ОПЫТ ПОСТРОЕНИЯ УЧЕБНОЙ КОМПЬЮТЕРНОЙ СЕТИ

ОПЫТ ПОСТРОЕНИЯ УЧЕБНОЙ КОМПЬЮТЕРНОЙ СЕТИ

МОДЕЛИРУЮЩЕЙ ТИПОВЫЕ КОРПОРАТИВНЫЕ СЕТИ

Санкт-Петербургский государственный технический университет

Введение

Важное место в системе подготовки специалистов по электронному оборудованию, применяемому в современной бизнес-сфере, занимают практические занятия по тематике компьютерных, сетевых и телекоммуникационных технологий. Ключевым звеном практикума должна являться компьютерная сеть, подключенная к глобальной сети Internet. Хотя возможные варианты построения сети, ориентированной на решение учебных задач, многообразны, полезно попытаться сформулировать общие принципы, следование которым позволит организовать практикум на методическом уровне, отвечающем современным требованиям. В данной работе изложен подход к построению учебной компьютерной сети, который по мнению авторов характеризуется общими чертами, и поэтому представляет интерес для разных учебных заведений, решающих сходные задачи. Этот подход реализован на практике при организации сети Центра электроники и схемотехники кафедры радиофизики СПбГТУ.

В статье идет речь о построении прообраза корпоративных сетей типовых фирм бизнес-сферы, в которых сети обеспечивают электронный документооборот, поддержку финансовой отчетности, выполняют коммуникационные и представительские функции в информационном пространстве. В работе показано, как следует поступать, чтобы учебная сеть демонстрировала черты системы, являющейся эффективным инструментом коллективной работы. Обсуждается, как организовать полноценный доступ к ресурсам Internet, обеспечить коммуникационный сервис, эффективную и защищенную работу с “хранилищем данных”. При выборе способа организации сети ключевым моментом является нахождение структуры, позволяющей на малом наборе оборудования реализовывать черты разных по масштабу сетей. Тогда становится возможным простой перенос архитектуры и программной поддержки на случай создания подобных систем по заказам фирм с разным объемом решаемых задач.

 

1. Основные черты учебной сети как модели корпоративных сетей фирм

При проектировании учебной компьютерной сети, призванной продемонстрировать функционирование подобной системы типовой фирмы, необходимо решить несколько важных задач, а именно:

1. обеспечить полноценный, централизованно управляемый доступ пользователям локальной сети к ресурсам Internet, при этом необходимо максимально оградить собственное информационное пространство от несанкционированного воздействия;

2. обеспечить коммуникационный сервис как внутри рабочей группы, так и с внешними партнерами;

3. дать возможность мобильным пользователям оперативно подключаться к сети;

4. выбрать оптимальный способ размещения “хранилища данных” и построить централизованно управляемый, гибко настраиваемый, разделенный по правам механизм доступа рабочих групп и отдельных пользователей к “хранилищу данных”;

5. организовать представительство фирмы в сети Internet (WWW- и FTP- серверы).

Кроме того, имеются позиции, которые могут рассматриваться как желательные, например, регистрация и поддержка собственной DNS-зоны, возможность дистанционного администрирования, предоставление доступа к сети по коммутируемым линиям.

Учебной сети присущи собственные черты, предопределенные спецификой учебного процесса: часто меняющийся контингент пользователей, разброс уровней подготовки, проблемы воспитательного плана. Поэтому особенно тщательно следует продумать систему гибкого администрирования и профилактики.

2. Двухуровневая схема построения сети

Существуют разные пути построения систем, удовлетворяющих сформулированным условиям. Однако, как показывает опыт создания и администрирования корпоративных сетей коммерческих фирм, целесообразно в первую очередь стремиться к реализации структуры, на основе которой можно, с одной стороны, удовлетворить всем приведенным выше требованиям, а с другой - производить без существенных усилий и переделок настройку сети под конкретные производственные задачи, потребляющие разные ресурсы. Крайне важно из финансовых соображений, чтобы общие черты системы, предрасположенной к последующему расширению, могли быть реализованы на малом наборе необходимого компьютерного и коммуникационного оборудования.

Перечисленным требованиям в высокой степени удовлетворяет двухуровневая схема (рис.1). Как видно из рисунка, сеть делится на два связанных сегмента – внутренний и внешний. Внутренний обеспечивает взаимодействие рабочей группы, внешний – взаимодействие с внешней средой (Internet). Во внешнем сегменте (компьютеры 1.1, 1.2, …) устанавливаются серверы, выполняющие различные функции: шлюз в Internet, FireWall (система защиты сети), mail-сервер (почтовый сервис), WWW- и FTP- серверы (представительские функции), DNS-сервер (поддержка символьной адресации). Особенность внешнего сегмента состоит в том, что все компьютеры являются полноценными рабочими станциями в сети Internet, и, следовательно, могут быть подвержены попыткам взлома. Внутренний сегмент (компьютеры 2.1, 2.2, 2.3, …) поддерживает коллективную работу пользователей. Здесь находятся файл-серверы, серверы приложений, рабочие станции пользователей. Двухуровневая архитектура позволяет сделать внутренний сегмент “невидимым” из внешнего информационного пространства и защитить данные организации, размещенные на серверах внутреннего сегмента.

При выборе архитектуры сети предпочтительней выглядит “звездообразное” соединение компьютеров с помощью многопортового повторителя – концентратора (hub, concentrator). Это улучшает управляемость сети, облегчает ее эксплуатацию, ремонт, модернизацию, подключение дополнительных сегментов.

Представленная система при правильном выборе и настройке серверного программного обеспечения позволяет эффективно обеспечивать безопасность внутренних данных. Кроме того, такая архитектура способна поддерживать функционирование как совсем небольших, так и достаточно крупных сетей, т.е. отвечает условиям масштабных изменений.

3. Организация связи с внешним информационным пространством

Перечисленные в разделе 1 функции качественно и гибко обеспечивают серверы, управляемые UNIX-подобными операционными системами (ОС UNIX). Существенными аргументами в пользу ОС UNIX являются возможность эффективной защиты серверов от попыток взлома, удобства дистанционного администрирования. Выбирая операционную систему для внешнего сегмента, имеет смысл воспользоваться некоммерческими разновидностями UNIX-систем, поставляемыми с исходными текстами: FreeBSD (www.freebsd.org) или Linux (www.linux.org.ru). Эти системы обладают многими достоинствами UNIX-архитектуры, хорошо зарекомендовали себя в качестве надежных и защищенных Internet-шлюзов. Они неприхотливы к аппаратным ресурсам компьютеров.

Важнейшее назначение внешнего сегмента – допустить пользователей внутреннего сегмента к ресурсам Internet. В ОС FreeBSD имеются встроенные средства для организации Internet-шлюза и установки системы защиты FireWall (брандмауера), задающей правила взаимодействия внутреннего сегмента и сети Internet. С помощью брандмауэра можно оградить внутреннюю сеть организации от определенных фигурантов, ограничить возможности собственных пользователей.

Часто сетевые администраторы вынуждены предоставлять компьютерам внутреннего сегмента доступ к Internet по единственному статическому IP-адресу. Шлюз внутреннего сегмента в Internet в таком случае может выполняться по-разному. Один путь – установка Proxy-сервера - системы предоставления ресурсов Internet по специальным протоколам. Другой путь – установка сервера трансляции адресов natd (Network Address Translation Daemon). В первом случае программы-клиенты следует настроить на работу с Proxy-сервером, но это не всегда удается. Во втором (при трансляции адресов) все IP-пакеты, двигающиеся из внутреннего сегмента, анализируются и автоматически транслируются в пакеты с зарегистрированными IP-адресами. Таким образом, для клиентских программ воспроизводится эффект прямого подключения к Internet.

Надо отметить, что Proxy-серверы позволяют использовать кеш-память. Это облегчает работу с WEB-сайтами - разгружается внешний канал, повышается скорость доступа к часто используемым страницам. Поэтому имеет смысл строить сервер гибридного типа: на использование Proxy-сервера настраивать только браузеры пользователей, а остальные программы выводить в Internet с помощью сервера трансляции адресов. Под FreeBSD есть Proxy-сервер (suid) и встроенный сервер трансляции адресов (natd).

Для обеспечения полноценного почтового, WWW- и FTP- сервиса целесообразно зарегистрировать DNS-домен организации, например, в какой-нибудь географической зоне (типа spb.ru). В ОС FreeBSD имеется встроенный DNS-сервер – named, который полностью обеспечивает поддержку DNS-зон. Регистрация домена позволяет настроить независимый от провайдера сервер почтового транспорта. Таковой – sendmail – поставляется вместе с ОС FreeBSD. Он требует минимальной настройки при постоянном включении в Internet-среду. Чтобы пользователи могли забирать почту из UNIX-почтовых ящиков, необходимо установить сервер, реализующий протоколы POP3 и IMAP4, и тогда можно пользоваться различными почтовыми Windows-программами (например, Microsoft Outlook). Для предоставления пользователю почтового адреса достаточно завести учетную запись в системе FreeBSD.

В качестве Web-сервера обычно ставится Russian Apache (www.apache.org). Это широко распространенный WEB-сервер, обладающий высокой функциональностью, гибкостью настроек. В качестве FTP-сервера можно использовать ftpd, поставляемый с ОС FreeBSD, или установить более мощные FTP-серверы, рассчитанные на работу с анонимными пользователями (proftpd, wu-ftpd).

Выполняя дистанционное администрирование следует учитывать, что соединение по протоколу telnet опасно, т.к. данные (в том числе и пароли) в этом случае передаются открыто. Для защищенного удаленного администрирования целесообразно поставить сервер sshd (Secure Shell Daemon), позволяющий дистанционно работать на UNIX-машине и шифрующий все данные, проходящие от сервера клиенту и наоборот.

4. Организация взаимодействия пользователей внутри рабочей группы

Коллективную работу пользователей и рабочих групп достаточно удобно поддерживать сервером под управлением операционной системы WinNT Server. Гибко управлять правами рабочих групп и отдельных пользователей позволяет установка в сети доменной схемы регистрации. Сервер WinNT Server является контроллером домена. Одновременно он может выполнять функции “хранилища данных” при централизованном размещении таковых. Рабочие станции внутреннего сегмента целесообразно поставить под управление MS Windows. На сегодняшний день это оправдано широкой практикой ведения электронного документооборота многих фирм на базе MS Office.

В последнее время появились решения, позволяющие применить для управления сервером базы пользователей и файл-сервером ОС UNIX с ПО “Samba”, эмулирующим сервер WinNT. При этом пользователи работают в привычной среде MS Network. UNIX-архитектура дает в таком варианте дополнительные возможности: управление использованием дискового пространства, удаленное администрирование, управление доступом к сети снаружи и другие.

5. О сети Центра Электроники и Схемотехники (EECnet)

Все описанное выше было установлено и опробовано при организации компьютерной сети Центра электроники и схемотехники кафедры радиофизики СПбГТУ. Сеть имеет постоянное подключение к Internet. Ее структура реализована с учетом изложенных в статье принципов построения корпоративных сетей. Имея в распоряжении такую сеть, можно готовить как пользователей, которые умеют эффективно работать в предоставленной среде, так и системных администраторов, которым предстоит создавать и обслуживать такие среды. Структурой и программным наполнением сети EECnet могут быть обеспечены практические занятия по многим разделам курсов компьютерной, сетевой, телекоммуникационной тематики.