Олизарович Евгений Владимирович ГрГУ им. Я.Купалы Компьютерные системы и сети Удаленный доступ в компьютерную сеть. Удаленная работа с компьютерной системой. Виртуальные машины.

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленный доступ и удаленная работа Удаленный доступ и удаленная работа в сети

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети УДАЛЕННЫЙ ДОСТУП Удаленный доступ

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Системы удаленного доступа (Remote Access) – это ряд технических решений, обеспечивающих «прозрачное» подключение к сети для удаленных клиентов или малых сетевых сегментов, как правило, расположенных за пределами локальной сети организации. Удаленный доступ используется для подключения к сети организации мобильных или домашних компьютеров сотрудников. Технологии удаленного доступа используют поставщики услуг Интернет, для подключения к сети Интернет клиентов. Задача системы удаленного доступа – обеспечить удаленному клиенту безопасную работу в локальной сети использованием требуемых протоколов сетевого и прикладного уровня (IPX, TCP/IP, AppleTalk и NetBEUI). Routing and Remote Access Service (RRAS) Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети С помощью клиентского приложения для удаленного доступа (Remote Access Client), пользователи инициируют подключение к серверу удаленного доступа (Remote Access Server, RAS). RAS выполняет проверку подлинности пользователей и обслуживает сеанс связи на протяжении всего времени подключения, пока оно не будет завершено. Через удаленное подключение клиенту доступны те же сетевые службы, которые доступны пользователям локальной сети (IP- адресация, DNS, DHCP, ActiveDirectory, файловые серверы, сетевые принтеры, веб-сервер, e- mail, Интернет и т.д.). Скорость работы через удаленное соединение, как правило, ниже локальной. Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленный доступ по коммутируемым и выделенным линиям. При использовании удаленного доступа клиент использует инфраструктуру телекоммуникаций (V.90, xDSL, DOCSIS), создавая временный физический или виртуальный канал к порту сервера удаленного доступа. Организация RAS строится с учетом физической реализации каналов удаленного доступа. Доступ по IP-сетям к виртуальной частной сети (VPN). При удаленном доступе к виртуальной частной сети VPN-клиент использует любую IP-сеть, в т.ч. Интернет для создания виртуального подключения «точка-точка» к серверу удаленного доступа, выступающего в роли VPN-сервера. Не зависит от физической реализации. Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Доступ по коммутируемым каналам (dial-up) тип удаленного доступа, подразумевающий установление временного физического соединения между клиентским компьютером и портом сервера удаленного доступа. Для этого используются коммутируемые каналы связи аналоговые, требующие применения модемов, или цифровые ISDN-линии, также требующие применения соответствующего оборудования. Недостатками этого метода являются низкая скорость передачи (до 56 Кбит по аналоговым линиям, 128 Кбит по цифровым ISDN-линиям) и высокая стоимость при междугородних соединениях. Доступ по выделенным каналам (leased line) тип удаленного доступа, подразумевающий установление постоянного физического соединения между клиентским компьютером и портом сервера удаленного доступа. Для этого используются выделенные каналы (xDSL, Ethernet). Недостатками являются сложность организации и ограниченное расстояние. Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Протоколы удаленного доступа Протокол PPP (Point-to-Point Protocol) - набор стандартных протоколов упаковки кадров и проверки подлинности, обеспечивающий функционирование решений на основе удаленного доступа в сетях с компонентами разных изготовителей. PPP является самым распространенным, поддерживается различным клиентским и серверным программным обеспечением и оборудованием. Архитектура протокола PPP позволяет клиентам удаленного доступа использовать любую комбинацию протоколов IPX, TCP/IP, NetBEUI и AppleTalk. Протокол SLIP (Serial Line Internet Protocol) - является старым стандартом удаленного доступа, используемым, в основном, серверами удаленного доступа на платформе UNIX Протокол Microsoft RAS - это протокол удаленного доступа, поддерживающий стандарт NetBIOS. PPPoE - (Point-to-point protocol over Ethernet) сетевой протокол канального уровня передачи кадров PPP через Ethernet. Предоставляет дополнительные возможности аутентификации, сжатия данных, шифрования. Позволяет инкапсулировать IP и другие протоколы через соединения Ethernet, но с программными возможностями PPP соединений «точка-точка». PPTP (L2TP) – протоколы организации удаленного доступа на основе VPN. Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Средства защиты системы удаленного доступа Проверка подлинности и авторизация Протокол расширенной проверки подлинности EAP (Extensible Authentication Protocol) Шифрование данных Код вызова Блокировка учетной записи при удаленном доступе Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Проверка подлинности и авторизация Проверка подлинности – это проверка учетных данных попытки подключения. В процессе проверки подлинности клиент удаленного доступа посылает свои учетные данные серверу удаленного доступа, используя протокол проверки подлинности. Авторизация (Права доступа)– это подтверждение того, что попытка подключения разрешена данному пользователю, в данное время и данным способом. Авторизация происходит после успешной проверки подлинности. Сервер удаленного доступа может требовать использования определенных методов безопасной проверки подлинности. Если клиент удаленного доступа не может использовать требуемые методы проверки подлинности, подключение отклоняется. Протокол EAP (Extensible Authentication Protocol) Протокол EAP является стандартом, позволяющим использовать для проверки PPP-подключений дополнительные механизмы проверки подлинности. Протокол проверки подлинности представляет собой серию сообщений, посылаемых в определенном порядке. Windows поддерживают два типа EAP для клиентов удаленного доступа – EAP-MD5 и EAP-TLS. Служба маршрутизации и удаленного доступа (Routing and Remote Access service) для Windows Server обеспечивает поддержку EAP-MD5, EAP-TLS и отправку EAP-сообщений RADIUS-серверу. PAP (Password Authentication Protocol) - протокол простой проверки подлинности, предусматривающий отправку имени пользователя и пароля на сервер удаленного доступа открытым текстом (без шифрования). CHAP (Challenge Handshake Authentication Protocol) - протокол, предусматривающий передачу не самого пароля пользователя, а хеш-кода MD5 (Message Digest-5), вычисленного на основе пароля. Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Взаимная проверка подлинности Взаимная проверка подлинности выполняется путем проверки подлинности обеих сторон подключения, выполняющих шифрованный обмен учетными данными. Для PPP-подключений возможно использование протоколов проверки подлинности EAP-TLS или MS-CHAP v2. В процессе взаимной проверки подлинности клиент удаленного доступа предоставляет свои учетные данные серверу удаленного доступа для проверки, и наоборот. Шифрование данных Механизмы шифрования обеспечивают шифрование данных, передаваемых между клиентом и сервером удаленного доступа. С помощью этих механизмов шифруются только данные в канале между клиентом и сервером удаленного доступа. Код вызова Код вызова (Caller-ID) может использоваться для проверки того, что входящий вызов поступил с определенного телефонного номера. Код вызова является одним из параметров свойств удаленного подключения учетной записи пользователя. Если код (ID) вызова входящего подключения, производимого определенным пользователем, не совпадает с указанным для этого пользователя кодом вызова, попытка подключения отклоняется. Блокировка учетной записи при удаленном доступе Функция блокировки учетной записи при удаленном доступе используется для того, чтобы задать количество неудачных попыток подключения, не прошедших проверку подлинности, после которых пользователю будет отказано в удаленном доступе. Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Дополнительные возможности удаленного доступа: Поддержка клиентов RADIUS Поддержка протокола DHCP Многоканальные подключения и протокол распределения пропускной способности (Bandwidth Allocation Protocol, BAP) Ответный вызов Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Поддержка клиентов RADIUS Служба удаленного доступа протокол службы удаленной проверки подлинности RADIUS (Remote Authentication Dial-In User Service) в качестве поставщиков служб проверки подлинности и учета. Поддержка протокола DHCP Протокол динамической конфигурации узла (Dynamic Host Configuration Protocol, DHCP) используется для автоматического назначения IP-адресов и сетевых настроек TCP/IP удаленных клиентов. Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Многоканальные подключения и протокол распределения пропускной способности Для физических каналов связи удаленных подключений могут использоваться многоканальные подключения и протокол распределения пропускной способности (Bandwidth Allocation Protocol, BAP). При использовании многоканальных подключений несколько физических каналов связи объединяются в один логический канал, по которому отправляются и принимаются данные. Многоканальные подключения должны поддерживаться обеими сторонами подключения. BAP позволяет динамически управлять многоканальным соединением в зависимости от нагрузки и характеристик каналов. Ответный вызов При использовании коммутируемого соединения сервер удаленного доступа может производить ответный вызов. Этот способ используется для повышения безопасности и снижения затрат мобильных абонентов на оплату телефонных услуг. Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети DSR-1000N – Беспроводной межсетевой экран с поддержкой VPN, 2 портами WAN, 4 портами LAN 10/100/1000Base-TX Удаленный доступ RAS

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети УДАЛЕННАЯ РАБОТА доступ к виртуальному компьютеру доступ к приложению

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Терминал UNIX – текстовые Shell и X-Windows терминалы Windows Server - удаленный рабочий стол, RDP (Remote Desktop Protokol) Citrix Metaframe - технология Independent Computing Architecture (ICA) Terminal- server Terminal- client

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Применение терминальных технологий - Удаленное управление сервером (компьютером, сетевым устройством) - Работа на клиентском оборудовании с ограниченной функциональностью (устаревшее, несовместимое). - Работа в условиях низкой скорости передачи (удаленный доступ, устаревшие сегменты).

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Сервер терминалов Windows Terminal Server Remote Desktop Citrix MetaFrame Unix (NX Server) Применение терминальных технологий

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети RDP server

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Для лицензирования работы в терминальном режиме необходимо: Лицензия на ОС MS Windows Server 2000/2003/2008. Клиентские лицензии доступа к серверу (CAL) по числу пользователей. Клиентские лицензии терминального доступа по числу пользователей (на пользователя или на устройство). Лицензии на совместно используемое приложение по числу пользователей, + 1 для сервера. Лицензирование терминалов

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети MS HyperTerminal

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети RDP client

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети RDP client

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети RDP client

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Применение терминальных технологий

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленная загрузка Порядок работы: 1.Загрузка бездисковой станции с BootROM сетевой карты. 2.Загрузка образа операционной системы из сетевой папки сервера. 3.Загрузка приложений. BootROM: PXE Pre-boot (или Pre-OS) eXecution Environment (среда предзагрузочного выполнения) спецификация Intel. Etherboot оpensource проект. Рабочая станция«Тонкий клиент»

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Применение технологий тонкий клиент - Использование клиентского оборудования минимальной конфигурации. - Уменьшение затрат на настройку клиентского оборудования (+/-). - Полный контроль работы клиента.

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Тонкий клиент HP

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Технологии удаленного управления: Remote Desktop Protocol (RDP), tcp 3389, 1503 Telnet (rfc 854), tcp 23 Ssh (rfc 4251), tcp 22 Http, https (rfc 2616, rfc 2818), tcp 80, tcp 443 SNMP (rfc 1157), udp 161 WMI (Windows Management Instrumentation), tcp 135 Independent Computing Architecture (ICA) Citrix Virtual Network Computing (VNC), Remote FrameBuffer (RFB) протокол, tcp Программное обеспечение удаленного управления: HyperTerminal, RDP, Pytty, OpenSSH, … pcAnywhere, Radmin, UltraVNC, RealVNC, NetOP … Протоколы и средства удаленного управления

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Telnet (TErminaL NETwork) - позволяет пользователю установить TCP-соединение (порт 23) с сервером и затем передавать коды нажатия клавиш так, как если бы работа проводилась на консоли сервера (аналогично текстовому терминалу). NVT - Netvork Virtual Terminal - Принцип виртуальных терминалов. После установления соединения каждый участник работает как «Виртуальный сетевой терминал» - мнимое устройство, выполняющее стандартные сетевые промежуточные функции обычного терминала. NVT - устройство для ввода/вывода 7-и битных ASCII символов: 10 LF Перенос курсора на след. строку с сохр. позиции. 13 CR Перенос курсора на начало текущей строки. 8 BS Перенос курсора на одну позицию влево 9 HT Перенос курсора на следующую позицию горизонтальной табуляции 11 VT Перенос курсора на следующую позицию вертикальной табуляции 12 FF Перенос курсора на начало след страницы с сохранением позиции в строке …. Протоколы и средства удаленного управления

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети SSH (Secure Shell) - сетевой протокол сеансового уровня, позволяющий производить удалённое управление операционной системой. Позволяет пользователю установить безопасное TCP-соединение (порт 22), использует шифрование, производит аутентификацию ПК и формирование коммуникационного канала с шифрованием передаваемых данных. Применим для шифрования различных TCP/IP сессий (FTP, HTTP). Протоколы и средства удаленного управления

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети SNMP (Simple Network Management Protocol) Протоколы и средства удаленного управления

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети WMI (Windows Management Instrumentation) WMI - технология централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. Через WMI можно получать данные о состоянии основных параметров (загрузка ЦП, ОЗУ, свободное пространство на дисках и т.д.), работе служб и сервисов компьютера под управлением Windows. Для управления компьютером через WMI используется 135 порт TCP. Протоколы и средства удаленного управления

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети ICA Citrix Cетевой транспорт: TCP/IP, IPX, SPX, NetBIOS, прямое асинхронное соединение. Возможность настройки ответного вызова. Теневые сеансы (shadowing) - наблюдение за сеансом с другого устройства. Переназначение локальных устройств (принтеров). Протоколы и средства удаленного управления

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети pcAnywhere Radmin RealVNC NetOP Протоколы и средства удаленного управления

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Удаленный доступ и терминальные технологии

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети ВИРТУАЛЬНЫЕ МАШИНЫ Удаленное управление и виртуализация

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Терминальные технологии Удаленное управление и виртуализация

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Виртуализация Удаленное управление и виртуализация

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Реальное аппаратное обеспечение компьютера Основная операционная система MAC_0, IP_0, Name_0 лвс Гостевая операционная система 1 (Windows) MAC_1 IP_1, IPX_1 Name_1 Эмуляция аппаратного обеспечения ВМ 1 Гостевая операционная система 2 (Linux) MAC_2 IP_2 Name_2 Гостевая операционная система 3 (MacOS) MAC_3 IP_3 Name_3 Эмуляция аппаратного обеспечения ВМ 2 Эмуляция аппаратного обеспечения ВМ 3 Виртуализация

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Средства виртуализации

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети VMware ESX Server VMware ESXi VMware Workstation VMware Server VMware vSphere 5 MS Virtual PC MS Hyper-V Citrix XenServer Программная виртуализация Средства виртуализации

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Аппаратная виртуализация HyperThreading - Symmetric Multi Processing (SMP). Набор дополнительных инструкций Virtual Machine Extensions (VMX) для предоставления прямого доступа к ресурсам процессора из гостевых систем: Intel Virtualization Technology (Intel VT-x), требуется соответствующий чипсет. AMD Virtualization (AMD-V). Средства виртуализации

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Средства виртуализации

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Средства виртуализации

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Средства виртуализации

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Oracle VM VirtualBox

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Oracle VM VirtualBox

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Oracle VM VirtualBox

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Oracle VM VirtualBox

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Oracle VM VirtualBox

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Oracle VM VirtualBox

ГрГУ им. Я.Купалы 2012/2013 Компьютерные системы и сети Oracle VM VirtualBox

Олизарович Евгений Владимирович ГрГУ им. Я.Купалы Компьютерные системы и сети