Internet для SOHO


Предположим, что вы являетесь администратором небольшой офисной сети. В ее состав входит 15-20 настольных ПК, средненький сервер, пара сетевых принтеров и возможно мобильные ПК. На сервере даже стоит купленная Windows NT, у пользователей — Windows 95 и конечно Office 97. Естественно вы, как администратор, не можете жить без e-mail и других возможностей Internet. Для этой цели был приобретен модем, например, популярный USR Courier. Через некоторое время начальник, оценив плюсы электронной почты и чтобы поднять престиж, также желает обзавестись доступом в Internet. Для этого приобретается второй модем. Далее оказывается, что зам. директора просто необходимо для решения некоторых финансовых вопросов использовать электронную почту, и таким образом нужен еще один модем или… Вот собственно это "или" и будет предметом обсуждения в данной статье.

Проблема

Итак, сначала более подробно опишем ситуацию. Общая задача такая — необходимо обеспечить для 2-5 ПК в составе локальной сети доступ к Internet. Под последним подразумевается как минимум доступ к электронным почтовым ящикам (POP3, SMTP) и WEB. Остальное (FTP, ICQ и т.д.) также желательно, однако отличие в данном случае например между NetMeeting и RealAudio не принципиально, т.к. как правило все эти услуги или есть все или нет никакой. Также необходимо обеспечить потенциальное подключение любого ПК.

Следующее предположение более жесткое — использование только коммутируемых телефонных линий. Дело в том, что доступ по другим, выделенным и скоростным, каналам представляется более дорогим как на этапе установки, так и в использовании. Например постоянное подключение на скорости 64K обходится в Москве около $300 в месяц. Конечно если вы сможете договориться еще с несколькими организациями в доме и провести к нему оптоволокно, все может оказаться дешевле, но этот случай рассматривать не будем. Кроме того считаем скорость модема (или пары модемов) достаточной для наших задач. Связано с этим также и не использование выделенных "официальных" IP адресов, а только одного динамического. Хотя это можно всегда изменить, но зато на начальном этапе будет дешевле.

Так как регулярно просматривая event log Windows NT вы замечаете попытки регистрации странных пользователей и ПК, подключенные к Internet, стали менее надежно работать, то возникает следующее требование — необходимо обеспечить некоторый уровень защиты локальной сети от "опасностей Internet". Не будем рассматривать защиту браузеров и программ электронной почты, т.к. эта задача абсолютно самостоятельна и решается в основном программно.

Также желательно обеспечить некоторых пользователей (например себя :) возможностью удаленного доступа в локальную сеть офиса.

И наконец последнее. В принципе организация на базе Windows NT или другой системы почтового сервера не очень сложна, но все таки предположим, что почтовые ящики заведены у провайдера. Хотя все приведенные решения допускают любой вариант. Просто в этом случае еще больше возрастают требования к серверу, усложняется настройка и снижается надежность. Могут быть дополнительные затраты, связанные с регистрацией IP, домена и т.д. Хотя для уменьшения стоимости всегда можно поставить специальное ПО и отправлять исходящую почту например только ночью или другим образом оптимизировать нагрузку.

Замечание. Упоминавшаяся уже пару раз Windows NT для данного обзора не очень существенна и с переменным успехом может быть заменена далее на другую ОС.

Термины

DHCP сервер — очень удобная вещь для TCP/IP сетей. Сильно упрощает настройку (и перенастройку :) параметров TCP/IP у клиентов. Автоматически устанавливает им при включении IP адрес, маску, адреса DNS и WINS серверов, шлюз по умолчанию и т.д.

Прокси-сервер (proxy) — специальное ПО, действующее "от имени клиента". Например доставляющее ему страницы по URL. Для http-proxy, клиент должен только знать адрес proxy и желаемый URL. Таким образом избегается непосредственный контакт клиента с Internet. Дополнительная функция proxy — он может кэшировать страницы, что реально ускоряет работу в web. Естественно, что proxy может обрабатывать не только http запросы. Кстати, для web-browsing в данном случае даже не обязательно наличие у клиента TCP/IP. К сожалению с прокси-серверами есть проблема — для поддержки других протоколов необходимо их декодировать, т.е. нет универсального прокси-сервера и количество рабочих протоколов всегда ограничено. Таким образом нельзя купить прокси сервер и пользоваться им вечно, поскольку наверняка появятся новые протоколы, которые он не знает, но без которых уже никак нельзя.

Маршрутизатор (router) — устройство, объединяющее несколько локальных сетей, иногда подключающее их к глобальной. Анализируя пакеты на уровне IP адресов, производит доставку пакетов в соответствии со своей таблицей маршрутизации. Пример маршрутизатора:

PC1 PC2 SERV PC3 PC4
192.168.1.10 192.168.1.11 192.168.1.1
192.168.2.1
192.168.2.22 192.168.2.23

PC1, PC2 — одна сеть. PC3, PC4 — вторая. Они объединены через сервер SERV, в котором установлено две сетевые карты. Для достижения второй сети с PC2, его таблица маршрутизации должна включать следующую запись:

Network Address
192.168.2.0
Netmask
255.255.255.0
Gateway Address
192.168.1.1
Interface
192.168.1.11
Metric
1

Это достаточно простой пример, в нем можно обойтись и простой установкой маршрутизатора по умолчанию (gefault gateway) на 192.168.1.1 для PC1 и PC2 и 192.168.2.1 для PC3 и PC4.

Посмотреть маршрут от вашего ПК до адресата и маршрутизаторы, через которые проходит связь можно по команде tracert host, а таблицу маршрутизации по команде route print.

NAT (network address translator) — ПО трансляции сетевых адресов. Позволяет использовать для доступа в Internet (или другую сеть) только один внешний IP адрес. Например, если клиент 192.168.1.23 обращается к web серверу на 200.23.141.18 через маршрутизатор 195.139.1.45 с включенным NAT, 192.168.1.24 одновременно к почтовому серверу по тому же адресу, а 192.168.1.27 к ftp, то происходит следующая трансляция адресов (после ":" — порт):

192.168.1.23:2049 ----- 195.139.1.45:3289 ----- 200.23.141.18:80
192.168.1.24:2060 ----- 192.139.1.45:3290 ----- 200.23.141.18:25
192.168.1.27:2049 ----- 192.139.1.45:3291 ----- 200.23.141.18:21

Таким образом для 200.23.141.18 все три ПК выглядят как один — 195.139.1.45. Кроме экономии IP адресов эта технология обеспечивает еще и защиту. Дело в том, что до внутренних ПК невозможно добраться снаружи, т.к. их адреса недостижимы. Через NAT прекрасно работают http, ftp, pop3, smtp, ICQ. У этой схемы есть и недостаток: нельзя разместить во внутренней сети какой-либо сервер, т.к. пакеты до него не дойдут. К счастью большинство NAT позволяют назначить "внутренний сервер", т.е. ПК (у некоторых программ можно назначить даже несколько серверов для разных портов) к которому будут направляться все внешние запросы, пришедшие на внешний адрес. Заметим однако, что это снижает защиту.

Firewall — ПО защиты сети. Обычно устанавливается на граничный компьютер, подключенный и к локальной сети и к Internet. Производит дешифрацию и анализ пакетов. Блокирует или разрешает доступ по настраиваемым правилам. Некоторые мощные системы даже могут проверять передаваемые файлы на вирусы.

PPP — наиболее часто используемый протокол для доступа в Internet по модему.

Multilink PPP — расширение PPP, позволяющее использовать одновременно более одного модема (и естественно телефонной линии) для повышения скорости и надежности. Полоса выделяется динамически. В настоящее время поддерживается Windows 95 c DUN версии 1.2 и Windows NT. Кроме этого большинство серверов удаленного доступа Cisco, 3Com, Ascend также поддерживают его.

Решения

Одно из простых решений (по настройкам и количеству ПО) — купить диапазон IP адресов, постоянный IP адрес на DialUp доступ у провайдера. Поставить модем на сервер. Настроить RAS на Windows NT и включить маршрутизацию (все необходимое ПО входит в состав Windows NT Server). То, что получится и будет прямым доступом в Internet с каждого рабочего места. В этом варианте все службы Internet будут прекрасно функционировать (конечно если модем на связи и работает). Очень похожий результат достигается установкой модема на каждый ПК (кроме статичности IP адресов). Однако это решение не подходит нам в основном по параметрам защиты (ну и простотой :). Впрочем в NT есть базовые средства TCP/IP Security и их использование может повысить уровень защиты, однако от вам придется постоянно быть в курсе найденных дырок в системе и ставить заплатки.

Следующим вариантом является отказ от покупки IP адресов и использование вместо встроенного ПО маршрутизации прокси сервера, например Microsoft Proxy Server. Кроме коммерческих продуктов существуют и бесплатные прокси-серверы, однако их возможности обычно меньше. Для реализации полных функций может требоваться установка специальной клиентской части. В принципе это позволяет пользоваться всеми услугами Internet. Кроме того часто реализуются функции firewall. У многих продуктов есть версии для Windows 95, однако я не стал бы их рекомендовать по параметру надежности. Тем более что выделенный ПК с Windows 95 выглядит странно, а если на нем еще и работать…

Кроме прокси-сервера можно поставить и маршрутизатор с NAT. Этот вариант отличается тем, что для достижения полной функциональности не требуется установка клиентской части. Функции защиты также могут быть реализованы здесь в полном объеме. Для кэширования web можно применить дополнительный прокси сервер. Заметим, что продукты этого класса иногда совмещают router, NAT, proxy-server, mail server.

К сожалению у всех этих вариантов есть несколько недостатков:

  • Прямое подключение ПК с системой Windows NT/95 к Internet сильно снижает надежность и приводит к необходимости постоянного поиска и установки обновлений под эти ОС.
  • Использование достаточно мощного выделенного ПК не выгодно экономически, а если устанавливать ПО на уже имеющийся сервер, его надежность и производительность могут сильно пострадать.
  • Переустановка ПО сервера может надолго лишить вас доступа в Internet.
  • Подключение более двух модемов к ПК не всегда удобно, а часто хочется еще и использовать сервер как сервер удаленного доступа для своей сети.
  • Настройка и диагностика работы ПО относительно сложна.
  • В этих вариантах не используется дополнительное hardware :).

    Тем не менее отметим, что все эти проблемы можно решить и есть множество примеров работоспособных систем. Однако я решил исследовать другие пути.

    Изучив на практике вышеизложенные варианты и вспомнив несколько публикаций в компьютерной прессе я решил поискать недорогое и автономное решение проблемы удаленного доступа для небольшой локальной сети.

    Маршрутизаторы для рынка SOHO

    Intel InBusiness Internet Station

    Используется для предоставления доступа в Internet нескольким пользователям. Возможно использование телефонных или ISDN линий. Имеет один RS-232 порт и два PC Card порта для подключения модемов. Сеть — 10/100BaseT. Настройка с помощью программы InstantIP с интерфейсом браузера. Поддержка DHCP, NAT, DNS.

    3Com OfficeConnect Remote Dual Analog

    Это устройство семейства OfficeConnect объединяет 4-х портовый 10Mbit хаб и два встроенных v.90 модема (аналогичных USR Sportster). IP/IPX маршрутизатор-мост. Поддержка MultilinkPPP. Встроенный DHCP сервер. Управление через консоль, telnet, web-browser.

    Серия маршрутизаторов ZyXEL Prestige 153

    Эта серия недорогих маршрутизаторов включает модели с асинхронными и синхронными портами, ISDN маршрутизаторы и даже модель со встроенным DSL модемом, позволяющим по одной медной паре достичь скорости 128K. Как раз о ней мы и поговорим поподробнее.

    Семейство маршрутизаторов ZyXEL Prestige

    Приведем краткие характеристики маршрутизаторов Prestige.

    Для большинства моделей: аутентификация по протоколам PAP/CHAP, определитель номера Caller ID, сетевой экран с фильтрацией пакетов, журнал доступа, черный список, бюджет, история звонков, Prestige WEB конфигуратор на JAVA, защищенная паролем системная консоль, модернизация микропрограммы путем загрузки с компьютера, PPP/MultilinkPPP/PPTP, статическое и динамическое назначение IP-адресов, NAT, RIP-2, DHCP-сервер, Proxy ARP, BOD/BACP (полоса по требованию), DOD (соединение по требованию), сжатие данных STAC®.

    модель функция WAN LAN
    Prestige 100 IP-router ISDN-adapter 1×10Base-T
    1×AUI
    Prestige 100MH IP-router V.90-modem 4×10Base-T (hub)
    Prestige 100WH IP-router Async.port 4×10Base-T (hub)
    Prestige 100IH IP-router ISDN-adapter 4×10Base-T (hub)
    Prestige 128MH IP/IPX-router, bridge 2×V.90-modem
    1×Async.
    4×10Base-T (hub)
    Prestige 128L IP/IPX-router, bridge DSL modem
    (64/128 Кb/s)
    1×10Base-T
    1×AUI
    Prestige 128Plus IP/IPX-router, bridge ISDN-adapter 1×10Base-T
    1×AUI
    Prestige 153 IP/IPX-router, bridge 3×Async.port 1×10Base-T
    Prestige 153X IP/IPX-router, bridge 2×Sync/Async.port
    1×Async.port
    1×10Base-T

    ZyXEL Prestige 153

    Именно эта модель, как наиболее подходящая нашим требованиям, была исследована в работе. В принципе удачной является и 128MH, однако модемы уже были в наличии и возможность их простой замены представляется важной.

    На картинках представлен тестируемый комплект из Prestige 153 и двух модемов USR Sportsert 33.6. Особенно красиво выглядят мигающие во время работы красные и зеленые лампочки устройств. Все необходимые соединительные провода для подключения модемов, сети и консоли входят в комплект.

     

    На передней панели устройства расположены индикаторы включения, статуса сети, статуса подключенных модемов (по паре на модем). На задней панели — разъемы подключения питания, консоли, сети, модемов. Настройка устройства осуществляется либо с помощью консоли (терминальной программой по RS-232) либо по сети через telnet. В новых моделях также используется и управление в современном модном стиле — из web-browserа на базе Java. Вход в меню монитора защищен паролем, кроме этого управление через консоль имеет преимущество.

    Первоначальная настройка свелась к установке необходимого IP адреса, параметров подключенных модемов и параметров доступа в Internet. После этого устройство предложило проверить настройки, что и было сделано. Проверка показала, что для работы с нашим провайдером требуется еще и настройка скрипта. Этот процесс занял несколько секунд и вот наконец доступ в Internet установлен! На следующей картинке представлен экран текущей статистики соединений (под Speed понимается скорость в строке коннекта модема, а Tx B/s и Rx B/s — текущие посчитанные скорости):

    Для клиентов пришлось только настроить в предусмотрительно установленном DHCP сервере адреса DNS серверов провайдера и установить default gateway на ZyXEL Prestige 153. После перезагрузки все ПК автоматически получили доступ в Internet. Конечно внешне это проявилость только в работоспособности браузера :).

    Для слежения за состоянием устройства кроме вышеприведенного экрана статуса есть и другие возможности. Например встроенный лог работы:

    Есть еще функция управления по SNMP и протоколирования работы на syslog сервер в примерно таком виде:
    10.11.98 16:10:04 192.168.1.2 ZyXEL: line 1 channel 1, call 41, C01, Incoming Call, 40001
    10.11.98 16:10:15 192.168.1.2 ZyXEL: line 1 channel 1, call 41, C01, ANSWER Connected, 64K 40001
    10.11.98 16:12:51 192.168.1.2 ZyXEL: line 1 channel 1, call 41, C01, Incoming Call, Call Terminated

    Таким образом проблема информирования клиентов в сети о текущем состоянии связи может быть решена telnet скриптом или надстройкой над syslog сервером. Хотя можно использовать более интересные варианты, например трансляцию видеоизображения устройства по RealVideo :).

    Функции защиты включают в себя уже упоминавшийся NAT (у ZyXEL эта технология называется SUA - Single User Account, разумное число одновременных пользователей — около 20, в основном ограничено скоростью модемов), а также широкие возможности по фильтрации пакетов (до 72 правил и с возможностью записи событий в лог-файл). Пример фильтра на исходящие TCP/IP пакеты на порт 137:
    Menu 21.1.1 — TCP/IP Filter Rule
    Filter #: 1,1
    Filter Type= TCP/IP Filter Rule
    Active= Yes
    IP Protocol= 6 IP Source Route= No
    Destination: IP Addr= 0.0.0.0
    IP Mask= 0.0.0.0
    Port #= 137
    Port # Comp= Equal
    Source: IP Addr= 0.0.0.0
    IP Mask= 0.0.0.0
    Port #= 0
    Port # Comp= None
    TCP Estab= No
    More= No Log= None
    Action Matched= Drop
    Action Not Matched= Check Next Rule

    Использованием подобных фильтров можно предотвратить нежелательный запуск дозвона до провайдера при получении устройством например широковещательных пакетов NetBIOS.

    Для более сложных сетевых конфигураций или если использование встроенного протокола RIP невозможно, есть возможность модифицировать внутреннюю таблицу маршрутизации и добавить статические маршруты.

    Для более точной настройки и диагностики есть можно войти непосредственно в монитор операционной системы. Там можно посмотреть детальную статистику по интерфейсам, внутренние таблицы маршрутизации, интерфейсов и т.д. Команды в этом режиме отдаются из командной строки, есть небольшая встроенная система помощи по ним. Если необходимо проверить модем, есть возможность напрямую подключиться к нему из консоли. Для выяснения проблем подключения к провайдеру есть режим ручного запуска дозвона с выдачей детального лога установления связи и запуска PPP. Через консоль также можно сохранять/загружать конфигурации устройства.

    Следующим этапом тестирования была проверка работы протокола MultilinkPPP. Как уже было сказано, этот протокол расширяет PPP до использования более одного модема, что повышает как скорость, так и надежность связи. Из известных московских провайдеров сегодня этот протокол поддерживается только Zenon и только на одной серии. К сожалению она включает только 40 линий. Для выявления преимуществ такого варианта связи этого оказалось достаточно. (Заметим, что к сожалению, многие другие крупные провайдеры даже не слышали о MultilinkPPP, хотя его поддержка давно уже есть в большинстве серверов удаленного доступа). Кстати, не следует забывать, что и стоимость связи также пропорционально возрастает. Однако будем надеяться, что в скором времени услуги MultilinkPPP станут распространеннее и к ним придумают схему оплаты типа unlimited.

    Итак, после настройки Prestige 153 на Zenonа и включения режима MultilinkPPP как ни странно это заработало!

    Как вы видите эта статистика отражает режим одновременной работы по двум модемам, причет суммарная скорость достигает сейчас 6235cps! А если бы были цифровые линии и v.90 модемы и провайдер поддерживал STAC компрессию… Самое главное, что для клиентов все абсолютно прозрачно, т.е. специальная настройка/оптимизация программ для этого режима не требуется. Решение о включении дозвона вторым (третьим и т.д.) модемом принимается на основании текущей скорости. Администратор настраивает два параметра — порог и время его превышения. Таким образом можно, например, установить, что если скорость превышает 3000cps в течении 3 секунд, то активируется вторая линия, а если меньше 6000cps в течении 10 секунд, то вторая линия сбрасывается.

    Следует отметить, что соединение двух LAN по трем модемам требует специальных услуг от телефонной компании. Дело в том, что в конфигурации удаленного узла допускается указание максимум двух телефонных номеров. Таким образом для доступа по трем линиям требуется услуга многоканального телефонного номера.

    Кстати устройство допускает и вариант работы в Internet удаленного пользователя через второй модем! Таким образом, купив unlimited, можно пользоваться им и из дома и даже двум пользователям одновременно (всего модемов то три, а если купить второй маршрутизатор… :). Причем в этом случае повышается и секретность — логин и пароль на доступ в Internet можно только прописать в устройство и никому не сообщать.

    Кроме описанного варианта можно применять устройство и для других целей. Оно обеспечивает:

  • организацию доступа удаленных пользователей
  • подключение к удаленной сети, Internet, LAN главного офиса
  • соединение двух локальных сетей

    Кроме этого есть множество настроек удаленных пользователей, скриптов, фильтров, статических маршрутов и RIP, модемов, callback, budget management, работа с IP и IPX, режим моста, быстрое переключение на запасного провайдера (не автоматическое, однако можно и скрипт написать) и т.д. Очень удачно написанное руководство занимает более 160 страниц. Кроме него есть множество поясняющих документов (в PDF-файлах) с примерами типичных конфигураций.

    Выводы

    Семейство маршрутизаторов ZyXEL Prestige является реальной альтернативой серверу удаленного доступа на базе ПК. Пожалуй самым главным преимуществом является простота (и значит пониженная стоимость) обслуживания и одновременно очень широкие возможности. Отметим и надежность: за всю неделю работы устройство ни разу не зависло :) и его работа была полностью прогнозируемой, т.е. возникновение ситуации "вчера работало, а сегодня нет, хотя я ничего вроде не менял" кажется нереальным. Для небольшого офиса идеально подходят модели 100MР и 100WH. Для более крупных и для работы более чем по одной линии — 128MH и 153/153X. Если необходимо соединить два офиса на расстоянии до 5,5 км и есть прямая медная пара, по два Prestige 128L легко достигнут скорости 128К.

     

    Оборудование предоставлено московским представительством ZyXEL Communications Corporation

     

     




  • Дополнительно

    iXBT BRAND 2016

    «iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
    Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

    Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

    Код для блога бета

    Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.