Главная » FAQ » Софт
Что такое VLAN?

Влан, он-же VLAN - сокращение от Virtual LAN, которое в свою очередь, тоже сокращение от Virtual Local Area Network.

Суть такая: предположим, две группы пользователей и сервер. Ты хочешь запретить этим двум группам пользователей видеть друг-друга напрямую (например, чтобы к чужим принтерам не лезли), но хочешь, чтобы они видели сервер. В данном случае, "простое" решение выглядит так - для каждой группы юзеров ставится свой собственный свич, а в сервер вторая сетевя карта - группы пользователей друг-друга не видят, а сервер видят. Однако, чтобы перевести пользователя из одной группы в другую нужно идти в аппаратную и ручками переключать проводок. Кроме того, если кому-то из пользователей понадобится дать доступ к, например, сетевому принтеру другой группы пользователей - то в такой конфигурации сети этого уже не сделаешь.

Вариант второй, с VLAN'ами.
Покупается один свич, в поддержкой VLAN. Такой свич может "прикидываться" несколькими логическими свичами, объединяя порты в группы. Соответственно, первой группе пользователей задается виртуальный свич №1, второй группе пользователей - виртуальный свич №2. Сервер, соответственно, может входить в обе этих группы. В результате все работает. Если необходимо разрешить связь между парами машин из разных групп - создается виртуальный свич №3, в который "вгоняются" нужные машины (не "вынимая" их из сооветвтующих виртуальных свичей №1 и №2).

В зависимости от "ума" коммутаторов (и сетевых карт), разделение на группы (виртуальные свичи) может задаваться как по портам свича (т.е. порты с первого по третий в одну группу, порты 4-6 в другую), или по MAC-адресам. Во втором случае (это называется тегированный VLAN, или 802.3q), "виртуальный свич" может быть распределен по нескольким физическим...

В домашнем сетестроении VLAN'ы обычно применяются в вырожденном виде - для каждого пользователя создается собсвенная группа, в которую входит только он сам, и сервер доступа (возможно и другие сервера). Это защищает от распостраненного способа воровства чужих денег подменой IP+MAC пользователем, т.к. он
а) не видит чужого трафика, т.е. не может узнать чужой MAC.
б) свич может контролировать соответсвие MAC-адреса на порту (но это не обязательно поддерживается)

Что такое MAC-aдрес?

MAC-адрес (от англ. Media Access Control — управление доступом к носителю) — это уникaльный шестнaдцaтиричный серийный номер, нaзнaчaемый кaждому сетевому устройству Ethernet, для идентификaции его в сети. Для сетевых устройств этот aдрес устaнaвливaется во время изготовления. Кaждaя сетевaя кaртa имеет уникaльный MAC aдрес, тaким обрaзом онa может зaбирaть пaкеты из сетевого проводa, преднaзнaченные только для нее.
Если бы MAC-aдрес не был уникальным, то нельзя было бы провести рaзличие между двумя стaнциями. Устройствa в сети просмaтривaют сетевой трaфик и ищут свой MAC-aдрес в кaждом пaкете, чтобы определить, должны ли они декодировaть этот пaкет или нет.
MAC-aдресa имеют длину 6 бaйт и обычно зaписывaются шестнaдцaтиричным числом вида 12:34:56:78:90:AB (двоеточия могут отсутствовaть, но их нaличие делaет aдрес более читaбельным). Кaждый производитель Ethernet устройств использует определенный диaпaзон MAC aдресов, который ему отведен. Первые три бaйтa aдресa определяют производителя. RFC-1700 содержит список кодов некоторых производителей.

Что такое NAT (Network Address Translation)?

NAT - способ, по которому можно предоставить нескольким (нескольким сотням) пользователям доступ в интернет с одного реального адреса. Принцип работы:
NAT-Server должен иметь подключение к двум сетям, т.е. иметь два сетевых адреса из разных подсетей. Одну из этиз подсетей (назовем ее приватной) он маскирует от другой (назовем ее интернетом) следйющим образом: когда пользователь приватной сети желает установить соединение с каким-то адресом интернета, он, естественно, посылает на этот адрес IP-пакет, в заголовке которого содержится адрес назначения (принадлежащий интернет) и адрес отправки (принадлежащий приватной сети). NAT-сервер делает при это две вещи: а) запоминает, что такой-то приватный адрес установил соединение с таким-то интернетным адресом, б) заменяет в заголовке пакета адрес отправителя на свой собственный адрес, принадлежащий интернету. Для сервера интернета, с которым устанавливается соединение такой пакет выглядит так, как будто бы соединение устанавливает не сам клиент, а NAT-Server по собственной инициативе. Соответственно, ответ он тоже посылает на настоящий интернетный адрес NAT-Servera. NAT-Server по своей таблице проверят, что с этим сервером хотел связяться приватный клиент, и переправляет пакет ему. Таким образом, для интернета вся приватная сеть выглядит как один компьютер, а для приватной сети все происходит так, как будто NAT-Server вовсе никакой не NAT, а обычный роутер.
Вышеприведенная схема является упрощенной, но в целом отражающей суть дела. Подробнее о NAT можно почитать в документации на русский WinRoute.

Что такое Прокси-сервер (Proxy server)?

Под прокси-сервером в обычно подразумевается просто HTTP-Proxy. Его основная задача схожа с NAT, но ограничивается исключительно протоколом HTTP (обычно умеет еще и FTP). Суть такова: в данном случае клиент приватной сети должен быть настроен для работы с прокси. После настройки (указания InternetExplorer'у адреса прокси) клиент свои запросы шлет не непосредсвенно серверу, с которым хочет связаться, а прокси-серверу, т.е. он явно просит прокси-сервер скачать для него такую-то страничку или файлик. Прокси-сервер самостоятельно скачивает страничку и отдает ее клиенту... при этом копию странички он может временно сохранить у себя, для того, чтобы отдать ее не скачивая из интернета в том случае, если она снова понадобится...

Proxy, естественно, бывают не только для протокола HTTP, и работать могут совершенно по разному. Если не ошибаюсь, то Proxy переводится с компьютерного на русский как "посредник". NAT-Server тоже является прокси, только для протокола IP, а не HTTP.

Что такое VPN (Virtual Private Network)?

VPN - это просто защищенный канал связи, который невозможно (будем оптимистами) перехватить. Обычно реализуется как виртуальная сетевая карта, которая для всех IP-программ выглядит так-же, как и обычная. Все пакеты, которые через нее отправляются, зашифровываются и передаются через открытые (незащищенные) каналя связи в таком виде.
Соединение по VPN обычно является соединением точка-точка, хотя, возможно, существуют и другие реализации.
Применение VPN в домашних сетях - это не способ доступа пользователей в интернет, а способ однозначно пользователя идентифицировать и защитить пользователя от перехвата его паролей добрыми соседями. Еще одно преимущество - возможность пользоваться внутри локальной сети фейковыми (не доступными из интернет) адресами, а для соединения с интернет выдавать пользователями настоящие адреса.

Что такое WINS (Windows Internet Name System)?

Если в сети Microsoft используется протокол TCP/IP, то при обращении к какому-либо компьютеру по его сетевому NetBIOS-имени (как он виден в 'Сетевом Окружении') посылается широковещательный запрос 'А кто тут компьютер с таким-то именем', который приходится обрабатывать всем компьютерам в сети. WINS-сервер - это единый центр обработки таких запросов. Его использование снижает нагрузку на сеть в больших сетях. Кроме того, это единственный способ автоматического поиска компьютеров в других сегментах сети, т.к. широковещательные запросы обычно не проходят через маршрутизаторы.

Что такое DHCP (Dynamic Host Configuration Protocol)?

DHCP расшифровывается как Dynamic Host Configuration Protocol и используется для автоматической конфигурации host'а во время загрузки в сетях TCP/IP, а также для проведения необходимых изменений при присоединения host`a.
Это означает, что Вы можете хранить всю информацию о доступных IP адресах в центральной базе данных (вместе с информацией о маске подсети, шлюзах, DNS серверах и т.д.
Для использования DHCP, а не статических IP адресов, клиенты должны быть определенным образом сконфигурированы. Во время загрузки клиента, посылается BOOTP запрос IP адреса. DHCP сервер предоставляет свободный IP адрес, которым и пользуется клиент до момента выхода из сети.
Пример работы DHCP
Если DHCP клиентом является не настроенная на использование DHCP Windows 2000 и в ней не была отключена опция автоконфигурирования IP, то она попытается найти неиспользуемый IP адрес и присвоить его себе. Если свободный IP не найден, протокол TCP/IP отключается.

Что такое многоадресная (групповая) рассылка?

Многоадресная (групповая) рассылка - это технология, включающая в себя протоколы и инструменты, которые позволяют одному узлу отправлять пакеты одновременно многим получателям по установленным на некоторое время устойчивым каналам связи. Главным преимуществом многоадресной рассылки является снижение загрузки сети по сравнению с широковещательной рассылкой.
Группы многоадресной рассылки
Класс D IP-адресов назначается группе сетевых устройств, которые составляют группу многоадресной рассылки. Четыре старших бита адреса класса D равны 1110. Оставшиеся 28 бит называются идентификатором группы многоадресной рассылки - multicast group ID. Некоторая область адресов класса D зарезервирована Агентством по выделению имен и уникальных параметров протоколов Интернет - Internet Assigned Numbers Authority (IANA) - для специальных целей. Например, диапазон адресов многоадресной рассылки 224.0.0.1 - 224.0.0.255 зарезервирован для использования их протоколами маршрутизации и некоторыми другими низкоуровневыми служебными протоколами.

224.0.0.1 All Systems on this Subnet
224.0.0.2 All Routers on this Subnet
224.0.0.3 Unassigned
224.0.0.4 DVMRP Routers
224.0.0.5 OSPFIGP OSPFIGP All Routers
224.0.0.6 OSPFIGP OSPFIGP Designated Routers
224.0.0.7 ST Routers
224.0.0.8 ST Hosts
224.0.0.9 RIP2 Routers
224.0.0.10-224.0.0.255 Unassigned
Как сделать привязку IP-MAC в UNIX-системе?

Самый простой способ:
Для начала, должен быть установлен arp. В принципе, при установке системы, он ставится по умолчанию. Его присутствие можно проверить командой 'arp'.
Итак, создаем базу соответствия MAC-IP:
В /etc создаем файл ethers:
touch /etc/ethers
Редактируем его любым доступным способом. Можно через Midnight Commander, можно так:
cat > /etc/ethers MAC IP MAC IP MAC IP ...
Закончили редактировать, нажимаем ctrl+d. Теперь вводим комманду:
arp -f /etc/ethers
Все, привязка работает!!! Чтобы все запускалось автоматом при старте системы, прописываем эту строчку в inet.d или rc.local (в /etc/rc.d)

Что такое Port Forwarding?

Port Forwarding - это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором, использующим NAT. Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера в локальной сети.
Такое перенаправление нужно если вы, к примеру, используете пиринговые сети, или хотите развернуть на локальном компьютере сервер с доступом из Интернет. Также перенаправление иногда требуется для многопользовательских игр.
Правила перенаправления портов выглядят примерно так:
Name - имя правила, задаётся любой желаемый параметр
Application Name - один из виртуальных серверов - FTP, HTTP, HTTPS, DNS, SMTP, POP3, Telnet, IPSec, PPTP и пр.
Public Port - на какой порт должны обращаться внешние клиенты
Traffic Type - надо выбрать один из протоколов TCP, UDP или любой (ANY).
IP Address - IP Address компьютера на котором запущен реальный сервер
Private port - порт на котором работает реальный сервер

-->