Technologie sieciowe systemu Windows Vista

W informatyce Microsoft Windows Vista i Windows Server 2008 wprowadził w latach 2007/2008 nowy stos sieciowy o nazwie stos TCP/IP nowej generacji , aby ulepszyć poprzedni stos na kilka sposobów. Stos obejmuje natywną implementację protokołu IPv6 , a także całkowitą przebudowę protokołu IPv4. Nowy stos TCP/IP wykorzystuje nową metodę przechowywania ustawień konfiguracyjnych, która umożliwia bardziej dynamiczną kontrolę i nie wymaga ponownego uruchamiania komputera po zmianie ustawień. Nowy stos, zaimplementowany jako podwójny stos model, zależy od silnego modelu hosta i zawiera infrastrukturę umożliwiającą bardziej modułowe komponenty, które można dynamicznie wstawiać i usuwać.

Architektura

Architektura stosu TCP/IP nowej generacji

Stos TCP/IP nowej generacji łączy się z kartami sieciowymi za pośrednictwem sterownika Network Driver Interface Specification (NDIS). Stos sieciowy zaimplementowany w tcpip.sys implementuje warstwy transportu , sieci i łącza danych modelu TCP/IP . Warstwa transportowa zawiera implementacje protokołów TCP , UDP i niesformatowanych protokołów RAW . W warstwie sieciowej zaimplementowane są protokoły IPv4 i IPv6 z dwoma stosami . Warstwa łącza danych (zwana także warstwą ramek ) implementuje protokoły 802.3 , 802.1 , PPP , Loopback i tunelowanie . Każda warstwa może pomieścić Windows Filtering Platform (WFP), które umożliwiają introspekcję pakietów w tej warstwie, a także obsługują interfejs API wywołań WFP. Sieciowy interfejs API jest udostępniany za pośrednictwem trzech komponentów:

Winsock: Interfejs API trybu użytkownika do abstrakcji komunikacji sieciowej przy użyciu gniazd i portów . Gniazda datagramowe są używane dla protokołu UDP , podczas gdy gniazda strumieniowe są używane dla protokołu TCP . Chociaż Winsock jest biblioteką trybu użytkownika, używa sterownika trybu jądra , zwanego pomocniczym sterownikiem funkcji (AFD), aby zaimplementować określoną funkcjonalność.
Winsock Kernel (WSK) Interfejs: API trybu jądra zapewniając tę samą abstrakcję gniazd i portów, co Winsock , jednocześnie udostępniając inne funkcje, takie jak asynchroniczne operacje we/wy przy użyciu pakietów żądań we/wy .
Transport Driver Interface (TDI): Interfejs API działający w trybie jądra , który może być używany przez starsze protokoły, takie jak NetBIOS . Zawiera komponent znany jako TDX do mapowania funkcjonalności TDI do stosu sieciowego.

Interfejs użytkownika

Centrum sieci i udostępniania

Interfejs użytkownika służący do konfigurowania, rozwiązywania problemów i pracy z połączeniami sieciowymi również znacznie się zmienił w porównaniu z poprzednimi wersjami systemu Windows. Użytkownicy mogą korzystać z nowego „Centrum sieci i udostępniania”, aby zobaczyć stan swoich połączeń sieciowych i uzyskać dostęp do każdego aspektu konfiguracji. Pojedyncza ikona w obszarze powiadomień (zasobnik systemowy) reprezentuje łączność za pośrednictwem wszystkich kart sieciowych, zarówno przewodowych, jak i bezprzewodowych. Sieć można przeglądać za pomocą Eksploratora sieci , który zastępuje Windows XP "Moje miejsca sieciowe". Elementami Eksploratora sieci mogą być udostępnione urządzenia, takie jak skaner lub udział plików. Usługa Network Location Awareness (NLA) jednoznacznie identyfikuje każdą sieć i udostępnia jej atrybuty oraz typ łączności, dzięki czemu aplikacje mogą określić optymalną konfigurację sieci. Jednak aplikacje muszą jawnie korzystać z interfejsów API NLA, aby być świadomym zmian w łączności sieciowej i odpowiednio się do nich dostosowywać. System Windows Vista używa Link Layer Topology Discovery (LLTD) do graficznego przedstawiania, w jaki sposób różne urządzenia są połączone w sieci, jako mapa sieci . Ponadto mapa sieci wykorzystuje LLTD do określania informacji o łączności i rodzaju mediów (przewodowych lub bezprzewodowych), dzięki czemu mapa jest topologicznie dokładna. Znajomość topologii sieci jest ważna przy diagnozowaniu i rozwiązywaniu problemów z siecią oraz przy przesyłaniu strumieniowym zawartości przez połączenie sieciowe. Każde urządzenie może zaimplementować LLTD, aby pojawiało się na mapie sieci z ikoną reprezentującą urządzenie, umożliwiając użytkownikom dostęp jednym kliknięciem do interfejsu użytkownika urządzenia. Po wywołaniu LLTD udostępnia metadane dotyczące urządzenia, które zawierają informacje statyczne lub informacje o stanie, takie jak adres MAC , adres IPv4/IPv6, siła sygnału itp.

Klasyfikacja sieci według lokalizacji

System Windows Vista klasyfikuje sieci, z którymi się łączy, jako publiczne , prywatne lub domenowe i wykorzystuje funkcję rozpoznawania lokalizacji w sieci do przełączania między typami sieci. Różne typy sieci mają różne zasady zapory. Otwarta sieć, taka jak publiczna sieć bezprzewodowa, jest klasyfikowana jako publiczna i ma najbardziej restrykcyjne ustawienia sieciowe. W tym trybie inne komputery w sieci nie są zaufane, a zewnętrzny dostęp do komputera, w tym udostępnianie plików i drukarek, jest wyłączony. Sieć domowa jest klasyfikowana jako prywatna i umożliwia udostępnianie plików między komputerami. Jeśli komputer jest przyłączony do domeny, sieć jest klasyfikowana jako domenowa ; w takiej sieci zasady ustala kontroler domeny . Przy pierwszym podłączeniu do sieci system Windows Vista wyświetla monit o wybranie odpowiedniego typu sieci. Przy kolejnych połączeniach z siecią usługa służy do uzyskania informacji do jakiej sieci jest podłączony i automatycznego przełączenia na konfigurację sieci dla podłączonej sieci. Windows Vista wprowadza koncepcję profili sieciowych. Dla każdej sieci system przechowuje adres IP , Serwer DNS , serwer proxy i inne funkcje sieciowe specyficzne dla sieci w profilu tej sieci. Kiedy więc ta sieć jest następnie podłączana, ustawienia nie muszą być ponownie konfigurowane, używane są ustawienia zapisane w jej profilu. W przypadku urządzeń mobilnych profile sieciowe dobierane są automatycznie na podstawie dostępnych sieci. Każdy profil jest częścią Public , Private lub Domain .

Protokół internetowy v6

Stos sieciowy systemu Windows Vista obsługuje architekturę podwójnej warstwy protokołu internetowego (IP), w której implementacje protokołów IPv4 i IPv6 współużytkują wspólne warstwy transportowe i ramki . System Windows Vista udostępnia graficzny interfejs użytkownika do konfiguracji właściwości zarówno IPv4, jak i IPv6. Protokół IPv6 jest teraz obsługiwany przez wszystkie komponenty i usługi sieciowe. Klient DNS systemu Windows Vista może korzystać z transportu IPv6. Internet Explorer w systemie Windows Vista i inne aplikacje korzystające z usługi WinINet (Poczta systemu Windows, udostępnianie plików) obsługują dosłowne adresy IPv6 ( RFC2732 ) . Zapora systemu Windows i przystawka Zasady IPsec obsługują adresy IPv6 jako dopuszczalne ciągi znaków. W trybie IPv6 system Windows Vista może używać Link Local Multicast Name Resolution (LLMNR), zgodnie z opisem w dokumencie RFC 4795 , do rozpoznawania nazw hostów lokalnych w sieci, w której nie działa serwer DNS . Ta usługa jest przydatna w sieciach bez centralnego serwera zarządzającego oraz w sieciach bezprzewodowych ad hoc . Protokołu IPv6 można również używać w połączeniach dial-up opartych na protokole PPP i PPPoE znajomości. Windows Vista może również działać jako klient/serwer do udostępniania plików lub DCOM przez IPv6. Uwzględniono również obsługę protokołu DHCPv6 , który może być używany z protokołem IPv6. IPv6 może być używany nawet wtedy, gdy nie jest dostępna pełna natywna łączność IPv6, przy użyciu tunelowania Teredo ; może to nawet przejść przez większość symetrycznych tłumaczeń adresów sieciowych (NAT) IPv4 . Uwzględniono również pełną obsługę multiemisji za pośrednictwem MLDv2 i SSM protokoły. Identyfikator interfejsu IPv6 jest generowany losowo dla stałych, automatycznie konfigurowanych adresów IPv6, aby zapobiec określeniu adresu MAC na podstawie znanych identyfikatorów firm producentów kart sieciowych.

Sieci bezprzewodowe

Obsługa sieci bezprzewodowych jest wbudowana w sam stos sieciowy jako nowy zestaw interfejsów API o nazwie Native Wifi i nie emuluje połączeń przewodowych, jak miało to miejsce w poprzednich wersjach systemu Windows. Pozwala to na wdrożenie funkcji specyficznych dla sieci bezprzewodowych, takich jak większe rozmiary ramek i zoptymalizowane procedury usuwania błędów. Natywne Wi-Fi jest udostępniane przez moduł automatycznej konfiguracji (ACM), który zastępuje bezprzewodową konfigurację zerową systemu Windows XP . ACM jest rozszerzalny, więc programiści mogą włączyć dodatkowe funkcje bezprzewodowe (takie jak automatyczny roaming bezprzewodowy) i zastąpić automatyczną konfigurację i logikę połączenia bez wpływu na wbudowane ramy. Łatwiej jest znaleźć sieci bezprzewodowe w zasięgu i stwierdzić, które sieci są otwarte, a które zamknięte. Lepiej obsługiwane są ukryte sieci bezprzewodowe, które nie reklamują swojej nazwy ( SSID ). Bezpieczeństwo sieci bezprzewodowych zostało ulepszone dzięki ulepszonej obsłudze nowszych standardów bezprzewodowych, takich jak 802.11i . EAP-TLS jest domyślnym trybem uwierzytelniania. Połączenia są nawiązywane na najbezpieczniejszym poziomie połączenia obsługiwanym przez bezprzewodowy punkt dostępowy. WPA2 może być używany nawet w trybie ad-hoc. System Windows Vista udostępnia również Fast Roaming , która umożliwia użytkownikom przemieszczanie się z jednego punktu dostępu do drugiego bez utraty łączności. Aby zachować łączność, można użyć wstępnego uwierzytelnienia w nowym bezprzewodowym punkcie dostępowym . Sieciami bezprzewodowymi można zarządzać z poziomu okna dialogowego Połącz z siecią w interfejsie GUI lub netsh wlan polecenie z powłoki. Ustawienia sieci bezprzewodowych można również skonfigurować za pomocą zasad grupy .

System Windows Vista zwiększa bezpieczeństwo podczas dołączania do domeny przez sieć bezprzewodową. Może używać pojedynczego logowania , aby używać tych samych poświadczeń, aby dołączyć do sieci bezprzewodowej, a także do domeny znajdującej się w sieci. W tym przypadku ten sam RADIUS jest używany zarówno do uwierzytelniania PEAP w celu przyłączenia się do sieci, jak i do uwierzytelnienia MS-CHAP v2 w celu zalogowania się do domeny. Na kliencie bezprzewodowym można również utworzyć profil ładowania początkowego, który najpierw uwierzytelnia komputer w sieci bezprzewodowej i przyłącza się do sieci. Na tym etapie maszyna nadal nie ma dostępu do zasobów domeny. Maszyna uruchomi skrypt zapisany w systemie lub na dysku USB, który uwierzytelni ją w domenie. Uwierzytelnianie można przeprowadzić za pomocą kombinacji nazwy użytkownika i hasła lub certyfikatów bezpieczeństwa z infrastruktury klucza publicznego (PKI), taki jak VeriSign .

Instalacja i konfiguracja sieci bezprzewodowej

System Windows Vista zawiera funkcję Windows Connect Now , która obsługuje konfigurowanie sieci bezprzewodowej przy użyciu kilku metod obsługiwanych przez standard Wi-Fi Protected Setup . Implementuje API kodu natywnego, Web Services for Devices (WSDAPI) do obsługi Devices Profile for Web Services (DPWS), a także implementację zarządzanego kodu w WCF . DPWS umożliwia prostsze wykrywanie urządzeń, takich jak UPnP, i opisuje dostępne usługi tym klientom. Odkrywanie funkcji to nowa technologia, która służy jako warstwa abstrakcji między aplikacjami i urządzeniami, umożliwiając aplikacjom wykrywanie urządzeń na podstawie funkcji urządzenia, a nie typu magistrali lub charakteru połączenia. Rozszerzenia Plug and Play (PnP-X) umożliwiają wyświetlanie urządzeń podłączonych do sieci jako urządzeń lokalnych w systemie Windows podłączonych fizycznie. Obsługa UPnP została również rozszerzona o integrację z PnP-X i Function Discovery .

Wydajność sieci

Stos sieciowy systemu Windows Vista wykorzystuje również kilka optymalizacji wydajności, które umożliwiają wyższą przepustowość, umożliwiając szybsze odzyskiwanie po utracie pakietów w środowisku o dużej utracie pakietów, takim jak sieci bezprzewodowe. System Windows Vista korzysta z NewReno ( RFC 2582 ), który umożliwia nadawcy wysłanie większej ilości danych podczas ponownej próby w przypadku otrzymania częściowego potwierdzenia, które jest potwierdzeniem od odbiorcy tylko części odebranych danych. Wykorzystuje również selektywne potwierdzenia ( SACK ) w celu zmniejszenia ilości danych do retransmisji w przypadku, gdy część wysłanych danych nie została odebrana poprawnie, oraz Forward RTO-Recovery (F-RTO), aby zapobiec niepotrzebnej retransmisji segmentów TCP, gdy wydłuża się czas podróży w obie strony . Obejmuje również Neighbor Unreachability Detection zarówno w IPv4, jak i IPv6, która śledzi dostępność sąsiednich węzłów. Pozwala to na szybsze usuwanie błędów w przypadku awarii sąsiedniego węzła. NDIS Wersja 6.0 wprowadzona w systemie Windows Vista obsługuje odciążanie ruchu IPv6 i obliczanie sum kontrolnych dla protokołu IPv6, ulepszone zarządzanie, skalowalność i wydajność przy zmniejszonej złożoności miniportów NDIS oraz prostsze modele do pisania lekkich sterowników filtrów (LWF). Sterowniki LWF to połączenie sterowników pośrednich NDIS i sterownika miniportu, które eliminują konieczność pisania osobnego protokołu i miniportu oraz posiadają tryb obejściowy do badania tylko wybranych ścieżek sterowania i danych. TCP /IP stack zapewnia również obsługę powrotu po awarii dla zmian domyślnej bramy poprzez okresowe próby wysłania ruchu TCP przez wcześniej wykrytą niedostępną bramę. Może to zapewnić większą przepustowość dzięki wysyłaniu ruchu przez podstawową bramę domyślną w podsieci.

Kolejną istotną zmianą mającą na celu poprawę przepustowości sieci jest automatyczna zmiana rozmiaru okna TCP Receive . Okno odbioru ( RWIN ) określa, ile danych host jest przygotowany do odbioru i jest ograniczone między innymi dostępną przestrzenią buforową. Innymi słowy, jest to miara ilości danych, które zdalny nadajnik może wysłać, zanim zażąda potwierdzenia za wybitne dane. Gdy okno odbiorcze jest zbyt małe, zdalny nadajnik często stwierdzi, że osiągnął limit ilości zaległych danych, które może przesłać, mimo że dostępna jest wystarczająca przepustowość, aby przesłać więcej danych. Prowadzi to do niepełnego wykorzystania łącza. Więc używając większego RWIN rozmiar zwiększa przepustowość w takich sytuacjach; automatycznie dopasowujący się RWIN stara się utrzymać przepustowość tak wysoką, jak pozwala na to przepustowość łącza. Funkcja automatycznego dostrajania okna odbioru stale monitoruje przepustowość i opóźnienie poszczególnych połączeń TCP oraz optymalizuje okno odbioru dla każdego połączenia. Rozmiar okna jest zwiększany w sytuacjach o dużej przepustowości (~5 Mbit/s+) lub dużych opóźnieniach (>10 ms).

Tradycyjne implementacje protokołu TCP wykorzystują algorytm TCP Slow Start do wykrywania szybkości transmisji bez zatykania odbiornika (lub węzłów pośrednich). W skrócie określa, że transmisja powinna rozpocząć się z małą szybkością, wysyłając kilka pakietów. Ta liczba jest kontrolowana przez okno Congestion – który określa liczbę oczekujących pakietów, które zostały wysłane, ale dla których nie otrzymano jeszcze potwierdzenia odbioru od odbiorcy. W miarę odbierania potwierdzeń okno przeciążenia jest rozszerzane o jeden segment TCP na raz, aż potwierdzenie nie nadejdzie. Następnie nadawca zakłada, że przy rozmiarze okna przeciążenia w tej chwili sieć jest przeciążona. Jednak sieć o dużej przepustowości może wytrzymać dość duże okno przeciążenia bez zadławienia. Algorytm powolnego startu może zająć trochę czasu, zanim osiągnie ten próg – przez dłuższy czas sieć pozostaje niewykorzystana.

Nowy stos TCP/IP obsługuje również Explicit Congestion Notification (ECN), aby utrzymać wysoką przepustowość z powodu przeciążenia sieci tak nisko, jak to możliwe. Bez ECN segment komunikatu TCP jest odrzucany przez jakiś router, gdy jego bufor jest pełny. Hosty nie otrzymują powiadomienia o powstawaniu przeciążenia, dopóki pakiety nie zaczną być odrzucane. Nadawca wykrywa, że segment nie dotarł do miejsca docelowego; ale z powodu braku informacji zwrotnej z przeciążonego routera nie ma informacji o zakresie redukcji szybkości transmisji, którą musi wykonać. Standardowe implementacje TCP wykrywają ten spadek, gdy przekroczą limit czasu oczekiwania na potwierdzenie od odbiorcy. Nadawca następnie zmniejsza rozmiar swojego okna przeciążenia , czyli limit ilości danych przesyłanych w dowolnym momencie. Wiele porzuconych pakietów może nawet spowodować zresetowanie okna przeciążenia do maksymalnego rozmiaru segmentu TCP i powolnego uruchamiania protokołu TCP . Wycofanie wykładnicze i tylko addytywny wzrost zapewnia stabilne zachowanie sieci, pozwalając routerom na wyjście z przeciążenia. Jednak odrzucanie pakietów ma zauważalny wpływ na strumienie wrażliwe na czas, takie jak media strumieniowe, ponieważ potrzeba czasu, aby spadek został zauważony i ponownie przesłany. Po włączeniu obsługi ECN router ustawia dwa bity w pakietach danych, które wskazują odbiornikowi, że występuje przeciążenie (ale jeszcze nie jest ono całkowicie zablokowane). Odbiorca z kolei informuje nadawcę, że router stoi w obliczu przeciążenia, a następnie nadawca obniża szybkość transmisji o pewną wartość. Jeśli router jest nadal przeciążony, ponownie ustawi bity i ostatecznie nadawca zwolni jeszcze bardziej. Zaletą tego podejścia jest to, że router nie zapełnia się na tyle, aby zrzucić pakiety, a zatem nadawca nie musi znacząco obniżać szybkości transmisji, aby spowodować poważne opóźnienia w strumieniach wrażliwych na czas; nie grozi też poważnym niepełnym wykorzystaniem przepustowości. Bez ECN jedynym sposobem, w jaki routery mogą informować hosty, jest odrzucanie pakietów. ECN jest jak Random Early Drop , z tą różnicą, że pakiety są oznaczane, a nie odrzucane. Jedynym zastrzeżeniem jest to, że zarówno nadawca, jak i odbiorca, a także wszystkie routery pośrednie, muszą być przyjazne dla ECN. Każdy router po drodze może uniemożliwić korzystanie z ECN, jeśli uzna pakiety oznaczone ECN za nieprawidłowe i porzuci je (lub częściej cała konfiguracja połączenia kończy się niepowodzeniem z powodu elementu sprzętu sieciowego, który odrzuca pakiety konfiguracji połączenia z ustawionymi flagami ECN). Routery, które nie znają ECN, nadal mogą normalnie upuszczać pakiety, ale w Internecie jest trochę sprzętu sieciowego wrogiego ECN. Z tego powodu ECN jest domyślnie wyłączone. Można go włączyć za pomocą netsh interface tcp set global ecncapability=enabled polecenie.

W poprzednich wersjach systemu Windows całe przetwarzanie potrzebne do odbierania lub przesyłania danych za pośrednictwem jednego interfejsu sieciowego było wykonywane przez jeden procesor, nawet w systemie wieloprocesorowym. Dzięki obsługiwanym kartom interfejsu sieciowego system Windows Vista może rozdzielić zadanie przetwarzania ruchu w komunikacji sieciowej na wiele procesorów. Ta funkcja nosi nazwę Skalowanie po stronie odbioru . System Windows Vista obsługuje również karty sieciowe z mechanizmem TCP Offload Engine , które mają pewne funkcje związane z protokołem TCP/IP przyspieszane sprzętowo. System Windows Vista korzysta z odciążania przy użyciu technologii TCP Chimney odciążenie systemu od takich zadań ramkowania, trasowania, korekcji błędów oraz potwierdzania i retransmisji wymaganych w protokole TCP. Jednak ze względu na kompatybilność aplikacji do karty sieciowej przenoszona jest tylko funkcja przesyłania danych TCP, a nie konfiguracja połączenia TCP. Spowoduje to usunięcie części obciążenia z procesora. Przetwarzanie ruchu zarówno w IPv4, jak i IPv6 może zostać odciążone. System Windows Vista obsługuje również technologię NetDMA, która wykorzystuje silnik DMA, aby uwolnić procesory od kłopotów związanych z przenoszeniem danych między buforami danych karty sieciowej a buforami aplikacji. Wymaga włączenia określonych architektur sprzętowych DMA, takich jak Intel I/O Acceleration .

Złożony TCP

Compound TCP to zmodyfikowany algorytm unikania przeciążenia TCP , którego celem jest poprawa wydajności sieci we wszystkich aplikacjach. Nie jest domyślnie włączona w wersji systemu Windows Vista sprzed dodatku Service Pack 1, ale jest włączona w dodatku SP1 i systemie Windows Server 2008. Wykorzystuje inny algorytm do modyfikowania okna przeciążenia — pożyczanie z TCP Vegas i TCP New Reno . Każde otrzymane potwierdzenie zwiększa agresywnie okno przeciążenia, dzięki czemu znacznie szybciej osiąga szczytową przepustowość, zwiększając ogólną przepustowość.

Jakość usługi

jakość usług opartą na zasadach (QoS) do ustalania priorytetów ruchu sieciowego. Jakość usług może służyć do zarządzania wykorzystaniem sieci przez określone aplikacje lub użytkowników poprzez ograniczanie dostępnej dla nich przepustowości lub do ograniczania wykorzystania przepustowości przez inne aplikacje, gdy aplikacje o wysokim priorytecie, takie jak aplikacje do obsługi konferencji w czasie rzeczywistym, są uruchomić, aby mieć pewność, że uzyskają potrzebną przepustowość. Ograniczanie ruchu może również służyć do zapobiegania wykorzystywaniu całej dostępnej przepustowości przez duże operacje przesyłania danych. Zasady QoS mogą być ograniczone przez nazwę pliku wykonywalnego aplikacji, ścieżkę folderu, źródłowy i docelowy adres IPv4 lub IPv6, źródłowy i docelowy port TCP lub UDP lub zakres portów. W systemie Windows Vista zasady QoS można zastosować do dowolnej aplikacji w sieci Network Layer , eliminując w ten sposób potrzebę ponownego pisania aplikacji przy użyciu interfejsów API QoS, aby były świadome QoS. Zasady QoS można ustawić dla poszczególnych komputerów lub ustawić przez zasad grupy Active Directory , co gwarantuje, że wszyscy klienci Windows Vista połączeni z kontenerem Active Directory (domena, lokacja lub jednostka organizacyjna) będą wymuszać ustawienia zasad.

Windows Vista obsługuje klasy profili Wireless Multimedia (WMM) dla QoS w sieciach bezprzewodowych, zgodnie z certyfikatem Wi-Fi Alliance : BG (dla danych w tle), BE (dla najlepszych danych w czasie innym niż w czasie rzeczywistym), VI (dla wideo w czasie rzeczywistym) i VO (dla danych głosowych w czasie rzeczywistym). Jeśli zarówno bezprzewodowy punkt dostępowy, jak i bezprzewodowa karta sieciowa obsługują profile WMM, system Windows Vista może zapewnić preferencyjne traktowanie wysyłanych danych.

qWave

Pętla sprzężenia zwrotnego qWave

System Windows Vista zawiera wyspecjalizowany interfejs API QoS o nazwie qWave ( Quality Windows Audio/Video Experience ), który jest wstępnie skonfigurowanym modułem jakości usług dla zależnych od czasu danych multimedialnych, takich jak strumienie audio lub wideo. qWave wykorzystuje różne schematy priorytetów pakietów dla przepływów w czasie rzeczywistym (takich jak pakiety multimedialne) i przepływów typu best-effort (takich jak pobieranie plików lub e-maile), aby zapewnić, że dane w czasie rzeczywistym mają jak najmniejsze opóźnienia, zapewniając jednocześnie wysoką kanał jakości dla innych pakietów danych.

qWave ma zapewnić transport sieci multimedialnych w czasie rzeczywistym w sieci bezprzewodowej. qWave obsługuje jednocześnie wiele multimediów oraz strumieni danych. qWave nie polega wyłącznie na schematach rezerwacji przepustowości, takich jak zapewnia RSVP w celu zapewnienia gwarancji QoS, ponieważ przepustowość w sieci bezprzewodowej stale się zmienia. W rezultacie wykorzystuje również ciągłe monitorowanie przepustowości w celu realizacji gwarancji usług.

Aby korzystać z usługi, aplikacje muszą jawnie korzystać z interfejsów API qWave. Gdy aplikacja multimedialna żąda od qWave zainicjowania nowego strumienia multimediów, qWave próbuje zarezerwować przepustowość za pomocą RSVP . Jednocześnie wykorzystuje sondy QoS, aby upewnić się, że sieć ma wystarczającą przepustowość do obsługi strumienia. Jeśli warunki są spełnione, strumień jest dozwolony i ma priorytet, aby inne aplikacje nie zajmowały jego udziału w przepustowości. Jednak czynniki środowiskowe mogą wpływać na odbiór sygnałów bezprzewodowych, co może zmniejszyć przepustowość, nawet jeśli żaden inny strumień nie ma dostępu do zarezerwowanej przepustowości. Dzięki temu qWave na bieżąco monitoruje dostępną przepustowość, a jeśli się zmniejszy, aplikacja jest o tym informowana, tworząc pętlę sprzężenia zwrotnego , dzięki czemu może dostosować strumień tak, aby pasował do niższego zakresu przepustowości. Jeśli dostępna jest większa przepustowość, qWave automatycznie ją rezerwuje i informuje aplikację o ulepszeniu.

W celu zbadania jakości sieci pakiety sondujące są wysyłane do źródła i analizowane są statystyki (takie jak czas podróży w obie strony, straty, opóźnienie, jitter itp.), a wyniki są zapisywane w pamięci podręcznej. Sonda jest powtarzana po określonych odstępach czasu, aby zaktualizować pamięć podręczną. Za każdym razem, gdy żądany jest strumień, sprawdzana jest pamięć podręczna. qWave serializuje również tworzenie wielu jednoczesnych strumieni, nawet między urządzeniami, dzięki czemu sondy wysyłane dla jednego strumienia nie są zakłócane przez inne. qWave wykorzystuje bufory po stronie klienta, aby utrzymać prędkość transmisji w zakresie najwolniejszej części sieci, dzięki czemu bufory punktów dostępowych nie są przeciążone, co zmniejsza utratę pakietów.

qWave działa najlepiej, jeśli zarówno źródło, jak i ujście (klient) strumienia multimedialnego obsługują qWave. Ponadto bezprzewodowy punkt dostępowy (AP) musi mieć włączoną funkcję QoS, obsługującą rezerwację przepustowości. Może również działać bez punktów dostępowych obsługujących QoS; jednak, ponieważ qWave nie może w tym przypadku zarezerwować przepustowości, musi zależeć od aplikacji, aby dostosować strumień w oparciu o dostępną przepustowość, na którą będą miały wpływ nie tylko warunki sieciowe, ale także inne dane w sieci. qWave jest również dostępny dla innych urządzeń w ramach Windows Rally .

Bezpieczeństwo sieci

Aby zapewnić większe bezpieczeństwo podczas przesyłania danych przez sieć, system Windows Vista zapewnia ulepszenia algorytmów kryptograficznych używanych do zaciemniania danych. Stos sieciowy zawiera obsługę 256-bitowych, 384-bitowych i 512-bitowych algorytmów krzywej eliptycznej Diffie-Hellmana (ECDH), a także 128-bitowych, 192-bitowych i 256-bitowych Advanced Encryption Standard (AES) samo. Bezpośrednia obsługa SSL w nowym Winsock Interfejs API umożliwia aplikacjom obsługującym gniazda bezpośrednią kontrolę nad bezpieczeństwem ich ruchu w sieci (np. zapewnianie zasad bezpieczeństwa i wymagań dotyczących ruchu, sprawdzanie ustawień zabezpieczeń) bez konieczności dodawania dodatkowego kodu w celu obsługi bezpiecznego połączenia. Komputery z systemem Windows Vista mogą być częścią logicznie izolowanych sieci w ramach usługi Active Directory domena. Dostęp do zasobów w domenie będą miały tylko komputery znajdujące się w tej samej logicznej partycji sieciowej. Nawet jeśli inne systemy mogą znajdować się fizycznie w tej samej sieci, o ile nie znajdują się w tej samej partycji logicznej, nie będą miały dostępu do zasobów podzielonych na partycje. System może być częścią wielu partycji sieciowych.

System Windows Vista zawiera również platformę Extensible Authentication Protocol Host (EAPHost), która zapewnia rozszerzalność metod uwierzytelniania dla powszechnie używanych chronionych technologii dostępu do sieci, takich jak 802.1X i PPP. Umożliwia dostawcom rozwiązań sieciowych opracowywanie i łatwe instalowanie nowych metod uwierzytelniania, znanych jako metody EAP.

tablicę routingu dla poszczególnych użytkowników , dzieląc w ten sposób sieć zgodnie z potrzebami użytkownika, tak aby dane z jednego segmentu nie trafiały do innego. Ta funkcja została jednak usunięta przed wydaniem systemu Windows Vista i prawdopodobnie zostanie uwzględniona w przyszłej wersji systemu Windows.

Ochrona dostępu do sieci

W systemie Windows Vista wprowadzono również ochronę dostępu do sieci (NAP), która zapewnia, że komputery łączące się z siecią spełniają wymagany poziom kondycji systemu ustawiony przez administratora sieci. Po włączeniu ochrony dostępu do sieci w sieci, gdy komputer z systemem Windows Vista próbuje dołączyć do sieci, sprawdzane jest, czy komputer jest aktualny pod względem aktualizacji zabezpieczeń, sygnatur wirusów i innych czynników, w tym konfiguracji IPsec i 802.1x ustawienia uwierzytelniania określone przez administratora sieci. Pełny dostęp do sieci uzyska dopiero po spełnieniu kryteriów, w przeciwnym razie może zostać pozbawiony dostępu do sieci lub ograniczony dostęp tylko do niektórych zasobów. Opcjonalnie może otrzymać dostęp do serwerów, które zapewnią mu najnowsze aktualizacje. Po zainstalowaniu aktualizacji komputer uzyskuje dostęp do sieci. Jednak system Windows Vista może być tylko klientem NAP, tj. komputerem klienckim, który łączy się z siecią obsługującą ochronę dostępu do sieci. Serwery polityki zdrowotnej i weryfikacji muszą działać pod kontrolą systemu Windows Server 2008 .

IPsec i Zapora systemu Windows

Konfiguracja IPsec jest teraz w pełni zintegrowana z zaporą systemu Windows z przystawką Advanced Security i netsh advfirewall narzędzie wiersza polecenia, aby zapobiegać sprzecznym regułom i oferować uproszczoną konfigurację wraz z zaporą uwierzytelniającą. Zaawansowane reguły filtrowania zapory (wyjątki) i zasady IPsec można skonfigurować, na przykład według domeny, profili publicznych i prywatnych, źródłowych i docelowych adresów IP, zakresu adresów IP, źródłowych i docelowych portów TCP i UDP, wszystkich lub wielu portów, określonych typów interfejsów, ruch ICMP i ICMPv6 według typu i kodu, usługi, przechodzenie przez krawędź, stan ochrony IPsec oraz określonych użytkowników i komputery w oparciu o Active Directory .

W systemach wcześniejszych niż Windows Vista konfigurowanie i utrzymywanie konfiguracji zasad IPsec w wielu scenariuszach wymagało skonfigurowania zestawu reguł ochrony i innego zestawu reguł dotyczących wykluczeń ruchu. Węzły IPsec w systemie Windows Vista komunikują się podczas jednoczesnej negocjacji chronionej komunikacji, a jeśli otrzymana zostanie odpowiedź i negocjacje zostaną zakończone, kolejna komunikacja jest chroniona. Eliminuje to konieczność konfigurowania filtrów IPsec dla wyjątków dla zestawu hostów, które nie obsługują lub nie obsługują protokołu IPsec, umożliwia skonfigurowanie wymaganej chronionej komunikacji przychodzącej i opcjonalnej komunikacji wychodzącej. Protokół IPsec umożliwia również zabezpieczanie ruchu między kontrolerami domeny a komputerami członkowskimi, jednocześnie zezwalając na czysty tekst dla przyłączeń domen i innych typów komunikacji. Dołączenia do domen chronionych przez IPsec są dozwolone, jeśli są używane NTLM v2, a jeśli oba, kontrolery domeny i komputery członkowskie działają odpowiednio z systemem Windows Server 2008 i Windows Vista.

IPsec w pełni obsługuje IPv6, AuthIP (który umożliwia drugie uwierzytelnienie), integrację z NAP w celu uwierzytelniania za pomocą certyfikatu kondycji, obsługę Network Diagnostics Framework w przypadku nieudanych negocjacji IPsec, nowe liczniki wydajności IPsec oraz ulepszone wykrywanie awarii węzłów klastra i szybszą renegocjację stowarzyszenia bezpieczeństwa. Istnieje wsparcie dla silniejszych algorytmów negocjacji w trybie głównym (silniejsze algorytmy DH i pakiet B) oraz integralności i szyfrowania danych (AES z CBC, AES-GMAC, SHA-256, AES-GCM).

Struktura diagnostyki sieci (NDF)

Oczekuje się, że główną nową funkcją sieciową będzie możliwość pomocy użytkownikowi w diagnozowaniu problemu z siecią. Istnieje szerokie wsparcie dla diagnostyki środowiska uruchomieniowego zarówno dla sieci przewodowych, jak i bezprzewodowych, w tym wsparcie dla TCP Management Information Base (MIB)-II oraz lepsze rejestrowanie i śledzenie zdarzeń systemowych. Stos TCP/IP Vista obsługuje również ESTATS, który definiuje rozszerzone statystyki wydajności dla TCP i może pomóc w określeniu przyczyny wąskich gardeł wydajności sieci. System Windows Vista może informować użytkownika o większości przyczyn awarii transmisji sieciowej, takich jak nieprawidłowy adres IP , nieprawidłowe ustawienia DNS i bramy domyślnej, awaria bramy, port w użyciu lub zablokowany, odbiornik nie gotowy, usługa DHCP nie działa, błąd rozpoznawania nazw NetBIOS przez TCP/IP itp. Błędy transmisji są również szczegółowo rejestrowane, co można analizować w celu lepszego znalezienia przyczyna błędu. System Windows Vista ma większą świadomość topologii sieci, w której znajduje się komputer hosta, przy użyciu technologii takich jak Universal Plug and Play . Dzięki tej nowej technologii rozpoznawania sieci system Windows Vista może pomóc użytkownikowi w rozwiązywaniu problemów z siecią lub po prostu zapewnić graficzny widok postrzeganej konfiguracji sieci.

Platforma filtrowania systemu Windows

Stos sieciowy systemu Windows Vista obejmuje platformę filtrowania systemu Windows , która umożliwia zewnętrznym aplikacjom dostęp i podłączanie się do potoku przetwarzania pakietów podsystemu sieciowego. WFP umożliwia filtrowanie, analizowanie lub modyfikowanie przychodzących i wychodzących pakietów na kilku warstwach stosu protokołów TCP/IP. Ponieważ WFP ma wbudowany silnik filtrowania, aplikacje nie muszą pisać żadnego niestandardowego silnika, muszą jedynie zapewnić niestandardową logikę, z której silnik ma korzystać. WFP zawiera podstawowy silnik filtrowania , który implementuje żądania filtrów. Pakiety są następnie przetwarzane przy użyciu Generic Filtering Engine , który zawiera również moduł objaśnień , do którego można podłączyć aplikacje zapewniające niestandardową logikę przetwarzania. WFP można wykorzystywać między innymi do sprawdzania pakietów pod kątem złośliwego oprogramowania, selektywnego ograniczania pakietów, na przykład w zaporach ogniowych lub dostarczania niestandardowych systemów szyfrowania. Po pierwszym wydaniu WFP było nękane błędami, w tym wyciekami pamięci i warunkami wyścigu.

Zapora systemu Windows w systemie Windows Vista jest realizowana przez WFP.

Komunikacja peer-to-peer

System Windows Vista zapewnia znaczącą obsługę peer-to-peer wraz z wprowadzeniem nowych interfejsów API i protokołów. Wprowadzono nową wersję protokołu Peer Name Resolution Protocol (PNRP v2), a także zestaw interfejsów API Peer Distributed Routing Table, Peer Graphing, Peer Grouping, Peer Naming i Peer Identity Management. Kontakty można tworzyć i administrować za pomocą nowego podsystemu peer-to-peer — obecność bezserwerowa umożliwia użytkownikom zarządzanie informacjami o obecności w czasie rzeczywistym i śledzenie obecności innych zarejestrowanych użytkowników w podsieci lub w Internecie. Nowi ludzie w pobliżu usługa umożliwia wykrywanie i zarządzanie kontaktami w tej samej podsieci i wykorzystuje Kontakty systemu Windows do zarządzania i przechowywania informacji kontaktowych; nowe możliwości umożliwiają użytkownikom wysyłanie zaproszeń do aplikacji do innych użytkowników (obsługiwana jest również współpraca ad-hoc) bez scentralizowanego serwera. Przykładem takiej aplikacji jest Windows Meeting Space .

PNRP umożliwia również tworzenie sieci nakładkowej zwanej Grafem . Każdy element równorzędny w sieci nakładki odpowiada węzłowi na grafie. Wszystkie węzły na grafie dzielą się informacjami księgowymi odpowiedzialnymi za funkcjonowanie sieci jako całości. Na przykład w rozproszonej sieci zarządzania zasobami, który węzeł ma jaki zasób należy udostępnić. Takie informacje są udostępniane jako Zapisy , które są rozlewane do wszystkich elementów równorzędnych w grafie. Każdy peer przechowuje rekord w lokalnej bazie danych. Rekord składa się z nagłówka i treści. Treść zawiera dane specyficzne dla aplikacji korzystającej z API; nagłówek zawiera metadane opisujące dane w treści jako pary nazwa-wartość serializowane przy użyciu XML , oprócz informacji o autorze i wersji. Może również zawierać indeks danych ciała, w celu szybkiego wyszukiwania. Węzeł może również łączyć się bezpośrednio z innymi węzłami w celu komunikacji, która nie musi być współdzielona z całym wykresem. API umożliwia również tworzenie bezpiecznej sieci nakładek zwanej Grupą , składający się ze wszystkich lub podzbioru węzłów Grafu. Grupa może być współużytkowana przez wiele aplikacji, w przeciwieństwie do Grafu. Wszystkie elementy równorzędne w grupie muszą być identyfikowalne za pomocą unikatowej nazwy, zarejestrowane przy użyciu protokołu PNRP i posiadać podpisu cyfrowego określany jako Group Member Certificate (GMC). Wszystkie wymieniane rekordy są podpisane cyfrowo. Rówieśnicy muszą zostać zaproszeni do grupy. Zaproszenie zawiera GMC, które umożliwia dołączenie do grupy.

Nowa funkcja sieci równorzędnej Windows Internet Computer Names ( WICN ) umożliwia maszynie podłączonej do protokołu IPv6 uzyskanie niestandardowej lub unikalnej nazwy domeny. Jeśli komputer jest podłączony do Internetu, użytkownicy mogą określić zabezpieczoną lub niezabezpieczoną nazwę hosta dla swojego komputera za pomocą polecenia konsoli, bez konieczności rejestrowania nazwy domeny i konfigurowania dynamicznego DNS. WICN może być używany w dowolnej aplikacji, która akceptuje adres IP lub nazwę DNS; PNRP wykonuje całe rozpoznawanie nazw domen na poziomie peer-to-peer.

Inna planowana funkcja systemu Windows Vista zapewniłaby nową konfigurację sieci podobną do domeny, znaną jako zamek, ale nie trafiła ona do wydania. Castle umożliwiłby posiadanie usługi identyfikacji, która zapewnia uwierzytelnianie użytkowników dla wszystkich członków sieci, bez scentralizowanego serwera. Umożliwiłoby to propagację poświadczeń użytkownika w sieci peer-to-peer, dzięki czemu byłyby bardziej odpowiednie dla sieci domowej.

Ludzie blisko mnie

People Nearby Me (dawniej People Nearby ) to usługa peer-to-peer zaprojektowana w celu uproszczenia komunikacji i współpracy między użytkownikami podłączonymi do tej samej podsieci. People Near Me jest używany przez Windows Meeting Space do współpracy i wyszukiwania kontaktów. Ludzie w pobliżu mnie zostali wymienieni jako część strategii platformy mobilnej firmy Microsoft, jak ujawniono podczas konferencji Windows Hardware Engineering Conference w 2004 r. Ludzie w pobliżu mnie używają Kontaktów systemu Windows do zarządzania informacjami kontaktowymi; domyślnie użytkownik może otrzymywać zaproszenia od wszystkich użytkowników podłączonych do tej samej podsieci, ale użytkownik może wyznaczyć innego użytkownika jako zaufany kontakt w celu umożliwienia współpracy przez Internet, zwiększenia bezpieczeństwa oraz określenia obecności tych kontaktów.

Usługa Inteligentnego Transferu w Tle

Nowa usługa inteligentnego transferu w tle (BITS) 3.0 ma nową funkcję o nazwie Neighbor Casting , która obsługuje przesyłanie plików peer-to-peer w domenie . Ułatwia to buforowanie równorzędne , umożliwia użytkownikom pobieranie i udostępnianie treści (takich jak aktualizacje programu WSUS ) od równorzędnych w tej samej podsieci, otrzymywanie powiadomień o pobraniu pliku, uzyskiwanie dostępu do pliku tymczasowego w trakcie pobierania oraz kontrolowanie przekierowań HTTP. Oszczędza to przepustowość sieci i zmniejsza obciążenie wydajnościowe serwera. BITS 3.0 również używa protokołu Internet Gateway Device Protocol w celu dokładniejszego obliczenia dostępnej przepustowości.

Ulepszenia podstawowego sterownika sieciowego i interfejsu API

Sterownik trybu jądra HTTP w systemie Windows Vista, Http.sys , został udoskonalony w celu obsługi uwierzytelniania po stronie serwera, rejestrowania, nazw hostów IDN, śledzenia zdarzeń i lepszego zarządzania za pomocą netsh http i nowych liczników wydajności. WinINet , moduł obsługi protokołów HTTP i FTP, obsługuje adresy literalne IPv6, obsługuje dekompresję Gzip i deflate w celu poprawy wydajności kodowania treści, obsługę międzynarodowych nazw domen i śledzenie zdarzeń. WinHTTP , kliencki interfejs API dla aplikacji i usług opartych na serwerze , obsługuje IPv6, AutoProxy , fragmentaryczne kodowanie transferu HTTP/1.1 , przesyłanie większych danych, SSL i certyfikaty klienta , uwierzytelnianie serwera i proxy, automatyczna obsługa przekierowań i utrzymywania aktywności połączeń oraz protokołu HTTP/1.0, w tym obsługa utrzymywania aktywności (trwałych) połączeń i sesji ciasteczka. Winsock został zaktualizowany o nowe interfejsy API i obsługę śledzenia zdarzeń. Dostawca usług warstwowych Winsock wsparcie zostało rozszerzone o rejestrowane instalacje i usunięcia, nowy interfejs API do niezawodnego instalowania LSP, polecenie niezawodnego usuwania LSP, funkcje kategoryzowania LSP i usuwania większości LSP ze ścieżki przetwarzania dla usług o krytycznym znaczeniu dla systemu oraz wsparcie dla Network Diagnostics Framework.

Jądro Winsock

Winsock Kernel (WSK) to nowy, niezależny od transportu sieciowy interfejs programowania w trybie jądra (NPI), który zapewnia programistom klientów TDI model programowania przypominający gniazda, podobny do tych obsługiwanych w trybie użytkownika Winsock . Podczas gdy istnieje większość gniazd , jak w trybie użytkownika Winsock, takich jak gniazdo, tworzenie, wiązanie, łączenie, akceptacja, wysyłanie i odbieranie, Winsock Kernel to całkowicie nowy interfejs programistyczny o unikalnych cechach, takich jak asynchroniczne operacje we/wy , które wykorzystują IRP i wywołania zwrotne zdarzeń w celu zwiększenia wydajności. TDI jest obsługiwane w systemie Windows Vista w celu zapewnienia kompatybilności wstecznej.

Blok komunikatów serwera 2.0

Wraz z systemem Windows Vista wprowadzono nową wersję protokołu Server Message Block (SMB). Zawiera szereg zmian poprawiających wydajność i dodających dodatkowe możliwości. Systemy operacyjne Windows Vista i nowsze używają protokołu SMB 2.0 podczas komunikacji z innymi komputerami z systemem Windows Vista lub nowszym. SMB 1.0 jest nadal używany do połączeń z dowolną poprzednią wersją systemu Windows lub z Sambą . Samba 3.6 zawiera również obsługę SMB 2.0.

Zdalna kompresja różnicowa

Zdalna kompresja różnicowa (RDC) to protokół synchronizacji klient-serwer, który umożliwia synchronizację danych ze zdalnym źródłem przy użyciu technik kompresji w celu zminimalizowania ilości danych przesyłanych przez sieć. Synchronizuje pliki, obliczając i przesyłając w locie tylko różnice między nimi. Dlatego RDC nadaje się do wydajnej synchronizacji plików, które zostały zaktualizowane niezależnie lub gdy przepustowość sieci jest mała lub w scenariuszach, w których pliki są duże, ale różnice między nimi są niewielkie.

Obsługa Bluetootha

Stos Bluetooth systemu Windows Vista został ulepszony dzięki obsłudze większej liczby identyfikatorów sprzętu, ulepszeniom wydajności EDR, adaptacyjnemu przeskakiwaniu częstotliwości dla współistnienia Wi-Fi oraz obsłudze protokołów SCO ( Synchronous Connection Oriented ), które są potrzebne do profili audio. Stos Bluetooth systemu Windows Vista obsługuje interfejs sterownika urządzenia w trybie jądra oprócz interfejsu programowania w trybie użytkownika, który umożliwia stronom trzecim dodanie obsługi dodatkowych profili Bluetooth, takich jak SCO, SDP i L2CAP. Tego brakowało we wbudowanym stosie Bluetooth systemu Windows XP z dodatkiem Service Pack 2, który musiał zostać całkowicie zastąpiony stosem innej firmy w celu zapewnienia dodatkowej obsługi profili. Zapewnia również obsługę RFCOMM przy użyciu gniazd oprócz wirtualnych portów COM. KB942567 o nazwie Windows Vista Feature Pack for Wireless dodaje obsługę Bluetooth 2.1+EDR i obsługę zdalnego budzenia z S3 lub S4 dla modułów Bluetooth z własnym zasilaniem. Ten pakiet funkcji, choć początkowo dostępny tylko dla producentów OEM, został ostatecznie uwzględniony w dodatku Service Pack 2 dla systemu Windows Vista.

Wirtualna sieć prywatna (VPN)

System Windows Vista i nowsze obsługują protokół PEAP z protokołem PPTP. Obsługiwane mechanizmy uwierzytelniania to PEAPv0/EAP-MSCHAPv2 (hasła) i PEAP-TLS (karty inteligentne i certyfikaty).
Protokół Secure Socket Tunneling Protocol (SSTP), wprowadzony w dodatku Service Pack 1 dla systemu Windows Vista, jest formą tunelu VPN , który zapewnia mechanizm transportu ruchu PPP lub L2TP przez kanał SSL 3.0. SSL zapewnia bezpieczeństwo na poziomie transportu z negocjacją kluczy, szyfrowaniem i sprawdzaniem integralności ruchu.

Linki zewnętrzne