Gjør deg klar for TCP /IP i Windows Vista

I andre ord, det var en stabel opprinnelig laget for å støtte bare IPv4. Og når Microsoft på midten av 90-tallet så det økende behovet for deres plattform for å støtte IPv6 samt IPv4, ble støtte for IPv6 bare tacked på ved å legge til en andre transportlaget driver Tcpip6.sys til eksisterende Tcpip.sys driver for IPv4. Dette resulterte i en " dual stack " hvor transport for IPv4 og IPv6 ble håndtert av separate drivere, og for å aktivere IPv6, støtte administratorer måtte installere IPv6-protokollen komponenten på sine Windows XP og Windows Server 2003 maskiner.

Den dual-stack tilnærming hadde også andre ulemper. For eksempel skilles det pakkefiltrering funksjonalitet for hver IP-protokollen, noe som gjør det vanskeligere å konfigurere brannmurer på maskiner som kjører begge protokollene. Det har også gjort livet vanskeligere for utviklere av nettverksapplikasjoner som trengs for å støtte både IPv4 og IPv6. Og det betydde duplisering av kode og en mindre effektiv rørledning for stack behandling.

Det var andre problemer og begrensninger med hvordan TCP /IP nettverk jobbet i Windows Server 2003 og Windows XP. For eksempel ble døde gateway deteksjon innført som en måte å gi failover når den primære gateway (ruter) for nettverket gikk ned. Store bedrifter har ofte en backup ruter som kan ta over når hoved ruteren mislykkes, og døde gateway deteksjon gjør sine nettverk for å gjøre bruk av slike backup rutere.

Måten det fungerer på er at du vil angi to gatewayer på datamaskinene i stedet for én ved å legge en ny gateway ved hjelp av kategorien IP-innstillinger på avansert TCP /IP Properties ark med nettverkstilkoblingen. Datamaskinen normalt ville bruke den første gateway oppført, men når maskinen registrerer at gateway ikke svarer, går den automatisk over til neste gateway på listen. Det er greit, men hva hvis den andre gateway er din backup router, som vanligvis er billigere og tregere enn hoved ruteren, og deretter en kort tid senere hoved ruter kommer tilbake på nettet?

Dessverre døde gateway deteksjon i Windows Server 2003 har ingen innebygd fallback mekanisme, så selv om raskere primære ruteren blir tilgjengelig igjen datamaskinen fortsetter å bruke tregere backup ruteren som standard gateway. Du har enten å endre standard gateway på maskinene manuelt eller starte dem for å få dem til å bruke din primære ruteren igjen. Også, mens døde gateway deteksjon arbeidet (liksom, som du kan se fra ovenfor) i Windows Server 2003, kan det bare håndtere svikt i den lokale standard gateway - svikt i eksterne gatewayer kan ikke oppdages eller omdirigert etter denne funksjonen.

En annen sak er at Windows-maskiner i dag gjør en dårlig jobb med å isolere trafikk mellom nettverksgrensesnitt. Dette er vanligvis tydelig i VPN-scenarier der en maskin er koblet både til Internett og til et privat bedriftsnettverk. Det faktum at en enkelt rutetabellen blir brukt til å skille trafikken bestemt til hver av disse nettverkene betyr at hvis brukeren har lokale administratorrettigheter på maskinen de kunne tenkes å endre rutetabellen på en slik måte som å kompromittere sikkerheten til det private nettverket med hensyn til Internett.

Til slutt, et annet problem med TCP /IP i eksisterende Windows-plattformer er dårlig ytelse over høye båndbredde linker som har en høy latency (forsinkelse på ca 50 ms eller høyere). Dette er forårsaket av måten stabelen justerer TCP sendevinduet med treg start og congestion avoidance, to standard TCP /IP-algoritmer som viser sin alder siden de ble utformet før gigabyte nettverk hastigheter ble normen. Og kombinasjonen av høy båndbredde og store ventetid er ikke en uvanlig en i dagens avdelingskontormiljø. For eksempel i en DFS scenario kan du ha en server på navet sted replikere store mengder data over et høyhastighets WAN-kobling gjennom flere rutere underveis, noe som resulterer i nok latency at produktet av latency og båndbredde overvelder standard algoritmer for å sende justering vinduet. Resultatet er at koblingen WAN er underutnyttet og replikasjon tar lengre tid enn det burde, og til mye lenger, ved hjelp av en optimal sendevindu konfigurasjon.

Endringer i Windows Vista
For å løse disse problemene, vesentlige endringer blir gjort til TCP /IP-nettverksstakken i Windows Vista og den kommende Longhorn Server. Disse endringene er preget av Microsoft som en " Next Generation TCP /IP-stakken " som er designet for å ta Windows nettverk teknologier inn i det neste tiåret og utover. La oss ta en titt på hvordan Vistas nye TCP /IP-egenskaper løse problemene vi har identifisert ovenfor.

Først, for bedrifter som planlegger på å oppgradere sine nettverk snart til IPv6, gjør Vista det enkelt - IPv6-støtte er installert og aktivert som standard (selv om bedrifter som ikke ønsker å bruke IPv6 vil kunne deaktivere den). Ikke bare det, har hele TCP /IP-stakken i Vista blitt fullstendig omskrevet, slik at det nå er en " dual-layer " arkitekturen og ikke en dual-stack en. Med andre ord, har stakken et enkelt transportlaget driver og ikke to separate seg (Tcpip.sys og Tcpip6.sys) som i tidligere versjoner - en for IPv4 og en for IPv6. Denne endringen gir en mer effektiv stack som behandler pakkene bedre, og gjør det også enklere for utviklere å skrive made-for-Vista-applikasjoner som støtter både IPv4 og IPv6. En annen fordel av re-arkitekten stabelen er at Microsoft har innebygde kroker i bunken slik at utviklere kan skrive programmer som kan benytte seg hvordan en pakke blir behandlet nesten hvor som helst i bunken.

Vista også helt integrerer pakkefiltrering (brannmur) evne for IPv4 og IPv6, som gjør det enklere å implementere IPsec politikk og brannmurregler som håndterer begge typer trafikk samtidig. Det finnes også andre arkitektoniske endringer stabelen i Vista inkludert Winsock Kernel (WSK), som er planlagt å erstatte eldre Transport Driver Interface (TDI) lag, men for bakoverkompatibilitet grunner TDI fortsatt støttes i Vista. Men disse dypere arkitekturendringer er hovedsakelig av interesse for utviklere av nettverksapplikasjoner og ikke å bygge nettverk admins.

Deretter løser Vista problemet med å sikre isolering av VPN-trafikk ved å knytte påloggingsøkter, rutetabeller og nettverksgrensesnitt sammen til en logisk konstruksjon kalt en ruting rommet. Dette compartmentalization betyr for eksempel at en laptop er tilkoblinger til Internett og til bedriftens nettverk over en VPN er helt isolert fra hverandre, noe som er bra for sikkerheten til bedriftens nettverk.

Vista inkluderer også en annen forbedring i hvordan datamaskiner håndtere unicast-trafikk rettet mot lokale nettverksgrensesnitt på maskinen. Foreløpig når en pakke på det lokale nettverket segment har en mottakeradresse som samsvarer med IP-adressen til en av maskinens nettverksgrensesnitt, alle nettverksgrensesnitt på din maskin plukke den opp og prøve å behandle den. Selvfølgelig er dette bare påvirker flernettverks maskiner med to eller flere nettverkskort. Denne tilnærmingen gir god nettverkstilkobling for maskinen, men det betyr unødvendig behandling skjer, pluss det gjør datamaskinen utsatt for en viss form for nettverksangrep som er rettet mot flernettverks maskiner. I Vista imidlertid bare nettverksgrensesnittet som har en adresse matcher destinasjon adresse trekker faktisk pakken fra ledningen og behandler den. Den grunnleggende resultat av alle disse endringene er mer sikker nettverkstilkobling i Vista enn i tidligere Windows-plattformer.

Vista løser også problemet med mangel på reserve for døde gateway deteksjon i tidligere versjoner. Vista bruker en lignende type metode som IPv6 bruker for å påvise utilgjengelige naboer på IPv4-nettverk, som i hovedsak innebærer overvåking TCP sesjoner og utveksle ARP pakker. Det endelige utfallet av dette er at Vista er mer effektiv enn tidligere plattformer i å oppdage når en ekstern router går ned. Når den oppdager denne situasjonen, slår stabelen til neste standard gateway på listen, men stabelen fortsetter deretter å overvåke forrige gateway, og hvis den går tilbake til livet, da Vista bytter tilbake til den primære inngangsporten. Dette gjør det enklere for bedrifter å sikre optimal tilkobling med eksterne avdelingskontorer ved å påse at backup rutere vil bare bli brukt når de trengs, og ikke et minutt mer.

Vista håndterer spørsmålet om dårlig ytelse over høy båndbredde, høy latency tilkoblinger med en mer aggressiv TCP send vindu justering algoritme enn de eldre treg start og lunger unngåelses algoritmer som brukes på tidligere plattformer. Denne nye tilnærmingen kalles forbindelse TCP (ctcp), og det kan øke gjennomstrømningen i slike scenarier som DFS replikering miljø beskrevet tidligere (selvfølgelig, i Windows Server 2003 R2 har DFS betydelige forbedringer av sine egne som Remote Differential Compression som bidra til å redusere slike saker og jeg har beskrevet disse forbedringene i min forrige artikkel om emnet).

Til slutt, støtter Vista en rekke nyere RFCs som gir større pålitelighet og ytelse i trådløse nettverk, som er raskt bli teknologien av valget for bedrifter som ønsker å spare på oppkoblingskostnader. Disse forbedringene bidra til å håndtere den slags problemer som vanligvis hindrer trådløse nettverk fra å utføre samt kablet seg, for eksempel elektromagnetiske forstyrrelser, ikke-stasjonære klienter, demping av signal med avstand, og så videre. Disse hindringer tendens til å gjøre TCP /IP-trafikk slipp pakker i trådløse miljøer, forårsaker tidsavbrudd og sendinger som kan redusere gjennomstrømning. Vistas endringer løse slike problemer, og resultatet er at Vista-maskiner skal rose seg betydelig bedre ytelse i trådløse miljøer enn tidligere Windows-versjoner kan gi.

Konklusjon
Ser vi på de problemer og begrensninger av TCP /IP nettverk på eksisterende Windows-plattformen, Vistas forbedringer på dette området legge til en annen tvingende grunn til at du oppgraderer XP desktops til Vista kan være et ønskelig mål for store bedrifter som krever optimal gjennomstrømning på sine WAN-koblinger, forbedret sikkerheten for ekstern klient VPN-tilkobling, og større ytelse for trådløse nettverk.


Om Mitch Tulloch: Mitch Tulloch er en forfatter, trener og konsulent som spesialiserer seg på Windows server operativsystemer, IIS administrasjon, feilsøking nettverk og sikkerhet. Han er forfatter av 15 bøker, inkludert Microsoft Encyclopedia of Networking (Microsoft Press), Microsoft Encyclopedia of Security (Microsoft Press), Windows Server Hacks (O'Reilly), Windows Server 2003 i et nøtteskall (O'Reilly), Windows 2000 Administration i et nøtteskall (O'Reilly), og IIS 6 Administration (Osborne /McGraw-Hill). Mitch er basert i Winnipeg, Canada; du kan finne mer informasjon om bøkene sine på sin nettside www.mtit.com


WindowsNetworking.com inneholder et vell av nettverksinformasjon for administratorer. Med informasjon om hvordan du kan sette opp og feilsøke ulike nettverk av alle størrelser. Inkluderer også et omfattende arkiv av hundrevis av anmeldt nettverk programvare og maskinvareløsninger. Hyppig oppdatert med artikler og amp; tips av et team av ledende forfattere, er det fortsatt en favoritt innenfor nettverk samfunnet.