Что такое общий Интернет доступ?
Общий Интернет доступ для организаций является наиболее распространенным решением. Однако, бывают случаи, когда в крупных организациях нет общего Интернета. Точнее нет единого и общего Интернет доступа для всей организации, к примеру, часть отделов работает через выделенную линию, а некоторые сотрудники используют модемы коммутируемого доступа для выхода в Интернет. Но бывают ситуации более плачевные, когда системный администратор даже не знает, что какой-нибудь отдел заказал и использует специальную выделенную линию.
Плюсы и минусы общего Интернет доступа
Естественно, что общий Интернет доступ помогает организации держать под контролем и свои расходы на Интернет, и что особенно важно — обеспечивать безопасность сети. Вообще говоря, самовольное создание пользователями каналов доступа в Интернет должно быть запрещено не только административными, но и техническими мерами. Администратор сети обязан знать, какие соединения и каналы существуют в корпоративной сети, и особенно, где она открыта для обмена информацией с Интернетом, для того, чтобы защитить сеть от угроз исходящих из Интернета.
Таким образом, далее будем рассматривать ситуацию, когда в организации существует одно или несколько централизованных Интернет подключений, через которые все сотрудники организации имеют общий Интернет доступ. Ситуации с неразберихой в Интернет подключениях явно является ненормальной и должна быть, прежде всего, решена административными решениями.
Общий Интернет в организации обладает целым рядом существенных преимуществ. Это прежде всего:
1. возможность контроля Интернет — всех информационных потоков входящих или исходящих из локальной сети организации.
2. возможность установить межсетевые экраны на пути всех входящих и исходящих IP пакетов для обеспечения централизованной защиты сети.
3. возможность контроля суммарных расходов организации на Интернет.
4. возможность общего учета трафика и контроля поведения пользователей в Интернете для всей организации.
5. Более эффективное использование средств: два медленных канала у провайдера стоят как правило больше, чем один быстрый, трафик при больших объемах потребления может стоить дешевле. Кроме того, так называемое статистическое мультиплексирование, позволяет вам использовать ресурсы Интернет канала для общего доступа более эффективно.
Все это не значит что в организации должен быть один Интернет канал. Их может быть несколько, однако общий Интернет доступ предполагает централизованное управление ими, когда все каналы рассматриваются как единый пул, через который осуществляется общий Интернет доступ.
Говоря о преимуществах общего Интернет доступа в организации необходимо сказать и о том, какие сложности в нем присутствуют. Сложности, как правило, связаны с тем, что все пользователи имеют общий доступ и, следовательно, оказывают влияние друг на друга. На практике часто происходит так, что запущенная кем-нибудь закачка большого файла может занять все ресурсы общего канала и не дать, например бухгалтерии, провести электронный платеж. Таким образом, для общего Интернет становятся крайне важными задачи контроля, учета и управления доступом пользователей. Иными словами, те возможности, которые упомянуты в качестве преимуществ общего Интернет доступа, становятся необходимым реализовать!
Как устроен общий доступ в Интернет?
Для того, чтобы понять каким образом могут быть решены задачи учета трафика, управления правами пользователей, обеспечения защиты сети необходимо разобраться как устроен общий Интернет доступ. Рассмотрим несколько сценариев организации общего Интернет доступа.
Общий Интернет доступ для локальной сети
В самом простом случае корпоративная сеть организации представляет собой единую локальную сеть, которая подключена к Интернету через выделенную линию, Ethernet сеть офисного здания или домовую сеть. В этом случае чаще всего в коммутатор локальной сети включают канальное оборудование: xDSL модем/маршрутизатор или PPPoE/PPTP маршрутизатор, который работает с офисной или домовой сетью провайдера.
Возможности администратора по управлению и контролю такой сетью будут ограничены возможностями настроек, имеющихся в модеме/маршрутизаторе. Как правило это достаточно дешевые аппараты, возможности управления которыми могут быть ограничены.
Корпоративная сеть с распределенными офисами и централизованным каналом
В этом случае организация имеет свою собственную ведомственную сеть, заказывая выделенные линии между своими офисами и объединяя их локальные сети в единое маршрутизируемое пространство. Один из офисов, удачно расположенный территориально, становится центром, куда прокладывается Интернет канал от провайдера. Как правило, в таком случае маршрутизирующее оборудование для объединения локальных сетей отдельных офисов обладает развитыми возможностями управления и учета. Также организации, имеющие такую структуру сети, устанавливают отдельные системы — Интернет контроль серверы для того, чтобы решать задачи учета трафика и управления доступом пользователей. Интернет контроль серверы дают ИТ персоналу большую гибкость и помогают использовать мощные функции маршрутизирующего оборудования. Например, превращая отчет по потреблению трафика IP адресами в статистику по конкретным пользователям. Защита сети может быть реализована отдельными специализированными устройствами или быть одной из функций Интернет контроль сервера. Рациональное использование для общего доступа основного и резервного Интернет канала также может быть обеспечено Интернет контроль сервером.
Маршрутизируемая корпоративная сеть с распределенными Интернет каналами
Такая сеть автоматически появляется у предприятия, которое объединяет локальные сети своих удаленных площадок, арендуя каналы у Интернет провайдера, т.е. строя так называемую виртуальную частную сеть. За исключением того, что каждый офис может получить свой собственный Интернет доступ такая схема не отличается от предыдущей. Заключая договор с провайдером на выделенную линию, клиент, как правило, может выбирать, будет ли этот канал маршрутизироваться в Интернет или нет. Однако часто с топологической точки зрения выгоднее будет не гнать Интернет трафик в один центральный офис, а получать Интернет доступ в каждом офисе. Как же в этом случае сделать Интернет доступ общим, а не разрозненным и неуправляемым?
Решить эту задачу также можно используя набор Интернет контроль серверов в каждом офисе, где есть независимый Интернет канал. Для администратора такой сети управление общим Интернет доступом из всех офисов в таком случае будет прозрачным и удобным.
Таким образом, оптимальным решение задачи настройки управляемого общего Интернет доступа во всех случаях будет использование Интернет контроль сервера – одного, в случае одной локальной сети, или единого Интернет канала и нескольких, если Интернет каналы имеются в географически удаленных точках сети компании.
Настройка общего доступа
На примере использования А-Реал Интернет контроль сервера разработки компании А-Реал Консалтинг.
Общий Интернет в локальной сети с одним Интернет-каналом
Начальные условия: ADSL линия от провайдера, ADSL модем осуществляет трансляцию WAN интерфейсе ADSL модема. Внутри локальной сети используется «серая» адресация, например 10.0.1.0/24.
Для настройки общего Интернет доступа необходимо включить внутренний интерфейс А-Реал Интернет контроль сервера в порт коммутатора ЛВС. На внутреннем интерфейсе А-Реал Интернет контроль сервера установите IP адрес и маску вашей локальной сети, например, 10.0.1.254/24. На внешнем интерфейсе А-Реал Интернет контроль сервера и LAN интерфейсе ADSL модема установите «серые» адреса из другого диапазона, например 10.0.255.1/24 и 10.0.255.255/24 соответственно.
Далее, если в вашей сети используется прокси сервер, вы можете передать его задачу на встроенный прокси сервер А-Реал Интернет контроль сервера. Для этого просто настройте на браузерах компьютеров в локальной сети адрес прокси сервера: 10.0.1.254 порт 3128.
Решите как будет работать авторизация пользователей в локальной сети. Вы можете применять несколько методов:
Например, четко привязав пользователей к компьютерам, вы можете настроить на А-Реал Интернет контроль сервере самую простую схему — по IP адресам. Естественно, что в этом случае нужно принять меры для того, чтобы пользователи не могли самостоятельно менять свои IP адреса, например, не давать им административного доступа на компьютеры.
Авторизация на прокси сервере. Вы можете раздать пользователям индивидуальные логины и пароли для доступа к ресурсам Интернет через прокси сервер.
Авторизация через контроллер windows домена. А-Реал Интернет контроль сервер может получать информацию о пользователе с контроллера домена Active Directory, в таком случае от пользователя потребуется только зайти в windows домен под своим паролем, чтобы получть общий доступ в Интернет через А-Реал Интернет контроль сервер.
Авторизация через отдельную программу. Если использование контроллера домена не входит в ваши планы, вы можете установить на компьютеры пользователей небольшую программу, которая входит в комплект поставки А-Реал Интернет контроль сервера, которая будет запрашивать логин и пароль пользователя при его доступе в Интернет.
Авторизация через PPTP или PPPoE. Вы можете настроить PPPoE или PPTP сервер на Интернет сервере для того, чтобы пользователи выходили в Интернет через VPN туннель, который компьютер каждого из них должен установить с Интернет контроль сервером — каждый со своим логином и паролем.
Общий доступ в Интернет через А-Реал Интернет контроль сервер
А-Реал Интернет контроль сервер — это готовый программный Интернет шлюз. Он устанавливается на выделенный компьютер, включенный между локальной сетью и Интернетом. А-Реал Интернет контроль сервер это маршрутизатор, прокси сервер, программа учета трафика, межсетевой экран, почтовый сервер с фильтрами СПАМа, DNS, DHCP сервер.
А-Реал Интернет контроль сервер решает задачи:
Полного учета трафика при общем Интернет подключении. Учет трафика по объему и в денежном выражении на каждого индивидуального пользователя или группу. Отчеты разной степени детализации, в том числе по конкретным URL запросов, группам IP адресов и портов, почтовым сообщениям.
Управления правами доступа пользователей к общему Интернет каналу и Интернет ресурсам. Индивидуальные и групповые политики доступа пользователей, по: URL и регулярным выражениям, IP адресам и портам, времени доступа, по состоянию квоты и лицевого счета. Управление скоростью доступа пользователей к общему Интернету.
Защита сети. А-Реал Интернет контроль сервер содержит в себе встроенный межсетевой экран, который обеспечивает безопасность на уровне пакетного фильтра, закрывая доступ к вашим серверам внутри сети. Использование механизма NAT также усиливает защиту сети.
Вы можете попробовать А-Реал Интернет контроль сервер в вашей сети, скачав его с сайта компании разработчика.
Вы можете приобрести А-Реал Интернет контроль сервер в компании Texno-Soft — официальный представитель в Республике Узбекистан.
Игорь Алексеев, к.ф.-м.н., директор УЦИ ЯрГУ.