Uploaded by Arkady

Отчёт

advertisement
ОТЧЕТ ПО ПРОИЗВОДСТВЕННОЙ ПРАКТИКЕ
Сетевое администрирование. Установка,
настройка и сопровождение служб совместного доступа в Интернет
Владивосток
2011
Содержание
Введение……………………………………….…………………………………………..…3
1 Введение в ICS..……………………………………………………………………………4
2 Основные понятия и принцип работы…………..……………………………….……….5
3 Установка и конфигурирование ICS..…………………………………………….………6
3.1 Установка с помощью мастера установки сети……………………………………6
3.2 Задание конфигурации ICS вручную…………………………………………...…8
3.3 ICS – модель виртуальных частных сетей (VPN)…………………………………9
4 Решение проблем, связанных с ICS.……………………………………………….…….10
5 Безопасность ICS – клиентов……...………………………………………………..…….11
5.1 ICS в рабочей группе………………………………………………………….…..…11
5.2 Обзор ICF (Firewall)…………………………………………………………….……11
5.3 Использование ICF…….……………………………………………………….……12
5.4 ICF – несовместимость.……………………………………………………….….….12
5.5 ICF –ведение журналов.……………………………………………………….…….13
5.6 ICF – конфигурация…...………………………………………………………….….14
6 Сопровождение ICS-сервера……………………………………………………….……14
6.1 Ключевые особенности сопровождения ICS-сервера……………………………15
Заключение…………………………………………………………………………………..15
Список используемой литературы…………………………………………………………16
Введение
С повсеместным внедрением в нашу жизнь вычислительных систем
и разного рода вычислительного оборудования, как в небольших офисах, так
и на глобальных предприятиях вопрос реализации и/или администрирования
локальной вычислительной сети занимает одну из первых строчек. Как
правило, будь то небольшой офис или большая кампания, рано или поздно
возникает достаточно острая необходимость в реализации выхода в
глобальную сеть Internet, будь то необходимость отправить несколько
электронных писем или получить удаленный доступ к другой рабочей
станции или серверу.
В наши дни число пользователей интернета уже превысило планку в 1,5
миллиарда человек и продолжает стремительно расти.
Интернет состоит из многих тысяч корпоративных, научных,
правительственных и домашних компьютерных сетей. Объединение сетей
разной архитектуры и топологии стало возможно благодаря протоколу IP и
принципу маршрутизации пакетов данных.
Протокол IP был специально создан
агностическим в отношении физических каналов связи. То есть
любая система передачи цифровых данных, проводная или беспроводная, для
которой существует стандарт инкапсуляции в неё IP-пакетов, может
передавать и трафик Интернета.
На стыках сетей специальные маршрутизаторы (программные или
аппаратные) занимаются автоматической сортировкой и перенаправлением
пакетов данных, исходя из IP-адресов получателей этих пакетов. Протокол IP
образует единое адресное пространство в масштабах всего мира, но в каждой
отдельной сети может существовать и собственное адресное
подпространство, которое выбирается исходя из класса сети. Такая
организация IP-адресов позволяет маршрутизаторам однозначно определять
дальнейшее направление для каждого пакета данных. В результате между
отдельными сетями Интернета не возникает конфликтов, и данные
беспрепятственно и точно передаются из сети в сеть по всей планете и
ближнему космосу.
В основной массе, как дома, так и в большинстве организаций существует
лишь одна линия связи с глобальной сетью, в то время как в интернету
требуется подключить от двух и более машин. В процессе прохождения
производственной практики рассмотрены службы для совместного доступа в
глобальную сеть (ISC) , а так же рекомендации по настройке и
сопровождению общего доступа
1 Введение в ICS
Возможность совместного использования Интернет-подключения (Internet
Connection Sharing, ICS) позволяет применять ос Windows для подключения
домашней или малой офисной сети к Интернету. Например, можно создать
домашнюю сеть, которая соединяется с Интернетом с помощью телефонного
соединения. Если разрешить совместное использование подключения на
компьютере, соединенном по телефонной линии, выделенной линии, по
технологии xDSL или же иным способом, то этот компьютер предоставит
службы NAT, DHCP и DNS.
Можно настраивать приложения и службы, которые должны работать
через Интернет. Например, если пользователи домашней сети хотят получить
доступ к ресурсам SQL Server корпоративной сети, можно настроить
приложение SQL Server для подключения, которому разрешено совместное
использование. Услуги, предоставляемые домашней сетью, можно настроить
так, чтобы к ним могли получить доступ пользователи Интернета. Например,
если в домашней сети есть веб-сервер, то, чтобы пользователи Интернета
могли соединяться с ним, нужно на совместно используемом подключении
настроить службу WWW .
Возможность совместного использования удобна
в малом офисе или в домашней сети, где конфигурирование сети
и подключение к Интернету выполняет компьютер под управлением
Windows 2003 Server, на котором располагается данное
подключение. Считается, что в этой сети данный компьютер — единственное
подключение к Интернету, единственный шлюз в Интернет, и что он
назначает все сетевые адреса.
2 Основные понятия и принцип работы
ICS является сетевой программой трансляции адреса (Network Address
Translation), которая позволяет компьютеру-клиенту с интернет-доступом
предоставлять этот доступ другим клиентам локальной сети.
ICS позволяет клиентам локальной сети использовать интернетсоединение одного
компьютера. Компьютер с интернет-доступом называется ICS-сервером.
Остальные компьютеры являются ICS-клиентами. ICS-клиенты могут
работать в операционных системах Windows XP Professional, Windows XP
Home, Windows 2000 или Me или даже в Mac OS, если они поддерживают
протокол TCP/IP.
ICS использует IP-адреса, принадлежащие блоку 192 (точнее,
192.168.0.ххх). ICS включает в себя DHCP-сервер на ICSсервере, который назначает IP-адреса ICS-клиентам. На рисунке показано,
что DHCP-сервер присваивает адрес 192.168.0.1 себе, а затем
последовательно выдает IP-адреса другим клиентам (192.168.0.2, 192.168.0.3
и т.д.). Но так же не стоит забывать о том, ICS-сервер имеет два IP-адреса тот, который выдан интернет-провайдером (в данном случае 209.98.145.144),
и другой, соответствующий локальной сети (192.168.0.1).
Примечание. ICS позволяет подключать к одному соединению до 254
устройств с IP-адресами в диапазоне от 192.168.0.1 до 192.168.0.254.
ICS состоит из трех компонентов:

DHCP Allocator (DHCP-распределитель). Отвечает за выдачу IPадресов ICS-клиентам.

NAT. В пакетах заменяет IP-адреса ICS-клиентов на IP-адреса,
выданные интернет-провайдером.

DNS Proxy (DNS-прокси). Предоставляет сервисы трансляции между
IP-адресами и именами хостов посредством DNS-сервера интернетпровайдера.
3 Установка и конфигурирование ICS
Теперь, когда в целом принципы работы ICS понятны, перейдем
к процессам установки и конфигурирования. Как и большинство Windows
XP инструментов, этот инструмент тоже использует мастер для облегчения
процесса установки. Тем не менее, если в различного рода обстоятельствах
создание конфигурации вручную является более предпочтительным, такой
вариант тоже будет рассмотрен.
3.1 Установка с помощью мастера установки сети
Самым лучшим при установке ICS будет воспользоваться мастером
установки сети (Network Setup Wizard) в системе Windows XP Professional.
При запуске мастера на ICS-сервере он создаст установочный диск (дискету),
которым вы сможете пользоваться для конфигурирования Windows Me, 9X,
2000 и NT клиентов своей локальной сети.
Для запуска мастера
установки сети на компьютере, который будет ICS-сервером, выберите
Start\All Programs\Accessories\ Communications\Network Setup Wizard
(Пуск\Программы\Стандартные\Связь\Мастер установки сети). При работе
мастер попросит выбрать несколько параметров. Подробнее о них
остановимся в следующей таблице.
Настройка параметров.
Описание.
Выберите способ
Выберите This Computer Connects To The Internet
соединения
(Этот компьютер подключается к интернету).
Замечание: убедитесь в том, что у вас уже
имеется конфигурация интернет -!соединения.
Выберите интернет-
Вам будут показаны списки как локальных,
соединение
так и интернет-соединений, доступных на
компьютере. Выберите интернет-соединение.
Дайте описание
На этом этапе введите имя компьютера, чтобы его
и имя этому компьютеру
могли идентифицировать другие устройства
локальной сети. Если компьютер уже является
частью сети, то эта информация вводится
автоматически.
Создайте сетевое имя
Задайте имя рабочей группы
Вы уже почти все сделали В конце убедитесь в том, что настройки клиентов
совместимы с настройками, которые вы только
что установили. Это означает,
что нужно так сконфигурировать ICS-клиентов,
чтобы они использовали свой ICS-сервер
в качестве DHCP-сервера. Вы можете сделать это,
запустив программу Setup Wizard (Мастер
установки) на компьютерах ICS-клиентов или
создав загрузочный диск, который может быть
передан ICS-клиентам.
табл. 1 (Параметры конфигурации ICS с помощью мастера)
Как было отмечено в предыдущем разделе, настройку связи с другими
клиентами можно легко выполнить либо с помощью установочной дискеты,
созданной мастером установки сети (в системах Windows 9X, Me, 2000, NT
или XP), либо запустив мастер установки сети на клиентском компьютере
(только в системе Windows XP Professional). При необходимости возможно
передавать по сети файлы установочного диска для осуществления
бездисковой инсталляции.
Заключительный этап создания конфигурации ICS-сервера
с помощью мастера установки сети
В процессе конфигурации протокол TCP/IP инсталлируется
как сетевой протокол (если в этом качестве он еще не установлен),
и компьютеру дается команда получить свой IP-адрес на DHCP-сервере в данном случае на ICS-сервере.
При конфигурировании ICS-клиента с
помощью дискеты просто вставьте ее в дисковод и выполните следующие
действия.
1. Выберите Start\Run (Пуск\Выполнить).
2. Введите a:\setup.
3. Щелкните на Open (Открыть).
Для конфигурирования клиентов (если они работают в системе Windows
XP Professional) выберите Start\ All Programs\Accessories\
Communications\Network Setup Wizard
(Пуск\Программы\Стандартные\Связь\Мастер установки сети).
3.2 Задание конфигурации ICS вручную
Хотя мастер установки сети предлагает достаточно простой способ
настройки ICS, все это можно сделать еще быстрее. При конфигурировании
вручную подразумевается, что сетевые и интернет-соединения уже находятся
в рабочем состоянии.
На ICS-сервере выполните следующие действия:
1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на
Network and Internet Connections (Сеть и подключения к интернету),
затем выберите Network Connections (Сетевые подключения).
2. Щелкните на том интернет-соединении, которое вы будете
использовать.
3. В окне Network Tasks (Сетевые задачи) щелкните на Change Settings Of
This Connection (Изменение настроек подключения). Откроется окно
свойств (см. рис. 5.9).
4. Выберите вкладку Advanced (Дополнительно). Вы увидите ряд
настроек как для ICS, так и для ICF. Установите их в соответствии
с таблицей 5.3.
5. Нажмите ОК.
При конфигурировании ICS-сервера вручную не забудьте
проделать следующее.
1. Убедитесь в том, что интернет-соединение работает, т. е. если вы
только что установили соединение, протестируйте его, походите по
веб-сайтам, отправьте и получите почту.
2. Убедитесь в том, что интернет-соединение имеет конфигурацию
соединения по умолчанию.
3. Убедитесь в том, что введено имя пользователя и пароль.
Создание ICS-конфигурации вручную
Настройка параметров.
Описание.
Защитить компьютер и локальную Кратко это выражается словами "Включить ICF". Этот
сеть, ограничив или запретив
флажок рекомендуется выбирать в целях обеспечения
доступ к компьютеру из сети
безопасности. Мы будем говорить о ICF позже в этой
лекции.
Позволить другим
Включите этот флажок, чтобы включить ICS. Для
сетевым пользователям использова отключения ICS уберите галочку.
ть интернет-соединение
этого компьютера
Устанавливать dial-up-соединение Это освобождает пользователей от проблем,
при любой попытке компьютера
которые могут возникнуть у них при попытке войти в
сети получить доступ в интернет интернет при отключенном от интернета ICS-сервере. В
зависимости от потребностей в доступе к интернету вы
можете отключить или включить эту опцию.
Позволять другим
ICS-
пользователям локальной сети
клиенты могут иметь небольшую степень контроля над и
контролировать
нтернет-
или отключать интернет-
соединением в виде возможности подключать или отключ
соединение общего пользования.
ать ICS-сервер.
Замечание: они могут инициировать соединение с ICSсервером,
только если включена предыдущая опция (включен преды
дущий флажок)
Параметры для ручной настройки ICS
4. Убедитесь в том, что конфигурация ICS-сервера позволяет ему
автоматически устанавливать интернет-соединение, если один из клиентов
пожелает выйти в интернет.
3.3 ICS – модель виртуальных частных сетей (VPN)
Если есть желание дополнить набор своих сетевых соединений, то можно
установить VPN через ICS, используя PPTP. Другими словами, создать
виртуальную частную сеть, работающую с протоколом туннелирования
"точка-точка" (Point-to-Point Tunneling Protocol), позволяя удаленным
пользователям безопасно обращаться к корпоративным сетям с помощью
коммутируемого соединения, предоставляемого поставщиком интернетуслуг или с помощью прямого интернет-соединения через ICS. Но не стоит
забывать о том, что L2TP-соединения не могут быть созданы с
использованием ICS.
Рассмотрим сеть, изображенную на
нижеследующем рисунке. По этому сценарию клиенту, находящемуся в сети
SOHO, нужен VPN-канал связи со штаб-квартирой корпорации. Возможно,
ему требуется послать какую-то секретную информацию финансового
характера, требующую безопасной линии связи.
VPN-туннель поверх ICS
При создании соединения между ICS-клиентом и корпоративной сетью
клиент видит только ресурсы, доступные ему в корпоративной сети, и он
отрезан от интернета на весь период связи через VPN-соединение. Однако
это не означает, что клиент не может вернуться в интернет. ICS-клиент
может получить доступ к интернету через интернет-соединение
корпоративной сети.
При установке такого соединения важно не создать
VPN-туннель от ICS-сервера. Использование ICS-сервера будет по
умолчанию приводить к пересылке всего трафика с ICS-сервера по VPNтуннелю в корпоративную сеть. Это сделает интернет-ресурсы
недоступными для ICS-клиентов (так как их соединение будет видеть только
корпоративную сеть и только ею распознаваться).
4 Решение проблем, связанные с ICS
Если у вас возникли затруднения, связанные с ICS, то обратите
внимание на следующее.
1. Дайте ICS-серверу некоторое время для входа в интернет, особенно
при использовании dial-up-соединения. ICS-клиент должен подождать,
пока ICS-сервер подключается к интернету.
2. В Windows XP Professional есть специальная программа Internet
Connection Sharing Troubleshooter (Устранение неполадок ICS).
Установите эту программу на ICS-сервере и хотя бы на одном ICSклиенте. Вы можете запустить ICS Troubleshooter, выполнив
следующие действия.
o
Выберите Start\Help And Support (Пуск\Справка и поддержка).
o
В окне Help And Support Center (Центр справки и поддержки)
выберите пункт Fixing A Problem (Поиск неполадок).
o
Щелкните на Networking Problems (Неисправности в сети)
o
Щелкните на Internet Connection Sharing Troubleshooter.
3. Если вы перезагрузили свой ICS-сервер, то перезагрузите и ICSклиентов.
4. Убедитесь в том, что ICS-сервер действительно может устанавливать
интернет-соединение. Если это не так, то нужно еще раз проверить это
соединение.
Проще всего пользоваться инструментом Internet Connection Sharing
Troubleshooter. Он поможет решить проблемы, связанные с ICS,
последовательно проведя вас по всем пунктам. Хотя кое-что может
показаться элементарным (проверить, включен ли ICS-клиент), иногда
именно в этих простых вещах кроется причина неполадок.
5 Безопасность ICS клиентов
5.1 ICS в рабочей группе.
Многие организации обеспечивают безопасность
своих сетей с помощью защитного экрана (firewall), установленного
между локальной сетью и интернетом. Обычно такие устройства
располагаются в одном помещении с сервером, где они отфильтровывают
все нежелательные проникновения, атаки и тому подобную информацию. В
Windows XP Professional есть своя система защиты. Не такая выносливая, как
автономное устройство, программа брандмауэр подключения к интернету
(Internet Connection Firewall, ICF) является инструментом, ограничивающим
информацию, которой обменивается ваше устройство и
интернет.
Особенно эффективен ICF при работе с ICS. Используя ICF на
своем ICS-сервере, вы защищаете ICS-клиентов от нападения. Несмотря на
то что ICF, в основном, применяется в ICS-сетях, эта защита весьма
эффективна и для отдельных компьютеров, соединенных с интернетом
5.2 Обзор ICF (Firewall).
ICF является системой защиты,
отслеживающей все аспекты работы линии связи и проверяющей все
исходные и конечные адреса информационных пакетов. Для предотвращения
попадания нежелательного трафика в вашу сеть из интернета ICF содержит
список всех соединений исходного компьютера. Входящий трафик
сравнивается с данными этой таблицы. При несовпадении данных входящие
пакеты блокируются. Это препятствует таким атакам хакеров, как
сканирование портов. ICF не надоедает пользователю сообщениями о
каждом нежелательном действии, вместо этого записи о работе ICF ведутся в
специальном журнале безопасности.Однако не весь непредусмотренный
трафик обязательно является вредным. Поэтому ICF можно
сконфигурировать таким образом, чтобы пропускать сообщения и направлять
их в соответствующее устройство. Например, при наличии веб-сервера ICF
может отправлять информационные пакеты на этот сервер.
5.3 Использование ICF.
ICF не следует включать там, где нет интернет-соединения. Например,
если ICF работает на ICS-клиенте (а не на ICS-сервере),
то связь между этим компьютером и остальными компьютерами сети будет
нарушена. Именно поэтому мастер установки сети не включает ICF в
частных соединениях между ICS-сервером и ICS-клиентами. В противном
случае эти соединения оказались бы заблокированными. Однако, если у вас
уже имеется брандмауэр или прокси-сервер, то в ICF нет
необходимости. Посмотрите на сеть, изображенную на нижеследующем
рисунке. В этой конфигурации есть два места, где следует применить ICF.
Во-первых, в соединении между ICF-сервером и ISP. Во-вторых, один из
ICS-клиентов имеет свое собственное интернет-соединение. Применив ICF в
интернет-соединении (но не в частной линии между ICS-сервером и ICSклиентом), можно отфильтровывать нежелательные пакеты. Без применения
ICF в этих местах сеть станет уязвимой для атаки.
5.4 ICF - несовместимость.
На первый взгляд ICF может показаться весьма полезным инструментом
для предотвращения атак на сеть. И до некоторой степени так оно и есть.
Однако в связи с тем, что ICF блокирует любой пакет, неожиданно
приходящий в сеть, работа некоторых приложений типа электронной почты
или онлайнового чата может стать проблематичной. Это случается потому,
что программы электронной почты типа Outlook Express ожидают некоторое
время, перед тем как запросить почтовый сервер. Это неплохо, так как ICF
сделает запись в своей таблице о том, что почтовая программа отправила
пакет на почтовый сервер. Когда данные возвращаются с почтового сервера,
ICF уже имеет запись в таблице и пропускает обратное сообщение.
С
другой стороны, Outlook Express устанавливает соединение с Microsoft
Exchange Server. Используя удаленный вызов процедуры (RPC), сервер
рассылает сообщения своим клиентам о поступлении новой почты. Так как в
таблице ICF нет записи о том, что клиент инициировал контакт, то система
заблокирует RPC-уведомление. Это не означает потерю почтовых данных.
Они будут по-прежнему сохраняться на Exchange Server, однако клиенты
должны будут проверять почту вручную.
5.5 ICF – ведение журналов.
Для просмотра списка пакетов, не пропущенных системой ICF, откройте
журнал безопасности ICF. Для этого проделайте следующие шаги.
1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на
Internet Connections (Подключение к интернету) и выберите Network
Connections (Сетевые подключения).
2. Щелкните на соединении, для которого включена система ICF.
3. В Network Tasks (Сетевые задачи) щелкните на опции Change settings
for this connection (Изменение настроек выбранных подключений).
4. На вкладке Advanced (Дополнительно) щелкните на Settings
(Настройка).
5. На вкладке Security Logging (Запись в журнал событий безопасности) в
области Log file options (Параметры файла журнала) поля Name (Имя)
выберите Browse (Обзор).
6. Найдите файл pfirewall.log. Щелкните на нем правой кнопкой мыши и
выберите Open.
Ведение журналов можно настроить для записи как запрещенного,
так и разрешенного трафика. Если опция Allow incoming request echo
(Разрешить отклик на входящий запрос) протокола ICMP не включена, то
входящий пакет будет заблокирован, и в журнале будет сделана
запись.
Существует целый ряд опций ICMP (расположенных на вкладке
ICMP диалогового окна Advanced Settings [Дополнительные параметры],
которое вы открывали, проделывая шаги 1 - 4, чтобы найти журнал
безопасности), которые можно использовать. Эти опции позволяют
регулировать функциональность ICF и включают в себя следующее.

Разрешить пересылку.

Разрешить входящий запрос о временной метке.

Разрешить входящий запрос маршрутизатора.
Вы можете управлять величиной журнала безопасности, чтобы он не
переполнялся запросами, которым отказано в обслуживании. Также можно
устанавливать те сервисы, которыми вы собираетесь пользоваться на своем
Windows XP Professional-устройстве.
5.6 ICF –конфигурация.
Включать и отключать ICF очень просто. Проделайте следующие шаги.
1. Выберите Start\Control Panel (Пуск/Панель управления) и щелкните
дважды на Network Connections (Сетевые подключения).
2. Щелкните на том интернет-соединении, которое вы хотите защитить с
помощью ICF.
3. В окне Network Tasks (Сетевые задачи) щелкните на Change settings of
this connection (Изменение настроек подключения).
На вкладке Advanced (Дополнительно) можно включать ICF отметкой
флажка Protect my computer and network by limiting or preventing access to this
computer from the Internet (Защитить мое подключение к интернету).
6 Сопровождение ICS - сервера

текущий контроль сервера ICS – применение инструментальных
средств MS Windows для получения отчётов о работе, их настройки и
качества работы.

контроль защищенности сервера, установка самых свежих обновлений
для операционной системы.

контроль и управление доступом пользователей во внешнюю сеть.
Большинство решений, играющих не самую последнюю роль в стабильности
и качестве работы служб, принимаются еще на стадии проектирования или
модернизации системы, исходя из результатов ее надежности и
производительности. Чтобы уследить за всем, системный администратор
должен внимательно следить за состоянием системы в целом. Производить
своевременное обновление и поддерживать установленный уровень
безопасности.
Заключение
Служба, впервые предоставляемая еще в операционной системе Windows
98, служба общего доступа к Интернету обеспечивает возможность
использования одного подключения к Интернету несколькими
компьютерами на небольшой сети. При этом используется минимальное
количество настроек. В Windows 2000 служба ICS осуществляется через
фактическое предоставление в общее пользование сетевого интерфейса,
который имеет «реальный» IP-адрес, использующий коммутируемое или
постоянное сетевое подключение. Важно помнить, что ICS (который можно
настроить как в Windows 2000 Professional так и на сервере Windows 2000)
является, главным образом, решением для небольших и домашних сетей, но
не в коем случае не для сетевых сред крупных организаций.
В процессе прохождения производственной практики была подробно
рассмотрена роль службы общего доступа к интернету ICS для организации
совместного доступа в интернет с нескольких рабочих станций. Подробно
описали процесс установки и настройки общего доступа в глобальную сеть,
возникновение возможных проблем и их решение, а так же основные аспекты
сопровождения данной службы.
Download