Подключение удаленного офиса
Подключение по телефонной линии
Настройка оборудования главного офиса
Введение
Представьте себе, что в компании с хорошо развитой сетевой инфраструктурой появился удаленный офис, в котором стоит 3-4 компьютера. Естественно, «сосланным» сотрудникам необходим доступ к информации, хранящейся на серверах компании — файл-серверах, серверах баз данных или почтовом сервере. Кроме того, удаленному офису потребуется выход в Интернет, как и у всех остальных сотрудников компании. Подключение удаленного офиса является насущной проблемой для многих компаний, обладающих распределенной структурой, например для торговых организаций с многочисленными складами и магазинами, ставящих перед собой задачу синхронизации баз данных по имеющимся товарам. В этой ситуации могут быть три варианта решения.
Первый — провести выделенный канал. Вариант, конечно, неплохой, но не всегда есть возможность его реализовать, да и стоимость такого решения может оказаться достаточно непривлекательной.
Второй вариант — подключить удаленный офис к местному Интернет-провайдеру и настроить VPN (виртуальную частную сеть). Однако такое решение может нарушить безопасность сети основного офиса, так как придется открывать канал на firewall для доступа извне, что не рекомендуется. К тому же предстоят дополнительные расходы на оплату межсетевого трафика, который теперь будет передаваться через Интернет. Вдобавок следует еще учесть и тот факт, что уменьшится пропускная способность канала, используемого в центральном офисе для выхода в Интернет, так как частично его будет «отъедать» все тот же межсетевой трафик. Данное решение может целесообразно в случае, когда офисы территориально очень удалены друг от друга и нет ни возможности, ни желания арендовать выделенную линию.
Третий же вариант — самый простой в установке и самый дешевый: организовать доступ к центральному офису через телефонную линию. Это даст скорость, которая достаточна для организации обмена файлами небольших размеров и доступа к почтовому серверу. Конечно, следует иметь в виду, что при наших телефонных линиях надежность канала может оказаться недостаточной для передачи критических данных. В любом случае качество телефонной линии можно проверить очень быстро — нужно лишь иметь под рукой два модема. И если вас удовлетворят параметры связи, можно неплохо сэкономить как на стоимости оборудования, так и на цене подключения и ежемесячной абонентской плате. В этой статье мы расскажем сетевым администраторам, как реализовать указанное решение с минимальными затратами.
Подключение по телефонной линии
Итак, перед вами стоит задача — соединить две локальные сети по телефонной линии. Что для этого нужно? Естественно, два модема. Желательно также, чтобы они были от одного производителя, а еще лучше — одной модели. Кроме того, в центральном офисе должен стоять сервер доступа, который будет обеспечивать идентификацию пользователей, пытающихся получить доступ к сети через модем. Сервером доступа может быть как маршрутизатор со специальной операционной системой, так и иной программный продукт, например RRAS (Routing & Remote Access Services — маршрутизация и сервис удаленного доступа), входящий в стандартную поставку Windows 2000 Server. Если у вас уже установлен Windows NT или Windows 2000, то логично сделать сервер доступа с использованием вышеуказанного программного продукта.
Теперь разберемся с оборудованием удаленного офиса. Для того чтобы подключить всю сеть, вам потребуется устройство, которое будет дозваниваться до сервера доступа, идентифицировать себя, а затем вместе с модемом участвовать в передаче данных. Роль такого устройства может играть недорогой маршрутизатор с асинхронным интерфейсом или, опять же, программный продукт типа RRAS. Какой вариант выбрать, зависит от вас. У каждого решения есть свои плюсы и минусы, на которых мы остановимся поподробнее.
В случае маршрутизатора достаточно провести один раз настройку, потратив на это полчаса. Но поскольку не все имеют опыт работы с подобными сетевыми устройствами, процесс может затянуться на время, необходимое для изучения документации. К тому же потребуются дополнительные средства на приобретение маршрутизатора.
Если же вы выбрали программу, необходимо выделить дополнительный компьютер, скорее всего сервер. После этого потребуется установить на него операционную систему, а затем программу, обеспечивающую маршрутизацию и дозвон до центрального офиса. Данное решение потребует дополнительных затрат на сервер и операционную систему. Кроме того, оно более ресурсоемкое для администратора, по сравнению с вариантом, в котором используется маршрутизатор. Однако если в удаленном офисе уже стоит сервер, то это решение может оказаться предпочтительным.
На рис. 1 приведена схема подключения удаленного офиса.
Итак, вы имеете в центральном офисе модем и сервер доступа, реализованный с помощью программного продукта RRAS фирмы Microsoft, установленного на операционной системе Windows 2000 Server. В удаленном офисе — такой же модем и маршрутизатор.
Оборудование удаленного офиса
Теперь перейдем к выбору маршрутизатора для удаленного офиса. Какие требования следует предъявлять к этому устройству?
Во-первых, маршрутизатор должен иметь асинхронный порт для подключения к нему модема или иметь модем внутри себя. Во-вторых, он должен иметь порт с разъемом RJ-45 для подключения к локальной сети Ethernet. В- третьих, это устройство должно быть дешевым. И наконец, в-четвертых, желательно, чтобы на нем был реализован протокол DHCP — во избежание настройки протокола TCP/IP на каждом клиентском компьютере.
Мы решили сделать тестовую инсталляцию. В качестве модема был выбран продукт фирмы ZyXEL — Omni 56K, а в качестве маршрутизатора было решено попробовать два продукта: Prestige 100MH (также от ZyXEL) со встроенным модемом и Cisco 805. Цены на данное оборудование представлены в табл. 1.
Маршрутизатор ZyXEL Prestige 100MH позиционируется как устройство SOHO (Small Office Home Office) и представляет собой законченное решение для подключения удаленного офиса к центральному офису или к Интернету через телефонную линию. Он включает в себя четырехпортовый концентратор и модем, работающий со скоростью до 56 Кбит/с. Такое сочетание позволяет в кратчайшие сроки провести все установочные работы. Кроме того, данное устройство поддерживает протокол RIP-2 для маршрутизации IP-пакетов, протокол DHCP для автоматической настройки протокола IP подключаемых к нему компьютеров и NAT (Network Address Translation — трансляция сетевых адресов), что позволяет использовать меньшее количество внешних IP-адресов и усиливает безопасность.
Настройка маршрутизатора осуществляется через COM-порт компьютера. Нужно всего лишь выбрать необходимый пункт меню и, возможно, затем ввести с клавиатуры какую-либо дополнительную информацию, например IP адрес. Поэтому даже неопытный пользователь способен за довольно короткий промежуток времени настроить данное устройство, изучив документацию, в которой все действия расписаны буквально по шагам (в том числе и для случая соединения двух сетей). Меню, с помощью которого администратор настраивает маршрутизатор, изображено на рис. 2.
Весь процесс настройки делится на три части. Сначала необходимо настроить модем (меню 2): задать ему строку инициализации, указать, как звонить (тоном или пульсом), и задать временной интервал, за который должно быть установлено соединение. Все необходимые (и наиболее подходящие для наших телефонных линий) параметры изображены на рис. 3.
Затем с помощью меню 4 и 11 надо указать маршрутизатору, куда и как звонить. Меню 4 позволяет создать узел дозвона, при этом задается номер, который будет набираться. Более детальная настройка, необходимая в нашем случае, требует использования пункта меню 11. Наконец, последнее, что надо сделать, — настроить протокол IP из пункта меню 3. Все настройки логичны и проводятся быстро и легко.
Маршрутизатор Cisco 805 также предназначен для небольших офисов, однако в отличие от Prestige 100MH имеет синхронный/асинхронный порт, который можно подключать при помощи модемов и специальных кабелей не только к телефонным линиям, но и к другим средам передачи данных, например Frame Relay или ISDN. Данный порт может работать со скоростью до 512 Кбит/с, поэтому данное устройство можно брать с прицелом на будущее, если предполагается дальнейшее расширение офиса.
Как и Prestige 100MH, Cisco 805 поддерживает протоколы RIP-2, DHCP и NAT. Кроме того, можно фильтровать входной/выходной трафик, а при наличии дополнительного софта данное устройство может выполнять функции firewall.
Настройка маршрутизатора осуществляется с консоли при помощи специальных команд, подробно описанных в документации. Существует и программа Cisco QuickStart, которая задает пользователю несколько вопросов по топологии сети и после этого автоматически создает файл конфигурации. Однако данный продукт не умеет настраивать устройство для нашего случая, поэтому конфигурировать маршрутизатор все же придется вручную.
В комплект с маршрутизатором входит достаточно полная документация, где приведены примеры настройки и для описываемой ситуации — соединения двух сетей. Поэтому любому сетевому администратору не составит труда правильно сконфигурировать представленное устройство, при условии что он имеет опыт работы с Cisco IOS — операционной системой, работающей на маршрутизаторе.
В обоих маршрутизаторах поддерживается два вида инициирования дозвона до главного офиса. Первый — DDR (Dial on Demand Routing), когда маршрутизатор автоматически инициирует звонки, как того требуют передающие станции пользователей. Если в течение некоторого промежутка времени, задаваемого администратором, не было ни передано, ни получено ни одного пакета с данными, то сессия прекращается и модем «вешает трубку». Данный способ связи позволяет экономить средства при аренде дорогостоящих линий, однако время отзыва при первом запросе существенно увеличивается.
Второй вид — постоянный дозвон после включения маршрутизатора, то есть маршрутизатор будет пытаться установить соединение с противоположной стороной сразу после своего включения. Таким образом, линия всегда занята независимо от потребностей пользователей. Однако в отличие от DDR, не возникает видимой задержки после первого запроса (посланного другой стороне пакета с данными).
Настройка оборудования главного офиса
А теперь перейдем к действиям, которые следует произвести в главном офисе. Самое главное — это настроить RRAS, поставляемый фирмой Microsoft вместе с MS Windows 2000 Server. Данный продукт позволяет организовать доступ удаленных пользователей к сети, в которой он работает. Очень часто RRAS используют для удаленного доступа одного пользователя через модем (dial-up-соединение). Тогда данный пользователь после аутентификации получает от сервера доступа IP-адрес, и далее процесс работы для него выглядит точно также, как если бы он использовал компьютер, находящийся в этой же сети.
Существует также возможность организовать подключение через модем и целой сети, со своими собственными IP-адресами. Для того чтобы сервер «понял», что ему звонит не обычный пользователь, а маршрутизатор, к которому подключена другая сеть, нужно создать интерфейс дозвона. Это означает создать такой же интерфейс, как в ситуации, когда звонок инициируется самим сервером. Когда на RRAS приходит звонок, сервер сначала просматривает все подобные интерфейсы и если находит такой интерфейс с именем пользователя, от которого поступил звонок, то считает, что звонок поступает от маршрутизатора.
Настройка RRAS происходит из утилиты MMC (Microsoft Management Console), для которой существует специальное средство расширения (plug-in). Весь процесс показан на рис. 4.
Прежде всего необходимо создать на вашем сервере интерфейс дозвона. Для этого в дереве, представляющем сервер (на рисунке слева), необходимо раскрыть «ветку» IP Routing (маршрутизация IP), а в ней «лист» General (Общие). Затем в контекстном меню, появляющемся после нажатия левой кнопки мыши, выбрать пункт New Interface (Новый интерфейс). В появившемся диалоговом окне необходимо выбрать интерфейс (в данном случае это модем, который подсоединен к серверу).
Чтобы создать интерфейс дозвона для описываемого случая, необходимо выбрать в дереве, представляющем ваш сервер, список Routing Interfaces (Интерфейсы маршрутизации). После этого в контекстном меню выбрать (New Dial-Demand Interface) (Новый интерфейс дозвона по требованию). Далее Wizard с помощью ряда диалоговых окон поможет правильно настроить данный интерфейс.
После создания интерфейса дозвона следует создать пользователя с именем, совпадающим с именем интерфейса. Это нужно для того, чтобы сервер мог проводить аутентификацию входящих звонков. Пароль данного пользователя должен совпадать с паролем, введенным на маршрутизаторе удаленного офиса.
Заключение
Как вы, наверное, убедились, метод подключения удаленного офиса через телефонную линию может сэкономить немало средств и усилий при инсталляции. Конечно, в некоторых случаях из-за неудовлетворительного качества канала связи данный способ может оказаться непригодным. Однако это всегда легко проверить, организовав временное соединение между двумя модемами. Скорость передачи данных (до 56 Кбит/с при наличии цифровой АТС и до 33,6 Кбит/с при аналоговой) сравнима со средним выделенным каналом в 64 Кбит/с и вполне достаточна для передачи небольших файлов и доступа к почтовым серверам.
Кроме того, данное решение можно использовать как временное, которое можно быстро развернуть в случае, когда выделенная линия еще не проведена, а сотрудники уже переехали в удаленный офис.
Также следует отметить, что оба протестированных маршрутизатора можно использовать для достижения поставленной нами цели, но продукт от фирмы ZyXEL лучше подходит для офисов, где имеется 3-4 компьютера и не предполагается дальнейшего расширения. Маршрутизатор же фирмы Cisco более гибок, так что его можно посоветовать как временное решение для компаний, планирующих скорое расширение удаленного офиса до 10-20 машин.
Дополнительная экономия достигается еще и за счет использования программного RRAS вместо маршрутизатора. Этот продукт Microsoft хорошо работал с протестированными нами маршрутизаторами фирм ZyXEL и Cisco.
Таким образом, как можно увидеть из табл. 2, компания может обеспечить подключение удаленного офиса всего за 450 долл., потеряв при этом на настройку оборудования не больше одного человеко-дня.
Указанные в таблице цены на выделенные каналы («последняя миля» — оптическое волокно) взяты с Web-сервера фирмы «Комкор» в Москве: http://www.comcor.ru/tax_vyd.html, на подключение к Интернету по выделенной линии — с Web-сервера «Комкор» в Москве: http://www.comcor.ru/tax_inet1.html. Также следует учесть, что при подключении к Интернету придется платить за трафик; цены фирмы «Комкор» можно посмотреть по адресу: http://www.comcor.ru/tax_inet2.html.
КомпьютерПресс 9'2001