Использование сети при работе UNIX-системы (8 глава дипломной работы), страница 6

Для таких локальных сетей используются адреса из специальных зарезервированных диапазонов, описанных в RFC 1918:

10.0.0.0 – 10.255.255.255;

172.16.0.0 – 172.31.0.0;

192.168.0.0 – 192.168.255.0

Адреса из данных диапазонов могут назначаться в локальных сетях произвольным образом, однако они не могут иметь прямого выхода на сеть Internet, т.к. не обладают свойством уникальности.

            Если же брандмауэр, отделяющий локальную сеть от Internet, использует технологию маскарадинга, пользователи получают возможность обращаться к его ресурсам так, как это было бы при стандартной маршрутизации между ЛВС и Internet. Технология маскарадинга заключается в том, что при ретрансляции исходящих из ЛВС пакетов брандмауэр подменяет адрес источника в каждом IP-пакете собственным адресом, направляя, таким образом, запросы к серверам Internet от своего имени. Для пакетов, содержащих ответы на запросы, при ретрансляции внутрь локальной сети используется обратная замена адреса получателя – адрес брандмауэра заменяется адресом компьютера в локальной сети. Технология маскарадинга использует достаточно сложные алгоритмы  распознавания получателя при обратной ретрансляции, но несмотря на это имеет ряд ограничений. В частности, она не позволяет обеспечить установление TCP-соединения из открытой сети к TCP-порту, открытому на компьютере в ЛВС. Это означает, что маскарадинг обеспечивает работу сетевых клиентов из ЛВС с серверами в открытом Internet, но не позволяет клиентам из Internet получить доступ к каким-либо ресурсам серверов в закрытой сети. Кроме того, некоторые протоколы прикладного уровня (напр., FTP) требуют установки специализированных модулей ядра, компилируемых при включении функции маскарадинга.

            Чтобы активизировать функцию маскарадинга для всех ретранслируемых пакетах, необходимо установить политику MASQ для цепи forward:

            ipchains –P forward MASQ

Кроме того, маскарадинг может быть разрешен лишь для части пакетов путем задания исключений:

            ipchains –P forward REJECT

     ipchains –A forward –s 192.168.50.200 –j MASQ

Ограничение пропускной способности сетевого интерфейса.

            Функция ограничения пропускной способности (traffic shapering) включена в ядро Linux начиная с версии 2.0.33. Эта функция может использоваться для обеспечения более равномерного распределения  пропускной способности общего канала между различными группами пользователей. Кроме того, с ее помощью можно без привлечения дополнительных аппаратных средств оценить работоспособность того или иного прикладного программного обеспечения в условиях низкоскоростных каналов. Для того, чтобы задействовать ограничитель трафика, функции его поддержки должны быть включены в ядро (путем его конфигурирования) и скомпилированы в виде загружаемого модуля. После того, как полученный модуль shaper установлен в ядро командой

            insmod shaper

в системе появляется дополнительный интерфейс с именем shaper0. Этот фиктивный интерфейс следует привязать к тому из физических интерфейсов, по которому будет производиться реальная передача пакетов,  задать скорость (в бит/с), на которой будет работать интерфейс-ограничитель shaper0, и активизировать интерфейс с присвоением IP-адреса:

shapecfg attach shaper0 eth0

shapecfg speed shaper0 14400

ifconfig shaper0 192.168.50.201

Все пакеты, передаваемые в сеть через интерфейс-ограничитель (для этого следует описать соответствующие маршруты в маршрутной таблице), будут передаваться с задержками, соответствующими передаче на указанной скорости. Скорость может лежать в пределах от 9600 до 256 000 бит/с. Следует отметить, что функция traffic shapering влияет только на исходящий трафик; в настоящее время в ядре Linux не существует средств ограничения входящего трафика.

            Кроме описанных функций, ОС Linux, как и прочие реализации UNIX, обладает и многими другими расширенными сетевыми возможностями. Среди них можно отметить трансляцию сетевых адресов (NAT), поддержку протокола управления сетью SNMP, организацию туннелей, расширенные возможности маршрутизации на основе пакета iproute2 и многое другое. Подробности работы с этими технологиями можно найти в документации по конкретным программным продуктам.

8.7 Работа UNIX-серверов в сетях MS Windows и Novell NetWare

            Большинство поставщиков коммерческих реализаций UNIX включают средства эмуляции серверов NetWare или Windows NT в состав дистрибутива ОС или предлагают их в виде отдельного программного продукта. Большинство этих программных пакетов выполняют функции предоставления файловых ресурсов и принтеров, однако, часть из них позволяют полностью интегрировать UNIX-сервер в дерево каталогов NDS или создать полноценный домен, аналогичный Windows NT. При этом для клиентских рабочих станций взаимодействие с данным сервером UNIX не отличается от взаимодействия с сервером NT или NetWare (в рамках функциональности, реализованной конкретным эмулятором).

Клиентское программное обеспечение для работы в сетях Microsoft и Novell также присутствует в большинстве вариантов UNIX. Но при этом, как правило, имеется ряд существенных ограничений. В частности, многие клиентские продукты не позволяют взаимодействовать с NDS, предоставляя только функции клиента в режиме Bindery.

Среди свободно распространяемых продуктов широкое распространение приобрел пакет samba, представляющий собой полнофункциональный эмулятор файлового сервера Microsoft Windows NT, а также клиентские средства сетей Microsoft. Определенным недостатком пакета является тот факт, что он может работать только по протоколу IP, не имея средств взаимодействия с теми Windows-машинами, где этот протокол не установлен.

Сервер samba включает демон smbd, выполняющий функции предоставления ресурсов, и демон nmbd, делающий имя сервера видимым в сетевом окружении клиентов. Конфигурация сервера определяется при помощи текстового файла /etc/smb.conf. В этом файле содержится информация как о сервере в целом (имя, домен или рабочая группа, параметры аутентификации и т.п.), так и о предоставленных в общее использование каталогах и принтерах (сетевое имя, права доступа и т.п.). Устанавливаемый по умолчанию файл содержит достаточное количество комментариев и примеров, которые могут быть модифицированы и использованы при работе.

            Клиентские средства представлены утилитой smbmount, позволяющей монтировать сетевые диски, предоставленные в общее использование машинами Windows NT/2000 и Windows 95/98/Me. Формат команды smbmount значительно отличается в различных версиях пакета; подробности следует уточнить в документации на имеющуюся версию.