Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Proxy/NAT-решения для небольших офисов

Грегори Йеркса

Специализированные программные средства для организации разделяемых сетевых соединений могут сослужить хорошую службу администраторам небольших отделов информационных технологий (ИТ). Так называемые proxy/NAT-решения (Network Address Translation) предоставляют в их распоряжение все необходимое для подключения ЛВС SOHO (Small Office/Home Office) к территориально распределенной сети, не требуя внесения существенных изменений в конфигурацию оборудования. Для отделов ИТ, нуждающихся в эффективных SOHO-решениях, сегодня имеется несколько программных продуктов такого рода.

Можно сказать, что эти программные продукты почти на 100% не зависят от сетевой топологии и соединений. При их использовании лишь изредка возникают конфликты между ОС и драйверами устройств отдельных ПК. Будучи единожды правильно сконфигурированными, proxy/NAT-решения в дальнейшем работают с очень высокой степенью надежности. Несмотря на обилие аппаратных маршрутизаторов и серверов-посредников для SOHO, иногда бывает целесообразнее просто-напросто установить на компьютер несколько дополнительных программ. Помимо экономии денежных средств, это существенно упростит процессы сетевого конфигурирования и управления, так как все необходимые для этого средства Windows уже имеются в вашем распоряжении. Желательно выбирать такие proxy/NAT-решения, которые включают в себя средства мониторинга и устранения неисправностей: с ними вы будете избавлены от постоянных звонков в службу технической поддержки и, вполне возможно, от визитов в удаленный офис.

NAT или proxy?

Программные решения, о которых идет речь, в отличие от маршрутизаторов SOHO, обеспечивающих подключение и управление ЛВС на сетевом уровне, функционируют на транспортном уровне. Это позволяет им получать доступ к сетевым службам, включая DHCP. Поскольку сетевой уровень им недоступен, программные proxy/NAT-решения вынуждены использовать средства, позволяющие внутренним рабочим станциям прозрачно взаимодействовать с внешними хостами. Трансляция сетевых адресов или использование прикладных серверов-посредников являются наиболее распространенными способами предоставления доступа пользователям SOHO за пределы локальной сети.

Трансляция сетевых адресов - это первое, к чему прибегают администраторы при конфигурировании ЛВС SOHO. Ее механизм чрезвычайно прост и позволяет централизованно управлять множеством сетевых приложений в среде SOHO, избавляя их (администраторов) от необходимости вручную конфигурировать все удаленные рабочие станции. К сожалению, NAT не поддерживает некоторые механизмы, использующие для установления соединений данные TCP и IP, например протоколы IPsec, а также большинство VPN-решений. Сетевым же администраторам, придерживающимся стратегии “все, что не запрещено, разрешено”, весьма кстати придутся такие функциональные возможности NAT, как port mapping, т. е. отображение или связывание портов внешней сети с внутренними хостами, например почтовыми SMTP-серверами или Web-серверами.

Для небольших офисов, использующих Web-сервер с целью предоставления информации либо имеющих собственный почтовый сервер, наличие функции связывания портов с помощью NAT имеет очень большое значение. Механизм NAT позволяет скрыть от внешнего мира реальные IP-адреса хостов внутренней сети. Чтобы переадресовать Web-трафик серверу, “спрятанному” за транслятором, последний должен поддерживать функцию port mapping. Рекомендую вам поискать решения, обеспечивающие, как минимум, отображение портов TCP и UDP, в частности портов с номерами 80 (Web) и 25 (SMTP).

Использование серверов-посредников прикладного уровня требует от администраторов соответствующей дополнительной настройки каждой рабочей станции. Для каждого приложения необходимо сконфигурировать порт сервера-посредника таким образом, чтобы он перехватывал все запросы внутренних клиентских машин и сам же пересылал их во внешнюю сеть. Хотя такое конфигурирование - дело обременительное, как раз благодаря ему администратор сети SOHO получает в свое распоряжение средства контроля взаимодействия внутренних машин с внешними ресурсами. Если именно такой контроль вам необходим, ищите решения, обеспечивающие тесную интеграцию с браузерами Microsoft Internet Explorer и Netscape Navigator, а также поддержку протокола WPAD (Web Proxy AutoDiscovery) или автоматическую конфигурацию с помощью URL-ссылок.

Возможности и услуги

Программные proxy/NAT-решения помогут вам и в поисках доступных IP-адресов. Интернет-провайдеры и многие компании часто ограничивают возможности использования адресного пространства Интернет. Например, при коммутируемом модемном соединении почти всегда применяется один-единственный динамический адрес, назначаемый протоколами DHCP и PPP. При DSL-соединении допускается многократное использование временно выделяемых посредством протокола DHCP адресов. Proxy/NAT-решения позволяют контролировать использование адресов Интернет. Имеется целый ряд программных продуктов, с помощью которых в сетях с зарезервированными IP-адресами (в соответствии с RFC 1918) обеспечивается поддержка TCP/IP-соединений между всеми рабочими станциями. Наличие в описываемом решении интегрированного DHCP-сервера обеспечит эффективный контроль за распределением в ЛВС SOHO данных конфигурации протокола IP. С помощью такого сервера можно быстро сконфигурировать все рабочие станции, сообщив им информацию об IP-адресе шлюза, WINS-сервера и значении сетевой маски.

Поскольку топология WAN-соединений может не иметь ничего общего с топологией ЛВС, программное обеспечение должно корректно реагировать на изменения в конфигурации IP-адресов сетевых хостов SOHO. К этим изменениям относятся прекращение срока действия адресов, выделенных во временное пользование службой DHCP, а также назначение новых адресов при установке коммутируемых модемных соединений. В худшем случае администратору приходится вручную перезапускать службы, предварительно внеся новые значения параметров конфигурации протокола IP. Если вы приобретаете proxy/NAT-решение у другого производителя, а не у того, что ранее продал вам ОС, вы должны убедиться в том, что вам не придется заново перезапускать службы для каждой смены IP-адресов. В большинстве решений имеются пробные версии, которые вы можете загрузить бесплатно и проверить, как они работают в вашей сети SOHO.

Играем в почтальона

Требования поддержки систем электронной почты SOHO различны в зависимости от типа Интернет-соединения и конфигурации почтовых служб ЛВС. Некоторые решения представляют собой единые точки присутствия на базе аппаратного Интернет-сервера “под ключ” и практически не нуждаются в поддержке.

В качестве альтернативы можно задействовать выделенный сервер электронной почты в рамках локальной сети SOHO или использовать внешний сервер Интернет-провайдера либо расположенный в корпоративной интрасети. Его настройка под нужды пользователей SOHO обычно не вызывает особых трудностей. Если сервер SMTP имеет IP-адрес, нормально обрабатываемый маршрутизаторами Интернет, все, что от вас требуется, - это обеспечить к нему доступ ваших пользователей с помощью сервера-посредника или механизма NAT. При наличии высокоскоростного DSL-соединения всю электронную почту можно направлять непосредственно на SMTP-сервер Интернет-провайдера. Программное proxy/NAT-решение в этом случае должно обеспечивать ретрансляцию почтового трафика на заданный хост. Выбирайте такие серверы-посредники, которые конфигурируются для работы с внешними серверами SMTP, IMAP и POP.

Играем в полицейского

Для сетей SOHO, как, впрочем, и для всех остальных, вопросы обеспечения безопасности исключительно важны. Поскольку proxy/NAT-решения могут “наблюдать” за трафиком, они позволяют контролировать как внутренние, так и внешние сетевые соединения и назначать приоритеты предоставляемым сервисам. Степень гибкости управления доступом к информационным ресурсам зависит от конкретной программной реализации proxy/NAT-решения. Использование локальных БД учетной информации пользователей значительно упрощает процесс управления доступом по сравнению с внешними БД.

Фирменные решения Microsoft предоставляют администраторам мощные механизмы управления доступом. ПО Internet Connection Sharing для ОС Windows 2000 обеспечивает аутентификацию пользователей на основе встроенной БД, а также назначает им соответствующие права доступа. Существуют также программные продукты третьих фирм, не зависящие от ОС, в которых тоже используются встроенные БД учетной информации, в которые могут быть импортированы данные о предоставляемых услугах.

Многие продукты дают возможность вести мониторинг информационного наполнения Web-узлов и на основании установленных правил URL и контент-фильтрации ограничивать доступ пользователей SOHO к тем или иным узлам. Большинство решений такого рода имеют аппаратную реализацию, но существуют и чисто программные модули, встраиваемые в серверы-посредники производства фирм Microsoft и Netscape.

Хорошие программные proxy/NAT-решения позволяют устанавливать правила для ограничения доступа в зависимости от времени суток. Для временных модемных соединений весьма критичными являются такие требования, как поддержка функции “связь по требованию” (Dial-on-demand) и соблюдение графика доступа. Эти решения также должны интегрироваться со службами удаленного доступа и функциями ОС. Для установления коммутируемых соединений следует предусмотреть конфигурируемые временныўе интервалы, либо соединения должны устанавливаться по мере необходимости в них. Если выбран режим установления соединений по запросу, то во внеурочные часы доступ к сети должен быть строго ограничен.

Играем в регулировщика

Весьма важно, чтобы в программном proxy/NAT-решении, функционирующем как сервер DHCP, были предусмотрены средства аутентификации и контроля доступа к ресурсам Интернет. Соответствующая политика использования Интернет-соединения, включая правила предварительного выделения необходимой полосы пропускания, приоритизации и аутентификации трафика, играет здесь ключевую роль. В недалеком будущем все proxy/NAT-решения станут поддерживать функции QoS. Для того чтобы быть уверенным в том, что вашим критически важным бизнес-приложениям принадлежит наивысший приоритет в использовании Интернет-соединения, выбирайте такие решения, которые обеспечивают ограничение доступа к Интернет-соединению в зависимости от типа приложения или номера сетевого порта.

В качестве альтернативы управлению доступом к Интернет на уровне приложений можно осуществлять контроль на уровне рабочих станций. Такие продукты, как WinGate Pro фирмы Deerfield.com и SyGate компании Sybergen Networks, обеспечивают поддержку регистрации пользователей SOHO, пытающихся получить доступ к Интернет. Другие продукты, например Internet Manager фирмы Elron Software, предоставляют в распоряжение сетевых администраторов надежные средства мониторинга информационного наполнения и блокирования нежелательного трафика.

***

И напоследок самое главное. Некоторые приложения выполняются в пользовательском режиме, и для управления ими администратор должен зарегистрироваться на соответствующей рабочей станции или на сервере. В этом случае возникает опасность случайного доступа к другим критически важным системным службам и аварийного прекращения работы приложения. По этой причине предпочтительными являются программные пакеты, которые запускаются и выполняются как системные службы или фоновые приложения. Постарайтесь также найти такое решение, в котором имеется возможность конфигурирования управляющей Web-консоли с ограниченным выбором IP-адреса и/или имени хоста для ее размещения. Это обеспечит вам дополнительную защиту от атак извне и неуклюжих действий ваших пользователей.





  
14 '2000
СОДЕРЖАНИЕ

колонка редактора

• Когда в товарищах согласья нет

локальные сети

• Пусть ваши кабели никогда не пересекаются!

• Тестируем серверы NAS среднего уровня

• Анатомия беспроводных сетей стандарта IEEE 802.11b

• Решения на базе миниатюрных оптических разъемов - готовность № 1

услуги сетей связи

• Магистрали света: основные идеи

только на сервере

• Совместное использование служб справочника и DHCP

• Переход на Active Directory: средства миграции

новые продукты

• LinkProof: один ISP хорошо, а два лучше; Debian - это 100% свободы; Новый NetServer для малого и среднего бизнеса

корпоративные сети

• Десятикратно увеличенная мощь

• Согласье меж стандартами управления

• Анализаторы и зонды для WAN-сетей

защита данных

• Как защитить вашу территорию изнутри

• Proxy/NAT-решения для небольших офисов

электронная коммерция

• Выбирая электронную биржу, поинтересуйтесь ее владельцами

• Электронные биржи в момент кризиса

• Кому можно доверить корпоративный Web-узел?

бизнес

• OpenView Communication - шаг навстречу конвергенции

• Как дотянуться до регионов

системы учрежденческой связи

• Тестируем IP-УАТС



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх