5. Повышение роли удаленного доступа и глобальных связей в корпоративных сетях
В развитии средств удаленного доступа к ресурсам корпоративной сети можно выделить несколько основных тенденций:
- Стандартизация. На смену фирменным решениям, отличающимся использованием собственных протоколов передачи данных по телефонным сетям, своих методов аутентификации удаленных пользователей и оригинальными способами предоставления ресурсов центральной сети пришли системы, в которых работает все больше стандартных компонент: протокол передачи данных PPP, джентельментский набор средств аутентификации - с помощью протокола CHAP и систем RADIUS, Kerberos, NovellNDS или MicrosoftDirectoryServices, предоставление информационных ресурсов удаленным пользователям с помощью службы Web или с помощью тех же сервисов, которые работают и в локальной сети. Это процесс облегчает взаимодействие серверов удаленного доступа с клиентами и сетевыми операционными системами, работающими в локальной сети. Хотя до полной стандартизации еще далеко (она, как всегда, является скорее целью, а не состоянием), за последние несколько лет ситуация изменилась коренным образом. Три года назад сервер NetWareConnect 1.0 использовал свою версию протокола PPP, сервер RAS компании Microsoft передавал данные по фирменному протоколу AsynBEUI, а клиентские программы компании Shiva могли связаться только со своим сервером.
- Повышение скорости доступа. Основные усилия операторов телекоммуникационных сервисов сегодня направлены на преодоление для массовых пользователей барьера в 33.6 Кб/c, накладываемого аналоговыми модемами. Наиболее доступное на сегодня решение - использование сетей ISDN, но с ним конкурируют также новые методы передачи данных по кабельным системам последней мили - технологии х2, Flex56, xDSL.
- Использование Internet для удешевления междугородного и международного доступа. Схема "местная телефонная сеть - Internet - корпоративная сеть" может резко удешевить доступ по сравнению с использованием схемы "междугородная/ международная телефонная сеть - корпоративная сеть".
- Интегрированная обработка вызовов от аналоговых и цифровых абонентов в серверах удаленного доступа.
5.1. Многообразие видов и схем удаленного доступа
5.1.1. Обзор сервисов удаленного доступа
Удаленный доступ - очень широкое понятие, которое включает в себя различные типы и варианты взаимодействия компьютеров, сетей и приложений. Если рассматривать все многочисленные схемы взаимодействия, которые обычно относят к удаленному доступу, то всем им присуще использование глобальных каналов или глобальных сетей при взаимодействии. Кроме того, для удаленного доступа, как правило, характерна несимметричность взаимодействия, когда с одной стороны имеется центральная крупная сеть или центральный компьютер, а с другой - отдельный удаленный терминал, компьютер или небольшая сеть, которые хотят получить доступ к информационным ресурсам центральной сети. Количество удаленных от центральной сети узлов и сетей, которым необходим этот доступ, постоянно растет, поэтому современные средства удаленного доступа рассчитаны на поддержку большого количества удаленных клиентов.
Типы взаимодействующих систем
На рисунке 5.1 приведены основные схемы удаленного доступа, отличающиеся типом взаимодействующих систем:
- терминал-компьютер (1);
- компьютер-компьютер (2);
- компьютер-сеть (3);
- сеть-сеть (4).
Первые три вида удаленного доступа часто объединяют понятием индивидуального доступа, а схемы доступа сеть-сеть иногда делят на два класса - ROBO и SOHO. Класс ROBO (RegionalOffice/BranchOffice) соответствует случаю подключения к центральной сети сетей средних размеров - сетей региональных подразделений предприятия, а классу SOHO (SmallOffice/HomeOffice) соответствует случай удаленного доступа сетей небольших офисов и домашних сетей.
Типы предоставляемого сервиса
Схемы удаленного доступа могут отличаться также и типом сервиса, который предоставляется удаленному клиенту. Наиболее часто используется удаленный доступ к файлам, базам данных, принтерам, обмен с центральной сетью сообщениями электронной почты или факсами.
Рис. 5.1. Общая схема удаленного доступа
Терминальный доступ
Особое место среди всех видов удаленного доступа к компьютеру занимает способ, при котором пользователь получает возможность удаленно работать с компьютером таким же способом, как если бы он управлял им с помощью локально подключенного терминала. В этом режиме он может запускать на выполнение программы на удаленном компьютере и видеть результаты их выполнения. При этом принято подразделять такой способ доступа на терминальный доступ и удаленное управление. Хотя это близкие режимы работы, но в описании продуктов удаленного доступа их не принято объединять в один класс. Обычно под терминальным доступом понимают символьный режим работы пользователя с удаленными многопользовательскими ОС - Unix, VAXVMS, ОС мейнфреймов IBM. В класс удаленного управления включают программы эмуляции графического экрана ОС персональных компьютеров - в первую очередь разных версий Windows.
Если у удаленного пользователя в распоряжении имеется только неинтеллектуальный алфавитно-цифровой терминал (вариант 1 на рисунке 5.1), или же он запускает на своем персональном компьютере программу эмуляции такого терминала (например, Term90 из утилит NortomCommander, или же программу Terminal из утилит Windows 3.1), то это и есть терминальный доступ. Весь протокол взаимодействия верхнего уровня отрабатывает сам пользователь - он набирает на клавиатуре команды управления удаленной ОС и отвечает на ее запросы. Телефонная сеть или сеть Х.25 передает потоки символов между терминалом и компьютером. Для владельца алфавитно-цифрового терминала, например VT-100, этот вид удаленного доступа является единственно возможным.
Однако самый простой вариант терминального доступа требует, чтобы компьютер центрального подразделения предприятия был непосредственно подключен к территориальной сети, с помощью которой осуществляется доступ, то есть к телефонной сети или сети Х.25. Сейчас такое подключение используется все реже, так как в подавляющем числе случаев компьютеры объединяются в локальную сеть, работающую по протоколам Ethernet, TokenRing или FDDI на канальном уровне и IP, IPX, NetBIOS на верхних транспортных уровнях.
Многие производители операционных систем предусмотрели в своих стеках протоколов средства терминального доступа пользователей к компьютерам по сети. Эти средства позволяют пользователю, работающему за компьютером, подключенным к сети, превратить экран своего монитора в эмулятор терминала другого компьютера, также подключенного к сети. Наиболее популярным средством такого типа является протокол telnet стека TCP/IP, получившего свое рождение с рамках операционной системы Unix и с тех пор неразрывно с ней связанного.
В других популярных многопользовательских операционных системах, поддерживающих работу в локальной сети, также имеются протоколы эмуляции терминала по сети, подобные telnet. В локальных сетях SNA это протокол TN3270, в сетях DECnet - протокол LAT.
При удаленном доступе пользователей к компьютерам, работающим в сети под управлением многопользовательских операционных систем, поддерживающих протоколы telnet, LAT или TN3270, можно освободить этих пользователей от необходимости реализовывать на своих компьютерах клиентские части этих протоколов.
Устройство, называемое терминальным сервером, позволяет удаленным пользователям, работающим или непосредственно с алфавитно-цифровыми терминалами, или же эмулирующими их программно на своих персональных компьютерах, получать доступ к любому компьютеру сети, выполняющему серверную часть протокола эмуляции терминала по локальной сети.
На рисунке 5.2 показан пример применения терминального сервера для доступа к компьютерам сети, являющимися серверами telnet. На терминальном сервере работает клиентская часть протокола telnet. Для каждого пользователя, позвонившего на терминальный сервер, запускается своя реализация клиента telnet. Этот клиент принимает через модемное соединение коды нажатия клавиш от терминала или эмулятора терминала пользователя, а затем передает их в соответствии с протоколом telnet по локальной сети в нужный telnet-сервер. Аналогичным образом терминальный сервер передает затем символы, которые нужно отобразить на экране, через модемное соединение удаленному терминалу.
Как видно из описания, терминальный сервер выполняет роль многопользовательского шлюза, который принимает данные по протоколу модемной сессии, а передает их по протоколам локальной сети.
Рис. 5.2. Организация терминального доступа с помощью терминального сервера
Аналогичным образом терминальный сервер работает и по другим протоколам эмуляции терминала, подобным LAT или TN3270.
Удаленный узел
В отличие от систем терминального доступа, превращающих компьютер пользователя в эмулятор экрана центрального компьютера, средства поддержки режима удаленного узла (remotenode) делают вызывающую машину (ПК, Macintosh или рабочую станцию Unix) полноправным членом локальной сети. Это достигается за счет того, что на удаленном компьютере работает тот же стек протоколов, что и в компьютерах центральной локальной сети, за исключением протоколов канального и физического уровня. На этом уровне вместо традиционных протоколов Ethernet или TokenRing работают модемные протоколы (физический уровень) и канальные протоколы соединений "точка-точка", такие как SLIP, HDLC или PPP. Эти протоколы используются для передачи по телефонным сетям пакетов сетевого и других протоколов верхних уровней. Таким образом осуществляется полноценная связь удаленного узла с остальными узлами сети (рисунок 5.3).
Сервис удаленного узла обеспечивает этому узлу транспортное соединение с локальной сетью, поэтому на удаленном узле могут использоваться все те сервисы, которые доступны локальным клиентам сети, например, файл-сервис NetWare, сервис telnet или X-Window ОС Unix, администрирование WindowsNT.
Рис. 5.3. Режим удаленного узла для маршрутизируемого протокола
Основное отличие удаленного узла от локальных - низкая скорость сетевого обмена - от 9.6 до 28.8 Кб/с по сравнению с 10 Мб/с или 100Мб/с в локальной сети. Такое существенное снижение скорости обмена делает проблематичным работу многих приложений, которые были написаны в расчете на работу по локальной сети. Из-за этого, желательно на удаленном узле использовать приложения, написанные в архитектуре клиент-сервер, которые экономно расходуют полосу пропускания. Неплохо работают на удаленных низкоскоростных связях клиенты SQL-серверов баз данных, которые получают от сервера по сети только найденные записи из базы, а вот клиенты СУБД архитектуры файл-сервер, например, dBase или Clarion, вряд ли смогут нормально работать при схеме удаленного узла, так как они переписывают на клиентский компьютер файлы базы данных, а затем их локально обрабатывают.
Хорошо работают в схеме удаленного узла Internet-браузеры, так как прикладной протокол HTTP, по которому просматривают страницы на Web-серверах, написан специально в расчете на работу по низкоскоростным каналам связи.
Удаленное управление
Наибольшие сложности вызывает удаленное управление популярными настольными операционными системами, такими как Windows 3.1, OS/2 или DOS. Это связано с тем, что для этих систем нет стандартного протокола эмуляции терминала, подобного telnet или X-Window для Unix, или LAT для VAXVMS. С другой стороны, эти операционные системы наиболее знакомы конечному пользователю и ему хотелось бы использовать привычный графический интерфейс Windows при управлении удаленным хостом.
В связи с этим имеется очень много нестандартных разработок систем удаленного управления, поддерживающих эмуляцию графического экрана популярных настольных операционных систем. Большая часть этих разработок ориентирована на эмуляцию интерфейса Windows, как наиболее популярной настольной операционной системы.
При удаленном управлении хостом с операционной системой, поддерживающей свой протокол эмуляции терминала по сети, например Unix, имеющей протокол telnet для эмуляции алфавитно-цифрового режима и протокол X-Window для эмуляции графического оконного режима, особых проблем у пользователей не возникает. Так как эмулятор терминала - это стандартное клиентское приложение, то достаточно реализовать схему удаленного узла, а затем запустить эмулятор терминала. Результатом будет удаленное управление хостом, который работает с соответствующей операционной системой.
Для эмуляции среды операционной системы Windows необходимо приобрести дополнительные программные средства, которые включают как клиентскую, так и серверную части программы эмуляции терминала. Ввиду нестандартности решений для эмуляции графической среды Windows термин "удаленное управление" часто используется исключительно для обозначения этого варианта систем удавленного доступа.
Каждый поставщик системы удаленного управления разработал собственные методы передачи сигналов клавиатуры и мыши, а также видеоизображения, хотя при работе в ЛВС могут использоваться в качестве транспортных средств одни и те же стандартные протоколы, такие как IP, IPX и NetBEUI. Фирменные методы разработаны для увеличения быстродействия средств удаленного управления. Поскольку передача сигналов клавиатуры и мыши, а также видеоизображения не требует большой пропускной способности канала связи, производительность средств удаленного управления, использующих медленные коммутируемые линии, оказывается вполне приемлемой. Большинство поставщиков для повышения производительности этих средств применяют также сжатие и кэширование данных.
5.1.2. Требования к скорости глобальных связей для различных классов приложений
Выбор пропускной способности канала, соединяющего удаленных пользователей с корпоративной сетью - это всегда компромисс между пропускной способностью, необходимой для нормальной работы приложений и стоимостью того или иного типа глобального сервиса.
На следующей диаграмме (рисунок 5.4) показаны минимальные требования различных типов приложений к пропускной способности каналов связи. При выполнении этих требований гарантируется удовлетворительная работа приложений. При меньшей пропускной способности канала пользователь должен будет проявлять большую выдержку при ожидании появления на экране очередных результатов работы программы.
Рис. 5.4.
5.1.3. Комбинирование доступа через телефонные сети, Internet и сети с коммутацией пакетов
Публичные сети с коммутацией пакетов (Х.25, framerelay, ATM, Internet) чаще всего используются предприятиями для подключения к центральной сети удаленных сетей крупных филиалов, так как затраты на подключение одной удаленной сети в этом случае оказываются существенно выше, чем при использовании телефонной сети. Эти затраты определяются как стоимостью самого сервиса, так и стоимостью выделенного канала, используемого для подключения маршрутизатора удаленной сети к коммутатору провайдера услуг.
Однако, если сервис сети с коммутацией пакетов имеется в том городе, где расположены отдельные удаленные пользователи, то использование такой сети может значительно удешевить доступ по сравнению с подключением через междугородные АТС.
Обычно экономия происходит за счет перехода от междугородных (или международных) звонков к местным. Если провайдер сети с коммутацией пакетов поддерживает доступ по коммутируемым телефонным сетям, то непосредственный доступ к серверу, установленному в центральной сети, находящейся в другом городе, заменяется звонком на сервер удаленного доступа местного провайдера (рисунок 5.5).
Рис. 5.5. Подключение удаленных пользователей через промежуточную публичную сеть с коммутацией пакетов
Центральная сеть предприятия обычно непосредственно подключается к той же сети с коммутацией пакетов, что и удаленные пользователи в других городах, используя выделенный канал.
Стандартизация клиентов удаленного доступа на основе протоколов PPP и SLIP упрощает проблемы обслуживания разнородных пользователей одним провайдеров для случая использования сети Internet как промежуточной. Для сетей Х.25 протоколы взаимодействия сети офиса с сетью провайдера также вполне определены, хотя иногда наблюдаются случаи различной настройки одного и того же протокола в оборудовании и программном обеспечении клиента и провайдера.
Особенно ощутимой может быть выгода при использовании в качестве промежуточного транспорта сети Internet, так как расценки Internet-провайдеров намного ниже, чем провайдеров сетей Х.25. Это обстоятельство является не последней причиной бурного распространения технологии intranet, использующей транспортные и информационные сервисы Internet для внутрикорпоративных нужд.
5.2. Новые транспортные технологии удаленного доступа
5.2.1. Возможности сетей ISDN для удаленного доступа. Обзор оборудования доступа, поддерживающего ISDN
Сети ISDN обладают многими свойствами, делающими их привлекательными для организации удаленного доступа:
- Сравнительно высокая скорость на основном пользовательском интерфейсе. Два канала типа B обычно используются в режиме инверсного мультиплексирования, когда общий поток данных расщепляется на несколько каналов, которые впоследствии опять сливаются в один поток в пункте назначения. Большая часть оборудования удаленного доступа поддерживает такую процедуру, что дает канал доступа со скоростью 128 Кб/c. Хотя некоторые типы приложений требуют более высоких скоростей - например, качественное видео. Для доступа сетей подразделений можно использовать более скоростной интерфейс PRI с скоростью 2 Мб/с.
- Низкий уровень помех, высокая скорость установления соединения - эти факторы повышают полезную пропускную способность каналов.
- Доступность для домашнего и мобильного пользователей. Так как ISDN предназначена для замены традиционной аналоговой телефонной сети, то при всеобщем переходе на ISDN у сетевых специалистов предприятия не должно быть проблем с подключением домашних компьютеров своих сотрудников к корпоративной сети через ISDN.
Правда, распространенность услуг ISDN пока оставляет желать лучшего. Об этом говорят следующие цифры (источник - IGIConsulting, Boston):
Страна | Общее число телефонных линий | Число линий BRI | Процент линий BRI |
Финляндия | 2 800 000 | 8 000 | 0.29% |
Франция | 31 600 000 | 1 500 000 | 4.75% |
Германия | 39 200 000 | 1 934 000 | 4.93 |
Италия | 24 500 000 | 100 000 | 0.41 |
Япония | 60 000 000 | 696 000 | 1.16 |
Норвегия | 2 400 000 | 4 500 | 0.19 |
Испания | 14 700 000 | 32 800 | 0.22 |
Швеция | 6 000 000 | 12 500 | 0.21 |
Швейцария | 4 300 000 | 120 000 | 2.8 |
Великобритания | 28 400 000 | 180 000 | 0.63 |
США | 157 000 000 | 720 000 | 0.46 |
ВСЕГО: | 370 900 000 | 5 307 800 | 1.42% |
Значит, при необходимости обеспечить доступ к корпоративной сети, даже в таких странах как Германия или Франция в 95% случаев сотруднику придется сначала подать заявку на подключение к сети ISDN и подождать своей очереди в течение нескольких недель (это в лучшем случае, в худшем может оказаться, что данный район пока не может быть подключен к сети ISDN из-за большого удаления от ближайшей АТС с функциями ISDN). Подобную процедуру не так давно описал Ник Липпис, который прошел через большое количество испытаний, даже живя в Нью-Йорке, пока его компьютер не заработал с нужными ему серверами Internet через сеть ISDN местного провайдера, который оказался далек от проблем использования ISDN для компьютерной связи.
Не такая уж большая фактическая распространенность ISDN и медленные темпы расширения присутствия этого средства связи в жилых домах привели к буму вокруг новых технологий высокоскоростного доступа ADSL и х2, описанных ниже.
Тем не менее, получить доступ к сети ISDN при некоторой настойчивости можно сегодня во многих странах, в том числе и в крупных городах России, поэтому рынок средств индивидуального компьютерного доступа к этим сетям переживает подъем.
Этот рынок делится на два класса устройств - терминальные адаптеры и индивидуальные маршрутизаторы. Терминальный адаптер - TA - реализуется обычно в виде платы, устанавливаемой в персональный компьютер и дающий ему возможность непосредственно подключиться к оконечному оборудованию линии ISDN, которое установил провайдер этой сети.
Индивидуальный маршрутизатор - это устройство, которое выполняет функции маршрутизатора, но имеет всего два порта - один для подключения небольшой локальной сети, а другой - для подключения непосредственно к линии ISDN с интерфейсом BRI. Как правило, такой маршрутизатор поддерживает только протокол IP (реже IP и IPX), удаленное управление по протоколу SNMP и стоит менее $1000.
При большом количестве домашних корпоративных пользователей имеет смысл подключать их не с помощью терминальных адаптеров, а с помощью индивидуальных маршрутизаторов, так как при этом у администратора сети появляется больше возможностей для контроля состояния пользовательского оборудования и удаленного его конфигурирования.
Маршрутизаторы серии OfficeConnectRemote компании 3Com
Маршрутизатор OfficeConnectRemote 510 имеет один интерфейс 10BaseT для подключения к локальной сети и один интерфейс ISDNBRI. Обеспечивает агрегирование двух каналов в общий канал 128 Кб/с. Поддерживает удаленное управление по SNMP.
Маршрутизируются протоколы IP и IPX, причем для IPX выполняется спуфинг широковещательного трафика, что значительно экономит затраты на оплату услуг сети ISDN. Обеспечивается компрессия данных с коэффициентом 8:1.
Маршрутизатор OfficeConnectRemote 520 имеет, кроме этого, еще один выходной аналоговый порт для передачи голоса, а маршрутизатор OfficeConnectRemote 530 - один дополнительный последовательный порт для передачи данных по интерфейсам X.21, RS-232 или V.35.
Маршрутизаторы данного типа могут использоваться как для соединения локальных сетей небольших офисов с корпоративной сетью, так и для подключения отдельных удаленных компьютеров. В последнем случае они заменяют описанные в разделе 4.4.9.1 адаптеры ISDN, обеспечивая более высокий уровень сервиса (за счет спуфинга) и управляемости (SNMP управление из центральной сети). Правда, при этом стоимость подключения отдельного компьютера возрастает, так как, во-первых, маршрутизатор дороже адаптера, а во вторых, для компьютера нужен, кроме маршрутизатора, еще и сетевой адаптер Ethernet.
Маршрутизаторы Cisco 700
Серия маршрутизаторов Cisco 700 предназначена для связи отдельных пользователей и небольших офисов с центральной сетью через сети ISDN. Эта серия включает 7 моделей маршрутизаторов.
Модель Cisco 761 имеет один интерфейс Ethernet и один интерфейс ISDNBRI.
Модель Cisco 762 отличается от предыдущей модели встроенным устройством NT1, необходимым для применения в Северной Америке.
Модель Cisco 761 имеет один интерфейс ISDN и один интерфейс ISDNBRI.
Модели Cisco 765 и Cisco 766 включают дополнительно два аналоговых телефонных интерфейса, с помощью которых обычные телефонные аппараты или факс-аппараты могут передавать свои данные по сети ISDN.
Модели Cisco 770 аналогичны моделям Cisco 760, но дополнительно включают 4-х портовый концентратор Ethernet. Кроме того, эти маршрутизаторы имеют на передней панели переключатель "CallConnect/Disconnect", с помощью которого они позволяют вручную производить набор номера или прерывать связь.
Все модели Cisco 700 снабжены программным обеспечением ClickStart, которое позволяет пользователям конфигурировать маршрутизаторы с помощью Web-браузера.
С маршрутизаторами серии 700 поставляются три специальных варианта программного обеспечения IOS-700:
- базовый вариант InternetReady поддерживает маршрутизацию только для протокола IP, причем таблица маршрутизации содержит не более 4-х записей;
- вариант SOHO маршрутизирует протоколы IP и IPX, но также только для 4-х записей;
- вариант RemoteOffice поддерживает протоколы IP, IPX и маршрутизирует их в сетях, содержащих до 1500 подсетей.
При назначении IP-адресов маршрутизаторы серии 700 могут выполнять роль посредника сервиса DHCP, а могут служить и серверами DHCP. Адреса IPX также могут назначаться динамически.
Маршрутизаторы серии 700 могут выполнять функции трансляции адресов и портов, скрывая внутреннюю сеть от Internet. Эта функция полезна и в целях экономии IP-адресов провайдера, так как все компьютеры внутренней сети офиса могут пользоваться единственным IP-адресом, назначенным провайдером маршрутизатору серии 700.
Назад |
Содержание |
Вперед