что такое публичные сети
В чем разница между общедоступными и частными сетями
Каждый раз, когда вы подключаетесь к новой сети, Windows позволяет вам выбрать ее тип – частная или публичная. Система спрашивает, хотите ли вы сделать ваш компьютер доступным для других устройств в этой сети. Эта опция позволяет Windows понимать тип подключенной сети и выбрать подходящие для нее настройки. При работе с публичными сетями система будет немного безопаснее за счет более строгих правил, не действующих при подключении к домашней сети, которой вы доверяете.
Пользователь сам может решать правила работы в общедоступных и частных сетях. По умолчанию Windows активирует сетевое обнаружение в приватных сетях, таким образом разрешая другим компьютерам обнаружить ваш компьютер. За счет этого можно обмениваться файлами, сетевыми принтерами и использовать другие возможности. Кроме того, в частной сети можно создать Домашнюю группу, но эта функция потихоньку уходит из Windows 10 из-за ненадобности.
Говоря проще, в частной сети Windows понимает, что вы доверяете другим подключенным устройствам и разрешаете им взаимодействовать с компьютером. В общедоступных сетях это правило не действует, так как к таким сетям могут быть подключены неизвестные устройства и неизвестные люди.
Какую сеть выбрать – общедоступную или частную
Если вы целиком и полностью контролируете сеть в вашем доме или на работе, тогда можно смело выбирать частный или домашний тип сети, поскольку в таком случае вам будут доступны дополнительные преимущества. К примеру, обмен файлами, создание DLNA-сервера или использование общих сетевых принтеров. В этом случае система, грубо говоря, будет «менее защищенной», чем при использовании общедоступных сетей. При этом надо понимать, что Ethernet-подключение дома может все еще попадать под категорию «общедоступной», поскольку к сетевому оборудованию провайдера могут быть подключены другие люди (соседи, например). Если преимущества частной сети вам не нужны и для вас более актуальный вопрос безопасности, тогда выбирайте общедоступный тип сетей.
Как изменить общедоступную сеть на частную
Зачастую это решение надо принять при первом подключении к сети через Ethernet-кабель или Wi-Fi-соединение. Windows спросит вас, хотите ли вы сделать этот компьютер доступным для обнаружения. Если вы соглашаетесь, устанавливаются правила частной сети, если нет – общедоступной. Быть может, что вы поспешили закрыть это окно или просто кликнули не туда. В таком случае можно вручную поменять тип сети, либо сбросить ее настройки.
Посмотреть тип вашей сети можно в Параметрах Windows 10 или Панели управления. Нажмите Win + I или откройте Параметры любым другим способом. Откройте Сеть и Интернет – Состояние. В верхней части под иконкой типа подключения будет отображаться тип вашей сети. На скриншоте вы можете заметить, что компьютер подключен к частной сети через Ethernet-кабель.
Чтобы проверить тип сети через Панель управления, нажмите Win + R и введите Control. В открывшемся окне Панели управления перейдите в раздел Сеть и интернет – Центр управления сетями и общим доступом. Опять же, в верхней части окна под названием сети будет отображаться ее тип. На Windows 7 в Панели управления можно кликнуть на тип сети и установить домашнюю, рабочую или публичную сеть. Домашняя и рабочая – это частные сети, за тем лишь исключением, что в рабочей сети отключена домашняя группа. Публичная сеть – это соответственно общедоступная сеть.
Чтобы изменить частную сеть на общедоступную или наоборот, откройте Параметры – Сеть и Интернет – Состояние, а затем нажмите Изменить свойства подключения. Как вариант, можно зайти в Сеть и Интернет – Ethernet / Wi-Fi (зависимо от типа подключения к интернету), щелкнуть на активное подключение и затем уже изменить тип сети.
Вам нужен пункт Сетевой профиль. Здесь вы уже включаете либо Общедоступные, либо Частные, в зависимости от того, какой профиль вам надо установить.
Обратите внимание: инструкция выше актуальна для устройств на Windows 10 Fall Creators Update 1709. Если ваш компьютер еще не обновлен до этой версии Windows или выше, тогда изменение типа сети может немного отличаться от описанного выше. В свойствах текущего подключения вам надо будет найти параметр Сделать этот компьютер доступным для обнаружения. Его включение делает текущее подключение частным, а отключение общедоступным. Поскольку такой расклад был не совсем понятным для пользователей, Microsoft переделала эту систему и сделала ее проще.
Как вариант, можно также сбросить параметры сети, а затем уже выбрать тип из всплывающего меню. Откройте Параметры – Сеть и Интернет – Состояние. Опуститесь немного ниже и нажмите Сброс сети. После этого система удалит и установит обратно сетевые адаптеры, а также сбросит тип сетей и предложит заново выбрать ее тип. Только учтите, что после сброса сети возможно понадобится перенастроить некоторые специфические параметры, вроде тех же VPN-подключений. Нажмите Сбросить сейчас. Перезагрузите компьютер.
Как изменить параметры общего доступа сети
Как уже было сказано выше, вы можете запретить доступ к компьютеру в домашних сетях или изменить другие стандартные правила типов сетей. Для этого нажмите Win + R и введите Control. В панели управления перейдите в раздел Сеть и Интернет – Центр управления сетями и общим доступом – Изменить дополнительные параметры общего доступа.
На этом экране вы можете задать следующие параметры для каждого типа сетей (частная, гостевая или общедоступная, а также вне сети):
Файрволл Windows тоже использует разные настройки для частных и общедоступных сетей. Они расположены в Панель управления – Система и безопасность – Брандмауэр Защитника Windows. Там вы сможете задать индивидуальные правила поведения для каждого типа сети.
Какая сеть лучше: домашняя (частная) или общественная (общедоступная)
Всем привет! И сегодня у нас очередной очень интересные и важный вопрос – какую сеть выбрать домашнюю или общественную, и какая из них лучше. Если ответить быстро – то всё зависит от ситуации, а также от сетки, к которой вы подключаетесь. Также эти сети по-другому ещё можно назвать как: общедоступная и частная.
Компьютер или ноутбук при подключении к новому пространству, сразу же оповестит пользователя вот таким вот окном в Windows 10.
В Windows 7 это окошко также будет иметь пункт «Сеть предприятия», которое будет иметь абсолютно то же описание как и в домашней сетки, что может запутать многих пользователей. По сути разницы никакой нет между частной и рабочей сетью.
При выборе определенного типа, мы присваиваем нашему компьютеру правило работы с другими устройствами локальной сети. В частности, после этого если у вас на компе есть общие папки, файлы, принтеры или жесткие диски, то они станут доступны при подключении к «домашней» и будут невидимы, если выберите «общественную». Правило позволяет установить жесткое ограничение доступа к вашим общим (расшаренным) папкам другим пользователям, или наоборот дать полный доступ.
Чтобы посмотреть статус нынешней сети, нажмите по подключению в правом нижнем углу экрана и далее выбираем первый пункт центра управления сетями.
Далее вы увидите схему подключения. Чуть ниже будет номер локалки и её статус.
В чем разница
А теперь давайте постараемся разобраться поподробнее в чем же разница. К примеру, у вас есть ноутбук, на котором есть общая папка с фотографиями и видео. Все фото и видео домашнее и открыто в общем использовании, для того чтобы ваши родные из дому могли в любой момент зайти в эту папку и посмотреть или скачать эти файлы.
Дома, чтобы была такая возможность, нужно чтобы локалка была «домашняя» или «частная». Тогда система Виндовс разрешает доступ из локальной сети всем устройствам к данным папкам. Сеть стандартно раздается домашним роутер, а подключиться извне можно только с помощью Wi-Fi при знании точного пароля.
Теперь представим, что вы с ноутбуком ещё ходите на работу или в кафе. Прейдя в общественное место, вы сразу же подключаетесь к Wi-Fi. Так вот, чтобы посторонние пользователи не смогли просматривать фотографии и видео вашей семьи в общественной папке – нужно просто выбрать «общественную сеть». Тогда доступ ко всем общим папкам, файлам и принтерам будет полностью закрыт.
Какую сеть лучше выбрать и какая лучше
Нужно сразу понимать, что частная и общественная сеть профилей безопасности не лучше и не хуже. Они просто имеют разную политику безопасности, о которой я говорил выше. Тут всё зависит от ситуации. Если вы подключены к домашней локалке и хотите, чтобы другие подключенные устройства имели доступ к общим папкам – то включаем домашнюю или частную сетку.
Если же вы подключены к общественной локалке в кафе или на предприятии, то лучше все же включить «общественную» или «общедоступную» сетку. Но тут все зависит от потребности, на самом деле дома также можно будет включить второй вариант и вас просто не будет видно в локалке.
Как поменять профиль на ПК
Windows 7
И так в первую очередь опять подключаемся к нужной сети. Система один раз спрашивает по поводу профиля, позже она запоминает настройки, и чтобы их поменять, нужно сначала нажать на подключение и выбрать центр управления.
Далее просто нажимаем на названия профиля чуть ниже сети. Вылезет стандартное окошко, где вы можете уже выбрать другой профиль.
Windows 10
Если у вас Wi-Fi, то сделать это куда быстрее – нажимаем по подключению и далее переходим в раздел параметров.
Теперь слева нажимаем по «Wi-Fi», а далее нажимаем по локалке, к которой вы подключены. Вылезет то же самое окошко с выбором параметров доступа.
Постарайтесь выбрать профиль правильно. Иногда при неправильном выборе, некоторые функции в локальной сети выключается. Например, тот же самый DLNA, который позволяет просматривать фильмы, фотографии и прослушивать музыку со SMART телевизора.
Детальная настройка
На самом деле вы можете сами детально настроить доступ к своим папкам в этих трёх вариантах. Например, вы можете сделать полностью открытую сеть для домашней локалки. Для общественной – закрыть доступ. А вот для рабочей группы – открыть доступ к папкам, но сделать доступ по паролю.
Опять нажимаем по нашему подключению и переходим в центр управления сетями. Далее нужно найти раздел «Изменить дополнительные параметры общего доступа». На десятке он называется как «Дополнительные параметры общего доступа».
Далее вы должны увидеть несколько профилей сетей. Сразу же будет скорее всего открыт тот профиль, который сейчас активен и используется.
А теперь давайте пройдемся по пунктам. Первый пункт «Сетевое обнаружение» – если его полностью выключить, то компьютер не будет видно в локалке. Для домашней включаем данный пункт.
«Общий доступ к файлам и принтерам» – тут все понятно, если включить данную функцию, то расшаренные файлы будут видны другим компьютерам.
«Доступ к общим папкам» – тут всё аналогично с прошлым пунктом, только имеется ввиду именно общие папки.
Про 128 или 40/56 битное шифрование – лучше данный пункт не трогать и оставить по умолчанию.
А теперь самый важный пункт «Общий доступ с парольной защитой». Если включить данную функцию, то общая папка будет видна в сети, но вот, чтобы на неё зайти, нужно будет ввести пароль. Очень часто данный пункт включен по умолчанию в «домашнем профиле», в таком случае многие не могут понять, почему нельзя подключится к другом компьютеру, ноутбуку дома. А нужно всего лишь выключить эту функцию. Для рабочей группы, пароль можно включить.
Что такое публичные сети
VLAN (сети) используются в интернет-сети и в локальной сети локации для обеспечения изолирования друг от друга сетевой активности клиентов на втором L2-уровне (L2).
Каждому клиенту в локации предоставляется VLAN (сеть) для интернет и отдельно VLAN (сеть) локальной сети, в которые включаются все сетевые интерфейсы выделенных серверов, в зависимости от их назначения, заказываемых клиентом в локации. Все выделенные серверы клиента в одной локации имеют связность в рамках одной VLAN (сеть) как для интернет, так и локальной сети.
Клиенту по желанию и в зависимости от тех. потребностей может быть предоставлено в пользование несколько VLAN (сетей) как в локальной сети, так и в интернет-сети.
Выделенный сервер (хост) может быть одновременно подключен к интернету и локальной сети только через разные сетевые интерфейсы сервера. Один интерфейс может быть подключен только в одной VLAN (сети) локальной или интернет.
Информация о VLAN (сеть) доступна для просмотра в панели управления.
Если в локации оборудования одна локальная сеть, то локальный порт добавляется в эту сеть и включается. Если локальных сетей несколько, то локальный порт остается выключенным.
IP-адреса (подсеть)
Благодаря указанию публичного адреса на хосте, он становится доступен из любой точки интернета. Все подсети делятся на публичные и приватные относительно видимости IP-адреса сервера из интернета.
Подсети выделенных серверов делятся на Публичные (используют публичные IP-адреса) и Приватные. Публичные подсети бывают Общие и Выделенные.
Публичные Общие (1) | Публичные Выделенные (2) | Приватные (3) |
---|---|---|
Имеют фиксированный префикс /24 (маска 255.255.255.0) и используются в рамках одной VLAN (сеть) для нескольких клиентов * | Имеют любой префикс (маску) и могут быть назначены любому VLAN (сеть) клиента | Пользователь имеет возможность создать сеть, серверы в которой будут иметь частные IP-адреса из стандартных диапазонов ** и не будут напрямую доступны из интернета |
Изменение или добавление дополнительного адреса на сервере, находящемся в публичной общей сети, невозможно | Для перехода на использование публичных выделенных сетей закажите подсеть | Для изолирования сервера произвольной конфигурации от сети интернет создайте тикет с запросом на отключение порта *** |
* Внутри публичной общей сети серверы разных клиентов могут не иметь общей L2-связности (могут быть использованы private VLAN или port isolation).
** Доступные стандартные диапазоны:
*** При отправке запроса на отключение важно помнить, что без подключения к интернету пропадет функциональность автоустановки ОС.
Примечание: IP-адреса закреплены за одной локацией. Использовать одни и те же адреса в разных локациях невозможно.
При заказе сервера по умолчанию бесплатно присваивается публичный IP-адрес из сети, в которой находятся также серверы других клиентов. Разные серверы одного клиента могут попасть в разные публичные общие сети.
Общий публичный IP-адрес не позволяет:
Выделенные подсети позволяют:
Если обмен трафиком совершается в пределах одной подсети, то трафик внутри приватной сети не учитывается.
Закрытые порты
Чтобы обезопасить инфраструктуру Selectel от вредоносной сетевой активности, ограничен доступ к некоторым портам. Актуальный список закрытых портов представлен на сайте.
Если порт не попадает под указанные ограничения, проверьте его доступность со стороны ОС при помощи утилиты Nmap.
NTP (Network Time Protocol) используется для синхронизации времени на серверах.
Для предупреждения атак по типу NTP Amplification, стандартный порт 123 заблокирован на прием для публичных общих подсетей. Для синхронизации времени рекомендуем использовать сервер ntp.selectel.ru
Примечание: для публичной выделенной подсети, данное ограничение не применяется.
В образах ОС, предоставляемых Selectel, все необходимые настройки для NTP выполнены. При установке ОС из своего iso-образа, необходимо настроить NTP со стороны ОС.
Настройка NTP для Linux (ntpd) описана в статье Настройка NTP на сервере.
Включение и использование VRRP
VRRP можно настроить как внутри одной локации, так и между локациями.
Использовать VRRP рекомендуется между двумя рядом стоящими устройствами, имеющими общий L2-сегмент. Для дата-центров, разнесенных территориально, используются разные маршрутизаторы, а между ними организуется связность с использованием MPLS. Для настройки VRRP между двумя локациями используйте Геораспределенную подсеть.
Настройка VRRP внутри одной локации бесплатна.
Для настройки VRRP внутри одной локации:
В поле Резервирование шлюза нажмите кнопку Подключить.
Выберите два свободных IP-адреса, которые не используются на ваших хостах.
Подтвердите, что выбранные IP-адреса свободны, установив галочку в чекбоксе.
Обратите внимание! При выборе уже используемых IP-адресов, их работоспособность нарушится.
Нажмите кнопку Подключить резервирование.
После подключения в поле Резервирование шлюза отображаются указанные IP-адреса.
Подключение дополнительных IP-адресов
Шаг 1. Покупка дополнительных IP-адресов
Для подключения дополнительных IP-адресов:
Обратите внимание! Переместить подсеть в другую локацию нельзя.
Укажите цель использования.
Выберите период оплаты.
Нажмите кнопку Оплатить.
Подключение и активация услуги может занимать некоторое время. Когда услуга будет готова к работе, придет уведомление через тикет-систему.
Шаг 2. Учет публичных адресов на сервере
В системе учета вы можете фиксировать какой IP-адрес настроен на вашем сервере. Назначение IP‑адреса серверу в панели управления не влечет за собой изменений в ОС сервера. Чтобы изменения вступили в силу, назначьте соответствующий VLAN на интернет-порту и измените IP-адрес в ОС сервера.
Чтобы добавить IP-адрес в систему учета:
Обратите внимание! При добавлении выделенной подсети нельзя использовать IPv4-адрес, выделяемый по умолчанию при заказе сервера.
Шаг 3. Изменение сетевых настроек сервера
При подключении дополнительного IP-адреса в ОС сервера измените сетевые настройки:
Данные параметры можно просмотреть в панели управления в подразделе Сеть на вкладке Подсеть в карточке выделенной подсети.
Примените сетевые настройки. Доступность на сервере пропадет, пока не будет изменена VLAN (сеть) на порту.
Шаг 4. Переключение VLAN (сети) порта сервера
Для переключения VLAN (сети) порта сервера:
Доступ к серверу восстановится с новым IPv4.
Для возврата к бесплатному IP-адресу (из /32 подсети) в карточке сервера:
Можно докупить дополнительные IPv4 и IPv6 адреса.
Примечание: на общей (/32) сети нельзя использовать IPv6.
Создание статических маршрутов
Статическая маршрутизация — вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора.
Наиболее часто статическая маршрутизация для клиентских подключений в Selectel используется при заказе файрвола. Файрвол позволяет пропускать интернет-трафик для маршрутизированных на него сетей через себя. При задании статического маршрута указывается:
В рамках нашей услуги запрос из интернета обрабатывается маршрутизатором и перенаправляется на фаервол, к которому подключены серверы. Для подключения статических маршрутов создайте тикет. Любая терминированная подсеть может быть прописана в качестве статического маршрута.
Подключение сервера к сети
Выделенные серверы по умолчанию подключены к интернету через один сетевой интерфейс. По запросу подключение серверов произвольной конфигурации может быть сделано через группу агрегированных сетевых интерфейсов с помощью конфигуратора, подробнее. Серверы фиксированной конфигурации таким образом подключить нельзя.
Приватная сеть — это группа серверов клиента, подключенная к общей локальной VLAN (сеть) в рамках одной локации и/или имеющее соединение с другими серверами клиента расположенными в других локациях. В приватную сеть подключение производится через другой сетевой интерфейс (или группу агрегированных сетевых интерфейсов — MC-LAG) для выделенных серверов, кроме серверов линейки Chipcore Line.
Возможно включение дополнительных VLAN (сеть) в рамках одной локации для одного клиента, для создания нескольких приватных сетей создайте тикет.
Схема подключения к интернету и приватной сети
После назначения VLAN (сети) все IP-подсети в ней будут терминированы на маршрутизаторах Selectel.
Все выделенные серверы в одной локации могут быть объединены в приватную сеть (VLAN), кроме серверов линейки Chipcore Line.
На логическом уровне приватная сеть представляет собой отдельный выделенный VLAN (Virtual LAN).
Внутри этого VLAN все серверы взаимодействуют друг с другом аналогично тому, как если бы они были подключены к одному физическому коммутатору.
При передаче выделенного сервера в эксплуатацию клиенту по умолчанию порты локальной сети и интернет-сети включены. Просмотреть информацию о портах можно в карточке сервера на вкладке Порты.
Организация связи приватных сетей в нескольких локациях и/или с другими продуктами Selectel
Для организации сетевой связности между разными локациями и услугами используется Приватная маршрутизируемая сеть. Схема объединения выделенных серверов в разных локациях аналогична схеме объединения, применяемых для разных типов ресурсов.
Внутри локации используется L2-схема взаимодействия серверов друг с другом, а присоединение серверов в другой локации может осуществляться:
Рекомендуется использовать соединение по схеме L3.
Подробнее о схемах подключения читайте в статье Объединение проектов в разных дата-центрах.
Для подключения создайте тикет с указанием приватных сетей, которые необходимо объединить.
Схема подключения по L2
Схема подключения по L3
Для организации L3-схемы используются несколько маршрутизаторов. На каждую локацию выделяются два маршрутизатора, для каждого клиента выделяются два адреса для назначения на маршрутизаторы Selectel и формируется Virtual IP с использованием протокола VRRP.
VLAN до стороннего оператора
В дата-центрах Selectel имеют точку присутствия многие операторы связи. При наличии технической возможности организации стыка с ними можно организовать прямое соединение через приватную сеть клиента.
При необходимости подключения VLAN до стороннего оператора создайте тикет с запросом.