Какой механизм позволяет работать нескольким пользователям с одного ip адреса

Принципы работы протокола DHCP

В статье рассказываем о принципах работы DHCP-протокола, процессе DORA, основных опциях и других его аспектах.

Эта инструкция — часть курса «Как работают сетевые протоколы».

Смотреть весь курс

Для чего нужен протокол DHCP

DHCP — протокол прикладного уровня модели TCP/IP, служит для назначения IP-адреса клиенту. Это следует из его названия — Dynamic Host Configuration Protocol. IP-адрес можно назначать вручную каждому клиенту, то есть компьютеру в локальной сети. Но в больших сетях это очень трудозатратно, к тому же, чем больше локальная сеть, тем выше возрастает вероятность ошибки при настройке. Поэтому для автоматизации назначения IP был создан протокол DHCP.

Впервые протокол был описан в 1993 году в документе RFC 1531, но с тех пор в описание вносились правки. На сегодняшний день основным документом, регламентирующим протокол, является RFC 2131. Помимо автоматизации процесса настройки IP, DHCP позволяет упростить диагностику подключения и переход из одной подсети в другую, оставляя уведомления для системного администратора в логах.

Принцип работы DHCP

Из вступления ясно, какие функции предоставляет DHCP, но по какому принципу он работает? Получение адреса проходит в четыре шага. Этот процесс называют DORA по первым буквам каждого шага: Discovery, Offer, Request, Acknowledgement.

Давайте подробнее рассмотрим DORA — принцип работы DHCP.

Протокол DHCP, получение адреса IP — DORA

Discovery, или поиск

Изначально клиент находится в состоянии инициализации (INIT) и не имеет своего IP-адреса. Поэтому он отправляет широковещательное (broadcast) сообщение DHCPDISCOVER на все устройства в локальной сети. В той же локальной сети находится DHCP-сервер. DHCP-сервер — это, например, маршрутизатор или коммутатор, существуют также выделенные DHCP-серверы.

Не всегда одну сеть обслуживает один DHCP-сервер, нередко организации устанавливают сразу несколько. Какие порты использует DHCP? Сервер всегда слушает 67 порт, ожидает широковещательное сообщение от клиента, а после его получения отправляет ответное предложение — DHCPOFFER. Клиент принимает сообщение на 68 порту.

Offer, или предложение

DHCP-сервер отвечает на поиск предложением, он сообщает IP, который может подойти клиенту. IP выделяются из области (SCOPE) доступных адресов, которая задается администратором.

Если имеются адреса, которые не должны быть назначены DHCP-сервером, область можно ограничить, указав только разрешенные адреса. Например, администратор может задать диапазон используемых IP-адресов от 192.0.0.10 до 192.0.0.254.

Бывает и так, что не все доступные адреса должны быть назначены клиентам. Например, администратор может исключить (exclude) диапазон 192.0.0.100 — 192.0.0.200 из используемой области. Такое ограничение называется исключением.

DHCP выделяет доступные IP-адреса из области только временно (об этом позже), поэтому нет гарантии, что при следующем подключении у данного клиента останется прежний IP. Но есть возможность назначить какому-либо клиенту определенный IP навсегда. К примеру, забронировать 192.0.0.10 за компьютером системного администратора. Такое сохранение IP для отдельных клиентов называют резервацией (reservation).

DHCPOFFER содержит IP из доступной области, который предлагается клиенту отправкой широковещательного (broadcast, «если вы тот, кто запрашивал IP-адрес, то доступен вот такой») или прямого (unicast, «вы запрашивали IP, предлагаю вот такой») сообщения. При этом, поскольку нужный клиент пока не имеет IP, для отправки прямого сообщения он идентифицируется по MAC-адресу.

Request, или запрос

Клиент получает DHCPOFFER, а затем отправляет на сервер сообщение DHCPREQUEST. Этим сообщением он принимает предлагаемый адрес и уведомляет DHCP-сервер об этом. Широковещательное сообщение почти полностью дублирует DHCPDISCOVER, но содержит в себе уникальный IP, выделенный сервером. Таким образом, клиент сообщает всем доступным DHCP-серверам «да, я беру этот адрес», а сервера помечают IP как занятый.

Acknowledgement, или подтверждение

Сервер получает от клиента DHCPREQUEST и окончательно подтверждает передачу IP-адреса клиенту сообщением DHCPACK. Это широковещательное или прямое сообщение утверждает не только владельца IP, но и срок, в течение которого клиент может использовать этот адрес.

Со схемой отправки сообщений разобрались, но, если в сети несколько DHCP-серверов, пославших предложение, какое из них выберет клиент? Хороший вопрос. В состоянии INIT, если клиент получает адрес впервые, он будет принимать только первое предложение IP. Однако, если клиент уже общался ранее с определенным DHCP-сервером, он отдаст предпочтение этому серверу и, наоборот, сервер выберет знакомого клиента.

Срок аренды

Когда DHCP-сервер выделяет IP из области, он оставляет запись о том, что этот адрес зарезервирован за клиентом с указанием срока действия IP. Этот срок действия называется срок аренды (lease time). Срок аренды по умолчанию выставлен на 24 часа, но может доходить до нескольких дней, недель или даже месяцев. Период задается в настройках самого сервера.

Предоставление адреса в аренду, а не на постоянной основе необходимо по нескольким причинам. Во-первых, это разумное использование IP-адресов — отключенные или вышедшие из строя клиенты не резервируют за собой адрес. Во-вторых, это гарантия того, что новые клиенты при необходимости смогут получить уникальный адрес.

После получения адреса из области, клиент берет его в аренду на время, называемое T. Клиент переходит в связанное (BOUND) состояние и продолжает нормальную работу, пока не наступит время половины срока аренды — T1.

По наступлении T1 клиент инициализирует процедуру получения нового IP или обновления адреса — состояние RENEWING. Процесс повторного получения происходит по упрощенной схеме: клиент прямым сообщением запрашивает (DHCPREQUEST), а сервер подтверждает (DHCPACK) запрос. Время аренды начинает отсчитываться заново.

Если подтверждение (DHCPACK) от сервера не поступает, клиент снова запрашивает адрес, но только когда истекает половина T1. Если запрос адреса остается без ответа второй раз, клиент отправляет еще одно сообщение, когда истекает половина от T1/2 (25% от полного срока аренды). Следующий запрос будет отправлен после истечения еще половины оставшегося времени, потом еще половины. И так далее, пока не наступит T2, которое равняется 87,5%, или 7/8 от всего времени аренды. После T2 все попытки продлить аренду IP будут широковещательными. Это значит, что, если первый сервер по какой-то причине недоступен, на запрос адреса сможет ответить любой другой, и работа не будет прервана.

Три подхода к распределению адресов

Сервер назначает IP одним из трех основных способов.

Статическое распределение (static allocation). Почти как ввод адреса на каждом компьютере вручную. Отличие в том, что системный администратор задает нужные соответствия IP для MAC-адресов клиентов на самом DHCP-сервере. IP останется за клиентом, даже если тот выйдет из сети, отключится, перейдет в новую сеть и т.п.

Автоматическое распределение (automatic allocation). Сервер закрепляет IP из области за каждым клиентом навсегда. Срок аренды не ограничен.

Динамическое распределение (dynamic allocation). DHCP-сервер назначает адрес из области на определенное время, называемое сроком аренды. Такой подход полезен, если число доступных IP ограничено. IP назначается каждому клиенту при подключении к сети и возвращается в область, как только клиент его освобождает. В таком случае IP может отличаться при каждом подключении, но обычно назначается прежний.

Особые DHCP сообщения

Кроме DORA — четырех сообщений для получения адреса — DHCP использует и другие. Давайте рассмотрим каждое.

DHCPNAK. Нередко в источниках можно встретить написание DHCPNACK, что является неправильным, так как RFC 2131 регламентирует именно NAK. DHCPNAK отправляется сервером вместо окончательного подтверждения. Такой отказ может быть отправлен клиенту, если аренда запрашиваемого IP истекла или клиент перешел в новую подсеть.

DHCPRELEASE. Клиент отправляет это сообщение, чтобы уведомить сервер об освобождении занимаемого IP. Иными словами, это досрочное окончание аренды.

DHCPINFORM. Этим сообщением клиент запрашивает у сервера локальные настройки. Отправляется, когда клиент уже получил IP, но для правильной работы ему требуется конфигурация сети. Сервер информирует клиента ответным сообщением с указанием всех запрошенных опций.

Опции DHCP

Для работы в сети клиенту требуется не только IP, но и другие параметры DHCP — например, маска подсети, шлюз по умолчанию и адрес сервера. Опции представляют собой пронумерованные пункты, строки данных, которые содержат необходимые клиенту сервера параметры конфигурации. Дадим описания некоторым опциям:

• Option 1 — маска подсети IP;
• Option 3 — основной шлюз;
• Option 6 — адрес сервера DNS (основной и резервный);
• Option 51 определяет, на какой срок IP-адрес предоставляется в аренду клиенту;
• Option 55 — список запрашиваемых опций. Клиент всегда запрашивает опции для правильной конфигурации. Отправляя сообщение с Option 55, клиент выставляет список запрашиваемых числовых кодов опций в порядке предпочтения. DHCP-сервер старается отправить ответ с опциями в том же порядке.

Option 82 — ретрансляция DHCP-сервера

Option 82 — информация об агенте ретрансляции (relay agent information). Благодаря ретранслятору клиент и сервер могут общаться, находясь в разных подсетях. По умолчанию широковещательные сообщения не могут выходить за пределы текущего широковещательного домена (подсети). Внимательный читатель скажет, что выше мы писали, как клиент отправляет широковещательное сообщение DHCPDISCOVER всем доступным DHCP-серверам. А что если в сети нет DHCP?

Предположим, широковещательные сообщения не выходят за пределы подсети компании, которая не установила DHCP-сервер. В таком случае сообщение DHCPDISCOVER должно будет пропасть, и ни один компьютер компании не сможет выйти в интернет. Однако в реальности отсутствие DHCP-сервера не мешает выходу в сеть.

Значит ли это, что широковещательные сообщения каким-то образом выходят за пределы подсети? Не совсем. За пределы подсети выходят только широковещательные DHCP-сообщения. Это становится возможным благодаря агенту ретрансляции. Обычно в его роли выступает маршрутизатор или сервер. Ретранслятор получает сообщения от клиента в своей подсети, направляют его на DHCP-сервер, который тем же образом — через ретранслятор — отправляет ответ. Так ретранслятор выступает в качестве посредника между подсетями.

Опции DHCP для загрузки PXE

Протокол DHCP позволяет загрузку компьютера без использования носителя данных. Такая загрузка происходит с сетевой карты и называется PXE (Preboot eXecution Environment). Для конфигурации сетевой загрузки LEGACY BIOS PXE используются DHCP-опции 43, 60, 66 и 67.

• Option 43 зарезервирована для обмена информацией производителей;
• Option 60 — классовый идентификатор; здесь указывается, например, PXE клиент;
• Option 66 и 67 необходимы для указания имени сервера PXE и имени файла загрузки соответственно.

Снижаем цены на выделенные серверы в реальном времени

Арендуйте готовые конфигурации или предложите свой вариант.

Взаимодействие DHCP и DNS

Как мы упоминали выше, Option 6 — это сервер DNS. Давайте рассмотрим подробнее взаимодействие двух протоколов.

DNS (система доменных имен) отвечает за соответствие доменных имен и IP-адресов. Доменное имя — это не только адрес в интернете, например, selectel.ru, но также имя компьютера в локальной сети, например, Director PC. DNS проводит соединительную линию между IP и буквенно-числовым доменным именем компьютера или веб-сайта. DHCP занимается выделением и назначением IP из области. Очевидно, что два протокола должны тесно взаимодействовать между собой.

В статье мы уже говорили, что DHCP-сервер имеет область IP-адресов, которые допускается распределять между клиентами в сети. DNS-сервер занимается тем, что сопоставляет IP-адреса и доменные имена. Это не только имена сайтов, но и имена компьютеров в сети, (например, NetworkServer PC).

Если вы хотите создать свою локальную сеть на базе Linux, потому что это бесплатно и вы не хотите связываться Windows, то вы можете столкнуться с проблемой взаимодействия DNS и DHCP. Linux не имеет Active Directory, как в Windows, позволяющей тесно связать DHCP и DNS, избегая необходимости обращаться к клиенту каждый раз по IP. Однако способы организовать такую связь существуют и для свободной системы.

Первый вариант — настроить DHCP-сервер так, чтобы фиксировал адрес за клиентом. Второй вариант — настроить взаимодействие DHCP- и DNS- серверов. Первый вариант подходит, если область IP-адресов широкая и вы можете позволить себе фиксировать IP за каждым клиентом. Если же для вас такой метод будет расточительным, то необходимо дать двум серверам работать вместе.

Взаимодействие DHCP и DNS необходимо для того, чтобы DNS-сервер вовремя получал информацию о новом IP клиента и мог сопоставить его с именем клиента в сети. Если сервера не будет взаимодействовать, это чревато ошибками и недоступностью клиентов.

Настроить данное взаимодействие можно в четыре шага при помощи пакета dnsmasq, доступного в стандартных репозиториях Ubuntu и Debian. Мы не будем давать детальную инструкцию по осуществлению, а лишь кратко опишем каждый шаг.

Шаг 1 — конфигурация сети

В первую очередь необходимо определиться с компьютером, который будет выполнять роль сервера. Важно выбрать тот компьютер (Ubuntu Server или Ubuntu Desktop), который вы не планируете выключать слишком часто. Если после полной настройки вы решите выключить компьютер, то вся сеть тоже выключится.

Выбранному компьютеру необходимо назначить статический IP. Делается это редактированием конфигурационного файла в директории /etc/network/interfaces.

Шаг 2 — установка dnsmasq

Установите пакет dnsmasq командой из терминала:

sudo apt-get install dnsmasq -y

А затем откройте файл конфигурации /etc/dnsmasq.conf. Файл конфигурации dnsmasq очень большой, но он содержит комментарии с объяснениями того, за что отвечает каждая настройка. Чтобы добавить требуемые настройки, откройте файл и удалите решетку (#), означающую комментарий, в начале нужных строк.

Шаг 3 — настройка фаервола

Для изменения настроек фаервола можно использовать Ubuntu Uncomplicated Firewall. Используйте следующие команды:

sudo ufw allow bootps

sudo ufw allow 53/udp

sudo ufw allow 53/tcp

Шаг 4 — изменение настроек роутера

Зайдите в настройки вашего роутера из браузера, отключите DHCP для локальной сети, измените все настройки DNS так, чтобы они указывали на ваш только что настроенный сервер. Последнее действие — перезапуск сети на сервере. Для этого вы можете просто перезагрузить компьютер или использовать команды:

sudo service dnsmasq restart

sudo service network-manager restart

Недостатки протокола DHCP

DHCP имеет свои уязвимости. Основная заключается в четырех шагах, необходимых для получения IP. Процесс DORA подразумевает рассылку сообщений широковещательного типа, когда первый откликнувшийся DHCP-сервер получает возможность предложить IP из своей области. Если злоумышленник сможет использовать свой сервер, который даст самый быстрый ответ клиенту, то у него откроется возможность получить контроль над действиями пользователя в сети и нанести существенный ущерб.

Следующий недостаток — ненадежность UDP. UDP не обеспечивает гарантию доставки информации. Этот протокол допускает потери и ошибки, которые могут сказаться и на работе DHCP, в частности при PXE-загрузке.

Заключение

Мы рассмотрели основные принципы работы DHCP-серверов. Несмотря на недостатки и частые доработки, протокол DHCP широко используется в современных сетях. Также изучили процесс DORA, основные опции и другие аспекты протокола. Надеемся, эта статья оказалась вам полезна.

OSPF-протокол: основные термины и алгоритмы работы

Словарь терминов

3G (third generation) — технологии мобильной связи 3-го поколения; набор услуг, который объединяет как высокоскоростной мобильный доступ с услугами сети Интернет, так и технологию радиосвязи, которая создает канал передачи данных. 3G включает в себя 5 стандартов семейства IMT-2000 (UMTS/WCDMA, CDMA2000/IMT-MC, TD-CDMA/TD-SCDMA (собственный стандарт Китая), DECT и UWC-136). В настоящее время стандарт CDMA в РФ представлен достаточно широко и поддерживается многими операторами сотовой связи.

AD ( Active Directory) — решение от компании Microsoft, которое позволяет объединить различные объекты сети (компьютеры, серверы, принтеры, различные сервисы) в единую систему и управлять ими с помощью групповых политик. Для реализации данного решения необходим специальный сервер — контроллер домена. Именно он будет выполнять функции единой точки для аутентификации пользователей и устройств в сети, а также выступать в качестве хранилища базы данных.

Применение AD в ИКС . Можно импортировать на ИКС пользователей из AD — тогда пользователь, авторизованный в домене (AD), сможет авторизовываться на ИКС автоматически. Также можно синхронизировать ИКС с AD — в этом случае изменения, внесенные в AD, будут отражаться и в ИКС. Например, если системный администратор внесет нового пользователя в AD, данный пользователь отразится в ИКС и тут же получит доступ в сеть Интернет.

Application Firewall — файрвол приложений, который обеспечивает контроль входящего/исходящего трафика на клиентских устройствах и регулирует доступ приложений к сетевым ресурсам. Отдельная опция позволяет отслеживать запросы пользователей или отдельных файлов на запуск программ.

ARP (Address Resolution Protocol) — сетевой протокол, который позволяет определить по IP-адресу компьютера его MAC-адрес в сетях TCP/IP.

Asterisk — свободное решение компьютерной телефонии с открытым исходным кодом, достаточно надежное и давно зарекомендовавшее себя с положительной стороны. В настоящее время служба поддерживает передачу данных по протоколам SIP и IAX.

BGP (border gateway protocol) – протокол маршутизации внешнего шлюза/

Caller ID — номер вызывающего абонента и его описание (CallerID Name).

CARP (Common Address Redundancy Protocol) — сетевой протокол, основной задачей которого является использование одного IP-адреса несколькими хостами в пределах сегмента сети. С помощью CARP сервера объединяются в виртуальную группу (VHID), которой назначается виртуальный IP-адрес (Virtual IP). Данному IP-адресу протокол CARP выделяет виртуальный MAC-адрес. Виртуальный IP-адрес должен использоваться в качестве шлюза по умолчанию на клиентских хостах в локальной сети. В пределах группы один из серверов становится «главным» (MASTER), а остальные обозначаются как «резервные» (BACKUP). Каждый сервер одновременно может принадлежать к нескольким виртуальным группам. В случае отказа сервера, выполняющего роль мастера, среди резервных серверов будет выбран новый мастер, который примет виртуальный IP-адрес и продолжит обслуживание клиентов. Дизайн CARP требует, чтобы члены одной виртуальной группы физически находились в одной подсети.

CONNECT — метод, который запускает двустороннюю связь с запрошенным ресурсом. Его можно использовать для открытия туннеля.

DHCP (Dynamic Host Configuration Protocol) — сетевой протокол, позволяющий сетевым устройствам автоматически получать IP-адреса и другие параметры, необходимые для работы в сетях TCP/IP.

DHCP-сервер — сервер, который отвечает за автоматическую раздачу IP-адресов и других параметров, необходимых для работы в сетях TCP/IP. При помощи DHCP-сервера можно настроить автоматическое присвоение IP-адресов устройствам в сети.

DKIM (DomainKeys Identified Mail) — технология, которая добавляет в письмо цифровую подпись.

DKIM-подпись — цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись представляет собой текстовую запись, благодаря которой почтовые провайдеры могут проверить, действительно ли с почтового сервера домена отправителя пришло письмо.

DMZ (Demilitarized Zone) — сегмент сети с белой адресацией, отделенный межсетевым экраном от Интернета и локальной сети организации. В DMZ обычно помещают сервера, которые должны быть доступны из сети Интернет (например, почтовый или веб-сервер). Серверы в DMZ-сети отделены от локальной сети межсетевым экраном, поэтому в случае их взлома злоумышленник не сможет получить доступ к ресурсам локальной сети.

DNS ( Domain Name System ) — технология, которая позволяет веб-браузеру найти правильный веб-сайт по доменному имени. Сопоставляет имена доменов в сети Интернет с IP-адресами компьютеров, на которых эти домены расположены физически. Пользователю не требуется запоминать IP-адреса — он просто вводит в строку веб-браузера привычный адрес сайта.

DNS-зона — часть дерева доменных имен (включая ресурсные записи), размещаемая как единое целое на некотором сервере доменных имен, а чаще — одновременно на нескольких серверах. Целью выделения части дерева в отдельную зону является передача ответственности за соответствующий домен другому лицу или организации, так называемое делегирование. Как связная часть дерева, зона внутри также представляет собой дерево.

DPD (Dead Peer Detection) — механизм проверки состояния и доступности соседних устройств.

DTMF ( Dual-Tone Multi-Frequency ) — двухтональный многочастотный аналоговый сигнал, который используется для набора телефонного номера. Тональные сигналы применяются в автоматической телефонной сигнализация между устройствами, а также при ручном вводе абонентом команд для различных интерактивных систем (например, голосового автоответа).

FTP (File Transfer Protocol) — протокол для передачи файлов в сети между компьютерами. С его помощью можно подключаться к FTP-серверам, просматривать содержимое их каталогов и загружать файлы с сервера или на сервер. Не является безопасным (пароль передается по сети в незашифрованном виде).

FTP-сервер — сервер, предназначенный для передачи файлов. Работает по протоколу FTP. Сервер дает возможность управлять файловой системой сервера: создавать и удалять каталоги, удалять файлы с сервера и т. д.

FTPS (File Transfer Protocol Secure) — расширенная версия протокола FTP с поддержкой шифрования.

GRE (Generic Routing Encapsulation) — протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Предназначен для инкапсуляции пакетов сетевого уровня сетевой модели OSI в IP-пакеты.

Hostname (имя хоста) — имя, которое присваивается компьютеру, подключенному к сети. Оно однозначно идентифицирует компьютер в сети и позволяет получить доступ к нему без использования IP-адреса.

HTTP (HyperText Transfer Protocol) — широко распространенный протокол передачи данных. Изначально был предназначен для передачи гипертекстовых документов (документов, содержащих ссылки на другие документы). Служит для обмена данными между пользовательским приложением для доступа к веб-ресурсам (обычно это веб-браузер) и веб-сервером: например, когда пользователь ищет информацию в сети Интернет. В настоящее время преимущественно используется HTTPS, а HTTP может отображаться в браузерах как небезопасный.

HTTPS (HyperText Transfer Protocol Secure) — расширенная версия протокола HTTP с поддержкой шифрования.

IAX (или IAX2, Inter-Asterisk eXchange protocol) — протокол, разработанный для взаимодействия с АТС (автоматической телефонной станцией) на базе Asterisk. Использует один порт для передачи голоса и сигнализации, поэтому вероятность возникновения проблем при прохождении сигнала через NAT и/или брандмауэр снижается. Тратит меньше трафика на передачу информации. Позволяет передавать данные сразу в нескольких параллельных каналах.

ICAP (Internet Content Adaptation Protocol) — протокол расширения для прокси-сервера. В большинстве случаев он используется для сканирования на вирусы проходящего трафика и применения к нему различных контент-фильтров.

ICMP (Internet Control Message Protocol) — вспомогательный сетевой протокол, входящий в стек протоколов TCP/IP. В основном используется для отправки сообщений об ошибках (например, что получатель недоступен).

ICP (Internet Cache Protocol) — протокол для межкешевых взаимодействий. Кеш, в котором отсутствует запрашиваемый объект, может проверить его наличие в другом кеше. Такой метод взаимодействия отличается от традиционного запроса ресурсов у исходного сервера. В этом случае кеши являются как источниками, так и получателями сообщений. За взаимодействия между кешами и отвечает протокол ICP.

ICQ (I seek you) — централизованная служба мгновенного обмена текстовыми сообщениями в сети Интернет с поддержкой голосовой и видеосвязи. Используется в мессенджерах.

ID — уникальный индивидуальный номер, который есть у каждого компьютера. Позволяет идентифицировать данное устройство, но при этом не является именем компьютера в сети.

IMAP (Internet Message Access Protocol) — протокол для доступа к электронной почте. Предоставляет пользователю возможности для работы с почтовыми ящиками, находящимися на почтовом сервере. Почтовый клиент, использующий этот протокол, получает доступ к хранилищу почты на сервере так, как будто эта корреспонденция расположена на компьютере получателя. Электронными письмами можно манипулировать с компьютера пользователя (клиента) без постоянной пересылки с сервера и обратно полного содержания писем.

IP (Internet Protocol) — маршрутизируемый протокол сетевого уровня стека TCP/IP. Объединяет сегменты сети в единую сеть, обеспечивая доставку пакетов данных между любыми узлами сети. Это основа сети Интернет.

IP-адрес (Internet Protocol Address) — уникальный сетевой адрес узла в компьютерной сети, используемый в стеке протоколов TCP/IP.

IPIP (IP in IP) — протокол IP-туннелирования, который инкапсулирует один IP-пакет в другой IP-пакет.

IPS (Intrusion Prevention System) — система сетевой безопасности, обнаруживающая вторжения или нарушения безопасности. Отслеживает сетевой трафик в реальном времени и применяет различные меры (сброс соединения, логирование выявленных сигнатур) либо пропускает его. Также IPS может выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK-номерами.

IPSec (IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности и (или) шифрование IP-пакетов. IPSec также включает в себя протоколы для защищенного обмена ключами в сети Интернет.

Jabber — 1) см. XMPP ; 2) протокол, основанный на XML, открытый, свободный для использования для мгновенного обмена сообщениями и информацией о присутствии в режиме, близком к режиму реального времени. Изначально спроектированный легко расширяемым, данный протокол, помимо передачи текстовых сообщений, поддерживает передачу голоса, видео и файлов по сети. В отличие от коммерческих систем мгновенного обмена сообщениями (AIM, ICQ, WLM и Yahoo), является децентрализованной, расширяемой и открытой системой. Любой желающий может открыть свой сервер мгновенного обмена сообщениями, регистрировать на нем пользователей и взаимодействовать с другими серверами XMPP.

Kerberos — сетевой протокол аутентификации, который позволяет в ИКС прозрачно авторизовать (без ввода логина и пароля) пользователей домена Active Directory в прокси. Считается надежным протоколом.

Keytab-файл — файл, содержащий пары Kerberos принципалов и их ключей (полученных с использованием Kerberos пароля). Эти файлы применяются для аутентификации в системах, использующих Kerberos, без ввода пароля.

L2TP (Layer 2 Tunneling Protocol) — туннельный протокол, который используется для поддержки виртуальных частных сетей. Главное достоинство L2TP состоит в том, что он позволяет создавать туннель не только в сетях IP, но и в ATM, X.25 и Frame Relay. Несмотря на то, что L2TP действует наподобие протокола канального уровня модели OSI, на самом деле он является протоколом сеансового уровня и использует зарегистрированный UDP-порт 1701.

L2TP/IPSec — режим работы протокола L2TP, который предоставляет безопасность на пакетном уровне.

LAN (Local Area Network) — компьютерная сеть, которая покрывает относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт).

LDAP (Lightweight Directory Access Protocol) — протокол для доступа к службе каталогов. Обеспечивает надежное хранение информации, которая хранится на распределенных в сети серверах, централизованное управление и доступ к ней. К такой информации относятся идентификация компьютеров, аутентификация пользователей, группировка пользователей (в том числе системные группы), штатно-кадровая структура организации, адресные книги и телефонные справочники и др. Обеспечивает быстрый поиск данных, возможность поиска сразу на нескольких серверах LDAP.

Localhost — универсальное имя хоста, которое всегда указывает на этот же самый компьютер (IP-адрес 127.0.0.1).

LZO (Lempel-Ziv-Oberhumer) — алгоритм сжатия данных, разработанный для достижения максимальной скорости распаковки. Сжимает данные без потерь, базовая реализация алгоритма поддерживает многопоточное исполнение.

MAC-адрес (Media Access Control) — уникальная комбинация цифр и букв, которая присваивается сетевой карте устройства (компьютера, планшета, смартфона и т. д.) на фабрике в момент производства.

Maildir — распространенный формат хранения электронной почты, не требующий монопольного захвата файла для обеспечения целостности почтового ящика при чтении, добавлении или изменении сообщений.

MIME-тип (Multipurpose Internet Mail Extension) — специальная текстовая метка. Она прикрепляется к объекту, который передается по HTTP-протоколу, и описывает тип данного объекта.

MITM-атака (или атака «человек посередине», Man in the middle) — вид атаки в криптографии и компьютерной безопасности, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом (например, между двумя людьми либо между человеком и Интернетом — браузером, программой).

MPPC (Microsoft Point-to-Point Compression) — протокол сжатия данных, первоначально разработанный для использования поверх соединений PPP.

MPPE (Microsoft Point-to-Point Encryption) — протокол шифрования данных, используемый поверх соединений PPP.

MTU (Maximum Transmission Unit) — максимальный объем данных, который передается по сети без дальнейшего фрагментирования, одним пакетом. При превышении данного значения информация разбивается на небольшие блоки перед отправкой по сети.

NAT (Network Address Translation) — механизм в сетях TCP/IP, который преобразует IP-адреса одной подсети в другую. Устройства каждой сети взаимодействуют только со своей сетью, а сеть Интернет не маршрутизирует трафик с локальными IP-адресами в заголовке. Поэтому NAT при прохождении пакета через шлюз преобразует адрес, чтобы пакет был успешно доставлен, запоминает связку IP-адресов и портов и производит обратное преобразование для ответного пакета, чтобы ответ был успешно доставлен исходному устройству. Без NAT устройства локальной сети не могут взаимодействовать с Интернетом.

NetBIOS (Network Basic Input/Output System) — сетевой протокол для работы в локальных сетях на персональных ЭВМ типа IBM/PC. Разработан в виде интерфейса, который не зависит от фирмы-производителя.

NetBIOS-имя — имя компьютера в сети NetBIOS.

Netflow — сетевой протокол, разработанный компанией Cisco Systems. Предназначен для сбора и мониторинга данных о потоках сетевого трафика, которые генерируются маршрутизаторами и коммутаторами с поддержкой NetFlow.

NTLM (NT LAN Manager) — протокол сетевой аутентификации, разработанный фирмой Microsoft для Windows NT.

OpenVPN — технология, позволяющая на базе открытого исходного кода выстраивать сеть VPN между клиентом и сервером, сайтом и сайтом, поверх самой сети Интернет. Применяется для защищенного удаленного подключения, обеспечивает высокий уровень безопасности.

OSI (Open Systems Interconnection model) — сетевая модель стека (магазина) сетевых протоколов OSI/ISO. При помощи данной модели различные сетевые устройства могут взаимодействовать друг с другом.

OSPF (Open Shortest Path First) — протокол динамической маршрутизации семейства link-state (основан на отслеживании состояния канала).

OU (Organizational Units) — организационные подразделения (контейнеры, папки), которые позволяют создавать единицы административного управления внутри домена Active Directory.

PGP (Pretty Good Privacy) — компьютерная программа, а также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жестком диске.

PHP (Hypertext Preprocessor) — скриптовый язык общего назначения, который активно применяется для разработки веб-приложений. В настоящее время поддерживается подавляющим большинством хостинг-провайдеров и является одним из лидеров среди языков, применяющихся для создания динамических веб-сайтов.

PID (Process IDentifier) — уникальный номер (идентификатор) процесса в многозадачной операционной системе (ОС).

Ping — сетевая утилита для проверки целостности и качества соединений в сетях на основе TCP/IP, позволяет определить доступность получателя данных.

POP3 (Post Office Protocol Version 3) — протокол для приема сообщений электронной почты. Все электронные письма скачиваются на устройство пользователя и после этого автоматически удаляются с сервера. Все дальнейшие действия с письмами будут производиться именно на устройстве пользователя. Протокол POP3 может быть удобен, если почтовым ящиком пользуется только один человек с одного устройства, а доступ в сеть Интернет ограничен.

PPP (Point-to-Point Protocol) — двухточечный протокол канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети.

PPPoE (Point-to-point protocol over Ethernet) — сетевой протокол канального уровня, предназначенный для передачи кадров PPP через Ethernet. Не требует настройки IP-протокола на интерфейсе, поскольку подключается напрямую к серверу через соединение «точка-точка». Для авторизации пользователя используются логин и пароль.

PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищенное соединение с сервером за счет создания специального туннеля в стандартной, незащищенной сети. Это наиболее старый и распространенный в мире VPN-протокол.

RDP (Remote Desktop Protocol) — проприетарный протокол прикладного уровня, который используется для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений.

RTP (Real-time Transport Protocol) — протокол, предназначенный для передачи аудио- и видеопотоков через сеть Интернет в режиме реального времени.

SIM-карта (Subscriber Identification Module) — идентификационный электронный модуль абонента, применяемый в мобильной связи. SIM-карты используются в сетях GSM.

SIP (Session Initiation Protocol) — протокол передачи данных, который используется для телефонии, видеоконференций, сообщений мгновенной рассылки и т. д.

SMB (Server Message Block) — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия. Используется для обмена данными в локальной сети.

SMPP (Short Message Peer-to-Peer) — протокол, используемый в ИКС для передачи SMS-сообщений. Является универсальным и наиболее широко используемым протоколом при передаче SMS-сообщений между SMSC и SMS application systems. Большинство сервисов, предоставляющих возможность отправки SMS-сообщений, поддерживают SMPP-протокол при передаче коротких сообщений.

SMS (Short Message Service) — технология приема и передачи коротких текстовых сообщений с помощью сотового телефона. Входит в стандарты сотовой связи.

SMSC (Short Message Service Centers), SMS-центр — сервис SMS-рассылок, который отвечает за работу службы коротких сообщений сети сотовой связи.

SNMP (Simple Network Management Protocol) — стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. Предназначен для сбора и передачи служебной информации (status information) между различными компьютерами.

SOCKS (SOCKet Secure) — сетевой протокол, который позволяет клиент-серверным приложениям прозрачно использовать сервисы за межсетевыми экранами. Клиенты за межсетевым экраном, нуждающиеся в доступе к внешним серверам, вместо этого могут соединяться с SOCKS-прокси-сервером. Такой прокси-сервер контролирует права клиента для доступа к внешним ресурсам и передает запрос серверу. SOCKS может использоваться и противоположным способом, разрешая внешним клиентам соединяться с серверами за межсетевым экраном. В отличие от HTTP-прокси-серверов, SOCKS передает все данные от клиента, ничего не добавляя от себя, то есть с точки зрения конечного сервера, SOCKS-прокси является обычным клиентом. SOCKS более универсален: не зависит от конкретных протоколов уровня приложений (7-го уровня модели OSI) и базируется на стандарте TCP/IP — протоколе 4-го уровня. Зато HTTP-прокси кеширует данные и может более тщательно фильтровать содержимое передаваемых данных.

SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. П редставляет собой текстовую запись в TXT-записи DNS домена. Такая запись защищает домен от его несанкционированного использования в электронной почте.

SPN (Service Principal Name) — имя принципала службы, запущенной на доменном устройстве. Когда компьютер добавляют в домен, у его учетной записи автоматически указывается host SPN, что позволяет службам на этой машине запускаться из-под локальных учетных записей.

SQL (Structured Query Language) — декларативный язык программирования, применяемый для создания, модификации и управления данными в реляционной базе данных, управляемой соответствующей системой управления базами данных.

SRV-записи, или служебные записи DNS — средство задания логических разрешимых адресов. Позволяет перенаправлять вызовы в разные точки без необходимости изменения логического адреса. Использование SRV-записей открывает доступ ко многим преимуществам DNS, тогда как их отключение лишает возможности размещать SIP-вызовы на основании доменных имен. В настоящее время поддержка SRV-записей в телефонии несколько неэффективна. Следует учитывать, что если возвращено несколько SRV-записей, служба будет использовать только первую из них.

SSH (Secure Shell) — сетевой протокол прикладного уровня, который позволяет производить удаленное управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов).

SSID (Service Set Identifier) — символьное название беспроводной точки доступа Wi-Fi, которое служит для ее идентификации среди других точек пользователями или устройствами, подключающимися к сети.

SSL (Secure Sockets Layer) — протокол, по которому сайт и сервер соединяются с браузером по безопасной линии. Информация в зашифрованном виде передается через HTTPS.

SSL-сертификат — цифровая подпись сайта, которая необходима для безопасного соединения. При его помощи вся информация между пользователем и сайтом шифруется таким образом, что становится нечитаемой для третьих лиц (мошенников, системных администраторов и провайдеров). Такие сертификаты требуются для сайтов, которым передается конфиденциальная информация (логины и пароли, данные банковских карт и персональные данные).

SSTP (Secure Socket Tunneling Protocol) — VPN-протокол, основанный на SSL 3.0, с поддержкой шифрования данных.

STARTTLS — расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия отдельного порта для шифрованного соединения.

SURBL (Spam URI Realtime Block List) — технология для анализа URL из черного списка в теле сообщения.

TFTP (Trivial File Transfer Protocol) — простой протокол передачи файлов. Используется главным образом для первоначальной загрузки бездисковых рабочих станций. TFTP, в отличие от протокола FTP, не содержит возможностей аутентификации.

TLS (Transport Level Security) — протокол, по которому сайт и сервер соединяются с браузером по безопасной линии. Обеспечивает шифрование информации перед передачей, аутентификацию пользователя, проверку получаемых данных на предмет возможной подмены или искажения. Разработан на базе SSL-протокола.

TCP (Transmission Control Protocol) — протокол транспортного уровня, предназначенный для передачи данных в сети Интернет. Перед передачей устанавливает соединение, поэтому гарантирует уверенность в целостности получаемых данных. Выполняет повторный запрос данных в случае их потери или искажения. Отслеживает дублирующиеся пакеты и в случае обнаружения уничтожает их.

TTL (Time To Live) — предельный период времени или число итераций или переходов, за который набор данных (пакет) может существовать до своего исчезновения.

UDP (User Datagram Protocol) — протокол транспортного уровня, предназначенный для передачи данных в сети Интернет. Передает короткие сообщения (дейтаграммы), которые быстро доставляются. Не обеспечивает надежность передачи данных.

URL (Uniform Resource Locator) — уникальное положение ресурса. Используется как стандарт записи ссылок на объекты в сети Интернет. Формат URL: http://www.example.ru/example .

USB (Universal Serial Bus) — последовательный интерфейс для подключения периферийных устройств к вычислительной технике. Получил широчайшее распространение и фактически стал основным интерфейсом подключения периферии к бытовой цифровой технике.

VHID (Virtual Host ID) — идентификатор, который используется для объединения нескольких серверов в одну виртуальную группу.

VLAN (Virtual Local Area Network) — виртуальная локальная компьютерная сеть. Представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

VoIP (Voice over Internet Protocol), или IP-телефония — система связи, передающая аудиосигнал по IP-сетям. Сигнал по каналу связи передается в цифровом виде. Позволяет делать звонки с номера организации из любой точки мира.

VPN (Virtual Private Network) — безопасный метод подключения между двумя точками в сети. Информация передается в зашифрованном виде. VPN-соединение используется для удаленного и безопасного доступа к частным сетям (например, между филиалами компании).

WAN (Wide Area Network) — глобальная компьютерная сеть, Интернет.

WebSocket — протокол связи поверх TCP-соединения, который предназначен для обмена сообщениями между браузером и веб-сервером в режиме реального времени.

Wi-Fi (Wireless Fidelity ) — технология беспроводной локальной сети с устройствами на основе стандартов IEEE 802.11. Под аббревиатурой Wi-Fi в настоящее время развивается целое семейство стандартов передачи цифровых потоков данных по радиоканалам.

WINS (Windows Internet Name Service) — служба регистрации и разрешения имен компьютеров, которая сопоставляет NetBIOS-имена компьютеров с IP-адресами. Например, имя компьютера COMPUTER4 будет преобразовано в IР-адрес, позволяющий компьютерам сети Microsoft находить друг друга и обмениваться информацией. Служба WINS необходима для поддержки систем с версиями Windows до Windows 2000 и старых приложений, в которых применяется NetBIOS через TCP/IP (например, для утилит командной строки NET).

WireGuard — к оммуникационный протокол и бесплатное программное обеспечение с открытым исходным кодом, который реализует зашифрованные виртуальные частные сети. Был разработан для простого использования технологии VPN, высокой производительности и низкой поверхности атаки. Нацелен на лучшую производительность и большую мощность, чем IPsec и OpenVPN.

Xauth (Extended Authentication) — утилита, разработанная специально для авторизации на ИКС. Позволяет пользователю авторизоваться на ИКС по его текущему IP-адресу при помощи логина и пароля. Утилита представляет собой файл формата .exe , который запускается на устройстве пользователя.

XMPP (Extensible Messaging and Presence Protocol) — протокол для мгновенного обмена сообщениями и информацией о статусе пользователей (онлайн, офлайн и т. д.). Помимо передачи текстовых сообщений, поддерживает передачу голосовых сообщений, видео- и других файлов по сети.

XSS, межсайтовый скриптинг (Cross-Site Scripting) — тип атаки на веб-системы, который заключается во внедрении в выдаваемую веб-системой страницу вредоносного кода (он будет выполнен на компьютере пользователя при открытии им данной страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

Авторизация пользователя — предоставление установленному лицу (пользователю) возможностей в соответствии с назначенными ему правами или проверка наличия прав при попытке выполнить какое-либо действие (например, проверяется право доступа к определенным ресурсам: файлам, базе данных и другой информации). Авторизация осуществляется после процедуры аутентификации.

Аутентификация пользователя — проверка подлинности пользователя путем сравнения введенного пароля (для указанного логина) с паролем, который хранится в базе данных пользовательских логинов. Требуется для входа в ИКС и другие системы (например, электронная почта, личный кабинет веб-сервиса и т. д.).

Веб-сервер — сервер, принимающий HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы, обычно вместе с HTML-страницей, изображением, файлом, медиапотоком или другими данными. Веб-сервером называют как программное обеспечение, выполняющее функции веб-сервера, так и непосредственно компьютер, на котором это программное обеспечение работает. Клиент, которым обычно является веб-браузер, передает веб-серверу запросы на получение ресурсов, обозначенных URL-адресами (ресурсы — это HTML-страницы, изображения, файлы, медиапотоки или другие данные, которые необходимы клиенту). В ответ веб-сервер передает клиенту запрошенные данные. Обмен происходит по протоколу HTTP.

Виджет — визуальный элемент интерфейса программы, который помогает получить оперативный доступ к тому или иному стандартному действию (например, перейти в модуль или открыть отчет).

Виртуальная машина — программная и (или) аппаратная система, эмулирующая аппаратное обеспечение некоторой платформы и исполняющая программы для этой платформы (target — целевая или гостевая платформа) на другой платформе (host — хост-платформа, платформа-хозяин) либо виртуализирующая некоторую платформу и создающая на ней среды, изолирующие друг от друга программы и даже операционные системы.

Вкладка — элемент графического интерфейса Пользователя ИКС, который позволяет в активном окне ИКС переключаться между сменным содержимым окна модуля.

Внутренняя сеть — это сеть предприятия, которая не подключена к ИКС напрямую и компьютеры которой выходят в сеть Интернет через ИКС.

Демон —программа, работающая в фоновом режиме.

Динамический IP-адрес — адрес, который действителен в течение ограниченного времени и изменяется в соответствии с политикой, установленной на DHCP-сервере. Такие адреса используются в больших сетях, где компьютеры часто перенастраиваются и где ограничено количество IP-адресов, доступных для раздачи компьютерам.

ИКС — краткое обозначение Интернет Контроль Сервера.

Инкапсуляция — размещение в одном компоненте (в одной оболочке) данных и методов, которые с ними работают.

Интернет Контроль Сервер — универсальный межсетевой экран на базе FreeBSD для корпоративных сетей, который объединяет в себе более 80 функций включая защиту сети, управление доступом, контроль контента, учет трафика.

Интернет-шлюз — это устройство, контролирующее выход в сеть Интернет и другие сети для устройств из своих сетей (локальных, DMZ, VPN и т. п).

Кеш — промежуточный буфер с быстрым доступом к нему, содержащий информацию, которая может быть запрошена с наибольшей вероятностью (например, часто посещаемые веб-страницы в браузере).

Клиент — приложение, которое активно устанавливает соединение с сервером на заданном IP-адресе и порту.

Кодеки VoIP-телефонии — математические алгоритмы, которые выполняют кодирование и сжатие аналоговых аудиосигналов, преобразуя их в цифровые.

Контроллер домена — сервер, который контролирует взаимодействия между сетевыми устройствами (например, внутри компании).

Локальная сеть — это сеть рабочих машин, подключенная через коммутатор непосредственно к внутреннему интерфейсу ИКС.

Маршрутизатор по умолчанию (шлюз, default router, gateway) — сетевой шлюз, на который пакет отправляется в том случае, если маршрут до сети назначения пакета не известен (не задан явным образом в таблице маршрутизации хоста).

Маршрутизация — поиск маршрута доставки пакета между сетями через транзитные узлы (маршрутизаторы).

Межсетевой экран (брандмауэр, firewall) — устройство или программа, которая отделяет сети друг от друга. Межсетевой экран перехватывает все пакеты, поступающие из внешней либо внутренней сети. Используя таблицу правил, он может разрешить прохождение пакета либо запретить.

Меню — система навигации, расположенная слева в графическом интерфейсе пользователя ИКС.

Модуль — составная часть программного комплекса ИКС, предоставляющая определенный функционал (например, Межсетевой экран или Прокси).

Общий ростер ( Shared roster) — способ настройки XMPP-сервера, когда изменение ростера клиента инициируется со стороны сервера. При подключении к серверу клиент получает набор групп и содержащихся в них контактов. Помимо контактов, клиент автоматически получает подписку от всех контактов, а также предоставляет всем свою. Таким образом любой контакт из ростера видит статус любого другого контакта.

Окно — графическое отображение параметров настройки модулей ИКС.

Пользователь — пользователь, созданный внутри системы ИКС.

Пользователь ИКС — субъект, которым можно управлять, применяя к нему правила и ограничения.

Почтовая квота — ограничение размера почтового ящика пользователя. Если общий объем писем, находящихся в почтовом ящике, достиг заданного значения, пользователю будет отказано в приеме нового письма. Как правило, установление почтовой квоты нужно в тех случаях, когда письма пользователя хранятся на почтовом сервере все время, а не только до момента прочтения.

Провайдер в ИКС — WAN-интерфейс, который обеспечивает работу сервиса NAT для пользователей ИКС.

Прокси-сервер ИКС — сервер-посредник между пользователем и сетью Интернет. Позволяет контролировать трафик, работающий по протоколам HTTP/HTTPS/FTP.

Релей — узел, который занимается получением и пересылкой сообщений (электронной почты). В данном случае в его роли по умолчанию выступает ИКС. В некоторых случаях может потребоваться прописать другой сервер, через который ИКС будет отправлять почту (например, в случае мультидропного почтового ящика, настроенного на почтовом сервере провайдера).

Сервер — программа, которая постоянно работает (слушает) на известном IP-адресе и порту и пассивно ждет запросов на соединение.

Серые списки (Greylisting) — способ автоматической блокировки спама, который основан на том, что поведение программного обеспечения, предназначенного для рассылки спама, отличается от поведения обычных серверов электронной почты. Если почтовый сервер получателя отказывается принять письмо и сообщает о временной ошибке, сервер отправителя обязан позже повторить попытку. Спамерское программное обеспечение в таких случаях, как правило, не пытается этого делать. Можно включить данный режим для усиленной проверки почты на спам. После включения данной опции станут доступными для редактирования параметры серых списков: время игнорирования повторной отправки (в секундах), время ожидания повторной отправки (в часах), время хранения отправителя в белом списке (в днях).

Спам — рассылка нежелательных сообщений, как правило рекламных.

Статический IP-адрес — адрес, который назначается сетевому устройству вручную в настройках интерфейса.

Терминальный пользователь — пользователь терминального сервера.

Терминальный сервер — компьютер с установленной серверной операционной системой. Создает для организации единую информационную среду. Пользователи используют свой персональный компьютер только для подключения, а все остальные вычислительные операции выполняются на самом сервере.

Трафик — общий суммарный поток информации в сети. Подразделяется на входящий и исходящий трафик.

Туннель — механизм, который позволяет объединить две удаленные и не связанные физически сети в единую логическую структуру. Статические туннели используются для объединения нескольких локальных сетей в одну: например, при объединении нескольких удаленных офисов в одну локальную сеть таким образом, чтобы пользователи одной сети могли обращаться к ресурсам других. Туннели настраиваются на пограничных маршрутизаторах этих сетей, и весь промежуточный трафик передается через сеть Интернет инкапсулированным в IP- или GRE-пакеты.

Устройство пользователя — сложное техническое устройство пользователя (компьютер, планшет, смартфон и т. д.), которое находится в локальной сети ИКС.

Хранилище файлов — совокупность всех файлов и папок, которые хранятся в ИКС.

Черные списки (RBL, Real-time Blackhole List, или DNSBL, DNS blacklist или DNS blocklist) — списки хостов, хранимые с использованием системы архитектуры DNS. Обычно используются для борьбы со спамом. Почтовый сервер обращается к DNSBL и проверяет в нем наличие IP-адреса клиента, с которого он принимает сообщение. При положительном ответе считается, что происходит попытка приема спам-сообщения. Серверу отправителя сообщается ошибка 5xx (неустранимая ошибка) и сообщение не принимается. В большинстве случаев изменять этот список не требуется.

Технология преобразования сетевых адресов (NAT)

Одной из проблем в развитии сетей является ограниченное количество существующих IPv4 адресов — их около 4,3 миллиарда. С повсеместным распространением интернета и взрывообразным ростом количества пользователей, стало очевидно, что этого недостаточно. Возникла потребность в инструменте, способном решить эту проблему (по крайней мере до момента, когда будут внедрены IPv6) — и одним из таких инструментов стала технология NAT (Network Address Translation).

Что такое NAT

При проектировании сетей обычно применяются частные IP-адреса 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Их используют внутри сети площадки или организации для поддержания локального взаимодействия между устройствами, а не для маршрутизации во всемирной сети. Чтобы устройство с адресом IPv4 могло обратиться к другим устройствам или ресурсам через интернет, его частный адрес должен быть преобразован в публичный и общедоступный. Такое преобразование — это главное, что делает NAT, специальный механизм преобразования приватных адресов в общедоступные. Поддержка NAT в сочетании с приватными IPv4 адресами стала эффективным способом сохранения общедоступных адресов IPv4. Механизм дает возможность многочисленным устройствам, каждое из которых имеет собственный приватный адрес, использовать единый общедоступный адрес IPv4. Дополнительным плюсом NAT является повышение уровня безопасности и конфиденциальности сети, за счет того, что он скрывает приватные адреса IPv4. Маршрутизатор NAT можно настроить с одним или несколькими общедоступными IPv4-адресами, которые называют пулом NAT. При отправке трафика устройством из внутренней сети во внешнюю сеть, маршрутизатор преобразует его внутренний IPv4-адрес в один из адресов, входящих в состав пула. В результате действия такого механизма весь, исходящий из сети трафик внешние устройства «видят» с общедоступным адресом IPv4, который можно назвать NAT IP адресом. Действие маршрутизатора NAT осуществляется на границе тупиковой сети, получившей название Stub-сети. Она связана с соседней сетью одним соединением, имеет один вход и один выход. При установлении связи между устройствами внутри и снаружи Stub-сети пакет отправляется пограничному маршрутизатору, который исполняет процесс NAT. В результате этого процесса внутренний приватный адрес устройства преобразуется в публичный наружный адрес, поддающийся маршрутизации.

Терминология NAT

• Inside local address (внутренний локальный) — видимый во внутренней сети адрес источника, собственный локальный адрес устройства.
• Inside global address (внутренний глобальный) — видимый из внешней сети адрес источника. При передаче трафика, например, с локального компьютера на веб-сервер, его Inside local address преобразуется маршрутизатором во внутренний глобальный адрес.
• Outside local address (внешний локальный) — видимый из внешней сети адрес получателя. Присвоенный хосту глобально маршрутизируемый адрес IPv4.
• Outside global address (внешний глобальный) — видимый из внутренней сети адрес получателя. Часто совпадает с локальным внешним адресом.

Нужно учитывать, что терминология NAT всегда строится с позиции устройства с транслируемым адресом.

Типы NAT

Для понимания, что такое NAT в сети, необходимо разобраться с классификацией трансляции. В частности, по способу сопоставления адресов, бывают такие типы трансляции NAT:

• Static NAT — статическая адресная трансляция. Предусматривает сопоставление между глобальными и локальными адресами «один к одному».
• Dynamic NAT — динамическая адресная трансляция. Сопоставление адресов осуществляется по принципу «многие ко многим».
• Port Address Translation (NAT Overload) — трансляция с использованием портов. Предусматривается многоадресное сопоставление.

Рассмотрим подробнее, что такое каждый из этих типов NAT.

Статический NAT

Этот тип NAT использует принцип «один к одному» при сопоставлении локальных и глобальных адресов. Настройки сопоставлений, установленные сетевым администратором, остаются неизменными. При отправке сетевыми устройствами трафика в интернет выполняется преобразование их внутренних локальных адресов в настроенные администратором глобальные внутренние адреса. Для внешних сетей устройства, которые работают во внутренней сети со статическим NAT, имеют общедоступные адреса IPv4.

Static NAT Type — это то, что хорошо подходит для веб-серверов, а также для устройств, которым необходим доступный из интернета согласованный адрес. Реализация статистического NAT требует наличия числа общедоступных адресов, достаточного для удовлетворения общего числа одновременных пользовательских сеансов.

Пример статической NAT таблицы:

Static NAT Table

Inside Local Address

Inside Global Adress

Динамический NAT

Тип динамического NAT работает с пулом публичных адресов, которые назначаются на основе принципа «первым пришел, первым обслужен». При запросе внутренним устройством доступа к интернету динамическим NAT производится назначение из пула общедоступного адреса IPv4. Как и в случае со статическим, для динамического типа NAT необходимо достаточное число общедоступных адресов, чтобы удовлетворить совокупное число одновременных пользовательских сеансов.

Пример динамической NAT таблицы:

Dinamic NAT Table

Inside Local Address

Inside Global Adress

Port Address Translation (PAT)

Это наиболее распространенный тип NAT. При использовании Port Address Translation NAT подключение осуществляет трансляцию нескольких приватных адресов на один или несколько общедоступных. Этот принцип используется в большинстве маршрутизаторов, которые устанавливаются дома у частных абонентов. Адрес назначается провайдером маршрутизатором. При этом одновременный доступ к интернету могут получать несколько домашних пользователей.

Применение PAT позволяет сопоставлять несколько адресов с одним или несколькими. Это возможно благодаря отслеживанию каждого приватного адреса по номеру порта. После начала сеанса TCP/IP устройство генерирует номер порта источника TCP или UDP, что позволяет идентифицировать сеанс. При получении пакета от клиента NAT-маршрутизатором, он однозначно идентифицирует перевод NAT, используя номер собственного исходного порта. Схема PAT гарантирует использование разных портов TCP устройствами для каждого сеанса. При поступлении ответа от сервера при этом типе NAT номер порта источника уже используется как номер порта получателя. Это позволяет маршрутизатору однозначно правильно передавать пакеты.

Маршрутизатор выполняет обработку каждого пакета и определяет устройство, с которого он выслан, используя номер порта. Адресом источника (Source Address) в этой схеме будет локальный адрес устройства с добавлением номера порта, который был назначен TCP/IP. Адресом назначения (Destination Address) при использовании TAP будет внешний локальный адрес с добавлением номера служебного порта, например, порта службы 80: HTTP. При ответе веб-сервера производится обратная трансформация адресов.

Часто на маршрутизаторе порты клиента изменяются, поскольку ранее назначенные порты могут закрепляться за другими работающими сеансами. В процессе NAT сессии PAT стремится сохранить исходный порт источника. Если же этот порт уже занят, выполняется назначение первого из доступных номеров. Поиск свободного номера начинается с начала группы портов 0–511, 512–1023 или 1024–65535. В случае если свободных портов не остается и имеется больше одного внешнего адреса в пуле адресов, PAT переходит на новый адрес для поиска исходного порта источника.

Между традиционным NAT и PAT есть существенные отличия. NAT осуществляет перевод IPv4-адреса на основе принципа «один к одному» между приватными и общедоступными IPv4-адресами. С другой стороны, PAT трансформирует и адрес, и номер порта. Перенаправление входящих пакетов в NAT интернете выполняется на заданный хостом IP-адрес источника. В схеме PAT предусматривается только один или небольшое число публично открытых адресов IPv4, поэтому перенаправление входящих данных осуществляется на основе NAT таблицы маршрутизатора.

Преимущества и недостатки NAT

Понимая, как работает NAT, можно выделить комплекс серьезных преимуществ, которые предоставляет этот механизм при организации сетей. В том числе к основным плюсам относятся такие свойства Network Address Translation:

• Сохранение зарегистрированной схемы адресации благодаря разрешению на приватизацию внутренних сетей. При использовании PAT возможно использование для внешних соединений одного общедоступного адреса IPv4 внутренними хостами. Эта схема требует малого количества внешних адресов для поддержки значительного числа внутренних хостов.
• Повышение гибкости коммуникации с интернетом. Обеспечение надежных сетевых подключений достигается благодаря многочисленным пулам адресов, пулам балансировки нагрузки и резервному копированию.
• Поддержка согласованной работы внутренних схем сетевой адресации. Если сеть не использует NAT и приватные адреса IPv4, то для изменения общей схемы адресов приходится проводить переадресацию всего комплекса хостов. Это может значительно повышать стоимость переадресации. При использовании NAT обеспечивается возможность сохранения действующей частной схемы адресов, что позволяет намного легче вносить изменения в общедоступную схему адресации. На практике это означает, например, возможность смены провайдера компании без внесения изменений в собственные внутренние клиенты.
• Поддержание высокого уровня сетевой безопасности. При использовании NAT частные сети не транслируют свою внутреннюю топологию и адреса, что повышает их надежность. При этом нужно учитывать, что NAT не является заменой решений сетевой безопасности, например, брандмауэра.

Особенностью NAT является организация прямого взаимодействия хостов в интернете с устройством, поддерживающим Network Address Translation, а не с фактическим хостом в локальной сети.

Тут выявляются некоторые недостатки механизма, в том числе:

• Определенное снижение производительности сети из-за увеличения задержке переключения при трансформации в пакетах каждого IPv4-адреса. Снижение производительности может быть чувствительным для VoIP и других протоколов реального времени.
• Потеря сквозной адресации, необходимой для работы ряда приложений и протоколов. Если приложение использует не квалифицированное доменное имя, а физические адреса, то пакеты не попадают к получателям через NAT-маршрутизатор. В некоторых случаях проблема устраняется при помощи статических сопоставлений NAT.
• Потеря сквозной трассировки IPv4. Из-за множества изменений адресов пакетов осложняется трассировка, определение и устранение неполадок.
• Осложнение работы IPsec и других протоколов туннелирования в результате изменения значений в заголовках, что затрудняет проверки целостности.
• Возможность нарушения работы stateless протоколов или служб, которые требуют инициирования TCP-соединений из внешней сети, если NAT-маршрутизатор не настроен для их поддержки.

В то же время NAT остается эффективным и удобным механизмом, применяемым для организации работы сетей с использованием адресов IPv4.

NAT (Network Address Translation) для новичков

Данная статья будет полезна как новичкам в IT сфере, так и неопытным системным администраторам/ сетевым инженерам. Здесь затрагиваются понятия и принцип работы технологии NAT, ее значение в наше время, виды и создание с конфигурированием в программе-симуляторе Cisco Packet Tracer.

Введение

Интернет — всемирная система, состоящая из объединенных компьютерных сетей на базе протокола TCP/IP.

Сейчас интернет — это не просто сеть, а целая информационная вселенная, подчиняющаяся техническим, социальным и государственным законам в различных ее частях. В современном мире люди не обходятся без доступа во всемирную паутину. Интернет открывает множество возможностей получения информации из любой точки мира.

На данный момент в интернете больше всего распространены IP адреса версии — IPv4. Это позволяет создать 4.3 млрд. IP-адресов. Однако этого, казалось бы, большого количества критично не хватает. Чтобы решить эту проблему — был создан механизм преобразования сетевых адресов — NAT.

С задачей объединения устройств в единую сеть помогают различные компании, занимающиеся разработкой и внедрением сетевого оборудования.На сей момент на рынке сетевого оборудования доминируют компании Cisco Systems и Huawei. В данной статье будем вести работу с оборудованием Cisco.

Cisco Systems разработала собственную специальную межсетевую ОС для работы с оборудованием под названием IOS (Internet Operating System). IOS — многозадачная операционная система, выполняющая функции сетевой организации, маршрутизации, коммутации и передачи данных. ОС IOS представляет собой сложную операционную систему реального времени, состоящую из нескольких подсистем и имеющую множество возможных параметров конфигурирования.

В операционной системе IOS представлен специфичный интерфейс командой строки CLI (Command Line Interface). В этом интерфейсе возможно использовать некоторое количество команд. Количество зависит от выбранного режима и от уровня привилегий пользователя (пользовательский, привилегированный, глобальной конфигурации и специфической конфигурации).

Нехватка IP адресов. Технология NAT

В 80х годах ХХ века заложили основу IPv4, позволяющую создавать ~4.3 млрд. адресов, но никто не предполагал, что этот запас так быстро иссякнет. С каждым годом появлялось все больше и больше пользователей и с 25 ноября 2019г. в России и в Европе официально закончились IP адреса. Лимит исчерпан.

Для решения этой проблемы было придумано несколько способов:
Первый способ заключается в усилении контроля за IP адресами.

Пусть существует некоторый сайт N с IPv4 xxx.xxx.xxx.xxx, и его хост решил прекратить его поддержание данного сайта. Сайт заброшен, а IP продолжает числиться как занятый и таких случаев может быть очень много. То бишь необходимо провести «инвентаризацию» IP адресов и изъять неиспользуемые/заброшенные.

Второй способ — в массовом использовании системы IPv6.

Протокол IPv6 разработан как преемник протокола IPv4. Основные преимущества IPv6 над IPv4 заключаются в увеличенном адресном пространстве (IPv4 имел 32 бита, что равнялось 2 32 адресам, а IPv6 имел 128 бит, что равнялось 2 128 адресам), 6 версия протокола стала безопаснее (т.к. в v4 не предусматривались многие аспекты безопасности, ибо расчет был на сторонние ПО, а в v6 появились контрольные суммы и шифрование пакетов), однако это далеко не все преимущества IPv6 над IPv4.

Проблема, казалось бы, решена, однако перейти с протокола IPv4 на IPv6 вызывает трудности, потому что эти протоколы несовместимы. И изюминкой причины тяжелого перехода на 6 версию протокола является денежная стоимость. Многие кампании не готовы вложить достаточное кол-во средств для перехода, хоть и стоит отметить, что процесс перехода с 4 на 6 версию постепенно идет.

И третий способ — использование технологии трансляции сетевых адресов — NAT.

Cогласно документу RFC 1918, IANA зарезервировала 3 блока адресов для частных IP (серых) (рис 1), остальные же IP адреса носят название публичных адресов (белых).

Network Address Translation — это механизм в сетях TCP/IP, позволяющий изменять IP адрес в заголовке пакета, проходящего через устройство маршрутизации трафика.
Принимая пакет от локального компьютера, маршрутизатор смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет.

Маршрутизатор подменяет обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, маршрутизатор сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, маршрутизатор сотрет у себя в таблице запись об n-ом порте за сроком давности.

Основная функция NAT — сохранение публичных адресов, однако дополнительной функцией является конфиденциальность сети, путем скрытия внутренних IPv4 адресов от внешней.

Существует множество типов технологии NAT, однако основными принято считать: Статический NAT (Static Network Address Translation), Динамический NAT (Dynamic Network Address Translation) и Перегруженный NAT (Network Address Translation Overload).

Статический NAT применяют для отображения незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.

Статический NAT используется чаще всего в корпоративных сетях, когда необходимо, чтобы какой-либо IP адрес всегда был доступен из глобальной сети. Зачастую статическим IP наделяют сервера и помещают их в DМZ (рис 2).

Динамический NAT отображает незарегистрированный IP-адрес на зарегистрированный адрес из группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированными и зарегистрированными адресами, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле (pool — диапазон) адресов, во время коммуникации.

Перегруженный NAT. Этот тип NAT’a имеет множество названий:
NAT Overload, Many-to-One, PAT (Port Address Translation) и IP Masquerading, однако в большинстве источников указывается как NAT Overload. Перегруженный NAT — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.

Подготовка компьютерной сети
Логическая схема топологии сети будет выглядеть как показано на изображении (рис 3)

Отнесем PC — станции во VLAN 2, а сервер во VLAN 3. Для этого нужно настроить коммутатор S0 (рис 4). Для того, чтобы определить PC пользователей в отдельный VLAN, необходимо создать VLAN 2 и в 3 запихнуть сам сервер (удобства ради еще и обзовем VLAN’ы именами) (показано синим на рис 4), определить область портов коммутатора, которые будут входить во VLAN 2,3 и прописать соответствующие команды (показано красным на рис 4). Следующая задача – определить один порт типа trunk, для взаимодействия с маршрутизатором (показано зеленым рис 4). Таким образом, коммутатор выступает в роли «посредника» между оконечными устройствами и маршрутизатором.

Теперь нужно настроить непосредственно маршрутизатор. Технология sub-interface позволяет объединять несколько виртуальных интерфейсов в один и подключить их к физическому интерфейсу (на маршрутизаторе выбран физический интерфейс fa0/0). Необходимо дать для каждого VLAN’а свой под-интерфейс (показано красным на рис 5) и выдать им IP адрес (показано зеленым на рис 5).
Таким образом, в будущем мы будем NAT’ить трафик.

Дальше я бы посоветовал бы настроить протокол динамической выдачи IP адреса — DHCP, ибо прописывать каждому PC свой адрес — то еще «удовольствие».

! Важно, чтобы сервер(а) всегда были со статичным IP адресом !

Дадим серверу статичный IP 192.168.3.2, а остальных оставим для динамического распределения адресов.

После настройки DHCP, нужно прописать на каждом саб-интерфейсе в R0 команду «ip helper-address 192.168.3.2», тем самым указывая, куда стоит обращаться для получения IP адреса.
После данной команды, устройства получат запрашиваемые IP адреса.

Пингуем с рандомного ПК сам сервер (1 пинг) и шлюзы маршрутизатора (2- 3 пинг) (рис 6).

Дальше для удобства будем эмулировать подключение к провайдеру, путем создания в программе-симуляторе РС провайдера, сервера Serv2 с IP 213.234.60.2 (эмулирующий остальную сеть интернет) и роутера R3.

Настройка NAT

Ну и наконец-то мы дошли до самой настройки NAT.
Для внедрения NAT нужно определиться какие порты будут внешними(outside), а какие внутренними(inside).

Статичный NAT сопоставляет внутренний и внешний адреса один к одному, поэтому настроим Serv2 таким образом, чтобы любой компьютер мог подключиться к серверу, а сервер к компьютеру — нет. Для этого необходимо прописать следующие команды (рис 7):

По итогу, любой компьютер, находящийся во 2 VLAN’е может пинговать сервер провайдера, а обратно — нет (рис 8). Аналогично проделываем для Serv1, находящимся во VLAN 3.

А теперь, на финал, внедрим NAT Overload на R0.

Для этого создадим ACL и пропишем там сети, которые должны «натиться» (показано синим на рис 9) и, показав что нужно «натить», активируем лист (показано красным на рис 9).

Таким образом, реализовав статическую и динамическую (типа PAT) настройку NAT, мы смогли защитить небольшую сеть от подключения извне.

Надеюсь вам понравилась данная статья.

Спасибо за ее чтение, всем хорошего настроения 🙂

P.S. Статью пишу впервые, не судите строго 🙂