Оптимальная сеть Интернет-провайдера
Широкое распространение и популяризация Интернета привели к появлению абсолютно нового вида деятельности — предоставления доступа в Интернет. Компании, осуществляющие такую услугу (Интернет-провайдеры, от английского to provide — «предоставлять»), существуют по всему миру. Как следует из названия, основной функцией таких компаний является предоставление (в подавляющем большинстве платного) доступа к услугам Всемирной сети. Как можно представить себе провайдера? Это некоторая машина, которая является посредником между вами и Интернетом. При этом нужно понимать, что во время, когда соединение активно, вы (ваш компьютер) являетесь полноправной составной частью Всемирной сети. Напомним, что существует два основных способа подключения к Интернету (и вообще к удаленному компьютеру). Это прямое сетевое подключение (проводное и беспроводное) и модемное подключение (проводное и беспроводное). Сетевое подключение означает, что вы используете кабель (тонкий Ethernet, витую пару, оптоволокно) или спутниковую антенну и тем самым подключаетесь непосредственно к сетевой карточке удаленного компьютера. Модемное подключение подразумевает использование телефонных линий и подключение к модемному входу компьютера (COM-порт). При этом сам провайдер соединяется с Интернетом посредством прямого сетевого подключения (обычно оптоволокно, реже антенна). Таким образом, когда установлено соединение (любое) между вами и провайдером, вы получаете возможность непосредственно использовать все Интернет-сервисы. Однако провайдер не является просто транспортом для сетевых пакетов от вас в Интернет. Такой ограниченный сервис нужен только в одном случае — когда вы используете сетевое подключение к провайдеру, то есть фактически платите за аренду канала. В большинстве случаев пользователи, особенно частные лица, используют модемное подключение. В этом случае, даже если ваш домашний компьютер настроен на работу с любым Интернет-сервисом, его использование затруднительно из-за непостоянного соединения. Тогда провайдер работает аналогично серверу некоторой локальной сети. Его основными (и наиболее распространенными) функциями являются: почта (e-mail), создание пользовательских WWW-страничек (Web hosting), реже выделение места под файлы пользователей (hosting). Вы являетесь пользователем на сервере провайдера. При установке соединения вы скачиваете почту с сервера провайдера и имеете возможность скачать или положить файлы на сервер в свою директорию. Плюс к этому, компания-провайдер имеет свой DNS-сервер, WWW-сервер для предоставления информации о себе, часто держит свой сервер новостей (news) и какие-либо еще полезные для пользователей ресурсы. Ниже я хочу рассмотреть аппаратную реализацию сети провайдера и попытаться указать «узкие места» такой сети. Именно это, а не рецепты по созданию идеальной сети, является предметом данной статьи.
Ниже приведена общая схема, иллюстрирующая сеть Интернет-провайдера.
Если рассматривать эту схему слева направо, то первое, на чем стоит остановиться, — это система телефонного подключения. Принимая во внимание качество наших телефонных линий, понятно, что правильная организация модемных пулов играет очень важную роль в работе провайдера. Под словом «правильная» я подразумеваю такую организацию пулов, при которой пользователь испытывает минимум неудобств при дозвоне. В этом смысле эффективны многоканальные телефонные линии и модемы: пользователю не нужно перебирать много телефонов. Желательно также использование цифровых АТС. К сожалению, многие провайдеры еще используют старые (координатные усовершенствованные или даже координатные шаговые) АТС. Нужно, правда, признать, что проблемы, связанные с телефонными линиями, — беда не провайдера, а наших телефонных сетей в целом. Все, что в состоянии сделать провайдер, — это использовать цифровую АТС и поставить лучшие модемы. Отмечу, что на рынке промышленных модемов (по данным различных исследований) лидируют фирмы 3Com, Motorola и ZyXEL. В свою очередь, на рынке серверов удаленного доступа (комбинация сервера и модемного пула) наиболее популярным является оборудование фирм Cisco Systems, Lucent Technologies и 3Com.
Следующим элементом схемы является система авторизации пользователей, которая представляет собой обычный (может быть, чуть более мощный) компьютер и неразрывно связана с модемным пулом. В большинстве случаев она построена по следующей схеме. Промышленные многоканальные модемы могут общаться с компьютером на более высоком уровне, чем обычный модем. При установке модемного соединения модемный пул, установив соединение с абонентом, передает запрос на компьютер. Поскольку одновременно могут звонить несколько абонентов, компьютер и модем должны уметь быстро обрабатывать параллельные запросы. В этот момент общение с абонентом происходит в терминальном режиме. После обработки имени и пароля либо устанавливается соединение с протоколом более высокого уровня PPP, либо модему дается команда разорвать соединение. После успешно установленного соединения вы оказываетесь связанным с Интернетом. При этом вам выделяется адрес из диапазона, доступного провайдеру, и свободный на данный момент. Этот адрес будет использоваться далее до конца соединения при обратной связи с вашим компьютером. Нужно сказать, что система проверки пользователей не является критичным (или медленным) местом приведенной схемы, так как проверка занимает несколько секунд, а дальше этот компьютер является лишь транспортом сетевых пакетов. При разрыве соединения производится запись о времени, проведенном пользователем на модемном входе.
Однако для удобного соединения этого еще недостаточно. Для того чтобы использовать буквенную, а не номерную запись имен компьютеров в Интернете, необходим DNS (Domain Name Server). Он отвечает за расшифровку имен. Прежде чем вы установите какое-либо соединение с помощью Netscape, Explorer, ftp, telnet или чего-то еще, идет обращение к DNS-серверу. На него передается имя компьютера, он возвращает его номерной адрес (который обычно скрыт от пользователя) либо ошибку, если такого имени найти не удалось. Даже в тех случаях, когда вы обращаетесь на, казалось бы, очень близкий сервер почты, вначале идет запрос на DNS для расшифровки имени. Наверное, кроме шлюза, это — самый загруженный компонент сети. Именно поэтому чаще всего серверов DNS не один, а два. Второй может работать параллельно либо заменять первый при неожиданных сбоях.
Сервер почты, как и система авторизации, не является предметом постоянного использования. Даже если сбой произошел, то ничего критичного для работы сети не случится, хотя, конечно, пользователей это будет раздражать. Но в любом случае замедление работы из-за перегрузки не приведет к нарушению работы (в отличие от DNS, когда медленная работа последнего фактически парализует работу многих сетевых клиентов). Здесь, однако, есть другие тонкости. Там хранятся письма пользователей, и возможные сбои на накопителях могут привести к потере данных. Чтобы этого избежать, нужно регулярно производить копирование — для быстрого восстановления информации в крайнем случае.
Еще два сервера в нижней строке схемы — это WWW- и news-серверы. Обычно они есть у провайдера, но при этом предоставляемая информация в большинстве случаев не является критичной для пользователя. Даже отключение этих серверов не приведет к сбоям в работе пользователя или перерыву в доступе к личной почте. Если же WWW-сервер предполагает размещение пользовательских страничек, то, как и в случае с почтой, наверное, разумно резервное копирование. Еще замечу, что именно на WWW-серверах провайдеры часто располагают страницу, на которой пользователь может изменить свой пароль. Возможные сбои именно в момент смены пароля могут привести к непредсказуемым результатам. При правильной настройке не произойдет ничего, то есть пароль останется старым.
В верхней строке схемы отмечены пользователи, имеющие прямое сетевое подключение. Фактическое их отличие от модемных пользователей состоит в том, что у них постоянное соединение и фиксированный адрес. Очевидно, что в этом случае нет необходимости в системе авторизации. Проверка имени и пароля происходит непосредственно при обращении к серверу почты, если он используется. (Когда у вас прямое подключение, то вы можете держать свой сервер почты. В этом случае его имя, очевидно, будет отличаться от имени почтового сервера провайдера.) Для других же серверов авторизация не нужна. То, что остается таким же критичным, — это серверы DNS.
Firewall, находящийся в правой части схемы, — это самый загруженный по своему местоположению и функциям участок сети. Очевидно, что через него проходят все внешние пакеты, идущие вовне или приходящие внутрь сети провайдера. От того, насколько серьезно вы хотите оградить сеть от внешних вторжений, зависит мощность компьютера (или специального оборудования), работающего как firewall, и установленное на нем программное обеспечение. Обычно firewall настроен так, что извне вы можете лишь получить доступ к WWW-серверу провайдера (разумеется, с пользовательскими страничками, если они есть). Иногда даже при работе с WWW-сервером извне нельзя поменять свой пароль. Разумеется, вы можете послать письмо кому-либо на почтовый сервер провайдера. Этим доступ извне зачастую ограничен. Трафик пакетов наружу сети проверяется не всегда. В лучшем случае он протоколируется. Это связано с большим числом пользователей и с высокой возможной загруженностью шлюза в случае полного контроля. Именно этим объясняется то, что работа через провайдера является весьма популярной у хакеров. Собственно, для этого созданы все условия — отсутствие полного контроля выходящих пакетов, случайные номера машин при подключении, большое количество пользователей.
Конечно, одного firewall может быть недостаточно: даже если он справляется с работой, эффективнее использовать несколько. В управлении сетью помогает также разумная сегментация: например, отделение в особый сегмент пользователей с прямым сетевым подключением. Это очень разумно, так как в этом случае уменьшается трафик пакетов через систему авторизации пользователей. Несомненно, вариантов сегментации больших сетей очень много. Возможно разделение отдельных модемных пулов, выделение почтового сервера в отдельный сегмент и так далее. В большинстве случаев это зависит от конкретной сети, но в любом случае — это наиболее эффективное средство разгрузки тех или иных серверов. В этом случае помимо общего firewall на отдельных сегментах сети могут быть также внутренние, более низкого ранга.
Последнее, что осталось упомянуть, — это внешний канал провайдера. Здесь его ширина в буквальном смысле определяет, насколько «узкое» это место. Величина канала зажата между нижней разумной величиной пропускной способности, когда пользователи еще не уходят от провайдера, и верхней разумной стоимостью арендной платы, когда провайдер еще не разоряется. Здесь нужно найти разумный компромисс. Арендовать канал, который только-только обеспечивает ваши потребности на данный момент, неразумно, так как малейшее расширение сети или количества пользователей сделает его неэффективным. Платить за очень хороший канал не всегда выгодно, потому что рано или поздно на своем пути он наткнется на более узкое место и от его ширины уже ничего не будет зависеть.
В дополнение к вышеперечисленному в сети провайдера может быть еще много разных серверов и услуг. То, что перечислено, представляет некоторый «джентльменский набор», без которого организация любой более или менее серьезной сети невозможна. Но ничто не мешает добавить в сеть еще какие-либо полезные или любопытные серверы. Один из таких серверов — это proxy-сервер. Его цель — сохранение наиболее часто скачиваемых из Интернета файлов. Тем самым он дает возможность брать эти файлы со своего накопителя, экономя время, необходимое для скачивания. Другая возможная услуга — выделение места для хранения файлов пользователя. Правда, обычно ее совмещают с выделением места под WWW-страничку. Есть и, может быть, не столь полезные, но любопытные серверы: например chat-сервер, где возможно общение в реальном времени или, что-то еще.
Подводя некоторый итог, хочется сказать следующее. Сеть Интернет-провайдера является обычной локальной сетью с двумя отличиями — здесь очень много модемных пользователей и, вообще, пользователей больше, чем в локальной сети какой-нибудь организации. Как следствие, появляются новые элементы: модемные пулы, специализированная система авторизации пользователей, на сервере работает операционная система, поддерживающая много (не просто многопользовательская, а именно много) пользователей и выполняющая учет проведенного на модемном входе времени. Поскольку при работе каждому модемному пользователю выделяется свой Интернет-адрес, в результате образуется весьма большая сеть. Наиболее критичными, на мой взгляд, являются работа шлюза и DNS-серверов. Первый отвечает за безопасность всей сети и находящихся в ней ресурсов. При этом все проверки он делает в реальном времени, обеспечивая параллельно трафик пакетов вовне. Надежная и быстрая работа DNS, как я уже говорил, дает возможность работать всем остальным сетевым клиентам на вашей машине. Быстрая работа остальных элементов сети не является критичной, но при этом надежность всегда приветствуется. С точки зрения хранимых данных критичными являются почтовый сервер и WWW-сервер, если там расположены страницы пользователей. Остальные элементы сети, включая маршрутизаторы, испытывают более или менее равномерную нагрузку и вряд ли могут страдать от перегрузок. Отдельно хочется отметить, что с точки зрения безопасности сеть Интернет-провайдера сложнее защитить, чем обычную локальную сеть. Связано это с тем, что в ней происходит одновременная работа большого количества неизвестных пользователей. Опасность может грозить как снаружи, так и изнутри. С этой целью (кроме равномерного распределения нагрузки) разумно производить сегментацию, чтобы разделить явно логически не связанные между собой «куски» сети.
КомпьютерПресс 8'2000
