Администрирование Windows XP

Подключения к рабочим группам

Лекция 4 была посвящена различным способам подключения клиента к интернету. В этой лекции внимание сосредоточено на работе системы Windows XP Professional в локальных сетях (LAN). Windows XP Professional имеет ряд инструментов для организации как очень больших сетей, так и сетей небольшого размера.

Причем, Windows XP Professional не только упрощает процессы установки и создания конфигураций, но и посредством своих инструментов повышает возможности удовлетворения требований ваших рабочих групп. В этой лекции мы обсудим различные способы применения Windows XP Professional для построения сетей и улучшения их взаимодействия. Сначала мы поговорим об установке соединения клиентов с локальной сетью и рассмотрим работу мастера создания нового подключения (Network Setup Wizard), который помогает устанавливать эти соединения. Затем мы обсудим программу Internet Connection Sharing (ICS), которая представляет собой отличный способ подключения к интернету всех устройств в малых офисах и домашних сетях с несколькими компьютерами, но только одним доступом в интернет. Мы также продемонстрируем Internet Connection Firewall (ICF), продукт Microsoft, обеспечивающий безопасность данных, пока они находятся в интернете. В заключение мы исследуем поддержку системой Windows XP Professional беспроводных сетевых соединений.

Соединение клиентов с рабочими группами

Есть два способа соединения Windows XP Professional-клиентов с локальной сетью: автоматический и ручной. Автоматический способ является наиболее предпочтительным, так как он достаточно надежен и предоставляет высокую скорость. Тем не менее, иногда бывает необходимо произвести подключение клиента вручную или применить определенный протокол или сервис.

Первый раздел этой лекции посвящен взаимодействию клиента с локальной сетью, то есть установке соединения и обеспечению работоспособности.

Мастер создания нового подключения

Первым шагом при подготовке Windows XP Professional-клиента к работе в локальной сети является инсталляция сетевой карты и соединение с сетью. Если у вас есть интернет-соединение, то убедитесь в том, что оно работает, и включите все принтеры. Это позволит мастеру увидеть их. Для запуска мастера проделайте следующие шаги.

1. Выберите Start\All Programs\Accessories\Communications\Network Setup Wizard (Пуск\Все программы\Стандартные\Связь\Мастер новых подключений) или выберите Start\Control Panel\Network and Internet Connections (Пуск\Панель управления\Сетевые подключения). Щелкните на Set up or change a home or small office network (Установить домашнюю сеть или сеть малого офиса).
2. Щелкните на Next (Далее).
3. Мастер покажет на экране серию шагов, которые вы должны последовательно выполнить. Вы должны выполнить следующее.
   • Установить сетевые карты, модемы и кабели.
   • Включить все компьютеры, принтеры и наружные модемы.
   • Установить связь с интернетом.
4. Щелкните на Next (Далее) для перехода к следующему окну.
5. Появится вопрос о том, как будет устанавливаться связь с интернетом (если будет), то есть будет ли компьютер напрямую выходить в интернет или посредством локальной сети.
6. В следующем окне (см. рис. 5.1) введите описание и имя компьютера и щелкните на Next (Далее). Следующее окно запрашивает имя рабочей группы.
7. В заключение мастер спросит, хотите ли вы создать установочный диск Network Setup Disk, который можно запускать в системах Windows Me, 2000, 9X и NT. Если вы ответите утвердительно, то вам потребуется чистая дискета. Если вы устанавливаете новую сеть, в которой работают различные версии операционной системы Windows, то следует иметь такой диск.

Итак, что же делает мастер? Он устанавливает следующее:

• клиента Microsoft Network;
• набор протоколов TCP/IP;
• службу Printer Sharing.

Все эти сервисы и протоколы можно установить вручную, но почему бы мастеру не сделать это за вас?

Примечание. Если вы собираетесь использовать ICS, то можете сэкономить время, доверив инсталляцию ICS мастеру при настройке сети. Мы поговорим об ICS подробнее в другом разделе этой лекции.

Использование установочного диска

Если вы решились создать дискету для настройки сетевых конфигураций для работы с другими версиями Windows, то процесс инсталляции не будет представлять особых сложностей. После того как дискета создана, вы помещаете ее в дисководы своих компьютеров. Надо выбрать Start\Run (Пуск\Выполнить), ввести a:\setup (где a - это обозначение дисковода) и нажать на ОК. Мастер выполняет инсталляцию в Windows-клиентах и может потребовать перезагрузки.

Можно пользоваться не дискетой для инсталляции компьютера-клиента, а компакт-диском Windows XP Professional. Проделайте следующие шаги.

Вставьте компакт-диск Windows XP Professional в клиентский CD- или DVD-дисковод. Запуск компакт-диска происходит автоматически. Если это произошло, то переходите к пункту 5, если нет - выполните пункт 2.

1. Выберите Start\Run (Пуск\Выполнить).
2. Введите d:setup (где d - обозначение CD- или DVD-дисковода). Нажмите на ОК.
3. Выберите Perform additional tasks (Выполнение иных задач).
4. Выберите Set up a home or small office network (Установить домашнюю сеть или сеть малого офиса).
5. Мастер установки сети представит ряд инструкций, которым надо следовать.

Наглядное отображение сети

После того, как мастер установки сети выполнит все задания, в правой части меню Start (Пуск) появится значок My Network Places (Мое сетевое окружение). Такой же значок появится в диалоговом окне приложения Open (Открыть) для облегчения доступа к папкам общего пользования.

Если значок не появился в меню Start (Пуск), то, скорее всего, Windows XP Professional не распознает вашу сетевую карту. Используйте Диспетчер устройств для проверки правильности работы сетевой карты. (О Диспетчере устройств рассказывается в лекции 4.)

Двойной щелчок на значке My Network Places (Мое сетевое окружение) выводит на экран список папок общего доступа в локальной сети. (В лекции 11 об этом рассказывается подробнее.) На рис. 5.2 показан пример такой папки.

Отображение соединений локальной сети

Система Windows XP Professional предлагает прекрасный способ отображения различных соединений, которые использует компьютер. Открыв окно Network Connections (Сетевые подключения), вы сможете увидеть различные локальные соединения (беспроводные и кабельные) и интернет-соединения (использующий наборный доступ или широкополосный канал).

Окно Network Connections (Сетевые подключения) можно открыть двумя способами.

1. Щелкните на Start (Пуск), правой кнопкой мыши щелкните на My Network Places (Сетевое окружение) и выберите Properties (Свойства).
2. Если пункт Connect To (Подключить к) имеется в меню Start (Пуск), то выберите Start\Connect To\Show All Connections (Пуск\Подключить к\Отобразить все подключения).

На рис. 5.3 показано окно Network Connections (Сетевые подключения).

Конфигурирование вручную

Организация локальных сетевых соединений с помощью мастера установки сети (Network Setup Wizard) достаточно проста, так как проводится автоматически. Однако иногда вам может потребоваться более сложная задача, чем простой запуск мастера для настройки соединения. Некоторые соединения требуют инсталляции или удаления таких компонентов сети как клиентские компьютеры, протоколы или сервисы.

У каждого сетевого соединения, входящего в список в окне Network Connections (Сетевые подключения), имеются определенные свойства, которые можно изучать, конфигурировать или настраивать с помощью щелчка правой кнопкой мыши на соединении и выбора Properties (Свойства). На рис. 5.4 приведен пример свойств сетевого соединения.

Как показано на рис. 5.4, в списке наряду с клиентами, протоколами и сервисами представлена сетевая карта соединения.

В обычной локальной сети с протоколом TCP/IP должны присутствовать следующие компоненты.

• Client for Microsoft Network (Клиент для сетей Microsoft). Клиентская программа, которая позволяет компьютеру обмениваться данными с другими Microsoft-компьютерами.
• File And Printer Sharing For Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft). Сервис, который делает возможным совместное использование файлов и принтеров компьютерами Microsoft.
• QoS Packet Scheduler (Планировщик пакетов QoS). Сервис, который устанавливает порядок пересылки пакетов, основанный на стандартах качества службы (Quality of Service, QoS).
• Internet Ptotocol (TCP/IP). Набор протоколов TCP/IP.

Перед установкой, конфигурацией или удалением любого клиента, сервиса или протокола вы должны сначала установить и создать конфигурацию адаптера. Адаптером называется драйвер устройства, используемый Windows XP Professional для связи с сетевой картой. При инсталляции сетевой карты механизм "plug and play" должен обнаружить ее. Если карта не является "plug and play"-совместимой, то вам следует установить драйвер устройства вручную. Запустите мастер установки нового оборудования (Add New Hardware Wizard), чтобы начать инсталляцию драйвера.

Примечание. Разумеется, если вы мигрировали с другой версии Windows и у вас уже есть сетевой адаптер, то Windows XP Professional автоматически проведет обновление настройки сетевого соединения.

Установка клиентской программы

Далее следует инсталлировать клиентский компонент сетевого соединения. Он будет определять тип сетевого соединения. По умолчанию Windows XP Professional устанавливает программу Client For Microsoft Networks (Клиент для сетей Microsoft). Для просмотра клиентов, установленных в компьютере, изучите область ниже заголовка This connection uses the following items (Компоненты, используемые этим подключением), показанную на рис. 5.4.

Если надо установить другой тип клиента, то проделайте следующее.

1. Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Network Places (Сетевое окружение). Выберите Properties (Свойства). Затем щелкните правой кнопкой мыши на нужном подключении по локальной сети и выберите Properties (Свойства).
2. Щелкните на вкладке General (Общие).
3. Щелкните на кнопке Install (Установка).
4. Выберите Protocol (Протокол) и затем щелкните на Add (Добавить).
5. Выберите нужный протокол. Если вы инсталлируете протокол других разработчиков, вставьте диск и щелкните на кнопке Have Disk (Установить с диска). Нажмите ОК.
6. Вы можете получить подсказку о том, что надо вставить компакт-диск Windows XP Professional для записи дополнительных файлов.
7. Нажмите ОК для завершения установки протокола.

Привязка

После установки протокола Windows XP Professional автоматически распространяет этот протокол на все сервисы и клиентские программы, инсталлированные на компьютере. Привязка - это способ заставить Windows XP Professional использовать определенный протокол при обращении к определенному клиенту или сервису. Если вы не хотите использовать специальный протокол с каким-либо клиентом или сервисом, то можете отключить его.

Однако, несмотря на все прелести автоматического конфигурирования, можно не использовать новый протокол с каждым сервисом и клиентской программой, а привязывать определенные протоколы к определенным клиентам и сервисам.

1. Выберите Start\Control Panel (Пуск\Панель управления), затем щелкните на Network and Internet Connections (Сеть и подключения к интернету).
2. Щелкните на Network Connections (Сетевые подключения).
3. В меню выберите Advanced\Advanced Settings (Дополнительно\Дополнительные параметры)(см. рис. 5.5).
   
   
   Рис. 5.5.  Привязка протоколов к клиентам и сервисам

4. Щелкните на вкладке Adapters and Bindings (Адаптеры и привязки).
5. В окне Connections (Подключения) выберите Local Area Connection (Подключения по локальной сети).
6. В окне Bindings for Local Area Connection (Привязка для подключений по локальной сети) перечислены все клиентские программы и сервисы этого соединения. Установленные протоколы перечислены под каждым клиентом или сервисом.
7. В окошках рядом с каждым протоколам поставьте или уберите отметку, в зависимости от того, нужно ли привязывать этот протокол к клиенту или сервису.
8. Можно изменить порядок применения протоколов (поставив наиболее часто используемые протоколы в начало списка, а редко используемые - в конец), выбирая их по одному и перемещая их с помощью стрелок вверх и вниз, расположенных в правой части диалогового окна. Установка очередности использования протоколов удобна, если вы планируете использовать один протокол гораздо чаще другого в конкретном соединении.
9. По окончании работы нажмите ОК.

Установка сервисных программ

Последним компонентом сети, который вы добавите, будет сервисная программа. Сервисными программами или сервисами называются механизмы, позволяющие компьютеру предоставлять свои ресурсы для использования в сети. В отличие от протоколов и клиентских программ сервисы являются дополнительными (необязательными) компонентами, то есть вам не нужен сервис, чтобы создать соединение. Однако без сервисов совместное использование принтеров, файлов и т. п. становится невозможным.

Для инсталляции сервиса проделайте следующие шаги.

1. Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Network Places (Сетевое окружение). Выберите Properties (Свойства), правой кнопкой мыши щелкните на LAN и выберите Properties (Свойства).
2. Щелкните на вкладке General (Общие).
3. Щелкните на кнопке Install (Установить).
4. Щелкните на Service (Сервисы) и затем нажмите Add (Добавить).
5. Выберите сервисную программу для инсталляции и щелкните на Add (см. рис. 5.6).
   
   
   Рис. 5.6.  Инсталляция сервисной программы

6. Выберите сервис, который нужно инсталлировать (если ваша сервисная программа разработана посторонним производителем и находится на дискете или компакт-диске, то вставьте дискету и щелкните на кнопке Have Disk [Установить с диска]).
7. Нажмите на ОК. Вы можете получить подсказку снова вставить в дисковод компакт-диск Windows XP Professional.
8. Нажмите ОК для завершения инсталляции.

Использование общего доступа к подключению к интернету (Internet Connection Sharing)

Само собой разумеется, что компьютеры-клиенты должны иметь возможность выхода в интернет. В больших организациях нет проблем создания онлайновой связи пользователей. Однако маленькие организации или домашние офисы (так называемые SOHO) могут сталкиваться с проблемами при установке интернет-связи для своих пользователей.

Трудность заключается в том, что в SOHO имеется одно интернет-соединение. Здесь нет острой нужды в покупке крупной линии связи типа Т1 для подсоединения нескольких десятков устройств. Следовательно, доступ в интернет имеет только один компьютер. Представьте себе маленький офис с пятью компьютерами-клиентами. Если в интернет одновременно пожелают выйти два пользователя, то, скорее всего, возникнут конфликты. Если один из пользователей скачивает большой файл из интернета, то этот файл после загрузки должен быть направлен в соответствующий клиентский компьютер. Более того, подумайте о вопросах безопасности частной переписки, когда для всех электронных писем используется один компьютер.

Для того чтобы обойти эту проблему, компания Microsoft ввела систему общего доступа к подключению к интернету (Internet Connection Sharing, ICS), работающую под Windows 98 и хорошо настраиваемую для работы в системе Windows XP Professional.

Параметры ICS

ICS является сетевой программой трансляции адреса (Network Address Translation), которая позволяет компьютеру-клиенту с интернет-доступом предоставлять этот доступ другим клиентам локальной сети (рис. 5.7).

Компьютер с интернет-доступом называется ICS-сервером. Остальные компьютеры являются ICS-клиентами. ICS-клиенты могут работать в операционных системах Windows XP Professional, Windows XP Home, Windows 2000 или Me или даже в Mac OS, если они поддерживают протокол TCP/IP.

ICS использует IP-адреса, принадлежащие блоку 192 (точнее, 192.168.0.ххх). ICS включает в себя DHCP-сервер на ICS-сервере, который назначает IP-адреса ICS-клиентам. На рис. 5.7 вы видите, что DHCP-сервер присваивает адрес 192.168.0.1 себе, а затем последовательно выдает IP-адреса другим клиентам (192.168.0.2, 192.168.0.3 и т.д.).

Однако, как вы помните из нашего обсуждения TCP/IP в лекции 3, ICS-сервер имеет два IP-адреса - тот, который выдан интернет-провайдером (в данном случае 209.98.145.144), и другой, соответствующий локальной сети (192.168.0.1).

Примечание. ICS позволяет подключать к одному соединению до 254 устройств с IP-адресами в диапазоне от 192.168.0.1 до 192.168.0.254.

ICS состоит из трех компонентов.

• DHCP Allocator (DHCP-распределитель). Отвечает за выдачу IP-адресов ICS-клиентам.
• NAT. В пакетах заменяет IP-адреса ICS-клиентов на IP-адреса, выданные интернет-провайдером.
• DNS Proxy (DNS-прокси). Предоставляет сервисы трансляции между IP-адресами и именами хостов посредством DNS-сервера интернет-провайдера.

Установка ICS

Теперь, когда вы в целом разобрались в принципах работы ICS, давайте пройдем через процессы установки и конфигурирования. Как и большинство Windows XP Professional инструментов, этот инструмент тоже использует мастер для облегчения процесса установки. Тем не менее, если в ваших обстоятельствах создание конфигурации вручную является более предпочтительным, мы рассмотрим и этот вариант.

Конфигурация ICS-сервера

Самым лучшим при установке ICS будет воспользоваться мастером установки сети (Network Setup Wizard) в системе Windows XP Professional. При запуске мастера на ICS-сервере он создаст установочный диск (дискету), которым вы сможете пользоваться для конфигурирования Windows Me, 9X, 2000 и NT клиентов своей локальной сети.

Для запуска мастера установки сети на компьютере, который будет ICS-сервером (помните, что это тот компьютер, который имеет интернет-соединение), выберите Start\All Programs\Accessories\ Communications\Network Setup Wizard (Пуск\Программы\Стандартные\Связь\Мастер установки сети).

При работе мастер (вам надо будет пройти через несколько диалоговых окон) попросит сделать несколько выборов, показанных в таблице 5.1.

Соединение других устройств с данным устройством

Как было отмечено в предыдущем разделе, настройку связи с другими клиентами можно легко выполнить либо с помощью установочной дискеты, созданной мастером установки сети (в системах Windows 9X, Me, 2000, NT или XP), либо запустив мастер установки сети на клиентском компьютере (только в системе Windows XP Professional).

Примечание. Вы можете передавать по сети файлы установочного диска для осуществления бездисковой инсталляции.

В процессе конфигурации протокол TCP/IP инсталлируется как сетевой протокол (если в этом качестве он еще не установлен), и компьютеру дается команда получить свой IP-адрес на DHCP-сервере - в данном случае на ICS-сервере.

При конфигурировании ICS-клиента с помощью дискеты просто вставьте ее в дисковод и выполните следующие действия.

1. Выберите Start\Run (Пуск\Выполнить).
2. Введите a:setup.
3. Щелкните на Open (Открыть).

Для конфигурирования клиентов (если они работают в системе Windows XP Professional) выберите Start\ All Programs\Accessories\ Communications\Network Setup Wizard (Пуск\Программы\Стандартные\Связь\Мастер установки сети).

Затем нужно выполнить установки, показанные в таблице 5.2. Сейчас самое время протестировать ICS и убедиться, что все настройки сделаны правильно.

Создание конфигурации ICS вручную

Хотя мастер установки сети предлагает достаточно простой способ настройки ICS, все это можно сделать еще быстрее. При конфигурировании вручную подразумевается, что сетевые и интернет-соединения уже находятся в рабочем состоянии.

На ICS-сервере выполните следующие действия.

1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Network and Internet Connections (Сеть и подключения к интернету), затем выберите Network Connections (Сетевые подключения).
2. Щелкните на том интернет-соединении, которое вы будете использовать.
3. В окне Network Tasks (Сетевые задачи) щелкните на Change Settings Of This Connection (Изменение настроек подключения). Откроется окно свойств (см. рис. 5.9).
4. Выберите вкладку Advanced (Дополнительно). Вы увидите ряд настроек как для ICS, так и для ICF. Установите их в соответствии с таблицей 5.3.
5. Нажмите ОК.

При конфигурировании ICS-сервера вручную не забудьте проделать следующее.

1. Убедитесь в том, что интернет-соединение работает, т. е. если вы только что установили соединение, протестируйте его, походите по веб-сайтам, отправьте и получите почту.
2. Убедитесь в том, что интернет-соединение имеет конфигурацию соединения по умолчанию.
3. Убедитесь в том, что введено имя пользователя и пароль.
   
   
   Рис. 5.9.  Создание ICS-конфигурации вручную

   Таблица 5.3. Ручная настройка ICS

   Настройка	Описание
   Защитить компьютер и локальную сеть, ограничив или запретив доступ к компьютеру из сети	Кратко это выражается словами "Включить ICF". Этот флажок рекомендуется выбирать в целях обеспечения безопасности. Мы будем говорить о ICF позже в этой лекции.
   Позволить другим сетевым пользователям использовать интернет-соединение этого компьютера	Включите этот флажок, чтобы включить ICS. Для отключения ICS уберите галочку.
   Устанавливать dial-up-соединение при любой попытке компьютера сети получить доступ в интернет	Это освобождает пользователей от проблем, которые могут возникнуть у них при попытке войти в интернет при отключенном от интернета ICS-сервере. В зависимости от потребностей в доступе к интернету вы можете отключить или включить эту опцию.
   Позволять другим пользователям локальной сети контролировать или отключать интернет-соединение общего пользования.	ICS-клиенты могут иметь небольшую степень контроля над интернет-соединением в виде возможности подключать или отключать ICS-сервер. Замечание: они могут инициировать соединение с ICS-сервером, только если включена предыдущая опция (включен предыдущий флажок)

4. Убедитесь в том, что конфигурация ICS-сервера позволяет ему автоматически устанавливать интернет-соединение, если один из клиентов пожелает выйти в интернет.

ICS-модель виртуальных частных сетей

Если вы хотите дополнить набор своих сетевых соединений, то попробуйте установить VPN через ICS, используя PPTP. Другими словами, создайте виртуальную частную сеть, работающую с протоколом туннелирования "точка-точка" (Point-to-Point Tunneling Protocol), позволяя удаленным пользователям безопасно обращаться к корпоративным сетям с помощью коммутируемого соединения, предоставляемого поставщиком интернет-услуг или с помощью прямого интернет-соединения через ICS.

Примечание. L2TP-соединения не могут быть созданы с использованием ICS.

Рассмотрим сеть, изображенную на рис. 5.10. По этому сценарию клиенту, находящемуся в сети SOHO, нужен VPN-канал связи со штаб-квартирой корпорации. Возможно, ему требуется послать какую-то секретную информацию финансового характера, требующую безопасной линии связи.

При создании соединения между ICS-клиентом и корпоративной сетью клиент видит только ресурсы, доступные ему в корпоративной сети, и он отрезан от интернета на весь период связи через VPN-соединение. Однако это не означает, что клиент не может вернуться в интернет. ICS-клиент может получить доступ к интернету через интернет-соединение корпоративной сети.

При установке такого соединения важно не создать VPN-туннель от ICS-сервера. Использование ICS-сервера будет по умолчанию приводить к пересылке всего трафика с ICS-сервера по VPN-туннелю в корпоративную сеть. Это сделает интернет-ресурсы недоступными для ICS-клиентов (так как их соединение будет видеть только корпоративную сеть и только ею распознаваться).

Примечание. В лекции 14 содержится более подробная информация о VPN в Windows XP Professional.

Решение проблем, связанных с ICS

Если у вас возникли затруднения, связанные с ICS, то обратите внимание на следующее.

1. Дайте ICS-серверу некоторое время для входа в интернет, особенно при использовании dial-up-соединения. ICS-клиент должен подождать, пока ICS-сервер подключается к интернету.
2. В Windows XP Professional есть специальная программа Internet Connection Sharing Troubleshooter (Устранение неполадок ICS). Установите эту программу на ICS-сервере и хотя бы на одном ICS-клиенте. Вы можете запустить ICS Troubleshooter, выполнив следующие действия.
   • Выберите Start\Help And Support (Пуск\Справка и поддержка).
   • В окне Help And Support Center (Центр справки и поддержки) выберите пункт Fixing A Problem (Поиск неполадок).
   • Щелкните на Networking Problems (Неисправности в сети)
   • Щелкните на Internet Connection Sharing Troubleshooter.
3. Если вы перезагрузили свой ICS-сервер, то перезагрузите и ICS-клиентов.
4. Убедитесь в том, что ICS-сервер действительно может устанавливать интернет-соединение. Если это не так, то нужно еще раз проверить это соединение.

Проще всего пользоваться инструментом Internet Connection Sharing Troubleshooter. Он поможет решить проблемы, связанные с ICS, последовательно проведя вас по всем пунктам. Хотя кое-что может показаться элементарным (проверить, включен ли ICS-клиент), иногда именно в этих простых вещах кроется причина неполадок.

ICS в рабочей группе

Многие организации обеспечивают безопасность своих сетей с помощью защитного экрана (firewall), установленного между локальной сетью и интернетом. Обычно такие устройства располагаются в одном помещении с сервером, где они отфильтровывают все нежелательные проникновения, атаки и тому подобную информацию. В Windows XP Professional есть своя система защиты. Не такая выносливая, как автономное устройство, программа брандмауэр подключения к интернету (Internet Connection Firewall, ICF) является инструментом, ограничивающим информацию, которой обменивается ваше устройство и интернет.

Особенно эффективен ICF при работе с ICS. Используя ICF на своем ICS-сервере, вы защищаете ICS-клиентов от нападения. Несмотря на то что ICF, в основном, применяется в ICS-сетях, эта защита весьма эффективна и для отдельных компьютеров, соединенных с интернетом.

Обзор ICF

ICF является системой защиты, отслеживающей все аспекты работы линии связи и проверяющей все исходные и конечные адреса информационных пакетов. Для предотвращения попадания нежелательного трафика в вашу сеть из интернета ICF содержит список всех соединений исходного компьютера. Входящий трафик сравнивается с данными этой таблицы. При несовпадении данных входящие пакеты блокируются. Это препятствует таким атакам хакеров, как сканирование портов. ICF не надоедает пользователю сообщениями о каждом нежелательном действии, вместо этого записи о работе ICF ведутся в специальном журнале безопасности.

Примечание. Общий доступ к подключению к интернету и брандмауэр подключения к интернету отсутствуют в системе Windows XP 64-Bit Edition.

Однако не весь непредусмотренный трафик обязательно является вредным. Поэтому ICF можно сконфигурировать таким образом, чтобы пропускать сообщения и направлять их в соответствующее устройство. Например, при наличии веб-сервера ICF может отправлять информационные пакеты на этот сервер.

Использование ICF

ICF не следует включать там, где нет интернет-соединения. Например, если ICF работает на ICS-клиенте (а не на ICS-сервере), то связь между этим компьютером и остальными компьютерами сети будет нарушена. Именно поэтому мастер установки сети не включает ICF в частных соединениях между ICS-сервером и ICS-клиентами. В противном случае эти соединения оказались бы заблокированными.

Примечание. Если у вас уже имеется брандмауэр или прокси-сервер, то в ICF нет необходимости.

Посмотрите на сеть, изображенную на рис. 5.11. В этой конфигурации есть два места, где следует применить ICF. Во-первых, в соединении между ICF-сервером и ISP. Во-вторых, один из ICS-клиентов имеет свое собственное интернет-соединение. Применив ICF в интернет-соединении (но не в частной линии между ICS-сервером и ICS-клиентом), можно отфильтровывать нежелательные пакеты. Без применения ICF в этих местах сеть станет уязвимой для атаки.

ICF-несовместимость

На первый взгляд ICF может показаться весьма полезным инструментом для предотвращения атак на сеть. И до некоторой степени так оно и есть. Однако в связи с тем, что ICF блокирует любой пакет, неожиданно приходящий в сеть, работа некоторых приложений типа электронной почты или онлайнового чата может стать проблематичной. Это случается потому, что программы электронной почты типа Outlook Express ожидают некоторое время, перед тем как запросить почтовый сервер. Это неплохо, так как ICF сделает запись в своей таблице о том, что почтовая программа отправила пакет на почтовый сервер. Когда данные возвращаются с почтового сервера, ICF уже имеет запись в таблице и пропускает обратное сообщение.

С другой стороны, Outlook Express устанавливает соединение с Microsoft Exchange Server. Используя удаленный вызов процедуры (RPC), сервер рассылает сообщения своим клиентам о поступлении новой почты. Так как в таблице ICF нет записи о том, что клиент инициировал контакт, то система заблокирует RPC-уведомление. Это не означает потерю почтовых данных. Они будут по-прежнему сохраняться на Exchange Server, однако клиенты должны будут проверять почту вручную.

Ведение журналов

Для просмотра списка пакетов, не пропущенных системой ICF, откройте журнал безопасности ICF. Для этого проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Internet Connections (Подключение к интернету) и выберите Network Connections (Сетевые подключения).
2. Щелкните на соединении, для которого включена система ICF.
3. В Network Tasks (Сетевые задачи) щелкните на опции Change settings for this connection (Изменение настроек выбранных подключений).
4. На вкладке Advanced (Дополнительно) щелкните на Settings (Настройка).
5. На вкладке Security Logging (Запись в журнал событий безопасности) в области Log file options (Параметры файла журнала) поля Name (Имя) выберите Browse (Обзор).
6. Найдите файл pfirewall.log. Щелкните на нем правой кнопкой мыши и выберите Open.

Ведение журналов можно настроить для записи как запрещенного, так и разрешенного трафика. Если опция Allow incoming request echo (Разрешить отклик на входящий запрос) протокола ICMP не включена, то входящий пакет будет заблокирован, и в журнале будет сделана запись.

Существует целый ряд опций ICMP (расположенных на вкладке ICMP диалогового окна Advanced Settings [Дополнительные параметры], которое вы открывали, проделывая шаги 1 - 4, чтобы найти журнал безопасности), которые можно использовать. Эти опции позволяют регулировать функциональность ICF и включают в себя следующее.

• Разрешить пересылку.
• Разрешить входящий запрос о временной метке.
• Разрешить входящий запрос маршрутизатора.

Вы можете управлять величиной журнала безопасности, чтобы он не переполнялся запросами, которым отказано в обслуживании. Также можно устанавливать те сервисы, которыми вы собираетесь пользоваться на своем Windows XP Professional-устройстве.

Конфигурация ICF

Включать и отключать ICF очень просто. Проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск/Панель управления) и щелкните дважды на Network Connections (Сетевые подключения).
2. Щелкните на том интернет-соединении, которое вы хотите защитить с помощью ICF.
3. В окне Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).

На вкладке Advanced (Дополнительно) можно включать ICF отметкой флажка Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мое подключение к интернету).

Беспроводные соединения

Количество аббревиатур в мире сетей и сетевых соединений растет с появлением каждой новой технологии или метода. Две наиболее часто встречающиеся аббревиатуры: WPAN (Wireless Personal Area Network) - беспроводная частная сеть, WLAN (Wireless Local Area Network) - беспроводная локальная сеть. Не путайте WPAN с WLAN. В то время как WLAN работает на 100-метровом расстоянии, WPAN охватывает не более 10 метров. Кроме того, в этих сетях используются разные технологии.

WPAN

WPAN отличается не только тем, что работает на близких расстояниях. В системе Windows XP Professional работа беспроводных персональных сетей основана на технологии IrDA (Infrared Data Association - ассоциация передачи данных в инфракрасном диапазоне). Эта технология позволяет пользователям, имеющим на своих компьютерах устройства, работающие в инфракрасном диапазоне, обмениваться данными, устанавливать dial-up-соединения и получать доступ в локальные сети.

IrDA

IrDA - это стандарт на передачу данных для компьютеров, принтеров и других периферийных устройств на короткие расстояния в инфракрасном диапазоне. Инфракрасные лучи распространяются не так хорошо, как видимый свет. Поэтому два устройства в сети WPAN не должны быть заслонены друг от друга какими-либо объектами (аналогично телевизионному пульту дистанционного управления).

Примечание. Инфракрасный свет имеет длину волн в диапазоне от 850 до 900 нанометров. Он не видим для глаза, так как его волны немного длиннее волн видимого света.

Как видно из таблицы 5.4, существует ряд аргументов как "за", так и "против" применения инфракрасного излучения.

IrDA имеет три режима работы, отличающихся скоростью передачи данных.

• Serial IR (SIR) - максимальная скорость передачи данных 115,2 Kб/с;
• Fast IR (FIR) - максимальная скорость передачи данных 4 Mб/с;
• Very Fast IR (VFIR) - максимальная скорость передачи данных 16 Mб/с.

Использование IrDA в Windows XP Professional

Windows XP Professional поддерживает IrDA в пяти различных пользовательских профилях.

• File Transfer (IrOBEX). Пересылка файлов между IrDA-устройствами упрощается.
• Printing (IrLPT). Позволяет отправлять данные для печати с IrDA-устройства на IrDA-принтер.
• Dial-up Networking (IrCOMM). Позволяет входить в интернет с помощью IrDA-оснащенного сотового телефона.
• Imaging (IrTran-P). Позволяет предавать файлы с цифровой IrDA-оснащенной видеокамеры на компьютер.
• LAN Access/Peer-to-Peer Networking (IrNET). Позволяет устанавливать LAN- и P2P-соединения на компьютерах, работающих с IrDA.

WLAN

На другом конце спектра находится стандарт 802.11х, который широко применяется для беспроводного обмена данными.

Не считая общего аспекта "крутизны" компьютерной беспроводной сети, есть несколько важных факторов, которые позволяют считать беспроводные сети весьма полезной и продуктивной технологией.

• Мобильность. С помощью WLAN пользователи могут в любой момент времени получить доступ к своей локальной сети практически отовсюду. Для такого соединения не нужны никакие провода.
• Дешевизна. Хотя первоначальные затраты на оборудование для WLAN превышают затраты на обычную локальную сеть, в целом при работе WLAN оказывается дешевле. Особенно заметны эти финансовые преимущества в динамичной обстановке при частых перемещениях.
• Гибкая схема. WLAN можно легко конфигурировать для работы сетей различной топологии в соответствии с требованиями конкретных приложений. Конфигурации являются очень гибкими, легко поддаются изменениям и варьируются от простых равноправных сетей, идеально подходящих для малого числа пользователей, до развернутых сетей с полной инфраструктурой с тысячами пользователей и охватом больших площадей.
• Высокая скорость передачи данных. Скорости передачи в сетях WLAN сравнимы со скоростями в проводных сетях. Пользователи могут получать доступ к информации на скорости 11 Mб/с, то есть на уровне скорости в обычных сетях с электрическим кабелем. Хотя здесь еще далеко до скоростей в 100 Mб/с и 1 Гб/с, возможных в кабельных сетях, беспроводные сети имеют вполне достойную рабочую скорость.
• Способность к взаимодействию. Производители, выпускающие свои продукты с использованием стандарта 802.11, гарантируют их совместимость с другими видами оборудования или брендами внутри данной сети.
• Шифрование для обеспечения безопасности при работе в локальных сетях с высокой скоростью передачи данных. При внедрении беспроводного оборудования для обеспечения защиты (WEP) безопасность компьютерной сети гарантирована. WEP обслуживает точки доступа со скоростью в 11 Mб/с, PC-карты и PCI-адаптеры.
• Быстрота и простота при установке. До появления беспроводной технологии объединение компьютеров в локальную сеть требовало прокладки и подключения множества проводов. Задача еще более осложнялась тем, что провода должны были проходить сквозь стены или перекрытия между этажами. Беспроводная технология упрощает и ускоряет подготовительные работы.
• Гибкость. Так как физические барьеры не представляют для WLAN таких препятствий, как для обычных локальных сетей, беспроводные сети могут обеспечить доступ пользователям и рабочим станциям, для которых соединение с LAN просто невозможно.

Подобно беспроводным телефонам, WLAN используют электромагнитные радиоволны для обмена информацией между портативным компьютером и точкой доступа (на сервере) без использования физической среды для передачи сообщения. Это показано на рис. 5.12.

В беспроводных сетях устройством, которое физически соединяется с обычной сетью, является трансивер (приемопередатчик) или точка доступа. Точка доступа получает, размещает в буфере и передает данные WLAN в обычную сеть и обратно. Как показано на рис. 5.13, точка доступа представляет беспроводной концентратор, который обслуживает сотни клиентов. В зависимости от диапазона работы точки доступа, клиенты могут располагаться в радиусе от нескольких метров до полутора километров от нее. Лучше если антенна точки доступа расположена высоко над полом. Однако ее можно размещать в любом достаточно свободном месте.

Для соединения с точкой доступа компьютеры-клиенты используют WLAN-адаптеры, которые являются небольшими PC-картами для ноутбуков и карманных компьютеров и картами для настольных компьютеров. Этими картами могут быть укомплектованы и переносные компьютеры. Карты имеют встроенные антенны и трансиверы.

Давайте рассмотрим два основных способа построения беспроводной сети в системе Windows XP Professional.

Одноранговая сеть

Самая простая беспроводная сеть состоит из двух компьютеров, оснащенных беспроводными сетевыми картами. Как видно из рисунка 5.14, здесь не нужна точка доступа, и всякий раз, когда эти два компьютера находятся в радиусе взаимодействия друг с другом, они образуют свою собственную независимую сеть. Такая сеть называется одноранговой (peer-to-peer) сетью. Такие сети с быстрой реакцией устанавливаются и настраиваются особенно легко. Им не нужны администрирование и предварительная настройка конфигурации. В данном случае каждый компьютер получает доступ только к ресурсам другого компьютера, а не центрального сервера или интернета. Сети такого вида идеально подходят для дома, небольшого бизнеса или для разовых нужд.

Внутренние сети

Как и в обычных компьютерных сетях, оборудование внутренних (внутри здания) беспроводных сетей состоит из PC-карты, PCI- и ISA-клиентских адаптеров и точек доступа.

Как и обычная локальная сеть небольшого размера, WLAN может быть составлена из пары компьютеров, обменивающихся информацией, или в ней может использоваться топология, изменяемая по ходу дела, в которой применяются только сетевые карты клиентов. Для расширения беспроводной локальной сети (см. рис. 5.15) или для повышения ее функциональности используются точки доступа, которые могут выполнять роль моста к сети Ethernet.

Применение WLAN-технологии к настольным системам дает организации такую гибкость в работе, которая просто невозможна в обычных локальных сетях. Устройства-клиенты могут быть размещены там, куда нельзя проложить кабель. Более того, клиентов можно переставлять в любой момент времени по мере необходимости. Все это делает беспроводные сети идеальным вариантом для временных рабочих групп или для быстро растущих организаций.

Механизм работы

Архитектура локальной сети, работающей по протоколу 802.11, очень похожа на сеть сотовой телефонной связи. Используя аналогичный дизайн, беспроводная компьютерная сеть может сохранить все преимущества сотовой связи и предоставить при этом более высокие скорости передачи данных.

• Ячейки и наборы. 802.11 LAN делится на ячейки, а каждая ячейка называется базовым сервисным набором (basic service set, BSS). Каждый BSS контролируется точкой доступа. Но так как одна точка доступа может не справляться со всеми нуждами беспроводной сети, то к базовой сети подключается несколько точек доступа. Конфигурация с несколькими точками доступа называется распределенной системой. Неважно, какого размера эта сеть, с каким количеством узлов устанавливается соединение - для вышележащих уровней стандартной модели OSI группа беспроводных устройств выглядит как одна IEEE 802.11-сеть. В свою очередь, протокол 802.11 рассматривает верхние уровни OSI как расширенный сервисный набор.
  
  
  Рис. 5.15.  Использование нескольких точек входа расширяет возможности доступа к WLAN

• Физический уровень. Протокол 802.11 охватывает физический контроль и контроль несущей среды. Но вместо одного типа носителя протокол 802.11 поддерживает целых три типа, а именно: расширение спектра сигнала в прямой последовательности, с переменной частотой и в инфракрасном диапазоне частот. Один MAC-уровень поддерживает все три физических уровня. К тому же, MAC-уровень предоставляет связь с протоколами верхних уровней. Эти функции включают в себя фрагментацию, повторную передачу пакетов и распознавание.

Осуществляя сетевое взаимодействие на основе сотовой архитектуры, беспроводные устройства могут соединяться, отсоединяться и переходить от ячейки к ячейке аналогично сотовым телефонам.

Установка беспроводных соединений

Настроить сети WLAN или WPAN в операционной системе Windows XP Professional очень легко. Компания Microsoft включила в эту систему ряд инструментов, облегчающих не только процесс установки, но и повседневную работу в беспроводной сети.

Роуминг

Одним из главных усовершенствований новой версии Windows в области беспроводной сетевой связи является улучшение возможностей роуминга. По аналогии с технологией сотовой телефонной связи в беспроводных локальных компьютерных сетях (WLAN) используются параметры роуминга. Это позволяет устройствам отслеживать вход (и выход) в область обслуживания точки доступа. Улучшение роуминга в системе Windows XP Professional заключается в том, что система определяет переход устройства к новой точке доступа и требует повторной аутентификации для гарантии правильности уровней сетевого доступа. Это называется технологией распознавания сетевой среды (media sense). Возможность определять изменения распространяется и на IP-подсеть, что позволяет выдавать идеальные IP-адреса, гарантирующие наилучшее пользование ресурсами.

В Windows XP Professional учитывается множественное конфигурирование IP-адреса, а также автоматическое присвоение оптимального адреса. При необходимости изменения IP-адреса Windows XP Professional позволяет провести повторную конфигурацию.

Когда устройство переходит из области действия одной точки доступа к другой точке доступа, информация об устройстве перемещается вместе с ним (например, информация о месте расположения устройства для корректной доставки сообщений). Поставщиками беспроводной связи совместно разработан протокол для облегчения такой передачи данных - Interaccess Point Protocol, IAPP. Он еще не стал стандартом, но его появление - хороший признак того, что производители готовы отбросить в сторону соблюдение формальностей для блага конечного потребителя.

Нулевая конфигурация клиента

Замечательным качеством сетевого взаимодействия в системе Windows XP Professional является возможность переходить от одной беспроводной локальной сети к другой, не конфигурируя заново свое устройство или соединение. Например, если у вас имеется одна WLAN в офисе, а другая - дома, то Windows XP Professional-устройство может использовать одну и ту же конфигурацию. Она называется нулевой конфигурацией (zero configuration). Нулевая конфигурация использует Windows XP Professional-пользовательский интерфейс при попытках установить связь между беспроводными устройствами.

Конфигурация

Так как система Windows XP Professional поддерживает стандарт 802.11, то работа в беспроводных сетях требует минимума изменений в конфигурации. Если на вашем устройстве доступна автоматическая настройка конфигураций, то вы можете свободно переходить из одной беспроводной локальной сети в другую без повторного конфигурирования своего Windows XP Professional-клиента.

При переходе из одной WLAN в другую система Windows XP Professional просматривает новую сеть и автоматически настраивает конфигурацию карты вашего сетевого адаптера для работы в новом окружении. Если вы оказались в такой области, где доступны несколько WLAN, то можете создать список предпочтительных WLAN и установить очередность подключения к ним.

Автоматическая настройка беспроводной сети

Процесс настройки автоматического конфигурирования беспроводной сети весьма прост. Проделайте следующие шаги.

1. Выберите Start\Connect To\Show All Connections (Пуск\Подключить к\ Отобразить все подключения).
2. Щелкните правой кнопкой мыши на соединении, которое вы хотите установить с помощью своего беспроводного сетевого адаптера, и выберите Properties (Свойства).
3. На вкладке Wireless Networking (Беспроводное подключение) (см. рис. 5.16) проделайте одно из следующих действий:
   • выберите опцию Use Windows to configure my wireless network settings (Использовать Windows для конфигурирования настроек беспроводной сети) для автоматического создания беспроводной сетевой конфигурации;
   • отключите опцию Use Windows to configure my wireless network settings для отключения автоматического создания беспроводной сетевой конфигурации.
   
   
   Рис. 5.16.  Свойства беспроводного соединения

4. Список доступных WLAN обнаружен и появляется в области Available Networks (Доступные сети). Вы можете изменять этот список и его настройки с помощью следующих действий:
   • для добавления доступной WLAN в области Available networks (Доступные сети) выберите сеть, которую вы хотите добавить, и щелкните на Configure (Настройка);
   • для добавления новой беспроводной сети в список Preferred networks (Предпочитаемые сети) в области Preferred networks щелкните на Add (Добавить). В поле Wireless Network properties (Свойства беспроводного подключения) введите имя сети (SSID), ключ беспроводной сети и предназначена ли сеть для работы в специальном режиме;
   • для изменения порядкового номера WLAN в списке Preferred networks (Предпочитаемые сети) щелкните на WLAN, которую вы хотите перенести, и затем щелкните на Move up (Вверх) или Move down (Вниз).
   • для удаления WLAN из списка щелкните на ней и затем нажмите Remove (Удалить).
5. Теперь вы можете установить тип беспроводной сети, к которой будете подключаться, щелкнув на кнопке Advanced (Дополнительно) и выбрав сеть, с которой вы хотите работать. Затем сообщите Windows XP Professional, будет ли это соединение работать в специальном или инфраструктурном режиме.

Примечание. Сети, работающие в специальном режиме - это сети, созданные двумя устройствами для временной работы. Например, два сотрудника обмениваются данными на конференции. Инфраструктурными называются те беспроводные локальные сети, беспроводные устройства которых получают доступ к локальной сети организации посредством точки доступа.

Аутентификация

Вполне естественно, если у вас есть одна или несколько беспроводных локальных сетей, то процесс установки связи компьютеров с этими сетями очень прост. Однако и тот, кто не должен иметь доступа к вашим сетям, может, сидя на близлежащей парковке, с такой же простотой начать просматривать ваши файлы. Поэтому следует убедиться в том, что сети настроены для аутентификации в соответствии с протоколом 802.1х.

Не путайте аутентификацию с WEP-ключом. Аутентификация является средством подтверждения идентичности компьютера. WEP-ключ предоставляет ключ кодировки для установленного соединения. Другими словами, пройдя процедуру аутентификации, компьютер использует WEP-ключ, чтобы посторонний ничего не выведал и не прочитал данные, ему не предназначенные.

Следующие шаги показывают, что надо сделать для работы аутентификации 802.1х.

1. Выберите Start\Connect To\Show All Connections (Пуск\Подключить к\ Отобразить все подключения).
2. Щелкните правой кнопкой мыши на сетевом соединении, для которого нужно включить или отключить 802.1х аутентификацию.
3. На вкладке Authentication (Аутентификация) можно включить 802.1х-аутентификацию, отметив флажок Network access control using IEEE 802.1x (Управление сетевым доступом с помощью IEEE 802.1x). Для отмены аутентификации снимите флажок (см. рис. 5.17).
4. В поле EAP type выберите тип протокола Extensible Authentication Protocol (Протокол расширенной проверки подлинности), который будет использоваться этим соединением.
5. Если вы выбрали смарт-карту или другой сертификат в секции EAP type, то можете сконфигурировать дополнительные настройки. Для этого щелкните на Properties (Свойства) и выполните следующие действия.
   • Выберите опцию Use my smart card, чтобы использовать сертификат смарт-карты для аутентификации.
   • Выберите опцию Use a certificate on this computer, чтобы использовать сертификат, хранящийся на вашем компьютере. Можно проверить достоверность сертификата, включив флажок Validate server certificate (Проверка сертификата сервера). Также нужно установить, следует ли осуществлять подключение только в случае подлинности сертификата в определенном домене, а затем указать достоверные доказательства полномочий сертификата безопасности.
   • Выберите опцию Authenticate as guest when user or computer information is unavailable для попытки зарегистрироваться в качестве гостя, если информация о пользователе или компьютере недоступна.
   
   
   Рис. 5.17.  Свойства протокола аутентификации 802.1х

6. Чтобы сообщить Windows XP Professional, предпринимать ли попытку авторизации в сети пользователя, который либо не зарегистрирован, либо информация о нем недоступна, включите флажок Authenticate as computer when computer information is available (Проверять подлинность как у компьютера при отсутствии сведений о компьютере) или флажок Authenticate as guest when user or computer information is unavailable (Проверять подлинность как у гостя при отсутствии сведений о компьютере или пользователе).

Подключение

Наконец вы добрались до подключения своего беспроводного устройства к беспроводной локальной сети WLAN. К счастью, в системе Windows XP Professional это делается легко. Просто выполните следующие действия.

1. Выберите Start\Connect To\ имя беспроводного соединения.
2. Щелкните правой кнопкой мыши на значке сетевого соединения и затем щелкните на View Available Wireless Networks (Просмотр доступных беспроводных сетей).
3. В области Connect to Wireless Network (Подключение к беспроводной сети) щелкните на беспроводной сети, с которой вы хотите установить соединение. (Это показано на рис. 5.18)
   
   
   Рис. 5.18.  Соединение беспроводного устройства с WLAN

4. Если вам требуется WEP-ключ, то выполните одно из следующих действий:
   • если WEP-ключ хранится в беспроводной сетевой карте компьютера, то оставьте поле Network Key (Ключ сети) пустым.
   • Если WEP-ключ не вводится автоматически, то впишите его.
5. Щелкните на Connect (Подключение).

Настройка клиентов для работы в рабочих группах в системе Windows XP Professional значительно упрощена по сравнению с предыдущими версиями Windows. Частично за это следует поблагодарить целый ряд программ-мастеров, которые используются в этом процессе. Рабочие группы под управлением Windows XP Professional также могут пользоваться преимуществами беспроводного взаимодействия, являясь либо частью WLAN, либо WPAN. Наконец, даже самые маленькие рабочие группы могут испытать на себе удобства повышенной функциональности рабочих групп в системе Windows XP Professional, используя одно общее соединение для доступа в интернет и применяя встроенную систему защиты (firewall) от проникновения злоумышленников.