Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Интернет для среднего офиса

Д. В. Дайтер

Ни для кого не секрет, что сейчас весь мир переживает бум Интернет. Вот и мы поставили себе задачу "сделать Интернет" в головном офисе Группы компаний "САВВА".

В принципе задача не очень сложная. Нужно обеспечить выход в Интернет для сети из двухсот рабочих станций, наладить работу всех популярных Интернет-служб и установить рекламный Web-сервер. Естественно, при этом мы должны обеспечить приемлемую скорость работы и максимальный уровень защиты всей нашей сети, а также учесть перспективы ее роста. Да, и самое главное, о чем я чуть не забыл: на все это желательно потратить как можно меньше денег.

Проблема выбора

Любой сетевой администратор, решающий задачу подключения ЛВС к Интернет, неизбежно сталкивается с проблемой выбора самых разнообразных вещей. Причем от этого во многом зависит вся последующая работа Интернет-шлюза. Объектов выбора довольно много, но я постараюсь перечислить основные, с которых все и начинается.

· Тип канала.

· Поставщик услуг (провайдер) Интернет.

· Аппаратная платформа Интернет-шлюза.

· ОС Интернет-шлюза.

· Способ установки Интернет-шлюза: самостоятельная или на заказ "под ключ".

С чем у нас не было совершенно никаких проблем, так это с аппаратной платформой шлюза. Поскольку все компьютеры, установленные в нашем офисе, относятся к платформе Intel, то явно не имело смысла выбирать какую-либо другую платформу. Конкретная же конфигурация оборудования определяется выбранным ПО. И вот, чтобы окончательно определиться со всем остальным, мы начали активный сбор информации.

Хождение по провайдерам

Сначала мы побывали в нескольких фирмах, которые решают подобные задачи "под ключ", чтобы изучить, как и на какой платформе они делают это и сколько берут за услуги. Попутно мы консультировались с поставщиками услуг связи и Интернет.

Естественно, во время наших хождений все наперебой старались рассказать нам про то, что они делают и как это надежно, быстро, замечательно и дешево. В принципе ничего другого мы и не ожидали услышать. Заметим, нам предложили множество вариантов с очень разнообразными элементами системы, название которой — "подключение к Интернет". Живя в Москве, можно подключиться к Сети сетей любым из известных науке способов.

Как мы выбирали

Довольно быстро мы решили в качестве канала связи использовать ISDN — достаточно надежный и относительно скоростной канал. И, надо заметить, до сих пор у нас не было повода сожалеть о своем выборе.

Поскольку сегодня в России самым крупным поставщиком услуг ISDN является компания Comstar Telecommunications, то у нас не возникло проблем с выбором поставщика услуг связи, а заодно и Интернет. Так же быстро мы решили "делать Интернет" своими руками, а не заказывать "под ключ" (о чем, кстати, мы тоже не жалеем). Для этого у нас были следующие причины:

· Ни один из предложенных нам вариантов не вписывался в условие поставленной задачи — затратить как можно меньше средств.

· В компании "САВВА Про" (дочерняя фирма, занимающаяся обслуживанием холдинга "САВВА" во всех областях информационных технологий) работают достаточно квалифицированные специалисты, способные выполнить эту работу.

· После долгих раздумий мы пришли к выводу, что в такой сети, как наша, процесс установки Интернет-шлюза можно сравнить разве что с процессом укладки парашюта — такое никому нельзя доверить, потому что слишком велика ответственность.

· Мы не были ограничены какими-либо жесткими сроками, поэтому могли все спокойно изучить и освоить.

Труднее всего было выбрать ОС шлюза. Правда, варианты NetWare и OS/2 мы исключили сразу, и у нас их осталось два: Unix и Windows NT. Надо заметить, что к использованию Unix мы склонялись с самого начала: это солидная, сложившаяся ОС, как будто созданная для решения подобного рода задач. Кроме того, для работы с Интернет существует масса разного рода ПО, поддерживающего Unix.

Но после долгих споров и сомнений мы выбрали все-таки Windows NT. Перечислю основные причины, которые подтолкнули нас к этому решению.

Дело в том, что мы довольно плохо знаем Unix. Весь наш опыт работы с ней исчерпывается парой пробных инсталляций Linux. В то же время мы довольно активно используем Windows NT и уже накопили определенный опыт ее применения.

Здесь я хочу сделать небольшое отступление и кое-что объяснить. Признаюсь: моя вера в то, что ОС Windows NT — "простая", а Unix — "сложная", давно развеялась. На самом деле к сетевой ОС вряд ли подходит определение "простая". А уж если на то пошло, то ОС Windows NT — одна из самых сложных. Ее кажущаяся простота обусловлена легкостью первых шагов при установке и самостоятельным назначением вполне работоспособных параметров, что и создает очень опасную иллюзию общей простоты Windows NT. Если вы хотите добиться какой-то оптимизации производительности, повышения уровня безопасности и т. д., то довольно быстро обнаружите, что без предварительной подготовки сделать это "очень просто" у вас не получится. Это воспринимается как само собой разумеющееся, если речь идет о Unix, но вызывает бурю эмоций, когда сталкиваешься с эксплуатацией Windows NT. Я думаю, в такой реакции повинна сама фирма Microsoft, которая активно использует "простоту обслуживания" в рекламных целях. Windows NT — очень мощная ОС с богатейшими возможностями, а ОС такого уровня по определению не может быть простой. Мечты некоторых о том, что сетью сможет управлять даже кухарка, увы, так и останутся мечтами. Если вы выберете Windows NT за ее "простоту", — а не за лучшее знание ее! — то будете сильно разочарованы. Но вернемся к причинам нашего выбора.

Бесплатные клоны Unix вряд ли можно рассматривать в качестве платформы для серьезных решений (ведь все мы знаем, где бывает бесплатный сыр), а цена платных (вместе с ПО к ним) такова, что мы опять не выполнили бы одно из условий нашей задачи — потратить как можно меньше денег.

Ранее мы уже приняли решение относительно платформы для наших локальных сетей. Ею стала Windows NT. Конечно, с точки зрения простоты обслуживания эту платформу следовало выбрать и для Интернет-шлюза.

Подготовка проекта

После принятия всех основополагающих решений мы приступили к разработке подробного проекта шлюза. Все наши действия были направлены на решение перечисленных ниже задач:

· Выход пользователей нашей сети в Интернет с использованием максимального числа сервисов (WWW, FTP, IRC и т. д.).

· Работа с электронной почтой.

· Работа с телеконференциями.

· Создание рекламного Web-сервера.

· Подключение удаленных офисов и мобильных пользователей через Интернет (но это в будущем).

· Защита локальной сети от вторжения извне.

В соответствии с ними мы должны были выбрать следующие компоненты шлюза:

· Оборудование для связи с провайдером.

· ПО для почтового сервера.

· ПО для сервера новостей.

· ПО для Web-сервера.

· Firewall-систему.

Кроме того, нам предстояло разработать общую схему подключения к Интернет и определиться с конфигурацией сервера.

Оборудование для связи с провайдером

Первоначально для подключения к Интернет мы собирались использовать ISDN-плату фирмы Eicon. И поскольку специалисты Comstar уверяли нас, что используют в своих линиях стандарт Euro-ISDN, а со стороны поставщиков данной платы тоже звучали слова о поддержке данного стандарта, то мы наивно решили: "Euro-ISDN — он и в Африке Euro-ISDN".

К сожалению, все оказалось не так просто. Причины так и остались невыясненными (или по крайней мере недоказанными), но факт остается фактом: ISDN-плата фирмы Eicon на линиях Comstar не работает. После того как мы заменили ее маршрутизатором Ascend PipeLine, проблемы были решены.

ПО для серверов: почтового, новостей и Web

Для Windows NT существует несколько довольно удачных серверов электронной почты и новостей. Мы выбрали MS Exchange Server, который, кроме прочих функций, выполняет еще и эти. Я понимаю, что для решения поставленных перед нами задач данный продукт является избыточным, но относительно его использования у нас были далеко идущие планы (и сейчас они реализуются).

Что же касается Web-сервера, то его, собственно, нечего было и выбирать, так как безусловным лидером среди ПО Web-серверов для Windows NT является MS IIS. Кроме того, он входит в комплект поставки MS Windows NT 4.0 — выбранной нами платформы.

Firewall-система

Мы рассмотрели несколько межсетевых экранов. Почти все они весьма недешевые (впрочем, они того и стоят). В конце концов мы остановили свой выбор на недорогом и вполне приемлемом для нас варианте — MS Proxy Server.

Это довольно интересный программный продукт, к достоинствам которого можно отнести низкие требования к аппаратным ресурсам и интеграцию с системой безопасности Windows NT. В нем, как говорится, заключены два продукта "в одном флаконе". Первый из них — обычный сервер-посредник CERN-proxy, к тому же выполняющий функции кэш-сервера. Наибольший интерес вызвал у нас второй продукт— Winsock Proxy.

Работа его довольно подробно описана в прилагающейся к нему документации. Попытаюсь коротко изложить основные ее принципы. ПО Winsock Proxy состоит из сервера и клиентской части. Последняя после установки подменяет собой обычный Winsock-интерфейс. Когда какое-либо приложение на рабочей станции пытается установить Winsock-соединение с удаленным хостом, клиентская часть Winsock Proxy сначала устанавливает его со своим сервером, а тот уже "от своего имени" — с требуемым хостом. Сервер транслирует пакеты в рамках установленного соединения, подменяя в них поля адресата и отправителя. Он "разрешает" соединение только в том случае, если адрес инициатора соединения (рабочей станции) имеется в его таблице локальных адресов (Local Address Table), задаваемой администратором. Серверу также можно указать группы пользователей, имеющих право устанавливать соединения. При этом IP-маршрутизация на шлюзе может быть запрещена, и поэтому локальная сеть будет "не видна" из Интернет.

Общая схема подключения

Руководствуясь всем вышеизложенным, а также соображениями экономии, подключение нашей сети к Интернет мы осуществили по схеме, которая приведена на рисунке.

Здесь в качестве шлюза установлен "самосборный" (мы ведь хотели сэкономить!) компьютер в следующей конфигурации: материнская плата — AsusTek VX; процессор — Pentium с тактовой частотой 133 МГц; ОЗУ — объем 64 Мбайт; два жестких диска IDE емкостью по 2 Гбайт каждый, установленные в режим "программного зеркалирования" средствами Windows NT. Поскольку статьи телеконференций занимают большой объем дискового пространства, в дальнейшем специально под них был установлен еще один диск емкостью 2,5 Гбайт.

Реализация проекта

В принципе уже почти очевидно, какие этапы по реализации нашего проекта было необходимо выполнить:

1. Установление связи с провайдером и настройка маршрутизатора.

2. Установка и настройка MS Windows NT Server 4.0.

3. Установка и настройка MS IIS 2.0.

4. Установка и настройка MS Proxy Server 1.0.

5. Установка и настройка MS Exchange Server 5.0.

6. Настройка рабочих станций.

Теперь поподробнее рассмотрим все, что происходило на каждом этапе.

Установление связи с провайдером и настройка маршрутизатора

Этот этап почти полностью был выполнен специалистами компании Comstar Telecommunications. Проблем здесь никаких не возникло. Маршрутизатор Ascend PipeLine достаточно легко настраивается с помощью любой терминальной программы через порт RS-232. Можно настраивать его и по Telnet.

Установка и настройка MS Windows NT Server 4.0

При известном навыке установка Windows NT также не вызывает никаких проблем. Но в нашем случае имелись некоторые особенности конфигурации. Одни из них были связаны с повышенными требованиями к безопасности сети, другие — с конфигурацией TCP/IP. Перечислю основные из них.

· Использование только файловой системы NTFS.

· Запрещение IP-маршрутизации. При этом локальная сеть не будет "видна" из Интернет. Следовательно, IP-адреса в локальной сети можно выдавать по нашему усмотрению из пула, зарезервированного для изолированных сетей.

· В целях обеспечения безопасности запрещена привязка служб Server, Workstation и NetBIOS Interface к "внешней" сетевой плате шлюза.

· В качестве шлюза по умолчанию указан адрес Ascend PipeLine.

· Компьютеру дано имя WWW и указана его принадлежность к домену savva.comstar. ru (зарегистрированному для нас провайдером).

Установка и настройка MS IIS 2.0

Установка IIS происходит одновременно с установкой Windows NT. Из служб, входящих в IIS, была задействована только служба WWW. Затем с помощью Internet Service Manager мы настроили IIS: разрешили аутентификацию Windows NT и запретили аутентификацию "чистым текстом". Права на изменение содержимого каталогов, используемых Web-сервером, мы дали только администаторам Web-узла. Остальные настройки были оставлены нами принятыми по умолчанию.

Установка и настройка MS Proxy Server 1.0

ПО MS Proxy (оба его компонента — Web Proxy и Winsock Proxy) довольно быстро устанавливается с компакт-диска. После этого мы изменили его конфигурацию:

· увеличили размер кэша до 40 Мбайт;

· включили управление доступом и разрешили пользоваться Интернет-сервисами только созданной нами же группе Internet;

· включили запись протокола использования служб;

· изменили таблицу локальных адресов в соответствии с конфигурацией нашей сети.

Установка и настройка MS Exchange Server 5.0

MS Exchange Server — сложный программный продукт с множеством различных опций и параметров. Я буду говорить только о тех настройках программы, на которые должен обратить внимание администратор при подключении почты и телеконференций Интернет. При установке служб MS Exchange Server мы дали указание программе создать exchange-узел SAVVA.

Настройка электронной почты

Настройка электронной почты осуществлялась так:

· В разделе Site Addressing опций узла по умолчанию мы поставили SMTP-адрес @savva.comstar.ru, т. е. теперь для каждого нового пользователя по умолчанию будет создаваться SMTP-адрес user@savva.comstar.ru.

· В разделе Connectors создали сервис Internet Mail Service и в качестве пространства адресов (Address Space) задали ему SMTP-адрес "*". Это означает, что сообщение, отправленное по любому SMTP-адресу, будет передаваться службе Internet Mail Service.

· В качестве формата по умолчанию для присоединенных файлов указали UUENCODE.

· По умолчанию задали кодировку KOI-8r.

· Попросили нашего провайдера сделать в DNS MX-запись, на основании которой вся почта, адресованная savva.comstar. ru, будет переадресовываться на www.savva.comstar.ru.

Настройка телеконференций

Для предоставления клиентам MS Exchange доступа к телеконференциям на сервере должна быть создана служба Newsfeed (по терминологии Microsoft). Согласно документации, она может работать в двух режимах: Accept messages и Pull messages.

Режим Accept messages предусматривает самостоятельное соединение Newsfeed с указанным news-сервером по протоколу NNRP (правда, нигде в документации такой информации нет, но мы выяснили это опытным путем), чтобы пользователи могли получать новые статьи из указанных администратором групп телеконференций. Но заставить работать Exchange в этом режиме мы не смогли. Раз в 15 мин (как и было указано) Exchange-сервер соединялся с news-сервером провайдера, но не забирал никаких статей.

В конце концов мы решили использовать рабочий режим Pull messages. В этом случае для передачи новых статей на наш сервер соединения происходят по инициативе news-сервера провайдера, т. е. последний настраивает свой news-сервер таким образом, чтобы он передавал нашему серверу статьи из указанных нами групп телеконференций.

В остальном процесс настройки службы Newsfeed происходит достаточно просто. Нужно только правильно указать имя news-сервера провайдера и имена групп телеконференций, материалы которых вы хотели бы получать.

Настройка рабочих станций

При настройке рабочих станций каждую из них мы перевели в режим автоматического получения IP-адреса по протоколу DHCP. Затем установили клиентское ПО для MS Proxy — обязательно по сети с дистрибутива, расположенного на диске того компьютера, на котором установлен MS Proxy Server (cоответствующие разделяемые ресурсы создавались автоматически при установке серверной части). При инсталляции клиентского ПО для MS Exchange нужно установить две информационные службы*: Адресную книгу и сервер Exchange. Информационную службу Почта Internet инсталлировать не надо, поскольку она необходима лишь для работы со стандартными серверами SMTP и POP3. MS Internet Explorer 3.0 мы установили с настройкой на работу через наш сервер-посредник.

Регистрация собственного домена 2-го уровня

Как и следовало ожидать, мы довольно быстро устали от присутствия во всех наших адресах слова comstar. Поэтому мы решили зарегистрировать свой собственный домен. Подробную информацию о такой регистрации в зоне RU можно найти по адресу www.ripn.net. Там же содержатся рекомендации по настройке сервера имен. В общем, это дело достаточно простое, если вы знаете, как работает DNS.

Для настройки и регистрации домена мы:

· установили на наш сервер Интернет службу Microsoft DNS Server;

· настроили сервер как primary name server для зоны savva.ru согласно рекомендациям РосНИИРОС;

· внесли A-запись для хоста WWW и MX-запись для переадресации всей входящей почты на хост WWW;

· попросили провайдера разместить у себя secondary name server для зоны savva.ru;

· внесли NS-запись для сервера, указанного провайдером;

· отправили заявку на регистрацию по форме, приведенной на узле www.ripn.net.

Через неделю мы получили подтверждение о регистрации зоны. Затем поменяли информацию Site Addressing в настройках Exchange-сервера c @savva.comstar.ru на @savva. ru, изменив при этом соответствующим образом все адреса пользователей. Для того чтобы не потерялась почта, посланная на старый адрес, всем пользователям мы добавили дополнительный SMTP-адрес по старой форме.

Некоторые итоги

Интернет-шлюз, установку которого мы вам описали, функционирует у нас уже почти год. Два или три раза возникали сбои в работе системы, однако ни один из них не был связан с самим шлюзом — все они возникали на стороне провайдера. Каждый компонент нашей системы работает нормально.

Мы довольно быстро поняли, что компьютер в приведенной выше конфигурации несколько слабоват для работы в нашей системе (в основном из-за MS Exchange), поэтому уже нарастили объем ОЗУ до 96 Мбайт. В ближайшее время собираемся все IDE-устройства заменить на SCSI.

За последнее время в системе безопасности Windows NT обнаружилось несколько "дыр", но, на мой взгляд, значение их сильно преувеличено. Во-первых, Microsoft очень оперативно реагирует на них — каждый раз соответствующая "заплата" появлялась в считанные дни. Во-вторых, если соблюдать рекомендации производителя, то хакер, сумевший проникнуть через эти "дыры" в нашу систему и на какое-то время нарушить ее работоспособность, не сможет получить с их помощью доступ к какой-либо закрытой информации. Так или иначе, но, к счастью, все это пока не коснулось нас.

В целом же подключение к Интернет не является такой уж сложной задачей, как ее расписывают. Главное, что требуется от технического персонала в процессе ее реализации, — это внимание и аккуратность, точное соблюдение соответствующих правил и рекомендаций, особенно по настройке системы безопасности.





  
11 '1997
СОДЕРЖАНИЕ

колонка редактора

• Нарушитель конвенции

локальные сети

• Коннектор - "узкое" место кабельной системы

• Коммутируемый Ethernet или разделяемый Fast Ethernet

• Когда не помогает хороший пинок

• Волоконно-оптический кабель - что это и зачем он нужен

• Удаленная загрузка - ваша "палочка-выручалочка"

корпоративные сети

• IP-коммутация: сражение за сетевые высоты

• Надоедливый "писк"

• Связующее ПО: на сцене статисты

• Качество обслуживания, или Как добиться неравенства в мире равноправия

• Системы управления уровня рабочей группы

• Грядет РИФ'98...

услуги сетей связи

• Услуги цифровой связи E1

• Рефлектометры для медных кабелей

• Телефонные гарнитуры: в серьезном бизнесе нет мелочей

• Технологии доступа. Делайте ваши ставки

• Руководство покупателя модемов формата Pc Card

интернет и интрасети

• Интернет для среднего офиса

• Мультимедиа в Интернет

защита данных

• Реальные системы для виртуальных коммутируемых частных сетей

новые продукты

• Три новинки Lucent Technologies, Парад новинок от HP, Что нам стоит сеть построить..., Быстрый и многофункциональный коммутатор от 3Com

только на сервере

• Интернет от... IBM

• Фирменное ПО управления сетевыми устройствами

• Исследуем производительность JDBC - интерфейсов

• В поисках унифицированной почтовой архитектуры



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх