Сетевые технологии Windows Vista

В области вычислений Microsoft , представили Windows Vista и Windows Server 2008 в 2007/2008 году новый сетевой стек названный стеком TCP/IP следующего поколения . ^[1]улучшить предыдущий стек несколькими способами. ^[2]Стек включает в себя встроенную реализацию IPv6 , а также полную переработку IPv4. В новом стеке TCP/IP используется новый метод хранения параметров конфигурации, который обеспечивает более динамичное управление и не требует перезагрузки компьютера после изменения настроек. Новый стек, реализованный как модель с двумя стеками , зависит от мощной хост-модели и имеет инфраструктуру, позволяющую использовать больше модульных компонентов, которые можно динамически вставлять и удалять.

Архитектура

Стек TCP/IP следующего поколения подключается к сетевым картам через драйвер спецификации интерфейса сетевого драйвера (NDIS). Сетевой стек, реализованный в tcpip.sys реализует транспортный , сетевой и канальный уровни модели TCP/IP . Транспортный уровень включает реализации TCP , UDP и неформатированных протоколов RAW . На сетевом уровне протоколы IPv4 и IPv6 реализованы в двухстековой архитектуре. Уровень канала передачи данных (также называемый уровнем кадрирования ) реализует 802.3 , 802.1 , PPP , Loopback и протоколы туннелирования . На каждом уровне могут размещаться прокладки платформы фильтрации Windows (WFP), что позволяет анализировать пакеты на этом уровне, а также размещать API вызова WFP. Сетевой API предоставляется через три компонента: ^[1]

Уинсок: API пользовательского режима для абстрагирования сетевого взаимодействия с использованием сокетов и портов . Сокеты дейтаграмм используются для UDP , тогда как сокеты Stream — для TCP . Хотя Winsock является библиотекой пользовательского режима, для реализации определенных функций она использует драйвер режима ядра , называемый драйвером вспомогательной функции (AFD).
Ядро Winsock (WSK): API режима ядра, обеспечивающий ту же абстракцию сокетов и портов, что и Winsock , но при этом предоставляющий другие функции, такие как асинхронный ввод-вывод с использованием пакетов запросов ввода-вывода .
Интерфейс транспортного драйвера (TDI): API режима ядра , который можно использовать для устаревших протоколов, таких как NetBIOS . Он включает в себя компонент, известный как TDX , который отображает функциональность TDI в сетевом стеке.

Пользовательский интерфейс

Пользовательский интерфейс настройки, устранения неполадок и работы с сетевыми подключениями также существенно изменился по сравнению с предыдущими версиями Windows. Пользователи могут использовать новый «Центр управления сетями и общим доступом», чтобы видеть состояние своих сетевых подключений и получать доступ ко всем аспектам конфигурации. Один значок в области уведомлений (на панели задач) обозначает возможность подключения через все сетевые адаптеры, как проводные, так и беспроводные. Сеть можно просматривать с помощью Network Explorer , который заменяет в Windows XP «Мое сетевое окружение» . Элементами Network Explorer могут быть общие устройства, например сканер или общий файловый ресурс. Служба Network Location Awareness (NLA) уникально идентифицирует каждую сеть и раскрывает атрибуты сети и тип подключения, чтобы приложения могли определить оптимальную конфигурацию сети. Однако приложения должны явно использовать API-интерфейсы NLA, чтобы быть в курсе изменений сетевого подключения и соответствующим образом адаптироваться. Windows Vista использует обнаружение топологии канального уровня. (LLTD) для графического представления того, как различные устройства подключаются по сети, в виде карты сети . Кроме того, карта сети использует LLTD для определения информации о подключении и типа носителя (проводной или беспроводной), поэтому карта является топологически точной. Возможность знать топологию сети важна для диагностики и решения сетевых проблем, а также для потоковой передачи контента через сетевое соединение. Любое устройство может реализовать LLTD, чтобы оно отображалось на карте сети со значком, обозначающим устройство, что позволяет пользователям одним щелчком мыши получить доступ к пользовательскому интерфейсу устройства. Когда вызывается LLTD, он предоставляет метаданные об устройстве, которые содержат статическую информацию или информацию о состоянии, такую как MAC-адрес , адрес IPv4/IPv6, уровень сигнала и т. д.

Классификация сетей по местоположению

Windows Vista классифицирует сети, к которым она подключается, как общедоступные , частные или доменные , и использует распознавание сетевого расположения для переключения между типами сетей. Различные типы сетей имеют разные политики брандмауэра. Открытая сеть, например общедоступная беспроводная сеть, классифицируется как общедоступная и имеет наиболее строгие ограничения из всех сетевых настроек. В этом режиме другим компьютерам в сети не доверяют, а внешний доступ к компьютеру, включая общий доступ к файлам и принтерам, отключен. Домашняя сеть классифицируется как частная и позволяет обмениваться файлами между компьютерами. Если компьютер присоединен к домену, сеть классифицируется как сеть домена ; в такой сети политики устанавливаются контроллером домена . При первом подключении к сети Windows Vista предлагает выбрать правильный тип сети. При последующих подключениях к сети сервис используется для получения информации о том, к какой сети подключено, и автоматического переключения на сетевую конфигурацию для подключенной сети. В Windows Vista представлена концепция сетевых профилей. Для каждой сети система сохраняет IP-адрес , DNS-сервер , прокси-сервер и другие сетевые функции, специфичные для сети, в профиле этой сети. Поэтому при последующем подключении к этой сети настройки не нужно перенастраивать, используются те, которые сохранены в ее профиле. В случае мобильных машин профили сети выбираются автоматически в зависимости от доступных сетей. Каждый профиль является частью общедоступной , частной или доменной сети.

Интернет-протокол v6

Сетевой стек Windows Vista поддерживает двухуровневую архитектуру Интернет-протокола (IP), в которой реализации IPv4 и IPv6 используют общие уровни транспорта и кадрирования . Windows Vista предоставляет графический интерфейс для настройки свойств IPv4 и IPv6. IPv6 теперь поддерживается всеми сетевыми компонентами и службами. DNS-клиент Windows Vista может использовать транспорт IPv6. Internet Explorer в Windows Vista и другие приложения, использующие WinINet (Почта Windows, общий доступ к файлам), поддерживают буквальные адреса IPv6 ( RFC 2732 ). Брандмауэр Windows и оснастка «Политики IPsec» поддерживают адреса IPv6 как допустимые строки символов. В режиме IPv6 Windows Vista может использовать протокол разрешения локальных многоадресных имен (LLMNR), как описано в разделе RFC 4795 для разрешения имен локальных хостов в сети, в которой нет работающего DNS-сервера . Эта услуга полезна для сетей без центрального управляющего сервера, а также для одноранговых беспроводных сетей . IPv6 также можно использовать через PPP коммутируемое соединение и соединения PPPoE . Windows Vista также может выступать в качестве клиента/сервера для обмена файлами или DCOM через IPv6. поддержка DHCPv6 Также включена , который можно использовать с IPv6. IPv6 можно использовать даже тогда, когда полноценное подключение IPv6 недоступно, используя туннелирование Teredo ; это может даже проходить через большинство симметричных преобразований сетевых адресов (NAT) IPv4. полная поддержка многоадресной рассылки Также включена через протоколы MLDv2 и SSM . Идентификатор интерфейса IPv6 генерируется случайным образом для постоянных автоматически настроенных адресов IPv6, чтобы предотвратить определение MAC-адреса на основе известных идентификаторов компаний производителей сетевых карт.

Беспроводные сети

Поддержка беспроводных сетей встроена в сам сетевой стек в виде нового набора API под названием Native Wifi и не эмулирует проводные соединения, как это было в предыдущих версиях Windows. Это позволяет реализовать специфические для беспроводной связи функции, такие как большие размеры кадров и оптимизированные процедуры восстановления после ошибок. Собственный Wi-Fi предоставляется модулем автоматической настройки (ACM), который заменяет беспроводную нулевую конфигурацию Windows XP . ACM является расширяемым, поэтому разработчики могут включать дополнительные функции беспроводной связи (например, автоматический беспроводной роуминг) и переопределять автоматическую настройку и логику подключения, не затрагивая встроенную платформу. Легче найти беспроводные сети в радиусе действия и определить, какие сети открыты, а какие закрыты. скрытые беспроводные сети, которые не рекламируют свое имя ( SSID Лучше поддерживаются ). Безопасность беспроводных сетей повышена за счет улучшенной поддержки новых стандартов беспроводной связи, таких как 802.11i . EAP-TLS — это режим аутентификации по умолчанию. Соединения выполняются на самом безопасном уровне соединения, поддерживаемом точкой беспроводного доступа. WPA2 можно использовать даже в режиме ad-hoc. Windows Vista также предоставляет услугу быстрого роуминга , которая позволит пользователям перемещаться от одной точки доступа к другой без потери соединения. Предварительную аутентификацию с новой точкой беспроводного доступа можно использовать для сохранения подключения. Беспроводные сети управляются либо из диалогового окна «Подключение к сети» в графическом интерфейсе, либо с помощью команды netsh wlan из оболочки. Параметры беспроводных сетей также можно настроить с помощью групповой политики .

Windows Vista повышает безопасность при присоединении к домену по беспроводной сети. Он может использовать единый вход, чтобы использовать одни и те же учетные данные для подключения к беспроводной сети, а также к домену, находящемуся в сети. В этом случае один и тот же сервер RADIUS используется как для аутентификации PEAP для присоединения к сети, так и для аутентификации MS-CHAP v2 для входа в домен. На беспроводном клиенте также можно создать загрузочный профиль беспроводной сети, который сначала проверяет подлинность компьютера в беспроводной сети и присоединяется к ней. На этом этапе машина все еще не имеет доступа к ресурсам домена. Машина запустит сценарий, хранящийся либо в системе, либо на флэш-накопителе USB, который аутентифицирует ее в домене. Аутентификацию можно выполнить либо с использованием комбинации имени пользователя и пароля, либо с помощью сертификатов безопасности от поставщика инфраструктуры открытых ключей (PKI), такого как VeriSign .

Настройка и настройка беспроводной сети

В Windows Vista имеется функция Windows Connect Now , которая поддерживает настройку беспроводной сети с помощью нескольких методов, поддерживаемых стандартом Wi-Fi Protected Setup . Он реализует API собственного кода, веб-службы для устройств (WSDAPI) для поддержки профиля устройств для веб-служб (DPWS), а также реализацию управляемого кода в WCF . DPWS упрощает обнаружение устройств, например UPnP, и описывает доступные услуги для этих клиентов. Обнаружение функций — это новая технология, которая служит уровнем абстракции между приложениями и устройствами, позволяя приложениям обнаруживать устройства, ссылаясь на функцию устройства, а не по типу его шины или характеру его соединения. Расширения Plug and Play (PnP-X) позволяют подключенным к сети устройствам выглядеть как локальные устройства внутри Windows, подключенные физически. Поддержка UPnP также была расширена за счет интеграции с PnP-X и Function Discovery .

Производительность сети

Сетевой стек Windows Vista также использует несколько оптимизаций производительности, которые обеспечивают более высокую пропускную способность за счет более быстрого восстановления после потери пакетов при использовании среды с высокой потерей пакетов, такой как беспроводные сети. Windows Vista использует NewReno ( RFC 2582 ) алгоритм, который позволяет отправителю отправлять больше данных при повторной попытке в случае, если он получает частичное подтверждение, которое является подтверждением от получателя только для части полученных данных. Он также использует выборочные подтверждения ( SACK ) для уменьшения объема данных, подлежащих повторной передаче в случае, если часть отправленных данных не была получена правильно, и прямое восстановление RTO (F-RTO) для предотвращения ненужной повторной передачи сегментов TCP при двустороннем пути. время увеличивается. Он также включает возможность обнаружения недоступности соседних узлов как в IPv4, так и в IPv6, которая отслеживает доступность соседних узлов. Это позволяет быстрее восстанавливать ошибки в случае сбоя соседнего узла. NDIS 6.0, представленный в Windows Vista, поддерживает разгрузку трафика IPv6 и расчеты контрольной суммы для IPv6, улучшенную управляемость, масштабируемость и производительность с уменьшенной сложностью мини-портов NDIS, а также более простые модели для написания облегченных драйверов фильтров (LWF). Драйверы LWF представляют собой комбинацию промежуточных драйверов NDIS и драйвера минипорта, которые устраняют необходимость написания отдельного протокола и минипорта и имеют режим обхода для проверки только выбранных путей управления и данных. Стек TCP/IP также обеспечивает поддержку возврата при изменении шлюза по умолчанию, периодически пытаясь отправить TCP-трафик через ранее обнаруженный недоступный шлюз. Это может обеспечить более высокую пропускную способность за счет отправки трафика через основной шлюз по умолчанию в подсети.

Еще одним существенным изменением, направленным на повышение пропускной способности сети, является автоматическое изменение размера окна приема TCP . Окно приема ( RWIN ) определяет, какой объем данных хост готов принять, и ограничивается, среди прочего, доступным буферным пространством. Другими словами, это мера того, какой объем данных может отправить удаленный передатчик, прежде чем потребуется подтверждение для ожидающих данных. Когда окно приема слишком мало, удаленный передатчик часто обнаруживает, что он достиг предела того, сколько ожидающих данных он может передать, даже если имеется достаточная полоса пропускания для передачи большего количества данных. Это приводит к неполному использованию канала. Таким образом, использование большего размера RWIN увеличивает пропускную способность в таких ситуациях; RWIN с автоматической настройкой пытается поддерживать пропускную способность настолько высокой, насколько это позволяет пропускная способность канала. Функция автоматической настройки окна приема постоянно контролирует пропускную способность и задержку TCP-соединений индивидуально и оптимизирует окно приема для каждого соединения. Размер окна увеличивается при высокой пропускной способности (~5 Мбит/с+) или ситуации с высокой задержкой (>10 мс).

Традиционные реализации TCP используют алгоритм TCP Slow Start, чтобы определить, насколько быстро он может передавать данные, не блокируя получателя (или промежуточные узлы). Короче говоря, он указывает, что передача должна начинаться с медленной скоростью, передавая несколько пакетов. Это число контролируется окном перегрузки , которое определяет количество невыполненных пакетов, которые были переданы, но для которых еще не было получено подтверждение приема от получателя. По мере получения подтверждений окно перегрузки расширяется на один TCP-сегмент за раз, пока подтверждение не перестанет приходить. Затем отправитель предполагает, что при размере окна перегрузки в данный момент сеть становится перегруженной. Однако сеть с высокой пропускной способностью может выдерживать довольно большое окно перегрузки без перегрузок. Алгоритму медленного старта может потребоваться довольно много времени, чтобы достичь этого порога, в результате чего сеть будет использоваться недостаточно в течение значительного времени.

Новый стек TCP/IP также поддерживает явное уведомление о перегрузке (ECN), чтобы минимизировать снижение пропускной способности из-за перегрузки сети . Без ECN сегмент сообщения TCP отбрасывается каким-либо маршрутизатором, когда его буфер заполнен. Хосты не получают уведомления о перегрузке до тех пор, пока пакеты не начнут отбрасываться. Отправитель обнаруживает, что сегмент не дошел до места назначения; но из-за отсутствия обратной связи от перегруженного маршрутизатора он не имеет информации о степени снижения скорости передачи, которую ему необходимо сделать. Стандартные реализации TCP обнаруживают это падение, когда истекает время ожидания подтверждения от получателя. Затем отправитель уменьшает размер своего окна перегрузки , которое представляет собой ограничение на объем передаваемых данных в любой момент времени. Несколько отбрасываний пакетов могут даже привести к сбросу окна перегрузки до максимального размера сегмента TCP и медленному запуску TCP . Экспоненциальная отсрочка и только аддитивное увеличение обеспечивают стабильное поведение сети, позволяя маршрутизаторам восстанавливаться после перегрузки. Однако отбрасывание пакетов оказывает заметное влияние на чувствительные ко времени потоки, такие как потоковое мультимедиа, поскольку для обнаружения и повторной передачи отбрасывания требуется время. При включенной поддержке ECN маршрутизатор устанавливает два бита в пакетах данных, которые указывают получателю, что он испытывает перегрузку (но еще не полностью заблокирован). Получатель, в свою очередь, сообщает отправителю, что маршрутизатор сталкивается с перегрузкой, а затем отправитель на некоторую величину снижает скорость передачи. Если маршрутизатор по-прежнему перегружен, он снова установит биты, и в конечном итоге отправитель замедлится еще больше. Преимущество этого подхода заключается в том, что маршрутизатор не заполняется достаточно, чтобы отбрасывать пакеты, и, следовательно, отправителю не нужно значительно снижать скорость передачи, чтобы вызвать серьезные задержки в чувствительных ко времени потоках; при этом он не рискует серьезно недоиспользовать полосу пропускания. Без ECN единственный способ, которым маршрутизаторы могут сообщить хостам что-либо, — это отбросить пакеты. ECN это как Случайное раннее отбрасывание , за исключением того, что пакеты помечаются, а не отбрасываются. Единственное предостережение заключается в том, что и отправитель, и получатель, а также все промежуточные маршрутизаторы должны поддерживать ECN. Любой маршрутизатор на этом пути может предотвратить использование ECN, если он считает пакеты, помеченные ECN, недействительными и отбрасывает их (или, что более типично, вся установка соединения завершается сбоем из-за части сетевого оборудования, которая отбрасывает пакеты настройки соединения с установленными флагами ECN). Маршрутизаторы, которые не знают об ECN, все равно могут нормально отбрасывать пакеты, но в Интернете есть некоторое враждебное ECN сетевое оборудование. По этой причине ECN по умолчанию отключен. Его можно включить через netsh interface tcp set global ecncapability=enabled команда. ^[3]

В предыдущих версиях Windows вся обработка, необходимая для получения или передачи данных через один сетевой интерфейс, выполнялась одним процессором, даже в многопроцессорной системе. Благодаря поддерживаемым сетевым адаптерам Windows Vista может распределять работу по обработке трафика в сети между несколькими процессорами. Эта функция называется масштабированием на стороне приема . Windows Vista также поддерживает сетевые карты с механизмом разгрузки TCP , которые обладают определенными функциями, связанными с TCP/IP с аппаратным ускорением. Windows Vista использует свою систему разгрузки TCP Chimney для разгрузки на такие карты задач по кадрированию, маршрутизации, исправлению ошибок, подтверждению и повторной передаче, необходимых в TCP. Однако для совместимости приложений на сетевой адаптер передаются только функции передачи данных TCP, а не настройка TCP-соединения. Это снимет некоторую нагрузку с процессора. Обработку трафика как в IPv4, так и в IPv6 можно разгрузить. Windows Vista также поддерживает NetDMA, который использует механизм DMA, чтобы освободить процессоры от необходимости перемещать данные между буферами данных сетевой карты и буферами приложений. Для этого требуются определенные аппаратные архитектуры DMA, такие как Intel I/O Acceleration должно быть включено.

Соединение TCP

Compound TCP — это модифицированный алгоритм предотвращения перегрузки TCP , предназначенный для повышения производительности сети во всех приложениях. Он не включен по умолчанию в версии Windows Vista до Service Pack 1, но включен в SP1 и Windows Server 2008. Он использует другой алгоритм для изменения окна перегрузки — заимствование из TCP Vegas и TCP New Reno . Для каждого полученного подтверждения окно перегрузки увеличивается более агрессивно, таким образом достигая пиковой пропускной способности гораздо быстрее, увеличивая общую пропускную способность. ^[4]

Качество обслуживания

Сетевой стек Windows Vista включает интегрированную функциональность качества обслуживания (QoS) на основе политик для определения приоритетов сетевого трафика. Качество обслуживания можно использовать для управления использованием сети конкретными приложениями или пользователями путем регулирования доступной им полосы пропускания или для ограничения использования полосы пропускания другими приложениями, когда приложения с высоким приоритетом, такие как приложения для проведения конференций в реальном времени, работать, чтобы гарантировать, что они получают необходимую им пропускную способность. Регулирование трафика также можно использовать для предотвращения использования всей доступной полосы пропускания при больших операциях передачи данных. Политики QoS могут быть ограничены именем исполняемого файла приложения, путем к папке, адресами IPv4 или IPv6 источника и назначения, портами TCP или UDP источника и назначения или диапазоном портов. В Windows Vista политики QoS могут применяться к любому приложению на сетевом уровне , что устраняет необходимость переписывать приложения с использованием API-интерфейсов QoS, чтобы они учитывали QoS. Политики QoS могут быть установлены для каждой машины отдельно или Active Directory Объекты групповой политики , которые гарантируют, что все клиенты Windows Vista подключены к контейнеру Active Directory (домену, сайту или организационному подразделению). ^[5] будет применять настройки политики.

Windows Vista поддерживает классы профиля Wireless Multimedia (WMM) для QoS в беспроводных сетях, сертифицированные Wi-Fi Alliance : BG (для фоновых данных), BE (для наилучших данных не в реальном времени), VI (для видео в реальном времени). и VO (для голосовых данных в реальном времени). ^[6] Когда и точка беспроводного доступа, и беспроводной сетевой адаптер поддерживают профили WMM, Windows Vista может обеспечить приоритетный режим отправляемых данных.

qWave

Windows Vista включает специализированный API QoS под названием qWave ( Quality Windows Audio/Video Experience ), ^[7] который представляет собой предварительно настроенный модуль качества обслуживания для зависящих от времени мультимедийных данных, таких как аудио- или видеопотоки. qWave использует различные схемы приоритета пакетов для потоков в реальном времени (например, мультимедийных пакетов) и потоков с максимальными усилиями (например, загрузки файлов или электронной почты), чтобы гарантировать, что данные в реальном времени получают как можно меньшие задержки, обеспечивая при этом высокую скорость передачи данных. канал качества для других пакетов данных.

qWave предназначен для обеспечения передачи мультимедийных данных в режиме реального времени внутри беспроводной сети. qWave поддерживает несколько одновременных потоков мультимедиа, а также потоков данных. qWave не зависит исключительно от схем резервирования полосы пропускания, предоставляемых RSVP для обеспечения гарантий QoS, поскольку полоса пропускания в беспроводной сети постоянно колеблется. В результате он также использует непрерывный мониторинг пропускной способности для реализации гарантий обслуживания. ^[7]

Приложения должны явно использовать API-интерфейсы qWave для использования службы. Когда мультимедийное приложение запрашивает qWave инициировать новый медиапоток, qWave пытается зарезервировать полосу пропускания с помощью RSVP . В то же время он использует зонды QoS, чтобы убедиться, что сеть имеет достаточную пропускную способность для поддержки потока. Если условия соблюдены, поток разрешается и ему присваивается приоритет, чтобы другие приложения не занимали его долю полосы пропускания. Однако факторы окружающей среды могут повлиять на прием беспроводных сигналов, что может уменьшить полосу пропускания, даже если ни одному другому потоку не разрешен доступ к зарезервированной полосе пропускания. Благодаря этому qWave постоянно отслеживает доступную пропускную способность, и если она уменьшается, приложение информируется об этом, создавая петлю обратной связи , чтобы оно могло адаптировать поток для соответствия более низкому диапазону пропускной способности. Если доступна дополнительная полоса пропускания, qWave автоматически резервирует ее и сообщает приложению об улучшении. ^[7]

Для проверки качества сети тестовые пакеты отправляются источнику, и статистика (например, время прохождения туда и обратно, потери, задержка и т. д.) их пути анализируется, а результаты кэшируются. Проверка повторяется через определенные интервалы времени для обновления кэша. Всякий раз, когда запрашивается поток, производится поиск кэша. qWave также сериализует создание нескольких одновременных потоков, даже на разных устройствах, так что зонды, отправленные для одного потока, не мешают другим. qWave использует буферы на стороне клиента, чтобы поддерживать скорость передачи данных в пределах самой медленной части сети, чтобы буферы точек доступа не были перегружены, тем самым уменьшая потерю пакетов. ^[7]

qWave работает лучше всего, если и источник, и приемник (клиент) мультимедийного потока поддерживают qWave. Кроме того, точка беспроводного доступа (AP) должна поддерживать качество обслуживания и резервирование полосы пропускания. Он также может работать без точек доступа, поддерживающих QoS; однако, поскольку в этом случае qWave не может зарезервировать полосу пропускания, ему приходится зависеть от приложения, чтобы адаптировать поток на основе доступной пропускной способности, на которую будут влиять не только условия сети, но и другие данные в сети. qWave также доступен для других устройств как часть технологий Windows Rally . ^[7]

Сетевая безопасность

Чтобы обеспечить лучшую безопасность при передаче данных по сети, Windows Vista предоставляет усовершенствования криптографических алгоритмов, используемых для сокрытия данных. поддержка 256-битных, 384-битных и 512-битных алгоритмов Эллиптической кривой Диффи-Хеллмана (ECDH), а также 128-битного, 192-битного и 256-битного расширенного стандарта шифрования В сетевой стек включена (AES). сам. Прямая поддержка SSL- соединений в новом Winsock API позволяет приложениям сокетов напрямую контролировать безопасность своего трафика в сети (например, предоставлять политику безопасности и требования к трафику, запрашивать настройки безопасности) вместо необходимости добавлять дополнительный код для поддержки безопасного соединения. Компьютеры под управлением Windows Vista могут быть частью логически изолированных сетей в домене Active Directory . Только компьютеры, находящиеся в одном логическом разделе сети, смогут получить доступ к ресурсам домена. Несмотря на то, что другие системы могут физически находиться в той же сети, они не смогут получить доступ к разделенным ресурсам, если только они не находятся в том же логическом разделе. Система может быть частью нескольких сетевых разделов.

Windows Vista также включает в себя платформу расширяемого протокола аутентификации (EAPHost), которая обеспечивает расширяемость методов аутентификации для широко используемых технологий защищенного доступа к сети, таких как 802.1X и PPP. ^[8] Это позволяет поставщикам сетевых услуг разрабатывать и легко устанавливать новые методы аутентификации, известные как методы EAP.

для каждого пользователя Запланированная функция в новом пакете TCP/IP, известная как «Отделы маршрутизации», использовала таблицу маршрутизации , таким образом разделяя сеть на части в соответствии с потребностями пользователя, чтобы данные из одного сегмента не попадали в другой. Однако эта функция была удалена до выпуска Windows Vista и, возможно, будет включена в будущую версию Windows. ^[9]

Защита доступа к сети

В Windows Vista также реализована защита доступа к сети (NAP), которая гарантирует, что компьютеры, подключающиеся к сети, соответствуют требуемому уровню работоспособности системы , установленному администратором сети. При включенной NAP в сети, когда компьютер с Windows Vista пытается подключиться к сети, проверяется, что на компьютере установлены последние обновления безопасности, сигнатуры вирусов и другие факторы, включая конфигурацию IPsec и 802.1x параметры аутентификации . указанный сетевым администратором. Ему будет предоставлен полный доступ к сети только при выполнении критериев, в противном случае ему может быть либо отказано в доступе к сети, либо предоставлен ограниченный доступ только к определенным ресурсам. При желании ему может быть предоставлен доступ к серверам, которые будут предоставлять ему последние обновления. После установки обновлений компьютеру предоставляется доступ к сети. Однако Windows Vista может быть только клиентом NAP, т. е. клиентским компьютером, который подключается к сети с поддержкой NAP. Серверы политики работоспособности и проверки должны быть запущены. Windows Сервер 2008 .

IPsec и брандмауэр Windows

Конфигурация IPsec теперь полностью интегрирована в брандмауэра Windows с расширенной безопасностью оснастку и инструмент командной строки netsh advfirewall , чтобы предотвратить противоречивые правила и предложить упрощенную настройку вместе с брандмауэром с проверкой подлинности. Можно настроить расширенные правила фильтрации брандмауэра (исключения) и политики IPsec, например, по доменным, общедоступным и частным профилям, IP-адресам источника и назначения, диапазону IP-адресов, портам TCP и UDP источника и назначения, всем или нескольким портам, определенным типам. интерфейсов, трафика ICMP и ICMPv6 по типу и коду, службам, обходу границ, состоянию защиты IPsec и указанным пользователям и компьютерам на основе учетных записей Active Directory .

До Windows Vista для настройки и поддержания конфигурации политики IPsec во многих сценариях требовалась установка набора правил для защиты и другого набора правил для исключения трафика. Узлы IPsec в Windows Vista взаимодействуют, одновременно согласовывая защищенные соединения, и если получен ответ и согласование завершено, последующие соединения защищены. Это устраняет необходимость настраивать фильтры IPsec для исключений для набора хостов, которые не поддерживают или не могут поддерживать IPsec, позволяет настроить требуемую входящую защищенную инициируемую связь и дополнительную исходящую связь. IPsec также позволяет защитить трафик между контроллерами домена и компьютерами-членами, сохраняя при этом открытый текст для присоединения к домену и других типов связи. Присоединения к доменам, защищенным IPsec, разрешены при использовании NTLM v2, а в обоих случаях контроллеры домена и компьютеры-члены работают под управлением Windows Server 2008 и Windows Vista соответственно.

IPsec полностью поддерживает IPv6, AuthIP (который допускает вторую аутентификацию), интеграцию с NAP для аутентификации с помощью сертификата работоспособности, поддержку Network Diagnostics Framework для неудачного согласования IPsec, новые счетчики производительности IPsec, а также улучшенное обнаружение сбоя узла кластера и более быстрое повторное согласование ассоциации безопасности. Имеется поддержка более надежных алгоритмов согласования основного режима (более надежные алгоритмы DH и Suite B), а также целостности и шифрования данных (AES с CBC, AES-GMAC, SHA-256, AES-GCM).

Структура сетевой диагностики (NDF)

Ожидается, что возможность помочь пользователю в диагностике сетевых проблем станет важной новой сетевой функцией. Существует обширная поддержка диагностики во время выполнения как для проводных, так и для беспроводных сетей, включая поддержку информационной базы управления TCP (MIB)-II и улучшенную регистрацию и отслеживание системных событий. Стек TCP/IP Vista также поддерживает ESTATS, который определяет расширенную статистику производительности TCP и может помочь определить причины проблем с производительностью сети. Windows Vista может информировать пользователя о большинстве причин сбоя передачи данных по сети, таких как неправильный IP-адрес , неправильные настройки DNS и шлюза по умолчанию, сбой шлюза, порт используется или заблокирован, приемник не готов, служба DHCP не запущена, NetBIOS через TCP/IP. сбой разрешения имен и т. д. Ошибки передачи также подробно протоколируются, что можно проанализировать, чтобы лучше найти причину ошибки. Windows Vista лучше осведомлена о топологии сети, в которой находится главный компьютер, благодаря таким технологиям, как Universal Plug and Play. . Благодаря этой новой технологии определения сети Windows Vista может помочь пользователю устранить проблемы с сетью или просто предоставить графическое представление воспринимаемой конфигурации сети.

Платформа фильтрации Windows

Сетевой стек Windows Vista включает платформу фильтрации Windows , ^[10] который позволяет внешним приложениям получать доступ и подключаться к конвейеру обработки пакетов сетевой подсистемы. WFP позволяет фильтровать, анализировать или изменять входящие и исходящие пакеты на нескольких уровнях стека протоколов TCP/IP. Поскольку WFP имеет встроенный механизм фильтрации, приложениям не нужно писать какой-либо собственный механизм, им просто нужно предоставить специальную логику для использования этого механизма. ВПП включает в себя базовый механизм фильтрации , который реализует запросы на фильтрацию. Затем пакеты обрабатываются с помощью Generic Filtering Engine , который также включает в себя модуль Callout , к которому можно подключить приложения, обеспечивающие пользовательскую логику обработки. WFP можно использовать, например, для проверки пакетов на наличие вредоносных программ, выборочного ограничения пакетов, например, в брандмауэрах, или предоставления пользовательских систем шифрования, среди прочего. После первого выпуска WFP страдала от ошибок, включая утечки памяти и состояния гонки. ^[11]

Брандмауэр Windows в Windows Vista реализован через WFP. ^[12]

Одноранговое общение

Windows Vista включает значительную поддержку одноранговой сети благодаря внедрению новых API и протоколов. Представлена новая версия протокола разрешения имен узлов (PNRP v2), а также набор API-интерфейсов таблицы распределенной маршрутизации узлов, построения графиков узлов, группирования узлов, именования узлов и управления идентификацией узлов. Контакты можно создавать и администрировать с помощью новой одноранговой подсистемы: бессерверное присутствие позволяет пользователям управлять информацией о присутствии в режиме реального времени и отслеживать присутствие других зарегистрированных пользователей в подсети или в Интернете. Новая служба «Люди рядом со мной» позволяет обнаруживать и управлять контактами в одной подсети и использует контакты Windows для управления и хранения контактной информации; новые возможности позволяют узлам отправлять приглашения к приложениям другим узлам (также поддерживается специальное сотрудничество) без централизованного сервера. Windows Meeting Space является примером такого приложения.

PNRP также позволяет создавать оверлейную сеть под названием Graph . Каждый узел в оверлейной сети соответствует узлу графа. Все узлы графа совместно используют бухгалтерскую информацию, отвечающую за функционирование сети в целом. Например, в сети управления распределенными ресурсами какой узел имеет какой ресурс должен быть общим. Такая информация передается в виде записей , которые рассылаются всем узлам графа. Каждый партнер сохраняет запись в локальной базе данных. Запись состоит из заголовка и тела. Тело содержит данные, относящиеся к приложению, использующему API; заголовок содержит метаданные для описания данных в теле как пар имя-значение, сериализованных с использованием XML , в дополнение к информации об авторе и версии. Он также может содержать индекс данных тела для быстрого поиска. Узел также может напрямую подключаться к другим узлам для связи, которую не нужно использовать совместно со всем графом. API также позволяет создавать безопасную оверлейную сеть, называемую Группа , состоящая из всех или подмножества узлов графа. В отличие от Graph, группа может использоваться несколькими приложениями. Все одноранговые узлы в группе должны идентифицироваться по уникальному имени, зарегистрированы с использованием PNRP и иметь сертификат цифровой подписи, называемый сертификатом члена группы (GMC). Все обмениваемые записи имеют цифровую подпись. Коллеги должны быть приглашены в группу. Приглашение содержит GMC, который позволяет ему присоединиться к группе. ^[13]

Новая функция одноранговой сети Windows Internet Computer Names ( WICN ) позволяет машине, подключенной к IPv6, получить собственное или уникальное доменное имя. Если компьютер подключен к Интернету, пользователи могут указать защищенное или незащищенное имя хоста для своего компьютера с помощью консольной команды, не требуя регистрации доменного имени и настройки динамического DNS. WICN можно использовать в любом приложении, которое принимает IP-адрес или DNS-имя; PNRP выполняет все разрешения доменных имен на одноранговом уровне.

Еще одна запланированная функция в Windows Vista должна была обеспечить новую сетевую настройку доменного типа, известную как Castle, но она не вошла в выпуск. Касл сделал бы возможным наличие службы идентификации, обеспечивающей аутентификацию пользователей для всех участников сети без централизованного сервера. Это позволило бы учетным данным пользователя распространяться по одноранговой сети, что сделало бы их более подходящими для домашней сети.

Люди рядом со мной

«Люди рядом со мной» (ранее «Люди рядом» ) — это одноранговая служба, предназначенная для упрощения общения и совместной работы между пользователями, подключенными к одной подсети. ^[14] Приложение «Люди рядом со мной» используется Windows Meeting Space для совместной работы и поиска контактов. ^[15] Программа People Near Me была включена в список стратегии Microsoft в отношении мобильных платформ, о чем было объявлено на конференции по разработке оборудования для Windows в 2004 году. ^[16]^[17] «Люди рядом со мной» используют контакты Windows для управления контактной информацией; по умолчанию пользователь может получать приглашения от всех пользователей, подключенных к одной и той же подсети, но пользователь может назначить другого пользователя в качестве доверенного контакта , чтобы обеспечить совместную работу через Интернет, повысить безопасность и определить присутствие этих контактов. ^[18]^[19]

Фоновая интеллектуальная служба передачи

Новая фоновая интеллектуальная служба передачи (BITS) 3.0 в Windows Vista имеет новую функцию Neighbor Casting , которая поддерживает одноранговую передачу файлов внутри домена ; это облегчает одноранговое кэширование , позволяя пользователям загружать и обслуживать контент (например, обновления WSUS ) от одноранговых узлов в одной подсети, получать уведомления при загрузке файла, получать доступ к временному файлу во время загрузки и управлять перенаправлениями HTTP. Это экономит пропускную способность сети и снижает нагрузку на производительность сервера. BITS 3.0 также использует счетчики протокола устройства шлюза Интернета для более точного расчета доступной пропускной способности.

Улучшения основного сетевого драйвера и API

Драйвер режима ядра HTTP в Windows Vista, Http.sys, был улучшен для поддержки аутентификации на стороне сервера, ведения журналов, имен хостов IDN, отслеживания событий и лучшей управляемости через netsh http и новые счетчики производительности. WinINet , обработчик протоколов HTTP и FTP, обрабатывает литеральные адреса IPv6, включает поддержку Gzip и дефлятной декомпрессии для повышения производительности кодирования контента, интернационализированных доменных имен поддержку и отслеживание событий. WinHTTP , клиентский API для серверных приложений и служб, поддерживает IPv6, AutoProxy HTTP/1.1 , фрагментированное кодирование передачи , загрузку больших данных, SSL и клиентские сертификаты , аутентификацию сервера и прокси, автоматическую обработку перенаправлений и поддержание активности соединений, а также HTTP/ 1.0, включая поддержку постоянных (постоянных) соединений и файлов cookie сеанса. В Winsock добавлены новые API и поддержка трассировки событий. Поддержка Winsock Layered Service Provider была расширена за счет журналируемых установок и удалений, нового API для надежной установки LSP, команды для надежного удаления LSP, средств категоризации LSP и удаления большинства LSP из пути обработки для критически важных для системы служб и поддержки сети. Диагностическая платформа.

Ядро Винсокка

Winsock Kernel (WSK) — это новый независимый от транспорта интерфейс сетевого программирования (NPI) в режиме ядра, который предоставляет разработчикам клиентов TDI модель программирования, подобную сокетам, аналогичную тем, которые поддерживаются в пользовательском режиме Winsock . Хотя существует большинство тех же концепций программирования сокетов , что и в пользовательском режиме Winsock, таких как сокет, создание, привязка, подключение, принятие, отправка и получение, Winsock Kernel представляет собой совершенно новый программный интерфейс с уникальными характеристиками, такими как асинхронный ввод-вывод, который использует IRP и обратные вызовы событий для повышения производительности. TDI поддерживается в Windows Vista для обеспечения обратной совместимости.

Блок сообщений сервера 2.0

Новая версия протокола Server Message Block (SMB) была представлена в Windows Vista. ^[20] В него внесен ряд изменений для улучшения производительности и добавления дополнительных возможностей. Операционные системы Windows Vista и более поздних версий используют SMB 2.0 при обмене данными с другими компьютерами под управлением Windows Vista или более поздних версий. SMB 1.0 продолжает использоваться для подключений к любой предыдущей версии Windows или Samba . Samba 3.6 также включает поддержку SMB 2.0. ^[21]

Дистанционное дифференциальное сжатие

Удаленное дифференциальное сжатие (RDC) — это протокол синхронизации клиент-сервер, позволяющий синхронизировать данные с удаленным источником с использованием методов сжатия для минимизации объема данных, передаваемых по сети. Он синхронизирует файлы, вычисляя и передавая на лету только различия между ними. Таким образом, RDC подходит для эффективной синхронизации файлов, которые были обновлены независимо, или когда пропускная способность сети мала, или в сценариях, когда файлы большие, но различия между ними невелики.

Bluetooth

Апплет панели управления устройствами Bluetooth , представленный в Windows XP, представлял собой окно с вкладками, в котором на вкладке «Устройства» отображались сопряженные устройства . При выборе устройства на этой вкладке отображались категория устройства, время последнего подключения, MAC-адрес и тип подключения для выбранного устройства. Устройства всегда группировались по категориям (например, телефоны и модемы ). В Windows Vista устройства Bluetooth являются частью самой оболочки Windows (предыдущая вкладка «Устройства» больше недоступна, поскольку в ней больше нет необходимости). В Windows Vista пользователи теперь могут фильтровать, группировать и сортировать устройства Bluetooth по их свойствам; масштабировать значки устройств; и выполните поиск подключенных или сопряженных устройств. Новые свойства, представленные для устройств Bluetooth, включают «Аутентифицировано» , «Соединение используется» , «Метод обнаружения» , «Зашифровано» , «Сопряжено » и «Версия» ; пользователи могут группировать, сортировать и искать устройства на основе этих свойств, и все свойства отображаются в новой области сведений.

Поддержка Bluetooth

Стек Bluetooth в Windows Vista улучшен за счет поддержки большего количества идентификаторов оборудования, улучшения производительности EDR, адаптивного скачкообразного изменения частоты для сосуществования Wi-Fi и поддержки протокола Synchronous Connection Oriented (SCO), который необходим для аудиопрофилей. ^[22] Стек Bluetooth Windows Vista поддерживает интерфейс драйвера устройства в режиме ядра , помимо интерфейса программирования пользовательского режима, что позволяет третьим сторонам добавлять поддержку дополнительных профилей Bluetooth, таких как SCO, SDP и L2CAP. Этого не хватало во встроенном стеке Bluetooth Windows XP с пакетом обновления 2, который пришлось полностью заменить стеком стороннего производителя для дополнительной поддержки профилей. Он также обеспечивает поддержку RFCOMM с использованием сокетов помимо виртуальных COM-портов. ^[23] KB942567 под названием Windows Vista Feature Pack для беспроводной связи добавляет поддержку Bluetooth 2.1+EDR и поддержку удаленного пробуждения от S3 или S4 для модулей Bluetooth с автономным питанием. ^[22] Этот пакет функций, первоначально доступный только OEM-производителям, в конечном итоге был включен в пакет обновления 2 для Windows Vista.

Виртуальная частная сеть (VPN)

Windows Vista и более поздние версии поддерживают использование PEAP с PPTP. Поддерживаемые механизмы аутентификации: PEAPv0/EAP-MSCHAPv2 (пароли) и PEAP-TLS (смарт-карты и сертификаты).
Протокол туннелирования защищенных сокетов (SSTP), представленный в пакете обновления 1 для Windows Vista, представляет собой форму VPN- туннеля, обеспечивающую механизм передачи трафика PPP или L2TP через канал SSL 3.0. SSL обеспечивает безопасность на транспортном уровне с согласованием ключей, шифрованием и проверкой целостности трафика.

Ссылки

^ Jump up to: ^а ^б «Стек TCP/IP следующего поколения в Windows Vista и Windows Server 2008» . Кабельщик . Проверено 5 октября 2007 г.
^ «Новые сетевые функции в Windows Server 2008 и Windows Vista» . Microsoft TechNet . Майкрософт. 15 февраля 2006 года . Проверено 29 апреля 2006 г.
^ «Явное уведомление о перегрузке (ECN) для TCP/IP» . Майкрософт .
^ «Повышение производительности стека TCP/IP следующего поколения» . Майкрософт . Проверено 8 апреля 2007 г.
^ «QoS в Windows Server 2008 и Windows Vista» . Майкрософт . Проверено 18 мая 2007 г.
^ «Поддержка QoS WiFi в Windows Vista: WMM» . Проверено 20 июля 2007 г.
^ Jump up to: ^а ^б ^с ^д ^и «Качественное аудио-видео Windows — qWave» . Майкрософт . Архивировано из оригинала 13 июля 2007 г. Проверено 9 октября 2007 г.
^ EAPHost в Windows
^ Удалена функция «Отделы маршрутизации» (расшифровка чата Windows Server 2008).
^ «Платформа фильтрации Windows» . ВСЦБ . Майкрософт. 13 мая 2004 года . Проверено 25 апреля 2006 г.
^ «Накопительный пакет исправлений драйвера WFP (981889)» . Майкрософт. 27 августа 2010 года . Проверено 18 сентября 2011 г.
^ Майкрософт . «Платформа фильтрации Windows» . MSDN . Проверено 20 сентября 2015 г.
^ «Пиринговая инфраструктура» . Майкрософт . Проверено 16 октября 2007 г.
^ Майкрософт (2003). «Контакты» . MSDN . Архивировано из оригинала 14 июня 2004 года . Проверено 31 июля 2015 г.
^ Microsoft (25 июля 2008 г.). «Пошаговое руководство по использованию Windows Vista Windows Meeting Space» . ТехНет . Проверено 4 июня 2015 г.
^ Суокко, Матти (2004). «Windows для мобильных и планшетных ПК – 2005 год и последующие годы» . Майкрософт . Архивировано из оригинала (PPT) 14 декабря 2005 года . Проверено 15 июля 2015 г.
^ Фиш, Дэррин (2004). «Windows для мобильных ПК и планшетных ПК — CY04» . Майкрософт . Архивировано из оригинала (PPT) 14 декабря 2005 года . Проверено 15 июля 2015 г.
^ «Люди рядом со мной: часто задаваемые вопросы» . Майкрософт . Архивировано из оригинала 28 сентября 2015 года . Проверено 20 сентября 2015 г.
^ «Люди рядом со мной» . ТехНет . 27 сентября 2006 года . Проверено 14 августа 2020 г.
^ Навджот Вирк и Прашант Прахалад (10 марта 2006 г.). «Что нового в SMB в Windows Vista» . Проверьте свои диски . MSDN . Проверено г. 1 мая 2006
^ Эндрю Триджелл (12 сентября 2006 г.). «Изучение протокола SMB2» (PDF) .
^ Jump up to: ^а ^б Часто задаваемые вопросы о беспроводной технологии Bluetooth
^ «USB/1394 на ПК» . Архивировано из оригинала 15 февраля 2012 г. Проверено 4 декабря 2010 г.

Внешние ссылки

[arch-1] Jump up to: ^а ^б «Стек TCP/IP следующего поколения в Windows Vista и Windows Server 2008» . Кабельщик . Проверено 5 октября 2007 г.

[2] «Новые сетевые функции в Windows Server 2008 и Windows Vista» . Microsoft TechNet . Майкрософт. 15 февраля 2006 года . Проверено 29 апреля 2006 г.

[3] «Явное уведомление о перегрузке (ECN) для TCP/IP» . Майкрософт .

[4] «Повышение производительности стека TCP/IP следующего поколения» . Майкрософт . Проверено 8 апреля 2007 г.

[5] «QoS в Windows Server 2008 и Windows Vista» . Майкрософт . Проверено 18 мая 2007 г.

[6] «Поддержка QoS WiFi в Windows Vista: WMM» . Проверено 20 июля 2007 г.

[qwave-7] Jump up to: ^а ^б ^с ^д ^и «Качественное аудио-видео Windows — qWave» . Майкрософт . Архивировано из оригинала 13 июля 2007 г. Проверено 9 октября 2007 г.

[8] EAPHost в Windows

[9] Удалена функция «Отделы маршрутизации» (расшифровка чата Windows Server 2008).

[10] «Платформа фильтрации Windows» . ВСЦБ . Майкрософт. 13 мая 2004 года . Проверено 25 апреля 2006 г.

[11] «Накопительный пакет исправлений драйвера WFP (981889)» . Майкрософт. 27 августа 2010 года . Проверено 18 сентября 2011 г.

[WFP-12] Майкрософт . «Платформа фильтрации Windows» . MSDN . Проверено 20 сентября 2015 г.

[13] «Пиринговая инфраструктура» . Майкрософт . Проверено 16 октября 2007 г.

[WindowsVistaContacts-14] Майкрософт (2003). «Контакты» . MSDN . Архивировано из оригинала 14 июня 2004 года . Проверено 31 июля 2015 г.

[StepbyStepGuide-15] Microsoft (25 июля 2008 г.). «Пошаговое руководство по использованию Windows Vista Windows Meeting Space» . ТехНет . Проверено 4 июня 2015 г.

[MobilePCs-16] Суокко, Матти (2004). «Windows для мобильных и планшетных ПК – 2005 год и последующие годы» . Майкрософт . Архивировано из оригинала (PPT) 14 декабря 2005 года . Проверено 15 июля 2015 г.

[MobilePCs04-17] Фиш, Дэррин (2004). «Windows для мобильных ПК и планшетных ПК — CY04» . Майкрософт . Архивировано из оригинала (PPT) 14 декабря 2005 года . Проверено 15 июля 2015 г.

[PeopleNearMeFAQ-18] «Люди рядом со мной: часто задаваемые вопросы» . Майкрософт . Архивировано из оригинала 28 сентября 2015 года . Проверено 20 сентября 2015 г.

[PeopleNearMeTechNet-19] «Люди рядом со мной» . ТехНет . 27 сентября 2006 года . Проверено 14 августа 2020 г.

[smb2-20] Навджот Вирк и Прашант Прахалад (10 марта 2006 г.). «Что нового в SMB в Windows Vista» . Проверьте свои диски . MSDN . Проверено г. 1 мая 2006

[21] Эндрю Триджелл (12 сентября 2006 г.). «Изучение протокола SMB2» (PDF) .

[MSBTFAQ-22] Jump up to: ^а ^б Часто задаваемые вопросы о беспроводной технологии Bluetooth

[23] «USB/1394 на ПК» . Архивировано из оригинала 15 февраля 2012 г. Проверено 4 декабря 2010 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]