Сетевые технологии Windows Vista

Виндоус виста
Часть серии по
Новые возможности
Обзор Техническая и основная система Охрана и безопасность Сетевые технологии Технологии ввода / вывода Управление и администрирование Удаленные функции Vista против XP
Другие статьи
Редакции Windows Server 2008 Windows Mobile 6.0 Windows Mobile 6.1 Windows Mobile 6.5 История развития Критика Эксперимент Мохаве
v т е

В вычислении , Microsoft «s Windows Vista и Windows Server 2008 введена в 2007/2008 новый сетевой стек с именем стека Next Generation TCP / IP , ^[1] для улучшения по сравнению с предыдущим стеком несколькими способами. ^[2] Стек включает встроенную реализацию IPv6 , а также полную переработку IPv4. В новом стеке TCP / IP используется новый метод хранения параметров конфигурации, который обеспечивает более динамичный контроль и не требует перезагрузки компьютера после изменения параметров. Новый стек, реализованный как модель двойного стека , зависит от сильной модели хоста. и имеет инфраструктуру для включения большего количества модульных компонентов, которые можно динамически вставлять и удалять.

Архитектура [ править ]

Архитектура стека TCP / IP нового поколения

Стек TCP / IP следующего поколения подключается к сетевым адаптерам через драйвер спецификации интерфейса сетевого драйвера (NDIS). Сетевой стек, реализованный в, tcpip.sysреализует транспортный , сетевой и канальный уровни модели TCP / IP . Транспортный уровень включает в себя реализацию для TCP , UDP и неотформатированных RAW протоколов . На сетевом уровне протоколы IPv4 и IPv6 реализованы в архитектуре с двумя стеками . А уровень канала передачи данных (также называемый уровнем кадрирования ) реализует 802.3., 802.1 , PPP , протоколы обратной связи и туннелирования . На каждом уровне могут быть размещены прокладки платформы фильтрации Windows (WFP), которые позволяют анализировать пакеты на этом уровне, а также размещать WFP Callout API. Сетевой API представлен тремя компонентами: ^[1]

Winsock: Пользовательский режим API для абстрагирования сети связи , используя гнезда и порты . Сокеты дейтаграмм используются для UDP , а сокеты Stream - для TCP . Хотя Winsock является библиотекой пользовательского режима, она использует драйвер режима ядра , называемый драйвером вспомогательных функций (AFD), для реализации определенных функций.
Ядро Winsock (WSK): Режима ядра API , обеспечивая такой же сокет-а-порте абстракции как Winsock , в то время как другие подвергая такие функции, как асинхронный ввод / вывод с помощью ввода / вывода пакетов запросов .
Интерфейс транспортного драйвера (TDI): Режима ядра API , который может быть использован для устаревших протоколов , таких как NetBIOS . Он включает компонент, известный как TDX, для отображения функциональности TDI в сетевой стек.

Пользовательский интерфейс [ править ]

Центр управления сетями и общим доступом

Пользовательский интерфейс для настройки, устранения неполадок и работы с сетевыми подключениями также значительно изменился по сравнению с предыдущими версиями Windows. Пользователи могут использовать новый «Центр управления сетями и общим доступом», чтобы видеть состояние своих сетевых подключений и получать доступ ко всем аспектам конфигурации. Один значок в области уведомлений (на панели задач) обозначает возможность подключения через все сетевые адаптеры, проводные или беспроводные. Сеть можно просматривать с помощью проводника сети , который заменяет «Мое сетевое окружение» в Windows XP . Элементами проводника сети могут быть общее устройство, такое как сканер, или файловый ресурс. Сеть Location Awareness(NLA) сервис однозначно идентифицирует каждую сеть и раскрывает атрибуты сети и тип подключения, чтобы приложения могли определить оптимальную конфигурацию сети. Однако приложения должны явно использовать API NLA, чтобы быть в курсе изменений сетевых подключений и соответствующим образом адаптироваться. Windows Vista использует протокол Link Layer Topology Discovery (LLTD) для графического представления того, как различные устройства подключаются к сети, в виде карты сети . Кроме того, карта сетииспользует LLTD для определения информации о подключении и типа носителя (проводной или беспроводной), чтобы карта была топологически точной. Возможность знать топологию сети важна для диагностики и решения сетевых проблем, а также для потоковой передачи контента через сетевое соединение. Любое устройство может реализовать LLTD, чтобы он отображался на карте сети со значком, представляющим устройство, позволяя пользователям одним щелчком мыши получить доступ к пользовательскому интерфейсу устройства. Когда LLTD вызывается, он предоставляет метаданные об устройстве, которые содержат статическую информацию или информацию о состоянии, такую как MAC-адрес , IPv4 / IPv6-адрес, мощность сигнала и т. Д.

Классификация сети по местоположению [ править ]

Windows Vista классифицирует сети, к которым она подключается, как общедоступные , частные или доменные и использует информацию о сетевом расположении для переключения между типами сетей. Различные типы сетей имеют разные политики брандмауэра. Открытая сеть, такая как общедоступная беспроводная сеть, классифицируется как общедоступная и является наиболее ограничивающей из всех сетевых настроек. В этом режиме другие компьютеры в сети не являются доверенными, и внешний доступ к компьютеру, включая совместное использование файлов и принтеров, отключен. Домашняя сеть классифицируется как частная , и она позволяет обмениваться файлами между компьютерами. Если компьютер присоединен к домену, сеть классифицируется как домен.сеть; в такой сети политики устанавливаются контроллером домена . При первом подключении к сети Windows Vista предлагает выбрать правильный тип сети. При последующих подключениях к сети эта служба используется для получения информации о том, к какой сети подключена, и автоматического переключения на конфигурацию подключенной сети. В Windows Vista представлена концепция сетевых профилей. Для каждой сети система хранит IP-адрес , DNS-сервер , прокси-сервер.и другие сетевые функции, характерные для сети, в профиле этой сети. Таким образом, когда эта сеть впоследствии подключается, настройки не нужно перенастраивать, используются те, которые сохранены в ее профиле. В случае мобильных машин сетевые профили выбираются автоматически в зависимости от того, какие сети доступны. Каждый профиль является частью общедоступной , частной или доменной сети.

Интернет-протокол v6 [ править ]

Сетевой стек Windows Vista поддерживает архитектуру двойного уровня Интернет-протокола (IP), в которой реализации IPv4 и IPv6 используют общие уровни транспорта и кадрирования . Windows Vista предоставляет графический интерфейс для настройки свойств IPv4 и IPv6. IPv6 теперь поддерживается всеми сетевыми компонентами и службами. DNS-клиент Windows Vista может использовать транспорт IPv6. Internet Explorer в Windows Vista и другие приложения, использующие WinINet (Windows Mail, общий доступ к файлам), поддерживают буквальные адреса IPv6 ( RFC 2732).). Брандмауэр Windows и оснастка «Политики IPsec» поддерживают адреса IPv6 как допустимые символьные строки. В режиме IPv6 Windows Vista может использовать протокол Link Local Multicast Name Resolution (LLMNR), как описано в RFC 4795 , для разрешения имен локальных хостов в сети, в которой не работает DNS-сервер . Эта услуга полезна для сетей без центрального управляющего сервера и для специальных беспроводных сетей . IPv6 также может использоваться для коммутируемого доступа на основе PPP и соединений PPPoE . Windows Vista также может действовать как клиент / сервер для совместного использования файлов или DCOM через IPv6. Поддержка DHCPv6 , который можно использовать с IPv6, также включен. IPv6 можно использовать даже тогда, когда полное собственное подключение IPv6 недоступно, с помощью туннелирования Teredo ; это может даже пройти через большинство симметричных преобразований сетевых адресов (NAT) IPv4 . Также включена полная поддержка многоадресной рассылки через протоколы MLDv2 и SSM . Идентификатор интерфейса IPv6 генерируется случайным образом для постоянных автоматически настраиваемых адресов IPv6, чтобы предотвратить определение MAC-адреса на основе известных идентификаторов компаний производителей сетевых адаптеров.

Беспроводные сети [ править ]

Поддержка беспроводных сетей встроена в сам сетевой стек в виде нового набора API под названием Native Wifi и не эмулирует проводные соединения, как это было в предыдущих версиях Windows. Это позволяет реализовать специфические для беспроводной сети функции, такие как большие размеры кадра и оптимизированные процедуры восстановления после ошибок. Собственный Wi-Fi предоставляется модулем автоматической настройки (ACM), который заменяет конфигурацию Wireless Zero в Windows XP.. ACM является расширяемым, поэтому разработчики могут включать дополнительные беспроводные функции (например, автоматический беспроводной роуминг) и отменять автоматическую конфигурацию и логику подключения, не затрагивая встроенную структуру. Легче найти беспроводные сети в радиусе действия и определить, какие сети открыты, а какие закрыты. Лучше поддерживаются скрытые беспроводные сети, которые не сообщают свое имя ( SSID ). Безопасность беспроводных сетей улучшена за счет улучшенной поддержки новых стандартов беспроводной связи, таких как 802.11i . EAP-TLS - это режим аутентификации по умолчанию. Соединения выполняются на наиболее безопасном уровне соединения, поддерживаемом точкой беспроводного доступа. WPA2 можно использовать даже в режиме ad-hoc. Windows Vista также предоставляетУслуга быстрого роуминга , которая позволит пользователям переходить от одной точки доступа к другой без потери связи. Предварительная проверка подлинности с новой точкой беспроводного доступа может использоваться для сохранения возможности подключения. Беспроводные сети управляются либо из диалогового окна « Подключение к сети » в графическом интерфейсе пользователя, либо с помощью команды netsh wlan из оболочки. Параметры беспроводных сетей также можно настроить с помощью групповой политики .

Windows Vista повышает безопасность при присоединении к домену по беспроводной сети. Он может использовать единый вход, чтобы использовать те же учетные данные для подключения к беспроводной сети, а также к домену, размещенному в сети. В этом случае один и тот же сервер RADIUS используется как для аутентификации PEAP для присоединения к сети, так и для MS-CHAP v2.аутентификация для входа в домен. Загрузочный профиль беспроводной сети также может быть создан на беспроводном клиенте, который сначала аутентифицирует компьютер в беспроводной сети и подключается к ней. На этом этапе машина все еще не имеет доступа к ресурсам домена. Машина запустит сценарий, хранящийся либо в системе, либо на USB-накопителе, который аутентифицирует его в домене. Аутентификация может быть выполнена с использованием комбинации имени пользователя и пароля или сертификатов безопасности от поставщика инфраструктуры открытого ключа (PKI), такого как VeriSign .

Настройка и настройка беспроводной сети [ править ]

В Windows Vista есть функция Windows Connect Now, которая поддерживает настройку беспроводной сети с использованием нескольких методов, поддерживаемых стандартом Wi-Fi Protected Setup . Он реализует API собственного кода, веб-службы для устройств (WSDAPI) для поддержки профиля устройств для веб-служб (DPWS), а также реализацию управляемого кода в WCF . DPWS обеспечивает более простое обнаружение устройств, например UPnP, и описывает доступные службы для этих клиентов. Обнаружение функций - это новая технология, которая служит уровнем абстракции между приложениями и устройствами, позволяя приложениям обнаруживать устройства, обращаясь к функции устройства, а не по его типу шины или характеру соединения.Расширения Plug and Play (PnP-X) позволяют подключенным к сети устройствам отображаться как локальные устройства внутри Windows, физически подключенные. Поддержка UPnP также была расширена и теперь включает интеграцию с PnP-X и Function Discovery .

Производительность сети [ править ]

Сетевой стек Windows Vista также использует несколько оптимизаций производительности, которые обеспечивают более высокую пропускную способность за счет более быстрого восстановления после потери пакетов при использовании среды с высокой потерей пакетов, такой как беспроводные сети. Windows Vista использует алгоритм NewReno ( RFC 2582 ), который позволяет отправителю отправлять больше данных при повторной попытке в случае, если он получает частичное подтверждение, которое является подтверждением от получателя только для части полученных данных. Он также использует выборочные подтверждения ( SACK ), чтобы уменьшить объем данных, которые должны быть повторно переданы в случае, если часть отправленных данных была получена неправильно, и Forward RTO-Recovery (F-RTO), чтобы предотвратить ненужную повторную передачу сегментов TCP, когда время прохождения туда и обратно увеличивается. Он также включает возможность обнаружения недоступности соседей как в IPv4, так и в IPv6, которая отслеживает доступность соседних узлов. Это позволяет быстрее восстанавливать ошибки в случае отказа соседнего узла. NDIS 6.0, представленный в Windows Vista, поддерживает разгрузку трафика IPv6 и вычисления контрольной суммы для IPv6, улучшенную управляемость, масштабируемость и производительность с уменьшенной сложностью для минипортов NDIS и более простые модели для написания облегченных драйверов фильтров (LWF). Драйверы LWF представляют собой комбинацию промежуточных драйверов NDIS и драйвера минипорта, которые устраняют необходимость написания отдельного протокола и минипорта и имеют режим обхода для проверки только выбранных путей управления и данных. TCP / IPСтек также обеспечивает поддержку восстановления после сбоя при изменении шлюза по умолчанию, периодически пытаясь отправить TCP-трафик через ранее обнаруженный недоступный шлюз. Это может обеспечить более высокую пропускную способность, отправляя трафик через основной шлюз по умолчанию в подсети.

Еще одно существенное изменение, направленное на повышение пропускной способности сети, - автоматическое изменение размера окна приема TCP . Окно приема ( RWIN ) указывает, сколько данных хост готов принять, и ограничено, среди прочего, доступным буферным пространством. Другими словами, это мера того, сколько данных может отправить удаленный передатчик до того, как потребует подтверждения для ожидающих данных. Когда окно приема слишком мало, удаленный передатчик часто обнаруживает, что он достиг предела того, сколько ожидающих данных он может передать, даже если пропускной способности достаточно для передачи большего количества данных. Это приводит к неполному использованию ссылки. Итак, используя более крупный RWINразмер увеличивает пропускную способность в таких ситуациях; автоматически настраиваемый RWIN пытается поддерживать пропускную способность настолько высокой, насколько это допустимо для пропускной способности канала. Функция автоматической настройки окна приема непрерывно отслеживает полосу пропускания и задержку TCP-соединений по отдельности и оптимизирует окно приема для каждого соединения. Размер окна увеличивается в ситуациях с высокой пропускной способностью (~ 5 Мбит / с +) или с высокой задержкой (> 10 мс).

Традиционные реализации TCP используют алгоритм TCP Slow Start , чтобы определить, насколько быстро он может передавать, не блокируя приемник (или промежуточные узлы). Вкратце, он указывает, что передача должна начинаться с низкой скорости, путем передачи нескольких пакетов. Это число контролируется окном перегрузки.- который указывает количество ожидающих пакетов, которые были переданы, но для которых еще не получено подтверждение получения от получателя. По мере получения подтверждений окно перегрузки расширяется, по одному сегменту TCP за раз, пока подтверждение не приходит. Затем отправитель предполагает, что с размером окна перегрузки в этот момент сеть становится перегруженной. Однако сеть с высокой пропускной способностью может выдерживать довольно большое окно перегрузки, не забиваясь. Алгоритму медленного запуска может потребоваться некоторое время, чтобы достичь этого порога, в результате чего сеть будет недостаточно загружена на значительное время.

Новый стек TCP / IP также поддерживает явное уведомление о перегрузке (ECN), чтобы снизить пропускную способность из-за перегрузки сети на как можно более низком уровне. Без ECN сегмент сообщения TCP отбрасывается некоторым маршрутизатором, когда его буфер заполнен. Хосты не получают уведомления о перегрузке, пока пакеты не начнут отбрасываться. Отправитель обнаруживает, что сегмент не достиг пункта назначения; но из-за отсутствия обратной связи от перегруженного маршрутизатора у него нет информации о степени снижения скорости передачи, которую ему необходимо произвести. Стандартные реализации TCP обнаруживают это падение, когда истекает время ожидания подтверждения от получателя. Затем отправитель уменьшает размер своего окна перегрузки., который представляет собой ограничение на количество данных, передаваемых в любое время. Несколько отбрасывание пакетов может даже привести к сбросу окна перегрузки, в данной TCP Maximum Segment Size , и TCP Slow Start . Экспоненциальная отсрочкаи только дополнительное увеличение обеспечивает стабильное поведение сети, позволяя маршрутизаторам восстанавливаться после перегрузки. Однако отбрасывание пакетов оказывает заметное влияние на чувствительные ко времени потоки, такие как потоковое мультимедиа, потому что требуется время, чтобы это падение было замечено и повторно передано. При включенной поддержке ECN маршрутизатор устанавливает два бита в пакетах данных, которые указывают получателю, что он испытывает перегрузку (но еще не полностью заблокирован). Получатель, в свою очередь, сообщает отправителю, что маршрутизатор сталкивается с перегрузкой, а затем отправитель снижает скорость передачи на определенную величину. Если маршрутизатор все еще перегружен, он снова установит биты, и в конечном итоге отправитель замедлится еще больше. Преимущество этого подхода в том, что маршрутизатор не заполняется достаточно, чтобы отбрасывать пакеты,и, таким образом, отправителю не нужно значительно снижать скорость передачи, чтобы вызывать серьезные задержки в чувствительных ко времени потоках; при этом не возникает риска серьезного недоиспользования полосы пропускания. Без ECN единственный способ, которым маршрутизаторы могут сообщать хостам что-либо, - это отбрасывать пакеты. ECN похож наСлучайное раннее удаление , за исключением того, что пакеты помечаются, а не отбрасываются. Единственное предостережение: отправитель и получатель, а также все промежуточные маршрутизаторы должны быть совместимы с ECN. Любой маршрутизатор на этом пути может предотвратить использование ECN, если он считает пакеты с маркировкой ECN недействительными и отбрасывает их (или, что более типично, вся установка соединения завершается неудачей из-за части сетевого оборудования, которая отбрасывает пакеты установки соединения с установленными флагами ECN). Маршрутизаторы, которые не знают об ECN, могут нормально отбрасывать пакеты, но в Интернете есть некоторое сетевое оборудование, враждебное ECN. По этой причине ECN по умолчанию отключен. Его можно включить с помощью netsh interface tcp set global ecncapability=enabledкоманды. ^[3]

В предыдущих версиях Windows вся обработка, необходимая для приема или передачи данных через один сетевой интерфейс, выполнялась одним процессором, даже в многопроцессорной системе. С помощью поддерживаемых адаптеров сетевого интерфейса Windows Vista может распределять работу по обработке трафика в сетевом взаимодействии между несколькими процессорами. Эта функция называется масштабированием на стороне приема . Windows Vista также поддерживает сетевые карты с TCP Offload Engine , которые имеют определенные функции, связанные с TCP / IP с аппаратным ускорением. Windows Vista использует разгрузку TCP Chimney.система для разгрузки на такие карты заданий кадрирования, маршрутизации, исправления ошибок, подтверждения и повторной передачи, требуемых в TCP. Однако для совместимости приложений на сетевой адаптер выгружается только функция передачи данных TCP, а не настройка TCP-соединения. Это снимет некоторую нагрузку с ЦП. Обработка трафика как в IPv4, так и в IPv6 может быть выгружена. Windows Vista также поддерживает NetDMA, который использует механизм DMA, чтобы освободить процессоры от хлопот, связанных с перемещением данных между буферами данных сетевой карты и буферами приложений. Для этого требуются определенные аппаратные архитектуры DMA, такие как Intel I / O Acceleration .

Составной TCP [ править ]

Составной TCP - это модифицированный алгоритм предотвращения перегрузки TCP , предназначенный для повышения производительности сети во всех приложениях. Он не включен по умолчанию в версии Windows Vista до Service Pack 1, но включен в SP1 и Windows Server 2008. Он использует другой алгоритм для изменения окна перегрузки - заимствование из TCP Vegas и TCP New Reno . Для каждого полученного подтверждения он более агрессивно увеличивает окно перегрузки, таким образом достигая пиковой пропускной способности намного быстрее, увеличивая общую пропускную способность. ^[4]

Качество обслуживания [ править ]

Сетевой стек Windows Vista включает интегрированное качество обслуживания на основе политик.(QoS) для определения приоритетов сетевого трафика. Качество обслуживания можно использовать для управления использованием сети определенными приложениями или пользователями путем регулирования доступной им полосы пропускания или для ограничения использования полосы пропускания другими приложениями, когда используются высокоприоритетные приложения, такие как приложения для конференц-связи в реальном времени. run, чтобы обеспечить необходимую пропускную способность. Регулирование трафика также можно использовать для предотвращения использования всей доступной полосы пропускания при больших операциях передачи данных. Политики QoS могут быть ограничены именем исполняемого файла приложения, путем к папке, IPv4- или IPv6-адресами источника и назначения, TCP- или UDP-портами источника и назначения или диапазоном портов. В Windows Vista политики QoS могут применяться к любому приложению на сетевом уровне., что устраняет необходимость переписывать приложения с использованием QoS API, чтобы они были осведомлены о QoS. Политики QoS могут быть установлены для каждой машины или установлены объектами групповой политики Active Directory, что гарантирует, что все клиенты Windows Vista, подключенные к контейнеру Active Directory (домен, сайт или организационная единица) ^[5], будут применять параметры политики.

Windows Vista поддерживает классы профиля беспроводного мультимедиа (WMM) для QoS в беспроводных сетях, сертифицированные Wi-Fi Alliance : BG (для фоновых данных), BE (для данных Best Effort не в реальном времени), VI (для видео в реальном времени) и VO (для голосовых данных в реальном времени). ^[6] Если и точка беспроводного доступа, и сетевая карта беспроводной сети поддерживают профили WMM, Windows Vista может обеспечить приоритетную обработку отправляемых данных.

qWave [ править ]

Цикл обратной связи qWave

Windows Vista включает специализированный QoS API под названием qWave ( Quality Windows Audio / Video Experience ), ^[7] который представляет собой предварительно настроенный модуль качества обслуживания для зависящих от времени мультимедийных данных, таких как аудио- или видеопотоки. qWave использует разные схемы приоритета пакетов для потоков в реальном времени (например, мультимедийных пакетов) и потоков с максимальной эффективностью (таких как загрузка файлов или электронная почта), чтобы гарантировать, что данные в реальном времени получают как можно меньше задержек, обеспечивая при этом высокую качественный канал для других пакетов данных.

qWave предназначен для обеспечения передачи мультимедийных сетей в беспроводной сети в реальном времени. qWave поддерживает несколько одновременных потоков мультимедиа и данных. qWave не зависит исключительно от схем резервирования полосы пропускания, как это предусмотрено протоколом RSVP для обеспечения гарантий QoS , поскольку полоса пропускания в беспроводной сети постоянно колеблется. В результате он также использует непрерывный мониторинг пропускной способности для реализации гарантий обслуживания. ^[7]

Приложения должны явно использовать API qWave для использования службы. Когда мультимедийное приложение запрашивает у qWave запуск нового медиапотока, qWave пытается зарезервировать полосу пропускания с помощью RSVP . В то же время он использует пробы QoS, чтобы убедиться, что сеть имеет достаточную пропускную способность для поддержки потока. Если условия соблюдены, поток разрешен и имеет приоритет, чтобы другие приложения не потребляли его долю полосы пропускания. Однако факторы окружающей среды могут повлиять на прием беспроводных сигналов, что может уменьшить полосу пропускания, даже если никакому другому потоку не разрешен доступ к зарезервированной полосе пропускания. Благодаря этому qWave постоянно отслеживает доступную полосу пропускания, и если она уменьшается, приложение информируется, создавая петлю обратной связи., чтобы он мог адаптировать поток для соответствия диапазону более низкой полосы пропускания. Если доступна большая пропускная способность, qWave автоматически резервирует ее и сообщает приложению об улучшении. ^[7]

Для проверки качества сети зондирующие пакеты отправляются источнику, и статистические данные (такие как время прохождения туда и обратно, потери, джиттер задержки и т. Д.) Анализируются, а результаты кэшируются. Зонд повторяется через определенные интервалы времени для обновления кеша. Всякий раз, когда запрашивается поток, ищется кеш. qWave также сериализует создание нескольких одновременных потоков, даже на разных устройствах, чтобы зонды, отправленные для одного потока, не мешали другим. qWave использует буферы на стороне клиента, чтобы поддерживать скорость передачи в пределах диапазона самой медленной части сети, так что буферы точки доступа не перегружаются, что снижает потерю пакетов. ^[7]

qWave работает лучше всего, если и источник, и приемник (клиент) мультимедийного потока осведомлены о qWave. Кроме того, в точке беспроводного доступа (AP) должна быть включена функция QoS , поддерживающая резервирование полосы пропускания. Он также может работать без точек доступа, поддерживающих QoS; однако, поскольку qWave не может зарезервировать полосу пропускания в этом случае, это должно зависеть от приложения, чтобы адаптировать поток на основе доступной полосы пропускания, на которую будут влиять не только условия сети, но и другие данные в сети. qWave также доступен для других устройств как часть технологий Windows Rally . ^[7]

Сетевая безопасность [ править ]

Чтобы обеспечить лучшую безопасность при передаче данных по сети, Windows Vista предоставляет усовершенствования криптографических алгоритмов, используемых для обфускации данных. В сетевой стек включена поддержка 256-битных, 384-битных и 512-битных алгоритмов Эллиптической кривой Диффи – Хеллмана (ECDH), а также 128-битного, 192-битного и 256-битного Advanced Encryption Standard (AES). сам. Прямая поддержка SSL- соединений в новом WinsockAPI позволяет приложениям сокетов напрямую контролировать безопасность своего трафика в сети (например, предоставлять политику безопасности и требования к трафику, запрашивать параметры безопасности) вместо того, чтобы добавлять дополнительный код для поддержки безопасного соединения. Компьютеры под управлением Windows Vista могут быть частью логически изолированных сетей в домене Active Directory . Только компьютеры, находящиеся в одном логическом разделе сети, смогут получить доступ к ресурсам в домене. Даже если другие системы могут физически находиться в одной сети, если они не находятся в одном логическом разделе, они не смогут получить доступ к разделенным ресурсам. Система может быть частью нескольких сетевых разделов.

Windows Vista также включает структуру узла расширяемого протокола проверки подлинности (EAPHost), которая обеспечивает расширяемость методов проверки подлинности для широко используемых технологий защищенного доступа к сети, таких как 802.1X и PPP. ^[8] Это позволяет поставщикам сетей разрабатывать и легко устанавливать новые методы аутентификации, известные как методы EAP.

Планируемая функция в новом пакете TCP / IP, известная как «Маршрутные отсеки», использует таблицу маршрутизации для каждого пользователя , таким образом разделяя сеть в соответствии с потребностями пользователя, чтобы данные из одного сегмента не передавались в другой. Однако эта функция была удалена перед выпуском Windows Vista и, возможно, будет включена в будущий выпуск Windows. ^[9]

Защита доступа к сети [ править ]

В Windows Vista также реализована защита доступа к сети (NAP), которая гарантирует, что компьютеры, подключенные к сети, соответствуют требуемому уровню работоспособности системы , установленному администратором сети. Когда NAP включен в сети, когда компьютер с Windows Vista пытается присоединиться к сети, проверяется, что компьютер обновлен с помощью обновлений безопасности, сигнатур вирусов и других факторов, включая конфигурацию IPsec и 802.1x.настройки аутентификации, задаваемые администратором сети. Ему будет предоставлен полный доступ к сети только при соблюдении критериев, в противном случае ему может быть либо отказано в доступе к сети, либо предоставлен ограниченный доступ только к определенным ресурсам. При желании ему может быть предоставлен доступ к серверам, которые будут предоставлять ему последние обновления. После установки обновлений компьютеру предоставляется доступ к сети. Однако Windows Vista может быть только клиентом NAP, т. Е. Клиентским компьютером, который подключается к сети с поддержкой NAP. Серверы политики работоспособности и проверки должны работать под управлением Windows Server 2008 .

IPsec и брандмауэр Windows [ править ]

Конфигурация IPsec теперь полностью интегрирована в оснастку « Брандмауэр Windows с расширенной безопасностью» и инструмент командной строки netsh advfirewall для предотвращения противоречивых правил и предлагает упрощенную настройку вместе с брандмауэром аутентификации. Расширенные правила фильтрации брандмауэра (исключения) и политики IPsec могут быть настроены, например, по домену, общедоступным и частным профилям, исходным и целевым IP-адресам, диапазону IP-адресов, исходным и целевым портам TCP и UDP, всем или нескольким портам, определенным типам интерфейсов, трафика ICMP и ICMPv6 по типу и коду, службам, обходу границ, состоянию защиты IPsec и указанным пользователям и компьютерам на основе учетных записей Active Directory .

До Windows Vista установка и поддержка конфигурации политики IPsec во многих сценариях требовала настройки набора правил для защиты и другого набора правил для исключения трафика. Узлы IPsec в Windows Vista обмениваются данными, одновременно согласовывая защищенные соединения, и если ответ получен и согласование завершено, последующие соединения защищены. Это устраняет необходимость настраивать фильтры IPsec для исключений для набора хостов, которые не поддерживают или не поддерживают IPsec, позволяет настраивать требуемую входящую защищенную инициированную связь и необязательную исходящую связь. IPsec также позволяет защитить трафик между контроллерами домена и рядовыми компьютерами, сохраняя при этом открытый текст для присоединения к домену и других типов связи. Присоединение к домену, защищенному IPsec, разрешено при использованииNTLM v2, а если и то, и другое, контроллеры домена и рядовые компьютеры работают под управлением Windows Server 2008 и Windows Vista соответственно.

IPsec полностью поддерживает IPv6, AuthIP (который допускает вторую аутентификацию), интеграцию с NAP для аутентификации с помощью сертификата работоспособности, поддержку Network Diagnostics Framework для неудачного согласования IPsec, новые счетчики производительности IPsec и улучшенное обнаружение сбоя узла кластера и более быстрое повторное согласование ассоциации безопасности. Имеется поддержка более сильных алгоритмов согласования основного режима (более строгие алгоритмы DH и Suite B), а также целостности и шифрования данных (AES с CBC, AES-GMAC, SHA-256, AES-GCM).

Платформа сетевой диагностики (NDF) [ править ]

Ожидается, что возможность помочь пользователю в диагностике сетевой проблемы станет важной новой сетевой функцией. Существует обширная поддержка диагностики во время выполнения как для проводных, так и для беспроводных сетей, включая поддержку информационной базы TCP Management (MIB) -II, а также улучшенную регистрацию и отслеживание системных событий. Стек TCP / IP Vista также поддерживает ESTATS, который определяет расширенную статистику производительности для TCP и может помочь в определении причины узких мест в производительности сети. Windows Vista может информировать пользователя о большинстве причин сбоя передачи данных по сети, например о неправильном IP-адресе., неправильные настройки DNS и шлюза по умолчанию, сбой шлюза, используемый или заблокированный порт, приемник не готов, служба DHCP не работает, сбой разрешения имени NetBIOS через TCP / IP и т. д. причина ошибки. Windows Vista лучше осведомлена о топологии сети, в которой находится хост-компьютер, с использованием таких технологий, как Universal Plug and Play . С помощью этой новой технологии распознавания сети Windows Vista может помочь пользователю в устранении сетевых проблем или просто предоставить графическое представление предполагаемой конфигурации сети.

Платформа фильтрации Windows [ править ]

Сетевой стек Windows Vista включает в себя Windows Filtering Platform , ^[10] , которая позволяет внешним приложениям доступ и крюком в обработке пакетов трубопровода сетевой подсистемы. WFP позволяет фильтровать, анализировать или изменять входящие и исходящие пакеты на нескольких уровнях стека протоколов TCP / IP. Поскольку WFP имеет встроенный механизм фильтрации, приложениям не нужно писать какой-либо настраиваемый механизм, им просто нужно предоставить настраиваемую логику для использования этим механизмом. WFP включает базовый механизм фильтрации, который реализует запросы фильтрации. Затем пакеты обрабатываются с помощью Generic Filtering Engine , который также включает модуль Callout., где могут быть подключены приложения, обеспечивающие настраиваемую логику обработки. WFP можно использовать для таких целей, как проверка пакетов на наличие вредоносных программ, выборочное ограничение пакетов, например, в брандмауэрах, или предоставление пользовательских систем шифрования, среди прочего. После первоначального выпуска WFP страдала от ошибок, включая утечки памяти и состояния гонки. ^[11]

Брандмауэр Windows в Windows Vista реализована через МПП. ^[12]

Одноранговое общение [ править ]

Windows Vista включает значительную поддержку одноранговой сети с введением новых API-интерфейсов и протоколов. Представлена новая версия протокола разрешения имен одноранговых узлов (PNRP v2), а также набор API-интерфейсов одноранговой распределенной таблицы маршрутизации, однорангового графического отображения, группирования одноранговых узлов, именования одноранговых узлов и управления идентификацией одноранговых узлов. Контакты можно создавать и администрировать с помощью новой одноранговой подсистемы - присутствие без сервера позволяет пользователям управлять информацией о присутствии в реальном времени и отслеживать присутствие других зарегистрированных пользователей в подсети или в Интернете. Новая служба « Люди рядом со мной» позволяет обнаруживать и управлять контактами в одной подсети и использует контакты Windows.управлять и хранить контактную информацию; Новые возможности позволяют одноранговым узлам отправлять приглашения приложений другим одноранговым узлам (также поддерживается специальная совместная работа) без централизованного сервера. Конференц-зал Windows является примером такого приложения.

PNRP также позволяет создавать оверлейную сеть, называемую графиком . Каждый одноранговый узел в оверлейной сети соответствует узлу в графе. Все узлы в графе имеют общую бухгалтерскую информацию, отвечающую за функционирование сети в целом. Например, в сети управления распределенными ресурсами, у какого узла есть ресурс, который необходимо разделить. Такая информация передается в виде записей , которые передаются всем одноранговым узлам в графе. Каждый одноранговый узел хранит запись в локальной базе данных. Запись состоит из заголовка и тела. Тело содержит данные, относящиеся к приложению, использующему API; заголовок содержит метаданные для описания данных в теле в виде пар имя-значение, сериализованных с использованием XML, в дополнение к информации об авторе и версии. Он также может содержать индекс данных тела для быстрого поиска. Узел также может напрямую подключаться к другим узлам для связи, которая не должна использоваться совместно со всем Graph. API также позволяет создавать защищенную оверлейную сеть, называемую группой , состоящую из всех или подмножества узлов в Graph. Группа может использоваться несколькими приложениями, в отличие от Graph. Все одноранговые узлы в группе должны быть идентифицированы по уникальному имени, зарегистрированы с помощью PNRP и иметь сертификат цифровой подписи, называемый сертификатом члена группы (GMC). Все обмениваемые записи имеют цифровую подпись. Сверстники должны быть приглашены в группу. Приглашение содержит GMC, который позволяет ему присоединиться к группе.^[13]

Новая функция одноранговой сети Windows Internet Computer Names ( WICN ) позволяет машине, подключенной к IPv6, получить настраиваемое или уникальное доменное имя. Если компьютер подключен к Интернету, пользователи могут указать защищенное или незащищенное имя хоста для своего компьютера с помощью консольной команды без необходимости регистрировать доменное имя и настраивать динамический DNS. WICN можно использовать в любом приложении, которое принимает IP-адрес или DNS-имя; PNRP выполняет все разрешения доменных имен на одноранговом уровне.

Другая запланированная функция в Windows Vista должна была предоставить новую настройку сети, подобную домену, известную как Castle, но это не вошло в релиз. Castle сделал бы возможным наличие службы идентификации, которая обеспечивает аутентификацию пользователей для всех участников сети без централизованного сервера. Это позволило бы учетным данным пользователя распространяться по одноранговой сети, что сделало бы их более подходящими для домашней сети.

Люди рядом со мной [ править ]

People Near Me (ранее People Nearby ) - это одноранговая служба, предназначенная для упрощения взаимодействия и совместной работы между пользователями, подключенными к одной подсети. ^[14] Соседние со мной люди используются Windows Meeting Space для совместной работы и обнаружения контактов. ^{[15] «} Люди рядом со мной» были указаны как часть стратегии Microsoft для мобильных платформ, как было показано на конференции по проектированию оборудования Windows в 2004 году. ^[16]^{[17] «} Люди рядом со мной» используют контакты Windows для управления контактной информацией; по умолчанию пользователь может получать приглашения от всех пользователей, подключенных к одной и той же подсети, но пользователь может назначить другого пользователя в качестве доверенного контактадля обеспечения совместной работы в Интернете, повышения безопасности и определения наличия этих контактов. ^[18]^[19]

Фоновая интеллектуальная служба передачи [ править ]

Новая фоновая интеллектуальная служба передачи (BITS) 3.0 имеет новую функцию под названием Neighbor Casting, которая поддерживает одноранговую передачу файлов внутри домена . Это упрощает одноранговое кэширование , позволяет пользователям загружать и обслуживать контент (например, обновления WSUS ) от одноранговых узлов в той же подсети, получать уведомление при загрузке файла, получать доступ к временному файлу во время загрузки и управлять перенаправлениями HTTP. Это экономит полосу пропускания в сети и снижает нагрузку на сервер. BITS 3.0 также использует счетчики протокола устройства шлюза Интернета для более точного расчета доступной полосы пропускания.

Основные улучшения сетевого драйвера и API [ править ]

Драйвер режима ядра HTTP в Windows Vista, Http.sys был улучшен для поддержки проверки подлинности на стороне сервера, ведения журнала, имен хостов IDN, отслеживания событий и лучшей управляемости с помощью netsh http и новых счетчиков производительности. WinINet , обработчик протоколов для HTTP и FTP, обрабатывает буквальные адреса IPv6, включает поддержку Gzip и декомпрессии для повышения производительности кодирования контента, поддержку интернационализированных доменных имен и отслеживание событий. WinHTTP , клиентский API для серверных приложений и служб, поддерживает IPv6, AutoProxy , кодирование фрагментированной передачи HTTP / 1.1 , загрузку больших объемов данных, SSL исертификаты клиентов , аутентификация сервера и прокси, автоматическая обработка перенаправлений и соединений keep-alive и протокол HTTP / 1.0, включая поддержку соединений keep-alive (постоянных) и сессионных куки. Winsock был обновлен новыми API-интерфейсами и поддержкой отслеживания событий. Поддержка Winsock Layered Service Provider была расширена за счет регистрируемых установок и удалений, нового API для надежной установки LSP, команды для надежного удаления LSP, средств для категоризации LSP и удаления большинства LSP из пути обработки для критически важных для системы сервисов и поддержки сети Платформа диагностики.

Ядро Winsock [ править ]

Winsock Kernel (WSK) - это новый транспортно-независимый сетевой программный интерфейс (NPI) в режиме ядра, который предоставляет разработчикам клиентов TDI модель программирования, подобную сокетам, аналогичную тем, которые поддерживаются в Winsock в пользовательском режиме . Хотя большинство концепций программирования сокетов существует, как и в Winsock в пользовательском режиме, таких как сокеты, создание, привязка, подключение, принятие, отправка и получение, Winsock Kernel - это совершенно новый программный интерфейс с уникальными характеристиками, такими как асинхронный ввод-вывод, который использует IRP и обратные вызовы событий для повышения производительности. TDI поддерживается в Windows Vista для обеспечения обратной совместимости.

Блок сообщений сервера 2.0 [ править ]

Новая версия протокола Server Message Block (SMB) была представлена в Windows Vista. ^[20] В него внесен ряд изменений для повышения производительности и добавления дополнительных возможностей. Операционные системы Windows Vista и более поздних версий используют протокол SMB 2.0 при обмене данными с другими машинами, работающими под управлением Windows Vista или более поздних версий. SMB 1.0 продолжает использоваться для подключения к любой предыдущей версии Windows или Samba . Samba 3.6 также включает поддержку SMB 2.0. ^[21]

Удаленное дифференциальное сжатие [ править ]

Удаленное дифференциальное сжатие (RDC) - это протокол синхронизации клиент-сервер, позволяющий синхронизировать данные с удаленным источником с помощью методов сжатия, чтобы минимизировать объем данных, отправляемых по сети. Он синхронизирует файлы, вычисляя и передавая только различия между ними на лету. Следовательно, RDC подходит для эффективной синхронизации файлов, которые были обновлены независимо, или когда пропускная способность сети мала, или в сценариях, где файлы большие, но различия между ними невелики.

Поддержка Bluetooth [ править ]

Windows Vista Bluetooth стек улучшена поддержка большего количества аппаратных идентификаторов, повышения производительности EDR, адаптивный скачкообразной перестройки частоты для Wi-Fi сосуществовании и синхронное соединение Oriented поддержки протокола (ШОС) , которая необходима для звуковых профилей. ^[22] Стек Windows Vista Bluetooth поддерживает интерфейс драйвера устройства в режиме ядра.помимо интерфейса программирования пользовательского режима, который позволяет третьим сторонам добавлять поддержку дополнительных профилей Bluetooth, таких как SCO, SDP и L2CAP. Этого не хватало во встроенном стеке Bluetooth Windows XP Service Pack 2, который пришлось полностью заменить на сторонний стек для поддержки дополнительных профилей. Он также обеспечивает поддержку RFCOMM с использованием сокетов помимо виртуальных COM-портов. ^[23] KB942567, называемый Windows Vista Feature Pack for Wireless, добавляет поддержку Bluetooth 2.1 + EDR и поддержку удаленного пробуждения из S3 или S4 для модулей Bluetooth с автономным питанием. ^[22] Этот пакет функций изначально был доступен только OEM-производителям, но в конечном итоге был включен в пакет обновления 2 для Windows Vista.

Виртуальная частная сеть (VPN) [ править ]

Windows Vista и более поздние версии поддерживают использование PEAP с PPTP. Поддерживаемые механизмы аутентификации: PEAPv0 / EAP-MSCHAPv2 (пароли) и PEAP-TLS (смарт-карты и сертификаты).
Протокол безопасного туннелирования сокетов (SSTP), представленный в Windows Vista с пакетом обновления 1 (SP1), представляет собой формутуннеля VPN, который обеспечивает механизм для передачитрафика PPP или L2TP черезканал SSL 3.0. SSL обеспечивает безопасность на транспортном уровне с согласованием ключей, шифрованием и проверкой целостности трафика.

Ссылки [ править ]

^ a b «Стек TCP / IP нового поколения в Windows Vista и Windows Server 2008» . Кабельщик . Проверено 5 октября 2007 .
^ «Новые сетевые функции в Windows Server 2008 и Windows Vista» . Microsoft TechNet . Microsoft. 15 февраля 2006 . Проверено 29 апреля 2006 .
^ «Явное уведомление о перегрузке (ECN) для TCP / IP» .
^ «Повышение производительности в стеке TCP / IP следующего поколения» . Проверено 8 апреля 2007 .
^ «QoS в Windows Server 2008 и Windows Vista» . Проверено 18 мая 2007 .
^ «Поддержка WiFi QoS в Windows Vista: WMM» . Проверено 20 июля 2007 .
^ a b c d e "Качество звука и видео в Windows - qWave" . Microsoft . Архивировано из оригинала на 2007-07-13 . Проверено 9 октября 2007 .
^ EAPHost в Windows
^ Функция «Маршрутизация отсеков» удалена (стенограмма чата Windows Server 2008)
^ «Платформа фильтрации Windows» . ВСБМ . Microsoft. 13 мая 2004 . Проверено 25 апреля 2006 .
^ "Накопительный пакет исправлений драйвера WFP (981889)" . Microsoft. 27 августа 2010 . Проверено 18 сентября 2011 .
^ Microsoft . «Платформа фильтрации Windows» . MSDN . Проверено 20 сентября 2015 года .
^ «Одноранговая инфраструктура» . Microsoft . Проверено 16 октября 2007 .
^ Microsoft (2003). «Контакты» . MSDN . Архивировано 14 июня 2004 года . Проверено 31 июля 2015 года .
^ Microsoft . «Пошаговое руководство для конференц-зала Windows Vista Windows» . TechNet . Проверено 4 июня 2015 года .
^ Suokko Матти (2004). «Windows для мобильных ПК и планшетных ПК - 2005 г. и далее» . Microsoft . Архивировано из оригинала (ППД) на 14 декабря 2005 года . Проверено 15 июля 2015 года .
^ Рыба, Даррин (2004). «Windows для мобильных ПК и планшетных ПК - 2004 год» . Microsoft . Архивировано из оригинала (ППД) на 14 декабря 2005 года . Проверено 15 июля 2015 года .
^ «Люди рядом со мной: часто задаваемые вопросы» . Microsoft . Архивировано из оригинального 28 сентября 2015 года . Проверено 20 сентября 2015 года .
^ «Люди рядом со мной» . TechNet . 27 сентября 2006 . Проверено 14 августа 2020 года .
^ Навджот Virk и Prashanth Prahalad (10 марта 2006). «Что нового в SMB в Windows Vista» . Chk Your Dsks . MSDN . Проверено 1 мая 2006 .
^ Эндрю Tridgell (12 сентября 2006). «Изучение протокола SMB2» (PDF) .
^ a b Часто задаваемые вопросы о беспроводной технологии Bluetooth
^ «USB / 1394 на ПК» . Архивировано из оригинала на 2012-02-15 . Проверено 4 декабря 2010 .

Внешние ссылки [ править ]

Корпоративная сеть с Windows Vista
Подключение к беспроводным сетям с Windows Vista
Архитектура QoS на основе политик в Windows Server 2008 и Windows Vista
Базовая сеть Windows

[arch-1] «Стек TCP / IP нового поколения в Windows Vista и Windows Server 2008» . Кабельщик . Проверено 5 октября 2007 .

[2] «Новые сетевые функции в Windows Server 2008 и Windows Vista» . Microsoft TechNet . Microsoft. 15 февраля 2006 . Проверено 29 апреля 2006 .

[3] «Явное уведомление о перегрузке (ECN) для TCP / IP» .

[4] «Повышение производительности в стеке TCP / IP следующего поколения» . Проверено 8 апреля 2007 .

[5] «QoS в Windows Server 2008 и Windows Vista» . Проверено 18 мая 2007 .

[6] «Поддержка WiFi QoS в Windows Vista: WMM» . Проверено 20 июля 2007 .

[qwave-7] "Качество звука и видео в Windows - qWave" . Microsoft . Архивировано из оригинала на 2007-07-13 . Проверено 9 октября 2007 .

[8] EAPHost в Windows

[9] Функция «Маршрутизация отсеков» удалена (стенограмма чата Windows Server 2008)

[10] «Платформа фильтрации Windows» . ВСБМ . Microsoft. 13 мая 2004 . Проверено 25 апреля 2006 .

[11] "Накопительный пакет исправлений драйвера WFP (981889)" . Microsoft. 27 августа 2010 . Проверено 18 сентября 2011 .

[WFP-12] Microsoft . «Платформа фильтрации Windows» . MSDN . Проверено 20 сентября 2015 года .

[13] «Одноранговая инфраструктура» . Microsoft . Проверено 16 октября 2007 .

[WindowsVistaContacts-14] Microsoft (2003). «Контакты» . MSDN . Архивировано 14 июня 2004 года . Проверено 31 июля 2015 года .

[StepbyStepGuide-15] Microsoft . «Пошаговое руководство для конференц-зала Windows Vista Windows» . TechNet . Проверено 4 июня 2015 года .

[MobilePCs-16] Suokko Матти (2004). «Windows для мобильных ПК и планшетных ПК - 2005 г. и далее» . Microsoft . Архивировано из оригинала (ППД) на 14 декабря 2005 года . Проверено 15 июля 2015 года .

[MobilePCs04-17] Рыба, Даррин (2004). «Windows для мобильных ПК и планшетных ПК - 2004 год» . Microsoft . Архивировано из оригинала (ППД) на 14 декабря 2005 года . Проверено 15 июля 2015 года .

[PeopleNearMeFAQ-18] «Люди рядом со мной: часто задаваемые вопросы» . Microsoft . Архивировано из оригинального 28 сентября 2015 года . Проверено 20 сентября 2015 года .

[PeopleNearMeTechNet-19] «Люди рядом со мной» . TechNet . 27 сентября 2006 . Проверено 14 августа 2020 года .

[smb2-20] Навджот Virk и Prashanth Prahalad (10 марта 2006). «Что нового в SMB в Windows Vista» . Chk Your Dsks . MSDN . Проверено 1 мая 2006 .

[21] Эндрю Tridgell (12 сентября 2006). «Изучение протокола SMB2» (PDF) .

[MSBTFAQ-22] Часто задаваемые вопросы о беспроводной технологии Bluetooth

[23] «USB / 1394 на ПК» . Архивировано из оригинала на 2012-02-15 . Проверено 4 декабря 2010 .

[1]