微软在Windows 7中加入了许多新的网络功能,这些功能简化了网络连接,可以帮助用户随时随地连接到网络资源。这里,我们就进一步了解一下Windows 7中具有创新特点的网络功能。
家庭组
先看一下一项针对家庭用户和家庭办公用户推出的改进:微软在Windows 7中提出了家庭组的概念。家庭组功能主要服务于两种目的:一是使家庭网络中的文件与资源共享更简便;二是保护共享文件和资源不受客人或无线网络用户的干扰。
许多家庭都装有多台电脑,这些用户希望在家里共享音乐和图片,甚至是整个网络。类似这样的本地联网方式其实已经存在多年,但是说起来容易,做起来难,不少用户在实际应用中都遭遇过棘手的问题。
从控制面板中打开家庭组。选择创建一个家庭组,并开始进程。依据需要完成对话框操作,我们就可以选择想要通过家庭组与人共享的文件类型了。
点击下一步,创建完家庭组后,Windows 7会自动生成一个密码,其他用户需要输入该密码才能加入家庭组进行资源共享。Windows 7 Starter和Windows 7 Home Basic不能创建家庭组,但是运行任意Windows 7版本的电脑都可以加入家庭组。家庭组概念美中不足的一点是,它只允许Windows 7用户使用,因此其他家庭中的XP或Vista系统无法加入家庭组中。
家庭组简化了家庭网络中文件,文件夹以及其他网络资源的共享过程。与此同时,它还允许来访客人连接到无线网络中访问互联网,避免了授权客人访问共享资源的尴尬。而且家庭组禁止任何未授权的无线连接访问家庭组的共享资源。
VPN重新连接
依赖于虚拟专用网络的漫游用户希望在电脑和公司内部网络间提供安全连接。当用户坐在酒店里或是客户代表处的会议室里,创建一个VPN连接时,除非受到其他网络因素的干扰,否则该用户的电脑都会保持在连接状态。
尽管如此,依赖于无线宽带连接的用户要想在移动环境中创建VPN连接,难免会遭遇频繁掉线,以及不断地重新验证和重新创建VPN连接所带来的麻烦。
Windows 7中的VPN重新连接功能可以在掉线后,自动重新激活VPN连接。Windows 7重新连接到互联网后,就可以重新进行VPN连接。如果互联网连接不成功,VPN连接就不可用。互联网重新连接以后,重新连接VPN的过程需要花上几秒钟时间,但是VPN重连能确保用户与想要访问的网络资源之间保持连接状态。
本质上,VPN重连是使用IKEv2协议的一条IPSec通道,可用于关键谈判和ESP数据包的传输。ESP是IPSec安全架构的一部分,该架构具备机密的,可靠的数据源以及无连接完整性。
在移动环境中通过VPN连接查看视频流时, 用户通常会丢失所有缓冲数据,因此需要在掉线后再次启动视频。即便是IP地址在重新连接的时候出现更改,IKEv2 IPSec通道和ESP也有助于确保连接的稳定性,而且该功能能让视频流恢复到VPN连接断开时的样子。
DirectAccess
还有什么比VPN能自动重连并保持连接状态更好呢?如果从一开始就不需要VPN,情况会怎样?DirectAccess就是Windows 7中最令人瞩目的功能之一,对于远程或是移动办公的用户而言,这一功能非常有用。
除了上面提到的要在VPN上保持连接,以便访问内部网络资源的用户,漫游用户还有其他疑问。没有连接到网络中的移动式计算机会错过安全更新,软件补丁和组策略更新。只有在这些电脑重新联网后才会得到更新,但是这种更新可能已经被推迟了几天甚至几周。
只要Windows 7系统可以联网,DirectAccess就会为内部网络和Windows 7系统之间提供了一个稳定的无缝式双向连接。如果远程以及漫游用户身处直接连接到网络的办公室中,就可以通过DirectAccess共享公司资源,内网和内部应用。
DirectAccess支持双向连接。不仅电脑可以通过任意互联网连接访问内部网络,IT管理人员也可以连接到DirectAccess客户端电脑——即便该电脑的用户并没有登录。因此,IT管理人员可以利用DirectAccess功能来监控,管理DirectAccess客户端电脑,并为其进行更新部署。
DirectAccess使用IPSec进行验证和加密。DirectAccess还可以与NAP综合使用,如此便可以要求DirectAccess客户端在联网前服从系统健康要求。IT管理员可以对以DirectAccess方式发出的访问请求加以限制,并能对那些用户和单独应用可以访问的服务器进行配置。
建于IPv6之上
DirectAccess功能要求使用IPv6。DirectAccess的连接要求使用IPv6提供的IP地址。IPv6已经推出一段时间,大多数系统和网络设备都可以支持IPv6,但是IPv6取代IPv4网络的进程一直都比较慢。
微软已经意识到IPv6不是随处可得,因此,该公司设计的DirectAccess可以利用IPv6转换工具,如6to4,Teredo和ISATAP等。在这样的网络中,DirectAccess依靠NAP-PT来维持DirectAccess和IPv4资源之间连接的稳定性。
DirectAccess使用拆分通道(split-tunnel)路由为设定了目的地的网络流量进行智能传导。只有被指定的数据才会到达DirectAccess服务器,不过那些准备访问公共互联网资源的数据会直接通往目的地。拆分通道确保了DirectAccess服务器上的资源不被非必要网络流量所消耗。
要求使用Windows Server 2008 R2
如果没有介质,DirectAccess就无法在Windows 7中运行。它需要通过DirectAccess服务器进行连接,而一个DirectAccess服务器其实就是Windows Server 2008 R2。DirectAccess服务器必须具备两个网络接口卡:其中一个连接公共互联网,另一个则连接内部网络。在连接外部互联网的网络接口卡上,DirectAccess还要求至少提供两个连续的IPv4地址。
上面提到的IPv6转换技术(6to4,Teredo和ISATAP)必须在DirectAccess服务器上执行。只有PKI(公共密钥基础设施)环境可以发行身份和安全验证所需的凭证,而且还要求使用运行于Windows Server 2008 或Windows Server 2008 R2上的DNS服务器。
不能正常连接DirectAccess的用户可以使用故障处理向导来识别问题,解决问题。打开网络和共享中心,点击故障排除;然后选择Connection to a Workplace Using DirecAccess便可以开始排故。
基于URL的QoS
无论企业拥有怎样的带宽,假设其带宽有限总显得更安全。随着网络用户的增多,以及使用带宽密集型数据(如视频流和音频流)的人逐渐增加,网络带宽会被不断瓜分,这就迫使路由不得不为数据排序,从而网络通信速度的减慢。
哪怕极尽互联网之所能,这样的数据排序还是会经常发生在内部网与外部网交汇的地方。内部网的速度可达1GBps,但是连接到公共互联网的速度可能只有10MBps。来自内网的数据包会被路由排序,然后按照先来后到的原则进行传输。
虽然不是所有的网络目标都以平等原则创建,但是它们仍会被平等对待。对应用服务器发出的,用来处理发送到关键任务数据库的命令和数据的请求应该优先于Google或Facebook的数据。
管理员可以通过配置QoS控制数据的优先权,以保障那些具备高优先级别的数据得到优先。Windows会为对外数据包指定一个DSCP(区分服务代码点)号码,路由器能利用该号码确定数据包的优先情况。随着网络速度的变慢,数据包被排序等候,默认的先来后到原则将不被使用,取而代之的是按优先级别的高低发送数据包。
QoS功能一直存在于Windows中,但是它要求优先制度建立在指定IP地址和端口之上。尽管如此,也可能出现多个网站使用相同IP地址以及一个网站使用多个IP地址的情况,因此有时便增加了QoS的使用难度。
在Windows 7中,微软已经添加了在URL基础上配置QoS的功能。因此管理员可以为内网应用以及重要网站的数据指定优先权,而不再需要为目标网站配置准确的IP地址和端口。
基于URL的QoS可用来降低非业务相关网页的优先权,如ESPN或Facebook等。降低这些网页数据的优先级别后,其网页数据的处理速度就会被减慢。