КОМПЬЮТЕРНЫЕ СЕТИ Программное обеспечение и конфигурация ЛВС Утко Леонид Зигфридович Зам. директора центра информационных технологий БГУ тел. 209 -52 -44 utko@bsu. by
Как работают ПК. Терминология Операционная система (ОС) – это пакет системных программ, выполняющих управление прикладными программами и управляющих работой устройств вычислительной системы. Операционная система выполняет следующие основные системные функции по управлению локальными ресурсами компьютера: • запуск системных и прикладных процессов и управление ими; • управление оборудованием с помощью системы вводавывода; • управление размещением данных в оперативной памяти; • управление файловой системой – набором файлов и каталогов. © ЦИТ БГУ, Утко Л. З.
Как работают ПК. Терминология Клиент – ПК использующий для работы ресурсы других ПК Сервер – ПК, предоставляющий свои ресурсы другим компьютерам сети Сетевая ОС – ОС, позволяющая использовать ПК одновременно и как клиента и как сервер. Клиентом компьютерной сети называется компьютер, на котором преобладают процессы-клиенты, а сервером – компьютер, на котором преобладают процессы-серверы. В процессе работы сети компьютер-сервер и компьютер-клиент могут меняться ролями. Любой компьютер может одновременно быть клиентом и сервером для различных видов услуг. © ЦИТ БГУ, Утко Л. З.
Принципы работы ПК и сетевых ОС Приложение О С (IOS) Драйвер устройства Контроллер устройства Собственно устройство Реально показать: пуск-компьютер-диспетчер устройств-ресурсы сетевой карты, клавиатуры. . Прерывание (IRQ) – номера (линии) прерывания встроены в аппаратуру компьютера, они имеют различные уровни приоритетов, что позволяет процессору определить наиболее важный из запросов Базовый адрес порта ввода /вывода (I/O port) - канал, по которому курсируют данные между устройством компьютера и его центральным процессором. Для центрального процессора порт выглядит как адрес. Базовый адрес памяти (base address) -адрес памяти компьютера (RAM), которая используется устройством в качестве буфера для входящих и исходящих данных. © ЦИТ БГУ, Утко Л. З.
Принципы работы ПК и сетевых ОС Сервер (не специализированный) Клиент (доступ к чужим ресурсам в сети) (свои ресурсы др. пользователям сети) Приложение Сетевая ОС Редиректор Локальная О С (IOS) Клиентская часть Драйвер устройства Драйвер сетевой карты Контроллер устройства Сетевая карта Собственно устройство Клиентская Серверная часть Драйвер сетевой карты Сетевая карта Разработчики драйверов Списки совместимого оборудования Локальная О С Драйвер устройства Контроллер устройства Собственно устройство © ЦИТ БГУ, Утко Л. З.
Принципы работы ПК и сетевых ОС Сервер Клиент (доступ к чужим ресурсам в сети) Приложение (специализированная ОС) Приложение Сетевая ОС Редиректор Специализированная ОС, ориентированная на многопользовательский режим Локальная О С (IOS) Клиентская часть Драйвер устройства Драйвер сетевой карты Драйвер устройства Контроллер устройства Сетевая карта Контроллер устройства Собственно устройство Разработчики драйверов Списки совместимого оборудования Собственно устройство © ЦИТ БГУ, Утко Л. З.
ЛВС - локальная вычислительная сеть Одноранговые сети Все клиенты и серверы Сети на основе сервера Сервер клиенты Комбинированные сети
ОДНОРАНГОВЫЕ СЕТИ (peer – to – peer) Проблемы : управление доступом, защита, восстановление © ЦИТ БГУ, Утко Л. З.
СЕТИ НА ОСНОВЕ СЕРВЕРОВ (server based) Основа – выделенный сервер, аппаратно ориентирован как сервер Управление аутоинтефикацией и ресурсами – через сервер Серверная часть: Клиентская часть: © ЦИТ БГУ, Утко Л. З.
Имена в сети Используемые в сети имена можно разделить на 3 категории: • Учетные записи • Компьютеры • Ресурсы Учетные записи – идентификация пользователя. Создаются администратором сети или отдельного ПК на своем ПК. Компьютеры – символьные имена Net. BIOS и иерархические имена Domain Name System (DNS) в сетях IP. Ресурсы - символьные имена Net. BIOS и иерархические имена Domain Name System (DNS) в сетях IP. Адреса в сети На канальном уровне адрес компьютера определяется адресом сетевой карты, например 040 А 259 С 45 FF. Если несколько карт – то несколько адресов. На сетевом уровне адрес компьютера задаются – IP адресом, например 120. 17. 25. 30 © ЦИТ БГУ, Утко Л. З.
ТИПЫ СЕРВЕРОВ Логические сервера и тенденции в локальных, глобальных и интранет сетях. Роли на примере Windows 2003. Роль - это функция сервера (например, почтовый сервер, контроллер домена). Один физический сервер может играть несколько ролей. При добавлении новой роли включаются нужные службы и осуществляются необходимые изменения в безопасности. © ЦИТ БГУ, Утко Л. З.
Логические сервера и тенденции в локальных, глобальных и интранет сетях File Server - добавление роли файлового сервера оптимизирует сервер для поддержки общих папок и хранения файлов. FTP server – сервер для хранения и загрузки любых файлов в глобальной сети. Print Server - серверы печати используются для предоставления и управления доступом к принтерам и хранения очередей печати. Application Server (WWW server) – сервер приложений используется для выполнения серверной части клиент-серверных приложений. Сервер баз данных - (SQL, Oracle …) Streaming Media Server - потоковый сервер предоставляет службы Windows Media Services сетевым клиентам. Эти службы используются для управления и доставки мультимедийного © ЦИТ БГУ, Утко Л. З. контента - потокового видео и аудио - через интранет или интернет.
Логические сервера и тенденции в локальных, глобальных и интранет сетях Terminal Server - после инсталляции роли терминального сервера, можно подключаться к серверу и запускать на нем приложения так, как будто эти приложения были инсталлированы на рабочей станции клиента. Mail Server - почтовые серверы обеспечивают прием и отправку почты. Входящая почта может хранится на сервере, а потом забираться пользователями в свои ящики. Для роли почтового сервера надо иметь: Активное соединение с интернет, зарегистрированное доменное имя и запись MX в DNS у провайдера DNS Server - служба DNS позволяет преобразовывать доменные имена в адреса IP. © ЦИТ БГУ, Утко Л. З.
Логические сервера и тенденции в локальных, глобальных и интранет сетях DHCP Server - позволяет клиентам получать свой IP адрес и другие настройки сети по мере необходимости. WINS Server - позволяет клиентам Net. BIOS преобразовывать имена компьютеров в адреса IP. В отличие от DNS, требующего доменные имена, WINS спроектирована для внутренней интрасети для разрешения простых имен Net. BIOS. Domain Controller - Контроллер домена содержит базу данных Active Directory и предоставляют службы аутентификации для пользователей и компьютеров, а также управляют доступом к сетевым ресурсам. Proxy server – позволяет оптимизировать взаимодействие с внешним миром (кэширование информации, трансляция адресов, аутентификация/авторизация пользователей и т. п) © ЦИТ БГУ, Утко Л. З.
Логическая подсеть Понятие домена для локальных сетей Домен – совокупность ПК и пользователей, информация о которых хранится в одной базе и в отношении которых проводится единая политика безопасности. Как правило, каждым доменом управляет отдельная группа администраторов. ПК с ОС начиная с Windows NT WS имеют учетную запись в домене. © ЦИТ БГУ, Утко Л. З.
Первичный и вторичный контроллеры домена Контроллер домена отвечает за аутентификацию и авторизацию пользователе и ведение и репликацию БД служб каталога (учетные записи пользователей, групп пользователей и ПК) Пользователь входит в сеть под именем U 1 1. Служба Net Logon этого ПК обращается на PDC (Primary Domain Controller) 2. PDC аутентифицирует пользователя USER 1 и определяет его права идентификатор защиты (Security ID, SID). SID создается 1 раз и навсегда. Удалить U 1 и создать заново – новый SID. 3. PDC передает эту информацию на ПК 4. Обращаясь к ресурсу передаётся SID, а владелец ресурса проверяет, какие права у этого SID (авторизация) Функции контроллера домена Первичный (PDC) и вторичный (BDC) контроллеры © ЦИТ БГУ, Утко Л. З.
Деление сети на домены и деление на подсети маршрутизатором Контроллер домена отвечает за аутентификацию пользователя. В физической сети м. б. несколько доменов. При этом видна вся сеть, но нет доступа к ресурсам Маршрутизаторы - разделяется сеть по адресам и не видны ПК из других подсетей © ЦИТ БГУ, Утко Л. З.
ТИПИЧНАЯ INTRANET СЕТЬ (без доверительных отношений) IIS Ресурс домена FPMI Exchange DNS WINS DHCP пользователь домена MMF пользователь домена FPMI Ресурс домена FPMI Контроллер домена FPMI В современных ОС, ПК может быть только членом одного домена Контроллер домена MMF © ЦИТ БГУ, Утко Л. З.
Active directory Windows 2000 / 2003 Преимущества: 1. Открытый стандарт к базе пользователей – расширенные возможности управления и написание собственных программ 2. Единая база пользователе для всех служб (Exchange) 3. Распределенное администрирование в домене (права администраторов на организационные единицы) 4. Для пользователя и администраторов все прозрачно без доверительных отношений, различных имен для доменов, так как ПК регистрируется сразу в единственном домене Как работает: При входе в сеть система защиты на базе Active directory создает лексему доступа (SID пользователя и SID всех групп, в которые он входит) и передается на ПК При доступе к ресурсу лексема доступа сравнивается с дескриптором защиты на ресурсе ( SIDы групп и пользователей, которым разрешен доступ) © ЦИТ БГУ, Утко Л. З.
Доверительные отношения Trusted connection Доверительные отношения – это связь между доменами, обеспечивающая сквозную аутентификацию, при которой доверяющий домен верит аутентификации, выполненной в доверяемом домене. Доверяемый Доверяющий Доверительные отн. Домен В Ресурсы Домен А Учетные записи Иванов, Петров… ключ от квартиры кому-то сидоровтелевизор Доверительные отн. Домен А Учетные записи/ресурсы Доверительные отн. Домен В Учетные записи/ресурсы © ЦИТ БГУ, Утко Л. З.
Доверительные отношения Trusted connection Доверительные отн. Учетные записи/ресурсы Один домен: Учетные записи можно объединять в группы. Записи и группы в домене – локальные. Нельзя включать локальные группы в другие группы. Ресурсы в домене можно распределять только локальным группам и Домен В пользователям. А Домены с доверительными отношениями: Учетные записи и группы одного домена для другого являются глобальными. В локальную группу можно включать глобальную запись или группу. Важно! Когда в домене заводится очередная запись, она включается в глоб. группу Domain Users. Как только компьютер становится членом домена, глобальная группа включается в локальную группу Users данного ПК
Доверительные отношения Trusted connection Пример: Доверительные отн. Домен А Учетные записи ПА, ПБ, ПВ, ПГ Домен А Домен В Ресурс Р Задача: пользователям ПА и ВА предоставить доступ к ресурсу Р 1. Установить доверительные отношения 2. Администратор домена А создает глобальную группу Гл. Гр из учетных записей ПА и ПВ 3. Администратор домена В создают локальную группу ЛГр пользователей ресурса Р 4. Администратор домена В включает глобальную группу Гл. Гр в локальную группу ЛГр © ЦИТ БГУ, Утко Л. З.
Доверительные отношения Trusted connection Сквозная аутентификация Доверительные отн. Домен А Домен В Пользователь входит в сеть под именем АПА с ПК, зарегистрированного в домене В (см. настройку ПК) 1. Служба Net Logon этого ПК обращается на PDC домена В. 2. Так как пользователь из домена А, то PDC-В обращается к PDCА, так как есть доверительные отношения (В доверяет А) 3. PDC-A аутентифицирует пользователя ПА и передает PDC-В его идентификатор защиты (Security ID, SID). 4. PDC-В передает эту информацию на ПК © ЦИТ БГУ, Утко Л. З.
Доверительные отношения Trusted connection Установка отношений Доверительные отн. Домен А Домен В Отношения устанавливаются утилитой User manager for domains – policies - trust relationships Лучший вариант: 1. администратор доверяемого домена (учетные записи) инициирует процесс, добавляя имя доверяющего домена (ресурсы) в список в окне Trusting domains 2. администратор доверяющего домена добавляет имя доверяемого домена в окно Trusted domains. При другой последовательности процесс может затянуться до 15 мин. © ЦИТ БГУ, Утко Л. З.
IP адресация • Формат адреса - разделённая точками десятичная запись • Длина адреса - 32 бита Адрес делится на 2 части: номер сети и номер хоста (компьютера в сети) • Номер (адрес) сети, распределяется NIC (Network Information Center) • Номер (адрес) хоста, присваивается локальным администратором © ЦИТ БГУ, Утко Л. З.
IP адресация Подсети: Понятие подсети и маски подсети введено для облегчения администрирования и оптимального использования адресного пространства. CIDR (Classless Inter Domain Routing) – бесклассовая междоменная маршрутизация сеть IP адрес (класс В) 131 хост 108 1 хост 2 255 0 0 сеть Маска сети 255 Сеть 131. 108 Хост 1. 2 сеть Маска подсети 255 подсеть 255 хост 255 0 Сеть 131. 108. 1 Хост 2 Второй вариант записи маски – количество битов, отведенных для обозначения сети: 131. 108. 1. 2/16 и 131. 108. 1. 2/24 © ЦИТ БГУ, Утко Л. З.
IP адресация - подсети IP адрес – аналог почтового адреса: страна, город, улица …. . Разбор адреса: смотреть страну. Если другая, то отправит туда и остальная часть адреса не интересует. Если страна текущая – смотреть город и т. д Маска в IP позволяет делить аналогично IP адрес: сначала определить что адрес принадлежит НИКС РБ, в НИКС что это БГУ и в БГУ подразделение и компьютер. © ЦИТ БГУ, Утко Л. З.
Настройка параметров сети С данного ПК доступны адреса с 10. 9. 0. 0 по 10. 9. 255 Пакеты для адресов, недоступных с данного ПК, отправлять в шлюз
Настройка параметров сети (понятие шлюза) Маршрутизатор Сеть 10. 9. х. х IP 10. 9. 0. 1 Internet шлюз IP 10. 8. 2. 2 шлюз Сеть 10. 8. х. х
Глобальные сети (Internet) Internet - это неформальное международное сотрудничество автономных взаимодействующих друг с другом сетей. Это сотрудничество обеспечивает межмашинное взаимодействие на основе добровольного соблюдения открытых протоколов и процедур. (Internet Standards, RFC 1310, 2) © ЦИТ БГУ, Утко Л. З.
История создания Internet 1968 - 1971 г. г. - создание компьютерной сети ARPANET по заданию Агентства передовых исследовательских проектов (ARPA) МО США на случай войны для надёжной передачи информации. Разработчики и первые коммутаторы: университеты Лос-Анжелес и Санта-Барбара в Калифорнии, университет в штате Юта и Стенфордский научно-исследовательский институт В 1973 году к сети были подключены первые иностранные организации из Великобритании и Норвегии, сеть стала международной. 1984 г. - выделение MILNET в отдельную сеть. 1984 г. – начинает создаваться межуниверситетская сеть NSFNet (National Science Foundation Network), с пропускной способностью 56 кбит/с и включающая 6 суперкомпьютеров. В 1990 году сеть ARPANET прекратила своё существование, полностью проиграв конкуренцию NSFNet. 1992 г. - учреждено Общество Internet - Internet Society(ISOC). © ЦИТ БГУ, Утко Л. З.
Управление Internet не принадлежит никому ! Работа магистральных коммуникаций финансируется практически во всех странах из средств, выделяемых на научные исследования и за счет использования их в коммерческих целях. 1992 г. - учреждено общество Internet (Internet Society, ISOC). Ему подчинен совет по архитектуре Internet (Internet Architecture Board, IAB), отвечающий за действующие стандарты. Рабочие группы: - по инженерным проблемам Internet (IETF) - разработка стандартов; - исследовательская группа Internet (IRTF) - долгосрочные исследования; Все документы публикуются в Internet в виде RFC (Request For Comments) Распределением Internet адресов занимается Информационный центр Internet (Inter. NIC) Все организации некоммерческие! © ЦИТ БГУ, Утко Л. З.
Управление Internet Правовые нормы работы в Internet • Internet - интернациональная сеть. При отправке чего-либо, в том числе и битов, через государственную границу следует руководствоваться законами, регулирующими экспорт, а не правовыми нормами данного государства • В случае доставки программного обеспечения ( или просто идеи) из одного места в другое следует учитывать региональные правовые нормы, касающиеся интеллектуальной собственности и лицензий © ЦИТ БГУ, Утко Л. З.
Скачать презентацию КОМПЬЮТЕРНЫЕ СЕТИ Программное обеспечение и конфигурация ЛВС Утко
2 Сетевое ПО и логические сети.ppt