ras подключение что это
Шлюз RAS-сервера
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Шлюз RAS — это программный маршрутизатор и шлюз, которые можно использовать в режиме одного клиента или в режиме клиента.
Режим одного клиента позволяет организациям любого размера развертывать Шлюз в качестве внешней сети или с выходом в Интернет (VPN) и сервером DirectAccess. В режиме одного клиента можно развернуть шлюз RAS на физическом сервере или на виртуальной машине, на которой выполняется Windows Server 2016.
Многоклиентский режим позволяет поставщикам облачных служб (CSP) и предприятиям использовать шлюз RAS для обеспечения маршрутизации трафика центра обработки данных и облака между виртуальными и физическими сетями, включая Интернет. Для многоклиентского режима рекомендуется развертывать Шлюз RAS на виртуальных машинах, на которых выполняется Windows Server 2016.
Шлюз RAS поддерживает IPv4 и IPv6, включая пересылку IPv4 и IPv6. При настройке шлюза RAS с преобразованием сетевых адресов (NAT) поддерживается только NAT44.
Кто будет заинтересовать шлюз RAS?
Если вы являетесь системным администратором, архитектором сети или другим ИТ-специалистом, шлюз RAS может быть неинтересен в одном или нескольких следующих случаях.
Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая использует или планирует использовать технологию Hyper-V для развертывания виртуальных машин в виртуальных сетях.
Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая развертывает или планирует развертывание облачных технологий.
Вы хотите обеспечить полнофункциональные сетевые подключения между физическими и виртуальными сетями.
Вы хотите предоставить клиентам организации доступ к своим виртуальным сетям через Интернет.
Вы хотите предоставить сотрудникам Организации удаленный доступ к сети Организации.
Вы хотите подключить офисы в различных физических расположениях через Интернет.
В этой статье, предназначенной для ИТ-специалистов, содержатся общие сведения о шлюзе RAS, включая режимы и функции развертывания шлюза удаленного доступа.
Этот раздел состоит из следующих подразделов.
Режимы развертывания шлюза RAS
Шлюз RAS включает следующие режимы развертывания:
Режим одного клиента
Для большинства организаций использование шлюза RAS в режиме одного клиента является типичной конфигурацией. В режиме одного клиента можно развернуть шлюз RAS как пограничной VPN-сервер, сервер DirectAccess или оба одновременно. В этой конфигурации шлюз RAS предоставляет удаленным сотрудникам возможность подключения к сети с помощью VPN или подключений DirectAccess. Кроме того, режим одного клиента позволяет подключать офисы в различных физических расположениях через Интернет.
Многоклиентский режим
если ваша организация является CSP или Enterprise с несколькими клиентами, можно развернуть шлюз RAS в многоклиентский режим, чтобы обеспечить маршрутизацию сетевого трафика в виртуальные и физические сети и из них.
Мультитенантность — это способность облачной инфраструктуры поддерживать рабочие нагрузки виртуальных машин нескольких клиентов, но изолировать их друг от друга, в то время как все рабочие нагрузки работают в одной и той же инфраструктуре. Несколько рабочих нагрузок отдельного клиента могут быть связаны взаимоподключением и управляться удаленно, оставаясь отделенными от рабочих нагрузок других клиентов и не позволяя другим клиентам управлять ими.
Например, предприятие может иметь много различных виртуальных подсетей, каждая из которых предназначена для обслуживания конкретного отдела, например отдела исследований и разработки или бухгалтерского отдела. В другом примере поставщик облачных служб имеет много тенантов с изолированными виртуальными подсетями, которые существуют в одном физическом центре обработки данных. В обоих случаях шлюз RAS может направлять трафик в каждый клиент и из него, сохраняя спроектированную изоляцию каждого клиента. Эта возможность обеспечивает поддержку клиентов шлюза RAS.
виртуальные сети создаются с помощью виртуализации сети Hyper-V, которая является технологией, представленной в Windows Server 2012, и повышена в Windows Server 2016. Шлюз RAS интегрируется с виртуализацией сети Hyper-V и может эффективно маршрутизировать сетевой трафик в тех случаях, когда существует множество различных клиентов, или клиентов, имеющих изолированные виртуальные сети в одном центре обработки данных.
Виртуализация сети Hyper-V предоставляет возможность развертывания сети виртуальной машины, которая не зависит от базовой физической сети. В сетях виртуальных машин, состоящих из одной или нескольких виртуальных подсетей, точное физическое расположение IP-подсети отделяется от топологии виртуальной сети. В результате вы можете легко перенести локальные подсети в облако, сохранив существующие IP-адреса и топологию в облаке. Эта возможность сохранения инфраструктуры позволяет существующим службам продолжать работать, не имея информации о физическом расположении подсети. Таким образом, виртуализация сети Hyper-V позволяет создать цельное гибридное облако.
Виртуализация сети Hyper-V — это технология наложения сети, использующая сетевое инкапсуляцию сетевой виртуализации (NVGRE), которая позволяет клиентам использовать свое адресное пространство и обеспечивает лучшую масштабируемость, чем возможно, с помощью виртуальных ЛС для изоляции клиентов.
в Windows Server 2016 шлюз RAS направляет сетевой трафик между физической сетью и сетевыми ресурсами виртуальной машины независимо от расположения ресурсов. Шлюз RAS можно использовать для маршрутизации сетевого трафика между физическими и виртуальными сетями в одном физическом расположении или во многих разных физических расположениях.
Например, если у вас есть физическая сеть и виртуальная сеть в одном физическом расположении, можно развернуть компьютер с Hyper-V, настроенный с виртуальной машиной шлюза RAS, в качестве шлюза перенаправления и направить трафик между виртуальными и физическими сетями.
В другом примере, если ваши виртуальные сети существуют в облаке, CSP может развернуть шлюз RAS, чтобы можно было создать подключение типа «сеть — сеть» виртуальной частной сети (VPN) между VPN-сервером и шлюзом RAS CSP. После установки этой ссылки вы можете подключаться к виртуальным ресурсам в облаке через VPN-подключение.
Кластеризация шлюза RAS для обеспечения высокой доступности
Шлюз RAS развернут на выделенном компьютере с Hyper-V и настроен с одной виртуальной машиной. Затем виртуальная машина настраивается в качестве шлюза RAS.
Для обеспечения высокой доступности сетевых ресурсов можно развернуть шлюз RAS с отработкой отказа с помощью двух физических серверов узлов под управлением Hyper-V, каждый из которых также работает под управлением виртуальной машины, настроенной в качестве шлюза. Затем виртуальные машины шлюза необходимо настроить как кластеры, чтобы обеспечить отказоустойчивость и защиту от отказов сети и сбоев оборудования.
например, если ваша организация является Enterprise с развертыванием частного облака, вам может потребоваться только две виртуальные машины шлюза RAS, каждая из которых установлена на другом компьютере с Hyper-V. В этом сценарии виртуальные машины шлюза RAS добавляются в кластер для обеспечения высокой доступности.
В другом примере, если ваша организация является поставщиком облачных служб (CSP) с 200 клиентами в вашем центре обработки данных, можно использовать восемь виртуальных машин шлюза RAS с каждой парой кластеризованных виртуальных машин шлюза RAS, предоставляющих клиентам службы маршрутизации для 50. В этом сценарии два компьютера с Hyper-V имеют четыре виртуальные машины, настроенные как шлюзы RAS. Затем вы настроите четыре кластера виртуальных машин шлюза RAS, каждый из которых содержит одну виртуальную машину с каждого компьютера с Hyper-V.
при развертывании шлюза RAS серверы узлов под управлением Hyper-V и виртуальные машины, настроенные как шлюзы, должны работать Windows Server 2012 R2 или Windows Server 2016.
Возможности шлюза RAS
Шлюз RAS включает следующие возможности.
VPN типа «сеть — сеть». Эта функция шлюза RAS позволяет подключать две сети в различных физических расположениях через Интернет с помощью VPN-подключения типа «сеть — сеть». Если у вас есть главный офис и несколько филиалов, можно развернуть пограничным шлюз RAS в каждом расположении и создать подключения типа «сеть — сеть», чтобы обеспечить поток сетевого трафика между расположениями. Для CSP, которые размещают множество клиентов в своем центре обработки данных, шлюз RAS предоставляет многоклиентское решение шлюза, которое позволяет клиентам получать доступ к ресурсам и управлять ими через VPN-подключения типа «сеть — сеть» с удаленных сайтов, что позволяет передавать сетевой трафик между виртуальными ресурсами в центре обработки данных и их физической сетью.
VPN-подключение типа «точка — сеть«. Эта функция шлюза RAS позволяет сотрудникам Организации или администраторам подключаться к сети организации из удаленных расположений. Для развертывания одного клиента шлюза RAS удаленные сотрудники могут подключаться к сети Организации с помощью VPN-подключения. Это подключение позволяет использовать внутренние сетевые ресурсы, такие как веб-сайты интрасети и файловые серверы. Для многоклиентские развертывания администраторы сети клиента могут использовать VPN-подключения типа «точка — сеть» для доступа к ресурсам виртуальной сети в центре обработки данных CSP.
Динамическая маршрутизация с помощью протокол BGP (BGP). Протокол BGP снижает потребность в ручной настройке маршрутов в маршрутизаторах, так как является протоколом динамической маршрутизации и автоматически определяет маршруты между сайтами, связанными с помощью межсайтовых подключений VPN. Если в Организации есть несколько сайтов, подключенных с помощью маршрутизаторов с поддержкой BGP, таких как шлюз RAS, BGP разрешает маршрутизаторам автоматически рассчитывать и использовать действительные маршруты друг к другу в случае сбоя или нарушения работы сети. Дополнительные сведения см. в документе RFC 4271.
Преобразование сетевых адресов (NAT). Преобразование сетевых адресов (NAT) позволяет совместно использовать подключение к общедоступному Интернету через единый интерфейс с одним общедоступным IP-адресом. Компьютеры в частной сети используют частные, не поддерживающие маршрутизацию адреса. NAT сопоставляет частные адреса с общедоступным адресом. Эта функция шлюза RAS позволяет сотрудникам Организации с одними развертываниями клиентов получать доступ к Интернет ресурсам из шлюза. Для CSP эта функция позволяет приложениям, работающим на виртуальных машинах клиента, получать доступ к Интернету. Например, виртуальная машина клиента, настроенная в качестве веб-сервера, может связываться с внешними финансовыми ресурсами для обработки транзакций кредитных карт.
Сценарии развертывания шлюза RAS
Ниже приведены рекомендуемые сценарии развертывания для шлюза RAS.
Enterprise ребро — развертывание одного клиента. при развертывании одного клиента Enterprise можно подключить один физический к нескольким другим физическим расположениям через интернет с помощью функции VPN типа «сеть — сеть», а протокол BGP (BGP) позволяет использовать динамическую маршрутизацию. Вы также можете предоставить удаленным сотрудникам доступ к сети Организации с помощью VPN-подключений типа «точка — сеть» и подключений DirectAccess. (Подключения DirectAccess всегда включены, а также предоставляют преимущество, позволяющее легко управлять компьютерами, подключенными с помощью DirectAccess, так как они подключены при каждом подключении к Интернету.) можно также настроить один клиент Enterprise шлюзы RAS с помощью NAT, чтобы компьютеры в интрасети могли легко обмениваться данными с интернетом.
Поставщик облачных служб ребро — развертывание с несколькими клиентами. многоклиентское развертывание шлюза RAS для csp позволяет предлагать клиентам все функции, доступные при развертывании Enterprise пограничных клиентов. VPN-подключения типа «сеть — сеть» между виртуальными сетями клиента в центре обработки данных и сетевыми расположениями клиентов в Интернете означают, что клиенты быстро обращаются к своим облачным ресурсам в любое время. VPN-доступ типа «точка — сеть» для клиентов означает, что администраторы клиента всегда могут подключаться к своим виртуальным сетям в центре обработки данных для управления ресурсами. BGP обеспечивает динамическую маршрутизацию и поддерживает подключение клиентов к их ресурсам даже при возникновении проблем с сетью в Интернете или в других местах. И NAT позволяет виртуальным машинам клиента подключаться к ресурсам в Интернете, например ресурсам для обработки кредитных карт.
Средства управления шлюзами RAS
Ниже перечислены средства управления для шлюза RAS.
в Windows Server 2016 для развертывания маршрутизатора шлюза RAS необходимо использовать команды Windows PowerShell. дополнительные сведения см. в разделе командлеты удаленного доступа для Windows Server 2016 и Windows 10.
в System Center 2012 R2 диспетчер виртуальных машин (VMM) шлюз RAS называется Windows шлюза сервера. В программном интерфейсе VMM доступен ограниченный набор параметров конфигурации протокол BGP (BGP), включая локальный IP-адрес BGP и номера автономных систем (ASN), список одноранговых IP-адресов BGPи значения ASN. Тем не менее вы можете использовать команды удаленного доступа Windows PowerShell для BGP, чтобы настроить все остальные функции шлюза Windows Server. дополнительные сведения см. в разделе диспетчер виртуальных машин (VMM) и командлеты удаленного доступа для Windows Server 2016 и Windows 10.
Национальная библиотека им. Н. Э. Баумана
Bauman National Library
Персональные инструменты
RAS (Remote Access Server)
RAS (англ. Remote Access Server — Сервер удалённого доступа) — сервер, предназначенный для обработки пользователей, которые не находятся в локальной сети, но нуждаются в удаленном доступе к нему. Сервер удаленного доступа позволяет пользователям получать доступ к файлам и службам печати в локальной сети из удаленного места. Например, пользователь, который получает доступ из дома с использованием аналогового модема или ISDN-соединения, подаёт запрос серверу удаленного доступа. Как только пользователь будет аутентифицирован, он может получить доступ к общим дискам и принтерам, как если бы он физически подключался к локальной сети офиса. [Источник 1]
Архитектура
Соединения устанавливаются клиентами удаленного доступа, которые вызывают интерфейс программирования RAS, который, в свою очередь, использует TAPI (Telephony Application Programming Interface) для передачи информации о подключении к коммутируемому оборудованию. После того, как физическое соединение выполнено, TAPI больше не используется, а дополнительные компоненты удаленного доступа согласовывают соединение с протоколами связи, аутентификации и управления сетью путем прямой связи с NDISWAN. NDISWAN — это промежуточный драйвер NDIS, поставляемый в системе, который обеспечивает такие функции, как сжатие данных, шифрование, шлейф и простое кадрирование PPP, которое используется драйверами мини-порта WAN.
Архитектура сервера удаленного доступа состоит из следующих элементов, как показано на изображении:
Ras подключение что это
Ответы на часто задаваемые вопросы.
В чём различия выложеных на сайте сборок (программ, прошивок Dashboard)?
В основном сборки отличаются внешним видом и функциональностью, читайте внимательно описание к каждой версии, выбирайте какая больше нравится, качайте и пользуйтесь.
Вы не могли бы дать полный список модемов HUAWEI, которые можно прошивать вашими прошивками (Dashboard)?
Полного списка не существует, теоритически прошивки подходят для всех модемов Huawei, а практически нет возможности проверить. Те модели модемов к которым подходит прошивка перечислены в описании к ней.
Как скачать понравившуюся мне программу или прошивку бесплатно?
Все сервисы на которые закачаны наши файлы поддерживают бесплатное скачивание.
У меня модем HUAWEI от МТС. Какую прошивку мне скачать чтобы можно было использовать сим-карты Мегафон и Билайн?
Ни какая прошивка Dashboard размещённая на этом сайте не разлочит ваш модем. Как разлочить модем ищите в интернете, например, на форуме: Разблокировка (разлочка) модемов и роутеров HUAWEI.
Что такое разблокировка (разлочка) модема, и нужна ли она мне?
Под разблокировкой (разлочкой) модема подразумевают снятие привязки к оператору сотовой связи, т.е. возможность использовать купленный вами модем с сим-картами других операторов. Большинство операторов сотовой связи при продаже модема блокируют модем на использование только со своими сим-картами. Так, например, купив модем оператора МТС, если он заблокирован (привязан к оператору), то использовать его с сим-картой Мегафон или Билайн, без разблокировки (разлочки), не получится.
Поддерживают ли ваши программы операционные системы MAC OS и Linux?
Нет. Программы предназначены только для работы в операционной системе Windows.
Мой модем выдаёт ошибку, не подключается к интернету и т.п.. Что делать?
Ищите ответ на форуме, в теме: Инструкция по устранению ошибок в модемах HUAWEI
Ras подключение что это
RAS (Remote Access Service) – служба удаленного доступа, позволяющая удаленным пользователям, работающим в операционных системах Microsoft Windows NT/2000/XP подключаться к сети, с использованием удаленного соединения.
Есть очень много программного обеспечения, которое позволяет упростить процесс дозвона к Интернет-провайдерам, так называемые «программы-звонили». Такие программы используют в своей работе возможности удаленного соединения, которые реализованы в ОС Microsoft Windows. В большинстве случае, соединение происходит посредством обычной телефонной линии или модема, но все это лишь частные примеры, показывающие область применения RAS.
Разработчики программного обеспечения могут воспользоваться специальным набором функций RAS API, предназначенных для:
— создания, копирования, переименования, удаления в телефонной книге;
— изменения настроек соединения;
— получения информации о ходе и статусе подключения;
— наблюдения и управления за соединениями, которые используют пользователи.
При создании удаленных соединений возможно использовать следующие протоколы:
— SLIP (Serial Line Internet Protocol) – сетевой протокол канального уровня эталонной сетевой модели OSI для доступа к сетям стека TCP/IP через низкоскоростные линии связи путем простой инкапсуляции IP-пакетов;
— РРР (Point-to-Point Protocol) – предпочтительный двухточечный протокол канального уровня сетевой модели OSI для установления прямой связи между двумя узлами сети (поддерживает аутентификацию соединения (PAP, CHAP), сжатие данных, шифрование (ECP, RFC 1968), протоколы конфигурирования сети (IPCP, IPXCP, NBFCP, LCP)).
После установления РРР соединения, программы имеют возможность использовать стандартные сетевые интерфейсы ОС Windwows: Windows Sockets, Named Pipes, NetBIOS, RPC и взаимодействовать по протоколам: TCP/IP, NetBEUI, IPX/SPX, инкапсулированным в РРР. По причине того, что в RAS соединениях используются реальные сетевые протоколы, удаленный клиент RAS действует по такому же принципу, если бы он был подключен к локальной сети, скорость приема и передачи данных при этом ниже, чем при физическом подключении к сети.
TCP/IP на основе РРР используется практически постоянно для связи мобильных пользователей с Intranet сетью, так как, является весьма надежным и достаточно безопасным способом для распространения сетевых соединений на удаленные компьютеры.
3G модемы в RAS подключениях выступают в качестве сетевых адаптеров, при этом удаленный клиент RAS обращается и работает c теме же ресурсами, с которыми работает стандартный клиент с сетевым подключением. В RAS реализовано до 256 одновременных соединений, есть функция брандмауэра, шлюза, маршрутизатора.
При выборе в софте типа соединения RAS, подключение к сети Интернет осуществляется через дозвон по модему.
NDIS (Network Driver Interface Specification) – спецификация интерфейса сетевых драйверов, которая имеет прямое отношение к спектру начиная от драйверов сетевых карт и заканчивая интерфейсами для протоколов сетевого уровня.
NDIS разработан совместно фирмами 3Com и Microsoft для реализации сопряжения драйверов сетевых адаптеров с ОС Windows, при этом NDIS напрямую относиться к драйверам сетевых карт и интерфейсам для протоколов сетевого уровня.
В практическом применении, модуль NDIS располагается в одном файле, представляющего собой драйвер, который загружается системой при запуске и экспортирует функции работы с NDIS. NDIS состоит из файла NDIS.SYS и неограниченного количества пользовательских драйверов (в теории), которые он оборачивает. Драйвер предоставляет интерфейсные функции и уникальные функции самоуправления, при этом все драйверы делятся на типы: драйверы минипорта, драйверы-фильтры, драйверы протокола, промежуточные драйверы.
Посредством NDIS можно драйверам сетевых протоколов использовать сетевые интерфейсы для отправки и приема сетевых пакетов, при этом скрывая детали реализации. NDIS реализует поддержку по передачи данных на аппаратном уровне во всех сетевых взаимодействиях (Ethernet, IR, serial port, Bluetooth и т.д.).
При выборе в софте типа соединения NDIS, подключение к сети Интернет осуществляется через виртуальную сетевую карту.
При установке софта для управления 3G USB модемами Hauwei в систему устанавливается весь перечень драйверов, в частности драйверы для модемного (RAS) и сетевого (NDIS) подключения. Полная установка драйверов необходима для того, чтобы модемы могли работать в различных типах соединений, при выбор модемом типа подключения зависит от версии его прошивки.
Выделить преимущества в плане скорости у RAS или NDIS соединения сложно, т.к. они не дают прироста в скорости, а лишь отличаются в логике подключения. При этом, если устройство (3G USB модем) на аппаратном уровне не поддерживает WCDMA (Wideband Code Division Multiple Access) или HSDPA (High-Speed Downlink Packet Access) до 14,4 Мбит/с, а также если плохие условия сигнала или большая плотность абонентов в данном сегменте мобильной сети, то при переключении между режимами RAS или NDIS увеличения скорости соединения добиться невозможно.
Для обычного подключения к сети Интернет, достаточно использовать RAS соединение (режим модемного соединения).
В случае того, если Вы активировали в софте для управления модемом ADSL (Asymmetric Digital Subscriber Line) и Wi-Fi плагины и планируете подключаться по технологии ADSL или Wi-Fi, тогда Вам необходим режим NDIS.
Корректность установки драйверов на модем можно определить, проверив в диспетчере устройств наличие модема «HUAWEI Mobile Connect – 3G Modem».
Ras подключение что это
Сервис RAS позволяет довольно большому числу удаленных пользователей (до 256) одновременно подключаться к одному серверу Windows NT и по протоколам IPX и TCP/IP получать доступ к ресурсам локальной сети. Клиентская часть программного обеспечения RAS поставляется вместе со всеми операционными системами корпорации Microsoft бесплатно и позволяет клиентским станциям подсоединяться к сети в качестве удаленных узлов.
Для организации удаленного доступа помимо обычной сетевой аппаратуры требуется дополнительное оборудование: модемы, телефонные линии, возможно, некоторое количество выделенных линий, а также специальное программное и аппаратное обеспечение удаленного доступа. Очевидно, что для экономии модемов можно не ставить на каждую телефонную линию отдельный модем, а организовать общий пул модемов и сделать его разделяемым ресурсом как для звонков из локальной сети, так и для звонков извне.
Более сложные функции, связанные с обработкой передаваемой информации в системах удаленного доступа, выполняют серверы доступа (access server).
7.1. Отличия режима удаленного узла от режима удаленного управления
В зависимости от потребностей пользователей и возможностей программно-аппаратного обеспечения для удаленного доступа могут использоваться две основных схемы: режим удаленного узла и режим удаленного управления.
В Windows NT сервис удаленного доступа RAS реализует режим удаленного узла. (remote node). Программное обеспечение удаленного узла на клиентской машине позволяет последовательному порту и модему (или интерфейсу ISDN) стать медленным узлом канального уровня, взаимодействующим обычным способом с редиректором операционной системы. В локальной сети должен быть установлен сервер удаленного узла, который умеет транслировать приходящие низкоскоростные кадры в кадры протоколов Ethernet, Token Ring и других протоколов, используемых в локальной сети.
Удаленный узел наиболее эффективно работает с системами клиент-сервер, такими как СУБД, файл- и принт-серверы, а также с мейнфреймами.
Операционные системы Mac OS, OS/2, Windows 95 и Windows NT WorkStation включают в стандартной поставке клиентскую часть программного обеспечения удаленного узла. В настоящее время имеется явная тенденция использования клиентами удаленного узла протокола РРР. В результате достигается совместимость клиентских и серверных частей систем, работающих в режиме удаленного узла, различных производителей.
7.2. Сервис подключения удаленных узлов и сетей RAS
Сервис удаленного доступа RAS предоставляет пользователям Windows NT следующие возможности:
Многопротокольная маршрутизация. Последовательные линии, такие как коммутируемые телефонные линии, через которые чаще всего и осуществляется удаленный доступ, способны только передавать потоки битов без их деления на информационные пакеты. Поэтому для имитации работы удаленного пользователя в сети необходимо соответствующее программное или аппаратное обеспечение, которое должно преобразовать битовый поток в последовательность пакетов. Для этих целей должны быть разработаны протоколы последовательных линий, которые могут быть использованы сетевым программным обеспечением для организации удаленных соединений.
Подобно тому, как для работы нескольких сетевых протоколов через один сетевой адаптер было разработано соответствующее мультиплексирующее программное обеспечение, для последовательных линий также должно быть разработано решение, обеспечивающее использование более чем одного протокола на одной последовательной линии. Большинство существовавших ранее протоколов удаленного доступа были разработаны для поддержки одного сетевого протокола, и поэтому их трудно приспособить для поддержки сразу нескольких сетевых протоколов. Кроме того, протоколы сетевого уровня локальных сетей, такие как IPX и Apple-Talk, были разработаны без учета возможности работы на медленных последовательных линиях. Они применяют небольшие времена тайм-аутов, частую рассылку широковещательных пакетов и имеют другие особенности, которые резко снижают производительность при использовании их для удаленного доступа.
Сервис RAS позволяет клиентам в ходе сеанса удаленного доступа использовать любую комбинацию сетевых протоколов NetBEUI, TCP/IP, IPX. Это означает возможность удаленной работы приложений, ориентированных на сокеты Windows и NetWare, наряду с приложениями NetBIOS. Протокол РРР обеспечивает высокую степень взаимодействия с существующими сервисами удаленного доступа.
Поддержка Internet. Сервис RAS предоставляет полный набор функций, позволяющих использовать Windows NT Server в качестве провайдера сервисных услуг Internet. Клиентские станции, работающие под управление Windows NT Workstation или Windows 95, получают возможность соединяться по коммутируемым линиям через Internet.
Улучшенные возможности интеграции с сетями NetWare. Поскольку служба RAS в составе Windows NT основана на протоколе PPP, то, имея стек протоколов IPX, любой клиент PPP другой фирмы может также быть использован для удаленного доступа к сети. Программы RAS и Gateway Service, функционирующие на одном сервере Windows NT, и соответствующее программное обеспечение, запущенное на машинах пользователей (в том числе и мобильных), позволяют реализовать аутентифицированный удаленный доступ пользователей к своим каталогам на сервере NetWare.
Увеличенное количество одновременных соединений. Операционная системы Windows NT Server поддерживает до 256 одновременных соединений. Windows NT Workstation поддерживает только одно соединение, которое может быть полезно для небольших одноранговых сетей.
Программное сжатие данных в сервисе удаленного доступа позволяет пользователям существенно увеличить (практически в два раза) пропускную способность своего соединения.
Поддержка прикладных программных интерфейсов RAS позволяет пользователям разрабатывать собственные приложения, обладающие возможностями удаленного доступа.
7.3. Средства безопасности сервиса удаленного доступа RAS
Для обеспечения безопасности RAS использует как средства Windows NT, так и собственные механизмы. Защита предусматривается на всех стадиях процесса удаленного доступа: аутентификации пользователей, передачи данных, доступа к ресурсам, выхода из системы и контроля событий, относящихся к защите данных (аудит).
Для аутентификации абонентов RAS использует протокол Challenge Handshake Authentification Protocol (CHAP). Суть его состоит в том, что одна из сторон посылает некое проверочное слово, которое другая сторона должна зашифровать с помощью известного обеим сторонам секретного ключа. Зашифрованное слово возвращается в качестве ответа вызывающей стороне, которая локально также выполнила шифрование этого проверочного слова с помощью такого же ключа. Если результаты шифрования совпадают, то значит аутентификация прошла успешно. Здесь важно, что аутентификация осуществляется без передачи по сети секретного пароля.
Для обеспечения секретности передаваемых данных в сервисе RAS имеется встроенный механизм шифрации данных, основанный на алгоритме открытого ключа RC4 компании RSA Data Security. В принципе пользователи RAS могут сами выбрать степень безопасности при обмене данными с удаленными компьютерами. Но администратор имеет возможность принудительным образом устанавливать высокий уровень безопасности.
На рисунке 7.1 приведены различные варианты аутентификации удаленных пользователей для случая, когда сервер RAS взаимодействует с клиентом RAS, а также для тех случаев, когда эти компоненты взаимодействуют с продуктами третьих фирм.
Рис. 7.1. Различные варианты аутентификации пользователей при использовании сервера и клиента RAS
Очевидно, что если был назван неразрешенный номер или номер не соответствующий месту нахождения звонившего абонента, то соединение не будет разрешено.
Права на удаленный доступ могут быть предоставлены пользователям только явным образом. Все остальные права на доступ к ресурсам сети и выполнение привилегированных действий определяются средствами авторизации Windows NT.
7.4. RAS как многопротокольный маршрутизатор
Сервер RAS маршрутизирует протоколы IP и IPX, а при использовании для связи с клиентом протокола NetBEUI работает в режиме шлюза.
Сервер RAS может работать и как маршрутизатор «сеть-сеть», что может понадобиться при подключении к Internet сети небольшого офиса (рисунок 7.2). В этом случае он может заменить аппаратный маршрутизатор, но компания Microsoft не советует использовать RAS в качестве маршрутизатора при соединении больших сетей.
Рис. 7.2. Использование сервера RAS для подключения небольшой сети к Internet
Для маршрутизации между сетями IPX никакие дополнительные установки в сервере RAS не нужны. Сервер позволяет назначать всем удаленным клиентам как один и тот же номер IPX-сети, так и различные. Номер узла клиент может задать себе сам, а может предоставить эту работу серверу.
Пакеты протокола NetBEUI передаются между сервером и клиентом RAS по протоколу РРР, как и пакеты протокола IP/IPX, но это является нестандартным режимом работы РРР. Компания Microsoft передала свое предложение о стандартизации такого режима в соответствующий комитет IETF, однако стандартом он пока не стал.
Поддержка прикладных программных интерфейсов RAS позволяет пользователям разрабатывать собственные приложения, обладающие возможностями удаленного доступа.
Сервер и клиент RAS легко устанавливаются, что не удивительно ввиду их тесной интеграции с ОС Windows NT. К недостаткам процедуры инсталляции можно отнести неочевидность последовательности действий при установке и конфигурировании протокола PPTP. Подсказки HELP-системы по этому разделу слишком бедны и не дают ясного представления о назначении этого протокола и о способе его использования.
При тестировании серверов удаленного доступа, проведенном журналом Network Computing (данные этого тестирования имеются и на русском языке в журнале «Сети и системы связи», 9/96), сервер Microsoft RAS показал средние результаты в отношении производительности обмена файлами, не очень хорошие результаты по критерию простоты и удобства инсталляции.
7.5. Подключение компьютеров к Internet c использованием RAS
Еще одним вариантом удаленного доступа является доступ по коммерческим сервисам реального времени или по сети Internet. Все сервисы реального времени и практически все провайдеры Internet’а поддерживают электронную почту и некоторые формы передачи файлов. Для подключения к таким сервисам в этом варианте, как правило, достаточно местных телефонных звонков (в отличие от первых трех схем удаленного доступа, для которых в общем случае необходимы более дорогостоящие междугородние вызовы). Сервисы реального времени имеют свое собственное программное обеспечение для доступа, хотя к ним можно получить доступ и с помощью обычных программ эмуляции терминала. Сегодня, когда Mac OS, OS/2, Windows 95, Windows NT Workstation и практически любой вариант Unix’а включают стек TCP/IP, несколько популярных программ для доступа в Internet и программу электронной почты, технические барьеры на пути к Internet’у значительно снизились.
7.6. Практические занятия
7.6.1. Администрирование сервиса удаленного доступа RAS
Учитывая, имеющиеся кабельные соединения, необходимо выполнять работу с жестко закрепленными ролями компьютеров.
PDC с оставшимся компьютером WSP действительно находятся в локальной сети, а WSL «изображает» удаленный компьютер, связывающийся с этой сетью по телефонной линии. В лабораторной работе телефонную линию и модемы имитирует нуль-модемный кабель.
Инсталляция RASвыполняется одинаковым образом и на компьютере, который будет выполнять роль сервера RAS, и на компьютере, который планируется использовать в роли удаленного клиента RAS. После инсталляции отдельно выполняется конфигурирование сервера RAS и клиента RAS с использованием различных процедур.
\\CITNT\NT40W\i386 (для Workstation)
\\CITNT\NT40S (для Server)
Система выполнит перекачку нужных файлов с дистрибутива
Теперь необходимо отключить компьютер WSL, который будет выполнять роль удаленного клиента, от сети. Для этого не нужно отсоединять коаксиальный кабель, а достаточно войти в Панель управления, затем в Сеть, выбрать закладку Привязки. Затем в поле Привязки для: выбрать «всех сетевых плат», а затем подсветить тип сетевого адаптера (RL2000 или NE2000) и нажать кнопку Отключить. Возле имени сетевого адаптера появится красный кружок. ОК.