Електронний посібник

Лекція № 7

Тема: З’єднання між локальними та глобальними мережами

Мета: ознайомитися з

План

1 Маршрутизовані підключення

2 Підключення з перетворенням мережевих адрес

3 Проксі-сервер

4 Види проксі-серверів

5 Технічні подробиці

6 Найбільш поширені проксі-сервери

Лекційний матеріал

Для підключення невеликої офісної або домашньої мережі до Інтернету можна використовувати три способи.


Маршрутизовані підключення

При маршрутизовуваному підключенні сервер із запущеною службою «Маршрутизація та віддалений доступ» виконує функції IP-маршрутизатора, що перенаправляє пакети між вузлами локальної мережі та вузлами Інтернету. Будучи концептуально простим, маршрутизуються підключення в той же час вимагає знання конфігурації IP-адрес, маршрутизації вузлів локальної мережі і сервера з запущеною службою «Маршрутизація та віддалений доступ». Однак маршрутизуються підключення забезпечують проходження всього IP-трафіку між вузлами локальної мережі та вузлами Інтернету. Додаткові відомості див Підключення невеликих мереж до Інтернету.


Підключення з перетворенням мережевих адрес

При підключенні з перетворенням мережевих адрес сервер із запущеною службою «Маршрутизація та віддалений доступ» виконує функції перетворювача мережевих адрес (NAT) - IP-маршрутизатора, який перетворює адреси пакетів, перенаправляємо між вузлами локальної мережі та вузлами Інтернету. Це називається перетворенням мережевих адрес (NAT). Підключення з перетворенням мережевих адрес, що використовують сервер із запущеною службою «Маршрутизація та віддалений доступ», вимагають менших знань в області IP-адресації і маршрутизації, а також спрощують встановлення вузлів невеликих мереж. Однак підключення з перетворенням мережевих адрес можуть не забезпечувати проходження всього IP-трафіку між вузлами локальної мережі та вузлами Інтернету.

Підключення до Інтернету з перетворенням мережевих адрес можна налаштувати з використанням таких методів.

Використовуючи можливість «Загальний доступ до підключення до Інтернету» компоненту «Мережеві підключення». Загальний доступ до підключення до Інтернету (ICS) і мережевий міст не включені в операційні системи Windows Server 2003 Web Edition, Windows Server 2003 Datacenter Edition і початковий випуск версій Windows Server 2003 для систем з процесорами Itanium.

Використовуючи протокол маршрутизації перетворення мережевих адрес (NAT), який поставляється з оснащенням «Маршрутизація та віддалений доступ» на серверах з операційною системою Windows Server 2003 і службою «Маршрутизація та віддалений доступ».

Загальний доступ до підключення Інтернету і перетворення мережевих адрес забезпечують версій сайту невеликої локальної мережі перетворення та призначення адрес, а також надають їм служби дозволу імен.

Можливість загального доступу до підключення до Інтернету призначена для максимального полегшення налаштування (всього один прапорець) з метою надання всім комп'ютерам невеликої локальної мережі підключення до Інтернету з перетворенням мережевих адрес. Однак, будучи включеним, загальний доступ до підключення до Інтернету не дозволить більше виконувати настройки, що виходять за межі настроювання служб і портів невеликої локальної мережі. Наприклад, загальний доступ до підключення до Інтернету розрахований на використання однієї IP-адреси, одержуваного від постачальника послуг Інтернету, і не дозволить змінювати діапазон IP-адрес, виділений версій сайту невеликої локальної мережі. Додаткові відомості див Підключення до інтернету в домашній або малої мережі.

Компонент протоколу маршрутизації NAT призначений для забезпечення максимальної гнучкості у налаштуванні сервера із запущеною службою «Маршрутизація та віддалений доступ» на надання підключення до Інтернету з перетворенням мережевих адрес. Компонент протоколу маршрутизації NAT вимагає декількох етапів конфігурації, проте кожен етап можна налаштувати. Велика частина налаштування може бути виконана з використанням майстра настройки сервера маршрутизації та віддаленого доступу. Компонент протоколу маршрутизації NAT дозволяє використовувати діапазони IP-адрес, що виділяються постачальником послуг Інтернету, і настроювати діапазон IP-адрес, що призначаються версій сайту невеликої локальної мережі. Додаткові відомості див Введення в перетворення мережевих адрес.

У наступній таблиці зведені воєдино можливості і функції загального доступу до підключення до Інтернету і компонента протоколу маршрутизації NAT.


Загальний доступ до підключення до Інтернету


Перетворення мережних адрес


Проксі-сервер

Проксі-сервер (від англ. Proxy - «представник, уповноважений») - служба в комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі запити до інших мережних служб. Спочатку клієнт підключається до проксі-сервера і запитує який-небудь ресурс (наприклад, e-mail), розташований на іншому сервері. Потім проксі-сервер або підключається до вказаного серверу і отримує ресурс у нього, або повертає ресурс з власного кешу (у випадках, якщо проксі має свій кеш). У деяких випадках запит клієнта або відповідь сервера може бути змінений проксі-сервером в певних цілях. Також проксі-сервер дозволяє захищати клієнтський комп'ютер від деяких мережевих атак і допомагає зберігати анонімність клієнта.


Використання

Найчастіше проксі-сервери застосовуються для наступних цілей:


Види проксі-серверів

Прозорий проксі - схема зв'язку, при якій трафік, або його частина, перенаправляється на проксі-сервер неявно (засобами маршрутизатора). При цьому клієнт може використовувати всі переваги проксі-сервера без додаткових налаштувань, але з іншого боку, не має вибору.


Зворотний проксі - проксі-сервер, який на відміну від прямого, ретранслює запити клієнтів із зовнішньої мережі на один або декілька серверів, логічно розташованих у внутрішній мережі. Часто використовується для балансування мережного навантаження між декількома веб-серверами і підвищення їх безпеки, граючи при цьому роль міжмережевого екрану на прикладному рівні.


Технічні подробиці

Клієнтський комп'ютер має настройку (конкретної програми або операційної системи), відповідно до якої всі мережеві з'єднання по деякому протоколу здійснювати не на IP-адресу сервера (ресурсу), що виділяється з DNS-імені ресурсу, або безпосередньо заданий, а на ip-адрес ( і інший порт) проксі-сервера.

За необхідності звернення до будь-якого ресурсу за цим протоколом, клієнтський комп'ютер відкриває мережеве з'єднання з проксі-сервером (на потрібному порту) і здійснює звичайний запит, як якщо б він звертався безпосередньо до ресурсу.

Розпізнавши дані запиту, перевіривши його коректність і дозволу для клієнтського комп'ютера, проксі-сервер, не розриваючи з'єднання, сам відкриває нове мережеве з'єднання безпосередньо з ресурсом і робить той же самий запит. Отримавши дані (або повідомлення про помилку), проксі-сервер передає їх клієнтського комп'ютера.

З цього випливають два основні обмеження звичайного проксі-сервера:

1 проксі-сервер повинен бути повнофункціональним сервером і клієнтом для кожного підтримуваного протоколу

2 проксі-сервер може обслуговувати тільки ті мережеві протоколи, у запиті яких передається ім'я або ip-адреса ресурсу (не відноситься до прозорих проксі - вони отримують ip-адресу безпосередньо з перехопленого з'єднання).


На зорі розповсюдження інтернету проксі-сервери були найпопулярнішим способом виходу в Інтернет з локальних мереж. Цьому сприяли такі обставини:

В даний час, у зв'язку із зростанням ролі інших мережевих протоколів, переходом до тарифікації послуг мережі Інтернет по швидкості доступу, а також появою дешевих апаратних маршрутизаторів з функцією NAT, використання звичайних проксі-серверів для виходу користувачів до Інтернет застосовується вкрай рідко.

Однак великого поширення набули прозорі проксі-сервери (протоколу http, іноді деяких інших), в тому числі входять до складу багатьох апаратних маршрутизаторів для доступу до Інтернет, з метою збору статистики та контролю доступу до сайтів. Інші порти (протоколи) при цьому проходять через NAT.


Найбільш поширені проксі-сервери

3proxy (BSD, багатоплатформений)

CoolProxy (proprietary, Windows)

HandyCache (shareware, Windows) безкоштовний для домашнього використання

Kerio Control (proprietary, Windows, Linux)

Microsoft Forefront Threat Management Gateway (proprietary, Windows)

nginx (веб-сервер, що має режим роботи в якості reverse proxy і часто для цього використовується)

Squid (GPL, багатоплатформений)

Traffic Inspector (proprietary, Windows)

UserGate (proprietary, Windows)

Інтернет Контроль Сервер (shareware, FreeBSD)

TOR (shareware, багатоплатформений)