Файл: Системное администрирование.pdf

Структура сети
83
метров маршрутизации достаточно подать команду, указав тот маршрут, который требуется удалить: route delete 109.84.231.210
Если подобные изменения необходимы постоянно, то следует использовать запуск команды с ключом
-p
, после чего добавленный маршрут будет отображен также в строке
Постоянные маршруты
. При этом обычно можно не указывать параметры маски и интерфейса (если они однозначно определяются по вводимому в команде адресу).
П
РИМЕЧАНИЕ
На практике автор встречался с ситуациями, когда изменение параметров маршрути- зации в операционной системе Windows не сразу "отрабатывалось" корректно. Иногда после операций над таблицей маршрутизации для достижения успеха нужно было программно отключить и вновь включить тот сетевой интерфейс, для которого выпол- нялась настройка.
Понимание правил маршрутизации важно не только при построении маршрутов в
Интернете, — задаче, которую вряд ли придется решать администраторам сетей некрупных предприятий. На практике для выделения обособленных участков ло- кальной сети (например, по соображениям безопасности) достаточно широко ис- пользуются виртуальные сети. А для того чтобы обеспечить доступ в такие сети, администраторы должны уметь написать правильную таблицу маршрутизации для соответствующей VLAN или создать список доступа — ACL (access control list), в котором правила записываются аналогично правилам маршрутизации.
Автоматическое присвоение параметров IP-протокола
Как уже отмечалось, параметры IP-протокола индивидуальны для каждого компь- ютера. Чтобы облегчить пользователям их назначение, были разработаны специ- альные механизмы, позволяющие автоматизировать данный процесс.
Серверы DHCP
В локальных сетях администраторы устанавливают так называемый сервер DHCP
(Dynamic Host Configuration Protocol, динамический протокол конфигурации серве- ра). Сервер DHCP автоматически сообщает компьютерам, начинающим работу в составе сети, параметры настройки протокола TCP/IP: в первую очередь это IP- адрес, маска адреса, шлюз. Причем администраторы могут с помощью сервера
DHCP сообщать клиенту различные настройки: адреса WINS- и DNS-серверов, сер- веров времени, указывать расположение данных автоматической настройки про- кси-клиентов и т. п.
П
РИМЕЧАНИЕ
На практике возможны различные варианты настройки DHCP. Так, автор неоднократ- но на практике сталкивался с ситуацией, когда адреса клиентам назначались факти- чески "по статике" (путем резервирования по МАС-адресам), а остальные параметры
TCP/IP- протокола определялись динамически.

84
Глава 3
Обычно IP-адрес от сервера DHCP выделяется компьютеру на определенный срок, заданный в настройках сервера (поэтому его называют также динамическим
IP-адресом). Если компьютер не будет продолжать работу в данной сети, то этот адрес может быть переназначен другому устройству.
При добавлении IP-протокола в операционную систему его настройки по умолча- нию предусматривают автоматическое получение параметров. Если в сети есть на- строенный DHCP-сервер, то от пользователя локального компьютера в этом случае не потребуется никаких дополнительных действий по настройке TCP/IP-протокола.
Адресация APIPA
Для облегчения построения небольших сетей предусмотрена возможность само- стоятельного назначения адресов. Если в сети нет сервера DHCP, а протокол IP ус- тановлен с параметрами автоматического получения значений, то Windows присво- ит сетевой плате адрес из диапазона от 169.254.0.1 по 169.254.255.254 (маска под- сети 255.255.0.0), предварительно проверив, не используется ли уже такой адрес в системе. Данный механизм позволяет применять IP-протокол в небольших сетях при минимальных ручных настройках — компьютеры увидят друг друга в локаль- ной сети. Естественно, что никаких дополнительных параметров настройки опера- ционная система в этом случае не получает. Например, она не будет знать, куда по- сылать запросы, чтобы получить данные с серверов Интернета. А если будет от- ключен протокол NetBIOS поверх TCP/IP, то системы не смогут разрешить имена других компьютеров сети и т. п.
П
РИМЕЧАНИЕ
Использование адреса из указанного ранее диапазона (проверяется командами ipconfig или winipcfg) при наличии в сети сервера DHCP свидетельствует либо о неисправности последнего, либо о проблемах кабельного подключения данного ком- пьютера.
Назначение адресов при совместном использовании
подключения к Интернету
Особая ситуация возникает при настройке совместного использования подключе- ния к Интернету. В этом случае тот компьютер, на котором создается данное под- ключение, начинает выполнять роль сервера DHCP с единственным ограничением: его адрес жестко фиксирован — 192.168.0.1. Клиенты, которые получают от дан- ного сервера адреса из подсети 192.168.0.0/24, автоматически настраиваются на использование его в качестве шлюза по умолчанию и сервера имен.
Поскольку вариант совместного использования подключения присутствует как на серверных системах, так и на рабочих станциях, то такое решение является наибо- лее оптимальным для небольших организаций. Настройте подключение к Интерне- ту, включите его совместное использование — и вы получите у себя в сети кор- ректное назначение параметров TCP/IP-протокола для компьютерных систем.
П
РИМЕЧАНИЕ
Из-за того, что в данной технологии используется один и тот же диапазон адресов, организовать канал соединения двух таких локальных сетей невозможно.

Структура сети
85
Порт
При передаче данных кроме IP-адресов отправителя и получателя пакет информа- ции содержит в себе номера портов. Порт — это некое число, которое использует- ся при приеме и передаче данных для идентификации процесса (программы), кото- рый должен обработать данные. Так, если пакет послан на 80-й порт, то это свиде- тельствует, что информация предназначена серверу HTTP.
Номера портов с 1-го по 1023-й закреплены за конкретными программами (так на- зываемые well-known-порты). Порты с номерами 1024—65 535 могут быть исполь- зованы в программах собственной разработки. При этом возможные конфликты должны разрешаться самими программами путем выбора свободного порта. Иными словами, порты будут распределяться динамически: возможно, что при следующем старте программа выберет иное значение порта.
Знание того, какие порты используют те или иные прикладные программы, важно при настройке брандмауэров. Часть настроек в таких программах для наиболее по- пулярных протоколов предопределена, и вам достаточно только разре- шить/запретить протоколы, руководствуясь их названиями. Однако в некоторых случаях придется обращаться к технической документации, чтобы определить, ка- кие порты необходимо "открыть", чтобы обеспечить прохождение пакетов данной программы.
1>1>1>1>1>

П
РИМЕЧАНИЕ
При настройке брандмауэра следует учитывать, что многие программы при подключе- нии к Интернету открывают не один порт, а используют некоторый диапазон значений.
Один из возможных вариантов настройки брандмауэров для недокументированных программ — это анализ их реального трафика с помощью какой-либо программы для перехвата передаваемых по сети пакетов.
Увидеть, какие порты реально задействованы на компьютере, можно с по- мощью команды netstat
. В зависимости от версии операционной системы данная команда имеет различный набор ключей, позволяющих детализировать отчет (на- пример, указать программы или процессы, использующие конкретные порты).
В общем случае достаточно запустить команду netstat с ключом
-а
:
>netstat -a
Активные подключения
Имя Локальный адрес Внешний адрес Состояние
TCP sasha:http sasha.ask.ru:0 LISTENING
TCP sasha:epmap sasha.ask.ru:0 LISTENING
TCP sasha:https sasha.ask.ru:0 LISTENING
TCP sasha:microsoft-ds sasha.ask.ru:0 LISTENING
TCP sasha:1025 sasha.ask.ru:0 LISTENING
TCP sasha:1033 sasha.ask.ru:0 LISTENING
TCP sasha:1064 ack-isa2.ask.ru:8080 CLOSE_WAIT
TCP sasha:1067 ack-exchange.ask.ru:2703 ESTABLISHED
TCP sasha:1070 ack-exchange.ask.ru:1025 ESTABLISHED
TCP sasha:1078 ack-frw.ask.ru:8080 CLOSE_WAIT

86
Глава 3
UDP sasha:microsoft-ds *:*
UDP sasha:isakmp *:*
UDP sasha:1041 *:*
UDP sasha:1053 *:*
В данном примере на компьютере готовы к подключению несколько портов (со- стояние
LISTENING
): это порты http, epmap и т. д. — номера портов можно отобра- зить, если добавить ключ
-n
; порты 1067 и 1079 подключены (
ESTABILISHED
, про- грамма показывает, с какой системой идет обмен данными); передача информации с портов 1064 и 1078 завершена и система находится в состоянии закрытия соеди- нения (
CLOSE_WAIT
) и т. д.
П
РИМЕЧАНИЕ
Для получения информации по удаленному компьютеру используются специальные программы сканирования портов. Наиболее известный бесплатный продукт — nmap.
Данные по отдельному порту можно получить штатными средствами системы (напри- мер, с помощью команды telnet или утилиты PortQry из состава Support Tools).
Обратите внимание, что хотя использование подобных программ не запрещено стан- дартами, тем не менее многие системы оценивают сканирование портов как попытку вторжения и блокируют источник на некоторый период времени.
Протокол ARP
Пакеты, пересылаемые в сети Ethernet, адресуются компьютерам не по их именам и не на IP-адрес. Пакет предназначается устройству с конкретным MAC-адресом.
MAC-адрес — это уникальный адрес сетевого устройства, который заложен в него изготовителем оборудования. Первая половина MAC-адреса представляет собой идентификатор изготовителя, вторая — уникальный номер данного устройства.
П
РИМЕЧАНИЕ
MAC- адрес часто используется для идентификации систем, например, при создании фильтров допуска в Интернет. Однако следует знать, что этот способ не является полностью надежным: хотя MAC-адрес должен быть уникальным и является неотъем- лемой характеристикой устройства, существуют способы его изменения. Например, в новых операционных системах его можно сменить даже через штатные свойства се- тевого адаптера, поэтому хакеру для обхода такого фильтра доступа достаточно вы- вести из строя действующую систему (или выбрать момент ее выключения) и продол- жить работу от ее адреса.
Для получения MAC-адреса используется протокол ARP (Address Resolution
Protocol, протокол разрешения адресов). В системе имеется специальная утилита, которая позволяет отобразить кэш известных данному компьютеру MAC-ад- ресов — arp
Утилита arp может быть использована, например, при создании резервированных адресов DHCP-сервера. Для такой настройки администратору необходимо ввести
MAC-адрес соответствующей системы. Чтобы его узнать, достаточно выполнить команду ping на имя данной системы, после чего просмотреть кэш ARP (командой arp
-a
) и скопировать значение MAC-адреса в настройки DHCP.

Структура сети
87
Имена компьютеров в сети TCP/IP
Человеку удобнее работать с именем компьютера, чем запоминать цифры, состав- ляющие его IP-адрес. В сети на основе протокола TCP/IP компьютеры могут иметь два имени: это NetBIOS-имя компьютера и имя хоста (DNS-имя). Обычно имя хос- та и NetBIOS-имя совпадают, и к этому следует стремиться. Но принципиально эти имена могут быть разными. Например, длина NetBIOS-имени ограничена 15 сим- волами, а хосту может быть присвоено более длинное название. Или, если при соз- дании домена вы пытаетесь дать ему имя, совпадающее с именем будущего кон- троллера, то программа установки предложит выбрать другое имя данному хосту.
Имя хоста составляется из нескольких имен, разделяемых при написании точкой, например, так: www.ask.ru. Первая слева группа символов (до точки), в данном примере это www, является собственным именем компьютера. Следующая группа символов — от точки до точки — это имя группы компьютеров, которой принад- лежит данная система. Следующая группа символов — имя группы компьютеров, которой в свою очередь принадлежат группы компьютеров, имена которых нахо- дятся левее. Данную цепочку можно продолжать сколь угодно долго. Для удобства обычно ограничиваются тремя-четырьмя группами символов.
На практике под именем домена понимают всю группу символов справа от полного имени компьютера. В зависимости от того, сколько групп символов входит в до- менное имя, различают домены первого, второго, третьего и т. д. уровней.
П
РИМЕЧАНИЕ
При создании нового домена Windows не следует давать ему имя домена первого уровня. В этом случае действуют некоторые ограничения, с которыми можно ознако- миться в базе данных Microsoft. Целесообразно дать домену Windows имя вида <на-
звание_организации>.local.
Самая правая группа символов имени (до первой точки) называется доменом перво-
го уровня, вторая справа — доменом второго уровня, затем следует домен третье-
го уровня и т. д.
П
РИМЕЧАНИЕ
Иногда употребляют термин FQDN — fully qualified domain name (обычно эту аббре- виатуру употребляют без перевода; русский термин звучит как полное имя узла). Под
FQDN понимают полную цепочку имен системы: от имени хоста до имени корневого домена. Чтобы подчеркнуть, что имеется в виду полное имя, в конце его ставят точку, которую принято считать именем корневого домена. Например, FQDN для Web-сайта будет писаться следующим образом: www.ask.ru. (последняя точка включается в имя).
Имена хостов внутри широковещательного домена Windows должны быть уни- кальны. При попытке запуска системы, имеющей такое же имя, как и у другого ра- ботающего компьютера, вы получите сообщение об ошибке.
Доменные имена Интернета
В Интернете за уникальностью присваиваемых имен следит организация (физиче- ское лицо), отвечающая за домен, в рамках которого выдается имя. При присвоении