Marek Pyka

Technologie sieciowe

ITA-108

Wersja 1

Katowice, Sierpień 2008

Marek Pyka
ITA-108 Technologie sieciowe

Moduł 0 wersja 1

Strona 2/7

 2008

Marek Pyka. Autor udziela prawa do bezpłatnego kopiowania

i dystrybuowania wśród pracowników uczelni oraz studentów objętych
programem ITAcademy. Wszelkie informacje dotyczące programu można
uzyskać: pledu@microsoft.com.

Wszystkie inne nazwy firm i producentów wymienione w niniejszym
dokumencie mogą być znakami towarowymi zarejestrowanymi przez ich
właścicieli.

Inne produkty i nazwy firm używane w treści mogą być nazwami
zastrzeżonymi przez ich właścicieli.

Marek Pyka
ITA-108 Technologie sieciowe

Moduł 0 wersja 1

Strona 3/7

Spis treści

Wprowadzenie

i

Moduł I – Wprowadzenie do sieci komputerowych

I-1

Moduł II – Omówienie i analiza TCP/IP

II-1

Moduł III – Zarządzanie adresacją IP w sieciach komputerowych

III-1

Moduł IV – Konfigurowanie tras pakietów IP w sieciach komputerowych IV-1
Moduł V – Automatyczne zarządzanie adresacją IP

V-1

Moduł VI – Rozpoznawanie nazw hostów przy użyciu systemu DNS

VI-1

Moduł VII – Bezprzewodowe sieci komputerowe

VII-1

Moduł VIII – Serwer Aplikacji IIS 7.0

VIII-1

Moduł IX – Usługi terminalowe

IX-1

Moduł X – Bezpieczeństwo infrastruktury sieciowej

X-1

-

Marek Pyka
ITA-108 Technologie sieciowe

Moduł 0 wersja 1

Strona 4/7

Wprowadzenie – spis treści

Informacje o kursie ............................... ................................................... ...... 5

Zakres tematyczny kursu ........................... ................................................... .. 6

Marek Pyka
ITA-108 Technologie sieciowe

Moduł 0 wersja 1

Strona 5/7

Informacje o kursie

Opis kursu
Niniejszy kurs stanowi przegląd technologii związanych z dziedziną sieci
komputerowych oraz ich implementacją w systemach operacyjnych firmy
Microsoft. Zawartość merytoryczną kursu stanowi zarówno zestaw
informacji ogólnych na temat funkcjonowania sieci komputerowych jak
i implementacja ogólnie przyjętych standardów na platformie serwerowej.
Autor podręcznika położył główny nacisk na przedstawienie najważniejszych
cech systemu Windows Server 2008 związanych z wdrażaniem wydajnych
i bezpiecznych rozwiązań sieciowych. Zawarte w modułach informacje
stanowią wyłącznie materiał poglądowy, stanowiący uzupełnienie dla cyklu
wykładów z przedmioty Sieci Komputerowe. Zawartość merytoryczna
modułów umożliwi Ci przyswojenie wiedzy o działaniu i budowie sieci
komputerowych, analizie protokołów i aplikacji sieciowych oraz wdrażaniu
rozwiązań Windows Server 2008 w środowisku sieciowym przedsiębiorstw.
Przygotowane zadania i laboratoria oparte są o rzeczywiste problemy
i praktyczne rozwiązania realizowane podczas wdrożeń technologii
Windows Server 2008 w środowiskach przemysłowych.

Cel kursu
Celem kursu jest zapoznanie Cię z problematyką planowania, wdrażania
i zabezpieczania infrastruktury sieciowej opartej o najnowsze technologie
serwerowe Windows Server 2008.

Uzyskane kompetencje
Po zrealizowaniu kursu będziesz:

•

potrafił instalować role Windows Server 2008

•

rozumiał korzyści jakie daje organizacji Windows Server 2008

•

wiedział w jaki sposób dokonywać analizy protokołów i aplikacji

sieciowych

•

potrafił zarządzać podstawowymi usługami sieciowymi tj. DHCP,

DNS, Routing

•

znał problemy związane z budowaniem wydajnych i bezpiecznych

rozwiązań sieciowych

•

potrafił zaplanować wdrożenie technologii Windows Server 2008

zgodnie z potrzebami przedsiębiorstwa.

Wymagania wstępne
Do zrealizowania tego kursu powinieneś posiadać:

•

wiedzę teoretyczną z wykładów Systemy Operacyjne i Sieci

Komputerowe

•

umiejętności praktyczne w administracji Windows Server 2008

•

podstawową wiedzę z obsługi sieci lokalnych i sieci Internet

•

doświadczenie w obsłudze środowiska maszyn wirtualnych Virtual

PC 2007 lub Virtual Server 2005 R2.

Marek Pyka
ITA-108 Technologie sieciowe

Moduł 0 wersja 1

Strona 6/7

Zakres tematyczny kursu

Opis modułów
W Tabeli 1 przedstawiony został opis modułów, zawierający podział na
zajęcia. Każde z zajęć trwa 90 minut. Wykładowca może dostosować
harmonogram do swoich potrzeb oraz zaangażowania studentów.

Tabela 1 Opis modułów podręcznika
Numer moduł
Tytuł

Opis

Moduł 1
Wprowadzenie do sieci
komputerowych

W module 1 zostaną zaprezentowane informacje na
temat topologii i technologii sieciowych. Student
zostanie

również

zaznajomiony

z

modelem

referencyjnym ISO OSI.

Moduł 2
Omówienie i analiza
TCP/IP

W tym module przedstawione zostaną informacje
związane

i

implementacją

protokołu

TCP/IP

w systemach sieciowych. Omówione zostaną aspekty
związane z wdrażaniem i analizą stosu TCP/IP.
Przedstawione zostaną również programy służące do
analizy zawartości pakietów sieciowych przesyłanych
pomiędzy hostami sieciowymi.

Moduł 3
Zarządzanie adresacją
IP w sieciach
komputerowych

Moduł 3 traktuje o zasadach budowy adresów IPv4
i IPv6. Studenci zostaną zapoznani z zasadami podziału
sieci na podsieci oraz z zarządzaniem maskami
sieciowymi zgodnie z metodą CIDR.

Moduł 4
Konfigurowanie tras
pakietów IP w sieciach
komputerowych

W module tym studenci zostaną zapoznani z zasadami
wyznaczania tras dla pakietów IP w środowisku sieci LAN
i WAN. Przybliżone zostaną informacje na temat
działania protokołów routingu i protokołów routujących.

Moduł 5
Automatyczne
zarządzanie adresacją
IP

Zawartość

modułu

5

stanowi

zbiór

informacji

niezbędnych do wydajnego zarządzania przestrzenią
adresów

IP

przedsiębiorstwa.

Studenci

zostaną

zapoznani z zasadami instalacji i konfiguracji roli serwera
DHCP na platformie Windows Server 2008.

Moduł 6
Rozpoznawanie nazw
hostów przy użyciu
systemu DNS

W module 6 zostaną przedstawione informacje na
temat zarządzania przestrzenią nazw domenowych
w przedsiębiorstwie. Omówione zostaną podstawowe
problemy

związane

z

wdrażaniem

roli

DNS

w przedsiębiorstwie.

Moduł 7
Bezprzewodowe sieci
komputerowe

Moduł 7 traktuje o zasadach wdrażania sieci
bezprzewodowych

w

środowisku

domowym

jak

i firmowym. Ćwiczenia praktyczne umożliwiają dogłębne
zapoznanie

się

z

bezpieczeństwem

sieci

komputerowych.

Moduł 8
Serwer Aplikacji IIS 7.0

Przedstawione w module 8 informacje mają przybliżyć
studentom rolę jaką może pełnić serwer aplikacyjny
w przedsiębiorstwie. W ramach modułu opisane są
informacje o wdrażaniu aplikacji serwera WWW i FTP.

Moduł 9
Usługi terminalowe

Zbiór usług opisywanych w module 9 umożliwia
administratorom

wdrożenie

usług

terminalowych

w

środowisku

wykorzystującym

użytkowników

mobilnych i oddziały zdalne.

Moduł 10
Bezpieczeństwo
infrastruktury
sieciowej

W module 10 przedstawiona zostanie strategia
wielowarstwowej ochrony zasobów przedsiębiorstwa
oraz

omówione

będą

najważniejsze

technologie

zabezpieczeń infrastruktury systemu Windows Server
2008

Marek Pyka
ITA-108 Technologie sieciowe

Moduł 0 wersja 1

Strona 7/7

Mapa zależności między modułami
Tabeli 2 przedstawiono mapę zależności między modułami, zawierająca
podział na zajęcia.

Tabela 2 Mapa zależności modułów
Numer moduł

Obowiązkowy dla
modułów

Zalecany dla
modułów

Status modułu w
kursie

Moduł 1

Moduły: 2, 3

Moduły: 7, 10

Obowiązkowy

Moduł 2

Moduły: 3, 4, 6

Moduły: 7, 10

Obowiązkowy

Moduł 3

Moduły: 4, 5

Moduły: 6

Obowiązkowy

Moduł 4

Moduły: 5

Brak

Obowiązkowy

Moduł 5

Moduły: 7

Moduły: 8, 9

Obowiązkowy

Moduł 6

Moduły: 8

Moduły: 9, 10

Obowiązkowy

Moduł 7

Moduły: 10

Brak

Obowiązkowy

Moduł 8

Brak

Moduły: 9

Nieobowiązkowy

Moduł 9

Brak

Brak

Nieobowiązkowy

Moduł 10

Brak

Brak

Obowiązkowy

Przedstawione powyżej zależności pomiędzy modułami ukazują logiczną
kontynuację informacji w nich zawartych. Obowiązkowość modułu
w drzewie zależności oznacza iż informacje w nim zawarte są niezbędne do
przyswojenia wiedzy z modułów zależnych. W sytuacji gdy informacje
zawarte w module są wykorzystywane w innych modułach lecz nie stanowią
wiedzy podstawowej dla jego realizacji, moduł taki jest wtedy zalecany do
zapoznania się z nim. W przypadku modułów, które nie posiadają żadnych
określonych zależności, możemy je wtedy traktować jako moduły nie
obowiązkowe, choć zalecane dla odpowiedniego przyswojenia wiedzy.

Przedstawiona lista modułów sugeruje też status modułu i jego
obowiązkowość w realizacji materiału podręcznika. Aby uzyskać
dostateczną wiedzę na temat technologii sieciowych i ich wykorzystania
w środowisku sieciowym przedsiębiorstw, powinieneś zapoznać się
z wszystkimi modułami o statusie „Obowiązkowy”. Wiedza w nich zawarta
umożliwi

Ci

planowanie

i

budowanie

infrastruktury

sieciowej

wykorzystującej platformę serwerową Windows Server 2008.

ITA-108 Technologie sieciowe

Marek Pyka

Moduł I

Wersja 1

Wprowadzenie do sieci

komputerowych

Spis treści

Wprowadzenie do sieci komputerowych .................................................................. ........................... 1

Informacje o module ............................... ................................................... .......................................... 2

Przygotowanie teoretyczne ......................... ................................................... ..................................... 3

Przykładowy problem ............................... ................................................... ................................ 3

Podstawy teoretyczne............................... ................................................... ................................ 3

Przykładowe rozwiązanie ........................... ................................................... ............................. 18

Porady praktyczne ................................. ................................................... ................................. 20

Uwagi dla studenta ................................ ................................................... ................................. 20

Dodatkowe źródła informacji........................ ................................................... .......................... 20

Laboratorium podstawowe ........................... ................................................... .................................. 21

Problem 1 (czas realizacji 20 min) ................................................................... ........................... 21

Problem 2 (czas realizacji 25 min) ................................................................... ........................... 21

Laboratorium rozszerzone .......................... ................................................... .................................... 22

Zadanie 1 (czas realizacji 45 min) ................ ................................................... ............................ 22

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 2/22

Informacje o module

Opis modułu
W ramach modułu zostaną przedstawione zagadnienia elementarne
dotyczące sieci komputerowych. Omówione zostaną aspekty związane z ich
budową i funkcjonowaniem oraz wykorzystaniem fizycznych urządzeń
sieciowych. Zapoznasz się również z modelem ISO/OSI oraz jego wpływem
na rozwój technologii sieciowych.

Cel modułu
Celem modułu jest przedstawienie podstaw funkcjonowania sieci
komputerowych zarówno od strony logicznej, jak i fizycznej.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• wiedział, jakie typy sieci są obecnie wykorzystywane
• znał zastosowanie podstawowych urządzeń sieciowych
• wiedział, jakie topologie mogą być wykorzystywane
• znał pojęcia związane z protokołami sieciowymi
• rozumiał model ISO/OSI oraz wiedział, jaki wpływ ma na rozwój

sieci komputerowych

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• posiadać podstawową wiedzę z zakresu sieci komputerowych
• dysponować wiedzą z zakresu obsługi systemów operacyjnych

Windows, a w szczególności Windows Server 2008

Mapa zależności modułu
Przed przystąpieniem do realizacji tego modułu nie jest wymagane
zapoznanie się z materiałem zawartym w innych modułach.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 3/22

Przygotowanie teoretyczne

Przykładowy problem

Ostatnie lata wykazały, iż siłą każdego przedsiębiorstwa jest wydajna i bezpieczna infrastruktura IT.
Głównym elementem tej infrastruktury są sieci komputerowe oraz usługi w nich realizowane.
Świadomy tych faktów pojąłeś decyzję o specjalizowaniu się w tej dziedzinie już na studiach. Teraz
pracując, jako inżynier systemowy musisz podejmować przedsięwzięcia umożliwiające sprawne
zarządzanie i konfigurację sieci. Pierwszym zadaniem, które masz zrealizować w nowej pracy jest
zaprojektowanie i wykonanie infrastruktury sieciowej dla przedsiębiorstwa. Rozpoczynając prace
nad jej budową musisz rozważyć wiele aspektów, takich jak topologia sieci, technologie w niej
wykorzystywane oraz aspekty bezpieczeństwa. Swoją pracę podzieliłeś na etapy, z których pierwszy
dotyczy wykonania projektu infrastruktury i wyboru urządzeń aktywnych oraz odpowiedniej ich
konfiguracji. Wykonanie projektu oraz zaplanowanie konfiguracji urządzeń umożliwi uniknąć wielu
problemów związanych z bezpieczeństwem oraz wydajnością, które powodować mogą burze
rozgłoszeń czy kolizje pakietów w sieci.

Podstawy teoretyczne

Zakres sieci

Zakres sieci zależy w głównej mierze od jej położenia geograficznego. Sieć może zawierać od kilku
komputerów w pojedynczym biurze firmy do milionów komputerów połączonych ze sobą na
dużych odległościach. Stąd też mówiąc o zakresie sieci bierzemy w głównej mierze pod uwagę jej
wielkość, odległości, jakie dzielą komputery między sobą oraz jakie urządzenia są wykorzystywane
do jej budowy. Rozróżniamy następujące zakresy sieci:

• WAN (ang. Wide Area Network)
• MAN (ang. Metropolitan Area Network)
• Sieci kampusowe
• LAN (ang. Local Area Network)
• PAN (ang. Private Area Network)

W pierwszej fazie rozwoju sieci komputerowych rozróżniano wyłącznie dwa typy: sieci rozległe
(WAN), łączące uczelnie, ośrodki obliczeniowe i inne placówki naukowobadawcze oraz sieci lokalne
(LAN), stosowane do łączenia komputerów w poszczególnych ośrodkach. Wraz z popularyzacją sieci
uczelnianych i ich rozwojem pojawił się termin „sieci kampusowe”, oznaczający sieć komputerową
jednej lub kilku uczelni powstałą w wyniku połączenia wewnętrznych sieci lokalnych. Sieci miejskie
(MAN) charakterystyczne dla dużych aglomeracji skupiają sieć uczelni, urzędów oraz firm
komercyjnych, a także istnieje specyficzna dla tego środowiska infrastruktura techniczna
(przykładem takiej sieci może być ŚASK – Śląska Akademicka Sieć Komputerowa). Popularyzacja
sieci bezprzewodowych, połączeń Bluetooth, lub domowych sieci Ethernet zaowocowała
pojawieniem się kolejnego terminu definiującego prywatne sieci komputerowe (PAN).

Podstawowe składniki sieci

Do podstawowych składników sieci zalicza się:

• karty sieciowe
• okablowanie strukturalne
• urządzenia aktywne

Karty sieciowe

Karty sieciowe stanowią fizyczny interfejs między komputerem, a kablem sieciowym lub medium
bezprzewodowym. Interfejsy sieciowego instalowane są w gniazdach rozszerzeń na każdym
komputerze oraz serwerze w sieci. Po zainstalowaniu karty sieciowej medium sieciowe jest
podłączane do gniazda na karcie w celu zapewnienia dostępu komputera do sieci. Dane

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 4/22

transmitowane przez kabel lub inne medium do karty sieciowej formatowane są w postaci
pakietów. Pakiet jest to logiczna grupa informacji, obejmująca nagłówek zawierający informacje
o lokalizacji oraz dane użytkownika. Nagłówek posiada pola adresowe, zawierające informacje
na temat adresu przeznaczenia danych i ich źródła. Karta sieciowa odczytuje adres przeznaczenia
w celu sprawdzenia, czy pakiet jest adresowany do tego komputera. Jeśli tak, karta sieciowa
przekazuje pakiet do systemu operacyjnego w celu dalszego przetworzenia. Jeśli nie, karta sieciowa
odrzuca pakiet.
Każda karta sieciowa jest identyfikowana na podstawie unikalnego adresu zapisanego w układzie
elektronicznym na karcie. Jest on nazywany adresem fizycznym lub adresem MAC (ang. Media
Access Control).
Karta sieciowa pełni następujące funkcje:

• odbiera dane z systemu operacyjnego i konwertuje je do postaci sygnału elektrycznego

transmitowanego przez medium sieciowe

• odbiera sygnały elektryczne z medium sieciowego i konwertuje je do postaci danych

zrozumiałych przez system operacyjny

• określa, czy dane odebrane są adresowane do tego komputera.
• steruje przepływem danych między komputerem a urządzeniami podłączonymi do

medium

• identyfikuje komputer na podstawie adresu MAC

Warstwa fizyczna sieci

Ustanowienie reguł przesyłania i kodowania sygnałów ma swoiste znaczenie w wykorzystaniu
istniejącego pasma przesyłu danych.
Powszechnie stosowane są dwie metody podstawowe przesyłania sygnałów, wąskopasmowa
(ang. baseband) i szerokopasmowa (ang. broadband). W ich zastosowaniu jest widoczny podział –
transmisje w sieci LAN są zwykle prowadzone przy pomocy metody wąskopasmowej, a transport
w sieci WAN przeważnie za pomocą metody szerokopasmowej z uwagi na większe obciążenie
medium.

Okablowanie sieciowe

Istnieje wiele typów okablowania sieciowego wykorzystywanych do łączenia urządzeń sieciowych.
Przykładem takich kabli mogą być kable koncentryczne, STP (ang. Shielded Twisted Pair), UDP
(ang. Unshielded Twisted Pair) czy kable światłowodowe (ang. fiber optic). Wszystkie kable
podlegają klasyfikacji i ze względu na nią należą do różnych kategorii. Nad standaryzacją
stosowanych kabli i ich połączeń czuwają międzynarodowe urzędy standaryzacji takie jak TIA oraz
EIA.

Kabel STP/UTP/FTP – „skrętka”

Skrętka (ang. twisted pair cable) to obecnie najbardziej popularne medium transmisyjne w sieciach
lokalnych. W zależności od przepustowości możemy podzielić ją na: 10BASE-T, 100BASE-T,
1000BASE-T. Używana jest także w telefonii. Wyróżnia się dużą niezawodnością i niewielkimi
kosztami realizacji sieci, zbudowana z izolowanych przewodów, z których dwa przewody są
splecione i tworzą medium, którym mogą być przesłane dane. Skrętki możemy podzielić na:
ekranowane (STP, FTP) i nieekranowane (UTP). Różnią się one tym, iż ekranowane posiadają folię
ekranującą (FTP) bądź ekran w postaci oplotu (STP), a pokrycie ochronne jest lepszej jakości,
więc w efekcie zapewnia mniejsze straty transmisji i większą odporność na zakłócenia.
STP – to medium wykonane z dwóch skręconych przewodów wraz z ekranem w postaci oplotu.
Para ekranowana jest bardziej odporna na zakłócenia impulsowe oraz szkodliwe przesłuchy niż
skrętka UTP. Rysunek kabla STP znajduje się na Rys. 1.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 5/22

Rys. 1 Schemat kabla STP

FTP – skrętka foliowana – to skrętka miedziana ekranowana za pomocą folii wraz z przewodem
uziemiającym. Przeznaczona jest głównie do budowy sieci komputerowych (Ethernet, Token Ring)
o długości nawet kilku kilometrów. Stosowana ostatnio również na krótszych dystansach w sieciach
standardu Gigabit Ethernet (1 Gb/s) z wykorzystaniem wszystkich czterech par okablowania
miedzianego kat. 5. Rysunek 2 przedstawia schemat kabla FTP.

Rys. 2 Schemat kabla FTP

UTP – skrętka nieekranowana – jest powszechnie stosowana w sieciach telefonicznych (jedna, dwie
lub cztery pary) i komputerowych (cztery skrętki w kablu). Przy przesyłaniu sygnałów cyfrowych za
pomocą skrętek UTP (cztery pary) uzyskuje się standardowa przepływności do 100 Mb/s (kat. 5),
oraz 1 Gb/s w technologii Gigabit Ethernet. Poniżej znajduje się schemat kabla UTP.

Rys. 3 Schemat kabla UTP

Poza wyżej wymienionymi rodzajami skrętek można spotkać także połączenia tych rozwiązań:

• F-FTP – każda para przewodów otoczona jest osobnym ekranem z folii, cały kabel jest

również pokryty folią

• S-FTP – każda para przewodów otoczona jest osobnym ekranem z folii, cały kabel

pokryty jest oplotem

• S-STP – każda para przewodów otoczona jest osobnym ekranem (oplotem), cały kabel

pokryty jest oplotem

Zalety:

• jest najtańszym medium transmisji (jeśli chodzi o cenę metra, bez uwzględniania

dodatkowych urządzeń)

• wysoka prędkość transmisji (do 1000Gb/s)
• łatwe diagnozowanie uszkodzeń
• prosta instalacja
• odporność na poważne awarie (przerwanie kabla unieruchamia najczęściej tylko jeden

komputer lub segment sieci)

• jest akceptowana przez wiele rodzajów sieci

Wady:

• niższa długość odcinka kabla niż w innych mediach stosowanych w Ethernecie (do 100

metrów)

• mała odporność na zakłócenia (skrętki nieekranowanej)
• niska odporność na uszkodzenia mechaniczne – konieczne jest instalowanie specjalnych

listew naściennych itp.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 6/22

Standardy zakańczania kabla

Dla połączenia komputera z koncentratorem lub przełącznikiem stosuje się tzw. kabel prosty
(ang. straight-thru cable), który z obu stron podłączony jest tak samo wg standardu 568A lub 568B.
Schemat tych standardów przedstawiony jest na rysunku 4.

Rys. 4 Schemat kabla prostego w kategorii A i B

Dla połączenia bezpośrednio dwóch komputerów bez pośrednictwa przełącznika konieczna jest
zamiana par przewodów w taki sposób, aby sygnał nadawany z jednej strony mógł być odbierany
z drugiej. Ten kabel nosi nazwę kabla krzyżowego (ang. cross-over cable) i charakteryzuje się tym,
że jeden koniec podłączony jest wg standardu 568A, zaś drugi – 568B. Schemat budowy kabli
krzyżowych w standardach A i B został przedstawiony na poniższym rysunku.

Rys. 5 Schemat kabla krzyżowego w kategorii A i B

Światłowód

Światłowód ma inną zasadę działania w stosunku do przewodów miedzianych, bowiem sygnały
elektryczne zamieniane są na impulsy świetlne przy pomocy laserowego źródła światła. Kabel
światłowodowy zakończony jest układem nadajnika i odbiornika, które służą do zamiany tychże
sygnałów. Kabel światłowodowy składa się z jednego lub więcej włókien światłowodowych.
Światłowody ze względu na ich budowę, właściwości i zastosowanie możemy podzielić na dwa
główne typy:

• Światłowody jednomodowe – rdzeń zbudowany jest z wielu warstw mających inne

współczynniki załamania światła, nie istnieje zjawisko całkowitego odbicia
wewnętrznego na granicy rdzenia i płaszcza. W takim światłowodzie propagowany jest
tylko jeden mod.

• W wyniku takiej budowy zjawisko dyspersji uległo znacznemu zmniejszeniu, a długość

pojedynczego odcinka sieci zwiększyła się do 60 km.

• Światłowody wielomodowe – promień świetlny wprowadzany jest do włókna pod

wieloma różnymi kątami zwanymi modami. Medium tego typu ma niestety wady –
powstaje dyspersja podczas drogi promienia, która powoduje ograniczenie maksymalnej
długości odcinka przewodu do 5 km.

Zalety:

• większa przepustowość w porównaniu z kablem miedzianym
• zdolność przesyłania informacji na znaczne odległości

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 7/22

• niewrażliwość na zakłócenia i przesłuchy elektromagnetyczne
• wyeliminowanie przesłuchów międzykablowych

Wady:

• cena
• mniejsza odporność na uszkodzenia mechaniczne w porównaniu z przewodem

miedzianym

Kabel koncentryczny

Kabel koncentryczny, składa się z dwóch koncentrycznych (czyli współosiowych) przewodów.
Najczęściej spotykany rodzaj kabla koncentrycznego składa się z pojedynczego przewodu
miedzianego, znajdującego się w materiale izolacyjnym. Mimo że kable koncentryczne wyglądają
podobnie, mogą charakteryzować się różnymi stopniami impedancji. Rozróżniamy dwa rodzaje
kabli koncentrycznych: cienki kabel koncentryczny (zwany też potocznie „cienkim Ethernetem”)
o oznaczeniu 10Base2 oraz gruby kabel koncentryczny (zwany potocznie „grubym Ethernetem”)
oznaczany jako 10Base5. Kable te są dobrym rozwiązaniem dla organizacji, które muszą
transmitować dane na duże odległości przy zachowaniu prostej infrastruktury sieciowej. Cienki
kabel koncentryczny może przesyłać sygnały na odległość około 185 m z prędkością 10 Mb/s,
natomiast gruby kabel koncentryczny przesyła sygnały na odległość bliską 500 m z prędkością
10 Mb/s.
Zalety:

• Potrafi obsługiwać komunikację w pasmach o dużej szerokości bez potrzeby

instalowania wzmacniaków. Kabel koncentryczny był pierwotnym nośnikiem sieci
Ethernet.

Wady:

• Kabel koncentryczny jest dość wrażliwą strukturą. Nie znosi ostrych zakrętów ani nawet

łagodnie przykładanej siły gniotącej. Jego struktura łatwo ulega uszkodzeniu, co
powoduje bezpośrednie pogorszenie transmisji sygnału.

Dodatkowymi czynnikami zniechęcającymi do stosowania kabli koncentrycznych są ich koszt
i rozmiar. Okablowanie koncentryczne jest droższe aniżeli skrętka dwużyłowa ze względu na
jego bardziej złożoną budowę.

Łączność bezprzewodowa

Urządzenia do komunikacji bezprzewodowej są używane do podłączenia do sieci, gdy użycie
standardowych kart sieciowych i okablowania jest technicznie lub ekonomicznie niewykonalne.
Sieci komunikujące się drogą bezprzewodową są połączone z sieciami LAN za pomocą urządzeń do
komunikacji bezprzewodowej, takich jak Access Point lub router bezprzewodowy.
Istnieją dwie podstawowe techniki komunikacji bezprzewodowej w sieciach LAN: transmisja na
podczerwień oraz transmisja radiowa.

Transmisja na podczerwień

W sieciach wykorzystujących transmisję na podczerwień dane między urządzeniami przesyłane są
za pomocą wiązki podczerwieni. Między urządzeniami nadawczymi a urządzeniami odbiorczymi
musi być wolna przestrzeń, gdyż każda przeszkoda na drodze sygnału zakłóca komunikację.
W takich systemach musi być generowany bardzo silny sygnał, ponieważ słaby sygnał jest podatny
na zakłócenia ze strony innych źródeł światła jak np. okna.

Transmisja radiowa

Do funkcjonowania sieci radiowych konieczne jest posiadanie nadajnika i odbiornika pracujących
na określonych częstotliwościach. Ten tym łączności nie wymaga wolnej przestrzeni, ponieważ
używane są fale radiowe. Jednakże transmisja radiowa jest zakłócana przez stal, zbrojone ściany

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 8/22

i silne źródła pola elektromagnetycznego. Przykładem tego typu transmisji mogą być
bezprzewodowe sieci komputerowe (WiFi) oraz Bluetooth.

Urządzenia sieciowe

Urządzenia sieciowe umożliwiają firmą na rozbudowę ich infrastruktury z zapewnieniem
odpowiedniej wydajności i bezawaryjnej pracy. Do najczęściej używanych urządzeń zaliczamy:

• wzmacniaki (ang. repeater) i koncentratory (ang. hub) – retransmitują sygnał

elektryczny odbierany w dowolnym z portów do wszystkich pozostałych portów,
zapewniając odpowiedni poziom sygnału

• mosty (ang. bridge) – umożliwiają przesyłanie danych pomiędzy segmentami sieci LAN
• przełączniki (ang. switch) – wieloportowe mosty, których zadaniem jest szybkie

przesyłanie sygnałów pomiędzy portami

• routery (ang. router) – umożliwiają wyznaczanie drogi pakietów pomiędzy sieciami LAN

oraz WAN, w zależności od adresów przeznaczenia

• bramy (ang. gateway) – umożliwiają przesyłanie danych w sieciach LAN lub WAN oraz

umożliwiają komunikację pomiędzy sieciami wykorzystującymi różne protokoły

Rozbudowa sieci możliwa jest również poprzez udostępnianie użytkownikom dostęp do zdalnych
lokalizacji. W celu realizacji połączeń dostępu zdalnego wymagane są trzy składowe: klient dostępu
zdalnego, serwer dostępu zdalnego oraz fizyczne połączenie. Najczęściej dostęp zdalny
użytkowników realizowany jest za pomocą:

• publicznych sieci telefonicznych PSTN (ang. Public Switched Telephone Network)
• cyfrowej sieci telefonicznej ISDN (ang. Integrated Services Digital Network)
• sieci pakietowej X.25
• linii ADSL (ang. Asymmetric Digital Subscriber Line)
• transmisji pakietowych sieci komórkowych GPRS (ang. General Packet Radio Service)

Wzmacniaki i koncentratory

Wzmacniaki i koncentratory są używane do rozbudowy sieci przez dodanie dwóch lub więcej
segmentów okablowania.
Wzmacniaki odbierają sygnały i retransmitują je z oryginalną mocą i charakterystyką. Dzięki
zastosowaniu wzmacniaków długość wykorzystywanego kabla może być zwiększona. Urządzenia te
nie zajmują się żadną dodatkową funkcją. Za pomocą wzmacniaków można:

• połączyć dwa segmenty podobnego lub różnego okablowania
• regenerować sygnał w celu zwiększenia odległości transmisji
• przesyłać dwukierunkowo ruch w sieci
• połączyć dwa segmenty tanim kosztem

Koncentratory są to urządzenia umożliwiające łączenie komputerów w topologie gwiazdy. Cechują
się dużą ilością portów (niektóre urządzenia osiągają nawet 48 portów). Podczas przesyłu
informacji każdy pojedynczy pakiet wysyłany jest do wszystkich aktywnych portów. Ta cecha
wykorzystywana jest do prowadzenia podsłuchu sieciowego całej transmisji pomiędzy
komputerami. Administratorzy często wykorzystują te urządzenia świadomie w odpowiednim
segmencie sieci aby włączyć analizatory sieciowe lub proste systemy wykrywania naruszeń
bezpieczeństwa. Rozróżniamy dwa typy koncentratorów:

• pasywne – przesyłają sygnał bezpośrednio do portów bez przetwarzania sygnału
• aktywne – odbierają sygnał, przetwarzają go i retransmitują do wszystkich portów

w oryginalnej postaci

Koncentratory umożliwiają:

• łatwą rozbudowę sieci komputerowej
• łączenie różnych typów okablowanie poprzez różne porty (najczęściej spotykane są

porty umożliwiające połączenie kabli typu skrętka oraz koncentrycznych)

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 9/22

• centralne monitorowanie aktywności i ruchu sieciowego

Most

Most jest urządzeniem przesyłającym pakiety danych między segmentami sieci używającymi tego
samego protokołu komunikacyjnego. Most przesyła na raz jeden sygnał. Jeśli pakiet jest
adresowany do komputera w tym samym segmencie co komputer wysyłający, most zatrzymuje
pakiet wewnątrz tego segmentu, w przeciwnym wypadku przesyła go do odpowiedniego segmentu.
Decyzja o przesłaniu pakietu podejmowana jest na podstawie adresu MAC. Jeżeli pakiet został
przesłany, informacje o adresie MAC zapisywane są w tablicy adresów określającej każdy komputer
oraz jego lokalizację w segmentach sieci. Kiedy most odbiera jakiś pakiet porównuje adres źródłowy
z adresami w tabeli, jeżeli na liście nie znajduje się taki adres, to jest on do niej dodawany, a pakiet
rozsyłany jest do wszystkich segmentów. Za pomocą mostu można:

• zwiększyć liczbę segmentów
• uwzględnić zwiększenie ilości komputerów w sieci
• zmniejszyć wpływ nadmiaru liczby komputerów w sieci
• podzielić przeciążoną sieć na odseparowane segmenty
• podłączyć różne typy okablowania

Przełącznik

Przełączniki działają podobnie jak mosty, lecz oferują bardziej bezpośrednie polaczenie między
komputerem źródłowym i docelowym. Kiedy przełącznik odbierze pakiet danych, tworzy oddzielne
wewnętrzne połączenie między dwoma portami i bazując na informacji zawartej w nagłówku
każdego pakietu przesyła pakiet dalej jedynie do portu komputera przeznaczenia. Dzięki temu
połączenie jest odizolowane od innych portów, a komputery źródłowy i przeznaczenia mogą
pracować z pełna przepustowością sieci. Za pomocą przełącznika można:

• przesyłać pakiety bezpośrednio z komputera źródłowego do komputera przeznaczenia
• umożliwić większe prędkości transmisji danych
• niwelować występowanie kolizji w sieci

Router

Router pełni podobne funkcje jak most lub przełącznik, lecz posiada dodatkowe możliwości.
Przesyłając dane między różnymi segmentami sieci, routery sprawdzają nagłówek pakietu, aby
określić najlepszą drogę przesłania pakietu. Router zna ścieżki do wszystkich segmentów sieci,
dzięki informacjom przechowywanym w tabeli routingu. Routery umożliwiają współdzielenie przez
wszystkich użytkowników pojedynczego łącza do sieci Internet lub sieci WAN. Za pomocą routera
można:

• Wysyłać pakiety bezpośrednio do komputera przeznaczenia w innej sieci lub segmencie.

Routery używają bardziej kompletnego adresu pakietu niż mosty w celu określenia,
który router lub klient ma jako następny odebrać pakiet. Routery zapewniają, że pakiety
wędrują do miejsca przeznaczenia najbardziej efektywną trasą. Jeśli połączenie między
dwoma routerami ulegnie awarii, router wysyłający może określić alternatywny router
w celu zapewnienia dalszego przesyłania pakietów.

• Zmniejszyć obciążenie sieci. Routery czytają tylko zaadresowane pakiety sieciowe

i przesyłają informacje tylko wtedy, gdy adres sieci jest znany, dlatego routery nie
przesyłają uszkodzonych danych. Taka możliwość kontroli przesyłanych danych przez
router zmniejsza ruch między sieciami i pozwala routerom na bardziej efektywne
wykorzystanie połączeń,

niż jest to możliwe przy zastosowaniu mostów.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 10/22

Brama

Bramy umożliwiają komunikację między różnymi architekturami sieciowymi. Brama pobiera dane
z jednej sieci i przepakowuje je w ten sposób, że każda sieć może zrozumieć dane pochodzące
z innej sieci. Brama pełni rolę tłumacza dla wykorzystywanych technologii sieciowych. Za pomocą
bramy można połączyć dwa systemy, które różnią się:

• architekturą
• zestawem zasad określających komunikację
• strukturą danych

Mechanizmy dostępu zdalnego

System Windows umożliwia zdalne łączenie się użytkowników do sieci za pomocą różnych typów
urządzeń, takich jak modemy. Klient zdalnego dostępu łączy się z serwerem zdalnego dostępu,
który pełni rolę routera lub bramy do zdalnej sieci. Dwa rodzaje zdalnego dostępu obsługiwane
w systemach Windows to: zdalny dostęp za pomocą połączeń dial-up oraz wirtualna sieć prywatna
VPN (ang. Virtual Private Network).

Zdalny dostęp za pomocą Dial-up

System Windows Server 2008 umożliwia zdalny dostęp dial-up dla użytkowników dzwoniących do
firmowych sieci intranet. Urządzenie dial-up zainstalowane na serwerze zdalnego dostępu
z systemem Windows Server odpowiada na wywołanie przychodzące od zdalnego klienta.
Oprogramowanie serwera dial-up odpowiada na wywołanie, uwierzytelnia klienta i przesyła dane
między zdalnym klientem a firmową siecią intranet.

Wirtualna sieć prywatna (Virtual Private Network)

Wirtualna sieć prywatna w celu zapewnienia bezpieczeństwa przesyłania danych oraz weryfikacji
użytkownika wykorzystuje technologie kryptograficzne. Połączenie VPN udostępnia te
zabezpieczenia w procesie tak zwanego tunelowania. Tunelowanie jest metodą wykorzystania
infrastruktury internetowej do bezpiecznego transferu danych z jednej sieci do drugiej. Połączenie
VPN umożliwia zdalnym użytkownikom i pracownikom zestawiać bezpieczne połączenia
z serwerem firmowym, który jest połączony zarówno z siecią LAN, jak również z siecią publiczną.
Z perspektywy użytkownika połączenie VPN jest połączeniem punkt-punkt między komputerem
użytkownika i serwerem firmowym. Sieć pośrednicząca jest dla użytkownika przezroczysta,
ponieważ połączenie wygląda jakby było zestawione bezpośrednio z siecią LAN przedsiębiorstwa.

Topologie sieciowe

Topologia sieciowa określa układ komputerów, okablowania i innych urządzeń w sieci. Jest to
fizyczna mapa sieci. Wybór topologii sieciowej ma wpływ na rodzaj i możliwości urządzeń
sieciowych, zarządzanie nimi oraz możliwości przyszłej rozbudowy. Istnieją dwa rodzaje topologii,
fizyczna oraz logiczna:

• topologia fizyczna opisuje, w jaki sposób fizyczne urządzenia są połączone w sieci
• topologia logiczna opisuje sposób przesyłania danych przez fizyczne urządzenia sieciowe

Istnieje pięć podstawowych topologii sieciowych:

• magistrala – komputery przyłączone są do współdzielonego kabla
• gwiazda – komputery przyłączone są do segmentów kabla wychodzących z centralnej

lokalizacji lub koncentratora

• pierścień – komputery przyłączone są do kabla, który tworzy pierścień wokół centralnej

lokalizacji

• topologia pełnych połączeń – komputery są połączone każdy z każdym, za pomocą

kabla.

• topologia mieszana – dwie lub więcej topologii wykorzystywanych razem

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 11/22

Magistrala

W topologii magistrali każdy komputer jest podłączony do jednego kabla lub segmentu łączącego je
w jednej linii. W tej liniowej topologii pakiet jest transmitowany do wszystkich kart sieciowych w
danym segmencie. Ze względu na sposób transmisji sygnału elektrycznego przez kabel, końce kabla
muszą być zamknięte przez urządzenia nazywane terminatorami, działające jako granice dla
sygnału i segmentu. Jeśli kabel jest przerwany w dowolnym miejscu lub jeśli końce kabla nie są
zamknięte terminatorami, sygnał elektryczny przesyłany jest tam i z powrotem przez sieć,
co uniemożliwia komunikację w całym segmencie. Rys. 6 przedstawia topologię magistrali.

Rys. 6 Topologia magistrali

Na wydajność magistrali ma wpływ również ilość podłączonej do niej komputerów. Im więcej
komputerów jest podłączonych do magistrali, tym więcej komputerów czeka na możliwość
przesłania danych, a co za tym idzie, sieć jest coraz wolniejsza. Poza tym ze względu na sposób
komunikacji komputerów w topologii magistrali generowanych jest dużo kolizji. Kolizje jest to ruch
generowany w sieci przez komputery, które w tym samym czasie próbują komunikować się
z innymi komputerami.

Gwiazda

W topologii gwiazdy kabel sieciowy z każdego komputera jest podłączony do centralnego
urządzenia zwanego koncentratorem lub przełącznikiem. W topologii gwiazdy sygnał jest
przesyłany z komputera przez koncentrator do wszystkich komputerów w sieci lub w przypadku
przełącznika do określonego hosta. Zaletą topologii gwiazdy jest to, że uszkodzenie kabla lub portu
na urządzeniu uniemożliwia komunikację tylko jednemu komputerowi i nie ma wpływu
na pozostałe. Schemat połączeń typu gwiazda przedstawiony jest na Rys. 7.

Rys. 7 Topologia gwiazdy

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 12/22

Wadą stosowania tej topologii jest to, że został wprowadzony pojedynczy punkt awarii. Jeśli
koncentrator ulegnie awarii, cala sieć przestanie funkcjonować. Poza tym w topologii gwiazdy
również występują kolizje.

Pierścień

W topologii pierścienia komputery połączone są w zamkniętej pętli. Sygnał wędruje w pętli od
komputera do komputera, który pełni rolę wzmacniaka regenerującego sygnał i wysyłającego go do
następnego komputera. W większej skali sieci LAN mogą być połączone w topologii pierścienia za
pomocą grubego kabla koncentrycznego lub światłowodu.
Metoda transmisji danych w pętli nazywana jest przekazywaniem żetonu dostępu. Żeton dostępu
jest określoną sekwencją bitów zawierających informację kontrolną. Przejęcie żetonu zezwala
urządzeniu w sieci na transmisję danych w sieci. Każda sieć posiada tylko jeden żeton dostępu.
Komputer wysyłający usuwa żeton z pierścienia i wysyła dane przez sieć. Każdy komputer
przekazuje dane dalej, dopóki nie zostanie znaleziony komputer, do którego pakiet jest
adresowany. Następnie komputer odbierający wysyła komunikat do komputera wysyłającego
o odebraniu danych. Po weryfikacji, komputer wysyłający tworzy nowy żeton dostępu i wysyła go
do sieci.
Zaletą topologii pierścienia jest lepsza metoda zarządzania ruchem w sieci niż w sieciach o topologii
magistrali. Poza tym w topologii pierścienia zmniejszony został poziom zakłóceń. Wadą tej topologii
jest to, że w danym momencie czasu w pojedynczym pierścieniu może nadawać tylko jeden
komputer. Dodatkowo topologie pierścienia są zwykle droższe od innych topologii. Schemat
topologii pierścienia został zaprezentowany na Rys. 8.

Rys. 8 Topologia pierścienia

Topologia pełnych połączeń

W topologii pełnych połączeń komputery są połączone każdy z każdym za pomocą oddzielnego
okablowania. Taka konfiguracja powoduje, że istnieją dodatkowe ścieżki połączeń sieciowych i jeśli
jeden kabel ulegnie awarii, łączność można nawiązać przez inny kabel i sieć funkcjonuje nadal.
W większej skali wiele sieci LAN może być ze sobą połączonych w topologii pełnych połączeń za
pomocą dzierżawionych linii telefonicznych, grubego kabla koncentrycznego lub światłowodu.
Ponieważ istnienie wielu dodatkowych ścieżek sieciowych wymaga więcej okablowania niż
w przypadku innych topologii, topologia ta jest bardziej kosztowna. Schemat topologii pełnych
połączeń został przedstawiony na Rys. 9.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 13/22

Rys. 9 Topologia pełnych połączeń

Topologia mieszana

W topologii mieszanej, dwie lub więcej topologii połączone są w jedną sieć. Sieci są rzadko
projektowane w postaci pojedynczej topologii. Najczęściej używa się dwóch topologii mieszanych:
topologia gwiazda-magistrala oraz topologia gwiazda-pierścień.
W topologii gwiazda-magistrala kilka sieci o topologii gwiazdy jest połączonych w układzie
magistrali. Ta topologia wykorzystywana jest, gdy konfiguracji gwiazdy nie da się bardziej
rozbudować. W topologii gwiazda-magistrala awaria jednego komputera nie wpływa na działanie
reszty sieci, jednakże jeśli awarii ulegnie koncentrator łączący wszystkie komputery gwiazdy, wtedy
wszystkie komputery podłączone do tego urządzenia nie będą mogły komunikować się w sieci.
Schemat tego typu połączeń został zaprezentowany na Rys. 10.

Rys. 10 Topologia mieszana gwiazda-magistrala

W topologii gwiazda-pierścień komputery są połączone do centralnego urządzenia jak w topologii
gwiazdy, jednakże urządzenia te są połączone miedzy sobą w topologii pierścienia. Podobnie jak
w przypadku topologii gwiazda-magistrala, awaria jednego komputera nie wpływa na działanie
reszty sieci. Dzięki metodzie przekazywania żetonu każdy komputer w topologii gwiazda-pierścień
ma równe szanse na komunikację. Dzięki temu możliwy jest większy ruch między segmentami niż
w przypadku sieci o topologii gwiazda-magistrala

.

Topologię gwiazda-pierścień przedstawia Rys. 11.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 14/22

Rys. 11 Topologia mieszana gwiazda-pierścień

Warstwa logiczna sieci

Technologie sieciowe

W celu zapewnienia komunikacji w sieciach LAN i WAN wykorzystywane są różnego rodzaju
technologie sieciowe. Odpowiedni wybór technologii umożliwia osiąganie wysokiej wydajności sieci
oraz innych korzyści ekonomicznych. Do najpopularniejszych technologii sieciowych zaliczamy:

• Ethernet
• Token Ring
• ATM
• FDDI
• Frame Relay

Technologie te różnią się metodami dostępu do medium oraz sposobem organizacji przesyłanych
danych.

Ethernet

Ethernet jest popularną technologią stosowaną w sieciach LAN, używającą metody dostępu
z wykrywaniem kolizji CSMA/CD (ang. Carrier Sense Multiple Access with Collision Detection)
i różnego rodzaju okablowania. Technologia Ethernet jest pasywna, co znaczy, że nie wymaga
własnego źródła zasilania, a co za tym idzie, nie ulega awarii dopóki kabel nie jest fizycznie odcięty
lub niewłaściwie zakończony. W technologii Ethernet może być używanych wiele protokołów
komunikacyjnych oraz można łączyć mieszane środowiska komputerowe, jak Netware, UNIX,
Windows oraz Macintosh.
CSMA/CD jest zestawem reguł określających, w jaki sposób urządzenia sieciowe mają reagować na
sytuację, w której dwa urządzenia próbują równocześnie wysyłać dane do sieci. Równoczesna
transmisja danych przez wiele komputerów powoduje kolizję. Aby temu zapobiec, każdy komputer
kliencki oraz serwer sprawdzają, czy możliwe jest prowadzenie transmisji, jednakże w dużych, w źle
zaprojektowanych sieciach wykrycie stanu łącza może okazać się utrudnione lub wręcz niemożliwe.
Po wykryciu kolizji urządzenie czeka losowy przedział czasu i ponownie próbuje wysłać dane. Jeśli
ponownie urządzenie wykryje kolizję, czeka dwukrotnie dłużej, zanim ponowi próbę wysłania
danych. Mechanizm powyższy nazywa się algorytmem odstąpienia (ang. backoff algorithm).
Sieci Ethernet osiągają obecnie prędkości pomiędzy 10 Mb/s i 1 Gb/s (coraz szerzej stosowany jest
już standard 10 Gb/s) i zależą one w głównej mierze od klasy urządzeń i stosowanych kabli
sieciowych.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 15/22

Token Ring

Sieci Token Ring są implementowane w postaci topologii pierścienia. Fizyczna topologia sieci Token
Ring jest topologią gwiazdy, gdzie wszystkie komputery są podłączone do koncentratora MSAU
(ang. Multistation Access Unit). Logiczny pierścień reprezentuje drogę przekazywania żetonu
między komputerami podobną do pierścienia. Kiedy pierwszy komputer w sieci Token Ring zostanie
włączony, sieć generuje żeton dostępu. Żeton dostępu wędruje do każdego komputera
w pierścieniu, dopóki jakiś komputer nie przejmie nad nim kontroli.
Kiedy komputer przejmie żeton dostępu, może wysłać ramkę danych przez sieć. Ramka wędruje
przez pierścień aż osiągnie komputer, którego adres znajduje się w ramce. Komputer przeznaczenia
kopiuje ramkę do pamięci i oznacza pole statusu ramki sygnalizując, że odebrał dane. Ramka
kontynuuje wędrówkę przez pierścień dopóki nie dotrze do komputera wysyłającego, informując go
o powodzeniu transmisji. Następnie komputer wysyłający usuwa ramkę z pierścienia i generuje
nowy żeton dostępu.
Prędkość transferu w sieciach Token Ring wynosi od 4 do 16 Mb/s.

ATM

Sieć ATM (ang. Asynchronous Transfer Mode) jest siecią z przełączaniem pakietów, w której pakiety
wysyłane w sieciach LAN lub WAN mają stały rozmiar. Pakiety o stałym rozmiarze, nazywane
komórkami, są pakietami danych zawierającymi jedynie podstawowe informacje o ścieżce,
pozwalające urządzeniom przełączającym na szybkie przekazywanie pakietów. Komunikacja
odbywa się w systemie punkt-punkt, zapewniając każdej stacji stałą, wirtualną ścieżkę wymiany
danych. Dzięki dużej przepustowości sieć ATM nadaje się do przesyłania:

• głosu
• wideo w czasie rzeczywistym
• dźwięku o jakości CD
• zdjęć, takich jak obrazy radiologiczne w czasie rzeczywistym
• megabitowych danych

Prędkość transferu w sieciach ATM wynosi od 155 do 622 Mb/s.

FDDI

Technologia FDDI (ang. Fiber Distributed Data Interface) umożliwia realizację szybkich połączeń dla
różnych rodzajów sieci. Sieć FDDI składa się z dwóch podobnych strumieni danych przepływających
w przeciwnych kierunkach w dwóch pierścieniach. Pierwszy pierścień jest nazywany pierścieniem
podstawowym, a drugi pierścieniem zapasowym. Jeśli wystąpią problemy z pierścieniem
podstawowym, takie jak awaria pierścienia czy przerwanie kabla, pierścień samoczynnie zmieni
swoją konfigurację, transmitując dane do pierścienia zapasowego, który kontynuuje transmisję.
Prędkość transferu w sieciach FDDI wynosi 100 Mb/s.

Frame Relay

Frame Relay jest siecią z przełączaniem pakietów, w której pakiety wysyłane poprzez sieci LAN lub
WAN mają zmienny rozmiar. Zmiennej długości pakiety zawierają dodatkowe informacje dotyczące
adresowania i obsługi błędów konieczne do dostarczenia pakietów do odbiorcy.
Komunikacja odbywa się w sieci, która zapewnia każdej stacji stałą, wirtualną ścieżkę wymiany
danych. Ten rodzaj sieci używa cyfrowych lub światłowodowych połączeń, umożliwiających szybki
transfer danych. Przełączanie pakietów opiera się na metodzie dzielenia dużych bloków danych na
mniejsze kawałki (pakiety) przy wysyłaniu danych poprzez sieć WAN.
Prędkość transferu w sieci Frame Relay zależy od prędkości, jaką udostępnia dostawca poprzez
cyfrowe linie dzierżawione.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 16/22

Protokoły sieciowe

Protokoły w swojej istocie stanowię element oprogramowania i jako takie muszą zostać
zainstalowane na składnikach sieci, które mają z nich korzystać. Komputery mogą komunikować się
ze sobą tylko pod warunkiem, że korzystają z tego samego protokołu. W danym środowisku
sieciowym mogą być wykorzystywane bardzo różne protokoły. Chociaż każdy protokół jest w stanie
zapewnić podstawową obsługę procesu komunikacji w sieci, każdy też ma pewne
charakterystyczne funkcje, przeznaczone do realizacji specyficznych zadań. Aby zrozumieć
poszczególne funkcje różnych protokołów, konieczne jest poznanie standardowego modelu
opisującego komunikację w sieci — modelu OSI (ang. Open Systems Interconnection).

Model ISO/OSI

Model ISO/OSI składa się z zestawu siedmiu warstw protokołów, z których każda odpowiada za
realizację pewnych funkcji umożliwiających transmisję danych w obrębie sieci. Zgodnie z modelem
koncepcyjnym OSI, aby możliwa była prawidłowa transmisja danych w sieci, kilka protokołów musi
pracować razem. W praktyce jest to realizowane poprzez zastosowanie stosu protokołów. Podczas
przesyłania danych zgodnie z modelem ISO/OSI, muszą one zostać podzielone na pakiety. Przy
przejściu przez poszczególne warstwy do pakietu dodawane są specyficzne informacje. To na jakiej
warstwie pracuje dany protokół determinuje jego funkcje i przeznaczenie. Rys. 12 przedstawia
schemat modelu referencyjnego ISO/OSI oraz typów protokołów sieciowych.

Rys. 12 Model ISO/OSI

Poszczególne warstwy modelu ISO/OSI spełniają następujące zadania:

• Warstwa 1 – Fizyczna (Layer 1, Physical layer) – najniższa warstwa modelu,

odpowiedzialna za media fizyczne łączące hosty w sieci. Specyfikuje ona medium
fizyczne oraz definiuje sygnały użyte w przesyle informacji (elektryczne, optyczne,
radiowe). Do funkcjonalności tej nazwy można także przypisać specyfikację interfejsu
sieciowego – NIC (ang. Network Interface Card), taktowanie tego interfejsu, kodowanie
binarne sygnałów oraz sprawdzanie błędów transmisji.

• Warstwa 2 – Łącza danych (Layer 2, Data Link layer) – odpowiada za sterowaniem

przepływem przesyłanych informacji oraz synchronizację transmisji. Warstwa druga
określa dostęp do mediów oraz adresuje porty z wykorzystaniem adresów MAC.
W warstwie łącza danych odbywa się kontrola sumy kontrolnej. Równie istotnymi
funkcjami warstwy drugiej są operacje na ramkach, takie jak ich mostkowanie
i przełączanie ramek.

• Warstwa 3 – Sieciowa (Layer 3, Network Layer) – najistotniejszą funkcjonalnością

warstwy trzeciej jest stosowanie protokołów adresowania w sieci, których przykładem
może być protokół IP.

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 17/22

• Warstwa 4 – Transportowa (Layer 4, Transport Layer) – zapewnia komunikację

w dwóch trybach: połączeniowym z TCP oraz bezpołączeniowym z UDP. Jej
dodatkowymi zadaniami jest segmentowanie danych oraz zarządzanie niezawodną
komunikacją typu end-to-end.

• Warstwa 5 – Sesji (Layer 5, Session Layer) – odpowiedzialna za rozpoczęcie

i zakończenie, a także sterowanie konwersacjami między dwoma aplikacjami. Jej
funkcjonalność można określić jako sterowanie i zarządzanie wieloma wiadomościami
przesyłanymi dwukierunkowo.

• Warstwa 6 – Prezentacji (Layer 6, Presentation Layer) – zapewnia zgodność formatów

informacji oraz kompresję i szyfrowanie danych w przypadku ich wykorzystania.

• Warstwa 7 – Aplikacji (Layer 7, Application Layer) – jest to najwyższa warstwa modelu,

znajdująca się najbliżej użytkownika. Jej głównym zadaniem jest kontrola integralności
danych oraz odtwarzanie błędnych informacji.

Stosy protokołów

Do podstawowych stosów protokółów zaliczyć można TCP/IP, IPX/SPX oraz AppleTalk. Każdej
warstwie stosu protokołów przyporządkowany jest jeden protokół, odpowiedzialny za wykonanie
zadania należącego do tej warstwy, jednak ogólnie rzecz biorąc, odpowiedzialność za wykonanie
poszczególnych zadań zapewniających prawidłową komunikację spoczywa na trzech typach
protokołów:

• Protokoły aplikacji – zapewniają wymianę danych pomiędzy aplikacjami pracującymi w

sieci. Przykładem często stosowanego protokołu aplikacji jest protokół FTP (ang. File
Transfer Protocol) oraz SMTP (ang. Simple Mail Transfer Protocol).

• Protokoły transportu – odpowiadają za prowadzenie sesji komunikacyjnych pomiędzy

komputerami oraz zapewniają, że dane są poprawnie przekazywane pomiędzy
komputerami. Często stosowanym protokołem transportu jest protokół TCP (ang.
Transmission Control Protocol).

• Protokoły sieci – zapewniają tzw. usługi połączeniowe. Protokoły te określają reguły

komunikowania się w poszczególnych środowiskach sieciowych. Często stosowanym
protokołem, odpowiedzialnym za usługi sieciowe, jest protokół IP (ang. Internet
Protocol).

Przesyłanie danych

Efektywne zarządzanie procesem komunikacji w dużych sieciach jest bardzo trudne z powodu zbyt
dużego natężenia ruchu. Administratorzy sieci mogą rozwiązać ten problem dzieląc dużą sieć na
kilka segmentów. Dane w sieci mogą być przesyłane z jednego segmentu sieci do drugiego wzdłuż
dowolnej z istniejących ścieżek. Przesyłanie danych pomiędzy segmentami sieci nosi nazwę
routingu. Protokoły można podzielić na dwie kategorie:

• Protokoły routowalne – są w stanie zapewnić transmisję danych z jednego segmentu

sieci do innego wzdłuż dowolnej ścieżki łączącej dwa segmenty sieci. Przykładowymi
routowalnymi protokołami są protokoły TCP/TP oraz IPX/SPX.

• Protokoły nieroutowalne – nie zapewniają transmisji danych z jednego segmentu sieci

do innego. Komputery korzystające z protokołów nieroutowalnych mogą komunikować
się tylko z komputerami znajdującymi się w tym samym segmencie sieci. Protokoły
NetBEUI (ang. Network Basic Input/Output System) oraz DLC (ang. Data Link Control) są
przykładami protokołów nieroutowalnych.

Typy transmisji danych

Możemy wyróżnić następujące typy transmisji danych:

• Unicast – w przypadku transmisji typu unicast oddzielna kopia danych przesyłana jest

ze źródła do każdego komputera będącego klientem, który ich zażąda. Transmisja typu

Marek Pyka
ITA-108 Technologie sieciowe

unicast nie jest j
danych, poniewa

• Broadcast – w tr

przesyłana do w
co komputer wys
dane mają zostać
typie transmisji d
niepotrzebne obn

• Multicast – w

wysyłana tylko do
liczne kopie tych
aplikacji multim
internetowych w
klienckimi.

Narzędzia monitorowania

Microsoft Network Monitor

Najodpowiedniejszym narz
wykorzystywanych protoko
Narzędzie to jest omówione

Podsumowanie

W rozdziale tym zostały
Zamieszczone w tym rozdzi
związane z technologiami sie

Przykładowe rozwiązanie

Jako inżynier systemowy
przedsiębiorstwa posiadające
prawdopodobieństwa wyst
administratorze odziedziczyłe

Rys

Przedyskutuj powyższą infra
na poniższe pytania:

Jakie elementy rozpozn

Wprowadze

Strona 18/22

st jednak zbyt efektywna, jeśli wiele komputerów

waż źródło musi wtedy nadać wiele jednakowych ko

trakcie transmisji danych typu broadcast pojedyn

o wszystkich klientów znajdujących się w tym sa

wysyłający. Transmisja typu broadcast nie jest jedna

stać wysłane tylko do części komputerów w segmen

sji dane są odbierane i przetwarzane przez każdego

obniżenie wydajności sieci.

przypadku transmisji typu multicast pojedync

o do klientów, którzy ich zażądali. Przez sieć nie mu
ych samych danych. Ogranicza to ruch w sieci i um

ltimedialnych bez niepotrzebnego przeciążenia

h wykorzystuje transmisję typu multicast do komu

ania protokołów sieciowych

Monitor

narzędziem służącym do monitorowania ruc

okołów sieciowych są narzędzia klasy Microso

ne w module 2 tego kursu.

ły omówione podstawowe informacje na temat

zdziale informacje stanowią podstawę do dalszych

i sieciowymi.

anie

wy masz dokonać projektu budowy infrastru

ającego oddziały zdalne. Podczas projektu musisz pa

wystąpienia kolizji podczas przesyłania pakiet

czyłeś plan sieci jak na Rys. 13.

Rys. 13 Schemat infrastruktury sieciowej przedsiębiorstwa

nfrastrukturę z kolegami i koleżankami z grupy. Sp

poznajecie?

Moduł I

adzenie do sieci komputerowych

erów zażąda tych samych

h kopii informacji.

edyncza kopia danych jest

samym segmencie sieci,

dnak zbyt efektywna, jeśli

encie, ponieważ przy tym

dego klienta. Powoduje to

yncza kopia danych jest

muszą więc być wysyłane

i umożliwia wprowadzenie
enia sieci. Wiele usług

munikacji z komputerami

ruchu sieciowego oraz

rosoft Network Monitor.

at sieci komputerowych.

zych rozważań na tematy

astruktury sieciowej dla

z pamiętać o zmniejszeniu

kietów. Po poprzednim

. Spróbujcie odpowiedzieć

Marek Pyka
ITA-108 Technologie sieciowe

Jakie technologie sieciowe m
Jaką topologie sieciowe są uk
Pierwszym zadaniem, które
z przyjętymi ogólnie zasadam
Do wykonania schematu i
sieciowe:

Symbol

Opi

10

100

ATM

Sw

Rou

Rou
W/

Wir
Rou

Tra
Wir

Inte

Przykładowy fragment prze
przedstawia segment sieci oz

Rys. 14

Wprowadze

Strona 19/22

e mogłyby być zastosowane w niniejszej infrastruktu

ą ukazane na powyższym rysunku?

tóre sobie wyznaczyłeś to przerysowanie powyżs

adami.

tu infrastruktury wykorzystaj następujące, ogóln

Opis

Symbol

10-Base-T Hub

100-Base-T Hub

ATM Switch

Switch

Router

Router
W/Firewall

Wireless
Router

Transport
Wireless

Internet

przerysowanej infrastruktury znajduje się na

ci oznaczony napisem „Switched LAN’s”

14 Schemat infrastruktury sieciowej przedsiębiorstwa- standar

Moduł I

adzenie do sieci komputerowych

ukturze?

yższego rysunku zgodnie

gólno dostępne symbole

Opis

Bridge

IDS

FDDI Concentrator

VPN

SSL

NAT

PBX

Firewall

Universal
Gateway

a Rys. 14. Rysunek ten

ndard

Marek Pyka
ITA-108 Technologie sieciowe

Czy potrafiłbyś wykona
Czy już na tym etapie p

Porady praktyczne

Uwagi ogólne

• Pamiętaj, że znaj

prowadzenie czyn

• Naucz się dobrze
• W budowie sieci w
• Unikaj kolizji i bur
• Unikaj instalowan
• Pamiętaj, że praca
• Jeżeli to możliwe
• Zapoznaj się dokła
• Przeanalizuj działa

Uwagi dla studenta

Jesteś przygotowany do reali

• znasz model ISO/
• rozumiesz działan
• wiesz, jaką rolę w
• znasz problemy w
• zapoznałeś się z

ISO/OSI, unicast,

Pamiętaj o zapoznaniu się z
że rozumiesz omawiane w
zawartego w uwagach, prz
z wykładów.

Dodatkowe źródła inform

1.

http://pl.wikipedia.org/w

Bardzo szczegółowy
związanych.

2. http://pl.wikipedia.org/w

Zbiór informacji na te

3.

Karol Krysiak, Sieci kompu

Bardzo dobry podręc

4.

Mark Sportack, Sieci komp

Książka przybliża po
współczesnemu info
pozwalając na pozna

5. Brian Komar, TCP/IP dla k

Książka omawia zaró
jak i praktyczne s
operacyjnych stosow

Wprowadze

Strona 20/22

onać pełny schemat infrastruktury?

ie potrafisz wykazać słabe strony tego projektu?

znajomość zasad działania urządzeń sieciowych mo

czynności administracyjnych w przyszłej pracy.

rze przygotowywać kable sieciowe w obu standarda

ieci wykorzystuj przełączniki i unikaj koncentratorów

i burz rozgłoszeń dzięki segmentacji sieci.

wania zbędnych protokołów.

raca w jednej dużej domenie rozgłoszeniowej zmnie

iwe stosuj multicast jako metodę przesyłania danych

okładnie z modelem ISO/OSI.

ziałanie urządzeń zgodnie z modelem ISO/OSI.

realizacji laboratorium jeśli:

SO/OSI
ałanie urządzeń sieciowych
lę w budowaniu sieci odgrywają routery i przełącznik

y wynikające z stosowania koncentratorów w sieci

ię z pojęciami dotyczącymi modułu takimi jak ko
ast, multicast czy broadcast.

ę z uwagami i poradami zawartymi w tym module. U

w nich zagadnienia. Jeśli masz trudności ze

przeczytaj ponownie informacje z tego rozdziału

ormacji

g/wiki/Model_OSI

łowy opis modelu OSI wraz z odnośnikami do

g/wiki/Protokoły_sieciowe

na temat budowy i działania protokołów sieciowych

mputerowe. Kompendium, Helion 2003

dręcznik ogólnej wiedzy o sieciach komputerowych

omputerowe. Księga eksperta, Helion 2004
podstawowe założenia sieci komputerowych, któ

informatykowi. Krok po kroku wprowadzi Cię w

znanie ich architektury i zrozumienie zasad działania

dla każdego. Helion 2002

zarówno teoretyczne podstawy funkcjonowania sie

e sposoby konfigurowania protokołów w różn
sowanych we współczesnych sieciach.

Moduł I

adzenie do sieci komputerowych

może znacznie ułatwić Ci

rdach.

rów.

niejsza wydajność sieci.

nych.

czniki
ieci

kolizja, pakiet, protokół,

le. Upewnij się,

ze zrozumieniem tematu

ziału i zajrzyj do notatek

do innych stron z nim

ych

ch.

które powinny być znane

ię w problematykę sieci,

łania.

sieci opartych na TCP/IP,

różnorodnych systemach

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 21/22

Laboratorium podstawowe

Problem 1 (czas realizacji 20 min)

Chcesz dokonać wyboru urządzeń sieciowych do projektu sieci, który właśnie opracowujesz. Musisz
zastanowić się nad zastosowaniem odpowiednich urządzeń w odpowiednim miejscu infrastruktury.
Zanim dokonasz wyboru musisz zebrać kilka podstawowych informacji.
To ćwiczenie pomoże w lepszym poznaniu siedmiu warstw modelu OSI. Szczególny nacisk położono
na sposób, w jaki są one powiązane z najpopularniejszym urządzeniami sieciowymi. Siedem warstw
modelu OSI jest najczęściej wykorzystywane do opisywania i porównywania oprogramowania
i sprzętu sieciowego pochodzącego od różnych producentów. Znajomość modelu i umiejętność
wzajemnego powiązania warstw modelu i urządzeń sieciowych na nich działających jest bardzo
ważna. Uzyskane informacje zapisz poniżej

Nr. warstwy

Nazwa warstwy

Typ urządzenia

Jednostka enkapsulacji

7

6

5

4

3

2

1

Problem 2 (czas realizacji 25 min)

Twoim zadaniem jest przygotowanie składającego się z czterech par (ośmiu żył) kabla prostego,
czyli takiego, w którym kolor przewodu na styku 1 po jednym końcu kabla będzie taki sam, jak kolor
przewodu na styku 1 na drugim końcu. Styk 2 na jednym końcu będzie taki sam, jak styk 2 na
drugim itd. Kabel powinieneś utworzyć na podstawie standardów TIA/EIA T568B lub T568A sieci
Ethernet 10BASE-T, które określają kolor przewodu na każdym styku. Standard T568B, zwany
również specyfikacją AT&T, jest bardziej popularny w Stanach Zjednoczonych, ale wiele instalacji
jest tworzonych na podstawie standardu okablowania T568A, zwanego również standardem ISDN.
Przed rozpoczęciem ćwiczenia nauczyciel lub asystent powinien zaopatrzyć Cię w szpulę skrętki
nieekranowanej UTP kategorii 5, złącza RJ-45 (8-stykowe), narzędzie do zaciskania złączy RJ-45 oraz
przyrząd do testowania ciągłości kabli Ethernet/RJ-45. Praca odbywa się indywidualnie lub
w grupach. Potrzebne będą następujące elementy:

• odcinek kabla kategorii 5 o długości od 0,6 do 0,9 m na każdą osobę lub zespół
• cztery złącza RJ-45, w tym dwa zapasowe
• narzędzie do zaciskania złączy RJ-45 na końcach kabla
• przyrząd do testowania ciągłości okablowania sieci Ethernet, służący do badania kabli

prostych i z przeplotem, T568A lub T568B

• kleszcze do cięcia kabli

Za pomocą zaciskarki przygotuj gniazdo RJ-45 do instalacji w gniazdku ściennym. Umiejętności te są
przydatne w przypadku instalowania niewielkiej liczby kabli w biurze lub w mieszkaniu. Zaciskarka
jest wyposażona w mechanizm sprężynowy, który umożliwia wciśnięcie przewodów między
metalowe styki przy jednoczesnym ściągnięciu izolacji z przewodów. Pozwala to na uzyskanie

Marek Pyka

Moduł I

ITA-108 Technologie sieciowe

Wprowadzenie do sieci komputerowych

Strona 22/22

dobrego połączenia elektrycznego między przewodami a stykami w gnieździe. W zadaniu używane
będą kable kategorii 5 lub kategorii 5e oraz gniazda T568B kategorii 5 lub 5e. Gniazda takie służą
zwykle do przyłączenia komputera PC do sieci. W tym celu stosowane są przeważnie połączeniowe
kable proste kategorii 5 lub 5e ze złączami RJ-45. W przypadku sieci Fast Ethernet (100 Mb/s)
i Gigabit Ethernet (1000 Mb/s) istotne jest zastosowanie gniazd kategorii 5 lub 5e i paneli
połączeniowych z okablowaniem kategorii 5 lub 5e. Wciskanie przewodów do gniazda
umieszczanego przy komputerze przebiega tak samo, jak w panelu połączeniowym w węźle
dystrybucji okablowania. Potrzebne będą następujące elementy:

• kabel kategorii 5 lub 5e o długości 60–90 cm
• dwa gniazda RJ-45 kategorii 5/5e (oraz jedno zapasowe);
• gniazdko ścienne kategorii 5 lub 5e
• zaciskarka typu 110
• kleszcze do cięcia kabli

Laboratorium rozszerzone

Zadanie 1 (czas realizacji 45 min)

Twoim zadaniem jest przygotowanie przeznaczonej dla biura terenowego propozycji zastąpienia
koncentratorów przełącznikami oraz rozważenie co najmniej dwóch różnych rozwiązań
i szczegółowe opracowanie propozycji. Szczegółowe założenia są następujące:

• Firma posiada oddział terenowy, w którym działa sieć Ethernet oparta na

koncentratorach. Ponieważ liczba usług dostępnych w sieci rośnie, przeciążenia stają się
poważnym problemem. Aktualnie na każdym z trzech pięter w węźle dystrybucji
okablowania jest jeden lub kilka koncentratorów, które obsługują 30-35 komputerów,
natomiast na parterze jest 65 komputerów.

• Wszystkie cztery kondygnacje są dołączone do przełącznika mającego 8 portów o

szybkości 10 Mb/s, który został dodany wcześniej w celu zmniejszenia problemów z
przeciążeniami. Chociaż to rozwiązanie przyniosło znaczną poprawę, teraz już nie
wystarcza. Do tego 8-portowego przełącznika dołączone są również dwa serwery i
router połączone z Internetem.

• Okablowanie oddziału jest względnie nowe i zgodne ze standardami kategorii 5.

Aktualnie firma nie jest zainteresowana żadnymi większymi zmianami w okablowaniu.

• Co najmniej 75% ze 160 stacji roboczych jest wyposażone w karty sieciowe o szybkości

10/100 Mb/s, działające w trybie pełnego dupleksu. Wszystkie laptopy mają nowsze
karty sieciowe. Wszystkie nowe komputery są wyposażone w podobne karty sieciowe.

• Zastanów się, co zrobić z aktualnie wykorzystywanym przełącznikiem. Czy możliwe jest

uzyskanie większej szerokości pasma połączenia obu serwerów?

• Wymagania obejmują następujące elementy:
• Zastąpienie wszystkich koncentratorów przełącznikami.
• Wymiana kart sieciowych o szybkości 10 Mb/s w komputerach stacjonarnych.
• Każde połączenie z hostem powinno obsługiwać co najmniej szybkość 10/100 Mb/s.
• Rozpocznij od zbierania informacji na temat cen i parametrów urządzeń.
• Wyniki zanotuj w tabeli, najlepiej użyj do tego programu Excel.

ITA-108 Technologie sieciowe

Marek Pyka

Moduł II

Wersja 1

Omówienie i analiza TCP/IP

Spis treści

Omówienie i analiza TCP/IP ........................ ................................................... ...................................... 1

Informacje o module ............................... ................................................... .......................................... 2

Przygotowanie teoretyczne ............................................................................ ..................................... 3

Przykładowy problem ............................... ................................................... ................................ 3

Podstawy teoretyczne............................... ................................................... ................................ 3

Przykładowe rozwiązanie ........................... ................................................... ............................. 17

Porady praktyczne ................................. ................................................... ................................. 17

Uwagi dla studenta ................................ ................................................... ................................. 17

Dodatkowe źródła informacji........................ ................................................... .......................... 18

Laboratorium podstawowe ........................... ................................................... .................................. 19

Problem 1 (czas realizacji 20 min) ................................................................... ........................... 19

Problem 2 (czas realizacji 25 min) ................................................................... ........................... 22

Laboratorium rozszerzone .......................... ................................................... .................................... 22

Zadanie 1 (czas realizacji 45 min) ................ ................................................... ............................ 23

Zadanie 2 (czas realizacji 45 min) ................ ................................................... ............................ 23

Zadanie 3 (czas realizacji 90 min) ................ ................................................... ............................ 24

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 2/24

Informacje o module

Opis modułu
W tym module znajdziesz informacje dotyczące zasady działania stosu
protokołów TCP/IP, jego implementacji w systemie Windows Server 2008
oraz analizy i rozwiązywania problemów z komunikacją sieciową. Zapoznasz
się z zasadami analizy pakietów TCP/IP w środowisku sieciowym Windows
Server 2008. Zawarte w module tym zadania umożliwią Ci zapoznanie się
z procesem planowania, wdrażania i analizy protokołu TCP/IP w organizacji.

Cel modułu
Celem

modułu

jest

przedstawienie

zasad

funkcjonowania

sieci

komputerowych opartych o protokół TCP/IP oraz przedstawienie
problematyki analizy przebiegu komunikacji zgodnie z modelem TCP/IP.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• wiedział, jaką rolę w sieci pełni protokół TCP/IP
• rozumiał jego implementację w systemie Windows Server 2008
• potrafił dokonać analizy pakietów przesyłanych w sieciach

komputerowych

• wiedział, w jaki sposób wykorzystywać oprogramowanie Network

Monitor do analizy pakietów.

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać podstawy działania sieci komputerowych
• rozumieć działanie urządzeń sieciowych
• być zaznajomionym z modelem referencyjnym ISO/OSI
• znać zasady pracy w środowisku Windows Server 2008

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 1.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 3/24

Przygotowanie teoretyczne

Przykładowy problem

Umiejętność analizy przebiegu transmisji sieciowej jest bardzo ważnym narzędziem dla
administratora. Większość wiedzy o wykorzystywanych w infrastrukturze aplikacjach i protokołach
uzyskasz właśnie z analizy przesyłanych pakietów. Sprawne wykorzystywanie narzędzi takich jak
monitory sieciowe da Ci również możliwość analizy przebiegu ataków informatycznych
na infrastrukturę IT. Jednym z zadań, w których będziesz musiał wykazać się tą umiejętnością jest
wyszukiwanie w infrastrukturze zarażonych komputerów różnorakimi wirusami i robakami
internetowymi oraz komputerów wykorzystujących nieautoryzowane oprogramowanie takie jak
Emule czy Gadu-Gadu.
Przeprowadź analizę najpopularniejszych protokołów sieciowych oraz wykorzystujących je aplikacji
użytkowej, w oparciu o wyniki przygotuj plan zabezpieczenia jej przed atakami
teleinformatycznymi.

Podstawy teoretyczne

Protokół TCP/IP zaimplementowano w niemal wszystkich liczących się systemach operacyjnych,
począwszy

od

mikrokomputerów

a

skończywszy

na

komputerach

typu

mainframe

i superkomputerach. Dzięki stosowaniu sieci opartych o TCP/IP możliwa jest komunikacja różnego
rodzaju sprzętu, aplikacji i systemów operacyjnych. Wykorzystanie tego protokołu
w przedsiębiorstwie zapewnia routing pakietów IP (opisany szczegółowo w dalszej części tego
podręcznika) oraz dostęp do wielu usług tj. WWW czy przesyłanie poczty.
TCP/IP to pakiet zgodnych ze standardami przemysłowymi protokołów zapewniających
komunikację w środowisku heterogenicznym. Zadania do wykonania podczas komunikacji TCP/IP są
dzielone między protokoły znajdujące się w czterech różnych warstwach stosu TCP/IP.
Budowa stosu TCP/IP została przedstawiona na Rys. 2.

Rys. 2 Budowa stosu TCP/IP

Stos protokołów TCP/IP obejmuje następujące cztery warstwy:

•

aplikacji,

• transportu,
• Internetu,
• łącza.

Podzielenie funkcji sieciowych na stos oddzielnych protokołów zamiast utworzenia jednego
protokołu ma kilka zalet:

• Oddzielne protokoły ułatwiają obsługę różnych systemów komputerowych.
• Tworzenie lub modyfikowanie protokołów w celu obsługi nowych standardów nie wymaga

modyfikacji całego stosu protokołów.

• Dzięki dostępności wielu protokołów w tej samej warstwie aplikacje mogą wybierać tylko te

protokoły, które zapewnią wymagany poziom usług.

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 4/24

• Ponieważ stos jest podzielony na warstwy, personel wyspecjalizowany w zakresie

poszczególnych warstw może w tym samym czasie opracowywać różne protokoły.

Zależność protokołu TCP/IP od modelu ISO/OSI

Model OSI definiuje różne warstwy związane z pakowaniem, wysyłaniem i odbieraniem transmisji
danych w sieci. Zadania te wykonuje warstwowy pakiet protokołów składających się na stos TCP/IP.
Model odniesienia TCP/IP, zwany modelem DoD (Departament of Defense), inaczej niż OSI nie
przypisuje sztywno funkcji do każdej warstwy, jest więc bardziej elastyczny od modelu OSI.
Podstawowa różnica między modelem OSI a DoD polega na braku stałej gwarancji dostarczania
pakietów przez warstwę transportową. Protokoły TCP i IP łącznie zarządzają przepływem danych
przez sieć w obydwu kierunkach. Analogie w budowie stosu TCP/IP do modelu referencyjnego
ISO/OSI przedstawia Rys. 3.

Rys. 3 Zależności stosu protokołów TCP/IP do modelu ISO/OSI

Warstwa aplikacji stosu TCP/IP

Warstwa aplikacji odpowiada warstwom aplikacji, prezentacji i sesji modelu OSI. Udostępnia ona
usługi i narzędzia, dzięki którym aplikacje mogą uzyskiwać dostęp do zasobów sieciowych.
W warstwie tej znajdują się dwie następujące usługi, które zapewniają dostęp do zasobów
sieciowych: Windows Sockets oraz NetBIOS (Network Basic Input/Output Systems). Zarówno usługa
Windows Sockets, jak i system NetBIOS, zapewniają standardowe interfejsy aplikacji, dzięki którym
programy mogą uzyskiwać dostęp do usług sieciowych.

Adres IP

Aby komunikacja sieciowa mogła się rozpocząć, lokalizacja komputera źródłowego oraz
docelowego w sieci musi być znana. Lokalizacja jest określana przez unikalny numer, zwany
adresem IP, który jest przypisywany do każdego komputera w sieci.

Port TCP/UDP

Port jest identyfikatorem aplikacji działającej na komputerze. Port jest związany z protokołami TCP
lub UDP warstwy transportowej i jest znany jako port TCP lub port UDP. Port może mieć dowolny
numer z zakresu liczb od 0 do 65535. Porty TCP/IP podstawowych aplikacji serwerowych są
zarezerwowane z numerami poniżej 1024, w celu zapobiegania konfliktom z innymi aplikacjami.
Na przykład, serwer FTP używa portów TCP 20 i 21.

Gniazdo

Gniazdo jest złożeniem adresu IP i portu TCP lub portu UDP. Aplikacja tworzy gniazdo przez
określenie adresu IP komputera, rodzaju usługi (TCP dla gwarancji dostarczenia danych, lub UDP)
oraz portu, który aplikacja monitoruje. Adres IP pomaga określić i zlokalizować komputer docelowy,
a port określa aplikację, do której dane są wysyłane.

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 5/24

Warstwa transportowa

Warstwa transportu odpowiada warstwie transportu modelu OSI i gwarantuje dostarczenie
pakietów oraz zapewnia komunikację typu end-to-end przy użyciu jednego z dwóch protokołów.

TCP

Protokół TCP ( Transmission Control Protocol) jest protokołem transportowym wchodzącym
w skład stosu TCP/IP oferującym niezawodną, zorientowaną na połączenie usługą transportową
między dwoma komputerami. Taka komunikacja nazywana jest emisją pojedynczą (unicast).
W komunikacji zorientowanej na połączenie, zanim komputery rozpoczną wymianę danych, musi
być nawiązana sesja.
Po nawiązaniu sesji, dane są przesyłane jedynie przez takie pojedyncze połączenie. Komunikacja
zorientowana na połączenie oznacza również niezawodną komunikację, ponieważ gwarantuje
dostarczenie danych do miejsca przeznaczenia.

Wymiana danych za pomocą protokołu TCP

Protokół TCP, w celu zwiększenia wydajności wysyła pakiety w grupach. Przypisuje numer do
każdego pakietu i dzięki potwierdzeniu odbioru, sprawdza, czy komputer docelowy odebrał grupę
pakietów. Jeśli komputer docelowy, w określonym przedziale czasu nie potwierdził odebrania
każdej wysłanej grupy pakietów, komputer źródłowy ponownie wysyła dane.
Oprócz dodania numeru i żądania potwierdzenia odbioru pakietu, TCP dołącza do pakietu również
numery portów aplikacji źródłowej i aplikacji przeznaczenia. Komputer źródłowy używa portu
docelowego, w celu wysłania pakietu bezpośrednio do właściwej aplikacji na komputerze
docelowym, a komputer docelowy używa portu źródłowego, w celu odpowiedzi do właściwej
aplikacji źródłowej.

Potrójne „uściśnięcie ręki”

Ponieważ TCP jest niezawodnym protokołem komunikacyjnym, zanim dwa komputery rozpoczną
wymianę danych za pomocą protokołu TCP, muszą nawiązać połączenie. Takie połączenie jest
połączeniem wirtualnym, zwanym sesją. Dwa komputery używające TCP nawiązują połączenie lub
sesję TCP w procesie zwanym potrójnym „uściśnięciem ręki”. Proces ten synchronizuje numery
kolejnych pakietów oraz dostarcza inne informacje niezbędne do nawiązania sesji.
Potrójne „uściśnięcie ręki” przebiega w następujący sposób:

1.

Komputer źródłowy inicjuje połączenie przez wysłanie informacji sesyjnej, zawierającej

numer oraz rozmiar pakietu.

2.

Komputer docelowy odpowiada, wysyłając swoją informację sesyjną.

3.

Komputer źródłowy zgadza się i wysyła potwierdzenie odebranych informacji.

UDP

Protokół UDP (User Datagram Protocol) jest protokołem warstwy transportowej identyfikującym
aplikację docelową w komunikacji sieciowej. Protokół UDP oferuje bezpołączeniową usługę
transportową umożliwiającą szybką, lecz zawodną metodą dostarczania danych. UDP nie wymaga
potwierdzenia odebrania danych i nie ponawia wysłania danych, w przypadku ich utraty lub
uszkodzenia. Oznacza to, że mniej danych jest przesyłanych, lecz ani odebranie pakietów, ani
prawidłowy porządek odebranych pakietów nie jest potwierdzany lub gwarantowany. Protokół
UDP jest używany przez aplikacje wysyłające dane do wielu komputerów przez rozgłaszanie lub
multiemisję (multicast).

Warstwa internetowa

Warstwa Internetu odpowiada warstwie sieci modelu OSI. Protokoły w tej warstwie składają dane
z warstwy transportu w jednostki zwane pakietami, adresują je i przesyłają do odpowiednich
lokalizacji.

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 6/24

IP

Protokół IP (Internet Protocol) służy do określania lokalizacji komputera docelowego w komunikacji
sieciowej. Protokół IP jest bezpołączeniowym, zawodnym protokołem odpowiedzialnym głównie za
adresowanie pakietów oraz wybór trasy pakietów między komputerami w sieci. Chociaż protokół IP
zawsze próbuje dostarczyć pakiet, pakiet może zostać utracony, uszkodzony, dostarczony
w niewłaściwej kolejności, powielony lub opóźniony.
W przypadku wystąpienia tego typu błędów protokół IP nie próbuje odzyskać danych, przez żądanie
ponownego ich wysłania. Za żądanie potwierdzenia odbioru pakietów oraz odzyskiwanie
utraconych danych jest odpowiedzialny protokół wyższej warstwy, na przykład protokół TCP lub
sama warstwa aplikacji.

Działanie protokołu IP

Protokół IP można sobie wyobrazić jako urząd pocztowy w stosie TCP/IP, gdzie ma miejsce
sortowanie i dostarczanie pakietów. Pakiety są przekazywane w dół do protokołu IP, przez protokół
UDP lub TCP z warstwy transportowej lub do góry z warstwy interfejsu sieciowego. Głównym
zadaniem protokołu IP jest wybór trasy pakietów, aż do osiągnięcia ich celu.
Każdy pakiet zawiera adres IP hosta wysyłającego oraz adres IP hosta docelowego. Te adresy IP
w pakiecie pozostają niezmienione przez całą drogę pakietu przez sieć. Protokół IP jest również
odpowiedzialny za to, że pakiet nie pozostanie w sieci na zawsze, dzięki określeniu ograniczonej
liczby sieci przez które pakiet może przejść. Jest to zrealizowane przez przypisanie do każdego
pakietu parametru TTL (Time to Live). Parametr TTL określa maksymalny przedział czasu, przez jaki
pakiet może podróżować w sieci, zanim zostanie wygaszony.

ICMP

Protokół ICMP (Internet Control Messager Protocol) oferuje możliwość rozwiązywania problemów
oraz wysłania komunikatów o błędach, w przypadku niedostarczenia pakietów. Dzięki protokołowi
ICMP, komputery i routery mogą informować o błędach oraz wymieniać ograniczone informacje
kontrolne i statusowe. Na przykład, jeśli protokół IP nie może dostarczyć pakietu do komputera
docelowego, protokół ICMP wysyła komunikat Destination Unreachable (cel nieosiągalny) do
komputera źródłowego. Mimo, że do przesyłania danych między routerami jest używany protokół
IP, protokół ICMP zwraca komunikaty o błędach oraz komunikaty kontrolne w imieniu IP. Protokół
ICMP nie czyni protokołu IP niezawodnym, ponieważ same komunikaty ICMP nie żądają
potwierdzenia i dlatego są zawodne.

IGMP

Protokół IGMP (Internet Group Management Protocol) jest protokołem zarządzającym
członkostwem na listach multiemisji IP w sieci TCP/IP. Multiemisja IP jest procesem, w którym
informacje są przesyłane do określonej grupy odbiorców, zwanej grupą multiemisji. Protokół IGMP
zarządza listą komputerów należących do każdej grupy multiemisji.

Zarządzanie multiemisją IP

Wszyscy członkowie grupy multiemisji nasłuchują ruchu IP skierowanego do określonego adresu
multiemisji IP i odbierają pakiety wysłane na ten adres IP. Jednakże, ponieważ Multiemisja odnosi
się do wielu komputerów, pakiety są wysyłane za pomocą zawodnego protokołu UDP,
niegwarantującego dostarczenia pakietów do grupy multiemisji. Kiedy wiele komputerów
potrzebuje dostępu do informacji, takich jak strumień mediów, używany jest adres IP
zarezerwowany dla multiemisji. Routery skonfigurowane do obsługi adresów multiemisji IP,
odbierają

takie

informacje

i przesyłają je do wszystkich członków grupy multiemisji, do których został przypisany adres
multiemisji IP.

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 7/24

ARP

Protokół ARP (Address Resolution Protocol) działający na warstwie internetowej stosu TCP/IP, jest
odpowiedzialny za rozwiązanie adresów dla wychodzących pakietów. Rozwiązywanie adresu jest
procesem, w którym adresy IP są mapowane do adresów MAC. Karta sieciowa używa adresu MAC
do sprawdzenia, czy pakiet jest adresowany do tego komputera. Bez adresu MAC, karta sieciowa
nie jest w stanie określić, czy przekazać dane do wyższej warstwy, w celu dalszego przetworzenia.
Kiedy wychodzący pakiet zostanie przygotowany do wysłania przez warstwę IP, musi zostać dodany
źródłowy i docelowy adres MAC.

Pamięć podręczna ARP

Protokół ARP przechowuje tabelę zawierającą adresy IP i odpowiadające im adresy MAC. Obszar
pamięci, w którym tabela jest przechowywana, nazywany jest pamięcią podręczną ARP. Pamięć
podręczna ARP każdego komputera zawiera mapowania jedynie tych komputerów i routerów, które
są w tym samym segmencie.

Rozwiązywanie fizycznego adresu

Protokół ARP porównuje adres IP każdego wychodzącego pakietu, z pamięcią podręczną ARP,
w celu określenia adresu MAC, do którego pakiet ma zostać wysłany. Jeśli odpowiedni wpis istnieje,
adres MAC jest odczytywany z pamięci podręcznej. Jeśli nie, protokół ARP wysyła rozgłoszenie
z żądaniem uzyskania adresu MAC od komputera z określonym adresem IP.

Warstwa łącza

Warstwa łącza (zwana czasem warstwą sieci lub warstwą łącza danych) odpowiada warstwie łącza
danych i warstwie fizycznej modelu OSI. Warstwa ta określa wymagania dotyczące wysyłania
i odbierania pakietów. Odpowiada ona za umieszczanie danych w sieci fizycznej i odbieranie ich
z takiej sieci.

Omówienie procesu komunikacji TCP/IP

Omówienie procesu komunikacji wykorzystującej protokół TCP/IP można przeprowadzić
na podstawie analogii do standardowego przesyłania korespondencji pocztowej. Przebieg takiej
komunikacji został przedstawiony na Rys. 4.

Rys. 4 Przebieg komunikacji w protokole TCP/IP

Proces komunikacji za pomocą TCP/IP jest inicjowany przez aplikację na komputerze źródłowym,
która przygotowuje dane do przesłania w formacie odczytywalnym przez aplikacje na komputerze
docelowym. Proces ten jest analogiczny do napisania listu w języku zrozumiałym dla odbiorcy.
Następnie dane są kojarzone z docelową aplikacją i komputerem (proces analogiczny do
adresowania listu, gdzie adresem odbiorcy jest adres komputera odbiorcy. Po zakończeniu procesu
adresowania dane są zaopatrywane w dodatkowe informacje tj. żądanie potwierdzenia odbioru
i wysyłane są do odbiorcy. Medium transmisyjne używane do przesyłania danych zależy od
powyższych czynności, podobnie jak transport listu pomiędzy urzędami gdyż jest zależny od
zawartości i odległości (np. statek, samolot samochód).

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 8/24

Analiza procesu przesyłania danych w protokole TCP/IP

Protokół TCP/IP transmituje dane przez sieć, dzieląc je na mniejsze porcje, zwane pakietami.
Pakiety są często określane różnymi terminami, w zależności od protokołu, z którym są powiązane.
Podział danych na pakiety jest konieczny, ponieważ przesłanie dużej porcji danych przez sieć
zajmuje dużo czasu i może ograniczyć jej funkcjonowanie. Ponieważ małe pakiety nie zatykają sieci,
inne komputery mogą również przesyłać dane. Jeśli jakiś pakiet zostanie uszkodzony, tylko ten
pakiet musi być ponownie wysłany, zamiast wszystkich danych. Kiedy pakiet jest wysyłany przez
warstwę interfejsu sieciowego, jest on nazywany ramką. Ramka składa się z różnych elementów,
pełniących określone funkcje w przepływie danych na warstwie interfejsu sieciowego. Proces
przepływu danych składa się z kilku etapów, wliczając w to organizację danych w małe pakiety na
komputerze źródłowym i ich odtworzenie w oryginalnej formie na komputerze docelowym. Każda
warstwa stosu protokółów TCP/IP jest związana z podobnymi czynnościami na komputerze
źródłowym i docelowym.

Terminologia pakietów TCP/IP

Kiedy pakiet danych jest przekazywany między warstwami w stosie TCP/IP, każdy protokół dodaje
swój własny nagłówek. Pakiet, wraz z dodawanymi do niego informacjami, jest określany innymi
technicznymi nazwami identyfikowanymi z różnymi protokołami. Te nazwy to segment, komunikat,
datagram oraz ramka.

• Segment - jest związany z transmisją za pomocą protokołu TCP. Zawiera nagłówek TCP,

dodany do danych aplikacji.

• Komunikat - jest związany z transmisją za pomocą zawodnych protokołów, jak ICMP, UDP,

IGMP oraz ARP. Składa się z nagłówka protokołu, dodanego do danych aplikacji lub danych
protokołu.

• Datagram - jest związany z transmisją za pomocą protokołu IP. Składa się z nagłówka IP,

dodanego do danych warstwy transportowej i jest również uważany za zawodny.

• Ramka - jest związana z transmisją na warstwie interfejsu sieciowego i składa się z nagłówka

dodanego na warstwie interfejsu sieciowego i danych z warstwy IP.

Elementy ramki

Poniższy Rys. ukazuje w uproszeniu elementy składowe ramki TCP/IP.

Rys. 5 Elementy składowe ramki

Ramka (określenie pakietu danych na warstwie interfejsu sieciowego) składa się z trzech
elementów: nagłówka, danych oraz pola weryfikacji.
Nagłówek
Nagłówek zawiera:

• Preambułę informującą o rozpoczęciu nadawania pakietu.
• Adres źródłowy.
• Adres przeznaczenia.

Dane
Informacje wysyłane przez aplikację. Ten element pakietu może się różnić rozmiarem, w zależności
od ograniczeń sieci. Rozmiar sekcji danych w większości sieci wynosi od 0,5 kilobajta (kB) do 4 kB. W
sieci Ethernet, rozmiar danych wynosi około 1,5 kB .
Ponieważ rozmiar większości oryginalnych danych jest większy od 4 kB, dane muszą być podzielone

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 9/24

na odpowiednio mniejsze kawałki, aby można je było umieścić w pakiecie. Transmisja dużego pliku
może wymagać podziału na wiele pakietów.
Pole weryfikacji
Zawartość pola weryfikacji zależy od protokołu warstwy interfejsu sieciowego. Jednakże, pole to
zawiera zwykle informację kontroli poprawności ramki, zwaną sumą kontrolną CRC (Cyclical
Redundancy Check).

Przepływ danych

Pakiety danych przesyłane między komputerami, wędrują przez warstwy stosu protokołów TCP/IP.
Kiedy pakiety przechodzą przez każdą warstwę, protokoły na tej warstwie dodają określone
informacje do nagłówka. Informacje dodawane przez każdy protokół zawierają informacje kontroli
poprawności, zwane sumami kontrolnymi. Suma kontrolna jest używana do sprawdzenia, czy
informacje w nagłówku dodane przez protokół są takie same na komputerze docelowym, podobnie
jak CRC, służy do sprawdzenia poprawności całego pakietu. Przepływ danych został
zaprezentowany na Rys. 6.

Rys 6. Przepływ danych przez protokół TCP/IP

Informacje dodane przez protokół na danej warstwie są traktowane jak dane przez protokoły
warstwy niższej. Kiedy pakiet jest odbierany, odpowiednia warstwa odrzuca nagłówek, a pozostały
pakiet traktuje jako dane. Następnie pakiet jest przekazywany wyżej do odpowiedniego protokołu
w stosie.
Warstwa aplikacji
Proces transmisji danych rozpoczyna się na warstwie aplikacji w stosie protokołów TCP/IP.
Aplikacja, jak np. program Ftp, inicjuje proces na komputerze źródłowym, przygotowując dane
w formacie zrozumiałym dla aplikacji na komputerze docelowym. Całym procesem steruje aplikacja
na komputerze źródłowym.
Warstwa transportowa
Z warstwy aplikacji, dane wędrują do warstwy transportowej. Na warstwie tej znajdują się
protokoły TCP oraz UDP. Aplikacja inicjująca transmisję negocjuje wybranie protokołu (TCP lub
UDP) a suma kontrolna jest dodawana dla obu protokołów TCP oraz UDP.
Warstwa internetowa
Po dodaniu informacji na warstwie transportowej, pakiet danych jest przekazywany do warstwy
internetowej w stosie protokołów TCP/IP. Na tej warstwie protokół IP dodaje następujące
informacje w nagłówku:

• Adres źródłowy IP
• Adres docelowy IP
• Protokół transportowy

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 10/24

• Wartość sumy kontrolnej
• Parametr Time to Liv e (TTL) określający czas życia pakietu

Oprócz dodania tych informacji, warstwa internetowa jest również odpowiedzialna za rozwiązanie
adresu IP odbiorcy do jego adresu MAC. Protokół ARP dokonuje tego rozwiązania. Adres MAC jest
dodany do nagłówka pakietu, a następnie pakiet jest przekazany niżej do warstwy interfejsu
sieciowego.
Warstwa interfejsu sieciowego
Warstwa interfejsu sieciowego dodaje dwa rodzaje informacji (preambułę oraz sumę kontrolną
CRC) do pakietu otrzymanego z warstwy IP. Preambuła jest to sekwencja bitów określająca
rozpoczęcie ramki. Suma kontrolna CR C jest wynikiem matematycznego wzoru, dodawanego na
końcu ramki, w celu sprawdzenia czy ramka nie została uszkodzona.
Host docelowy
Kiedy ramki zostaną odebrane przez komputer docelowy, warstwa interfejsu sieciowego na tym
komputerze usuwa preambułę i ponownie oblicza CRC. Jeśli jej wartość odpowiada wartości przed
transmisją, sprawdzany jest adres MAC odbiorcy w ramce.
Jeżeli adres MAC jest adresem rozgłoszeniowym lub adres MAC odpowiada adresowi odbiorcy,
ramka jest przekazywana do protokółu IP na wyższej warstwie internetowej, w przeciwnym razie
ramka jest usuwana.

Implementacja stosu TCP/IP w Windows Server 2008

Podstawową zmianą odróżniającą Windows Server 2008 od jego poprzedników jest implementacja
nowego stosu TCP/IP. W Windows Server 2008 stos TCP/IP został przepisany od nowa dzięki czemu
stał się on bardziej funkcjonalny i bezpieczniejszy. W śród wielu zmian można zauważyć pojawienie
się nowych funkcjonalności, obsługa natywna protokołu IPv6, nową wersję protokołu SMB 2.0,
która cechuje się zwiększoną szybkością przesyłania danych i stabilnością transmisji. Architekturę
nowego stosu TCP/IP przedstawia Rys. 5.

Rys. 5 Stos TCP/IP NG w Windows Server 2008

Stos TCP/IP nowej generacji oferuje całkowicie przeprojektowaną funkcjonalność TCP/IP, zarówno
dla wersji IPv4, jak i IPv6 protokołu IP (Internet Protocol). Nowa funkcjonalność spełnia jakościowe
wymagania bardzo zróżnicowanych środowisk i technologii sieciowych obecnej doby.
Pojawiły się nowe lub zostały udoskonalone następujące funkcje i możliwości:

• automatyczne dostrajanie okna odbiorczego
• funkcja Compound TCP
• zwiększona przepustowość
• wykrywanie niedostępności sąsiadów w ruchu IPv4
• testowanie nieaktywnych bram
• wykrywanie routerów PMTU działających jak czarne dziury
• routing compartments

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 11/24

• obsługa platformy Network Diagnostics Framework
• obsługa statystyk ESTATS
• obsługa platformy Windows Filtering Platform

Automatyczne dostrajanie okna odbiorczego (Receive Window Auto-Tuning)

Funkcja ta optymalizuje rozmiar okna odbiorczego osobno dla każdego nawiązanego połączenia,
mierząc iloczyn: pasmo-opóźnienie oraz współczynnik retrieval rate komunikującej się aplikacji.
Wykorzystanie pasma sieci podczas transferów danych rośnie wraz ze wzrostem przepływności
między komunikującymi się aplikacjami.

Funkcja Compound TCP

Używana dla połączeń TCP o dużym oknie odbiorczym realizowanych w sieciach o dużym iloczynie
pasmo-opóźnienie funkcja Compound TCP agresywnie zwiększa ilość danych wysyłanych w porcji,
dbając przy tym o to, aby takie zachowanie nie wpływało negatywnie na inne połączenia TCP.

Zwiększona przepustowość

Stos TCP/IP następnej generacji jest zgodny z następującymi standardami RFC (Request for
Comments) wprowadzonymi dla zoptymalizowania przepustowości w środowiskach o wysokich
stratach:

• RFC 2582: Modyfikacja NewReno algorytmu Fast Recovery.
• RFC 2883: Poszerzenie opcji Selective Acknowledgement (SACK) dla TCP.
• RFC 3517: Algorytm Loss Recovery dla TCP oparty o Conservative Selective Acknowledgment

(SACK).

• RFC 4138: Algorytm Forward RTO-Recovery (F-RTO): wykrywanie w połączeniach TCP

przekroczeń czasu zbędnych ponownych transmisji (Spurious Retransmission Timeouts)
i protokół Stream Control Transmission (SCTP).

Wykrywanie niedostępności sąsiadów w ruchu IPv4

Neighbor Unreachability Detection to funkcja protokołu IPv6: węzły sieci ciągle sprawdzają, czy
sąsiednie węzły są dostępne, przez co można szybciej wykrywać błędy i omijać je w sytuacji, gdy
któryś z węzłów nagle stanie się niedostępny. Funkcja weryfikuje, czy sąsiedni węzeł jest dostępny,
wymieniając z nim komunikaty ARP (Address Resolution Protocol) Request i ARP Reply albo
posiłkuje się w tym celu protokołami wyższych warstw, np. TCP.

Testowanie nieaktywnych bram

Stos TCP/IP nowej generacji okresowo podejmuje próby wysłania pakietów TCP przez bramę, która
została uprzednio zakwalifikowana, jako niedostępna. Jeśli któraś z takich prób zakończy się
pomyślnie, stos z powrotem przełączy ruch TCP na tę bramę, jako bramę standardową. Funkcja fail-
back może zaowocować większą przepustowością, jeśli ruch wróci do podstawowej bramy w danej
podsieci.

Routing compartments

Aby zapobiec niepożądanemu przekazywaniu ruchu pomiędzy interfejsami wirtualnych sieci
prywatnych (VPN), stos TCP/IP następnej generacji obsługuje separację tablicy routingu (routing
compartments). Podział tablicy routingu to połączenie zestawu interfejsów VPN z sesją logowania,
która operuje swymi własnymi tabelami routingu IP. Ten sam komputer może mieć wiele
wzajemnie izolowanych przedziałów tablicy routingu, jednak każdy interfejs może należeć tylko do
jednego przedziału.

Platforma Network Diagnostics Framework

Network Diagnostics Framework to bogata platforma, mająca za zadanie wspierać użytkowników
w diagnozowaniu problemów sieciowych i przywracaniu działania sieci.

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 12/24

Platforma Network Diagnostics Framework może diagnozować następujące kwestie, odnoszące się
do komunikacji TCP/IP:

• niepoprawny adres IP
• niedostępna standardowa brama (router)
• niepoprawna standardowa brama
• niepowodzenie przy określaniu nazwy NetBIOS over TCP/IP (NetBT)
• niepoprawne ustawienia DNS
• zajęty port lokalny
• nie pracuje klient DHCP
• brak odległego odbiorcy
• odłączone media
• zablokowany port lokalny
• za mało wolnej pamięci.

Statystyki ESTATS

Stos TCP/IP następnej generacji obsługuje przedłożoną przez Internet Engineering Task Force
propozycję "TCP Extended Statistics MIB", w której zdefiniowano poszerzone dane statystyczne
obrazujące pracę TCP. Analizując statystyki ESTATS, dotyczące połączenia można określić, co jest
wąskim gardłem w tym połączeniu: aplikacja wysyłająca, aplikacja odbierająca, czy też łącza.
Zapisywanie statystyk ESTATS jest domyślnie wyłączone, funkcję można włączyć dla wykonania
konkretnego połączenia. W oparciu o statystyki ESTATS niezależni dostawcy oprogramowania (ISV)
mogą pisać silne narzędzia do diagnostyki i analizy przepustowości sieci.

Platforma Windows Filtering Platform

Windows Filtering Platform (WFP) to nowa platforma stosu TCP/IP następnej generacji
udostępniająca niezależnym dostawcom oprogramowania (ISV) interfejsy programistyczne API tak,
że mogą oni uczestniczyć w podejmowaniu decyzji dotyczących filtrowania pakietów na kilku
poziomach stosu protokołów TCP/IP oraz w kilku miejscach systemu operacyjnego. W platformie
zintegrowano obsługę takich cech zapór firewall następnej generacji jak łączność uwierzytelniana
czy dynamiczne konfigurowanie zapór uzależnione od wykorzystania przez aplikacje interfejsu
Windows Sockets API (zasady uzależnione od konkretnych aplikacji). Używając platformy, dostawcy
oprogramowania mogą tworzyć zapory, oprogramowanie antywirusowe, diagnostyczne, inne
aplikacje i usługi. Zapora Windows Firewall oraz protokół IPSec w systemach Windows Server 2008
i Windows Vista korzystają z WFP API.

Obsługa protokołu IPv6

Razem ze stosem TCP/IP następnej generacji wprowadzono następujące modyfikacje protokołu
IPv6:

•

standardowo włączona obsługa protokołu IPv6

•

podwójny stos IP

•

konfigurowanie w interfejsie graficznym

•

modernizacja adresacji Teredo

•

zintegrowana obsługa protokołu IPsec

•

protokół Multicast Listener Discovery, v 2

•

Link-Local Multicast Name Resolution

•

IPv6 przez PPP

•

losowe identyfikatory kart sieciowych

•

obsługa DHCPv6.

Zapewnienie jakości połączeń (Quality of Service)

Mechanizmy QoS były już implementowane we wcześniejszych wersjach systemów Windows,
jednakże ich wydajność i stabilność pozostawiała wiele do życzenia. Systemy Windows Server 2003

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 13/24

i Windows XP wykorzystywały do tego celu interfejs programowy API Generic QoS. Dzięki temu
mogły one zarządzać jakością połączeń poprzez ustalanie priorytetów dostarczanych pakietów.
Implementacja QoS w systemach Windows Server 2008 i Windows Vista zapewnia obsługę na
o wiele wyższym poziomie. Zasady jakościowe umożliwiają obecnie określenie parametrów
transmisji na podstawie:

• nazw aplikacji generujących ruch sieciowy
• określonych adresów IPv4 lub IPv6 aplikacji źródłowej lub docelowej
• portów TCP lub UDP używanych przez aplikacje.

Definicja powyższych reguł QoS realizowana jest w oparciu o Zasady Grupy (GPO) systemów
Windows Server 2008 i Windows Vista.

Server Message Block 2.0

Blok komunikatów serwera (SMB), znany także jako protokół CIFS (Common Internet File System),
jest protokołem udostępniania plików używanym domyślnie na komputerach z systemem
Windows. System Windows zawiera klienta SMB (składnik Klient systemu Microsoft Windows)
i serwer SMB (składnik Udostępnianie plików i drukarek systemu Microsoft Windows). Protokół
SMB 1.0 został zaprojektowany 15 lat temu dla pierwszych sieciowych systemów operacyjnych
Windows, takich jak Microsoft LAN Manager i Windows for Workgroups. Zmiana wydajności
protokołu SMB 2.0 została przedstawiona na Rys. 6, gdzie na wykresie zaznaczono wzrost
wydajności pobierania plików pomiędzy systemami obsługującymi SMB 1.0 a SMB 2.0.

Rys. 6 Pomiar wydajności pobierania plików dla SMB 2.0

Funkcja SMB w systemie Windows Server 2008 obsługuje wersję SMB 1.0 oraz wersję SMB 2.0,
która zaprojektowana jest dla potrzeb obecnych złożonych środowisk sieciowych i serwerów nowej
generacji. Protokół SMB 2.0 zapewnia szereg udoskonaleń komunikacji, takich jak większa
wydajność komunikacji z plikami udostępnianymi przez łącza cechujące się dużymi opóźnieniami
oraz wyższe bezpieczeństwo dzięki zastosowaniu techniki wzajemnego uwierzytelnienia
i podpisywania komunikatów. Dzięki przepisaniu od nowa protokołu SMB 2.0 ograniczono ilość
poleceń z 80 do 16 oraz zmieniono mechanizm przesyłania i potwierdzania pakietów. Porównanie
działania protokołów SMB 1.0 i SMB 2.0 znajduje się na Rys. 7.

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 14/24

Rys. 7 Przebieg transmisji w protokołach SMB 1.0 i SMB 2.0

Lista najważniejszych cech SMB 2.0:

• Obsługa wysyłania wielu poleceń SMB w tym samym pakiecie. Zmniejsza to liczbę pakietów

przesyłanych między klientem i serwerem SMB, która to cecha była wadą wersji SMB 1.0.

• Obsługa o wiele większych rozmiarów buforów w porównaniu z wersją SMB 1.0.
• Zwiększenie restrykcyjnych stałych w protokole, które mają umożliwiać skalowalność.
• Na przykład zwiększono liczbę dojść do równocześnie otwartych plików na serwerze i liczbę

udziałów plików dozwolonych na serwerze.

• Obsługa trwałych dojść, umożliwiająca przetrwanie krótkich przerw w dostępności sieci.
• Obsługa łączy symbolicznych.
• Przyspieszone przesyłanie numerów sekwencyjnych
• Podpisywanie SHA-256 (MD-5 w SMBv1)
• Bardziej niezawodne wznawianie sesji
• Szyfrowanie plików po stronie klienta
• Linki symboliczne w udziałach sieciowych (domyślnie wyłączone)

Narzędzia analizy komunikacji protokołów TCP/IP

Do stosu protokółów TCP/IP firmy Microsoft dołączone zostały podstawowe programy narzędziowe
TCP/IP umożliwiające komputerowi z systemem Windows na dostęp do szerokiej gamy informacji
w sieci. Za pomocą tych narzędzi można między innymi sprawdzić, czy dany komputer jest dostępny
w sieci.
Programy diagnostyczne umożliwiają użytkownikom wykrycie i rozwiązanie problemów z siecią.
Do programów tych można zaliczyć:

• Arp: Wyświetla i modyfikuje pamięć podręczną protokołu ARP (Address Resolution

Protocol).
arp <przełącznik> np. arp -a

• Hostname: Wyświetla nazwę hosta lokalnego komputera.

hostname

• Ipconfig: Wyświetla i aktualizuje bieżącą konfigurację TCP/IP, włącznie z adresem IP.

ipconfig <przełącznik> np. ipconfig /all

• Nbtstat: Wyświetla lokalną tablicę nazw NetBIOS, zawierającą mapowanie przyjaznych dla

użytkownika nazw komputerów do ich adresów IP.
nbtstat <przełącznik> np. nbtstat -a

• Netstat: Wyświetla stan sesji TCP/IP.

netstat <przełącznik> np. netstat -r

• Ping: Sprawdza konfigurację IP oraz czy istnieje połączenie między dwoma komputerami.

Polecenie Ping wysyła żądanie ICMP z komputera źródłowego, a komputer docelowy
odpowiada komunikatem ICMP.
ping [adres ip] <przełącznik> np. ping 192.168.1.100 -a

• Tracert: Sprawdza trasę przebytą przez pakiet do miejsca przeznaczenia.

tracert <przełącznik> [adres hosta/nazwa hosta] np. tracert –h 10
www.wp.pl

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 15/24

• Pathping: Sprawdza trasę przebytą przez pakiet z równoczesnym pomiarem jakości łącza.

pathping < przełącznik> [adres hosta/nazwa hosta] np.

pathping -4

www.onet.pl

• Nslookup: umożliwia analizę poprawności rozpoznawania nazw przez zdefiniowane

serwery DNS
nslookup [opcja] np. nslookup -server

• Route: Zarządza trasami oraz umożliwia wyświetlanie tablic routingu.

route [polecenie] np.

route PRINT

Analiza stanu połączenia

Powyższy zestaw narzędzi może być wykorzystany do analizy stanu połączenia komputera z siecią
Internet. Załóżmy, że nasz komputer nie ma połączenia z siecią Internet i chcemy dokonać analizy
co jest tego powodem. W tym celu można wykorzystać algorytm testowania połączeń składający
się z następujących kroków:

1.

Sprawdzenie poprawności konfiguracji IP Hosta –

ipconfig /all

. W wyniku testu

powinien być wyświetlony adres IP komputera, jeżeli wykonując to polecenie uzyskasz
adres typu: 0.0.0.0 lub 169.254.x.y to musisz być świadomy problemów z dostępem do
serwera DHCP.

2.

Wydanie polecenia ping na adres wewnętrznej pętli zwrotnej –

ping 127.0.0.1, ping

localhost, ping ::1:

(dla IPv6). Poprawność odpowiedzi świadczy o funkcjonowaniu

stosu TCP/IP.

3.

Wydanie polecenia ping na adres zewnętrzny hosta uzyskany w kroku pierwszym. Ten test

poświadczy poprawne działanie interfejsu sieciowego. Trzy pierwsze kroki potwierdzają
poprawną konfigurację hosta.

4.

Przeprowadzenie testu dostępności innych hostów w sieci –

ping x.y.z.w.

Jeżeli odpowiada którykolwiek z komputerów znajdujących się w Twoim otoczeniu możesz
być pewna(y), że przełącznik do którego jesteś podłączona(y) działa poprawnie.

5.

Sprawdzenie dostępności bramy –

ping adres bramy

(najczęściej bramy mają adres

o końcowym numerze równym 1 lub 254, lecz zależy to od podziału sieci na podsieci). Jeżeli
w wyniku testu otrzymasz odpowiedź z adresu bramy to możesz być pewien(a), że cała
infrastruktura przedsiębiorstwa działa poprawnie.

6.

Testowanie komunikacji z Internetem –

ping adres domenowy np. ping www.wp.pl.

Wydanie tego polecenia umożliwi sprawdzenie dwóch rzeczy: po pierwsze poprawność
przesyłania pakietów w sieci poprzez bramę przedsiębiorstwa, po drugie poprawność
rozpoznawania nazw przez serwery DNS.

Analizator pakietów Microsoft Network Monitor

Oprogramowanie

Microsoft

Network

Monitor

dostępne

jest

pod

adresem:

http://www.microsoft.com/downloads/details.aspx?familyid=18b1d59d-f4d8-4213-8d17-
2f6dde7d7aac&displaylang=en#filelist
NetworkMonitor jest oprogramowaniem klasy analizatorów sieciowych zwanych też potocznie
snifferami od angielskiego słowa sniffing.
Za pomocą Monitora sieci można:

• Lokalizować problemy z połączeniem typu klient-serwer.
• Identyfikować komputery wysyłające znaczną liczbę żądań usługi.
• Przechwytywać ramki (pakiety) bezpośrednio z sieci.
• Wyświetlać i filtrować przechwycone ramki.
• Identyfikować nieautoryzowanych użytkowników w sieci.

Instalacja oprogramowania jest intuicyjna i nie różni się od standardowych programów systemu
Windows.

Marek Pyka
ITA-108 Technologie sieciowe

Przechwytywanie ramek

Aby przechwytywać ramki za

1.

Outwork okno Micro

2.

Wybierz interfejs sie

3.

Rozpocznij proces pr

na pasku narzędzi.

4.

Aby zatrzymać przec

na pasku narzędzi. N

Monitor sieci można równie
filtr o nazwie http.cf, wpisz n
filtru:
start netmon /capture

Filtracja wyników

W ciągu kilku sekund przech
tysiące ramek, które zostały
filtry przechwytywania, aby d

Typy przechwytywanych da

Podczas przechwytywania pr
Monitora sieci znajduje się
opisano pola wyświetlane dla

Pole

Opis

Ramka

Liczba rame

Godzina

Czas (w sek
przechwyce

Źrd MAC adr

Adres sprzę
przypadku k
zamiast adr
Komputer,

Cel MAC adr

Adres sprzę
wstawiane s
ostatecznie pr

Protokół

Protokół do
wygenerow

Opis

Informacje

Źrd Inny adr

Inny adres s

Cel Inny adr

Inny adres (

Typ Inny adr

Typ adresu

Aby pracować z du
stronicowania system
wyświetleniem.

Podsumowanie

W rozdziale tym zostały pr
protokołu TCP/IP na platfor
powinieneś rozumieć jak dz
składowe. Powinieneś wiedz
referencyjnym ISO/OSI. Zap
sprawną analizę sieci kompu

Strona 16/24

ki za pomocą Monitora sieci:

icrosoft Network Monitor.

s sieciowy, którego chcesz używać (jeśli nie jest jeszc

s przechwytywania, klikając przycisk Rozpocznij prze

rzechwytywanie, kliknij przycisk Zatrzymaj i wyświetl

zi. Nie zamykaj okna przechwytywania.

nież obsługiwać z wiersza polecenia. Jeśli na przy

isz następujące polecenie, aby uruchomić Monitor s

refilter d:\captures\http.cf

zechwytywania pakietów w obciążonej sieci może
stały wygenerowane przez wiele różnych systemów

by do analizy były zapisywane tylko określone ramki

danych

ia przykładowego ruchu w sieci w oknie Podsumow

się lista ramek uporządkowanych chronologiczni

e dla każdej z przechwyconych ramek.

amek w próbce
sekundach), jaki upłynął od rozpoczęcia przechwyty

ycenia danej ramki.

przętowy interfejsu sieciowego w komputerze, który

ku komputera o przyjaznej nazwie, takiej jak nazwa

adresu będzie wyświetlana ta nazwa.

ter, na którym uruchomiono narzędzie do analizy, m

ętowy interfejsu sieciowego w komputerze, który odebrał

ane są nazwy przyjazne. Tworząc książkę adresową komputeró

znie przechwycić tylko nazwy przyjazne.

ł dominujący w ramce. W każdej ramce znajdują się

rowane przez protokoły w kilku różnych warstwach

cje na temat funkcji ramki z uwzględnieniem protok

res służący do identyfikacji komputera, który przesła
res (np. adres IP) służący do identyfikacji komputera

esu użytego w polach Źrd Inny adr i Cel Inny adr.

dużymi plikami przechwytywania, należy zwi

stemu Windows i zapisywać duże pliki przech

y przedstawione najważniejsze informacje związan

tformie Windows Server 2008. Po zapoznaniu się

działa protokół TCP/IP, jaki jest zbudowany i jaką

iedzieć jakie są zależności pomiędzy stosem protoko

Zapoznanie się dogłębne z przedstawionymi nar

puterowych oraz realizację następnych modułów k

Moduł II

Omówienie i analiza TCP/IP

eszcze wybrany).

przechwytywanie

ietl przechwycenie

przykład został utworzony

or sieci korzystający z tego

zostać przechwyconych

mów. Można zdefiniować

mki.

owanie przechwytywania

icznie. W poniższej tabeli

ytywania do momentu

tóry przesłał ramkę. W

zwa NetBIOS, w polu tym

y, ma nazwę LOCAL.

ł ramkę. Jeśli to możliwe,

puterów w sieci, można

się informacje

ach modelu OSI.

otokołu z pola Protokół.

esłał ramkę

tera, który odebrał ramkę

zwiększyć rozmiar pliku

echwytywania przed ich

ązane z funkcjonowaniem

się z zawartością modułu

jaką rolę pełnią protokoły
okołów TCP/IP a modelem

narzędziami umożliwi Ci

w kursu.

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 17/24

Przykładowe rozwiązanie

Znajomość budowy pakietu stanowi podstawową wiedzę z działania protokołu TCP/IP. Aby ją
zdobyć należy odpowiednio długi czas poświęcić na przechwytywanie i analizę zawartości pakietów.
Zanim jednak przejdziemy do zadania związanego z przechwytywaniem pakietów spróbuj, bazując
na swojej wiedzy, określić jakie informacje dodawane są do pakietów na poszczególnych warstwach
protokołu TCP/IP.
Załóżmy, że wysyłany jest pakiet ping do hosta sieciowego. Uzupełnij poszczególne informacje
które będą wchodziły w skład pakietu.

Poprawność odpowiedzi przedyskutuj w grupie, z nauczycielem prowadzącym lub zweryfikuj
z wynikami laboratorium podstawowego.

Porady praktyczne

Uwagi ogólne

• Pamiętaj, że znajomość zasad działania i budowy protokołów TCP/IP może znacznie ułatwić

Ci prowadzenie czynności administracyjnych w przyszłej pracy.

• W środowisku rozproszonym zaplanuj monitorowanie ruchu pomiędzy oddziałami.
• Wypracuj sobie metody analizy ruchu sieciowego w sytuacjach awaryjnych.
• Pamiętaj, że oprogramowanie to jest dostępne dla wszystkich, co powoduje że cała

transmisja TCP/IP może być podsłuchiwana przez osoby niepowołane.

• Zaplanuj rozwiązania do budowania bezpiecznych kanałów komunikacyjnych zwłaszcza dla

danych wrażliwych tj. konta dostępu do poczty czy też przesyłanie poleceń administracyjnych
po protokole LDAP.

• Pamiętaj, że przełączniki nie chronią przed podsłuchem, a jedynie go utrudniają – poszukaj

informacji na temat zatruwania tablic ARP przełączników.

• Dobra znajomość działania stosu TCP/IP świadczy o klasie administratora!

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium jeśli:

• jesteś zaznajomiony z modelem ISO/OSI
• znasz zależności pomiędzy stosem TCP/IP a ISO/OSI

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 18/24

• rozumiesz jak zmiany stosu TCP/IP w Windows Server 2008 wpływają na wydajność sieci

przedsiębiorstwa

• potrafisz przeprowadzić analizę przechwyconych ramek, przefiltrować wyniki, odnaleźć

konkretne informacje

• zapoznałeś się z pojęciami dotyczącymi modułu tj. ramka, pakiet, TCP/IP, multicast, unicast

itp.

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.

Dodatkowe źródła informacji

1.

http://pl.wikipedia.org/wiki/Microsoft_Windows_Server_2008

Opis środowiska Windows Server 2008 oraz podstawowych ról serwerowych.

2.

http://www.microsoft.com/poland/technet/article/default.mspx

Zbiór artykułów ekspertów w tym też kilka na temat Usług Terminalowych Windows Server
2008

3.

Karol Krysiak, Sieci komputerowe. Kompendium, Helion 2003

Bardzo dobry podręcznik ogólnej wiedzy o sieciach komputerowych.

4.

Mark Sportack, Sieci komputerowe. Księga eksperta, Helion 2004

Książka przybliża podstawowe założenia sieci komputerowych, które powinny być znane
współczesnemu informatykowi. Krok po kroku wprowadzi Cię w problematykę sieci,
pozwalając na poznanie ich architektury i zrozumienie zasad działania.

5. http://www.microsoft.com/poland/windowsserver2008/branch-office.mspx

Bardzo ciekawy artykuł traktujący o zastosowaniu Windows Server 2008 w
przedsiębiorstwie opartym o oddziały zdalne. Poruszane w nim są zagadnienia związane z
SMB2.0 oraz nowym stosem TCP/IP

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium podsta

Problem 1 (czas realizacj

Przeprowadzić analizę pakiet
w sieci Internet.

Poniższe ćwiczenie wy
się wyłącznie z maszyn

Do wykonania tego ćwiczeni
CL01 na rzeczywisty interfejs

Zadanie

Tok

1.

Instalacja

oprogramowania
Network Monitor
3.1

Aby
pob
http
f4d8

•
•

•
•
•
•

2.

Przechwytywani

e i analiza pakietów

•
•

•

•
•

•

•

•
•

Strona 19/24

stawowe

acji 20 min)

kietów w komunikacji komputera klienckiego z usług

e wykonaj na serwerze ITA-CL01. Jako, że nasze środ

szyn wirtualnych, podsłuchiwanie transmisji jest zna

zenia konieczne będzie przełączenie interfejsu siecio

rfejs z dostępem do sieci Internet

Tok postępowania

Aby zainstalować oprogramowanie Microsoft Ne
pobrać je spod adresu:
http://www.microsoft.com/downloads/details.aspx
f4d8-4213-8d17-2f6dde7d7aac&displaylang=en#file

Zalogować się na komputerze ITA-CL01 jako Adm
Uruchomić pobrany plik instalacyjny Net

NM31_Release_x86.exe

W oknie instalatora, na stronie powitania kliknąć
Zaakceptuj umowę licencyjną i kliknij przycisk Da
W oknie wyboru opcji wybierz Complete i naciśn
Rozpocznij instalację oprogramowania i po je

przycisk Finish.

Zaleca się przed przystąpieniem do realizacji t
się dołączonym do oprogramowania zestawem

Zalogować się na komputerze ITA-CL01 jako Adm
Uruchomić program Network Monitor wyb

>Programs->NetworkMonitor 3.1

W głównym oknie programu na karcie Start P

networks zaznaczyć Połączenie lokalne, któr
przechwytywania pakietów

W panelu Capture Network Traffic kliknąć Creat
Po pojawieniu się nowej karty kliknąć przycisk

pasku narzędzi aby rozpocząć przechwytywanie

Uruchomić przeglądarkę internetową i p

www.onet.pl

W oknie programu Network Monitor kliknąć p

narzędzi

Przejrzyj wartość kolumny Protocol Name, dla lo
Jej zawartość określa nazwę protokołu apli

modelem ISO/OSI

Moduł II

Omówienie i analiza TCP/IP

sługami serwerowymi

środowisko testowe składa

znacznie ułatwione.

ieciowego komputera ITA-

Network Monitor należy

spx?familyid=18b1d59d-

#filelist

Administrator.

Network Monitor 3.1

knąć Dalej.

Dalej.

ciśnij przycisk Dalej.

o jej zakończeniu kliknij

cji tego zadania zapoznać

wem plików pomocy.

Administrator.

wybierając menu Start-

rt Page w panelu Select

które zostanie użyte do

reate a new capture tab..

cisk z symbolem play na

nie pakietów
i przejść na witrynę

ąć przycisk stop na pasku

la losowych pakietów.

aplikacyjnego zgodnie z

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 20/24

• Aby wyróżnić ruch HTTP, w panelu Display Filter wpisać HTTP i kliknąć

przycisk Apply, aby pokazane zostały jedynie pakiety biorące udział w
ruchu przy użyciu protokołu HTTP.

• Wyświetl informacje szczegółowe na temat ramki w panelu Frame

Details poprzez zaznaczenie pakietu

• Rozwijamy gałąź Ethernet, która zawiera informacje nagłówka ramki

pochodzącego z 2 warstwy modelu ISO/OSI jak również występujące
w warstwie Dostępu do sieci modelu TCP/IP. Można tu zaobserwować
źródłowy

i

docelowy

fizyczny

adres

pakietu

(MAC)

(DestinationAddress, SourceAddress).

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 21/24

• Rozwiń gałąź IPv4, w której zawarte są informacje o logicznych

adresach nadawczych i odbiorczych (IP), czas życia (TTL), które to
informacje pochodzą z nagłówka 3 warstwy modelu OSI bądź z
warstwy 2 sieciowej modelu TCP/IP.

• Rozwinąć gałąź Tcp. Nazwa Tcp świadczy o protokole połączeniowym,

jaki został użyty do przesłania pakietu. W tej gałęzi znajdują się dane z
4 warstwy (transportowej) model ISO (lub z warstwy 3 modelu
TCP/IP), w których skład wchodzą porty źródłowy (srcPort)i docelowy
pakietu

(dstPort),

flagi

pakietu

(Flags),

numer

sekwencyjny(SequenceNumber), rozmiar okna (Window), jak również
suma kontrolna (Checksum).

• Rozwinąć gałąź Http. Jej zawartość to dane protokołu Http

pracującego w warstwie 7 – Aplikacji modelu OSI jak również
występujące w 4 warstwie model TCP/IP

Marek Pyka
ITA-108 Technologie sieciowe

Problem 2 (czas realizacj

Przeprowadzić analizę przech
a usługami sieciowymi zgodn

1)

Przesyłanie pakietów

2)

Użytkownik łączy się

następnie loguje się
i odbiera pocztę

3)

Połączenie z serwer

dostępny na uczelni)

4)

Użytkownik wysyła p

5)

Z komputera klienta

Zwróć szczególną u
sposób są przesyłan

Laboratorium rozszer

Uruchomienie analizatora
przesyłanych i rejestrowany
internetowego, który zainf
i wydzielenie ruchu popraw
ziarenka maku…). W celu wy

Strona 22/24

acji 25 min)

zechwyconych pakietów przesyłanych pomiędzy kom

odnie z poniższymi scenariuszami:

tów ping pomiędzy klientem a serwerem 212.77.10

y się z serwerem pocztowym publicznie dostępny

się do konta pocztowego (bez włączonego SSL o

werem FTP i zalogowanie użytkownika do serwera

elni)

ła pocztę email z klienta Outlook 2007 lub Windows

nta prowadzona jest rozmowa przy pomocy komuni

ą uwagę na zawartość pakietów. Spróbuj odnaleźć j

yłane. Jakie informacje są dla Ciebie najciekawsze?

szerzone

ra sieciowego w sieci zaowocowało tysiącam

anych w ciągu sekundy. Gdzieś w śród nich znajd

ainfekował twoją sieć. Teraz pozostaje wyłączn

prawnego od niechcianego (kurde, myślisz sobie

wydzielenia ruchu pożądanego zbuduj środowisko t

Rys. 8 Środowisko analizy pakietów sieciowych

Moduł II

Omówienie i analiza TCP/IP

komputerem klienckim

.100.101

pnym tj. wp, onet, gmail,

SL oraz z włączonym SSL)

era (dowolny serwer FTP

ows Mail

unikatora GG i Skype.

eźć jakie dane i w jaki

e?

cami różnych pakietów

ajdują się pakiety robaka

cznie przefiltrowanie ich

obie, jak ten kopciuszek,

ko testowe jak na Rys. 8.

Marek Pyka

Moduł II

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 23/24

Zadanie 1 (czas realizacji 45 min)

W pierwszej kolejności zdecydowałeś(łaś) się na zmierzenie jaka ilość ruchu w sieci została
wygenerowana przez transmisje:

a)

ARP

b)

ICMP (np. ping)

c)

NetBIOS

a następnie na podstawie rozmiaru przechwyconej próbki obliczyć liczbę megabitów na godzinę
generowanych przez te protokoły.

Zadanie 2 (czas realizacji 45 min)

Przeprowadzenie pomiaru wydajności przesyłania plików w protokole SMB 2.0. W celu
przeprowadzenia testów wydajności zbuduj środowisko testowe jak na Rys. 9.

Rys. 9 Środowisko testowe dla protokołu SMB 2.0

Do testów przygotuj jeden plik binarny o wielkości 100 MB oraz 10 plików binarnych o wielkości 10
MB każdy. Pomiar szybkości przesyłania przeprowadź za pomocą np. LanMark XT, którego
ewaluacyjną wersję można pobrać ze strony http://layer1software.com/. Wyniki pomiarów zapisz
w poniższej tabeli.

Pliki

System Operacyjny

Czas przesyłania

Prędkość

Min Max

Średnia

prędkość

10 x 10 MB

Windows

Vista

–

Windows XP

Windows

XP

–

Windows Server 2003

Windows

Vista

–

Windows Server 2003

Windows

XP

–

Windows Server 2008

Windows

Vista

–

Windows Server 2008

1 x 100 MB

Windows

Vista

–

Windows XP

Windows

XP

–

Windows Server 2003

Windows

Vista

–

Windows Server 2003

Windows

XP

–

Windows Server 2008

Windows

Vista

–

Windows Server 2008

Marek Pyka
ITA-108 Technologie sieciowe

Zadanie 3 (czas realizacji

Chcąc poznać anatomie atak
NetTools 5, Nmap oraz Cain
Dysponując tymi dwoma nar

• Pełne skanowanie por
• Dostęp do udziałów

złamania haseł, przy p

• Używając oprogramow
• Przeprowadź analizę in

5.0

Cała transmisja realizowa
i przeanalizowana.

Warto zauważyć dodat
być wykorzystana w au

jest dla systemów starszych
niedługo pojawią się ich aktu

Strona 24/24

acji 90 min)

ataku komputerowego pobrałeś z sieci oprogramow

Cain&Abel (programy znajdują się w katalogu narzę

narzędziami przeprowadziłeś następujące testy :

portów kontrolera domeny przy pomocy narzędzia N

ów sieciowych udostępnianych przez kontroler d

zy pomocy narzędzia Cain&Abel

mowania atSynek Spoofek przeprowadź ataki SYN Flo
izę innych ataków, które przeprowadzisz przy pomo

owana przez te narzędzia musi być przez

datkowe możliwości prezentowanych programów

autoryzowanej analizie sieci przedsiębiorstwa. Wi

zych niż Windows Vista i Windows Server 2008 j

aktualizacje.

Moduł II

Omówienie i analiza TCP/IP

owanie atSynek Spoofek,

arzędzia do tego modułu).

zia Nmap

er domeny wraz z próbą

N Flood i IP Spoofing.

mocy narzędzia Net Tools

ez Ciebie przechwycona

ów. Większość z nich może

Większość narzędzi pisana

08 jednakże na pewno za

ITA-108 Technologie sieciowe

Marek Pyka

Moduł III

Wersja 1

Zarządzanie adresacją IP w sieciach

komputerowych

Spis treści

Zarządzanie adresacją IP w sieciach komputerowych .................................................... ..................... 1

Informacje o module ............................... ................................................... .......................................... 2

Przygotowanie teoretyczne ............................................................................ ..................................... 3

Przykładowy problem ............................... ................................................... ................................ 3

Podstawy teoretyczne............................... ................................................... ................................ 3

Przykładowe rozwiązanie ........................... ................................................... ............................. 13

Porady praktyczne ................................. ................................................... ................................. 13

Uwagi dla studenta ................................ ................................................... ................................. 13

Dodatkowe źródła informacji........................ ................................................... .......................... 14

Laboratorium podstawowe ........................... ................................................... .................................. 15

Problem 1 (czas realizacji 20 min) ................................................................... ........................... 15

Problem 2 (czas realizacji 25 min) ................................................................... ........................... 16

Laboratorium rozszerzone .......................... ................................................... .................................... 17

Zadanie 1 (czas realizacji 45 min) ................................................................... ............................ 17

Zadanie 2 (czas realizacji 45 min) ................................................................... ............................ 17

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 2/18

Informacje o module

Opis modułu
W tym module znajdziesz informacje dotyczące budowy adresacji IPv4 i IPv6
oraz zasad przydzielania ich w organizacji. Podczas zajęć dowiesz się jak
konfigurować adresy IP w środowisku Windows Server 2008 oraz jak
wykorzystywać maski sieciowe do wdrażania podsieci.

Cel modułu
Celem modułu jest przedstawienie zasad tworzenia sieci komputerowych
wykorzystujących adresację IPv4 i IPv6. Przybliżone zostaną zasady podziału
sieci na podsieci przy pomocy masek sieciowych.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• znał klasy adresów IP
• rozumiał jaką rolę pełni adres IP
• potrafił dokonać analizy celowości stosowania adresacji IPv6

w organizacji

• znał budowę adresów IPv4 i IPv6

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać podstawy działania sieci komputerowych
• rozumieć działanie urządzeń sieciowych
• być zaznajomionym z modelem referencyjnym ISO/OSI
• znać zasady pracy w środowisku Windows Server 2008

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 1 oraz module 2 tego kursu.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 3/18

Przygotowanie teoretyczne

Przykładowy problem

Poprawne zarządzanie adresami IP w przedsiębiorstwie ma ogromne znaczenie dla wydajności
i bezpieczeństwa całej infrastruktury. Pracując jako administrator szybko zauważysz, że bez
odpowiedniego projektu i dużej dyscypliny w zarządzaniu adresacją IP, zarządzanie infrastrukturą
staje się utrudnione. Częstym problemem w przedsiębiorstwach jest nie prowadzenie
dokumentacji wykorzystywanych adresów IP zarówno wewnętrznych jak i publicznych. W trakcie
pełnienia zadań administracyjnych będziesz bardzo często posługiwał się bezpośrednio adresami IP
swoich urządzeń aktywnych czy też serwerów. Przygotowanie odpowiednich procedur
w zarządzaniu IP da Ci sprawne narzędzie i kontrolę nad infrastrukturą.
Jako inżynier systemowy masz dokonać projektu ujednolicenia adresacji IP w całej organizacji oraz
zaplanowanie wykorzystania adresacji wewnętrznej klasy A. W ramach projektu masz rozważyć
celowość stosowania adresacji IPv4 lub IPv6, ponadto masz też uwzględnić projekt podziału sieci na
podsieci.

Podstawy teoretyczne

Aby dowolny komputer mógł komunikować się w sieci, musi mieć przypisany unikalny adres IP.
W przypadku adresowania IP z podziałem na klasy, w trakcie przypisywania każdemu komputerowi
adresu IP wykorzystywane są trzy klasy adresów. Wielkość oraz typ sieci determinują klasę adresu
IP stosowaną do określania adresów IP dla komputerów i innych hostów w sieci.
Adres IP stanowi unikalny identyfikator, który pozwala rozróżniać komputery w sieci i ułatwia
odnalezienie części sieci, w której dany komputer się znajduje. Każdy komputer czy inny składnik
sieci, taki jak router, który komunikuje się za pomocą pakietu protokołów TCP/IP, musi mieć
przypisany adres IP. Adres IPv4 składa się z czterech liczb, z których każda może przyjmować
wartości od 0 do 255. Ideę wykorzystywania adresów IP przedstawia Rys. 2.

Rys. 2 Schemat wykorzystania adresacji IP w przedsiębiorstwie

Składniki adresu IP

Adres IP składa się z dwóch elementów —identyfikatora hosta oraz identyfikatora sieci.

Identyfikator sieci

Pierwszą część adresu IP stanowi identyfikator sieci, który określa segment sieci, w którym znajduje
się dany komputer. Komputery znajdujące się w tym samym segmencie sieci muszą mieć taki sam
identyfikator sieci, tak jak domy znajdujące się w jednym obszarze muszą mieć taki sam kod
pocztowy.

Identyfikator hosta

Drugą część adresu IP stanowi identyfikator hosta, pozwalający zidentyfikować komputer, router
lub inne urządzenie w danym segmencie. Każdy host w obrębie segmentu musi posiadać unikalny

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 4/18

identyfikator, tak jak każdy dom musi mieć odrębny adres w obszarze określanym jednym kodem
pocztowym.

Klasy adresów IP

Adresy IP są podzielone na klasy. Adresy zarejestrowane są przydzielane przez usługodawcę
internetowego lub organizację IANA (ang. Internet Assigned Numbers Authority). Klasa adresu
zależy od rozmiaru i typu danej sieci.
Klasa adresu określa bity stanowiące identyfikator sieci oraz bity stanowiące identyfikator hosta.
Określa również maksymalną liczbę sieci i hostów w sieci. Istnieje pięć klas adresów IP: od A do E.
Protokół TCP/IP wersji 4 w systemie Microsoft Windows Server 2008 i wszystkich starszych
wersjach systemu Windows umożliwia przypisywanie hostom adresów klasy A, B oraz C .
Jak pokazano na Rys. 3, cztery oktety tworzące adres IP są umownie reprezentowane za pomocą
liter w, x, y oraz z.

Rys. 3 Klasy adresów IPv4

Klasa A

Adresy klasy A są przypisywane sieciom obejmującym dużą liczbę hostów. Klasa A umożliwia
identyfikację 126 sieci przy użyciu pierwszego oktetu jako identyfikatora sieci. Pierwszy lub
najbardziej znaczący bit w tym oktecie zawsze ma wartość zero. Następnych siedem bitów w tym
oktecie tworzy identyfikator sieci. 24 bity w pozostałych oktetach tworzą identyfikator hosta, dzięki
czemu w sieci może się znajdować 126 sieci i około 17 milionów hostów. Numery sieci klasy A
w oktecie w pochodzą z zakresu od 1 do 127.

Klasa B

Adresy klasy B są przypisywane sieciom średnim i dużym. Klasa B umożliwia identyfikację 16 384
sieci przy użyciu dwóch pierwszych oktetów jako identyfikatora sieci. Pierwsze dwa najbardziej
znaczące bity w pierwszym oktecie mają zawsze wartość 10. Pozostałych 6 bitów wraz z kolejnym
oktetem uzupełniają identyfikator sieci. 16 bitów w trzecim i czwartym oktecie reprezentuje
identyfikator hosta, dzięki czemu w sieci może się znajdować ok. 65 000 hostów. Numery sieci klasy
B w oktecie w pochodzą z zakresu od 128 do 191.

Klasa C

Adresy klasy C są przypisywane małym sieciom lokalnym (LAN). Klasa C umożliwia identyfikację
około 2 milionów sieci przy użyciu trzech pierwszych oktetów jako identyfikatora sieci.
Trzy pierwsze najbardziej znaczące bity w adresie klasy C mają zawsze wartość 110. Pozostałych 21
bitów w pierwszych trzech oktetach uzupełnia identyfikator sieci. 8 bitów w ostatnim oktecie
reprezentuje identyfikator hosta, dzięki czemu sieć może obejmować 254 hosty. Numery sieci klasy
C w oktecie w pochodzą z zakresu od 192 do 223.

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 5/18

Klasy D i E

Klasy D i E nie są przypisywane hostom. Adresy klasy D są stosowane do multiemisji, a adresy klasy
E są niedostępne do zastosowań ogólnych, gdyż są zarezerwowane do wykorzystania w przyszłości
przy konsolidacji sieci IPv4 i IPv6.

Określanie klasy adresu IP przy pomocy domyślnych masek sieciowych

Każda klasa adresów ma domyślną maskę podsieci. W przypadku dzielenia sieci na segmenty lub
podsieci można podzielić adres IP sieci za pomocą domyślnej maski podsieci danej klasy. W tabeli 1
przedstawiono wartości bitów oraz liczby sieci i hostów w trzech pierwszych klasach.

Tab. 1 Klasy adresów IP

Klasa

Pierwsze bity

Wartość
pierwszego
Bajtu

Liczba bitów
identyfikatora
sieci

Liczba bitów
identyfikatora
hosta

Liczba sieci

Liczba hostów

A

0

1 -127*

8

24

126

16777214

B

10

128 – 191

16

16

16384

65534

C

110

192 – 223

24

8

2097152

254

* identyfikator 127.0.0.0 jest zarezerwowany dla testów wewnętrznej pętli zwrotnej komputera.

Zasady przypisywania poprawnych adresów IP hostom

Nie ma żadnych wyraźnych reguł przypisywania adresów IP w sieci, istnieją jednak wskazówki,
którymi można się kierować w celu przypisania prawidłowych identyfikatorów sieci i hostów.
Przypisując adresy IP hostom warto uwzględnić następujące zasady:

• W pierwszym oktecie identyfikatora sieci nie wolno wprowadzać wartości 127. Jest to

wartość zarezerwowana do celów diagnostycznych.

• Adresów publicznych należy używać tylko w uzasadnionych przypadkach.
• Należy używać adresów z zakresów adresów prywatnych zarezerwowanych przez organizację

IANA.

• Nie wolno określać identyfikatora hosta w sieci danej klasy przy użyciu samych jedynek

binarnych. Jeśli wszystkie bity mają wartość 1, adres będzie traktowany jak adres emisji.

• Nie wolno określać identyfikatora hosta w sieci danej klasy przy użyciu samych zer.

Jeśli wszystkie bity mają wartość 0, to niektóre wersje protokołu TCP/IP będą traktować taki
adres jak adres emisji.

• Nie wolno duplikować identyfikatorów hostów w ramach danego segmentu sieci.

Podział sieci na podsieci

Dodawanie dodatkowych segmentów sieci może nastąpić za pomocą fizycznych urządzeń, takich
jak routery lub mosty. Każdą sieć można w ten sposób również podzielić na mniejsze segmenty
w celu zwiększenia jej wydajności. Segmenty sieci oddzielone od siebie routerami noszą nazwę
podsieci. W trakcie tworzenia podsieci identyfikator sieci jest współdzielony przez hosty
w poszczególnych podsieciach. Aby ustalić nowy identyfikator sieci dla każdej podsieci, należy użyć
maski podsieci, określającej, jaka część adresu IP ma być wykorzystana jako nowy identyfikator
sieci.

Podsieci

Podsieć to fizyczny segment sieci, oddzielony od reszty sieci przy użyciu co najmniej jednego
routera. W sieci może istnieć wiele podsieci. Sieć wielu podsieci połączonych routerami często jest
nazywana intersiecią.

Adresacja IP w podsieciach

Adres IP każdej podsieci jest tworzony na podstawie głównego identyfikatora sieci. Po podzieleniu
sieci na podsieci należy dla każdej z nich utworzyć unikatowy identyfikator. Aby utworzyć

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 6/18

identyfikator podsieci należy podzielić bity identyfikatora hosta na dwie części. Pierwsza część
będzie identyfikować podsieć, a druga host.

Korzyści wykorzystywania podsieci

Organizacje korzystają z podsieci w celu rozbudowy istniejącej sieci o wiele segmentów fizycznych.
Zastosowanie podsieci umożliwia:

• łączenie różnych technologii sieciowych, takich jak Ethernet i Token Ring
• przezwyciężanie ograniczeń wynikających ze stosowania obecnych technologii, takich jak

maksymalna dozwolona liczba hostów w segmencie

• dzielenie segmentu na kolejne segmenty, co zwiększa dozwoloną całkowitą liczbę hostów
• zmniejszanie obciążenia sieci przez segmentację ruchu i ograniczenie liczby emisji

przesyłanych w poszczególnych segmentach

Zasady tworzenia podsieci

Przed wdrożeniem podsieci należy wziąć pod uwagę aktualne oraz przyszłe wymagania,
aby umożliwić jej rozbudowę. Aby utworzyć podsieć:

• Ustal liczbę segmentów fizycznych sieci.
• Ustal liczbę wymaganych adresów hostów w każdym segmencie fizycznym.
• Każda karta sieciowa w segmencie fizycznym wymaga przynajmniej jednego adresu IP.

Hosty TCP/IP mają zwykle po jednej karcie.

• Na podstawie wymagań ustalonych w krokach 1 i 2 zdefiniuj:
• Jedną maskę podsieci dla całej sieci.
• Unikatowy identyfikator podsieci dla każdego segmentu fizycznego.
• Zakres identyfikatorów hostów dla każdej podsieci.

Maska podsieci

W przypadku zastosowania podziału na klasy, liczba dostępnych sieci i hostów dla poszczególnych
klas adresów jest z góry ograniczona. W rezultacie danej organizacji przydzielany jest jeden stały
identyfikator sieci oraz pewna określona liczba hostów, zależna od klasy adresu IP. Jeśli danej
organizacji został przyznany tylko jeden identyfikator sieci, może w niej funkcjonować tylko jedna
sieć, licząca określoną liczbę hostów. Jeśli liczba hostów będzie zbyt duża, sieć nie będzie w stanie
efektywnie działać.

Struktura maski podsieci

Podział identyfikatora sieci jest możliwy dzięki zastosowaniu maski podsieci. Maska podsieci
stanowi rodzaj filtra, który pozwala oddzielać w adresie IP identyfikator sieci od identyfikatora
hosta, lecz nie podlega ograniczeniom wynikającym z podziału na klasy. Maska podsieci, podobnie
jak adres IP, składa się z czterech oktetów, które definiują wartości od 0 do 255.
W przypadku zastosowania podziału na klasy, każda z tych liczb może przyjmować tylko
dopuszczalną wartość maksymalną 255 lub minimalną 0.

Domyślne maski podsieci

W przypadku zastosowania podziału na klasy, ka5da klasa adresów posiada domyślną maskę
podsieci. Dla adresów klasy A maska wynosi 255.0.0.0, dla klasy B 255.255.255.0 i dla klasy C
255.255.255.0.

Definiowanie identyfikatorów podsieci

Definiując identyfikator podsieci należy pamiętać, że liczba bitów hosta musi być taka sama jak w
masce podsieci. Należy oszacować liczbę możliwych kombinacji bitów, a następnie
przekonwertować je na format dziesiętny. Przykładowo jeżeli maska podsieci wynosi:

255.

255.

224.

0

11111111 11111111 11100000 00000000

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 7/18

to dla takiej maski możliwe jest utworzenie 8 podsieci. O wartości tej świadczy ilość jedynek na
ostatniej pozycji maski.

Maska

Podsieci

000 00000

0 – 31

001 00000

32 – 63

010 00000

64 – 95

011 00000

96 – 127

100 00000

128 – 159

101 00000

160 – 191

110 00000

192 – 223

111 00000

224 - 255

Inną metodą wyznaczania identyfikatorów jest przeliczenie ilości zer w ostatnim identyfikatorze
sieci i przekonwertowanie tej liczby na wartość dziesiętną podnosząc liczbę 2 do uzyskanej wartości
potęgi. Np. w naszym przypadku ilość zer wynosi 5, a więc podnosząc 2 do potęgi 5 uzyskujemy 32,
co informuje nas, o ile mają być zwiększane identyfikatory podsieci. Ta metoda jest o wiele
wydajniejsza niż poprzednia, zwłaszcza dla masek, których ilość jedynek jest większa niż 4.

Optymalne przydzielanie adresów IP

Wyczerpywanie się puli adresów IP doprowadziło do powstania nowego systemu adresowania,
noszącego nazwę metody CIDR (ang. Classless Inter-Domain Routing). W przypadku metody CIDR,
adresy IP oraz maski podsieci przedstawiane są w zapisie binarnym, co pozwala dzielić tradycyjne
sieci o stałym rozmiarze. Dzięki temu metoda CIDR stanowi bardziej efektywny sposób
przydzielania adresów IP niż metoda podziału na klasy.

Wykorzystanie zapisu binarnego dla adresu IP

Komputery, w trakcie realizacji wewnętrznych procesów przetwarzania danych wykorzystują zapis
binarny, ponieważ wewnętrzna komunikacja odbywa się za pomocą sygnałów, które mogą
występować tylko w dwóch stanach: włączony lub wyłączony.
W przypadku zastosowania metody CIDR, adres IP oraz maska podsieci są konwertowane na zapis
binarny. Zgodnie z metodą CIDR adresy IP składają się z zestawu 32 wartości, zamiast tylko czterech
wartości, stosowanych w przypadku podziału na klasy. Podział taki dopuszcza stosowanie wielu
różnych rozmiarów sieci, co pozwala zoptymalizować sposób, w jaki przypisywane są adresy IP.
Użycie metody CIDR powoduje, że firmy mogą otrzymywać adresy IP w liczbie bardziej
odpowiadającej ich wymaganiom, dzięki czemu zdecydowanie mniejsza liczba adresów IP pozostaje
niewykorzystana. W metodzie CIDR domyślna maska podsieci nie jest określana na podstawie
adresu IP. Zamiast tego każdemu hostowi nadawana jest niestandardowa maska podsieci, a każdy
router przesyła adres IP jako część pakietu danych.

Maski podsieci w zapisie binarnym

Maski podsieci składają się zawsze z ciągłego zakresu wartości maksymalnych, po którym następuje
ciągły zakres wartości minimalnych. W zapisie binarnym przekłada się to na serię sąsiednich
jedynek, po których następuje seria zer. Sąsiednie cyfry o wartości 1 wskazują część adresu IP, który
odpowiada identyfikatorowi sieci, natomiast sąsiednie cyfry o wartości 0 wskazują identyfikator
hosta.

Zapis adresu IP w notacji CIDR

Adres IP w zapisie CIDR oprócz wartości dziesiętnych oddzielonych kropkami zawiera także maskę
bitową. Maska bitowa określa liczbę kolejnych jedynek maski podsieci w zapisie binarnym, która
jest związana z danym adresem IP.
Na przykład dla adresu IP przedstawionego w zapisie CIDR jako 10.217.123.7/20, pierwszych 20
bitów maski podsieci stanowią jedynki. Gdybyśmy chcieli przedstawić ten zapis w notacji klasycznej,
maska sieciowa wynosiłaby: 255.255.240.0.

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 8/18

Zależność pomiędzy CIDR a klasami adresów IP

W zapisie CIDR adres IP, podany wraz z maską bitową /20, może należeć do każdej ze stosowanych
klas adresów A, B lub C.
W poniższej tabeli została zamieszczona lista praktycznych masek sieciowych w notacji CIDR.

Zapis CIDR

Maska podsieci

Liczba podsieci

/8

255.0.0.0

256 sieci klasy B

/9

255.128.0.0

128 sieci klasy B

/10

255.192.0.0

64 sieci klasy B

/11

255.224.0.0

32 sieci klasy B

/12

255.240.0.0

16 sieci klasy B

/13

255.248.0.0

8 sieci klasy B

/14

255.252.0.0

4 sieci klasy B

/15

255.254.0.0

2 sieci klasy B

/16

255.255.0.0

1 sieć klasy B lub 256 klasy C

/17

255. 255.128.0

128 sieci klasy C

…

…

…

/24

255.255.255.0

1 sieć klasy C

/25

255. 255. 255.128

½ sieci klasy C

/26

255. 255. 255.192

¼ sieci klasy C

/27

255. 255. 255.224

1/8 sieci klasy C

/28

255. 255. 255.240

1/16 sieci klasy C

Wyznaczanie identyfikatora sieci w notacji CIDR

Aby obliczyć identyfikator sieci dla adresu, którego zapis jest podany w notacji CIDR należy:

• Dokonać konwersji adresu IP na format binarny.
• Korzystając z maski bitowej, określić liczbę bitów adresu IP, które składają się na

identyfikator sieci.

• Uzupełnić identyfikator sieci o brakujące zera, nadając mu pełną, złożoną z czterech oktetów,

strukturę.

W zapisie adresu IP 10.217.123.7/20 wskazane jest, że maska podsieci zawiera 20 sąsiednich
jedynek, tak więc identyfikator sieci składa się z pierwszych 20 bitów adresu IP, po których
umieszczone są zera.

00001010 11011001 01111011 00000111
11111111 11111111 11110000 00000000

00001010 11011001 01110000 00000000

Na podstawie powyższych informacji identyfikator podsieci ma adres 10.217.112.0

Określanie adresów hostów

Zastosowanie metody CIDR pozwala w prosty sposób obliczać ilość dostępnych identyfikatorów
hosta na podstawie maski podsieci i związanego z nią bloku adresów IP.
W ramach metody CIDR stosowany jest podział na podsieci oraz tworzenie nadsieci, co pozwala
zoptymalizować sposób, w jaki przydzielane są adresy IP.
Termin tworzenie nadsieci oznacza łączenie wielu różnych adresów tak, aby można było nadać im
jeden identyfikator sieci. Podział na podsieci daje możliwość rozdzielenia dużej sieci na wiele
podsieci.
Ilość hostów, które mogą mieć taki sam identyfikator sieci, oblicza się na podstawie ilości zer
w masce podsieci. Jeśli ilość zer oznaczymy literą n, to ilość hostów obliczyć będzie można ze wzoru
2n-2. Dwa adresy, które są we wzorze odejmowane, są zarezerwowane dla identyfikacji sieci oraz
adresu rozgłoszeniowego.

Typy adresów IP

Wszystkie komputery w sieci, które są dostępne z Internetu, wymagają zarejestrowanego adresu
IP, ale nie każdy komputer mający dostęp do Internetu wymaga takiego adresu. W zależności od
wymagań danej sieci można korzystać z prywatnych lub publicznych adresów IP.

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 9/18

Prywatne adresy IP

Prywatne adresy IP to specjalne adresy sieciowe, które są przeznaczone dla sieci prywatnych i nie
są na nikogo zarejestrowane. Adresy takie można przypisywać bez udziału usługodawcy
internetowego i organizacji IANA. Adresy prywatne można przypisywać komputerom, które nie
muszą być dostępne z Internetu. Prywatny adres IP nie zostanie nigdy przypisany jako adres
publiczny i nigdy nie będzie duplikatem adresu publicznego.
Następujące adresy IP są zarezerwowane dla sieci prywatnych:

• od 10.0.0.0 do 10.255.255.255
• od 172.16.0.0 do 172.31.255.255
• od 192.168.0.0 do 192.168.255.255

Więcej informacji na temat prywatnych adresów IP można znaleźć w specyfikacji RFC 1918.

Publiczne adresy IP

Adresy publiczne są przypisywane przez organizację IANA i składają się z identyfikatorów sieci
określonej klasy lub bloków adresów CIDR (nazywanych blokami CIDR) gwarantujących globalną
unikatowość w Internecie. Liczba adresów publicznych, które można przypisać, jest ograniczona.
Po przypisaniu adresów publicznych do określonych lokalizacji trasy są zapisywane w pamięci
routerów internetowych, aby ruch wysłany pod przypisane adresy publiczne trafił do tych
lokalizacji. Ruch kierowany pod docelowe adresy publiczne jest przesyłany w Internecie.
Jeśli organizacji został przypisany na przykład blok CIDR w postaci identyfikatora sieci i maski
podsieci, to ta para identyfikator sieci-maska podsieci również jest zapisana jako trasa w routerach
internetowych. Pakiety IP przeznaczone dla adresu w bloku CIDR są przesyłane do właściwego
miejsca docelowego.

Adresacja IPv6

Budowa adresu IPv6

Zwykle adres IPv6 podaje się w postaci heksadecymalnej (szesnastkowej), oddzielając porcje 16
bitów dwukropkiem:

2001:0470:1F00:FFFF:0000:0000:006A/127

Wykorzystując kompresję zer możliwe jest skrócenie adresu do formy, która jest bardziej czytelna:

2001:470:1F00:FFFF::6A/127

Zezwala się na skrócenie jednego ciągłego bloku zer i zastąpienie go podwójnym dwukropkiem.
Opuszcza się także początkowe zera w blokach. W powyższym adresie została dołączona
127-bitowa maska („/127”). Podobny zapis jest stosowany w adresach URL, gdzie adres IPv6
zawiera się w nawiasach kwadratowych:

http://[2001:0470:1F00:FFFF:0000:0000:006A]:8080/

Adresy IPv6 mogą wydawać się ciężkie do zapamiętania użytkownikom końcowym.
Należy pamiętać jednak, że w większości przypadków adresy te zostaną przetłumaczone na nazwy
przez serwery DNS.

Typy adresów IPv6

Podobnie jak w IPv4, IPv6 adres został podzielony na części, które definiują typy adresów.
Wyróżnia się następujące typy adresów:

• Unicast – adres ten identyfikuje pojedyncze interfejsy unicast. Pakiety zaadresowane do tego

typu adresu trafiają zawsze do pojedynczego interfejsu.

• Multicast – adres ten identyfikuje interfejsy grupowe multicast. Pakiety zaadresowane do

tego typu adresu trafiają zawsze do adresów, które zostały zidentyfikowane w adresie.
Wykorzystywany do komunikacji jeden-do-wielu.

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 10/18

• Anycast – adres ten identyfikuje interfejsy grupowe. Pakiety zaadresowane do tego typu

adresu trafiają zawsze do najbliższego (o najmniejszej trasie pakietu) zidentyfikowanego
pojedynczego interfejsu. Wykorzystywany do komunikacji jeden-do-jednego-z-wielu.

Każdy z adresów IPv6 identyfikuje poszczególny interfejs. Węzły są identyfikowane poprzez adres
unicast, który został przypisany do jednego z jego interfejsów. Każdy adres posiada określoną
sekwencję bitów, która bezpośrednio go charakteryzuje. Adresy danego typu zaczynają się zawsze
od tej samej sekwencji – prefiksu. Dzięki temu możliwe jest odróżnienie adresów od siebie, tak jak
w IPv4. Prefiks IPv6 jest analogią do CIDR w IPv4.
Prefiks wskazuje na bity, które mają stałe wartości lub na identyfikatory sieciowe, np.
2001:470:1F00:FFFF::6A/48 jest prefiksem trasy, a 2001:470:1F00:FFFF::6A/64 określa prefiks
podsieci. Zamiast maski jak w protokole IPv4, w IPv6 używana jest notacja długości prefiksu.
Stosowana technika multinetting polega na przypisaniu grupowych prefiksów podsieci do tego
samego łącza.

Adresy unicast

Adresy Unicast dzielą się na poszczególne podtypy:

• Global – tzw. adresy główne
• Link-local – adresy lokalne łącza
• Site-local – adresy lokalne węzła
• Adresy Specjalne

Adres global odpowiada adresom publicznym w IPv4. Identyfikowany jest przez prefiks 001. Adres
link-local jest adresem ograniczonym zasięgiem do lokalnego połączenia np. podsieć, VLAN itp.
Identyfikuje się je przez prefiks 1111 1110 10, czyli FE80:0:0:0. Jeżeli w sieci nie ma routera, to
adresy te wykorzystywane są przez poszczególne komputery do komunikacji między sobą. Adres
ten jest wymagany do działania Neighbor Discovery, podlega autokonfiguracji i nie przekazuje
ruchu poza łącze wewnętrzne (jest nie routowalny). Powstaje na podstawie adresu MAC
(najmłodsze 64 bity).
Adres site-local jest adresem będącym odpowiednikiem adresów prywatnych w protokole IPv4
(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). W przeciwieństwie do adresów link-local, adresy
site-local nie są konfigurowalne automatycznie. Do ich konfiguracji wykorzystuje się DHCPv6 lub
konfiguruje się je ręcznie. Posiadają prefiks 1111 1110 11, czyli FEC0:0:0/48, a ich zasięg ogranicza
się do danej sieci. Oznacza to, że routery nie mogą przekazywać ruchu pochodzącego z tych
adresów poza wyznaczony obszar.
Podobnie jak w IPv4, w IPv6 również są adresy specjalne:

• Nieokreślony – wykorzystywany do określenia adresu, który nie został przypisany do

wybranego interfejsu. Oznacza się go grupą zer 0:0:0:0:0:0:0:0 lub ::, podobnie jak w IPv4 dla
takiego adresu wykorzystywano zapis 0.0.0.0. Adres ten jest przypisywany podczas, gdy host
szuka adresów do przypisania, bądź weryfikuje przypisany adres.

• Pętli zwrotnej (czyli loopback) – wykorzystywany do określania własnego interfejsu,

identyfikuje się go jako: 0:0:0:0:0:0:0:1 lub ::1. Jest odpowiednikiem 127.0.0.1 w IPv4.

Adresy multicast

Adresowanie grupowe w IPv6 identyfikowane jest przez ciąg 11111111. Adres grupowy jest łatwo
rozpoznawalny, ponieważ zawsze zaczyna się od FF i nie może być wykorzystany jako adres
źródłowy. Oprócz prefiksu, w nagłówku znajdują się także flagi, podobnie jak w IPv4. Identyfikacja
węzłów dla tzw. node-local, site-local i link-local obejmuje następujące adresy:

• FF01::1 – adres grupowy node-local o zasięgu all-nodes
• FF01::2 – adres grupowy node-local o zasięgu all-routers
• FF02::1 – adres grupowy link-local o zasięgu all-nodes
• FF02::2 – adres grupowy link-local o zasięgu all-routers
• FF05::2 – adres grupowy site-local o zasięgu all-routers

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 11/18

Adresy anycast

• Adres anycast obecnie używany jest tylko i wyłącznie, jako adres docelowy przypisany do

routera. Adres tego typu znajduje się poza pulą adresową adresów unicast. Pakiety, które
docelowo zostają przesłane na adres anycast, zwykle przesyłane są do najbliższego interfejsu,
do którego omawiany adres został przypisany.

Konfiguracja adresów IPv6

Autokonfiguracja jest jednym z ciekawszych i bardziej przydatnych aspektów zarządzania IPv6. Do
autokonfiguracji nie potrzebujemy DHCPv6, ponieważ host konfiguruje adres link-local sam, dla
każdego interfejsu. Informacje o autokonfiguracji zostały umieszczone w RFC 2462.
W autokonfiguracji wyróżnia się trzy sposoby przypisywania adresów:

• Stateless – Konfiguracja jest ściśle powiązana z wiadomościami routerów Router

Advertisement.

• Stateful – Konfiguracja opiera się na protokołach konfiguracji, np. DHCPv6, który

automatycznie nadaje adresy oraz opcje konfiguracyjne.

• Oba – Konfiguracja opiera się na wiadomościach Router Advertisement, Prefix Information

oraz MAC i OSC ustawione w wartość 1.

Adresy konfigurujące się automatycznie mogą znaleźć się w następujących stanach:

• Tentative (tymczasowy) – przybranie tej formy adresu oznacza, że następuje weryfikacja

adresu (detekcja duplikatów). Węzeł może odpowiadać jedynie na wiadomości grupowe
Neighbor Advertisement, nie może odebrać ruchu typu unicast.

• Valid (poprawny) – przybranie tej formy adresu oznacza, że adres jest unikalny i od tej pory

do komunikacji można wykorzystywać IPv6.

• Preferred (preferowany) – przybranie tej formy umożliwia wysyłanie i odbieranie unicast do

adresu preferowanego.

• Deprecated (zdewaluowany) – adres tego typu nie nawiązuje nowych połączeń, mimo tego,

że nadal jest aktywny. Połączenie, które już istnieje, może wykorzystywać ten adres, można
wysyłać i odbierać na niego ruch.

• Invalid (niewłaściwy) – adres tego typu nie pozwala na nawiązanie żadnych połączeń unicast.

Stan ten przyjmowany jest w sytuacji, gdy czas życia adresu aktywnego wygasa.

• Autokonfguracja, z wyjątkiem adresów link-local, przeznaczona jest tylko dla hostów.

Narzędzia konfiguracji adresów IP

Do zarządzania konfiguracją adresów IP można wykorzystać następujące metody:

Właściwości protokołu internetowego (TCP/IP)

Zmiana konfiguracji adresu IP może zostać przeprowadzana przy wybraniu okna właściwości
interfejsu sieciowego. W oknie tym możliwe jest dokonanie konfiguracji zarówno dla adresów IPv4
oraz IPv6. Przykładowe okno konfiguracji IP znajduje się na rysunku 4.

Rys. 4 Okno właściwości interfejsu sieciowego dla adresów IPv4 i IPv6

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 12/18

Aby wywołać okno właściwości interfejsu sieciowego wykonaj następujące kroki:

• uruchom Network and Sharing Center z Control Panel
• wybież z prawego menu opcji Manage Network Connections
• kliknij prawym klawiszem myszy interfej, którego adresację IP chcesz zmodyfikować i wybierz

Properties

• zaznacz protokół IPv4 i kliknij przycisk Properties
• pojawi się okno jak na rysunku 4
• powtórz powyższe kroki dla protokołu IPv6

Narzędzia wiersza linii poleceń

• Do zarządzania adresacją IP z wiersza linii poleceń można wykorzystać następujące

polecenia:

• Ipconfig – wyświetla i aktualizuje bieżącą konfigurację TCP/IP, włącznie z adresem IP.
• netsh – bardzo rozbudowany wiersz linii poleceń, umożliwiający zarządzanie stosem TCP/IP

oraz adresacją IP na komputerach pod kontrolą systemów Windows.

• Aby wykorzystać polecenia netsh do zmiany adresu IP dla interfejsu o nazwie „Połączenie

lokalne”, należy wykonać następujące polecenia:

interface ip
set address name="Połączenie lokalne" source=static addr=192.168.1.20
mask=255.255.255.0
set address name="Połączenie lokalne" gateway=192.168.1.1 gwmetric=0
set dns name="Połączenie lokalne" source=static addr=192.168.1.1
register=PRIMARY
add dns name="Połączenie lokalne" addr=194.204.159.1 index=2
set wins name="Połączenie lokalne" source=static addr=none

Polecenia skryptowe

Przeprowadzenie zmiany adresu IP na interfejsie sieciowym może zostać przeprowadzone również
za pomocą języków skryptowych tj. VBS lub PowerShell. Przykład wykorzystania VBS znajduje się
poniżej:

Set oLocator = New SWbemLocator
Set oServices = oLocator.ConnectServer(, "root\cimv2")
Set oObject = oServices.Get("Win32_NetworkAdapterConfiguration.Index=0")
Dim asIPAddress
Dim asSubnetMask
asIPAddress = Array("xxx.xxx.xxx.xxx")
asSubnetMask = Array("xxx.xxx.xxx.xxx")
Set oMethod = oObject.Methods_("EnableStatic")
Set inParam = oMethod.InParameters.SpawnInstance_()
inParam.IPAddress = asIPAddress
inParam.SubnetMask = asSubnetMask
Set outParam = oObject.ExecMethod_("EnableStatic", inParam)
If outParam.returnValue = 0 Then
MsgBox "Method Succeeded."
Else
MsgBox "Method Failed. " & CStr(outParam.returnValue)
End If

W powyższym kodzie w miejsce „xxx.xxx.xxx.xxx” należ wpisać odpowiednio poprawny adres IP
oraz maskę sieciową.

Podsumowanie

W rozdziale tym zostały przedstawione najważniejsze informacje związane z adresowaniem IP.

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 13/18

Po zapoznaniu się z zawartością modułu powinieneś rozumieć jak zbudowany jest adres IPv4 i IPv6,
wiedzieć jaką rolę w zarządzaniu adresacją IP odgrywa maska sieciowa i potrafić zaplanować
wykorzystanie adresacji IP w rozproszonej infrastrukturze sieciowej.

Przykładowe rozwiązanie

Dokonaj projektu wykorzystania adresów IP dla przedsiębiorstwa, które zakupiło pulę adresów IP
w sieci o identyfikatorze 157.54.0.0/16. Przeprowadzany przez Ciebie projekt ma zagwarantować
optymalne wykorzystanie adresów IP. W ramach projektu należy utworzyć jedną podsieć
obsługującą maksymalnie 32 000 hostów, 15 podsieci obsługujących maksymalnie po 2000 hostów
oraz osiem podsieci obsługujących maksymalnie po 250 hostów.

Utworzenie podsieci dla 32000 hostów

Aby spełnić wymaganie dotyczące utworzenia jednej podsieci zawierającej około 32 000 hostów,
należy dodać bit o wartości 1 do identyfikatora sieci danej klasy 157.54.0.0. Spowoduje to
utworzenie 2 podsieci: 157.54.0.0/17 i 157.54.128.0/17. Taki podział zezwala na działanie 32 766
hostów w jednej podsieci. 157.54.0.0/17 został wybrany na identyfikator sieci, co jest zgodne
z wymaganiami.

Utworzenie 15 podsieci dla 2000 hostów

Aby spełnić wymaganie dotyczące utworzenia 15 podsieci zawierających około 2000 hostów, należy
dodać 4 bity do identyfikatora podsieci 157.54.128.0/17. Spowoduje to utworzenie 16 podsieci
(157.54.128.0/21, 157.54.136.0/21 do 157.54.240.0/21, 157.54.248.0/21) i umożliwi działanie 2046
hostów w jednej podsieci. Pierwszych 15 identyfikatorów podsieci (157.54.128.0/21 do
157.54.240.0/21) zostało wybranych na identyfikatory sieci, co jest zgodne z wymaganiami.

Utworzenie 8 podsieci dla 250 hostów

Aby spełnić wymaganie dotyczące utworzenia 8 podsieci z maksymalnie 250 hostów, należy dodać
3 bity do identyfikatora podsieci 157.54.248.0/21. Spowoduje to utworzenie 8 podsieci
(157.54.248.0/24, 157.54.249.0/24 do 157.54.254.0/24, 157.54.255.0/24) i umożliwi działanie 254
hostów w jednej podsieci. Wszystkie osiem identyfikatorów podsieci (157.54.248.0/24 do
157.54.255.0/24) zostało wybranych na identyfikatory sieci, co jest zgodne z wymaganiami.

Porady praktyczne

Uwagi ogólne

• Pamiętaj, że znajomość zasad działania i budowy protokołów adresacji IP może znacznie

ułatwić Ci prowadzenie czynności administracyjnych w przyszłej pracy.

• W środowisku rozproszonym zaplanuj wykorzystanie podsieci.
• Wypracuj sobie metody przydzielania adresów IP.
• W środowisku wykorzystującym routery staraj się agregować tablice routingu przy

wykorzystaniu metody CIDR.

• Dla dużych środowisk sieciowy wykorzystuj automatyczne zarządzanie adresacją IP.
• Pamiętaj, że praca w jednej dużej domenie rozgłoszeniowej zmniejsza wydajność sieci.
• W sieci LAN wykorzystuj adresację wewnętrzną.
• Planując dostęp użytkowników do sieci Internet rozważ stosowanie technologii NAT.
• IPv6 za niedługo stanie się standardem, zaplanuj więc wykorzystanie go w Twojej sieci.

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium jeśli:

• jesteś zaznajomiony z protokołem TCP/IP
• rozumiesz budowę adresu IPv4 i IPv6
• wiesz jaką rolę w budowaniu podsieci odgrywają maski sieciowe

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 14/18

• znasz problemy wynikające z stosowania adresowania IP opartego na klasach
• wiesz jak wykorzystywać notację CIDR do optymalnego zarządzania adresacją IP
• zapoznałeś się z pojęciami dotyczącymi modułu tj. adres IP, maska sieciowa, notacja CIDR,

podsieć, nadsieć, budową adresów IPv6.

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.

Dodatkowe źródła informacji

1.

http://pl.wikipedia.org/wiki/Adres_IP

Opis funkcjonowania adresacji IPv4 wraz z odsyłaczami do pokrewnych stron.

2. http://pl.wikipedia.org/wiki/IPv6

Zbiór informacji na temat budowy i wdrażania adresacji IPv6

3.

Karol Krysiak, Sieci komputerowe. Kompendium, Helion, 2003

Bardzo dobry podręcznik ogólnej wiedzy o sieciach komputerowych.

4.

Mark Sportack, Sieci komputerowe. Księga eksperta, Helion 2004

Książka przybliża podstawowe założenia sieci komputerowych, które powinny być znane
współczesnemu informatykowi. Krok po kroku wprowadzi Cię w problematykę sieci,
pozwalając na poznanie ich architektury i zrozumienie zasad działania.

5. Brian Komar, TCP/IP dla każdego. Helion 2002

Książka omawia zarówno teoretyczne podstawy funkcjonowania sieci opartych na TCP/IP,
jak i praktyczne sposoby konfigurowania protokołów w różnorodnych systemach
operacyjnych stosowanych we współczesnych sieciach.

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 15/18

Laboratorium podstawowe

Problem 1 (czas realizacji 20 min)

Jako inżynier systemowy masz za zadanie przeprowadzić konfigurację IP dla komputerów klienckich
w całej sieci przedsiębiorstwa. Wszystkie komputery, które podlegają Twojej bezpośredniej
administracji będą przez Ciebie skonfigurowane ręcznie, natomiast dla komputerów w oddziałach
zdalnych zostaną przygotowane skrypty netsh umożliwiające ich przekonfigurowanie.
Dokonaj konfiguracji adresu IP w trybie graficznym systemu operacyjnego.

Zadanie

Tok postępowania

1.

Konfiguracja

statycznego
adresu IP i
adresów
serwerów DNS

• Zalogować się na komputerze ITA-CL01.
• Kliknąć prawym klawiszem ikonę połączenia sieciowego na pasku zadań

i wybrać Centrum sieci i udostępniania.

• W lewym panelu okna Centrum sieci i udostępniania kliknąć Zarządzaj

połączeniami sieciowymi.

• W oknie Połączenia sieciowe zaznaczyć ikonę połączenia (Połączenie

lokalne), kliknąć prawym klawiszem i wybrać Właściwości.

• W oknie Kontrola konta użytkownika kliknąć Kontynuuj.
• Kliknąć na elemencie Protokół internetowy w wersji 4 (TCP/IPv4), a

następnie kliknąć Właściwości.

• W oknie właściwości protokołu wybrać Użyj następującego adresu IP,

aby ustawić statyczny adres IP.

• W pole Adres IP wprowadzić wybrany dla tego komputera adres IP, np.

10.10.0.100.

• W pole Maska podsieci wprowadzić maskę, np. 255.255.255.0.
• W pole Brama domyślna wprowadzić adres bramy sieci, np. 10.10.0.1.
• W pole Preferowany serwer DNS wprowadzić IP serwera DNS, np.

(10.10.0.1).

• W pole Alternatywny serwer DNS wprowadzić IP zapasowego serwera

DNS.

• Kliknąć przycisk Zaawansowane.
• Na stronie Ustawień protokołu IP można korzystając z przycisków Dodaj
• wprowadzić dodatkowe adresy IP tego komputera, jak również

dodatkowe adresy bram sieci.

• Kliknąć przycisk OK, aby zatwierdzić zmiany.

2.

Konfiguracja

suffix DNS

• Wybrać właściwości dla Protokół internetowy w wersji 4 (TCP/IPv4).
• Kliknąć przycisk Zaawansowane.
• Kliknąć na zakładce DNS.
• Aby ustawić suffix DNS należy wypełnić pole Suffix DNS dla tego

połączenia wartością ITA.lokalna.

• Kliknąć przycisk OK, aby zatwierdzić zmiany.

3.

Konfiguracja

adresu serwera
WINS

• Wybrać właściwości dla Protokół internetowy w wersji 4 (TCP/IPv4).
• Kliknąć przycisk Zaawansowane.
• Kliknąć na zakładce WINS.
• Korzystając z przycisku Dodaj pod listą z adresami serwerów WINS

uzupełnić listę o adresy serwerów WINS 10.10.0.50.

• Kliknąć przycisk OK, aby zatwierdzić zmiany.
• Kliknąć przycisk Zamknij.

4.

Testowanie

konfiguracji

• Uruchom konsolę systemową cmd.exe
• W wierszu linii poleceń wpisz polecenie ipconfig /All

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 16/18

adresu IP

• Zweryfikuj czy wyświetlone dane zgadzają się z wprowadzonymi w

pierwszej części ćwiczenia.

Problem 2 (czas realizacji 25 min)

Przeprowadź konfigurację adresu IP przy wykorzystaniu polecenia netsh.

Zadanie

Tok postępowania

1.

Zmiana nazwy

interfejsu
sieciowego

• Uruchom konsolę systemową cmd.exe w trybie administratora
• W oknie Kontrola konta użytkownika kliknąć Kontynuuj.
• Aby wyświetlić listę interfejsów komputera lokalnego, w oknie konsoli

wprowadź

• polecenie netsh interface show interfaces
• Aby zmienić nazwę połączenia lokalnego wprowadź polecenie
• netsh

interface

set

interface

name=”Połączenie

lokalne”

newname=„LAN”

• Wyświetlić listę połączeń by potwierdzić zmianę nazwy.

2.

Konfiguracja

statycznego
adresu IP

• W oknie konsoli wprowadzić polecenie
• netsh interface ipv4 set address „LAN” static 10.10.0.200 255.255.255.0

10.10.0.1 1

• Aby sprawdzić poprawność zmian, w oknie konsoli wpisać w jednej linii

netsh interface ipv4 show addresses

3.

Ustawienie

adresu serwera
DNS

• W oknie konsoli wprowadzić polecenie

netsh interface ipv4 set dnsserver „LAN” static 10.10.0.1 primary

• Aby wyświetlić konfigurację serwerów DNS, oknie konsoli wprowadzić

polecenie

netsh interface ipv4 show dnsservers

4.

Ustawianie

adresu serwera
WINS

• W oknie konsoli wprowadzić polecenie

netsh interface ipv4 set winsserver „LAN” static 10.10.0.1 primary

• Aby wyświetlić konfigurację serwerów WINS, oknie konsoli wprowadzić

polecenie

netsh interface ipv4 show winsservers

5.

Zapisywanie

konfiguracji

• W oknie konsoli wprowadzić polecenie

netsh interface dump > c:\dump.txt

• Otwórz plik dump.txt i zapoznaj się z zapisaną konfiguracją

6.

Przywracanie

konfiguracji z
pliku

• Dokonaj zmian konfiguracji adresu IP
• Potwierdź dokonanie zmiany poleceniem ipconfig /all
• W oknie konsoli wprowadź polecenie

netsh exec c:\dump.txt

• Potwierdź przywrócenie konfiguracji poleceniem ipconfig /all

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 17/18

Laboratorium rozszerzone

Zadanie 1 (czas realizacji 45 min)

Zaprojektuj wspólną przestrzeń adresową dla przedsiębiorstwa wykorzystującego oddziały zdalne,
którego architektura została przedstawiona na Rys. 5.

Rys. 5 Środowisko przedsiębiorstwa

Podczas projektu należy przyjąć następujące założenia:

• w całej organizacji musi być wykorzystywana wspólna przestrzeń adresowa wykorzystująca

prywatne adresy IP

• przeprowadzając projekt należy uwzględnić optymalną konfigurację podsieci tak aby

umożliwić dalszy rozwój organizacji bez konieczności zmian w adresacji

• przedsiębiorstwo dysponuje następującymi lokalizacjami: Centrala – zawierająca 763 hosty,

oddział 1 – zawierający 76 hostów, oddział 2 – zawierający 56 hostów, oddział 3 –
zawierający 132 hosty i oddział 4 – zawierający 273 hosty

• dla organizacji nie jest akceptowalna jedna wspólna przestrzeń adresowa

Przeprowadzić projekt wdrażania spójnej przestrzeni adresacji IP dla określonych powyżej
warunków. Wyniki projektu przedyskutuj z prowadzącym zajęcia.
Przeprowadź projekt wdrożenia adresacji IPv6 dla określonych powyżej warunków. Wyniki projektu
przedyskutuj z prowadzącym zajęcia.

Zadanie 2 (czas realizacji 45 min)

Przejrzyj następujące adresy IP danej klasy. Wskaż część adresu IP, która uniemożliwia przypisanie
tego adresu IP do hosta, i wyjaśnij, dlaczego jest ona nieprawidłowa. Załóż, że używana domyślna
maska podsieci odpowiada klasie adresu.

• 131.107.256.80____________________________________________
• 222.222.255.222___________________________________________
• 231.200.1.1_______________________________________________
• 126.1.0.0_________________________________________________
• 0.127.4.100_______________________________________________
• 190.7.2.0_________________________________________________
• 127.1.1.1_________________________________________________
• 198.121.254.255___________________________________________
• 255.255.255.255___________________________________________

Określ odpowiednią maskę sieciową, klasę adresu IP oraz identyfikatory sieci i hosta dla adresów
znajdujących się w poniższej tabeli. Pierwszy rząd stanowi przykład zadania.

Marek Pyka

Moduł III

ITA-108 Technologie sieciowe

Zarządzanie adresacją IP w sieciach komputerowych

Strona 18/18

Adres IP

Klasa/Maska podsieci

Identyfikator sieci

Identyfikator hosta

129.102.197.23

B/255.255.0.0

129.102.0.0

197.23

131.107.2.1

199.32.123.54

32.12.54.23

1.1.1.1

221.22.64.7

224.224.224.224

172.71.243.2

ITA-108 Technologie sieciowe

Marek Pyka

Moduł IV

Wersja 1

Konfigurowanie tras pakietów IP w

sieciach komputerowych

Spis treści

Konfigurowanie tras pakietów IP w sieciach komputerowych ............................................. ............... 1

Informacje o module ............................... ................................................... .......................................... 2

Przygotowanie teoretyczne ............................................................................ ..................................... 3

Przykładowy problem ............................... ................................................... ................................ 3

Podstawy teoretyczne............................... ................................................... ................................ 3

Przykładowe rozwiązanie .............................................................................. ............................. 19

Porady praktyczne ................................. ................................................... ................................. 20

Uwagi dla studenta ................................ ................................................... ................................. 21

Dodatkowe źródła informacji........................ ................................................... .......................... 21

Laboratorium podstawowe ........................... ................................................... .................................. 22

Problem 1 (czas realizacji 45 min) ................................................................... ........................... 22

Laboratorium rozszerzone .......................... ................................................... .................................... 24

Zadanie 1 (czas realizacji 45 min) ................................................................... ............................ 24

Zadanie 2 (czas realizacji 45 min) ................................................................... ............................ 25

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 2/25

Informacje o module

Opis modułu
W tym module znajdziesz informacje dotyczące protokołów trasowania
pakietów IP (ang. routing), jego implementacji w systemie Windows Server
2008 i zalet wynikających z stosowania serwera RRAS w przedsiębiorstwie.
Zapoznasz się z zasadami konfiguracji protokołów routingu statycznego
i dynamicznego w środowisku sieciowym Windows Server 2008. Zawarte
w module tym zadania umożliwią Ci zapoznanie się z procesem planowania,
wdrażania i zarządzania trasami pakietów w rozproszonej geograficznie
organizacji.

Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania serwera RRAS
do zarządzania przesyłaniem pakietów IP w sieciach przedsiębiorstw oraz
przedstawienie problematyki planowania, wdrażania i utrzymywania
komunikacji w sieciach rozproszonych.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• wiedział jaką rolę w sieci przedsiębiorstwa pełni router i jego

implementacja RRAS

• potrafił zainstalować, skonfigurować i zarządzać rolą serwera RRAS
• rozumiał potrzebę planowania infrastruktury dla utrzymywania

komunikacji sieciowej pomiędzy oddziałami zdalnymi.

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać zasadę działania protokołu IP
• rozumieć budowę adresu IPv4 oraz IPv6
• rozumieć zasady przesyłania pakietów w sieciach rozległych
• rozumieć zasady podziału sieci na podsieci przy pomocy maski

sieciowej

• znać zasady pracy w środowisku Windows Server 2008

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 3 Zarządzanie adresacją IP w sieciach komputerowych.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 3/25

Przygotowanie teoretyczne

Przykładowy problem

Pracując jako administrator sieci nie unikniesz konieczności zarządzania i konfiguracji routerów.
Bardzo często sieci wewnętrzne w budynkach podlegają podziałowi na podsieci w oparciu o różne
interfejsy routera. Problem staje się bardziej poważny, kiedy organizacja w swojej infrastrukturze
wykorzystuje oddziały zdalne. Wtedy będziesz musiał zarządzać trasami pakietów IP poprzez sieci
rozległe. Dobre opanowanie umiejętności budowania i zarządzania trasami pakietów umożliwi Ci
budowanie wydajnych, bezawaryjnych i bezpiecznych rozwiązań dla sieci LAN, WAN. W pracy
spotkasz się z różnymi urządzeniami tego typu, w związku z czym ważne jest abyś opanował
podstawy ich działania i zasady konfiguracji. Pracując jako administrator na pewni spotkasz się
z zadaniem jak poniżej.
Twój kierownik działu IT zleca Ci przygotowanie projektu tras pakietów IP dla komunikacji centrali
z oddziałami zdalnymi. Cała organizacja wykorzystuje jedną spójną przestrzeń adresową bez
podziału na podsieci. Taka konfiguracja znacznie wpływa na spadek wydajności całej infrastruktury.
Musisz przyjąć założenia określające centralną kontrolę i zarządzanie trasami oraz określenie
optymalnych protokołów routingu. Dodatkowo musisz zaprojektować odpowiedni podział na
segmenty ale w taki sposób, aby użytkownicy sieci nie zauważyli żadnych zmian w adresacji.
Przygotowując się do wykonania projektu warto jest wziąć pod rozwagę wykorzystanie
dynamicznego protokołu RIP – w środowisku przedsiębiorstwa obie organizacje będą połączone
dedykowanymi łączami sieciowymi co umożliwi tratowanie powstałej sieci jako LAN,
ilość oddziałów zdalnych w przedsiębiorstwie, dostęp pracowników mobilnych do infrastruktury
oraz rodzaj wykorzystywanych rozwiązań programowo-sprzętowych.

Podstawy teoretyczne

Jak wyjaśniono w module 1, "Wprowadzenie do sieci komputerowych", routery są urządzeniami
pracującymi w warstwie trzeciej modelu OSI, która odpowiada za funkcje trasowania. Rys. 2
przedstawia uproszczony model routera.

Rys 2. Schemat działania Routera

Router może posiadać wiele portów, przy czym musi posiadać co najmniej dwa. Oprogramowanie
trasujące IP sprawdza nagłówki datagramów przychodzących do portu, aby ustalić, gdzie należy
przekazać datagram. Najważniejszą informacją sprawdzaną przez oprogramowanie trasujące jest
adres przeznaczenia datagramu IP. Oprogramowanie trasujące korzysta z tablicy trasowania
i przekazuje datagram IP do odpowiedniego portu routera.
Routery umożliwiają skalowanie sieci i utrzymywanie przepustowości dzięki segmentacji ruchu
w sieci. Na przykład komputery testowe organizacji mogą znajdować się w jednym z segmentów
sieci, podczas gdy komputery produkcyjne mogą znajdować się w oddzielnym segmencie sieci.
Router łączy te dwa segmenty.

Marek Pyka
ITA-108 Technologie sieciowe

W środowisku sieciowym są

• Router sprzętowy:

specjalistyczne oprogr

• Router programowy:

związanych z routingi
uruchomionych na kom

Routing i dostęp zdaln
procesów. Po uaktyw

obsługuje zarówno routing
administrator ręcznie aktua
routingu aktualizują protoko
Rozwiązanie w zakresie routi

• Interfejs routingu. Fizy
• Protokół routingu. Ze

tabel routingu w celu u

• Tabela routingu. Ser

lokalizacji identyfikato

Trasowanie statyczne i dy

Tablica trasowania zawiera
wiodących do nich trasach.
dwóch metod:

• metody statycznej
• metody dynamicznej

W metodzie statycznej info
(routing table). W metodz
trasowania pakietów do in
protokołów trasujących.

Protokoły trasujące(routi

Protokoły trasujące opisują s
najlepszą trasę do różnyc
wymieniać komunikaty w sie
trasujące mogą pracować be
mogą pracować ponad UDP
Protocol). Mogą także pracow
(Border Gateway Protocol).
Ponieważ protokoły trasując
klasę specjalnych protokołów
W dynamicznych środowisk
dynamicznego. Różnice mię
przekazywania do innych rou

• Distance Vector – prot

Rozwiązanie oparte na
od routerów okresow
sąsiadujących routerów
i ponownie rozsyła do
do sieci, z którymi rou
nauczył się od swoich
komunikacji rozgłosze

Konfigurowanie tras pakietów IP w siec

Strona 4/25

są używane dwa następujące typy routerów:

dedykowane urządzenie sprzętowe, na który

rogramowanie służące wyłącznie do obsługi routingu

wy: router, który nie został wydzielony do wykonyw
tingiem, ale wykonuje zadania tego typu oprócz w

komputerze routera.

dalny systemu Windows Server 2008 wykonuje rou

ktywnieniu funkcji routera sieciowego system W

statyczny, jak i routing dynamiczny. W przypadku

ktualizuje tabelę routingu. W przypadku routingu

okoły routingu.
outingu obejmuje trzy podstawowe składniki:

. Fizyczny lub logiczny interfejs służący do przesyłania

. Zestaw komunikatów używanych przez routery

elu ustalenia odpowiedniej ścieżki przesyłania danyc

Seria wpisów zwanych trasami, zawierających

atorów sieciowych w sieci złożonej.

i dynamiczne

era listę sieci i komputerów przeznaczenia oraz inf

ach. Tablica trasowania w routerze może zostać w

znej

informacje muszą zostać ręcznie wprowadzone

todzie dynamicznej router może sam zdobyć in

o innych sieci i komputerów. Router zdobywa t

utingu)

ą sposób, w jaki routery wymieniają między sobą i

nych miejsc przeznaczenia w Internecie. Proto

sieci opartej na IP, dlatego przenoszone są w data

ć bezpośrednio ponad IP, jak np. protokół OSPF (Ope

UDP – protokołem warstwy transportu, jak np. RIP

acować ponad protokołem warstwy transportu TCP,

l).

ujące wykorzystują protokoły IP, TCP lub UDP, mo

ołów warstwy aplikacji.

wiskach routingu istnieją trzy metody podziału

między nimi obejmują sposób realizacji wyszukiwa

routerów informacji o tych trasach.

protokoły wektora odległości

e na algorytmach wektora odległości (algorytm Bel

sowego przesyłania kopi swoich tablic routingu do

erów. Każdy z sąsiadów dodaje do niej swoja wartoś

do swoich sąsiadów. Istotne jest także przesłanie ta

router posiada bezpośrednie połączenie ale także d

ich sąsiadów. Transmisja w tym przypadku przebie

łoszeniowej (boradcast) oraz rzadziej poprzez m

Moduł IV

sieciach komputerowych – RRAS

tórym jest uruchamiane

ingu.

onywania wyłącznie zadań

cz wielu innych procesów

routing jako jeden z wielu

m Windows Server 2008

adku routingu statycznego
ngu dynamicznego tabelę

łania pakietów.

ery do współużytkowania

nych.
ch informacje dotyczące

informację o najlepszych

ać wypełniona za pomocą

ne do tablicy trasowania
ć informacje o sposobie

a te dane przy pomocy

bą informacje, aby znaleźć

otokoły trasujące muszą

datagramach IP. Protokoły
(Open Shortest Path First);

. RIP (Routing Information

CP, jak np. BGP

można je traktować jako

iału protokołów routingu

kiwania nowych tras oraz

Bellmana-Forda) wymaga
do najbliżej położonych,

rtość odległości

ie tablic routingu nie tylko
że do sieci, których router

ebiega głównie za pomocą

z multiemisję (multicast).

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 5/25

Informacje przesyłane między routerami przyjmują postać wektora opisującego odległość
oraz kierunek. Odległość należy rozumieć jako koszt danej trasy, a kierunek jako informacje
o kolejnym skoku określoną jako adres. Zaleta tego typu protokołów jest łatwość
w konfiguracji, wadą natomiast jest wolna reakcja na zmiany w sieci oraz generowanie ruch
w sieci niezależnie czy zaszły zmiany (i konieczne jest uaktualnienie tablic) czy też struktura
sieci pozostałą niezmieniona.

• Link state – protokoły stanu łącza

Algorytmy stanu łącza (np. algorytm Dijkstry) są bardziej złożone, do swojego działania
wykorzystują złożoną bazę danych opisującą topologię sieci. W odróżnieniu od wektora
odległości routery zbierają i przechowują informacje na temat routerów w sieci oraz
o sposobach ich połączenia. Każdy router w tym scenariuszu przechowuje także informacje
o koszcie pojedynczych ścieżek i stanie połączeń. Zbieranie informacji dokonywane jest
poprzez rozsyłanie pakietów link-state advertisement (LSA) z informacją o stanie łącza.
Wszystkie routery wysyłają zatem informacje o podłączonych sieciach i ich stanie łączy do
innych routerów, które zapisują kopie pakietów LSA w swojej pamięci. Końcem procesu
wymiany informacji będzie posiadanie przez wszystkie routery jednakowych informacji/kopi
pakietów LSA, na podstawie których tworzy informacje o najkrótszych ścieżkach. Co istotne
router tworzący mapę umieszcza siebie w środku tej drzewiastej struktury, a najkrótsza
ścieżkę określa na podstawie kosztu dotarcia do sieci docelowej. Ogromną zaletą tego typu
algorytmów jest szybka reakcja na zachodzące zmiany w sieci, zaraz po zmianie stanu łącza
generowany jest odpowiedni pakiet LSA na podstawie którego wszystkie routery będą
aktualizować tablice routingu. Istotne jest także mniejsze generowanie ruchu w sieci dzięki
brakowi cyklicznego rozgłaszania i generowaniu pakietów LSA tylko w wypadku wykrycia
zmiany. Wadą tej rodziny protokołów jest znaczne obciążenie łączy ruchem pakietów LSA
w pierwszym etapie budowy tablic routingu.

• Hybrydowe – połączenie protokołów odległości i stanu łącza

Trasowanie hybrydowe jest stosowana przeważnie z rozwiązaniami firmy CISCO Systems, Inc.
Protokół wykorzystujący taki typ określania tras nosi nazwę Enhanced Interior Gateway
Routing Protocol (EIGRP) i skupia zalety obu protokołów dzięki czemu posiada dokładniejsze
metryki niż protokoły wektora długości oraz znacznie szybciej dostosowuje się do zmian
w topologii sieci.

Istnieje także możliwość statycznego określenia tras dzięki czemu pakietu będą przesyłane przez
zdefiniowane porty, jednak największa wada czyli brak elastycznego mechanizmu reakcji na zmiany
w topologii sieci wyklucza go z powszechnego użycia. Statyczne trasowanie stosowane jest
wyłącznie w małych sieciach lub sytuacjach gdy z różnych powodów (np. bezpieczeństwa) przesył
pakietów musi odbywać się wyłącznie z użyciem określonych routerów.

Metody wyboru ścieżki

Routery w tablicach routingu przechowują informacje niezbędne do określenia najlepszej ścieżki
jaką przekazać pakiet. Algorytmy wykorzystują różne miary do dokonania wyboru:

• Długość ścieżki – najczęściej wykorzystywana miara wyznaczenia trasy, pakiet zostaje

przesłany przez najmniejszą ilość routerów w drodze do odbiorcy

• Opóźnienia – najkrótsza droga nie musi być najlepszą gdyż może generować duże opóźnienia

w transmisji, algorytmy doboru ścieżki mogą dokonać wyboru zmian w oparciu o tą miarę.

• Niezawodność – podobnie jak w innych mechanizmach zapewnienie niezawodności dotyczy

także doboru trasy, w tym przypadku badana będzie ilość przekłamanych bitów.

• Szerokość pasma – przesłanie danych, szczególnie ich dużej ilości może okazać się bardziej

opłacalne gdy wybrana zostanie dłuższa droga ale nie będzie znajdowało się tam wąskie
gardło, które zmniejszy prędkość transmisji

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 6/25

• Obciążenie – kolejny parametr wpływający na jakość i wydajność transmisji, wytworzenie się

zbyt dużej kolejki na routerze może niekorzystnie wpłynąć zarówno na czas przebycia drogi
przez pakiet jak i ostateczną wydajność transmisji.

• Koszt komunikacji – wartość określająca koszt przejścia pakietu od nadawcy do odbiorcy.

Usługa Routing i dostęp zdalny systemu Windows Server 2008 obsługuje dwa typy protokołów
routingu:

• Protokół RIP (Routing Information Protocol). Zaprojektowany w celu wymiany informacji

o routingu w obrębie małej lub średniej sieci.

• Protokół OSPF (Open Shortest Path First). Zaprojektowany w celu wymiany informacji

o routingu w obrębie dużej lub bardzo dużej sieci.

Funkcje routingu

Usługa Routing i dostęp zdalny udostępnia wieloprotokołowe usługi typu LAN-do-LAN, LAN-do-
WAN, wirtualną sieć prywatną (VPN) oraz usługi rozsyłania tłumaczeń adresów sieciowych (NAT).
Usługa Routing i dostęp zdalny jest przeznaczona do użytku administratorów systemu, którzy są
dobrze zaznajomieni z protokołami i usługami routingu oraz protokołami obsługującymi routing,
takimi jak TCP/IP i AppleTalk.

Routingu emisji pojedynczej

Pod nazwą routing emisji pojedynczej, rozumie się kierowanie ruchu danych pod określony adres
docelowy określony intersieci. Przy każdym przeskoku na drodze od źródła do miejsca docelowego
podejmowane są decyzje dotyczące wyznaczania trasy. Decyzje o kierunku przesłania pakietów
podejmowane są na podstawie tablic routingu.

Tablica routingu

Decyzje dotyczące routingu są wspomagane przez informacje, jakie adresy sieciowe (lub
identyfikatory sieci) są dostępne w intersieci. Taką wiedzę zapewnia baza danych nazywana tabelą
routingu. Tabela routingu jest serią pozycji, nazywanych trasami, które zawierają informacje o tym,
gdzie znajdują się identyfikatory sieci w intersieci. Tabela routingu wykorzystywane są zarówno na
routerach jaki komputerach klienckich (Hostach) do wyznaczenia optymalnych tras. Na rysunku 3
została przedstawiona przykładowa tabela routingu na hoście sieciowym. Na poniższym przykładzie
przedstawione są trasy zarówno dla adresacji IPv4 jak i IPv6 (które w tym przypadku zawierają
wyłącznie wpisy standardowe gdyż host nie wykorzystywał tego typu adresacji).

Marek Pyka
ITA-108 Technologie sieciowe

W tabelach routingu występu

• Trasa sieciowa. Trasa

złożonej.

• Trasa hosta. Trasa hos

identyfikatora węzła).
tras do określonych ho
go.

• Trasa domyślna. Trasa

inne trasy. Na przykład
dla lokalizacji docelo
konfigurację hostów.

Struktura tabeli routingu

Każdy wpis w tabeli routingu

• Miejsce docelowe w s

może być sieciowy ad
adres IP dla trasy hosta

• Maska sieci. Określa

podsieci może być odp
w przypadku trasy hos

• Brama. Określa adres

zestaw adresów zdefin

• Interfejs. Określa num

inny identyfikator logic

• Metryka. Określa całko

z najniższą metryką. Je
z metryką o najmniejsz

Aby wyświetlić zawart
ROUTE print lub NETS

Konfigurowanie tras pakietów IP w siec

Strona 7/25

Rys 3. Przykładowa tablica routingu

tępują trzy typy wpisów:

asa sieciowa to ścieżka do określonego identyfikat

hosta to ścieżka do adresu w sieci złożonej (identyf

zła). Trasy hosta są zazwyczaj używane do tworze

hostów w celu sterowania ruchem danych w sieci

rasa domyślna jest używana, gdy w tabeli routingu

ykład, jeśli router lub host nie może znaleźć trasy sie

celowej, używana jest trasa domyślna. Trasa

w.

ingu składa się z następujących pól informacji:

w sieci. Określa sieciową lokalizację docelową trasy

y adres IP (bity hostów w adresie sieciowym są ust

osta lub 0.0.0.0 w przypadku trasy domyślnej.

śla maskę podsieci skojarzoną z sieciową lokaliza

odpowiednią maską podsieci dla sieciowych adresó

hosta lub 0.0.0.0 w przypadku trasy domyślnej.

res IP przesyłania lub następnego przeskoku, przez

efiniowanych przez sieciową lokalizację docelową i m

numer interfejsu sieciowego dla określonej trasy. Je
logiczny.

całkowitą wartość kosztu trasy. Zazwyczaj preferowa

ą. Jeśli istnieje wiele tras do danej sieci docelowej, u

iejszej wartości.

wartość tablicy routingu na hoście sieciowym użyj po

ETSTAT –r.

Moduł IV

sieciach komputerowych – RRAS

ikatora sieciowego w sieci

ntyfikatora sieciowego lub

orzenia niestandardowych
sieci lub zoptymalizowania

ngu nie zostaną znalezione

y sieciowej lub trasy hosta

asa domyślna upraszcza

trasy. Lokalizacją docelową

ustawiane na wartość 0),

alizacją docelową. Maska

resów IP, 255.255.255.255

rzez który można uzyskać

ą i maskę podsieci.

y. Jest to numer portu lub

owana jest trasa

j, używana jest trasa

yj polecenia:

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 8/25

Scenariusze wykorzystania routingu w sieciach przedsiębiorstw

Z routerów można korzystać dla wielu różnych topologii i konfiguracji sieci. Poniżej przedstawiono
trzy najczęściej stosowane scenariusze wykorzystania routerów.

Połączenie sieci SOHO z Internetem

Routowane połączenie z Internetem

W tym scenariuszu opisano sieć małego biura lub biura domowego (SOHO, small office or home
office), która łączy się z Internetem przy użyciu połączenia obsługującego routing.
Charakterystyka sieci SOHO:

• Jeden segment sieci.
• Pojedynczy protokół: TCP/IP.
• Połączenia z usługodawcą internetowym z wybieraniem numerów na żądanie lub oparte na

łączu wydzielonym.

Na Rys. 4 pokazano przykładowe rozwiązanie dla sieci SOHO.

Rys 4. Przykładowe rozwiązanie dla SOHO

W przypadku serwera z usługą Routing i dostęp zdalny jest konfigurowana karta sieciowa dla
nośnika stosowanego w sieci domowej (na przykład Ethernet lub sieć bezprzewodowa) oraz karta
ISDN, modem analogowy lub inny interfejs dostępu do łącza (karta ethernet, karta USB, modem
HSxPA itp.) . Można korzystać z linii dzierżawionej lub innych technologii połączeń stałych, takich
jak xDSL i modemy kablowe, ale w tym scenariuszu opisano bardziej typową konfigurację, w której
używane jest łącze telefoniczne do lokalnego usługodawcy internetowego.

Tłumaczone połączenie z Internetem (NAT)

W sieci jak na Rys. 4 zostaje wprowadzona usługa NAT (Network Adress Translator) umożliwiająca
rozwiązanie problemu niewystarczającej ilości adresów IP przydzielonych dla przedsiębiorstwa.
Dla scenariusza z usługą NAT konieczne jest posiadanie minimum jednego adresu hosta
przydzielonego interfejsowi zewnętrznemu routera oraz wykorzystanie którejś z pól adresów
wewnętrznych np. 192.168.0.0/24

Sieć średniego przedsiębiorstwa

Sieci średnich przedsiębiorstw stanowią obecnie 80% rynku sieciowego. To w tego rodzaju sieciach
najczęściej poszukiwani są specjaliści od konfiguracji i zarządzania routerami IP. Najczęściej taka
sieć składa się z następujących elementów:

• Kilka segmentów sieci (na przykład jeden segment dla każdego piętra lub skrzydła budynku).
• Zamknięta sieć bez połączeń wychodzących i przychodzących z inną siecią, taką jak Internet.
• Obsługa protokołu IP.

Na Rys. 5 pokazano przykład infrastruktury średniego przedsiębiorstwa.

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 9/25

Rys 5. Schemat sieci dla średniego przedsiębiorstwa

W przypadku średniego przedsiębiorstwa wykorzystywane są protokoły routingu RIP lub też buduje
się rozwiązanie na trasach statycznych. Jednakże większość obecnie stosowanych rozwiązań tego
typu oparta jest na protokole RIP a trasy statyczne wykorzystywane są głównie jako rozwiązanie
ratunkowe w sytuacjach awaryjnych.
Alternatywną siecią dla średniego przedsiębiorstwa może jest infrastruktura sieciowa z dostępem
do Internetu oraz posiadająca pracowników mobilnych. Przykładowy schemat takiej sieci został
przedstawiony na Rys. 6.

Rys 6. Schemat sieci średniego przedsiębiorstwa z dostępem do Internetu

W sieci średniego biura zazwyczaj używanych jest kilka różnego typu nośników sieciowych.
W różnych segmentach biura mogą być używane sieci Ethernet o szybkości 10 Mb/s lub 100 Mb/s,
ale w przypadku sieci szkieletu, która służy do łączenia różnych sieci i oferuje usługi, mogą być
używane sieci Ethernet o szybkości 1000 Mb/s, Fiber Distributed Data Interface (FDDI) lub sieci
optyczne innego typu. Najczęściej stosowanym protokołem w tego typu sieciach jest RIPv2 lub IGRP
firmy Cisco. Protokoły te cechują się dynamicznym zarządzaniem tablicami routingu i dużą
odpornością na awarie łączy.

Sieć dużych przedsiębiorstw

Sieci dużych przedsiębiorstw cechują się dość znacznym poziomem komplikacji. Administratorzy
w tych sieciach niejednokrotnie muszą zarządzać infrastrukturą oddziałów zdalnych i routingiem
poprzez sieć Internet. Windows Server 2008 umożliwia wspieranie takich sieci zwłaszcza

Marek Pyka
ITA-108 Technologie sieciowe

w dziedzinie obsługi router
przedsiębiorstwa cechuje się

• Wiele segmentów siec

skrzydła budynku).

• Więcej niż jeden proto
• Obszary skonfigurowa
• Połączenia telefoniczn

delegacji.

• Dzierżawione połączen
• Połączenia z wybierani
• Połączenia internetow

Przykładową infrastrukturę d

Rys 7. Sch

Sieć firmowa wykorzystuje zw
infrastruktury mogą być używ
w przypadku sieci szkieletu, k
są sieci 1000 Mb/s Etherne
Połączenia z sieciami zewnęt
przełączania pakietów, takie
nośniki przełączane (linia ISD
karty Frame Relay) lub Inter
sieciach jest OSPF oraz w szc
Oddziały firmy mogą być poł
lub telefonicznych. Korzys
międzymiastowych może by
oddziału firmy z główną sied
protokołów dostępu zdalneg
bezpieczny, szyfrowany tune
może przyczynić się do zmnie
linii dzierżawionych.

Problematyka wykorz
zostanie omówiona w

Protokoły routingu

W środowiskach dynamiczn
protokołów routingu IP. Dwa

Konfigurowanie tras pakietów IP w siec

Strona 10/25

uterów brzegowych oddziałów zdalnych. Infrastru

e się następującymi parametrami:

sieci LAN ze szkieletem (na przykład jeden segment

rotokół sieciowy.

owane przy użyciu protokołu Open Shortest Path Firs

iczne dla użytkowników, którzy łączą się z domu, lu

czenia z oddziałami firmy.

raniem numerów na żądanie z oddziałami firmy.

towe.

rę dużego przedsiębiorstwa przedstawia Rys. 7.

. Schemat sieci średniego przedsiębiorstwa z oddziałami zdalny

je zwykle kilka różnego typu nośników sieciowych. W

używane sieci Ethernet lub token ring o szybkości 10

tu, która służy do łączenia różnych sieci i oferuje usłu

ernet lub Fiber Distributed Data Interface (FDDI) o

nętrznymi (Internetem) ustanawiane są przez dzierż

akie jak Frame Relay. Połączenia z oddziałami firmy

ISDN lub modemy analogowe), nośniki wydzielone

Internet. Protokołem routingu najczęściej wykorzys

szczególnych przypadkach RIPv2.

ołączone z główną siedzibą firmy za pośrednictwe

rzystanie z linii dzierżawionych lub telefonic

e być kosztowne. Usługa Routing i dostęp zdalny

siedzibą firmy przez Internet. Router w oddziale fir

lnego tj. PPTP, L2TP lub obsługiwany przez Windo

unel przez Internet do sieci w głównej siedzibie firm

mniejszenia kosztów, ponieważ połączenie tego typu

korzystania sieci tunelowanych na serwerach RRAS

a w 12 module tego podręcznika.

icznego routingu IP informacje routingu IP są pro

Dwa najbardziej popularne protokoły routingu IP, któ

Moduł IV

sieciach komputerowych – RRAS

struktura sieciowa dużego

ent dla każdego piętra lub

First (OSPF).

u, lub dla użytkowników w

alnymi

ch. W różnych segmentach

i 10/100 Mb/s, ale

usługi, zwykle są używane

I) o szybkości 100 Mb/s.

zierżawione linie lub usługi

irmy ustanawiane są przez
one (linie dzierżawione lub

rzystywanym w tego typu

ctwem linii dzierżawionych
fonicznych dla połączeń
alny umożliwia połączenie

e firmy tworzy przy użyciu

indows Server 2008 SSTP,
firmy. Ta konfiguracja sieci

typu są znacznie tańsze od

RAS Windows Server 2008

propagowane przy użyciu
, które są używane

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 11/25

w intranetach, to Routing Information Protocol (RIP) i Open Shortest Path First (OSPF).
W tym środowisku można uruchamiać wiele protokołów routingu. W takim przypadku trzeba
określić, który protokół routingu jest preferowanym źródłem zapamiętanych tras, konfigurując
poziomy uprzywilejowania. Preferowany protokół routingu jest źródłem tras, które są dodawane
do tabeli routingu, niezależnie od ich metryki. Jeśli na przykład metryką zapamiętanej trasy
protokołu OSPF jest 5, metryką odpowiadającej jej zapamiętanej trasy protokołu RIP jest 3, a OSPF
jest preferowanym protokołem routingu, trasa protokołu OSPF jest dodawana do tabeli routingu IP,
a trasa protokołu RIP jest ignorowana.

Protokół RIP

Protokół Routing Information Protocol (RIP) został zaprojektowany z myślą o wymianie informacji
routingu w obrębie małej lub średniej intersieci.
Największą zaletą protokołu RIP jest to, że jest on niezwykle łatwy do skonfigurowania i wdrożenia.
Największą wadą protokołu RIP jest niemożność przeskalowania go do użytku w dużych lub bardzo
dużych intersieciach. Maksymalną liczbą przeskoków używaną przez routery RIP jest 15. Sieci
znajdujące się w odległości 16 przeskoków lub większej są uważane za nieosiągalne. Ponieważ
intersieci stają się coraz większe, okresowe rozgłoszenia wysyłane przez każdy router RIP mogą być
przyczyną nadmiernego ruchu danych. Inną wadą protokołu RIP jest jego długi czas przywracania.
Gdy topologia intersieci ulegnie zmianie, może upłynąć kilka minut, zanim routery RIP dostosują się
do nowej topologii intersieci. Chociaż intersieć rekonfiguruje się sama, mogą powstać pętle
routingu, które mogą być przyczyną utraty danych lub niemożności ich dostarczenia.
Początkowo tabela routingu dla każdego routera obejmuje tylko sieci, które są fizycznie połączone.
Router RIP okresowo rozgłasza informacje zawierające pozycje jego tabeli routingu,
aby poinformować inne lokalne routery RIP o sieciach, które są dla niego osiągalne. Protokół RIP
w wersji 1 używa dla swoich rozgłoszeń pakietów emisji IP. Protokół RIP w wersji 2 używa
do rozgłaszania pakietów multiemisji lub emisji.
Routery RIP mogą również rozgłaszać informacje routingu poprzez aktualizacje wyzwalane.
Aktualizacja wyzwalana ma miejsce wtedy, gdy topologia sieci ulega zmianie i, aby odzwierciedlić tę
zmianę, wysyłane są zaktualizowane informacje routingu. W przypadku aktualizacji wyzwalanych
aktualizacja jest wysyłana natychmiast, bez czekania na następny okres rozgłoszenia. Na przykład
gdy router wykryje awarię łącza lub routera, aktualizuje swoją tabelę routingu i wysyła
zaktualizowane trasy. Każdy router, który odbierze aktualizację wyzwalaną, modyfikuje własną
tabelę routingu i propaguje tę zmianę. Usługa Routing i dostęp zdalny obsługuje protokół RIP
\w wersjach 1 i 2. Protokół RIP w wersji 2 obsługuje rozgłaszanie multiemisyjne i proste
uwierzytelnianie hasła, a ponadto jest bardziej elastyczny w środowiskach z podsieciami
i środowiskach routingu Classless InterDomain Routing (CIDR).
Implementacja protokołu RIP w systemach z rodziny Windows Server 2008 oferuje następujące
funkcje:

• Wybór wersji protokołu RIP, która ma być uruchomiona na każdym interfejsie dla pakietów

przychodzących i wychodzących.

• Algorytmy split-horizon i poison-reverse oraz algorytm aktualizacji wyzwalanych, które są

używane, aby uniknąć pętli routingu i przyspieszyć przywracanie intersieci po zmianie
topologii.

• Filtry tras pozwalające wybierać sieci do zaanonsowania lub zaakceptowania.
• Filtry routerów równoprawnych pozwalające określić routery, których pakiety

rozgłoszeniowe są akceptowane.

• Możliwe do skonfigurowania czasomierze anonsów i wieku tras.
• Obsługa prostego uwierzytelniania hasła.
• Możliwość wyłączenia podsumowania podsieci.

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 12/25

Protokół OSPF

Protokół Open Shortest Path First (OSPF) został zaprojektowany z myślą o wymianie informacji
routingu w dużej lub bardzo dużej intersieci. Największą zaletą protokołu OSPF jest jego wydajność;
protokół OSPF nie powoduje dużego obciążenia sieci, nawet w bardzo dużych intersieciach.
Największą wadą protokołu OSPF jest jego złożoność; protokół OSPF wymaga właściwego
planowania i jest trudniejszy do skonfigurowania i administrowania.
Protokół OSPF do obliczania tras w tabeli routingu używa algorytmu Shortest Path First (SPF).
Algorytm SPF oblicza najkrótszą (najmniej kosztowną) ścieżkę między routerem a wszystkimi
sieciami intersieci. Obliczone przez algorytm SPF trasy są zawsze wolne od pętli.
Zamiast wymieniać pozycje tabeli routingu (jak routery RIP), routery OSPF przechowują mapę
intersieci, która jest aktualizowana po każdej zmianie topologii sieci. Mapa ta, nazywana bazą
danych stanu łączy, jest synchronizowana między wszystkimi routerami OSPF i jest używana do
obliczania tras w tabeli routingu. Sąsiadujące routery OSPF tworzą sąsiedztwo, które jest logicznym
powiązaniem między routerami synchronizującymi bazę danych stanu łączy.
Zmiany w topologii intersieci są wydajnie propagowane w całej intersieci, co zapewnia, że baza
danych stanu łączy na każdym routerze jest zawsze zsynchronizowana i dokładna. Po odebraniu
zmian wprowadzonych w bazie danych stanu łączy tabela routingu jest obliczana ponownie.
W miarę jak wzrasta rozmiar bazy danych stanu łączy, zwiększają się wymagania dotyczące pamięci
i czas obliczania tras. Aby rozwiązać ten problem ze skalowaniem, protokół OSPF dzieli intersieć na
obszary (kolekcje sąsiadujących sieci), które są połączone ze sobą za pośrednictwem obszaru
szkieletu. Każdy router przechowuje tylko bazę danych stanu łączy dla tych obszarów, które są
z nim połączone. Routery graniczne obszaru (ABR, Area Border Router) łączą obszar szkieletu
z innymi obszarami.
Aby jeszcze bardziej ograniczyć zalewanie obszarów dużą ilości informacji o routingu, w protokole
OSPF wprowadzono możliwość stosowania obszarów wejściowych. Obszar wejściowy może
zawierać jeden punkt wejścia i wyjścia (jeden router ABR) albo wiele routerów ABR (do miejsc na
trasach zewnętrznych można docierać przy użyciu dowolnego routera ABR).
Na rysunku 8 pokazano diagram intersieci OSPF.

Rys 8. Schemat sieci opartej o protokół OSPF

Protokół OSPF ma następujące zalety w stosunku do protokołu RIP:

• Trasy obliczone przez protokół OSPF są zawsze wolne od pętli.
• Protokół OSPF można przeskalować do użytku w dużych i bardzo dużych intersieciach.
• Ponowna konfiguracja po zmianach w topologii sieci odbywa się szybciej.

Implementacja protokołu OSPF w usłudze Routing i dostęp zdalny oferuje następujące funkcje:

• Filtry tras sterujące interakcją z innymi protokołami routingu.
• Dynamiczna rekonfiguracja wszystkich ustawień protokołu OSPF.
• Współistnienie z protokołem RIP.
• Dynamiczne dodawanie i usuwanie interfejsów.

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 13/25

Porównanie protokołów RIP i OSPF

Protokół RIP można łatwo konfigurować i wdrażać. Ponieważ sieci stają się coraz większe, okresowe
transmisje rozgłaszające wysyłane przez każdy router RIP mogą być przyczyną nadmiernego ruchu
(protokół RIP jest zazwyczaj używany w sieciach, które mogą obejmować nawet 50 serwerów).
Protokół OSPF działa efektywnie w dużych sieciach, ponieważ oblicza najlepszą trasę, z której
należy korzystać, i wymaga mniejszej liczby komunikatów o stanie. W przeciwieństwie do protokołu
RIP, protokół OSPF anonsuje innym routerom tylko zmiany tras, a nie wszystkie znane trasy.
Wadą protokołu OSPF jest jego złożoność: konfiguracja jest trudniejsza, a zarządzanie bardziej
czasochłonne niż w przypadku protokołu RIP.

Protokoły multiemisji

Multiemisja jest użyteczna przy dostarczaniu informacji z jednego routera do wielu routerów
w intersieci. Można korzystać z trzech mechanizmów takiego dostarczania:

• Wysłanie informacji pojedynczo do każdego punktu końcowego przy użyciu adresów emisji

pojedynczej. Wadami tej metody są: duplikowanie ruchu danych w sieci i dodatkowe
obciążenie wynikające z konieczności przechowywania listy punktów końcowych emisji
pojedynczej.

• Wysłanie informacji w pojedynczym pakiecie przy użyciu adresu emisji. Zaletami tej metody

są: korzystanie z pojedynczego pakietu i brak obciążenia wynikającego z konieczności
przechowywania listy adresatów. Wadami tej metody są: korzystanie z pakietów emisji
(które angażują wszystkie węzły w sieci) i fakt, że emisje nie są przekazywane przez routery.
Pakiet emisji dociera do każdego w sieci, ale nie w intersieci.

• Wysłanie informacji w pojedynczym pakiecie przy użyciu adresu multiemisji. Zaletami tej

metody są: korzystanie z pojedynczego pakietu i brak obciążenia wynikającego z konieczności
przechowywania listy adresatów. W odróżnieniu od pakietów emisji, ruch danych multiemisji
nie angażuje tych węzłów, które go nie nasłuchują. Routery mogą obsługiwać multiemisję
i przekazywać pakiety multiemisji do każdej sieci, w której jest przynajmniej jeden węzeł
prowadzący nasłuch.

Mechanizmy przekazywania multiemisji

Przekazywanie multiemisji, tj. inteligentne przekazywanie ruchu multiemisji, realizowane jest przez
protokół TCP/IP oraz protokół routingu IGMP w przypadku interfejsów działających w trybie
routera IGMP na serwerze z uruchomioną usługą Routing i dostęp zdalny.
Protokół TCP/IP realizuje następujące funkcje związane z przekazywaniem multiemisji:

• Odbiera i przetwarza cały ruch danych multiemisji

W systemach z rodziny Windows Server 2008 protokół TCP/IP odbiera i przetwarza cały ruch
danych multiemisji na interfejsach, które są skonfigurowane dla trybu routera IGMP.
Cały ruch danych multiemisji IP jest albo przekazywany do procesu uruchomionego na
routerze, albo w sposób inteligentny przekazywany do segmentów sieci, które zawierają
członków grupy multiemisji lub routerów połączone z segmentami sieci w kierunku
„z prądem”, które zawierają członków grupy multiemisji.

• Przekazuje pakiety multiemisji do odpowiednich interfejsów

Po odebraniu pakietu multiemisji serwer z usługą Routing i dostęp zdalny sprawdza tabelę
przekazywania multiemisji, aby zdecydować, czy przekazać dany pakiet do któregoś z innych
przyłączonych interfejsów.

Interfejs uruchomiony w trybie routera IGMP wykonuje następujące funkcje związane
z przekazywaniem multiemisji:

• Przełącza kartę sieciową w tryb ogólny multiemisji

Tryb routera IGMP powoduje przełączenie karty sieciowej w tryb ogólny multiemisji.

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 14/25

W trybie ogólnym multiemisji wszystkie pakiety multiemisji odebrane przez kartę sieciową są
przekazywane w celu przetworzenia do warstw sieciowych. Nie wszystkie karty sieciowe
obsługują tryb ogólny multiemisji.

• Śledzi przynależność do grup multiemisji

Interfejs w trybie routera IGMP nasłuchuje wiadomości raportów członkowskich IGMP na
lokalnie przyłączonych sieciach i kompiluje listę informacji o aktywności multiemisji jako serię
par {sieć adresata, grupa multiemisji}. Sieć adresata jest identyfikatorem sieci IP segmentu
sieci zawierającego węzeł prowadzący nasłuch. Grupa multiemisji jest określonym adresem
multiemisji, który został zarejestrowany przez węzeł prowadzący nasłuch. Router obsługujący
multiemisję nie śledzi adresów IP nasłuchujących hostów, a tylko identyfikator sieci IP,
w której przynajmniej jeden host prowadzi nasłuch.
Aby zapewnić prowadzenie przez hosty w dalszym ciągu nasłuchu na swoich
zarejestrowanych adresach multiemisji, router IGMP okresowo monituje każdą sieć.
Odpowiedzią na taki monit jest komunikat raportu członkowskiego IGMP. Jeśli w pojedynczej
sieci istnieje wiele routerów IGMP, jeden router IGMP zostaje wybrany jako router
monitujący i rozsyła wszystkie okresowe monity.

• Aktualizuje tabelę przekazywania multiemisji protokołu TCP/IP

Na podstawie bieżącego stanu nasłuchujących hostów na interfejsach w trybie routera IGMP,
tabela przekazywania multiemisji protokołu TCP/IP jest aktualizowana przez umieszczanie w
niej odpowiednich pozycji.

Routing w trybie multiemisji

Funkcja routingu multiemisji, czyli propagacja informacji nasłuchu multiemisji, jest dostarczana
przez protokoły routingu multiemisji, takie jak Distance Vector Routing Multicast Protocol
(DVMRP). Systemy z rodziny Windows Server 2008 nie zawierają żadnych protokołów routingu
multiemisji. Można jednak skorzystać z protokołu routingu IGMP i trybu routera IGMP oraz trybu
proxy IGMP, aby zapewnić przekazywanie multiemisji w intranecie z pojedynczym routerem lub
przy połączeniu takiego intranetu z Internetem.

Narzędzia zarządzania trasami

Wiersz poleceń

Jednym z podstawowych narzędzi do ustalania statycznych tras w systemach Windows jest
polecenie route, pozwalające na podstawowe operacje w tablicy routingu systemu operacyjnego.
Podstawowym zastosowaniem będzie dodanie nowego wpisu:
route ADD „sieć docelowa” MASK „maska podsieci” „adres bramy”

np. route ADD 10.10.10.0 MASK 255.255.255.0 192.168.1.10

co należy rozumieć jako: w sieci 192.168.1.0 istnieje brama o adresie 192.168.1.10 przez którą
można uzyskać dostęp do sieci 10.10.10.0. Dodatkowo można wykonać operacji usunięcia
wszystkich wpisów o bramach używając przełącznika –f, dodać wpis na stałe –p (jego brak
powoduje usunięcie wpisu po restarcie systemu). Użyteczna jest także komenda route PRINT
wyświetlająca listę tras.

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 15/25

Rys 9. Wynik polecenia route PRINT

Podczas sprawdzania trasy przez jaki przebiega ścieżka do określonego hosta oraz jej
podstawowych parametrów przydatne okazuje się polecenie tracert. Zastosowanie polecenia
tracer „adres hosta docelowego” spowoduje wyświetlenie informacji o wszystkich routerach przez
jakie przesłany zostanie pakiet.

Rys 10. Wynik polecenia tracert

W celu śledzenia ścieżki do docelowego hosta oraz wytworzenia raportu o utracie pakietów na
każdym z routerów znajdujących się na ścieżce można użyć polecenia pathping

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 16/25

Rys 11. Wynik polecenia pathping

Polecenia netsh

Zestaw poleceń powłoki netsh dla serwera RRAS może być wywoływany w konsoli wiersza linii
poleceń po wywołaniu polecenia netsh ras, co powinno zaowocować pojawieniem się nowego
znaku zachęty powłoki netsh (netsh ras>). Poniżej przedstawiona jest lista najważniejszych poleceń
powłoki związana z zarządzaniem serwerem RRAS.

Marek Pyka
ITA-108 Technologie sieciowe

ras show authtype – wyświet
ras add authtype md5chap
ras ip – przechodzi do instanc
ras ip show config – wyświet
ras ip set access serveronly
ras ip add range 192.168.0.3
routing dump > Routing.txt
Listę wszystkich poleceń moż

Pełna lista poleceń ne
udostępnionym pod a

http://www.microsoft.com/d
2ef336db3df5&DisplayLang=

Polecenia netsh dotycząc
administrowanie serwerami
opartego na konsoli. Mogą b

• Podczas zarządzania

można używać poleceń
co pozwala na efektyw

• Podczas zarządzania d

w wierszu polecenia
powtarzających się za
serwerów RRAS.

Konsola serwera RRAS

Konsola RRAS jest narzędziem
oparte jest na konsoli mmc
zarządzania usługami RRAS
konsoli RRAS jest:

• Tworzenie zasad wyzn
• Dodawanie i konfiguro
• Przeglądanie i modyfik

filtrów dla komunikacj

• Budowanie reguł dostę
• Monitorowanie aktyw
• Tworzenie sieci VPN op

Zabezpieczanie routingu

Przed włączeniem funkcji r
infrastrukturę sieci, aby mo
najlepiej odpowiadała wyma
aspekty zabezpieczeń usługi

• zabezpieczenie serwer
• zabezpieczenie ruchu s
• użycie bezpiecznych m

Przed skonfigurowaniem i w
rozważyć następujące zagadn

• Kto może włączać, k

korzystać z przystawk

Konfigurowanie tras pakietów IP w siec

Strona 17/25

wietla mechanizmy autentykacji wykorzystywane na

– dodaje określony mechanizm autentykacji

tancji obsługi protokołu IP na serwerze RRAS

ietla konfigurację reguł IP na serwerze RRAS

– zmienia poziom dostępu na tryb wyłączności se

.0.32 192.168.0.63 – ustala zakres adresów o zaakce

– zapisuje do pliku konfigurację serwera RRAS

można uzyskać poprzez wprowadzenie znaku „?” w

ń netsh do zarządzania usługami serwerowymi zna

od adresem:

m/downloads/details.aspx?FamilyID=f41878de-2ee
ng=en

czące RRAS zapewniają narzędzia wiersza p

rami RRAS i stanowiące alternatywne rozwiązan

gą być one użyteczne w następujących sytuacjach:

ia serwerami RRAS w sieciach rozległych (WAN,

eceń w trybie interakcyjnym w wierszu polecenia na

ktywniejsze zarządzanie za pośrednictwem powolnyc

ia dużą liczbą serwerów RRAS, można używać polece

nia narzędzia Netsh, co ułatwia tworzenie skryptó

ę zadań administracyjnych, które trzeba wykonać w

ziem instalowanym na serwerze z uruchomiona usłu

mmc w wersji 3,0 dzięki czemu możliwą jest inte

AS z innymi narzędziami konfiguracji sieci. Podstaw

yznaczania tras dla pakietów IP.

gurowanie protokołów routingu.
dyfikowanie właściwości protokołów, na przykład ok

kacji IP.

ostępu zdalnego do infrastruktury.

tywności związanej z przekazywanym przez serwer r

N opartej o protokoły PPTP, L2TP i SSTP.

gu

cji routingu usługi Routing i dostęp zdalny należ

możliwe było skonfigurowanie usługi Routing i d

ymaganiom dotyczącym zabezpieczeń i funkcjonaln

ługi Routing i dostęp zdalny:

wera z usługą Routing i dostęp zdalny,

hu sieciowego między serwerem i jego klientami
h metod uwierzytelniania.

i włączeniem funkcji routingu usługi Routing i

gadnienia:
ć, konfigurować i wyłączać usługę Routing i dos

awki Routing i dostęp zdalny osobno lub w obrę

Moduł IV

sieciach komputerowych – RRAS

e na serwerze RRAS

i serwera

kceptowanym dostępie

” w kontekście netsh ras>

znajduje się z kompedium

2ee7-4718-8499-

a polecenia ułatwiające

zanie wobec zarządzania

AN, Wide Area Network)

a narzędzia Netsh,

lnych łączy sieciowych.

leceń w trybie wsadowym

yptów i automatyzowanie

ć w przypadku wszystkich

usługą RRAS. Narzędzie to

integracja przystawek do

stawową funkcjonalnością

d określanie dodatkowych

er ruchem IP.

ależy dokładnie przejrzeć

i dostęp zdalny, tak aby

alności. Można ocenić trzy

g i dostęp zdalny, należy

dostęp zdalny. Aby móc

obrębie konsoli Microsoft

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 18/25

Management Console (MMC), trzeba być członkiem grupy Administratorzy. Członkiem grupy
Administratorzy trzeba być również, aby móc używać większości poleceń netsh routing
z wiersza polecenia. Członkostwo grupy Administratorzy należy ograniczyć do minimalnej
liczby użytkowników, niezbędnej do administrowania serwerem.

• Jak otwierać przystawkę Routing i dostęp zdalny. Ze względów bezpieczeństwa przystawkę

Routing i dostęp zdalny lepiej jest otwierać za pomocą polecenia runas, niż logując się
z poświadczeniami administracyjnymi. Aby otworzyć przystawkę Routing i dostęp zdalny bez
logowania się jako członek grupy Administratorzy, wpisz następujące polecenie w wierszu
polecenia:

Runas /user:[Domena/]NazwaUżytkownika"mmc %katalog_systemu_windows%
\system32\rrasmgmt.msc"

Podana nazwa użytkownika musi odpowiadać kontu administratora lub kontu należącemu do
grupy Administratorzy, a po wyświetleniu monitu należy podać hasło konta.

• Których składników routingu wymaga sieć użytkownika. Należy udokumentować plan sieci,

wymagane składniki routingu oraz sposób konfiguracji tych składników. Te informacje mogą
pomóc w konserwacji sieci i identyfikowaniu obszarów wymagających szczególnej uwagi lub
ulepszenia.

• Czy możliwe jest uproszczenie topologii sieci. Prostsze sieci są łatwiejsze w konserwacji

i zawierają mniej punktów ataku. Upraszanie sieci może obejmować:

• Minimalizowanie liczby interfejsów sieciowych. Chociaż większość serwerów z usługą

Routing i dostęp zdalny to komputery wieloadresowe, należy konfigurować jak najmniej
interfejsów sieciowych. Jeśli jest to możliwe, nie należy konfigurować serwera z usługą
Routing i dostęp zdalny z więcej niż jednym interfejsem publicznym.

• Minimalizowanie liczby tras. Należy używać tak niewielu tras statycznych i wybierania

numerów na żądanie, jak jest to możliwe.

• Minimalizowanie liczby używanych protokołów routingu. Należy sprawdzić, jakie

protokoły routingu są używane i jak są skonfigurowane, a następnie skonfigurować tak
mało protokołów routingu, jak jest to możliwe.

• Jakie protokoły tunelowania mają być używane. Jeśli konfigurowana jest wirtualna sieć

prywatna (VPN) między dwoma routerami, to należy rozważyć stosowanie protokołu SSTP
lub L2TP (Layer Two Tunneling Protocol) zamiast protokołu PPTP (Point-to-Point Tunneling
Protocol).

• Czy będą używane filtry pakietów, zapory i inne zabezpieczenia ruchu sieciowego. Routing

ruchu sieciowego należy ograniczyć do minimalnego poziomu wymaganego przez sieć.
Należy również rozważyć użycie filtrów IP w domyślnych zasadach dostępu zdalnego
gwarantujących, że przychodzący ruch sieciowy pochodzi z autoryzowanych klientów
dostępu zdalnego.

• W usłudze Routing i dostęp zdalny można skonfigurować statyczne filtry pakietów

na interfejsach sieciowych i włączyć zaporę podstawową na interfejsach publicznych.
Funkcji zabezpieczeń można używać osobno lub łącznie z innym oprogramowaniem,
takim jak Usługa uwierzytelniania internetowego (IAS).

• Jeśli jest włączona Zapora połączenia internetowego lub Zapora systemu Windows,

nie można skonfigurować usługi Routing i dostęp zdalny. Przed rozpoczęciem
konfigurowania usługi Routing i dostęp zdalny należy wyłączyć Zaporę połączenia
internetowego lub Zaporę systemu Windows

• Jaki poziom rejestrowania będzie używany. Należy zastanowić się, jak wiele informacji będzie

rejestrowanych dla każdego protokołu routingu. Usługa Routing i dostęp zdalny oferuje kilka
opcji rejestrowania. Dodatkowo można użyć funkcji usługi IAS, aby uzyskać bardziej
szczegółowe i scentralizowane informacje dotyczące ewidencjonowania aktywności

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 19/25

i inspekcji. Aby uzyskać więcej informacji, zobacz Rejestrowanie i Usługa uwierzytelniania
internetowego.

Wdrażanie serwera RRAS w przedsiębiorstwie

Przed przystąpieniem do wdrażania serwera RRAS w sieci upewnij się, że wszystkie poniższe punkty
są dla Ciebie jasne.

• Znasz pojęcia związane z rolą RRAS, takie jak RIP, OSPF, tablica routingu.
• System operacyjny jest skonfigurowany poprawnie. W systemach operacyjnych z rodziny

Windows Server 2008 usługa RRAS jest uzależniona od prawidłowej konfiguracji systemu
operacyjnego oraz jego usług.

• Komputer na którym będzie instalowana posiada minimum dwa interfejsy sieciowe

o statycznych adresach IP.

• Kreator konfiguracji zabezpieczeń jest zainstalowany i włączony.
• Podczas dodawania roli serwera RRAS tworzony jest zestaw interfejsów sieciowych wraz

z interfejsem wewnętrznym umożliwiającym komunikację pomiędzy interfejsami. Domyślnie
tworzona jest też tablica routingu umożliwiająca przesyłanie pakietów IP pomiędzy
interfejsami. Podczas instalacji należy pamiętać iż routing IPv6 nie jest domyślnie włączony,
więc w przypadku wykorzystywania tego typu adresacji należy poinformować serwer
o pełnieniu roli routera IPv6.

Podsumowanie

W tym rozdziale przedstawione zostały najważniejsze pojęcia związane z wdrażaniem usługi
routingu na serwerze RRAS w przedsiębiorstwie. Dowiedziałeś się, jak przebiega proces
wyznaczania tras dla pakietów IP i jakie protokoły można zastosować. Usługi trasowania (routingu)
są obecnie stosowane w każdym typie sieci komputerowej od małych sieci domowych gdzie
użytkownicy używają Access Point dla sieci bezprzewodowych po duże systemy autonomiczne.
Obecny Internet to w głównej mierze wydajne przesyłanie pakietów. Rozdział ten zaprezentował
w jaki sposób można wykorzystać rolę serwera RRAS na platformie Windows Server 2008.

Przykładowe rozwiązanie

Jako inżynier systemowy zostałeś poproszony o przedstawienie planu przebudowy infrastruktury
sieciowej w centrali i oddziałach zdalnych środowiska sieciowego przedsiębiorstwa
z uwzględnieniem podziału na podsieci i wyznaczeniem nowych tras dla pakietów. Prezentując plan
masz się skupić wyłącznie na wyjaśnieniu jakie kroki poczyni dział IT aby zrealizować projekt.
Instalacja serwera RRAS w przedsiębiorstwie wiąże się z wykonaniem szeregu czynności
dotyczących zaplanowania, wdrażania i utrzymywania usługi. Proces taki można przedstawić jak na
poniższym schemacie.

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 20/25

Rys. 12 Schemat wdrażania serwera RRAS w przedsiębiorstwie

Porady praktyczne

Uwagi ogólne

• Pamiętaj, że znajomość zasad konfiguracji routerów sprzętowych jak i programowych jest

niezbędna dla pracy jako administrator sieciowy w przedsiębiorstwie.

• Jeżeli tylko jest to możliwe projektuj infrastrukturę routerów w taki sposób aby

wykorzystywały dynamiczne protokoły stanu łącza.

• Wypracuj sobie metody zarządzania trasami pakietów IP w sytuacjach awaryjnych.
• Jeżeli wykorzystujesz usługi RRAS/IAS dokładnie zaplanuj reguły dostępu zdalnego.
• W środowisku rozproszonym stosuj protokół OSPF.
• Ze względów bezpieczeństwa stosuj NAT.
• Zarządzaj serwerami zdalnymi za pomocą poleceń netsh.

Dostęp zdalny

• Zaplanuj stosowanie najmocniejszych protokołów autentykacji
• Każdy dostęp do swojej infrastruktury realizowany poprzez sieć Internet zaplanuj

z wykorzystaniem protokołów VPN tj. SSTP lub L2TP

• Dostęp zdalny do organizacji poprzez sieci VPN zabezpiecz mechanizmami kwarantanny NAP
• Jeżeli konieczny jest dostęp do serwera RRAS poprzez protokół RDP, zezwalaj na niego

wyłącznie na wewnętrznym interfejsie

Zaprojektowanie

serwera RRAS

Wybór protokołów

routingu

Definicja zasad routingu

Określenie parametrów

bezpieczeństwa dla

aktualizacji tras

Wybór trybu pracy

dostępu zdalnego

RAS/VPN

Określenie protokołów

dostępu zdalnego

Wdrożenie serwera

RRAS

Zaprojektowanie

prcesów monitorowania

transmisji

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 21/25

• W przypadku wykorzystania RDP z sieci niezabezpieczonych stosuj sieć VPN SSTP aby

zestawić bezpieczny kanał komunikacyjny

Integracja z innymi usługami

• Pamiętaj, że aby zainstalować agenta przekazywania DHCP musisz na platformie Windows

Server 2008 zainstalować rolę serwera RRAS.

• Usługa IAS umożliwia wykorzystanie autoryzacji Active Directory dla wszystkich klientów

sieciowych.

• Jeżeli tylko to możliwe stosuj infrastrukturę certyfikatów w dostępie zdalnym.
• W systucji łączenia oddziałów zdalnych firm stosuj VPN na żądanie

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium jeśli:

• rozumiesz zasady adresowania IP w sieciach przedsiębiorstw
• umiesz instalować role i funkcje na platformie Windows Server 2008
• umiesz zaplanować wykorzystanie protokołów routingu zgodnie z architekturą sieci
• potrafisz podać przykłady zagrożeń wynikających ze źle zaprojektowanej infrastruktury

dostępu zdalnego

• znasz zasady zarządzania trasami pakietów IP w środowisku rozproszonym
• zapoznałeś się z głównymi pojęciami dotyczącymi usługi RRAS (tablica routingu, RIP, OSPF)
• Przed zainstalowaniem serwera RRAS zidentyfikuj:
• Wymagania serwera RRAS dotyczące sprzętu i magazynowania.
• Które z sieci w przedsiębiorstwie możesz połączyć dynamicznym routingiem, a które

wymagają tras statycznych

• Jakie zasady filtracji pakietów IP zakładają procedury bezpieczeństwa.

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się,
że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu
zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek
z wykładów.

Dodatkowe źródła informacji

1.

Praca zbiorowa, Windows Server 3003 Resource Kit – Organizacja usług sieciowych, MS Press,

2004
W książce autorzy prezentują rozdział poświęcony planowaniu, wdrażaniu
i organizacji usług DHCP w przedsiębiorstwie

2.

Praca zbiorowa, Windows Server 2008 Resource Kit, MS Press 2008

Książka dość dokładnie opisująca zasady wdrażania środowiska Windows Server
2008 w przedsiębiorstwie.

3.

Praca zbiorowa, Podręcznik administratora Windows Server 2008, Microsoft, 2008

Na Praktyczny poradnik instalacji i konfiguracji serwerów Windows Server 2008

4.

Douglas E.Comer, Sieci komputerowe TCP/IP. Zasady, protokóły i architektura, Wydawnictwa

Naukowo—Techniczne, Warszawa, 1997

Bardzo dobra pozycja opisująca działanie protokołu TCP/IP oraz związanych z nim
usług takich jak wyznaczanie tras.

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 22/25

Laboratorium podstawowe

Problem 1 (czas realizacji 45 min)

Zbudować środowisko testowe umożliwiające weryfikację funkcjonalności serwera RRAS na
platformie Windows Server 2008. Schemat środowiska testowego przedstawiony jest na Rys. 13.

Rys 13. Przykładowe środowisko testowe

Zainstalować serwer Routing i dostęp zdalny na platformie Windows Server 2008 i dokonać
konfiguracji tras statycznych pomiędzy dwoma podsieciami.

Zadanie

Tok postępowania

1.

Instalacja

serwera RRAS

• Uruchom Server Manager, aby uruchomić Server Manager, kliknij Start

Menu -> All Programs -> Administrative Tools -> Server Manager.

• Dodaj rolę Network Policy and Access Services, w konsoli Server

Manager, wybierz Roles i poczekaj na podsumowanie ról.

• Zaznacz rolę Ruter oraz Routing and Remote Access Services i kliknij

Next

• Przejdź do podsumowania instalacji i kliknij Install.
• Poczekaj aż instalacja przebiegnie do końca i pojawi się okno

Installation Results, na zakończenie procesu instalacji kliknij Close.

2.

Uruchomienie

roli

serwera

RRAS

• Uruchom przystawkę administracyjną Routing and Remote Access
• Kliknij prawym klawiszem na ikonie serwera ITA-SRV01 (local) i

uruchom kreatora Configure and Enable Routing and Remote Access

• Pojawi się okienko kreatora konfiguracji serwera RRAS na którym

należy kliknąć Next.

• Z opcji wyboru typu konfiguracji wybrać Custom configuration
• Wybrać usługę Dos konfigurowania LAN Routing
• Na oknie potwierdzającym konfigurację kliknij Finish.
• Na oknie z zapytaniem o uruchomienie usług zależnych kliknij Start

Service

3.

Konfiguracja

trasy
statycznej

• Uruchom przystawkę administracyjną Routing and Remote Access
• Rozwinąć drzewo serwera ITA-SRV01 i wybrać protokół IPv4
• Zaznaczyć w lewym panelu element Static Routes
• Z menu rozwijanego wybrać interfejs Local Area Connection->New

Static route

• Wprowadzić adres docelowej sieci na tym interfejsie: 192.168.0.0
• Wprowadzić maskę sieci docelowej: 255.255.0.0
• Wprowadzić bramę dla tej sieci: 192.168.0.1
• Zatwierdzić dodanie trasy klikając OK.
• Powtórzyć kroki dla drugiego połączenia sieciowego Local Area

Connection 2 o adresie 10.10.0.0, masce 255.255.0.0 oraz bramie

Marek Pyka
ITA-108 Technologie sieciowe

10

4.

Testowanie

tras
statycznych

• Za
• O
• W
• Sp
• W
• Sp
• W
• Za
• W
• Sp

Uruchomienie dynamicznego

Zadanie

Tok p

1.

Konfiguracja

trasy
dynamicznej

•
•
•

•
•

•

•

2.

Testowanie tras

dynamicznych

•
•
•
•
•
•

•

•
•
•

Konfigurowanie tras pakietów IP w siec

Strona 23/25

10.10.0.1

Zalogować się na serwer ITA-DC01.
Otworzyć okno konsoli Start -> Uruchom -> cmd.e
Wykonać polecenie ping 192.168.1.15
Sprawdzić czy odpowiedzi są poprawne
Wykonać polecenie tracert -4 -d 192.168.1.15
Sprawdzić trasę routingu, czy wyświetlony jest pop
Wyświetl tablicę routingu na ITA-DC01 używając p
Zalogować się na serwer ITA-SRV01
W oknie konsoli wydać polecenie route print
Sprawdzić tabele routingu statycznego

Czym różnią się te dwie tablice routingu?
Czy jesteś w stanie wyjaśnić wpisy w tablicy?

nego protokołu routingu RIPv2 dla środowiska jak na

ok postępowania

Uruchom przystawkę administracyjną Routing an
Rozwinąć drzewo serwera ITA-SRV01 i wybrać pr
Wybrać z menu rozwijanego elementu og

Protocol...

Wybrać interfejs RIP Version 2 for Internet Proto
Kliknąć prawym klawiszem na nowo powstałym

kontekstowego wybrać New Interface...

Następnie wybrać połączenie Local Area Conn

wybór

Powtórzyć kroki dla połączenie Local Area Conne

Zalogować się na serwer ITA-DC01.
Otworzyć okno konsoli Start -> Uruchom -> cmd.
Wykonać polecenie ping 192.168.1.15
Sprawdzić czy odpowiedzi są poprawne
Wykonać polecenie tracert -4 -d 192.168.1.15
Sprawdzić trasę routingu, czy wyświetlony j

routera

Wyświetl tablicę routingu na ITA-DC01 używa

print

Zalogować się na serwer ITA-SRV01
W oknie konsoli wydać polecenie route print
Sprawdzić tabele routingu statycznego

Który z typów protokołów jest dla Ciebie łatwi
Gdybyśmy dysponowali większą ilością rou
protokołów byłby bardziej wydajny?

Moduł IV

sieciach komputerowych – RRAS

d.exe

t poprawny adres routera
jąc polecenia route print

k na Rys. 13.

g and Remote Access

ć protokół IPv4

ogólne New Routing

rotocol i kliknąć Ok.

łym obiekcie RIP i z menu

Connection i zatwierdzić

nnection 2.

md.exe

y jest poprawny adres

żywając polecenia route

atwiejszy w administracji?

routerów który z typów

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium rozszer

Zadanie 1 (czas realizacji

Twoja organizacja zamierza
pierwszy etap zostało wyzn
wymianę informacji pomiędz
tras pakietów IP. Twoim za
sprzętowych i programowyc
przeprowadzenie szeregu tes
i przetestowania jego funkcjo
sieci. Obecnie będziesz musia
W projekcie i wykonaniu mus

• Zostały uruchomione c
• Oddziały zdalne znajdu
• Łączność z centrala zna
• W każdym oddziale zd
• W każdym oddziale zd

jest zatrudnionych 53.

• Wszystkie komputery
• Przepustowość łącza W
• Wraz z wszystkimi od

urządzeniami przenośn

• Wszystkie stacje klienc
• Wdrażane rozwiązanie

z wyznaczaniem tras
bezpiecznych kanałów
pracowników mobilny

Zbuduj środowisko produkc
zapewniającą konfigurację po

Wszystkie ćwiczenia w
stacjach studenckich o w
cross cable.

Jeżeli masz kłopoty z przygot
o pomoc nauczyciela prowad

Konfigurowanie tras pakietów IP w siec

Strona 24/25

szerzone

acji 45 min)

ierza dokonać integracji infrastruktury IT dwóch

yznaczone zbudowanie infrastruktury sieciowej um

iędzy przedsiębiorstwami. Jako inżynier systemowy

zadaniem jest też sprawdzenie wydajności i funk

owych w tej dziedzinie, dokonanie analizy finanso

u testów. Obecnie jesteś już na etapie zainstalowania
nkcjonalności. Zaakceptowałeś to rozwiązanie jako e

usiał(a) zbudować i skonfigurować sieć dla oddziałó

musisz wziąć pod uwagę następujące informacje:

ne cztery nowe oddziały zdalne
ajdują się w następujących miastach: Gdańsk; Gliwic

a znajdującą się w Toruniu zapewniają dedykowane ł

e zdalnym pracuje około 80 pracowników.

le zdalnym mogą pojawić się handlowcy mobilni, któ

53.

ery w oddziałach mają używać automatycznej konfig

za WAN jest wykorzystana w 70% przez aplikację fin

i oddziałami zdalnymi firma dysponuje 1753 stacja
nośnymi.

lienckie podlegają automatycznej konfiguracji adresó

anie ma w pierwszej fazie zapewnić funkcjonalność z

tras lecz trzeba pamiętać iż docelowo ma też

łów komunikacyjnych pomiędzy oddziałami oraz w

ilnych.

dukcyjne jak na Rys. 14 i przeprowadź konfigur
ję pomiędzy oddziałami.

Rys 14. Fragment środowiska produkcyjnego

a w laboratoriach zaawansowanych należy przeprow

h o wydzielonych adresach IP. Zaleca się połączenie t

ygotowaniem zestawu testów poprawności konfigura

wadzącego zajęcia.

Moduł IV

sieciach komputerowych – RRAS

ch przedsiębiorstw. Jako
j umożliwiającej sprawna

owy masz wykonać projekt

funkcjonalności rozwiązań

ansowej rozwiązania oraz

ania serwera RRAS

ko etap wstępny integracji

iałów zdalnych.

liwice; Poznań i Wrocław.

ne łącza sieciowe.

i, których obecnie w firmie

nfiguracji adresów IP.

finansowo księgową.

acjami roboczymi oraz 80

resów IP.

ość związaną

ż umożliwiać budowanie

az w dostępie do zasobów

figurację tras statycznych

prowadzać na minimum 2
nie tych stacji kablem typu

iguracji usługi, poproś

Marek Pyka

Moduł IV

ITA-108 Technologie sieciowe

Konfigurowanie tras pakietów IP w sieciach komputerowych – RRAS

Strona 25/25

Zadanie 2 (czas realizacji 45 min)

Zbudowałeś niedawno środowisko routerów umożliwiające sprawna komunikację pomiędzy
oddziałami i centralą. Niestety coraz częściej zauważasz, że statyczne zarządzanie trasami jest mało
optymalne i dość uciążliwe. Zwłaszcza kiedy zaczynasz zastanawiać się nad zbudowaniem tego
środowiska z o wiele większym współczynnikiem na awarie łącza. Ostatnio rozmawiałeś z drugim
administratorem na temat awarii routera, zastanawialiście się co by się stało gdyby awarii uległ
router główny w centrali. Ze względów na ciągle rozbudowujące się środowisko oraz trudności
z zarządzaniu komunikacją decydujesz się na przetestowanie protokołów dynamicznych na swoim
środowisku. Obecnie Twoja firma wykorzystuje pięć routerów a ich konfiguracja przedstawiona jest
na Rys. 15.

Rys 15. Środowisko sieciowe przedsiębiorstwa

Analizując sprawność i wydajność obecnej konfiguracji sieci zauważyłeś następujące cechy:

• Wykorzystanie pul adresów IP jest nie optymalne – na każdą trasę konieczne są tylko 4

adresy

• Statyczne zarządzanie trasami IP w takim przypadku jest znacznie utrudnione
• W sytuacjach awaryjnych nie zawsze wybierana jest trasa optymalna co powoduje przestoje

w pracy użytkowników

• Ostanie awarie routera centralnego doprowadziły do poważnych przerw w realizacji procesu

biznesowego.

W celu dobrania odpowiedniego protokołu routingu przeprowadź testy które umożliwią podjęcie
decyzji zastosowania protokołów wektora odległości lub stanu łącza. Przeprowadź testy
zastosowanie protokołów routingu RIPv2 i OSPF.
Jako test przeprowadź symulację awarii następujących routerów:

• R1, R3
• R0

Sprawdź czas uaktualnienia tablic routingu na pozostałych routerach i porównaj uaktualnione
tablice ze wzorcowymi (tablice routingu działającego środowiska).
W trakcie przeprowadzanych testów środowiska routerów przeprowadź analizę ruchu sieciowego
przy pomocy Network Monitora 3 i spróbuj odnaleźć informacje związane z rozgłaszaniem się
routerów, przeanalizuj budowę i zawartość przesyłanych przez routery komunikatów.

ITA-108 Technologie sieciowe

Marek Pyka

Moduł V

Wersja 1

Automatyczne zarządzanie adresacją

IP

Spis treści

Automatyczne zarządzanie adresacją IP ................................................................ .............................. 1

Informacje o module ............................... ................................................... .......................................... 2

Przygotowanie teoretyczne ............................................................................ ..................................... 3

Przykładowy problem .................................................................................. ................................ 3

Podstawy teoretyczne.................................................................................. ................................ 3

Przykładowe rozwiązanie .............................................................................. ............................. 10

Porady praktyczne .................................................................................... ................................. 10

Uwagi dla studenta ................................ ................................................... ................................. 11

Dodatkowe źródła informacji........................................................................... .......................... 11

Laboratorium podstawowe ........................... ................................................... .................................. 12

Problem 1 (czas realizacji 20 min) ................................................................... ........................... 12

Problem 2 (czas realizacji 25 min) ................................................................... ........................... 13

Laboratorium rozszerzone ............................................................................. .................................... 13

Zadanie 1 (15 minut) .............................. ................................................... ................................. 14

Zadanie 2 (czas realizacji 30 min) ................................................................... ............................ 14

Zadanie 3 (45 min) ................................ ................................................... .................................. 15

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 2/15

Informacje o module

Opis modułu
W tym module znajdziesz informacje dotyczące protokołu DHCP, jego
implementacji w systemie Windows Server 2008 i zalet wynikających
z stosowania automatycznego zarządzania adresacją IP w przedsiębiorstwie.
Zapoznasz się z zasadami konfiguracji opcji protokółu DHCP w środowisku
sieciowym Windows Server 2008. Zawarte w module tym zadania
umożliwią Ci zapoznanie się z procesem planowania, wdrażania
i utrzymywania spójnej przestrzeni adresowej w rozproszonej geograficznie
organizacji.

Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania protokołu
DHCP do zarządzania przestrzenią adresów IP w sieciach przedsiębiorstw
oraz

przedstawienie

problematyki

jej

planowania,

wdrażania

i utrzymywania..

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• wiedział, jaką rolę w sieci przedsiębiorstwa pełni protokół DHCP
• potrafił zainstalować, skonfigurować i zarządzać rolą serwera DHCP
• rozumiał

potrzebę

planowania

infrastruktury

dla

potrzeb

automatycznego wdrażania adresacji IP w organizacji.

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać zasadę działania protokołu IP
• rozumieć budowę adresu IPv4 oraz IPv6
• rozumieć zasady przydzielania adresów IP w przedsiębiorstwie
• znać zasady pracy w środowisku Windows Server 2008

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 3 „Zarządzanie adresacją IP w sieciach komputerowych”.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 3/15

Przygotowanie teoretyczne

Przykładowy problem

Zmiany rynku powodują, że przejęcia czy wykupywanie firm przez inne, staje się obecnie czymś
powszednim. Zmiany takie mają ogromny wpływ na infrastrukturę IT przedsiębiorstw, gdyż po
każdy takim procesie rośnie jej skomplikowanie oraz zwiększa się zakres. Integracja ta powoduje
dużo kłopotów z zarządzaniem i administracją wszystkimi zasobami. Problem, który został
zdefiniowany dotyczy wdrożenia wspólnej przestrzeni adresowej w całej organizacji. Niestety
integrowane środowiska wykorzystywały różne przestrzenie adresowe, co więcej, znaczna część
komputerów posiadała statyczne adresy IP. Próba ujednolicenia adresacji podczas integracji
skończyła się połowicznym sukcesem, gdyż często w sieci pojawiają się konflikty adresów IP.
Problem ten potęguje się, gdy spróbowaliście ujednolicić adresację IP w oddziałach zdalnych.
Twój kierownik działu IT zleca Ci przygotowanie projektu ujednolicenia adresacji IP w całej
organizacji. Założenia określają centralne zarządzanie adresami, parametrami protokołu DHCP,
autoryzację w domenie firmy oraz bezpieczną aktualizację w serwerach DNS. Dodatkowo musisz
zaprojektować tak infrastrukturę, aby serwery DHCP w oddziałach zdalnych obsługiwały żądania
klientów dotyczące konfiguracji protokołu IP nie powodując konfliktów IP i zachowując spójną
przestrzeń adresową.
Podczas realizacji projektu warto jest rozważyć czas trwania dzierżawy – w środowisku oddziałów
zdalnych może mieć to ogromne znaczenie ze względu wydajności i bezpieczeństwa organizacji,
jak również wielkość infrastruktury.

Podstawy teoretyczne

Protokół DHCP (ang. Dynamic Host Configuration Protocol) jest protokołem komunikacyjnym
mającym na celu scentralizowanie i uproszczenie zarządzania konfiguracją adresów IP na hostach
sieciowych. Standard DHCP określa możliwości wykorzystania serwerów DHCP, jako narzędzia
dynamicznego przydzielania adresów IP i innych parametrów konfiguracyjnych klientów DHCP
w sieci.
Zgodnie z założeniami komunikacji opartej o protokół, TCP/IP, każdy komputer w sieci musi
posiadać unikatowy identyfikator (adres IP). Posiadanie przez hosta unikatowego adresu IP oraz
połączonego z nim maską podsieci umożliwia identyfikację komputera oraz segmentu, w którym
pracuje. Aby zminimalizować ilość czynności administracyjnych związanych z zarządzaniem
adresami IP oraz umożliwić centralne zarządzanie konfiguracją, zdefiniowano w 1993 roku standard
DHCP i opisano w dokumencie RFC 2131 (załączony na płytce studenckiej w katalogu materiały).
Rozszerzenie protokołu DHCPv6 opisano w dokumencie RFC 3315 (również dołączony do
materiałów studenckich). Głównymi zaletami protokołu DHCP są:

• Scentralizowana administracja konfiguracją IP – administratorzy zarządzający usługą DHCP

mogą w sposób scentralizowany zarządzać parametrami konfiguracyjnymi IP na wszystkich
hostach w sieci, na których uruchomiony jest klient DHCP. Cecha ta umożliwia zredukowanie
czynności administracyjnych związanych z manualną konfiguracją IP w sytuacji dodawania
nowych hostów lub zmian w infrastrukturze IP przedsiębiorstwa.

• Ujednolicona konfiguracja IP w sieci – dzięki wykorzystaniu klientów DHCP na hostach

sieciowych możliwe jest dynamiczne uaktualnianie parametrów IP z zachowaniem spójności
konfiguracyjnej w całej organizacji. Wszystkie operacje dostrajające protokół IP realizowane
są bez konieczności manualnej interwencji użytkowników lub administratorów. Eliminuje
konflikty adresów IP w całej organizacji.

• Elastyczność – usługa DHCP daje administratorom większą kontrolę nad środowiskiem

sieciowym i ułatwia zarządzanie konfiguracją hostów. Umożliwia precyzyjne zarządzanie
przydzielaniem adresów IP dzięki superzakresom oraz rezerwacjom adresów.

Marek Pyka
ITA-108 Technologie sieciowe

• Prostota – infrastruk

infrastruktury małych
jej stosowanie w każde

Zasada działania protoko

Protokół DHCP jest wykorzys
protokołu IP na hostach s
W infrastrukturze przedsięb
przechowują informacje o k
znajdują się następujące info

• Prawidłowe parametry
• Pula prawidłowych a

zastrzeżone do przydzi

• Czas trwania dzierżaw

używany przydzielony

Głównymi komponentami in

• klient usługi DHCP
• serwer usługi DHCP
• agent przekazywania (

Uzyskiwanie adresu IP przez k

Proces uzyskiwania parametr

Klienci DHCP komunikują się
osiem typów komunikatów
Datagram Protocol). Klienci
z serwerem DHCP przy pomo
jeszcze w trakcie uzyskiwani
na adres emisji ograniczone
UDP o numerze 68, a serwer
Przykładowy przebieg trans
przedstawiony jest poniżej:

1 4.571772 SRV-CL0
255.255.255.0 IP

2 4.571772 LOCAL *

255.255.255.255 IP

3 4.347488 SRV-CL0
255.255.255.255 IP

4 4.347489 LOCAL

255.255.255.255 IP

Automatyczne zarz

Strona 4/15

truktura DHCP została tak zaprojektowana, aby s

ych i dużych przedsiębiorstw. Uproszczona administ

ażdej organizacji z minimalnym nakładem na czynno

okołu DHCP

rzystywany w przedsiębiorstwie do automatyczneg

ch sieciowych. Infrastruktura DHCP korzysta z m

siębiorstwa może występować jeden lub więcej s

o konfiguracji TCP/IP i przekazują je klientom. W

informacje:

etry konfiguracji wszystkich klientów w sieci.

h adresów IP przeznaczonych do przydzielania

ydzielania ręcznego.

żawy oferowany przez serwer. Dzierżawa określa cz

ony adres IP.

i infrastruktury DHCP są:

nia (opcjonalnie występujący w infrastrukturze rozpr

IP przez klienta DHCP

metrów IP przedstawiony został na Rys. 12,

Rys. 2 Proces otrzymywania adresu IP

się z serwerami DHCP za pomocą komunikatów wa

tów, DHCP, które są przesyłane przy użyciu proto

nci DHCP z przydzielonym adresem, IP i ważną dzie

omocy data gramów pojedynczej transmisji IP, podc

ania adresu IP komunikują się przy pomocy pakiet

onej (broadcast) 255.255.255.255. Klient DHCP jes

wer DHCP z portem o numerze 67.

ransmisji przechwycony za pomocą Microsoft N

ej:

L01 *BROADCAST DHCP Discover (xid=4347488

P

*BROADCAST DHCP Offer (xid=43474883) TAL

P

L01 *BROADCAST DHCP Request (xid=43474883

P

*BROADCAST DHCP ACK (xid=43474883) TAL

P Odnawianie dzierżawy DHCP

Moduł V

zarządzanie adresacją IP – DHCP

by sprostać wymaganiom

inistracja usługą umożliwia

nności administracyjne.

nego konfigurowania opcji

z modelu klient-serwer.

ej serwerów DHCP, które

. W bazie danych serwera

nia klientom oraz adresy

a czas, przez jaki może być

ozproszonej)

warstwy aplikacji. Istnieje

rotokołu UDP (ang. User

dzierżawą komunikują się

podczas gdy klienci będący

kietów emisji, wysyłanych
jest powiązany z portem

ft Network Monitora 3.1

883) 0.0.0.0

ALLGUY

3)0.0.0.0

LLGUY

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 5/15

Czas trwania dzierżawy jest określony, w związku, z czym klient w odpowiednim momencie jest
zmuszony skontaktować się z serwerem DHCP w celu jej odnowienia. Proces odnawiania dzierżawy
został przedstawiony na Rys. 3

Rys. 3 Proces odnawiania adresu IP

Analogicznie jak w powyższym przypadku można przeprowadzić procedurę przechwytywania
pakietów w narzędziu Microsoft Network Monitor 3.1. Przykładowy wynik śledzenia pakietów
znajduje się poniżej.

1 8.3494001 SRV-CL01 *BROADCAST DHCP Request (xid=43474883)0.0.0.0
255.255.255.255 IP

2 8.3494015 LOCAL *BROADCAST DHCP ACK (xid=43474883) TALLGUY
255.255.255.255 IP

Proces odnowienia dzierżawy przeprowadzany jest w kilku etapach. Pierwsza próba odnowienia
dzierżawy odbywa się po upływie połowy czasu dzierżawy (czas T1). Wartość czasu, w którym
nastąpi zapytanie o możliwość przedłużenia dzierżawy jest wyznaczana na podstawie komunikatów
DHCPACK otrzymanych podczas procesu ustalania adresu IP i parametrów konfiguracyjnych przez
klienta DHCP. Jeżeli próba odnowienia dzierżawy nie powiedzie się, to klient dokona ponownej
próby odnowienia dzierżawy w 87,5% okresu jej trwania (czas T2). Brak odnowienia dzierżawy
w tym czasie skutkuje zwolnieniem adresów IP zaraz po wygaśnięciu czasu dzierżawy.

Komunikaty DHCP

Znaczenie komunikatów usługi DHCP:

• DHCPDISCOVER – zadaniem tego komunikatu jest zlokalizowanie serwera DHCP w sieci

przedsiębiorstwa.

• DHCPOFFER – wysyłany przez serwer DHCP do klienta DHCP w odpowiedzi na komunikat

DHCPDISCOVER. Zawiera oferowane parametry konfiguracyjne protokołu IP.

• DHCPREQUEST – klient DHCP przesyła żądanie parametrów konfiguracyjnych do serwera

DHCP z równoczesnym niejawnym odrzuceniem ofert innych serwerów DHCP znajdujących
się w infrastrukturze. Potwierdza poprawność poprzednio przydzielonych parametrów
konfiguracyjnych podczas odnawiania/przedłużania istniejącej dzierżawy DHCP.

• DHCPACK – komunikat wysyłany przez serwer DHCP do klienta DHCP w celu potwierdzenia

adresu IP i dostarczenia żądanych parametrów konfiguracyjnych.

• DHCPNACK – negatywna odpowiedź serwera DHCP przesyłana do klienta DHCP w przypadku

wygaśnięcia dzierżawy niepodlegającej przedłużeniu lub zmiany podsieci przez klienta.

• DHCPDECLINE – odrzucenie przez klienta DHCP oferowanego przez serwer DHCP adresu IP.
• DHCPRELEASE – przesyłane przez klienta DHCP zrzeczenie się posiadanego adresu IP oraz

anulowanie pozostałego czasu dzierżawy.

• DHCPINFORM – komunikat wysyłany przez klienta DHCP z prośbą o przesłanie dodatkowych

parametrów konfiguracyjnych.

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 6/15

Automatyczne przydzielanie adresów IP

Komputer z systemem Windows skonfigurowany do używania protokołu DHCP może
automatycznie przypisać do siebie adres IP, jeżeli serwer DHCP jest niedostępny. Na przykład taka
sytuacja może wystąpić w sieci bez serwera DHCP lub w sieci, w której serwer DHCP został
tymczasowo wyłączony w celu wykonania prac konserwacyjnych. Urząd IANA (ang. Internet
Assigned Numbers Authority) zarezerwował zakres adresów 169.254.0.0–169.254.255.255 dla
automatycznego adresowania prywatnego IP. Dzięki temu funkcja APIPA (ang. Automatic Private IP
Addressing) zapewnia adres, który nie powoduje konfliktu z adresami związanymi z obsługą
routingu. Po przypisaniu adresu IP do karty sieciowej komputer może używać protokołu TCP/IP do
komunikowania się z innym komputerem podłączonym do tej samej sieci LAN i skonfigurowanym
do korzystania z funkcji APIPA lub komputerem, dla którego ręcznie skonfigurowano adres IP
169.254.x.y (gdzie x.y jest unikatowym identyfikatorem klienta) z maską podsieci 255.255.0.0.
Należy zauważyć, że ten komputer nie może komunikować się z komputerami w innych podsieciach
lub komputerami, które nie korzystają z automatycznego adresowania prywatnego IP.
Automatyczne adresowanie prywatne IP jest domyślnie włączone.

Najważniejsze pojęcia związane z protokołem DHCP

Serwer DHCP

Zadaniem serwerów DHCP jest zarządzanie pulami dostępnych adresów IP oraz dodatkowymi
parametrami konfiguracyjnymi zdefiniowanymi przez administratora serwera DHCP. Odpowiada na
żądania klientów, przeprowadza rejestrację hostów w usłudze DNS.

Zakresy

Jako zakres określa się zbiór adresów i związane z nim dodatkowe parametry konfiguracyjne
przekazywane klientom DHCP.

Superzakres

Superzakres jest administracyjną grupą zakresów, która może być używana do obsługi wielu
logicznych podsieci IP w tej samej podsieci fizycznej. Superzakresy zawierają jedynie listę zakresów
składowych (inaczej zakresów podrzędnych), które mogą być uaktywniane razem. Superzakresy nie
są używane do konfigurowania innych szczegółów dotyczących korzystania z zakresu. Aby
skonfigurować większość właściwości używanych w obrębie superzakresu, trzeba indywidualnie
skonfigurować właściwości zakresów składowych.

Opcje DHCP

Jest to specyficzny zestaw konfiguracji dodatkowych takich jak maska sieciowa, adres bramy
domyślnej czy adres serwera WINS (ang. Windows Internet Name Service). Administrator serwera
może określić jedną lub więcej opcji na różnych serwerach. Opcje zostały szczegółowo opisane w
dokumencie RFC 2132 (znajduje się on na płycie CD z materiałami studenckimi). W systemie
Windows Server 2008 administrator może zarządzać opcjami na pięciu poziomach:

• Opcje serwera DHCP – ogólny zestaw opcji obowiązujący we wszystkich zakresach

zdefiniowanych na serwerze (opcje te są zastępowane przez zdefiniowane opcje zakresu,
opcje klasy lub specyficzną konfigurację klienta).

• Opcje predefiniowane – pozwala określić wszystkie domyślne wartości obsługiwane opcje

przez serwer DHCP oraz tworzyć nowe typy opcji.

• Opcje zakresu – definicja parametrów dla klientów danego zakresu (obowiązują o ile nie są

zastępowane przez opcje klasy lub ustawienia klienta).

• Opcje klasy – umożliwiają ustawić klasy opcji zdefiniowanych przez użytkownika lub

dostawcę, dostarczając parametry konfiguracyjne konkretnej grupie klientów DHCP
(na przykład starszym systemom operacyjnym). Opcje te są zastępowane wyłącznie przez
specyficzną konfigurację klienta.

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 7/15

• Opcje zastrzeżone dla klienta – ustawienia indywidualne klienta DHCP. Opcje mogą być

zastępowane wyłącznie przez konfigurację ręczną na poziomie klienta.

Dzierżawa DHCP

Adresy IP przydzielane klientom DHCP przydzielane są na pewien określony okres zwany dzierżawą.
Po upłynięciu dzierżawy klient DHCP jest zmuszony zwolnić posiadany adres IP i usunąć opcje
konfiguracyjne. Czas trwania dzierżawy dotyczy zarówno nowo otrzymanych parametrów jak
i przedłużania istniejącej dzierżawy.

Zastrzeżenia DHCP

Zastrzeżenie służy do utworzenia przez serwer DHCP stałego przypisania dzierżawy adresu.
Zastrzeżenia dają pewność, że dane urządzenie sprzętowe w podsieci będzie mogło zawsze
korzystać z tego samego adresu IP.

Agenci przekazywania DHCP

Agent przekazywania DHCP, zwany również agentem przekazywania BOOTP, to host (komputer lub
router), który odbiera wszystkie komunikaty emisji klientów DHCP w danej podsieci i przekazują je
do skonfigurowanego serwera DHCP. Serwer DHCP odpowiada na przesłane komunikaty agentowi
przekazywania, który następnie przekazuje je klientom DHCP w danej podsieci. Wykorzystanie
agentów przekazywania umożliwia zarządzanie przestrzenią IP w każdej lokalizacji zdalnej bez
konieczności dostarczania w nich serwerów DHCP.

Narzędzia zarządzania usługą DHCP

Polecenia netsh

Zestaw poleceń powłoki netsh dla usługi DHCP może być wywoływany w konsoli wiersza linii
poleceń po wywołaniu polecenia

netsh dhcp, co powinno zaowocować pojawieniem się nowego

znaku zachęty powłoki netsh (

netsh dhcp>). Poniżej przedstawiona jest lista najważniejszych

poleceń powłoki związana z zarządzaniem usługą i serwerem DHCP.
Polecenia usługi DHCP:

• add server – dodaje serwer DHCP do listy autoryzowanych serwerów w usłudze katalogowej

Active Directory.

• delete Server – usuwa serwer DHCP z listy autoryzowanych serwerów w usłudze katalogowej

Active Directory.

• server – przełącza bieżący kontekst poleceń netsh dotyczących usługi DHCP na inny serwer

DHCP. Polecenie

server użyte bez parametrów przełącza bieżący kontekst wiersza

polecenia do komputera lokalnego.

• show server – wyświetla listę autoryzowanych serwerów w usłudze katalogowej Active

Directory.

Polecenia serwera DHCP:

• add scope – dodaje zakres do określonego serwera DHCP.
• dump – zrzuca konfigurację lokalnego serwera DHCP do okna wiersza polecenia w przypadku

wykonywania polecenia w środowisku netsh.

• initiate auth – inicjuje autoryzację określonego serwera DHCP w usłudze katalogowej Active

Directory.

• set dnsconfig – ustawia konfigurację dynamicznej aktualizacji DNS dla określonego serwera

DHCP.

Listę wszystkich poleceń można uzyskać poprzez wprowadzenie znaku „?” w kontekście

netsh

dhcp>.

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 8/15

Polecenia

netsh dotyczące usługi DHCP zapewniają narzędzia wiersza polecenia ułatwiające

administrowanie serwerami DHCP i stanowiące alternatywne rozwiązanie wobec zarządzania
opartego na konsoli. Mogą być one użyteczne w następujących sytuacjach:

Podczas zarządzania serwerami DHCP w sieciach rozległych WAN, (Wide Area Network)
można używać poleceń w trybie interakcyjnym w wierszu polecenia narzędzia netsh, co
pozwala na efektywniejsze zarządzanie za pośrednictwem powolnych łączy sieciowych.

• Podczas zarządzania dużą liczbą serwerów DHCP można używać poleceń w trybie wsadowym

w wierszu polecenia narzędzia netsh, co ułatwia tworzenie skryptów i automatyzowanie
powtarzających się zadań administracyjnych, które trzeba wykonać w przypadku wszystkich
serwerów DHCP

PowerShell

Powłoka Windows PowerShell to nowa interaktywna linia komend oraz technologia skryptowa
systemu Windows XP/Vista/Server 2003/2008 oparta na zadaniach i poleceniach WMI, która
umożliwia administratorom bardziej wydajne i bezpieczne automatyzowanie zarządzania zarówno
komputerami typu desktop, jak i serwerami. Używając powłoki PowerShell możliwe jest
zarządzanie

parametrami

usługi

DHCP

poprzez

wykorzystanie

klasy

WMI

Win32_NetworkAdapterConfiguration

.

Przykładowe

skrypty

PowerShell

umożliwiające

zarządzanie usługą DHCP znajdują się poniżej:

• Wyszukiwanie na którym interfejsie jest aktywny klient DHCP

Get-WmiObject –Class Win32_NetworkAdapterConfiguration –Filter
"DHCPEnabled=true" -ComputerName.

• Aktywacja klienta DHCP na interfejsie z obsługą TCP/IP

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter
"IPEnabled=true and DHCPEnabled=true" -ComputerName .

• Włączenie klientów DHCP na wszystkich interfejsach hosta

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter
IPEnabled=true -ComputerName . | ForEach-Object -Process
{$_.InvokeMethod("EnableDHCP", $null)}

• Zwolnienie posiadanej dzierżawy adresu IP

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter
"IPEnabled=true and DHCPEnabled=true" -ComputerName . | Where-Object -
FilterScript {$_.DHCPServer -contains "192.168.1.1"} | ForEach-Object -
Process {$_.InvokeMethod("ReleaseDHCPLease",$null)}

• Odnowienie adresu i dzierżawy IP

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter
"IPEnabled=true and DHCPEnabled=true" -ComputerName . | Where-Object -
FilterScript {$_.DHCPServer -contains "192.168.1.254"} | ForEach-Object -
Process {$_.InvokeMethod("ReleaseDHCPLease",$null)}

Konsola usługi DHCP

Konsola DHCP jest narzędziem instalowanym na serwerze z uruchomiona usługą DHCP. Narzędzie
to oparte jest na konsoli mmc w wersji 3.0, dzięki czemu możliwą jest integracja przystawek do
zarządzania usługą DHCP z innymi narzędziami konfiguracji sieci. Podstawową funkcjonalnością
konsoli DHCP jest:

• Tworzenie zakresów.
• Dodawanie i konfigurowanie superzakresów i zakresów multiemisji.
• Przeglądanie i modyfikowanie właściwości zakresów, na przykład określanie dodatkowych

obszarów wykluczeń.

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 9/15

• Uaktywnianie zakresów, zakresów multiemisji i superzakresów.
• Monitorowanie aktywności związanej z dzierżawieniem zakresów przez przeglądanie listy

aktywnych dzierżaw każdego zakresu.

• Tworzenie w zakresach zastrzeżeń dla klientów DHCP, którzy wymagają dzierżawy stałego

adresu IP.

Wdrażanie usługi DHCP w przedsiębiorstwie

Integracja DHCP z innymi usługami

Usługa DNS

Jeżeli klientami usługi DHCP będą komputery pod kontrolą systemu operacyjnego Windows, to
koniecznym jest działanie w sieci systemu rozpoznawania nazw. Wersje systemów operacyjnych
począwszy od Windows 2000 wykorzystują do rozpoznawania nazw system DNS. Protokół DHCP
zaimplementowany w rozwiązaniach serwerowych Windows Server 2003/2008 umożliwia
przeprowadzenie procesu dynamicznej aktualizacji nazw na serwerach DNS. Proces aktualizacji
może być przeprowadzany w sposób bezpieczny jedynie jeżeli strefy DNS są zintegrowane z usługą
Active Directory.

Usługa Active Directory

W środowisku sieciowym każdej organizacji wykorzystującej usługę DHCP do zarządzania
konfiguracją klientów pojawienie się dodatkowego serwera DHCP o błędnej konfiguracji może
spowodować szereg problemów. Klienci posiadający błędną konfigurację adresów IP lub opcji
protokołu mogą mieć utrudnioną komunikację z środowiskiem sieciowym przedsiębiorstwa co
może doprowadzić do znacznych strat finansowych. Aby uniknąć tego typu problemów,
w środowisku sieciowym Microsoft Windows wprowadzono możliwość autoryzacji serwerów DHCP
w usłudze Active Directory. W sieci będącej pod kontrolą Active Directory tylko serwery
autoryzowane biorą udział w komunikacji protokołu DHCP.

Implementacja usługi DHCP

Przed przystąpieniem do wdrażania usługi DHCP w sieci upewnij się, że wszystkie poniższe punkty
są dla Ciebie jasne.

• Znasz pojęcia związane z usługą DHCP, takie jak zakresy, dzierżawy i opcje.
• System operacyjny jest skonfigurowany poprawnie. W systemach operacyjnych z rodziny

Windows Server 2008 usługa DHCP jest uzależniona od prawidłowej konfiguracji systemu
operacyjnego oraz jego usług.

• Komputer na którym będzie instalowana usługa ma statyczny adres IP.
• Kreator konfiguracji zabezpieczeń jest zainstalowany i włączony.
• Podczas dodawania roli serwera DHCP tworzy się jeden zakres definiujący grupę adresów IP

przydzielanych przez serwer DHCP klientom w podsieci. Dla każdej podsieci, do której należą
klienci, którymi chcesz zarządzać za pomocą usługi DHCP, należy utworzyć jeden zakres.

Podsumowanie

W tym rozdziale przedstawione zostały najważniejsze pojęcia związane z wdrażaniem usługi DHCP
w przedsiębiorstwie. Dowiedziałeś się, jak przebiega proces przydzielania i odnawiania adresu IP
dla klientów DHCP. Wiesz już, jakie korzyści przynieść może wdrożenie usługi DHCP w sieci.
Usługi DHCP są obecnie dostępne w każdym systemie operacyjnym oraz w większości urządzeń
aktywnych, jednakże podczas tych zajęć zapoznasz się z procedurami wdrażania serwerów DHCP na
platformie Windows Server 2008.

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 10/15

Przykładowe rozwiązanie

Jako inżynier systemowy zostałeś poproszony o przedstawienie planu wdrożenie usług DHCP
w środowisku sieciowym przedsiębiorstwa. Prezentując plan masz się skupić wyłącznie na
wyjaśnieniu jakie kroki poczyni dział IT aby zrealizować projekt.
Instalacja usługi DHCP w przedsiębiorstwie wiąże się z wykonaniem szeregu czynności dotyczących
zaplanowania, wdrażania i utrzymywania usługi. Proces taki można przedstawić jak na poniższym
schemacie.

Rys. 4 Schemat wdrażania usługi DHCP

Porady praktyczne

Uwagi ogólne

• Pamiętaj, że znajomość zasad wykorzystania usług DHCP może znacznie ułatwić Ci

prowadzenie czynności administracyjnych w przyszłej pracy.

• Jeżeli tylko jest to możliwe, projektuj infrastrukturę serwerów DHCP zgodnie z zasadą 80/20

dostępnych dzierżaw.

• Wypracuj sobie metody zarządzania adresami IP w sytuacjach awaryjnych.
• Nie stosuj dynamicznego przydzielania adresów IP dla serwerów.
• W sieciach rozległych używaj agentów przekazywania.
• Usługa DHCP wymaga intensywnego korzystania z dysku, więc dla zapewnienia wysokiej

wydajności serwera należy zaopatrzyć się w dyski o optymalnej charakterystyce wydajności.

• W konsoli serwera DHCP używaj ręcznych metod wykonywania kopii zapasowej

i przywracania z niej danych.

Agenci przekazywania

• Jeżeli w Twojej organizacji pojawiają się problemy z zachowaniem wspólnej przestrzeni IP dla

oddziałów zdalnych, stosuj w nich agentów przekazywania zamiast samodzielnych serwerów
DHCP.

• Pamiętaj, że aby zainstalować agenta przekazywania, musisz na platformie Windows Server

2008 zainstalować rolę serwera RRAS (ang. Routing and Remote Access Service).

• Określ parametry opóźnienia przekazywania zapytań przez agentów, aby zapobiegać zbyt

dużej transmisji pakietów po łączach WAN.

Zaprojektowanie serwera

DHCP

Integracja DHCP z innymi

usługami

Definicja zakresów

Implementacja usługi DHCP

Zaprojektowanie prcesów

monitorowania iwykonywania

kopii zapasowych

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 11/15

Integracja z innymi usługami

• Aby przeciwdziałać obcym serwerom DHCP w sieci przedsiębiorstwa, stosuj Autoryzację

Serwera DHCP w usłudze Active Directory.
Jeżeli tylko to możliwe, stosuj automatyczną rejestrację klientów w usłudze DNS, co
zminimalizuje problemy z działaniem otoczenia sieciowego.

• Pamiętaj, że usługa DHCP jest krytyczna dla działania całej organizacji, dlatego stosuj

mechanizmy odporności na awarie, tj. kopie zapasowe konfiguracji i serwerów.

• Jeżeli konieczne jest zapewnienie wysokiej dostępności dla usługi DHCP w przedsiębiorstwie,

zintegruj ją z usługą Failover Clustering.

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium jeśli:

• rozumiesz zasady adresowania IP w sieciach przedsiębiorstw
• umiesz instalować role i funkcje na platformie Windows Server 2008
• umiesz zaplanować wykorzystanie adresacji prywatnej w przedsiębiorstwie
• potrafisz podać przykłady zagrożeń wynikających ze źle zaprojektowanej infrastruktury

serwerów DHCP

• znasz zasady zarządzania serwerami DHCP w środowisku rozproszonym
• zapoznałeś się z głównymi pojęciami dotyczącymi usługi DHCP (zakres, pula, dzierżawa

adresów, agent przekazywania)

Przed zainstalowaniem serwera DHCP zidentyfikuj:

• Wymagania serwera DHCP dotyczące sprzętu i magazynowania.

Które komputery można od razu skonfigurować jako klientów DHCP do korzystania
z dynamicznej konfiguracji TCP/IP, a które należy skonfigurować ręcznie za pomocą
statycznych parametrów konfiguracji TCP/IP, ze statycznymi adresami IP włącznie.

• Typy i wartości opcji DHCP, które mają być wstępnie zdefiniowane dla klientów DHCP.

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się,
że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu
zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek
z wykładów.

Dodatkowe źródła informacji

1.

Praca zbiorowa, Windows Server 3003 Resource Kit – Organizacja usług sieciowych, Microsoft

Press, 2004

W książce autorzy prezentują rozdział poświęcony planowaniu, wdrażaniu
i organizacji usług DHCP w przedsiębiorstwie.

2.

Neall Alcott, DHCP for Windows 2000, O’Reilly, 2001

Książka dość dokładnie opisująca działanie protokołu DHCP i analizę błędów, które
mogą się podczas jego działania pojawić.

3.

Praca zbiorowa, Podręcznik administratora Windows Server 2008, Microsoft, 2008

Na Praktyczny poradnik instalacji i konfiguracji serwerów Windows Server 2008

4.

Douglas E.Comer, Sieci komputerowe TCP/IP. Zasady, protokóły i architektura, Wydawnictwa

Naukowo-Techniczne, Warszawa, 1997

Pozycja literaturowa traktująca o projektowaniu i wdrażaniu usług realizowanych
przez sieci komputerowe.

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium podsta

Problem 1 (czas realizacj

Aby przygotować wdrożenie
konfiguracji usługi DHCP dla
2008. Założenia dla projektu

Projektowane środowisko te
komputerze Serwer (Rys 5) d
adresacji IP dla pozostałych s
Wyniki swojej analizy zapisz w
Elementy środowiska
Konfiguracja

se

infrastrukturalnych:
- FireWall
- Domain Controler
- Serwer
Określ zakres adresów IP
serwer

DHCP

ma

prz

klientom.
Określ właściwą maskę
klientów.
Określ wszystkie adresy IP,
serwer

DHCP

nie

p

przydzielać klientom.
Określ

czas

trwania

dz

adresów IP.
Określ adres IP routera
klienci

będą

używać

komunikowania się z klien
innych podsieciach.
Określ nazwę domeny DNS k
Określ adres IP serwera
którego mają używać klienci.
Określ adres IP serwera
którego mają używać klienci.

Automatyczne zarz

Strona 12/15

stawowe

acji 20 min)

enie usług DHCP w przedsiębiorstwie zdecydowałeś

dla testowego środowiska wirtualnego na platfo

ktu usługi DHCP w środowisku testowym są następu

Rys. 5 Przykładowe środowisko testowe

o testowe musi umożliwić przetestowanie usług DH

5) dla 25 klientów sieciowych. W ramach projektu m

ch serwerów (pożądane jest wykorzystanie puli adre

isz w poniższej tabeli.

Parametry

serwerów

IP: Maska:
IP: Maska:
IP: Maska:

IP, które

przydzielać

ę podsieci

IP, których

powinien

dzierżawy

ra którego
wać

do

klientami w

NS klientów.

wera DNS,

nci.

era WINS,
nci.

Moduł V

zarządzanie adresacją IP – DHCP

ałeś się na przetestowanie

latformie Windows Server
tępujące:

g DHCP uruchomionych na

tu musisz przyjąć założenia

adresów prywatnych).

Brama:
Brama:
Brama:

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 13/15

Problem 2 (czas realizacji 25 min)

Przeprowadź instalację serwera DHCP na potrzeby środowiska testowego. Dokonać konfiguracji
zakresów i opcji zgodnie z wynikami uzyskanymi w poprzednim zadaniu.
Procedura instalacji Serwera DHCP na platformie Windows Server 2008:

Zadanie

Tok postępowania

1.

Instalacja roli

serwera DHCP na
platformie
Windows Server
2008

• Zalogować się na serwer ITA-SRV01 jako Administrator.
• Z okna Server Manager z sekcji Roles wybrać Add Roles.
• Kliknąć Next, aby przejść do wyboru roli.
• Zaznaczyć rolę DHCP Server i kliknąć Next.
• Kliknąć Next przejść przez wstęp do instalacji roli.
• Zaznaczyć połączenia sieciowe, dla których serwer DHCP ma przydzielać

adresy i kliknąć Next.

• Ustawić nazwę domeny Parent Domain na ITA.local.
• Ustawić adres serwera DNS Preferred DNS Server IPv4 Address

na 10.10.0.50 oraz kliknąć Next

• Kliknąć Next pomijając ustawienia WINS

2.

Definicja

zakresów podsieci
dla IPv4

• Kliknąć Add, aby dodać zakres adresów dla pierwszego połączenia:

— Zdefiniować nazwę zakresu Scope Name na Scope A
— Określić Starting IP Address na 10.10.0.2
— Ustawić Ending IP Address na 10.10.15.225
— Wprowadzić maskę podsieci Subnet Mask na 255.255.0.0
— Ustawić bramę sieciową Default Gateway na 10.10.0.1

• Kliknąć OK aby zatwierdzić dodanie zakresu.
• Kliknąć Add, aby dodać zakres adresów dla drugiego połączenia.
• Powtórzyć powyższe kroki ustawiając:

— Scope Name na Scope B
— Starting IP Address na 10.20.0.2
— Ending IP Address na 10.20.62.255
— Subnet Mask na 255.255.0.0
— Default Gateway na 10.20.0.1

• Zaakceptować ustawienia zakresu
• Kliknąć Next, aby zaakceptować zakresy.

3.

Definicja

zakresów dla IPv6
(opcjonalnie)

• Zaznaczyć opcję Enable DHCPv6 stateless mode for this server i klinąć

Next.

• Wprowadzić nazwę domeny dla IPv6 ustawiając Parent Domain na

ITA.local

• Ustawić adres serwera DNS dla IPv6 Preferred DNS Server IPv6 Address

na adres serwera ITA-DC01

• Zaakceptować ustawienia klikając Next.

4.

strony

ukończenie
instalacji

• Kliknąć Install, aby zatwierdzić ustawienia i rozpocząć instalacje
• Poczekać na zakończenie instalacji i zamknąć okno klikając Close.
• Kliknij OK.

5.

Weryfikacja

poprawności
działania

• Zalogować się na klienta ITA-CL01
• W ustawieniach połączeń sieciowych wyświetlić stan połączenia.
• W oknie stanu połączenia na zakładce obsługa kliknąć Szczegóły
• Przeanalizować dane sprawdzając adres IP (np. ipconfig /all).

Laboratorium rozszerzone

Marek Pyka

Moduł V

ITA-108 Technologie sieciowe

Automatyczne zarządzanie adresacją IP – DHCP

Strona 14/15

Zaprojektowanie

i

wdrożenie

infrastruktury

serwerów

DHCP

dla

przedsiębiorstwa

wykorzystującego oddziały zdalne.

Zadanie 1 (15 minut)

Przeprowadzić analizę komunikacji klienta usługi DHCP z serwerem DHCP w sieci LAN.
W celu realizacji tego zadania wykonaj następujące kroki:

• Wyłącz interfejs sieciowy komputera klienckiego.
• Zmień konfigurację protokołu IP tak aby wykorzystywał dynamiczną przydzielanie adresów

IP.

• Włącz aplikację Microsoft Network Monitor 3.0 i skonfiguruj ją tak aby przechwytywała

wyłącznie ruch sieciowy protokołu DHCP

• Włącz monitorowanie
• Włącz interfejs sieciowy klienta.
• Poczekaj aż klient uzyska konfigurację IP z serwera DHCP.
• Przerwij przechwytywanie pakietów i przejdź do ich analizy.

Czy potrafisz rozpoznać główne etapy przebiegu komunikacji protokołu DHCP?

Zadanie 2 (czas realizacji 30 min)

Twoja organizacja na przełomie ostatnich 4 miesięcy uruchomiła zdalne lokalizacje na terenie
całego kraju. Zgodnie z polityką zarządu, cała administracja systemami informatycznymi została
scentralizowana co spowodowało zredukowanie do zera ilości kadry administracyjnej w oddziałach.
Jako inżynier sieciowy otrzymałeś zadanie zaprojektowania tak infrastruktury, aby w całej
organizacji zachować spójną przestrzeń adresów IP i konfiguracji parametrów.
Do dokonania projektu musisz uwzględnić następujące informacje:

• Zostały uruchomione cztery nowe oddziały zdalne.
• Oddziały zdalne znajdują się w następujących miastach: Gdańsk, Gliwice, Poznań

i Wrocław.

• Łączność z centralą znajdującą się w Toruniu zapewniają 2 Mb łącza DSL.
• W każdym oddziale zdalnym pracuje około 80 pracowników.
• W każdym oddziale zdalnym mogą pojawić się handlowcy mobilni, których obecnie

w firmie jest zatrudnionych 53.

• Wszystkie komputery w oddziałach mają używać automatycznej konfiguracji adresów IP.
• Przepustowość łącza WAN jest wykorzystana w 70% przez aplikację finansowo-

księgową.

• Wraz z wszystkimi oddziałami zdalnymi firma dysponuje 1753 stacjami roboczymi oraz

80 urządzeniami przenośnymi.

• Wszystkie stacje klienckie podlegają automatycznej konfiguracji adresów IP.

Przeprowadź projekt infrastruktury serwerów DHCP umożliwiający pokrycie automatyczną
konfiguracją IP 2048 adresów z uwzględnieniem zdalnych lokalizacji.
W celu weryfikacji przygotuj środowisko testowe jak na schemacie i przeprowadź testy
poprawności konfiguracji usługi DHCP.
Jeżeli masz kłopoty z przygotowaniem zestawu testów poprawności konfiguracji usługi, poproś o
pomoc nauczyciela prowadzącego zajęcia.

Marek Pyka
ITA-108 Technologie sieciowe

Zadanie 3 (45 min)

Centrala przedsiębiorstwa z
znajdują się w Warszawie i
wszystkich dzierżaw dla nic
serwerze DHCP w centrali.
Analizując sprawność i wydaj

• W standardowych wa

lokalnych serwerów D

• W sytuacji, gdy serwe

klienci kierują swoje z
oddziałów adresów IP.

• Sytuacja pobierania a

sytuacji, gdy serwery l
w celu minimalizacji r
awaryjnych sytuacjach

• Ostanie awarie serwer

biznesowego.

Przeciwdziałając sytuacji po
sieci wykorzystaj następujące

• Lokalny serwer DHCP
• Agenta przekazywania

Zaprojektuj i skonfiguruj śr
powyżej warunkom.
W celu wdrożenia mechani
następujące czynności:

• Zainstaluj usługę Failov
• Skonfiguruj zakresy dla

Uwaga: Dokumenty pomoc
zajęcia.

Automatyczne zarz

Strona 15/15

Rys. 6 Środowisko testowe dla oddziałów zdalnych

a znajduje się w Londynie. Pozostałe dwa biur

ie i Brukseli. Każde z biur posiada własny serwer D
nich przydzielonych. Pozostałe 20% dzierżaw jest

li.

ydajność obecnej konfiguracji sieci zauważyłeś nastę

warunkach klienci sieci w Warszawie i Bruksel

w DHCP obsługujących 80% dostępnych adresów IP.

rwery DHCP w Warszawie i Brukseli działają woln

je zapytania do serwera w Londynie, który obsługu

IP.

ia adresów IP z serwera znajdującego się w Londy

ery lokalne są zajęte przyjmowaniem żądań. Sytuac

cji ruchu w sieci WAN używanie serwera w Londyn

jach.

rwera centralnego doprowadziły do poważnych prze

i pobierania adresów IP z serwera w Londynie pod

jące elementy architektury sieciowej:

CP

ania żądań DHCP

j środowisko testowe dla oddziału zdalnego odp

hanizmów odporności na awarie dla usługi DHCP

ailover Clustering

y dla oddziałów zdalnych wraz z odpowiednimi param

ocne w konfiguracji usługi Failover Clustering znajdu

Moduł V

zarządzanie adresacją IP – DHCP

biura oddziałów zdalnych

er DHCP zarządzający 80%

jest przechowywanych na

astępujące cechy:
kseli składają żądania do

IP.

olno lub są niedostępne,

uguje 20% dostępnych dla

ndynie pojawia się też w

uacja ta jest niepożądana,

dynie ma być wyłącznie w

przerw w realizacji procesu

podczas normalnej pracy

odpowiadające opisanym

HCP w Londynie wykonaj

arametrami dzierżaw

ajdują się u prowadzącego

ITA-108 Technologie sieciowe

Marek Pyka

Moduł VI

Wersja 1

Rozpoznawanie nazw hostów przy

użyciu systemu DNS

Spis treści

Rozpoznawanie nazw hostów przy użyciu systemu DNS .................................................... ................. 1

Informacje o module .................................................................................. .......................................... 2

Przygotowanie teoretyczne ............................................................................ ..................................... 3

Przykładowy problem .................................................................................. ................................ 3

Podstawy teoretyczne.................................................................................. ................................ 3

Przykładowe rozwiązanie .............................................................................. ............................. 13

Porady praktyczne .................................................................................... ................................. 14

Uwagi dla studenta ................................................................................... ................................. 15

Dodatkowe źródła informacji........................................................................... .......................... 15

Laboratorium podstawowe .............................................................................. .................................. 16

Problem 1 (czas realizacji 20 min) ................................................................... ........................... 16

Problem 2 (czas realizacji 25 min) ................................................................... ........................... 16

Laboratorium rozszerzone ............................................................................. .................................... 18

Zadanie 1 (czas realizacji 15 min) ................................................................... ............................ 18

Zadanie 2 (czas realizacji 30 min) ................................................................... ............................ 18

Zadanie 3 (90 min) ................................ ................................................... .................................. 19

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 2/19

Informacje o module

Opis modułu
W tym module znajdziesz informacje dotyczące protokołu DNS, jego
implementacji w systemie Windows Server 2008 i zalet wynikających
z stosowania go w zarządzaniu nazwami komputerów zarówno w sieci
rozległej jak i sieci przedsiębiorstwa. Zawarte w module tym zadania
umożliwią Ci zapoznanie się z procesem planowania, wdrażania
i utrzymywania spójnej przestrzeni nazw w rozproszonej geograficznie
organizacji.

Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania protokołu
DNS do zarządzania przestrzenią nazw hostów w sieciach przedsiębiorstw
oraz omówienie planowania, wdrażania i utrzymywania spójnych
przestrzeni nazw w sieciach rozproszonych.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• Wiedział, jaką rolę w sieci przedsiębiorstwa pełni protokół DNS
• potrafił zainstalować, skonfigurować i zarządzać rolą serwera DNS
• rozumiał

potrzebę

planowania

infrastruktury

dla

potrzeb

automatycznego zarządzania przestrzenią nazw hostów w organizacji

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać zasadę działania protokołu IP
• rozumieć budowę adresu IPv4 oraz IPv6
• rozumieć zasady przydzielania adresów IP w przedsiębiorstwie
• wiedzieć jaką rolę w zarządzaniu nazwami hostów pełnią pliki hosts

i lmhosts

• znać zasady pracy w środowisku Windows Server 2008

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module

2 i 5.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 3/19

Przygotowanie teoretyczne

Przykładowy problem

Zarządzanie przestrzenią nazw domenowych ma ogromne znaczenie w sieci Internet oraz sieciach
opartych o technologie firmy Microsoft. Jako administrator często będziesz spotykał się
z problemami związanymi z działaniem protokołu DNS. Wdrażanie w organizacji spójnej przestrzeni
nazw z reguły poprzedzone jest projektem ujednolicenia adresacji IP. Od tego jak poprawnie
zostaną przeprowadzone te dwa projekty zależy w głównej mierze skuteczność, bezawaryjność
i bezpieczeństwo procesu biznesowego wspieranego technologiami informatycznymi. Przykładem
mogą być najczęstsze problemy zgłaszane przez użytkowników w przedsiębiorstwach, których
infrastruktura nie podlegała gruntownej analizie i projektowaniu. Lis Przykładem mogą być
najczęstsze problemy zgłaszane przez użytkowników w przedsiębiorstwach, których infrastruktura
nie podlegała gruntownej analizie i projektowaniu. Lista uwag może być szeroka, natomiast warto
skupić się na kilku podstawowych:
Użytkownicy sieci, głównie pracownicy oddziałów zdalnych, lub przejętych organizacji ciągle
zgłaszają problem z brakiem stabilności komunikacji pomiędzy nimi a serwerami
w przedsiębiorstwie,
Zgłaszane są problemy z błędnie działającym otoczeniem sieciowym, brakiem widoczności
krytycznych zasobów itp.,
Część użytkowników w sieci zgłasza problem z długim logowaniem do domeny firmowej,
Aplikacje biznesowe nie potrafią poprawnie korzystać z przydzielonych im dostępów do zasobów,
Użytkownicy sieci VPN nie potrafią korzystać z sieci Intranet, gdyż ich aplikacje i skróty nie
odnajdują odpowiednich serwerów świadczących usługi,
Używając ścieżek bezpośrednich w oparciu o adres IP problem nie występuje.

W przyszłej pracy, możesz spotkać się z sytuacją gdzie twój kierownik działu IT zleci Ci
przygotowanie projektu ujednolicenia przestrzeni nazw hostów w całej organizacji. Założenia
określają centralne zarządzanie nazwami, parametrami protokołu DNS, autoryzację w domenie
firmy oraz bezpieczną synchronizację rekordów pomiędzy wszystkimi serwerami DNS. Dodatkowo
musisz zaprojektować tak infrastrukturę aby serwery DNS w oddziałach zdalnych obsługiwały
żądania klientów dotyczące rozpoznawania nazw wykorzystując spójną przestrzeń nazw
w organizacji. Mając na uwadze przyszłościowe wdrożenie adresacji IPv6 warto podczas
projektowania uwzględnić ten warunek jak i rozmiar sieci oraz jej architekturę jak np. oddziały
zdalne, szybkość łączy WAN, itp.

Podstawy teoretyczne

Wiemy już, że do komunikowania się w sieci komputery wykorzystują adresy. Ich format oraz
wartości są, jednak trudne do zapamiętania przez człowieka. Znacznie lepiej zamiast adresu
195.159.120.4 pamiętać www.nazwadns.pl. Jest to tzw. nazwa kanoniczna. Jej format
odzwierciedla hierarchię systemu nazw używanego w sieci Internet, czyli DNS (ang. Domain Name
Service).
System DNS jest opracowanym przez organizację IETF (ang. Internet Engineering Task Force)
standard usługi nazw. Usługa DNS pozwala komputerom znajdującym się w sieci komputerowej
rejestrować i rozwiązywać nazwy domen DNS. Za pomocą tych nazw można zidentyfikować i
uzyskać dostęp do zasobów oferowanych przez inne komputery w sieci lub innych sieciach, takich
jak Internet. System DNS składa się z trzech następujących składników podstawowych:

• Przestrzeń nazw domen i związane z nią rekordy zasobów – rozproszona baza nazw i

skojarzonych z nią adresów IP.

• Sfery nazw DNS – serwery, których zadaniem jest przechowywanie przestrzeni nazw

i rekordów zasobów oraz zwracanie odpowiedzi na kwerendy klientów DNS.

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 4/19

• Programy rozpoznawania nazw DNS – dodatkowa funkcjonalność klientów DNS

wykorzystywana podczas łączenia się z serwerami nazw DNS i wykonywania kwerend w celu
uzyskania informacji o rekordach zasobów.

Zasada działania protokołu DHCP

Początkowo, gdy komputerów w sieci było niewiele, ich nazwy znajdowały się w jednym pliku
tekstowym. W miarę upływu czasu, gdy komputerów w sieci zaczynało już być więcej, zarządzanie
tym plikiem, jego przeszukiwanie stało się bardzo trudne. Dlatego też zdecydowano się na przejście
na hierarchiczny rozproszonego system nazw.
Przyjęty system nadawania nazw odzwierciedla strukturę sieci Internet. Podłączone są do niej
uczelnie, jednostki administracji rządowej, firmy komercyjne, wojsko, itd. Każda z tych grup ma
pewną dozę autonomii oraz jest odpowiedzialna za przydział nazw w jej obrębie. Scedowanie
odpowiedzialności za porządek panujący w danej grupie ułatwia zarządzanie nazwami w Internecie.
Najwyższy poziom w hierarchii, czyli korzeń drzewa nazw, prezentuje znak „.”. W systemie DNS nie
określono w ścisły sposób, jak mają, być nazywane kolejne poziomy, a jedynie format nazw.
W zasadzie wartość nazwy może być dowolna. Jednak, aby nie wprowadzać bałaganu przyjęto
pewne zasady używania nazewnictwa i w następnym po “.“ poziomie zostały ujęte nazwy:
com. — organizacje komercyjne,
edu. — instytucje edukacyjne,
gov. — administracja rządowa,
mil. — wojsko,
net. — centra kontroli pracy sieci,
org. — organizacje niepasujące do żadnej z powyższych grup,
arpa. — specjalna domena do wiązania adresów IP z nazwami,
int. — organizacje międzynarodowe,

Ponieważ początkowo Internet istniał tylko w USA, system nadawania nazw nie odzwierciedlał
podziałów terytorialnych państw. Gdy pozostałe państwa zaczęły się przyłączać do sieci Internet
oprócz systemu organizacyjnego nazywania dodano nazewnictwo terytorialne w postaci
dwuliterowych kodów krajów dodawanych do wymielonych nazw. Oprócz tego dodano kody
krajów bezpośrednio po znaku “.“. Kody te nie są, stosowane w USA jako ,,kolebce” Internetu.
Na Rys. 2 została przedstawiona uproszczona hierarchia nazw dla systemu DNS.

Rys. 2 Hierarchia nazw systemu DNS.

W każdej z tych grup dodawane są, nazwy nowych komputerów zgodne z ich ,pochodzeniem”.
Jeśli rejestrujemy nazwę dla naszej firmy, świadczącej komercyjne usługi, może ona zostać dodana
do systemu DNS jako:

• nazwa_firmy.com — jeśli rejestrujemy domenę w USA i jest ona związana z działalnością

komercyjna

• nazwa_firmy.com.pl — jeśli rejestrujemy domenę w Polsce i również jest ona związana

z działalnością komercyjną

Marek Pyka
ITA-108 Technologie sieciowe

• nazwa_firmy.pl — bez

kraju, serwisów inform

W ten sposób system nazw D
a węzły to serwery obsługują
Na podstawie danych zebran
klientami a serwerami, uży
komunikować. Przed połącze
adres przy pomocy lokalne
komunikacji został przedstaw

Klient DNS w tym celu spraw
programu rozpoznawania
/DISPLAYDNS. Jeśli nie zna
które następnie wysyła do se
W przeciwnym przypadku
zawiera nazw, dla której pos
nam tylko o adres, czy o nazw
na pytanie to odsyła ją klie
dostarczyć odpowiednich inf
aż dotrze do serwerów obs
odpowie poszukiwanymi da
możliwa metoda to tzw. zap
potrafi udzielić na nie od
uzyskaną odpowiedź Tym sp
DNS, klient otrzyma odpowie

Organizacja obszarów DNS

Z technicznego punktu widze
większości opisów systemu D
na podstawie ich poziomu
zarejestrowana w domenie
poziomu. Wynika to z faktu,

Rozpoznawanie nazw host

Strona 5/19

bezpośrednio w domenie “.pl” w przypadku dużyc

formacyjnych o kraju, itd.

zw DNS ma struktur drzewa, w którym liście to nazw

gujące kolejne poziomy hierarchii.

branych w serwerach DNS oraz protokołu wymiany

użytkownicy nie muszą pamiętać adresów maszy

łączeniem się ze zdalną maszyna, aplikacje starają

alnego programu odwzorowującego (klienta usłu

stawiony na Rys. 3.

Rys. 3 Przebieg komunikacji DNS

prawdza swoją pamięć podręczną. Aktualną zawarto

nia nazw DNS można wyświetlić stosując

znajduje tam informacji o poszukiwanej maszynie

o serwera (w jednym komunikacie do serwera może

ku udzieli nie autorytatywnej odpowiedzi klient

j poszukiwany jest adres oraz typ poszukiwanej info

nazwę serwera pocztowego dla danej domeny. Jeś

klientowi. W przeciwnym przypadku odsyła listę s

informacji. W następnym kroku klient będzie kiero

obsługujących najwyższy poziom nazw, jeśli żaden

i danymi. Jest to tzw. iteracyjny sposób rozwią

. zapytania rekurencyjne. Jeśli serwer otrzyma teg

odpowiedzi, wysyła zapytania do innych serweró

sposobem zawsze, o ile tylko taka informacja jes

owiedź z poszukiwaną informacją.

w DNS

idzenia każda nazwa domeny DNS użyta w drzewie

mu DNS nazwy są identyfikowane za pomocą jedne

omu i najczęstszego zastosowania. Na przykład

nie firmy Microsoft (microsoft.com.) jest znana, j

tu, że nazwa ma dwie części (nazywane etykietami),

Moduł VI

hostów przy użyciu systemu DNS

użych organizacji w danym

azwy konkretnych maszyn

iany komunikatów między

aszyn, z którymi chcą się

ają się ustalić, jaki jest jej

usługi DNS). Przebieg tej

artość pamięci podręcznej
c polecenie IPCONFIG

ynie to buduje zapytanie,

oże być wiele zapytań).

lientowi. Każde zapytanie

informacji, np. czy chodzi

Jeśli serwer zna odpowiedź

tę serwerów, które mogą,

ierował zapytania do nich,

den serwer wcześniej nie

związywania nazw. Druga

tego typu zapytanie i nie

werów i odsyła klientowi

jest zapisana w systemie

wie jest domeną. Jednak w

dnego z pięciu sposobów,

ład nazwa domeny DNS

a, jako domena drugiego

mi), które wskazują,

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 6/19

że jest umieszczona dwa poziomy poniżej szczytu drzewa. Większość nazw domen DNS ma dwie lub
więcej etykiet, z których każda wskazuje nowy poziom w drzewie. Kropki w nazwach służą do
oddzielania etykiet.

W tabeli 1, poniżej oprócz domen drugiego poziomu omówiono również inne pojęcia używane do
opisu nazw domen DNS według funkcji pełnionych przez nie w obszarze nazw.
Tabela 1.

Typ nazwy

Opis

Przykład

Katalog główny
domeny

Kiedy jest używany w nazwie domeny DNS,
jest przedstawiany, jako końcowa kropka (.),
wskazując, że dana nazwa jest umieszczona w
domenie głównej lub na najwyższym poziomie
w hierarchii domen. W takim przypadku
nazwa domeny DNS jest uważana za
kompletną i wskazuje dokładną lokalizację w
drzewie nazw. Nazwy wyrażone w ten sposób
są nazywane w pełni kwalifikowanymi
nazwami domen (FQDN).

Pojedyncza kropka (.) lub
kropka użyta na końcu nazwy,
tak

jak

w

nazwie

„przyklad.microsoft.com.”

Domena
najwyższego
poziomu

Nazwa składająca się z dwóch lub trzech liter,
wskazująca kraj/region lub rodzaj organizacji
korzystającej z tej nazwy.

„.com”, która wskazuje nazwę
zarejestrowana? w Internecie
dla

firmy

prowadzącej

działalność komercyjną

Domena
drugiego
poziomu

Nazwy o różnej długości rejestrowane przez
indywidualne

osoby

lub

organizacje

z

przeznaczeniem do używania w Internecie. Te
nazwy są zawsze oparte na odpowiedniej
domenie najwyższego poziomu, zależnie od
typu organizacji lub położenia geograficznego,
w którym nazwa jest używana.

„microsoft.com.”, która jest
nazwą

domeny

drugiego

poziomu zarejestrowaną przez
firmę

Microsoft

w

internetowym rejestrze nazw
domen DNS.

Poddomena

Dodatkowe nazwy, które może tworzyć
organizacja, oparte na zarejestrowanej nazwie
domeny drugiego poziomu. Należą do nich
nazwy dodawane do rosnącego drzewa nazw
DNS w organizacji i dzielące je na oddziały lub
lokalizacje geograficzne.

„przyklad.microsoft.com.”,
która jest fikcyjną poddomeną
przypisaną

przez

firmę

Microsoft do wykorzystywania
w

dokumentacji

przykładowych nazw

Nazwa

hosta

lub zasobu

Nazwy, które reprezentują liście w drzewie
nazw DNS i identyfikują określony zasób.
Zazwyczaj skrajna etykieta z lewej strony
nazwy domeny DNS identyfikuje określony
komputer w sieci. Jeśli na przykład nazwa na
tym poziomie zostaje użyta w rekordzie
zasobu

adresu

hosta

(A),

jest

ona

wykorzystywana do wyszukiwania adresu IP
komputera na podstawie jego nazwy hosta.

„host-
a.przyklad.microsoft.com.”,
gdzie pierwsza etykieta („host-
a”) jest nazwą hosta DNS dla
konkretnego

komputera

w

sieci

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 7/19

Typy głównych rekordów DNS

Rekordy zasobów DNS zawierają informacje związane z domeną i mogą być pobierane i
wykorzystywane przez klientów DNS. Każdy serwer DNS obsługuje te rekordy przestrzeni nazw
DNS, które są dla niego autorytatywne. Każdy administrator systemu DNS odpowiedzialny jest za
poprawność informacji zawartych w strefie.

W dokumentach RFC 1034 i 1035 oraz późniejszych został zdefiniowany szereg typów rekordów
zasobów. Większość typów rekordów nie jest już wykorzystywana, choć jest w pełni obsługiwana
przez obecne systemy DNS. Do najważniejszych rekordów obecnie wykorzystywanych w systemie
DNS można zaliczyć następujące:

• rekord A lub rekord adresu (ang. address record) mapuje nazwę domeny DNS na jej 32-

bitowy adres IPv4.

• rekord AAAA lub rekord adresu IPv6 (ang. IPv6 address record) mapuje nazwę domeny DNS

na jej 128 bitowy adres IPv6.

• rekord CNAME lub rekord nazwy kanonicznej (ang. canonical name record) ustanawia alias

nazwy domeny. Wszystkie wpisy DNS oraz poddomeny są poprawne także dla aliasu.

• rekord MX lub rekord wymiany poczty (ang. mail exchange record) mapuje nazwę domeny

DNS na nazwę serwera poczty.

• rekord PTR lub rekord wskaźnika (ang. pointer record) mapuje adres IPv4 na nazwę

kanoniczną hosta. Określenie rekordu PTR dla nazwy hosta (ang. hostname) w domenie in-
addr.arpa, który odpowiada adresowi IP, pozwala na implementację odwrotnej translacji
adresów DNS (ang. reverse DNS lookup).

• rekord NS lub rekord serwera nazw (ang. name server record) mapuje nazwę domenową na

listę serwerów DNS dla tej domeny.

• rekord SOA lub rekord adresu startowego uwierzytelnienia (ang. start of authority record)

ustala serwer DNS dostarczający autorytatywne informacje o domenie internetowej.

• rekord SRV lub rekord usługi (ang. service record) pozwala na zawarcie dodatkowych

informacji dotyczących lokalizacji danej usługi, którą udostępnia serwer wskazywany przez
adres DNS.

• TXT - rekord ten pozwala dołączyć dowolny tekst do rekordu DNS.

Mechanizm zapytań DNS

Kiedy klient DNS chce wyszukać nazwę używaną w programie, kieruje kwerendę do serwera DNS
w celu rozpoznania nazwy. Każdy komunikat kwerendy wysyłany przez klienta zawiera trzy
elementy informacji określające pytanie, na które serwer ma odpowiedzieć:
Nazwa domeny DNS, podana w postaci pełnej nazwy domeny (FQDN)
Typ kwerendy, który może albo określać rekord zasobu według typu, albo wyspecjalizowany typ
kwerendy Klasa nazwy domeny DNS. Nazwą może być na przykład nazwa FQDN komputera, taka
jak „host_a.przyklad.microsoft.com.”, a typem kwerendy — wyszukiwanie rekordu zasobu adresu
(A) według tej nazwy. Kwerendy DNS są rozwiązywane na kilka różnych sposobów. Klient może
czasami odpowiedzieć na kwerendę lokalnie, korzystając z zawartych w pamięci podręcznej
informacji otrzymanych z poprzedniej kwerendy. Serwer DNS może odpowiadać na kwerendy przy
użyciu zawartości swojej własnej pamięci podręcznej rekordów zasobów. Może także wysłać
kwerendę do innych serwerów DNS lub skontaktować się z nimi w imieniu klienta zgłaszającego
żądanie, w pełni rozpoznać nazwę, a następnie wysłać odpowiedź z powrotem do klienta. Ten
proces jest nazywany rekursją.
Ponadto w celu rozpoznania nazwy klient może sam próbować skontaktować się z dodatkowymi
serwerami DNS. W takim przypadku używa oddzielnych i dodatkowych kwerend, formułowanych
na podstawie odwołań zawartych w odpowiedziach otrzymanych od serwerów. Ten proces jest
nazywany iteracją.
Ogólnie przetwarzanie kwerendy DNS jest wykonywane w dwóch etapach:

Marek Pyka
ITA-108 Technologie sieciowe

Kwerenda o nazwę rozpocz
rozpoznawania nazw, którym
Kiedy kwerenda nie może b
serwerów DNS.

Proces rozpoznawania nazw
wstępnych krokach proces
w programie na komputerze
rozwiązania kwerendy przy
Jeśli poszukiwana nazwa mo
kończy.
Pamięć podręczna lokalnego
otrzymane z dwóch źródeł:
Jeśli plik Hosts jest skonfigu
z tego pliku są wstępnie ład
DNS. Rekordy zasobów otrzy
pamięci podręcznej i przecho

Jeśli w pamięci podręcznej n
kontynuowany przez klienta
kwerendę, najpierw sprawd
informacji rekordu zasobu
poszukiwana nazwa jest zgod
informacji strefy, serwer odp
poszukiwanej nazwy. Jeśli p
ani w jego pamięci podręczn
być kontynuowany z zastos
pomocy ze strony innych se
DNS w imieniu klienta żąda o
W większości wypadków ser
proces rekursji. Proces rozpo

Aby serwer DNS poprawnie
wykorzystane przez usługę
domeny katalogu głównego
dla domeny katalogu główn
obszaru nazw domen DNS.

Rozpoznawanie nazw host

Strona 8/19

poczyna się na komputerze klienckim i jest przeka

rym jest usługa klienta DNS, w celu rozwiązania.

że być rozwiązana lokalnie, zostają wysłane kwere

nazw przez klienta DNS został przedstawiony na

ocesu wykonywania kwerendy, nazwa domeny

erze lokalnym. Następnie do usługi klienta DNS jest

rzy użyciu informacji przechowywanych w lokalne

może być rozpoznana, na kwerendę jest udzielana

ego programu rozpoznawania nazw może zawiera

nfigurowany lokalnie, wszelkie mapowania nazw n

e ładowane do pamięci podręcznej w czasie uruch

trzymane w odpowiedziach na poprzednie kwerend

echowywane przez pewien czas.

ej nie ma odpowiednika parametru kwerendy, pro

nta, który wysyła kwerendę do serwera DNS. Kied

rawdza, czy może na nią odpowiedzieć autoryta

obu zawartego w strefie lokalnie skonfigurowan

zgodna z odpowiednim rekordem zasobu znajdujący

odpowiada autorytatywnie, wykorzystując te infor

śli poszukiwana nazwa nie ma odpowiednika na pr

ęcznej, ani wśród informacji strefy, proces wykony

stosowaniem rekursji, aż do pełnego rozpoznani

h serwerów DNS. Domyślnie przed odesłaniem odp

da od serwera użycia procesu rekursji w celu pełne

serwer DNS jest domyślnie konfigurowany w taki s

zpoznawania nazw na serwerze DNS został pokazan

Rys. 4 Proces rozwiązywania zapytań na serwerze DNS

nie wykonywał rekursję, potrzebuje aktualnej list

ugę DNS do znajdowania innych serwerów DNS

ego drzewa obszaru nazw domen DNS. Serwery głó

łównego i dla domen najwyższego poziomu umie

Moduł VI

hostów przy użyciu systemu DNS

zekazywana do programu

erendy do odpowiednich

na Rys. 3. Jak widać we

eny DNS jest używana

jest przekazywane żądanie

alnej pamięci podręcznej.

ana odpowiedź i proces się

ierać informacje o nazwie

zw na adresy prowadzące

ruchamiania usługi klienta

endy DNS są dodawane do

proces rozwiązywania jest

Kiedy serwer DNS odbiera

rytatywnie na podstawie

wanej na serwerze. Jeśli

jącym się wśród lokalnych

informacje do rozpoznania

a preferowanym serwerze

onywania kwerendy może

nania nazwy. Wymaga to

odpowiedzi usługa klienta

łnego rozpoznania nazwy.

aki sposób, aby obsługiwał

zany na Rys. 4.

listy Root hints, które są

DNS autorytatywnych dla

główne są autorytatywne

umieszczonych w drzewie

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 9/19

Alternatywne odpowiedzi na kwerendy

Zgodnie z przedstawionym modelem rozpoznawania nazw proces kończy się pozytywną
odpowiedzią zwracaną do klienta. Jednak na kwerendy mogą być także udzielane inne odpowiedzi.
Oto najczęściej spotykane:

• Odpowiedź autorytatywna
• Odpowiedź pozytywna
• Odpowiedź z odwołaniem
• Odpowiedź negatywna

Odpowiedź autorytatywna to pozytywna odpowiedź zwracana do klienta, która w komunikacie DNS
zawiera ustawiony bit uwierzytelniania wskazujący, że odpowiedź została uzyskana z serwera
dokonującego bezpośredniego uwierzytelnienia poszukiwanej nazwy.
Odpowiedź pozytywna może się składać z poszukiwanego rekordu zasobu albo z listy rekordów
zasobów (nazywanej także zestawem rekordów zasobów) zgodnej z poszukiwaną nazwą domeny
DNS i typem rekordu określonym w komunikacie kwerendy.
Odpowiedź z odwołaniem zawiera dodatkowe rekordy zasobów, nieokreślone w kwerendzie
według nazwy ani typu. Ten rodzaj odpowiedzi jest zwracany do klienta, jeśli nie jest obsługiwany
proces rekursji. Te rekordy mają służyć jako przydatne odpowiedzi referencyjne, które mogą być
wykorzystane przez klienta do kontynuowania kwerendy z zastosowaniem iteracji.
Odpowiedź z odwołaniem zawiera dodatkowe dane, takie jak rekordy zasobów (RR), które są
innego typu niż poszukiwane. Jeśli na przykład była poszukiwana nazwa hosta „www” i w tej strefie
nie znaleziono żadnych rekordów zasobów adresu tej nazwy, lecz zamiast nich dla nazwy „www”
został znaleziony rekord zasobu CNAME, serwer DNS może dołączyć tę informację do odpowiedzi
wysyłanej klientowi.
Odpowiedź negatywna uzyskana z serwera może wskazywać, że w czasie, gdy serwer próbował
przetworzyć i rekursywnie rozwiązać kwerendę w pełni i autorytatywnie, wystąpił jeden z dwóch
możliwych wyników:

• Serwer autorytatywny zgłosił, że poszukiwana nazwa nie istnieje w obszarze nazw DNS.
• Serwer autorytatywny zgłosił, że poszukiwana nazwa istnieje, lecz nie istnieją dla niej rekordy

określonego typu.

Iteracje

Iteracja jest typem rozpoznawania nazw stosowanego między klientami i serwerami DNS,
kiedy obowiązują następujące warunki:

• Klient żąda zastosowania rekursji, lecz na serwerze DNS rekursja jest wyłączona.
• Klient nie żąda użycia rekursji podczas wykonywania kwerendy na serwerze DNS.

Iteracyjne żądanie od klienta informuje serwer DNS, że klient oczekuje najlepszej odpowiedzi, jakiej
serwer DNS może udzielić natychmiast, bez kontaktowania się z innymi serwerami DNS. Kiedy jest
stosowana iteracja, serwer DNS odpowiada klientowi na podstawie własnych informacji o obszarze
nazw w kontekście poszukiwanych danych nazw. Jeśli na przykład serwer DNS w intranecie odbiera
kwerendę od lokalnego klienta dotyczącą nazwy „www.microsoft.com”, może zwrócić odpowiedź
ze swojej pamięci podręcznej nazw. Jeśli poszukiwana nazwa nie jest obecnie przechowywana w
pamięci podręcznej nazw na serwerze, serwer może odpowiedzieć w formie odwołania, czyli listy
rekordów zasobów NS i A do innych serwerów DNS, które są bliżej nazwy poszukiwanej przez
klienta.

Buforowanie

Gdy serwery DNS przetwarzają kwerendy klientów przy użyciu rekursji lub iteracji, odkrywają
i pobierają znaczną ilość informacji o obszarze nazw DNS. Te informacje są umieszczane przez
serwer w pamięci podręcznej.

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 10/19

Buforowanie stanowi sposób przyspieszania rozwiązywania następnych kwerend DNS o popularne
nazwy, jednocześnie znacznie zmniejszając ruch w sieci związany z systemem DNS.
Kiedy informacje są buforowane, wartość czasu wygaśnięcia (TTL) dotyczy wszystkich
buforowanych rekordów zasobów. Dopóki nie upłynie czas TTL buforowanych rekordów zasobów,
serwer DNS może kontynuować buforowanie i ponownie wykorzystywać te rekordy do udzielania
odpowiedzi na przysyłane przez klientów kwerendy odpowiadające tym rekordom. Wartości czasu
TTL buforowania stosowane do rekordów zasobów w większości konfiguracji stref mają przypisaną
wartość Minimalny (domyślny) czas wygaśnięcia (TTL), która jest ustawiana w rekordzie zasobu
adresu startowego uwierzytelniania (SOA) strefy. Domyślnie minimalna wartość czasu TTL wynosi 3
600 sekund (1 godzina), lecz można ją zmienić, lub też w razie potrzeby można indywidualnie
ustawić czas TTL buforowania osobno dla każdego rekordu zasobu.

Zarządzanie strefami DNS w przedsiębiorstwie

Serwer DNS posiadający pełną informację o części przestrzeni nazw DNS jest określany serwerem
autoratywnym dla tej części przestrzeni nazw. Informacje autoratywne są zorganizowane
w jednostki zwane strefami i stanowią podstawowy składnik replikacji DNS. Strefa zawiera jeden
lub więcej rekordów zasobów jednej lub więcej domen DNS.
Istnieją cztery typy stref DNS, które są stosowane w usłudze DNS Server:

• Podstawowa standardowa. Przechowuje główną kopię strefy i może ją replikować do stref

pomocniczych. Wszystkie zmiany dotyczące strefy są wprowadzane w strefie podstawowej
standardowej.

• Pomocnicza standardowa. Zawiera kopię tylko do odczytu informacji o strefie, co zwiększa

wydajność i odporność. Informacje zawarte w strefie podstawowej są replikowane do strefy
pomocniczej za pomocą mechanizmu transferu strefy.

• Zintegrowana z Active Directory. Typ strefy wykorzystywany w środowisku Microsoft

przechowywany w usłudze Active Directory i replikowany przy wykorzystaniu mechanizmów
tej usługi.

• Strefa wejściowa. Zawiera wyłącznie rekordy zasobów, które są niezbędne do

zidentyfikowania autorytatywnych serwerów DNS rzeczywistej strefy (rekordy SOA, NS i Glue
A).

• Globalne system nazw. Strefa globalnych nazw wykorzystywana jest w dużych

przedsiębiorstwach w celu identyfikacji nazw dla urządzeń sieciowych w oparciu o
pojedyncze etykiety z pominięciem usługi WINS.

Przyrostowy transfer stref DNS

Przyrostowe transfery stref są opisane w specyfikacji RFC 1995 jako dodatkowy standard systemu
DNS związany z replikowaniem stref DNS. Serwery DNS w organizacji powinny obsługiwać
przyrostowe transfery stref gdyż mechanizm ten znacznie przyspiesza proces aktualizacji i replikacji
zmian na serwerach DNS. We wcześniejszych implementacjach systemu DNS każde żądanie
aktualizacji danych strefy wymagało pełnego transferu całej bazy danych strefy przy użyciu
kwerendy AXFR. W przypadku transferu przyrostowego zamiast niej można stosować kwerendę
IXFR. Dzięki temu serwer pomocniczy może kopiować tylko te zmiany strefy, które są niezbędne do
synchronizacji jego kopii strefy ze źródłem, którym jest podstawowa lub pomocnicza kopia strefy
utrzymywana przez inny serwer DNS.
Przebieg procesu transferu strefy można zaobserwować dzięki wykorzystaniu oprogramowania
Network Monitor, co zostało przedstawione poniżej:

1 21.102323 SRV-DNS2 SRV-DC1 DNS 0x6000:Std Qry for ITA.local of type
SOA on class INET addr. 10.10.10.145

10.10.10.200

2 21.102323 SRV-DC1 SRV-DNS2 DNS 0x6000:Std Qry Resp. for ITA.local of
type SOA on class INET addr. 10.10.10.200 10.10.10.145

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 11/19

3 21.102323 SRV-DNS2 SRV-DC1 DNS 0x4000:Std Qry for ITA.local of type
Req for incrmntl zn Xfer on class INET addr. 10.10.10.145 10.10.10.200

4 21.102323 SRV-DC1 SRV-DNS2 DNS 0x4000:Std Qry Resp. for ITA.local of
type SOA on class INET addr. 10.10.10.200 10.10.10.145

Powyższy przykład obrazuje jak serwer SRV-DNS2 na podstawie rekordów SOA wykrywa zmianę
wersji strefy i rozpoczyna jej aktualizację.

Powiadamianie DNS

Serwery DNS systemu Windows obsługują powiadamianie DNS. Jest to aktualizacja pierwotnej
specyfikacji protokołu DNS, które pozwala inicjować powiadamianie serwerów pomocniczych
o zmianach stref (RFC 1996). Powiadamianie DNS implementuje mechanizm wypychania służący do
powiadamiania wybrane grupy serwerów pomocniczych strefy, kiedy strefa ulega aktualizacji.
Powiadamiane serwery mogą następnie inicjować transfer strefy, jak opisano powyżej, aby pobrać
zmiany z serwerów głównych i zaktualizować lokalne repliki strefy.

Narzędzia zarządzania usługą DNS

Polecenia netsh

Zestaw poleceń dotyczących usługi DNS w konsoli netsh nie jest zbyt rozumowany jednak warto
zapoznać się z podstawowymi poleceniami umożliwiającymi konfigurację klienta DNS na
komputerze lokalnym.
Ustawienie dynamicznej konfiguracji serwerów DNS:

netsh interface ip set dns "Local Area Connection" dhcp

Ustawienie statycznej konfiguracji serwerów DNS:

Netsh interface ipv4 add dnsserver name=<nazwa podstawowego serwera DNS>
address=<adres IP podstawowego serwera DNS> index=1

Netsh interface ipv4 add dnsserver name=<nazwa pomocniczego serwera DNS>
address=<adres IP pomocniczego serwera DNS> index=2

Komendy wiersza linii poleceń

Istnieje cała grupa narzędzi, za pomocą których można zarządzać i rozwiązywać problemy
z serwerami i klientami DNS. Zestawiono je w tabeli poniżej. Aby uruchomić każde z tych narzędzi,
należy wpisać nazwę programu w wierszu polecenia lub umieścić ją w pliku wsadowym
i obsługiwać w formie skryptu.

Polecenie

Opis

Nslookup

Używane do wykonywania kwerendy testującej obszar nazw domeny DNS.
Aby uzyskać więcej informacji, zobacz Polecenie nslookup.

Dnscmd

Interfejs wiersza polecenia do zarządzania serwerami DNS. To polecenie
warto umieszczać w skryptowych plikach wsadowych, ponieważ
wywoływany interfejs może pomóc w automatyzacji rutynowych zadań
zarządzania systemem DNS lub wykonywaniu prostych nienadzorowanych
instalacji i konfiguracji nowych serwerów DNS w sieci. Aby uzyskać więcej
informacji, zobacz Administrowanie serwerem za pomocą narzędzia
Dnscmd.

Ipconfig

To polecenie jest wykorzystywane do przeglądania i modyfikowania
szczegółów konfiguracji adresu IP używanego przez komputer. W ramach
tego narzędzia są dostępne dodatkowe opcje wiersza polecenia pomocne w
rozwiązywaniu problemów i obsłudze klientów DNS.

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 12/19

Konsola DNS

Podstawowym narzędziem przeznaczonym do zarządzania serwerami DNS jest konsola DNS, która
znajduje się w podfolderze Narzędzia administracyjne folderu Programy w menu Start. Konsola DNS
może być używana niezależnie jako przystawka Microsoft Management Console (MMC),
zwiększając stopień integracji administrowania systemem DNS z procedurami zarządzania całą
siecią.
Konsola DNS jest dostępna dopiero po zainstalowaniu systemu DNS na serwerze. Za jej pomocą
można wykonywać następujące podstawowe zadania zarządzania serwerem:
Wykonywanie wstępnej konfiguracji nowego serwera DNS.
Nawiązywanie połączenia i zarządzanie lokalnym serwerem DNS na tym samym komputerze lub
serwerami DNS zdalnymi zainstalowanymi na innych komputerach.
Zależnie od potrzeb, dodawanie i usuwanie stref wyszukiwania do przodu i wstecznego.
Dodawanie, usuwanie i aktualizacja rekordów zasobów w strefach.
Modyfikacja sposobu przechowywania i replikowania stref między serwerami.
Modyfikacja sposobu przetwarzania kwerend i obsługi aktualizacji dynamicznych przez serwery.
Modyfikacja zabezpieczeń określonych stref lub rekordów zasobów.

Ponadto konsola DNS może być wykorzystywana do wykonywania następujących zadań:
Wykonywanie czynności obsługowych na serwerze. Można uruchamiać, zatrzymywać,
wstrzymywać lub wznawiać działanie serwera albo ręcznie aktualizować pliki danych serwera.
Monitorowanie zawartości pamięci podręcznej serwera i w razie potrzeby czyszczenie jej.
Dostrajanie zaawansowanych opcji serwera.
Konfigurowanie i wykonywanie przedawniania i czyszczenia przestarzałych rekordów zasobów
przechowywanych na serwerze.

Wdrażanie usługi DNS w przedsiębiorstwie

Integracja DNS z innymi usługami

Usługa DHCP

W środowisku Windows Server DNS obsługiwany jest protokół dynamicznych aktualizacji stref DNS.
Organizacja systemu DNS uwzględniająca integrację z usługą DHCP (zajrzyj do modułu
poświęconego usłudze DHCP) udostępnia zasobom sieci informacje o adresowaniu dynamicznym,
które są przechowywane w systemie DNS. Zgodnie ze standardem aktualizacji dynamicznych
zdefiniowanym w specyfikacji RFC 2136 rekordy są aktualizowane przez serwer DHCP w imieniu
klienta DHCP za pomocą opcji 81 Client FQDN. W ramach aktualizacji modyfikowane są rekordy A
i PTR.

Usługa WINS (Windows Internet Name Service)

W środowisku sieciowym heterogenicznym oraz takim w którym występują wcześniejsze wersje
systemów Windows niż Windows 2000, koniecznym było stosowanie systemu WINS w celu
usprawnienia działania Otoczenia Sieciowego. Stosowanie systemów WINS w organizacjach miało
na celu dynamiczne rozpoznawanie nazw NetBIOS. Jeżeli organizacja wykorzystuje klientów lub
aplikacje bazujące na usłudze WINS konieczne będzie zintegrowanie ich z istniejącym systemem
DNS.
Obecne systemy DNS umożliwiają przeprowadzenie konfiguracji rozpoznawania nazw w taki sposób
aby kierowały zapytania nazw NetBIOS do serwerów WINS z równoczesną dynamiczną aktualizacją
przechowywanych rekordów.

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 13/19

Zabezpieczanie usługi DNS

Bezpieczeństwo systemu DNS jest kluczowym dla każdej organizacji. Nie przypadkowo krąży
powiedzenie, że osoba która kontroluje system DNS kontroluje całą organizację. Wyobraź sobie
sytuację w której atakujący kontroluje wszystkie zapytania DNS kierowane do sieci Internet!

W dokumencie RFC 2535 został zdefiniowany zbiór funkcji znanych jako NDS Security (DNSSEC),
które mają zapewnić uwierzytelnianie i integralność danych DNS w programach rozpoznawania
nazw. Zdefiniowane zabezpieczenia oparte są w głównej mierze o technologie podpisu cyfrowego
i metod kryptograficznych, które mają zapewnić powyższe atrybuty bezpieczeństwa. Niestety nie
wszystkie systemy DNS umożliwiają wykorzystanie tak silnych mechanizmów bezpieczeństwa co
znacznie utrudnia ich zabezpieczanie i integrację.

Implementacja usługi DNS

Przed przystąpieniem do wdrażania usługi DNS w sieci upewnij się, że wszystkie poniższe punkty są
dla Ciebie jasne.
Znasz pojęcia związane z usługą DNS, takie jak strefy, rekordy i aktualizacje.
System operacyjny jest skonfigurowany poprawnie. W systemach operacyjnych z rodziny Windows
Server 2008 usługa DNS jest uzależniona od prawidłowej konfiguracji systemu operacyjnego oraz
jego usług.
Komputer na którym będzie instalowana usługa ma statyczny adres IP i poprawną nazwę.
Kreator konfiguracji zabezpieczeń jest zainstalowany i włączony.
Jeżeli system DNS został zainstalowany wraz z usługą Active Directory tworzone są domyślnie strefy
umożliwiające funkcjonowanie usługi Active Directory. W innym przypadku koniecznym będzie
zdefiniowanie stref ręcznie zgodnie z funkcja jaką pełni w organizacji dany serwer DNS. Poniżej
zostały przedstawione najważniejsze czynności związane z instalacją i wdrażaniem usługi DNS.

Podsumowanie

W tym rozdziale przedstawione zostały najważniejsze pojęcia związane z wdrażaniem usługi DNS w
przedsiębiorstwie. Dowiedziałeś się, jak przebiega proces rozpoznawania nazw w sieciach opartych
o protokół TCP/IP. Wiesz już jak ważnym dla organizacji jest spójny mechanizm zarządzania
nazwami komputerów i usług. W ramach tego modułu będziesz zaznajamiał się z procedurami
wdrażania serwerów DNS na platformie Windows Server 2008.

Przykładowe rozwiązanie

Jako inżynier systemowy zostałeś poproszony o przedstawienie planu ujednolicenia przestrzeni
nazw za pomocą usługi DNS w środowisku sieciowym przedsiębiorstwa. Prezentując plan masz się
skupić wyłącznie na wyjaśnieniu jakie kroki poczyni dział IT aby zrealizować projekt.
Instalacja usługi DNS w przedsiębiorstwie wiąże się z wykonaniem szeregu czynności dotyczących
zaplanowania, wdrażania i utrzymywania usługi. Proces taki można przedstawić jak na poniższym
schemacie.

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 14/19

Rys. 5 Schemat wdrażania usługi DNS

Porady praktyczne

Uwagi ogólne

Pamiętaj, że znajomość zasad wykorzystania usługi DNS może znacznie ułatwić Ci prowadzenie
czynności administracyjnych w przyszłej pracy.
W środowisku heterogenicznym zaplanuj wykorzystanie usługi WINS.
Wypracuj sobie metody zarządzania nazwami komputerów w sytuacjach awaryjnych.
Nie stosuj dynamicznego przydzielania adresów IP dla serwerów.
Zaplanuj strukturę hierarchiczną dla systemu DNS w twojej organizacji.
Wszelkie pliki stref utworzone i przechowywane na serwerach DNS systemu UNIX wykorzystujących
oprogramowanie BIND muszą być ręcznie skopiowane z tych serwerów do folderu
systemroot\System32\Dns.
Zabezpieczaj transfer stref DNS i zezwalaj wyłącznie na aktualizację z zaufanych serwerach.

Integracja z innymi usługami

Poprawność działania otoczenia sieciowego oraz wielu usług zależy od nazw NetBIOS dlatego
zaplanuj integrację z usługą WINS.
Jeżeli tylko to możliwe stosuj automatyczną rejestrację klientów w usłudze DNS,
co zminimalizuje problemy z działaniem otoczenia sieciowego.

Analiza bieżącego

środowiska

Projekt przestrzeni

nazw DNS

Projekt

infrastruktury

serwera DNS

Projekt stref DNS

Konfiguracja i

zarządzanie

klientami DNS

Zabezpieczanie

infrastruktury DNS

Integracja DNS z

pozostałymi

usługami sieciowymi

Implementacja

systemu DNS

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 15/19

Pamiętaj, że usługa DNS jest krytyczna dla działania całej organizacji dlatego stosuj mechanizmy
odporności na awarie tj. kopie zapasowe konfiguracji i serwerów.
Jeżeli konieczne jest zapewnienie wysokiej dostępności dla usługi DNS w przedsiębiorstwie
zintegruj ją z usługą Failover Clustering.

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium jeśli:

• rozumiesz zasady rozpoznawania nazw w sieciach IP przedsiębiorstw
• umiesz instalować role i funkcje na platformie Windows Server 2008
• umiesz zaplanować wykorzystanie systemu DNS w przedsiębiorstwie
• potrafisz podać przykłady zagrożeń wynikających ze źle zaprojektowanej infrastruktury

serwerów DNS

• znasz zasady zarządzania serwerami DNS w środowisku rozproszonym
• zapoznałeś się z głównymi pojęciami dotyczącymi usługi DNS (strefa, transfer strefy,

rekurencje, rekordy DNS)

Przed zainstalowaniem serwera DNS zidentyfikuj:

• Wymagania serwera DNS dotyczące sprzętu i magazynowania.
• Które komputery można od razu skonfigurować jako klientów DNS do korzystania
• z dynamicznego rozpoznawania nazw, a które należy skonfigurować ręcznie za pomocą

statycznych typów usług jak WINS lub w oparciu o pliki statycznego rozpoznawania nazw.

• Zaplanuj hierarchię systemu DNS oraz zasady replikacji danych na serwerach.

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się,
że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu
zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek
z wykładów.

Dodatkowe źródła informacji

1.

Praca zbiorowa, Windows Server 3003 Resources Kit – Organizacja usług sieciowych, Microsoft

Press 2004

W książce autorzy prezentują rozdział poświęcony planowaniu, wdrażaniu
i organizacji usług DHCP w przedsiębiorstwie

2.

Praca zbiorowa, Podręcznik administratora Windows Server 2008, Microsoft, 2008

Na Praktyczny poradnik instalacji i konfiguracji serwerów Windows Server 2008

3.

Douglas E. Comer, Sieci komputerowe TCP/IP. Zasady, protokóły i architektura, Wydawnictwa

Naukowo-Techniczne, 1997

Bardzo dobra pozycja dotycząca działania sieci komputerowych.

4. http://technet2.microsoft.com/WindowsServer/pl/

Zbiór artykułów poświęconych usłudze DNS na platformie Windows Server

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 16/19

Laboratorium podstawowe

Problem 1 (czas realizacji 20 min)

Jako inżynier systemowy masz dokonać projektu konfiguracji usługi DNS dla testowego środowiska
wirtualnego na platformie Windows Server 2008. Założenia dla projektu usługi DNS w środowisku
testowym są następujące:

Rys. 6 Przykładowe środowisko testowe

Projektowane środowisko testowe musi umożliwić przetestowanie usług DNS uruchomionych na
komputerze Serwer DNS (Rys. 6). W ramach projektu musisz przyjąć założenia do replikacji partycji
głównej serwera DNS
Wyniki swojej analizy zapisz w poniższej tabeli.

Planowanie środowiska

Parametry

Konfiguracja

serwerów

infrastrukturalnych:
- FireWall
- Domain Controler
- Serwer DNS

IP: Maska: Brama:
IP: Maska: Brama:
IP: Maska: Brama:

Określ typ strefy przechowywanej
przez nowo zainstalowany serwer
DNS

Jak

powinna

wyglądać

strefa

wyszukiwania wstecznego?

Jakie rekordy DNS odpowiadają za
identyfikację kontrolera domeny

Jakie rekordy definiują serwer DNS
w przedsiębiorstwie

Jaką

nazwę

nosi

plik

.dns

odpowiadający za dane strefy

Określ sufix domeny DNS klientów.

Problem 2 (czas realizacji 25 min)

Przeprowadzić instalację serwera DNS na potrzeby środowiska testowego. Dokonać konfiguracji
stref zgodnie z wynikami uzyskanymi w zadaniu 1.
Procedura instalacji Serwera DNS na platformie Windows Server 2008:

Marek Pyka
ITA-108 Technologie sieciowe

Zadanie

Tok po

1.

Instalacja

serwera DNS

• Zal
• Z o
• W
• Zaz
• Po
• Kli
• Po

2.

Konfiguracja

serwera DNS

• Zal
• Z M
• Z le

Zo

• W

Ne

• Kli
• Wy
• W

Ne

• Wy

dla

• Na

Ne

• Kli

3.

Dodawanie

rekordów IPv4

• Dw

pa

• Kli

AA

• W
• W
• Po

Ad

4.

Dodawanie

rekordów IPv6
(opcjonalnie)

• Kli

AA

• W
• W
• Po

IP

5.

Dodanie

rekordy CNAME
dla witryny WWW

Klikną

(CN

• W
• W
• Zat

6.

Określenie

rekordu MX dla
serwera

• Kli

Exc

Rozpoznawanie nazw host

Strona 17/19

k postępowania

Zaloguj się na serwer ITA-SRV01.
Z okna Server Manager wybrać sekcję Roles, a tam
W kreatorze klikamy Next.
Zaznaczamy DNS Server i klikamy Next.
Po przeczytaniu wstępnych informacji klikamy Next
Klikamy Install, aby rozpocząć właściwą instalację.
Po zakończeniu procesu klikamy Close

Zaloguj się na serwer ITA-SRV01.
Z Menu Start z Administrative Tools uruchomić DN
Z lewego panelu wybrać ITA-SRV01, a następnie Fo
Zones.
W prawym panelu kliknąć prawym klawiszem my
New Zone..
Kliknąć Next
Wybrać typ dla strefy na Primary Zone i kliknąć Ne
W pole Zone Name wprowadzić nazwę domeny ita
Next
Wybrać Create new file with this file name aby utw
dla strefy i kliknąć Next
Na stronie Dynamic Update pozostawić wartość do
Next
Kliknąć Finish, aby zatwierdzić utworzenie nowej st

Dwukrotnie kliknąć na ikonie reprezentującej no
panelu
Kliknąć prawym klawiszem w prawym panelu i wy
AAAA).
W pole Name wprowadzić ITA-SRV01.
W pole IP Address wprowadzić 10.10.0.x
Powtórzyć powyższe kroki wprowadzając jako Nam
Address 10.0.0.y

Ile różnych typów rekordów można założyć
wszystkie możliwe rekordy do założenia?

Kliknąć prawym klawiszem w prawym panelu i wy
AAAA).
W pole Name wprowadzić ITA-SRV01.
W pole IP Address wprowadzić adres IPv6 serwera
Powtórzyć powyższe kroki wprowadzając jako Na
IP Address adres IPv6 serwera ITA-SRV02

iknąć prawym klawiszem myszy w prawym panelu

(CNAME).
W pole Alias Name wprowadzić WWW
W pole Fully qualified domain name wprowadzić
Zatwierdzić dodanie rekordu poprzez kliknięcie OK

Kliknąć prawym klawiszem myszy w prawym pane
Exchanger (MX).

Moduł VI

hostów przy użyciu systemu DNS

tam Add roles.

Next.

cję.

DNS Manager.

Forward Lookup

myszy i z menu wybrać

Next.

ita.local i kliknąć

tworzyć nowy plik

ć domyślną i kliknąć

ej strefy.

j nową strefę w prawym

i wybrać New Host (A or

Name ITA-SRV02 a jako IP

ożyć? Czy to na pewno

i wybrać New Host (A or

era ITA-SRV01.

Name ITA-SRV02 a jako

nelu i wybrać New Alias

zić ITA-SRV02.ita.local

OK.

anelu i wybrać New Mail

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 18/19

pocztowego

• Pole Host or child domain pozostawić puste aby zdefiniować dla

głównej domeny.

• W pole Fully qualified domain name wprowadzić ITA-SRV02.ita.local
• Pole Mail server priority pozostawić bez zmian.
• Kliknąć OK aby zatwierdzić rekord.

7.

Sprawdzenie

działania
konfiguracji

• Zalogować się na klienta ITA-CL01.
• Z wiersza polecenia sprawdzić działanie polecenia:

ping ita.local

ping ITA-SRV01.ita.local

ping ITA-SRV02.ita.local

ping www.ita.local

• Jeśli powyższe polecenia zadziałają oznacza to, iż serwer DNS działa

poprawnie

Laboratorium rozszerzone

Zadanie 1 (czas realizacji 15 min)

Przeprowadzić analizę komunikacji klienta usługi DNS z serwerem DNS w sieci LAN.
W celu realizacji tego zadania wykonaj następujące kroki:

• Wyczyść podręczną pamięć klienta DNS
• Zmień konfigurację protokołu IP tak aby wskazywał na zainstalowany serwer DNS.
• Włącz aplikację Microsoft Network Monitor 3.0 i skonfiguruj ją tak aby przechwytywała

wyłącznie ruch sieciowy protokołu DNS

• Włącz monitorowanie.
• Wykonaj szereg zapytań o adresy domenowe i IP różnych serwerów (użyj do tego znanych

Ci narzędzi analizy sieciowej tj. ping, nslookup itp.).

• Przerwij przechwytywanie pakietów i przejdź do ich analizy.

Czy potrafisz rozpoznać główne etapy przebiegu komunikacji protokołu DNS?

Zadanie 2 (czas realizacji 30 min)

Twoja organizacja na przełomie ostatnich 4 miesięcy uruchomiła zdalne lokalizacje na terenie
całego kraju. Zgodnie z polityką zarządu cała administracja systemami informatycznymi została
scentralizowana co spowodowało zredukowanie do zera ilości kadry administracyjnej w oddziałach.
Jako inżynier sieciowy otrzymałeś zadanie zaprojektowania tak infrastruktury aby w całej
organizacji zachować spójną przestrzeń nazw i konfiguracji parametrów.
Do dokonania projektu musisz uwzględnić następujące informacje:

• Zostały uruchomione cztery nowe oddziały zdalne
• Oddziały zdalne znajdują się w następujących miastach: Gdańsk; Gliwice; Poznań

i Wrocław.

• Łączność z centrala znajdującą się w Toruniu zapewniają 2 Mb łącza DSL.
• W każdym oddziale zdalnym pracuje około 80 pracowników.
• W każdym oddziale zdalnym mogą pojawić się handlowcy mobilni, których obecnie

w firmie jest zatrudnionych 53.

• Wszystkie komputery w oddziałach mają używać automatycznej konfiguracji adresów IP.
• Przepustowość łącza WAN jest wykorzystana w 70% przez aplikację finansowo księgową.
• W celu zapewnienia sprawnej komunikacji w każdym oddziale zdalnym został

zainstalowany serwer DNS.

Marek Pyka

Moduł VI

ITA-108 Technologie sieciowe

Rozpoznawanie nazw hostów przy użyciu systemu DNS

Strona 19/19

Przeprowadź projekt infrastruktury serwerów DNS umożliwiający sprawną replikację przestrzeni
nazw dla domeny ITA.local.
W celu weryfikacji przygotuj środowisko testowe jak na schemacie i przeprowadź testy
poprawności konfiguracji usługi DNS.
Jeżeli masz kłopoty z przygotowaniem zestawu testów poprawności konfiguracji usługi, poproś o
pomoc nauczyciela prowadzącego zajęcia.

Rys. 7 Środowisko testowe dla oddziałów zdalnych

Zadanie 3 (90 min)

Centrala przedsiębiorstwa znajduje się w Londynie. Pozostałe dwa biura oddziałów zdalnych
znajdują się w Warszawie i Brukseli. Każde z biur posiada własny serwer DNS, który przechowuje
kopię przestrzeni nazw dla domeny przedsiębiorstwa. Większość zmian w rekordach bazy DNS
wykonywana jest w centrali.
Analizując sprawność i wydajność obecnej konfiguracji sieci zauważyłeś następujące cechy:

1)

W standardowych warunkach klienci sieci w Warszawie i Brukseli rozwiązują nazwy

wykorzystując lokalne serwery DNS

2)

W sytuacji gdy serwery DNS w Warszawie i Brukseli działają wolno lub są niedostępne,

klienci kierują swoje zapytania do serwera w Londynie

3)

Serwer DNS w centrali jest zintegrowany z usługą Active Directory i ustawiony jest na

każdym kliencie jako główny

4)

Użytkownicy skarżą się, że nie zawsze mają dostęp do zasobów sieciowych, zwłaszcza po

zmianie konfiguracji rekordów w centrali

5)

Wyłącznie głównego serwera DNS powoduje wydłużony proces logowania do systemów

w całej organizacji, co znacznie utrudnia pracę użytkownikom i aplikacjom korzystającym
z usługi DNS

6)

Ostanie awarie serwera centralnego doprowadziły do poważnych przerw w realizacji

procesu biznesowego.

Zaprojektuj i wykonaj tak infrastrukturę DNS aby wszystkie zmiany dokonywane w centrali były
automatycznie replikowane do lokalnych serwerów DNS. Do wykonania tego zadania wykorzystaj:
Centralny serwer DNS
Lokalny serwer DNS

Zaprojektuj i skonfiguruj środowisko wydajnej i bezpiecznej replikacji danych usługi DNS.
W celu wdrożenia mechanizmów odporności na awarie dla usługi DNS w Londynie wykonaj
następujące czynności:
Zainstaluj usługę Failover Clustering
Skonfiguruj strefy oraz zasady replikacji dla serwera DNS w centrali.

ITA-108 Technologie sieciowe

Marek Pyka

Moduł VII

Wersja 1

Bezprzewodowe sieci komputerowe

Spis treści

Bezprzewodowe sieci komputerowe ................................................................................................... 1

Informacje o module .................................................................................. .......................................... 2

Przygotowanie teoretyczne ............................................................................ ..................................... 3

Przykładowy problem .................................................................................. ................................ 3

Podstawy teoretyczne.................................................................................. ................................ 3

Przykładowe rozwiązanie .............................................................................. ............................. 15

Porady praktyczne .................................................................................... ................................. 17

Uwagi dla studenta ................................................................................... ................................. 17

Dodatkowe źródła informacji........................................................................... .......................... 17

Laboratorium podstawowe .............................................................................. .................................. 19

Problem 1 (czas realizacji 45 min) ................................................................... ........................... 19

Problem 2 (czas realizacji 45 min) ................................................................... ........................... 21

Laboratorium rozszerzone ............................................................................. .................................... 22

Zadanie 1 (czas realizacji 45 min) ................................................................... ............................ 22

Zadanie 2 (czas realizacji 90 min) ................................................................... ............................ 24

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 2/24

Informacje o module

Opis modułu
W ramach niniejszego modułu zostaną omówione podstawowe aspekty
związane z sieciami bezprzewodowymi. Przedstawione zostaną standardy
sieci bezprzewodowych stosowanych obecnie w przedsiębiorstwach oraz
zasady projektowania i wdrażania tego typu technologii. Moduł ten porusza
również bardzo ważne aspekty związane z zagrożeniami bezpieczeństwa
informacji w sieciach komputerowych oraz zasadami im przeciwdziałania.

Cel modułu
Celem

modułu

jest

przedstawienie

zasad

funkcjonowania

bezprzewodowych sieci komputerowych oraz przybliżenie problematyki
bezpieczeństwa danych przesyłanych w tego rodzaju sieciach.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• wiedział, jakie typy sieci bezprzewodowych są wykorzystywane

obecnie

• potrafił zaimplementować obsługę sieci bezprzewodowych

w Windows Server 2008

• umiał dokonać analizy pakietów przesyłanych w sieciach WiFi
• potrafił zaprojektować i wdrożyć bezpieczną infrastrukturę sieci WiFi

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać podstawy działania sieci komputerowych
• rozumieć działanie urządzeń sieciowych
• być zaznajomionym z modelem referencyjnym ISO/OSI
• znać zasady pracy w środowisku Windows Server 2008

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 1 i 2.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 3/24

Przygotowanie teoretyczne

Przykładowy problem

Bezprzewodowe sieci komputerowe stanowią obecnie bardzo rozwijającą się dziedzinę technologii
komputerowych. Jak grzyby po deszczu pojawiają się wokół nas nowe punkty dostępowe, zarówno
prywatne jak i firmowe. W Twojej przyszłej pracy na pewno spotkasz się z problematyką ich
wdrażania i zabezpieczania. Zbudowanie infrastruktury sieciowej przedsiębiorstwa wykorzystującej
sieci bezprzewodowe stanowi dość poważne wyzwanie dla działów IT. Problemy z ich
implementacją pojawiają się prawie na każdym kroku, poczynając od planowania, pomiary zasięgu
po bezpieczeństwo włącznie. Pracując, jako administrator sieci będziesz zobligowany do
przeprowadzenia projektu wdrożenia sieci WiFi oraz zaplanowania mechanizmów zabezpieczeń dla
przesyłu danych wrażliwych. W projekcie niezbędnym będzie uwzględnienie przez Ciebie zmian,
jakie pojawią się w infrastrukturze serwerowej będącej stykiem sieci bezprzewodowych z siecią
przewodową LAN.

Podstawy teoretyczne

Sieci bezprzewodowe WLAN 802.11x zdobywają obecnie dużą popularność dzięki łatwej instalacji
i prostej implementacji. Z punktu widzenia użytkownika, funkcjonują i działają tak samo, jak lokalne
sieci Ethernet ze współdzielonym medium. Jednakże należy być świadomym, iż wdrażanie sieci
bezprzewodowych nie jest łatwe, gdyż wyzwania, jakie stawia niekontrolowany nośnik przed
administratorami są znaczne.

Przegląd topologii sieci WLAN

Sieci 802.11 są bardzo elastyczne pod względem projektu i implementacji. Administratorzy sieci
mogą wybrać jeden z trzech typów sieci WLAN w swojej infrastrukturze:

• IBSS
• BSS
• ESS

Zbiór usług

Zbiór usług (ang. Service Set) to logiczne zgrupowanie urządzeń. Sieci WLAN umożliwiają
użytkownikom dostęp do sieci przez rozgłaszanie sygnału za pomocą częstotliwości radiowych, co
powoduje, że stacja odbiorcza może znajdować się w zasięgu wielu nadajników. Który z nich
zostanie wykorzystany do świadczenia usług, zależy wyłącznie od konfiguracji preferencji na
kliencie. Najczęściej wybór ten jest realizowany na podstawie identyfikatora SSID (ang. Service Set
Identifier), który jest domyślnie wysyłany przez wszystkie nadajniki.

IBSS

Sieć IBSS (ang. Independent Basic Service Set) jest to grupa stacji wykorzystujących technologię
802.11x w celu bezpośredniego połączenia. Sieci te nazywane są również sieciami tymczasowymi
(ang. Ad-Hoc Network), ponieważ działają one jak podstawowe sieci równorzędne (peer-to-peer).
Na Rys. 2 została przedstawiona uproszczona sieć IBSS.

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 4/24

Rys. 2 Sieć typu Ad-hoc

BSS

Sieć BSS (ang. Basic Service Set) to grupa stacji 802.11x komunikujących się ze sobą nawzajem.
W celu zapewnienia komunikacji pomiędzy nimi konieczne jest wykorzystanie wyspecjalizowanej
stacji zwanej punktem dostępu (ang. Access Point). Access Point jest centralnym punktem
komunikacyjnym dla wszystkich stacji należących do sieci BSS. Każda transmisja pomiędzy stacjami
musi odbywać się za pośrednictwem punktu dostępu, który odpowiada za przekazywanie ramek
odbiorcom. Punkt dostępu często wyposażony jest w port typu uplink, umożliwiający połączenie
sieci bezprzewodowej z siecią kablową. Z uwagi na tą funkcjonalność sieć BSS nazywana jest
również siecią strukturalną (ang. infrastructural). Na Rys. 3 przedstawiono typową sieć BSS.

Rys. 3 Sieć typu infrastructural

ESS

Sieci strukturalne można grupować za pomocą łączy typu uplink. W świecie standardów 802.11
interfejs typu uplink łączy sieć BSS z systemem dystrybucyjnym (DS). Zbiór sieci BSS połączonych
przez system dystrybucyjny nazywany siecią ESS (ang. Extended Service Set). Na Rys. 4 pokazano
praktyczną implementację sieci ESS. Należy pamiętać, że łącze typu uplink do systemu
dystrybucyjnego nie musi być połączeniem kablowym. Specyfikacja 802.11 pozwala na
zastosowanie również połączeń radiowych (choć jest to rzadko wykorzystywane).

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 5/24

Rys. 4 Sieć hybrydowa ESS

Mechanizm dostępu do medium 802.11

W module 1 wspomniany został mechanizm CSMA/CD (ang. Carrier Sense Multiple Access with
Collision Detection), którego zadaniem było wykrywanie kolizji w sieciach kablowych Ethernet.
Oparte na standardzie 802.3 sieci WLAN używają podobnego mechanizmu o nazwie CSMA/CA
(ang. Carrier Sense Multiple Access with Collision Avoidance). Mechanizm ten funkcjonuje na
zasadzie „słuchaj zanim nadasz” (ang. Listen Before Talk, LBT), stacja nadawcza przed wysłaniem
informacji bada stan nośnika i przed rozpoczęciem nadawania czeka, aż kanał będzie dostępny.
W porównaniu do CSMA/CD ten mechanizm jest bardziej restrykcyjny, gdyż każdy nadajnik musi
poinformować jak długo będzie trwała transmisja, co uniemożliwia transmisje danych przez inne
nadajniki w tym czasie.

Standardy sieci bezprzewodowych

802.11

Podstawową technologią opisaną w standardzie 802.11 jest DSSS (ang. Direct Sequence Spread
Spectrum). Technologia DSSS dotyczy urządzeń bezprzewodowych pracujących w zakresie szybkości
od 1 do 2 Mb/s. System używający technologii DSSS może pracować z szybkością do 11 Mb/s, nie
będzie jednak uważany za zgodny ze standardem, jeśli szybkość przekracza 2 Mb/s.

802.11b

Kolejnym zatwierdzonym standardem był standard 802.11b, w którym prędkość transmisji
zwiększono do 11 Mb/s. Standard 802.11b jest nazywany również standardem Wi-Fi lub
standardem dla sieci bezprzewodowych o dużej szybkości i dotyczy systemów DSSS, które pracują
z szybkością 1, 2, 5,5 i 11 Mb/s. Wszystkie systemy 802.11b są zgodne wstecz, gdyż obsługują
również system 802.11 dla szybkości 1 i 2 Mb/s, lecz tylko w przypadku technologii DSSS.
Urządzenia 802.11b uzyskują wyższe szybkości przesyłania danych dzięki zastosowaniu innej
techniki kodowania niż w przypadku 802.11, umożliwiając przesłanie większej ilości danych w tej
samej ramce czasowej.

802.11a

Standard 802.11a dotyczy urządzeń sieci WLAN pracujących w paśmie transmisyjnym 5 GHz. Użycie
pasma 5 GHz uniemożliwia współdziałanie z urządzeniami standardu 802.11b, ponieważ pracują
one w paśmie 2,4 GHz. Urządzenia 802.11a są w stanie dostarczyć dane z szybkością 54 Mb/s,
a przy zastosowaniu technologii zwanej „podwajaniem szybkości” uzyskano szybkość 108 Mb/s.
W środowisku produkcyjnym bardziej typową szybkością jest 20-26 Mb/s.

802.11g

Standard 802.11g pracuje podobnie jak 802.11b na częstotliwości 2,4 GHz, ale pozwala na transfer
z prędkością 54 Mb/s. Jest on całkowicie zgodny w dół ze standardem 802.11b, jednak

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 6/24

wykorzystanie starszych urządzeń powoduje w praktyce redukcję prędkości do 11 Mb/s. Wielu
producentów wprowadziło w swoich urządzeniach opcję Super G, pozwalającą na łączenie pasma
kilku kanałów w jedno. Dzięki wykorzystaniu Super G udało się osiągnąć prędkość 108 Mb/s.
Dodatkowo poprawiono algorytmy zarządzania ruchem pakietów radiowych, co poprawiło
sprawność protokołu. Niestety nie wszystkie urządzenia sieciowe pozwalają na pełne wykorzystanie
tych możliwości.

802.11n

Standard 802.11n obejmuje rozległe sieci bezprzewodowe. Sieci tego typu mogą pracować
z prędkościami 100, 250 i 540 Mb/s. Do tego celu wykorzystano technologię MIMO (ang. Multiple
Input Multiple Output), wykorzystującą wiele anten do nadawania/odbioru sygnału, czyli sygnał jest
nadawany z kilku źródeł i odbierany przez kilka odbiorników (obecnie 2x2). Ponadto urządzenia
802.11n potrafią wykorzystywać wiele kanałów transmisyjnych do stworzenia jednego połączenia,
co teoretycznie dodatkowo podwaja dostępną prędkość transmisji. Przepustowość, z nadmiarem
kodowania przy wykorzystaniu wszystkich anten, sieci 802.11n sięga do 300 Mb/s. Natomiast
dostępna dla użytkownika prędkość transmisji osiąga co najmniej 100Mb/s, czyli tyle, ile Fast
Ethernet.

Typy ramek 802.11

Po ustanowieniu połączenia z siecią WLAN, węzeł przesyła ramki w taki sam sposób, jak w każdej
innej sieci 802.x. Jednakże sieci WLAN nie używa się ramek standardu 802.3. Z tego względu
określenie bezprzewodowa sieć Ethernet jest mylące. Istnieją trzy typy ramek:

• sterujące:

• żądanie wysłania (RTS)
• gotowość do nadawania
• potwierdzenie

• zarządzające:

• żądanie przypisania
• odpowiedź przypisania
• żądanie próbkowania
• odpowiedź próbkowania
• sygnał nawigacyjny
• uwierzytelnienie

• danych

Należy pamiętać, że tylko ramki danych są podobne do ramek 802.3. Rozmiar danych użytecznych
w ramkach bezprzewodowych i ramkach 802.3 wynosi 1500 bajtów, jednakże ramka sieci Ethernet
nie może przekroczyć rozmiaru 1518 bajtów, podczas gdy ramki sieci bezprzewodowej mogą mieć
rozmiar do 2346 bajtów. Zazwyczaj rozmiar ramki WLAN będzie ograniczony do 1518 bajtów,
ponieważ sieć bezprzewodowa jest najczęściej podłączona do kablowej sieci Ethernet.

Fragmentacja ramki 802.11

Fragmentacja ramki to funkcja warstwy MAC, której celem jest zwiększenie niezawodności
transmisji ramki przez bezprzewodowy nośnik. Mechanizm polega na rozbijaniu ramki na mniejsze
fragmenty przesyłane osobno. Taki zabieg zwiększa prawdopodobieństwo pomyślnej transmisji
ramki przez mało stabilny nośnik bezprzewodowy. Podczas transmisji każdy fragment ramki jest
potwierdzany z osobna, co zmniejsza wielkość retransmitowanych danych w przypadku kolizji.

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 7/24

Rys. 5 Fragmentacja ramki 802.11

Zadaniem fragmentacji ramek jest zwiększenie niezawodności transmisji, jednakże trzeba
pamiętać, że zwiększa się obciążenie protokołu MAC 802.11 poprzez większą ilość potwierdzeń.
Fragmentacja jest więc kompromisem pomiędzy niezawodnością, a przeciążaniem medium.

Bezpieczeństwo sieci bezprzewodowych

Typy uwierzytelnienia i przypisania

Uwierzytelnianie w sieci WLAN następuje w warstwie 2. Jest to proces uwierzytelniania urządzenia,
a nie użytkownika. To bardzo ważne zagadnienie, o którym należy pamiętać podczas rozpatrywania
bezpieczeństwa sieci WLAN, rozwiązywania problemów oraz ogólnego zarządzania.
Uwierzytelnianie może być wyłączone, tak jak w przypadku nowego punktu dostępu i karty
sieciowej używających domyślnych konfiguracji. Klient wysyła ramkę żądania uwierzytelnienia do
punktu dostępu, gdzie ramka zostaje zaakceptowana lub odrzucona. Klient jest powiadamiany
o wyniku za pomocą ramki odpowiedzi uwierzytelniania. Punkt dostępu może być również
skonfigurowany do przekazywania zadania uwierzytelniania do specjalnego serwera, takiego jak
RADIUS, IAS lub NAP, który w tym celu może przeprowadzać bardziej złożone procesy.
Przypisanie wykonywane po uwierzytelnieniu jest stanem, który umożliwia klientowi korzystanie
z usług punktu dostępu przy transmisji danych.
Rozróżniamy następujące typy uwierzytelniania i przypisania:

• Nieuwierzytelnione i nieprzypisane – węzeł jest odłączony od sieci i nie jest przypisany do

punktu dostępu.

• Uwierzytelnione i nieprzypisane – węzeł został uwierzytelniony w sieci, ale nie jest jeszcze

przypisany do punktu dostępu.

• Uwierzytelnione i przypisane – węzeł jest podłączony do sieci i może nadawać i odbierać

dane poprzez punkt dostępu.

Metody uwierzytelnienia

W zaleceniu IEEE 802.11 wymieniono dwa typy procesu uwierzytelniania:

• System otwarty – jest to standard otwartej łączności, w której jedynie identyfikator SSID

musi być zgodny. Może on być używany w środowisku zabezpieczonym lub
niezabezpieczonym, ale ryzyko podsłuchu na niskim poziomie w celu odkrycia identyfikatora
SSID sieci WLAN jest wysokie.

• Współdzielony klucz – proces oparty o szyfrowanie WEP, WPA lub EAP.

WEP

WEP (ang. Wired Equivalent Privacy) jest podstawowym mechanizmem zabezpieczeń danych
przesyłanych przez sieci bezprzewodowe. Zgodnie z założeniami tego standardu, zabezpieczenie
połączenia musi być na tym samym poziomie, jak w przypadku połączeń kablowych. Metoda ta
została zdefiniowana w standardzie 802.11 i jest dostępna jako opcja ochrony komunikacji
pomiędzy kartą sieciową a punktem dostępowym. WEP wykorzystuje algorytm RC4 z 40- lub
104-bitowym kluczem. Schemat działania algorytmu WEP został przedstawiony na Rys. 6.

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 8/24

Rys. 6 Fragmentacja ramki 802.11

W algorytmie tym tajny klucz algorytmu RC4 jest łączony ze zmiennym wektorem inicjującym (IV)
tworząc ciąg szyfrujący tekst jawny (M) oraz sumę kontrolną ICV (ang. Integrity Check Value).
W przypadku WEP jego bezpieczeństwo zależy głównie od wektora inicjującego, który niestety
przesyłany jest tekstem otwarty. Ze względu na podatność tej metody na ataki kryptograficzne, jest
ona akceptowalna wyłącznie dla użytkowników domowych.

WPA/WPA2

WPA (ang. Wifi Protected Access) jest następcą mechanizmu WEP i stanowi etap przejściowy dla
standardu IEEE 802.11i. Standard ten wprowadził szereg fundamentalnych zmian, na przykład
oddzielenie uwierzytelniania użytkowników od zapewniania integralności i poufności danych,
tworząc tym samym niezawodną i skalowalną architekturę bezpieczeństwa nadającą się tak samo
dobrze dla sieci domowych, jak dla dużych sieci korporacyjnych. Nowa architektura sieci
bezprzewodowych nosi nazwę Robust Security Network (RSN) i wykorzystuje uwierzytelnianie
z protokołem 802.1X, niezawodną dystrybucję klucza oraz nowe mechanizmy zapewniania
integralności i poufności. Nawiązanie bezpiecznego kontekstu komunikacji składa się z czterech faz
(patrz Rysunek 7):

• uzgodnienia polityki bezpieczeństwa
• uwierzytelniania 802.1X
• generowania i dystrybucji klucza
• zapewnienia integralności i poufności danych w ramach architektury RSNA

Rys. 7 Fazy działania protokołu 802.11i

WPA wykorzystuje protokoły Temporal Key Integrity Protocol (TKIP), 802.1x oraz
uwierzytelnienie EAP.
WPA dzieli się na:

• Enterprise – korzysta z serwera RADIUS, który przydziela różne klucze do każdego

użytkownika.

• Personal – nie dzieli kluczy na poszczególnych użytkowników, wszystkie podłączone stacje

wykorzystują jeden klucz dzielony.

Najważniejszą różnicą pomiędzy WPA a WPA2 jest używana metoda szyfrowania. Podczas, gdy
WPA w wersji pierwszej korzysta głównie z TKIP/RC4, WPA2 wykorzystuje CCMP/AES.

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 9/24

Pomimo tego, że znane są już ataki na algorytm WPA (polegające głównie na ataku słownikowym
na klucz), algorytm WPA stanowi jedyną alternatywę bezpieczeństwa dla starszych urządzeń
nieobsługujących WPA2. Z opisywanych powyżej algorytmów miano bezpiecznego może nosić
wyłącznie WPA2 z wykorzystaniem protokołów EAP i RADIUS opisanych poniżej.

IEEE 802.1x i EAP

Protokół uwierzytelniania IEEE 802.1X (znany też pod nazwą Port-Based Network Access Control)
został pierwotnie stworzony dla sieci przewodowych. Zapewnia on mechanizmy uwierzytelniania,
autoryzacji, dystrybucji klucza i kontroli dostępu użytkowników dołączających do sieci. Architektura
IEEE 802.1X obejmuje trzy podmioty funkcjonalne:

• klienta (ang. supplicant) dołączającego do sieci
• podmiot uwierzytelniający odpowiedzialny za kontrolę dostępu
• serwer uwierzytelniania podejmujący decyzje o autoryzacji

W sieciach bezprzewodowych za uwierzytelnianie odpowiada punkt dostępowy. Każdy fizyczny
port sieci (a w przypadku sieci bezprzewodowych – port wirtualny) dzielony jest na dwa porty
logiczne, razem składające się na obiekt dostępu do portu, czyli PAE (ang. Port Access Entity). PAE
uwierzytelniania jest zawsze otwarty i przepuszcza jego ramki, natomiast PAE usług jest otwierany
dopiero wtedy, gdy jest w stanie autoryzowanym – czyli po udanym uwierzytelnieniu – i tylko na
określony czas (domyślnie 3600 sekund). Decyzja o dopuszczeniu dostępu jest na ogół
podejmowana przez trzecią stronę komunikacji, czyli serwer uwierzytelniania, którym może być
zarówno osobny serwer RADIUS, jak i prosty proces działający w ramach punktu dostępowego (na
przykład w sieciach domowych). Standard 802.11i wprowadza w IEEE 802.1X drobne zmiany dla
potrzeb sieci bezprzewodowych, mające na celu zabezpieczenie przed kradzieżą tożsamości.
Wprowadzone zostało dodatkowe uwierzytelnianie wiadomości, które pozwala upewnić się, że
zarówno klient, jak i podmiot uwierzytelniający mają wyliczone tajne klucze i włączyli szyfrowanie
przed uzyskaniem dostępu do sieci.
Klient i podmiot uwierzytelniający komunikują się za pomocą protokołu opartego na EAP
(ang. Extensible Authentication Protocol), przy czym rola tego drugiego jest w zasadzie pasywna –
może on po prostu przekazywać wszystkie żądania uwierzytelnienia do serwera. EAP określa ogólne
zasady transportu różnego rodzaju metod uwierzytelniania i dopuszcza bardzo ograniczoną liczbę
komunikatów (

Request, Response, Success, Failure). Inne komunikaty zależą już od wybranej

metody uwierzytelnienia: EAP-TLS, EAP-TTLS, PEAP, Kerberos V5, EAP-SIM itd. Po zakończeniu tego
procesu obie strony (klient i serwer uwierzytelniający) mają własny, tajny klucz nadrzędny.
Komunikacja między podmiotem uwierzytelniającym a serwerem odbywa się poprzez protokół
EAPOL (ang. EAP Over LAN), stosowany w sieciach bezprzewodowych do przenoszenia danych EAP
w ramach protokołów wyższego poziomu (na przykład protokołu RADIUS).

Wdrażanie bezprzewodowych sieci LAN

Dogłębne zrozumienie działania protokołu 802.11, działania mobilnych węzłów oraz
bezpieczeństwa transmisji na poziomie MAC jest konieczne do poprawnego planowania i wdrażania
sieci WLAN w przedsiębiorstwie. Instalacja punktów dostępowych to proces o wiele bardziej
skomplikowany niż przygotowanie infrastruktury kablowej i montaż urządzenia pod sufitem.
Przed wykonaniem instalacji konieczne jest przeprowadzenie pomiarów zasięgu urządzeń
dostępowych w danej lokalizacji oraz wyznaczenie ilości urządzeń, jaką należy zakupić, aby
zapewnić użytkownikom odpowiedni poziom dostępu do sieci. Na tym etapie należy również
rozważyć typ aplikacji wykorzystywanych przez klientów, gdyż inne zapotrzebowanie na pasmo
będą miały aplikacje wykorzystujące ruch pakietowy (np. HTTP, SMTP), a inne aplikacje
strumieniowe (np. głosowe VoIP).

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 10/24

Planowanie instalacji sieci WLAN

Podczas wdrażania sieci WLAN stosuje się dwie ogólne metodologie:

• sieć zasięgowa
• sieć pojemnościowa

Zasięgowe sieci WLAN

Zasięgowa (ang. coverage-oriented) sieć WLAN jest zaprojektowana w taki sposób, aby zapewnić
jak największe pokrycie przy jak najmniejszej liczbie punktów dostępu.
Do cech charakterystycznych instalacji zasięgowej należą:

• Aplikacje pakietowe z niską prędkością transmisji pakietów, np. skanowanie kodów

kreskowych, zapytania bazodanowe.

• Niskie wymagania co do szerokości pasma, pozwalające na skalowanie do niższych prędkości

transmisji, takich jak 1 Mb/s i 2 Mb/s.

• Łatwość konserwacji z uwagi na niewielką ilość urządzeń.

Taki typ instalacji pozwala na korzystanie z sieci WLAN wielu użytkownikom przy zachowaniu
przyzwoitej wydajności. Instalacje takie spotyka się najczęściej w magazynach lub sklepach oraz w
małych i średnich oddziałach firm, gdzie zastępują kablowe sieci Ethernet.
Na Rys. 8 przedstawiono przykładowy plan piętra z instalacją sieci WLAN zorientowaną na zasięg.

Rys. 8 Sieć WLAN zorientowana na zasięg

Pojemnościowe sieci WLAN

Projekt pojemnościowej (ang. capacity-oriented) sieci WLAN ma zapewnić maksymalną
przepustowość i prędkość transmisji pakietów każdemu klientowi w sieci BSS. Rozmiary komórek
w sieciach pojemnościowych są mniejsze i wymagają większej gęstości punktów dostępowych.
Sieci

pojemnościowe

wykorzystywane

są

na

obszarach

o

następujących

cechach

charakterystycznych:

• Aplikacje wymagające dużej prędkości transmisji.
• Aplikacje wrażliwe na opóźnienia.
• Instalacja mniejszych podsieci lub wiele podsieci w jednym obszarze zasięgu.
• Duże zagęszczenie klientów.

Na Rys. 9 pokazano to samo piętro biurowca, ale z instalacją pojemnościową. Należy zwrócić
uwagę, że w przypadku instalacji pojemnościowej jest prawie dwa razy więcej punktów
dostępowych. Każdy punkt dostępowy z reguły zapewnia zasięg dla około 12 użytkowników.

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 11/24

Rys. 9 Sieć WLAN zorientowana na pojemność

Przejściowa instalacja punktów dostępu

Wiele instalacji sieci bezprzewodowych w przedsiębiorstwach zaczyna się od zapewnienia zasięgu
w salach konferencyjnych itp. W takiej sytuacji dostęp do tych sieci mają również użytkownicy
pracujący w ich pobliżu, natomiast w dalszej odległości już nie. Takie instalacje stanowią zaczątek
późniejszej rozbudowy, dlatego warto już na tym etapie przeprowadzić projekt, dokonać pomiarów
zasięgu i przygotować infrastrukturę dla punktów dostępowych. Na Rys. 10 przedstawiono
częściową instalację wraz z zaznaczeniem przyszłego rozmieszczenia punktów dostępowych.

Rys. 10 Sieć WLAN wraz z punktami przyszłej rozbudowy

Pomiary stanowiska

Każdy administrator sieci musi znać liczbę, lokalizację i konfigurację podlegających mu punktów
dostępowych. Zgodnie z informacjami podanymi powyżej, aby informacje te były miarodajne,
konieczne jest wcześniejsze ustalenie, czy infrastruktura WLAN będzie zorientowana na zasięg,
pojemność, czy też hybrydowa. Przeprowadzając fizyczne pomiary, administrator poznaje zasięg
każdego punktu dostępowego wymagany do pokrycia określonego obszaru lub zapewnienia
odpowiedniej wydajności. Podczas pomiarów należy też uwzględnić ilość klientów przypadających
na jeden punkt dostępu.

Narzędzia do pomiaru stanowiska

Aby poprawnie przeprowadzi pomiar środowiska, należy wykorzystać odpowiednie narzędzie
umożliwiające jego wykonanie:

• urządzenia klienckie, radio i antena, które będziemy wykorzystywali w sieci
• punkty dostępowe
• po dwa egzemplarze anten używanych w infrastrukturze
• narzędzia montażowe punktów dostępowych
• narzędzia pomiaru transmisji i identyfikacji urządzeń

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 12/24

Przeprowadzenie pomiarów

Po zebraniu wszystkich narzędzi, należy przeprowadzić pomiary infrastruktury. Poniżej znajdują się
pytania, na które należy odpowiedzieć podczas prowadzenia pomiarów:

• Gdzie znajdują się punkty dostępowe?
• Jak zostały zamontowane?
• W jaki sposób są połączone z siecią LAN?
• Gdzie należy zainstalować kable i punkty ujęcia energetycznego?
• Jakie anteny są używane, gdzie się znajdują i jak są zamontowane?
• Jak należy ustawić parametry konfiguracyjne, które wpływają na zasięg, takie jak moc

i prędkość transmisji danych?

• Jakich ustawień kanałów należy używać?

Urządzenia sieci WLAN

Punkt dostępu (Access Point)

Access Point zapewnia stacjom bezprzewodowym dostęp do zasobów sieci za pomocą
bezprzewodowego medium transmisyjnego (częstotliwości radiowe). Większość punktów
dostępowych może pracować w różnych trybach, które wcześniej realizowane były przez osobne
typy urządzeń.

Wzmacniak (Repeater)

Wzmacniaki mają za zadanie przedłużać zasięg sieci w przypadku gdy operować ona musi na dużym
obszarze, z zachowaniem spójnych parametrów konfiguracyjnych. Przypadek taki został
przedstawiony na Rys. 11, gdzie użytkownik Bob nie będąc w zasięg pracy punktu dostępu AP 2
musi otrzymywać dostęp do sieci przedsiębiorstwa.

Rys. 11 Wykorzystanie trybu repeater’a

W budowaniu tego typu sieci należy pamiętać, iż pomimo że repeater może być efektywnym
narzędziem zwiększającym zasięg sieci, zwiększa się też prawdopodobieństwo nakładania domen
rozgłoszeniowych.

Klienci uniwersalni i mosty grupy roboczej

Podczas zmian w infrastrukturze sieci LAN i wprowadzania sieci WLAN mogą pojawić się problemy
z kompatybilnością wszystkich urządzeń ze standardem 802.11. Taki problem może zaistnieć
zwłaszcza dla starszego typu urządzeń, które nie posiadają interfejsów dostępowych do WiFi. Jeżeli
problem ten dotyka istotne dla infrastruktury jednostki, to możemy je podłączyć przy użyciu
uniwersalnego klienta (ang. Universal Client) albo mostu dla grupy roboczej (ang. Workgroup
Bridge). Pojęcie klienta uniwersalnego dotyczy podłączenia pojedynczej jednostki, natomiast most
grupy roboczej dotyczy podsieci lub grupy urządzeń. Scenariusz wykorzystania tego typu urządzeń
został przedstawiony na Rys. 12.

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 13/24

Rys. 12 Zastosowanie mostu grupy uniwersalnej i klienta uniwersalnego

Mosty bezprzewodowe

Mosty

bezprzewodowe

rozszerzają

funkcjonalność

mostów

grup

uniwersalnych.

Ich

przeznaczeniem jest łączenie różnego rodzaju sieci komputerowych przy pomocy medium
bezprzewodowego. Najczęściej mosty bezprzewodowe wykorzystywane są do budowania sieci
outdoor, w których odległości pomiędzy punktami są znacznie większe niż w sieciach WLAN.
Przykład połączenia sieci przy pomocy mostów bezprzewodowych pokazano na Rys. 13.

Rys. 13 Sieć rozległa połączona bezprzewodowymi mostami

Jak widać na powyższym Rys., jeden z mostów przejmuje rolę punktu dostępowego, a pozostałe
mosty pracują w trybie klienta.

Narzędzia analizy sieci WLAN

Pozycjonowanie i analiza punktów dostępowych

Rynek dysponuje wieloma narzędziami do analizy sieci WLAN. W pierwszej kolejności zapoznamy
się z narzędziami umożliwiającymi analiz obecnej infrastruktury. Jako przykład chcielibyśmy
zaprezentować dwa darmowe narzędzia działające pod kontrolą Windows Vista 32/64 bit. Pierwsze
z nich to Inssider (do pobrania ze strony http://www.metageek.net/products/inssider/download),
narzędzie do pomiaru siły sygnałów transmitowanych przez punkty dostępu. Przykład zastosowania
narzędzia przedstawiony jest na Rys. 14.

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 14/24

Rys. 14 Analiza dostępności punktów dostępowych w infrastrukturze

Drugim bardzo przydatnym narzędziem jest Vistumbler (klon znanego i szanowanego programu
NetStumbler), który oprócz poszukiwania punktów dostępowych umożliwia ich pozycjonowanie
przy pomocy urządzeń GPS. Zrzut ekranu z programu został przedstawiony na Rys. 15.

Rys. 15 Pozycjonowanie punktów dostępowych za pomocą programu Vistumbler

Analiza pakietów sieci bezprzewodowych

Analizę pakietów przesyłanych w sieciach bezprzewodowych można przeprowadzić praktycznie
dowolnym analizatorem sieci wspierającym interfejsy bezprzewodowe. Przykładem takich
analizatorów może być WireShark, Microsoft Network Monitor czy WildPackets OmniPeek.
Przykład analizy pakietów sieci bezprzewodowej znajduje się na Rys. 16.

Marek Pyka
ITA-108 Technologie sieciowe

Rys. 16

Zarządzanie sieciami WLA

Systemy Windows Vista i
umożliwiający zarządzanie si
przykładowych poleceń netsh

• Połączenie do sieci bez

connect [[ssid=]na
interface=nazwa_in

• Rozłączanie z siecią be

disconnect interfa

• Włączenie lub wyłącze

set autoconfig ena

• Wyświetlanie listy dos

show networks [[in

• Wyświetlenie bieżącyc

show settings

Przedstawiony powyż
uzyskać korzystając z
pomocy netsh.chm zn

Podsumowanie

W rozdziale tym zostały prze
bezprzewodowych w przed
rozumieć, jakie etapy proje
mechanizmy zabezpieczeń m
i ochrony danych.

Przykładowe rozwiązanie

Jako inżynier systemowy
w przedsiębiorstwie, która
projektu należy uwzględnić n

• Sieć ma umożliwiać kli

Bezprze

Strona 15/24

16 Analiza pakietów sieci WiFi przy pomocy Network Monitora

LAN przy pomocy polecenia netsh

ta i Windows Server oferują bardzo rozbudow

ie sieciami bezprzewodowymi. Poniżej znajdują się p

etsh w instancji WLAN:

i bezprzewodowej:

nazwa_sieci_bezprzewodowej] name=nazwa_pr
interfejsu

ią bezprzewodową:

face="Wireless Network Connection"

ączenie usługi WLAN Autotuning na interfejsie siecio

nabled={yes|no} interface=nazwa_interfejs

dostępnych sieci dla komputera:

interface=]nazwa_interfejsu] [[mode=]{ssi

ących ustawień globalnych w sieciach WLAN:

wyżej zestaw poleceń stanowi wyłącznie przykład,

ąc z pomocy polecenia netsh i instancji WLAN lu

znajdującego się w materiałach studenckich.

przedstawione najważniejsze informacje związane z

rzedsiębiorstwie. Po zapoznaniu się z zawartością

rojektu są istotne dla prawidłowego wdrożenia s

eń można wykorzystać, aby wdrożyć silne mechan

anie

owy masz dokonać projektu wdrożenia si

óra będzie stanowiła integralną część obecnej in

nić następujące warunki:

ć klientom dostęp do sieci Internet i sieci wewnętrzn

Moduł VII

przewodowe sieci komputerowe

itora

dowany zestaw poleceń

się przykłady zastosowania

profilu

eciowym:

jsu

sid|bssid}]

ad, więcej poleceń można
N lub korzystając z pliku

e z funkcjonowaniem sieci

ością modułu powinieneś

ia sieci WLAN oraz jakie

chanizmy uwierzytelnienia

sieci bezprzewodowej
ej infrastruktury. Podczas

trznej przedsiębiorstwa.

Marek Pyka
ITA-108 Technologie sieciowe

• Dla sieci WLAN ma

przemieszczać bez utra

• Projektowana sieć ma
• Ma być zapewniona m

Realizując powyższe wymaga

• Schemat warstwy dost
• Schemat sieci pojemno
• Logiczną konfigurację j

i spójną konfigurację n

• Wybór mechanizmów

• filtrację adresów
• WPA/TKIP

Rys. 18

Powyższy zestaw rozwiązań
główne kierunki, w których
powyższe propozycje i przed
na poniższe pytania:

Czy potralifibyście wyk
Jaki mechanizm zabezp

Bezprze

Strona 16/24

ma zostać skonfigurowany roaming tak, aby k

utraty sygnału i konieczności zmiany parametrów do

ma być dostępna na piętrze trzecim budynku centra

a maksymalna wydajność sieci dla klientów.

Rys. 17 Przykładowy schemat warstwy dostępowej

agania można przyjąć:

dostępowej do sieci jak na Rys. 17.

mnościowej jak na Rys. 9.

cję jak na Rys. 18. Konfiguracja zakłada wykorzystan

ję na wszystkich urządzeniach.
ów bezpieczeństwa:

ów MAC

18 Przykładowa logiczna konfiguracja punktów dostępowych

zań stanowi wyłącznie wstęp do prawdziwego proje

rych należy się zwrócić podejmując się takiego

rzedyskutuj je z kolegami i koleżankami z grupy. Sp

wykazać słabe strony przedstawionego rozwiązania?

bezpieczeń byście zaproponowali?

Moduł VII

przewodowe sieci komputerowe

y klienci sieci mogli się

w dostępowych.

ntrali.

stanie jednego SSID

ych

rojektu, jednakże pokazuje

ego zadania. Przeanalizuj

Spróbujcie odpowiedzieć

nia?

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 17/24

Czy potrafilibyście naszkicować projekt warstwy fizycznej i logicznej dla sieci typu HOTSPOT?

Porady praktyczne

Uwagi ogólne

• Pamiętaj, że wdrażanie sieci WLAN zawsze wiąże się z ryzykiem wycieku danych lub

nieautoryzowanego dostępu do sieci.

• Zbudowanie bezpiecznej infrastruktury WLAN wiąże się z dużymi nakładami

administracyjnymi na utrzymanie infrastruktury 802.1x.

• Naucz się używać analizatorów sieciowych.
• Pamiętaj, że każdy punkt dostępowy pracuje jak koncentrator, dlatego podsłuch sieci jest

ułatwiony.

• Przygotuj procedurę dostępu do punktów dostępowych w sytuacji awarii sieci WLAN.
• Planując wdrożenie sieci WLAN staraj się wykorzystywać sieci pojemnościowe.
• Wykorzystanie anten kierunkowych może utrudnić podsłuch sieci i zwiększyć ich wydajność.

Dobór urządzeń

• Dobierając urządzenia rozważ miejsce ich instalacji oraz tryb, w jakim będą pracowały.
• Jeżeli to tylko możliwe, wybieraj jednego dostawcę urządzeń.
• Zaplanuj punkty styku urządzeń bezprzewodowych z siecią przewodową Ethernet.
• Wdróż mechanizmy kopii zapasowych konfiguracji urządzeń.

Bezpieczeństwo

• Stosuj najmocniejszy możliwy mechanizm ochrony dla sieci stykających się z miejscami

publicznymi.

• Jeżeli nie jest możliwe wdrażanie mechanizmów zabezpieczeń, stosuj kanały VPN

do ochrony poufnych informacji.

• W sieciach korporacyjnych wykorzystuj WPA2.
• Dostęp do sieci klientów bezprzewodowych kontroluj przy pomocy mechanizmów

kwarantanny np. NAP.

• Stosuj izolację IPSec dla domeny lub serwerów.

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium jeśli:

• potrafisz wyjaśnić różnice pomiędzy sieciami ESS, BSS i IBSS
• wiesz jak działają urządzenia sieci WLAN oraz w jakich trybach mogą pracować
• potrafisz wykorzystywać analizatory sieciowe do monitorowania ruchu WLAN
• znasz mechanizmy zabezpieczeń dla sieci WLAN
• zapoznałeś się z pojęciami przedstawionymi w module, takimi jak ESS, BSS, IBSS, Access

point, pojemnościowe sieci WLAN, zasięgowe sieci WLAN, WAP, WPA, EAP czy 802.1x

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.

Dodatkowe źródła informacji

1.

http://pl.wikipedia.org/wiki/Microsoft_Windows_Server_2008

Opis środowiska Windows Server 2008 oraz podstawowych ról serwerowych.

2.

http://pl.wikipedia.org/wiki/802.11

Zbiór informacji na temat standardów sieci WLAN.

3.

Karol Krysiak, Sieci komputerowe. Kompendium, Helion, 2003

Marek Pyka

Moduł VII

ITA-108 Technologie sieciowe

Bezprzewodowe sieci komputerowe

Strona 18/24

Bardzo dobry podręcznik ogólnej wiedzy o sieciach komputerowych.

4.

Mark Sportack, Sieci komputerowe. Księga eksperta, Helion, 2004

Książka przybliża podstawowe założenia sieci komputerowych, które powinny być znane
współczesnemu informatykowi. Krok po kroku wprowadzi Cię w problematykę sieci,
pozwalając na poznanie ich architektury i zrozumienie zasad działania.

5. Ireneusz Skop, Sieć bezprzewodowa WiFi, Helion, 2005

Zbiór ćwiczeń z zakresu budowania sieci komputerowych na urządzeniach marki D-Link.

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium podsta

Problem 1 (czas realizacj

Rozpoczynasz projekt mod
W pierwszej kolejności dec
gotowość platformy serwero
Rys. 19.

Ry

Przeprowadź konfigurację p
pomiędzy komputerami.
Zainstalować obsługę sieci be
Poniższe ćwiczenie wykonaj
Server 2008 podłączonym do

Poniższe ćwiczenie w
odpowiedniej konfigu
niniejszego ćwiczenia

Bazując na sprzętowym
z następującymi parametram

Zadanie

Tok

1.

Skonfiguruj

serwer DHCP

•
•

Bezprze

Strona 19/24

stawowe

acji 25 min)

odyfikacji infrastruktury i wdrożenia w niej sie

decydujesz się na zbudowanie środowiska testow

erowej do współpracy z siecią WLAN. Środowisko

Rys. 19 Środowisko testowe dla infrastruktury sieci WLAN

ję punktu dostępowego tak, aby zapewniał on be

ci bezprzewodowych na platformie Windows Server

onaj na serwerze ITA-SRV01 lub też na fizycznym

do sieci WLAN.

ie wymaga posiadania minimum jednego punkt

figuracji sprzętowej na komputerach w laborator

nia wymaga pracy na fizycznych komputerach.

m punkcie dostępowym przeprowadź jego

trami:

Tok postępowania

Poniższe przykłady pochodzą z menu konfig
dostępowego firmy Linksys, jednakże opcje o

w każdym tego typu urządzeniu.

Zdefiniuj adres serwera DHCP jako 192.168.1.1
Zakres

przydzielanych

adresów

ustal

na

192.168.1.115

Moduł VII

przewodowe sieci komputerowe

j sieci bezprzewodowych.

towego potwierdzającego

isko testowe zbuduj jak na

n bezpieczną komunikację

rver 2008.

ym komputerze Windows

unktu dostępowego oraz
atorium. Przeprowadzenie

o konfigurację zgodnie

nfiguracyjnego urządzenia

cje omawiane dostępne są

1.1/24

na

192.168.1.100

–

Marek Pyka
ITA-108 Technologie sieciowe

2.

Przeprowadź

podstawową
konfigurację sieci
WiFi

•
•
•

3.

Wprowadź

podstawową
konfigurację
zabezpieczeń dla
sieci WiFi

•
•

4.

Wprowadź

filtrację adresów
MAC

•

5.

Zapisz

konfigurację

•
•
•

6.

Zainstaluj usługę

Wireless LAN
Service na
platformie Windows
Serwer 2008

•
•
•

•

•
•

7.

Zmodyfikuj

domyślne
uruchamianie usługi

•

•

Bezprze

Strona 20/24

Określ identyfikator sieci jako: ITAWIFI
Włącz rozgłaszanie SSID sieci
Jako kanał pracy wybierz 6

Wybierz tryb zabezpieczeń jako WEP
Ustal klucz dla WEP na następujący: A1B2C3D4E
W opcjach filtracji MAC wprowadź adresy fizy

biorących udział w niniejszym ćwiczeniu.

Zapisz zmiany konfiguracji.
Wykonaj restart urządzenia.
Dokonaj testu, czy żaden inny komputer nie ot

konfigurowanego punktu dostępowego.

Windows Server 2008 nie ma domyślnie w
bezprzewodowych ani zainstalowanych komp

Zaloguj się na komputerze ITA-SRV01 jako Admi
Uruchom narzędzie Server Manager.
W konsoli zarządzania serwerem wybierz Featu

Features.

Na liście dostępnych komponentów zaznacz W

naciśnij przycisk Next.

W oknie potwierdzenia instalacji kliknij Install.
Po zakończeniu instalacji i potwierdzeniu jej

przycisk Close.

Powróć do konsoli Server Manager i z drze

Configuration -> Services.

Odnajdź na liście usług Wireless LAN Services

Moduł VII

przewodowe sieci komputerowe

D4E5

fizyczne dla komputerów

e otrzymuje adresów IP z

ie włączonej obsługi sieci

omponentów.

dministrator.

eatures, a następnie Add

Wireless LAN Service i

jej poprawności wybierz

drzewa narzędzi wybierz

ices i zmień jej status na

Marek Pyka
ITA-108 Technologie sieciowe

Wireless LAN
Service

•

8.

Podłącz

Windows Server
2008 do sieci WLAN

•

•
•

9.

Zweryfikuj

konfigurację
połączenia WLAN

•

•
•

•

Problem 2 (czas realizacj

Przeprowadź analizę przechw
klienckim a usługami sieciow

• Przesyłanie pakietów p
• Połączenie się z serw

następnie zalogowanie
i odebranie poczty.

• Połączenie z serwerem

dostępny na uczelni).

• Przeglądanie stron inte

Zwróć szczególną u
sposób są przesyłan

Bezprze

Strona 21/24

Automatic.

Uruchomić usługę Wireless LAN Service.
Kliknij ikonę połączenia sieciowego w prawym

wybierz opcję Connect to Network.

Na liście dostępnych sieci odnajdź ITAWiFi i klikn
W oknie podawania klucza dostępowego wpro

naciśnij Connect.

Uruchom narzędzie Network and Sharing C

połączenia w prawym dolnym rogu.

Z menu zadań wybierz Manage Wireless Networ
Odnajdź na liście sieci ITAWiFi i z menu

Properties.

Przeglądając zakładki zweryfikuj poprawność

połączenia.

acji 20 min)

echwyconych pakietów przesyłanych w sieci WLAN

iowymi zgodnie z poniższymi scenariuszami:

ów ping pomiędzy klientem a punktem dostępowym

erwerem pocztowym publicznie dostępnym, np.

anie się do konta pocztowego (bez włączonego SSL

erem FTP i zalogowanie się użytkownika do serwera

.

internetowych – czy potrafisz powiedzieć których?

ą uwagę na zawartość pakietów. Spróbuj odnaleźć j

yłane. Jakie informacje są dla Ciebie najciekawsze?

Moduł VII

przewodowe sieci komputerowe

ym dolnym rogu ekranu i

kliknij Connect.
wprowadź A1B2C3D4E5 i

g Center klikając ikonę

twork.
nu podręcznego wybierz

ność opcji zabezpieczeń

AN pomiędzy komputerem

ym.

WP, Onet czy Gmail, a

SSL oraz z włączonym SSL)

wera (dowolny serwer FTP

?

eźć jakie dane i w jaki

e?

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium rozszer

W ramach sieci przedsiębio
dysponujesz jeszcze serwe
mechanizmów uwierzytelnie
ustawić mechanizm WEP lub
jest takie proste jak słyszałeś
Na te i inne pytania postan
infrastruktury pokazanej jak

Poniższe dane stano
odpowiedzialności z

Zadanie 1 (czas realizacji

Dokonać ataku na sieć WLAN

Założenia

Punkt dostępowy pełni rolę:

• routera
• serwera DHCP

Komputer kliencki użytkown
działa na platformie Wind
przejście karty sieciowej w tr
Urządzenia bezprzewodowe

• router dowolnego pro
• bezprzewodowa karta
• bezprzewodowa karta

do przeprowadzenia testów

• Airdump-ng – progra

całych pakietów lub
w formacie cap, a wek

• Aircrack-ng – program

można łamać zabezpie

Bezprze

Strona 22/24

szerzone

iębiorstwa została zbudowana infrastruktura siec

rwerem RADIUS, zdecydowałeś się na użycie

elnienia i zapewniania poufności danych. Na urz

lub WPA, który z nich wybrać? Czy rzeczywiście wła

ałeś, czy WPA wystarczy, by chronić dostęp do sieci?

stanowiłeś odpowiedzieć osobiście i przeprowadz

jak na Rys. 20.

Rys. 20 Anatomia ataku na sieć WLAN

tanowią wyłącznie informacje poglądowe. Autor nie

ści za wykorzystanie ich w innym celu niż dydaktyczn

acji 45 min)

LAN zabezpieczoną algorytmem WEP z filtracją adre

olę:

wnika działa na platformie Windows Vista Business

indows Server 2008 z zainstalowanymi sterowni

w tryb nasłuchu.

we użyte do przeprowadzenia testów:

producenta
arta sieciowa Intel PRO/Wireless 2200BG
arta sieciowa Atheros AR5005G

ów wykorzystano darmowe programy:

gram do przechwytywania pakietów. Daje możliw

lub tylko wektorów inicjujących (IV) WEP. Całe p

wektory inicjujące w formacie ivs. Zainstalowany na

gram do łamania zabezpieczeń. Po przechwyceniu

zpieczenia WEP oraz WPA. Zainstalowany na stacji n

Moduł VII

przewodowe sieci komputerowe

sieci WLAN. Jako, że nie

ie któregoś z prostszych

urządzeniach AP możesz

włamanie się do sieci WEP

ieci?

adzić próbę włamania do

nie ponosi

tycznym.

dresów MAC.

ness. Komputer napastnika

wnikami umożliwiającymi

ożliwość przechwytywania

łe pakiety zapisywane są

na stacji napastnika.

niu pakietów Airdump'em

cji napastnika.

Marek Pyka
ITA-108 Technologie sieciowe

Filtrowanie adresów MAC

Wśród metod zabezpieczeń
poprzez pozwolenie podłąc
sieciowych. Ominięcie tego
otwartym, także w sieciach
adresy MAC i przypisać swoje

WEP

Punkt dostępowy skonfigu
uwierzytelniania użytkown
skonfigurowano odpowiedni
Stacja kliencka użytkownika
rozpoczęto nasłuch i przy
inicjujących. Ilość przechwyc

Przechwycona liczba pakietó
klucza. Do łamania klucza uż
zapisanych w formacie szesn

Rys. 22 Wynik

Rys. 23 Wynik

Niestety zwiększanie
najmniejszego problem

Bezprze

Strona 23/24

AC

czeń sieci istnieje metoda polegająca na ogranicz

dłączenia się do sieci bezprzewodowej wybranym

go zabezpieczenia jest bardzo proste. Adresy MAC

iach z włączonym szyfrowaniem połączenia, tak, w

wojemu urządzeniu jeden z podsłuchanych adresów

figurowano do używania klucza WEP o długoś

owników i szyfrowania transmisji. Stację k

ednio do ustawień punktu dostępowego.

ika rozpoczęła połączenie z punktem dostępowym,

rzy pomocy programu Airdump-ng rozpoczęto gr

wyconych pakietów do badań wynosi 2.035.805.

Rys. 21 Działanie oprogramowania Airodump-ng

ietów zapisana została w formacie ivs, po czym pr

użyto programu Aircrack-ng. Poniżej wynik działan

esnastkowym i ASCI.

ynik działania oprogramowania Aircrack-ng dla kluczy w forma

ynik działania oprogramowania Aircrack-ng dla kluczy w formac

nie długości klucza nic tu nie zmienia. Łaman

blemu! Dowód, poniżej wynik działania Aircrack-ng n

Moduł VII

przewodowe sieci komputerowe

niczeniu dostępu do sieci

anym adresom MAC kart

MAC są wysyłane tekstem

k, więc można podsłuchać

sów MAC.

gości 40 bitów, w celu

kliencką użytkownika

ym, a na stacji napastnika

o gromadzenie wektorów

przystąpiono do łamania

ałania programu dla kluczy

rmacie Hex

rmacie ASCI

manie WEP nie stanowi

ng na 128 bit kluczu ASCI.

Marek Pyka
ITA-108 Technologie sieciowe

Rys. 24 Wynik dzia

Zadanie 2 (czas realizacji

Chcąc zabezpieczyć własną
mechanizmy zabezpieczeń.
RADIUS do autentykacji u
laboratoryjnym.

Warto zastanowić się
certyfikatach i Infrastru

Bezprze

Strona 24/24

działania oprogramowania Aircrack-ng dla 128 bit kluczy w for

acji 90 min)

asną sieć WLAN przed atakami osób trzecich

ń. Przeprowadź projekt infrastruktury sieci WLAN w

ji użytkowników sieciowych. Projekt należy wd

się nad dodatkowymi mechanizmami zabezpi

strukturze Klucza Publicznego.

Moduł VII

przewodowe sieci komputerowe

formacie ASCI

ich należy wdrożyć silne

N wykorzystującej serwery

wdrożyć w środowisku

ezpieczeń bazujących na

ITA-108 Technologie sieciowe

Marek Pyka

Moduł VIII

Wersja 1

Serwer Aplikacji IIS 7.0

Spis treści

Serwer Aplikacji IIS 7.0 ......................................................................................................................... 1

Informacje o module ............................................................................................................................ 2

Przygotowanie teoretyczne ................................................................................................................. 3

Przykładowy problem .................................................................................................................. 3

Podstawy teoretyczne.................................................................................................................. 3

Usługi Internet Information Services (IIS) 7.0 .............................................................................. 3

Zasada działania serwera IIS 7.0 .................................................................................................. 4

Narzędzia zarządzania serwerem IIS 7.0 .................................................................................... 10

Bezpieczeństwo serwera IIS 7.0 ................................................................................................. 15

Integracja serwera IIS 7.0 z innymi usługami ............................................................................. 16

Podsumowanie .......................................................................................................................... 16

Przykładowe rozwiązanie ........................................................................................................... 17

Porady praktyczne ..................................................................................................................... 17

Uwagi dla studenta .................................................................................................................... 17

Dodatkowe źródła informacji..................................................................................................... 18

Laboratorium podstawowe ................................................................................................................ 19

Problem 1 (czas realizacji 25 min) .............................................................................................. 19

Laboratorium rozszerzone ................................................................................................................. 21

Zadanie 1 (czas realizacji 45 min) ............................................................................................... 21

Zadanie 2 (czas realizacji 45 min) ............................................................................................... 21

Zadanie 3 (czas realizacji 45 min) ............................................................................................... 22

Zadanie 4 (czas realizacji 45 min) ............................................................................................... 23

Po przeprowadzeniu konfiguracji bezpiecznych kanałów komunikacyjnych warto jest
przeprowadzić testy jak w poprzednim laboratorium. .............................................................. 23

Zadanie 5 (czas realizacji 45 min) ............................................................................................... 23

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 2/23

Informacje o module

Opis modułu
W tym module znajdziesz informacje dotyczące roli serwera aplikacyjnego
Internet Information Services 7.0 (IIS 7.0), jego implementacji w systemie
Windows

Server

2008.

Zapoznasz

się

z

zasadami

instalacji

i konfiguracji serwera IIS 7.0 w środowisku sieciowym Windows Server
2008. Zawarte w module tym zadania umożliwią Ci zapoznanie się
z procesem planowania, wdrażania i utrzymywania aplikacji biznesowych na
serwerach aplikacyjnych wraz z mechanizmami równoważenia obciążenia
serwerów w środowisku produkcyjnym.

Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania serwera
aplikacji IIS 7.0 do planowania, budowania i wdrażania rozwiązań
aplikacyjnych opartych na serwerach WWW.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• wiedział, jaką rolę w sieci przedsiębiorstwa pełni serwer aplikacji
• potrafił zainstalować, skonfigurować i zarządzać rolą serwera IIS 7.0
• rozumiał

potrzebę

planowania

infrastruktury

dla

potrzeb

wielodostępnych aplikacji Web.

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać podstawy budowy stron html/ASP
• rozumieć problematykę bezpiecznego dostępu do zasobów w sieci

Internet

• rozumieć

rolę

i

przeznaczenie

serwerów

WWW/FTP

w przedsiębiorstwach

• znać zasady pracy w środowisku Windows Server 2008

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 5 i 6 tego kursu.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 3/23

Przygotowanie teoretyczne

Przykładowy problem

Wymagania dotyczące aplikacji biznesowych stale rosną, dlatego też działy IT przedsiębiorstw
muszą przeznaczać coraz więcej zasobów na ich potrzebę. Przykładem tego typu aplikacji są
systemy CRM, bez których obecnie nie można sobie wyobrazić pracy handlowców. Znaczna część
tych systemów potrzebuje do wydajnego działania dość rozbudowanej infrastruktury wyposażonej
w serwery bazodanowe i serwery aplikacyjne. Pracując, jako administrator możesz spotkać się
z problemem zaplanowania infrastruktury IT na potrzeby aplikacji biznesowych różnego rodzaju. To
do Ciebie może należeć decydujący głos o wyborze rozwiązania i analiza kosztów związanych
z wdrożeniem. Najpopularniejsze obecnie są systemy wykorzystujące oprogramowanie cienkiego
klienta działające na przeglądarce internetowej. Do zbudowania tego typu rozwiązania będziesz
potrzebował wydajnej, elastycznej i bezpiecznej platformy aplikacyjnej. Jednym z przykładów
platform tego rodzaju jest Internet Information Server 7, 0 zaimplementowany w Microsoft
Windows Server 2008. Twój kierownik działu IT zleca Ci przygotowanie projektu wdrożenia
infrastruktury serwera aplikacyjnego IIS 7.0 wraz z zaplanowaniem mechanizmów odporności na
awarie i równoważenia obciążenia serwera. Projektując taką infrastrukturę powinieneś uwzględnić
potrzeby handlowców, dostęp zdalny, interfejs WWW, łatwość zarządzania równoważeniem
obciążenia serwera.

Podstawy teoretyczne

System Microsoft Windows Server 2008 zapewnia bezpieczną i łatwą w zarządzaniu platformę do
tworzenia oraz niezawodnego udostępniania aplikacji i usług z serwera lub przez sieć Web. Wśród
nowych funkcji znajdują się: uproszczone zarządzanie aplikacjami i usługami, szybsze wdrażanie,
większe bezpieczeństwo oraz ulepszenia dotyczące wydajności i rozszerzalności. System Windows
Server 2008 zapewnia wymienione ulepszenia, a jednocześnie daje administratorom lepszą
kontrolę i wgląd w to, jak aplikacje i usługi korzystają z głównych zasobów systemu operacyjnego.

Usługi Internet Information Services (IIS) 7.0

System Windows Server 2008 zapewnia ujednoliconą platformę do publikowania w sieci Web,
która integruje usługi Internet Information Services 7.0 (IIS 7.0), ASP.NET, architekturę Windows
Communication Foundation oraz usługi Microsoft Windows SharePoint® Services. Usługi IIS 7.0 to
główne usprawnienie istniejącego serwera sieci Web. Odgrywają one szczególną rolę
w integracji technologii platformy aplikacyjnej. Główne korzyści płynące z zastosowania usług IIS
7.0 to ulepszone funkcje administrowania oraz zarządzania, zwiększone bezpieczeństwo oraz
zredukowane koszty obsługi. Funkcje te pomagają stworzyć ujednoliconą platformę, która
dostarcza pojedynczy i jednolity model wdrażania i administrowania dla rozwiązań sieci Web.
Internet Information Services 7.0 (IIS7) jest serwerem umożliwiający administrowanie, zarządzanie
i konfigurowanie różnych funkcji związanych z udostępnianiem zasobów sieciowych, takich jak
dodawanie i usuwanie witryn, zarządzanie aplikacjami internetowymi, serwerami FTP itp. Z punktu
widzenia firmy wykorzystującej aplikacje biznesowe typu Web, wymagania odnośnie stabilności,
niezawodności i centralizacji zarządzania są najistotniejsze.
Platforma webowa IIS 7.0 charakteryzuje się następującą funkcjonalnością:

• Architektura modularna, rozszerzalność - Główny serwer Web usług IIS 7.0 zawiera kilka

zasadniczych zmian w porównaniu z usługami IIS 6.0. We wcześniejszych wersjach usług IIS
wszystkie zestawy funkcji były wbudowane. W przypadku usług IIS 7.0 zostały one
przystosowane do ponad 40 oddzielnych modułów. Tylko połowa z nich zainstalowana jest
domyślnie, a administratorzy mogą wybiórczo instalować lub usuwać dowolne moduły
funkcyjne.

• Wprowadzono również zmiany w przetwarzaniu. Zarówno kody macierzyste,

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 4/23

jak i zarządzane, przetwarzane są przez pojedynczy potok żądań. Nowy proces roboczy jądra
sieci Web zapewnia również dostęp do wszystkich zdarzeń dotyczących powiadomień
w potoku żądań. Poziom integracji pozwala na użycie istniejących zbiorów funkcji ASP.NET
(takich jak uwierzytelnianie oparte na formularzach lub autoryzacja URL) do wszystkich
rodzajów zawartości sieci Web. Dzięki tworzeniu zarządzanych modułów kodu, zmiany te
pozwalają znacznie zredukować powierzchnię narażoną na atak, ponieważ żadne
niepotrzebne oprogramowanie nie jest uruchomione. Zapewniają również większą
rozszerzalność oraz lepszą obsługę rozszerzania głównych zbiorów funkcji usług IIS 7.0.

• Rozszerzony interfejs użytkownika - Zmiana sposobu prezentacji obiektów z zakładek na

ikony. Zarządzanie za pomocą aplikacji wywoływanych z linii poleceń: APPCMD, Powershell.
Konsola IIS 7.0 Manager umożliwia delegowanie kontroli i dostęp tylko do konkretnych
obiektów, pozwala to finalnie przypisywać administratorom różnego szczebla uprawnienia
do operacji, które powinni wykonywać

• Schemat i konfiguracja IIS przechowywana w czytelnym pliku XML- Usługi wprowadzają

znaczące ulepszenia w sposobie przechowywania danych konfiguracyjnych oraz dostępu do
nich poprzez rozproszoną konfigurację ustawień. Pozwala to administratorom określić
ustawienia konfiguracji usług IIS w plikach przechowywanych z kodem i zawartością. Dzięki
określeniu ustawień konfiguracyjnych w pojedynczym pliku możliwe jest przeniesienie
obowiązków administracyjnych wybranych opcji witryn lub aplikacji sieci Web na inne oraz
użycie prostego wdrażania polecenia XCopy.

• Zwiększone bezpieczeństwo - W IIS 7.0. Możemy konfigurować autentykacje opartą na

formularzach webowych do dowolnej zawartości np.: HTML, ASP, PHP. Istotną zmianą wartą
podkreślenia jest możliwość definiowania kont lokalnych w IIS. Dzięki czemu nie ma potrzeby
uwierzytelniać użytkowników w oparciu o konta domenowe lub konta lokalne serwera.
Możemy zarządzać dostępem do obiektów z jednego miejsca przypisując prawa
użytkownikom domenowym, lokalnym systemowym i IIS’a

• Wbudowane narzędzia do analizy oraz śledzenia zdarzeń - IIS 7.0 zawiera moduły

ułatwiające diagnostykę problemów i zdarzeń. Wysoki poziom szczegółowości komunikatów
pozwala programistom szybko wyizolować i naprawić błąd. Zdarzenia możemy śledzić
podając typ błędu, wywołanie rozszerzenia pliku, czy przekazania na serwer webowy
określonego polecenia itp.

• Bezproblemowa i wydajna obsługa aplikacji webowych zawierających dowolną zawartość-

Obsługiwane są statyczne strony, PHP, ASP, ASP.NET i inne z możliwością „mieszania”
technologii. Związane jest to z nowym zestawem publicznych API używanych zamiast
standardowych ISAPI

• Nowy Serwer FTP dostępny poza dystrybucją IIS 7.0 - Najnowszą wersję serwera FTP można

pobrać ze strony www.iis.net. Serwer FTP zamieszczony w wersji instalacyjnej systemu
Windows 2008 jest produktem zgodnym z IIS 6.0.

Zasada działania serwera IIS 7.0

Internet Information Services (IIS) 7.0 dostarcza nową architekturę przetwarzania zapytań, opartą
na:

• Nowej usłudze Windows Process Activation Service (WAS), która umożliwia witrynom

internetowym wykorzystywanie innych protokołów niż HTTP i HTTPS

• Modułowej budowie silnika serwera WWW
• Nowy mechanizm dostępu do przetwarzanych zapytań, zintegrowany z potokami

przetwarzania zadań serwera IIS i ASP.NET

IIS 7.0 zawiera kilka komponentów zapewniających podstawowe funkcje dla aplikacji i serwera
Web. Każdy z komponentów jest odpowiedzialny za różne zadania, nasłuch żądań wysyłanych do
serwera, zarządzanie procesami i odczytywanie plików konfiguracyjnych. Komponenty te zawierają

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 5/23

optymalizowany protokół nasłuchujący HTTP.sys oraz usługi serwerowe takie jak World Wide Web
Publishing Service (WWW service) i Windows Process Activation Service (WAS).
Schemat działania serwera IIS 7.0 został przedstawiony na Rys. 2.

Rys 2. Schemat działania serwera IIS 7.0

Protokoły nasłuchujące

Zadaniem Protokołu nasłuchującego jest odbieranie specyficznych zapytań przesyłanych do
serwera, przekazanie ich do przetworzenia przez serwer IIS, a następnie odesłanie odpowiedzi do
składającego zapytanie. Przykładowo, kiedy przeglądarka klienta zapytuje o stronę internetową
Web, proces nasłuchujący, HTTP.sys, odbiera to zapytanie i przekazuje do przetworzenia przez
serwer IIS. Jeżeli zapytanie jest poprawnie przetworzone przez serwer HTTP.sys zwraca odpowiedź
do przeglądarki klienta w postaci strony HTML lub kodu aplikacji.
Domyślnie IIS 7.0 wykorzystuje HTTP.sys jako protokół nasłuchujący zarówno zapytań HTTP jak i
HTTPS. HTTP.sys został wprowadzony już w IIS 6.0 jako protokół nasłuchujący dla zapytań HTTP. W
implementacji HTTP.sys dla IIS 7.0 dodano wsparcie dla Secure Sockets Layer (SSL). Aby wspierać
usługi i aplikacje wykorzystujące inne protokoły niż HTTP i HTTPS, IIS 7.0 został wyposażony w
technologię Windows Communication Foundation (WCF). WCF posiada adaptery nasłuchujące,
które dostarczają funkcjonalności zarówno protokołów jak i adapterów nasłuchujących. Szerzej na
ten temat można przeczytać w dalszej części tego modułu lub też na witrynie MSDN pod hasłem
Windows Communications Foundation.

Hypertext Transfer Protocol Stack (HTTP.sys)

Protokół nasłuchu HTTP (HTTP listener) jest częścią podsystemu sieciowego Windows Serwer 2008
i jest zaimplementowany, jako sterownik urządzenia trybu jądra. HTTP.sys nasłuchuje zapytań HTTP
z sieci, przesyła je do przetworzenia przez IIS i zwraca odpowiedzi klientom.
Protokół ten zastąpił pracujący w trybie użytkownika Windows Sockets API (Winsock), który był
implementowany we wcześniejszych wersjach IIS.
HTTP.sys zapewnia następujące korzyści:

• Pamięć podręczna w trybie jądra. Zapytania kierowane do przechowywanych w pamięci

podręcznej odpowiedzi są realizowane bez przełączania się do trybu użytkownika

• Kolejkowanie zapytań w trybie jądra. Mniejsze prawdopodobieństwo przeciążenia serwera

gdyż zapytania są przesyłane przez jądro serwera. Jeżeli żaden proces roboczy nie jest
wstanie w danej chwili obsłużyć zapytania trafia ono do kolejki do czasu aż proces roboczy
będzie wstanie je obsłużyć

• Wstępne przetwarzanie zapytań i filtry bezpieczeństwa
• World Wide Web Publishing Service (WWW service)

W IIS 7.0 nastąpiła też bardzo istotna zmiana w funkcjonowaniu usług publikowania w sieci Web.
Funkcje, które w poprzednich wersjach pełniła usługa World Wide Web Publishing Service (WWW
Service) zostały obecnie rozdzielone na dwie usługi: WWW Services (w dokumentacji oznaczaną

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 6/23

również, jako W3SVC) oraz nową usługę Windows Process Activation Service (WAS). Obie usługi
działają w instancji konta LocalSystem w ramach tego samego procesu Svchost.exe i współdzielą te
same binaria.

Jak działa usługa WWW Service w IIS 7.0

Bardzo istotne zmiany nastąpiły w funkcjonowaniu usługi WWW Service. W IIS 6.0 usługa
ta odpowiadała za:

• Administracja i konfiguracja stosu HTTP
• Zarządzanie procesami
• Monitorowanie wydajności

Usługa WWW Services odpowiadała również za odczytywanie konfiguracji z metabazy IIS
i wykorzystywała te informacje do aktualizacji HTTP.sys. W IIS 7.0 usługa WWW service zmieniła
znacznie swój kontekst. Nie zarządza już procesami roboczymi, tak jak to miało miejsce w IIS 6.0.
Obecnie usługa ta pełni rolę adaptera dla procesu nasłuchującego HTTP.sys. Jako adapter nasłuchu
domyślnie jest odpowiedzialna za konfigurację HTTP.sys, aktualizację HTTP.sys po zmianach
konfiguracji i informowanie usługę WAS kiedy zapytanie znajdzie się w kolejce.

Windows Process Activation Service (WAS)

Usługa Windows Process Activation Service (WAS) zarządza pulami aplikacji, konfiguracją
i procesami roboczymi. Funkcjonalność ta była dotychczas zarezerwowana dla usługi WWW
Service, co zostało opisane poprzednim punkcie. Podejście to umożliwia wykorzystywanie tych
samych parametrów konfiguracji dla witryn opartych o protokół HTTP jak i inne protokoły.
Dodatkowo, jeżeli na serwerze IIS nie mają być obsługiwane witryny HTTP, można uruchomić WAS
bez instalacji usługi WWW Service. Na przykład, można zarządzań usługą Web poprzez adapter
nasłuchujący WCF taki jak NetTcpActivator, bez uruchamiania WWW Service i HTTP.sys. Więcej
informacji na temat WAS znajdziesz na witrynie MSDN.

Zarządzanie konfiguracją WAS

Podczas startu serwera usługa WAS odczytuje określone informacje z pliku ApplicationHost.config
i przekazuje je do adapterów nasłuchujących na serwerze. Adaptery te pełnią rolę kanałów
komunikacyjnych pomiędzy usługą WAS, a protokołem nasłuchu takim jak HTTP.sys. Kiedy adapter
otrzyma informacje konfiguracyjne przeprowadza konfigurację odpowiedniego protokołu nasłuchu
i przełącza się w tryb nasłuchu zapytań. W przypadku WCF, adapter zawiera w sobie funkcjonalność
protokołu nasłuchu. Na przykład adapter WCF taki jak NetTcpActivator, po przekonfigurowaniu
przez WAS rozpoczyna nasłuchiwanie protokołu net.tcp. Więcej informacji na temat adapterów
nasłuchujących WCF znajdziesz pod hasłem WAS Activation Architecture na witrynie MSDN.
Poniższa lista przedstawia typ informacji pobieranych przez WAS z konfiguracji serwera:

• Globalne informacje konfiguracyjne
• Informacje o konfiguracji protokołów HTTP i niezgodnych z HTTP protocols
• Konfigurację Puli Aplikacji takie jak informacje o kontach i procesach roboczych
• Konfiguracja Site
• Konfiguracja aplikacji, min. obsługiwane protokoły, pule aplikacji, do których należy

Jeżeli nastąpi zmiana w konfiguracji i modyfikacja pliku ApplicationHost.config, usługa WAS
otrzymuje powiadomienie o tym fakcie i aktualizuje adaptery nasłuchujące zgodnie z nowymi
parametrami.

Zarządzanie procesami roboczymi

Jak wspomniano wcześniej usługa WAS jest odpowiedzialna za zarządzanie pulami aplikacji
i procesami roboczymi zarówno dla protokołów obsługi zapytań HTTP jak i niezgodnymi z HTTP.
W chwili, gdy protokół nasłuchu odbierze zapytanie klienta, usługa WAS określa czy odpowiedni
proces roboczy jest uruchomiony. Jeżeli w puli aplikacji znajduje się proces roboczy obsługujący to

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 7/23

zapytanie to adapter przekazuje mu to zapytanie do przetworzenia. W przeciwnym przypadku
usługa WAS uruchamia proces roboczy na potrzeby przetworzenia tego zapytania.

Moduły IIS 7.0

IIS 7.0 wprowadził dość istotną zmianę w swojej architekturze w porównaniu z wcześniejszymi
wersjami. W celu zapewnienia maksymalnej stabilności i bezpieczeństwa serwer IIS 7.0 składa się z
rdzenia, jaki stanowi serwer WWW oraz około 40 modułów zwiększających jego funkcjonalność
i bezpieczeństwo. Wszystkie moduły mogą zostać podłączone lub odłączone w dowolnym
momencie. Na Rys. 3 przedstawiona jest architektura modułów dla serwera Web.

Rys. 3 Architektura modułowa IIS 7.0

Modułami serwera IIS nazywamy indywidualne funkcjonalności, które wykorzystuje serwer do
pełnienia swojej roli. Przykładem może być moduł autentykacji klientów lub moduł zarządzanie
pamięcią podręczną serwera IIS.
Nowe podejście do architektury wprowadza następujące zmiany w porównaniu ze wcześniejszymi
wersjami:

• Administrator ma kontrolę nad modułami, które mają być zainstalowane na serwerze
• Możliwe jest dokładne wyspecyfikowanie roli, jaką ma pełnić serwer w organizacji
• Zawsze możliwe jest używanie dodatkowych modułów, które zastąpią instancje

wprowadzając przy tym nową funkcjonalność.

Wprowadzenie takiego podejścia do architektury serwera znacznie podniosło jego bezpieczeństwo
i usprawniło administrację serwerem. Dzięki usunięciu niepotrzebnych modułów minimalizowana
jest przestrzeń potencjalnego ataku, zmniejszyło się zapotrzebowanie na zasoby fizyczne serwera
i zwiększyła się ogólna wydajność rozwiązania. Czynności administracyjne związane z utrzymaniem
serwera również zostały zredukowane w myśl zasady „Nie musisz aktualizować i zabezpieczać
modułów niewykorzystywanych w danej roli serwera”.

Moduły natywne

W niniejszej sekcji zostaną omówione natywne moduły serwera IIS 7.0 instalowane wraz rolą
serwera IIS na platformie Windows Server 2008. W razie potrzeby możliwe jest ich odinstalowanie
lub też zastąpienie innymi modułami.

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 8/23

Moduły HTTP

Część z modułów serwera IIS umożliwia realizację specyficznych zadań związanych
z przetwarzaniem zapytań dla Hypertext Transfer Protocol (HTTP). Moduły HTTP zawierają w sobie
funkcjonalności związane z odpowiadaniem na informacje i zapytania zawarte w nagłówkach
zapytań klienta, obsługą błędów protokołu http, przekserowaniem zapytań itp.

Moduły bezpieczeństwa

Część modułów IIS 7.0 została tak zaprojektowana, aby świadczyć usługi bezpieczeństwa w procesie
przetwarzania zapytań. Zostały też wydzielone specyficzne moduły dla każdego z schematów
uwierzytelniania zapewniające elastyczną konfigurację serwera w tej kwestii. W przypadku
budowania zaawansowanych aplikacji Web konieczne jest stosowanie innych mechanizmów
uwierzytelniania, dlatego też w sekcji bezpieczeństwo można znaleźć dedykowane moduły do
autoryzacji URL oraz filtrowania zapytań.

Moduły zarządzania zawartością

Część z dostępnych modułów serwera IIS 7.0 ma za zadanie zarządzanie zawartością
przetwarzanych zapytań. W modułach tych można odpleść takie, które zarządzają zapytaniami
dostępu do plików statycznych, zwracania domyślnej strony Kidy klient nie sprecyzuje treści,
wyświetlania zawartości katalogów itp. Poniżej zostały wyszczególnione główne moduły
zarządzania zawartością.

Moduły kompresji

IIS 7.0 został wyposażony w dwa moduły kompresji w potokach przetwarzanych zapytań.

Moduły pamięci podręcznej

Wśród dostępnych modułów serwera IIS znajdują się takie, których zadaniem jest zarządzanie
pamięcią podręczną dla przyjmowanych zapytań. Wykorzystanie tych modułów zwiększa wydajność
serwera IIS, witryn Web, aplikacji poprzez przechowywanie przetworzonych wcześniej informacji
w pamięci serwera i wykorzystywanie ich w sytuacjach ponawiania zapytań do tych samych
zasobów.

Moduły logowania zdarzeń i diagnozy zapytań

Zadaniem modułów logowania zdarzeń jest przekazywanie informacji o uruchomionych modułach
i ich stanie bezpośrednio do HTTP.sys. Moduły diagnostyczne natomiast badają stan i raportują
zdarzenia podczas przetwarzania zapytań.

Moduły zarządzające

Część z modułów IIS wspiera zintegrowane zarządzanie z procesami przetwarzania zapytań.

Moduły zarządzanego kodu

Dodatkowo do natywnych modułów serwera IIS 7.0 zostały dodane moduły zarządzanego kodu
zwiększające znacznie funkcjonalność IIS. Niektóre z modułów zarządzających, takie jak
UrlAuthorization, posiadają natywne moduły, jako alternatywne do modułów wspierających
zarządzanie.

Przetwarzanie zapytań na serwerze IIS 7.0

Nowy model przetwarzania zapytań w IIS 7.0 bazuje na bliskiej integracji mechanizmów IIS
i ASP.NET. W nowej architekturze zadania przetwarzania zapytań zostały rozdzielone na moduły
realizujące określone zadania.
Taki projekt zapewnia kilka korzyści w porównaniu z wcześniejszymi wersjami IIS. Po pierwsze
wszystkie typy plików mogą używać funkcjonalności dotychczas zarezerwowanych dla
zarządzanego kodu. Przykładowo, obecnie możliwe jest używanie autentykacji formularzy ASP.NET

Marek Pyka
ITA-108 Technologie sieciowe

i autoryzacji URL dla plików
i aplikacje.
Po drugie, tak zaprojekto
i ASP.NET. Przykładem tego
odwołuje się do odpowiedn
klienta. W poprzednich wer
przez serwer IIS jak i mechan
Trzecią korzyścią jest możliw
upraszcza administrację serw

Pule Aplikacji IIS 7.0

Pule aplikacji mają za zada
jednej aplikacji mógł doprow
Web. W przypadku IIS 7.0 je
6.0. Dodatkowo jednak zo
przetwarzane zapytania uzy
zintegrowany i tryb klasyczny

W IIS 6.0 tryb izolacji
poziomie serwera, co

Jednakże w IIS 7.0 tryb Inte
uwalnia serwer od poprzedn

Tryb Integracji puli aplikacji

Kiedy serwer pracuje w try
przetwarzania zapytań dla se
w puli aplikacji proces robo
zdarzenie wywołuje niezbęd
odpowiedzi.

Tryb klasyczny puli aplikacji

Kiedy pula aplikacji jest w try
Zapytania ASP.NET w pierw
a następnie są rutowane do
w środowisku uruchomienio
i wysyłana jest odpowiedź do
Ten tryb separacji serwera
niektórych etapów przetwa
serwera. Dodatkowo moduł
aplikacji, dla których nastąpił
IIS 7.0 posiada bardzo podo
przedstawiony proces przetw
Przetwarzanie zapytania p
zdarzeniami. Każde zrażenie
autentykacja użytkownika lu
wymagało dostępu do mo
AppDomain, w której mod
autentykacja klienta. Kiedy z
zwracana jest odpowiedź do

Strona 9/23

ików statycznych, ASP oraz innych typów wykorz

ktowane środowisko eliminuje duplikowanie fu

tego może być sytuacja, w której klient żąda mo

iedniego modułu autentykacji, który wykorzysta i

wersjach IIS to samo zapytanie klienta podlegało

hanizmy ASP.NET.

żliwość zarządzania wszystkimi modułami w jednym

serwerem Web.

adanie separowanie aplikacji i zapobieganie sytua
prowadzić do zatrzymania pracy innych aplikacji lu

.0 jest kontynuowany model izolacji oparty o proce

została wprowadzona możliwość definicji usta

uzyskują dostęp do zarządzanych zasobów. Wydzi

czny.
lacji procesów roboczych i tryb izolacji znany z IIS

, co uniemożliwia stosowanie obu trybów na t

Integracji i Klasyczny są implementowane na pozi

ednio opisanych ograniczeń.

aplikacji

trybie Integracji puli aplikacji można korzystać z

la serwera IIS i ASP.NET. W momencie odebrania zap

roboczy jest ono przetwarzane przez określony z

zbędny natywny moduł zarządzający dla procesu w

aplikacji

trybie klasycznym IIS 7.0 przetwarza zapytania jak

ierwszej kolejności są przesyłane do natywnego pr

e do biblioteki Aspnet_isapi.dll w celu przetworzen

eniowym. Na koniec zapytanie jest rzutowane z pow

ź do klienta.

era IIS i ASP.NET w przetwarzaniu zapytań po

etwarzania, co niekorzystnie wpływa na wydajn

duły zarządzania kodem są dostępne wyłącznie dla

tąpiło mapowanie zapytań przez bibliotekę aspnet_is

odobny proces przetwarzania zapytań HTTP jak IIS

zetwarzania zapytania dla IIS 7.0.

a przez proces roboczy przechodzi przez kilka
enie jest natywną częścią modułu przetwarzania za
ka lub dokonanie wpisu do logu. Jeżeli przetwarz

modułu zarządzającego, to natywny moduł Ma

moduł zarządzający będzie mógł wykonywać wy

dy zapytanie przejdzie przez wszystkie zdarzenia pod

ź do HTTP.sys.

Moduł VIII

Serwer aplikacji IIS 7.0

korzystywanych przez Site

funkcjonalności dla IIS

modyfikacji pliku, serwer

ta informacje z zapytania

ało autentykacji zarówno

dnym miejscu, co znacznie

ytuacjom, w których błąd
cji lub też całego serwera

rocesy robocze znany z IIS
ustawień, w jaki sposób

ydzielono dwa tryby: Tryb

IIS 5.0 są realizowane na

a tym samym serwerze.

poziomie puli aplikacji, co

ć z wspólnej architektury

zapytania przez pracujący

ny zestaw zdarzeń. Każde

su w celu wygenerowania

jak w trybie izolacji IIS 6.0.

o przetwarzania przez IIS,

rzenia zarządzanego kodu

powrotem do serwera IIS

powoduje duplikowanie

dajność i bezpieczeństwo

dla aplikacji ASP.NET lub

et_isapi.dll.

IIS 6.0. Na Rys. 4 został

ilka etapów nazywanych

a zapytań, jak na przykład

warzane zapytanie będzie
ManagedEngine stworzy

wymagane zadania np.
podstawowe na serwerze

Marek Pyka
ITA-108 Technologie sieciowe

Narzędzia zarządzania se

Narzędzia administracyjn

W wersji 7.0 serwera IIS od
serwerem:

• graficzny interfejs użyt
• narzędzie wiersza pole
• repozytorium ustawie

.NET Framework 2.0 (o

• edytor WMI provider

zgromadzone w repozy

• zarządzany interfejs M

co edytor WMI provide

Ponadto system Windows Se
administrowanie serwerem i
Z serwerem IIS 7.0 dostarcza
wszelkich ustawień konfigura
interfejs z silną kontrolą typ
WMI. Skrypty wiersza pole
poleceń AppCmd.exe.

Nowy menedżer IIS Manag

Nowe narzędzie administrac
serwerem sieci Web. Zape
informacji dotyczących diag
obsługuje zdalne administro
administrowanie oraz nie w
portów administracyjnych.

Strona 10/23

Rys 4. Przebieg procesu przetwarzania zapytań HTTP

serwerem IIS 7.0

cyjne

od nowa napisano następujące narzędzia administ

użytkownika IIS Manager

poleceń AppCmd.exe

wień konfiguracyjnych bazowane na podobnym re

.0 (obsługuje bezpośrednią edycję ustawień)

ider, którym można wygodnie odczytywać i mo

pozytorium konfiguracji

js Microsoft.Web.Administration wyświetlający te sa

vider.

s Server 2008 oferuje wtyczkę IIS 6.0 konsoli MMC

em i miejscami FTP.

rczany jest nowy edytor WMI provider poszerzający

iguracyjnych IIS oraz ASP.NET. Microsoft.Web.Admin

typów, który może być także użyty do odczytania

poleceń IIS 6.0 zostały zastąpione nowym, silnym

nager

tracyjne usług IIS 7.0, menedżer IIS Manager, pozwa

apewnia on obsługę ustawień konfiguracji, dany

diagnostyki czasu wykonywania. Nowy interfejs m

istrowanie przez HTTP, co pozwala na zintegrow

ie wymaga konfiguracji w zaporze sieciowej protok

Moduł VIII

Serwer aplikacji IIS 7.0

inistracyjne do zarządzania

repozytorium platformy

modyfikować ustawienia

e same informacje,

MC pozwalającą na zdalne

ający skryptowy dostęp do

ministration to zarządzany

nia danych przez skrypty

ilnym narzędziem wiersza

zwala wydajniej zarządzać

danych użytkownika oraz

s menedżera IIS Manager

growane lokalne i zdalne

otokołu DCOM ani innych

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 11/23

Rys. 5 Nowy ekran administracyjny usług IIS.

Menedżer IIS Manager pozwala również administratorom delegować kontrolę administratorską do
deweloperów lub właścicieli zawartości. Inne główne funkcje menedżera IIS Manager to, między
innymi:

• Rozbudowane możliwości rozszerzania infrastruktury, pozwalające na przyłączanie nowych

funkcji interfejsu użytkownika przy użyciu platformy .NET Framework;

• Obsługa poświadczeń delegowanego administrowania, zarówno systemu Windows,

Jak i innych systemów;

• Automatyczne pobieranie i instalacja nowych modułów interfejsu użytkownika do urządzenia

klienckiego;

• Zdalne administrowanie przez HTTP/SSL.

Nowe narzędzie wiersza poleceń, AppCmd.exe, również służy do zarządzania i administrowania
serwerami, witrynami oraz aplikacjami sieci Web. Interfejs wiersza polecenia upraszcza
administratorom powszechne zadania zarządzania serwerem sieci Web. Na przykład, polecenie
AppCmd.exe można wykorzystać do wyświetlenia listy żądań serwera sieci Web, które musiały
czekać dłużej niż 500 milisekund. Informacje te mogą zostać wykorzystane do szybkiego
rozwiązywania problemów związanych z aplikacjami o słabej wydajności. Produkt wyjściowy
polecenia AppCmd.exe może zostać przeniesiony do innych poleceń do dalszego przetwarzania.

Delegowanie uprawnień administracyjnych

Scentralizowany magazyn konfiguracji usług IIS 6, znany, jako baza meta danych, już nie istnieje.
Usługi IIS 7.0 zawierają nowy system delegowanych konfiguracji, oparty na hierarchii
rozproszonych

plików

konfiguracyjnych

XML.

Składa

się

ona

z

globalnego

pliku

applicationHost.config, który zawiera domyślne ustawienia konfiguracji serwera oraz rozproszone
pliki web.config wewnątrz struktury katalogu aplikacji. Są to te same pliki web.config, z których
korzysta struktura aplikacji ASP.NET do zdalnego przechowywania ustawień aplikacji. Pozwala to na
równoległe przechowywanie konfiguracji usług IIS oraz struktury ASP.NET, przy użyciu czystych
i głęboko ustrukturyzowanych dyrektyw XML. Zmiana ta zapewnia jeden magazyn konfiguracji dla
wszystkich ustawień konfiguracyjnych platformy sieci Web, do których dostęp istnieje przez
powszechny zestaw interfejsu API oraz które przechowywane są w jednolitym formacie.
System konfiguracji usług IIS 7.0 jest również w pełni rozszerzalny, tak więc deweloperzy mogą
rozszerzać magazyn konfiguracji, aby zawrzeć w nim dostosowaną konfigurację o takiej samej
wierności i priorytecie, co konfiguracja ustawień IIS. Dzięki rozproszonym plikom web.config,
aplikacje zawierają wymagane konfiguracje serwera wewnątrz własnej struktury katalogowej.
Upraszcza to znacznie wdrażanie, pozwalając na kopiowanie samodzielnych aplikacji do katalogu
aplikacji serwera docelowego i w ten sposób pozwala na natychmiastowe uruchomienie i działanie
tych aplikacji w wybranych ustawieniach.

Marek Pyka
ITA-108 Technologie sieciowe

Usługi IIS 7.0 przechowują pl
W pliku tym znajdują się dwi

• system.applicationHos
• system.webServer

Grupa sekcji system.applicat
oraz puli aplikacji. Grupa s
ustawień, w tym globalnych

Narzędzie AppCmd.exe

Zarządzanie serwerem IIS 7
przydatne w dwóch sytuacjac

• instalacji i zarządzania
• wykorzystywania skryp

Narzędzie AppCmd.exe jest
ono szereg skryptów .vbs
wszystkich kluczowych funkc
AppCmd umożliwia administ
oraz znacznie zwiększa moż
Najczęściej realizowane zada

• Tworzenie i konfigurac
• Zatrzymywanie i uruch
• Przeglądanie listy uruc

do serwera zapytań

• Przeszukiwanie, mody

Jak używać AppCmd.exe

Narzędzie AppCmd.exe bazu
Obiekty te dostarczają m
administracyjnych takich jak
konfiguracji.
Przykładowo, obiekt witryna
wstrzymywania, zatrzymywa
właściwości takie jak: nazw
konfiguracji.

Uwaga: AppCmd.exe z
ścieżka ta nie znajduje

"%systemroot%\system32\in
scieżki do zmiennej PATH ser
Narzędzie wywoływane jest z

APPCMD (command)
>

gdzie <COMMAND> jest jedn
Wiele z obiektów wspiera na

•

LIST - wyświetla o

unikatowego obiektu
właściwości obiektu.

•

ADD - tworzy nowy o

•

DELETE - usuwa okre

•

SET - definiuje param

Bardzo często obiekty wspie
obiektu Site.

Strona 12/23

ją plik ApplicationHost.config w katalogu %windir%\
dwie główne grupy sekcji konfiguracyjnych:

Host

licationHost zawiera konfigurację witryny, aplikacji

a sekcji system.webServer zawiera konfigurację w

ych ustawień domyślnych sieci Web.

IS 7.0 przy użyciu komend wiersza linii poleceń m

acjach:

ania rolą IIS na serwerze Windows Server 2008 CORE

kryptów administracyjnych na platformie Windows

jest pojedynczym poleceniem do zarządzania serwe

vbs dostępnych we wcześniejszych wersjach). N

nkcji zarządzających wszystkimi obiektami serwera.

inistratorom kontrolowanie serwera IIS 7.0 bez użyc

ożliwości zautomatyzowania czynności administracy

zadania poprzez narzędzie AppCmd.exe:

uracja Site, puli aplikacji i wirtualnych katalogów,

ruchamianie Site, odzyskiwanie pul aplikacji

uruchomionych procesów roboczych i monitorowani

odyfikowanie, eksportowanie i importowanie konfig

azuje na dostępie do głównych obiektach serwera II

ą metod, które mogą zostać użyte do wyk

jak zarządzanie właściwościami obiektów, monito

ryna dostarcza metod do wyświetlania, tworzenia i u

ywania i uruchamiania ich. Każda uruchomiona

azwa i identyfikator, które mogą polegać inspekc

xe znajduje się w katalogu %systemroot%\system

duje się w zmiennej PATH, musisz używać poleceni

inetsrv\AppCmd.exe list sites". Alternatywą je

serwera.

est z wiersza linii poleceń w następujący sposób:

) (object-type) <identifier> < /para

jednym z dostępnych poleceń obsługiwanym przez <

a następujące podstawowe polecenia:

la obiekty na serwerze. Opcjonalne <ID> umo

iektu do wyświetlenia, lub też określenie jednego

ktu.

wy obiekt o określonych właściwościach

określony przez <ID> obiekt

rametry określonego przez <ID> obiektu.

spierają dodatkowe polecenia takie jak START i S

Moduł VIII

Serwer aplikacji IIS 7.0

\system32\inetsrv.

acji, katalogu wirtualnego

ję wszystkich pozostałych

ń może okazać się bardzo

ORE

ws Server 2008

erwerem IIS 7.0 (zastąpiło

. Narzędzie to dostarcza

era.

użycia narzędzi graficznych

racyjnych.

anie przesyłanych

nfiguracji IIS i ASP.NET

ra IIS tj. witryny i aplikacje.

wykonania wielu zadań

onitorowanie ich i zmiana

ia i usuwania instancji oraz

na instancja Site posiada

ekcji, wyszukiwaniu oraz

tem32\inetsrv\. Ponieważ

cenia w pełnej ścieżce np.

ą jest dodanie ręczne tej

ameter1:value1 ...

zez <OBJECT>.

umożliwia sprecyzowanie

go lub wielu parametrów

T i STOP jak w przypadku

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 13/23

Zarządzanie Sites, Aplikacjami, Katalogami Wirtualnymi i Pulami Aplikacji

Tworzenie i zarządzanie Site, aplikacjami i katalogami wirtualnymi jest podstawowym zadaniem
administratora serwera aplikacji. IIS wprowadza określoną hierarchię :

• Web Site - Web Site odbiera żądania bazujące na określonych parametrach tj. adres IP

i

nagłówek

hosta.

Przykład:

zapytanie

skierowane

na

port

8080

hosta:

http://www.mysite.com:8080
Każdy Site zawiera jedną lub wiele aplikacji.

• Aplikacja – Aplikacja reprezentuje wirtualną ścieżkę zawartą w adresie URL serwera.

Przykład: uruchomienie aplikacji "/app1" na serwerze może reprezentować poniższy adres
URL: http://www.mysite.com:8080/app1
Każda aplikacja przypisana jest do jednej puli aplikacji.
Aplikacja może posiadać jeden lub wiele katalogów wirtualnych.

• Katalog wirtualny - Katalog Wirtualny reprezentowany jest przez wirtualną ścieżkę

w przestrzeni URL aplikacji. Przykład: dostęp do katalogu wirtualnego "/vdir1" może
prezentować poniższy adres URL: http://www.mysite.com:8080/app1/vdir1
Katalog Wirtualny jest mapowany do fizycznej lokalizacji znajdującej się na dysku.

• Pula Aplikacji – Pula Aplikacji określa zestaw ustawień dla aplikacji znajdujących się w niej

i procesów roboczych od niej zależnych. Pula Aplikacji nie jest częścią hierarchii site-app-
vdir. Każda aplikacja na serwerze ma zdefiniowaną pulę aplikacji, która ją uruchamia lub też
należy do default application pool. Określa parametry procesów roboczych tj. ilość procesów
roboczych, wersję CRL ładowaną przez nią, model integracji .NET, nazwę konta które jest
uprzywilejowane do uruchomienia procesów roboczych oraz ustawienia odzyskiwania
procesów roboczych.

Domyślnie IIS 7.0 jest instalowany z domyślnym Site o nazwie "Default Web Site", który nasłuchuje
na porcie 80 bez żadnych ograniczeń dotyczących adresów IP czy też nagłówków hosta. Brak też
jest zdefiniowanych domyślnych aplikacji ani ich katalogów wirtualnych. Wraz z nią tworzona jest
też domyślna pula aplikacji o nazwie "DefaultAppPool", którą wykorzystują domyślnie wszystkie
nowo tworzone aplikacje.

Zarządzanie konfiguracją

IIS 7.0 dostarcza nowego modelu konfiguracji opartego na hierarchii XML taj jak w ASP.NET.
Konfiguracja serwera przechowywana jest w pliku applicationHost.config lub jest dystrybuowana
w pliku konfiguracyjnym web.config wraz z całą hierarchią aplikacji.
AppCmd umożliwia pełna inspekcję i modyfikację struktury konfiguracji za pomocą wiersza linii
poleceń wykorzystując obiekt CONFIG. Dodatkowo AppCmd zapewnia kilka innych przydatnych
funkcji tj. czyszczenie konfiguracji, blokowanie i odblokowanie oraz przeszukiwanie jej.

Przeglądnie konfiguracji

AppCmd pracuje z konfiguracją serwera na poziomie sekcji konfiguracja. Każda sekcja
konfiguracyjna typowo odpowiada za określoną cechę serwera i może zawierać wiele podsekcji
i wystąpienia. Modyfikacja konfiguracji może być przeprowadzona bezpośrednia dla określonej
przestrzeni nazw URL tj. Site, aplikacja lub URL. Modyfikacja konfiguracji podlega zasadą
dziedziczenia, konfiguracja odziedziczona z poziomu głównego może być jednak ręcznie
nadpisywana na poziomach niższych pliku konfiguracji serwera.

Modyfikacja wystąpień (collections)

AppCmd umożliwia również modyfikacje poszczególnych wystąpień konfiguracji. Kolekcja
konfiguracji może zawierać wiele elementów takich jak system.webServer/module. Sekcja
konfiguracji zawiera listę modułów specyficznych dla egzekutorów serwera. Aby zmodyfikować
kolekcję należy zdefiniować unikatowy ID wystąpienia wraz z określeniem ścieżki. Kolekcje
wykorzystują indeksowanie wartości, aby zidentyfikować konkretny element.

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 14/23

Zarządzanie położeniem plików konfiguracyjnych

System konfiguracji serwera jest hierarchiczny, umożliwia modyfikację konfiguracji na wielu
poziomach infrastruktury serwerowej opartej o plik applicationHost.config i dystrybuowania przez
web.config zawierający parametry Site, aplikacji lub katalogów wirtualnych.
Domyślnie polecenie AppCmd zapisuje konfigurację na poziomie, na którym zostało ustawione.
Na przykład, jeżeli modyfikujesz ustawienia konfiguracji "Default Web Site/", zostaną one zapisane
w pliku web.config w głównym drzewie tego Site.
Jednakże, jak wspominano wcześniej, możliwe jest nadpisanie konfiguracji lub też przypisanie jej do
konkretnych katalogów wirtualnych.
Poszczególne parametry mogą być konfigurowane dla:

• (omitted) — domyślnie; zapisuje konfigurację na poziomie, na którym jest ustawiony
• url — podobnie jak default; zapisuje konfigurację na poziomie, na którym jest ustawiony

w parametrze URL

• site — zapisuje konfigurację do pliku web.config głównego drzewa ścieżki url
• app — zapisuje konfigurację do pliku web.config głównego drzewa określonej aplikacji
• apphost — zapisuje konfigurację na poziomie serwera do pliku applicationHost.config
• <PATH> — zapisuje konfigurację do określonej lokalizacji konfiguracji

Przedstawione powyżej polecenie dla narzędzia AppCmd umożliwia automatyzację najczęściej
wykonywanych zadań administratora IIS 7.0. Zaznaczmy jednak fakt, iż nie są to wszystkie
z ogromnych możliwości AppCmd, dlatego gorąco polecam do zaznajamiania się z dodatkowymi
przełącznikami i poleceniami.
Dodatkowe informacje na temat zastosowań polecenia AppCmd znajdują się pod adresem
http://mvolo.com/blogs/serverside/archive/tags/AppCmd/default.aspx.

PowerShell

Powłoka Windows PowerShell to nowa interaktywna linia komend oraz technologia skryptowa
systemu Windows XP/Vista/Server 2003/2008 oparta na zadaniach i poleceniach WMI, która
umożliwia administratorom bardziej wydajne i bezpieczne automatyzowanie zarządzania zarówno
komputerami typu desktop, jak i serwerami. Używając powłoki PowerShell możliwe jest
zarządzanie parametrami serwera IIS 7.0 poprzez wykorzystanie przestrzeni nazw zdefiniowanej na
potrzeby tej roli. Poniżej przedstawiona jest struktura przestrzeni nazw dla serwera IIS.
Przedstawione poniżej kontenery nie mogą być usunięte ani przeniesione.

IIS

Sites

Site Collection

Application and Virtual Directories

AppsPools

WorkerProcesses

Uruchomienie konsoli PowerShell dla IIS 7.0
Serwer IIS ma obecnie wydzieloną konsolę PowerShell, którą można uruchomić z menu Start->All
programs-> IIS 7.0 Extensions-> IIS PowerShell Management Console. Uruchomienie konsoli
zaowocuje pojawieniem się znaku zachęty z przestrzenią nazw serwera IIS.

Dostęp do przestrzeni nazw (namespace)

Aby przejrzeć domyślne katalogi główne użyj polecenia „DIR”

PS IIS:\> dir

Wynik działania polecenia powinien być zbliżony do poniższego:

Name
----
Sites
AppPools

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 15/23

Zmiana kontekstu na katalog główny Site

PS IIS:\> cd Sites
PS IIS:\Sites> dir
Name ID State Physical Path Bindings
---- -- ----- ------------- --------
Default Web Site 1 Started f:\inetpub\wwwroot http *:80:

Dodatkowe opcje konfiguracyjne

PowerShell posiada wiele możliwości zarządzania i konfiguracji środowiska IIS.
Poniżej przedstawiony jest przykład powiązania obiektów WMI z PowerShell.

PS IIS:\Sites> Get-Item 'Default Web Site' | Select-Object *

Bezpieczeństwo serwera IIS 7.0

Konfiguracja zabezpieczeń serwera Web

Zabezpieczanie platformy serwerowej rozpoczyna się od planowania, a następnie dobrej instalacji
z ograniczoną ilością świadczonych usług. Takie założenia bezpieczeństwa przyjęła firma Microsoft
udostępniając produkt Windows Server 2008. Dlatego też, po instalacji systemu rola serwera IIS nie
jest dostępna. Kiedy administrator zdecyduje się na jej instalację zauważy, iż po etapie instalacji
serwera Web możliwa jest obsługa wyłącznie zawartości statycznej HTML i plików obrazów.
Poniższa lista zawiera główne cechy bezpieczeństwa związane z IIS 7.0:

• Zostały dodane nowe grupy wbudowane o nazwie IIS_IUSRS, która zastępuje lokalną grupę

IIS_WPG oraz nowa grupa wbudowana IUSRS zastępująca lokalną grupę IUSR_MachineName
świadczącą anonimowy dostęp do serwera IIS 6.0. Jednakże konto to jest wykorzystywane
przy dostępie do FTP w trybie zgodności z IIS 6.0. Te zmiany dostarczają czterech głównych
korzyści:

• Możliwość wykorzystywania innego konta anonimowego bez wyłączania konta

anonimowego serwera IIS.

• Wdrażanie spójnej listy kontroli dostępu (ACLs) w serwerze Web używając wspólnego

identyfikatora bezpieczeństwa (SID)

• Udoskonalenie procesu DCPROMO przez zapewnienie, że żadne lokalne konto

anonimowe nie stało się kontem domeny

• Eliminacja potrzeby zarządzania hasłami.

• Restrykcje IP mogą być wykorzystywane w odmowie dostępu do zawartości dla

pojedynczego komputera, grupy komputerów, domeny lub wszystkich adresów IP
nieznajdujących się na liście.

• Integracja UrlScan 2.5
• IIS 7.0 wspiera autoryzację URL dla zawartości statycznej i dynamicznej.

Aby zabezpieczyć serwer IIS należy wykonać następujące czynności:

• Skonfigurować mechanizmy autentykacji dla serwera IIS
• Określić zasady ograniczenia dostępu na podstawie adresu IP/domeny
• Zdefiniować reguły autoryzacji URL dla aplikacji Web
• Określić reguły wykorzystania certyfikatów na serwerze IIS 7.0
• Skonfigurować ograniczenia ISAPI i CGI
• Zdefiniować bezpieczny dostęp do witryn w oparciu o Secure Sockets Layer
• Skonfigurować filtry zapytań
• Zaplanować mechanizmy kopii konfiguracji i ich współdzielenia pomiędzy serwerami.

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 16/23

Integracja serwera IIS 7.0 z innymi usługami

Serwer FTP

Usługa FTP pomimo swojej długiej już historii jest nadal popularna w wielu organizacjach. Na
platformie Windows Serwer 2008 możliwe jest zainstalowanie serwera FTP zgodnego z IIS 6.0 lub
też nowej wersji usługi specjalnie przygotowanej dla nowej platformy serwerowej. W ramach tej
sekcji omówiona zostanie usługa FTP Nowej Generacji. Przepisana od nowa usługa FTP
zaprojektowana zgodnie z mechanizmami bezpieczeństwa Windows Server 2008 dostarcza wielu
ciekawych funkcjonalności, które znacznie zwiększyły bezpieczeństwo i funkcjonalność serwera.
Poniżej przedstawiono główne cechy nowego serwera FTP.

• Integracja z IIS 7.0 - IIS 7.0 dysponuje całkiem nowym interfejsem administracyjnym

i nowym modelem przechowywania konfiguracji. Nowy serwer FTP jest ściśle zintegrowany
z nowym interfejsem. Stary model konfiguracji (znany z IIS 6.0) oparty na metabazie został
zaniechany na korzyść architektury bazującej na formacie .NET XML-based *.config.
Dodatkowo serwer IIS 7.0 jest wyposażony w nowe narzędzia administracyjne, z którymi
integruje się nowy serwer FTP.

• Wsparcie dla nowych standardów internetowych - Jedną z ważniejszych cech nowego

serwera FTP jest wsparcie dla FTP over SSL. Nowy serwer wspiera również inne Internetowe
usprawnienia takie jak UTF8 i IPv6.

• Usprawniony hosting – Dzięki pełniej integracji z IIS 7.0 nowy serwer FTP umożliwia

integrację witryn FTP z witrynami WWW. Nowa funkcjonalność serwera FTP umożliwia
dodawanie zawartości FTP do istniejących witryn WWW. Dodatkowo serwer FTP wspiera
wirtualne nazwy hostów, co umożliwia dostarczanie wielu serwerów FTP na tym samym
adresie IP. Nowy serwer FTP ma również usprawnione mechanizmy izolacji użytkowników
umożliwiające izolację użytkowników poprzez katalogi wirtualne serwera.

• Różni dostawcy autentykacji – Nowy serwer FTP wspiera autentykację przy użyciu kont nie

systemowych dla IIS Managers i .NET Membership.

• Usprawnione logowanie – Logi FTP zostały rozszerzone i obecnie umożliwiają zbieranie

informacji o całym ruchu do serwera FTP, określonej sesji, dodatkowych polach w logu
i wiele więcej.

• Nowe cechy rozwiązywania i raportowania błędów - IIS 7.0 posiada nowy mechanizm

wyświetlania błędów dla użytkowników lokalnych. Ten sam mechanizm został zastosowany
w serwerze FTP, który został wyposażony w opcje szczegółowego raportowania dla lokalnie
zalogowanych użytkowników. Nowy FTP serwer zapisuje szczegółowe informacje do logu
używając Event Tracing for Windows (ETW).

Dodatkowe informacje na temat nowego serwera FTP znajdują się na witrynie http://www.iis.net/
w artykule "What's New for Microsoft and FTP?"
Aby zainstalować nowy serwer FTP muszą być spełnione następujące warunki:

• Musisz pracować na platformie Windows Server 2008.
• Internet Information Services 7.0 musi być zainstalowany.
• Jeżeli chcesz zarządzać serwerem FTP przy pomocy nowego interfejsu IIS 7.0 muszą zostać

zainstalowane narzędzia administracyjne.

• Instalację serwera FTP musi przeprowadzić osoba z prawami administratora.
• IIS 7.0 wspiera nową architekturę współdzielenia konfiguracji Sewerów. Musi ona na czas

instalacji zostać wyłączona.

• Starsza wersja serwera FTP musi zostać odinstalowana.

Podsumowanie

W tym rozdziale przedstawiony został jeden z ważniejszych elementów infrastruktury Windows
Server 2008, a mianowicie Serwer IIS 7.0. Moduł miał za zadanie pokazać jak działa ten serwer i jak
można nim sprawnie administrować. Dowiedziałeś się, jak przebiega proces przetwarzania zapytań

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 17/23

na serwerze Web oraz jak został on zaimplementowany w IIS 7.0. Omówione zostały też zasady
bezpiecznego wdrażania serwera w przedsiębiorstwie. Pisząc ten rozdział nie sposób było pominąć
nowej implementacji serwera FTP, z którym zapoznasz się w części ćwiczeniowej.

Przykładowe rozwiązanie

Jako inżynier systemowy zostałeś poproszony o przedstawienie planu wdrożenia serwera usług
aplikacyjnych. Prezentując plan masz się skupić wyłącznie na wyjaśnieniu jakie kroki poczyni dział IT
aby zrealizować projekt.
Instalacja serwera IIS w przedsiębiorstwie wiąże się z wykonaniem szeregu czynności dotyczących
zaplanowania, wdrażania i utrzymywania usługi. Proces taki można przedstawić jak na poniższym
schemacie.

Rys. 6 Schemat wdrażania serwera IIS 7.0

Porady praktyczne

• Pamiętaj, że serwer IIS stanowi bardzo zaawansowane narzędzie do budowania rozwiązań

Web w przedsiębiorstwie, dlatego przed jego wdrożeniem zaplanuj dokładnie przeznaczenie
i infrastrukturę.

• Unikaj budowania środowiska przemysłowego na IIS 7.0 w oparciu o witrynę domyślną
• Zawsze używaj nagłówków hosta do identyfikacji Site i aplikacji
• Siłą IIS 7.0 są moduły - wykorzystuj je mądrze.
• Wypracuj sobie metody odtwarzania konfiguracji serwerów IIS po awarii.
• Jeżeli tylko to możliwe stosuj tryb integracji puli aplikacji.
• Jednym z możliwych mechanizmów podnoszenia wydajności serwerów IIS w dużych

rozwiązaniach są klastery NLB.

• Aby zainstalować nowy serwer FTP należy go pobrać z witryny http://www.iis.net.

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium, jeśli:

• wiesz jaką rolę w organizacji może pełnić serwer IIS
• umiesz instalować role i funkcje na platformie Windows Server 2008
• umiesz zaplanować wykorzystanie serwera IIS do publikacji treści w przedsiębiorstwie

Zaprojektowanie serwera IIS

7.0

Integracja IIS 7.0 z innymi

usługami

Definicja struktury i modułów

Instalacja aplikacji

Zabezpieczanie platformy

Zaprojektowanie prcesów

monitorowania i wykonywania

kopii zapasowych

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 18/23

• znasz składnię polecenia AppCmd.exe
• potrafisz zbudować prostą stronę html
• zapoznałeś się z głównymi pojęciami dotyczącymi serwera IIS (Site, pula aplikacji, aplikacja,

katalog wirtualny)

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się,
że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu
zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek
z wykładów.

Dodatkowe źródła informacji

1.

Praca zbiorowa, Podręcznik administratora Windows Server 2008, Microsoft, 2008

Na Praktyczny poradnik instalacji i konfiguracji serwerów Windows Server 2008

2. http://www.iis.net

Podstawowa witryna traktująca o serwerze IIS 7.0

3. http://technet2.microsoft.com/windowsserver2008

Oficjalna witryna z artykułami technicznymi na temat IIS i technologii Windows
Server 2008

4.

Volodarsky, Londer, Hill, Internet Information Services (IIS) 7.0 Resource Kit, Microsoft 2008

Podstawowa literatura na temat IIS 7.0

5.

William R. Stanek, Internet Information Services (IIS) 7.0 Administrator's Pocket Consultant,

Microsoft 2008

Zbiór praktycznych uwag na temat wdrażania i zarządzania serwerem IIS 7.0

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium podsta

Problem 1 (czas realizacj

Zgodnie z zadaniem przydz
i przetestowanie środowiska
7.0 oraz FTP 7.0 zgodnie z sch

Czy potrafiłbyś na tym
organizacji?

Zapoznanie się z Internet
z interfejsem i podstawowym
Procedura przykładowej inst

Zadanie

Tok po

1.

Instalacja
serwera

IIS

7.0

• Ur

Sta

• Do

po

• Ur

uru

• Zaz
• Zaa

ser

• Zai

—

AS

—

AS

—

CG

—

Sta

—

Dy

—

Ba

• Prz

ko

• Po

Re

2. Weryfikacja

• Ur

Strona 19/23

stawowe

acji 45 min)

dzielonym przez kierownika działu IT, masz za z

iska. Zdecydowałeś się na instalację środowiska test

z schematem jak na Rys. 7:

Rys. 7 Przykładowe środowisko testowe

ym etapie odpowiedzieć na pytanie, czy IIS 7.0 byłby

net Information Service (IIS) Manager. W zadan

wymi zadaniami administracyjnymi.

instalacji Serwera DHCP na platformie Windows Serv

k postępowania

Uruchomić Server Manager, aby uruchomić Ser
Start Menu -> All Programs -> Administrative Tool
Dodaj Rolę Serwera WEB, w konsoli Server Man
poczekaj na podsumowanie ról.
Uruchom kreatora Add Roles Wizard, kliknij
uruchomiony kreator dodawania nowej roli i kliknij
Zaznacz rolę Web Server (IIS)
Zaakceptuj okno informujące o instalacji pakie
serwer jest zależny od WAS) i kontynuuj instalację
Zainstaluj następujące cechy serwera IIS:

ASP.NET
ASP
CGI
Static content
Dynamic Content Compression
Basic Authentication

Przejrzyj

zawartość

okna

z

podsumowan

komponentów dodatkowych do serwera IIS i kliknij
Poczekaj aż instalacja przebiegnie do końca i pojaw
Results, na zakończenie procesu instalacji kliknij Cl

Uruchom przeglądarkę Internet Explorer

Moduł VIII

Serwer aplikacji IIS 7.0

za zadanie przygotowanie

testowego dla serwera IIS

yłby dobrym wyborem dla

daniu tym zapoznasz się

Server 2008:

Server Manager, kliknij

Tools -> Server Manager.

anager, wybierz Roles i

nij Add Roles, zostanie

iknij Next.

akietów zależnych (Web

cję

waniem

instalowanych

iknij Install.

ojawi się okno Installation

Close.

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 20/23

instalacji roli
serwera IIS

• W polu adres wpisz http://localhost
• Powinna pojawić się witryna Welcome serwera IIS 7.0.

3.

Instalacja

serwera FTP 7.0

• Aby zainstalować serwer FTP 7.0 należy wpierw pobrać pakiet

instalacyjny w wersji 32 lub 64 bitowej (w zależności od platformy
serwerowej) ze strony:
http://www.iis.net/downloads/default.aspx?tabid=34&g=6&i=1619

• Uruchom pobrany pakiet msi
• Po uruchomieniu pakietu instalacyjnego kliknij Next, aby rozpocząć

pracę z kreatorem instalacji

• Zaakceptuj umowę licencyjną i kliknij Next
• Zaznacz wszystkie opcje do instalacji i kliknij Next
• Zostanie wyświetlone okno podsumowujące, na którym należy kliknąć

Install

• Po zakończeniu instalacji kliknij Finish.

4.

Założenie

nowego Site FTP

• Otwórz IIS 7.0 Manager. W drzewie połączenia (connections) kliknij

węzeł Site

• Kliknij prawym klawiszem myszy na węźle Sites i kliknij Add FTP Site, lub

kliknij Add FTP Site w sekcji Akcje (Actions)

• Stwórz folder "%SystemDrive%\inetpub\ftproot"
• Zdefiniuj uprawnienia dla użytkowników anonimowych:

—

Uruchom cmd.exe

—

Wprowadź poniższe polecenie:

—

CACLS "%SystemDrive%\inetpub\ftproot" /G IUSR:R /T /E

• Zamknij wiersz poleceń CMD.
• Kiedy pojawi się kreator Add FTP Site:

—

Wprowadź

nazwę

"My

New

FTP

Site"

i

przejdź

do

"%SystemDrive%\inetpub\ftproot",

która

została

założona

w

poprzednim punkcie.

• Następnie kliknij Next
• Na kolejnej stronie kreatora wybierz:

—

Wybierz adres IP dla twojej witryny IP lub zaakceptuj ustawienie

domyślne "All Unassigned".

—

Wprowadź port nasłuchujący dla witryny FTP lub zaakceptuj domyślny

port 21.

—

W celu zapewnienia dostępu anonimowego nie definiuj „nazwy hosta”

—

Upewnij się, że lista akceptowanych certyfikatów jest ustawiona na "Not

Selected" oraz że opcja Allow SSL jest zaznaczona.

• Kiedy dokonasz niezbędnej konfiguracji, kliknij Next.
• Na następnej stronie kreatora wybierz:

—

Ustaw dostęp anonimowy dla mechanizmu autentykacji,

—

Nadaj użytkownikowi anonimowemu uprawnienia odczytu do

zawartości witryny

—

Kończąc zadanie kliknij Finish.

5.Konfiguracja
ustawień
bezpieczeństwa

• Używając IIS Manager rozwiń węzeł FTP utworzonego wcześniej,

następnie kliknij dwukrotnie na ikonie FTP Authentication, aby
uruchomić stronę autentykacji klientów FTP

Marek Pyka
ITA-108 Technologie sieciowe

dla FTP 7.0

• Kie

klik

• Prz
• Na

Ab

• Kli
• Zo

—
—

• Ab

6. Weryfikacja
działania witryny
FTP

• Ur
• Wp
• Po
• Wy
• Prz
• Zam

Laboratorium rozszer

Zadanie 1 (czas realizacji

Zarządzanie serwerem IIS
W ćwiczeniu tym przepr
przeprowadzisz podstawowe
W celu realizacji tego zadania

• Wyświetlenie listy w
• Tworzenie nowej wit
• Tworzenie kopii konf
• Usunięcie witryny o n
• Odtworzenie konfigu
• Dodanie nowej aplik
• Stworzenie nowej pu
• Zmiana domyślnej p

ITAPool

• Wyświetlenie konfigu
• Usunięcie aplikacji „
• Usunięcie witryny ITA
• Restart serwera IIS

Czy potrafisz napisać
wszystkich operacji?

Zadanie 2 (czas realizacji

Twoja organizacja na przeło
całego kraju. Zgodnie z pol
scentralizowana, co spowodo
w oddziałach.
Od jakiegoś czasu organizacj
które całkowicie oparte jest o

Strona 21/23

Kiedy pojawi się okno FTP Authentication zaznacz
kliknij Enable.
Przejdź ponownie do sekcji FTP features.
Następnie dodajemy regułę zezwalającą na logow
Aby to wykonać kliknij na FTP Authorization Rules
Kliknij Add Allow Rule
Zostanie wyświetlone okno Add Allow Authorizatio

—

Wprowadź nazwę konta administratora.

—

Nadaj mu uprawnienia Read and Write.

Aby zakończyć kliknij

OK

.

Uruchom wiersz linii poleceń cmd.exe.
Wprowadź polecenie ftp 10.10.0.x (adres Twojego
Podaj poświadczenia Administratora
Wyświetl zawartość katalogu FTP
Prześlij plik na serwer FTP
Zamknij okno wiersza linii poleceń

szerzone

acji 45 min)

IIS 7.0 przy pomocy narzędzia AppCmd.exe w

zeprowadzisz analizę domyślnie zainstalowaneg

owe czynności administracyjne związane z jego funk

ania wykonaj następujące zadania:

ty wszystkich witryn, pul aplikacji na serwerze ITA-SR

j witryny o nazwie ITAWEB na serwerze IIS

konfiguracji z określoną nazwą ITABackup

y o nazwie ITAWEB

figuracji z kopii ITABackup

plikacji do założonej witryny ITAWEB o nazwie „/tes

j puli aplikacji ITAPool

ej puli aplikacji dla utworzonej w poprzedniej sek

nfiguracji serwera IIS

cji „/test”

ITAWEB

sać skrypt, który umożliwiłby podawanie parametró

acji 45 min)

rzełomie ostatnich 4 miesięcy uruchomiła zdalne

polityką zarządu cała administracja systemami in

odowało zredukowanie do zera ilości kadry adminis

izacja przymierza się do wdrożenia oprogramowania

est o interfejs WWW.

Moduł VIII

Serwer aplikacji IIS 7.0

acz Basic Authentication i

gowanie Administratora.

les

zation:

ego serwera FTP)

e wiersza linii poleceń.
nego serwera IIS oraz

unkcjonowaniem.

SRV01

/test”

sekcji aplikacji „/test” na

etrów do wykonania tych

lne lokalizacje na terenie
i informatycznymi została

inistracyjnej

ania CRM firmy Microsoft,

Marek Pyka
ITA-108 Technologie sieciowe

Jako inżynier sieciowy otrzy
serwer Web na IIS 7.0 oraz n
etap wdrożenia ma realizowa

Przy jego budowie musisz uw

• Serwer WEB będzie u
• Uprawnienia do nich
• Wszystkie niezbędne
• Autentykacja witryny
• Autentykacja dostę

Authentication.

• Dostęp do witryn

wyszczególnionych n

• Serwer FTP świadczy
• Katalog Pub jest dom
• Powyższe zadanie m

wykorzystanie trybu

Po przeprowadzeniu
dostęp i uprawnienia d

Zadanie 3 (czas realizacji

Kierownik działu zaakceptow
sprawdzenie bezpieczeństwa
dokonać podsłuchu komun
Z

przeprowadzonych

te

W celu przeprowadzenia te
możliwość podsłuchania tran

Czy możliwe jest podsł
Czy jesteś w stanie zob

Czy taką konfigurację p

Strona 22/23

trzymałeś zadanie zaprojektowania infrastruktury

az nowej wersji serwera FTP na platformie Windows

zować środowisko jak na Rys. 8.

Rys. 8 Środowisko wdrożeniowe IIS 7.0 i FTP 7.0

z uwzględnić następujące założenia:

zie udostępniał 3 witryny i 2 Site

nich znajdują się w tabeli na Rys. 8.

dne wpisy w DNS muszą być zrealizowane na kompu

ryny /Ksiegowosc ma być oparta o Basic Authenticat

ostępu do Site informatyka.ita.com ma być

itryn ma być realizowany wyłącznie dla uż

ch na Rys. 8.

dczy dostęp do katalogów, w których znajdują się plik

domyślnym katalogiem serwera FTP.

ie możesz zrealizować na wiele sposobów, war

ybu Izolacji Puli Aplikacji.

iu konfiguracji serwerów dokonaj testu ich funkcjo

ia dla określonych grup i użytkowników.

acji 45 min)

ptował zaproponowane środowisko wdrożeniowe,
stwa przesyłanych danych do serwera IIS i FTP. N

munikacji sieciowej pomiędzy klientami i serw

testów

sporządź

raport

i

zaproponuj

ia testów wykorzystaj oprogramowanie Network

transmisji w komunikacji z serwerem WWW i FTP.

odsłuchanie haseł użytkowników w dostępie do witr

zobaczyć, jakie zapytania klientów są kierowane do

cję poleciłbyś w środowisku przemysłowym?

Moduł VIII

Serwer aplikacji IIS 7.0

ry wdrożeniowej nowego

ows Server 2008. Pierwszy

mputerze ITA-DC01.

tication.

yć oparta o Integrated

użytkowników i grup

pliki witryn.

warte zastanowienia jest

kcjonalności, sprawdzając

we, jednakże prosi Cię o

P. Na jego zlecenie masz

serwerem WWW i FTP.

uj

jakieś

rozwiązanie.

ork Monitor 3 i sprawdź

witryn WWW i FTP?

do serwera?

Marek Pyka

Moduł VIII

ITA-108 Technologie sieciowe

Serwer aplikacji IIS 7.0

Strona 23/23

Zadanie 4 (czas realizacji 45 min)

Po przeprowadzonych testach bezpieczeństwa środowiska wdrożeniowego podjąłeś decyzję
o wdrożeniu SSL w dostępie do witryny Księgowość oraz Site http://informatyka.ita.com. Wraz z
kierownikiem zdecydowaliście, że dostęp do katalogów FTP witryn będzie również przebiegał przez
protokół SSL, wyjątek stanowi wyłącznie katalog Pub z dostępem anonimowym.
Aby zrealizować przyjęte założenia musisz uwzględnić następujące informacje:

1)

Aby wykorzystywać protokół SSL konieczne jest posiadanie kwalifikowanego certyfikatu dla

serwera. Organizacja nie posiada własnego centrum certyfikacji, dlatego warto rozważyć
jedną z dwóch opcji: zakupu certyfikatu dedykowanego (wiele centrów umożliwia
przetestowanie certyfikatu przez okres 14 dni) lub też zainstalowanie roli Active Directory
Certyfication Services na komputerze ITA-DC01.

2)

W celu podniesienia bezpieczeństwa dostępu do witryny informatyka.ita.com warto

rozważyć żądanie certyfikatów dla klientów (możliwe przy wybraniu opcji instalacji
własnego centrum CA)

3)

Aby używać FTP over SSL konieczne jest posiadanie kwalifikowanego certyfikatu

4)

Projektując serwer FTP konieczne jest założenie posiadania dwóch funkcjonalności,

pierwszej dla użytkowników anonimowych, dla których nie wymaga się bezpiecznej
komunikacji, druga dla wszystkich pracowników przedsiębiorstwa, którzy chcąc umieścić
jakąś zawartość na serwerze FTP muszą skorzystać z bezpiecznego kanału

Po przeprowadzeniu konfiguracji bezpiecznych kanałów komunikacyjnych warto jest przeprowadzić
testy jak w poprzednim laboratorium.

Zadanie 5 (czas realizacji 45 min)

W poprzednim zadaniu wdrożyłeś silne mechanizmy zabezpieczeń kanałów komunikacyjnych
z serwerami Web i FTP. Kolejne niezrealizowane jeszcze zadanie ma na celu wdrożenie
mechanizmów równoważenia obciążenia serwerów Web w przedsiębiorstwie. Pamiętając
problemy, które pojawiły się podczas wdrażania Usług Terminalowych zakładasz konieczność
wykorzystania technologii NLB również w tym przypadku. Schemat środowiska, które należy
zbudować przedstawia Rys. 9.

Rys. 9 Środowisko NLB dla IIS 7.0 i FTP 7.0

W celu wdrożenia mechanizmów odporności na awarie dla Serwerów WWW i FTP wykonaj
następujące czynności:

• Zainstaluj dodatkowy serwer Web na platformie IIS 7.0
• Zainstaluj usługę Network Load Balancing
• Skonfiguruj witryny zgodnie z projektem

ITA-108 Technologie sieciowe

Marek Pyka

Moduł IX

Wersja 1

Usługi terminalowe

Spis treści

Usługi terminalowe .............................................................................................................................. 1

Informacje o module ............................................................................................................................ 2

Przygotowanie teoretyczne ................................................................................................................. 3

Przykładowy problem .................................................................................................................. 3

Podstawy teoretyczne.................................................................................................................. 3

Przykładowe rozwiązanie ........................................................................................................... 10

Porady praktyczne ..................................................................................................................... 15

Uwagi dla studenta .................................................................................................................... 16

Dodatkowe źródła informacji..................................................................................................... 17

Laboratorium podstawowe ................................................................................................................ 18

Problem 1 (czas realizacji 45 min) .............................................................................................. 18

Laboratorium rozszerzone ................................................................................................................. 25

Zadanie1 (czas realizacji 45 min) ............................................................................................... 25

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 2/26

Informacje o module

Opis modułu
W ramach modułu zapoznasz się z zasadami konfiguracji środowiska usług
terminalowych oraz zasadami dostępu i dostarczania środowiska dla wielu
użytkowników w przedsiębiorstwie. Przedstawiona zostanie nomenklatura
obowiązująca w zakresie instalacji, konfiguracji i zarządzania rolami
i opcjami serwerów terminalowych. Zawarte w module tym zadania
umożliwią Ci zapoznanie się z procesem planowania, wdrażania
i utrzymywania infrastruktury usług terminalowych w organizacji.

Cel modułu
Celem modułu jest przedstawienie możliwości wykorzystania usług
terminalowych Windows Serwer 2008 w budowaniu bezpiecznego
i wydajnego środowiska użytkowników.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• wiedział, jaką rolę w sieci przedsiębiorstwa pełnić mogą Usługi

Terminalowe

• potrafił zainstalować, skonfigurować i zarządzać środowiskiem usług

terminalowych

• rozumiał potrzebę planowania infrastruktury dla potrzeb budowania

i dostarczania środowiska aplikacyjnego użytkowników.

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać zasadę wykorzystania usług terminalowych do zwiększenia

sprawności środowiska użytkowników

• rozumieć zasadę działania usług terminalowych

wiedzieć, jaką rolę w optymalizacji infrastruktury przedsiębiorstwa
i zapewnienia jej niezawodności odgrywają Terminal Services
Gateway, Session Broker, Remote Applications.

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 5 i 6 tego kursu.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 3/26

Przygotowanie teoretyczne

Przykładowy problem

Każde przedsiębiorstwo posiadające rozbudowaną infrastrukturę teleinformatyczną, prędzej czy
później zacznie poszukiwać oszczędności w jej utrzymaniu i zarządzaniu przy równoczesnym
zachowaniem maksymalnej produktywności pracowników. Środowisko użytkowników końcowych
pochłania obecnie większość z budżetów działów IT, gdyż ta najwięcej godzin jest przeznaczanych
na utrzymanie, wdrażanie i analizę narzędzi. Z tego powodu kierownictwo firm widzi największe
zyski w optymalizacji, automatyzacji i zabezpieczania tego obszaru. Pierwszym z zadań dla działów
IT jest z reguły wdrożenie usług terminalowych, których zadaniem będzie podniesienie, jakości
pracy pracowników przy równoczesnym obniżeniu kosztów samej infrastruktury. Jako
administrator przedsiębiorstwa możesz się spotkać z zadaniem wdrożenia usług terminalowych.
Jednym z interesujących rozwiązań dla firm są nowe usługi terminalowe Windows Server 2008.
Wykorzystanie w przedsiębiorstwie usług terminalowych umożliwi Ci, jako administratorowi na
zapewnienie scentralizowanego dostępu do kluczowych aplikacji biznesowych za pośrednictwem
Internetu, zmniejszenie ryzyka utraty danych z komputerów przenośnych poprzez wykorzystanie
bezpiecznego dostępu zdalnego do centralnej bazy aplikacji i danych, zapewnienie bezpiecznego
dostępu do aplikacji i danych przez sieć Internet z możliwością alternatywnych do technologii VPN
metod dostępu, redukcję kosztów utrzymania środowiska użytkowników i wiele innych. Twój
kierownik działu IT zleca Ci przygotowanie projektu wdrożenia usług terminalowych
w przedsiębiorstwie. Określone priorytety wyznaczają warunki doboru technologii. Analizując
infrastrukturę serwerową oraz wykorzystywane w przedsiębiorstwie aplikacje stwierdzasz, że
koniecznym będzie zapewnienie rozwiązań równoobciążenia serwerów terminalowych oraz
zastosowanie rozwiązań wirtualizacji aplikacyjnej na serwerach terminalowych.

Podstawy teoretyczne

Wykorzystanie usług terminalowych polega na przeniesieniu mocy obliczeniowej ze stacji
roboczych na serwer. Zamiast typowych stacji roboczych (komputery PC) wykorzystywane są
terminale (tzw. cienki klient) oraz serwer centralnego przetwarzania.
Cienki klient (terminal) jest prostym komputerem z niewielką ilością pamięci operacyjnej, z reguły
nieposiadającym dysku twardego, napędów oraz kart rozszerzeń. Użytkownicy pracujący na
terminalach w rzeczywistości pracują na jednym centralnym serwerze. W przeciwieństwie do
typowej architektury, terminale pozwalają na lepsze wykorzystanie mocy obliczeniowej i pamięci
operacyjnej. Centralizacja mocy obliczeniowej zwiększa również skalowalność i elastyczność –
rozbudowa serwera jest znacznie łatwiejsza niż rozbudowa stacji roboczych i odczuwalna jest przez
wszystkich użytkowników.
Usługi terminalowe w systemie Windows Server 2008 to najbardziej zaawansowana platforma
scentralizowanych aplikacji firmy Microsoft, oferująca imponujący zestaw nowych funkcji, znacznie
ułatwiających administratorom i użytkownikom wykonywanie ich zadań. Nowe funkcje usług
terminalowych umożliwiają znaczne rozszerzenie zakresu zastosowań oraz podwyższenie poziomu
wydajności i komfortu użytkowania. Usługi terminalowe zapewniają teraz scentralizowany dostęp
do poszczególnych aplikacji bez konieczności korzystania z całego pulpitu zdalnego. Aplikacje
uruchamiane zdalnie są integrowane z komputerem stacjonarnym użytkownika lokalnego –
wyglądają, są obsługiwane i funkcjonują tak jak lokalne aplikacje. Organizacje mogą zapewniać
bezpieczniejszy dostęp do scentralizowanych aplikacji lub pulpitów oraz innych zasobów
z Internetu przy użyciu protokołu HTTPS, bez konieczności korzystania z wirtualnej sieci prywatnej
(VPN) lub otwierania niepożądanych portów w zaporach. Umożliwia to ograniczenie złożoności
konfiguracji wymaganych do zapewnienia bezpiecznego dostępu zdalnego do aplikacji i danych dla
użytkowników, partnerów lub klientów. W przypadku wdrożenia kilku serwerów nowe funkcje

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 4/26

równoważenia obciążenia ułatwiają optymalizację wydajności dzięki rozłożeniu sesji na najmniej
obciążone dostępne zasoby.
Usługi terminalowe umożliwiają wykonywanie następujących zadań:

• Wdrażanie aplikacji integrowanych z lokalnym komputerem stacjonarnym użytkownika.
• Zapewnianie dostępu do centralnie zarządzanych komputerów stacjonarnych z systemem

Windows.

• Zapewnianie dostępu zdalnego dla istniejących już aplikacji „niezgodnych” z siecią WAN.
• Ochrona aplikacji i danych w centrum danych – utracone komputery przenośne nie stanowią

już problemu.

Funkcje usług terminalowych

W usługach terminalowych dostępnych w systemie Windows Server 2008 wprowadzono kilka
kluczowych funkcjonalności:

Programy RemoteApp usług terminalowych. Programy RemoteApp są dostępne
za pośrednictwem usług terminalowych i zachowują się tak jak programy uruchomione na
lokalnym komputerze użytkownika końcowego. Użytkownicy mogą uruchamiać programy
RemoteApp usług terminalowych równocześnie z programami lokalnymi. Jeżeli użytkownik
korzysta z kilku programów RemoteApp na tym samym serwerze terminali, oprogramowanie
RemoteApp współużytkuje tę samą sesję usług terminalowych.

• Brama usług terminalowych (Terminal Service Gateway). Brama usług terminalowych

umożliwia autoryzowanym użytkownikom zdalnym łączenie się z serwerami terminali
i pulpitami zdalnymi (komputerami zdalnymi) w sieci firmy z urządzenia podłączonego do
Internetu, na którym jest uruchomione Podłączanie pulpitu zdalnego w wersji 6.0. Brama
usług terminalowych używa protokołu RDP (Remote Desktop Protocol) tunelowanego przez
protokół HTTPS do ustanowienia bezpiecznego, szyfrowanego połączenia między
użytkownikami zdalnymi w Internecie i komputerami zdalnymi, na których są uruchomione
ich aplikacje robocze, nawet, jeżeli są używane za routerem z przechodzeniem translacji
adresów sieciowych (NAT). Eliminuje konieczność konfigurowania połączeń wirtualnej sieci
prywatnej (VPN), umożliwiając użytkownikom zdalnym łączenie się z odpowiednią siecią
firmy za pośrednictwem Internetu i zapewniając równocześnie model konfiguracji
kompleksowych zabezpieczeń, który pozwala na kontrolowanie dostępu do określonych
zasobów w sieci.

• Dostęp w sieci Web do usług terminalowych (Terminal Server Web Access). Funkcja

dostępu w sieci Web do usług terminalowych umożliwia udostępnianie programów
RemoteApp użytkownikom korzystającym z przeglądarki sieci Web. Korzystając z funkcji
dostępu w sieci Web do usług terminalowych, użytkownik może odwiedzić witrynę sieci Web
z Internetu lub sieci intranet w celu uzyskania listy dostępnych programów, RemoteApp
usług terminalowych. Po uruchomieniu przez użytkownika programu RemoteApp
rozpoczynana jest sesja usług terminalowych na serwerze terminali obsługującym dany
program.
Broker sesji usług terminalowych (Terminal Server Session Broker). Broker sesji usług
terminalowych, nowa funkcja w systemie Windows Server 2008, jest alternatywą dla
równoważenia obciążenia sieciowego (usługi NLB), którą można zastosować w przypadku
usług terminalowych. Ta funkcja nie jest ograniczona do określonej liczby serwerów, ale
znakomicie się sprawdza w przypadku farm składających się z dwóch do pięciu serwerów.
Broker sesji usług terminalowych umożliwia przenoszenie nowych sesji na najmniej
obciążony serwer w farmie w celu optymalizacji wydajności, a użytkownicy mogą łączyć się
ponownie z istniejącą sesją bez zapamiętywania informacji dotyczących serwera, na którym
utworzono daną sesję. Korzystając z tej funkcji, administratorzy mogą mapować adresy IP
serwerów terminali na poszczególne wpisy systemu DNS. Taka konfiguracja zapewnia

Marek Pyka
ITA-108 Technologie sieciowe

również odporność n
użytkownik nawiąże po
Łatwe drukowanie w
drukowanie w usługac
umożliwia użytkown
terminalowych lub pe
komputerze klienckim
drukowania na serw
RemoteApp lub sesji
właściwości drukarki
i uzyskują dostęp do w
mogą ograniczyć liczbę
ogólne obciążenie i roz

Zasada działania usług te

Nowe usługi terminalowe
odpowiadającego na wiele p
konieczne jest zapoznanie s
usług terminalowych zostani

Rys.

Zasady dostęp do usług ter
terminali jest klientem lok
komunikacji klientów zdalnyc
ze zdalnym serwerem świad
może być przy wykorzystaniu
uprawnień połączenia klient
Access. Zadaniem Terminal
zdefiniowanych serwerów te
terminalowych może być okr
(NAP), co znacznie zwiększa
operacji został przedstawion

Usługi termin

Strona 5/26

ść na uszkodzenia. Jeżeli jeden z serwerów far

że połączenie z następnym najmniej obciążonym serw

ie w usługach terminalowych (Terminal Serve

ugach terminalowych – nowa funkcja w systemie W

wnikom niezawodne drukowanie z programu

pełnej sesji pulpitu na lokalnej lub sieciowej druka

ckim. Drukarki można teraz obsługiwać bez insta

erwerze terminali. Użytkownicy zamierzający d

sesji pulpitu usług terminalowych wyświetlają p

rki (interfejs użytkownika drukarki) z lokalnego k

o wszystkich funkcji drukarki. Korzystając z zasad gr

iczbę dostępnych drukarek do drukarki domyślnej, re

i rozszerzając zakres skalowalności.

g terminalowych Windows Server 2008

we w Windows Serwer 2008 umożliwiają zb

le potrzeb przedsiębiorstw. Dla dobrego zrozumien

ie się z funkcjonalnością poszczególnych narzędzi

tanie przeprowadzone na podstawie Rys. 2.

s. 2 Funkcjonowanie usług terminalowych w przedsiębiorstwie

terminalowych są różne w zależności czy klient łą

lokalnym czy też zdalnym. Rysunek powyższy p

lnych. Jak jest przedstawione na rysunku pierwszym

wiadczącym rolę Terminal Server Gateway (TSG)

aniu protokołów VPN, RDP lub też RDP poprzez SSL.

lienta z sieci Internet umożliwia mu komunikację z

nal Server Web Access (TSWA) jest dostarczenie ap

w terminalowych. W miejscu tym należy podkreślić,

określany przez serwery polityk infrastruktury Netw

ksza bezpieczeństwo dostępu do zasobów przedsię
wiony na rysunku punktami 1 i 2. W trakcie nawią

Moduł IX

minalowe Windows Server 2008

farmy jest niedostępny,

serwerem w farmie.

rver Easy Print). Łatwe

ie Windows Server 2008 –

ramu RemoteApp usług

rukarce zainstalowanej na

instalowania sterowników

y drukować z programu

ą pełne okno dialogowe

go komputera klienckiego

d grupy, administratorzy IT

ej, redukując w ten sposób

zbudowanie środowiska

mienia ich funkcjonalności

ędzi. Omówienie działania

wie

nt łączący się z serwerem

y przedstawia procedurę

zym klient nawiązuje sesję

G). Sesja ta ustanowiona

SSL. TSG po potwierdzeniu

ję z Terminal Server Web

ie aplikacji lub dostępu do
ślić, iż dostęp do serwerów
Network Access Protection
dsiębiorstwa. Przebieg tej

awiązanej sesji z TSWA na

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 6/26

kliencie uruchomione są RemoteApp oraz dodatkowe funkcjonalności związane z obsługą drukarek
i urządzeń USB.
Kolejna metoda komunikacji z serwerami terminalowymi wymaga bezpośredniego do nich dostępu.
W sytuacji połączenia klientów lokalnych ustanowienie takiej sesji nie stanowi większego problemu
gdyż klienci ci ciągle podlegają kontroli środowiska NAP i mają bezpośrednie połączenie
z serwerami. Problem pojawia się wyłącznie w dostępie klientów zdalnych, którzy łączą się
bezpośrednio z usługą TSG. Jeżeli nastąpi sytuacja, w której klient będzie żądał bezpośredniego
dostępu do serwerów terminalowych nastąpi sprawdzenie jego zgodności konfiguracji
i zabezpieczeń z politykami korporacyjnymi (środowisko NAP) i po potwierdzeniu zgodności jego
zapytania będą kierowane do konkretnych serwerów lub stacji roboczych, do których klient będzie
miał dostęp po protokole RDP. Sytuację taką przedstawia punkt 3 na rysunku.
Jak widać z powyższego opisu, infrastruktura nowych usług terminalowych Windows Server 2008
jest znacznie sprawniejsza i bezpieczniejsza a co za tym idzie pełniej odpowiada na potrzeby firm.

Główne cechy środowiska Usług Terminalowych Windows Server 2008

Instalacja i zarządzanie Usługami Terminalowymi Windows Server 2008

Aby zapewnić poprawne funkcjonowanie usług terminalowych należy zainstalować następujące
role i dodatki Windows Server 2008:

• Usługi Terminalowe
• Serwer plików
• Usługi dostępu do sieci
• Serwer IIS 7.0

Po zainstalowaniu środowiska Usług Terminalowych, zarządzanie nim odbywać się będzie poprzez
Konsolę Zarządzania Serwerem (Server Manager Console). Narzędzie to umożliwia implementację
ról niezbędnych do funkcjonowania Usług Terminalowych i zarządzanie właściwościami serwera
takimi jak aplikacje zdalne, dostęp do środowiska, konfigurację zasad bezpieczeństwa.

Środowisko pracy użytkownika

W Usługach Terminalowych zostały znacznie rozszerzone funkcjonalności środowiska pracy
użytkowników. Dzięki nowym funkcjom środowisko jest bardzo elastyczne i wydajne, co ma
ogromne znaczenie we wdrażaniu i produktywności użytkowników później. Najważniejsze funkcje
zostały przedstawione poniżej:

• Wsparcie dla wielu typów ekranów i różnych rozdzielczości,
• Możliwość współdzielenia pulpitów pomiędzy wiele monitorów,
• Wsparcie dla środowiska Windows Vista (funkcje multimedialne, motywy dla pulpitu np.

Aero),

• Wygładzanie czcionek dla monitorów LCD,
• 32-bitowa głębia kolorów,
• Wsparcie dla kompresji protokołu RDP,
• Usprawnione drukowanie sieciowe i lokalne dzięki Easy Print.

Zwiększone mechanizmy bezpieczeństwa

Budowanie bezpieczeństwa dla Usług Terminalowych jest oparte głównie na zaimplementowanych
w Windows Server 2008 technologiach. Najważniejszymi z nich są:

• Uwierzytelnienie klientów na poziomie dostępu do sieci,
• SSO dla klientów domenowych,
• Integracja z Credential Manager and Credential Security Suport Provider (CredSSP),
• Możliwość blokowania klienta pre-RDPG,
• Izolacja sesji i bezpośrednio podłączonych urządzeń,

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 7/26

• Rozszerzone możliwości zarządzania bezpieczeństwem dla TSG, wsparcie dla NAP,

przekserowanie połączeń i zwiększone monitorowanie sesji użytkownika.

Nowe mechanizmy kontroli dostępu i zwiększania skalowalności

Utrzymanie wydajnego środowiska Usług Terminalowych w przedsiębiorstwie wykorzystującym
oddziały zdalne nie jest wcale proste. Bardzo często pojawiają się wąskie gardła infrastruktury
związane ze specyfiką pracy i wydajnością łączy. Aby zminimalizować sytuacje krytyczne i przestoje
z tym związane firma Microsoft wprowadziła kilka nowych funkcji:

•

Nowe narzędzia do zarządzania,

•

Priorytetyzacja przesyłanych danych,

•

Nowe metody kompresji przesyłanych danych,

•

Lepsza skalowalność bufora wydruku,

•

Ulepszone liczniki wydajności,

•

Pełne wsparcie dla IPv6,

•

Zliczanie i śledzenie licencji Per User,

•

Wsparcie dla aplikacji 64 bit,

•

Zintegrowana usługa UPH Clean Service

Wsparcie dla platformy 64 bitowej

Wykorzystanie platformy 64 bitowej umożliwia wykorzystanie większych przestrzeni adresowych
dostępnych dla trybu jądra systemu operacyjnego. W przypadku 32 bitowych systemów
operacyjnych dostępne jest 2 GB wirtualnej przestrzeni adresowej dla struktur danych. Wartość ta
wzrasta do 8 TB w przypadku systemów 64 bitowych, a to już znaczna różnica dla wydajności,
skalowalności i bezpieczeństwa. Usługi Terminalowe zainstalowane na 64 bitowej platformie
serwerowej posiadają następujące funkcjonalności:

• Obsługa aplikacji 32 bitowych,
• Obsługa sterowników 64 bitowych,
• Możliwość uruchamiania aplikacji 32 o zwiększonym zapotrzebowaniu na przestrzeń

adresową (4 GB),

• Uruchamianie aplikacji 64 bitowej w 8 TB wirtualnej przestrzeni adresowej,
• Ułatwiają migrację do 64 bitowej platformy serwerowej.

Instalacja i konfiguracja usługi

Instalacja roli Usług Terminalowych umożliwia udostępnianie na Windows Server 2008 zarówno
pojedynczej aplikacji jak i całego pulpitu serwera. Aby w pełni zapewnić funkcjonalność usługi
Serwera Terminali zostały określone następujące komponenty:

• Serwer Usług Terminalowych – umożliwia publikację aplikacji dla użytkowników,
• Serwer Licencji dla Usług Terminalowych – zarządza licencjami dostępowymi klienta usług

terminalowych (TS CALs)
TS Session Broker – zapewnia użytkownikom powrót do swoich sesji w przypadku zerwania
łączności pomiędzy klientem a serwerem terminalowym. Jeżeli w organizacji
wykorzystywane są usługi równoważenia obciążenia sieciowego dla farmy serwerów
terminalowych, usługa TSSB umożliwi przekserowanie zapytań klientów do najmniej
w danym momencie obciążonego serwera w farmie.

• Brama Usług Terminalowych (TS Gateway) – zapewnia bezpieczną komunikację pomiędzy

klientami zdalnymi a opublikowanymi zasobami w przedsiębiorstwie.

• Dostęp Web do Usług Terminalowych (TS Web Access) – umożliwia użytkownikom dostęp

do opublikowanych aplikacji przez stronę Web.

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 8/26

Mechanizmy uwierzytelnienia

Kontrola dostępu do serwerów terminalowych stanowi bardzo ważny element w planowaniu
i wdrażaniu ich w przedsiębiorstwie. Tak jak wspomniano wcześniej, mechanizmy zabezpieczeń
oparte są na platformie Windows Server 2008. Wspierane są następujące mechanizmy:

• Network Level Authentication – umożliwia na przeprowadzenie procesu uwierzytelnienia

klienta zanim jeszcze nastąpi pełne połączenie z usługą Pulpitu Zdalnego. Taki mechanizm
uwierzytelnienia dostarcza wielu korzyści, min.:

•

Mniejsze zapotrzebowanie na zasoby serwera terminalowego. W fazie uwierzytelniania

wykorzystywane są minimalne zasoby serwera a nie pełna usługa pulpitu zdalnego,

•

Zmniejsza ryzyko wystąpienia ataków DoS na usługę terminalową,

•

Umożliwia dwukierunkową autentykację.

• Server Authentication – zapewnia weryfikację serwera, z którym nawiązywane jest

połączenie. Minimalizuje zagrożenie ujawnienia poufnych informacji na nieautoryzowanych
serwerach terminalowych.

• Single Sign-on – umożliwia uwierzytelnienie użytkowników kontem domenowym.

Zarządzanie urządzeniami

Usługi Terminalowe Windows Server 2008 umożliwiają przekierowanie podłączonych urządzeń do
sesji terminalowych. Warunkiem wykorzystania tej funkcjonalności jest wykorzystywanie klienta
usług terminalowych w wersji 6.0 lub wyższej.

Scenariusze wykorzystania Usług Terminalowych Windows Server 2008

Zastosowanie usług terminalowych w przedsiębiorstwie może być podyktowane różnymi
potrzebami, które zostały zebrane w siedem głównych scenariuszy zastosowania.

Scentralizowany dostęp do aplikacji

Usługi Terminalowe zapewniają scentralizowany dostęp do aplikacji poprzez:

• Dostęp do aplikacji biznesowych z sieci Internet i Intranet,
• Dostarczanie użytkownikom centralnie zarządzanego środowiska pulpitów,

Zapewnienie łatwego i bezpiecznego dostępu do scentralizowanych aplikacji, pulpitów
i zasobów organizacji z Internetu, dzięki użyciu HTTPS bez potrzeby budowaniu infrastruktury
Dostępu Zdalnego (VPN) i skomplikowanej konfiguracji systemów Firewall.

Zwiększenie bezpieczeństwa

Zapewnienie bezpieczeństwa w dostępie do danych korporacyjnych jest sprawą kluczowa tak jak
zarządzanie ich odpornością na awarie. Usługi Terminalowe umożliwiają:

• Usuniecie ryzyka utraty danych z komputerów przenośnych dzięki użyciu bezpiecznego

zdalnego dostępu do aplikacji i centralnego przechowywania danych,

• Bezpieczny i poufny dostęp do pojedynczych aplikacji bez konieczności uruchamiania

pełnego pulpitu zdalnego,

• Prowadzenie kontroli dostępu do specyficznych zasobów w sieci korporacyjnej,
• Zapewnienie bezpiecznego dostępu do zasobów przedsiębiorstwa poprzez użycie protokołu

HTTPS.

Scentralizowane zarządzanie aplikacjami

Mechanizmy centralnego zarządzania aplikacjami umożliwia:

• Szybką alokację programów na dostępnych terminalach w przedsiębiorstwie,
• Umożliwiają zdalny dostęp do aplikacji, których budowa uniemożliwia poprawne

funkcjonowanie w sieciach WAN.

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 9/26

Redukowanie obciążenia łączy

Usługi Terminalowe umożliwiają zmniejszenie zapotrzebowanie na szerokość pasma sieciowego
podczas dostępu do aplikacji zdalnych.

Zwiększona produktywność użytkowników

Dzięki Usługom Terminalowym produktywność użytkowników w całej organizacji wzrasta.
Minimalizowane są również przestoje w dostępie do wymaganych aplikacji. Wszystkie te cechy
zapewniane są gdyż:

• Użytkownicy mają dostęp do wymaganych aplikacji z dowolnego miejsca i z różnych

urządzeń tj. komputery, kioski internetowe, urządzenia mobilne,

• Nowe technologie Usług Terminalowych dostarczają aplikacji integrujących się z lokalnym

środowiskiem użytkownika, niwelują problem z przechowywaniem danych wrażliwych.

Uproszczenie infrastruktury

Dzięki swoim cechom usługi terminalowe znacznie upraszczają infrastrukturę przedsiębiorstwa
i dostarczają partnerom handlowym i klientom uproszczony dostęp do aplikacji.

Optymalizacja oddziałów zdalnych

Usługi Terminalowe mogą zapewnić znacznie wyższą wydajność programów używanych przez
pracowników w oddziałach zdalnych, którzy potrzebują dostępu do firmowych magazynów danych.
Często aplikacje biznesowe nie są wyposażone w protokoły klient/serwer, co znacznie utrudnia ich
implementacje w środowisku rozproszonym, Często też działanie takich aplikacji poprzez Usługi
Terminalowe jest znacznie wydajniejsze niż przez sieci WAN. Często, więc dla tego typu aplikacji
Usługi Terminalowe stają się jedyną alternatywą.

Zarządzanie Usługami Terminalowymi Windows Server 2008

Narzędzia systemowe

W środowisku Windows Server 2008 do zarządzania usługami terminalowymi można wykorzystać
kilka różnego rodzaju narzędzi. Głównym narzędziem zarządzania Usługami Terminalowymi jest
Server Manager, przy pomocy, którego możliwe jest zarządzanie rola serwera terminalowego, a w
szczególności:

• Zarządzanie konfiguracją sesji użytkowników Usług Terminalowych
• Zarządzanie konfiguracją serwerów terminalowych
• Zarządzanie bramą Usług Terminalowych (TS Gateway)
• Zarządzanie aplikacjami zdalnymi i dostępem przez sieć Internet

W zależności od zainstalowanych dodatków i rozszerzeń Usług Terminalowych możliwe będzie
zarządzanie:

• Serwerem Licencjonowania Usług Terminalowych
• Session Broker
• Politykami dostępowymi NAP

Konfigurowanie usług terminalowych za pomocą usługi WMI

Dostawca WMI usług terminalowych

Dostawca Instrumentacji zarządzania Windows (WMI) usług terminalowych umożliwia
administratorom tworzenie skryptów niestandardowych, za pomocą, których konfiguruje się
serwery terminali, zarządza się nimi i wysyła do nich kwerendy. Dostawca ten zawiera właściwości
i metody służące do wykonywania takich samych zadań, jak za pomocą narzędzi konfiguracyjnych
usług terminalowych i narzędzi wiersza polecenia, które są dostępne w systemach operacyjnych
z rodziny Windows Server, ale w sposób zdalny i przy użyciu aplikacji z obsługą skryptów.

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 10/26

Przykładowe skrypty umożliwiające zarządzanie usługami terminalowymi można znaleźć pod
adresem http://www.microsoft.com/technet/scriptcenter/scripts/default.mspx.

Korzyści z wdrażania Usług Terminalowych Windows Server 2008

Wdrożenie w przedsiębiorstwie Usług Terminalowych Windows Server 2008 niesie za sobą wiele
korzyści. Najważniejsze z nich zostały przedstawione poniżej:

• Szybkie wdrażanie aplikacji, które są często aktualizowane, rzadko używane lub trudne w

konfiguracji i obsłudze,

• Scentralizowany dostęp do pojedynczych aplikacji bez potrzeby korzystania z pełnego

środowiska pulpitu serwera (Pulpit Zdalny). Aplikacje uruchamiane zdalnie są integrowane ze
środowiskiem lokalnym użytkownika, dzięki czemu użytkownik nie zauważa różnicy
w działaniu aplikacji RemoteApp i aplikacji zainstalowanych lokalnie,

• Uproszczone mechanizmy dostępu do aplikacji biznesowych dla pracowników, partnerów

i klientów przedsiębiorstwa
Zapewnienie pracownikom dostępu do scentralizowanych aplikacji, pulpitów i źródeł sieci
Internet poprzez bezpieczne kanały tj. HTTPS. Niweluje to potrzebę konfigurowania
w przedsiębiorstwie pełnej infrastruktury dostępu zdalnego opartego o Wirtualne Sieci
Prywatne (VPN) oraz otwierania dodatkowych portów na systemach Firewall,

• Możliwość prostego i bezpiecznego połączenia zdalnego użytkowników z serwerami

terminali i zdalnymi pulpitami z sieci chronionych systemami zapór Firewall oraz translacji
adresów sieciowych (NAT),

• Optymalizacja przepustowości łącza na potrzeby dostępu do aplikacji zdalnych,
• Usprawnione działanie aplikacji dla pracowników zdalnych w dostępie do centralnych

składnic danych.

Podsumowanie

W rozdziale tym zostały przedstawione najważniejsze informacje związane z funkcjonowaniem
usług terminalowych na platformie Windows Server 2008. Po zapoznaniu się z zawartością modułu
powinieneś rozumieć jak Usługi Terminalowe mogą pomóc organizacji w redukcji kosztów
infrastruktury, zwiększeniu bezpieczeństwa danych produktywności pracowników.
Platforma Usług Terminalowych Windows Server 2008 jest najbardziej rozwiniętą platformą
aplikacyjną, jaka kiedykolwiek udostępniła firma Microsoft. Obecne Usługi Terminalowe oferują
funkcjonalności, które radykalnie zmieniają postrzeganie roli, TS w przedsiębiorstwie.

Przykładowe rozwiązanie

Pracując, jako inżynier systemowy otrzymałeś zadanie zaplanowania i wykonania środowiska
testowego dla usług terminalowych Windows Server 2008. Analizując potrzeby środowiska
użytkowników Twojej firmy zdecydowałeś się na zbudowanie środowiska testowego zgodnie z Rys
3.

Marek Pyka
ITA-108 Technologie sieciowe

Powyższe środowisko musi z

1)

Użytkownicy przedsi

wewnętrznym serwe

2)

Przygotowane pliki

kontrolera domeny o

3)

Dostęp do aplikacji m

Poniższe ćwiczenie w
niezalecana zainstaluj

zmniejszy zapotrzebowanie
ćwiczenia należy zwiększyć i
klienta testującego funkcjona

Zadanie

Tok po

1.

Instalacja roli

serwera terminali

• O

kl
na

• W
• N

D

• N

te

• N
• N

te

• Pr

in
kl

• N

w
D

• N

lic
te

Usługi termin

Strona 11/26

Rys. 3 Środowisko Usług Terminalowych

si zapewnić następujące funkcjonalności:

edsiębiorstwa wykorzystują aplikacje typu Remote

rwerze terminali

liki aplikacji zdalnych mają być składowane n

ny o nazwie RemoteApp

cji mają mieć wyłącznie użytkownicy domenowi.

ie wykonaj na serwerze ITA-DC01. Pomimo, że

taluj rolę Serwera Terminali na kontrolerze dome

nie środowiska na zasoby sprzętowe komputeró

zyć ilość dostępnej pamięci operacyjnej RAM dla IT

jonalność użyj ITA-CL01.

k postępowania

Otwórz Menedżer serwerów. Aby otworzyć M
kliknij przycisk Start, wskaż polecenie Narzędzi
następnie kliknij polecenie Menedżer serwerów.
W oknie Podsumowanie ról kliknij polecenie Doda
Na stronie Przed rozpoczęciem Kreatora dodawa
Dalej.
Na stronie Wybieranie ról serwera zaznacz
terminalowe, a następnie kliknij przycisk Dalej.
Na stronie Usługi terminalowe kliknij przycisk Dal
Na stronie Wybieranie ról serwera zaznacz p
terminali, a następnie kliknij przycisk Dalej.
Przejrzyj informacje na stronie Odinstalo
instalowanie aplikacji w celu zapewnienia zgo
kliknij przycisk Dalej.
Na stronie Określanie metody uwierzytelniani
wybierz żądaną metodę uwierzytelniania, a nast
Dalej.

Jakie metody uwierzytelnienia zaproponowałb
środowiska?

Na stronie Określanie trybu licencjonowania za
licencji w późniejszym czasie (daje to użytko
testowanie usług terminalowych) i kliknij Dalej.

Moduł IX

minalowe Windows Server 2008

oteApp opublikowane na

e na udziale sieciowym

, że jest to konfiguracja

omeny. Taka konfiguracja

terów. Na potrzeby tego

la ITA-DC01 do 1 GB. Jako

yć Menedżer serwerów,

ędzia administracyjne, a

.

odaj role.

awania ról kliknij przycisk

cz pole wyboru Usługi

Dalej.

cz pole wyboru Serwer

talowanie i ponowne

zgodności, a następnie

iania serwera terminali

następnie kliknij przycisk

wałbyś dla omawianego

zaznacz wybór serwera

tkownikom 120 dni na

Marek Pyka
ITA-108 Technologie sieciowe

• N

se
gr
D

• W

Cz
ut
Ka

• N

se
Za

• N

ur
pr
ur

• Po

w
st
pr

2.

Instalacja

programów na
serwerze
terminali

• Ab

se

• Pr

ch
ch

3.

Sprawdzenie

ustawień
zdalnego
połączenia

• U

kl
na

• W
• W

si
sk
z

—

—

• Ab

te
uż

Usługi termin

Strona 12/26

Na stronie Wybieranie grup użytkowników z p
serwera terminali dodaj dowolną liczbę użytko
grupy użytkowników pulpitu zdalnego, a nastę
Dalej.
Wykorzystaj do tego celu grupę o nazwie Ksiegow
Członkami tych grup powinni być odpowiednio Kim
utworzyć na kontrolerze domeny i ustanowić czł
Kaja.
Na stronie Potwierdzanie opcji instalacji spra
serwera terminali będzie instalowana, a nastę
Zainstaluj.
Na stronie Wyniki instalacji pojawi się m
uruchomieniu serwera, w celu zakończenia proc
przycisk Zamknij, a następnie kliknij przycisk
uruchomić serwer.
Po ponownym uruchomieniu serwera, Kreat
wznowieniu kończy instalację. Kiedy pojawi się
statusu Instalacja powiodła się na stronie Wy
przycisk Zamknij.

Zaleca się, aby programy instalować na se
zainstalowaniu usługi roli serwera termin

wykonywana jest instalacja z pakietu instalator
ten automatycznie zainstaluje się w trybie
terminali. W wypadku instalacji z inneg
instalacyjnego, należy skorzystać z jednej z me
poniżej w celu przełączenia serwera na tryb insta

Aby zainstalować program, skorzystaj z opcji Inst
serwerze terminali znajdującej się w Panelu stero
Przed instalacją programu z wiersza poleceń
change user /install. Po zainstalowaniu program
change user /execute, aby wyjść z trybu instalacji.

Czy wiesz może jak uniknąć problemów z m
serwerów terminali?

Uruchom narzędzie systemowe. Aby to zrobić,
kliknij polecenie Uruchom, wpisz: control syste
następnie kliknij przycisk OK.
W sekcji Zadania kliknij polecenie Ustawienia zda
W polu dialogowym Właściwości systemu, w ka
się, że ustawienia podłączania pulpitu zdalneg
skonfigurowane w zależności od środowiska. Moż
z następujących opcji:

— Zezwalaj na połączenia z komputera z do

zdalnego (opcja mniej bezpieczna)

— Zezwalaj na połączenia z komputera z p

uwierzytelnianiem na poziomie sieci (opcja bard

Aby uzyskać więcej informacji na temat powy
Zdalne kliknij łącze Pomóż mi wybrać.

Aby dodać użytkowników i grupy, które podłąc
terminali przy użyciu pulpitu zdalnego, kliknij p
użytkowników, a następnie kliknij przycisk Dodaj.

Moduł IX

minalowe Windows Server 2008

z prawem dostępu do

ytkowników lub grup do

astępnie kliknij przycisk

egowosc oraz Marketing.
o Kim i Kaja. Grupy należy

ć członkowstwo dla Kim i

sprawdź, czy usługa roli

astępnie kliknij przycisk

monit o ponownym

procesu instalacji. Kliknij

cisk Tak, aby ponownie

reator konfiguracji po
się komunikat dotyczący

Wyniki instalacji, kliknij

serwerze terminali po

rminali. Jeśli instalacja

atora Windows, program

rybie instalacji serwera

nego rodzaju pakietu

metod przedstawionych

instalacji:

Instalowanie aplikacji na

terowania.

ceń uruchom polecenie

ramu uruchom polecenie

lacji.

z mnożeniem się bytów

bić, kliknij przycisk Start,
ystem w polu Otwórz, a

zdalne.

karcie Zdalne, upewnij

lnego zostały poprawnie
Można wykorzystać jedną

dowolną wersją pulpitu

z pulpitem zdalnym z

bardziej bezpieczna)

owyższych opcji, w karcie

dłączają się do serwera

ij polecenie Wybieranie

daj.

Marek Pyka
ITA-108 Technologie sieciowe

• D

pu

4.

Dodawanie

programów do
listy programów
trybu RemoteApp

• U

zr
ad
kl

• W
• N

D

• N

pr
pr
Re

• Ab

na
si

—

—

—

—

—

—

• Po

O

• N

pr

• W

Re

5.

Konfiguracja

globalnych
ustawień

Usługi termin

Strona 13/26

Dodani użytkownicy i grupy zostają dodani do
pulpitu zdalnego.
Uruchom menedżera funkcji RemoteApp usług te
zrobić,

kliknij

przycisk

Start,

wskaż

p

administracyjne, wskaż polecenie Usługi termi
kliknij polecenie Menedżer funkcji RemoteApp us
W okienku Akcje kliknij polecenie Dodaj programy
Na stronie Kreator funkcji RemoteApp – Zapras
Dalej.
Na stronie Wybierz programy, które zostan
programów trybu RemoteApp zaznacz pole w
programu, jaki ma zostać dodany do listy
RemoteApp. Możliwe jest wybranie wielu program

Programy pokazane na stronie Wybierz prog
dodane do listy programów trybu RemoteApp
dostępne w menu Start wszystkich użytkow
terminali. Jeśli program, który ma zosta
Programów trybu RemoteApp nie znajduje si
przycisk Przeglądaj, a następnie określ lokaliza
programu.

Aby skonfigurować właściwości programu trybu
nazwę programu, a następnie kliknij polecenie
się z możliwościami konfiguracji:

— Nazwę programu, jaka pokaże się użytkow

nazwę, wpisz nową nazwę w polu Nazw
RemoteApp.

— Ścieżkę wykonywalnego pliku programu. Aby z

nową ścieżkę w polu Lokalizacja, lub kliknij prz
zlokalizować plik.exe.

— Alias programu trybu RemoteApp. Alias to unik

programu, który domyślnie odnosi się do nazwy
rozszerzenia). Nie zaleca się zmiany tej nazwy.

— Czy program trybu RemoteApp dostępny jest p

Dostęp w sieci Web do usług terminalowych
trybu RemoteApp jest dostępny przy użyciu
sieci Web do usług terminalowych jest domyś
zmienić, zaznacz lub wyłącz zaznaczenie
wyboru.

— Czy argumenty wiersza poleceń są dozwolone, n

należy zawsze używać tych samych argumentów

— Ikonę programu, jaka zostanie użyta. Aby z

przycisk Zmień ikonę.

Po zakończeniu konfigurowania właściwości prog
OK, a następnie kliknij przycisk Dalej.
Na stronie Przegląd ustawień sprawdź ustawien
przycisk Zakończ.
Wybrane programy powinny pojawić się na liś
RemoteApp.

Dowolne zmiany ustawień wdrażania wp
korzystania z Menedżera funkcji RemoteApp us
celu utworzenia plików.rdp lub pakietów

Moduł IX

minalowe Windows Server 2008

do grupy użytkowników

g terminalowych. Aby to

polecenie

Narzędzia

rminalowe, a następnie

p usług terminalowych.

amy trybu RemoteApp.

praszamy kliknij przycisk

staną dodane do listy

e wyboru obok każdego

listy Programów trybu
gramów.
programy, które zostaną

pp to programy, które są

tkowników na serwerze

ostać dodany do listy

je się na tej liście, kliknij

alizację pliku.Exe danego

bu RemoteApp, kliknij na

ie Właściwości. Zapoznaj

kownikom. Aby zmienić

Nazwa programu trybu

by zmienić ścieżkę, wpisz

j przycisk Przeglądaj, aby

unikalny identyfikator dla

azwy pliku programu (bez

est przy użyciu programu

ych. Ustawienie Program

ciu programu Dostęp w

myślnie włączone. Aby je

ie odpowiedniego pola

ne, niedozwolone, lub czy

tów wiersza poleceń
y zmienić ikonę, kliknij

programu, kliknij przycisk

ienia, a następnie kliknij

a liście Programy trybu

wprowadzane podczas

p usług terminalowych w

w instalatora systemu

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 14/26

wdrażania

Windows nadpiszą ustawienia globalne.

Do globalnych ustawień zaliczają się:

• Ustawienia serwera terminali
• Ustawienia bramy usług terminalowych
• Zwykłe ustawienia protokołu Remote Desktop Protocol (RDP)
• Niestandardowe ustawienia protokołu RDP
• Ustawienia podpisu cyfrowego

6.

Konfiguracja

ustawień serwera
terminali

• W okienku Akcje Menedżera funkcji RemoteApp usług terminalowych,

kliknij polecenie Ustawienia serwera terminali. (Lub w okienku
Przegląd, obok Ustawień serwera terminali, kliknij przycisk Zmień.)

• W karcie Serwer terminali, w Ustawieniach połączenia, zaakceptuj lub

zmodyfikuj nazwę serwera lub farmy serwerów, numer portu
protokołu RDP oraz ustawienia uwierzytelniania serwera.

• Aby zapewnić połączenie z pełnym pulpitem serwera terminali przy

użyciu programu Dostęp w sieci Web do serwera terminali, w oknie
Dostęp do pulpitu zdalnego zaznacz pole wyboru Pokaż podłączanie
pulpitu zdalnego do tego serwera terminali w programie Dostęp w
sieci Web do serwera terminali.

• W oknie Dostęp do programów spoza listy wybierz jedną z

następujących opcji:

— Nie zezwalaj użytkownikom na uruchamianie programów spoza listy

przy połączeniu początkowym (zalecane)

— Zaleca się wybranie powyższego ustawienia, aby wspomóc ochronę

przed złośliwymi użytkownikami lub użytkownikami, którzy w trakcie
połączenia początkowego nieświadomie uruchamiają program z pliku
.rdp.

— Zezwalaj użytkownikom na uruchamianie programów z listy i spoza

niej przy połączeniu początkowym

7.

Publikacja i

testowanie
aplikacji zdalnych

Publikacja aplikacji zdalnych może odbywać się na dwa sposoby. Pierwszym
jest utworzenie skrótu w postaci pliku .rdp, który będzie działał niemalże
identycznie jak ikona aplikacji. Kolejnym sposobem jest utworzenie paczki
.msi, z wykorzystaniem, której możliwa jest dystrybucja przy użyciu GPO
oraz przypisanie aplikacji zdalnej, jako domyślnego programu dla plików z
konkretnymi rozszerzeniami.

• Niezależnie od wyboru sposobu publikacji, cały proces odbywa się

ponownie z wykorzystaniem kreatora.

• Pierwszym etapem konfiguracji publikacji zdalnych aplikacji jest

określenie folderu, w jakim będą przechowywane pliki. Można
wykorzystać zasób sieciowy i w ten sposób przekazywać użytkownikom
aplikacje. Można także określić parametry serwera w tym port, przez
który odbywać się będzie komunikacja, określić użycie Terminal
Services Gateway, czyli nowej opcji Terminal Services pozwalającej na
łączenie się klientów za pośrednictwem portu, 443 czyli protokołu
HTTPS, a także podpisać aplikacje certyfikatem w celu umożliwienia
klientom określenie wiarygodności źródła, z jakiego pochodzą aplikacje
zdalne

• Specyficzne ustawienia przypisane są tworzeniu paczek .msi. Określa

się miejsce, w którym dodane mają zostać ikony aplikacji (Pulpit lub
menu Start) oraz czy aplikacja ma stać się domyślnym programem dla
przypisanych jej rozszerzeń.

• Po zakończeniu tego procesu pozostaje jedynie przekazanie

Marek Pyka
ITA-108 Technologie sieciowe

st
ut
N
w
lu

• W

je
to
kt

• Pr
• Za

ap
od
ro
po

• U

Porady praktyczne

Uwagi ogólne

• Pamiętaj, że znajomoś

prowadzenie czynnośc

• W środowisku rozpros
• Wypracuj sobie meto

terminali w sytuacjach

• Nie stosuj dynamiczne
• Zaplanuj rozwiązania

terminalowych.

• Zaplanuj rozdział aplik
• Rozważ stosowanie w

sprzętowych.

Integracja z innymi usług

• Usługi terminalowe t

usługami, z jakimi się i

• Zapewnienie wysokie

Windows Server 2008

• Pamiętaj, że usługa

mechanizmy odpornoś

Zalecenia

• Aby w pełni wykorzyst
• Uaktualnić serwery ter
• Skonfigurować kompu

6.0 lub wyższej,

• Korzystać z usługi SSO

uwierzytelnienia i uspr

Usługi termin

Strona 15/26

stworzonych plików klientom, w naszym wypad
utworzonym

udziale

sieciowym

o

na

Najwygodniejszym sposobem z punktu widzenia a
wykorzystanie paczek .msi i ich zdalna instalacja z
lub System Center Configuration Manager.
W specyficznych warunkach można wykorzystać
je użytkownikowi, np. z wykorzystaniem poczty e
to szczególnie interesujący scenariusz dla kom
które będą pracować poza domeną.
Przekopiuj pliki rdp i msi na pulpit klienta.
Zainstaluj pliki msi. Przyglądając się klientow
aplikacjami RemoteApp, na pierwszy rzut oka nie
od tych zainstalowanych lokalnie. Pliki .rdp dom
rodzaj ikony niż odpowiadająca im aplikacja, ale
pod względem użycia.
Uruchom aplikacje zdalne.

Jak rozpoznać, która z uruchomionych aplikac
która w trybie terminala?

mość zasad wykorzystania Usługi Terminalowych mo

ności administracyjnych w przyszłej pracy.

proszonym zaplanuj wykorzystanie Usług Terminalow

etody zarządzania danymi i aplikacjami opubliko

jach awaryjnych.

znego przydzielania adresów IP dla serwerów termin

ania równoważenia obciążenia sieciowego do

plikacji biznesowych na różne serwery terminali w p

ie wirtualizacji aplikacji SoftGrid do optymalnego w

ługami

e traktowane są jak pojedyncza rola serwerow

się integruje są: Active Directory, DNS, File Server.

okiej dostępności serwerów terminalowych za

008.

ga DNS jest krytyczna dla działania całej organ

rności na awarie tj. kopie zapasowe konfiguracji i ser

zystać możliwości Usług Terminalowych Windows Se

y terminalowe przedsiębiorstwa do Windows Server

putery klienckie tak, aby wykorzystywała Remote D

i SSO Usług Terminalowych aby scentralizować ad

usprawnić pracę użytkowników,

Moduł IX

minalowe Windows Server 2008

padku zapiszemy pliki w

nazwie

RemoteApp.

nia administratora będzie

ja z wykorzystaniem GPO

tać pliku .rdp przekazując
zty elektronicznej, będzie

komputerów mobilnych,

towi z zainstalowanymi

a nie można odróżnić ich
domyślnie posiadają inny

ale nie różnią się niczym

likacji pracuje lokalnie a

może znacznie ułatwić Ci

alowych.

likowanymi na serwerach

rminali.

dostępie do serwerów

w przedsiębiorstwie.

o wykorzystania zasobów

rowa, dlatego głównymi

zapewniają usługi NLB

rganizacji, dlatego stosuj

i serwerów.

s Server 2008 należy:

rver 2008,

te Desktop Client w wersji

ć administrację procesem

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 16/26

• Dostęp do zasobów przedsiębiorstwa z sieci Internet powinien być realizowany przy

wykorzystaniu Terminal Service Gateway

Terminal Service Gateway

• Wykorzystuj TSG w dostępie do zasobów zamiast sieci VPN wtedy, gdy, lokalne kopi danych

nie są wymagane, wymagane są wyższe parametry transmisji oraz gdy przesyłane dane, ich
rozmiar i format powodują, iż transmisja przez sieć VPN jest nie optymalna,

• Budując infrastrukturę Usług Terminalowych zapewnij osobny serwer dla TSG,
• Dostępem do zasobów przez TSG steruj odpowiednio zdefiniowanymi politykami dostępu

(unikaj ogólnych grup użytkowników),

• Zawsze monitoruj zdarzenia na TSG,
• Stosowanie certyfikatów typu Self-Signed jest zalecane wyłącznie w środowisku testowym,

Planując bezpieczeństwo dla Usług Terminalowych rozważ stosowanie systemów Firewall
w warstwie aplikacyjnej, tak aby możliwe było filtrowanie ruchu RPC,

• Nie należy traktować polityk ograniczenia dostępu do TSG jako atrybutu bezpieczeństwa

sieci, jest to bardziej parametr konfiguracyjny niż bezpieczeństwa.

Terminal Server RemoteApp

TM

• Konsoliduj aplikacje o podobnej funkcjonalności (np. Microsoft Office) na tym samym

serwerze terminali,

• Rozważ rozmieszczenie aplikacji na rożnych serwerach terminali w sytuacji:

•

Gdy aplikacja ma problemy z kompatybilnością

•

Parametry aplikacji lub liczba klientów z niej korzystających wymaga pełnej wydajności

serwera

•

W sytuacji wykorzystywania farm serwerów terminalowych i balansowania obciążenia dla

pojedynczych aplikacji, których wymagania wydajnościowe przekraczają możliwości
jednego serwera terminali.

•

W sytuacji opisanej w poprzednim punkcie rozważ wykorzystanie SoftGrid Application

Virtualization for Terminal Server

• Stosowanie certyfikatów typu Self-Signed jest zalecane wyłącznie w środowisku testowym,
• Planując bezpieczeństwo Usług Terminalowych rozważ rozmieszczenie serwera TS

RemoteApp

TM

za systemem firewall warstwy aplikacji tj. ISA Server.

TS Web Access

• Standardowa instalacja usług TS Web Access na jednym serwerze nie wymaga zmiany

ustawień domyślnych,

• Scenariusz wykorzystujący wiele serwerów:
• Wykorzystuj usługę Active Directory do dystrybucji pakietów MSI dla aplikacji zdalnych
• Dla klientów lokalnych rozważ publikacje plików MSI przy wykorzystaniu System Center

Configuration Manager lub rozwiązań bazujących na językach skryptowych.

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium, jeśli:

•

Rozumiesz zasady wykorzystania Usług Terminalowych w przedsiębiorstwie

•

umiesz instalować role i funkcje na platformie Windows Server 2008

•

umiesz zaplanować wykorzystanie Usług Terminalowych w przedsiębiorstwie

•

potrafisz podać przykłady zagrożeń wynikających ze źle zaprojektowanej infrastruktury

serwerów Usług Terminalowych

•

znasz zasady zarządzania serwerami usług terminalowych w środowisku rozproszonym

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 17/26

•

zapoznałeś się z głównymi pojęciami dotyczącymi Usług Terminalowych Windows Server

2008 (TSG, TSSB, TSWA, NPS, RemoteApp)

•

Przed zainstalowaniem serwera Usług Terminalowych zidentyfikuj:

•

Wymagania serwera TS dotyczące sprzętu i magazynowania.

•

Którzy klienci w przedsiębiorstwie spełniają wymagania dotyczące połączeń z TS

•

Zaplanuj hierarchię Usług Terminalowych oraz zasady równoważenia obciążenia

sieciowego.

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.

Dodatkowe źródła informacji

1.

http://pl.wikipedia.org/wiki/Microsoft_Windows_Server_2008

Opis środowiska Windows Server 2008 oraz podstawowych ról serwerowych.

2.

http://www.microsoft.com/poland/technet/article/default.mspx

Zbiór artykułów ekspertów w tym też kilka na temat Usług Terminalowych Windows Server
2008

3.

Robert Chyra Usługi terminalowe Windows 2000, Helion 2003

Ciekawa pozycja na temat implementacji usług terminalowych w systemach Windows

4.

Christa Anderson, Windows Server 2008 Terminal Services Resource Kit, Microsoft Press, 2008

Kompleksowe opracowanie dotyczące Usług Terminalowych Windows Server 2008.

5.

http://community.winsupersite.com/blogs/itprotips/archive/2008/01/08/developing-for-

windows-server-2008-terminal-services-level-300.aspx
Przeglądowa prezentacja o publikacji Usług Terminalowych Windows Server 2008 z
tegorocznego TechED

6.

http://www.microsoft.com/poland/technet/article/art0065_01.mspx

Bardzo dobry artykuł na temat wdrażania usług Session Broker i NLB dla usług
terminalowych. Przydatny przy zadaniach zaawansowanych.

7.

http://www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/cr168_01.mspx#E

MB

Ciekawy artykuł traktujący o podstawach usług terminalowych. Polecam jako
uzupełnienie niniejszego rozdziału.

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium podsta

Problem 1 (czas realizacj

W oparciu o infrastrukturę p
Zgodnie z przyjętymi założen

• Zainstalować i skon

użytkownicy działu ma
zewnętrznych
Zaplanować i wdroż
z serwerem termina
i przeźroczyste dla uży

• Zainstalować i skonfigu

Do realizacji tego zadan
Na komputerze tym zo
Windows Server 2008.

Zadanie

Tok p

1.

Instalacja roli

bramy serwera
terminali

—
—

—

—
—

—

—

—
—
—

—

—

Usługi termin

Strona 18/26

stawowe

acji 45 min)

rę przedstawioną na Rys. 3 przeprowadzić dalszą ko

żeniami w tym ćwiczeniu będziesz musiał:

konfigurować Bramę Usług Terminalowych (TS

marketing mogli otrzymywać dostęp do zasobów se

drożyć mechanizmy zabezpieczeń dla transmis

inali. Pamiętaj, że mechanizmy zabezpieczeń m

użytkowników

nfigurować dostęp do aplikacji zdalnych przez witryn

adania konieczne będzie wykorzystanie dodatkoweg

zostanie zainstalowana i skonfigurowana rola Bram

08.

ok postępowania

• Otwórz konsolę Server Manager. W tym ce

Administrative Tools, po czym kliknij Server M

• Jeśli rola Terminal Services nie jest jeszcze zai

— W konsoli Server Manager kliknij Add Roles pon
— W kreatorze Add Roles Wizard, jeśli pojawi s

Begin , kliknij Next. Strona ta nie pojawi się,
inne role i zaznaczono pole wyboru Skip this pa

— Na stronie Select Server Roles zaznacz po

Services poniżej Roles, po czym kliknij Next.

— Na stronie Terminal Services kliknij Next.
— Na stronie Select Role Services zaznacz pole w

liście Role services.

— Jeśli pojawi się monit o zainstalowanie

wymaganych przez TS Gateway, kliknij Add Req

— Na stronie Select Role Services upewnij się

usługa TS Gateway, po czym kliknij Next.

• Jeśli rola Terminal Services została już zainsta

— Kliknij Terminal Services poniżej Roles Summar
— W części Role Services kliknij Add Role Service
— Na stronie Select Role Services zaznacz pole

po czym kliknij Next.

— Jeśli pojawi się monit o zainstalowanie

wymaganych przez, TS Gateway, kliknij Add Re

— Na stronie Select Role Services kliknij Next.

• Na stronie Choose a Server Authenticatio

Encryption określ, czy chcesz wybrać istn
potrzeby szyfrowania SSL (zalecane), utwor
certyfikat SSL lub odłożyć wybór certyfika
wykonujesz instalację na nowym serwerze,
certyfikatu, przeczytaj rozdział pomocy Uz
dla serwera TS Gateway, zawierający inform
dotyczących certyfikatu oraz o metod
instalowania certyfikatów.

Moduł IX

minalowe Windows Server 2008

ą konfigurację środowiska.

(TS Gateway) tak, aby

w serwera terminali z sieci

smisji klientów zdalnych

ń mają być uniwersalne

itrynę WWW (TS WA)

wego serwera ITA-SRV01.

ramy Usług Terminali

celu kliknij Start, wskaż

er Manager.

e zainstalowana:

poniżej Roles Sumary.

wi się strona Before You

się, jeśli już instalowano

is page by default .

pole wyboru Terminal

le wyboru TS Gateway na

nie dodatkowych usług

Required Role Services.

j się, że zaznaczona jest

nstalowana:

mary.

vices .

ole wyboru TS Gateway,

nie dodatkowych usług

d Required Role Services.

ation Certificate for SSL

istniejący certyfikat na

tworzyć samo podpisany

fikatu na później. Jeżeli

rze, który jeszcze nie ma

Uzyskiwanie certyfikatu

formacje o wymaganiach

etodach uzyskiwania i

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 19/26

• Na stronie Create Authorization Policies for TS Gateway określ, czy

zamierzasz utworzyć zasady autoryzacji (TS CAP oraz TS RAP) w
trakcie procesu instalacji usługi TS Gateway, czy też później. Jeśli
wybierzesz Later, będziesz musiał następnie wykonać procedurę
opisaną w podrozdziale "Tworzenie TS CAP". Jeśli wybierzesz Now,
wykonaj następujące czynności:

— Na stronie Select User Groups That Can Connect Through TS

Gateway kliknij Add, aby wskazać dodatkowe grupy użytkowników.
W oknie dialogowym Select Groups podaj lokalizację i nazwę grupy
użytkowników (Marketing), po czym kliknij OK, aby zweryfikować
nazwę i zamknąć okno dialogowe Select Groups.

— Aby wskazać więcej niż jedną grupę użytkowników, możesz wykonać

jedną następujących czynności: wpisać nazwy poszczególnych grup,
rozdzielając je średnikami, lub kolejno dla każdej z nich powtórzyć
poprzedni punkt.

— Po zakończeniu dodawania grup kliknij Next na stronie Select User

Groups that Can Connect Through TS Gateway.

— Na stronie Create TS CAP for TS Gateway zaakceptuj domyślną

nazwę zasady (TS_CAP_01) lub podaj nową nazwę, wybierz jedną
lub więcej spośród wspieranych metod uwierzytelniania, po czym
kliknij Next.

— Na stronie Create TS RAP for TS Gateway zaakceptuj domyślną

nazwę zasady (TS_RAP_01) albo podaj nazwę, po czym wykonaj
jedno z następujących: określ, czy użytkownicy mają się łączyć tylko
z komputerami zawartymi w konkretnej grupie lub grupach, po
czym wskazać te grupy, albo określ, że użytkownicy mogą się łączyć
z dowolnym komputerem w sieci. Kliknij Next.

• Na stronie Network Policy and Access Services, (która pojawia się

tylko wtedy, gdy ta usługa roli nie jest jeszcze zainstalowana)
przejrzyj informacje podsumowujące, po czym kliknij Next.

• Na stronie Select Role Services upewnij się, że opcja Network

Policy Server jest zaznaczona, po czym kliknij Next.

• Na stronie Web Server (IIS) (która pojawia się tylko wtedy, gdy ta

usługa roli nie jest jeszcze zainstalowana) przejrzyj informacje
podsumowujące, po czym kliknij Next.

• Na stronie Select Role Services zaakceptuj domyślne ustawienia

dla usługi Web Server (IIS), po czym kliknij Next.

• Na stronie Confirm Installation Options upewnij się, że

zainstalowane zostaną następujące role, usługi roli oraz funkcje:

— Terminal Services\TS Gateway
— Network Policy and Access Services\Network Policy Server
— Web Server (IIS)\Web Server\Management Tools
— RPC over HTTP Proxy
— Windows Process Activation Service\Process Model\Configuration

APIs

• Kliknij Install.
• Na stronie Installation Progress pojawią się informacje po

postępie instalacji.

• Jeśli któraś z tych ról, usług lub funkcji była już zainstalowana

wcześniej, postęp instalacji będzie ukazywał tylko instalowanie
tych składników, które są nowe.

Marek Pyka
ITA-108 Technologie sieciowe

2.

Weryfikowanie

poprawności
instalacji usługi roli
i sprawdzanie
statusu TS
Gateway

Poniż
wym
i są u

3.

Proces

instalowania i
konfiguracji
certyfikatów

Proce
konso
bada
użyci
Gate

Po u
Roles
pomo
mapo
Aby u

Usługi termin

Strona 20/26

• Na stronie Installation Results upewnij się, że

z powodzeniem, po czym kliknij Close.

oniższa procedura pozwala sprawdzić, że usługa r

ymagane przez nią inne usługi i funkcje zostały zain

są uruchomione.

• Otwórz konsolę Server Manager. W tym ce

Administrative Tools, po czym kliknij Server M

• W drzewie konsoli rozwiń węzeł Roles, po cz

Terminal Services.

• Na stronie Terminal Services w części System

że status usługi Terminal Services Gateway
tryb uruchamiania jest ustawiony na Auto.

• Zamknij konsolę Server Manager.
• Otwórz konsolę Internet Information Servic

tym celu kliknij Start, wskaż Administrative
Internet Information Services (IIS) Manager.

• W drzewie konsoli rozwiń węzeł <Nazwa_s

>\Sites\Default Web Site, po czym kliknij Def

• Prawym klawiszem myszy kliknij Default We

Web Site, po czym kliknij Advanced Settings.

• W oknie dialogowym Advanced Settings po

upewnij się, że opcja Start Automatically m
przeciwnym wypadku kliknij strzałkę w dół
wartości, po czym kliknij True.

• Kliknij OK.
• Zamknij konsolę IIS Manager.

rocedura ta opisuje tworzenie certyfikatu samo pod

onsoli TS Gateway Manager. Certyfikat taki moż

adań technicznych i testów, jeśli nie został wcz
życiu kreatora Add Roles Wizard podczas instalo

ateway.

Certyfikaty samo podpisane powinny być uży
testowych. Po utworzeniu certyfikat musi zo

komputera klienckiego (lub do udziału sie
dostępny dla tego komputera), a następn
magazynie Trusted Root Certification Author
klienckim.

o utworzeniu certyfikatu samo podpisanego przy
oles Wizard podczas instalacji usługi roli TS Gatewa
omocą konsoli TS Gateway Manager nie trzeb

apować na serwer TS Gateway.

by utworzyć samo podpisany certyfikat dla serwera

• Uruchom konsolę TS Gateway Manager. W

wskaż Administrative Tools, wskaż Termin
kliknij TS Gateway Manager.

• W drzewie konsoli kliknij węzeł reprez

Gateway, aby go zaznaczyć. Węzeł ten nosi n
którym uruchomiono usługę TS Gateway.

• W panelu wyników, poniżej tytułu Configu

View or modify certificate properties.

• Na zakładce SSL Certificate kliknij Create a

Moduł IX

minalowe Windows Server 2008

ię, że instalacja przebiegła

ga roli TS Gateway oraz

zainstalowane poprawnie

celu kliknij Start, wskaż

er Manager.

o czym podwójnie kliknij

tem Services upewnij się,

way to Running, zaś jej

ervices (IIS) Manager. W

ive Tools, po czym kliknij

er.

a_serwera_TS Gateway

j Default Web Site.

Web Site, wskaż Manage

gs.

poniżej tytułu (General)

lly ma wartość True. W

dół, aby wyświetlić listę

podpisanego przy użyciu

oże posłużyć do celów

cześniej utworzony przy

stalowania usługi roli TS

używane tylko w celach

i zostać skopiowany do

sieciowego, który jest
tępnie zainstalowany w

thorities na komputerze

przy użyciu kreatora Ad

teway lub po instalacji za

zeba go instalować ani

era TS Gateway:

W tym celu kliknij Start,

minal Services, po czym

prezentujący serwer TS

osi nazwę komputera, na

figuration Status, kliknij

e a self-signed certificate

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 21/26

for SSL encryption, a następnie Create Certificate.

• W oknie dialogowym Create Self-Signed Certificate wykonaj

następujące czynności:

— Upewnij się, że poprawna nazwa (CN) dla certyfikatu jest

wyświetlana w polu Certificate name albo wpisz nową nazwę. CN
musi być zgodna z nazwą DNS, której klienci używają do połączeń z
serwerem TS Gateway, o ile nie zamierza się użyć certyfikatów
wieloznacznych lub atrybutów SAN.

— Upewnij się, że pole wyboru Store the root certificate poniżej tytułu

Certificate location jest zaznaczone, aby przechować certyfikat
główny we wskazanej lokalizacji, dzięki czemu możliwa będzie
ręczna dystrybucja tego certyfikatu na komputerach klienckich.
Następnie określ miejsce składowania certyfikatu. Domyślnie opcja
ta jest włączona, a certyfikat umieszczany jest w folderze

— %Windir%\Users\<Username>\Documents.
— Kliknij OK.

• Jeśli zaznaczyłeś pole wyboru Store the root certificate i określiłeś

lokalizację dla certyfikatu, pojawi się komunikat, że usługa TS
Gateway utworzyła samo podpisany certyfikat, potwierdzając
lokalizację. Kliknij OK, aby zamknąć okno komunikatu.

• Ponownie kliknij OK, aby zamknąć okno dialogowe Properties

serwera TS Gateway.

4.

Tworzenie TS

CAP dla serwera TS
Gateway

Procedura poniższa przedstawia wykorzystanie konsoli TS Gateway
Manager do utworzenia niestandardowej zasady TS CAP. Alternatywnie
można użyć kreatora Authorization Policies Wizard, aby szybko utworzyć
zasady TS CAP i TS RAP dla TS Gateway.
Aby utworzyć TS CAP dla serwera TS Gateway:

• Uruchomić konsolę TS Gateway Manager.
• W drzewie konsoli kliknij węzeł reprezentujący serwer TS

Gateway, aby go zaznaczyć.

• Rozwiń węzeł Policies, po czym kliknij Connection Authorization

Policies.

• Prawym klawiszem myszy kliknij folder Connection Authorization

Policies, później Create New Policy, a następnie Custom.

• Na zakładce General wpisz nazwę zasady i upewnij się, że pole

wyboru Enable this policy jest zaznaczone.

• Na zakładce Requirements poniżej tytułu Supported Windows

authentication methods zaznacz jedno lub obydwa pola wyboru:

— Password [hasło]
— Smart card [karta inteligentna]

Jeśli wybrane zostaną obie opcje, łączyć będą mogli się klienci
używający dowolnej metody uwierzytelniania.

• Poniżej tytułu User group membership (required) kliknij Ad

Group, po czym określ grupę użytkowników, której członkowie
mogą łączyć się z serwerem TS Gateway. Musisz wskazać co
najmniej jedną grupę użytkowników. W naszym scenariuszu
wykorzystamy Marketing.

• W oknie dialogowym Select Groups wybierz lokalizację i nazwę

grupy użytkowników, po czym kliknij OK, aby sprawdzić nazwę i
zamknąć okno dialogowe Select Groups. Aby określić więcej niż
jedną grupę użytkowników, należy:

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 22/26

— Wpisać nazwę każdej grupy, rozdzielając je średnikami; albo
— Dodać kolejne grupy z innych domeny, powtarzając ten krok dla

każdej z nich.

• Aby określić kryteria członkostwa w domenie dla komputera

klienckiego (opcjonalne), kliknij Ad Group poniżej Client computer
group membership (optional) na zakładce Requirements, po czym
wybierz grupy komputerów. W konfiguracji przykładowej nie jest
określana żadna grupa komputerów.

• Wybór grupy komputerów umożliwia ta sama technika, która

posłużyła do wybrania grupy użytkowników.

• Na zakładce Device Redirection wybierz jedną z poniższych opcji,

aby włączyć lub zablokować przekierowanie urządzeń po stronie
klienta:

— Aby pozwolić na przekierowanie dowolnych urządzeń klienckich

przy połączeniu za pośrednictwem serwera TS Gateway, kliknij
Enable device redirection for all client devices. Opcja ta jest
zaznaczona domyślnie.

— Aby zablokować przekierowanie wszystkich urządzeń po stronie

klienta z wyjątkiem czytników kart inteligentnych, zaznacz opcję
Disable device redirection for all client devices except for smart card

— Aby zablokować przekierowanie tylko wybranych typów urządzeń,

kliknij opcję Disable device redirection for the following client
device types, po czym zaznacz pola wyboru odpowiadające typom
urządzeń po stronie klienta, których przekierowanie powinno zostać
zablokowane.

• Kliknij OK.
• Nowo utworzona TS CAP pojawi się w panelu szczegółów konsoli

TS Gateway Manager. Po kliknięciu nazwy TS CAP w dolnym
panelu pojawią się szczegóły zasady.

5.

Tworzenie TS

RAP i określanie
komputerów, z
którymi
użytkownicy mogą
się łączyć za
pośrednictwem
serwera TS
Gateway

Procedura ta opisuje tworzenie niestandardowej zasady TS RAP przy
użyciu konsoli TS Gateway Manager i określanie komputerów, z którymi
użytkownicy mogą się łączyć za pośrednictwem serwera TS Gateway.
Zadanie to można alternatywnie zrealizować przy użyciu kreatora
Authorization Policies Wizard.
Aby utworzyć TS RAP i określić komputery, z którymi użytkownicy mogą się
łączyć za pośrednictwem serwera TS Gateway:

• Uruchom konsolę TS Gateway Manager.
• W drzewie konsoli kliknij węzeł reprezentujący serwer TS Gateway,

aby go zaznaczyć.

• Rozwiń węzeł Policies, po czym kliknij Resource Authorization

Policies.

• Prawym klawiszem myszy kliknij folder Resource Authorization

Policies, następnie Create New Policy, a później Custom.

• Na zakładce General wpisz nazwę zasady (nie dłuższą niż 64 znaki) w

polu Policy name.

• W polu Description wprowadź opis nowej zasady TS RAP.
• Na zakładce User Groups kliknij Ad, aby wybrać grupy

użytkowników, których ma dotyczyć ta zasada TS RAP.

• W oknie dialogowym Select Groups wybierz lokalizację i nazwę

grupy użytkowników, po czym kliknij OK, aby sprawdzić nazwę i
zamknąć okno dialogowe Select Groups. Aby określić więcej niż

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 23/26

jedną grupę użytkowników, należy:

— Wpisać nazwę każdej grupy, rozdzielając je średnikami; albo
— Dodać kolejne grupy z innych domeny, powtarzając ten krok dla

każdej z nich.

• Na zakładce Computer Group wskaż grupę lub grupy komputerów, z

którymi użytkownicy będą mogli się łączyć za pośrednictwem TS
Gateway:

— Aby wybrać istniejącą grupę zabezpieczeń, kliknij Select an existing

Active Directory security group, a następnie Browse. W oknie
dialogowym Select Group wskaż lokalizację i nazwę grupy, po czym
kliknij OK. Zwróć uwagę, że należy wybrać raczej grupy
zabezpieczeń lokalnego komputera, a nie Active Directory Domain
Services.

— Aby wskazać grupę komputerów zarządzaną przez TS Gateway,

kliknij Select an existing TS Gateway-managed computer group or
create a new one, a potem Browse. W oknie dialogowym Select a
TS Gateway-managed Computer Group wykonaj jedno z poniższych:

— Wskaż istniejącą grupę komputerów zarządzaną przez TS Gateway,

klikając jej nazwę, po czym kliknij OK, aby zamknąć okno dialogowe.

— Utwórz nową grupę komputerów zarządzaną przez TS Gateway,

klikając Create New Group. Na zakładce General wpisz nazwę i opis
grupy. Na zakładce Network Resources wpisz nazwę lub adres IP
komputera lub farmy serwerów Terminal Services, którą chcesz
dodać, po czym kliknij Ad. W naszym przypadku stwórz grupę
TS_Farm i dodaj do niej terminal serwer. Powtórz ten krok dla
kolejnych komputerów, po czym kliknij OK, by zamknąć okno
dialogowe New TS Gateway-Managed Computer Group. W oknie
dialogowym Select a TS Gateway-managed Computer Group kliknij
nazwę nowej grupy komputerów, po czym kliknij OK.

— Aby zezwolić na dostęp do dowolnych zasobów sieciowych, kliknij

Allow users to connect to any network resource, a później OK.

• Po określeniu grupy komputerów nowo utworzona zasada TS RAP

pojawi się w panelu rezultatów TS Gateway Manager. Po kliknięciu
nazwy TS RAP szczegóły zasady pojawią się w dolnym panelu.

6.

Ograniczenie

maksymalnej liczby
równoczesnych
połączeń przez TS
Gateway
(opcjonalne)

Z wyjątkiem serwerów TS Gateway zainstalowanych w systemie Windows
Server® 2008 Standard domyślnie nie jest ustawiany żaden limit liczby
równoległych połączeń, jakie użytkownicy mogą tworzyć do zasobów sieci
wewnętrznej za pośrednictwem serwera TS Gateway. W celu optymalizacji
wydajności serwera lub zapewnienia zgodności z zasadami zabezpieczeń
organizacji można określić limit liczby równoczesnych połączeń, które
klienci mogą tworzyć do zasobów sieci.
Aby ograniczyć maksymalną liczbę dozwolonych połączeń do TS Gateway:

• Uruchom konsolę TS Gateway Manager.
• W drzewie konsoli kliknij węzeł reprezentujący serwer TS

Gateway, aby go zaznaczyć.

• W drzewie konsoli rozwiń węzeł Monitoring.
• Prawym klawiszem myszy kliknij folder Monitoring, a następnie

Edit Connection Limit.

• Na zakładce General poniżej tytułu Maximum Connections

wykonaj jedno z poniższych:

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 24/26

— Aby określić maksymalną liczbę równoczesnych połączeń dla

klientów Terminal Services, kliknij Limit maximum allowed
simultaneous connections to , po czym wpisz liczbę dozwolonych
połączeń.

— Aby usunąć ograniczenie liczby dozwolonych połączeń pomiędzy

klientami a zasobami sieci wewnętrznej kliknij Allow the maximum
supported simultaneous connections. Jest to opcja domyślna.
Należy jednak pamiętać, że dla serwerów TS Gateway
zainstalowanych w systemie Windows Server 2008 Standard
maksymalna obsługiwana liczba połączeń wynosi 250.

— Aby powstrzymać tworzenie nowych połączeń pomiędzy klientami a

zasobami sieci wewnętrznej, kliknij Disable new connections .
Wybranie tej opcji powoduje tylko odrzucanie nowych prób
połączenia. Istniejące połączenia będą nadal utrzymywane przez TS
Gateway.

• Kliknij OK.

7.

Konfigurowanie

ustawień Remote
Desktop
Connection

• Uruchom klienta Remote Desktop Connection. W tym celu kliknij

Start, wskaż All Programs, następnie Accessories, po czym kliknij
Remote Desktop Connection .

• W oknie dialogowym Remote Desktop Connection kliknij Options,

aby poszerzyć okno dialogowe i wyświetlić ustawienia.

• W części Connect from anywhere na zakładce Advanced kliknij

Settings.

• W oknie dialogowym TS Gateway Server Settings zaznacz

odpowiednie opcje:

— Automatically detect TS Gateway server settings (domyślne).
— Use these TS Gateway server settings.
— Bypass TS Gateway server for local addresses.

• Jeżeli komputer znajduje się w sieci LAN, ale zamierza się

przetestować łączność za pośrednictwem serwera TS Gateway,
należy wyczyścić to pole wyboru. W przeciwnym wypadku klient
nie będzie próbował użyć serwera TS Gateway do połączenia z
siecią wewnętrzną.

• Do not use a TS Gateway server. Wybranie tej opcji powoduje, że

serwer TS Gateway nie będzie nigdy używany. Opcję tę należy
zaznaczyć, jeśli komputer jest zawsze podłączony do sieci
wewnętrznej i nie zachodzi potrzeba przechodzenia przez zaporę
ogniową w celu połączenia się z zasobami tej sieci.

• Wykonaj jedno z poniższych:

— Aby zapisać ustawienia i zamknąć okno dialogowe Remote Desktop

Connection, kliknij Save, a potem Cancel. Ustawienia zostaną
zapisane jako plik RDP w lokalizacji domyślnej (standardowo plik jest
zapisywany w folderze Napęd:\<Username>\Documents).

— Aby zapisać ustawienia we wskazanej lokalizacji w pliku RDP (plik

taki można później dostosować i rozesłać do większej liczby
komputerów klienckich), kliknij Save As. W oknie dialogowym Save
as w polu File name określ nazwę i lokalizację pliku, po czym kliknij
Save.

— Aby rozpocząć połączenie z zasobem sieci wewnętrznej, kliknij Save,

później Connect, po czym przejdź do punktu 5 następnej procedury
("Weryfikowanie łączności za pośrednictwem TS Gateway").

Marek Pyka

Moduł IX

ITA-108 Technologie sieciowe

Usługi terminalowe Windows Server 2008

Strona 25/26

8.

Weryfikowanie

łączności za
pośrednictwem TS
Gateway

• Uruchom klienta Remote Desktop Connection. W tym celu kliknij

Start, wskaż All Programs, wskaż Accessories, po czym kliknij
Remote Desktop Connection .

• W oknie dialogowym Remote Desktop Connection kliknij Options,

aby rozszerzyć okno i wyświetlić ustawienia.

• Na zakładce General wpisz nazwę komputera (serwera terminali

lub komputera z uruchomioną usługą Remote Desktop), z którym
chcesz się połączyć zdalnie za pośrednictwem TS Gateway.

• Kliknij Connect.
• W oknie dialogowym Enter your credentials wybierz lub wpisz

nazwę konta użytkownika, którego chcesz użyć do zdalnego
logowania, wpisz wymagane poświadczenia, po czym kliknij OK.

• W oknie dialogowym Gateway server credentials wybierz nazwę

użytkownika, który ma zostać użyty do logowania na serwerze TS
Gateway, wprowadź wymagane poświadczenia, po czym kliknij
OK.

• Po chwili połączenie z komputerem zdalnym za pośrednictwem

serwera TS Gateway powinno zostać ustanowione.

Laboratorium rozszerzone

Zadanie1 (czas realizacji 45 min)

Twoja organizacja na przełomie ostatnich 4 miesięcy uruchomiła zdalne lokalizacje na terenie
całego kraju. Zgodnie z polityką zarządu cała administracja systemami informatycznymi została
scentralizowana co spowodowało zredukowanie do zera ilości kadry administracyjnej w oddziałach.
Niestety szybko okazało się, że wykorzystywane przez użytkowników aplikacje w oddziałach
zdalnych powodują wiele problemów ze stabilnością i bezpieczeństwem infrastruktury. Problem
zaczął się potęgować kiedy bazy danych tych aplikacji zostały scentralizowane i zwiększył się ruch
po sieci WAN co zaowocowało przerwami w działaniu innych aplikacji biznesowych oraz replikacji
danych infrastrukturalnych. Sytuacja ta stała się nie akceptowalna przez zarząd dlatego też
zdecydowaliście na wykorzystanie usług terminalowych. Krok ten rozwiązał wiele problemów
i zwiększył znacznie wydajność i bezpieczeństwo infrastruktury. Wraz z przyzwyczajeniem się
użytkowników do funkcjonalności zaczął pojawiać się problem związany z niestabilnymi łączami
WAN a w szczególności łącznością przez sieci komórkowe. Problem objawia się następująco:

• Użytkownicy mobilni skarżą się, że używając aplikacji zdalnych często tracą dane kiedy zrywa

się połączenie komórkowe którego używają na swoich laptopach,

• Pracownicy w lokalizacjach zdalnych zauważyli, że często w przypadku przeciążenia serwera

terminalowego tracą swoją pracę gdyż po zerwaniu sesji logują się ponownie i trafiają do
innego serwera

• Użytkownicy skarżą się, że proces przełączania pomiędzy serwerami terminalowymi jest nie

optymalny

• Obecne natężenie ruchu na serwerach terminali powoduje, że często pojawiają się przestoje

i utrata połączeń

• Ilość użytkowników wykorzystująca Usługi Terminalowe w ostatnim okresie wzrosła

dwukrotnie dlatego daje się zauważyć spadki wydajności w najbardziej wymagających
aplikacjach.

Jako inżynier systemowy dostałeś zadanie wdrożenia zaprojektowania i wdrożenia mechanizmów,
które zmniejszą przestoje związane ze stabilnością serwerów terminalowych. Schemat nowej
infrastruktury został przedstawia Rys. 4.

Marek Pyka
ITA-108 Technologie sieciowe

W pierwszej kolejności zd
terminalowych. W tym celu z

a)

Zainstalować dodatk

b)

Skonfigurować usłu

obciążenia

Zaprojektuj i skonfiguruj środ
Chcąc zapewnić stabilną prac

a)

Zainstalować dodatk

b)

Zainstalować i skonfi

c)

Zdefiniować zasady

i zasada serwera poli

Zaprojektuj i skonfiguruj środ

W sytuacji wykonywan
komputerów w celu zb

Usługi termin

Strona 26/26

Rys. 4 Nowe środowisko usług terminalowych

i zdecydowałeś(łaś) się na rozwiązanie problem

elu zdecydowałeś się na następujące kroki:

datkowe dwa serwery usług terminalowych
usługę NLB dla wszystkich serwerów terminali w

środowisko zgodnie z założeniami.

pracę dla serwerów terminali zdecydowałeś się na n

datkowy serwer w infrastrukturze Usług Terminalow

onfigurować usługę Session Broker

ady dostępu do farmy Usług Terminalowych na p

polityk NPS

środowisko zgodnie z powyższymi krokami.

wania tych ćwiczeń w laboratorium, konieczne je

u zbudowania kompletnego środowiska.

Moduł IX

minalowe Windows Server 2008

blemu wydajności usług

ali w celu równoważenia

na następujące kroki:

lowych

na podstawie priorytetów

e jest wykorzystanie kilku

ITA-108 Technologie sieciowe

Marek Pyka

Moduł X

Wersja 1

Bezpieczeństwo infrastruktury

sieciowej

Spis treści

Bezpieczeństwo infrastruktury sieciowej ............................................................................................. 1

Informacje o module ............................................................................................................................ 2

Przygotowanie teoretyczne ................................................................................................................. 3

Przykładowy problem .................................................................................................................. 3

Podstawy teoretyczne.................................................................................................................. 3

Przykładowe rozwiązanie ........................................................................................................... 13

Porady praktyczne ..................................................................................................................... 14

Uwagi dla studenta .................................................................................................................... 14

Dodatkowe źródła informacji..................................................................................................... 15

Laboratorium podstawowe ................................................................................................................ 16

Problem 1 (czas realizacji 45 min) .............................................................................................. 16

Laboratorium rozszerzone 1 (Czas realizacji 90 min) ......................................................................... 19

Zadanie 1 (45 min) ..................................................................................................................... 19

Zadanie 2 (45 min) ..................................................................................................................... 19

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 2/19

Informacje o module

Opis modułu
W ramach niniejszego modułu zostaną przedstawione podstawowe
informacje na temat zabezpieczania infrastruktury przed atakami
teleinformatycznymi. Poruszane będą aspekty związane z działaniem
systemów Windows Firewall, wdrażaniem izolacji IPSec oraz mechanizmów
ochrony dostępu do informacji w środowisku sieciowym Windows Server
2008 na przykładzie Active Directory™ Rights Managment Services.

Cel modułu
Celem modułu jest zaznajomienie studentów z problematyką budowania
bezpiecznej infrastruktury IT oraz przeciwdziałanie najpopularniejszym
zagrożeniom teleinformatycznym. Po ukończeniu modułu słuchacz
powinien potrafić chronić dane wrażliwe w oparciu o wielowarstwowy
model zabezpieczeń.

Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:

• wiedział, w jaki sposób planować i wdrażać zabezpieczenia
• rozumiał rolę systemów firewall ochronie platformy Windows Server

2008

• potrafił przeciwdziałać atakom komputerowym tj. podszywanie,

podsłuch czy modyfikacja pakietów

• wiedział, w jaki sposób chronić informacje i kontrolować do niej

dostęp.

Wymagania wstępne
Przed przystąpieniem do pracy z tym modułem powinieneś:

• znać podstawy działania protokołu TCP/IP
• rozumieć zagrożenia, jakie niesie ze sobą sieć komputerowa
• być zaznajomionym z modelem referencyjnym ISO/OSI
• znać zasady pracy w środowisku Windows Server 2008

Mapa zależności modułu
Zgodnie z mapą zależności przedstawioną na Rys. 1, przed przystąpieniem
do realizacji tego modułu należy zapoznać się z materiałem zawartym
w module 1,2 i 7.

Rys. 1 Mapa zależności modułu

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 3/19

Przygotowanie teoretyczne

Przykładowy problem

Budowanie bezpiecznych rozwiązań teleinformatycznych nie jest możliwe bez warstwy
proceduralnej. Przedsiębiorstwa, które uświadomiły sobie ten fakt rozpoczynają prace nad
zbudowaniem i wdrożeniem dokumentu polityki bezpieczeństwa. Zadaniem tego dokumentu jest
unormowanie aspektów związanych z zabezpieczaniem wytwarzanych, przetwarzanych
i magazynowanych w przedsiębiorstwach danych. Zgodnie z obowiązującymi w Polsce aktami
prawnymi, dokument taki budowany jest na podstawie PN ISO/IEC 27001:2006 oraz PN ISO/IEC
27001. Decyzja taka podejmowana jest przeważnie w wyniku przeprowadzonego auditu bądź
klasyfikacji danych. Najczęściej audity bezpieczeństwa wykazują, że wiele z informacji wrażliwych
jest nie wystarczająco zabezpieczana i dostępna dla osób niepowołanych.
Pracując w dziale IT, jako administrator będziesz zobligowany do wdrażania technicznych środków
ochrony zgodnie z przyjętym dokumentem Polityki Bezpieczeństwa.
Twoim zadaniem, jako członka zespołu IT, jest zaplanowanie wielowarstwowego modelu ochrony
informacji oraz przeprowadzenie analizy ryzyka wystąpienia nieautoryzowanego dostępu do nich.
Niestety w normach, na których masz się oprzeć podczas projektu, nie omówiono, w jaki sposób
należy sklasyfikować swoje zasoby i określić dla nich zagrożenia. Dlatego masz w swojej pracy
wykorzystać strategię wielowarstwowej ochrony danych „Defense In Depth” (DiD). Wynikiem
dokonanej analizy mają być wytyczne do wdrożenia odpowiednich środków technicznych
i organizacyjnych mających na celu zabezpieczenie posiadanych danych przed atakami typu
podsłuch sieciowy, DoS, modyfikacja oraz nieautoryzowany dostęp osób trzecich.

Podstawy teoretyczne

Wielowarstwowa strategia zabezpieczeń „Defense in Depth”

Budowanie bezpiecznej i wydajnej infrastruktury IT przedsiębiorstwa jest związane
z wykorzystywaniem wielu technicznych i organizacyjnych środków ochrony. Pierwszym krokiem
podczas takiego projektu jest przeprowadzenie modelowania infrastruktury i metodyczny podział
na obszary podlegające ochronie. Przykładem tego typu podejścia jest strategia „Defense in
Depth”, która zakłada rozpatrywanie ochrony informacji jako wielowarstwowego zbioru
zabezpieczeń realizowanego w infrastrukturze IT. Idea tej strategii oparta jest na wojskowym
modelu spowalniania ataków przez budowania wielu warstw obrony. W systemach
teleinformatycznych strategia ta została zdefiniowana zgodnie z Rys. 2.

Rys. 2 Wielowarstwowy model zabezpieczeń

W strategii „Defense in Depth” stosowane są następujące warstwy obrony:

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 4/19

• dane - Docelowy obiekt ataku (włącznie z bazami danych atakowanego użytkownika,

informacjami na temat usługi Active Directory, dokumentami itp.). W warstwie tej
stosowane są silne środki ochrony takie jak: kryptografia, listy ACL, kopie zapasowe oraz
Active Directory Rights Management Service.

• aplikacje - Oprogramowanie przetwarzające dane. Warstwa ta wymaga zastosowania

odpowiednich aplikacji antywirusowych oraz zapewnienia odpowiednich aktualizacji
oprogramowania.
jednostka centralna/host – Zabezpieczanie komputera na którym są przetwarzane
i składowane dane. Warstwa ta wymaga zapewnienia bezpieczeństwa systemu operacyjnego
poprzez aktualizacje systemu, modyfikacje rejestru, poprawną instalację.

• sieć wewnętrzna – Zapewnienie bezpiecznych kanałów komunikacyjnych w sieci

przedsiębiorstwa oraz wdrażanie mechanizmów odporności na ataki komputerowe.
Technologie związane z tą warstwą to głównie IPSec, izolacja serwerów i domen, systemy
firewall

• sieć graniczna – Warstwa odpowiadająca za ochronę styku sieci korporacyjnej z sieciami

publicznymi lub partnerskimi. W warstwie tej planowane jest wykorzystanie mechanizmów
VPN, kwarantanny, protokołów SSL i SSTP oraz usług federacyjnych

• ochrona fizyczna – Określenie fizycznych mechanizmów zabezpieczeń w dostępie do

infrastruktury. Planując ten poziom zabezpieczeń wykorzystywane są takie środki jak:
kamery, zamki cyfrowe, karty dostępu, strażnicy oraz inne mechanizmy zabezpieczeń
fizycznych tj. linki antykradzieżowe i alarmy

• bezpieczeństwo proceduralne – zbiór dokumentów, zasad i procedur dotyczących ochrony

informacji wrażliwych w przedsiębiorstwie. Atrybutami tej warstwy jest dokument Polityki
Bezpieczeństwa, zbiory procedur operacyjnych oraz polityka testów i auditów.

Stosowanie strategii wielowarstwowej umożliwia metodyczne podejście do planowania i wdrażania
ochrony danych w każdym z elementów systemu teleinformatycznego.

Bezpieczeństwo infrastruktury sieciowej

Wykorzystując infrastrukturę sieciową Windows Server 2008 możliwe jest przypisanie wielu w nim
dostępnych technologii do poszczególnych warstw strategii „Defense in Depth”. Poniżej
przedstawiono najważniejsze technologie związane z ochroną zasobów przedsiębiorstwa
zaimplementowane w nowej wersji serwera firmy Microsoft.

Ochrona danych – Active Directory Rights Management Service

Usługa AD RMS jest następcą Windows RMS, który był opcjonalnym komponentem Windows
Server 2003. Zadaniem tej usługi jest ochrona informacji zawartych w dokumentach,
korespondencji e-mail oraz stronach internetowych przed niepowołanym dostępem i ujawnieniem.
AD RMS pracuje w układzie klient serwer zgodnie z Rys. 3.

Rys. 3 Zasada działania usługi RMS

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 5/19

Proces ochrony informacji w oparciu o AD RMS przebiega następująco:

• autor chcąc zabezpieczyć dokument przy pomocy technologii RMS musi otrzymać certyfikat

klienta usługi z serwera RMS – 1 (procedura ta jest wykonywana wyłącznie za pierwszym
razem, gdyż później certyfikat ten jest przechowywany bezpiecznie na komputerze klienta)
następnie zabezpiecza dokument nadając odpowiednie uprawnienia. Aplikacja tworzy tzw.
„Publish License” i szyfruje plik – 2 (w licencji publikacji zawarte są informacje
o uprawnieniach osób, które mają dostęp do pliku)

• kolejnym krokiem jest dystrybucja pliku – 3 (przesłanie pocztą, umieszczenie na serwerze

plików lub serwerze pracy grupowej)

• odbiorca podczas próby otwarcia pliku weryfikowane są uprawnienia do pliku oraz

wydawana jest przez serwer RMS licencja użytkownika – 4

• aplikacja odbiorcy wykorzystuje licencje użytkownika do otworzenia i odczytu pliku – 5.

Zastosowanie usługi AD RMS w przedsiębiorstwie umożliwia kontrolowanie dostępu do pliku oraz
określa zasady związane z wykorzystaniem informacji zawartych w tym pliku. Autor zabezpieczający
dokument może nadać wiele uprawnień, jak na przykład: uniemożliwić wydrukowanie dokumentu,
dokonywanie w nim zmian, przesyłanie dalej korespondencji e-mail czy też określenie w jakim dniu
dany dokument jest dostępny dla użytkowników.

Ochrona sieci wewnętrznych – Windows Firewall with Advanced Features

Windows Firewall with Advanced Security w systemach Windows Vista® i Windows Server® 2008 to
rozbudowana zapora sieciowa, która filtruje przesyłane pakiety w oparciu o reguły ustalone
w trakcie jej konfiguracji. Aby przeprowadzić zaawansowaną konfigurację systemu firewall należy
użyć wtyczki Windows Firewall with Advanced Security, działającej w ramach programu Microsoft
Management Control (MMC). Zapewnia ona interfejs, pozwalający konfigurować zaporę sieciową
Windows Firewall zarówno na lokalnych komputerach, jak i zdalnie, z wykorzystaniem narzędzi
Group Policy. Ustawienia zapory są zintegrowane z protokołem IPsec, dzięki czemu może ona
regulować przepływ pakietów w oparciu o wyniki przeprowadzonych przez niego negocjacji.
Windows Firewall with Advanced Security obsługuje osobne profile komputerów przypisanych do
określonej domeny lub połączonych z prywatną albo publiczną siecią. Pozwala również definiować
reguły umożliwiające izolowanie serwerów i domen. Omawiana aplikacja daje możliwość
stosowania bardziej szczegółowych reguł niż poprzednie wersje zapory sieciowej Windows Firewall.
Dotyczy to m. in. obsługi użytkowników i grup w ramach usługi Active Directory, określania
adresów źródła i celu w protokole Internet Protocol (IP), definiowania numerów IP portów oraz
ustawień ICMP i IPsec, korzystania z różnych typów interfejsów i usług oraz wielu innych.

Nowe funkcje programu Windows Firewall

• Integracja z protokołem IPsec

W konsoli Windows Firewall with Advanced Security filtrowanie pakietów oraz
konfigurowanie reguł protokołu IPsec są zintegrowane. Aby skonfigurować protokół IPsec
na komputerach działających pod wcześniejszymi wersjami systemu Windows, należy się
posłużyć wtyczką IPsec Policy Management.

• Rozbudowane możliwości uwierzytelnionego obejścia

Dzięki uwierzytelnianiu w ramach protokołu IPsec możemy skonfigurować reguły
uwierzytelnionego obejścia dla wybranych komputerów tak, aby mogły one pomijać inne
reguły zdefiniowane w aplikacji Windows Firewall with Advanced Security. Umożliwia to
ograniczanie określonych rodzajów komunikacji do wybranych komputerów. W systemach
Windows Vista i Windows Server 2008 program Windows Firewall pozwala definiować
bardziej szczegółowe reguły uwierzytelnionego obejścia. Dzięki nim administrator może
wybrać porty, programy, komputery oraz grupy komputerów, które mogą uzyskać dostęp
do określonych zasobów.

• Ograniczenia Windows Service Hardening

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 6/19

Windows Service Hardening zapobiega wykorzystywaniu krytycznych usług systemu
w atakach na system plików, rejestr oraz sieć. Aktywność zdefiniowana w regułach
sieciowych Windows Service Hardening jako odbiegająca od normy jest natychmiast
blokowana. Jeśli dana usługa zostanie wykorzystana do uruchomienia szkodliwego kodu,
mechanizm uniemożliwia jej wysyłanie i otrzymywanie pakietów przez niedozwolone porty
sieciowe. Zmniejsza to wpływ szkodliwego kodu na system.

• Bardziej szczegółowe reguły

Domyślnie Windows Firewall obsługuje zarówno połączenia wychodzące, jak
i przychodzące. Domyślny profil zakłada blokowanie większości połączeń przychodzących
i zezwalanie na połączenia wychodzące. Interfejs aplikacji Windows Firewall with Advanced
Security można wykorzystać do skonfigurowania reguł dla obu wymienionych typów
połączeń. Program obsługuje również filtrowanie wszystkich numerów protokołów Internet
Assigned Numbers Authority (IANA), podczas gdy jego poprzednie wersje obsługiwały
jedynie protokoły UDP, TCP oraz ICMP. Windows Firewall with Advanced Security
umożliwia skonfigurowanie kont i grup Active Directory, nazw aplikacji, protokołów: TCP,
UDP, ICMPv4 i ICMPv6, lokalnych i zdalnych adresów IP, typów interfejsów, jak również
typu protokołu ICPM i mechanizmów filtrowania kodu.

• Filtrowanie pakietów wychodzących

Aplikacja Windows Firewall umożliwia filtrowanie zarówno pakietów przychodzących, jak i
wychodzących. Pozwala to administratorom wyznaczyć aplikacje, które mogą przesyłać
dane do sieci, dzięki czemu łatwo osiągnąć zgodność z ustaloną strategią bezpieczeństwa
organizacji.

• Profile uwzględniające aplikacje

Możemy opracować różne reguły i ustawienia dla poniższych profili zapory sieciowej:

Profil domeny. Wykorzystywany, gdy komputer jest połączony z domeną Active Directory,

której jest członkiem. Profil ten jest aktywny, gdy wszystkie interfejsy mogą nawiązać
połączenie z kontrolerem domeny.

Profil prywatny. Wykorzystywany, gdy komputer jest podłączony do prywatnej sieci,

chronionej przez bramę lub router. Sieć może być przypisana do tej kategorii wyłącznie
przez użytkownika o uprawnieniach administratora.

Profil publiczny. Ten profil stosuje się, gdy komputer jest podłączony bezpośrednio do nowej

sieci w miejscu publicznym. Profil publiczny jest aktywowany, jeśli maszyna ma dostęp do
przynajmniej jednej sieci publicznej o niezdefiniowanych połączeniach.

• Obsługa użytkowników, komputerów i grup Active Directory

Możliwe jest tworzenie reguł filtrujących połączenia w oparciu o dane użytkowników,
komputerów oraz grup w ramach usługi Active Directory. W przypadku tych reguł
połączenie musi być zabezpieczone z użyciem protokołu IPsec wykorzystującego
mechanizm uwierzytelniania, uwzględniający informacje o koncie Active Directory
(na przykład Kerberos V5).

• Obsługa protokołu IPv6

Windows Firewall with Advanced Security w pełni obsługuje rdzenne protokoły IPv6, od
IPv6 do IPv4 (od 6 do 4) oraz nową metodę NAT dla protokołu IPv6 noszącą nazwę Teredo.

Reguły Windows Firewall

Wbudowany w Windows Vista firewall posługuje się regułami określającymi, czy przesłanie
określonych danych jest dozwolone czy nie. Definicja taka dotyczyć może aplikacji, portów,
adresów itd. Zasadę budowania reguł na systemach firewall przedstawia rysunek 4.

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 7/19

Rys. 4 Zasada budowy reguł dla systemów Firewall

Firewall w Windows Vista nie zwraca uwagi na kolejność reguł na liście. Określenie przynależności
reguł oraz ich przetwarzana realizowane jest zgodnie z tabelą 1.
Tab. 1 Określenia przynależności reguł

Numer
reguły

Typ reguły

Opis

1

Windows Service Hardening

Ten typ reguły blokuje nawiązywanie połączeń przez usługi.
Ograniczenia są wbudowane w system, przez co usługi Windows
Services mogą się ze sobą komunikować tylko na wybrane sposoby
(tylko z wykorzystaniem określonych portów). Przesyłanie pakietów jest
blokowane do momentu zdefiniowania odpowiednich reguł zapory.
Niezależni twórcy oprogramowania mogą wykorzystać publiczne
interfejsy API Windows Service Hardening we własnych usługach.

2

Reguły zabezpieczania połączenia

Te reguły określają, kiedy i w jaki sposób komputery przeprowadzają
uwierzytelnianie w ramach protokołu IPsec. Reguły ochrony połączenia
są wykorzystywane w trakcie izolowania domeny i serwera oraz
podczas wykorzystywania platformy NAP (Network Access Protection).

3

Reguły uwierzytelnionego obejścia

Te reguły umożliwiają nawiązanie połączenia między określonymi
komputerami, o ile jest ono chronione przez protokół IPsec, bez
względu na zasady zdefiniowane w pozostałych regułach wejściowych.
Wskazane komputery mogą obchodzić reguły wejściowe, blokujące
przesyłane pakiety. Jako przykłady podać można skanery wyszukujące
słabe punkty w systemie oraz aplikacje skanujące inne programy,
komputery oraz sieci w poszukiwaniu luk w bezpieczeństwie.

4

Reguły blokowania

Reguły tego rodzaju blokują określony rodzaj przysyłanych lub
wysyłanych pakietów.

5

Reguły dopuszczania

Reguły tego rodzaju dopuszczają określony rodzaj przysyłanych lub
wysyłanych pakietów.

6

Reguły domyślne

Reguły domyślne definiują działania podejmowane w sytuacji, która nie
jest zdefiniowana w regułach wyższego rzędu. Domyślnie system
blokuje połączenia przychodzące i dopuszcza połączenia wychodzące.

Ochrona sieci wewnętrznych – Izolacja serwerów i domen

W sieci opartej na systemie Microsoft Windows możliwe jest logiczne izolowanie zasobów serwera
i domeny w celu ograniczenia dostępu do uwierzytelnionych i autoryzowanych komputerów.
Przykładowo można utworzyć sieć logiczną wewnątrz istniejącej sieci fizycznej, w której komputery
współdzielą zbiór wymagań dla bezpiecznej komunikacji. Każdy komputer w tej logicznie izolowanej
sieci musi udostępni poświadczenia uwierzytelniania innym komputerom w sieci izolowanej w celu
ustanowienia łączności. Rysunek 5 przedstawia ideę wykorzystania izolacji w przedsiębiorstwie.

Rys. 5 Idea izolacji domeny

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 8/19

Wprowadzenie izolacji uniemożliwi osobom niepowołanym dostęp do zasobów przedsiębiorstwa
nawet gdy otrzymają one dostęp fizyczny do infrastruktury. Żądania wysyłane od komputerów
niebędących częścią sieci izolowanej są ignorowane. Izolacja serwera i domeny może pomóc
w ochronie określonych danych oraz serwerów o wysokiej wartości, jak również chronić komputery
zarządzane przed niezarządzanymi lub nieautoryzowanymi komputerami i użytkownikami.
Do ochrony sieci mogą zostać wykorzystane dwa typy izolacji:

• Izolacja serwera. W scenariuszu izolacji serwera określone serwery są konfigurowane tak,

aby zasady protokołu IPsec akceptowały uwierzytelnioną komunikację pochodzącą od innych
komputerów. Przykładowo serwer bazy danych może zostać tak skonfigurowany,
aby akceptował wyłącznie połączenia pochodzące od serwera aplikacji sieci Web.

• Izolacja domeny. W celu odizolowania domeny wykorzystuje się uczestnictwo w domenie

usługi katalogowej Active Directory w celu zagwarantowania, że komputery należące do
domeny będą akceptowały wyłącznie uwierzytelnioną i bezpieczną komunikację pochodzącą
od innych komputerów należących do domeny. Sieć izolowana składa się wyłącznie
z komputerów należących do domeny. Izolacja domeny wykorzystuje zasady protokołu IPsec
w celu zapewnienia ochrony dla ruchu przesyłanego pomiędzy uczestnikami domeny,
w tym wszystkich klientów i serwerów.

Ochrona sieci wewnętrznych – Network Access Protection

Ochrona dostępu do sieci jest platformą wymuszania zasad wbudowaną w systemy operacyjne
Windows Vista, Microsoft Windows XP i Windows Server 2008, która umożliwia lepszą ochronę
zasobów sieciowych dzięki wymuszeniu zgodności z wymaganiami dotyczącymi kondycji systemu.
Korzystając z ochrony dostępu do sieci, można tworzyć niestandardowe zasady dotyczące kondycji
w celu sprawdzenia kondycji komputera przed zezwoleniem mu na dostęp lub komunikację,
automatycznie aktualizować zgodne komputery w celu zachowania zgodności oraz opcjonalnie
przypisywać niezgodne komputery do ograniczonej sieci do chwili, gdy zostanie zapewniona ich
zgodność. Aby sprawdzić dostęp do sieci na podstawie kondycji systemu, infrastruktura sieci musi
zapewniać następujące funkcje:

sprawdzanie zasad dotyczących kondycji: ustalanie, czy komputery są zgodne
z wymaganiami zasad dotyczących kondycji

• ograniczanie dostępu do sieci: ograniczanie dostępu dla niezgodnych komputerów
• automatycznie korygowanie: dostarczanie niezbędnych aktualizacji zapewniających

zgodność komputerów
zachowanie

zgodności:

automatyczne

aktualizowanie

zgodnych

komputerów

z uwzględnieniem bieżących zmian wymagań zasad dotyczących kondycji.

Zasada działania mechanizmu NAP została przedstawiona na rysunku 6.

Rys. 6 Schemat działania usługi NAP

Przedstawione na rysunku etapy komunikacji klienta z serwerami NAP mają następujące znaczenie:

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 9/19

• klient przesyła żądanie dostępu do infrastruktury – 1
• stan komputera przesyłany jest do serwera NPS – 2
• NPS weryfikuje poprawność polityk – 3
• jeżeli klient spełnia założenia polityk, kierowany jest do sieci przedsiębiorstwa – 4
• w przypadku stwierdzenia niezgodności klienta z politykami jest on automatycznie

przekazywany do sieci z ograniczonym dostępem gdzie dostęp mają serwery naprawiające,
które dokonają skanowania, aktualizacji komputera klienta – 5.

Architektura serwerów NAP

Infrastruktura serwerów NAP jest oparta w głównej mierze o platformę Windows Server 2008 choć
możliwe aby niektóre z serwerów korygujących były pod kontrolą Windows Server 2003.
Architektura platformy NAP jest realizowana na dwóch typach serwerów: NAP i NPS,
i przedstawiono ją na rysunku 7.

Rys. 7 Architektura serwerów NAP

Jak pokazano na rys. 7, w infrastrukturze NAP występuje warstwa serwerowych komponentów
wymuszających NAP ES (Network Access Protection Enforcement Server). Każdy z tych
komponentów obsługuje inny rodzaj komunikacji, np. komponent NAP ES VPN (Network Access
Protection Enforcement Server VPN) obsługuje dostęp do intranetu przez prywatne sieci wirtualne.
Serwery wymuszające NAP ES są dopasowane do określonych rodzajów klientów wymuszających
NAP EC (Network Access Protection Enforcement Client), na przykład NAP ES DHCP współpracuje
z NAP EC DHCP.
Gdy stan kondycji klienta NAP jest weryfikowany w oparciu o raporty kondycji, serwery
wymuszające NAP ES uzyskują listę wchodzących w grę certyfikatów od odpowiednich klientów
wymuszających NAP EC, po czym przekazują ją do serwera NPS w formie komunikatu RADIUS
Access-Request. Jak pokazano na rys. 6, serwer NPS zbudowany jest z następujących elementów:

• NPS (Network Protection Server): odbiera komunikaty RADIUS Access-Request o kondycji

komputerów i przekazuje je do serwera administracyjnego NAP.
Komponent administracyjny NAP: obsługuje komunikację między serwerem NPS
a modułami sprawdzania kondycji.

• Warstwa modułów sprawdzania kondycji (System Health Validator -SHV): każdy moduł

sprawdzania kondycji zajmuje się innymi wymogami bezpieczeństwa (np. weryfikator
sygnatur wirusów lub weryfikator aktualizacji systemu operacyjnego). Poszczególne moduły
sprawdzania mogą być dopasowane do konkretnych serwerów bezpieczeństwa.

• Interfejs programistyczny API modułów sprawdzania kondycji: zestaw wywołań funkcji,

umożliwiający modułom sprawdzania kondycji, rejestrację w komponencie administracyjnym
NAP, odbieranie raportów o kondycji z tego serwera oraz przekazywanie informacji

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 10/19

z serwerów korygujących do odpowiednich agentów systemu klientów NAP.

Opisana powyżej infrastruktura zakłada istnienie wielu serwerów NAP i NPS, jednakże najczęściej
stosuje się połączoną konfigurację serwera NAP z NPS.
Architektura platformy NAP składa się z następujących części składowych:

• trzech komponentów po stronie klienta: warstwy agentów kondycji systemu, agenta NAP,

warstwy klientów wymuszających NAP EC,

• czterech komponenty po stronie serwera: warstwy modułów sprawdzania kondycji,

komponentu administracyjnego NAP, serwera zasad NPS, warstwy serwerowych
komponentów wymuszających NAP ES,

• serwerów bezpieczeństwa,
• serwerów korygujących.

Serwer wymuszający NAP ES
Serwery wymuszające NAP ES (Enforcement Server) przekazują informację o stanie kondycji klienta
NAP do serwera NPS w celu porównania z aktualnie obowiązującymi wymogami bezpieczeństwa
i na ich podstawie decydują o dostępie do sieci klienta.
W system Windows Server 2008 wbudowano następujące komponenty NAP ES:

• IPsec NAP ES ingerujący w komunikację IPsec. W przypadku tej komunikacji serwer HCS

przekazuje informacje o kondycji klienta NAP do serwera NPS.
VPN NAP ES ingerujący w komunikację przez sieci wirtualne VPN. Ta nowa funkcjonalność
w grupie Routing and Remote Access wykorzystuje komunikaty protokołu EAP (Extensible
Authentication Protocol) osadzone w komunikatach RADIUS (PEAP-TLV) w celu przesłania
informacji o stanie kondycji klienta NAP do serwera NPS. Wymuszanie VPN polega
na filtrowaniu pakietów IP.

• Komponent DHCP NAP ES ingerujący w przydzielanie adresów IP przez serwery DHCP.

Taka funkcjonalność serwera DHCP wykorzystuje do komunikacji z klienckimi komponentami
wymuszającymi DHCP NAP EC standardowe komunikaty DHCP. Wymuszanie DHCP polega na
odpowiednim zastosowaniu opcji serwera DHCP.

W przypadku uwierzytelniania w przełączniku lub bezprzewodowym punkcie dostępu do sieci
802.1X, nowa funkcjonalność wykorzystuje komunikaty PEAP-TLV do komunikacji serwera NPS
z klientem NAP. Wymuszanie 802.1X polega na filtrowaniu pakietów IP albo na tworzeniu
wirtualnych sieci LAN.
Komponent administracyjny NAP
Komponent administracyjny NAP świadczy następujące usługi:

• odbiera raporty o kondycji od poszczególnych serwerowych komponentów wymuszających

NAP ES (przez serwer NPS),

• przekazuje raporty o kondycji odpowiednim modułom sprawdzania kondycji,
• gromadzi odpowiedzi SoHR (System of Health Response) wystawione przez poszczególne

moduły sprawdzania kondycji i przekazuje je do serwera NPS dla wypracowania sumarycznej
oceny kondycji klienta.

Serwer NPS
RADIUS to opisany w dokumentach RFC 2865 i RFC 2866 protokół szeroko stosowany do
centralnego uwierzytelniania, autoryzacji i kontroli dostępu do sieci. Pierwotnie opracowany na
użytek dostępu telefonicznego, obecnie jest stosowany przez bezprzewodowe punkty dostępu,
uwierzytelniające przełączniki Ethernetowe, serwery VPN, serwery DSL (Digital Subscriber Line)
oraz inne serwery dostępu do sieci.
Serwer NPS to wbudowany w system Windows Server 2008 serwer RADIUS i proxy. Zastępuje
znane z serwera Windows Server 2003 usługi IAS (Internet Authentication Service). Na użytek
platformy NAP serwer NPS został poszerzony o komponent administracyjny NAP, obsługę interfejsu
programistycznego modułów sprawdzania kondycji oraz opcje konfigurowania dostępu do sieci
zgodnie z prowadzoną polityką bezpieczeństwa.
Moduły sprawdzania kondycji

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 11/19

Moduł sprawdzania kondycji otrzymuje z komponentu administracyjnego NAP raport o kondycji
klienta NAP i sprawdza, czy stan tego klienta odpowiada wymogom bezpieczeństwa. Odpowiedzi
SoHR wystawione przez moduły sprawdzania kondycji i przekazane zwrotnie do agentów kondycji
systemu klientów NAP informują, co należy zrobić, aby klient uzyskał zgodność z wymogami
bezpieczeństwa. Na przykład odpowiedź SoHR wysłana przez weryfikator antywirusowy mogłaby
poinstruować agenta antywirusowego, aby zażądał najnowszej wersji pliku sygnatur wirusowych
z serwera aktualizacji sygnatur antywirusowych.

Architektura NAP po stronie klienta

Klient NAP jest oprogramowaniem integralnym systemów Windows Vista i Windows Server 2008
oraz został wprowadzony do systemów Windows XP Professional wraz z Service Pack 3.
Architektura oprogramowania klienckiego została przedstawiona na rysunku 8.

Rys. 8 Architektura klienta NAP

W skład architektury platformy NAP po stronie klienta wchodzą:

• Warstwa klientów wymuszania ochrony dostępu do sieci (NAP EC)

Poszczególni klienci NAP EC (Network Access Protection Enforcement Client) obsługują
osobne typy komunikacji lub sposoby uzyskiwania dostępu do sieci; np, klient wymuszający
VPN. Zazwyczaj klient NAP EC jest dopasowany do określonego typu serwera NAP. Na
przykład klient DHCP NAP EC został zaprojektowany do współpracy z serwerem NAP,
kontrolującym zgodność z wymogami bezpieczeństwa klientów zgłaszających żądanie
o sieciowy adres IP do serwera DHCP. Niektórzy klienci wymuszania ochrony dostępu NAP EC
są dostarczani razem z platformą NAP, ale niezależni dostawcy oprogramowania mogą
tworzyć własne rozwiązania.

• Warstwa agentów kondycji systemu (SHA )

Poszczególni agenci systemu, obsługują określone aspekty kondycji systemu, np. agent
kondycji systemu służy do sprawdzania sygnatur antywirusowych, agent kondycji systemu
służy do weryfikowania aktualizacji systemu operacyjnego. Agenci kondycji systemu mogą
być dopasowani do określonych serwerów korygujących, ale nie muszą komunikować się
z tymi serwerami. Agent kondycji systemu mógłby wybiórczo sprawdzać lokalne ustawienia
systemowe w celu upewnienia się, że na hoście nie dokonano modyfikacji konfiguracji.
W systemach Windows Vista i Windows Server 2008, wbudowani są agenci kondycji
systemu, pełniący rolę modułów sprawdzania o nazwie Windows Security Health Validator
(SHV). Agenci kondycji systemu platformy Network Access Protection mogą być dostarczani
zarówno przez firmę Microsoft, jak i przez niezależnych dostawców.

• Agent NAP

Monitoruje kondycję klienta NAP i usprawnia komunikację pomiędzy klientami NAP EC
a agentami kondycji systemu.

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 12/19

• Interfejs programistyczny NAP SHA API

Zestaw, umożliwiających agentom systemu rejestrację w agencie NAP danego klienta,
sygnalizowanie kondycji klienta, odpowiadanie na zadawane pytania, a z drugiej strony
umożliwiający agentom NAP przekazywanie do agentów kondycji systemu instrukcji
otrzymanych z serwerów korygujących.

• Interfejs programistyczny NAP EC API

Zestaw, umożliwiających klientom NAP EC rejestrację w agencie NAP danego klienta,
wysyłanie pytań o kondycję klienta oraz przekazywanie do agentów NAP instrukcji
otrzymanych z serwerów korygujących.

W celu wykazania stanu określonego aspektu kondycji klienta (np. stan oprogramowania
antywirusowego zainstalowanego na kliencie czy stan aktualizacji systemu operacyjnego), agenci
kondycji systemu tworzą raporty o kondycji (Statement of Health, SoH ), a następnie przekazują je
do agenta NAP tego klienta. Za każdym razem, gdy jakiś aspekt kondycji klienta ulegnie zmianie,
odpowiedni agent kondycji systemu tworzy nowy raport o kondycji, przesyłając go do agenta NAP
tego klienta. Całościowy obraz kondycji klienta jest budowany przez agenta NAP w oparciu o listę
raportów o kondycji.

Klient wymuszania ochrony dostępu do sieci

Klient NAP EC żąda dostępu do sieci w określonym zakresie, przekazuje informację o kondycji
swego klienta NAP do odpowiedniego punktu wymuszania ochrony dostępu do sieci oraz informuje
o statusie dostępu klienta (ograniczony bądź nieograniczony) do innych klienckich komponentów
architektury platformy NAP. Systemy operacyjne Windows Vista i Windows Server 2008
dostarczane są z następującymi klientami NAP EC:

• IPsec NAP EC (komunikacja wykorzystująca protokół IPsec),
• EAPHost NAP EC (komunikacja wykorzystująca uwierzytelnianie 802.1X),
• VPN NAP EC (komunikacja wykorzystująca kanały VPN),
• DHCP NAP EC (komunikacja wykorzystująca adresację DHCP IPv4).

Agent kondycji systemu

Agent kondycji systemu aktualizuje stan kondycji swego klienta i publikuje jego status w postaci
raportu przesłanego do agenta NAP tego klienta. Raport o kondycji zawiera informacje,
na podstawie, których serwer NPS sprawdza, czy klient spełnia aktualnie obowiązujące wymogi
bezpieczeństwa. Agenci kondycji systemu są dostosowani do modułów sprawdzania kondycji
systemu (System Health Validator, SHV), pracujących po serwerowej stronie platformy NAP.
Jeśli któryś z elementów stanu zdrowia klienta nie odpowiada wymogom bezpieczeństwa, dany
moduł SHV wystawia odpowiedź System of Health Response (SoHR) z instrukcjami korygującymi,
przekazywaną zwrotnie do agenta kondycji systemu za pośrednictwem agenta NAP i klienta NAP
EC. Instrukcje te informują agenta kondycji systemu o tym, co należy zrobić, aby doprowadzić
danego klienta do stanu zgodności z wymogami bezpieczeństwa.

Agent NAP

Agent NAP świadczy następujące usługi:

odbiera raporty kondycji od poszczególnych agentów kondycji systemu i gromadzi je
w pamięci podręcznej. Bufor tej pamięci jest aktualizowany zawsze, gdy któryś z agentów
kondycji systemu dostarczy nowy lub zaktualizowany raport kondycji

• na żądania komponentów wymuszających NAP EC dostarcza bieżącą listę raportów kondycji
• przekazuje agentom kondycji systemu informacje, po każdej zmianie statusu dostępu klienta

do sieci

• gromadzi informacje o kondycji klienta oraz statusie określanym przez poszczególnych

agentów kondycji systemu

• przekazuje odpowiedzi SoHR z serwera do agentów kondycji systemu.

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 13/19

Podsumowanie

Rozdział te był poświęcony zasadom planowania i wdrażania strategii wielowarstwowej ochrony
infrastruktury. Przybliżone zostały technologie zaimplementowane w Windows Server 2008
związane z budowaniem bezpiecznych rozwiązań dla sieci przedsiębiorstw. Po zapoznaniu się
z treścią modułu powinieneś wiedzieć jak działają i do czego mogą być wykorzystywane technologie
takie jak NAP, Izolacja IPSec czy AD RMS. Wiedza zdobyta w tym module pomoże Ci na dobór
odpowiednich środków ochrony danych na wielu obszarów infrastruktury sieciowej.

Przykładowe rozwiązanie

Zgodnie ze statystykami, ponad 70% ataków realizowana jest wewnątrz infrastruktury sieciowej
przedsiębiorstwa. Skłania to administratorów przedsiębiorstw do podjęcia działań na rzecz
minimalizacji podatności infrastruktury na ataki typu: modyfikacja, SYNC Flood czy Smurf. Kolejnym
wyzwaniem dla administratorów jest sprawne zarządzanie oprogramowaniem firewall na dużej
ilości komputerów lub tez komputerami pracującymi w oddziałach zdalnych.
Stosując mechanizmy Zasad Grup (GPO) możliwe jest scentralizowanie i zautomatyzowanie zadań
związanych z zarządzaniem oprogramowaniem Windows Firewall with Advanced Features w całej
organizacji.
Bardzo często jako administrator będziesz musiał(a) ograniczać użytkownikom dostęp do pewnych
usług czy stron internetowych. Przykładem aplikacji, które bardzo często są blokowane przez
administratorów to komunikatory tj. Gadu-Gadu oraz klienci torrent tj. BitTorrent itp.
Zablokować dostęp aplikacji Gadu-Gadu do serwerów w sieci Internet

Zadanie

Tok postępowania

1.

Uruchomienie

interfejsu Windows
Firewall with
Advanced Features

• Zalogować się na komputerze ITA-SRV01 jako Administrator.
• Kliknij Start i wybierz Control Panel.
• Kliknij System and Maintenancei wybierz Administrative Tools.
• Uruchom konsolę mmc Windows Firewall with Advanced Security.

2.

Przeglądanie

reguł wychodzących

• W lewym oknie zadań wy bierz Outbound rules.

3.

Tworzenie nowej

reguły wychodzącej
dla aplikacji Gadu-
Gadu

• W drzewie Actions wybierz New Rule.
• Na stronie typu reguły Rule Type, kliknij Custom-> Next.
• Na

stronie

Program

w

polu

This program

path

wpisz

%ProgramFiles%\Gadu-Gadu\gg.exe, i kliknij Next.

• Podczas wyboru protokołu na stronie Protocol and Ports, z listy

protokołów wybierz TCP.

• W sekcji Local port upewnij się, że jest zaznaczona opcja All Ports .
• W oknie definicji portów Remote port kliknij Specific Ports, i

wprowadź 8074.

• Kliknij Next.

4.

Tworzenie listy

adresów IP dla
których
ograniczenia mają
zadziałać

• Na stronie Scope w sekcji Which local IP addresses does this rule

match, upewnij się że jest zaznaczona opcja All IP Addresses.

• W sekcji Which remote IP addresses does this rule match kliknij

These IP Adresses -> Add.

• W oknie podręcznym IP Address zaznacz This IP address or subnet i

wprowadź 91.197.13.0/26, i kliknij OK. To jest pierwsza grupa
adresów IP dla serwerów Gadu-Gadu.

• Analogicznie wprowadź zakres adresów IP: 217.17.41.86 -

217.17.45.147

• Kliknij Next.

5.

Określenie akcji

• Na stronie Action zaznacz pole Block the connection i kliknij Next.

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 14/19

dla tworzonej reguły

• W oknie Profile kliknij Next aby zaimplementować regułę dla

wszystkich profili.

• Nadaj regule nazwę Block Gadu-Gadu i kliknij Finish. Reguła powinna

pojawić się na początku listy.

6.

Testowanie

reguły

• Zainstaluj aplikację Gadu-Gadu.
• Sprawdź czy może komunikować się z zablokowanymi serwerami

próbując założyć nowe konto i zalogować się do niego.

• Dezaktywuj regułę Block Gadu-Gadu i ponów test.

Porady praktyczne

Uwagi ogólne

• Pamiętaj, że stosowanie oprogramowania typu Firewall oraz oprogramowania

antywirusowego umożliwi Ci uniknąć większości ataków realizowanych przez kod złośliwy.

• W środowisku rozproszonym wdrażaj wyłącznie mechanizmy zabezpieczeń umożliwiające

zdalną kontrolę i zarządzanie.

• Nie można budować bezpieczeństwa środowiska bez świadomości zagrożeń użytkowników.
• Pamiętaj, żeby zebrać swój własny zestaw narzędzi do testowania i zabezpieczania

infrastruktury.

• Zadbaj o to aby w organizacji powstał dokument polityki bezpieczeństwa i zadbaj o jego

wdrożenie i utrzymanie.

• Pamiętaj, że technologia nie jest panaceum!

Windows Firewall with Advanced Features

• Stosuj systemy Firewall na każdym poziomie infrastruktury.
• Naucz się logiki działania reguł w systemach, które stosujesz.
• Wykorzystując systemy firewall w modelu n-warstwowym stosuj różnorodność rozwiązań.
• W szkielecie sieci stosuj firewall z identyfikacją użytkowników.
• Wykorzystuj oprogramowanie firewall na stacjach klienckich umożliwiające centralne

zarządzanie i konfigurację.

Active Directory Rights Management Service

• Ochrona informacji wrażliwych jest podstawowym zadaniem administratora.
• W ochronie informacji stosuj zabezpieczenia warstwowo: ACL, EFS lub RMS.
• Wypracuj mechanizmy ochrony kluczy i certyfikatów.
• W organizacji wykorzystującej oddziały zdalne utrzymanie poufności danych jest zadaniem

trudnym – zautomatyzuj je!

Network Access Protection

• W infrastrukturze wykorzystującej kontrolę dostępu wykorzystaj przynajmniej jeden

samodzielny serwer NPS, który wykorzystywać mogą inne usługi tj. usługi terminalowe.

• NAP jest najbardziej skuteczny przy połączeniu z izolacją IPSec wykorzystującą certyfikaty.
• Wykorzystując sieci bezprzewodowe w organizacji stosuj platformę NAP do izolowania

dostępu do krytycznych serwerów.

• Zgodność z systemem NAP firmy Microsoft posiadają systemy CISCO – NAC oraz niektóre

platformy systemów Linux jak np. Linux RedHat.

Uwagi dla studenta

Jesteś przygotowany do realizacji laboratorium jeśli:

• jesteś zaznajomiony z oprogramowanie Windows Firewall with Advanced Features
• znasz zasady tworzenia i działania reguł na systemach firewall

Marek Pyka

Moduł X

ITA-108 Technologie sieciowe

Omówienie i analiza TCP/IP

Strona 15/19

• rozumiesz jak planować wielowarstwowy model zabezpieczeń
• znasz zasady działania protokołu IPSec
• rozumiesz mechanizm kwarantanny dla sieci LAN, WAN, WLAN
• zapoznałeś się z infrastrukturą serwerową dla platformy NAP i AD RMS.

Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.

Dodatkowe źródła informacji

1.

http://technet.microsoft.com/en-us/library/cc748991.aspx

Zbiór informacji na temat wdrażania oprogramowania Windows Firewall with Advanced
Features.

2.

http://www.securityfocus.com

Zbiór artykułów ekspertów na tematy bezpieczeństwa w tym też na temat różnego rodzaju
systemów firewall

3.

Karol Krysiak, Sieci komputerowe. Kompendium, Helion 2003

Bardzo dobry podręcznik ogólnej wiedzy o sieciach komputerowych.

4.

Mark Sportack, Sieci komputerowe. Księga eksperta, Helion 2004

Książka przybliża podstawowe założenia sieci komputerowych, które powinny być znane
współczesnemu informatykowi. Krok po kroku wprowadzi Cię w problematykę sieci,
pozwalając na poznanie ich architektury i zrozumienie zasad działania.

5. Jesper M. Johansson, Windows Server® 2008 Security Resource Kit, MS Press 2008

Podstawowa pozycja literaturowa związana z bezpieczeństwem rozwiązań Windows Server
2008

6. http://technet.microsoft.com/en-us/library/cc753531.aspx

Zbiór informacji na temat wdrażania usługi AD RMS w przedsiębiorstwie.

7. http://technet.microsoft.com/en-us/network/bb545651.aspx

Bardzo obszerny opis działania mechanizmów izolacji IPSec w sieciach przedsiębiorstw.

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium podsta

Problem 1 (czas realizacj

Organizacja ITA posiada infr
serwerów. Wszystkie kompu
na specyfikę działania orga
skorzystać z Internetu. W z
decyzja o wdrożeniu mechan
serwerowych oraz stacji
mechanizmów izolacji dome
którym możliwe będzie sp
środowiska testowego został

Rys.

Do wykonania ćwic
oprogramowania nma

Zadanie

1.

Testowanie

komunikacji

2.

Przeprowadzenie

skanowania portów z
komputera gościa

Strona 16/19

stawowe

acji 45 min)

infrastrukturę sieciową złożoną z kilkudziesięciu s

putery klienckie jaki i serwery są członkami domen

organizacji wielu jej klientów podłącza swoje ko

W związku z rosnącą ilością incydentów bezpiecze

chanizmów uniemożliwiających komputerom gości
cji klienckich organizacji. W tym celu zdecyd

omenowej Windows Server 2008 i zbudowaniu śro

sprawdzenie skuteczności wybranej metody za
stał przedstawiony na rysunku 9.

Rys. 9 Schemat środowiska testowego dla izolacji domenowej

wiczenia konieczne będzie zainstalowanie na

nmap, które znajduje się na płytce studenckiej w kat

Tok postępowania

Domyślnie izolacja domenowa nie jes
zarówno komputery członkowskie jak i k

komunikować się ze sobą.

• Na komputerze ITA-CL01 wybierz Menu

Uruchom.

• W oknie dialogowym wpisz \\ITA-DC01, i klik

Powinny wyświetlić się zasoby udostępn
domeny

Przed

przystąpieniem

do

tego

ć

oprogramowania nmap

• Na komputerze ITA-CL02 wybierz Menu

Uruchom.

• W oknie dialogowym wpisz polecenie cmd, i k
• Przejdź do katalogu z zainstalowanym skaner
• Wprowadź

polecenie

nmap

-O

p22,53,135,137,445

• Zapoznaj się z wynikiem uzyskanym z

skanowania.

• Przeprowadź skanowanie portów innych kom

Sprawne skanowanie umożliwia uzyskanie
niezbędnych do przeprowadzenia ataku te

Moduł X

Omówienie i analiza TCP/IP

ciu stacji klienckich i kilku

meny ITA.local. Ze względy

komputery do sieci aby

eczeństwa została podjęta

ści na dostęp do zasobów

cydowano o wdrożeniu

środowiska testowego w

y zabezpieczeń. Schemat

na komputerze ITA-CL02

katalogu aplikacje.

jest wdrożona, dlatego

i komputery gości mogą

Start menu, i kliknij

kliknij OK.

ępnione na kontrolerze

ćwiczenia

zainstaluj

Start menu, i kliknij

, i kliknij OK.

nerem portów Nmap

–sS

10.10.0.50

–

z przeprowadzonego

komputerów w sieci.

anie wszelkich informacji

u teleinformatycznego.

Marek Pyka
ITA-108 Technologie sieciowe

3.

Konfiguracja

polityki domenowej
dla Windows Firewall

4.

Stworzenie

domyślnej reguły
dla domeny

5.

Stworzenie reguły

bezpieczeństwa
wymagającej
autentykacji ruchu

Strona 17/19

Każde skanowanie portów detektowane
Firewall, czy możliwe jest przeskanowani
nie zostało to zauważone?
Jakie ustawienia oprogramowania Fire
rekonesans wykonywany programami klas

• Zaloguj się do komputera ITA-DC01 jako adm
• W Start Menu wpisz w Start Search polecenie

enter.

• W oknie Group Policy Management, przejd

Policy.

• Zaznacz Default Domain Policy, a następnie z
• W Group Policy Object Editor prze

Configuration/Windows Settings/Security
Windows Firewall with Advanced Security.

• Zaznacz Windows Firewall with Adv

LDAP://<DN>, w sekcji Overview, klikni
Properties.

• W oknie dialogowym Windows Firewall wit

na zakładce Domain Profile wprowadź po
Settings klikając Customize.

Setting

Values

Firewall State

On (recommen

Inbound connections

Block (default)

Outbound connections

Allow (default)

• W oknie dialogowym Customize Settings fo

w Rule Merging, Apply local firewall rules
local connections security rules, kliknij No, a

• Kliknij OK aby zamknąć okno dialogowe W

Advanced Security – LDAP://<DN>

• Używając Group Policy Object Editor, p

Firewall with Advanced Security – LDAP://<
Rules.

• W menu Action kliknij New Rule.
• Stwórz nową Inbound Rule z poniższymi para

Setting

Values

Rule Type

Custom

Program

All programs

Protocol and

Ports

Any

Scope

Any

Action

Allow the connection

Profile

Domain only

Name

Allow all traffic

• Używając Group Policy Object Editor, p

Firewall with Advanced Security – LD
Connection Security Rules.

• W menu Action kliknij New Rule.

Moduł X

Omówienie i analiza TCP/IP

ane jest przez systemy

anie tak komputera aby

Firewall mogą utrudnić

klasy Nmap?

administrator

enie GPMC.MSC i naciśnij

zejdź do Default Domain

nie z menu Action -> Edit.

przejdź

do

Computer

rity Settings, i rozwiń

Advanced

Security

–

liknij Windows Firewall

l with Advanced Security

poniższe ustawienia dla

mmended)

efault)

efault)

s for the Domain Profile,

les, zaznacz No, w Apply

, a następnie OK.

Windows Firewall with

, przejdź do Windows

://<DN> i kliknij Inbound

parametrami:

, przejdź do Windows

LDAP://<DN> i kliknij

Marek Pyka
ITA-108 Technologie sieciowe

przychodzącego

6.

Odświerzenie

polityk
domenowych

7.

Weryfikacja

działania izolacji

8.

Testowanie

bezpieczeństwa
komputerów w
domenie

Strona 18/19

• Stwórz nową Connection Security Rule z pon

Setting

Values

Rule Type

Isolation

Requirements

Request authentication for

and outbound connect

Authentication

Method

Default (Kerberos)

Profile

Domain only

Name

Request connection securi

Aby przyspieszyć odświeżenie polityk wart
gpupdate, gdyż procedura ta może osiągną

• Na komputerze ITA-DC01 w Start menu otwó
• W oknie dialogowym wpisz gpupdate.exe /fo
• Na komputerze ITA-CL01 w Start menu otwó
• W oknie dialogowym wpisz gpupdate.exe /fo
• Zaloguj się na komputerze ITA-CL01
• W Start menu, kliknij Run.
• W oknie dialogowym wpisz \\ITA-DC01, i klik
• W Start menu, uruchom Run i wpisz poleceni
• W konsoli mmc kliknij File->Add/Remove Sna
• Wybierz przystawkę IPSec Monitor kliknij

dodawania przystawek.

• W konsoli IPSec Monitor rozwiń Qui

Security Associations.
Zobacz, że zostało ustanowione połączenie
ITA-DC01

• Zamknij konsolę
• Zaloguj się na komputerze ITA-CL02
• Wykonaj skanowanie portów za pomocą Nma
• Uruchom Microsoft Network Monitor i p

komunikacji TCP/UDP

Jakie informacje można uzyskać z przech
dlaczego?

Moduł X

Omówienie i analiza TCP/IP

poniższymi parametrami:

on for inbound

nnections

security

warto jest użyć polecenia

gnąć nawet 90 min.

twórz okno Run

/force i naciśnij Enter.

twórz okno Run

/force i naciśnij Enter.

kliknij OK.

cenie mmc

Snap-in…

knij Add i zamknij okno

Quick Mode, i wybierz

nie IPSec z komputerem

Nmap.

i przechwyć 20 ramek

zechwyconych pakietów i

Marek Pyka
ITA-108 Technologie sieciowe

Laboratorium rozszer

Zadanie 1 (45 min)

Miesiąc po wdrożeniu iz
z nieautoryzowanym dostę
pokazały, że technologia moż
Przeprowadzony projekt um
dostęp osób trzecich do dany
podniesionego przez audyto
wykorzystaniem informacji w
niewdrożone są mechanizmy
Na przykład, skąd wiemy, że
kontrahentów? Czy aby na p
zabezpiecza przed wyciekiem
Aby odpowiedzieć na te i
poszukiwania rozwiązań
Przeglądając dostępne rozw
Windows Server 2008, a m
tym, iż dysponujesz takową
środowisko testowe wybrał
Windows Vista z zainstalowa
Office 2007. W ramach te
korespondencję e-mail oraz w

Materiały dotyczące in
płycie studenckiej w ka

Zadanie 2 (45 min)

Pełen euforii po ostatnich
rzeczywistość dopadła cię w
gotowa na większość ataków
W piątek wrócił kierownik
klientach na całym świecie
drukarek, powodowane b
kierownikiem dział wsparcia
niewystarczającej świadom
administratora zainfekował k
Zaraz po podłączeniu syste
trojańskich. Na szczęście pr
starszych komputerów im u
sposobami zapobiegania ta
związanych z izolacją jak i
przekonać kolegów do zb
podjęliście decyzję o integra
projekt a Twoim zadaniem
w przedsiębiorstwie. Do teg
stację kliencką.

Materiały dotyczące in
studenckiej w katalogu

Strona 19/19

szerzone 1 (Czas realizacji 90 min)

izolacji IPSec w przedsiębiorstwie, ilość inc

ostępem do zasobów zmalała praktycznie do ze

oże być bardzo pomocna w automatyzacji zabezp

t umożliwił zabezpieczenie kanałów komunikacyjn

danych firmowych. Wdrożone technologie nie rozwi

ytora, który podkreślał, iż w przedsiębiorstwie nie m

cji wrażliwej przez pracowników. Zgodnie z prawd

izmy kontrolujące, co użytkownicy robią z danymi, d

y, że osoby trzecie nie mają dostępu do danych tj.

na pewno nadanie dostępu do pliku na podstawie c

kiem danych? A co jeżeli osoba, która ma dostęp do
e i wiele innych pytań związanych z wyciekiem i

ń technologicznych mogących rozwiać wszys

związania kontroli treści Twoją uwagę przykuła

a mianowicie Active Directory Rights Management

ową infrastrukturą, wdrożenie nie powinno przysp

brałeś kontroler domeny z Windows Server 2008

lowanym klientem AD RMS, który jest integralną czę

testów przeprowadzisz instalację usługi AD RM

raz wymianę dokumentów pakietu Office pomiędzy

e instalacji uslugi AD RMS dla tego i innych scena

katalogu Materiały.

ich dwóch projektach dotyczących bezpieczeństwa

ię w poprzedni piątek. Infrastruktura zabezpieczeń,

ków, lecz pojawiła się luka, której nie przewidziałeś.
nik działu Marketing, który przebywał na dwu m

iecie. Już na początku wyjazdu zgłaszał problemy

brakiem wystarczających uprawnień. W por

rcia technicznego udzielił mu pełnego dostępu do

omości zagrożeń, użytkownik pracując na ko

ał komputer przenośny, który w piątek został podłą

systemy wykrywania naruszeń wykryły działanie

e przeprowadzane przez nie ataki były dobrze zn

m uległa. Po tym incydencie zaczęliście zastanawi

a takim sytuacjom. W związku z tym, iż pracow

k i usługami RMS, poznałeś pobieżnie funkcję NA
zbudowania środowiska kwarantanny dla siec

gracji usług NAP z mechanizmem izolacji domenow

iem jest wykonanie infrastruktury NAP z wykorzy
tego celu masz wykorzystać kontroler domeny, se

e instalacji uslugi NAP dla tego i innych scenariuszy

logu Materiały.

Moduł X

Omówienie i analiza TCP/IP

incydentów związanych

zera. Osiągnięte wyniki

ezpieczania infrastruktury.

cyjnych oraz uniemożliwił

związały jednak problemu

nie ma żadnej kontroli nad

wdą, w przedsiębiorstwie
i, do których mają dostęp.

tj. bilans, lista płac, dane

ie członkostwa w grupach

do tych danych je ujawni?

m informacji, rozpocząłeś

szystkie te wątpliwości.

kuła nowa funkcjonalność

ent Service. W związku z

rzysparzać kłopotów. Jako

2008 oraz stację kliencką

częścią pakietu Microsoft

RMS oraz zabezpieczysz

dzy Kają i Bob’em.

cenariuszy znajdują się na

stwa infrastruktury, szara
eń, którą zbudowałeś była
łeś.

u miesięcznym tourne po
lemy, z instalacją obcych

porozumieniu z Twoim

do komputera. W wyniku

koncie z uprawnieniami
odłączony do Twojej sieci.

nie kilku robaków i koni

znane, więc tylko część

awiać się w dziale IT nad

acowałeś przy projektach

NAP i NPS. Udało Ci się

sieci LAN. Równocześnie

nowej. Rozpoczął się nowy

orzystaniem izolacji IPSec

, serwer członkowski oraz

uszy znajdują się na płycie