającej około 32 000 hostów,
należy dodać bit o wartości 1 do identyfikatora sieci danej klasy 157.54.0.0. Spowoduje to
utworzenie 2 podsieci: 157.54.0.0/17 i 157.54.128.0/17. Taki podział zezwala na działanie 32 766
hostów w jednej podsieci. 157.54.0.0/17 został wybrany na identyfikator sieci, co jest zgodne
z wymaganiami.
Utworzenie 15 podsieci dla 2000 hostów
Aby spełnić wymaganie dotyczące utworzenia 15 podsieci zawierających około 2000 hostów, należy
dodać 4 bity do identyfikatora podsieci 157.54.128.0/17. Spowoduje to utworzenie 16 podsieci
(157.54.128.0/21, 157.54.136.0/21 do 157.54.240.0/21, 157.54.248.0/21) i umożliwi działanie 2046
hostów w jednej podsieci. Pierwszych 15 identyfikatorów podsieci (157.54.128.0/21 do
157.54.240.0/21) zostało wybranych na identyfikatory sieci, co jest zgodne z wymaganiami.
Utworzenie 8 podsieci dla 250 hostów
Aby spełnić wymaganie dotyczące utworzenia 8 podsieci z maksymalnie 250 hostów, należy dodać
3 bity do identyfikatora podsieci 157.54.248.0/21. Spowoduje to utworzenie 8 podsieci
(157.54.248.0/24, 157.54.249.0/24 do 157.54.254.0/24, 157.54.255.0/24) i umożliwi działanie 254
hostów w jednej podsieci. Wszystkie osiem identyfikatorów podsieci (157.54.248.0/24 do
157.54.255.0/24) zostało wybranych na identyfikatory sieci, co jest zgodne z wymaganiami.
Porady praktyczne
Uwagi ogólne
• Pamiętaj, że znajomość zasad działania i budowy protokołów adresacji IP może znacznie
ułatwić Ci prowadzenie czynności administracyjnych w przyszłej pracy.
• W środowisku rozproszonym zaplanuj wykorzystanie podsieci.
• Wypracuj sobie metody przydzielania adresów IP.
• W środowisku wykorzystującym routery staraj się agregować tablice routingu przy
wykorzystaniu metody CIDR.
• Dla dużych środowisk sieciowy wykorzystuj automatyczne zarządzanie adresacją IP.
• Pamiętaj, że praca w jednej dużej domenie rozgłoszeniowej zmniejsza wydajność sieci.
• W sieci LAN wykorzystuj adresację wewnętrzną.
• Planując dostęp użytkowników do sieci Internet rozważ stosowanie technologii NAT.
• IPv6 za niedługo stanie się standardem, zaplanuj więc wykorzystanie go w Twojej sieci.
Uwagi dla studenta
Jesteś przygotowany do realizacji laboratorium jeśli:
• jesteś zaznajomiony z protokołem TCP/IP
• rozumiesz budowę adresu IPv4 i IPv6
• wiesz jaką rolę w budowaniu podsieci odgrywają maski sieciowe
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 14/18
• znasz problemy wynikające z stosowania adresowania IP opartego na klasach
• wiesz jak wykorzystywać notację CIDR do optymalnego zarządzania adresacją IP
• zapoznałeś się z pojęciami dotyczącymi modułu tj. adres IP, maska sieciowa, notacja CIDR,
podsieć, nadsieć, budową adresów IPv6.
Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.
Dodatkowe źródła informacji
1.
http://pl.wikipedia.org/wiki/Adres_IP
Opis funkcjonowania adresacji IPv4 wraz z odsyłaczami do pokrewnych stron.
2. http://pl.wikipedia.org/wiki/IPv6
Zbiór informacji na temat budowy i wdrażania adresacji IPv6
3.
Karol Krysiak, Sieci komputerowe. Kompendium, Helion, 2003
Bardzo dobry podręcznik ogólnej wiedzy o sieciach komputerowych.
4.
Mark Sportack, Sieci komputerowe. Księga eksperta, Helion 2004
Książka przybliża podstawowe założenia sieci komputerowych, które powinny być znane
współczesnemu informatykowi. Krok po kroku wprowadzi Cię w problematykę sieci,
pozwalając na poznanie ich architektury i zrozumienie zasad działania.
5. Brian Komar, TCP/IP dla każdego. Helion 2002
Książka omawia zarówno teoretyczne podstawy funkcjonowania sieci opartych na TCP/IP,
jak i praktyczne sposoby konfigurowania protokołów w różnorodnych systemach
operacyjnych stosowanych we współczesnych sieciach.
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 15/18
Laboratorium podstawowe
Problem 1 (czas realizacji 20 min)
Jako inżynier systemowy masz za zadanie przeprowadzić konfigurację IP dla komputerów klienckich
w całej sieci przedsiębiorstwa. Wszystkie komputery, które podlegają Twojej bezpośredniej
administracji będą przez Ciebie skonfigurowane ręcznie, natomiast dla komputerów w oddziałach
zdalnych zostaną przygotowane skrypty netsh umożliwiające ich przekonfigurowanie.
Dokonaj konfiguracji adresu IP w trybie graficznym systemu operacyjnego.
Zadanie
Tok postępowania
1.
Konfiguracja
statycznego
adresu IP i
adresów
serwerów DNS
• Zalogować się na komputerze ITA-CL01.
• Kliknąć prawym klawiszem ikonę połączenia sieciowego na pasku zadań
i wybrać Centrum sieci i udostępniania.
• W lewym panelu okna Centrum sieci i udostępniania kliknąć Zarządzaj
połączeniami sieciowymi.
• W oknie Połączenia sieciowe zaznaczyć ikonę połączenia (Połączenie
lokalne), kliknąć prawym klawiszem i wybrać Właściwości.
• W oknie Kontrola konta użytkownika kliknąć Kontynuuj.
• Kliknąć na elemencie Protokół internetowy w wersji 4 (TCP/IPv4), a
następnie kliknąć Właściwości.
• W oknie właściwości protokołu wybrać Użyj następującego adresu IP,
aby ustawić statyczny adres IP.
• W pole Adres IP wprowadzić wybrany dla tego komputera adres IP, np.
10.10.0.100.
• W pole Maska podsieci wprowadzić maskę, np. 255.255.255.0.
• W pole Brama domyślna wprowadzić adres bramy sieci, np. 10.10.0.1.
• W pole Preferowany serwer DNS wprowadzić IP serwera DNS, np.
(10.10.0.1).
• W pole Alternatywny serwer DNS wprowadzić IP zapasowego serwera
DNS.
• Kliknąć przycisk Zaawansowane.
• Na stronie Ustawień protokołu IP można korzystając z przycisków Dodaj
• wprowadzić dodatkowe adresy IP tego komputera, jak również
dodatkowe adresy bram sieci.
• Kliknąć przycisk OK, aby zatwierdzić zmiany.
2.
Konfiguracja
suffix DNS
• Wybrać właściwości dla Protokół internetowy w wersji 4 (TCP/IPv4).
• Kliknąć przycisk Zaawansowane.
• Kliknąć na zakładce DNS.
• Aby ustawić suffix DNS należy wypełnić pole Suffix DNS dla tego
połączenia wartością ITA.lokalna.
• Kliknąć przycisk OK, aby zatwierdzić zmiany.
3.
Konfiguracja
adresu serwera
WINS
• Wybrać właściwości dla Protokół internetowy w wersji 4 (TCP/IPv4).
• Kliknąć przycisk Zaawansowane.
• Kliknąć na zakładce WINS.
• Korzystając z przycisku Dodaj pod listą z adresami serwerów WINS
uzupełnić listę o adresy serwerów WINS 10.10.0.50.
• Kliknąć przycisk OK, aby zatwierdzić zmiany.
• Kliknąć przycisk Zamknij.
4.
Testowanie
konfiguracji
• Uruchom konsolę systemową cmd.exe
• W wierszu linii poleceń wpisz polecenie ipconfig /All
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 16/18
adresu IP
• Zweryfikuj czy wyświetlone dane zgadzają się z wprowadzonymi w
pierwszej części ćwiczenia.
Problem 2 (czas realizacji 25 min)
Przeprowadź konfigurację adresu IP przy wykorzystaniu polecenia netsh.
Zadanie
Tok postępowania
1.
Zmiana nazwy
interfejsu
sieciowego
• Uruchom konsolę systemową cmd.exe w trybie administratora
• W oknie Kontrola konta użytkownika kliknąć Kontynuuj.
• Aby wyświetlić listę interfejsów komputera lokalnego, w oknie konsoli
wprowadź
• polecenie netsh interface show interfaces
• Aby zmienić nazwę połączenia lokalnego wprowadź polecenie
• netsh
interface
set
interface
name=”Połączenie
lokalne”
newname=„LAN”
• Wyświetlić listę połączeń by potwierdzić zmianę nazwy.
2.
Konfiguracja
statycznego
adresu IP
• W oknie konsoli wprowadzić polecenie
• netsh interface ipv4 set address „LAN” static 10.10.0.200 255.255.255.0
10.10.0.1 1
• Aby sprawdzić poprawność zmian, w oknie konsoli wpisać w jednej linii
netsh interface ipv4 show addresses
3.
Ustawienie
adresu serwera
DNS
• W oknie konsoli wprowadzić polecenie
netsh interface ipv4 set dnsserver „LAN” static 10.10.0.1 primary
• Aby wyświetlić konfigurację serwerów DNS, oknie konsoli wprowadzić
polecenie
netsh interface ipv4 show dnsservers
4.
Ustawianie
adresu serwera
WINS
• W oknie konsoli wprowadzić polecenie
netsh interface ipv4 set winsserver „LAN” static 10.10.0.1 primary
• Aby wyświetlić konfigurację serwerów WINS, oknie konsoli wprowadzić
polecenie
netsh interface ipv4 show winsservers
5.
Zapisywanie
konfiguracji
• W oknie konsoli wprowadzić polecenie
netsh interface dump > c:\dump.txt
• Otwórz plik dump.txt i zapoznaj się z zapisaną konfiguracją
6.
Przywracanie
konfiguracji z
pliku
• Dokonaj zmian konfiguracji adresu IP
• Potwierdź dokonanie zmiany poleceniem ipconfig /all
• W oknie konsoli wprowadź polecenie
netsh exec c:\dump.txt
• Potwierdź przywrócenie konfiguracji poleceniem ipconfig /all
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 17/18
Laboratorium rozszerzone
Zadanie 1 (czas realizacji 45 min)
Zaprojektuj wspólną przestrzeń adresową dla przedsiębiorstwa wykorzystującego oddziały zdalne,
którego architektura została przedstawiona na Rys. 5.
Rys. 5 Środowisko przedsiębiorstwa
Podczas projektu należy przyjąć następujące założenia:
• w całej organizacji musi być wykorzystywana wspólna przestrzeń adresowa wykorzystująca
prywatne adresy IP
• przeprowadzając projekt należy uwzględnić optymalną konfigurację podsieci tak aby
umożliwić dalszy rozwój organizacji bez konieczności zmian w adresacji
• przedsiębiorstwo dysponuje następującymi lokalizacjami: Centrala – zawierająca 763 hosty,
oddział 1 – zawierający 76 hostów, oddział 2 – zawierający 56 hostów, oddział 3 –
zawierający 132 hosty i oddział 4 – zawierający 273 hosty
• dla organizacji nie jest akceptowalna jedna wspólna przestrzeń adresowa
Przeprowadzić projekt wdrażania spójnej przestrzeni adresacji IP dla określonych powyżej
warunków. Wyniki projektu przedyskutuj z prowadzącym zajęcia.
Przeprowadź projekt wdrożenia adresacji IPv6 dla określonych powyżej warunków. Wyniki projektu
przedyskutuj z prowadzącym zajęcia.
Zadanie 2 (czas realizacji 45 min)
Przejrzyj następujące adresy IP danej klasy. Wskaż część adresu IP, która uniemożliwia przypisanie
tego adresu IP do hosta, i wyjaśnij, dlaczego jest ona nieprawidłowa. Załóż, że używana domyślna
maska podsieci odpowiada klasie adresu.
• 131.107.256.80____________________________________________
• 222.222.255.222___________________________________________
• 231.200.1.1_______________________________________________
• 126.1.0.0_________________________________________________
• 0.127.4.100_______________________________________________
• 190.7.2.0_________________________________________________
• 127.1.1.1_________________________________________________
• 198.121.254.255___________________________________________
• 255.255.255.255___________________________________________
Określ odpowiednią maskę sieciową, klasę adresu IP oraz identyfikatory sieci i hosta dla adresów
znajdujących się w poniższej tabeli. Pierwszy rząd stanowi przykład zadania.
Marek Pyka
Moduł III
ITA-108 Technologie sieciowe
Zarządzanie adresacją IP w sieciach komputerowych
Strona 18/18
Adres IP
Klasa/Maska podsieci
Identyfikator sieci
Identyfikator hosta
129.102.197.23
B/255.255.0.0
129.102.0.0
197.23
131.107.2.1
199.32.123.54
32.12.54.23
1.1.1.1
221.22.64.7
224.224.224.224
172.71.243.2
ITA-108 Technologie sieciowe
Marek Pyka
Moduł IV
Wersja 1
Konfigurowanie tras pakietów IP w
sieciach komputerowych
Spis treści
Konfigurowanie tras pakietów IP w sieciach komputerowych ............................................. ............... 1
Informacje o module ............................... ................................................... .......................................... 2
Przygotowanie teoretyczne ............................................................................ ..................................... 3
Przykładowy problem ............................... ................................................... ................................ 3
Podstawy teoretyczne............................... ................................................... ................................ 3
Przykładowe rozwiązanie .............................................................................. ............................. 19
Porady praktyczne ................................. ................................................... ................................. 20
Uwagi dla studenta ................................ ................................................... ................................. 21
Dodatkowe źródła informacji........................ ................................................... .......................... 21
Laboratorium podstawowe ........................... ................................................... .................................. 22
Problem 1 (czas realizacji 45 min) ................................................................... ........................... 22
Laboratorium rozszerzone .......................... ................................................... .................................... 24
Zadanie 1 (czas realizacji 45 min) ................................................................... ............................ 24
Zadanie 2 (czas realizacji 45 min) ................................................................... ............................ 25
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 2/25
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące protokołów trasowania
pakietów IP (ang. routing), jego implementacji w systemie Windows Server
2008 i zalet wynikających z stosowania serwera RRAS w przedsiębiorstwie.
Zapoznasz się z zasadami konfiguracji protokołów routingu statycznego
i dynamicznego w środowisku sieciowym Windows Server 2008. Zawarte
w module tym zadania umożliwią Ci zapoznanie się z procesem planowania,
wdrażania i zarządzania trasami pakietów w rozproszonej geograficznie
organizacji.
Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania serwera RRAS
do zarządzania przesyłaniem pakietów IP w sieciach przedsiębiorstw oraz
przedstawienie problematyki planowania, wdrażania i utrzymywania
komunikacji w sieciach rozproszonych.
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• wiedział jaką rolę w sieci przedsiębiorstwa pełni router i jego
implementacja RRAS
• potrafił zainstalować, skonfigurować i zarządzać rolą serwera RRAS
• rozumiał potrzebę planowania infrastruktury dla utrzymywania
komunikacji sieciowej pomiędzy oddziałami zdalnymi.
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• znać zasadę działania protokołu IP
• rozumieć budowę adresu IPv4 oraz IPv6
• rozumieć zasady przesyłania pakietów w sieciach rozległych
• rozumieć zasady podziału sieci na podsieci przy pomocy maski
sieciowej
• znać zasady pracy w środowisku Windows Server 2008
Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 3 Zarządzanie adresacją IP w sieciach komputerowych.
Rys. 1 Mapa zależności modułu
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 3/25
Przygotowanie teoretyczne
Przykładowy problem
Pracując jako administrator sieci nie unikniesz konieczności zarządzania i konfiguracji routerów.
Bardzo często sieci wewnętrzne w budynkach podlegają podziałowi na podsieci w oparciu o różne
interfejsy routera. Problem staje się bardziej poważny, kiedy organizacja w swojej infrastrukturze
wykorzystuje oddziały zdalne. Wtedy będziesz musiał zarządzać trasami pakietów IP poprzez sieci
rozległe. Dobre opanowanie umiejętności budowania i zarządzania trasami pakietów umożliwi Ci
budowanie wydajnych, bezawaryjnych i bezpiecznych rozwiązań dla sieci LAN, WAN. W pracy
spotkasz się z różnymi urządzeniami tego typu, w związku z czym ważne jest abyś opanował
podstawy ich działania i zasady konfiguracji. Pracując jako administrator na pewni spotkasz się
z zadaniem jak poniżej.
Twój kierownik działu IT zleca Ci przygotowanie projektu tras pakietów IP dla komunikacji centrali
z oddziałami zdalnymi. Cała organizacja wykorzystuje jedną spójną przestrzeń adresową bez
podziału na podsieci. Taka konfiguracja znacznie wpływa na spadek wydajności całej infrastruktury.
Musisz przyjąć założenia określające centralną kontrolę i zarządzanie trasami oraz określenie
optymalnych protokołów routingu. Dodatkowo musisz zaprojektować odpowiedni podział na
segmenty ale w taki sposób, aby użytkownicy sieci nie zauważyli żadnych zmian w adresacji.
Przygotowując się do wykonania projektu warto jest wziąć pod rozwagę wykorzystanie
dynamicznego protokołu RIP – w środowisku przedsiębiorstwa obie organizacje będą połączone
dedykowanymi łączami sieciowymi co umożliwi tratowanie powstałej sieci jako LAN,
ilość oddziałów zdalnych w przedsiębiorstwie, dostęp pracowników mobilnych do infrastruktury
oraz rodzaj wykorzystywanych rozwiązań programowo-sprzętowych.
Podstawy teoretyczne
Jak wyjaśniono w module 1, "Wprowadzenie do sieci komputerowych", routery są urządzeniami
pracującymi w warstwie trzeciej modelu OSI, która odpowiada za funkcje trasowania. Rys. 2
przedstawia uproszczony model routera.
Rys 2. Schemat działania Routera
Router może posiadać wiele portów, przy czym musi posiadać co najmniej dwa. Oprogramowanie
trasujące IP sprawdza nagłówki datagramów przychodzących do portu, aby ustalić, gdzie należy
przekazać datagram. Najważniejszą informacją sprawdzaną przez oprogramowanie trasujące jest
adres przeznaczenia datagramu IP. Oprogramowanie trasujące korzysta z tablicy trasowania
i przekazuje datagram IP do odpowiedniego portu routera.
Routery umożliwiają skalowanie sieci i utrzymywanie przepustowości dzięki segmentacji ruchu
w sieci. Na przykład komputery testowe organizacji mogą znajdować się w jednym z segmentów
sieci, podczas gdy komputery produkcyjne mogą znajdować się w oddzielnym segmencie sieci.
Router łączy te dwa segmenty.
Marek Pyka
ITA-108 Technologie sieciowe
W środowisku sieciowym są
• Router sprzętowy:
specjalistyczne oprogr
• Router programowy:
związanych z routingi
uruchomionych na kom
Routing i dostęp zdaln
procesów. Po uaktyw
obsługuje zarówno routing
administrator ręcznie aktua
routingu aktualizują protoko
Rozwiązanie w zakresie routi
• Interfejs routingu. Fizy
• Protokół routingu. Ze
tabel routingu w celu u
• Tabela routingu. Ser
lokalizacji identyfikato
Trasowanie statyczne i dy
Tablica trasowania zawiera
wiodących do nich trasach.
dwóch metod:
• metody statycznej
• metody dynamicznej
W metodzie statycznej info
(routing table). W metodz
trasowania pakietów do in
protokołów trasujących.
Protokoły trasujące(routi
Protokoły trasujące opisują s
najlepszą trasę do różnyc
wymieniać komunikaty w sie
trasujące mogą pracować be
mogą pracować ponad UDP
Protocol). Mogą także pracow
(Border Gateway Protocol).
Ponieważ protokoły trasując
klasę specjalnych protokołów
W dynamicznych środowisk
dynamicznego. Różnice mię
przekazywania do innych rou
• Distance Vector – prot
Rozwiązanie oparte na
od routerów okresow
sąsiadujących routerów
i ponownie rozsyła do
do sieci, z którymi rou
nauczył się od swoich
komunikacji rozgłosze
Konfigurowanie tras pakietów IP w siec
Strona 4/25
są używane dwa następujące typy routerów:
dedykowane urządzenie sprzętowe, na który
rogramowanie służące wyłącznie do obsługi routingu
wy: router, który nie został wydzielony do wykonyw
tingiem, ale wykonuje zadania tego typu oprócz w
komputerze routera.
dalny systemu Windows Server 2008 wykonuje rou
ktywnieniu funkcji routera sieciowego system W
statyczny, jak i routing dynamiczny. W przypadku
ktualizuje tabelę routingu. W przypadku routingu
okoły routingu.
outingu obejmuje trzy podstawowe składniki:
. Fizyczny lub logiczny interfejs służący do przesyłania
. Zestaw komunikatów używanych przez routery
elu ustalenia odpowiedniej ścieżki przesyłania danyc
Seria wpisów zwanych trasami, zawierających
atorów sieciowych w sieci złożonej.
i dynamiczne
era listę sieci i komputerów przeznaczenia oraz inf
ach. Tablica trasowania w routerze może zostać w
znej
informacje muszą zostać ręcznie wprowadzone
todzie dynamicznej router może sam zdobyć in
o innych sieci i komputerów. Router zdobywa t
utingu)
ą sposób, w jaki routery wymieniają między sobą i
nych miejsc przeznaczenia w Internecie. Proto
sieci opartej na IP, dlatego przenoszone są w data
ć bezpośrednio ponad IP, jak np. protokół OSPF (Ope
UDP – protokołem warstwy transportu, jak np. RIP
acować ponad protokołem warstwy transportu TCP,
l).
ujące wykorzystują protokoły IP, TCP lub UDP, mo
ołów warstwy aplikacji.
wiskach routingu istnieją trzy metody podziału
między nimi obejmują sposób realizacji wyszukiwa
routerów informacji o tych trasach.
protokoły wektora odległości
e na algorytmach wektora odległości (algorytm Bel
sowego przesyłania kopi swoich tablic routingu do
erów. Każdy z sąsiadów dodaje do niej swoja wartoś
do swoich sąsiadów. Istotne jest także przesłanie ta
router posiada bezpośrednie połączenie ale także d
ich sąsiadów. Transmisja w tym przypadku przebie
łoszeniowej (boradcast) oraz rzadziej poprzez m
Moduł IV
sieciach komputerowych – RRAS
tórym jest uruchamiane
ingu.
onywania wyłącznie zadań
cz wielu innych procesów
routing jako jeden z wielu
m Windows Server 2008
adku routingu statycznego
ngu dynamicznego tabelę
łania pakietów.
ery do współużytkowania
nych.
ch informacje dotyczące
informację o najlepszych
ać wypełniona za pomocą
ne do tablicy trasowania
ć informacje o sposobie
a te dane przy pomocy
bą informacje, aby znaleźć
otokoły trasujące muszą
datagramach IP. Protokoły
(Open Shortest Path First);
. RIP (Routing Information
CP, jak np. BGP
można je traktować jako
iału protokołów routingu
kiwania nowych tras oraz
Bellmana-Forda) wymaga
do najbliżej położonych,
rtość odległości
ie tablic routingu nie tylko
że do sieci, których router
ebiega głównie za pomocą
z multiemisję (multicast).
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 5/25
Informacje przesyłane między routerami przyjmują postać wektora opisującego odległość
oraz kierunek. Odległość należy rozumieć jako koszt danej trasy, a kierunek jako informacje
o kolejnym skoku określoną jako adres. Zaleta tego typu protokołów jest łatwość
w konfiguracji, wadą natomiast jest wolna reakcja na zmiany w sieci oraz generowanie ruch
w sieci niezależnie czy zaszły zmiany (i konieczne jest uaktualnienie tablic) czy też struktura
sieci pozostałą niezmieniona.
• Link state – protokoły stanu łącza
Algorytmy stanu łącza (np. algorytm Dijkstry) są bardziej złożone, do swojego działania
wykorzystują złożoną bazę danych opisującą topologię sieci. W odróżnieniu od wektora
odległości routery zbierają i przechowują informacje na temat routerów w sieci oraz
o sposobach ich połączenia. Każdy router w tym scenariuszu przechowuje także informacje
o koszcie pojedynczych ścieżek i stanie połączeń. Zbieranie informacji dokonywane jest
poprzez rozsyłanie pakietów link-state advertisement (LSA) z informacją o stanie łącza.
Wszystkie routery wysyłają zatem informacje o podłączonych sieciach i ich stanie łączy do
innych routerów, które zapisują kopie pakietów LSA w swojej pamięci. Końcem procesu
wymiany informacji będzie posiadanie przez wszystkie routery jednakowych informacji/kopi
pakietów LSA, na podstawie których tworzy informacje o najkrótszych ścieżkach. Co istotne
router tworzący mapę umieszcza siebie w środku tej drzewiastej struktury, a najkrótsza
ścieżkę określa na podstawie kosztu dotarcia do sieci docelowej. Ogromną zaletą tego typu
algorytmów jest szybka reakcja na zachodzące zmiany w sieci, zaraz po zmianie stanu łącza
generowany jest odpowiedni pakiet LSA na podstawie którego wszystkie routery będą
aktualizować tablice routingu. Istotne jest także mniejsze generowanie ruchu w sieci dzięki
brakowi cyklicznego rozgłaszania i generowaniu pakietów LSA tylko w wypadku wykrycia
zmiany. Wadą tej rodziny protokołów jest znaczne obciążenie łączy ruchem pakietów LSA
w pierwszym etapie budowy tablic routingu.
• Hybrydowe – połączenie protokołów odległości i stanu łącza
Trasowanie hybrydowe jest stosowana przeważnie z rozwiązaniami firmy CISCO Systems, Inc.
Protokół wykorzystujący taki typ określania tras nosi nazwę Enhanced Interior Gateway
Routing Protocol (EIGRP) i skupia zalety obu protokołów dzięki czemu posiada dokładniejsze
metryki niż protokoły wektora długości oraz znacznie szybciej dostosowuje się do zmian
w topologii sieci.
Istnieje także możliwość statycznego określenia tras dzięki czemu pakietu będą przesyłane przez
zdefiniowane porty, jednak największa wada czyli brak elastycznego mechanizmu reakcji na zmiany
w topologii sieci wyklucza go z powszechnego użycia. Statyczne trasowanie stosowane jest
wyłącznie w małych sieciach lub sytuacjach gdy z różnych powodów (np. bezpieczeństwa) przesył
pakietów musi odbywać się wyłącznie z użyciem określonych routerów.
Metody wyboru ścieżki
Routery w tablicach routingu przechowują informacje niezbędne do określenia najlepszej ścieżki
jaką przekazać pakiet. Algorytmy wykorzystują różne miary do dokonania wyboru:
• Długość ścieżki – najczęściej wykorzystywana miara wyznaczenia trasy, pakiet zostaje
przesłany przez najmniejszą ilość routerów w drodze do odbiorcy
• Opóźnienia – najkrótsza droga nie musi być najlepszą gdyż może generować duże opóźnienia
w transmisji, algorytmy doboru ścieżki mogą dokonać wyboru zmian w oparciu o tą miarę.
• Niezawodność – podobnie jak w innych mechanizmach zapewnienie niezawodności dotyczy
także doboru trasy, w tym przypadku badana będzie ilość przekłamanych bitów.
• Szerokość pasma – przesłanie danych, szczególnie ich dużej ilości może okazać się bardziej
opłacalne gdy wybrana zostanie dłuższa droga ale nie będzie znajdowało się tam wąskie
gardło, które zmniejszy prędkość transmisji
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 6/25
• Obciążenie – kolejny parametr wpływający na jakość i wydajność transmisji, wytworzenie się
zbyt dużej kolejki na routerze może niekorzystnie wpłynąć zarówno na czas przebycia drogi
przez pakiet jak i ostateczną wydajność transmisji.
• Koszt komunikacji – wartość określająca koszt przejścia pakietu od nadawcy do odbiorcy.
Usługa Routing i dostęp zdalny systemu Windows Server 2008 obsługuje dwa typy protokołów
routingu:
• Protokół RIP (Routing Information Protocol). Zaprojektowany w celu wymiany informacji
o routingu w obrębie małej lub średniej sieci.
• Protokół OSPF (Open Shortest Path First). Zaprojektowany w celu wymiany informacji
o routingu w obrębie dużej lub bardzo dużej sieci.
Funkcje routingu
Usługa Routing i dostęp zdalny udostępnia wieloprotokołowe usługi typu LAN-do-LAN, LAN-do-
WAN, wirtualną sieć prywatną (VPN) oraz usługi rozsyłania tłumaczeń adresów sieciowych (NAT).
Usługa Routing i dostęp zdalny jest przeznaczona do użytku administratorów systemu, którzy są
dobrze zaznajomieni z protokołami i usługami routingu oraz protokołami obsługującymi routing,
takimi jak TCP/IP i AppleTalk.
Routingu emisji pojedynczej
Pod nazwą routing emisji pojedynczej, rozumie się kierowanie ruchu danych pod określony adres
docelowy określony intersieci. Przy każdym przeskoku na drodze od źródła do miejsca docelowego
podejmowane są decyzje dotyczące wyznaczania trasy. Decyzje o kierunku przesłania pakietów
podejmowane są na podstawie tablic routingu.
Tablica routingu
Decyzje dotyczące routingu są wspomagane przez informacje, jakie adresy sieciowe (lub
identyfikatory sieci) są dostępne w intersieci. Taką wiedzę zapewnia baza danych nazywana tabelą
routingu. Tabela routingu jest serią pozycji, nazywanych trasami, które zawierają informacje o tym,
gdzie znajdują się identyfikatory sieci w intersieci. Tabela routingu wykorzystywane są zarówno na
routerach jaki komputerach klienckich (Hostach) do wyznaczenia optymalnych tras. Na rysunku 3
została przedstawiona przykładowa tabela routingu na hoście sieciowym. Na poniższym przykładzie
przedstawione są trasy zarówno dla adresacji IPv4 jak i IPv6 (które w tym przypadku zawierają
wyłącznie wpisy standardowe gdyż host nie wykorzystywał tego typu adresacji).
Marek Pyka
ITA-108 Technologie sieciowe
W tabelach routingu występu
• Trasa sieciowa. Trasa
złożonej.
• Trasa hosta. Trasa hos
identyfikatora węzła).
tras do określonych ho
go.
• Trasa domyślna. Trasa
inne trasy. Na przykład
dla lokalizacji docelo
konfigurację hostów.
Struktura tabeli routingu
Każdy wpis w tabeli routingu
• Miejsce docelowe w s
może być sieciowy ad
adres IP dla trasy hosta
• Maska sieci. Określa
podsieci może być odp
w przypadku trasy hos
• Brama. Określa adres
zestaw adresów zdefin
• Interfejs. Określa num
inny identyfikator logic
• Metryka. Określa całko
z najniższą metryką. Je
z metryką o najmniejsz
Aby wyświetlić zawart
ROUTE print lub NETS
Konfigurowanie tras pakietów IP w siec
Strona 7/25
Rys 3. Przykładowa tablica routingu
tępują trzy typy wpisów:
asa sieciowa to ścieżka do określonego identyfikat
hosta to ścieżka do adresu w sieci złożonej (identyf
zła). Trasy hosta są zazwyczaj używane do tworze
hostów w celu sterowania ruchem danych w sieci
rasa domyślna jest używana, gdy w tabeli routingu
ykład, jeśli router lub host nie może znaleźć trasy sie
celowej, używana jest trasa domyślna. Trasa
w.
ingu składa się z następujących pól informacji:
w sieci. Określa sieciową lokalizację docelową trasy
y adres IP (bity hostów w adresie sieciowym są ust
osta lub 0.0.0.0 w przypadku trasy domyślnej.
śla maskę podsieci skojarzoną z sieciową lokaliza
odpowiednią maską podsieci dla sieciowych adresó
hosta lub 0.0.0.0 w przypadku trasy domyślnej.
res IP przesyłania lub następnego przeskoku, przez
efiniowanych przez sieciową lokalizację docelową i m
numer interfejsu sieciowego dla określonej trasy. Je
logiczny.
całkowitą wartość kosztu trasy. Zazwyczaj preferowa
ą. Jeśli istnieje wiele tras do danej sieci docelowej, u
iejszej wartości.
wartość tablicy routingu na hoście sieciowym użyj po
ETSTAT –r.
Moduł IV
sieciach komputerowych – RRAS
ikatora sieciowego w sieci
ntyfikatora sieciowego lub
orzenia niestandardowych
sieci lub zoptymalizowania
ngu nie zostaną znalezione
y sieciowej lub trasy hosta
asa domyślna upraszcza
trasy. Lokalizacją docelową
ustawiane na wartość 0),
alizacją docelową. Maska
resów IP, 255.255.255.255
rzez który można uzyskać
ą i maskę podsieci.
y. Jest to numer portu lub
owana jest trasa
j, używana jest trasa
yj polecenia:
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 8/25
Scenariusze wykorzystania routingu w sieciach przedsiębiorstw
Z routerów można korzystać dla wielu różnych topologii i konfiguracji sieci. Poniżej przedstawiono
trzy najczęściej stosowane scenariusze wykorzystania routerów.
Połączenie sieci SOHO z Internetem
Routowane połączenie z Internetem
W tym scenariuszu opisano sieć małego biura lub biura domowego (SOHO, small office or home
office), która łączy się z Internetem przy użyciu połączenia obsługującego routing.
Charakterystyka sieci SOHO:
• Jeden segment sieci.
• Pojedynczy protokół: TCP/IP.
• Połączenia z usługodawcą internetowym z wybieraniem numerów na żądanie lub oparte na
łączu wydzielonym.
Na Rys. 4 pokazano przykładowe rozwiązanie dla sieci SOHO.
Rys 4. Przykładowe rozwiązanie dla SOHO
W przypadku serwera z usługą Routing i dostęp zdalny jest konfigurowana karta sieciowa dla
nośnika stosowanego w sieci domowej (na przykład Ethernet lub sieć bezprzewodowa) oraz karta
ISDN, modem analogowy lub inny interfejs dostępu do łącza (karta ethernet, karta USB, modem
HSxPA itp.) . Można korzystać z linii dzierżawionej lub innych technologii połączeń stałych, takich
jak xDSL i modemy kablowe, ale w tym scenariuszu opisano bardziej typową konfigurację, w której
używane jest łącze telefoniczne do lokalnego usługodawcy internetowego.
Tłumaczone połączenie z Internetem (NAT)
W sieci jak na Rys. 4 zostaje wprowadzona usługa NAT (Network Adress Translator) umożliwiająca
rozwiązanie problemu niewystarczającej ilości adresów IP przydzielonych dla przedsiębiorstwa.
Dla scenariusza z usługą NAT konieczne jest posiadanie minimum jednego adresu hosta
przydzielonego interfejsowi zewnętrznemu routera oraz wykorzystanie którejś z pól adresów
wewnętrznych np. 192.168.0.0/24
Sieć średniego przedsiębiorstwa
Sieci średnich przedsiębiorstw stanowią obecnie 80% rynku sieciowego. To w tego rodzaju sieciach
najczęściej poszukiwani są specjaliści od konfiguracji i zarządzania routerami IP. Najczęściej taka
sieć składa się z następujących elementów:
• Kilka segmentów sieci (na przykład jeden segment dla każdego piętra lub skrzydła budynku).
• Zamknięta sieć bez połączeń wychodzących i przychodzących z inną siecią, taką jak Internet.
• Obsługa protokołu IP.
Na Rys. 5 pokazano przykład infrastruktury średniego przedsiębiorstwa.
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 9/25
Rys 5. Schemat sieci dla średniego przedsiębiorstwa
W przypadku średniego przedsiębiorstwa wykorzystywane są protokoły routingu RIP lub też buduje
się rozwiązanie na trasach statycznych. Jednakże większość obecnie stosowanych rozwiązań tego
typu oparta jest na protokole RIP a trasy statyczne wykorzystywane są głównie jako rozwiązanie
ratunkowe w sytuacjach awaryjnych.
Alternatywną siecią dla średniego przedsiębiorstwa może jest infrastruktura sieciowa z dostępem
do Internetu oraz posiadająca pracowników mobilnych. Przykładowy schemat takiej sieci został
przedstawiony na Rys. 6.
Rys 6. Schemat sieci średniego przedsiębiorstwa z dostępem do Internetu
W sieci średniego biura zazwyczaj używanych jest kilka różnego typu nośników sieciowych.
W różnych segmentach biura mogą być używane sieci Ethernet o szybkości 10 Mb/s lub 100 Mb/s,
ale w przypadku sieci szkieletu, która służy do łączenia różnych sieci i oferuje usługi, mogą być
używane sieci Ethernet o szybkości 1000 Mb/s, Fiber Distributed Data Interface (FDDI) lub sieci
optyczne innego typu. Najczęściej stosowanym protokołem w tego typu sieciach jest RIPv2 lub IGRP
firmy Cisco. Protokoły te cechują się dynamicznym zarządzaniem tablicami routingu i dużą
odpornością na awarie łączy.
Sieć dużych przedsiębiorstw
Sieci dużych przedsiębiorstw cechują się dość znacznym poziomem komplikacji. Administratorzy
w tych sieciach niejednokrotnie muszą zarządzać infrastrukturą oddziałów zdalnych i routingiem
poprzez sieć Internet. Windows Server 2008 umożliwia wspieranie takich sieci zwłaszcza
Marek Pyka
ITA-108 Technologie sieciowe
w dziedzinie obsługi router
przedsiębiorstwa cechuje się
• Wiele segmentów siec
skrzydła budynku).
• Więcej niż jeden proto
• Obszary skonfigurowa
• Połączenia telefoniczn
delegacji.
• Dzierżawione połączen
• Połączenia z wybierani
• Połączenia internetow
Przykładową infrastrukturę d
Rys 7. Sch
Sieć firmowa wykorzystuje zw
infrastruktury mogą być używ
w przypadku sieci szkieletu, k
są sieci 1000 Mb/s Etherne
Połączenia z sieciami zewnęt
przełączania pakietów, takie
nośniki przełączane (linia ISD
karty Frame Relay) lub Inter
sieciach jest OSPF oraz w szc
Oddziały firmy mogą być poł
lub telefonicznych. Korzys
międzymiastowych może by
oddziału firmy z główną sied
protokołów dostępu zdalneg
bezpieczny, szyfrowany tune
może przyczynić się do zmnie
linii dzierżawionych.
Problematyka wykorz
zostanie omówiona w
Protokoły routingu
W środowiskach dynamiczn
protokołów routingu IP. Dwa
Konfigurowanie tras pakietów IP w siec
Strona 10/25
uterów brzegowych oddziałów zdalnych. Infrastru
e się następującymi parametrami:
sieci LAN ze szkieletem (na przykład jeden segment
rotokół sieciowy.
owane przy użyciu protokołu Open Shortest Path Firs
iczne dla użytkowników, którzy łączą się z domu, lu
czenia z oddziałami firmy.
raniem numerów na żądanie z oddziałami firmy.
towe.
rę dużego przedsiębiorstwa przedstawia Rys. 7.
. Schemat sieci średniego przedsiębiorstwa z oddziałami zdalny
je zwykle kilka różnego typu nośników sieciowych. W
używane sieci Ethernet lub token ring o szybkości 10
tu, która służy do łączenia różnych sieci i oferuje usłu
ernet lub Fiber Distributed Data Interface (FDDI) o
nętrznymi (Internetem) ustanawiane są przez dzierż
akie jak Frame Relay. Połączenia z oddziałami firmy
ISDN lub modemy analogowe), nośniki wydzielone
Internet. Protokołem routingu najczęściej wykorzys
szczególnych przypadkach RIPv2.
ołączone z główną siedzibą firmy za pośrednictwe
rzystanie z linii dzierżawionych lub telefonic
e być kosztowne. Usługa Routing i dostęp zdalny
siedzibą firmy przez Internet. Router w oddziale fir
lnego tj. PPTP, L2TP lub obsługiwany przez Windo
unel przez Internet do sieci w głównej siedzibie firm
mniejszenia kosztów, ponieważ połączenie tego typu
korzystania sieci tunelowanych na serwerach RRAS
a w 12 module tego podręcznika.
icznego routingu IP informacje routingu IP są pro
Dwa najbardziej popularne protokoły routingu IP, któ
Moduł IV
sieciach komputerowych – RRAS
struktura sieciowa dużego
ent dla każdego piętra lub
First (OSPF).
u, lub dla użytkowników w
alnymi
ch. W różnych segmentach
i 10/100 Mb/s, ale
usługi, zwykle są używane
I) o szybkości 100 Mb/s.
zierżawione linie lub usługi
irmy ustanawiane są przez
one (linie dzierżawione lub
rzystywanym w tego typu
ctwem linii dzierżawionych
fonicznych dla połączeń
alny umożliwia połączenie
e firmy tworzy przy użyciu
indows Server 2008 SSTP,
firmy. Ta konfiguracja sieci
typu są znacznie tańsze od
RAS Windows Server 2008
propagowane przy użyciu
, które są używane
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 11/25
w intranetach, to Routing Information Protocol (RIP) i Open Shortest Path First (OSPF).
W tym środowisku można uruchamiać wiele protokołów routingu. W takim przypadku trzeba
określić, który protokół routingu jest preferowanym źródłem zapamiętanych tras, konfigurując
poziomy uprzywilejowania. Preferowany protokół routingu jest źródłem tras, które są dodawane
do tabeli routingu, niezależnie od ich metryki. Jeśli na przykład metryką zapamiętanej trasy
protokołu OSPF jest 5, metryką odpowiadającej jej zapamiętanej trasy protokołu RIP jest 3, a OSPF
jest preferowanym protokołem routingu, trasa protokołu OSPF jest dodawana do tabeli routingu IP,
a trasa protokołu RIP jest ignorowana.
Protokół RIP
Protokół Routing Information Protocol (RIP) został zaprojektowany z myślą o wymianie informacji
routingu w obrębie małej lub średniej intersieci.
Największą zaletą protokołu RIP jest to, że jest on niezwykle łatwy do skonfigurowania i wdrożenia.
Największą wadą protokołu RIP jest niemożność przeskalowania go do użytku w dużych lub bardzo
dużych intersieciach. Maksymalną liczbą przeskoków używaną przez routery RIP jest 15. Sieci
znajdujące się w odległości 16 przeskoków lub większej są uważane za nieosiągalne. Ponieważ
intersieci stają się coraz większe, okresowe rozgłoszenia wysyłane przez każdy router RIP mogą być
przyczyną nadmiernego ruchu danych. Inną wadą protokołu RIP jest jego długi czas przywracania.
Gdy topologia intersieci ulegnie zmianie, może upłynąć kilka minut, zanim routery RIP dostosują się
do nowej topologii intersieci. Chociaż intersieć rekonfiguruje się sama, mogą powstać pętle
routingu, które mogą być przyczyną utraty danych lub niemożności ich dostarczenia.
Początkowo tabela routingu dla każdego routera obejmuje tylko sieci, które są fizycznie połączone.
Router RIP okresowo rozgłasza informacje zawierające pozycje jego tabeli routingu,
aby poinformować inne lokalne routery RIP o sieciach, które są dla niego osiągalne. Protokół RIP
w wersji 1 używa dla swoich rozgłoszeń pakietów emisji IP. Protokół RIP w wersji 2 używa
do rozgłaszania pakietów multiemisji lub emisji.
Routery RIP mogą również rozgłaszać informacje routingu poprzez aktualizacje wyzwalane.
Aktualizacja wyzwalana ma miejsce wtedy, gdy topologia sieci ulega zmianie i, aby odzwierciedlić tę
zmianę, wysyłane są zaktualizowane informacje routingu. W przypadku aktualizacji wyzwalanych
aktualizacja jest wysyłana natychmiast, bez czekania na następny okres rozgłoszenia. Na przykład
gdy router wykryje awarię łącza lub routera, aktualizuje swoją tabelę routingu i wysyła
zaktualizowane trasy. Każdy router, który odbierze aktualizację wyzwalaną, modyfikuje własną
tabelę routingu i propaguje tę zmianę. Usługa Routing i dostęp zdalny obsługuje protokół RIP
\w wersjach 1 i 2. Protokół RIP w wersji 2 obsługuje rozgłaszanie multiemisyjne i proste
uwierzytelnianie hasła, a ponadto jest bardziej elastyczny w środowiskach z podsieciami
i środowiskach routingu Classless InterDomain Routing (CIDR).
Implementacja protokołu RIP w systemach z rodziny Windows Server 2008 oferuje następujące
funkcje:
• Wybór wersji protokołu RIP, która ma być uruchomiona na każdym interfejsie dla pakietów
przychodzących i wychodzących.
• Algorytmy split-horizon i poison-reverse oraz algorytm aktualizacji wyzwalanych, które są
używane, aby uniknąć pętli routingu i przyspieszyć przywracanie intersieci po zmianie
topologii.
• Filtry tras pozwalające wybierać sieci do zaanonsowania lub zaakceptowania.
• Filtry routerów równoprawnych pozwalające określić routery, których pakiety
rozgłoszeniowe są akceptowane.
• Możliwe do skonfigurowania czasomierze anonsów i wieku tras.
• Obsługa prostego uwierzytelniania hasła.
• Możliwość wyłączenia podsumowania podsieci.
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 12/25
Protokół OSPF
Protokół Open Shortest Path First (OSPF) został zaprojektowany z myślą o wymianie informacji
routingu w dużej lub bardzo dużej intersieci. Największą zaletą protokołu OSPF jest jego wydajność;
protokół OSPF nie powoduje dużego obciążenia sieci, nawet w bardzo dużych intersieciach.
Największą wadą protokołu OSPF jest jego złożoność; protokół OSPF wymaga właściwego
planowania i jest trudniejszy do skonfigurowania i administrowania.
Protokół OSPF do obliczania tras w tabeli routingu używa algorytmu Shortest Path First (SPF).
Algorytm SPF oblicza najkrótszą (najmniej kosztowną) ścieżkę między routerem a wszystkimi
sieciami intersieci. Obliczone przez algorytm SPF trasy są zawsze wolne od pętli.
Zamiast wymieniać pozycje tabeli routingu (jak routery RIP), routery OSPF przechowują mapę
intersieci, która jest aktualizowana po każdej zmianie topologii sieci. Mapa ta, nazywana bazą
danych stanu łączy, jest synchronizowana między wszystkimi routerami OSPF i jest używana do
obliczania tras w tabeli routingu. Sąsiadujące routery OSPF tworzą sąsiedztwo, które jest logicznym
powiązaniem między routerami synchronizującymi bazę danych stanu łączy.
Zmiany w topologii intersieci są wydajnie propagowane w całej intersieci, co zapewnia, że baza
danych stanu łączy na każdym routerze jest zawsze zsynchronizowana i dokładna. Po odebraniu
zmian wprowadzonych w bazie danych stanu łączy tabela routingu jest obliczana ponownie.
W miarę jak wzrasta rozmiar bazy danych stanu łączy, zwiększają się wymagania dotyczące pamięci
i czas obliczania tras. Aby rozwiązać ten problem ze skalowaniem, protokół OSPF dzieli intersieć na
obszary (kolekcje sąsiadujących sieci), które są połączone ze sobą za pośrednictwem obszaru
szkieletu. Każdy router przechowuje tylko bazę danych stanu łączy dla tych obszarów, które są
z nim połączone. Routery graniczne obszaru (ABR, Area Border Router) łączą obszar szkieletu
z innymi obszarami.
Aby jeszcze bardziej ograniczyć zalewanie obszarów dużą ilości informacji o routingu, w protokole
OSPF wprowadzono możliwość stosowania obszarów wejściowych. Obszar wejściowy może
zawierać jeden punkt wejścia i wyjścia (jeden router ABR) albo wiele routerów ABR (do miejsc na
trasach zewnętrznych można docierać przy użyciu dowolnego routera ABR).
Na rysunku 8 pokazano diagram intersieci OSPF.
Rys 8. Schemat sieci opartej o protokół OSPF
Protokół OSPF ma następujące zalety w stosunku do protokołu RIP:
• Trasy obliczone przez protokół OSPF są zawsze wolne od pętli.
• Protokół OSPF można przeskalować do użytku w dużych i bardzo dużych intersieciach.
• Ponowna konfiguracja po zmianach w topologii sieci odbywa się szybciej.
Implementacja protokołu OSPF w usłudze Routing i dostęp zdalny oferuje następujące funkcje:
• Filtry tras sterujące interakcją z innymi protokołami routingu.
• Dynamiczna rekonfiguracja wszystkich ustawień protokołu OSPF.
• Współistnienie z protokołem RIP.
• Dynamiczne dodawanie i usuwanie interfejsów.
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 13/25
Porównanie protokołów RIP i OSPF
Protokół RIP można łatwo konfigurować i wdrażać. Ponieważ sieci stają się coraz większe, okresowe
transmisje rozgłaszające wysyłane przez każdy router RIP mogą być przyczyną nadmiernego ruchu
(protokół RIP jest zazwyczaj używany w sieciach, które mogą obejmować nawet 50 serwerów).
Protokół OSPF działa efektywnie w dużych sieciach, ponieważ oblicza najlepszą trasę, z której
należy korzystać, i wymaga mniejszej liczby komunikatów o stanie. W przeciwieństwie do protokołu
RIP, protokół OSPF anonsuje innym routerom tylko zmiany tras, a nie wszystkie znane trasy.
Wadą protokołu OSPF jest jego złożoność: konfiguracja jest trudniejsza, a zarządzanie bardziej
czasochłonne niż w przypadku protokołu RIP.
Protokoły multiemisji
Multiemisja jest użyteczna przy dostarczaniu informacji z jednego routera do wielu routerów
w intersieci. Można korzystać z trzech mechanizmów takiego dostarczania:
• Wysłanie informacji pojedynczo do każdego punktu końcowego przy użyciu adresów emisji
pojedynczej. Wadami tej metody są: duplikowanie ruchu danych w sieci i dodatkowe
obciążenie wynikające z konieczności przechowywania listy punktów końcowych emisji
pojedynczej.
• Wysłanie informacji w pojedynczym pakiecie przy użyciu adresu emisji. Zaletami tej metody
są: korzystanie z pojedynczego pakietu i brak obciążenia wynikającego z konieczności
przechowywania listy adresatów. Wadami tej metody są: korzystanie z pakietów emisji
(które angażują wszystkie węzły w sieci) i fakt, że emisje nie są przekazywane przez routery.
Pakiet emisji dociera do każdego w sieci, ale nie w intersieci.
• Wysłanie informacji w pojedynczym pakiecie przy użyciu adresu multiemisji. Zaletami tej
metody są: korzystanie z pojedynczego pakietu i brak obciążenia wynikającego z konieczności
przechowywania listy adresatów. W odróżnieniu od pakietów emisji, ruch danych multiemisji
nie angażuje tych węzłów, które go nie nasłuchują. Routery mogą obsługiwać multiemisję
i przekazywać pakiety multiemisji do każdej sieci, w której jest przynajmniej jeden węzeł
prowadzący nasłuch.
Mechanizmy przekazywania multiemisji
Przekazywanie multiemisji, tj. inteligentne przekazywanie ruchu multiemisji, realizowane jest przez
protokół TCP/IP oraz protokół routingu IGMP w przypadku interfejsów działających w trybie
routera IGMP na serwerze z uruchomioną usługą Routing i dostęp zdalny.
Protokół TCP/IP realizuje następujące funkcje związane z przekazywaniem multiemisji:
• Odbiera i przetwarza cały ruch danych multiemisji
W systemach z rodziny Windows Server 2008 protokół TCP/IP odbiera i przetwarza cały ruch
danych multiemisji na interfejsach, które są skonfigurowane dla trybu routera IGMP.
Cały ruch danych multiemisji IP jest albo przekazywany do procesu uruchomionego na
routerze, albo w sposób inteligentny przekazywany do segmentów sieci, które zawierają
członków grupy multiemisji lub routerów połączone z segmentami sieci w kierunku
„z prądem”, które zawierają członków grupy multiemisji.
• Przekazuje pakiety multiemisji do odpowiednich interfejsów
Po odebraniu pakietu multiemisji serwer z usługą Routing i dostęp zdalny sprawdza tabelę
przekazywania multiemisji, aby zdecydować, czy przekazać dany pakiet do któregoś z innych
przyłączonych interfejsów.
Interfejs uruchomiony w trybie routera IGMP wykonuje następujące funkcje związane
z przekazywaniem multiemisji:
• Przełącza kartę sieciową w tryb ogólny multiemisji
Tryb routera IGMP powoduje przełączenie karty sieciowej w tryb ogólny multiemisji.
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 14/25
W trybie ogólnym multiemisji wszystkie pakiety multiemisji odebrane przez kartę sieciową są
przekazywane w celu przetworzenia do warstw sieciowych. Nie wszystkie karty sieciowe
obsługują tryb ogólny multiemisji.
• Śledzi przynależność do grup multiemisji
Interfejs w trybie routera IGMP nasłuchuje wiadomości raportów członkowskich IGMP na
lokalnie przyłączonych sieciach i kompiluje listę informacji o aktywności multiemisji jako serię
par {sieć adresata, grupa multiemisji}. Sieć adresata jest identyfikatorem sieci IP segmentu
sieci zawierającego węzeł prowadzący nasłuch. Grupa multiemisji jest określonym adresem
multiemisji, który został zarejestrowany przez węzeł prowadzący nasłuch. Router obsługujący
multiemisję nie śledzi adresów IP nasłuchujących hostów, a tylko identyfikator sieci IP,
w której przynajmniej jeden host prowadzi nasłuch.
Aby zapewnić prowadzenie przez hosty w dalszym ciągu nasłuchu na swoich
zarejestrowanych adresach multiemisji, router IGMP okresowo monituje każdą sieć.
Odpowiedzią na taki monit jest komunikat raportu członkowskiego IGMP. Jeśli w pojedynczej
sieci istnieje wiele routerów IGMP, jeden router IGMP zostaje wybrany jako router
monitujący i rozsyła wszystkie okresowe monity.
• Aktualizuje tabelę przekazywania multiemisji protokołu TCP/IP
Na podstawie bieżącego stanu nasłuchujących hostów na interfejsach w trybie routera IGMP,
tabela przekazywania multiemisji protokołu TCP/IP jest aktualizowana przez umieszczanie w
niej odpowiednich pozycji.
Routing w trybie multiemisji
Funkcja routingu multiemisji, czyli propagacja informacji nasłuchu multiemisji, jest dostarczana
przez protokoły routingu multiemisji, takie jak Distance Vector Routing Multicast Protocol
(DVMRP). Systemy z rodziny Windows Server 2008 nie zawierają żadnych protokołów routingu
multiemisji. Można jednak skorzystać z protokołu routingu IGMP i trybu routera IGMP oraz trybu
proxy IGMP, aby zapewnić przekazywanie multiemisji w intranecie z pojedynczym routerem lub
przy połączeniu takiego intranetu z Internetem.
Narzędzia zarządzania trasami
Wiersz poleceń
Jednym z podstawowych narzędzi do ustalania statycznych tras w systemach Windows jest
polecenie route, pozwalające na podstawowe operacje w tablicy routingu systemu operacyjnego.
Podstawowym zastosowaniem będzie dodanie nowego wpisu:
route ADD „sieć docelowa” MASK „maska podsieci” „adres bramy”
np. route ADD 10.10.10.0 MASK 255.255.255.0 192.168.1.10
co należy rozumieć jako: w sieci 192.168.1.0 istnieje brama o adresie 192.168.1.10 przez którą
można uzyskać dostęp do sieci 10.10.10.0. Dodatkowo można wykonać operacji usunięcia
wszystkich wpisów o bramach używając przełącznika –f, dodać wpis na stałe –p (jego brak
powoduje usunięcie wpisu po restarcie systemu). Użyteczna jest także komenda route PRINT
wyświetlająca listę tras.
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 15/25
Rys 9. Wynik polecenia route PRINT
Podczas sprawdzania trasy przez jaki przebiega ścieżka do określonego hosta oraz jej
podstawowych parametrów przydatne okazuje się polecenie tracert. Zastosowanie polecenia
tracer „adres hosta docelowego” spowoduje wyświetlenie informacji o wszystkich routerach przez
jakie przesłany zostanie pakiet.
Rys 10. Wynik polecenia tracert
W celu śledzenia ścieżki do docelowego hosta oraz wytworzenia raportu o utracie pakietów na
każdym z routerów znajdujących się na ścieżce można użyć polecenia pathping
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 16/25
Rys 11. Wynik polecenia pathping
Polecenia netsh
Zestaw poleceń powłoki netsh dla serwera RRAS może być wywoływany w konsoli wiersza linii
poleceń po wywołaniu polecenia netsh ras, co powinno zaowocować pojawieniem się nowego
znaku zachęty powłoki netsh (netsh ras>). Poniżej przedstawiona jest lista najważniejszych poleceń
powłoki związana z zarządzaniem serwerem RRAS.
Marek Pyka
ITA-108 Technologie sieciowe
ras show authtype – wyświet
ras add authtype md5chap
ras ip – przechodzi do instanc
ras ip show config – wyświet
ras ip set access serveronly
ras ip add range 192.168.0.3
routing dump > Routing.txt
Listę wszystkich poleceń moż
Pełna lista poleceń ne
udostępnionym pod a
http://www.microsoft.com/d
2ef336db3df5&DisplayLang=
Polecenia netsh dotycząc
administrowanie serwerami
opartego na konsoli. Mogą b
• Podczas zarządzania
można używać poleceń
co pozwala na efektyw
• Podczas zarządzania d
w wierszu polecenia
powtarzających się za
serwerów RRAS.
Konsola serwera RRAS
Konsola RRAS jest narzędziem
oparte jest na konsoli mmc
zarządzania usługami RRAS
konsoli RRAS jest:
• Tworzenie zasad wyzn
• Dodawanie i konfiguro
• Przeglądanie i modyfik
filtrów dla komunikacj
• Budowanie reguł dostę
• Monitorowanie aktyw
• Tworzenie sieci VPN op
Zabezpieczanie routingu
Przed włączeniem funkcji r
infrastrukturę sieci, aby mo
najlepiej odpowiadała wyma
aspekty zabezpieczeń usługi
• zabezpieczenie serwer
• zabezpieczenie ruchu s
• użycie bezpiecznych m
Przed skonfigurowaniem i w
rozważyć następujące zagadn
• Kto może włączać, k
korzystać z przystawk
Konfigurowanie tras pakietów IP w siec
Strona 17/25
wietla mechanizmy autentykacji wykorzystywane na
– dodaje określony mechanizm autentykacji
tancji obsługi protokołu IP na serwerze RRAS
ietla konfigurację reguł IP na serwerze RRAS
– zmienia poziom dostępu na tryb wyłączności se
.0.32 192.168.0.63 – ustala zakres adresów o zaakce
– zapisuje do pliku konfigurację serwera RRAS
można uzyskać poprzez wprowadzenie znaku „?” w
ń netsh do zarządzania usługami serwerowymi zna
od adresem:
m/downloads/details.aspx?FamilyID=f41878de-2ee
ng=en
czące RRAS zapewniają narzędzia wiersza p
rami RRAS i stanowiące alternatywne rozwiązan
gą być one użyteczne w następujących sytuacjach:
ia serwerami RRAS w sieciach rozległych (WAN,
eceń w trybie interakcyjnym w wierszu polecenia na
ktywniejsze zarządzanie za pośrednictwem powolnyc
ia dużą liczbą serwerów RRAS, można używać polece
nia narzędzia Netsh, co ułatwia tworzenie skryptó
ę zadań administracyjnych, które trzeba wykonać w
ziem instalowanym na serwerze z uruchomiona usłu
mmc w wersji 3,0 dzięki czemu możliwą jest inte
AS z innymi narzędziami konfiguracji sieci. Podstaw
yznaczania tras dla pakietów IP.
gurowanie protokołów routingu.
dyfikowanie właściwości protokołów, na przykład ok
kacji IP.
ostępu zdalnego do infrastruktury.
tywności związanej z przekazywanym przez serwer r
N opartej o protokoły PPTP, L2TP i SSTP.
gu
cji routingu usługi Routing i dostęp zdalny należ
możliwe było skonfigurowanie usługi Routing i d
ymaganiom dotyczącym zabezpieczeń i funkcjonaln
ługi Routing i dostęp zdalny:
wera z usługą Routing i dostęp zdalny,
hu sieciowego między serwerem i jego klientami
h metod uwierzytelniania.
i włączeniem funkcji routingu usługi Routing i
gadnienia:
ć, konfigurować i wyłączać usługę Routing i dos
awki Routing i dostęp zdalny osobno lub w obrę
Moduł IV
sieciach komputerowych – RRAS
e na serwerze RRAS
i serwera
kceptowanym dostępie
” w kontekście netsh ras>
znajduje się z kompedium
2ee7-4718-8499-
a polecenia ułatwiające
zanie wobec zarządzania
AN, Wide Area Network)
a narzędzia Netsh,
lnych łączy sieciowych.
leceń w trybie wsadowym
yptów i automatyzowanie
ć w przypadku wszystkich
usługą RRAS. Narzędzie to
integracja przystawek do
stawową funkcjonalnością
d określanie dodatkowych
er ruchem IP.
ależy dokładnie przejrzeć
i dostęp zdalny, tak aby
alności. Można ocenić trzy
g i dostęp zdalny, należy
dostęp zdalny. Aby móc
obrębie konsoli Microsoft
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 18/25
Management Console (MMC), trzeba być członkiem grupy Administratorzy. Członkiem grupy
Administratorzy trzeba być również, aby móc używać większości poleceń netsh routing
z wiersza polecenia. Członkostwo grupy Administratorzy należy ograniczyć do minimalnej
liczby użytkowników, niezbędnej do administrowania serwerem.
• Jak otwierać przystawkę Routing i dostęp zdalny. Ze względów bezpieczeństwa przystawkę
Routing i dostęp zdalny lepiej jest otwierać za pomocą polecenia runas, niż logując się
z poświadczeniami administracyjnymi. Aby otworzyć przystawkę Routing i dostęp zdalny bez
logowania się jako członek grupy Administratorzy, wpisz następujące polecenie w wierszu
polecenia:
Runas /user:[Domena/]NazwaUżytkownika"mmc %katalog_systemu_windows%
\system32\rrasmgmt.msc"
Podana nazwa użytkownika musi odpowiadać kontu administratora lub kontu należącemu do
grupy Administratorzy, a po wyświetleniu monitu należy podać hasło konta.
• Których składników routingu wymaga sieć użytkownika. Należy udokumentować plan sieci,
wymagane składniki routingu oraz sposób konfiguracji tych składników. Te informacje mogą
pomóc w konserwacji sieci i identyfikowaniu obszarów wymagających szczególnej uwagi lub
ulepszenia.
• Czy możliwe jest uproszczenie topologii sieci. Prostsze sieci są łatwiejsze w konserwacji
i zawierają mniej punktów ataku. Upraszanie sieci może obejmować:
• Minimalizowanie liczby interfejsów sieciowych. Chociaż większość serwerów z usługą
Routing i dostęp zdalny to komputery wieloadresowe, należy konfigurować jak najmniej
interfejsów sieciowych. Jeśli jest to możliwe, nie należy konfigurować serwera z usługą
Routing i dostęp zdalny z więcej niż jednym interfejsem publicznym.
• Minimalizowanie liczby tras. Należy używać tak niewielu tras statycznych i wybierania
numerów na żądanie, jak jest to możliwe.
• Minimalizowanie liczby używanych protokołów routingu. Należy sprawdzić, jakie
protokoły routingu są używane i jak są skonfigurowane, a następnie skonfigurować tak
mało protokołów routingu, jak jest to możliwe.
• Jakie protokoły tunelowania mają być używane. Jeśli konfigurowana jest wirtualna sieć
prywatna (VPN) między dwoma routerami, to należy rozważyć stosowanie protokołu SSTP
lub L2TP (Layer Two Tunneling Protocol) zamiast protokołu PPTP (Point-to-Point Tunneling
Protocol).
• Czy będą używane filtry pakietów, zapory i inne zabezpieczenia ruchu sieciowego. Routing
ruchu sieciowego należy ograniczyć do minimalnego poziomu wymaganego przez sieć.
Należy również rozważyć użycie filtrów IP w domyślnych zasadach dostępu zdalnego
gwarantujących, że przychodzący ruch sieciowy pochodzi z autoryzowanych klientów
dostępu zdalnego.
• W usłudze Routing i dostęp zdalny można skonfigurować statyczne filtry pakietów
na interfejsach sieciowych i włączyć zaporę podstawową na interfejsach publicznych.
Funkcji zabezpieczeń można używać osobno lub łącznie z innym oprogramowaniem,
takim jak Usługa uwierzytelniania internetowego (IAS).
• Jeśli jest włączona Zapora połączenia internetowego lub Zapora systemu Windows,
nie można skonfigurować usługi Routing i dostęp zdalny. Przed rozpoczęciem
konfigurowania usługi Routing i dostęp zdalny należy wyłączyć Zaporę połączenia
internetowego lub Zaporę systemu Windows
• Jaki poziom rejestrowania będzie używany. Należy zastanowić się, jak wiele informacji będzie
rejestrowanych dla każdego protokołu routingu. Usługa Routing i dostęp zdalny oferuje kilka
opcji rejestrowania. Dodatkowo można użyć funkcji usługi IAS, aby uzyskać bardziej
szczegółowe i scentralizowane informacje dotyczące ewidencjonowania aktywności
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 19/25
i inspekcji. Aby uzyskać więcej informacji, zobacz Rejestrowanie i Usługa uwierzytelniania
internetowego.
Wdrażanie serwera RRAS w przedsiębiorstwie
Przed przystąpieniem do wdrażania serwera RRAS w sieci upewnij się, że wszystkie poniższe punkty
są dla Ciebie jasne.
• Znasz pojęcia związane z rolą RRAS, takie jak RIP, OSPF, tablica routingu.
• System operacyjny jest skonfigurowany poprawnie. W systemach operacyjnych z rodziny
Windows Server 2008 usługa RRAS jest uzależniona od prawidłowej konfiguracji systemu
operacyjnego oraz jego usług.
• Komputer na którym będzie instalowana posiada minimum dwa interfejsy sieciowe
o statycznych adresach IP.
• Kreator konfiguracji zabezpieczeń jest zainstalowany i włączony.
• Podczas dodawania roli serwera RRAS tworzony jest zestaw interfejsów sieciowych wraz
z interfejsem wewnętrznym umożliwiającym komunikację pomiędzy interfejsami. Domyślnie
tworzona jest też tablica routingu umożliwiająca przesyłanie pakietów IP pomiędzy
interfejsami. Podczas instalacji należy pamiętać iż routing IPv6 nie jest domyślnie włączony,
więc w przypadku wykorzystywania tego typu adresacji należy poinformować serwer
o pełnieniu roli routera IPv6.
Podsumowanie
W tym rozdziale przedstawione zostały najważniejsze pojęcia związane z wdrażaniem usługi
routingu na serwerze RRAS w przedsiębiorstwie. Dowiedziałeś się, jak przebiega proces
wyznaczania tras dla pakietów IP i jakie protokoły można zastosować. Usługi trasowania (routingu)
są obecnie stosowane w każdym typie sieci komputerowej od małych sieci domowych gdzie
użytkownicy używają Access Point dla sieci bezprzewodowych po duże systemy autonomiczne.
Obecny Internet to w głównej mierze wydajne przesyłanie pakietów. Rozdział ten zaprezentował
w jaki sposób można wykorzystać rolę serwera RRAS na platformie Windows Server 2008.
Przykładowe rozwiązanie
Jako inżynier systemowy zostałeś poproszony o przedstawienie planu przebudowy infrastruktury
sieciowej w centrali i oddziałach zdalnych środowiska sieciowego przedsiębiorstwa
z uwzględnieniem podziału na podsieci i wyznaczeniem nowych tras dla pakietów. Prezentując plan
masz się skupić wyłącznie na wyjaśnieniu jakie kroki poczyni dział IT aby zrealizować projekt.
Instalacja serwera RRAS w przedsiębiorstwie wiąże się z wykonaniem szeregu czynności
dotyczących zaplanowania, wdrażania i utrzymywania usługi. Proces taki można przedstawić jak na
poniższym schemacie.
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 20/25
Rys. 12 Schemat wdrażania serwera RRAS w przedsiębiorstwie
Porady praktyczne
Uwagi ogólne
• Pamiętaj, że znajomość zasad konfiguracji routerów sprzętowych jak i programowych jest
niezbędna dla pracy jako administrator sieciowy w przedsiębiorstwie.
• Jeżeli tylko jest to możliwe projektuj infrastrukturę routerów w taki sposób aby
wykorzystywały dynamiczne protokoły stanu łącza.
• Wypracuj sobie metody zarządzania trasami pakietów IP w sytuacjach awaryjnych.
• Jeżeli wykorzystujesz usługi RRAS/IAS dokładnie zaplanuj reguły dostępu zdalnego.
• W środowisku rozproszonym stosuj protokół OSPF.
• Ze względów bezpieczeństwa stosuj NAT.
• Zarządzaj serwerami zdalnymi za pomocą poleceń netsh.
Dostęp zdalny
• Zaplanuj stosowanie najmocniejszych protokołów autentykacji
• Każdy dostęp do swojej infrastruktury realizowany poprzez sieć Internet zaplanuj
z wykorzystaniem protokołów VPN tj. SSTP lub L2TP
• Dostęp zdalny do organizacji poprzez sieci VPN zabezpiecz mechanizmami kwarantanny NAP
• Jeżeli konieczny jest dostęp do serwera RRAS poprzez protokół RDP, zezwalaj na niego
wyłącznie na wewnętrznym interfejsie
Zaprojektowanie
serwera RRAS
Wybór protokołów
routingu
Definicja zasad routingu
Określenie parametrów
bezpieczeństwa dla
aktualizacji tras
Wybór trybu pracy
dostępu zdalnego
RAS/VPN
Określenie protokołów
dostępu zdalnego
Wdrożenie serwera
RRAS
Zaprojektowanie
prcesów monitorowania
transmisji
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 21/25
• W przypadku wykorzystania RDP z sieci niezabezpieczonych stosuj sieć VPN SSTP aby
zestawić bezpieczny kanał komunikacyjny
Integracja z innymi usługami
• Pamiętaj, że aby zainstalować agenta przekazywania DHCP musisz na platformie Windows
Server 2008 zainstalować rolę serwera RRAS.
• Usługa IAS umożliwia wykorzystanie autoryzacji Active Directory dla wszystkich klientów
sieciowych.
• Jeżeli tylko to możliwe stosuj infrastrukturę certyfikatów w dostępie zdalnym.
• W systucji łączenia oddziałów zdalnych firm stosuj VPN na żądanie
Uwagi dla studenta
Jesteś przygotowany do realizacji laboratorium jeśli:
• rozumiesz zasady adresowania IP w sieciach przedsiębiorstw
• umiesz instalować role i funkcje na platformie Windows Server 2008
• umiesz zaplanować wykorzystanie protokołów routingu zgodnie z architekturą sieci
• potrafisz podać przykłady zagrożeń wynikających ze źle zaprojektowanej infrastruktury
dostępu zdalnego
• znasz zasady zarządzania trasami pakietów IP w środowisku rozproszonym
• zapoznałeś się z głównymi pojęciami dotyczącymi usługi RRAS (tablica routingu, RIP, OSPF)
• Przed zainstalowaniem serwera RRAS zidentyfikuj:
• Wymagania serwera RRAS dotyczące sprzętu i magazynowania.
• Które z sieci w przedsiębiorstwie możesz połączyć dynamicznym routingiem, a które
wymagają tras statycznych
• Jakie zasady filtracji pakietów IP zakładają procedury bezpieczeństwa.
Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się,
że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu
zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek
z wykładów.
Dodatkowe źródła informacji
1.
Praca zbiorowa, Windows Server 3003 Resource Kit – Organizacja usług sieciowych, MS Press,
2004
W książce autorzy prezentują rozdział poświęcony planowaniu, wdrażaniu
i organizacji usług DHCP w przedsiębiorstwie
2.
Praca zbiorowa, Windows Server 2008 Resource Kit, MS Press 2008
Książka dość dokładnie opisująca zasady wdrażania środowiska Windows Server
2008 w przedsiębiorstwie.
3.
Praca zbiorowa, Podręcznik administratora Windows Server 2008, Microsoft, 2008
Na Praktyczny poradnik instalacji i konfiguracji serwerów Windows Server 2008
4.
Douglas E.Comer, Sieci komputerowe TCP/IP. Zasady, protokóły i architektura, Wydawnictwa
Naukowo—Techniczne, Warszawa, 1997
Bardzo dobra pozycja opisująca działanie protokołu TCP/IP oraz związanych z nim
usług takich jak wyznaczanie tras.
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 22/25
Laboratorium podstawowe
Problem 1 (czas realizacji 45 min)
Zbudować środowisko testowe umożliwiające weryfikację funkcjonalności serwera RRAS na
platformie Windows Server 2008. Schemat środowiska testowego przedstawiony jest na Rys. 13.
Rys 13. Przykładowe środowisko testowe
Zainstalować serwer Routing i dostęp zdalny na platformie Windows Server 2008 i dokonać
konfiguracji tras statycznych pomiędzy dwoma podsieciami.
Zadanie
Tok postępowania
1.
Instalacja
serwera RRAS
• Uruchom Server Manager, aby uruchomić Server Manager, kliknij Start
Menu -> All Programs -> Administrative Tools -> Server Manager.
• Dodaj rolę Network Policy and Access Services, w konsoli Server
Manager, wybierz Roles i poczekaj na podsumowanie ról.
• Zaznacz rolę Ruter oraz Routing and Remote Access Services i kliknij
Next
• Przejdź do podsumowania instalacji i kliknij Install.
• Poczekaj aż instalacja przebiegnie do końca i pojawi się okno
Installation Results, na zakończenie procesu instalacji kliknij Close.
2.
Uruchomienie
roli
serwera
RRAS
• Uruchom przystawkę administracyjną Routing and Remote Access
• Kliknij prawym klawiszem na ikonie serwera ITA-SRV01 (local) i
uruchom kreatora Configure and Enable Routing and Remote Access
• Pojawi się okienko kreatora konfiguracji serwera RRAS na którym
należy kliknąć Next.
• Z opcji wyboru typu konfiguracji wybrać Custom configuration
• Wybrać usługę Dos konfigurowania LAN Routing
• Na oknie potwierdzającym konfigurację kliknij Finish.
• Na oknie z zapytaniem o uruchomienie usług zależnych kliknij Start
Service
3.
Konfiguracja
trasy
statycznej
• Uruchom przystawkę administracyjną Routing and Remote Access
• Rozwinąć drzewo serwera ITA-SRV01 i wybrać protokół IPv4
• Zaznaczyć w lewym panelu element Static Routes
• Z menu rozwijanego wybrać interfejs Local Area Connection->New
Static route
• Wprowadzić adres docelowej sieci na tym interfejsie: 192.168.0.0
• Wprowadzić maskę sieci docelowej: 255.255.0.0
• Wprowadzić bramę dla tej sieci: 192.168.0.1
• Zatwierdzić dodanie trasy klikając OK.
• Powtórzyć kroki dla drugiego połączenia sieciowego Local Area
Connection 2 o adresie 10.10.0.0, masce 255.255.0.0 oraz bramie
Marek Pyka
ITA-108 Technologie sieciowe
10
4.
Testowanie
tras
statycznych
• Za
• O
• W
• Sp
• W
• Sp
• W
• Za
• W
• Sp
Uruchomienie dynamicznego
Zadanie
Tok p
1.
Konfiguracja
trasy
dynamicznej
•
•
•
•
•
•
•
2.
Testowanie tras
dynamicznych
•
•
•
•
•
•
•
•
•
•
Konfigurowanie tras pakietów IP w siec
Strona 23/25
10.10.0.1
Zalogować się na serwer ITA-DC01.
Otworzyć okno konsoli Start -> Uruchom -> cmd.e
Wykonać polecenie ping 192.168.1.15
Sprawdzić czy odpowiedzi są poprawne
Wykonać polecenie tracert -4 -d 192.168.1.15
Sprawdzić trasę routingu, czy wyświetlony jest pop
Wyświetl tablicę routingu na ITA-DC01 używając p
Zalogować się na serwer ITA-SRV01
W oknie konsoli wydać polecenie route print
Sprawdzić tabele routingu statycznego
Czym różnią się te dwie tablice routingu?
Czy jesteś w stanie wyjaśnić wpisy w tablicy?
nego protokołu routingu RIPv2 dla środowiska jak na
ok postępowania
Uruchom przystawkę administracyjną Routing an
Rozwinąć drzewo serwera ITA-SRV01 i wybrać pr
Wybrać z menu rozwijanego elementu og
Protocol...
Wybrać interfejs RIP Version 2 for Internet Proto
Kliknąć prawym klawiszem na nowo powstałym
kontekstowego wybrać New Interface...
Następnie wybrać połączenie Local Area Conn
wybór
Powtórzyć kroki dla połączenie Local Area Conne
Zalogować się na serwer ITA-DC01.
Otworzyć okno konsoli Start -> Uruchom -> cmd.
Wykonać polecenie ping 192.168.1.15
Sprawdzić czy odpowiedzi są poprawne
Wykonać polecenie tracert -4 -d 192.168.1.15
Sprawdzić trasę routingu, czy wyświetlony j
routera
Wyświetl tablicę routingu na ITA-DC01 używa
Zalogować się na serwer ITA-SRV01
W oknie konsoli wydać polecenie route print
Sprawdzić tabele routingu statycznego
Który z typów protokołów jest dla Ciebie łatwi
Gdybyśmy dysponowali większą ilością rou
protokołów byłby bardziej wydajny?
Moduł IV
sieciach komputerowych – RRAS
d.exe
t poprawny adres routera
jąc polecenia route print
k na Rys. 13.
g and Remote Access
ć protokół IPv4
ogólne New Routing
rotocol i kliknąć Ok.
łym obiekcie RIP i z menu
Connection i zatwierdzić
nnection 2.
md.exe
y jest poprawny adres
żywając polecenia route
atwiejszy w administracji?
routerów który z typów
Marek Pyka
ITA-108 Technologie sieciowe
Laboratorium rozszer
Zadanie 1 (czas realizacji
Twoja organizacja zamierza
pierwszy etap zostało wyzn
wymianę informacji pomiędz
tras pakietów IP. Twoim za
sprzętowych i programowyc
przeprowadzenie szeregu tes
i przetestowania jego funkcjo
sieci. Obecnie będziesz musia
W projekcie i wykonaniu mus
• Zostały uruchomione c
• Oddziały zdalne znajdu
• Łączność z centrala zna
• W każdym oddziale zd
• W każdym oddziale zd
jest zatrudnionych 53.
• Wszystkie komputery
• Przepustowość łącza W
• Wraz z wszystkimi od
urządzeniami przenośn
• Wszystkie stacje klienc
• Wdrażane rozwiązanie
z wyznaczaniem tras
bezpiecznych kanałów
pracowników mobilny
Zbuduj środowisko produkc
zapewniającą konfigurację po
Wszystkie ćwiczenia w
stacjach studenckich o w
cross cable.
Jeżeli masz kłopoty z przygot
o pomoc nauczyciela prowad
Konfigurowanie tras pakietów IP w siec
Strona 24/25
szerzone
acji 45 min)
ierza dokonać integracji infrastruktury IT dwóch
yznaczone zbudowanie infrastruktury sieciowej um
iędzy przedsiębiorstwami. Jako inżynier systemowy
zadaniem jest też sprawdzenie wydajności i funk
owych w tej dziedzinie, dokonanie analizy finanso
u testów. Obecnie jesteś już na etapie zainstalowania
nkcjonalności. Zaakceptowałeś to rozwiązanie jako e
usiał(a) zbudować i skonfigurować sieć dla oddziałó
musisz wziąć pod uwagę następujące informacje:
ne cztery nowe oddziały zdalne
ajdują się w następujących miastach: Gdańsk; Gliwic
a znajdującą się w Toruniu zapewniają dedykowane ł
e zdalnym pracuje około 80 pracowników.
le zdalnym mogą pojawić się handlowcy mobilni, któ
53.
ery w oddziałach mają używać automatycznej konfig
za WAN jest wykorzystana w 70% przez aplikację fin
i oddziałami zdalnymi firma dysponuje 1753 stacja
nośnymi.
lienckie podlegają automatycznej konfiguracji adresó
anie ma w pierwszej fazie zapewnić funkcjonalność z
tras lecz trzeba pamiętać iż docelowo ma też
łów komunikacyjnych pomiędzy oddziałami oraz w
ilnych.
dukcyjne jak na Rys. 14 i przeprowadź konfigur
ję pomiędzy oddziałami.
Rys 14. Fragment środowiska produkcyjnego
a w laboratoriach zaawansowanych należy przeprow
h o wydzielonych adresach IP. Zaleca się połączenie t
ygotowaniem zestawu testów poprawności konfigura
wadzącego zajęcia.
Moduł IV
sieciach komputerowych – RRAS
ch przedsiębiorstw. Jako
j umożliwiającej sprawna
owy masz wykonać projekt
funkcjonalności rozwiązań
ansowej rozwiązania oraz
ania serwera RRAS
ko etap wstępny integracji
iałów zdalnych.
liwice; Poznań i Wrocław.
ne łącza sieciowe.
i, których obecnie w firmie
nfiguracji adresów IP.
finansowo księgową.
acjami roboczymi oraz 80
resów IP.
ość związaną
ż umożliwiać budowanie
az w dostępie do zasobów
figurację tras statycznych
prowadzać na minimum 2
nie tych stacji kablem typu
iguracji usługi, poproś
Marek Pyka
Moduł IV
ITA-108 Technologie sieciowe
Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS
Strona 25/25
Zadanie 2 (czas realizacji 45 min)
Zbudowałeś niedawno środowisko routerów umożliwiające sprawna komunikację pomiędzy
oddziałami i centralą. Niestety coraz częściej zauważasz, że statyczne zarządzanie trasami jest mało
optymalne i dość uciążliwe. Zwłaszcza kiedy zaczynasz zastanawiać się nad zbudowaniem tego
środowiska z o wiele większym współczynnikiem na awarie łącza. Ostatnio rozmawiałeś z drugim
administratorem na temat awarii routera, zastanawialiście się co by się stało gdyby awarii uległ
router główny w centrali. Ze względów na ciągle rozbudowujące się środowisko oraz trudności
z zarządzaniu komunikacją decydujesz się na przetestowanie protokołów dynamicznych na swoim
środowisku. Obecnie Twoja firma wykorzystuje pięć routerów a ich konfiguracja przedstawiona jest
na Rys. 15.
Rys 15. Środowisko sieciowe przedsiębiorstwa
Analizując sprawność i wydajność obecnej konfiguracji sieci zauważyłeś następujące cechy:
• Wykorzystanie pul adresów IP jest nie optymalne – na każdą trasę konieczne są tylko 4
adresy
• Statyczne zarządzanie trasami IP w takim przypadku jest znacznie utrudnione
• W sytuacjach awaryjnych nie zawsze wybierana jest trasa optymalna co powoduje przestoje
w pracy użytkowników
• Ostanie awarie routera centralnego doprowadziły do poważnych przerw w realizacji procesu
biznesowego.
W celu dobrania odpowiedniego protokołu routingu przeprowadź testy które umożliwią podjęcie
decyzji zastosowania protokołów wektora odległości lub stanu łącza. Przeprowadź testy
zastosowanie protokołów routingu RIPv2 i OSPF.
Jako test przeprowadź symulację awarii następujących routerów:
• R1, R3
• R0
Sprawdź czas uaktualnienia tablic routingu na pozostałych routerach i porównaj uaktualnione
tablice ze wzorcowymi (tablice routingu działającego środowiska).
W trakcie przeprowadzanych testów środowiska routerów przeprowadź analizę ruchu sieciowego
przy pomocy Network Monitora 3 i spróbuj odnaleźć informacje związane z rozgłaszaniem się
routerów, przeanalizuj budowę i zawartość przesyłanych przez routery komunikatów.
ITA-108 Technologie sieciowe
Marek Pyka
Moduł V
Wersja 1
Automatyczne zarządzanie adresacją
IP
Spis treści
Automatyczne zarządzanie adresacją IP ................................................................ .............................. 1
Informacje o module ............................... ................................................... .......................................... 2
Przygotowanie teoretyczne ............................................................................ ..................................... 3
Przykładowy problem .................................................................................. ................................ 3
Podstawy teoretyczne.................................................................................. ................................ 3
Przykładowe rozwiązanie .............................................................................. ............................. 10
Porady praktyczne .................................................................................... ................................. 10
Uwagi dla studenta ................................ ................................................... ................................. 11
Dodatkowe źródła informacji........................................................................... .......................... 11
Laboratorium podstawowe ........................... ................................................... .................................. 12
Problem 1 (czas realizacji 20 min) ................................................................... ........................... 12
Problem 2 (czas realizacji 25 min) ................................................................... ........................... 13
Laboratorium rozszerzone ............................................................................. .................................... 13
Zadanie 1 (15 minut) .............................. ................................................... ................................. 14
Zadanie 2 (czas realizacji 30 min) ................................................................... ............................ 14
Zadanie 3 (45 min) ................................ ................................................... .................................. 15
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 2/15
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące protokołu DHCP, jego
implementacji w systemie Windows Server 2008 i zalet wynikających
z stosowania automatycznego zarządzania adresacją IP w przedsiębiorstwie.
Zapoznasz się z zasadami konfiguracji opcji protokółu DHCP w środowisku
sieciowym Windows Server 2008. Zawarte w module tym zadania
umożliwią Ci zapoznanie się z procesem planowania, wdrażania
i utrzymywania spójnej przestrzeni adresowej w rozproszonej geograficznie
organizacji.
Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania protokołu
DHCP do zarządzania przestrzenią adresów IP w sieciach przedsiębiorstw
oraz
przedstawienie
problematyki
jej
planowania,
wdrażania
i utrzymywania..
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• wiedział, jaką rolę w sieci przedsiębiorstwa pełni protokół DHCP
• potrafił zainstalować, skonfigurować i zarządzać rolą serwera DHCP
• rozumiał
potrzebę
planowania
infrastruktury
dla
potrzeb
automatycznego wdrażania adresacji IP w organizacji.
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• znać zasadę działania protokołu IP
• rozumieć budowę adresu IPv4 oraz IPv6
• rozumieć zasady przydzielania adresów IP w przedsiębiorstwie
• znać zasady pracy w środowisku Windows Server 2008
Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 3 „Zarządzanie adresacją IP w sieciach komputerowych”.
Rys. 1 Mapa zależności modułu
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 3/15
Przygotowanie teoretyczne
Przykładowy problem
Zmiany rynku powodują, że przejęcia czy wykupywanie firm przez inne, staje się obecnie czymś
powszednim. Zmiany takie mają ogromny wpływ na infrastrukturę IT przedsiębiorstw, gdyż po
każdy takim procesie rośnie jej skomplikowanie oraz zwiększa się zakres. Integracja ta powoduje
dużo kłopotów z zarządzaniem i administracją wszystkimi zasobami. Problem, który został
zdefiniowany dotyczy wdrożenia wspólnej przestrzeni adresowej w całej organizacji. Niestety
integrowane środowiska wykorzystywały różne przestrzenie adresowe, co więcej, znaczna część
komputerów posiadała statyczne adresy IP. Próba ujednolicenia adresacji podczas integracji
skończyła się połowicznym sukcesem, gdyż często w sieci pojawiają się konflikty adresów IP.
Problem ten potęguje się, gdy spróbowaliście ujednolicić adresację IP w oddziałach zdalnych.
Twój kierownik działu IT zleca Ci przygotowanie projektu ujednolicenia adresacji IP w całej
organizacji. Założenia określają centralne zarządzanie adresami, parametrami protokołu DHCP,
autoryzację w domenie firmy oraz bezpieczną aktualizację w serwerach DNS. Dodatkowo musisz
zaprojektować tak infrastrukturę, aby serwery DHCP w oddziałach zdalnych obsługiwały żądania
klientów dotyczące konfiguracji protokołu IP nie powodując konfliktów IP i zachowując spójną
przestrzeń adresową.
Podczas realizacji projektu warto jest rozważyć czas trwania dzierżawy – w środowisku oddziałów
zdalnych może mieć to ogromne znaczenie ze względu wydajności i bezpieczeństwa organizacji,
jak również wielkość infrastruktury.
Podstawy teoretyczne
Protokół DHCP (ang. Dynamic Host Configuration Protocol) jest protokołem komunikacyjnym
mającym na celu scentralizowanie i uproszczenie zarządzania konfiguracją adresów IP na hostach
sieciowych. Standard DHCP określa możliwości wykorzystania serwerów DHCP, jako narzędzia
dynamicznego przydzielania adresów IP i innych parametrów konfiguracyjnych klientów DHCP
w sieci.
Zgodnie z założeniami komunikacji opartej o protokół, TCP/IP, każdy komputer w sieci musi
posiadać unikatowy identyfikator (adres IP). Posiadanie przez hosta unikatowego adresu IP oraz
połączonego z nim maską podsieci umożliwia identyfikację komputera oraz segmentu, w którym
pracuje. Aby zminimalizować ilość czynności administracyjnych związanych z zarządzaniem
adresami IP oraz umożliwić centralne zarządzanie konfiguracją, zdefiniowano w 1993 roku standard
DHCP i opisano w dokumencie RFC 2131 (załączony na płytce studenckiej w katalogu materiały).
Rozszerzenie protokołu DHCPv6 opisano w dokumencie RFC 3315 (również dołączony do
materiałów studenckich). Głównymi zaletami protokołu DHCP są:
• Scentralizowana administracja konfiguracją IP – administratorzy zarządzający usługą DHCP
mogą w sposób scentralizowany zarządzać parametrami konfiguracyjnymi IP na wszystkich
hostach w sieci, na których uruchomiony jest klient DHCP. Cecha ta umożliwia zredukowanie
czynności administracyjnych związanych z manualną konfiguracją IP w sytuacji dodawania
nowych hostów lub zmian w infrastrukturze IP przedsiębiorstwa.
• Ujednolicona konfiguracja IP w sieci – dzięki wykorzystaniu klientów DHCP na hostach
sieciowych możliwe jest dynamiczne uaktualnianie parametrów IP z zachowaniem spójności
konfiguracyjnej w całej organizacji. Wszystkie operacje dostrajające protokół IP realizowane
są bez konieczności manualnej interwencji użytkowników lub administratorów. Eliminuje
konflikty adresów IP w całej organizacji.
• Elastyczność – usługa DHCP daje administratorom większą kontrolę nad środowiskiem
sieciowym i ułatwia zarządzanie konfiguracją hostów. Umożliwia precyzyjne zarządzanie
przydzielaniem adresów IP dzięki superzakresom oraz rezerwacjom adresów.
Marek Pyka
ITA-108 Technologie sieciowe
• Prostota – infrastruk
infrastruktury małych
jej stosowanie w każde
Zasada działania protoko
Protokół DHCP jest wykorzys
protokołu IP na hostach s
W infrastrukturze przedsięb
przechowują informacje o k
znajdują się następujące info
• Prawidłowe parametry
• Pula prawidłowych a
zastrzeżone do przydzi
• Czas trwania dzierżaw
używany przydzielony
Głównymi komponentami in
• klient usługi DHCP
• serwer usługi DHCP
• agent przekazywania (
Uzyskiwanie adresu IP przez k
Proces uzyskiwania parametr
Klienci DHCP komunikują się
osiem typów komunikatów
Datagram Protocol). Klienci
z serwerem DHCP przy pomo
jeszcze w trakcie uzyskiwani
na adres emisji ograniczone
UDP o numerze 68, a serwer
Przykładowy przebieg trans
przedstawiony jest poniżej:
1 4.571772 SRV-CL0
255.255.255.0 IP
2 4.571772 LOCAL *
255.255.255.255 IP
3 4.347488 SRV-CL0
255.255.255.255 IP
4 4.347489 LOCAL
255.255.255.255 IP
Automatyczne zarz
Strona 4/15
truktura DHCP została tak zaprojektowana, aby s
ych i dużych przedsiębiorstw. Uproszczona administ
ażdej organizacji z minimalnym nakładem na czynno
okołu DHCP
rzystywany w przedsiębiorstwie do automatyczneg
ch sieciowych. Infrastruktura DHCP korzysta z m
siębiorstwa może występować jeden lub więcej s
o konfiguracji TCP/IP i przekazują je klientom. W
informacje:
etry konfiguracji wszystkich klientów w sieci.
h adresów IP przeznaczonych do przydzielania
ydzielania ręcznego.
żawy oferowany przez serwer. Dzierżawa określa cz
ony adres IP.
i infrastruktury DHCP są:
nia (opcjonalnie występujący w infrastrukturze rozpr
IP przez klienta DHCP
metrów IP przedstawiony został na Rys. 12,
Rys. 2 Proces otrzymywania adresu IP
się z serwerami DHCP za pomocą komunikatów wa
tów, DHCP, które są przesyłane przy użyciu proto
nci DHCP z przydzielonym adresem, IP i ważną dzie
omocy data gramów pojedynczej transmisji IP, podc
ania adresu IP komunikują się przy pomocy pakiet
onej (broadcast) 255.255.255.255. Klient DHCP jes
wer DHCP z portem o numerze 67.
ransmisji przechwycony za pomocą Microsoft N
ej:
L01 *BROADCAST DHCP Discover (xid=4347488
P
*BROADCAST DHCP Offer (xid=43474883) TAL
P
L01 *BROADCAST DHCP Request (xid=43474883
P
*BROADCAST DHCP ACK (xid=43474883) TAL
P Odnawianie dzierżawy DHCP
Moduł V
zarządzanie adresacją IP – DHCP
by sprostać wymaganiom
inistracja usługą umożliwia
nności administracyjne.
nego konfigurowania opcji
z modelu klient-serwer.
ej serwerów DHCP, które
. W bazie danych serwera
nia klientom oraz adresy
a czas, przez jaki może być
ozproszonej)
warstwy aplikacji. Istnieje
rotokołu UDP (ang. User
dzierżawą komunikują się
podczas gdy klienci będący
kietów emisji, wysyłanych
jest powiązany z portem
ft Network Monitora 3.1
883) 0.0.0.0
ALLGUY
3)0.0.0.0
LLGUY
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 5/15
Czas trwania dzierżawy jest określony, w związku, z czym klient w odpowiednim momencie jest
zmuszony skontaktować się z serwerem DHCP w celu jej odnowienia. Proces odnawiania dzierżawy
został przedstawiony na Rys. 3
Rys. 3 Proces odnawiania adresu IP
Analogicznie jak w powyższym przypadku można przeprowadzić procedurę przechwytywania
pakietów w narzędziu Microsoft Network Monitor 3.1. Przykładowy wynik śledzenia pakietów
znajduje się poniżej.
1 8.3494001 SRV-CL01 *BROADCAST DHCP Request (xid=43474883)0.0.0.0
255.255.255.255 IP
2 8.3494015 LOCAL *BROADCAST DHCP ACK (xid=43474883) TALLGUY
255.255.255.255 IP
Proces odnowienia dzierżawy przeprowadzany jest w kilku etapach. Pierwsza próba odnowienia
dzierżawy odbywa się po upływie połowy czasu dzierżawy (czas T1). Wartość czasu, w którym
nastąpi zapytanie o możliwość przedłużenia dzierżawy jest wyznaczana na podstawie komunikatów
DHCPACK otrzymanych podczas procesu ustalania adresu IP i parametrów konfiguracyjnych przez
klienta DHCP. Jeżeli próba odnowienia dzierżawy nie powiedzie się, to klient dokona ponownej
próby odnowienia dzierżawy w 87,5% okresu jej trwania (czas T2). Brak odnowienia dzierżawy
w tym czasie skutkuje zwolnieniem adresów IP zaraz po wygaśnięciu czasu dzierżawy.
Komunikaty DHCP
Znaczenie komunikatów usługi DHCP:
• DHCPDISCOVER – zadaniem tego komunikatu jest zlokalizowanie serwera DHCP w sieci
przedsiębiorstwa.
• DHCPOFFER – wysyłany przez serwer DHCP do klienta DHCP w odpowiedzi na komunikat
DHCPDISCOVER. Zawiera oferowane parametry konfiguracyjne protokołu IP.
• DHCPREQUEST – klient DHCP przesyła żądanie parametrów konfiguracyjnych do serwera
DHCP z równoczesnym niejawnym odrzuceniem ofert innych serwerów DHCP znajdujących
się w infrastrukturze. Potwierdza poprawność poprzednio przydzielonych parametrów
konfiguracyjnych podczas odnawiania/przedłużania istniejącej dzierżawy DHCP.
• DHCPACK – komunikat wysyłany przez serwer DHCP do klienta DHCP w celu potwierdzenia
adresu IP i dostarczenia żądanych parametrów konfiguracyjnych.
• DHCPNACK – negatywna odpowiedź serwera DHCP przesyłana do klienta DHCP w przypadku
wygaśnięcia dzierżawy niepodlegającej przedłużeniu lub zmiany podsieci przez klienta.
• DHCPDECLINE – odrzucenie przez klienta DHCP oferowanego przez serwer DHCP adresu IP.
• DHCPRELEASE – przesyłane przez klienta DHCP zrzeczenie się posiadanego adresu IP oraz
anulowanie pozostałego czasu dzierżawy.
• DHCPINFORM – komunikat wysyłany przez klienta DHCP z prośbą o przesłanie dodatkowych
parametrów konfiguracyjnych.
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 6/15
Automatyczne przydzielanie adresów IP
Komputer z systemem Windows skonfigurowany do używania protokołu DHCP może
automatycznie przypisać do siebie adres IP, jeżeli serwer DHCP jest niedostępny. Na przykład taka
sytuacja może wystąpić w sieci bez serwera DHCP lub w sieci, w której serwer DHCP został
tymczasowo wyłączony w celu wykonania prac konserwacyjnych. Urząd IANA (ang. Internet
Assigned Numbers Authority) zarezerwował zakres adresów 169.254.0.0–169.254.255.255 dla
automatycznego adresowania prywatnego IP. Dzięki temu funkcja APIPA (ang. Automatic Private IP
Addressing) zapewnia adres, który nie powoduje konfliktu z adresami związanymi z obsługą
routingu. Po przypisaniu adresu IP do karty sieciowej komputer może używać protokołu TCP/IP do
komunikowania się z innym komputerem podłączonym do tej samej sieci LAN i skonfigurowanym
do korzystania z funkcji APIPA lub komputerem, dla którego ręcznie skonfigurowano adres IP
169.254.x.y (gdzie x.y jest unikatowym identyfikatorem klienta) z maską podsieci 255.255.0.0.
Należy zauważyć, że ten komputer nie może komunikować się z komputerami w innych podsieciach
lub komputerami, które nie korzystają z automatycznego adresowania prywatnego IP.
Automatyczne adresowanie prywatne IP jest domyślnie włączone.
Najważniejsze pojęcia związane z protokołem DHCP
Serwer DHCP
Zadaniem serwerów DHCP jest zarządzanie pulami dostępnych adresów IP oraz dodatkowymi
parametrami konfiguracyjnymi zdefiniowanymi przez administratora serwera DHCP. Odpowiada na
żądania klientów, przeprowadza rejestrację hostów w usłudze DNS.
Zakresy
Jako zakres określa się zbiór adresów i związane z nim dodatkowe parametry konfiguracyjne
przekazywane klientom DHCP.
Superzakres
Superzakres jest administracyjną grupą zakresów, która może być używana do obsługi wielu
logicznych podsieci IP w tej samej podsieci fizycznej. Superzakresy zawierają jedynie listę zakresów
składowych (inaczej zakresów podrzędnych), które mogą być uaktywniane razem. Superzakresy nie
są używane do konfigurowania innych szczegółów dotyczących korzystania z zakresu. Aby
skonfigurować większość właściwości używanych w obrębie superzakresu, trzeba indywidualnie
skonfigurować właściwości zakresów składowych.
Opcje DHCP
Jest to specyficzny zestaw konfiguracji dodatkowych takich jak maska sieciowa, adres bramy
domyślnej czy adres serwera WINS (ang. Windows Internet Name Service). Administrator serwera
może określić jedną lub więcej opcji na różnych serwerach. Opcje zostały szczegółowo opisane w
dokumencie RFC 2132 (znajduje się on na płycie CD z materiałami studenckimi). W systemie
Windows Server 2008 administrator może zarządzać opcjami na pięciu poziomach:
• Opcje serwera DHCP – ogólny zestaw opcji obowiązujący we wszystkich zakresach
zdefiniowanych na serwerze (opcje te są zastępowane przez zdefiniowane opcje zakresu,
opcje klasy lub specyficzną konfigurację klienta).
• Opcje predefiniowane – pozwala określić wszystkie domyślne wartości obsługiwane opcje
przez serwer DHCP oraz tworzyć nowe typy opcji.
• Opcje zakresu – definicja parametrów dla klientów danego zakresu (obowiązują o ile nie są
zastępowane przez opcje klasy lub ustawienia klienta).
• Opcje klasy – umożliwiają ustawić klasy opcji zdefiniowanych przez użytkownika lub
dostawcę, dostarczając parametry konfiguracyjne konkretnej grupie klientów DHCP
(na przykład starszym systemom operacyjnym). Opcje te są zastępowane wyłącznie przez
specyficzną konfigurację klienta.
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 7/15
• Opcje zastrzeżone dla klienta – ustawienia indywidualne klienta DHCP. Opcje mogą być
zastępowane wyłącznie przez konfigurację ręczną na poziomie klienta.
Dzierżawa DHCP
Adresy IP przydzielane klientom DHCP przydzielane są na pewien określony okres zwany dzierżawą.
Po upłynięciu dzierżawy klient DHCP jest zmuszony zwolnić posiadany adres IP i usunąć opcje
konfiguracyjne. Czas trwania dzierżawy dotyczy zarówno nowo otrzymanych parametrów jak
i przedłużania istniejącej dzierżawy.
Zastrzeżenia DHCP
Zastrzeżenie służy do utworzenia przez serwer DHCP stałego przypisania dzierżawy adresu.
Zastrzeżenia dają pewność, że dane urządzenie sprzętowe w podsieci będzie mogło zawsze
korzystać z tego samego adresu IP.
Agenci przekazywania DHCP
Agent przekazywania DHCP, zwany również agentem przekazywania BOOTP, to host (komputer lub
router), który odbiera wszystkie komunikaty emisji klientów DHCP w danej podsieci i przekazują je
do skonfigurowanego serwera DHCP. Serwer DHCP odpowiada na przesłane komunikaty agentowi
przekazywania, który następnie przekazuje je klientom DHCP w danej podsieci. Wykorzystanie
agentów przekazywania umożliwia zarządzanie przestrzenią IP w każdej lokalizacji zdalnej bez
konieczności dostarczania w nich serwerów DHCP.
Narzędzia zarządzania usługą DHCP
Polecenia netsh
Zestaw poleceń powłoki netsh dla usługi DHCP może być wywoływany w konsoli wiersza linii
poleceń po wywołaniu polecenia
netsh dhcp, co powinno zaowocować pojawieniem się nowego
znaku zachęty powłoki netsh (
netsh dhcp>). Poniżej przedstawiona jest lista najważniejszych
poleceń powłoki związana z zarządzaniem usługą i serwerem DHCP.
Polecenia usługi DHCP:
• add server – dodaje serwer DHCP do listy autoryzowanych serwerów w usłudze katalogowej
Active Directory.
• delete Server – usuwa serwer DHCP z listy autoryzowanych serwerów w usłudze katalogowej
Active Directory.
• server – przełącza bieżący kontekst poleceń netsh dotyczących usługi DHCP na inny serwer
DHCP. Polecenie
server użyte bez parametrów przełącza bieżący kontekst wiersza
polecenia do komputera lokalnego.
• show server – wyświetla listę autoryzowanych serwerów w usłudze katalogowej Active
Directory.
Polecenia serwera DHCP:
• add scope – dodaje zakres do określonego serwera DHCP.
• dump – zrzuca konfigurację lokalnego serwera DHCP do okna wiersza polecenia w przypadku
wykonywania polecenia w środowisku netsh.
• initiate auth – inicjuje autoryzację określonego serwera DHCP w usłudze katalogowej Active
Directory.
• set dnsconfig – ustawia konfigurację dynamicznej aktualizacji DNS dla określonego serwera
DHCP.
Listę wszystkich poleceń można uzyskać poprzez wprowadzenie znaku „?” w kontekście
netsh
dhcp>.
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 8/15
Polecenia
netsh dotyczące usługi DHCP zapewniają narzędzia wiersza polecenia ułatwiające
administrowanie serwerami DHCP i stanowiące alternatywne rozwiązanie wobec zarządzania
opartego na konsoli. Mogą być one użyteczne w następujących sytuacjach:
Podczas zarządzania serwerami DHCP w sieciach rozległych WAN, (Wide Area Network)
można używać poleceń w trybie interakcyjnym w wierszu polecenia narzędzia netsh, co
pozwala na efektywniejsze zarządzanie za pośrednictwem powolnych łączy sieciowych.
• Podczas zarządzania dużą liczbą serwerów DHCP można używać poleceń w trybie wsadowym
w wierszu polecenia narzędzia netsh, co ułatwia tworzenie skryptów i automatyzowanie
powtarzających się zadań administracyjnych, które trzeba wykonać w przypadku wszystkich
serwerów DHCP
PowerShell
Powłoka Windows PowerShell to nowa interaktywna linia komend oraz technologia skryptowa
systemu Windows XP/Vista/Server 2003/2008 oparta na zadaniach i poleceniach WMI, która
umożliwia administratorom bardziej wydajne i bezpieczne automatyzowanie zarządzania zarówno
komputerami typu desktop, jak i serwerami. Używając powłoki PowerShell możliwe jest
zarządzanie
parametrami
usługi
DHCP
poprzez
wykorzystanie
klasy
WMI
Win32_NetworkAdapterConfiguration
.
Przykładowe
skrypty
PowerShell
umożliwiające
zarządzanie usługą DHCP znajdują się poniżej:
• Wyszukiwanie na którym interfejsie jest aktywny klient DHCP
Get-WmiObject –Class Win32_NetworkAdapterConfiguration –Filter
"DHCPEnabled=true" -ComputerName.
• Aktywacja klienta DHCP na interfejsie z obsługą TCP/IP
Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter
"IPEnabled=true and DHCPEnabled=true" -ComputerName .
• Włączenie klientów DHCP na wszystkich interfejsach hosta
Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter
IPEnabled=true -ComputerName . | ForEach-Object -Process
{$_.InvokeMethod("EnableDHCP", $null)}
• Zwolnienie posiadanej dzierżawy adresu IP
Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter
"IPEnabled=true and DHCPEnabled=true" -ComputerName . | Where-Object -
FilterScript {$_.DHCPServer -contains "192.168.1.1"} | ForEach-Object -
Process {$_.InvokeMethod("ReleaseDHCPLease",$null)}
• Odnowienie adresu i dzierżawy IP
Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter
"IPEnabled=true and DHCPEnabled=true" -ComputerName . | Where-Object -
FilterScript {$_.DHCPServer -contains "192.168.1.254"} | ForEach-Object -
Process {$_.InvokeMethod("ReleaseDHCPLease",$null)}
Konsola usługi DHCP
Konsola DHCP jest narzędziem instalowanym na serwerze z uruchomiona usługą DHCP. Narzędzie
to oparte jest na konsoli mmc w wersji 3.0, dzięki czemu możliwą jest integracja przystawek do
zarządzania usługą DHCP z innymi narzędziami konfiguracji sieci. Podstawową funkcjonalnością
konsoli DHCP jest:
• Tworzenie zakresów.
• Dodawanie i konfigurowanie superzakresów i zakresów multiemisji.
• Przeglądanie i modyfikowanie właściwości zakresów, na przykład określanie dodatkowych
obszarów wykluczeń.
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 9/15
• Uaktywnianie zakresów, zakresów multiemisji i superzakresów.
• Monitorowanie aktywności związanej z dzierżawieniem zakresów przez przeglądanie listy
aktywnych dzierżaw każdego zakresu.
• Tworzenie w zakresach zastrzeżeń dla klientów DHCP, którzy wymagają dzierżawy stałego
adresu IP.
Wdrażanie usługi DHCP w przedsiębiorstwie
Integracja DHCP z innymi usługami
Usługa DNS
Jeżeli klientami usługi DHCP będą komputery pod kontrolą systemu operacyjnego Windows, to
koniecznym jest działanie w sieci systemu rozpoznawania nazw. Wersje systemów operacyjnych
począwszy od Windows 2000 wykorzystują do rozpoznawania nazw system DNS. Protokół DHCP
zaimplementowany w rozwiązaniach serwerowych Windows Server 2003/2008 umożliwia
przeprowadzenie procesu dynamicznej aktualizacji nazw na serwerach DNS. Proces aktualizacji
może być przeprowadzany w sposób bezpieczny jedynie jeżeli strefy DNS są zintegrowane z usługą
Active Directory.
Usługa Active Directory
W środowisku sieciowym każdej organizacji wykorzystującej usługę DHCP do zarządzania
konfiguracją klientów pojawienie się dodatkowego serwera DHCP o błędnej konfiguracji może
spowodować szereg problemów. Klienci posiadający błędną konfigurację adresów IP lub opcji
protokołu mogą mieć utrudnioną komunikację z środowiskiem sieciowym przedsiębiorstwa co
może doprowadzić do znacznych strat finansowych. Aby uniknąć tego typu problemów,
w środowisku sieciowym Microsoft Windows wprowadzono możliwość autoryzacji serwerów DHCP
w usłudze Active Directory. W sieci będącej pod kontrolą Active Directory tylko serwery
autoryzowane biorą udział w komunikacji protokołu DHCP.
Implementacja usługi DHCP
Przed przystąpieniem do wdrażania usługi DHCP w sieci upewnij się, że wszystkie poniższe punkty
są dla Ciebie jasne.
• Znasz pojęcia związane z usługą DHCP, takie jak zakresy, dzierżawy i opcje.
• System operacyjny jest skonfigurowany poprawnie. W systemach operacyjnych z rodziny
Windows Server 2008 usługa DHCP jest uzależniona od prawidłowej konfiguracji systemu
operacyjnego oraz jego usług.
• Komputer na którym będzie instalowana usługa ma statyczny adres IP.
• Kreator konfiguracji zabezpieczeń jest zainstalowany i włączony.
• Podczas dodawania roli serwera DHCP tworzy się jeden zakres definiujący grupę adresów IP
przydzielanych przez serwer DHCP klientom w podsieci. Dla każdej podsieci, do której należą
klienci, którymi chcesz zarządzać za pomocą usługi DHCP, należy utworzyć jeden zakres.
Podsumowanie
W tym rozdziale przedstawione zostały najważniejsze pojęcia związane z wdrażaniem usługi DHCP
w przedsiębiorstwie. Dowiedziałeś się, jak przebiega proces przydzielania i odnawiania adresu IP
dla klientów DHCP. Wiesz już, jakie korzyści przynieść może wdrożenie usługi DHCP w sieci.
Usługi DHCP są obecnie dostępne w każdym systemie operacyjnym oraz w większości urządzeń
aktywnych, jednakże podczas tych zajęć zapoznasz się z procedurami wdrażania serwerów DHCP na
platformie Windows Server 2008.
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 10/15
Przykładowe rozwiązanie
Jako inżynier systemowy zostałeś poproszony o przedstawienie planu wdrożenie usług DHCP
w środowisku sieciowym przedsiębiorstwa. Prezentując plan masz się skupić wyłącznie na
wyjaśnieniu jakie kroki poczyni dział IT aby zrealizować projekt.
Instalacja usługi DHCP w przedsiębiorstwie wiąże się z wykonaniem szeregu czynności dotyczących
zaplanowania, wdrażania i utrzymywania usługi. Proces taki można przedstawić jak na poniższym
schemacie.
Rys. 4 Schemat wdrażania usługi DHCP
Porady praktyczne
Uwagi ogólne
• Pamiętaj, że znajomość zasad wykorzystania usług DHCP może znacznie ułatwić Ci
prowadzenie czynności administracyjnych w przyszłej pracy.
• Jeżeli tylko jest to możliwe, projektuj infrastrukturę serwerów DHCP zgodnie z zasadą 80/20
dostępnych dzierżaw.
• Wypracuj sobie metody zarządzania adresami IP w sytuacjach awaryjnych.
• Nie stosuj dynamicznego przydzielania adresów IP dla serwerów.
• W sieciach rozległych używaj agentów przekazywania.
• Usługa DHCP wymaga intensywnego korzystania z dysku, więc dla zapewnienia wysokiej
wydajności serwera należy zaopatrzyć się w dyski o optymalnej charakterystyce wydajności.
• W konsoli serwera DHCP używaj ręcznych metod wykonywania kopii zapasowej
i przywracania z niej danych.
Agenci przekazywania
• Jeżeli w Twojej organizacji pojawiają się problemy z zachowaniem wspólnej przestrzeni IP dla
oddziałów zdalnych, stosuj w nich agentów przekazywania zamiast samodzielnych serwerów
DHCP.
• Pamiętaj, że aby zainstalować agenta przekazywania, musisz na platformie Windows Server
2008 zainstalować rolę serwera RRAS (ang. Routing and Remote Access Service).
• Określ parametry opóźnienia przekazywania zapytań przez agentów, aby zapobiegać zbyt
dużej transmisji pakietów po łączach WAN.
Zaprojektowanie serwera
DHCP
Integracja DHCP z innymi
usługami
Definicja zakresów
Implementacja usługi DHCP
Zaprojektowanie prcesów
monitorowania iwykonywania
kopii zapasowych
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 11/15
Integracja z innymi usługami
• Aby przeciwdziałać obcym serwerom DHCP w sieci przedsiębiorstwa, stosuj Autoryzację
Serwera DHCP w usłudze Active Directory.
Jeżeli tylko to możliwe, stosuj automatyczną rejestrację klientów w usłudze DNS, co
zminimalizuje problemy z działaniem otoczenia sieciowego.
• Pamiętaj, że usługa DHCP jest krytyczna dla działania całej organizacji, dlatego stosuj
mechanizmy odporności na awarie, tj. kopie zapasowe konfiguracji i serwerów.
• Jeżeli konieczne jest zapewnienie wysokiej dostępności dla usługi DHCP w przedsiębiorstwie,
zintegruj ją z usługą Failover Clustering.
Uwagi dla studenta
Jesteś przygotowany do realizacji laboratorium jeśli:
• rozumiesz zasady adresowania IP w sieciach przedsiębiorstw
• umiesz instalować role i funkcje na platformie Windows Server 2008
• umiesz zaplanować wykorzystanie adresacji prywatnej w przedsiębiorstwie
• potrafisz podać przykłady zagrożeń wynikających ze źle zaprojektowanej infrastruktury
serwerów DHCP
• znasz zasady zarządzania serwerami DHCP w środowisku rozproszonym
• zapoznałeś się z głównymi pojęciami dotyczącymi usługi DHCP (zakres, pula, dzierżawa
adresów, agent przekazywania)
Przed zainstalowaniem serwera DHCP zidentyfikuj:
• Wymagania serwera DHCP dotyczące sprzętu i magazynowania.
Które komputery można od razu skonfigurować jako klientów DHCP do korzystania
z dynamicznej konfiguracji TCP/IP, a które należy skonfigurować ręcznie za pomocą
statycznych parametrów konfiguracji TCP/IP, ze statycznymi adresami IP włącznie.
• Typy i wartości opcji DHCP, które mają być wstępnie zdefiniowane dla klientów DHCP.
Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się,
że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu
zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek
z wykładów.
Dodatkowe źródła informacji
1.
Praca zbiorowa, Windows Server 3003 Resource Kit – Organizacja usług sieciowych, Microsoft
Press, 2004
W książce autorzy prezentują rozdział poświęcony planowaniu, wdrażaniu
i organizacji usług DHCP w przedsiębiorstwie.
2.
Neall Alcott, DHCP for Windows 2000, O’Reilly, 2001
Książka dość dokładnie opisująca działanie protokołu DHCP i analizę błędów, które
mogą się podczas jego działania pojawić.
3.
Praca zbiorowa, Podręcznik administratora Windows Server 2008, Microsoft, 2008
Na Praktyczny poradnik instalacji i konfiguracji serwerów Windows Server 2008
4.
Douglas E.Comer, Sieci komputerowe TCP/IP. Zasady, protokóły i architektura, Wydawnictwa
Naukowo-Techniczne, Warszawa, 1997
Pozycja literaturowa traktująca o projektowaniu i wdrażaniu usług realizowanych
przez sieci komputerowe.
Marek Pyka
ITA-108 Technologie sieciowe
Laboratorium podsta
Problem 1 (czas realizacj
Aby przygotować wdrożenie
konfiguracji usługi DHCP dla
2008. Założenia dla projektu
Projektowane środowisko te
komputerze Serwer (Rys 5) d
adresacji IP dla pozostałych s
Wyniki swojej analizy zapisz w
Elementy środowiska
Konfiguracja
se
infrastrukturalnych:
- FireWall
- Domain Controler
- Serwer
Określ zakres adresów IP
serwer
DHCP
ma
prz
klientom.
Określ właściwą maskę
klientów.
Określ wszystkie adresy IP,
serwer
DHCP
nie
p
przydzielać klientom.
Określ
czas
trwania
dz
adresów IP.
Określ adres IP routera
klienci
będą
używać
komunikowania się z klien
innych podsieciach.
Określ nazwę domeny DNS k
Określ adres IP serwera
którego mają używać klienci.
Określ adres IP serwera
którego mają używać klienci.
Automatyczne zarz
Strona 12/15
stawowe
acji 20 min)
enie usług DHCP w przedsiębiorstwie zdecydowałeś
dla testowego środowiska wirtualnego na platfo
ktu usługi DHCP w środowisku testowym są następu
Rys. 5 Przykładowe środowisko testowe
o testowe musi umożliwić przetestowanie usług DH
5) dla 25 klientów sieciowych. W ramach projektu m
ch serwerów (pożądane jest wykorzystanie puli adre
isz w poniższej tabeli.
Parametry
serwerów
IP: Maska:
IP: Maska:
IP: Maska:
IP, które
przydzielać
ę podsieci
IP, których
powinien
dzierżawy
ra którego
wać
do
klientami w
NS klientów.
wera DNS,
nci.
era WINS,
nci.
Moduł V
zarządzanie adresacją IP – DHCP
ałeś się na przetestowanie
latformie Windows Server
tępujące:
g DHCP uruchomionych na
tu musisz przyjąć założenia
adresów prywatnych).
Brama:
Brama:
Brama:
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 13/15
Problem 2 (czas realizacji 25 min)
Przeprowadź instalację serwera DHCP na potrzeby środowiska testowego. Dokonać konfiguracji
zakresów i opcji zgodnie z wynikami uzyskanymi w poprzednim zadaniu.
Procedura instalacji Serwera DHCP na platformie Windows Server 2008:
Zadanie
Tok postępowania
1.
Instalacja roli
serwera DHCP na
platformie
Windows Server
2008
• Zalogować się na serwer ITA-SRV01 jako Administrator.
• Z okna Server Manager z sekcji Roles wybrać Add Roles.
• Kliknąć Next, aby przejść do wyboru roli.
• Zaznaczyć rolę DHCP Server i kliknąć Next.
• Kliknąć Next przejść przez wstęp do instalacji roli.
• Zaznaczyć połączenia sieciowe, dla których serwer DHCP ma przydzielać
adresy i kliknąć Next.
• Ustawić nazwę domeny Parent Domain na ITA.local.
• Ustawić adres serwera DNS Preferred DNS Server IPv4 Address
na 10.10.0.50 oraz kliknąć Next
• Kliknąć Next pomijając ustawienia WINS
2.
Definicja
zakresów podsieci
dla IPv4
• Kliknąć Add, aby dodać zakres adresów dla pierwszego połączenia:
— Zdefiniować nazwę zakresu Scope Name na Scope A
— Określić Starting IP Address na 10.10.0.2
— Ustawić Ending IP Address na 10.10.15.225
— Wprowadzić maskę podsieci Subnet Mask na 255.255.0.0
— Ustawić bramę sieciową Default Gateway na 10.10.0.1
• Kliknąć OK aby zatwierdzić dodanie zakresu.
• Kliknąć Add, aby dodać zakres adresów dla drugiego połączenia.
• Powtórzyć powyższe kroki ustawiając:
— Scope Name na Scope B
— Starting IP Address na 10.20.0.2
— Ending IP Address na 10.20.62.255
— Subnet Mask na 255.255.0.0
— Default Gateway na 10.20.0.1
• Zaakceptować ustawienia zakresu
• Kliknąć Next, aby zaakceptować zakresy.
3.
Definicja
zakresów dla IPv6
(opcjonalnie)
• Zaznaczyć opcję Enable DHCPv6 stateless mode for this server i klinąć
Next.
• Wprowadzić nazwę domeny dla IPv6 ustawiając Parent Domain na
ITA.local
• Ustawić adres serwera DNS dla IPv6 Preferred DNS Server IPv6 Address
na adres serwera ITA-DC01
• Zaakceptować ustawienia klikając Next.
4.
strony
ukończenie
instalacji
• Kliknąć Install, aby zatwierdzić ustawienia i rozpocząć instalacje
• Poczekać na zakończenie instalacji i zamknąć okno klikając Close.
• Kliknij OK.
5.
Weryfikacja
poprawności
działania
• Zalogować się na klienta ITA-CL01
• W ustawieniach połączeń sieciowych wyświetlić stan połączenia.
• W oknie stanu połączenia na zakładce obsługa kliknąć Szczegóły
• Przeanalizować dane sprawdzając adres IP (np. ipconfig /all).
Laboratorium rozszerzone
Marek Pyka
Moduł V
ITA-108 Technologie sieciowe
Automatyczne zarządzanie adresacją IP – DHCP
Strona 14/15
Zaprojektowanie
i
wdrożenie
infrastruktury
serwerów
DHCP
dla
przedsiębiorstwa
wykorzystującego oddziały zdalne.
Zadanie 1 (15 minut)
Przeprowadzić analizę komunikacji klienta usługi DHCP z serwerem DHCP w sieci LAN.
W celu realizacji tego zadania wykonaj następujące kroki:
• Wyłącz interfejs sieciowy komputera klienckiego.
• Zmień konfigurację protokołu IP tak aby wykorzystywał dynamiczną przydzielanie adresów
IP.
• Włącz aplikację Microsoft Network Monitor 3.0 i skonfiguruj ją tak aby przechwytywała
wyłącznie ruch sieciowy protokołu DHCP
• Włącz monitorowanie
• Włącz interfejs sieciowy klienta.
• Poczekaj aż klient uzyska konfigurację IP z serwera DHCP.
• Przerwij przechwytywanie pakietów i przejdź do ich analizy.
Czy potrafisz rozpoznać główne etapy przebiegu komunikacji protokołu DHCP?
Zadanie 2 (czas realizacji 30 min)
Twoja organizacja na przełomie ostatnich 4 miesięcy uruchomiła zdalne lokalizacje na terenie
całego kraju. Zgodnie z polityką zarządu, cała administracja systemami informatycznymi została
scentralizowana co spowodowało zredukowanie do zera ilości kadry administracyjnej w oddziałach.
Jako inżynier sieciowy otrzymałeś zadanie zaprojektowania tak infrastruktury, aby w całej
organizacji zachować spójną przestrzeń adresów IP i konfiguracji parametrów.
Do dokonania projektu musisz uwzględnić następujące informacje:
• Zostały uruchomione cztery nowe oddziały zdalne.
• Oddziały zdalne znajdują się w następujących miastach: Gdańsk, Gliwice, Poznań
i Wrocław.
• Łączność z centralą znajdującą się w Toruniu zapewniają 2 Mb łącza DSL.
• W każdym oddziale zdalnym pracuje około 80 pracowników.
• W każdym oddziale zdalnym mogą pojawić się handlowcy mobilni, których obecnie
w firmie jest zatrudnionych 53.
• Wszystkie komputery w oddziałach mają używać automatycznej konfiguracji adresów IP.
• Przepustowość łącza WAN jest wykorzystana w 70% przez aplikację finansowo-
księgową.
• Wraz z wszystkimi oddziałami zdalnymi firma dysponuje 1753 stacjami roboczymi oraz
80 urządzeniami przenośnymi.
• Wszystkie stacje klienckie podlegają automatycznej konfiguracji adresów IP.
Przeprowadź projekt infrastruktury serwerów DHCP umożliwiający pokrycie automatyczną
konfiguracją IP 2048 adresów z uwzględnieniem zdalnych lokalizacji.
W celu weryfikacji przygotuj środowisko testowe jak na schemacie i przeprowadź testy
poprawności konfiguracji usługi DHCP.
Jeżeli masz kłopoty z przygotowaniem zestawu testów poprawności konfiguracji usługi, poproś o
pomoc nauczyciela prowadzącego zajęcia.
Marek Pyka
ITA-108 Technologie sieciowe
Zadanie 3 (45 min)
Centrala przedsiębiorstwa z
znajdują się w Warszawie i
wszystkich dzierżaw dla nic
serwerze DHCP w centrali.
Analizując sprawność i wydaj
• W standardowych wa
lokalnych serwerów D
• W sytuacji, gdy serwe
klienci kierują swoje z
oddziałów adresów IP.
• Sytuacja pobierania a
sytuacji, gdy serwery l
w celu minimalizacji r
awaryjnych sytuacjach
• Ostanie awarie serwer
biznesowego.
Przeciwdziałając sytuacji po
sieci wykorzystaj następujące
• Lokalny serwer DHCP
• Agenta przekazywania
Zaprojektuj i skonfiguruj śr
powyżej warunkom.
W celu wdrożenia mechani
następujące czynności:
• Zainstaluj usługę Failov
• Skonfiguruj zakresy dla
Uwaga: Dokumenty pomoc
zajęcia.
Automatyczne zarz
Strona 15/15
Rys. 6 Środowisko testowe dla oddziałów zdalnych
a znajduje się w Londynie. Pozostałe dwa biur
ie i Brukseli. Każde z biur posiada własny serwer D
nich przydzielonych. Pozostałe 20% dzierżaw jest
li.
ydajność obecnej konfiguracji sieci zauważyłeś nastę
warunkach klienci sieci w Warszawie i Bruksel
w DHCP obsługujących 80% dostępnych adresów IP.
rwery DHCP w Warszawie i Brukseli działają woln
je zapytania do serwera w Londynie, który obsługu
IP.
ia adresów IP z serwera znajdującego się w Londy
ery lokalne są zajęte przyjmowaniem żądań. Sytuac
cji ruchu w sieci WAN używanie serwera w Londyn
jach.
rwera centralnego doprowadziły do poważnych prze
i pobierania adresów IP z serwera w Londynie pod
jące elementy architektury sieciowej:
CP
ania żądań DHCP
j środowisko testowe dla oddziału zdalnego odp
hanizmów odporności na awarie dla usługi DHCP
ailover Clustering
y dla oddziałów zdalnych wraz z odpowiednimi param
ocne w konfiguracji usługi Failover Clustering znajdu
Moduł V
zarządzanie adresacją IP – DHCP
biura oddziałów zdalnych
er DHCP zarządzający 80%
jest przechowywanych na
astępujące cechy:
kseli składają żądania do
IP.
olno lub są niedostępne,
uguje 20% dostępnych dla
ndynie pojawia się też w
uacja ta jest niepożądana,
dynie ma być wyłącznie w
przerw w realizacji procesu
podczas normalnej pracy
odpowiadające opisanym
HCP w Londynie wykonaj
arametrami dzierżaw
ajdują się u prowadzącego
ITA-108 Technologie sieciowe
Marek Pyka
Moduł VI
Wersja 1
Rozpoznawanie nazw hostów przy
użyciu systemu DNS
Spis treści
Rozpoznawanie nazw hostów przy użyciu systemu DNS .................................................... ................. 1
Informacje o module .................................................................................. .......................................... 2
Przygotowanie teoretyczne ............................................................................ ..................................... 3
Przykładowy problem .................................................................................. ................................ 3
Podstawy teoretyczne.................................................................................. ................................ 3
Przykładowe rozwiązanie .............................................................................. ............................. 13
Porady praktyczne .................................................................................... ................................. 14
Uwagi dla studenta ................................................................................... ................................. 15
Dodatkowe źródła informacji........................................................................... .......................... 15
Laboratorium podstawowe .............................................................................. .................................. 16
Problem 1 (czas realizacji 20 min) ................................................................... ........................... 16
Problem 2 (czas realizacji 25 min) ................................................................... ........................... 16
Laboratorium rozszerzone ............................................................................. .................................... 18
Zadanie 1 (czas realizacji 15 min) ................................................................... ............................ 18
Zadanie 2 (czas realizacji 30 min) ................................................................... ............................ 18
Zadanie 3 (90 min) ................................ ................................................... .................................. 19
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 2/19
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące protokołu DNS, jego
implementacji w systemie Windows Server 2008 i zalet wynikających
z stosowania go w zarządzaniu nazwami komputerów zarówno w sieci
rozległej jak i sieci przedsiębiorstwa. Zawarte w module tym zadania
umożliwią Ci zapoznanie się z procesem planowania, wdrażania
i utrzymywania spójnej przestrzeni nazw w rozproszonej geograficznie
organizacji.
Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania protokołu
DNS do zarządzania przestrzenią nazw hostów w sieciach przedsiębiorstw
oraz omówienie planowania, wdrażania i utrzymywania spójnych
przestrzeni nazw w sieciach rozproszonych.
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• Wiedział, jaką rolę w sieci przedsiębiorstwa pełni protokół DNS
• potrafił zainstalować, skonfigurować i zarządzać rolą serwera DNS
• rozumiał
potrzebę
planowania
infrastruktury
dla
potrzeb
automatycznego zarządzania przestrzenią nazw hostów w organizacji
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• znać zasadę działania protokołu IP
• rozumieć budowę adresu IPv4 oraz IPv6
• rozumieć zasady przydzielania adresów IP w przedsiębiorstwie
• wiedzieć jaką rolę w zarządzaniu nazwami hostów pełnią pliki hosts
i lmhosts
• znać zasady pracy w środowisku Windows Server 2008
Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module
2 i 5.
Rys. 1 Mapa zależności modułu
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 3/19
Przygotowanie teoretyczne
Przykładowy problem
Zarządzanie przestrzenią nazw domenowych ma ogromne znaczenie w sieci Internet oraz sieciach
opartych o technologie firmy Microsoft. Jako administrator często będziesz spotykał się
z problemami związanymi z działaniem protokołu DNS. Wdrażanie w organizacji spójnej przestrzeni
nazw z reguły poprzedzone jest projektem ujednolicenia adresacji IP. Od tego jak poprawnie
zostaną przeprowadzone te dwa projekty zależy w głównej mierze skuteczność, bezawaryjność
i bezpieczeństwo procesu biznesowego wspieranego technologiami informatycznymi. Przykładem
mogą być najczęstsze problemy zgłaszane przez użytkowników w przedsiębiorstwach, których
infrastruktura nie podlegała gruntownej analizie i projektowaniu. Lis Przykładem mogą być
najczęstsze problemy zgłaszane przez użytkowników w przedsiębiorstwach, których infrastruktura
nie podlegała gruntownej analizie i projektowaniu. Lista uwag może być szeroka, natomiast warto
skupić się na kilku podstawowych:
Użytkownicy sieci, głównie pracownicy oddziałów zdalnych, lub przejętych organizacji ciągle
zgłaszają problem z brakiem stabilności komunikacji pomiędzy nimi a serwerami
w przedsiębiorstwie,
Zgłaszane są problemy z błędnie działającym otoczeniem sieciowym, brakiem widoczności
krytycznych zasobów itp.,
Część użytkowników w sieci zgłasza problem z długim logowaniem do domeny firmowej,
Aplikacje biznesowe nie potrafią poprawnie korzystać z przydzielonych im dostępów do zasobów,
Użytkownicy sieci VPN nie potrafią korzystać z sieci Intranet, gdyż ich aplikacje i skróty nie
odnajdują odpowiednich serwerów świadczących usługi,
Używając ścieżek bezpośrednich w oparciu o adres IP problem nie występuje.
W przyszłej pracy, możesz spotkać się z sytuacją gdzie twój kierownik działu IT zleci Ci
przygotowanie projektu ujednolicenia przestrzeni nazw hostów w całej organizacji. Założenia
określają centralne zarządzanie nazwami, parametrami protokołu DNS, autoryzację w domenie
firmy oraz bezpieczną synchronizację rekordów pomiędzy wszystkimi serwerami DNS. Dodatkowo
musisz zaprojektować tak infrastrukturę aby serwery DNS w oddziałach zdalnych obsługiwały
żądania klientów dotyczące rozpoznawania nazw wykorzystując spójną przestrzeń nazw
w organizacji. Mając na uwadze przyszłościowe wdrożenie adresacji IPv6 warto podczas
projektowania uwzględnić ten warunek jak i rozmiar sieci oraz jej architekturę jak np. oddziały
zdalne, szybkość łączy WAN, itp.
Podstawy teoretyczne
Wiemy już, że do komunikowania się w sieci komputery wykorzystują adresy. Ich format oraz
wartości są, jednak trudne do zapamiętania przez człowieka. Znacznie lepiej zamiast adresu
195.159.120.4 pamiętać www.nazwadns.pl. Jest to tzw. nazwa kanoniczna. Jej format
odzwierciedla hierarchię systemu nazw używanego w sieci Internet, czyli DNS (ang. Domain Name
Service).
System DNS jest opracowanym przez organizację IETF (ang. Internet Engineering Task Force)
standard usługi nazw. Usługa DNS pozwala komputerom znajdującym się w sieci komputerowej
rejestrować i rozwiązywać nazwy domen DNS. Za pomocą tych nazw można zidentyfikować i
uzyskać dostęp do zasobów oferowanych przez inne komputery w sieci lub innych sieciach, takich
jak Internet. System DNS składa się z trzech następujących składników podstawowych:
• Przestrzeń nazw domen i związane z nią rekordy zasobów – rozproszona baza nazw i
skojarzonych z nią adresów IP.
• Sfery nazw DNS – serwery, których zadaniem jest przechowywanie przestrzeni nazw
i rekordów zasobów oraz zwracanie odpowiedzi na kwerendy klientów DNS.
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 4/19
• Programy rozpoznawania nazw DNS – dodatkowa funkcjonalność klientów DNS
wykorzystywana podczas łączenia się z serwerami nazw DNS i wykonywania kwerend w celu
uzyskania informacji o rekordach zasobów.
Zasada działania protokołu DHCP
Początkowo, gdy komputerów w sieci było niewiele, ich nazwy znajdowały się w jednym pliku
tekstowym. W miarę upływu czasu, gdy komputerów w sieci zaczynało już być więcej, zarządzanie
tym plikiem, jego przeszukiwanie stało się bardzo trudne. Dlatego też zdecydowano się na przejście
na hierarchiczny rozproszonego system nazw.
Przyjęty system nadawania nazw odzwierciedla strukturę sieci Internet. Podłączone są do niej
uczelnie, jednostki administracji rządowej, firmy komercyjne, wojsko, itd. Każda z tych grup ma
pewną dozę autonomii oraz jest odpowiedzialna za przydział nazw w jej obrębie. Scedowanie
odpowiedzialności za porządek panujący w danej grupie ułatwia zarządzanie nazwami w Internecie.
Najwyższy poziom w hierarchii, czyli korzeń drzewa nazw, prezentuje znak „.”. W systemie DNS nie
określono w ścisły sposób, jak mają, być nazywane kolejne poziomy, a jedynie format nazw.
W zasadzie wartość nazwy może być dowolna. Jednak, aby nie wprowadzać bałaganu przyjęto
pewne zasady używania nazewnictwa i w następnym po “.“ poziomie zostały ujęte nazwy:
com. — organizacje komercyjne,
edu. — instytucje edukacyjne,
gov. — administracja rządowa,
mil. — wojsko,
net. — centra kontroli pracy sieci,
org. — organizacje niepasujące do żadnej z powyższych grup,
arpa. — specjalna domena do wiązania adresów IP z nazwami,
int. — organizacje międzynarodowe,
Ponieważ początkowo Internet istniał tylko w USA, system nadawania nazw nie odzwierciedlał
podziałów terytorialnych państw. Gdy pozostałe państwa zaczęły się przyłączać do sieci Internet
oprócz systemu organizacyjnego nazywania dodano nazewnictwo terytorialne w postaci
dwuliterowych kodów krajów dodawanych do wymielonych nazw. Oprócz tego dodano kody
krajów bezpośrednio po znaku “.“. Kody te nie są, stosowane w USA jako ,,kolebce” Internetu.
Na Rys. 2 została przedstawiona uproszczona hierarchia nazw dla systemu DNS.
Rys. 2 Hierarchia nazw systemu DNS.
W każdej z tych grup dodawane są, nazwy nowych komputerów zgodne z ich ,pochodzeniem”.
Jeśli rejestrujemy nazwę dla naszej firmy, świadczącej komercyjne usługi, może ona zostać dodana
do systemu DNS jako:
• nazwa_firmy.com — jeśli rejestrujemy domenę w USA i jest ona związana z działalnością
komercyjna
• nazwa_firmy.com.pl — jeśli rejestrujemy domenę w Polsce i również jest ona związana
z działalnością komercyjną
Marek Pyka
ITA-108 Technologie sieciowe
• nazwa_firmy.pl — bez
kraju, serwisów inform
W ten sposób system nazw D
a węzły to serwery obsługują
Na podstawie danych zebran
klientami a serwerami, uży
komunikować. Przed połącze
adres przy pomocy lokalne
komunikacji został przedstaw
Klient DNS w tym celu spraw
programu rozpoznawania
/DISPLAYDNS. Jeśli nie zna
które następnie wysyła do se
W przeciwnym przypadku
zawiera nazw, dla której pos
nam tylko o adres, czy o nazw
na pytanie to odsyła ją klie
dostarczyć odpowiednich inf
aż dotrze do serwerów obs
odpowie poszukiwanymi da
możliwa metoda to tzw. zap
potrafi udzielić na nie od
uzyskaną odpowiedź Tym sp
DNS, klient otrzyma odpowie
Organizacja obszarów DNS
Z technicznego punktu widze
większości opisów systemu D
na podstawie ich poziomu
zarejestrowana w domenie
poziomu. Wynika to z faktu,
Rozpoznawanie nazw host
Strona 5/19
bezpośrednio w domenie “.pl” w przypadku dużyc
formacyjnych o kraju, itd.
zw DNS ma struktur drzewa, w którym liście to nazw
gujące kolejne poziomy hierarchii.
branych w serwerach DNS oraz protokołu wymiany
użytkownicy nie muszą pamiętać adresów maszy
łączeniem się ze zdalną maszyna, aplikacje starają
alnego programu odwzorowującego (klienta usłu
stawiony na Rys. 3.
Rys. 3 Przebieg komunikacji DNS
prawdza swoją pamięć podręczną. Aktualną zawarto
nia nazw DNS można wyświetlić stosując
znajduje tam informacji o poszukiwanej maszynie
o serwera (w jednym komunikacie do serwera może
ku udzieli nie autorytatywnej odpowiedzi klient
j poszukiwany jest adres oraz typ poszukiwanej info
nazwę serwera pocztowego dla danej domeny. Jeś
klientowi. W przeciwnym przypadku odsyła listę s
informacji. W następnym kroku klient będzie kiero
obsługujących najwyższy poziom nazw, jeśli żaden
i danymi. Jest to tzw. iteracyjny sposób rozwią
. zapytania rekurencyjne. Jeśli serwer otrzyma teg
odpowiedzi, wysyła zapytania do innych serweró
sposobem zawsze, o ile tylko taka informacja jes
owiedź z poszukiwaną informacją.
w DNS
idzenia każda nazwa domeny DNS użyta w drzewie
mu DNS nazwy są identyfikowane za pomocą jedne
omu i najczęstszego zastosowania. Na przykład
nie firmy Microsoft (microsoft.com.) jest znana, j
tu, że nazwa ma dwie części (nazywane etykietami),
Moduł VI
hostów przy użyciu systemu DNS
użych organizacji w danym
azwy konkretnych maszyn
iany komunikatów między
aszyn, z którymi chcą się
ają się ustalić, jaki jest jej
usługi DNS). Przebieg tej
artość pamięci podręcznej
c polecenie IPCONFIG
ynie to buduje zapytanie,
oże być wiele zapytań).
lientowi. Każde zapytanie
informacji, np. czy chodzi
Jeśli serwer zna odpowiedź
tę serwerów, które mogą,
ierował zapytania do nich,
den serwer wcześniej nie
związywania nazw. Druga
tego typu zapytanie i nie
werów i odsyła klientowi
jest zapisana w systemie
wie jest domeną. Jednak w
dnego z pięciu sposobów,
ład nazwa domeny DNS
a, jako domena drugiego
mi), które wskazują,
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 6/19
że jest umieszczona dwa poziomy poniżej szczytu drzewa. Większość nazw domen DNS ma dwie lub
więcej etykiet, z których każda wskazuje nowy poziom w drzewie. Kropki w nazwach służą do
oddzielania etykiet.
W tabeli 1, poniżej oprócz domen drugiego poziomu omówiono również inne pojęcia używane do
opisu nazw domen DNS według funkcji pełnionych przez nie w obszarze nazw.
Tabela 1.
Typ nazwy
Opis
Przykład
Katalog główny
domeny
Kiedy jest używany w nazwie domeny DNS,
jest przedstawiany, jako końcowa kropka (.),
wskazując, że dana nazwa jest umieszczona w
domenie głównej lub na najwyższym poziomie
w hierarchii domen. W takim przypadku
nazwa domeny DNS jest uważana za
kompletną i wskazuje dokładną lokalizację w
drzewie nazw. Nazwy wyrażone w ten sposób
są nazywane w pełni kwalifikowanymi
nazwami domen (FQDN).
Pojedyncza kropka (.) lub
kropka użyta na końcu nazwy,
tak
jak
w
nazwie
„przyklad.microsoft.com.”
Domena
najwyższego
poziomu
Nazwa składająca się z dwóch lub trzech liter,
wskazująca kraj/region lub rodzaj organizacji
korzystającej z tej nazwy.
„.com”, która wskazuje nazwę
zarejestrowana? w Internecie
dla
firmy
prowadzącej
działalność komercyjną
Domena
drugiego
poziomu
Nazwy o różnej długości rejestrowane przez
indywidualne
osoby
lub
organizacje
z
przeznaczeniem do używania w Internecie. Te
nazwy są zawsze oparte na odpowiedniej
domenie najwyższego poziomu, zależnie od
typu organizacji lub położenia geograficznego,
w którym nazwa jest używana.
„microsoft.com.”, która jest
nazwą
domeny
drugiego
poziomu zarejestrowaną przez
firmę
Microsoft
w
internetowym rejestrze nazw
domen DNS.
Poddomena
Dodatkowe nazwy, które może tworzyć
organizacja, oparte na zarejestrowanej nazwie
domeny drugiego poziomu. Należą do nich
nazwy dodawane do rosnącego drzewa nazw
DNS w organizacji i dzielące je na oddziały lub
lokalizacje geograficzne.
„przyklad.microsoft.com.”,
która jest fikcyjną poddomeną
przypisaną
przez
firmę
Microsoft do wykorzystywania
w
dokumentacji
przykładowych nazw
Nazwa
hosta
lub zasobu
Nazwy, które reprezentują liście w drzewie
nazw DNS i identyfikują określony zasób.
Zazwyczaj skrajna etykieta z lewej strony
nazwy domeny DNS identyfikuje określony
komputer w sieci. Jeśli na przykład nazwa na
tym poziomie zostaje użyta w rekordzie
zasobu
adresu
hosta
(A),
jest
ona
wykorzystywana do wyszukiwania adresu IP
komputera na podstawie jego nazwy hosta.
„host-
a.przyklad.microsoft.com.”,
gdzie pierwsza etykieta („host-
a”) jest nazwą hosta DNS dla
konkretnego
komputera
w
sieci
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 7/19
Typy głównych rekordów DNS
Rekordy zasobów DNS zawierają informacje związane z domeną i mogą być pobierane i
wykorzystywane przez klientów DNS. Każdy serwer DNS obsługuje te rekordy przestrzeni nazw
DNS, które są dla niego autorytatywne. Każdy administrator systemu DNS odpowiedzialny jest za
poprawność informacji zawartych w strefie.
W dokumentach RFC 1034 i 1035 oraz późniejszych został zdefiniowany szereg typów rekordów
zasobów. Większość typów rekordów nie jest już wykorzystywana, choć jest w pełni obsługiwana
przez obecne systemy DNS. Do najważniejszych rekordów obecnie wykorzystywanych w systemie
DNS można zaliczyć następujące:
• rekord A lub rekord adresu (ang. address record) mapuje nazwę domeny DNS na jej 32-
bitowy adres IPv4.
• rekord AAAA lub rekord adresu IPv6 (ang. IPv6 address record) mapuje nazwę domeny DNS
na jej 128 bitowy adres IPv6.
• rekord CNAME lub rekord nazwy kanonicznej (ang. canonical name record) ustanawia alias
nazwy domeny. Wszystkie wpisy DNS oraz poddomeny są poprawne także dla aliasu.
• rekord MX lub rekord wymiany poczty (ang. mail exchange record) mapuje nazwę domeny
DNS na nazwę serwera poczty.
• rekord PTR lub rekord wskaźnika (ang. pointer record) mapuje adres IPv4 na nazwę
kanoniczną hosta. Określenie rekordu PTR dla nazwy hosta (ang. hostname) w domenie in-
addr.arpa, który odpowiada adresowi IP, pozwala na implementację odwrotnej translacji
adresów DNS (ang. reverse DNS lookup).
• rekord NS lub rekord serwera nazw (ang. name server record) mapuje nazwę domenową na
listę serwerów DNS dla tej domeny.
• rekord SOA lub rekord adresu startowego uwierzytelnienia (ang. start of authority record)
ustala serwer DNS dostarczający autorytatywne informacje o domenie internetowej.
• rekord SRV lub rekord usługi (ang. service record) pozwala na zawarcie dodatkowych
informacji dotyczących lokalizacji danej usługi, którą udostępnia serwer wskazywany przez
adres DNS.
• TXT - rekord ten pozwala dołączyć dowolny tekst do rekordu DNS.
Mechanizm zapytań DNS
Kiedy klient DNS chce wyszukać nazwę używaną w programie, kieruje kwerendę do serwera DNS
w celu rozpoznania nazwy. Każdy komunikat kwerendy wysyłany przez klienta zawiera trzy
elementy informacji określające pytanie, na które serwer ma odpowiedzieć:
Nazwa domeny DNS, podana w postaci pełnej nazwy domeny (FQDN)
Typ kwerendy, który może albo określać rekord zasobu według typu, albo wyspecjalizowany typ
kwerendy Klasa nazwy domeny DNS. Nazwą może być na przykład nazwa FQDN komputera, taka
jak „host_a.przyklad.microsoft.com.”, a typem kwerendy — wyszukiwanie rekordu zasobu adresu
(A) według tej nazwy. Kwerendy DNS są rozwiązywane na kilka różnych sposobów. Klient może
czasami odpowiedzieć na kwerendę lokalnie, korzystając z zawartych w pamięci podręcznej
informacji otrzymanych z poprzedniej kwerendy. Serwer DNS może odpowiadać na kwerendy przy
użyciu zawartości swojej własnej pamięci podręcznej rekordów zasobów. Może także wysłać
kwerendę do innych serwerów DNS lub skontaktować się z nimi w imieniu klienta zgłaszającego
żądanie, w pełni rozpoznać nazwę, a następnie wysłać odpowiedź z powrotem do klienta. Ten
proces jest nazywany rekursją.
Ponadto w celu rozpoznania nazwy klient może sam próbować skontaktować się z dodatkowymi
serwerami DNS. W takim przypadku używa oddzielnych i dodatkowych kwerend, formułowanych
na podstawie odwołań zawartych w odpowiedziach otrzymanych od serwerów. Ten proces jest
nazywany iteracją.
Ogólnie przetwarzanie kwerendy DNS jest wykonywane w dwóch etapach:
Marek Pyka
ITA-108 Technologie sieciowe
Kwerenda o nazwę rozpocz
rozpoznawania nazw, którym
Kiedy kwerenda nie może b
serwerów DNS.
Proces rozpoznawania nazw
wstępnych krokach proces
w programie na komputerze
rozwiązania kwerendy przy
Jeśli poszukiwana nazwa mo
kończy.
Pamięć podręczna lokalnego
otrzymane z dwóch źródeł:
Jeśli plik Hosts jest skonfigu
z tego pliku są wstępnie ład
DNS. Rekordy zasobów otrzy
pamięci podręcznej i przecho
Jeśli w pamięci podręcznej n
kontynuowany przez klienta
kwerendę, najpierw sprawd
informacji rekordu zasobu
poszukiwana nazwa jest zgod
informacji strefy, serwer odp
poszukiwanej nazwy. Jeśli p
ani w jego pamięci podręczn
być kontynuowany z zastos
pomocy ze strony innych se
DNS w imieniu klienta żąda o
W większości wypadków ser
proces rekursji. Proces rozpo
Aby serwer DNS poprawnie
wykorzystane przez usługę
domeny katalogu głównego
dla domeny katalogu główn
obszaru nazw domen DNS.
Rozpoznawanie nazw host
Strona 8/19
poczyna się na komputerze klienckim i jest przeka
rym jest usługa klienta DNS, w celu rozwiązania.
że być rozwiązana lokalnie, zostają wysłane kwere
nazw przez klienta DNS został przedstawiony na
ocesu wykonywania kwerendy, nazwa domeny
erze lokalnym. Następnie do usługi klienta DNS jest
rzy użyciu informacji przechowywanych w lokalne
może być rozpoznana, na kwerendę jest udzielana
ego programu rozpoznawania nazw może zawiera
nfigurowany lokalnie, wszelkie mapowania nazw n
e ładowane do pamięci podręcznej w czasie uruch
trzymane w odpowiedziach na poprzednie kwerend
echowywane przez pewien czas.
ej nie ma odpowiednika parametru kwerendy, pro
nta, który wysyła kwerendę do serwera DNS. Kied
rawdza, czy może na nią odpowiedzieć autoryta
obu zawartego w strefie lokalnie skonfigurowan
zgodna z odpowiednim rekordem zasobu znajdujący
odpowiada autorytatywnie, wykorzystując te infor
śli poszukiwana nazwa nie ma odpowiednika na pr
ęcznej, ani wśród informacji strefy, proces wykony
stosowaniem rekursji, aż do pełnego rozpoznani
h serwerów DNS. Domyślnie przed odesłaniem odp
da od serwera użycia procesu rekursji w celu pełne
serwer DNS jest domyślnie konfigurowany w taki s
zpoznawania nazw na serwerze DNS został pokazan
Rys. 4 Proces rozwiązywania zapytań na serwerze DNS
nie wykonywał rekursję, potrzebuje aktualnej list
ugę DNS do znajdowania innych serwerów DNS
ego drzewa obszaru nazw domen DNS. Serwery głó
łównego i dla domen najwyższego poziomu umie
Moduł VI
hostów przy użyciu systemu DNS
zekazywana do programu
erendy do odpowiednich
na Rys. 3. Jak widać we
eny DNS jest używana
jest przekazywane żądanie
alnej pamięci podręcznej.
ana odpowiedź i proces się
ierać informacje o nazwie
zw na adresy prowadzące
ruchamiania usługi klienta
endy DNS są dodawane do
proces rozwiązywania jest
Kiedy serwer DNS odbiera
rytatywnie na podstawie
wanej na serwerze. Jeśli
jącym się wśród lokalnych
informacje do rozpoznania
a preferowanym serwerze
onywania kwerendy może
nania nazwy. Wymaga to
odpowiedzi usługa klienta
łnego rozpoznania nazwy.
aki sposób, aby obsługiwał
zany na Rys. 4.
listy Root hints, które są
DNS autorytatywnych dla
główne są autorytatywne
umieszczonych w drzewie
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 9/19
Alternatywne odpowiedzi na kwerendy
Zgodnie z przedstawionym modelem rozpoznawania nazw proces kończy się pozytywną
odpowiedzią zwracaną do klienta. Jednak na kwerendy mogą być także udzielane inne odpowiedzi.
Oto najczęściej spotykane:
• Odpowiedź autorytatywna
• Odpowiedź pozytywna
• Odpowiedź z odwołaniem
• Odpowiedź negatywna
Odpowiedź autorytatywna to pozytywna odpowiedź zwracana do klienta, która w komunikacie DNS
zawiera ustawiony bit uwierzytelniania wskazujący, że odpowiedź została uzyskana z serwera
dokonującego bezpośredniego uwierzytelnienia poszukiwanej nazwy.
Odpowiedź pozytywna może się składać z poszukiwanego rekordu zasobu albo z listy rekordów
zasobów (nazywanej także zestawem rekordów zasobów) zgodnej z poszukiwaną nazwą domeny
DNS i typem rekordu określonym w komunikacie kwerendy.
Odpowiedź z odwołaniem zawiera dodatkowe rekordy zasobów, nieokreślone w kwerendzie
według nazwy ani typu. Ten rodzaj odpowiedzi jest zwracany do klienta, jeśli nie jest obsługiwany
proces rekursji. Te rekordy mają służyć jako przydatne odpowiedzi referencyjne, które mogą być
wykorzystane przez klienta do kontynuowania kwerendy z zastosowaniem iteracji.
Odpowiedź z odwołaniem zawiera dodatkowe dane, takie jak rekordy zasobów (RR), które są
innego typu niż poszukiwane. Jeśli na przykład była poszukiwana nazwa hosta „www” i w tej strefie
nie znaleziono żadnych rekordów zasobów adresu tej nazwy, lecz zamiast nich dla nazwy „www”
został znaleziony rekord zasobu CNAME, serwer DNS może dołączyć tę informację do odpowiedzi
wysyłanej klientowi.
Odpowiedź negatywna uzyskana z serwera może wskazywać, że w czasie, gdy serwer próbował
przetworzyć i rekursywnie rozwiązać kwerendę w pełni i autorytatywnie, wystąpił jeden z dwóch
możliwych wyników:
• Serwer autorytatywny zgłosił, że poszukiwana nazwa nie istnieje w obszarze nazw DNS.
• Serwer autorytatywny zgłosił, że poszukiwana nazwa istnieje, lecz nie istnieją dla niej rekordy
określonego typu.
Iteracje
Iteracja jest typem rozpoznawania nazw stosowanego między klientami i serwerami DNS,
kiedy obowiązują następujące warunki:
• Klient żąda zastosowania rekursji, lecz na serwerze DNS rekursja jest wyłączona.
• Klient nie żąda użycia rekursji podczas wykonywania kwerendy na serwerze DNS.
Iteracyjne żądanie od klienta informuje serwer DNS, że klient oczekuje najlepszej odpowiedzi, jakiej
serwer DNS może udzielić natychmiast, bez kontaktowania się z innymi serwerami DNS. Kiedy jest
stosowana iteracja, serwer DNS odpowiada klientowi na podstawie własnych informacji o obszarze
nazw w kontekście poszukiwanych danych nazw. Jeśli na przykład serwer DNS w intranecie odbiera
kwerendę od lokalnego klienta dotyczącą nazwy „www.microsoft.com”, może zwrócić odpowiedź
ze swojej pamięci podręcznej nazw. Jeśli poszukiwana nazwa nie jest obecnie przechowywana w
pamięci podręcznej nazw na serwerze, serwer może odpowiedzieć w formie odwołania, czyli listy
rekordów zasobów NS i A do innych serwerów DNS, które są bliżej nazwy poszukiwanej przez
klienta.
Buforowanie
Gdy serwery DNS przetwarzają kwerendy klientów przy użyciu rekursji lub iteracji, odkrywają
i pobierają znaczną ilość informacji o obszarze nazw DNS. Te informacje są umieszczane przez
serwer w pamięci podręcznej.
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 10/19
Buforowanie stanowi sposób przyspieszania rozwiązywania następnych kwerend DNS o popularne
nazwy, jednocześnie znacznie zmniejszając ruch w sieci związany z systemem DNS.
Kiedy informacje są buforowane, wartość czasu wygaśnięcia (TTL) dotyczy wszystkich
buforowanych rekordów zasobów. Dopóki nie upłynie czas TTL buforowanych rekordów zasobów,
serwer DNS może kontynuować buforowanie i ponownie wykorzystywać te rekordy do udzielania
odpowiedzi na przysyłane przez klientów kwerendy odpowiadające tym rekordom. Wartości czasu
TTL buforowania stosowane do rekordów zasobów w większości konfiguracji stref mają przypisaną
wartość Minimalny (domyślny) czas wygaśnięcia (TTL), która jest ustawiana w rekordzie zasobu
adresu startowego uwierzytelniania (SOA) strefy. Domyślnie minimalna wartość czasu TTL wynosi 3
600 sekund (1 godzina), lecz można ją zmienić, lub też w razie potrzeby można indywidualnie
ustawić czas TTL buforowania osobno dla każdego rekordu zasobu.
Zarządzanie strefami DNS w przedsiębiorstwie
Serwer DNS posiadający pełną informację o części przestrzeni nazw DNS jest określany serwerem
autoratywnym dla tej części przestrzeni nazw. Informacje autoratywne są zorganizowane
w jednostki zwane strefami i stanowią podstawowy składnik replikacji DNS. Strefa zawiera jeden
lub więcej rekordów zasobów jednej lub więcej domen DNS.
Istnieją cztery typy stref DNS, które są stosowane w usłudze DNS Server:
• Podstawowa standardowa. Przechowuje główną kopię strefy i może ją replikować do stref
pomocniczych. Wszystkie zmiany dotyczące strefy są wprowadzane w strefie podstawowej
standardowej.
• Pomocnicza standardowa. Zawiera kopię tylko do odczytu informacji o strefie, co zwiększa
wydajność i odporność. Informacje zawarte w strefie podstawowej są replikowane do strefy
pomocniczej za pomocą mechanizmu transferu strefy.
• Zintegrowana z Active Directory. Typ strefy wykorzystywany w środowisku Microsoft
przechowywany w usłudze Active Directory i replikowany przy wykorzystaniu mechanizmów
tej usługi.
• Strefa wejściowa. Zawiera wyłącznie rekordy zasobów, które są niezbędne do
zidentyfikowania autorytatywnych serwerów DNS rzeczywistej strefy (rekordy SOA, NS i Glue
A).
• Globalne system nazw. Strefa globalnych nazw wykorzystywana jest w dużych
przedsiębiorstwach w celu identyfikacji nazw dla urządzeń sieciowych w oparciu o
pojedyncze etykiety z pominięciem usługi WINS.
Przyrostowy transfer stref DNS
Przyrostowe transfery stref są opisane w specyfikacji RFC 1995 jako dodatkowy standard systemu
DNS związany z replikowaniem stref DNS. Serwery DNS w organizacji powinny obsługiwać
przyrostowe transfery stref gdyż mechanizm ten znacznie przyspiesza proces aktualizacji i replikacji
zmian na serwerach DNS. We wcześniejszych implementacjach systemu DNS każde żądanie
aktualizacji danych strefy wymagało pełnego transferu całej bazy danych strefy przy użyciu
kwerendy AXFR. W przypadku transferu przyrostowego zamiast niej można stosować kwerendę
IXFR. Dzięki temu serwer pomocniczy może kopiować tylko te zmiany strefy, które są niezbędne do
synchronizacji jego kopii strefy ze źródłem, którym jest podstawowa lub pomocnicza kopia strefy
utrzymywana przez inny serwer DNS.
Przebieg procesu transferu strefy można zaobserwować dzięki wykorzystaniu oprogramowania
Network Monitor, co zostało przedstawione poniżej:
1 21.102323 SRV-DNS2 SRV-DC1 DNS 0x6000:Std Qry for ITA.local of type
SOA on class INET addr. 10.10.10.145
10.10.10.200
2 21.102323 SRV-DC1 SRV-DNS2 DNS 0x6000:Std Qry Resp. for ITA.local of
type SOA on class INET addr. 10.10.10.200 10.10.10.145
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 11/19
3 21.102323 SRV-DNS2 SRV-DC1 DNS 0x4000:Std Qry for ITA.local of type
Req for incrmntl zn Xfer on class INET addr. 10.10.10.145 10.10.10.200
4 21.102323 SRV-DC1 SRV-DNS2 DNS 0x4000:Std Qry Resp. for ITA.local of
type SOA on class INET addr. 10.10.10.200 10.10.10.145
Powyższy przykład obrazuje jak serwer SRV-DNS2 na podstawie rekordów SOA wykrywa zmianę
wersji strefy i rozpoczyna jej aktualizację.
Powiadamianie DNS
Serwery DNS systemu Windows obsługują powiadamianie DNS. Jest to aktualizacja pierwotnej
specyfikacji protokołu DNS, które pozwala inicjować powiadamianie serwerów pomocniczych
o zmianach stref (RFC 1996). Powiadamianie DNS implementuje mechanizm wypychania służący do
powiadamiania wybrane grupy serwerów pomocniczych strefy, kiedy strefa ulega aktualizacji.
Powiadamiane serwery mogą następnie inicjować transfer strefy, jak opisano powyżej, aby pobrać
zmiany z serwerów głównych i zaktualizować lokalne repliki strefy.
Narzędzia zarządzania usługą DNS
Polecenia netsh
Zestaw poleceń dotyczących usługi DNS w konsoli netsh nie jest zbyt rozumowany jednak warto
zapoznać się z podstawowymi poleceniami umożliwiającymi konfigurację klienta DNS na
komputerze lokalnym.
Ustawienie dynamicznej konfiguracji serwerów DNS:
netsh interface ip set dns "Local Area Connection" dhcp
Ustawienie statycznej konfiguracji serwerów DNS:
Netsh interface ipv4 add dnsserver name=<nazwa podstawowego serwera DNS>
address=<adres IP podstawowego serwera DNS> index=1
Netsh interface ipv4 add dnsserver name=<nazwa pomocniczego serwera DNS>
address=<adres IP pomocniczego serwera DNS> index=2
Komendy wiersza linii poleceń
Istnieje cała grupa narzędzi, za pomocą których można zarządzać i rozwiązywać problemy
z serwerami i klientami DNS. Zestawiono je w tabeli poniżej. Aby uruchomić każde z tych narzędzi,
należy wpisać nazwę programu w wierszu polecenia lub umieścić ją w pliku wsadowym
i obsługiwać w formie skryptu.
Polecenie
Opis
Nslookup
Używane do wykonywania kwerendy testującej obszar nazw domeny DNS.
Aby uzyskać więcej informacji, zobacz Polecenie nslookup.
Dnscmd
Interfejs wiersza polecenia do zarządzania serwerami DNS. To polecenie
warto umieszczać w skryptowych plikach wsadowych, ponieważ
wywoływany interfejs może pomóc w automatyzacji rutynowych zadań
zarządzania systemem DNS lub wykonywaniu prostych nienadzorowanych
instalacji i konfiguracji nowych serwerów DNS w sieci. Aby uzyskać więcej
informacji, zobacz Administrowanie serwerem za pomocą narzędzia
Dnscmd.
Ipconfig
To polecenie jest wykorzystywane do przeglądania i modyfikowania
szczegółów konfiguracji adresu IP używanego przez komputer. W ramach
tego narzędzia są dostępne dodatkowe opcje wiersza polecenia pomocne w
rozwiązywaniu problemów i obsłudze klientów DNS.
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 12/19
Konsola DNS
Podstawowym narzędziem przeznaczonym do zarządzania serwerami DNS jest konsola DNS, która
znajduje się w podfolderze Narzędzia administracyjne folderu Programy w menu Start. Konsola DNS
może być używana niezależnie jako przystawka Microsoft Management Console (MMC),
zwiększając stopień integracji administrowania systemem DNS z procedurami zarządzania całą
siecią.
Konsola DNS jest dostępna dopiero po zainstalowaniu systemu DNS na serwerze. Za jej pomocą
można wykonywać następujące podstawowe zadania zarządzania serwerem:
Wykonywanie wstępnej konfiguracji nowego serwera DNS.
Nawiązywanie połączenia i zarządzanie lokalnym serwerem DNS na tym samym komputerze lub
serwerami DNS zdalnymi zainstalowanymi na innych komputerach.
Zależnie od potrzeb, dodawanie i usuwanie stref wyszukiwania do przodu i wstecznego.
Dodawanie, usuwanie i aktualizacja rekordów zasobów w strefach.
Modyfikacja sposobu przechowywania i replikowania stref między serwerami.
Modyfikacja sposobu przetwarzania kwerend i obsługi aktualizacji dynamicznych przez serwery.
Modyfikacja zabezpieczeń określonych stref lub rekordów zasobów.
Ponadto konsola DNS może być wykorzystywana do wykonywania następujących zadań:
Wykonywanie czynności obsługowych na serwerze. Można uruchamiać, zatrzymywać,
wstrzymywać lub wznawiać działanie serwera albo ręcznie aktualizować pliki danych serwera.
Monitorowanie zawartości pamięci podręcznej serwera i w razie potrzeby czyszczenie jej.
Dostrajanie zaawansowanych opcji serwera.
Konfigurowanie i wykonywanie przedawniania i czyszczenia przestarzałych rekordów zasobów
przechowywanych na serwerze.
Wdrażanie usługi DNS w przedsiębiorstwie
Integracja DNS z innymi usługami
Usługa DHCP
W środowisku Windows Server DNS obsługiwany jest protokół dynamicznych aktualizacji stref DNS.
Organizacja systemu DNS uwzględniająca integrację z usługą DHCP (zajrzyj do modułu
poświęconego usłudze DHCP) udostępnia zasobom sieci informacje o adresowaniu dynamicznym,
które są przechowywane w systemie DNS. Zgodnie ze standardem aktualizacji dynamicznych
zdefiniowanym w specyfikacji RFC 2136 rekordy są aktualizowane przez serwer DHCP w imieniu
klienta DHCP za pomocą opcji 81 Client FQDN. W ramach aktualizacji modyfikowane są rekordy A
i PTR.
Usługa WINS (Windows Internet Name Service)
W środowisku sieciowym heterogenicznym oraz takim w którym występują wcześniejsze wersje
systemów Windows niż Windows 2000, koniecznym było stosowanie systemu WINS w celu
usprawnienia działania Otoczenia Sieciowego. Stosowanie systemów WINS w organizacjach miało
na celu dynamiczne rozpoznawanie nazw NetBIOS. Jeżeli organizacja wykorzystuje klientów lub
aplikacje bazujące na usłudze WINS konieczne będzie zintegrowanie ich z istniejącym systemem
DNS.
Obecne systemy DNS umożliwiają przeprowadzenie konfiguracji rozpoznawania nazw w taki sposób
aby kierowały zapytania nazw NetBIOS do serwerów WINS z równoczesną dynamiczną aktualizacją
przechowywanych rekordów.
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 13/19
Zabezpieczanie usługi DNS
Bezpieczeństwo systemu DNS jest kluczowym dla każdej organizacji. Nie przypadkowo krąży
powiedzenie, że osoba która kontroluje system DNS kontroluje całą organizację. Wyobraź sobie
sytuację w której atakujący kontroluje wszystkie zapytania DNS kierowane do sieci Internet!
W dokumencie RFC 2535 został zdefiniowany zbiór funkcji znanych jako NDS Security (DNSSEC),
które mają zapewnić uwierzytelnianie i integralność danych DNS w programach rozpoznawania
nazw. Zdefiniowane zabezpieczenia oparte są w głównej mierze o technologie podpisu cyfrowego
i metod kryptograficznych, które mają zapewnić powyższe atrybuty bezpieczeństwa. Niestety nie
wszystkie systemy DNS umożliwiają wykorzystanie tak silnych mechanizmów bezpieczeństwa co
znacznie utrudnia ich zabezpieczanie i integrację.
Implementacja usługi DNS
Przed przystąpieniem do wdrażania usługi DNS w sieci upewnij się, że wszystkie poniższe punkty są
dla Ciebie jasne.
Znasz pojęcia związane z usługą DNS, takie jak strefy, rekordy i aktualizacje.
System operacyjny jest skonfigurowany poprawnie. W systemach operacyjnych z rodziny Windows
Server 2008 usługa DNS jest uzależniona od prawidłowej konfiguracji systemu operacyjnego oraz
jego usług.
Komputer na którym będzie instalowana usługa ma statyczny adres IP i poprawną nazwę.
Kreator konfiguracji zabezpieczeń jest zainstalowany i włączony.
Jeżeli system DNS został zainstalowany wraz z usługą Active Directory tworzone są domyślnie strefy
umożliwiające funkcjonowanie usługi Active Directory. W innym przypadku koniecznym będzie
zdefiniowanie stref ręcznie zgodnie z funkcja jaką pełni w organizacji dany serwer DNS. Poniżej
zostały przedstawione najważniejsze czynności związane z instalacją i wdrażaniem usługi DNS.
Podsumowanie
W tym rozdziale przedstawione zostały najważniejsze pojęcia związane z wdrażaniem usługi DNS w
przedsiębiorstwie. Dowiedziałeś się, jak przebiega proces rozpoznawania nazw w sieciach opartych
o protokół TCP/IP. Wiesz już jak ważnym dla organizacji jest spójny mechanizm zarządzania
nazwami komputerów i usług. W ramach tego modułu będziesz zaznajamiał się z procedurami
wdrażania serwerów DNS na platformie Windows Server 2008.
Przykładowe rozwiązanie
Jako inżynier systemowy zostałeś poproszony o przedstawienie planu ujednolicenia przestrzeni
nazw za pomocą usługi DNS w środowisku sieciowym przedsiębiorstwa. Prezentując plan masz się
skupić wyłącznie na wyjaśnieniu jakie kroki poczyni dział IT aby zrealizować projekt.
Instalacja usługi DNS w przedsiębiorstwie wiąże się z wykonaniem szeregu czynności dotyczących
zaplanowania, wdrażania i utrzymywania usługi. Proces taki można przedstawić jak na poniższym
schemacie.
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 14/19
Rys. 5 Schemat wdrażania usługi DNS
Porady praktyczne
Uwagi ogólne
Pamiętaj, że znajomość zasad wykorzystania usługi DNS może znacznie ułatwić Ci prowadzenie
czynności administracyjnych w przyszłej pracy.
W środowisku heterogenicznym zaplanuj wykorzystanie usługi WINS.
Wypracuj sobie metody zarządzania nazwami komputerów w sytuacjach awaryjnych.
Nie stosuj dynamicznego przydzielania adresów IP dla serwerów.
Zaplanuj strukturę hierarchiczną dla systemu DNS w twojej organizacji.
Wszelkie pliki stref utworzone i przechowywane na serwerach DNS systemu UNIX wykorzystujących
oprogramowanie BIND muszą być ręcznie skopiowane z tych serwerów do folderu
systemroot\System32\Dns.
Zabezpieczaj transfer stref DNS i zezwalaj wyłącznie na aktualizację z zaufanych serwerach.
Integracja z innymi usługami
Poprawność działania otoczenia sieciowego oraz wielu usług zależy od nazw NetBIOS dlatego
zaplanuj integrację z usługą WINS.
Jeżeli tylko to możliwe stosuj automatyczną rejestrację klientów w usłudze DNS,
co zminimalizuje problemy z działaniem otoczenia sieciowego.
Analiza bieżącego
środowiska
Projekt przestrzeni
nazw DNS
Projekt
infrastruktury
serwera DNS
Projekt stref DNS
Konfiguracja i
zarządzanie
klientami DNS
Zabezpieczanie
infrastruktury DNS
Integracja DNS z
pozostałymi
usługami sieciowymi
Implementacja
systemu DNS
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 15/19
Pamiętaj, że usługa DNS jest krytyczna dla działania całej organizacji dlatego stosuj mechanizmy
odporności na awarie tj. kopie zapasowe konfiguracji i serwerów.
Jeżeli konieczne jest zapewnienie wysokiej dostępności dla usługi DNS w przedsiębiorstwie
zintegruj ją z usługą Failover Clustering.
Uwagi dla studenta
Jesteś przygotowany do realizacji laboratorium jeśli:
• rozumiesz zasady rozpoznawania nazw w sieciach IP przedsiębiorstw
• umiesz instalować role i funkcje na platformie Windows Server 2008
• umiesz zaplanować wykorzystanie systemu DNS w przedsiębiorstwie
• potrafisz podać przykłady zagrożeń wynikających ze źle zaprojektowanej infrastruktury
serwerów DNS
• znasz zasady zarządzania serwerami DNS w środowisku rozproszonym
• zapoznałeś się z głównymi pojęciami dotyczącymi usługi DNS (strefa, transfer strefy,
rekurencje, rekordy DNS)
Przed zainstalowaniem serwera DNS zidentyfikuj:
• Wymagania serwera DNS dotyczące sprzętu i magazynowania.
• Które komputery można od razu skonfigurować jako klientów DNS do korzystania
• z dynamicznego rozpoznawania nazw, a które należy skonfigurować ręcznie za pomocą
statycznych typów usług jak WINS lub w oparciu o pliki statycznego rozpoznawania nazw.
• Zaplanuj hierarchię systemu DNS oraz zasady replikacji danych na serwerach.
Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się,
że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu
zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek
z wykładów.
Dodatkowe źródła informacji
1.
Praca zbiorowa, Windows Server 3003 Resources Kit – Organizacja usług sieciowych, Microsoft
Press 2004
W książce autorzy prezentują rozdział poświęcony planowaniu, wdrażaniu
i organizacji usług DHCP w przedsiębiorstwie
2.
Praca zbiorowa, Podręcznik administratora Windows Server 2008, Microsoft, 2008
Na Praktyczny poradnik instalacji i konfiguracji serwerów Windows Server 2008
3.
Douglas E. Comer, Sieci komputerowe TCP/IP. Zasady, protokóły i architektura, Wydawnictwa
Naukowo-Techniczne, 1997
Bardzo dobra pozycja dotycząca działania sieci komputerowych.
4. http://technet2.microsoft.com/WindowsServer/pl/
Zbiór artykułów poświęconych usłudze DNS na platformie Windows Server
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 16/19
Laboratorium podstawowe
Problem 1 (czas realizacji 20 min)
Jako inżynier systemowy masz dokonać projektu konfiguracji usługi DNS dla testowego środowiska
wirtualnego na platformie Windows Server 2008. Założenia dla projektu usługi DNS w środowisku
testowym są następujące:
Rys. 6 Przykładowe środowisko testowe
Projektowane środowisko testowe musi umożliwić przetestowanie usług DNS uruchomionych na
komputerze Serwer DNS (Rys. 6). W ramach projektu musisz przyjąć założenia do replikacji partycji
głównej serwera DNS
Wyniki swojej analizy zapisz w poniższej tabeli.
Planowanie środowiska
Parametry
Konfiguracja
serwerów
infrastrukturalnych:
- FireWall
- Domain Controler
- Serwer DNS
IP: Maska: Brama:
IP: Maska: Brama:
IP: Maska: Brama:
Określ typ strefy przechowywanej
przez nowo zainstalowany serwer
DNS
Jak
powinna
wyglądać
strefa
wyszukiwania wstecznego?
Jakie rekordy DNS odpowiadają za
identyfikację kontrolera domeny
Jakie rekordy definiują serwer DNS
w przedsiębiorstwie
Jaką
nazwę
nosi
plik
.dns
odpowiadający za dane strefy
Określ sufix domeny DNS klientów.
Problem 2 (czas realizacji 25 min)
Przeprowadzić instalację serwera DNS na potrzeby środowiska testowego. Dokonać konfiguracji
stref zgodnie z wynikami uzyskanymi w zadaniu 1.
Procedura instalacji Serwera DNS na platformie Windows Server 2008:
Marek Pyka
ITA-108 Technologie sieciowe
Zadanie
Tok po
1.
Instalacja
serwera DNS
• Zal
• Z o
• W
• Zaz
• Po
• Kli
• Po
2.
Konfiguracja
serwera DNS
• Zal
• Z M
• Z le
Zo
• W
Ne
• Kli
• Wy
• W
Ne
• Wy
dla
• Na
Ne
• Kli
3.
Dodawanie
rekordów IPv4
• Dw
pa
• Kli
AA
• W
• W
• Po
Ad
4.
Dodawanie
rekordów IPv6
(opcjonalnie)
• Kli
AA
• W
• W
• Po
IP
5.
Dodanie
rekordy CNAME
dla witryny WWW
Klikną
(CN
• W
• W
• Zat
6.
Określenie
rekordu MX dla
serwera
• Kli
Exc
Rozpoznawanie nazw host
Strona 17/19
k postępowania
Zaloguj się na serwer ITA-SRV01.
Z okna Server Manager wybrać sekcję Roles, a tam
W kreatorze klikamy Next.
Zaznaczamy DNS Server i klikamy Next.
Po przeczytaniu wstępnych informacji klikamy Next
Klikamy Install, aby rozpocząć właściwą instalację.
Po zakończeniu procesu klikamy Close
Zaloguj się na serwer ITA-SRV01.
Z Menu Start z Administrative Tools uruchomić DN
Z lewego panelu wybrać ITA-SRV01, a następnie Fo
Zones.
W prawym panelu kliknąć prawym klawiszem my
New Zone..
Kliknąć Next
Wybrać typ dla strefy na Primary Zone i kliknąć Ne
W pole Zone Name wprowadzić nazwę domeny ita
Next
Wybrać Create new file with this file name aby utw
dla strefy i kliknąć Next
Na stronie Dynamic Update pozostawić wartość do
Next
Kliknąć Finish, aby zatwierdzić utworzenie nowej st
Dwukrotnie kliknąć na ikonie reprezentującej no
panelu
Kliknąć prawym klawiszem w prawym panelu i wy
AAAA).
W pole Name wprowadzić ITA-SRV01.
W pole IP Address wprowadzić 10.10.0.x
Powtórzyć powyższe kroki wprowadzając jako Nam
Address 10.0.0.y
Ile różnych typów rekordów można założyć
wszystkie możliwe rekordy do założenia?
Kliknąć prawym klawiszem w prawym panelu i wy
AAAA).
W pole Name wprowadzić ITA-SRV01.
W pole IP Address wprowadzić adres IPv6 serwera
Powtórzyć powyższe kroki wprowadzając jako Na
IP Address adres IPv6 serwera ITA-SRV02
iknąć prawym klawiszem myszy w prawym panelu
(CNAME).
W pole Alias Name wprowadzić WWW
W pole Fully qualified domain name wprowadzić
Zatwierdzić dodanie rekordu poprzez kliknięcie OK
Kliknąć prawym klawiszem myszy w prawym pane
Exchanger (MX).
Moduł VI
hostów przy użyciu systemu DNS
tam Add roles.
Next.
cję.
DNS Manager.
Forward Lookup
myszy i z menu wybrać
Next.
ita.local i kliknąć
tworzyć nowy plik
ć domyślną i kliknąć
ej strefy.
j nową strefę w prawym
i wybrać New Host (A or
Name ITA-SRV02 a jako IP
ożyć? Czy to na pewno
i wybrać New Host (A or
era ITA-SRV01.
Name ITA-SRV02 a jako
nelu i wybrać New Alias
zić ITA-SRV02.ita.local
OK.
anelu i wybrać New Mail
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 18/19
pocztowego
• Pole Host or child domain pozostawić puste aby zdefiniować dla
głównej domeny.
• W pole Fully qualified domain name wprowadzić ITA-SRV02.ita.local
• Pole Mail server priority pozostawić bez zmian.
• Kliknąć OK aby zatwierdzić rekord.
7.
Sprawdzenie
działania
konfiguracji
• Zalogować się na klienta ITA-CL01.
• Z wiersza polecenia sprawdzić działanie polecenia:
ping ita.local
ping ITA-SRV01.ita.local
ping ITA-SRV02.ita.local
ping www.ita.local
• Jeśli powyższe polecenia zadziałają oznacza to, iż serwer DNS działa
poprawnie
Laboratorium rozszerzone
Zadanie 1 (czas realizacji 15 min)
Przeprowadzić analizę komunikacji klienta usługi DNS z serwerem DNS w sieci LAN.
W celu realizacji tego zadania wykonaj następujące kroki:
• Wyczyść podręczną pamięć klienta DNS
• Zmień konfigurację protokołu IP tak aby wskazywał na zainstalowany serwer DNS.
• Włącz aplikację Microsoft Network Monitor 3.0 i skonfiguruj ją tak aby przechwytywała
wyłącznie ruch sieciowy protokołu DNS
• Włącz monitorowanie.
• Wykonaj szereg zapytań o adresy domenowe i IP różnych serwerów (użyj do tego znanych
Ci narzędzi analizy sieciowej tj. ping, nslookup itp.).
• Przerwij przechwytywanie pakietów i przejdź do ich analizy.
Czy potrafisz rozpoznać główne etapy przebiegu komunikacji protokołu DNS?
Zadanie 2 (czas realizacji 30 min)
Twoja organizacja na przełomie ostatnich 4 miesięcy uruchomiła zdalne lokalizacje na terenie
całego kraju. Zgodnie z polityką zarządu cała administracja systemami informatycznymi została
scentralizowana co spowodowało zredukowanie do zera ilości kadry administracyjnej w oddziałach.
Jako inżynier sieciowy otrzymałeś zadanie zaprojektowania tak infrastruktury aby w całej
organizacji zachować spójną przestrzeń nazw i konfiguracji parametrów.
Do dokonania projektu musisz uwzględnić następujące informacje:
• Zostały uruchomione cztery nowe oddziały zdalne
• Oddziały zdalne znajdują się w następujących miastach: Gdańsk; Gliwice; Poznań
i Wrocław.
• Łączność z centrala znajdującą się w Toruniu zapewniają 2 Mb łącza DSL.
• W każdym oddziale zdalnym pracuje około 80 pracowników.
• W każdym oddziale zdalnym mogą pojawić się handlowcy mobilni, których obecnie
w firmie jest zatrudnionych 53.
• Wszystkie komputery w oddziałach mają używać automatycznej konfiguracji adresów IP.
• Przepustowość łącza WAN jest wykorzystana w 70% przez aplikację finansowo księgową.
• W celu zapewnienia sprawnej komunikacji w każdym oddziale zdalnym został
zainstalowany serwer DNS.
Marek Pyka
Moduł VI
ITA-108 Technologie sieciowe
Rozpoznawanie nazw hostów przy użyciu systemu DNS
Strona 19/19
Przeprowadź projekt infrastruktury serwerów DNS umożliwiający sprawną replikację przestrzeni
nazw dla domeny ITA.local.
W celu weryfikacji przygotuj środowisko testowe jak na schemacie i przeprowadź testy
poprawności konfiguracji usługi DNS.
Jeżeli masz kłopoty z przygotowaniem zestawu testów poprawności konfiguracji usługi, poproś o
pomoc nauczyciela prowadzącego zajęcia.
Rys. 7 Środowisko testowe dla oddziałów zdalnych
Zadanie 3 (90 min)
Centrala przedsiębiorstwa znajduje się w Londynie. Pozostałe dwa biura oddziałów zdalnych
znajdują się w Warszawie i Brukseli. Każde z biur posiada własny serwer DNS, który przechowuje
kopię przestrzeni nazw dla domeny przedsiębiorstwa. Większość zmian w rekordach bazy DNS
wykonywana jest w centrali.
Analizując sprawność i wydajność obecnej konfiguracji sieci zauważyłeś następujące cechy:
1)
W standardowych warunkach klienci sieci w Warszawie i Brukseli rozwiązują nazwy
wykorzystując lokalne serwery DNS
2)
W sytuacji gdy serwery DNS w Warszawie i Brukseli działają wolno lub są niedostępne,
klienci kierują swoje zapytania do serwera w Londynie
3)
Serwer DNS w centrali jest zintegrowany z usługą Active Directory i ustawiony jest na
każdym kliencie jako główny
4)
Użytkownicy skarżą się, że nie zawsze mają dostęp do zasobów sieciowych, zwłaszcza po
zmianie konfiguracji rekordów w centrali
5)
Wyłącznie głównego serwera DNS powoduje wydłużony proces logowania do systemów
w całej organizacji, co znacznie utrudnia pracę użytkownikom i aplikacjom korzystającym
z usługi DNS
6)
Ostanie awarie serwera centralnego doprowadziły do poważnych przerw w realizacji
procesu biznesowego.
Zaprojektuj i wykonaj tak infrastrukturę DNS aby wszystkie zmiany dokonywane w centrali były
automatycznie replikowane do lokalnych serwerów DNS. Do wykonania tego zadania wykorzystaj:
Centralny serwer DNS
Lokalny serwer DNS
Zaprojektuj i skonfiguruj środowisko wydajnej i bezpiecznej replikacji danych usługi DNS.
W celu wdrożenia mechanizmów odporności na awarie dla usługi DNS w Londynie wykonaj
następujące czynności:
Zainstaluj usługę Failover Clustering
Skonfiguruj strefy oraz zasady replikacji dla serwera DNS w centrali.
ITA-108 Technologie sieciowe
Marek Pyka
Moduł VII
Wersja 1
Bezprzewodowe sieci komputerowe
Spis treści
Bezprzewodowe sieci komputerowe ................................................................................................... 1
Informacje o module .................................................................................. .......................................... 2
Przygotowanie teoretyczne ............................................................................ ..................................... 3
Przykładowy problem .................................................................................. ................................ 3
Podstawy teoretyczne.................................................................................. ................................ 3
Przykładowe rozwiązanie .............................................................................. ............................. 15
Porady praktyczne .................................................................................... ................................. 17
Uwagi dla studenta ................................................................................... ................................. 17
Dodatkowe źródła informacji........................................................................... .......................... 17
Laboratorium podstawowe .............................................................................. .................................. 19
Problem 1 (czas realizacji 45 min) ................................................................... ........................... 19
Problem 2 (czas realizacji 45 min) ................................................................... ........................... 21
Laboratorium rozszerzone ............................................................................. .................................... 22
Zadanie 1 (czas realizacji 45 min) ................................................................... ............................ 22
Zadanie 2 (czas realizacji 90 min) ................................................................... ............................ 24
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 2/24
Informacje o module
Opis modułu
W ramach niniejszego modułu zostaną omówione podstawowe aspekty
związane z sieciami bezprzewodowymi. Przedstawione zostaną standardy
sieci bezprzewodowych stosowanych obecnie w przedsiębiorstwach oraz
zasady projektowania i wdrażania tego typu technologii. Moduł ten porusza
również bardzo ważne aspekty związane z zagrożeniami bezpieczeństwa
informacji w sieciach komputerowych oraz zasadami im przeciwdziałania.
Cel modułu
Celem
modułu
jest
przedstawienie
zasad
funkcjonowania
bezprzewodowych sieci komputerowych oraz przybliżenie problematyki
bezpieczeństwa danych przesyłanych w tego rodzaju sieciach.
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• wiedział, jakie typy sieci bezprzewodowych są wykorzystywane
obecnie
• potrafił zaimplementować obsługę sieci bezprzewodowych
w Windows Server 2008
• umiał dokonać analizy pakietów przesyłanych w sieciach WiFi
• potrafił zaprojektować i wdrożyć bezpieczną infrastrukturę sieci WiFi
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• znać podstawy działania sieci komputerowych
• rozumieć działanie urządzeń sieciowych
• być zaznajomionym z modelem referencyjnym ISO/OSI
• znać zasady pracy w środowisku Windows Server 2008
Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 1 i 2.
Rys. 1 Mapa zależności modułu
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 3/24
Przygotowanie teoretyczne
Przykładowy problem
Bezprzewodowe sieci komputerowe stanowią obecnie bardzo rozwijającą się dziedzinę technologii
komputerowych. Jak grzyby po deszczu pojawiają się wokół nas nowe punkty dostępowe, zarówno
prywatne jak i firmowe. W Twojej przyszłej pracy na pewno spotkasz się z problematyką ich
wdrażania i zabezpieczania. Zbudowanie infrastruktury sieciowej przedsiębiorstwa wykorzystującej
sieci bezprzewodowe stanowi dość poważne wyzwanie dla działów IT. Problemy z ich
implementacją pojawiają się prawie na każdym kroku, poczynając od planowania, pomiary zasięgu
po bezpieczeństwo włącznie. Pracując, jako administrator sieci będziesz zobligowany do
przeprowadzenia projektu wdrożenia sieci WiFi oraz zaplanowania mechanizmów zabezpieczeń dla
przesyłu danych wrażliwych. W projekcie niezbędnym będzie uwzględnienie przez Ciebie zmian,
jakie pojawią się w infrastrukturze serwerowej będącej stykiem sieci bezprzewodowych z siecią
przewodową LAN.
Podstawy teoretyczne
Sieci bezprzewodowe WLAN 802.11x zdobywają obecnie dużą popularność dzięki łatwej instalacji
i prostej implementacji. Z punktu widzenia użytkownika, funkcjonują i działają tak samo, jak lokalne
sieci Ethernet ze współdzielonym medium. Jednakże należy być świadomym, iż wdrażanie sieci
bezprzewodowych nie jest łatwe, gdyż wyzwania, jakie stawia niekontrolowany nośnik przed
administratorami są znaczne.
Przegląd topologii sieci WLAN
Sieci 802.11 są bardzo elastyczne pod względem projektu i implementacji. Administratorzy sieci
mogą wybrać jeden z trzech typów sieci WLAN w swojej infrastrukturze:
• IBSS
• BSS
• ESS
Zbiór usług
Zbiór usług (ang. Service Set) to logiczne zgrupowanie urządzeń. Sieci WLAN umożliwiają
użytkownikom dostęp do sieci przez rozgłaszanie sygnału za pomocą częstotliwości radiowych, co
powoduje, że stacja odbiorcza może znajdować się w zasięgu wielu nadajników. Który z nich
zostanie wykorzystany do świadczenia usług, zależy wyłącznie od konfiguracji preferencji na
kliencie. Najczęściej wybór ten jest realizowany na podstawie identyfikatora SSID (ang. Service Set
Identifier), który jest domyślnie wysyłany przez wszystkie nadajniki.
IBSS
Sieć IBSS (ang. Independent Basic Service Set) jest to grupa stacji wykorzystujących technologię
802.11x w celu bezpośredniego połączenia. Sieci te nazywane są również sieciami tymczasowymi
(ang. Ad-Hoc Network), ponieważ działają one jak podstawowe sieci równorzędne (peer-to-peer).
Na Rys. 2 została przedstawiona uproszczona sieć IBSS.
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 4/24
Rys. 2 Sieć typu Ad-hoc
BSS
Sieć BSS (ang. Basic Service Set) to grupa stacji 802.11x komunikujących się ze sobą nawzajem.
W celu zapewnienia komunikacji pomiędzy nimi konieczne jest wykorzystanie wyspecjalizowanej
stacji zwanej punktem dostępu (ang. Access Point). Access Point jest centralnym punktem
komunikacyjnym dla wszystkich stacji należących do sieci BSS. Każda transmisja pomiędzy stacjami
musi odbywać się za pośrednictwem punktu dostępu, który odpowiada za przekazywanie ramek
odbiorcom. Punkt dostępu często wyposażony jest w port typu uplink, umożliwiający połączenie
sieci bezprzewodowej z siecią kablową. Z uwagi na tą funkcjonalność sieć BSS nazywana jest
również siecią strukturalną (ang. infrastructural). Na Rys. 3 przedstawiono typową sieć BSS.
Rys. 3 Sieć typu infrastructural
ESS
Sieci strukturalne można grupować za pomocą łączy typu uplink. W świecie standardów 802.11
interfejs typu uplink łączy sieć BSS z systemem dystrybucyjnym (DS). Zbiór sieci BSS połączonych
przez system dystrybucyjny nazywany siecią ESS (ang. Extended Service Set). Na Rys. 4 pokazano
praktyczną implementację sieci ESS. Należy pamiętać, że łącze typu uplink do systemu
dystrybucyjnego nie musi być połączeniem kablowym. Specyfikacja 802.11 pozwala na
zastosowanie również połączeń radiowych (choć jest to rzadko wykorzystywane).
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 5/24
Rys. 4 Sieć hybrydowa ESS
Mechanizm dostępu do medium 802.11
W module 1 wspomniany został mechanizm CSMA/CD (ang. Carrier Sense Multiple Access with
Collision Detection), którego zadaniem było wykrywanie kolizji w sieciach kablowych Ethernet.
Oparte na standardzie 802.3 sieci WLAN używają podobnego mechanizmu o nazwie CSMA/CA
(ang. Carrier Sense Multiple Access with Collision Avoidance). Mechanizm ten funkcjonuje na
zasadzie „słuchaj zanim nadasz” (ang. Listen Before Talk, LBT), stacja nadawcza przed wysłaniem
informacji bada stan nośnika i przed rozpoczęciem nadawania czeka, aż kanał będzie dostępny.
W porównaniu do CSMA/CD ten mechanizm jest bardziej restrykcyjny, gdyż każdy nadajnik musi
poinformować jak długo będzie trwała transmisja, co uniemożliwia transmisje danych przez inne
nadajniki w tym czasie.
Standardy sieci bezprzewodowych
802.11
Podstawową technologią opisaną w standardzie 802.11 jest DSSS (ang. Direct Sequence Spread
Spectrum). Technologia DSSS dotyczy urządzeń bezprzewodowych pracujących w zakresie szybkości
od 1 do 2 Mb/s. System używający technologii DSSS może pracować z szybkością do 11 Mb/s, nie
będzie jednak uważany za zgodny ze standardem, jeśli szybkość przekracza 2 Mb/s.
802.11b
Kolejnym zatwierdzonym standardem był standard 802.11b, w którym prędkość transmisji
zwiększono do 11 Mb/s. Standard 802.11b jest nazywany również standardem Wi-Fi lub
standardem dla sieci bezprzewodowych o dużej szybkości i dotyczy systemów DSSS, które pracują
z szybkością 1, 2, 5,5 i 11 Mb/s. Wszystkie systemy 802.11b są zgodne wstecz, gdyż obsługują
również system 802.11 dla szybkości 1 i 2 Mb/s, lecz tylko w przypadku technologii DSSS.
Urządzenia 802.11b uzyskują wyższe szybkości przesyłania danych dzięki zastosowaniu innej
techniki kodowania niż w przypadku 802.11, umożliwiając przesłanie większej ilości danych w tej
samej ramce czasowej.
802.11a
Standard 802.11a dotyczy urządzeń sieci WLAN pracujących w paśmie transmisyjnym 5 GHz. Użycie
pasma 5 GHz uniemożliwia współdziałanie z urządzeniami standardu 802.11b, ponieważ pracują
one w paśmie 2,4 GHz. Urządzenia 802.11a są w stanie dostarczyć dane z szybkością 54 Mb/s,
a przy zastosowaniu technologii zwanej „podwajaniem szybkości” uzyskano szybkość 108 Mb/s.
W środowisku produkcyjnym bardziej typową szybkością jest 20-26 Mb/s.
802.11g
Standard 802.11g pracuje podobnie jak 802.11b na częstotliwości 2,4 GHz, ale pozwala na transfer
z prędkością 54 Mb/s. Jest on całkowicie zgodny w dół ze standardem 802.11b, jednak
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 6/24
wykorzystanie starszych urządzeń powoduje w praktyce redukcję prędkości do 11 Mb/s. Wielu
producentów wprowadziło w swoich urządzeniach opcję Super G, pozwalającą na łączenie pasma
kilku kanałów w jedno. Dzięki wykorzystaniu Super G udało się osiągnąć prędkość 108 Mb/s.
Dodatkowo poprawiono algorytmy zarządzania ruchem pakietów radiowych, co poprawiło
sprawność protokołu. Niestety nie wszystkie urządzenia sieciowe pozwalają na pełne wykorzystanie
tych możliwości.
802.11n
Standard 802.11n obejmuje rozległe sieci bezprzewodowe. Sieci tego typu mogą pracować
z prędkościami 100, 250 i 540 Mb/s. Do tego celu wykorzystano technologię MIMO (ang. Multiple
Input Multiple Output), wykorzystującą wiele anten do nadawania/odbioru sygnału, czyli sygnał jest
nadawany z kilku źródeł i odbierany przez kilka odbiorników (obecnie 2x2). Ponadto urządzenia
802.11n potrafią wykorzystywać wiele kanałów transmisyjnych do stworzenia jednego połączenia,
co teoretycznie dodatkowo podwaja dostępną prędkość transmisji. Przepustowość, z nadmiarem
kodowania przy wykorzystaniu wszystkich anten, sieci 802.11n sięga do 300 Mb/s. Natomiast
dostępna dla użytkownika prędkość transmisji osiąga co najmniej 100Mb/s, czyli tyle, ile Fast
Ethernet.
Typy ramek 802.11
Po ustanowieniu połączenia z siecią WLAN, węzeł przesyła ramki w taki sam sposób, jak w każdej
innej sieci 802.x. Jednakże sieci WLAN nie używa się ramek standardu 802.3. Z tego względu
określenie bezprzewodowa sieć Ethernet jest mylące. Istnieją trzy typy ramek:
• sterujące:
• żądanie wysłania (RTS)
• gotowość do nadawania
• potwierdzenie
• zarządzające:
• żądanie przypisania
• odpowiedź przypisania
• żądanie próbkowania
• odpowiedź próbkowania
• sygnał nawigacyjny
• uwierzytelnienie
• danych
Należy pamiętać, że tylko ramki danych są podobne do ramek 802.3. Rozmiar danych użytecznych
w ramkach bezprzewodowych i ramkach 802.3 wynosi 1500 bajtów, jednakże ramka sieci Ethernet
nie może przekroczyć rozmiaru 1518 bajtów, podczas gdy ramki sieci bezprzewodowej mogą mieć
rozmiar do 2346 bajtów. Zazwyczaj rozmiar ramki WLAN będzie ograniczony do 1518 bajtów,
ponieważ sieć bezprzewodowa jest najczęściej podłączona do kablowej sieci Ethernet.
Fragmentacja ramki 802.11
Fragmentacja ramki to funkcja warstwy MAC, której celem jest zwiększenie niezawodności
transmisji ramki przez bezprzewodowy nośnik. Mechanizm polega na rozbijaniu ramki na mniejsze
fragmenty przesyłane osobno. Taki zabieg zwiększa prawdopodobieństwo pomyślnej transmisji
ramki przez mało stabilny nośnik bezprzewodowy. Podczas transmisji każdy fragment ramki jest
potwierdzany z osobna, co zmniejsza wielkość retransmitowanych danych w przypadku kolizji.
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 7/24
Rys. 5 Fragmentacja ramki 802.11
Zadaniem fragmentacji ramek jest zwiększenie niezawodności transmisji, jednakże trzeba
pamiętać, że zwiększa się obciążenie protokołu MAC 802.11 poprzez większą ilość potwierdzeń.
Fragmentacja jest więc kompromisem pomiędzy niezawodnością, a przeciążaniem medium.
Bezpieczeństwo sieci bezprzewodowych
Typy uwierzytelnienia i przypisania
Uwierzytelnianie w sieci WLAN następuje w warstwie 2. Jest to proces uwierzytelniania urządzenia,
a nie użytkownika. To bardzo ważne zagadnienie, o którym należy pamiętać podczas rozpatrywania
bezpieczeństwa sieci WLAN, rozwiązywania problemów oraz ogólnego zarządzania.
Uwierzytelnianie może być wyłączone, tak jak w przypadku nowego punktu dostępu i karty
sieciowej używających domyślnych konfiguracji. Klient wysyła ramkę żądania uwierzytelnienia do
punktu dostępu, gdzie ramka zostaje zaakceptowana lub odrzucona. Klient jest powiadamiany
o wyniku za pomocą ramki odpowiedzi uwierzytelniania. Punkt dostępu może być również
skonfigurowany do przekazywania zadania uwierzytelniania do specjalnego serwera, takiego jak
RADIUS, IAS lub NAP, który w tym celu może przeprowadzać bardziej złożone procesy.
Przypisanie wykonywane po uwierzytelnieniu jest stanem, który umożliwia klientowi korzystanie
z usług punktu dostępu przy transmisji danych.
Rozróżniamy następujące typy uwierzytelniania i przypisania:
• Nieuwierzytelnione i nieprzypisane – węzeł jest odłączony od sieci i nie jest przypisany do
punktu dostępu.
• Uwierzytelnione i nieprzypisane – węzeł został uwierzytelniony w sieci, ale nie jest jeszcze
przypisany do punktu dostępu.
• Uwierzytelnione i przypisane – węzeł jest podłączony do sieci i może nadawać i odbierać
dane poprzez punkt dostępu.
Metody uwierzytelnienia
W zaleceniu IEEE 802.11 wymieniono dwa typy procesu uwierzytelniania:
• System otwarty – jest to standard otwartej łączności, w której jedynie identyfikator SSID
musi być zgodny. Może on być używany w środowisku zabezpieczonym lub
niezabezpieczonym, ale ryzyko podsłuchu na niskim poziomie w celu odkrycia identyfikatora
SSID sieci WLAN jest wysokie.
• Współdzielony klucz – proces oparty o szyfrowanie WEP, WPA lub EAP.
WEP
WEP (ang. Wired Equivalent Privacy) jest podstawowym mechanizmem zabezpieczeń danych
przesyłanych przez sieci bezprzewodowe. Zgodnie z założeniami tego standardu, zabezpieczenie
połączenia musi być na tym samym poziomie, jak w przypadku połączeń kablowych. Metoda ta
została zdefiniowana w standardzie 802.11 i jest dostępna jako opcja ochrony komunikacji
pomiędzy kartą sieciową a punktem dostępowym. WEP wykorzystuje algorytm RC4 z 40- lub
104-bitowym kluczem. Schemat działania algorytmu WEP został przedstawiony na Rys. 6.
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 8/24
Rys. 6 Fragmentacja ramki 802.11
W algorytmie tym tajny klucz algorytmu RC4 jest łączony ze zmiennym wektorem inicjującym (IV)
tworząc ciąg szyfrujący tekst jawny (M) oraz sumę kontrolną ICV (ang. Integrity Check Value).
W przypadku WEP jego bezpieczeństwo zależy głównie od wektora inicjującego, który niestety
przesyłany jest tekstem otwarty. Ze względu na podatność tej metody na ataki kryptograficzne, jest
ona akceptowalna wyłącznie dla użytkowników domowych.
WPA/WPA2
WPA (ang. Wifi Protected Access) jest następcą mechanizmu WEP i stanowi etap przejściowy dla
standardu IEEE 802.11i. Standard ten wprowadził szereg fundamentalnych zmian, na przykład
oddzielenie uwierzytelniania użytkowników od zapewniania integralności i poufności danych,
tworząc tym samym niezawodną i skalowalną architekturę bezpieczeństwa nadającą się tak samo
dobrze dla sieci domowych, jak dla dużych sieci korporacyjnych. Nowa architektura sieci
bezprzewodowych nosi nazwę Robust Security Network (RSN) i wykorzystuje uwierzytelnianie
z protokołem 802.1X, niezawodną dystrybucję klucza oraz nowe mechanizmy zapewniania
integralności i poufności. Nawiązanie bezpiecznego kontekstu komunikacji składa się z czterech faz
(patrz Rysunek 7):
• uzgodnienia polityki bezpieczeństwa
• uwierzytelniania 802.1X
• generowania i dystrybucji klucza
• zapewnienia integralności i poufności danych w ramach architektury RSNA
Rys. 7 Fazy działania protokołu 802.11i
WPA wykorzystuje protokoły Temporal Key Integrity Protocol (TKIP), 802.1x oraz
uwierzytelnienie EAP.
WPA dzieli się na:
• Enterprise – korzysta z serwera RADIUS, który przydziela różne klucze do każdego
użytkownika.
• Personal – nie dzieli kluczy na poszczególnych użytkowników, wszystkie podłączone stacje
wykorzystują jeden klucz dzielony.
Najważniejszą różnicą pomiędzy WPA a WPA2 jest używana metoda szyfrowania. Podczas, gdy
WPA w wersji pierwszej korzysta głównie z TKIP/RC4, WPA2 wykorzystuje CCMP/AES.
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 9/24
Pomimo tego, że znane są już ataki na algorytm WPA (polegające głównie na ataku słownikowym
na klucz), algorytm WPA stanowi jedyną alternatywę bezpieczeństwa dla starszych urządzeń
nieobsługujących WPA2. Z opisywanych powyżej algorytmów miano bezpiecznego może nosić
wyłącznie WPA2 z wykorzystaniem protokołów EAP i RADIUS opisanych poniżej.
IEEE 802.1x i EAP
Protokół uwierzytelniania IEEE 802.1X (znany też pod nazwą Port-Based Network Access Control)
został pierwotnie stworzony dla sieci przewodowych. Zapewnia on mechanizmy uwierzytelniania,
autoryzacji, dystrybucji klucza i kontroli dostępu użytkowników dołączających do sieci. Architektura
IEEE 802.1X obejmuje trzy podmioty funkcjonalne:
• klienta (ang. supplicant) dołączającego do sieci
• podmiot uwierzytelniający odpowiedzialny za kontrolę dostępu
• serwer uwierzytelniania podejmujący decyzje o autoryzacji
W sieciach bezprzewodowych za uwierzytelnianie odpowiada punkt dostępowy. Każdy fizyczny
port sieci (a w przypadku sieci bezprzewodowych – port wirtualny) dzielony jest na dwa porty
logiczne, razem składające się na obiekt dostępu do portu, czyli PAE (ang. Port Access Entity). PAE
uwierzytelniania jest zawsze otwarty i przepuszcza jego ramki, natomiast PAE usług jest otwierany
dopiero wtedy, gdy jest w stanie autoryzowanym – czyli po udanym uwierzytelnieniu – i tylko na
określony czas (domyślnie 3600 sekund). Decyzja o dopuszczeniu dostępu jest na ogół
podejmowana przez trzecią stronę komunikacji, czyli serwer uwierzytelniania, którym może być
zarówno osobny serwer RADIUS, jak i prosty proces działający w ramach punktu dostępowego (na
przykład w sieciach domowych). Standard 802.11i wprowadza w IEEE 802.1X drobne zmiany dla
potrzeb sieci bezprzewodowych, mające na celu zabezpieczenie przed kradzieżą tożsamości.
Wprowadzone zostało dodatkowe uwierzytelnianie wiadomości, które pozwala upewnić się, że
zarówno klient, jak i podmiot uwierzytelniający mają wyliczone tajne klucze i włączyli szyfrowanie
przed uzyskaniem dostępu do sieci.
Klient i podmiot uwierzytelniający komunikują się za pomocą protokołu opartego na EAP
(ang. Extensible Authentication Protocol), przy czym rola tego drugiego jest w zasadzie pasywna –
może on po prostu przekazywać wszystkie żądania uwierzytelnienia do serwera. EAP określa ogólne
zasady transportu różnego rodzaju metod uwierzytelniania i dopuszcza bardzo ograniczoną liczbę
komunikatów (
Request, Response, Success, Failure). Inne komunikaty zależą już od wybranej
metody uwierzytelnienia: EAP-TLS, EAP-TTLS, PEAP, Kerberos V5, EAP-SIM itd. Po zakończeniu tego
procesu obie strony (klient i serwer uwierzytelniający) mają własny, tajny klucz nadrzędny.
Komunikacja między podmiotem uwierzytelniającym a serwerem odbywa się poprzez protokół
EAPOL (ang. EAP Over LAN), stosowany w sieciach bezprzewodowych do przenoszenia danych EAP
w ramach protokołów wyższego poziomu (na przykład protokołu RADIUS).
Wdrażanie bezprzewodowych sieci LAN
Dogłębne zrozumienie działania protokołu 802.11, działania mobilnych węzłów oraz
bezpieczeństwa transmisji na poziomie MAC jest konieczne do poprawnego planowania i wdrażania
sieci WLAN w przedsiębiorstwie. Instalacja punktów dostępowych to proces o wiele bardziej
skomplikowany niż przygotowanie infrastruktury kablowej i montaż urządzenia pod sufitem.
Przed wykonaniem instalacji konieczne jest przeprowadzenie pomiarów zasięgu urządzeń
dostępowych w danej lokalizacji oraz wyznaczenie ilości urządzeń, jaką należy zakupić, aby
zapewnić użytkownikom odpowiedni poziom dostępu do sieci. Na tym etapie należy również
rozważyć typ aplikacji wykorzystywanych przez klientów, gdyż inne zapotrzebowanie na pasmo
będą miały aplikacje wykorzystujące ruch pakietowy (np. HTTP, SMTP), a inne aplikacje
strumieniowe (np. głosowe VoIP).
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 10/24
Planowanie instalacji sieci WLAN
Podczas wdrażania sieci WLAN stosuje się dwie ogólne metodologie:
• sieć zasięgowa
• sieć pojemnościowa
Zasięgowe sieci WLAN
Zasięgowa (ang. coverage-oriented) sieć WLAN jest zaprojektowana w taki sposób, aby zapewnić
jak największe pokrycie przy jak najmniejszej liczbie punktów dostępu.
Do cech charakterystycznych instalacji zasięgowej należą:
• Aplikacje pakietowe z niską prędkością transmisji pakietów, np. skanowanie kodów
kreskowych, zapytania bazodanowe.
• Niskie wymagania co do szerokości pasma, pozwalające na skalowanie do niższych prędkości
transmisji, takich jak 1 Mb/s i 2 Mb/s.
• Łatwość konserwacji z uwagi na niewielką ilość urządzeń.
Taki typ instalacji pozwala na korzystanie z sieci WLAN wielu użytkownikom przy zachowaniu
przyzwoitej wydajności. Instalacje takie spotyka się najczęściej w magazynach lub sklepach oraz w
małych i średnich oddziałach firm, gdzie zastępują kablowe sieci Ethernet.
Na Rys. 8 przedstawiono przykładowy plan piętra z instalacją sieci WLAN zorientowaną na zasięg.
Rys. 8 Sieć WLAN zorientowana na zasięg
Pojemnościowe sieci WLAN
Projekt pojemnościowej (ang. capacity-oriented) sieci WLAN ma zapewnić maksymalną
przepustowość i prędkość transmisji pakietów każdemu klientowi w sieci BSS. Rozmiary komórek
w sieciach pojemnościowych są mniejsze i wymagają większej gęstości punktów dostępowych.
Sieci
pojemnościowe
wykorzystywane
są
na
obszarach
o
następujących
cechach
charakterystycznych:
• Aplikacje wymagające dużej prędkości transmisji.
• Aplikacje wrażliwe na opóźnienia.
• Instalacja mniejszych podsieci lub wiele podsieci w jednym obszarze zasięgu.
• Duże zagęszczenie klientów.
Na Rys. 9 pokazano to samo piętro biurowca, ale z instalacją pojemnościową. Należy zwrócić
uwagę, że w przypadku instalacji pojemnościowej jest prawie dwa razy więcej punktów
dostępowych. Każdy punkt dostępowy z reguły zapewnia zasięg dla około 12 użytkowników.
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 11/24
Rys. 9 Sieć WLAN zorientowana na pojemność
Przejściowa instalacja punktów dostępu
Wiele instalacji sieci bezprzewodowych w przedsiębiorstwach zaczyna się od zapewnienia zasięgu
w salach konferencyjnych itp. W takiej sytuacji dostęp do tych sieci mają również użytkownicy
pracujący w ich pobliżu, natomiast w dalszej odległości już nie. Takie instalacje stanowią zaczątek
późniejszej rozbudowy, dlatego warto już na tym etapie przeprowadzić projekt, dokonać pomiarów
zasięgu i przygotować infrastrukturę dla punktów dostępowych. Na Rys. 10 przedstawiono
częściową instalację wraz z zaznaczeniem przyszłego rozmieszczenia punktów dostępowych.
Rys. 10 Sieć WLAN wraz z punktami przyszłej rozbudowy
Pomiary stanowiska
Każdy administrator sieci musi znać liczbę, lokalizację i konfigurację podlegających mu punktów
dostępowych. Zgodnie z informacjami podanymi powyżej, aby informacje te były miarodajne,
konieczne jest wcześniejsze ustalenie, czy infrastruktura WLAN będzie zorientowana na zasięg,
pojemność, czy też hybrydowa. Przeprowadzając fizyczne pomiary, administrator poznaje zasięg
każdego punktu dostępowego wymagany do pokrycia określonego obszaru lub zapewnienia
odpowiedniej wydajności. Podczas pomiarów należy też uwzględnić ilość klientów przypadających
na jeden punkt dostępu.
Narzędzia do pomiaru stanowiska
Aby poprawnie przeprowadzi pomiar środowiska, należy wykorzystać odpowiednie narzędzie
umożliwiające jego wykonanie:
• urządzenia klienckie, radio i antena, które będziemy wykorzystywali w sieci
• punkty dostępowe
• po dwa egzemplarze anten używanych w infrastrukturze
• narzędzia montażowe punktów dostępowych
• narzędzia pomiaru transmisji i identyfikacji urządzeń
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 12/24
Przeprowadzenie pomiarów
Po zebraniu wszystkich narzędzi, należy przeprowadzić pomiary infrastruktury. Poniżej znajdują się
pytania, na które należy odpowiedzieć podczas prowadzenia pomiarów:
• Gdzie znajdują się punkty dostępowe?
• Jak zostały zamontowane?
• W jaki sposób są połączone z siecią LAN?
• Gdzie należy zainstalować kable i punkty ujęcia energetycznego?
• Jakie anteny są używane, gdzie się znajdują i jak są zamontowane?
• Jak należy ustawić parametry konfiguracyjne, które wpływają na zasięg, takie jak moc
i prędkość transmisji danych?
• Jakich ustawień kanałów należy używać?
Urządzenia sieci WLAN
Punkt dostępu (Access Point)
Access Point zapewnia stacjom bezprzewodowym dostęp do zasobów sieci za pomocą
bezprzewodowego medium transmisyjnego (częstotliwości radiowe). Większość punktów
dostępowych może pracować w różnych trybach, które wcześniej realizowane były przez osobne
typy urządzeń.
Wzmacniak (Repeater)
Wzmacniaki mają za zadanie przedłużać zasięg sieci w przypadku gdy operować ona musi na dużym
obszarze, z zachowaniem spójnych parametrów konfiguracyjnych. Przypadek taki został
przedstawiony na Rys. 11, gdzie użytkownik Bob nie będąc w zasięg pracy punktu dostępu AP 2
musi otrzymywać dostęp do sieci przedsiębiorstwa.
Rys. 11 Wykorzystanie trybu repeater’a
W budowaniu tego typu sieci należy pamiętać, iż pomimo że repeater może być efektywnym
narzędziem zwiększającym zasięg sieci, zwiększa się też prawdopodobieństwo nakładania domen
rozgłoszeniowych.
Klienci uniwersalni i mosty grupy roboczej
Podczas zmian w infrastrukturze sieci LAN i wprowadzania sieci WLAN mogą pojawić się problemy
z kompatybilnością wszystkich urządzeń ze standardem 802.11. Taki problem może zaistnieć
zwłaszcza dla starszego typu urządzeń, które nie posiadają interfejsów dostępowych do WiFi. Jeżeli
problem ten dotyka istotne dla infrastruktury jednostki, to możemy je podłączyć przy użyciu
uniwersalnego klienta (ang. Universal Client) albo mostu dla grupy roboczej (ang. Workgroup
Bridge). Pojęcie klienta uniwersalnego dotyczy podłączenia pojedynczej jednostki, natomiast most
grupy roboczej dotyczy podsieci lub grupy urządzeń. Scenariusz wykorzystania tego typu urządzeń
został przedstawiony na Rys. 12.
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 13/24
Rys. 12 Zastosowanie mostu grupy uniwersalnej i klienta uniwersalnego
Mosty bezprzewodowe
Mosty
bezprzewodowe
rozszerzają
funkcjonalność
mostów
grup
uniwersalnych.
Ich
przeznaczeniem jest łączenie różnego rodzaju sieci komputerowych przy pomocy medium
bezprzewodowego. Najczęściej mosty bezprzewodowe wykorzystywane są do budowania sieci
outdoor, w których odległości pomiędzy punktami są znacznie większe niż w sieciach WLAN.
Przykład połączenia sieci przy pomocy mostów bezprzewodowych pokazano na Rys. 13.
Rys. 13 Sieć rozległa połączona bezprzewodowymi mostami
Jak widać na powyższym Rys., jeden z mostów przejmuje rolę punktu dostępowego, a pozostałe
mosty pracują w trybie klienta.
Narzędzia analizy sieci WLAN
Pozycjonowanie i analiza punktów dostępowych
Rynek dysponuje wieloma narzędziami do analizy sieci WLAN. W pierwszej kolejności zapoznamy
się z narzędziami umożliwiającymi analiz obecnej infrastruktury. Jako przykład chcielibyśmy
zaprezentować dwa darmowe narzędzia działające pod kontrolą Windows Vista 32/64 bit. Pierwsze
z nich to Inssider (do pobrania ze strony http://www.metageek.net/products/inssider/download),
narzędzie do pomiaru siły sygnałów transmitowanych przez punkty dostępu. Przykład zastosowania
narzędzia przedstawiony jest na Rys. 14.
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 14/24
Rys. 14 Analiza dostępności punktów dostępowych w infrastrukturze
Drugim bardzo przydatnym narzędziem jest Vistumbler (klon znanego i szanowanego programu
NetStumbler), który oprócz poszukiwania punktów dostępowych umożliwia ich pozycjonowanie
przy pomocy urządzeń GPS. Zrzut ekranu z programu został przedstawiony na Rys. 15.
Rys. 15 Pozycjonowanie punktów dostępowych za pomocą programu Vistumbler
Analiza pakietów sieci bezprzewodowych
Analizę pakietów przesyłanych w sieciach bezprzewodowych można przeprowadzić praktycznie
dowolnym analizatorem sieci wspierającym interfejsy bezprzewodowe. Przykładem takich
analizatorów może być WireShark, Microsoft Network Monitor czy WildPackets OmniPeek.
Przykład analizy pakietów sieci bezprzewodowej znajduje się na Rys. 16.
Marek Pyka
ITA-108 Technologie sieciowe
Rys. 16
Zarządzanie sieciami WLA
Systemy Windows Vista i
umożliwiający zarządzanie si
przykładowych poleceń netsh
• Połączenie do sieci bez
connect [[ssid=]na
interface=nazwa_in
• Rozłączanie z siecią be
disconnect interfa
• Włączenie lub wyłącze
set autoconfig ena
• Wyświetlanie listy dos
show networks [[in
• Wyświetlenie bieżącyc
show settings
Przedstawiony powyż
uzyskać korzystając z
pomocy netsh.chm zn
Podsumowanie
W rozdziale tym zostały prze
bezprzewodowych w przed
rozumieć, jakie etapy proje
mechanizmy zabezpieczeń m
i ochrony danych.
Przykładowe rozwiązanie
Jako inżynier systemowy
w przedsiębiorstwie, która
projektu należy uwzględnić n
• Sieć ma umożliwiać kli
Bezprze
Strona 15/24
16 Analiza pakietów sieci WiFi przy pomocy Network Monitora
LAN przy pomocy polecenia netsh
ta i Windows Server oferują bardzo rozbudow
ie sieciami bezprzewodowymi. Poniżej znajdują się p
etsh w instancji WLAN:
i bezprzewodowej:
nazwa_sieci_bezprzewodowej] name=nazwa_pr
interfejsu
ią bezprzewodową:
face="Wireless Network Connection"
ączenie usługi WLAN Autotuning na interfejsie siecio
nabled={yes|no} interface=nazwa_interfejs
dostępnych sieci dla komputera:
interface=]nazwa_interfejsu] [[mode=]{ssi
ących ustawień globalnych w sieciach WLAN:
wyżej zestaw poleceń stanowi wyłącznie przykład,
ąc z pomocy polecenia netsh i instancji WLAN lu
znajdującego się w materiałach studenckich.
przedstawione najważniejsze informacje związane z
rzedsiębiorstwie. Po zapoznaniu się z zawartością
rojektu są istotne dla prawidłowego wdrożenia s
eń można wykorzystać, aby wdrożyć silne mechan
anie
owy masz dokonać projektu wdrożenia si
óra będzie stanowiła integralną część obecnej in
nić następujące warunki:
ć klientom dostęp do sieci Internet i sieci wewnętrzn
Moduł VII
przewodowe sieci komputerowe
itora
dowany zestaw poleceń
się przykłady zastosowania
profilu
eciowym:
jsu
sid|bssid}]
ad, więcej poleceń można
N lub korzystając z pliku
e z funkcjonowaniem sieci
ością modułu powinieneś
ia sieci WLAN oraz jakie
chanizmy uwierzytelnienia
sieci bezprzewodowej
ej infrastruktury. Podczas
trznej przedsiębiorstwa.
Marek Pyka
ITA-108 Technologie sieciowe
• Dla sieci WLAN ma
przemieszczać bez utra
• Projektowana sieć ma
• Ma być zapewniona m
Realizując powyższe wymaga
• Schemat warstwy dost
• Schemat sieci pojemno
• Logiczną konfigurację j
i spójną konfigurację n
• Wybór mechanizmów
• filtrację adresów
• WPA/TKIP
Rys. 18
Powyższy zestaw rozwiązań
główne kierunki, w których
powyższe propozycje i przed
na poniższe pytania:
Czy potralifibyście wyk
Jaki mechanizm zabezp
Bezprze
Strona 16/24
ma zostać skonfigurowany roaming tak, aby k
utraty sygnału i konieczności zmiany parametrów do
ma być dostępna na piętrze trzecim budynku centra
a maksymalna wydajność sieci dla klientów.
Rys. 17 Przykładowy schemat warstwy dostępowej
agania można przyjąć:
dostępowej do sieci jak na Rys. 17.
mnościowej jak na Rys. 9.
cję jak na Rys. 18. Konfiguracja zakłada wykorzystan
ję na wszystkich urządzeniach.
ów bezpieczeństwa:
ów MAC
18 Przykładowa logiczna konfiguracja punktów dostępowych
zań stanowi wyłącznie wstęp do prawdziwego proje
rych należy się zwrócić podejmując się takiego
rzedyskutuj je z kolegami i koleżankami z grupy. Sp
wykazać słabe strony przedstawionego rozwiązania?
bezpieczeń byście zaproponowali?
Moduł VII
przewodowe sieci komputerowe
y klienci sieci mogli się
w dostępowych.
ntrali.
stanie jednego SSID
ych
rojektu, jednakże pokazuje
ego zadania. Przeanalizuj
Spróbujcie odpowiedzieć
nia?
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 17/24
Czy potrafilibyście naszkicować projekt warstwy fizycznej i logicznej dla sieci typu HOTSPOT?
Porady praktyczne
Uwagi ogólne
• Pamiętaj, że wdrażanie sieci WLAN zawsze wiąże się z ryzykiem wycieku danych lub
nieautoryzowanego dostępu do sieci.
• Zbudowanie bezpiecznej infrastruktury WLAN wiąże się z dużymi nakładami
administracyjnymi na utrzymanie infrastruktury 802.1x.
• Naucz się używać analizatorów sieciowych.
• Pamiętaj, że każdy punkt dostępowy pracuje jak koncentrator, dlatego podsłuch sieci jest
ułatwiony.
• Przygotuj procedurę dostępu do punktów dostępowych w sytuacji awarii sieci WLAN.
• Planując wdrożenie sieci WLAN staraj się wykorzystywać sieci pojemnościowe.
• Wykorzystanie anten kierunkowych może utrudnić podsłuch sieci i zwiększyć ich wydajność.
Dobór urządzeń
• Dobierając urządzenia rozważ miejsce ich instalacji oraz tryb, w jakim będą pracowały.
• Jeżeli to tylko możliwe, wybieraj jednego dostawcę urządzeń.
• Zaplanuj punkty styku urządzeń bezprzewodowych z siecią przewodową Ethernet.
• Wdróż mechanizmy kopii zapasowych konfiguracji urządzeń.
Bezpieczeństwo
• Stosuj najmocniejszy możliwy mechanizm ochrony dla sieci stykających się z miejscami
publicznymi.
• Jeżeli nie jest możliwe wdrażanie mechanizmów zabezpieczeń, stosuj kanały VPN
do ochrony poufnych informacji.
• W sieciach korporacyjnych wykorzystuj WPA2.
• Dostęp do sieci klientów bezprzewodowych kontroluj przy pomocy mechanizmów
kwarantanny np. NAP.
• Stosuj izolację IPSec dla domeny lub serwerów.
Uwagi dla studenta
Jesteś przygotowany do realizacji laboratorium jeśli:
• potrafisz wyjaśnić różnice pomiędzy sieciami ESS, BSS i IBSS
• wiesz jak działają urządzenia sieci WLAN oraz w jakich trybach mogą pracować
• potrafisz wykorzystywać analizatory sieciowe do monitorowania ruchu WLAN
• znasz mechanizmy zabezpieczeń dla sieci WLAN
• zapoznałeś się z pojęciami przedstawionymi w module, takimi jak ESS, BSS, IBSS, Access
point, pojemnościowe sieci WLAN, zasięgowe sieci WLAN, WAP, WPA, EAP czy 802.1x
Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.
Dodatkowe źródła informacji
1.
http://pl.wikipedia.org/wiki/Microsoft_Windows_Server_2008
Opis środowiska Windows Server 2008 oraz podstawowych ról serwerowych.
2.
http://pl.wikipedia.org/wiki/802.11
Zbiór informacji na temat standardów sieci WLAN.
3.
Karol Krysiak, Sieci komputerowe. Kompendium, Helion, 2003
Marek Pyka
Moduł VII
ITA-108 Technologie sieciowe
Bezprzewodowe sieci komputerowe
Strona 18/24
Bardzo dobry podręcznik ogólnej wiedzy o sieciach komputerowych.
4.
Mark Sportack, Sieci komputerowe. Księga eksperta, Helion, 2004
Książka przybliża podstawowe założenia sieci komputerowych, które powinny być znane
współczesnemu informatykowi. Krok po kroku wprowadzi Cię w problematykę sieci,
pozwalając na poznanie ich architektury i zrozumienie zasad działania.
5. Ireneusz Skop, Sieć bezprzewodowa WiFi, Helion, 2005
Zbiór ćwiczeń z zakresu budowania sieci komputerowych na urządzeniach marki D-Link.
Marek Pyka
ITA-108 Technologie sieciowe
Laboratorium podsta
Problem 1 (czas realizacj
Rozpoczynasz projekt mod
W pierwszej kolejności dec
gotowość platformy serwero
Rys. 19.
Ry
Przeprowadź konfigurację p
pomiędzy komputerami.
Zainstalować obsługę sieci be
Poniższe ćwiczenie wykonaj
Server 2008 podłączonym do
Poniższe ćwiczenie w
odpowiedniej konfigu
niniejszego ćwiczenia
Bazując na sprzętowym
z następującymi parametram
Zadanie
Tok
1.
Skonfiguruj
serwer DHCP
•
•
Bezprze
Strona 19/24
stawowe
acji 25 min)
odyfikacji infrastruktury i wdrożenia w niej sie
decydujesz się na zbudowanie środowiska testow
erowej do współpracy z siecią WLAN. Środowisko
Rys. 19 Środowisko testowe dla infrastruktury sieci WLAN
ję punktu dostępowego tak, aby zapewniał on be
ci bezprzewodowych na platformie Windows Server
onaj na serwerze ITA-SRV01 lub też na fizycznym
do sieci WLAN.
ie wymaga posiadania minimum jednego punkt
figuracji sprzętowej na komputerach w laborator
nia wymaga pracy na fizycznych komputerach.
m punkcie dostępowym przeprowadź jego
trami:
Tok postępowania
Poniższe przykłady pochodzą z menu konfig
dostępowego firmy Linksys, jednakże opcje o
w każdym tego typu urządzeniu.
Zdefiniuj adres serwera DHCP jako 192.168.1.1
Zakres
przydzielanych
adresów
ustal
na
192.168.1.115
Moduł VII
przewodowe sieci komputerowe
j sieci bezprzewodowych.
towego potwierdzającego
isko testowe zbuduj jak na
n bezpieczną komunikację
rver 2008.
ym komputerze Windows
unktu dostępowego oraz
atorium. Przeprowadzenie
o konfigurację zgodnie
nfiguracyjnego urządzenia
cje omawiane dostępne są
1.1/24
na
192.168.1.100
–
Marek Pyka
ITA-108 Technologie sieciowe
2.
Przeprowadź
podstawową
konfigurację sieci
WiFi
•
•
•
3.
Wprowadź
podstawową
konfigurację
zabezpieczeń dla
sieci WiFi
•
•
4.
Wprowadź
filtrację adresów
MAC
•
5.
Zapisz
konfigurację
•
•
•
6.
Zainstaluj usługę
Wireless LAN
Service na
platformie Windows
Serwer 2008
•
•
•
•
•
•
7.
Zmodyfikuj
domyślne
uruchamianie usługi
•
•
Bezprze
Strona 20/24
Określ identyfikator sieci jako: ITAWIFI
Włącz rozgłaszanie SSID sieci
Jako kanał pracy wybierz 6
Wybierz tryb zabezpieczeń jako WEP
Ustal klucz dla WEP na następujący: A1B2C3D4E
W opcjach filtracji MAC wprowadź adresy fizy
biorących udział w niniejszym ćwiczeniu.
Zapisz zmiany konfiguracji.
Wykonaj restart urządzenia.
Dokonaj testu, czy żaden inny komputer nie ot
konfigurowanego punktu dostępowego.
Windows Server 2008 nie ma domyślnie w
bezprzewodowych ani zainstalowanych komp
Zaloguj się na komputerze ITA-SRV01 jako Admi
Uruchom narzędzie Server Manager.
W konsoli zarządzania serwerem wybierz Featu
Features.
Na liście dostępnych komponentów zaznacz W
naciśnij przycisk Next.
W oknie potwierdzenia instalacji kliknij Install.
Po zakończeniu instalacji i potwierdzeniu jej
przycisk Close.
Powróć do konsoli Server Manager i z drze
Configuration -> Services.
Odnajdź na liście usług Wireless LAN Services
Moduł VII
przewodowe sieci komputerowe
D4E5
fizyczne dla komputerów
e otrzymuje adresów IP z
ie włączonej obsługi sieci
omponentów.
dministrator.
eatures, a następnie Add
Wireless LAN Service i
jej poprawności wybierz
drzewa narzędzi wybierz
ices i zmień jej status na
Marek Pyka
ITA-108 Technologie sieciowe
Wireless LAN
Service
•
8.
Podłącz
Windows Server
2008 do sieci WLAN
•
•
•
9.
Zweryfikuj
konfigurację
połączenia WLAN
•
•
•
•
Problem 2 (czas realizacj
Przeprowadź analizę przechw
klienckim a usługami sieciow
• Przesyłanie pakietów p
• Połączenie się z serw
następnie zalogowanie
i odebranie poczty.
• Połączenie z serwerem
dostępny na uczelni).
• Przeglądanie stron inte
Zwróć szczególną u
sposób są przesyłan
Bezprze
Strona 21/24
Automatic.
Uruchomić usługę Wireless LAN Service.
Kliknij ikonę połączenia sieciowego w prawym
wybierz opcję Connect to Network.
Na liście dostępnych sieci odnajdź ITAWiFi i klikn
W oknie podawania klucza dostępowego wpro
naciśnij Connect.
Uruchom narzędzie Network and Sharing C
połączenia w prawym dolnym rogu.
Z menu zadań wybierz Manage Wireless Networ
Odnajdź na liście sieci ITAWiFi i z menu
Properties.
Przeglądając zakładki zweryfikuj poprawność
połączenia.
acji 20 min)
echwyconych pakietów przesyłanych w sieci WLAN
iowymi zgodnie z poniższymi scenariuszami:
ów ping pomiędzy klientem a punktem dostępowym
erwerem pocztowym publicznie dostępnym, np.
anie się do konta pocztowego (bez włączonego SSL
erem FTP i zalogowanie się użytkownika do serwera
.
internetowych – czy potrafisz powiedzieć których?
ą uwagę na zawartość pakietów. Spróbuj odnaleźć j
yłane. Jakie informacje są dla Ciebie najciekawsze?
Moduł VII
przewodowe sieci komputerowe
ym dolnym rogu ekranu i
kliknij Connect.
wprowadź A1B2C3D4E5 i
g Center klikając ikonę
twork.
nu podręcznego wybierz
ność opcji zabezpieczeń
AN pomiędzy komputerem
ym.
WP, Onet czy Gmail, a
SSL oraz z włączonym SSL)
wera (dowolny serwer FTP
?
eźć jakie dane i w jaki
e?
Marek Pyka
ITA-108 Technologie sieciowe
Laboratorium rozszer
W ramach sieci przedsiębio
dysponujesz jeszcze serwe
mechanizmów uwierzytelnie
ustawić mechanizm WEP lub
jest takie proste jak słyszałeś
Na te i inne pytania postan
infrastruktury pokazanej jak
Poniższe dane stano
odpowiedzialności z
Zadanie 1 (czas realizacji
Dokonać ataku na sieć WLAN
Założenia
Punkt dostępowy pełni rolę:
• routera
• serwera DHCP
Komputer kliencki użytkown
działa na platformie Wind
przejście karty sieciowej w tr
Urządzenia bezprzewodowe
• router dowolnego pro
• bezprzewodowa karta
• bezprzewodowa karta
do przeprowadzenia testów
• Airdump-ng – progra
całych pakietów lub
w formacie cap, a wek
• Aircrack-ng – program
można łamać zabezpie
Bezprze
Strona 22/24
szerzone
iębiorstwa została zbudowana infrastruktura siec
rwerem RADIUS, zdecydowałeś się na użycie
elnienia i zapewniania poufności danych. Na urz
lub WPA, który z nich wybrać? Czy rzeczywiście wła
ałeś, czy WPA wystarczy, by chronić dostęp do sieci?
stanowiłeś odpowiedzieć osobiście i przeprowadz
jak na Rys. 20.
Rys. 20 Anatomia ataku na sieć WLAN
tanowią wyłącznie informacje poglądowe. Autor nie
ści za wykorzystanie ich w innym celu niż dydaktyczn
acji 45 min)
LAN zabezpieczoną algorytmem WEP z filtracją adre
olę:
wnika działa na platformie Windows Vista Business
indows Server 2008 z zainstalowanymi sterowni
w tryb nasłuchu.
we użyte do przeprowadzenia testów:
producenta
arta sieciowa Intel PRO/Wireless 2200BG
arta sieciowa Atheros AR5005G
ów wykorzystano darmowe programy:
gram do przechwytywania pakietów. Daje możliw
lub tylko wektorów inicjujących (IV) WEP. Całe p
wektory inicjujące w formacie ivs. Zainstalowany na
gram do łamania zabezpieczeń. Po przechwyceniu
zpieczenia WEP oraz WPA. Zainstalowany na stacji n
Moduł VII
przewodowe sieci komputerowe
sieci WLAN. Jako, że nie
ie któregoś z prostszych
urządzeniach AP możesz
włamanie się do sieci WEP
ieci?
adzić próbę włamania do
nie ponosi
tycznym.
dresów MAC.
ness. Komputer napastnika
wnikami umożliwiającymi
ożliwość przechwytywania
łe pakiety zapisywane są
na stacji napastnika.
niu pakietów Airdump'em
cji napastnika.
Marek Pyka
ITA-108 Technologie sieciowe
Filtrowanie adresów MAC
Wśród metod zabezpieczeń
poprzez pozwolenie podłąc
sieciowych. Ominięcie tego
otwartym, także w sieciach
adresy MAC i przypisać swoje
WEP
Punkt dostępowy skonfigu
uwierzytelniania użytkown
skonfigurowano odpowiedni
Stacja kliencka użytkownika
rozpoczęto nasłuch i przy
inicjujących. Ilość przechwyc
Przechwycona liczba pakietó
klucza. Do łamania klucza uż
zapisanych w formacie szesn
Rys. 22 Wynik
Rys. 23 Wynik
Niestety zwiększanie
najmniejszego problem
Bezprze
Strona 23/24
AC
czeń sieci istnieje metoda polegająca na ogranicz
dłączenia się do sieci bezprzewodowej wybranym
go zabezpieczenia jest bardzo proste. Adresy MAC
iach z włączonym szyfrowaniem połączenia, tak, w
wojemu urządzeniu jeden z podsłuchanych adresów
figurowano do używania klucza WEP o długoś
owników i szyfrowania transmisji. Stację k
ednio do ustawień punktu dostępowego.
ika rozpoczęła połączenie z punktem dostępowym,
rzy pomocy programu Airdump-ng rozpoczęto gr
wyconych pakietów do badań wynosi 2.035.805.
Rys. 21 Działanie oprogramowania Airodump-ng
ietów zapisana została w formacie ivs, po czym pr
użyto programu Aircrack-ng. Poniżej wynik działan
esnastkowym i ASCI.
ynik działania oprogramowania Aircrack-ng dla kluczy w forma
ynik działania oprogramowania Aircrack-ng dla kluczy w formac
nie długości klucza nic tu nie zmienia. Łaman
blemu! Dowód, poniżej wynik działania Aircrack-ng n
Moduł VII
przewodowe sieci komputerowe
niczeniu dostępu do sieci
anym adresom MAC kart
MAC są wysyłane tekstem
k, więc można podsłuchać
sów MAC.
gości 40 bitów, w celu
kliencką użytkownika
ym, a na stacji napastnika
o gromadzenie wektorów
przystąpiono do łamania
ałania programu dla kluczy
rmacie Hex
rmacie ASCI
manie WEP nie stanowi
ng na 128 bit kluczu ASCI.
Marek Pyka
ITA-108 Technologie sieciowe
Rys. 24 Wynik dzia
Zadanie 2 (czas realizacji
Chcąc zabezpieczyć własną
mechanizmy zabezpieczeń.
RADIUS do autentykacji u
laboratoryjnym.
Warto zastanowić się
certyfikatach i Infrastru
Bezprze
Strona 24/24
działania oprogramowania Aircrack-ng dla 128 bit kluczy w for
acji 90 min)
asną sieć WLAN przed atakami osób trzecich
ń. Przeprowadź projekt infrastruktury sieci WLAN w
ji użytkowników sieciowych. Projekt należy wd
się nad dodatkowymi mechanizmami zabezpi
strukturze Klucza Publicznego.
Moduł VII
przewodowe sieci komputerowe
formacie ASCI
ich należy wdrożyć silne
N wykorzystującej serwery
wdrożyć w środowisku
ezpieczeń bazujących na
ITA-108 Technologie sieciowe
Marek Pyka
Moduł VIII
Wersja 1
Serwer Aplikacji IIS 7.0
Spis treści
Serwer Aplikacji IIS 7.0 ......................................................................................................................... 1
Informacje o module ............................................................................................................................ 2
Przygotowanie teoretyczne ................................................................................................................. 3
Przykładowy problem .................................................................................................................. 3
Podstawy teoretyczne.................................................................................................................. 3
Usługi Internet Information Services (IIS) 7.0 .............................................................................. 3
Zasada działania serwera IIS 7.0 .................................................................................................. 4
Narzędzia zarządzania serwerem IIS 7.0 .................................................................................... 10
Bezpieczeństwo serwera IIS 7.0 ................................................................................................. 15
Integracja serwera IIS 7.0 z innymi usługami ............................................................................. 16
Podsumowanie .......................................................................................................................... 16
Przykładowe rozwiązanie ........................................................................................................... 17
Porady praktyczne ..................................................................................................................... 17
Uwagi dla studenta .................................................................................................................... 17
Dodatkowe źródła informacji..................................................................................................... 18
Laboratorium podstawowe ................................................................................................................ 19
Problem 1 (czas realizacji 25 min) .............................................................................................. 19
Laboratorium rozszerzone ................................................................................................................. 21
Zadanie 1 (czas realizacji 45 min) ............................................................................................... 21
Zadanie 2 (czas realizacji 45 min) ............................................................................................... 21
Zadanie 3 (czas realizacji 45 min) ............................................................................................... 22
Zadanie 4 (czas realizacji 45 min) ............................................................................................... 23
Po przeprowadzeniu konfiguracji bezpiecznych kanałów komunikacyjnych warto jest
przeprowadzić testy jak w poprzednim laboratorium. .............................................................. 23
Zadanie 5 (czas realizacji 45 min) ............................................................................................... 23
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 2/23
Informacje o module
Opis modułu
W tym module znajdziesz informacje dotyczące roli serwera aplikacyjnego
Internet Information Services 7.0 (IIS 7.0), jego implementacji w systemie
Windows
Server
2008.
Zapoznasz
się
z
zasadami
instalacji
i konfiguracji serwera IIS 7.0 w środowisku sieciowym Windows Server
2008. Zawarte w module tym zadania umożliwią Ci zapoznanie się
z procesem planowania, wdrażania i utrzymywania aplikacji biznesowych na
serwerach aplikacyjnych wraz z mechanizmami równoważenia obciążenia
serwerów w środowisku produkcyjnym.
Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania serwera
aplikacji IIS 7.0 do planowania, budowania i wdrażania rozwiązań
aplikacyjnych opartych na serwerach WWW.
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• wiedział, jaką rolę w sieci przedsiębiorstwa pełni serwer aplikacji
• potrafił zainstalować, skonfigurować i zarządzać rolą serwera IIS 7.0
• rozumiał
potrzebę
planowania
infrastruktury
dla
potrzeb
wielodostępnych aplikacji Web.
Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:
• znać podstawy budowy stron html/ASP
• rozumieć problematykę bezpiecznego dostępu do zasobów w sieci
Internet
• rozumieć
rolę
i
przeznaczenie
serwerów
WWW/FTP
w przedsiębiorstwach
• znać zasady pracy w środowisku Windows Server 2008
Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 5 i 6 tego kursu.
Rys. 1 Mapa zależności modułu
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 3/23
Przygotowanie teoretyczne
Przykładowy problem
Wymagania dotyczące aplikacji biznesowych stale rosną, dlatego też działy IT przedsiębiorstw
muszą przeznaczać coraz więcej zasobów na ich potrzebę. Przykładem tego typu aplikacji są
systemy CRM, bez których obecnie nie można sobie wyobrazić pracy handlowców. Znaczna część
tych systemów potrzebuje do wydajnego działania dość rozbudowanej infrastruktury wyposażonej
w serwery bazodanowe i serwery aplikacyjne. Pracując, jako administrator możesz spotkać się
z problemem zaplanowania infrastruktury IT na potrzeby aplikacji biznesowych różnego rodzaju. To
do Ciebie może należeć decydujący głos o wyborze rozwiązania i analiza kosztów związanych
z wdrożeniem. Najpopularniejsze obecnie są systemy wykorzystujące oprogramowanie cienkiego
klienta działające na przeglądarce internetowej. Do zbudowania tego typu rozwiązania będziesz
potrzebował wydajnej, elastycznej i bezpiecznej platformy aplikacyjnej. Jednym z przykładów
platform tego rodzaju jest Internet Information Server 7, 0 zaimplementowany w Microsoft
Windows Server 2008. Twój kierownik działu IT zleca Ci przygotowanie projektu wdrożenia
infrastruktury serwera aplikacyjnego IIS 7.0 wraz z zaplanowaniem mechanizmów odporności na
awarie i równoważenia obciążenia serwera. Projektując taką infrastrukturę powinieneś uwzględnić
potrzeby handlowców, dostęp zdalny, interfejs WWW, łatwość zarządzania równoważeniem
obciążenia serwera.
Podstawy teoretyczne
System Microsoft Windows Server 2008 zapewnia bezpieczną i łatwą w zarządzaniu platformę do
tworzenia oraz niezawodnego udostępniania aplikacji i usług z serwera lub przez sieć Web. Wśród
nowych funkcji znajdują się: uproszczone zarządzanie aplikacjami i usługami, szybsze wdrażanie,
większe bezpieczeństwo oraz ulepszenia dotyczące wydajności i rozszerzalności. System Windows
Server 2008 zapewnia wymienione ulepszenia, a jednocześnie daje administratorom lepszą
kontrolę i wgląd w to, jak aplikacje i usługi korzystają z głównych zasobów systemu operacyjnego.
Usługi Internet Information Services (IIS) 7.0
System Windows Server 2008 zapewnia ujednoliconą platformę do publikowania w sieci Web,
która integruje usługi Internet Information Services 7.0 (IIS 7.0), ASP.NET, architekturę Windows
Communication Foundation oraz usługi Microsoft Windows SharePoint® Services. Usługi IIS 7.0 to
główne usprawnienie istniejącego serwera sieci Web. Odgrywają one szczególną rolę
w integracji technologii platformy aplikacyjnej. Główne korzyści płynące z zastosowania usług IIS
7.0 to ulepszone funkcje administrowania oraz zarządzania, zwiększone bezpieczeństwo oraz
zredukowane koszty obsługi. Funkcje te pomagają stworzyć ujednoliconą platformę, która
dostarcza pojedynczy i jednolity model wdrażania i administrowania dla rozwiązań sieci Web.
Internet Information Services 7.0 (IIS7) jest serwerem umożliwiający administrowanie, zarządzanie
i konfigurowanie różnych funkcji związanych z udostępnianiem zasobów sieciowych, takich jak
dodawanie i usuwanie witryn, zarządzanie aplikacjami internetowymi, serwerami FTP itp. Z punktu
widzenia firmy wykorzystującej aplikacje biznesowe typu Web, wymagania odnośnie stabilności,
niezawodności i centralizacji zarządzania są najistotniejsze.
Platforma webowa IIS 7.0 charakteryzuje się następującą funkcjonalnością:
• Architektura modularna, rozszerzalność - Główny serwer Web usług IIS 7.0 zawiera kilka
zasadniczych zmian w porównaniu z usługami IIS 6.0. We wcześniejszych wersjach usług IIS
wszystkie zestawy funkcji były wbudowane. W przypadku usług IIS 7.0 zostały one
przystosowane do ponad 40 oddzielnych modułów. Tylko połowa z nich zainstalowana jest
domyślnie, a administratorzy mogą wybiórczo instalować lub usuwać dowolne moduły
funkcyjne.
• Wprowadzono również zmiany w przetwarzaniu. Zarówno kody macierzyste,
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 4/23
jak i zarządzane, przetwarzane są przez pojedynczy potok żądań. Nowy proces roboczy jądra
sieci Web zapewnia również dostęp do wszystkich zdarzeń dotyczących powiadomień
w potoku żądań. Poziom integracji pozwala na użycie istniejących zbiorów funkcji ASP.NET
(takich jak uwierzytelnianie oparte na formularzach lub autoryzacja URL) do wszystkich
rodzajów zawartości sieci Web. Dzięki tworzeniu zarządzanych modułów kodu, zmiany te
pozwalają znacznie zredukować powierzchnię narażoną na atak, ponieważ żadne
niepotrzebne oprogramowanie nie jest uruchomione. Zapewniają również większą
rozszerzalność oraz lepszą obsługę rozszerzania głównych zbiorów funkcji usług IIS 7.0.
• Rozszerzony interfejs użytkownika - Zmiana sposobu prezentacji obiektów z zakładek na
ikony. Zarządzanie za pomocą aplikacji wywoływanych z linii poleceń: APPCMD, Powershell.
Konsola IIS 7.0 Manager umożliwia delegowanie kontroli i dostęp tylko do konkretnych
obiektów, pozwala to finalnie przypisywać administratorom różnego szczebla uprawnienia
do operacji, które powinni wykonywać
• Schemat i konfiguracja IIS przechowywana w czytelnym pliku XML- Usługi wprowadzają
znaczące ulepszenia w sposobie przechowywania danych konfiguracyjnych oraz dostępu do
nich poprzez rozproszoną konfigurację ustawień. Pozwala to administratorom określić
ustawienia konfiguracji usług IIS w plikach przechowywanych z kodem i zawartością. Dzięki
określeniu ustawień konfiguracyjnych w pojedynczym pliku możliwe jest przeniesienie
obowiązków administracyjnych wybranych opcji witryn lub aplikacji sieci Web na inne oraz
użycie prostego wdrażania polecenia XCopy.
• Zwiększone bezpieczeństwo - W IIS 7.0. Możemy konfigurować autentykacje opartą na
formularzach webowych do dowolnej zawartości np.: HTML, ASP, PHP. Istotną zmianą wartą
podkreślenia jest możliwość definiowania kont lokalnych w IIS. Dzięki czemu nie ma potrzeby
uwierzytelniać użytkowników w oparciu o konta domenowe lub konta lokalne serwera.
Możemy zarządzać dostępem do obiektów z jednego miejsca przypisując prawa
użytkownikom domenowym, lokalnym systemowym i IIS’a
• Wbudowane narzędzia do analizy oraz śledzenia zdarzeń - IIS 7.0 zawiera moduły
ułatwiające diagnostykę problemów i zdarzeń. Wysoki poziom szczegółowości komunikatów
pozwala programistom szybko wyizolować i naprawić błąd. Zdarzenia możemy śledzić
podając typ błędu, wywołanie rozszerzenia pliku, czy przekazania na serwer webowy
określonego polecenia itp.
• Bezproblemowa i wydajna obsługa aplikacji webowych zawierających dowolną zawartość-
Obsługiwane są statyczne strony, PHP, ASP, ASP.NET i inne z możliwością „mieszania”
technologii. Związane jest to z nowym zestawem publicznych API używanych zamiast
standardowych ISAPI
• Nowy Serwer FTP dostępny poza dystrybucją IIS 7.0 - Najnowszą wersję serwera FTP można
pobrać ze strony www.iis.net. Serwer FTP zamieszczony w wersji instalacyjnej systemu
Windows 2008 jest produktem zgodnym z IIS 6.0.
Zasada działania serwera IIS 7.0
Internet Information Services (IIS) 7.0 dostarcza nową architekturę przetwarzania zapytań, opartą
na:
• Nowej usłudze Windows Process Activation Service (WAS), która umożliwia witrynom
internetowym wykorzystywanie innych protokołów niż HTTP i HTTPS
• Modułowej budowie silnika serwera WWW
• Nowy mechanizm dostępu do przetwarzanych zapytań, zintegrowany z potokami
przetwarzania zadań serwera IIS i ASP.NET
IIS 7.0 zawiera kilka komponentów zapewniających podstawowe funkcje dla aplikacji i serwera
Web. Każdy z komponentów jest odpowiedzialny za różne zadania, nasłuch żądań wysyłanych do
serwera, zarządzanie procesami i odczytywanie plików konfiguracyjnych. Komponenty te zawierają
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 5/23
optymalizowany protokół nasłuchujący HTTP.sys oraz usługi serwerowe takie jak World Wide Web
Publishing Service (WWW service) i Windows Process Activation Service (WAS).
Schemat działania serwera IIS 7.0 został przedstawiony na Rys. 2.
Rys 2. Schemat działania serwera IIS 7.0
Protokoły nasłuchujące
Zadaniem Protokołu nasłuchującego jest odbieranie specyficznych zapytań przesyłanych do
serwera, przekazanie ich do przetworzenia przez serwer IIS, a następnie odesłanie odpowiedzi do
składającego zapytanie. Przykładowo, kiedy przeglądarka klienta zapytuje o stronę internetową
Web, proces nasłuchujący, HTTP.sys, odbiera to zapytanie i przekazuje do przetworzenia przez
serwer IIS. Jeżeli zapytanie jest poprawnie przetworzone przez serwer HTTP.sys zwraca odpowiedź
do przeglądarki klienta w postaci strony HTML lub kodu aplikacji.
Domyślnie IIS 7.0 wykorzystuje HTTP.sys jako protokół nasłuchujący zarówno zapytań HTTP jak i
HTTPS. HTTP.sys został wprowadzony już w IIS 6.0 jako protokół nasłuchujący dla zapytań HTTP. W
implementacji HTTP.sys dla IIS 7.0 dodano wsparcie dla Secure Sockets Layer (SSL). Aby wspierać
usługi i aplikacje wykorzystujące inne protokoły niż HTTP i HTTPS, IIS 7.0 został wyposażony w
technologię Windows Communication Foundation (WCF). WCF posiada adaptery nasłuchujące,
które dostarczają funkcjonalności zarówno protokołów jak i adapterów nasłuchujących. Szerzej na
ten temat można przeczytać w dalszej części tego modułu lub też na witrynie MSDN pod hasłem
Windows Communications Foundation.
Hypertext Transfer Protocol Stack (HTTP.sys)
Protokół nasłuchu HTTP (HTTP listener) jest częścią podsystemu sieciowego Windows Serwer 2008
i jest zaimplementowany, jako sterownik urządzenia trybu jądra. HTTP.sys nasłuchuje zapytań HTTP
z sieci, przesyła je do przetworzenia przez IIS i zwraca odpowiedzi klientom.
Protokół ten zastąpił pracujący w trybie użytkownika Windows Sockets API (Winsock), który był
implementowany we wcześniejszych wersjach IIS.
HTTP.sys zapewnia następujące korzyści:
• Pamięć podręczna w trybie jądra. Zapytania kierowane do przechowywanych w pamięci
podręcznej odpowiedzi są realizowane bez przełączania się do trybu użytkownika
• Kolejkowanie zapytań w trybie jądra. Mniejsze prawdopodobieństwo przeciążenia serwera
gdyż zapytania są przesyłane przez jądro serwera. Jeżeli żaden proces roboczy nie jest
wstanie w danej chwili obsłużyć zapytania trafia ono do kolejki do czasu aż proces roboczy
będzie wstanie je obsłużyć
• Wstępne przetwarzanie zapytań i filtry bezpieczeństwa
• World Wide Web Publishing Service (WWW service)
W IIS 7.0 nastąpiła też bardzo istotna zmiana w funkcjonowaniu usług publikowania w sieci Web.
Funkcje, które w poprzednich wersjach pełniła usługa World Wide Web Publishing Service (WWW
Service) zostały obecnie rozdzielone na dwie usługi: WWW Services (w dokumentacji oznaczaną
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 6/23
również, jako W3SVC) oraz nową usługę Windows Process Activation Service (WAS). Obie usługi
działają w instancji konta LocalSystem w ramach tego samego procesu Svchost.exe i współdzielą te
same binaria.
Jak działa usługa WWW Service w IIS 7.0
Bardzo istotne zmiany nastąpiły w funkcjonowaniu usługi WWW Service. W IIS 6.0 usługa
ta odpowiadała za:
• Administracja i konfiguracja stosu HTTP
• Zarządzanie procesami
• Monitorowanie wydajności
Usługa WWW Services odpowiadała również za odczytywanie konfiguracji z metabazy IIS
i wykorzystywała te informacje do aktualizacji HTTP.sys. W IIS 7.0 usługa WWW service zmieniła
znacznie swój kontekst. Nie zarządza już procesami roboczymi, tak jak to miało miejsce w IIS 6.0.
Obecnie usługa ta pełni rolę adaptera dla procesu nasłuchującego HTTP.sys. Jako adapter nasłuchu
domyślnie jest odpowiedzialna za konfigurację HTTP.sys, aktualizację HTTP.sys po zmianach
konfiguracji i informowanie usługę WAS kiedy zapytanie znajdzie się w kolejce.
Windows Process Activation Service (WAS)
Usługa Windows Process Activation Service (WAS) zarządza pulami aplikacji, konfiguracją
i procesami roboczymi. Funkcjonalność ta była dotychczas zarezerwowana dla usługi WWW
Service, co zostało opisane poprzednim punkcie. Podejście to umożliwia wykorzystywanie tych
samych parametrów konfiguracji dla witryn opartych o protokół HTTP jak i inne protokoły.
Dodatkowo, jeżeli na serwerze IIS nie mają być obsługiwane witryny HTTP, można uruchomić WAS
bez instalacji usługi WWW Service. Na przykład, można zarządzań usługą Web poprzez adapter
nasłuchujący WCF taki jak NetTcpActivator, bez uruchamiania WWW Service i HTTP.sys. Więcej
informacji na temat WAS znajdziesz na witrynie MSDN.
Zarządzanie konfiguracją WAS
Podczas startu serwera usługa WAS odczytuje określone informacje z pliku ApplicationHost.config
i przekazuje je do adapterów nasłuchujących na serwerze. Adaptery te pełnią rolę kanałów
komunikacyjnych pomiędzy usługą WAS, a protokołem nasłuchu takim jak HTTP.sys. Kiedy adapter
otrzyma informacje konfiguracyjne przeprowadza konfigurację odpowiedniego protokołu nasłuchu
i przełącza się w tryb nasłuchu zapytań. W przypadku WCF, adapter zawiera w sobie funkcjonalność
protokołu nasłuchu. Na przykład adapter WCF taki jak NetTcpActivator, po przekonfigurowaniu
przez WAS rozpoczyna nasłuchiwanie protokołu net.tcp. Więcej informacji na temat adapterów
nasłuchujących WCF znajdziesz pod hasłem WAS Activation Architecture na witrynie MSDN.
Poniższa lista przedstawia typ informacji pobieranych przez WAS z konfiguracji serwera:
• Globalne informacje konfiguracyjne
• Informacje o konfiguracji protokołów HTTP i niezgodnych z HTTP protocols
• Konfigurację Puli Aplikacji takie jak informacje o kontach i procesach roboczych
• Konfiguracja Site
• Konfiguracja aplikacji, min. obsługiwane protokoły, pule aplikacji, do których należy
Jeżeli nastąpi zmiana w konfiguracji i modyfikacja pliku ApplicationHost.config, usługa WAS
otrzymuje powiadomienie o tym fakcie i aktualizuje adaptery nasłuchujące zgodnie z nowymi
parametrami.
Zarządzanie procesami roboczymi
Jak wspomniano wcześniej usługa WAS jest odpowiedzialna za zarządzanie pulami aplikacji
i procesami roboczymi zarówno dla protokołów obsługi zapytań HTTP jak i niezgodnymi z HTTP.
W chwili, gdy protokół nasłuchu odbierze zapytanie klienta, usługa WAS określa czy odpowiedni
proces roboczy jest uruchomiony. Jeżeli w puli aplikacji znajduje się proces roboczy obsługujący to
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 7/23
zapytanie to adapter przekazuje mu to zapytanie do przetworzenia. W przeciwnym przypadku
usługa WAS uruchamia proces roboczy na potrzeby przetworzenia tego zapytania.
Moduły IIS 7.0
IIS 7.0 wprowadził dość istotną zmianę w swojej architekturze w porównaniu z wcześniejszymi
wersjami. W celu zapewnienia maksymalnej stabilności i bezpieczeństwa serwer IIS 7.0 składa się z
rdzenia, jaki stanowi serwer WWW oraz około 40 modułów zwiększających jego funkcjonalność
i bezpieczeństwo. Wszystkie moduły mogą zostać podłączone lub odłączone w dowolnym
momencie. Na Rys. 3 przedstawiona jest architektura modułów dla serwera Web.
Rys. 3 Architektura modułowa IIS 7.0
Modułami serwera IIS nazywamy indywidualne funkcjonalności, które wykorzystuje serwer do
pełnienia swojej roli. Przykładem może być moduł autentykacji klientów lub moduł zarządzanie
pamięcią podręczną serwera IIS.
Nowe podejście do architektury wprowadza następujące zmiany w porównaniu ze wcześniejszymi
wersjami:
• Administrator ma kontrolę nad modułami, które mają być zainstalowane na serwerze
• Możliwe jest dokładne wyspecyfikowanie roli, jaką ma pełnić serwer w organizacji
• Zawsze możliwe jest używanie dodatkowych modułów, które zastąpią instancje
wprowadzając przy tym nową funkcjonalność.
Wprowadzenie takiego podejścia do architektury serwera znacznie podniosło jego bezpieczeństwo
i usprawniło administrację serwerem. Dzięki usunięciu niepotrzebnych modułów minimalizowana
jest przestrzeń potencjalnego ataku, zmniejszyło się zapotrzebowanie na zasoby fizyczne serwera
i zwiększyła się ogólna wydajność rozwiązania. Czynności administracyjne związane z utrzymaniem
serwera również zostały zredukowane w myśl zasady „Nie musisz aktualizować i zabezpieczać
modułów niewykorzystywanych w danej roli serwera”.
Moduły natywne
W niniejszej sekcji zostaną omówione natywne moduły serwera IIS 7.0 instalowane wraz rolą
serwera IIS na platformie Windows Server 2008. W razie potrzeby możliwe jest ich odinstalowanie
lub też zastąpienie innymi modułami.
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 8/23
Moduły HTTP
Część z modułów serwera IIS umożliwia realizację specyficznych zadań związanych
z przetwarzaniem zapytań dla Hypertext Transfer Protocol (HTTP). Moduły HTTP zawierają w sobie
funkcjonalności związane z odpowiadaniem na informacje i zapytania zawarte w nagłówkach
zapytań klienta, obsługą błędów protokołu http, przekserowaniem zapytań itp.
Moduły bezpieczeństwa
Część modułów IIS 7.0 została tak zaprojektowana, aby świadczyć usługi bezpieczeństwa w procesie
przetwarzania zapytań. Zostały też wydzielone specyficzne moduły dla każdego z schematów
uwierzytelniania zapewniające elastyczną konfigurację serwera w tej kwestii. W przypadku
budowania zaawansowanych aplikacji Web konieczne jest stosowanie innych mechanizmów
uwierzytelniania, dlatego też w sekcji bezpieczeństwo można znaleźć dedykowane moduły do
autoryzacji URL oraz filtrowania zapytań.
Moduły zarządzania zawartością
Część z dostępnych modułów serwera IIS 7.0 ma za zadanie zarządzanie zawartością
przetwarzanych zapytań. W modułach tych można odpleść takie, które zarządzają zapytaniami
dostępu do plików statycznych, zwracania domyślnej strony Kidy klient nie sprecyzuje treści,
wyświetlania zawartości katalogów itp. Poniżej zostały wyszczególnione główne moduły
zarządzania zawartością.
Moduły kompresji
IIS 7.0 został wyposażony w dwa moduły kompresji w potokach przetwarzanych zapytań.
Moduły pamięci podręcznej
Wśród dostępnych modułów serwera IIS znajdują się takie, których zadaniem jest zarządzanie
pamięcią podręczną dla przyjmowanych zapytań. Wykorzystanie tych modułów zwiększa wydajność
serwera IIS, witryn Web, aplikacji poprzez przechowywanie przetworzonych wcześniej informacji
w pamięci serwera i wykorzystywanie ich w sytuacjach ponawiania zapytań do tych samych
zasobów.
Moduły logowania zdarzeń i diagnozy zapytań
Zadaniem modułów logowania zdarzeń jest przekazywanie informacji o uruchomionych modułach
i ich stanie bezpośrednio do HTTP.sys. Moduły diagnostyczne natomiast badają stan i raportują
zdarzenia podczas przetwarzania zapytań.
Moduły zarządzające
Część z modułów IIS wspiera zintegrowane zarządzanie z procesami przetwarzania zapytań.
Moduły zarządzanego kodu
Dodatkowo do natywnych modułów serwera IIS 7.0 zostały dodane moduły zarządzanego kodu
zwiększające znacznie funkcjonalność IIS. Niektóre z modułów zarządzających, takie jak
UrlAuthorization, posiadają natywne moduły, jako alternatywne do modułów wspierających
zarządzanie.
Przetwarzanie zapytań na serwerze IIS 7.0
Nowy model przetwarzania zapytań w IIS 7.0 bazuje na bliskiej integracji mechanizmów IIS
i ASP.NET. W nowej architekturze zadania przetwarzania zapytań zostały rozdzielone na moduły
realizujące określone zadania.
Taki projekt zapewnia kilka korzyści w porównaniu z wcześniejszymi wersjami IIS. Po pierwsze
wszystkie typy plików mogą używać funkcjonalności dotychczas zarezerwowanych dla
zarządzanego kodu. Przykładowo, obecnie możliwe jest używanie autentykacji formularzy ASP.NET
Marek Pyka
ITA-108 Technologie sieciowe
i autoryzacji URL dla plików
i aplikacje.
Po drugie, tak zaprojekto
i ASP.NET. Przykładem tego
odwołuje się do odpowiedn
klienta. W poprzednich wer
przez serwer IIS jak i mechan
Trzecią korzyścią jest możliw
upraszcza administrację serw
Pule Aplikacji IIS 7.0
Pule aplikacji mają za zada
jednej aplikacji mógł doprow
Web. W przypadku IIS 7.0 je
6.0. Dodatkowo jednak zo
przetwarzane zapytania uzy
zintegrowany i tryb klasyczny
W IIS 6.0 tryb izolacji
poziomie serwera, co
Jednakże w IIS 7.0 tryb Inte
uwalnia serwer od poprzedn
Tryb Integracji puli aplikacji
Kiedy serwer pracuje w try
przetwarzania zapytań dla se
w puli aplikacji proces robo
zdarzenie wywołuje niezbęd
odpowiedzi.
Tryb klasyczny puli aplikacji
Kiedy pula aplikacji jest w try
Zapytania ASP.NET w pierw
a następnie są rutowane do
w środowisku uruchomienio
i wysyłana jest odpowiedź do
Ten tryb separacji serwera
niektórych etapów przetwa
serwera. Dodatkowo moduł
aplikacji, dla których nastąpił
IIS 7.0 posiada bardzo podo
przedstawiony proces przetw
Przetwarzanie zapytania p
zdarzeniami. Każde zrażenie
autentykacja użytkownika lu
wymagało dostępu do mo
AppDomain, w której mod
autentykacja klienta. Kiedy z
zwracana jest odpowiedź do
Strona 9/23
ików statycznych, ASP oraz innych typów wykorz
ktowane środowisko eliminuje duplikowanie fu
tego może być sytuacja, w której klient żąda mo
iedniego modułu autentykacji, który wykorzysta i
wersjach IIS to samo zapytanie klienta podlegało
hanizmy ASP.NET.
żliwość zarządzania wszystkimi modułami w jednym
serwerem Web.
adanie separowanie aplikacji i zapobieganie sytua
prowadzić do zatrzymania pracy innych aplikacji lu
.0 jest kontynuowany model izolacji oparty o proce
została wprowadzona możliwość definicji usta
uzyskują dostęp do zarządzanych zasobów. Wydzi
czny.
lacji procesów roboczych i tryb izolacji znany z IIS
, co uniemożliwia stosowanie obu trybów na t
Integracji i Klasyczny są implementowane na pozi
ednio opisanych ograniczeń.
aplikacji
trybie Integracji puli aplikacji można korzystać z
la serwera IIS i ASP.NET. W momencie odebrania zap
roboczy jest ono przetwarzane przez określony z
zbędny natywny moduł zarządzający dla procesu w
aplikacji
trybie klasycznym IIS 7.0 przetwarza zapytania jak
ierwszej kolejności są przesyłane do natywnego pr
e do biblioteki Aspnet_isapi.dll w celu przetworzen
eniowym. Na koniec zapytanie jest rzutowane z pow
ź do klienta.
era IIS i ASP.NET w przetwarzaniu zapytań po
etwarzania, co niekorzystnie wpływa na wydajn
duły zarządzania kodem są dostępne wyłącznie dla
tąpiło mapowanie zapytań przez bibliotekę aspnet_is
odobny proces przetwarzania zapytań HTTP jak IIS
zetwarzania zapytania dla IIS 7.0.
a przez proces roboczy przechodzi przez kilka
enie jest natywną częścią modułu przetwarzania za
ka lub dokonanie wpisu do logu. Jeżeli przetwarz
modułu zarządzającego, to natywny moduł Ma
moduł zarządzający będzie mógł wykonywać wy
dy zapytanie przejdzie przez wszystkie zdarzenia pod
ź do HTTP.sys.
Moduł VIII
Serwer aplikacji IIS 7.0
korzystywanych przez Site
funkcjonalności dla IIS
modyfikacji pliku, serwer
ta informacje z zapytania
ało autentykacji zarówno
dnym miejscu, co znacznie
ytuacjom, w których błąd
cji lub też całego serwera
rocesy robocze znany z IIS
ustawień, w jaki sposób
ydzielono dwa tryby: Tryb
IIS 5.0 są realizowane na
a tym samym serwerze.
poziomie puli aplikacji, co
ć z wspólnej architektury
zapytania przez pracujący
ny zestaw zdarzeń. Każde
su w celu wygenerowania
jak w trybie izolacji IIS 6.0.
o przetwarzania przez IIS,
rzenia zarządzanego kodu
powrotem do serwera IIS
powoduje duplikowanie
dajność i bezpieczeństwo
dla aplikacji ASP.NET lub
et_isapi.dll.
IIS 6.0. Na Rys. 4 został
ilka etapów nazywanych
a zapytań, jak na przykład
warzane zapytanie będzie
ManagedEngine stworzy
wymagane zadania np.
podstawowe na serwerze
Marek Pyka
ITA-108 Technologie sieciowe
Narzędzia zarządzania se
Narzędzia administracyjn
W wersji 7.0 serwera IIS od
serwerem:
• graficzny interfejs użyt
• narzędzie wiersza pole
• repozytorium ustawie
.NET Framework 2.0 (o
• edytor WMI provider
zgromadzone w repozy
• zarządzany interfejs M
co edytor WMI provide
Ponadto system Windows Se
administrowanie serwerem i
Z serwerem IIS 7.0 dostarcza
wszelkich ustawień konfigura
interfejs z silną kontrolą typ
WMI. Skrypty wiersza pole
poleceń AppCmd.exe.
Nowy menedżer IIS Manag
Nowe narzędzie administrac
serwerem sieci Web. Zape
informacji dotyczących diag
obsługuje zdalne administro
administrowanie oraz nie w
portów administracyjnych.
Strona 10/23
Rys 4. Przebieg procesu przetwarzania zapytań HTTP
serwerem IIS 7.0
cyjne
od nowa napisano następujące narzędzia administ
użytkownika IIS Manager
poleceń AppCmd.exe
wień konfiguracyjnych bazowane na podobnym re
.0 (obsługuje bezpośrednią edycję ustawień)
ider, którym można wygodnie odczytywać i mo
pozytorium konfiguracji
js Microsoft.Web.Administration wyświetlający te sa
vider.
s Server 2008 oferuje wtyczkę IIS 6.0 konsoli MMC
em i miejscami FTP.
rczany jest nowy edytor WMI provider poszerzający
iguracyjnych IIS oraz ASP.NET. Microsoft.Web.Admin
typów, który może być także użyty do odczytania
poleceń IIS 6.0 zostały zastąpione nowym, silnym
nager
tracyjne usług IIS 7.0, menedżer IIS Manager, pozwa
apewnia on obsługę ustawień konfiguracji, dany
diagnostyki czasu wykonywania. Nowy interfejs m
istrowanie przez HTTP, co pozwala na zintegrow
ie wymaga konfiguracji w zaporze sieciowej protok
Moduł VIII
Serwer aplikacji IIS 7.0
inistracyjne do zarządzania
repozytorium platformy
modyfikować ustawienia
e same informacje,
MC pozwalającą na zdalne
ający skryptowy dostęp do
ministration to zarządzany
nia danych przez skrypty
ilnym narzędziem wiersza
zwala wydajniej zarządzać
danych użytkownika oraz
s menedżera IIS Manager
growane lokalne i zdalne
otokołu DCOM ani innych
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 11/23
Rys. 5 Nowy ekran administracyjny usług IIS.
Menedżer IIS Manager pozwala również administratorom delegować kontrolę administratorską do
deweloperów lub właścicieli zawartości. Inne główne funkcje menedżera IIS Manager to, między
innymi:
• Rozbudowane możliwości rozszerzania infrastruktury, pozwalające na przyłączanie nowych
funkcji interfejsu użytkownika przy użyciu platformy .NET Framework;
• Obsługa poświadczeń delegowanego administrowania, zarówno systemu Windows,
Jak i innych systemów;
• Automatyczne pobieranie i instalacja nowych modułów interfejsu użytkownika do urządzenia
klienckiego;
• Zdalne administrowanie przez HTTP/SSL.
Nowe narzędzie wiersza poleceń, AppCmd.exe, również służy do zarządzania i administrowania
serwerami, witrynami oraz aplikacjami sieci Web. Interfejs wiersza polecenia upraszcza
administratorom powszechne zadania zarządzania serwerem sieci Web. Na przykład, polecenie
AppCmd.exe można wykorzystać do wyświetlenia listy żądań serwera sieci Web, które musiały
czekać dłużej niż 500 milisekund. Informacje te mogą zostać wykorzystane do szybkiego
rozwiązywania problemów związanych z aplikacjami o słabej wydajności. Produkt wyjściowy
polecenia AppCmd.exe może zostać przeniesiony do innych poleceń do dalszego przetwarzania.
Delegowanie uprawnień administracyjnych
Scentralizowany magazyn konfiguracji usług IIS 6, znany, jako baza meta danych, już nie istnieje.
Usługi IIS 7.0 zawierają nowy system delegowanych konfiguracji, oparty na hierarchii
rozproszonych
plików
konfiguracyjnych
XML.
Składa
się
ona
z
globalnego
pliku
applicationHost.config, który zawiera domyślne ustawienia konfiguracji serwera oraz rozproszone
pliki web.config wewnątrz struktury katalogu aplikacji. Są to te same pliki web.config, z których
korzysta struktura aplikacji ASP.NET do zdalnego przechowywania ustawień aplikacji. Pozwala to na
równoległe przechowywanie konfiguracji usług IIS oraz struktury ASP.NET, przy użyciu czystych
i głęboko ustrukturyzowanych dyrektyw XML. Zmiana ta zapewnia jeden magazyn konfiguracji dla
wszystkich ustawień konfiguracyjnych platformy sieci Web, do których dostęp istnieje przez
powszechny zestaw interfejsu API oraz które przechowywane są w jednolitym formacie.
System konfiguracji usług IIS 7.0 jest również w pełni rozszerzalny, tak więc deweloperzy mogą
rozszerzać magazyn konfiguracji, aby zawrzeć w nim dostosowaną konfigurację o takiej samej
wierności i priorytecie, co konfiguracja ustawień IIS. Dzięki rozproszonym plikom web.config,
aplikacje zawierają wymagane konfiguracje serwera wewnątrz własnej struktury katalogowej.
Upraszcza to znacznie wdrażanie, pozwalając na kopiowanie samodzielnych aplikacji do katalogu
aplikacji serwera docelowego i w ten sposób pozwala na natychmiastowe uruchomienie i działanie
tych aplikacji w wybranych ustawieniach.
Marek Pyka
ITA-108 Technologie sieciowe
Usługi IIS 7.0 przechowują pl
W pliku tym znajdują się dwi
• system.applicationHos
• system.webServer
Grupa sekcji system.applicat
oraz puli aplikacji. Grupa s
ustawień, w tym globalnych
Narzędzie AppCmd.exe
Zarządzanie serwerem IIS 7
przydatne w dwóch sytuacjac
• instalacji i zarządzania
• wykorzystywania skryp
Narzędzie AppCmd.exe jest
ono szereg skryptów .vbs
wszystkich kluczowych funkc
AppCmd umożliwia administ
oraz znacznie zwiększa moż
Najczęściej realizowane zada
• Tworzenie i konfigurac
• Zatrzymywanie i uruch
• Przeglądanie listy uruc
do serwera zapytań
• Przeszukiwanie, mody
Jak używać AppCmd.exe
Narzędzie AppCmd.exe bazu
Obiekty te dostarczają m
administracyjnych takich jak
konfiguracji.
Przykładowo, obiekt witryna
wstrzymywania, zatrzymywa
właściwości takie jak: nazw
konfiguracji.
Uwaga: AppCmd.exe z
ścieżka ta nie znajduje
"%systemroot%\system32\in
scieżki do zmiennej PATH ser
Narzędzie wywoływane jest z
APPCMD (command)
>
gdzie <COMMAND> jest jedn
Wiele z obiektów wspiera na
•
LIST - wyświetla o
unikatowego obiektu
właściwości obiektu.
•
ADD - tworzy nowy o
•
DELETE - usuwa okre
•
SET - definiuje param
Bardzo często obiekty wspie
obiektu Site.
Strona 12/23
ją plik ApplicationHost.config w katalogu %windir%\
dwie główne grupy sekcji konfiguracyjnych:
Host
licationHost zawiera konfigurację witryny, aplikacji
a sekcji system.webServer zawiera konfigurację w
ych ustawień domyślnych sieci Web.
IS 7.0 przy użyciu komend wiersza linii poleceń m
acjach:
ania rolą IIS na serwerze Windows Server 2008 CORE
kryptów administracyjnych na platformie Windows
jest pojedynczym poleceniem do zarządzania serwe
vbs dostępnych we wcześniejszych wersjach). N
nkcji zarządzających wszystkimi obiektami serwera.
inistratorom kontrolowanie serwera IIS 7.0 bez użyc
ożliwości zautomatyzowania czynności administracy
zadania poprzez narzędzie AppCmd.exe:
uracja Site, puli aplikacji i wirtualnych katalogów,
ruchamianie Site, odzyskiwanie pul aplikacji
uruchomionych procesów roboczych i monitorowani
odyfikowanie, eksportowanie i importowanie konfig
azuje na dostępie do głównych obiektach serwera II
ą metod, które mogą zostać użyte do wyk
jak zarządzanie właściwościami obiektów, monito
ryna dostarcza metod do wyświetlania, tworzenia i u
ywania i uruchamiania ich. Każda uruchomiona
azwa i identyfikator, które mogą polegać inspekc
xe znajduje się w katalogu %systemroot%\system
duje się w zmiennej PATH, musisz używać poleceni
inetsrv\AppCmd.exe list sites". Alternatywą je
serwera.
est z wiersza linii poleceń w następujący sposób:
) (object-type) <identifier> < /para
jednym z dostępnych poleceń obsługiwanym przez <
a następujące podstawowe polecenia:
la obiekty na serwerze. Opcjonalne <ID> umo
iektu do wyświetlenia, lub też określenie jednego
ktu.
wy obiekt o określonych właściwościach
określony przez <ID> obiekt
rametry określonego przez <ID> obiektu.
spierają dodatkowe polecenia takie jak START i S
Moduł VIII
Serwer aplikacji IIS 7.0
\system32\inetsrv.
acji, katalogu wirtualnego
ję wszystkich pozostałych
ń może okazać się bardzo
ORE
ws Server 2008
erwerem IIS 7.0 (zastąpiło
. Narzędzie to dostarcza
era.
użycia narzędzi graficznych
racyjnych.
anie przesyłanych
nfiguracji IIS i ASP.NET
ra IIS tj. witryny i aplikacje.
wykonania wielu zadań
onitorowanie ich i zmiana
ia i usuwania instancji oraz
na instancja Site posiada
ekcji, wyszukiwaniu oraz
tem32\inetsrv\. Ponieważ
cenia w pełnej ścieżce np.
ą jest dodanie ręczne tej
ameter1:value1 ...
zez <OBJECT>.
umożliwia sprecyzowanie
go lub wielu parametrów
T i STOP jak w przypadku
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 13/23
Zarządzanie Sites, Aplikacjami, Katalogami Wirtualnymi i Pulami Aplikacji
Tworzenie i zarządzanie Site, aplikacjami i katalogami wirtualnymi jest podstawowym zadaniem
administratora serwera aplikacji. IIS wprowadza określoną hierarchię :
• Web Site - Web Site odbiera żądania bazujące na określonych parametrach tj. adres IP
i
nagłówek
hosta.
Przykład:
zapytanie
skierowane
na
port
8080
hosta:
http://www.mysite.com:8080
Każdy Site zawiera jedną lub wiele aplikacji.
• Aplikacja – Aplikacja reprezentuje wirtualną ścieżkę zawartą w adresie URL serwera.
Przykład: uruchomienie aplikacji "/app1" na serwerze może reprezentować poniższy adres
URL: http://www.mysite.com:8080/app1
Każda aplikacja przypisana jest do jednej puli aplikacji.
Aplikacja może posiadać jeden lub wiele katalogów wirtualnych.
• Katalog wirtualny - Katalog Wirtualny reprezentowany jest przez wirtualną ścieżkę
w przestrzeni URL aplikacji. Przykład: dostęp do katalogu wirtualnego "/vdir1" może
prezentować poniższy adres URL: http://www.mysite.com:8080/app1/vdir1
Katalog Wirtualny jest mapowany do fizycznej lokalizacji znajdującej się na dysku.
• Pula Aplikacji – Pula Aplikacji określa zestaw ustawień dla aplikacji znajdujących się w niej
i procesów roboczych od niej zależnych. Pula Aplikacji nie jest częścią hierarchii site-app-
vdir. Każda aplikacja na serwerze ma zdefiniowaną pulę aplikacji, która ją uruchamia lub też
należy do default application pool. Określa parametry procesów roboczych tj. ilość procesów
roboczych, wersję CRL ładowaną przez nią, model integracji .NET, nazwę konta które jest
uprzywilejowane do uruchomienia procesów roboczych oraz ustawienia odzyskiwania
procesów roboczych.
Domyślnie IIS 7.0 jest instalowany z domyślnym Site o nazwie "Default Web Site", który nasłuchuje
na porcie 80 bez żadnych ograniczeń dotyczących adresów IP czy też nagłówków hosta. Brak też
jest zdefiniowanych domyślnych aplikacji ani ich katalogów wirtualnych. Wraz z nią tworzona jest
też domyślna pula aplikacji o nazwie "DefaultAppPool", którą wykorzystują domyślnie wszystkie
nowo tworzone aplikacje.
Zarządzanie konfiguracją
IIS 7.0 dostarcza nowego modelu konfiguracji opartego na hierarchii XML taj jak w ASP.NET.
Konfiguracja serwera przechowywana jest w pliku applicationHost.config lub jest dystrybuowana
w pliku konfiguracyjnym web.config wraz z całą hierarchią aplikacji.
AppCmd umożliwia pełna inspekcję i modyfikację struktury konfiguracji za pomocą wiersza linii
poleceń wykorzystując obiekt CONFIG. Dodatkowo AppCmd zapewnia kilka innych przydatnych
funkcji tj. czyszczenie konfiguracji, blokowanie i odblokowanie oraz przeszukiwanie jej.
Przeglądnie konfiguracji
AppCmd pracuje z konfiguracją serwera na poziomie sekcji konfiguracja. Każda sekcja
konfiguracyjna typowo odpowiada za określoną cechę serwera i może zawierać wiele podsekcji
i wystąpienia. Modyfikacja konfiguracji może być przeprowadzona bezpośrednia dla określonej
przestrzeni nazw URL tj. Site, aplikacja lub URL. Modyfikacja konfiguracji podlega zasadą
dziedziczenia, konfiguracja odziedziczona z poziomu głównego może być jednak ręcznie
nadpisywana na poziomach niższych pliku konfiguracji serwera.
Modyfikacja wystąpień (collections)
AppCmd umożliwia również modyfikacje poszczególnych wystąpień konfiguracji. Kolekcja
konfiguracji może zawierać wiele elementów takich jak system.webServer/module. Sekcja
konfiguracji zawiera listę modułów specyficznych dla egzekutorów serwera. Aby zmodyfikować
kolekcję należy zdefiniować unikatowy ID wystąpienia wraz z określeniem ścieżki. Kolekcje
wykorzystują indeksowanie wartości, aby zidentyfikować konkretny element.
Marek Pyka
Moduł VIII
ITA-108 Technologie sieciowe
Serwer aplikacji IIS 7.0
Strona 14/23
Zarządzanie położeniem plików konfiguracyjnych
System konfiguracji serwera jest hierarchiczny, umożliwia modyfikację konfiguracji na wielu
poziomach infrastruktury serwerowej opartej o plik applicationHost.config i dystrybuowania przez
web.config zawierający parametry Site, aplikacji lub katalogów wirtualnych.
Domyślnie polecenie AppCmd zapisuje konfigurację na poziomie, na którym zostało ustawione.
Na przykład, jeżeli modyfikujesz ustawienia konfiguracji "Default Web Site/", zostaną one zapisane
w pliku web.config w głównym drzewie tego Site.
Jednakże, jak wspominano wcześniej, możliwe jest nadpisanie konfiguracji lub też przypisanie jej do
konkretnych katalogów wirtualnych.
Poszczególne parametry mogą być konfigurowane dla:
• (omitted) — domyślnie; zapisuje konfigurację na poziomie, na którym jest ustawiony
• url — podobnie jak default; zapisuje konfigurację na poziomie, na którym jest ustawiony
w parametrze URL
• site — zapisuje konfigurację do pliku web.config głównego drzewa ścieżki url
• app — zapisuje konfigurację do pliku web.config głównego drzewa określonej aplikacji
• apphost — zapisuje konfigurację na poziomie serwera do pliku applicationHost.config
• <PATH> — zapisuje konfigurację do określonej lokalizacji konfiguracji
Przedstawione powyżej polecenie dla narzędzia AppCmd umożliwia automatyzację najczęściej
wykonywanych zadań administratora IIS 7.0. Zaznaczmy jednak fakt, iż nie są to wszystkie
z ogromnych możliwości AppCmd, dlatego gorąco polecam do zaznajamiania się z dodatkowymi
przełącznikami i poleceniami.
Dodatkowe informacje na temat zastosowań polecenia AppCmd znajdują się pod adresem
http://mvolo.com/blogs/serverside/archive/tags/AppCmd/default.aspx.
PowerShell
Powłoka Windows PowerShell to nowa interaktywna linia komend oraz technologia skryptowa
systemu Windows XP/Vista/Server 2003/2008 oparta na zadaniach i poleceniach WMI, która
umożliwia administratorom bardziej wydajne i bezpieczne automatyzowanie zarządzania zarówno
komputerami typu desktop, jak i serwerami. Używając powłoki PowerShell możliwe jest
zarządzanie parametrami serwera IIS 7.0 poprzez wykorzystanie przestrzeni nazw zdefiniowanej na
potrzeby tej roli. Poniżej przedstawiona jest struktura przestrzeni nazw dla serwera IIS.
Przedstawione poniżej kontenery nie mogą być usunięte ani przeniesione.
