400 likes | 811 Views
Администрирование информационных систем. Основы сетевого администрирования. Сети, их администрирование. КГТУ им.И.Раззакова, ИУиБ.каф.ИСЭ Преподаватель: Белоконь П.И. Сетевое администрирование.
E N D
Администрирование информационных систем Основы сетевого администрирования. Сети, их администрирование КГТУ им.И.Раззакова, ИУиБ.каф.ИСЭ Преподаватель: Белоконь П.И.
Сетевое администрирование Сетевое администрирование (NetworkManagement) возникает, когда у администратора сети появляется потребность и возможность оперировать единым представлением сети, как правило, это относится к сетям со сложной архитектурой. При этом осуществляется переход от управления функционированием отдельных устройств к анализу трафика в отдельных участках сети, управлению её логической конфигурацией и конкретными рабочими параметрами, причём все эти операции целесообразно выполнять с одной управляющей консоли. Задачи, решаемые в данной области, разбиваются на две группы: • Контроль за работой сетевого оборудования, • Управление функционированием сети в целом.
Структура стека протоколов TCP/IP Стек протоколов TCP/IP отличается от стека в модели OSI. Структура стека может быть представлена в виде четырех уровней
Протоколы TCP/IP • Под термином "TCP/IP" обычно рассматривается все, что связано с протоколами TCP и IP. Это не только собственно сами проколы с указанными именами, но и протоколы построенные на использовании TCP и IP, и прикладные программы. • Главной задачей стека TCP/IP – объединение в сеть пакетных подсетей через шлюзы. Каждая сеть работает обеспечивает обмен данными внутри собственной сети, однако предполагается, что шлюз может принять пакет из другой сети и доставить его по указанному адресу. Пакет из одной сети передается в другую подсеть через последовательность шлюзов, которые обеспечивают сквозную маршрутизацию пакетов по всей сети.
Основные понятия передачи данных в сетях TCP/IP • Кадр - это блок данных, который принимает/отправляет сетевой интерфейс. • IP-пакет - это блок данных, которым обменивается модуль IP с сетевым интерфейсом. • UDP-датаграмма - блок данных, которым обменивается модуль IP с модулем UDP. • TCP-сегмент - блок данных, которым обменивается модуль IP с модулем TCP. • Прикладное сообщение - блок данных, которым обмениваются программы сетевых приложений с протоколами транспортного уровня. • Инкапсуляция - способ упаковки данных в формате одного протокола в формат другого протокола. Например, упаковка IP-пакета в кадр Ethernet или TCP-сегмента в IP-пакет. В случае инкапсуляции IP в Ethernet речь идет о помещении пакета IP в качестве данных Ethernet-фрейма, или, в случае инкапсуляции TCP в IP, помещение TCP-сегмента в качестве данных в IP-пакет, то при передаче данных по коммутируемым каналам происходит дальнейшая "нарезка" пакетов теперь уже на пакеты SLIP или фреймы PPP.
MAC-адреса • Для адресации к сетевым устройствам используются адреса управления доступом к среде передачи данных (MAC-адреса). • Кадр Ethernet содержит адрес назначения, адрес источника, поле типа и данные. Размер MAC-адреса – 6 байтов. Каждый сетевой адаптер имеет свой сетевой адрес. Адаптер "слушает" сеть, принимает адресованные ему кадры и широковещательные кадры с адресом FF:FF:FF:FF:FF:FF, отправляет кадры в сеть.
Локальные вычислительные сети и физический уровень Локальные вычислительные сети – высокоскоростные сети с малым количеством ошибок, охватывающие небольшие географические пространства. Наиболее распространенными технологиями ЛВС являются • Ethernet • Fiber Distributed Data Interface (FDDI) • TokenRing • Стандарт Ethernet наиболее распространенным стандартом организации ЛВС. Существует несколько вариантов (IEEE 802.3)
Протокол IP • Протокол IP является самым главным во всей иерархии протоколов семейства TCP/IP. Используется для управления рассылкой TCP/IP пакетов по сети Internet. Среди различных функций, возложенных на IP обычно выделяют следующие: • определение пакета, который является базовым понятием и единицей передачи данных в сети Internet. Такой IP-пакет называют датаграммой; • определение адресной схемы, которая используется в сети Internet; • передача данных между канальным уровнем (уровнем доступа к сети) и транспортным уровнем (другими словами мультиплексирование транспортных датаграмм во фреймы канального уровня); • маршрутизация пакетов по сети, т.е. передача пакетов от одного шлюза к другому с целью передачи пакета машине-получателю; • "нарезка" и сборка из фрагментов пакетов транспортного уровня.
IP-адресация • IP-адресация – основа протокола IP (InternetProtocol). Каждая ЛВС должна иметь уникальный IP-адрес. Внутри сети каждый узел имеет IP-адрес, который представляет собой уникальный 32-разрядный логический адрес. • IP-адресация реализуется на сетевом уровне. В отличие от MAC-адресов, где адреса образуют плоское адресное пространство, IP-адреса имеют иерархическую структуру. • Каждая организация рассматривается как отдельная уникальная сеть, с которой устанавливается соединение и после этого осуществляется связь с отдельным хостом.
Классы IP-адресовПодсети Каждый 32-разрядный IP-адрес разделяется на 4 октета: • xxx.xxx.xxx.xxx, где xxx – некоторое число из диапазона 0-255. Каждый IP-адрес состоит из двух частей: номера сети и номера хоста. • Класс A составляют адреса, зарезервированные для правительственных учреждений; • Класс B – адреса для организаций среднего размера • Класс С – адреса для остальных организаций • Для нужд организации выделенная сеть может быть разбита на отдельные части – подсети. Также как и адрес сети, адрес подсети является уникальным. Использование подсети не влияет на внешних пользователей, но в пределах организации подсеть рассматривается как структурная единица.
Маскирование подсетей • Подсети скрыты от внешнего мира с помощью масок, называемых масками подсети. С их помощью устройствам сообщается какая часть является адресом подсети, а какая – адресом хоста. • Маска подсети представляет собой 32 разрядное двоичное число разделена на 4 октета, подобно IP-адресу. Маска подсети имеет все единицы в части, отвечающей сети и подсети, и нули, в части отвечающей адресу хоста. • Например, для сетей 172.16.1.0 – 172.16.254.0 маска будет иметь вид 255.255.255.0.
Протоколы ARP и RARP • Протокол ARP (RFC 826). AddressResolutionProtocol используется для определения соответствия IP-адреса адресу Ethernet. Протокол используется в локальных сетях. Отображение осуществляется только в момент отправления IP-пакетов, так как только в этот момент создаются заголовки IP и Ethernet. Отображение адресов осуществляется путем поиска в ARP-таблице. • ReverseAddressResolutionProtocol — Обратный протокол преобразования адресов) — протокол сетевого уровня модели OSI, выполняет обратное отображение адресов, то есть преобразует физический адрес в IP-адрес. • Упрощенно, ARP-таблица состоит из двух столбцов: • В первом столбце содержится IP-адрес, а во втором Ethernet-адрес. Таблица соответствия необходима, так как адреса выбираются произвольно и нет какого-либо алгоритма для их вычисления. Если машина перемещается в другой сегмент сети, то ее ARP-таблица должна быть изменена.
Протокол ICMP Протокол ICMP (Internet Control Message Protocol) относят к межсетевому уровню. Протокол используется для рассылки информационных и управляющих сообщений. При этом используются следующие виды сообщений: • Flowcontrol – если принимающая машина (шлюз или реальный получатель информации) не успевает перерабатывать информацию, то данное сообщение приостанавливает отправку пакетов по сети. • Detectingunreachаbledestination – если пакет не может достичь места назначения, то шлюз, который не может доставить пакет, сообщает об этом отправителю пакета. • Redirectrouting – это сообщение посылается в том случае, если шлюз не может доставить пакет, но у него есть на этот счет некоторые соображения, а именно адрес другого шлюза. • Checkingremotehost – в этом случае используется так называемое ICMP EchoMessage.
Протокол UDP • Протокол UDP (User Datagram Protocol) – один из двух протоколов транспортного уровня, которые используются в стеке протоколов TCP/IP. UDP позволяет прикладной программе передавать свои сообщения по сети с минимальными издержками, связанными с преобразованием протоколов уровня приложения в протокол IP. Однако при этом, прикладная программа сама должна заботиться о подтверждении того, что сообщение доставлено по месту назначения. • Порты в заголовке определяют протокол UDP как мультиплексор, который позволяет собирать сообщения от приложений и отправлять их на уровень протоколов.
Windows Sockets • WindowsSockets (Winsock) – стандарт позволяет разрабатывать прикладные программы, способные работать со стеком TCP/IP без необходимости учета каких-либо вариаций в реализациях стека TCP/IP. • В операционной системе Windows 2000 поддерживается версия Winsock 2.0. • Стандарт Winsock разработан для организации единообразного набора вызовов интерфейса прикладного программирования (API), которые не изменяются, несмотря на отличия реализаций TCP/IP.
Разрешения имен • Система доменных имен (DNS – DomainNameSystem) является стандартным методом отображения IP-адресов на имена. • Пространство доменных имен представляет собой древовидную структуру всех доменов от корневого домена («.») и вплоть до отдельного хоста. • До того как в сети Интернет была введена система DNS, все имена должны быть были прописана в управляющем файле hosts.txt. • Корневые домены – первый уровень доменных имен. Они описывают тип организации (*.com, *.edu) или географическое расположение (*.ru, *.fr). • Для преобразования доменных имен в IP-адреса организованы серверы доменных имен (серверы DNS). • Для обмена информацией о соответствии имен доменов и IP-адресов используются специальные службы.
Первоначальная настройка сети • При настройке сетевых интерфейсов необходимо установить протокол TCP/IP и выполнить конфигурирование системы
Управление службами • Для управления службами можно использовать GUI интерфейс.
Команды обслуживания сети • При работе с сетевым окружением администратору необходимо иметь инструменты управления и обслуживания сети. Команды работы с сетью разделяются на категории: • Диагностика • Устранение неполадок • Конфигурирование
Диагностика сети • Команды диагностики в реальном времени предоставляют информацию о работе сети и сетевых подключений. К числу команд диагностики сети относятся команды • netstat (команда выводит статистику протокола и текущие сетевые подключения TCP/IP) • Синтаксис • netstat [-a] [-e] [-n] [-o] [-pпротокол] [-r] [-s] [интервал] • Параметры • -a Вывод всех активных подключений TCP и прослушиваемых компьютером портов TCP и UDP. • -e Вывод статистики Ethernet, например количества отправленных и принятых байтов и пакетов. Этот параметр может комбинироваться с ключом -s. • -n Вывод активных подключений TCP с отображением адресов и номеров портов в числовом формате без попыток определения имен. • -o вывод активных подключений TCP и включение кода процесса (PID) для каждого подключения. Код процесса позволяет найти приложение на вкладке Процессы диспетчера задач Windows. Этот параметр может комбинироваться с ключами -a, -n и -p. • -pпротокол Вывод подключений для протокола, указанного параметром протокол. В этом случае параметр протокол может принимать значения tcp, udp, tcpv6 или udpv6. Если данный параметр используется с ключом -s для вывода статистики по протоколу, параметр протокол может иметь значение tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 или ipv6. • -s Вывод статистики по протоколу. По умолчанию выводится статистика для протоколов TCP, UDP, ICMP и IP. Если установлен протокол IPv6 для Windows XP, отображается статистика для протоколов TCP через IPv6, UDP через IPv6, ICMPv6 и IPv6. Параметр -p может использоваться для указания набора протоколов. • -r Вывод содержимого таблицы маршрутизации IP. Эта команда эквивалентна команде route print. • интервал Обновление выбранных данных с интервалом, определенным параметром интервал (в секундах). Нажатие клавиш CTRL+C останавливает обновление. Если этот параметр пропущен, netstat выводит выбранные данные только один раз. • /? Отображение справки в командной строке.
Диагностика сети • Команда netdiag позволяет выводить статистику и выполнять диагностику сетевого интерфейса. • Синтаксис: netdiag [/опции] • Опции: • /q - Quiet output (errors only) • /v - Verbose output • /l - Log output to NetDiag.log • /debug - Even more verbose. • /d:<DomainName> - Find a DC in the specified domain. • /fix - fix trivial problems. • /DcAccountEnum - Enumerate DC machine accounts. • /test:<test name> • /? вызов подсказки • netdiag /test:server выводит статистику и запускает диагностику сетевой карты
Устранение неполадок • Для выявления участков в сети TCP/IP,на которых присутствуют неполадки имеется несколько команд • ping • Синтаксис ping [-t] [-a] [-n число] [-l размер] [-f] [-i TTL] [-v T • [-r число] [-s число] [[-j списокУзлов] | [-k списокУзлов • [-w таймаут] конечноеИмя • Параметры: • -t Отправка пакетов на указанный узел до команды преры • Для вывода статистики и продолжения нажмите • <Ctrl>+<Break>, для прекращения - <Ctrl>+<C>. • -a Определение адресов по именам узлов. • -n число Число отправляемых запросов. • -l размер Размер буфера отправки. • -f Установка флага, запрещающего фрагментацию пакета. • -i TTL Задание срока жизни пакета (поле "Time To Live"). • -v TOS Задание типа службы (поле "Type Of Service"). • -r число Запись маршрута для указанного числа переходов. • -s число Штамп времени для указанного числа переходов. • -j списокУзлов Свободный выбор маршрута по списку узлов. • -k списокУзлов Жесткий выбор маршрута по списку узлов. • -w таймаут Таймаут каждого ответа в миллисекундах. • /? Вызов справки
Устранение неполадок • Другими командами устанавливающими наличие соединения с удаленным ip-узлом являются команды: • tracert – выводит имена и ip-адреса всех маршрутизаторов,через которые проходит пакет • Параметры: • -d Без разрешения в имена узлов. • -h максЧисло Максимальное число прыжков при поиске узла. • -j списокУзлов Свободный выбор маршрута по списку узлов. • -w интервал Интервал ожидания каждого ответа в миллисекундах. • pathping – выводит сетевую статистику при каждом переходе пакета через маршрутизатор • Параметры: • -g Список При прохождении по элементам списка узлов игнорировать предыдущий маршрут. • -h Число_прыжков Максимальное число прыжков при поиске узла. • -i Адрес Использовать указанный адрес источника. • -n Не разрешать адреса в имена узлов. • -p Пауза Пауза между отправками (мсек). • -q Число_запросов Число запросов при каждом прыжке. • -w Таймаут Время ожидания каждого ответа (мсек). • -P Тестировать на связность пути полученного с помощью RSVP. • -R Тестировать, если каждый прыжок резервируется с помощью RSVP. • -T Тестировать возможность взаимодействия для каждого • -4 Принудительно использовать IPv4. • -6 Принудительно использовать IPv6.
Конфигурирование сети • Для просмотра конфигурации сетевых интерфейсов используется команда ipconfig • Синтаксис: • ipconfig [/? | /all | /release [адаптер] | /renew [адаптер] | • /flushdns | /displaydns /registerdns | • /showclassid адаптер | • /setclassid адаптер [устанавливаемый_код_класса_dhcp] ] • ключи: • /? Отобразить это справочное сообщение. • /all Отобразить полную информацию о настройке параметров. • /release Освободить IP-адрес для указанного адаптера. • /renew Обновить IP-адрес для указанного адаптера. • /flushdns Очистить кэш разрешений DNS. • /registerdns Обновить все DHCP-аренды и перерегистрировать DNS-имена • /displaydns Отобразить содержимое кэша разрешений DNS. • /showclassid Отобразить все допустимые для этого адаптера коды (IDs) ыDHCP-классов. • /setclassid Изменить код (ID) DHCP-класса.
Конфигурирование сети • Для конфигурирования сети может быть использована команда route. Данная команда управляет таблицами маршрутов. • ROUTE [-f] [-p] [команда [узел] [MASK маска] [шлюз] [METRIC метрика] [IF-интерфейс] • -f Очистка таблиц маршрутов от записей для всех шлюзов. При указании одной из команд, таблицы очищаются до выполнения команды. • -p При использовании с командой ADD задает сохранение маршрута при перезагрузке системы. По умолчанию маршруты не сохраняются при перезагрузке. Игнорируется для остальных команд изменяющих соответствующие постоянные маршруты. • команда: • PRINT Печать маршрута • ADD Добавление маршрута • DELETE Удаление маршрута • CHANGE Изменение существующего маршрута • узел Адресуемый узел. • MASK Если вводится ключевое слово MASK, то следующий параметр интерпретируется как параметр "маска". • маска Значение маски подсети, связываемое с записью для данного маршрута. Если этот параметр не задан, по умолчанию подразумевается 255.255.255.255. • шлюз Шлюз. • METRIC Определение параметра метрика/цена для адресуемого узла.
Сетевые службы • В основе серверных функций операционной системы Windows лежат специальные службы. Служба – программа, выполняющая некоторую базовую задачу в фоновом режиме. • Примерыслужб Windows • Alerter (оповещатель) • Browser (обозреватель) • Clipbook (сервер папки обмена) • Dhcp client • Messenger • Netlogon • Server • Workstation • Spooler
Запуск и остановка служб • Для запуск и остановки служб в Windows используются команды: • sc <server> [command] [service name] <option1> <option2>... • net start <служба> • net stop <служба> • net pause <служба> • net continue <служба>
Сетевые службы • Служба Workstation позволяет организовать доступ компьютеров к информации и данным, расположенным на других компьютерах сети. • Возможности службы workstation могут быть настроены с помощью команды net config workstation • net config workstation /charwait:<sec> - задает время, которое должно пройти прежде, чем будет превышен лимит времени для устройства и оно не будет больше признаваться сетью.
Сетевые службы • Служба Server другим системам, подключенным к сети, получать доступ к данным компьютера. Серверные платформы запускают данную службу автоматически, для операционных систем Windows 2000/XP Professional служба запускается, если установлена служба File and Printer Sharing. • Конфигурирование службы выполняется с помощью команды net config server: • Net config server /autodisconnect:<min> - задает количество времени, в течение которого соединение может не использоваться, прежде чем прекратить текущий сеанс (по умолчанию 15 мин) • Net config server /hidden:yes|no – удаляет имя системы из списка сервера • Net config server /srvcomment:”text” – выводит текстовое сообщение или описание с именем компьютера
Мониторинг служб • Для мониторинга служб Workstation и Server используются команды: • Net statistics workstation – выводит статистику соединений, работы в сети и сеансов для службы со времени ее последнего запуска • Net statistics server – выводит статистику сеансов, нарушения безопасности и информацию о доступе к устройствам сервера со времени ее последнего запуска • Net session – используется для определения соединений с текущим сервером, а также управления соединениями • Net session – отображает все текущие подключения к серверу • Net session \\<компьютер> /delete – завершает подключения между сервером и указанным компьютером • Net file – показывает список открытых файлов на сервере. Для принудительного закрытия файла используется команда • Net file <code file>\close
Общие сетевые ресурсы • Набор команд net share позволяет просматривать и управлять общими ресурсами на сервере: • Net share – отображает все активные папки на сервере • Net share <имя общего ресурса>=<имя диска>:\<каталог>- создание общей папки • Net share <имя общего ресурса>/delete – удаление общего ресурса • Net share <имя общего ресурса>/users:<#> задание максимального числа подключений • Net share <имя общего ресурса>/remark:”описание” – добавление описания общего ресурса
Просмотр сетевых компонентов • Для просмотра содержимого в сети используется команда net view. Используя службу workstation данная команда обращается к главному браузеру сети и просматривает хранящийся на нем список компьютеров. • Net view – выводит список компьютеров, содержащих общие ресурсы • Net view /domain:<domain> - выводит список входящих в домен систем • Net view \\<компьютер> - выводит список общих ресурсов компьютера
Использование сетевых ресурсов • Для подключения сетевого ресурса к системе и задания ему имени используется команда net use • net use [{имя_устройства | *}] [\\имя_компьютера\ресурс[\том]] [{пароль | *}]] [/user:[имя_домена\]] [/user:[имя_домена_с_точкой\]имя_пользователя] [/user: [имя_пользователя@имя_домена_с_точкой] [/savecred] [/smartcard] [{/delete | /persistent:{yes | no}}] • /savecred • Сохраняет введенные учётные данные для дальнейшего использования. • /smartcard • Указывает необходимость считывания учетных данных со смарт-карты для сетевого подключения. При наличии нескольких смарт-карт появится запрос на указание одной из них. • /delete • Отменяет указанное сетевое подключение. Если подключение задано с символом звездочки (*), будут отменены все сетевые подключения. • /persistent:{yes | no} • Управляет постоянными сетевыми подключениями. По умолчанию берется последнее использованное значение. Подключения без устройства не являются постоянными. Выбор значения Yes приводит к сохранению всех существующих соединений и восстанавлению их при следующем подключении. При выборе значения No выполняемые и последующие подключения не сохраняются. Существующие подключения восстанавливаются при следующем входе в систему. Для удаления постоянных подключений используется ключ /delete. • /home • Подключает пользователя к его основному каталогу.
Синхронизация часов с сервером времени • Для управления работой компьютерных систем в вычислительной сети необходима их синхронизация (выставление одинакового времени). Для синхронизации используется команда net time: • Net time \\имя сервера – выводит текущее время • Net time \\сервер /set – синхронизирует время на текущем компьютере со временем на сервере • Net time /setsntp:<ip-адрес сервера> - синхронизирует время со временем внешнего сервера времени в сети, например 194.149.67.130
Безопасность • При организации общего доступа к ресурсам компьютера вопросы безопасности имеют важное значение. • Одним из средств обеспечения требуемой информационной безопасности являются NTFS разрешения и разрешения для общих папок. • Для установки разрешений к объектам используются списки прав доступа (ACL – access control list).
Безопасность • Используя кнопку Дополнительно можно установить разрешения и запреты на доступ более детально. • Возможности ограничения доступа к объектам Windows в полной мере возможны при использовании файловой системы NTFS.
Безопасность • Управление доступом на разделах NTFS доступно и из командной строки. • Команда CACLS может быть использована для просмотра и изменения списков контроля доступа. • Синтаксис • CACLS имяФайла [/T] [/E] [/C] [/G имя:доступ] [/R имя [...]] [/P имя:доступ [...]] [/D имя [...]] • имяФайла Вывод таблиц управления доступом. • /T Замена таблиц управления доступом для указанных файлов в текущем каталоге и всех подкаталогах. • /E Изменение таблицы управления доступом вместо ее замены. • /C Продолжение при ошибках отказа в доступе. • /G имя:доступ Определение разрешений для указанных пользователей. • "доступ": R Чтение • W Запись • C Изменение (запись) • F Полный доступ • /R имя Отзыв разрешений для пользователя (только вместе с /E). • /P имя:доступ Замена разрешений для указанного пользователя. • "доступ": N Отсутствует • R Чтение • W Запись • C Изменение (запись) • F Полный доступ • /D имя Запрет на доступ для указанного пользователя.
Разрешения для сетевых ресурсов • Для установки разрешений сетевых ресурсов используется соответствующий пункт контекстного меню. Окно для управления имеет вид: • Вариантами общего доступа являются: • Полный доступ • Изменение • Чтение
Вопросы к лекции 1) Сетевое администрирование 2) Структура стека протоколов TCP/IP 3) Протоколы TCP/IP 4) Основные понятия передачи данных в сетях TCP/IP 5) MAC-адреса Локальные вычислительные сети и физический уровень 6) IP-адресация, Классы IP- адресов. Подсети 7) Маскирование подсетей 8) Протоколы ARP и RARP, Протокол ICMP, Протокол UDP 9) Windows Sockets 10) Разрешения имен (Система доменных имен DNS – Domain Name System) 11) Первоначальная настройка сети, Управление службами. Команды обслуживания сети (диагностика, устранение неполадок, конфигурирование) 12) Службы Windows.Мониторинг служб 13) Общие сетевые ресурсы. Просмотр сетевых компонентов 14) Возможности ограничения доступа к объектам Windows