Самоучитель системного администратора. 5-е изд

ГЛ А В А
5 
Работа в глобальной сети 
В этой главе мы рассмотрим несколько типичных задач, с которыми сталкивается 
каждый администратор, а именно: предоставление доступа к Интернету, защита 
внутренних ресурсов предприятия от внешних угроз, организация связи между 
центральным офисом и филиалами, предоставление доступа мобильным сотрудни-
кам к ресурсам предприятия. Первые две задачи решаются правильной настройкой 
брандмауэра, последние две — путем организации виртуальных частных сетей 
(VPN). 
Организация доступа к ресурсам Интернета 
Сетевая адресация 
Для идентификации узлов Интернета используются IP-адреса. IP-адрес представля-
ет собой четыре числа, разделенные точками (или одно 32-разрядное число, кото-
рое записывается в виде четырех восьмиразрядных чисел, разделенных точками, — 
как кому больше нравится). Нужно сразу отметить, что такая идентификация неод-
нозначная, поскольку IP-адреса могут быть статическими (постоянными) и дина-
мическими. 
Постоянные
(статические) IP-адреса обычно назначаются серверам, а 
динамические
— обычным пользователям. Так что сегодня определенный динами-
ческий IP-адрес может быть назначен одному пользователю, а завтра — другому. 
Поэтому если в случае с аппаратными MAC-адресами еще можно говорить
о какой-то однозначности (и то существуют способы подмены MAC-адресов), то 
IP-адреса по определению однозначными не являются. 
Вот примеры IP-адресов: 127.0.0.1, 192.168.1.79, 111.33.12.99. Как было сказано 
ранее, IP-адрес — это одно 32-разрядное число или четыре 8-разрядных. Возведем 
2 в восьмую степень и получим максимальное значение для каждого из четырех 
восьмиразрядных чисел — 256. Таким образом, учитывая, что некоторые IP-адреса 
зарезервированы для служебного использования, протокол IP может адресовать 
примерно 4,3 млрд узлов. Однако с каждым годом количество узлов во Всемирной 
паутине увеличивается, поэтому была разработана шестая версия протокола IP — 

190 
Глава 5 
IPv6 (если упоминается просто протокол IP, то, как правило, имеется в виду чет-
вертая версия протокола — IPv4). Новый протокол использует 128-битные адреса 
(вместо 32-битных), что позволяет увеличить число узлов до 10
12
и количество
сетей до 10
9
(чуть далее о протоколе IPv6 рассказано более подробно). 
IP-адреса выделяются 
сетевым информационным центром
(NIC, Network Infor-
mation Center). Чтобы получить набор IP-адресов для своей сети, вам надо обра-
титься в этот центр. Но, оказывается, это приходится делать далеко не всем. Суще-
ствуют специальные IP-адреса, зарезервированные для использования в локальных 
сетях. Ни один узел глобальной сети (Интернета) не может обладать таким «локаль-
ным» адресом. Вот пример локального IP-адреса: 192.168.1.1. В своей локальной 
сети вы можете использовать любые локальные IP-адреса без согласования с кем 
бы то ни было. Когда же вы надумаете подключить свою локальную сеть
к Интернету, вам понадобится всего один «реальный» IP-адрес — он будет исполь-
зоваться на маршрутизаторе (шлюзе) доступа к Интернету. Чтобы узлы локальной 
сети (которым назначены локальные IP-адреса) смогли «общаться» с узлами Ин-
тернета, используется NAT (Network Address Translation) — специальная техноло-
гия 
трансляции сетевого адреса
(о NAT подробно рассказано чуть далее). 
Наверное, вам не терпится узнать, какие IP-адреса можно использовать без согла-
сования с NIC? Об этом говорить пока рано — ведь мы еще ничего не знаем о 
клас-
сах
сетей. IP-адреса служат для адресации не только отдельных компьютеров, но и 
целых сетей. Вот, например, IP-адрес сети: 192.168.1.0. Отличительная черта адреса 
сети — 0 в последнем октете. 
Сети поделены на классы в зависимости от их размеров: 
класс A — огромные сети, которые могут содержать 16 777 216 адресов, IP-ад-
реса таких сетей лежат в пределах 1.0.0.0 — 126.0.0.0; 
класс B — средние сети, содержат до 65 536 адресов. Диапазон адресов — от 
128.0.0.0 до 191.255.0.0; 
класс С — маленькие сети, каждая сеть содержит до 256 адресов. 
Существуют еще и классы D и Е, но класс E не используется, а зарезервирован на 
будущее (хотя будущее — это IPv6), а класс D зарезервирован для служебного ис-
пользования (широковещательных рассылок). 
Представим ситуацию. Вы хотите стать интернет-провайдером. Тогда вам нужно 
обратиться в NIC для выделения диапазона IP-адресов под вашу сеть. Скажем, вы 
планируете сеть в 1000 адресов. Понятно, что сети класса С вам будет недостаточ-
но. Поэтому можно или арендовать четыре сети класса С, или одну класса B. Но,
с другой стороны, 65 536 адресов для вас — много, и если выделить вам всю сеть 
класса B, то это приведет к нерациональному использованию адресов. Так что са-
мое время поговорить о 
маске сети
. Маска сети определяет, сколько адресов будет 
использоваться сетью, фактически — маска задает размер сети. Маски полнораз-
мерных сетей классов A, B и C представлены в табл. 5.1. 
Маска 255.255.255.0 вмещает 256 адресов (в последнем октете IP-адреса могут быть 
цифры от 0 до 255). Например, если адрес сети 192.168.1.0, а маска 255.255.255.0,

Работа в глобальной сети 
191 
Таблица 5.1.
Маски сетей классов A, B и C 
Класс сети 
Маска сети 
A 255.0.0.0 
B 255.255.0.0 
C 255.255.255.0 
то в сети могут быть IP-адреса от 192.168.1.0 до 192.158.1.255. Первый адрес 
(192.168.1.0) называется IP-адресом сети, последний — зарезервирован для широ-
ковещательных рассылок. Следовательно, для узлов сети остаются 254 адреса:
от 192.168.1.1 до 192.168.1.254. 
А вот пример маски сети на 32 адреса — 255.255.255.224: 
255 – 224 = 31 + «нулевой» IP-адрес, итого 32. 
Предположим, у нас есть IP-адрес произвольной сети, например 192.168.1.0. Как 
узнать, к какому классу она принадлежит? Для этого нужно преобразовать первый 
октет адреса в двоичное представление. Число 192 в двоичной системе будет вы-
глядеть так:
110
00000. Проанализируем первые биты первого октета. Если они со-
держат двоичные цифры 110, то перед нами сеть класса C. Теперь проделаем то же 
самое с сетью 10.0.0.0. Первый октет равен 10, и в двоичной системе он будет вы-
глядеть так: 
0
0001010. Здесь первый бит — 0, поэтому сеть относится к классу A. 
Опознать класс сети по первым битам первого октета поможет табл. 5.2. 
Таблица 5.2.
Опознание класса сети 
Класс сети 
Первые биты 
A 0 
B 10 
C 110 
D 1110 
E 11110 
Теперь вспомним о специальных зарезервированных адресах. Адрес 255.255.255.255 
является 
широковещательным
. Если пакет отправляется по этому адресу, то он
будет доставлен всем компьютерам, находящимся с отправителем в одной сети. 
Можно уточнить сеть, компьютеры которой должны получить широковещательную 
рассылку, например, таким образом: 192.168.5.255. Этот адрес означает, что пакет 
получат все компьютеры сети 192.168.5.0. 
Вам также следует знать адрес 127.0.0.1. Этот адрес зарезервирован для обозначе-
ния локального компьютера и называется 
адресом обратной петли
. Если отпра-
вить пакет по этому адресу, то его получит ваш же компьютер, т. е. получатель
является отправителем, и наоборот. Этот адрес обычно используется для тестиро-

192 
Глава 5 
вания поддержки сети. Более того, к локальному компьютеру относится любой
адрес из сети класса А с адресом 127.0.0.0. Поэтому при реальной настройке сети 
нельзя использовать IP-адреса, начинающиеся со 127. 
А теперь можно рассмотреть IP-адреса сетей, зарезервированные для локального 
использования. В локальных сетях вы можете задействовать следующие адреса
сетей: 
192.168.0.0 
— 192.168.255.0 
— сети класса С (всего 256 сетей, маска 
255.255.255.0); 
172.16.0.0 — 172.31.0.0 — сети класса B (всего 16 сетей, маска 255.255.0.0); 
10.0.0.0 — сеть класса А (одна сеть, маска 255.0.0.0). 
Обычно в небольших домашних и офисных сетях используются IP-адреса из сети 
класса С, т. е. из диапазона 192.168.0.0–192.168.255.0. Но поскольку назначение 
адресов контролируется только вами, вы можете назначить в своей локальной сети 
любые адреса, например адреса из сети 10.0.0.0, даже если у вас в сети всего 
5 компьютеров. Так что выбор сети — это дело вкуса. Можете себя почувствовать 
администратором огромной сети и использовать адреса 10.0.0.0. 
Введение в IPv6 
IPv6 (Internet Protocol version 6) — новая версия протокола IP, созданная для реше-
ния проблем, с которыми столкнулась предыдущая версия (IPv4) при ее использо-
вании в Интернете — адресов просто стало не хватать. У нового протокола длина 
адреса составляет 128 битов вместо 32-х. 
В настоящее время протокол IPv6 используется в нескольких десятках тысяч сетей, 
а Китай планирует в скором времени полностью перейти на IPv6. 
Преимущества IPv6 (кроме большего адресного пространства) по сравнению с IPv4 
выглядят так: 
возможна пересылка огромных пакетов — до 4 Гбайт; 
появились метки потоков и классы трафика; 
имеется поддержка многоадресного вещания; 
убраны функции, усложняющие работу маршрутизаторов (из IP-заголовка ис-
ключена контрольная сумма, и маршрутизаторы не должны фрагментировать 
пакет — вместо этого пакет отбрасывается с ICMP-уведомлением о превышении 
MTU). 
В IPv6 существуют три типа адресов: одноадресные (Unicast), групповые (Anycast) 
и многоадресные (Multicast): 
адреса Unicast работают как обычно — пакет, отправленный на такой адрес, 
достигнет интерфейса с этим адресом; 
адреса Anycast синтаксически неотличимы от адресов Unicast, но они адресуют 
сразу группу интерфейсов. Пакет, который был отправлен на такой адрес, попа-

Работа в глобальной сети 
193 
дет в ближайший (согласно метрике) интерфейс. Адреса Anycast используются 
только маршрутизаторами; 
адреса Multicast идентифицируют группу интерфейсов — пакет, отправленный 
по такому адресу, достигнет всех интерфейсов, привязанных к группе многоад-
ресного вещания. 
IP-адреса по протоколу IPv6 отображаются в виде восьми групп шестнадцатерич-
ных цифр, разделенных двоеточиями. Вот пример адреса нового поколения: 
1628:0d48:12a3:19d7:1f35:5a61:17a0:765d. Если в IPv6-адресе имеется большое ко-
личество нулевых групп (например, fe50:0:0:0:300:f4ff:fe31:57cf), оно может быть 
пропущено с помощью двойного двоеточия (fe50::300:f4ff:fe31:57cf). Однако такой 
пропуск допускается в адресе только один раз. 
NAT — трансляция сетевого адреса 
Как уже отмечалось ранее, чтобы узлы локальной сети смогли «общаться» с узлами 
Интернета, используется специальная технология 
трансляции сетевого адреса
(NAT, Network Address Translation). Маршрутизатор получает от локального узла 
пакет, адресованный интернет-узлу, и преобразует IP-адрес отправителя, заменяя 
его своим IP-адресом. При получении ответа от интернет-узла маршрутизатор вы-
полняет обратное преобразование, поэтому нашему локальному узлу «кажется», 
что он общается непосредственно с интернет-узлом. Если бы маршрутизатор от-
правил пакет как есть, т. е. без преобразования, то его отверг бы любой маршрути-
затор Интернета, и пакет так и не был бы доставлен к получателю. 
Реализация NAT
средствами службы маршрутизации Windows Server 
Реализовать NAT можно самыми разными способами. Например, обзавестись мар-
шрутизатором Wi-Fi, который и будет выполнять функцию NAT. Это самое про-
стое решение, но оно подойдет только для относительно небольших сетей (конеч-
но, все относительно, и во многом размер обслуживаемой сети зависит от характе-
ристик самого маршрутизатора). Далее мы рассмотрим популярные способы 
реализации NAT, а именно настройку NAT в Windows Server 2016, в Linux, а также 
аппаратное решение задачи. Теоретически NAT можно настроить и в клиентских 
ОС вроде Windows 7/10, но особого смысла мы в этом не видим. Такое решение 
могут себе позволить лишь очень небольшие фирмы, у которых нет выделенного 
сервера. А они, как правило, пойдут по пути минимального сопротивления и вос-
пользуются аппаратным решением — маршрутизатором Wi-Fi — дешево и серди-
то, а самое главное — проще и надежнее, чем создавать маршрутизатор из рабочей 
станции на базе Windows. 
Итак, для настройки NAT в Windows Server 2016 первым делом нужно установить 
роль 
Удаленный доступ
(рис. 5.1). 
При установке этой роли вам будет предложено выбрать службы ролей (рис. 5.2).
В нашем случае нужна только 
Маршрутизация
, но если вы планируете установить

194 

жүктеу/скачать 20,51 Mb.

Достарыңызбен бөлісу: