Обход 802.1х в LAN / Хабр
Дисклеймер:
Внимание! Данная статья носит исключительно информационный характер и предназначена для образовательных целей.
Представим себе типичный внутренний пентест. Вы приезжаете к заказчику, подключаетесь к Ethernet-розетке. Вы заранее предупредили о своём приезде, попросили себе рабочее место с Ethernet-розеткой и договорились отключить 802.1x. В итоге нашли тонну критических уязвимостей и в деталях расписали, как всё плохо исправить. Вы выдали красивый отчёт, оценили риски и составили рекомендации. Заказчик смотрит в отчет, хмурит брови и выдает непробиваемый довод: просто я отключил 802.1х. Добились бы вы таких же результатов без доступов к сети?
В этом посте я продемонстрирую, как легко можно обойти 802.1x на внутреннем пентесте. За редкими исключениями, но их мы тоже обсудим.
Оглавление
Матчасть
IEEE 802.1X ― это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций в сети передачи данных. Он осуществляет контроль доступа и не позволяет неавторизованным устройствам подключаться к локальной сети. Наибольшее распространение протокол получил в беспроводных сетях, однако встречается и в проводных. В данной статье рассматривается его применение для проводных сетей.
Описание протокола 802.1x
Механизм аутентификации
В процессе аутентификации участвую 3 сущности:
Клиент (Client/Supplicant) ― программное обеспечение на стороне клиента, установленное на устройство пользователя и запрашивающее доступ к сети. Для запуска процесса аутентификации клиент использует Extensible Authentication Protocol via LAN (EAPoL)
Аутентификатор (Authenticator) ― устройство, которое обеспечивает связь клиента с сервером аутентификации по протоколу 802.1х и, в случае успешной авторизации ― доступ к сети.
Сервер аутентификации (Authentication Server) ― ААА-сервер, интегрированный с той или иной базой данных пользователей.
Аутентификация клиента происходит в несколько этапов:
1. Инициализация
На этом этапе клиент подключается к порту аутентификатора. Аутентификатор распознает факт подключения и активизирует логический порт для клиента, сразу переводя его в состояние «неавторизован» (uncontrolled). В результате через клиентский порт возможен лишь обмен трафиком протокола 802.1x, для всего остального трафика порт заблокирован.
2. Инициация
Аутентификатор ожидает от клиента запрос на аутентификацию (EAPOL-Start). Когда аутентификатор получает запрос, он посылает клиенту EAP-request/identity. Клиент в ответ высылает EAP-response со своим идентификатором (например, именем пользователя), который аутентификатор перенаправляет в сторону сервера аутентификации, предварительно завернув в RADIUS Access-Request.
3. Обмен EAP
Сервер аутентификации и клиент договариваются о методе EAP, по которому будет проходить аутентификация.
4. Аутентификация
Может происходить по-разному, в зависимости от метода EAP. В результате сервер аутентификации разрешает (accept) или запрещает (reject) доступ, с пересылкой данного сообщения аутентификатору. В случае успешной аутентификации аутентификатор переводит порт клиента в состояние «авторизован» (controlled), и начинается передача трафика клиента.
EAP
EAP используется для выбора метода аутентификации, передачи ключей и обработки этих ключей подключаемыми модулями, называемыми методами EAP. Рассмотрим самые распространённые методы EAP.
EAP-MD5
Алгоритм работы:
Сервер аутентификации посылает запрос EAP-Request-Identity клиенту.
Клиент в ответ посылает EAP-Response-Identity.
После получения EAP-Response-Identity сервер генерирует случайную строку (challenge string) и отправляет клиенту MD5-Challenge-Request с этой строкой.
Клиент объединяет имя пользователя, пароль в открытом виде и challenge string в одно значение и отправляет хэш MD5 этого значения на сервер аутентификации как MD5-ChallengeResponse
После получения MD5-Challenge-Response сервер аутентификации самостоятельно считает MD5-хэш от данных пользователя и отправленной строки challenge string и сравнивает с хэшом, полученным от клиента. Если хеши совпадают, аутентификация завершается успешно.
У этого метода EAP есть существенный недостаток: как MD5-Challenge-Request, так и MD5-Challenge-Response могут быть перехвачены. В результате можно сбрутить пароль пользователя.
EAP-PEAP/EAP-TTLS
Алгоритм работы:
Аутентификация проходит в 2 этапа – внешний и внутренний
1. Внешняя аутентификация:
1.1 Клиент посылает Authentication Request на сервер аутентификации.
1.2. Сервер в ответ посылает свой сертификат
1.3. Клиент проверяет сертификат сервера, и, если всё в порядке, внешняя аутентификация проходит успешно.
1.4. Клиент и сервер устанавливают TLS-соединение.
2. Внутренняя аутентификация через установленный безопасный канал. При этом существует много различных протоколов аутентификации, однако наиболее часто используется MS-CHAPv2.
Основная проблема такого подхода заключается в том, что соединение может быть установлено, даже если сертификат невалиден. Например, если в настройках не стоит галочка «Проверять сертификат сервера».
EAP-TLS
Отличие этого метода от предыдущего заключается в том, что на внешнем этапе аутентификации происходит проверка подлинности не только сервера, но и клиента. После взаимной проверки подлинности аутентификация проходит по протоколу TLS.
Это куда более безопасно, но сложнее в реализации. На всех клиентских устройствах нужно установить клиентский сертификат.
Основная проблема такого подхода заключается в том, что соединение может быть установлено, даже если сертификат невалиден. Например, если в настройках не стоит галочка «Проверять сертификат сервера».
MAB
MAB (MAC Authentication Bypass) – это вариант «аутентификации» для устройств, которые не поддерживают протокол 802.1x. Если к порту коммутатора, на котором настроена аутентификация, требуется подключить такое устройство, то, чтобы не отключать на этом порту аутентификацию, был придуман более слабый механизм. Весь процесс аутентификации по MAB заключается в проверке MAC-адреса устройства.
Атаки
А теперь самое интересное. Расскажу, как мы обходим 802.1X.
Обход MAB
Самый простой метод обхода. MAB вообще как будто был придуман специально для пентестеров. Даже в названии присутствует слово «Bypass».
В общем, находим старенький принтер (камеру, телефон, PDP-11…), узнаём его MAC-адрес и отключаем от коммутатора. Меняем свой MAC на МАС устройства и подключаемся вместо него.
В последнее время метод несколько потерял актуальность за счёт использования профилирования (подробнее в разделе «Как защититься»)
Классическая атака (Bridged-based)
Экскурс в историю
В 2005 году Стив Райли, исследователь из Microsoft, обнаружил уязвимость в протоколе 802.1x, которая приводила к возможности атак «Человек посередине». Суть уязвимости заключалась в том, что аутентификация по протоколу 802.1x происходит только при установке нового соединения. Когда клиент, подключившийся к порту коммутатора, проходит аутентификацию, порт переходит в состояние «controlled» и все последующие соединения от этого клиента не требуют аутентификации. Злоумышленник, разместивший хаб между аутентифицировавшимся клиентом и портом коммутатора, может подключить своё устройство к хабу и отправлять пакеты в сеть, подменив исходные MAC- и IP-адреса на адреса легитимного клиента.
Очевидно, что у такой атаки были проблемы, связанные с состоянием гонки (race condition ― https://en.wikipedia.org/wiki/Race_condition). Если легитимный клиент отвечал быстрее, то нелегитимный терял соединение:
Хост злоумышленника отправляет SYN-пакет в сеть.
В ответ приходит SYN / ACK, который попадает на оба устройства: и хост злоумышленника, и хост клиента.
Клиент отправляет RST / ACK.
Хост злоумышленника отправляет ACK.
Если клиент успел отправить RST/ACK раньше, соединение разрывается. Поэтому в классическом варианте атаки можно было отправлять только UDP-трафик.
Логичным развитием MITM-атаки стало использование моста.
Алгоритм атаки
Нам понадобится ноутбук с двумя интерфейсами и какой-нибудь сотрудник компании (а точнее, его девайс).
Одним интерфейсом подключаемся к девайсу, а другим – к порту коммутатора (розетке на стене). Дальше делаем следующее:
Разрешаем форвардинг
Переводим интерфейсы в Promisc-режим
Поднимаем между ними мост и тоже переводим в Promisc-режим
MAC девайса меняем на MAC коммутатора
Настраиваем SNAT для пакетов, которые отправляем сами – они должны выглядеть так, как будто их отправил девайс.
Добавляется маршрут в сеть за коммутатором через мост
Rogue Gateway Attack
Тот же Evil Twin, только в LAN. Работает в случае, если клиент сконфигурирован так, что соединение может быть установлено даже в случае невалидного сертификата сервера. Например, в настройках не стоит галочка «Проверять сертификат сервера».
Поднимаем мост и начинаем слушать трафик. В результате выясняем параметры клиента и аутентификатора:
Дальше начинается сама атака.
Поднимаем поддельный RADIUS-сервер и выключаем интерфейс, подключенный к аутентификатору.
Затем отправляем на поддельный RADIUS-сервер кадр EAPOL-Start с MAC-адресом клиента. В результате сервер отвечает клиенту запросом EAP-Request-Identity.
Если клиент примет сертификат, то он аутентифицируется у поддельного сервера.
Атакующий прослушивает MS-CHAPv2-challenge и response, сгенерированный на основе NTLM-хэша пароля. [AY1] В случае использования словарного пароля его можно получить перебором по словарю.
Если атака прошла успешно, можно отключить клиента от сети и авторизоваться с его данными.
Атака на EAP-MD5
EAP-MD5 ― это один из самых простых в настройке методов EAP. Он часто используется на периферийных устройствах.
Атака заключается в перехвате MD5-Challenge-Request и MD5-Challenge-Response с последующим брутом MD5-хэша. Для этого, как и в предыдущих атаках, поднимается мост между клиентом и аутентификатором.
Единственная проблема: клиент должен аутентифицироваться после того, как мы начали слушать трафик. Можно просто отключить его от сети и включить заново, однако это заметно и нельзя сделать удалённо (например, если мы оставили Raspberry Pi в офисе, а всю работу хотим сделать из дома). Можно заставить клиента ре-аутентифицироваться, просто отправив «EAPoL-start» аутентификатору от его имени.
Демо
Продемонстрируем классическую Bridged-Based атаку с использованием Fenrir.
Стэнд
Коммутатор Cisco
Радиус-сервер (Cisco-ISE, интегрированная с AD)
На Cisco ISE были использованы следующие политики:
802.1x c EAP-MD5 – для всех подключаемых устройств
802.1x c EAP-TTLS – для всех подключаемых устройств
Доменная машина с Windows
Kali с Fenrir-ом
Описание атаки
Пробуем подключиться к порту свича, сети нет.
Подключаем доменный комп в интерфейс нашей kali, другой интерфейс подключаем к коммутатору.
Запускаем консоль Fenrir и настраиваем параметры моста: указываем MAC- и IP- адреса свича и клиента. Вводим команду create_virtual_tap
Видим, что появился новый интерфейс FENRIR. Прописываем для него IP-адрес.
Вводим команду run в консоли Fenrir и подключаемся к сети. Теперь мы можем сканить nmap-ом и запускать другие полезные тулзы типа crackmapexec.
Ограничения
Нужно как-то пронести устройство на территорию. Более того, воткнуть между коммутатором и авторизованным устройством. Если нет авторизованного устройства, ничего не получится.
Мы получаем доступ аналогичный тому, который имеет авторизовавшееся устройство. То есть если мы воткнемся между принтером и коммутатором, с одной стороны классно – мы сразу попали в сеть… а с другой — мы всего лишь жалкий принтер.
Как защититься?
Для защиты от дурака обхода MAB придумали профилирование. Например, в Cisco ISE есть профили для Windows, для разных моделей принтеров и т.д. Если настроена политика разрешать доступ по MAB-у только принтерам, подмена MAC хакеру уже не поможет. Хорошо настроенное профилирование обойти достаточно сложно, так как злоумышленник не знает ни параметров профилирования (какие метрики собираются для идентификации устройства), ни параметров устройства (точные значения этих метрик).
Что касается защиты от атак на EAP, стоит отказаться от EAP-MD5 либо использовать достаточно сильные пароли. В случае с EAP-TTLS/EAP-PEAP/EAP-TLS/EAP-TTLS нужно принудительно запретить установку соединения, если сертификат сервера невалиден.
Для защиты от MITM-атак могут помочь разные виды детекта аномалий в сети. Если хакер, подключившись к порту, запустит брут или скан, неадекватное поведение хоста можно будет легко обнаружить и заблокировать порт. Однако, чем тише поведёт себя хакер, тем сложнее будет его обнаружить. Детект аномалий ― вещь хорошая, но 100%-ной защиты не даёт. Для 100%-ной защиты от MITM-атак нет ничего лучше, чем сейф шифрование. Например, IPsec.
А ещё есть 802.1xАЕ, также известный как 802.1x-2010, который предусматривает шифрование. Правда, уже после аутентификации.
802.1x AE
Разработан специально для решения проблемы с MITM-атаками и включает протокол MACSec для шифрования трафика на уровне L2.
Соединение проходит в 3 этапа:
Аутентификация и распределение ключей. Предполагается, что аутентификация проходит с использованием одного из методов EAP, однако протокол позволяет также использовать PSK.
Согласование сеансового ключа
Создание безопасной сессии
Рассмотрим пример с EAP-аутентификацией.
Как было описано ранее (см. «Механизм аутентификации), когда клиент впервые подключается к порту коммутатора, аутентификатор отправляет EAPRequest-Identity клиенту. Клиент отвечает EAP-response, который пересылается серверу Аутентификации.
На следующем этапе клиент и сервер аутентификации согласовывают метод EAP, который будет использоваться для аутентификации. Далее клиент аутентифицируется по выбранному методу EAP. В случае успешной аутентификации клиент и аутентификатор устанавливают зашифрованный канал связи по протоколу MACSec.
Как видим, MACSec хорошо работает против классических bridged-based атак: встроить свои пакеты в зашифрованный трафик уже не получится. Однако атаки на слабые методы EAP (Rouge Gateway или атака на EAP-MD5) остаются актуальными.
Выводы
Большинство современных организаций если и внедряют NAC в корпоративной сети, то ограничиваются первой версией протокола 802.1x, которая не предусматривает шифрования канала после аутентификации. Как показано в статье, для злоумышленников не составит труда встроить свой трафик в такой канал (классическая bridged-based атака).
Внедрение шифрования — 802.1AE либо IPSec сопряжено с большими трудностями: как минимум, потребуется установка дополнительных компонентов на каждое клиентское устройство.
Даже при успешном внедрении 802.1AE остаются актуальными атаки, направленные на уязвимости EAP (Rouge Gateway или атака на EAP-MD5).
Идеальная конфигурация, которая на 99,9% защитила бы LAN от обхода авторизации, выглядит примерно так:
Всем устройствам вроде принтеров, телефонов и тп, на которые нельзя поставить клиент для macsec, устанавливается минимальный необходимый доступ.
На всех остальных устройствах используется MAСsec+EAP-TLS (с обязательной проверкой сертификата сервера)
На всех транковых портах (которым коммутаторы соединяются между собой) используется macsec+NEAT (это когда вышестоящий коммутатор авторизует нижестоящий), чтобы минимизировать риск MITM-атаки на межкоммутаторных портах.
Что такое Wireless LAN Encryption (шифрование беспроводной локальной сети) и зачем его использовать?
Шифрование на беспроводной локальной сети используется для защиты вашей сети с помощью протокола аутентификации, который при попытке подключения пользователя или устройства запрашивает пароль или сетевой ключ. Если ваша беспроводная сеть не защищена каким-либо типом шифрования, к ней смогут получать доступ посторонние пользователи. Это позволит им получать доступ к персональной информации или использовать ваше Интернет-соединение для вредоносной или нелегальной деятельности. Кроме того, если вашей сетью без вашего ведома будут пользоваться посторонние, это способно привести к снижению ее скорости и ухудшению рабочих характеристик.
Ниже приводится подробная информация о различных типах шифрования на беспроводных локальных сетях, таких как WEP, WPA и WPS. Эти типы шифрования наиболее широко поддерживаются большинством совместимых с Wi-Fi устройств, адаптеров и маршрутизаторов.
ПРИМЕЧАНИЯ:
- Более старые маршрутизаторы и адаптеры WLAN могут не поддерживать все типы шифрования. Чтобы узнать поддерживаемые протоколы шифрования, обратитесь к входящей в комплект беспроводного устройства документации.
- В зависимости от производителя маршрутизатора WLAN, ключ шифрования по умолчанию может находиться на нижней панели маршрутизатора или в инструкции по эксплуатации.
- В случае создания собственного ключа шифрования, его можно будет найти на странице настройки, войдя в систему маршрутизатора. Если вы все еще не можете найти ключ шифрования, обратитесь за помощью к производителю маршрутизатора WLAN.
WEP: Wired Encryption Privacy (безопасность шифрования, эквивалентная проводному соединению) или Wired Encryption Protocol (протокол шифрования, эквивалентного проводному соединению)
- Тип шифрования:
- 64-битное: Данная конфигурация требует 10-значного пароля при использовании шестнадцатеричных цифр (0-9 и A-F) или 8-значного пароля при использовании символов ASCII.
- 128-битное: Данная конфигурация требует 26-значного пароля при использовании шестнадцатеричных цифр или 14-значного пароля при использовании символов ASCII.
- Преимущества:
- Простота настройки.
- Широко поддерживаемая система безопасности.
- Защита вашей беспроводной сети лучше, чем при полном отсутствии шифрования.
- Недостатки:
- Безопасность неполная.
- Другие протоколы шифрования обеспечивают более высокий уровень защиты.
WPA и WPA2: Wi-Fi Protected Access (защищенный доступ Wi-Fi)
- Тип шифрования:
- TKIP: Temporal Key Integrity Protocol (протокол целостности временного ключа)
- PSK: Pre-shared Key (заранее установленный ключ совместного использования) или Personal mode (персональный режим). 256-битное шифрование, для которого требуется 64-значный шестнадцатеричный цифровой пароль или кодовая фраза, включающая от 8 до 63 символов ASCII.
- EAP: Extensible Authentication Protocol (протокол расширяемой проверки подлинности)
- Преимущества:
- Простота настройки.
- Устойчивое шифрование.
- Простота управления.
- Недостатки:
- Поддерживается не всеми устройствами.
WPS: Wi-Fi Protected Setup (защищенная настройка Wi-Fi)
- Преимущества:
- WPS можно использовать для автоматической настройки конфигурации беспроводной сети с именем сети (SSID) и устойчивым ключом безопасности WPA для проверки подлинности и шифрования данных.
- Шифрование WPS разработано для поддержки устройств стандарта 802.11 с сертификатом Wi-Fi, включая точки доступа, беспроводные адаптеры, телефоны Wi-Fi и другие бытовые электронные устройства.
- При подключении устройств с поддержкой WPS вам не нужно знать SSID, ключ безопасности или кодовую фразу.
- Ключ безопасности или кодовая фраза генерируется в случайном порядке, так что никто не сможет ее угадать.
- Не нужно вводить никакие предсказуемые кодовые фразы или длинные последовательности шестнадцатеричных символов.
- Недостатки:
- Не поддерживается режим Ad-Hoc, когда беспроводные устройства обмениваются информацией друг с другом напрямую без использования точки доступа.
- Все устройства Wi-Fi на сети должны быть сертифицированы или совместимы с WPS, иначе вы не сможете воспользоваться всей легкостью обеспечения безопасности сети.
- Трудности с добавлением в сеть клиентского устройства, несовместимого с WPS, из-за длинных последовательностей шестнадцатеричных символов, генерируемых технологией WPS.
- Данная технология относительно новая, поэтому не все производители поддерживают WPS.
- Как мне использовать WPS?
- Метод PIN (Personal Identification Number – персональный идентификационный номер): Номер PIN необходимо взять либо с этикетки, либо из веб-интерфейса устройства WPS. Для установления соединения этот PIN вводится на точке доступа или клиентском устройстве WPS.
Протокол Ethernet | Anritsu в Европе
Протокол Ethernet отличается простотой и низкой стоимостью реализации, поэтому в последнее время он стал самым распространенным среди всех технологий передачи данных. Сначала он использовался только для локальных сетей (LAN), но теперь он также применяется для межузловой (end-to-end) связи. Чтобы адаптировать протокол Ethernet, изначально предназначенный для LAN, и сделать его технологией операторского класса, был разработан ряд новых протоколов: Ethernet OAM, VLAN, PBB-TE, MPLS-TP и др.
Протокол Ethernet Operations, Administration and Maintenance (OAM) предназначен для упрощения эксплуатации, администрирования и технического обслуживания сложных Ethernet-сетей, а также для сокращения эксплуатационных расходов. Этот протокол поддерживает функции предотвращения отказа каналов (Link Fault Management), предотвращения ошибок соединения (Connectivity Fault Management) и мониторинга производительности. Он описан в спецификациях IEEE 802.3 (ранее IEEE 802.3ah), IEEE 802.1ag и ITU-T Y.1731.
Протокол Virtual Local Area Network (VLAN) описан в спецификации IEEE 802.1Q. Здесь используются виртуальные локальные сети, которые объединяют различные узлы из множества физических сетей по сферам применения, проектным группам или функциональным возможностям. В спецификации IEEE 802.1ad описывается стандарт Stacked VLAN (Q-in-Q): виртуальные сети, обслуживаемые внутри других виртуальных сетей. Они позволяют пропускать клиентский VLAN-трафик через провайдерскую виртуальную сеть и эффективно его контролировать. В некоторых случаях провайдеры и клиенты используют множество тегов VLAN.
Протокол Provider Backbone Bridges Traffic Engineering (PBB-TE, «магистральные мосты провайдера с возможностью оптимизации и управления трафиком») позволяет получить Ethernet операторского класса, поддерживающий функции мультиплексирования с разделением по времени, т. е. обеспечивающий более детерминированный обмен данными. Для этого реализуется идентификация трафика с помощью технологий VLAN и PBB (часто называемой MAC-in-MAC) одновременно. Маршрутизация трафика в сети осуществляется системой управления с использованием каналов «точка-точка» и протокола OAM. Система управления также может при необходимости переключаться на резервный канал.
Протокол MultiProtocol Label Switching — Traffic Profile (MPLS-TP, «мультипротокольная коммутация по меткам — транспортный профиль») представляет собой расширение протокола MPLS. Его предназначение: реализовать в MPLS-сетях сервисы операторского класса с детерминированной передачей данных. Транспортный профиль обеспечивает инкапсуляцию трафика, идущего без организации соединения, позволяя использовать модель обмена данными с установлением соединения. Для маршрутизации сетевого трафика в системах MPLS-TP создаются каналы с коммутацией по меткам (LSP). Кроме того, в них используется OAM-информация, в том числе автоматическая коммутация с защитой данных (APS).
Протоколы lan Manager и nt
Компания IBM разработала протокол LAN Manager, применив его в ранних версиях Windows и сетях Windows. Как все протоколы аутентификации Microsoft, LAN Manager генерирует хеш паролей (LM hash), который хранится и используется отправителем и получателем в процессе аутентификации.
LM-хеши используются для совместимости с другим программным обеспечением корпорации Microsoft (Windows for Workgroups, Windows и Lan Manager) и хранятся в базе данных SAM в стандарте Lan Manager.
LAN Manager формирует LM-хеши следующим образом.
1.Все
2.Если пароль содержит меньше 14 символов, то он дополняется нулями.
3.Из каждой 7-байтовой половины преобразованного таким образом пароля пользователя отдельно формируется ключ для шифрования фиксированной 8-байтовой последовательности по DES-алгоритму.
4.Полученные в результате две 8-байтовые половины хешированного пароля Lan Manager еще раз шифруются по DES-алгоритму (при этом в качестве ключа используется RID пользователя) и помещаются в базу данных SAM.
Если раньше LAN Manager был вполне приемлем, то сейчас он считается очень ненадежным. С помощью специальных инструментов пароли, зашифрованные методом хеширования LAN Manager, можно всего за несколько секунд преобразовать в исходный текст.
LM-хешам свойственны принципиальные недостатки, а также имеется ряд уязвимых мест:
для составления пароля можно использовать только 128 символов ASCII;
длина пароля не должна превышать 14 символов;
если пароль содержит менее 14 символов, то отсутствующие символы заменяются нулями, что позволяет точно определить длину пароля;
перед хешированием LAN Manager преобразует все буквенные символы пароля в верхний регистр.
Почему LAN Manager до сих пор не вышел из употребления? В целях обратной совместимости он активен по умолчанию во всех компьютерах Windows, в том числе Windows Server 2003. В новейших базах данных аутентификации Windows слабый LM-хеш хранится наряду с более надежными, просто на случай, если придется выполнить транзакцию LAN Manager.
Если на предприятии не используются другие приложения, требующие аутентификации LAN Manager, то можно (и нужно) LAN Manager отключить
NT-хеш формируется следующим образом.
1.Строка символов пользовательского пароля хешируется с помощью функции MD4. В итоге из символьного пароля, введенного пользователем, получается 16-байтовая последовательность — хешированный пароль Windows.
2.Данная последовательность затем шифруется по DES-алгоритму 5, и результат шифрования сохраняется в базе данных SAM. При этом в качестве ключа шифрования используется так называемый относительный идентификатор пользователя (Relative Identifier, RID), который представляет собой автоматически увеличивающийся порядковый номер учетной записи данного пользователя в базе данных SAM.
Протокол ntlm
С появлением Windows NT компания Microsoft спроектировала и развернула более надежный протокол аутентификации NTLM.
Протокол NTLM является закрытым протоколом компании Microsoft, вся имеющаяся о нём информация была получена методом reverse engineering (обратный анализ). Он применяется практически всегда, когда не возможно использование протокола Kerberos, например, вне домена Active Directory. Впервые данный протокол появился в Windows NT 3.5.
В NTLM используется более эффективный алгоритм аутентификации, который создает более надежный хеш паролей (NTLM hash). Пароль NTLM может содержать до 128 символов. В отличие от LAN Manager, ограниченного использованием только 128 символов ASCII, NTLM совместим с полным набором символов Unicode, что повышает сложность паролей.
Протокол NTLM функционирует следующим образом:
Пользователь указывает имя пользователя, пароль и имя домена при входе на компьютер-клиент.
Клиент создает хеш данного пароля и удаляет оригинал.
Клиент отправляет серверу имя пользователя в открытом виде.
Сервер отправляет клиенту 16-битный фрагмент случайных данных.
Клиент шифрует этот фрагмент, шифрует хеш пароля пользователя и передает их на сервер.
Сервер передает имя пользователя, случайный фрагмент данных и ответ клиента на контроллер домена.
Контроллер домена шифрует отрезок случайных данных вместе со своим собственным хешем пароля пользователя, после чего сравнивает их с элементами, присланными сервером.
Если значения совпадают, контроллер домена уведомляет сервер об успешном завершении аутентификации.
Если значения или имя пользователя не совпадают, контроллер домена уведомляет об этом сервер, который передает клиенту соответствующее сообщение. После этого браузер клиента запрашивает у пользователя аутентификационные данные.
Руководство по обеспечению безопасности для проверки подлинности по протоколам NTLMv1 и LM
ВВЕДЕНИЕ
Нам хорошо известно, что имеется много информации и инструментов, которые могут быть использованы для совершения атак в ходе проверки подлинности по протоколам NT LAN Manager 1 (NTLMv1) и LAN Manager (LM). Нововведения в области компьютерного оборудования и программного обеспечения сделали эти протоколы уязвимыми для несанкционированных попыток получения учетных данных пользователей. Эта информация и инструменты в большей степени направлены на среды, в которых проверка подлинности по протоколу NTLMv2 не является обязательной. Мы настоятельно рекомендуем клиентам проверить свои среды и провести обновление параметров проверки подлинности сети. Все поддерживаемые операционные системы Майкрософт предоставляют возможность проверки подлинности по протоколу NTLMv2.
В первую очередь угрозе подвержены системы, которые используют конфигурацию по умолчанию (например, Microsoft Windows NT 4, Windows 2000, Windows XP и Windows Server 2003). По умолчанию как Windows XP, так и Windows Server 2003, к примеру, поддерживают проверку подлинности по протоколу NTLMv1.
В операционной системе Windows NT поддерживаются два варианта проверки подлинности с запросом и подтверждением при входе в сеть: запрос и подтверждение по протоколу LAN Manager (LM) и запрос и подтверждение Windows NT (также известное как запрос и подтверждение по протоколу NTLM 1). Оба варианта служат для взаимодействия с системами Windows NT 4.0, Windows 95, Windows 98 и Windows 98 Second Edition.
Если для решения проблемы требуется помощь, перейдите к разделу Получение помощи в решении проблемы.
Решение
Чтобы снизить риск возникновения проблемы, рекомендуется разрешить использование только протокола NTLMv2 для проверки подлинности в средах, в которых представлены системы Windows NT 4, Windows 2000, Windows XP и Windows Server 2003. Для этого вручную укажите для уровня проверки подлинности LAN Manager значение, равное 3 (или большее), как описано здесь.
Для Windows XP и Windows Server 2003 доступны решения Microsoft Fix it, чтобы автоматически настроить системы на использование исключительно протокола NTLMv2. Этот метод также позволяет использовать расширенную защиту для проверки подлинности в рамках параметров NTLM.
Получение помощи в решении проблемы
Описанное в этом разделе решение Fix it не может использоваться вместо обновлений для системы безопасности, последние версии которых всегда должны быть установлены на компьютере. Однако в некоторых случаях это решение позволяет обойти проблему.
Microsoft Fix it для Windows XP
Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить. Затем в диалоговом окне Загрузка файла нажмите кнопку Запустить и следуйте инструкциям мастера Fix it.
Примечания.
-
Мастер может быть доступен только на английском языке. Однако средство автоматического устранения неполадок можно использовать в версиях Windows на любых языках.
-
Автоматическое исправление можно загрузить на любой компьютер, сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.
Microsoft Fix it для Windows Server 2003
Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить. Затем в диалоговом окне Загрузка файла нажмите кнопку Запустить и следуйте инструкциям мастера Fix it.
Примечания.
-
Мастер может быть доступен только на английском языке. Однако средство автоматического устранения неполадок можно использовать в версиях Windows на любых языках.
-
Автоматическое исправление можно загрузить на любой компьютер, сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.
Статус
Данное поведение является подтвержденной ошибкой в продуктах Майкрософт, перечисленных в разделе «Информация в данной статье относится к следующим продуктам».
Дополнительная информация
Вопросы и ответы
Можно ли найти дополнительные сведения об угрозах и мерах противодействия для сетевой системы безопасности Windows и уровня проверки подлинности LAN Manager?
Дополнительные сведения об угрозах и мерах противодействия доступны на портале Microsoft TechNet в разделе Руководство по угрозам безопасности и методы противодействия. Дополнительные сведения о настройке версий NTLM см. раздел LmCompatibilityLevel.
Что явилось причиной проблемы?
До января 2000 г. экспортные ограничения определяли максимальную длину ключа для протоколов шифрования. Протоколы проверки подлинности LM и NTLM были разработаны до января 2000, и поэтому на них распространялись эти ограничения. После выпуска Windows XP система была сконфигурирована таким образом, чтобы обеспечить совместимость со средами проверки подлинности, которые были разработаны для ОС Windows 2000 и более ранних версий.
Как узнать, является ли моя конфигурация уязвимой?
Эта проблема может произойти, если значение параметра реестра LMCompatibilityLevel меньше чем три (<3).
Какие операционные системы Windows, для которых используются параметры по умолчанию, являются уязвимыми?
В параметрах по умолчанию для ОС Windows NT4, Windows 2000, Windows XP и Windows Server 2003 значение параметра LMCompatibilityLevel меньше чем три (<3).
Какой потенциальные риск существует при принудительном использовании протокола NTLMv2?
Все поддерживаемые версии операционных систем Windows поддерживают протокол NTLMv2. Windows NT 4.0 с пакетом обновления 6a (SP6a) также поддерживает протокол NTLMv2. Поэтому проблемы совместимости очень маловероятны. Возможно понадобится проверка сторонних (устаревших) приложений и конфигураций на предмет совместимости. Повторная настройка или обновление могут решить проблему. Клиентам настоятельно рекомендуется выполнить ряд действий для настройки или обновления их сетей, чтобы выяснить, используется ли протокол NTLMv1, и исключить его. Использование протокола NTLMv1 отрицательно влияет на сетевую безопасность и может поставить ее под угрозу.
Каким образом злоумышленник может использовать данную уязвимость?
Злоумышленник может извлечь хэш-значения из полученных подтверждений при проверке подлинности по протоколам LM и NTLM при входе в сеть.
Где найти сведения о включении протокола NTLMv2 в версиях ОС Microsoft Windows, которые не поддерживаются в настоящее время?
Дополнительные сведения о протоколе NTLMv2 для ОС Windows NT, Windows 95, Windows 98 и Windows 98 Second Edition доступны в статье 239869 базы знаний Майкрософт.
Благодарность
Корпорация Майкрософт благодарит следующих людей за помощь в защите клиентов:
-
Марка Гамач (Mark Gamache), сотрудника компании T-Mobile (США), за совместную работу, направленную на защиту клиентов от атак в ходе проверки подлинности по протоколам NTLMv1 (NT LAN Manager версии 1) и LAN Manager (LM).
Построение сети LAN — ePortfoolio_Zanna
Лока́льная вычисли́тельная сеть (ЛВС, локальная сеть; англ. Local Area Network, LAN) — компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт).
Построение сети
Существует множество способов классификации сетей. Основным критерием классификации принято считать способ администрирования. То есть в зависимости от того, как организована сеть и как она управляется, её можно отнести к локальной, распределённой, городской или глобальной сети. Управляет сетью или её сегментом сетевой администратор. В случае сложных сетей их права и обязанности строго распределены, ведётся документация и журналирование действий команды администраторов.
Компьютеры могут соединяться между собой, используя различные среды доступа: медные проводники (витая пара), оптические проводники (оптические кабели) и через радиоканал (беспроводные технологии). Проводные, оптические связи устанавливаются через Ethernet и прочие средства. Отдельная локальная вычислительная сеть может иметь связь с другими локальными сетями через шлюзы, а также быть частью глобальной вычислительной сети (например, Интернет) или иметь подключение к ней.
Чаще всего локальные сети построены на технологиях Ethernet. Следует отметить, что ранее использовались протоколы Frame Relay, Token ring, которые на сегодняшний день встречаются всё реже, их можно увидеть лишь в специализированных лабораториях, учебных заведениях и службах. Для построения простой локальной сети используются маршрутизаторы, коммутаторы, точки беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые адаптеры. Реже используются преобразователи (конвертеры) среды, усилители сигнала (повторители разного рода) и специальные антенны.
Маршрутизация в локальных сетях используется примитивная, если она вообще необходима. Чаще всего это статическая либо динамическая маршрутизация (основанная на протоколе RIP).
Иногда в локальной сети организуются рабочие группы — формальное объединение нескольких компьютеров в группу с единым названием.
Сетевой администратор — человек, ответственный за работу локальной сети или её части. В его обязанности входит обеспечение и контроль физической связи, настройка активного оборудования, настройка общего доступа и предопределённого круга программ, обеспечивающих стабильную работу сети.
Технологии локальных сетей реализуют, как правило, функции только двух нижних уровней модели OSI — физического и канального. Функциональности этих уровней достаточно для доставки кадров в пределах стандартных топологий, которые поддерживают LAN: звезда, общая шина, кольцо и дерево. Однако из этого не следует, что компьютеры, связанные в локальную сеть, не поддерживают протоколы уровней, расположенных выше канального. Эти протоколы также устанавливаются и работают на узлах локальной сети, но выполняемые ими функции не относятся к технологии LAN.
Адресация
В локальных сетях, основанных на протоколе IPv4, могут использоваться специальные адреса, назначенные IANA (стандарты RFC 1918 и RFC 1597):
- 10.0.0.0—10.255.255.255;
- 172.16.0.0—172.31.255.255;
- 192.168.0.0—192.168.255.255.
Такие адреса называют частными, внутренними, локальными или «серыми»; эти адреса не доступны из сети Интернет. Необходимость использовать такие адреса возникла из-за того, что при разработке протокола IP не предусматривалось столь широкое его распространение, и постепенно адресов стало не хватать. Для решения этой проблемы был разработан протокол IPv6, однако он пока малопопулярен. В различных непересекающихся локальных сетях адреса могут повторяться, и это не является проблемой, так как доступ в другие сети происходит с применением технологий, подменяющих или скрывающих адрес внутреннего узла сети за её пределами — NAT или прокси дают возможность подключить ЛВС к глобальной сети (WAN). Для обеспечения связи локальных сетей с глобальными применяются маршрутизаторы (в роли шлюзов и файрволов).
Конфликт IP адресов — распространённая ситуация в локальной сети, при которой в одной IP-подсети оказываются два или более компьютеров с одинаковыми IP-адресами. Для предотвращения таких ситуаций и облегчения работы сетевых администраторов применяется протокол DHCP, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP.
LAN и VPN
Связь с удалённой локальной сетью, подключенной к глобальной сети, из дома/командировки/удалённого офиса часто реализуется через VPN. При этом устанавливается VPN-подключение к пограничному маршрутизатору.
Особенно популярен следующий способ организации удалённого доступа к локальной сети:
- Обеспечивается подключение снаружи к маршрутизатору, например по протоколу PPPoE, PPTP или L2TP (PPTP+IPSec).
- Так как в этих протоколах используется PPP, то существует возможность назначить абоненту IP-адрес. Назначается свободный (не занятый) IP-адрес из локальной сети.
- Маршрутизатор (VPN, Dial-in сервер) добавляет proxyarp — запись на локальной сетевой карте для IP-адреса, который он выдал VPN-клиенту. После этого, если локальные компьютеры попытаются обратиться напрямую к выданному адресу, то они после ARP-запроса получат MAC-адрес локальной сетевой карты сервера, и трафик пойдёт на сервер, а потом и в VPN-туннель.
Оборудование локальных сетей
Оборудование ЛВС может быть активным или пассивным.
К пассивным элементам относятся: кабель, короб, коммутационные устройства такие как шкафы, Patch-panel, розетки, коммутационные шнуры.
От надежности этих устройств и от правильности монтажа зависят качество и долговечность всей ЛВС.
К активному оборудованию ЛВС относятся: сетевые адаптеры, выполняющие функцию присоединения пользователя к ЛВС, поддерживающими обмен данными между ПК и средой передачи данных ЛВС. Кроме этого, сетевой адаптер выполняет роль временного хранилища данных, буферизацию.
Сетевые карты разделяющиеся на адаптеры для клиентских компьютеров и адаптеры для серверов.
В зависимости от применяемой технологии вычислительных сетей Ethernet, Fast Ethernet или Gigabit Ethernet, сетевые карты обеспечивают скорость передачи данных: 10, 100 или 1000 Мбит/с.
Активное оборудование: мосты, маршрутизаторы и шлюзы в локальной вычислительной сети ЛВС используют специализированное программное обеспечение.
Работа активного оборудования зависит от задач и целей для них поставленных. Со временем цели достигаются, задачи меняются, возрастают скорости и нагрузки, активное оборудование через некоторое время подлежит замене и вновь подбирается новое под совершенно другие задачи.
Компьютерная сеть ЛВС, пассивная ее часть, построенная однажды по всем правилам, прослужит долгие годы. Средний срок правильно смонтированной ЛВС составляет от 10 до 20 лет.
См. также
Литература
Ссылки
Астра-LAN ПАК Астра Модуль коммуникации — Радиоканальная сигнализация
Модуль коммуникации для установки в ППКОП Астра серии Pro, передача информации по сети Internet с TCP/IP на сервер ПАК Астра.
Назначение:
- Модуль предназначен для эксплуатации в составе ППКОП марки «Астра» серии «Pro»: «Астра-8945 Pro», «Астра-812 Pro», «Астра-712 Pro»*.
- Модуль обеспечивает обмен информацией с сервером ПАК Астра по сетевому интерфейсу Ethernet 10/100 Base-T с целью удаленного мониторинга и управления ППКОП через Интернет средствами клиентских сервисов (мобильного и веб приложения, АРМ ПЦО).
- Модуль предназначен для непрерывной круглосуточной работы.
Основные особенности Астра-LAN (ПАК Астра):
- конструкция модуля предусматривает установку в корпус ППКОП серии Pro на базовую плату с помощью разъемов
- поддержка динамической и статической IP- маршрутизации в сетях провайдера Интернет (через роутер)
- используемый протокол передачи в сетях Internet — TCP/IPv4
- настройка IP-стека и серверов DNS – вручную согласно переданным параметрам от провайдера или администратора сети либо автоматически от DHCP-сервера в локальной сети
- программирование параметров модуля осуществляется из меню ППКОП Астра-812 Pro и/или с помощью модуля настройки ПКМ Астра Pro
- выбор источника автоматической синхронизации времени ППКОП:
- ПКМ Астра Pro
- ПАК Астра
- не имеет энергонезависимой памяти для хранения настроек, настройки хранятся в памяти ППКОП
- постоянный контроль целостности канала связи.
Комплектация:
- Модуль коммуникации «Астра-LAN (ПАК Астра)»- 1 шт.
- Плата клеммников (для ППКОП 812 Pro)- 1 шт.
- Руководство по эксплуатации- 1 экз.
Технические характеристики:
количество получателей информации |
1 |
подключение от ППКОП к сетевым устройствам |
кабелем Ehernet «скрестного» типа EIA/TIA-568B |
средний ток потребления ППКОП при установленном модуле возрастает: |
|
габаритные размеры |
65х28х19 мм |
Условия эксплуатации: |
|
— температура |
от -10 до +55°С |
— относительная влажность воздуха без конденсации влаги |
до 93% при +40°С |
Задайте вопрос специалисту о Астра-LAN Модуль коммуникации
Самовывоз из офиса: Пункт выдачи:* Доставка курьером:* Транспортные компании: Почта России:** Срок доставки указан для товара в наличии на складе в Москве
Отзывы о Астра-LAN (ПАК Астра): Оставить отзывВаш отзыв может быть первым!
LAN Technologies | ETHERNET — GeeksforGeeks
Локальная сеть (LAN) — это сеть передачи данных, соединяющая различные терминалы или компьютеры в пределах здания или ограниченной географической области. Связь между устройствами может быть проводной или беспроводной. Ethernet, Token Ring и беспроводная ЛВС с использованием IEEE 802.11 являются примерами стандартных технологий ЛВС.
LAN имеет следующие топологии:
- Звездная топология
- Шинная топология
- Кольцевая топология
- Ячеистая топология
- Гибридная топология
- Древовидная топология
Ethernet: —
Ethernet технология который определен в соответствии со стандартами IEEE 802.3. Причина его широкого использования в том, что Ethernet прост в понимании, внедрении, обслуживании и позволяет реализовать недорогую сеть. Кроме того, Ethernet предлагает гибкость с точки зрения разрешенных топологий. Ethernet обычно использует топологию шины. Ethernet работает на двух уровнях модели OSI, физическом уровне и уровне канала передачи данных. Для Ethernet единицей данных протокола является фрейм, поскольку мы в основном имеем дело с DLL. Чтобы справиться с конфликтами, в Ethernet используется механизм управления доступом CSMA / CD.
Манчестерский метод кодирования используется в Ethernet.
Поскольку мы говорим о стандарте Ethernet IEEE 802.3, следовательно, 0 выражается переходом от высокого уровня к низкому, а 1 — переходом от низкого к высокому. Как в манчестерском кодировании, так и в дифференциальном манчестере скорость передачи данных при кодировании в два раза больше скорости передачи.
Вниманию читателя! Не прекращайте учиться сейчас. Получите все важные концепции теории CS для собеседований SDE с помощью курса CS Theory Course по приемлемой для студентов цене и будьте готовы к работе в отрасли.
Скорость передачи = 2 * Битовая скорость
ЛВС Ethernet состоят из сетевых узлов и соединяющих друг с другом носителей или каналов. Сетевые узлы могут быть двух типов:
Терминальное оборудование данных (DTE): — Обычно DTE — это конечные устройства, которые преобразуют информацию пользователя в сигналы или повторно преобразуют полученные сигналы. Устройства DTE: персональные компьютеры, рабочие станции, файловые серверы или серверы печати, также называемые конечными станциями. Эти устройства являются источником или получателем фреймов данных.Терминальное оборудование данных может представлять собой единое оборудование или несколько единиц оборудования, которые связаны между собой и выполняют все необходимые функции, позволяющие пользователю общаться. Пользователь может взаимодействовать с DTE, или DTE может быть пользователем.
Оборудование передачи данных (DCE): — DCE — это промежуточные сетевые устройства, которые принимают и пересылают кадры по сети. Они могут быть либо автономными устройствами, такими как повторители, сетевые коммутаторы, маршрутизаторы, либо, возможно, модулями интерфейса связи, такими как интерфейсные карты и модемы.DCE выполняет такие функции, как преобразование сигналов, кодирование и может быть частью DTE или промежуточного оборудования.
В настоящее время эти скорости передачи данных определены для работы по оптоволоконным кабелям и кабелям с витой парой:
i) Fast Ethernet
Fast Ethernet относится к сети Ethernet, которая может передавать данные со скоростью 100 Мбит / с.
ii) Gigabit Ethernet
Gigabit Ethernet обеспечивает скорость передачи данных 1000 Мбит / с (1 Гбит / с).
iii) 10 Gigabit Ethernet
10 Gigabit Ethernet — это последнее поколение, обеспечивающее скорость передачи данных 10 Гбит / с (10 000 Мбит / с).Обычно он используется для магистральных сетей в высокопроизводительных приложениях, требующих высоких скоростей передачи данных.
ALOHA
Протокол Aloha был разработан в рамках проекта Гавайского университета. Он обеспечивал передачу данных между компьютерами на нескольких Гавайских островах с использованием сетей пакетной радиосвязи. Aloha — это протокол множественного доступа на уровне канала передачи данных, который предлагает, как несколько терминалов получают доступ к среде без помех или конфликтов.
Существует две разные версии ALOHA:
1.Pure Aloha
Pure Aloha — это децентрализованный и простой в реализации протокол без слотов. В чистом ALOHA станции просто передают кадры всякий раз, когда они хотят отправить данные. Перед передачей он не проверяет, занят канал или нет. В случае одновременной передачи двух или более станций возникает коллизия и кадры уничтожаются. Всякий раз, когда какая-либо станция передает кадр, она ожидает подтверждения от получателя. Если он не получен в течение указанного времени, станция предполагает, что кадр или подтверждение были уничтожены.Затем станция ожидает произвольное время и снова отправляет кадр. Эта случайность помогает избежать большего количества столкновений. Эта схема хорошо работает в небольших сетях, где нагрузка невелика. Но в сильно загруженных сетях эта схема плохо работает. Это привело к развитию Slotted Aloha.
Для обеспечения чистого алоха: его пропускная способность и скорость передачи кадра подлежат прогнозированию.
Для этого сделаем предположение:
i) Все кадры должны быть одинаковой длины.
ii) Станции не могут генерировать кадр при передаче или попытке передать кадр.-1
= 0,184 Это означает, что в Pure ALOHA только около 18,4% времени используется для успешной передачи.
2. Щелевой Aloha
Он очень похож на Pure Aloha, отличается только способом передачи. Вместо того, чтобы передавать прямо во время запроса, отправитель ждет некоторое время. В режиме ALOHA со слотами время общего канала делится на дискретные интервалы, называемые слотами и . Станции имеют право отправлять фрейм только в начале слота, и отправляется только один фрейм на слот.Если какая-либо станция не может разместить кадр на канале в начале временного интервала, она должна дождаться начала следующего временного интервала. По-прежнему существует вероятность коллизии, если две станции попытаются отправить в начале одного и того же временного интервала. Но все же количество возможных столкновений значительно сокращается, и производительность становится намного лучше по сравнению с Pure Aloha.
Коллизия возможна только для текущего слота. Следовательно, Vulnerable Time — это Tt.-1 = 1 / е = 0,368 Максимальная эффективность в щелевом ALOHA составляет 36,8%.
Ссылка на изображение: Википедия, Мюнхенский технический университет
Ссылки:
https://www.cisco.com/c/en/us/tech/lan-switching/ethernet/index.html
https: // en .wikipedia.org / wiki / Ethernet
Авторы этой статьи: Sheena kohli и Abhishek Agrawal
Протоколы локальной сети, привязки, API
Описание сетевых протоколов
NetBeui / NetBios
(Спортак, стр 380-81 / Минаси, стр.80)IBM изначально создавала NetBIOS как сетевой протокол. Затем они добавили функциональность (расширили ее) и переименовали ее в NetBEUI (NetBIOS Extended User Interface).
В конце 1980-х годов NetBEUI был разделен: NetBIOS стал универсальным сетевым API, а NetBEUI стал транспортным протоколом.
NetBEUI — это быстрый и эффективный транспортный протокол — отличный выбор для небольших рабочих групп, использующих одноранговые сети или небольшие сети клиент / сервер.
NetBEUI — это протокол только для подсети — он не может быть маршрутизирован (не имеет сетевого протокола).
Считается родным протоколом для NT.
TCP / IP
(Минаси, Глава 14 / Эндрюс, стр 939-955)Введение
TCP Suite — рабочий протокол Интернета, предназначенный для соединения как похожих, так и разнородных сетей (Minasi, стр. 81) в глобальные сети.
Цели проектирования (в дополнение к независимости хоста) Minasi, стр. 835):
- Хорошее восстановление после сбоя
- Обработка высокой частоты ошибок
- Подсети добавляются на лету
- Низкие накладные расходы (маленькие и простые)
TCP / IP теперь все чаще используется и для небольших сетей, отчасти потому, что он пользуется широкой поддержкой.
Сравните TCP / IP с немаршрутизируемыми протоколами, такими как NetBEUI. В каждом сегменте сетей Ethernet и Token LAN каждая станция слышит каждое сообщение.
Хорошо, но разве не каждая станция, на которой работает tcp / ip, слышит каждое сообщение от всех других станций в своем «сегменте»? а разве не в их «подсети»?
Однако TCP / IP является маршрутизируемым протоколом (как и ipx / spx, x.25 и TP4).
Какой протокол это делает? Это должен быть IP ?:
На маршрутизаторе протокол IP распаковывает пакет (Ethernet / Token Ring / ArcNet) и переупаковывает его в собственный формат IP (фиксированный 20-байтовый заголовок спереди — еще до 40 бит заголовка после данных , сжатый для транспортировки.В пункте назначения — НЕТ, в маршрутизаторе, а не в пункте назначения — данные распаковываются и «повторно упаковываются» для архитектуры пункта назначения.
Должны ли источник и место назначения иметь одинаковую архитектуру? Т.е. Ethernet-Ethernet и никогда не токен-кольцо-Ethernet?
Нет, набор протоколов TCP / IP разработан так, чтобы не зависеть от каких-либо конкретных носителей, топологии или сетевой архитектуры.
IP-адреса
32-битных числа, сгруппированных в 4 группы по 8 бит.Таким образом, это четырехзначное число октетов, которое иногда называют просто четырехзначным числом, поскольку оно также представляет собой четырехзначное десятичное число.
00000000 | 00000000 | 00000000 | 00000001 | До 256 комбо по 8 бит |
0 | 0 | 0 | 1 | |
11111111 | 11111111 | 11111111 | 11111111 | |
255 | 255 | 255 | 255 | 256 в 4-й степени или 2 в 32-й степени = 4.3 миллиарда комбо |
Сетевые классы и IP-адреса
(Минаси, стр. 844, рис. 14.6)Первая четверка | Вторая четверка | Третья четверка | Четвертая четверка | Использование |
0XXXXXXX AAAAAAAA | LLLLLLLL | LLLLLLLL | LLLLLLLL | Класс A [0-126] 127 Сети класса A. Каждый с возможными 16 миллионами адресов хоста (224) |
01111111 | Зарезервировано [127], адрес обратной связи.Только один, на который потрачено 24 миллиона адресов. | |||
10XXXXXX AAAAAAAA | AAAAAAAA | LLLLLLLL | LLLLLLLL | Class B [128-191] Каждая из 16 384 сетей класса B получает 60%, 535 адресов узлов |
110XXXXX AAAAAAAA | AAAAAAAA | AAAAAAAA | LLLLLLLL | Class C (192-223) До 254 хостов в 2097152 сетях класса C |
1110XXXX | Зарезервированные адреса многоадресной рассылки [224-239] | |||
1111XXXX | Зарезервированные, экспериментальные адреса [240-255] |
L = местное назначение
A = назначается сетевой картой
Сетевые адреса для упражнений
Адрес | Назначение |
127.0.0.1 | Обратная связь с текущим хостом |
192.168.10.0 | Сетевой номер |
192.168.10.1 | Шлюз по умолчанию (маршрутизатор) |
192.168.10.2 | Сервер, A_Domain |
192.168.10.3 -192.168.10.10 | Вручную или динамически назначается рабочим станциям в A_Domain |
192.168.10.12 | Сервер, B_Domain |
192.168.10.13 -192.168.10.30 | Вручную или динамически назначается рабочим станциям в B_Domain |
192.168.10.255 | IP-широковещательный адрес (все двоичные) |
Подсеть
Сегмент сети — это физическое разделение, выделенное коммутаторами / маршрутизаторами. Все это означает, что это зона вещания, т.е. трансляции будут идти на весь сегмент сети.
Подсеть — это логический метод организации IP-сетей (я полагаю, также IPX).Вы можете иметь несколько подсетей, работающих даже на одном концентраторе.
Пример: В Ньюпорте все ПК находятся на 155.42.140.x, а все Mac — на 155.42.139.x. Не имеет значения, что Mac и ПК могут располагаться рядом друг с другом и быть подключены к одному и тому же концентратору. Маршрутизатор в шкафу знает, что эти две подсети являются локальными, и обрабатывает обмен между ними.
Маска подсети — это число, которое определяет, какая часть IP-адреса относится к сети (подсети), а какая — к хосту (узлу).
Назначение IP-адресов
IP-адреса можно назначить машинам вручную с помощью сетевого апплета в Win9x и NT.
Когда адреса назначаются вручную, они называются статическими IP-адресами.
В более крупных сетях 254 адреса, доступные для лицензии класса C, недостаточны для предоставления IP-адреса каждому рабочему месту, поэтому хосты, которые фактически не подключены к Интернету, используют IP-адреса частных сетей.
Стандартные адреса частной сети (которые не передаются маршрутизаторами) представляют собой стандартные диапазоны адресов, которые любая сеть может назначать хостам, не подключенным к Интернету.
Причины использования адресов частных сетей в наших сетях:
- Оборудование и программное обеспечение знают о них и облегчают транзакции
- Вероятно, невозможно позволить случайной информации блуждать в Интернете.
Адреса частных сетей
От | Кому |
10.0.0.0 | 10.255.255.255 |
172.16.0.0 | 172,31.255,255 |
192.168.0.0 | 192.168.255.255 |
Динамически назначаемые IP-адреса (DHCP)
(Минаси, стр 912-938)Динамически назначаемые IP-адреса имеют два преимущества перед статическими адресами:
- Им удобнее администрировать
- Они максимально увеличивают использование организацией своего пула IP-адресов в Интернете
Сервер, на котором запущен протокол динамической конфигурации хоста (DHCP), динамически назначает IP-адреса клиентам.
DHCP НЕ связывает имена хостов с IP-адресами. Это работа DNS и WINS
Настройка DHCP на сервере NT
- Панель управления> Сеть> Службы> Добавить> Выбрать Microsoft DHCP> ОК
- (Дайте ему NT CD для чтения файлов)
- OK, чтобы «Измените любые IP-адреса ваших сетевых адаптеров на статические.
- Закрыть
- Создать область (можно создать несколько областей для соответствия подсетям)
- Сделайте резервирование для машин, которым нужны фиксированные IP-адреса (например, pdc, bdc, почтовые и http-серверы)
- Глобальные параметры DHCP
Настроить WINS
044 сервера WINS / NBNS (192.168.10.2) — (НБНС — ??)
046 Тип узла WINS / NBT (0x8) — (NBT или NetBT — NetBIOS поверх TCP / IP) - Параметры области DHCP
Настроить локальный шлюз Маршрутизатор
(IP-адрес для локального шлюза)
Необходимые настройки на рабочей станции
- TCP / IP> Свойства> IP-адрес> Получить IP-адрес автоматически
- TCP / IP> Свойства> Конфигурация WINS> Вместо статического IP-адреса для WINS-сервера DHCP может предоставить рабочей станции IP-адрес для своего WIN-сервера (флажок «Использовать DHCP для WINS»).
Как это работает? См. Minasi, p.933.
Четыре шага для получения клиентом IP-адреса от DHCP-сервера:
- Клиент передает DHCPDISCOVER (с использованием UDP — User Datagram Protol — соединение без сокета, поскольку у клиента еще нет IP-адреса для соединения с сокетом)
- Сервер (ы) отвечают DHCPOFFERS (IP-адреса и время аренды)
- Клиент выбирает наиболее привлекательные и отправляет DHCPREQUEST для подтверждения.
- Сервер отправляет DCHPACK (ACK — подтверждение)
Пакет обновления 4 вносит не менее 6 улучшений в службу DCHP.
Необходимо создать резервную копию базы данных DCHP, чтобы, если машина DCHP купит ферму, можно было установить и запустить другую.
Доменные имена и WINS (служба имен в Интернете Windows)
Поскольку IP-адреса — это не самая простая вещь для запоминания и, действительно, поскольку они могут постоянно меняться, мы связываем словесную систему именования с фактическими IP-адресами, необходимыми сетевым протоколам для установления связи между компьютерами и сетями.
Имя Разрешение
До WINS
DNS-сервер
WINS (служба именования в Интернете Windows)
WINS распознается только программным обеспечением MS, поэтому он работает для разрешения внутри вашей сети / интрасети (Минаси, стр. 939), но, вопреки своему названию, он не работает для адресов за пределами вашей сети / интрасети — например, в Интернете. Для этого вам понадобится DNS.
WINS обеспечивает разрешение имен для имен NetBIOS в маршрутизируемой среде, в то время как задача DNS обеспечивает разрешение имен для имен WinSock в маршрутизируемой среде.(Минаси стр.939).
См. Минаси, стр. 938-955 для полного обсуждения WINS.
Схема пакета протоколов TCP / IP
См. Эндрюс, стр. 944).
Розетки
Сокеты относятся к прикладному уровню OSI.
(См. Схему пакета протоколов TCP / IP, Эндрюс с.944).
Сокеты — это соединения между программами на одном компьютере и программами на другом компьютере. У них есть три части:
UDP — это протокол без установления соединения, он используется для широковещательной рассылки сообщений, когда ответ не требуется.Примером приложения для UDP является отображение сетевых дисков. Исправление ошибок не выполняется UDP, это должно быть обеспечено приложением, использующим его.
Исправление ошибок
Коррекция ошибок отображается на транспортном уровне OSI)
(См. Схему пакета протоколов TCP / IP, Эндрюс с.944).
IP — это протокол маршрутизации, TCP — это протокол соединения, что означает, что он предназначен для обеспечения сквозной целостности.
TCP использует AKS и NAK, чтобы гарантировать, что все пакеты доставляются и доставляются в неповрежденном состоянии.Он использует контрольную сумму заголовка IP, чтобы определить, является ли пакет хорошим.
Разрешение адреса
Address Resolution относится к сетевому уровню OSI)
(См. Схему пакета протоколов TCP / IP, Эндрюс с.944).
Аббревиатура | Протокол | Назначение |
ARP | Протокол разрешения адресов | Преобразует (логические) IP-адреса в физические сетевые адреса, т.е.е. MAC-адреса. |
РАРП | Протокол разрешения обратного адреса | Преобразует физические адреса (MAC) в (логические) IP-адреса. |
DLC (управление каналом передачи данных)
(Минаси, стр.81)Часто используется сетями Token-Ring, чтобы заставить свои рабочие станции ПК взаимодействовать со шлюзами мэйнфреймов, многие (но не все) из которых требуют DLC.
Также используется для связи с сетевыми принтерами. Например. Используйте DLC для управления лазерным принтером, подключенным непосредственно к сети с помощью карты сервера печати JetDirect (сетевого интерфейса).
Поддерживается NT.
IPX / SPX (межсетевой обмен пакетами / последовательный обмен пакетами)
(Минаси, стр.81)«Самый популярный тип локальной сети в мире — это Novell Netware». (Минаси, стр.81)
Поддерживается NT, начиная с NT 4. (как часть NetWare Compatible Services.
Подобно TCP / IP, IPX является маршрутизируемым и пользуется широкой поддержкой, но TCP / IP обеспечивает подключение к Интернету.
Несколько транспортных штабелей
Загрузка более одного протокола за один раз позволяет подключаться к различным серверам (Novell / MS), шлюзами мэйнфреймов и маршрутизаторам (интернет-почта).
Пример: сетевой стек NT:
Сетевые API Интерфейс транспортного драйвера (TDI) |
(Sportack, рисунок 21.10, стр.380)
Сокращение | Протокол | Назначение | Примечания |
NDIS | Спецификация интерфейса сетевого драйвера | Интерфейс между канальным уровнем и (сетевым) (транспортным) уровнем. | Microsoft |
ODI | Открытый интерфейс передачи данных | Интерфейс между канальным уровнем и (сетевым) (транспортным) уровнем. | Novell Наиболее доступный не загружается высоко |
TDI | Интерфейс транспортного драйвера | Делает API, такие как Winsock и NetBios, независимыми от протокола |
Привязки связывают программный драйвер сетевой карты с транспортным протоколом сети.
Таким образом, один драйвер может быть записан в соответствии со стандартом интерфейса и затем может взаимодействовать с любым транспортным протоколом более высокого уровня.
(Минаси, стр.84)Интерфейс прикладного программирования. Примитивные команды, которые используются программистами для доступа к службам (сетевой) операционной системы. Примеры:
API | Описание |
NetBIOS | «Собственный» сетевой API Microsoft. Набор из 18 команд. |
Сокеты TCP / IP | Предпочтительный API для работы через Интернет.На ПК и в NT используемый стандарт называется WinSock. |
Розетки Novell | API Novell |
Протокол Ethernet — обзор
13.1.1.3 Мост
В предыдущем разделе мы упоминали, что коммутатор уровня 2 является мостом. Функция сетевого моста состоит в том, чтобы объединить два сетевых сегмента или разделить одну сеть на два отдельных сетевых сегмента или LAN. Обычно две сети могут использовать один и тот же протокол, например протокол Ethernet, но это не ограничивается одним и тем же протоколом для двух сетей.Исторически сложилось так, что мост может иметь только два порта Ethernet, подключенных к каждому сегменту сети. Однако, поскольку коммутатор уровня 2 аналогичен мосту, многие поставщики коммутаторов могут предоставить мост с более чем двумя портами. Один из самых популярных типов мостов — это мост Ethernet. Он может преодолеть некоторые препятствия, присущие протоколу Ethernet, за счет управления потоком данных между различными сегментами сети. Когда мост подключен к сети Ethernet, его функция — сделать сетевое устройство прозрачным.Прозрачный мост — это метод моста для эффективной маршрутизации трафика данных и управления им. Прозрачный мост имеет четыре режима работы:
- •
Фильтрация кадров или пакетов
- •
Пересылка пакетов
- •
Широковещательные и обучающие адреса
Разрешение цикла7
Концепция прозрачного моста состоит в том, чтобы сначала проверить входящий поток данных адреса управления доступом к среде (MAC) для пункта назначения пакета, а затем сравнить его с MAC-адресом назначения с таблицей пересылки MAC-адресов.Если адрес назначения существует в таблице пересылки, он отправит эти пакеты на устройство назначения. В противном случае он будет транслировать пакет данных на все устройства и слушать ответ целевого устройства. Другими словами, мост начал поиск устройства назначения в сети. Как только устройство назначения ответит на широковещательный сигнал, мост добавит MAC-адрес устройства назначения в свою таблицу пересылки и будет передавать пакеты устройству назначения.Время трансляции будет установлено на определенный интервал. Если время широковещательной передачи истекло и ни одно устройство назначения не ответило на широковещательный сигнал, запись моста в базе данных фильтрации станет недействительной (см. Рисунок 13.7).
Рисунок 13.7. Прозрачный мост в сети Ethernet.
Причина широковещательной передачи и прослушивания MAC-адреса заключается не только в том, чтобы узнать о новых устройствах, подключенных к сети, но и в обновлении таблицы пересылки из-за того, что существующие устройства время от времени перемещаются (см. Рисунок 13.8).
Рисунок 13.8. Прозрачный мост обновляет таблицу переадресации.
Все устройства, подключенные к сети, имеют уникальный MAC-адрес. Это отпечаток любого физического оборудования или устройства. Вот почему иногда его также называют аппаратным или физическим адресом. Не имеет значения, является ли это сетевой картой (NIC), хост-сервером, принтером, коммутатором, концентратором, диском хранения или даже самим мостом, все они имеют этот адрес. Именно этот адрес мост может отслеживать между разными локальными сетями.
Одна вещь, которую мы должны помнить, это то, что при отправке и получении устройств в одном сегменте сети эта переадресация не происходит. Это снижает общую перегрузку сети. Короче говоря, мост будет возникать только между двумя сегментами сети. Однако, если устройство-адресат не получает качественный сигнал на большом расстоянии, мост повторно передает пакеты.
Для правильной и эффективной работы моста во всех сетях не должно быть петель.Следовательно, прозрачный мост будет включать в себя процесс разрешения петель. Принцип процесса разрешения цикла довольно прост для понимания; процесс изучит топологию сети всех сетевых устройств, которые были соединены мостом, и вычислит связующее дерево сети. Связующее дерево — это подмножество топологии, которая связывает все сетевые устройства без каких-либо петель. Протокол связующего дерева (STP) определяется стандартом IEEE 802.1D. Фактически, этот протокол является одной из технологий маршрутизации для решения проблемы сетевых петель с помощью адаптивной и динамической маршрутизации.Мы подробно обсудим STP и маршрутизацию в следующем разделе.
Мост также может взаимодействовать с различными типами физических сетей или сред, такими как проводные и беспроводные сети, такие как 100Base-T и WiFi (см. Рисунок 13.9).
Рисунок 13.9. Мост между разными типами сегментов сети.
Мост может не только присоединиться к нескольким сегментам сети, но также разделить большую сеть на несколько меньших сетей, что может уменьшить количество сетевых устройств, конкурирующих за привилегии передачи (см. Рисунок 13.10).
Рисунок 13.10. Разделите сеть большой компании на два сетевых сегмента.
Мы часто используем мосты для разделения внутренних групп для крупного предприятия или государственного агента, чтобы улучшить производительность сети. Например, если продавцы используют iOS для своих беспроводных iPad, а сотрудники отдела исследований и разработок применяют системы Linux для веб-хостинга, мост может предоставить раздел для разделения трафика между этими двумя внутренними группами.
Таким образом, сетевой мост не может обрабатывать какой-либо сетевой протокол выше, чем протокол Link Layer Control (LLC).Это похоже на неуправляемый коммутатор, который не принимает никаких IP-адресов и сетевых команд. Вы не можете «пинговать» его. Для сетевой модели TCP / IP (см. Раздел 13.2) сетевой мост может взаимодействовать только с протоколом разрешения адресов (ARP), протоколом обнаружения соседей (NDP) и Open Shortest Path First (OSPF). Независимо от того, сколько портов доступно, мост может предоставить только один порт для пересылки пакетов, а другой — для распределения пакетов. С точки зрения сети, мост имеет только один сетевой интерфейс.
Мост не поддерживает пути маршрутизации, но может передавать пакеты на основе своего MAC-адреса назначения. Вы можете добавить в сеть столько сетевых мостов, сколько хотите, но вы не можете растягивать расширение сетевого сегмента за пределы сетевого моста. Например, на рисунке 13.8, если оба моста 1 и 2 были подключены к порту 2, порт 1 моста 1 не может быть подключен к порту 1 моста 2. Если это так, таблицы пересылки обоих мостов 1 и 2 будут не работает должным образом. Поскольку порт хранится в таблице переадресации MAC-адресов, его можно рассматривать как логическую часть моста, а не как физическую.Если дополнительные порты были обнаружены мостом, они будут автоматически настроены в таблице пересылки. Ими никто не управляет. Если операционная система Windows, сетевой мост будет программным или виртуальным сетевым интерфейсом, который расширяет две или более разных сетей. Обычно мост сохраняет входящие кадры в буфер и предпринимает последующие действия на основе таблицы пересылки MAC-адресов. Следовательно, пропускная способность моста будет меньше, чем у ретранслятора.
Как правило, мост будет дороже повторителя или концентратора, но будет дешевле коммутатора или маршрутизатора.Обычно цена беспроводного моста корпоративного уровня варьируется от 500 до нескольких тысяч долларов.
Какие протоколы LAN являются наиболее распространенными?
LAN (локальная сеть) — это проводное соединение, обеспечивающее высокую скорость передачи данных в пределах небольшой географической области. По сравнению с WAN, LAN дешевле и следует меньшему количеству протоколов при пересылке любых данных. Наиболее часто используемые протоколы LAN:
Ethernet:Ethernet был разработан Xerox в 1970-х годах как член IEEE 802.3 стандарта. Первоначально он предназначался для тестирования с использованием коаксиальных кабелей, однако расширенные протоколы позволили локальной сети Ethernet работать по специальным кабелям с витой парой или оптоволоконным кабелям.
Являясь наиболее часто используемым протоколом в любом устройстве с поддержкой локальной сети, на этом уровне видны максимальные инновации. Ethernet продолжает развиваться, обеспечивая большую скорость и улучшая свои функциональные возможности. Как и все локальные сети, он также ограничен физическим уровнем модели OSI.
Протокол Token Ring:Когда устройства соединены в кольцевой или звездообразной топологии, в игру вступает протокол Token Ring.Этот протокол защищает сеть от конфликтов данных, предотвращает любую потерю данных или перегрузку при передаче с помощью токен-системы передачи данных. Этот протокол передает один или несколько токенов от узла к узлу соединения между устройствами.
Только хост, присутствующий в топологии и имеющий один токен, может отправлять данные. Когда получение данных подтверждается, токен, удерживаемый устройством, высвобождается, и устройство, которое получало данные, получает токен и может отправить данные на другой хост.
FDDI (Волоконно-распределенный интерфейс данных):Протокол FDDI соответствует стандартам ANSI и ISO, которые используют оптоволокно для быстрой передачи данных. Когда для передачи данных вместо волокна используется медь, это называется CDDI (интерфейс передачи данных по медному кабелю). Это может покрыть до 200 километров.
Помимо покрытия большой географической зоны, FDDI может поддерживать тысячи устройств, подключенных друг к другу. FDDI состоит из 2 токен-колец: первичного и вторичного.Если первичное кольцо прекращает передачу, вторичное кольцо действует как резервное.
Сетевые протоколы— LAN 101: Основы сетевых технологий
Сетевые протоколы
Несколько лет назад вторым по важности выбором, который вы должны были сделать при создании сети, был какой сетевой протокол использовать, поскольку сетевой протокол влияет на типы компьютеров, к которым ваша сеть может подключаться. Сегодня выбор в значительной степени был сделан за вас: TCP / IP заменил другие сетевые протоколы, такие как IPX / SPX (используется в более старых версиях Novell NetWare) и NetBEUI (используется в старых версиях Windows и DOS. одноранговые сети и с Прямое кабельное соединение ), потому что его можно использовать как для подключения к Интернету, так и для подключения к локальной сети.TCP / IP — универсальный протокол, который могут использовать практически все ОС.
Хотя протоколы передачи данных, такие как Ethernet, требуют определенного типа оборудования, сетевые протоколы являются программными и могут быть установлены или удалены с любого компьютера в сети в любое время при необходимости. В следующей таблице приведены различия между этими протоколами.
Обзор сетевых протоколов и пакетов | ||
---|---|---|
Протокол | Лучше всего использовать для | Заметки |
TCP / IP | Большинство сетей на базе Windows, а также Linux, UNIX, Mac ОС и другие сети | Набор собственных протоколов для Windows 2000 и более поздних версий, Novell NetWare 5.x и выше, Linux, UNIX и Mac OS. Также используется для коммутируемого доступа в Интернет. |
IPX / SPX | Сети Novell 4.x и более ранние версии | Используется NetWare 5.x только для определенных специальных функций. |
NetBIOS | Старая версия Windows для рабочих групп или одноранговых сетей на основе DOS | Простейший протокол. Он не может быть маршрутизирован между сетями, а также используется с прямым кабельным подключением, «сетевым» через USB, параллельный или последовательный порты. |
Все компьютеры в любой данной сети должны использовать один и тот же сетевой протокол или набор протоколов для связи друг с другом.
IP и TCP / IP
IP означает Интернет-протокол ; это сетевой уровень набора протоколов (или набора протоколов), разработанный для использования в Интернете и широко известный как TCP / IP.
Позже протоколы TCP / IP были приняты в ОС UNIX. Сейчас они стали наиболее часто используемым набором протоколов в локальных сетях ПК. Практически каждая ОС с сетевыми возможностями поддерживает TCP / IP и постепенно вытесняет все другие конкурирующие протоколы.Novell NetWare 6 и новее, Linux, Windows XP и новее используют TCP / IP в качестве собственного сетевого протокола.
TCP / IP: LAN и коммутируемые сети
TCP / IP, в отличие от других сетевых протоколов, перечисленных в предыдущем разделе, также является протоколом, используемым людьми, которые никогда не видели NIC. Люди, которые выходят в Интернет через модемы (в некоторых старых версиях Windows это называется коммутируемой сетью), используют TCP / IP точно так же, как и те, чей доступ в Интернет осуществляется через их существующие локальные сети.Хотя в обоих случаях используется один и тот же протокол, настройки сильно различаются.
В следующей таблице перечислены различия, с которыми вы, вероятно, столкнетесь. Если вы выходите в Интернет с помощью модемов и локальной сети, необходимо убедиться, что свойства TCP / IP для модемов и локальных сетей установлены правильно. Вам также может потребоваться изменить настройки вашего браузера, чтобы указать, какой тип подключения вы используете. В таблице приведены общие рекомендации; ваш интернет-провайдер или сетевой администратор может предоставить вам конкретную информацию.
Свойства TCP / IP по типу подключения: Обзор | |||
---|---|---|---|
Вкладка свойств TCP / IP | Настройка | Доступ к модему (адаптер удаленного доступа) | Доступ к локальной сети (сетевая карта) |
IP-адрес | IP-адрес | Автоматически назначается интернет-провайдером | Указывается (получает значение от сетевого администратора) или автоматически назначается DHCP-сервером в сети. DHCP-серверы часто встраиваются в шлюзы и маршрутизаторы. |
Конфигурация WINS | Включение / отключение разрешения WINS | Отключено | Укажите сервер или включите DHCP, чтобы разрешить NetBIOS через TCP / IP. |
Шлюз | Добавить шлюз / Список шлюзов | Автоматически назначается интернет-провайдером | IP-адрес шлюза, используемого для подключения локальной сети к Интернету. |
Конфигурация DNS | Включение / отключение домена хоста поставщиком услуг Интернета | Автоматически назначается | Включено, с указанием хоста и домена (получить значение от сетевого администратора). |
Как видно из этой таблицы, правильные настройки для доступа к Интернету из локальной сети и настройки удаленного доступа (модема) почти всегда полностью различаются. В общем, лучший способ наладить правильную работу коммутируемого сетевого подключения — использовать программное обеспечение автоматической настройки вашего интернет-провайдера. Обычно он входит в комплект программного обеспечения для регистрации вашего интернет-провайдера. После того, как установка заработает, просмотрите свойства и запишите их для дальнейшего использования при устранении неполадок.
IPX
Набор протоколов IPX (часто называемый IPX / SPX) — это собирательный термин для частных протоколов, созданных Novell для своей ОС NetWare.Несмотря на то, что Novell основывается на некоторых протоколах TCP / IP, в частном порядке Novell придерживается стандартов протокола IPX. Однако это не помешало Microsoft создать собственный IPX-совместимый протокол для ОС Windows.
Межсетевой обмен пакетами (IPX) — это протокол сетевого уровня, который по функциям эквивалентен IP. Эквивалент пакета TCP — протокол Sequenced Packet Exchange (SPX) , обеспечивающий надежное обслуживание с установлением соединения на транспортном уровне.
Протоколы IPX обычно используются сегодня только в сетях с серверами NetWare, на которых работают более старые версии NetWare. Часто они устанавливаются вместе с другим набором протоколов, например TCP / IP. Novell отказалась от использования IPX для поддержки NetWare и перешла на TCP / IP — вместе с остальной сетевой отраслью — начиная с NetWare 5. NetWare 5 использует IPX / SPX только для специализированных операций. Большая часть продукта использует TCP / IP. NetWare версии 6 и выше использует исключительно TCP / IP.
NetBEUI
Расширенный пользовательский интерфейс NetBIOS (NetBEUI) — это протокол, который использовался в основном в небольших сетях Windows NT, а также в одноранговых сетях на основе Windows для рабочих групп и Windows 9x.Это был протокол по умолчанию в Windows NT 3.1, первой версии этой ОС. Однако более поздние версии по умолчанию используют протоколы TCP / IP.
Разъяснение основ локальной сети Ethernet
Ethernet — это технология, которая обычно используется в проводных локальных сетях (LAN). ЛВС — это сеть компьютеров и других электронных устройств, охватывающая небольшую площадь, например комнату, офис или здание. Это контрастирует с глобальной сетью (WAN), которая охватывает большую географическую область.
Ethernet — это сетевой протокол, который контролирует передачу данных по локальной сети и называется протоколом IEEE 802.3. Протокол развивался и улучшался с течением времени, чтобы передавать данные со скоростью более гигабита в секунду.
Lifewire / Джошуа Сон
Многие люди использовали технологию Ethernet всю свою жизнь, даже не подозревая об этом. Вполне вероятно, что любая проводная сеть в вашем офисе, в банке или дома представляет собой локальную сеть Ethernet. Большинство настольных и портативных компьютеров поставляются со встроенной картой Ethernet и готовы к подключению к локальной сети Ethernet.
Что вам нужно в локальной сети Ethernet
Для настройки проводной локальной сети Ethernet вам потребуется следующее:
- Компьютеры и устройства для подключения : Ethernet подключает любой компьютер или другое электронное устройство к своей сети, если у устройства есть адаптер Ethernet или сетевая карта.
- Сетевые карты в устройствах : Сетевая карта либо встроена в материнскую плату компьютера, либо устанавливается отдельно в устройство.Существуют также USB-версии карт Ethernet, например, внешние ключи. Карта Ethernet известна как сетевая карта. У него есть порты, к которым вы подключаете кабели. Может быть два порта: один для гнезда RJ-45, к которому подключаются кабели неэкранированной витой пары (UTP), и один для коаксиального гнезда на сетевой карте. (Однако коаксиальные соединения встречаются крайне редко.)
- Маршрутизатор, концентратор, коммутатор или шлюз для подключения устройств : Концентратор — это устройство, которое действует как точка соединения между устройствами в сети.Он состоит из нескольких портов RJ-45, к которым вы подключаете кабели.
- Кабели : Кабели UTP (неэкранированная витая пара) обычно используются в локальных сетях Ethernet. Этот кабель похож на тот, который используется в стационарных телефонных аппаратах, но более толстый, с восемью витыми парами проводов разного цвета внутри. Конец обжат разъемом RJ-45, который является увеличенной версией разъема RJ-11, который подключается к стационарному телефону.
- Программное обеспечение для управления сетью : Современные операционные системы, такие как последние версии Windows, Linux и macOS, более чем достаточны для управления локальными сетями Ethernet.Доступно стороннее программное обеспечение, которое предоставляет больше возможностей и лучший контроль.
Как работает Ethernet
Протокол Ethernet требует технических знаний в области компьютерных наук, чтобы полностью понять, как он работает. Вот простое объяснение:
Когда машина в сети хочет отправить данные другому, она определяет носителя, который является основным проводом, соединяющим устройства. Если он бесплатный, то есть никто ничего не отправляет, он отправляет пакет данных по сети, а другие устройства проверяют пакет, чтобы узнать, являются ли они получателем.Получатель потребляет пакет. Если на магистрали есть пакет, устройство, которое хочет отправить, задерживается на несколько тысячных секунды, чтобы повторить попытку, пока оно не сможет отправить.
FAQ
Что такое кабель Ethernet?
Кабели Ethernetявляются основными разъемами, используемыми в сети Ethernet. В локальной сети Ethernet кабели Ethernet будут подключаться напрямую от компьютеров к маршрутизатору / модему, чтобы компьютеры могли общаться друг с другом без использования более широкого Интернета.
Как проложить кабели Ethernet через стены?
Сделайте отверстие в стене и проденьте кабель. Вытяните его через другое созданное пространство, куда вы хотите, чтобы кабель проходил. Кабели Ethernet предназначены для самых разных случаев использования, и, как правило, не требуется никаких специальных мер предосторожности.
Где можно купить кабели Ethernet?
Кабели Ethernetпродаются офлайн и онлайн, от Amazon до Best Buy и повсюду между ними.Если розничный торговец продает электронику, скорее всего, у них тоже будут кабели Ethernet.
Спасибо, что сообщили нам!
Расскажите, почему!
Другой Недостаточно подробностей Трудно понять5 шагов к успешному внедрению LAN
Локальная сеть — или LAN — включает в себя компьютеры и другие устройства, которые вместе подключаются к серверу в определенном месте — будь то офис или коммерческая среда. Устройства используют подключения к локальной сети в бизнесе для совместного использования ресурсов.Вы найдете более одного компьютера, который может подключаться к одному и тому же принтеру в бизнес-среде, и это делается в локальной сети. Мобильные устройства и компьютеры также могут быть подключены таким образом, а локальная сеть может работать для любого количества пользователей. Итак, если у вас есть бизнес с сотней сотрудников, все они могут использовать одно и то же соединение.
Существует множество компонентов, которые позволяют людям подключаться к внутренним серверам, и они состоят из коммутаторов, маршрутизаторов и кабелей, которые соединят всех вместе.Локальная сеть может передавать ваши бизнес-данные гораздо быстрее, чем офисная телефонная линия, но существует ограничение на количество поддерживаемых компьютеров. Также существует ограничение на расстояние, на которое могут передаваться данные. С помощью телефонных линий локальные сети могут также подключаться к другим локальным сетям, и это может быть сделано с помощью радио, спутниковых и телефонных линий.
Это то, что называется глобальной сетью или WAN. Самая большая глобальная сеть в мире — это Интернет, поскольку он соединяет всех и везде, пока есть подключение к Интернету.Наиболее существенное различие между LAN и WAN заключается в том, что в LAN используются провода и кабели, которые могут стать серьезной проблемой и мешать. WAN делает все то же самое, что и LAN, но без каких-либо проводов, о которых нужно беспокоиться.
[dotedLine]
[dotedLine]
Правильный протокол для реализации LAN
В настоящее время существует множество популярных протоколов LAN, наиболее популярным из которых является протокол Ethernet. Есть и другие:
- Token Ring
- Волоконно-распределенный интерфейс данных
- Асинхронный режим передачи
Однако протокол Ethernet является наиболее популярным, и почти каждый бизнес использует этот протокол.Ethernet — это широко распространенный вариант из-за своей простоты и гибкости. Он известен как 4-е измерение, потому что о нем можно говорить как о конкретном протоколе, или он может охватывать множество реализаций Ethernet. Внедрение протокола Ethernet может быть выполнено без особого обучения, и именно поэтому сегодня все больше компаний используют его в качестве основного протокола LAN. Малые и средние предприятия используют протокол Ethernet, но это не означает, что более крупные организации не могут его использовать, тем более что существует три варианта протокола Ethernet: 10 Мбит / с, 100 Мбит / с, 1000 Мбит / с.: 10 Мбит / с,
Требуется талант к локальной сети
Инженеры по локальной сети WAN — это подходящие ИТ-специалисты, если вы хотите внедрить новый протокол или поддерживать существующие протоколы. Они поддерживают локальные и глобальные сети для бизнеса, чтобы обеспечить бесперебойную работу подключения. Для обеспечения постоянного удовлетворения потребностей бизнеса требуется определенный набор навыков, и инженер LAN WAN реализует свои навыки с помощью своего опыта в области телекоммуникаций для максимальной производительности.Эти специалисты по компьютерным сетям работают в тесном сотрудничестве с остальной частью ИТ-команды, чтобы разобраться в сетях
и получить более подробные и подробные знания о LAN или WAN в бизнесе. Им необходимо иметь необходимые общественные и личные навыки для взаимодействия как с компаниями, так и с вопросами, которые исходят от общественности. Большинству инженеров LAN WAN необходимо уметь работать в течение ограниченного времени, и они должны быть максимально внимательны к деталям. Некоторые из необходимых им знаний включают:
- Решение проблем
- Критическое мышление
- Лидерские навыки
Все это будет работать рука об руку, чтобы обеспечить максимально бесперебойную работу всей сети.Выбранный вами инженер LAN WAN также должен уметь использовать опыт, чтобы выяснить, как избежать столкновения с трудностями, с навыками управления, которые позволят им поддерживать производительность команды на высоком уровне.
Пять шагов к успешному внедрению ЛВС
Оборудование
Во-первых, вам нужно подходящее оборудование для настройки ЛВС. Сюда входят:
- Маршрутизатор
- Кабели Ethernet для каждого устройства, которое вы хотите подключить
- Компьютер
- Устройства
- Широкополосное соединение, маршрутизатор и модем (если вы хотите подключиться к Интернету)
Начните с подключить сетевой маршрутизатор и включить его.Если это новый, следуйте инструкциям на коробке, чтобы подключить его и подготовить к использованию.
Подключите первый компьютер
Если ваш маршрутизатор новый, вам необходимо настроить компьютер для подключения к маршрутизатору, и вы можете сделать это с помощью кабеля Ethernet. ПК с Windows должен автоматически предложить вам мастер установки для вашего первого подключения, но вы можете найти его в Центре управления сетями и общим доступом в области настроек под панелью управления. На Mac системные настройки могут содержать эту настройку, и вы можете перейти оттуда.
Настройка Wi-Fi
Мы надеемся, что мастер автоматической настройки проведет вас шаг за шагом через весь процесс, чтобы вы могли подключить Интернет и быть готовым к работе. После того, как у вас работает Wi-Fi, устройства, подключенные к кабелям Ethernet, также смогут работать в Интернете.
Подключение к Интернету
Каждое устройство, подключенное к локальной сети, должно быть настроено с паролями для успешного подключения к Интернету. В противном случае у вас останется половина бизнеса, которая не понимает, почему они не могут получить доступ к Интернету и почему это не работает для них.Убедитесь, что вы защищаете паролем и используете правильные брандмауэры для обеспечения безопасности.
Подключите оставшиеся устройства
Любые принтеры или мобильные устройства, требующие подключения к Интернету, могут быть подключены к локальной сети, чтобы вы могли эффективно использовать их.
Обратитесь за дополнительной помощью, чтобы сделать этот процесс максимально гладким!
Если вы хотите установить локальную сеть по требованию, подумайте, чем может помочь FE. С лучшими инженерами по локальной сети, доступными сейчас, вы можете вести бизнес с хорошим подключением и оставаться эффективным.