Михаил Шойхер
Рано или поздно перед любой организацией, в которой Internet используют более 2 - 3 человек, встает вопрос: не лучше ли вместо раздачи каждому, кому нужен доступ в Internet, модема и покупки отдельной подписки у провайдера объединить компьютеры в локальную сеть (впрочем, практически все офисы хотя бы с 5 - 10 компьютерами такую сеть уже имеют) и подключить к Internet локальную сеть целиком.
При подключении локальной сети к Internet встают три основные проблемы: организация канала между клиентом и провайдером, подключение локальной сети к каналу и установка сервера для предоставления Internet-сервиса (почта, Web, сервер имен и т.д.)
Организация канала
Одна из главных проблем при подключении локальной сети к Internet - установка физического канала передачи данных до провайдера.
Можно организовать канал по обычной телефонной линии с помощью модема. Простейший вариант - постоянное подключение по коммутируемой телефонной линии. При этом программа установки соединения настраивается на автоматическое восстановление соединения (перезванивание) в случае разрыва. Чуть более сложный вариант - установка соединения при необходимости (dial on demand). При этом программа установки соединения настраивается на автоматическое установление соединения в случае появления исходящих IP-пакетов (например, пользователь запустил Web-браузер и выдал запрос к какому-нибудь узлу Web). Это соединение будет поддерживаться, пока идет обмен пакетами с Internet и какое-то время после его прекращения. Все параметры, в том числе и категории пакетов, для которых надо и не надо устанавливать соединение, настраиваются.
Плюсы подключения по обычным коммутируемым телефонным линиям очевидны - не требуется дополнительного дорогостоящего оборудования, только модем, включенный в последовательный порт компьютера. Минусы тоже понятны - пропускная способность ограничена скоростью телефонных модемов и качеством линии (т. е., обычно 33 600 бит/с и меньше, редко, при использовании протоколов типа X2 или K56flex, можно добиться лучших результатов). Да и введение повременной оплаты телефонных звонков делает такое подключение весьма дорогим, даже при использовании dial on demand.
Разновидностью подключения по коммутируемым линиям можно считать ISDN. ISDN был разработан для замены обычного аналогового телефона цифровым, умеющим кроме голосовой передавать и другую информацию (что получило отражение в названии как “интеграция сервисов”). Обычно ISDN предоставляется в виде двух так называемых BRI-каналов по 64 кбит каждый и канала управления. BRI-каналы можно использовать для передачи голоса или данных, в том числе для подключения к Internet. При подключении через ISDN скорость существенно выше, чем у обычного аналогового телефонного модема (до 128 кбит/с), но и сами ISDN-линии пока гораздо дороже, чем обычные телефонные, и возможность установить их имеется далеко не везде. С другой стороны, многие телефонные операторы, предоставляющие услуги ISDN, снижают оплату, если ISDN-соединение используется в режиме “точка - точка”, т. е., например, только между клиентом и провайдером.
Конечно, пропускной способности канала при подключении через обычный телефонный модем будет не хватать для более-менее крупной локальной сети, а использование ISDN возможно и экономически оправдано далеко не везде. Поэтому чаще всего для подключения локальных сетей к Internet используют выделенные линии. Выделенные линии можно грубо разделить на три категории - телефонные, физические и цифровые.
Выделенные телефонные линии (также называемые выделенными линиями ТЧ) - это просто телефонные линии с заранее установленным соединением. По ним работают обычные телефонные модемы, эти линии также проходят через обычное телефонное оборудование. Все отличие только в том, что для соединения не надо набирать номер, соединение устанавливается телефонным оператором раз и навсегда. Пропускная способность этих линий также ограничена скоростью телефонных модемов (до 33 600 бит/с), и применяют их, как правило, для организации сравнительно дешевых каналов на большие расстояния, используя имеющиеся у телефонных компаний междугородние линии.
Физические выделенные линии для подключения к Internet широко распространены в городах. Физическая выделенная линия представляет собой просто пару или несколько пар проводов между двумя точками (в данном случае между клиентом и провайдером). В такой выделенной линии скорость передачи ограничена только ее физическими свойствами и тем условием, что передача информации по одной паре не должна мешать передаче по соседней паре в кабеле.
Для работы по физическим выделенным линиям используют специальные модемы Short Range Modems (SRM). Некоторые телефонные модемы также могут работать по физическим выделенным линиям, но в данном режиме они обычно неэффективны.
Скорость работы SRM варьируется от 19,2 кбит/с до 2 Мбит/с. Чаще всего пока применяют SRM на 64 и 128 кбит/с. В последнее время широко развиваются технологии высокоскоростных SRM - HDSL и ADSL (эта технология использует несимметричный канал, при котором скорость передачи информации к клиенту существенно выше, чем от него). Стоимость SRM в зависимости от скорости и дальности работы может варьироваться от $100 до $3000.
Обычно установка физической выделенной линии не очень дорога - около $1000, а ежемесячная арендная плата не превышает $100. Но организация такой линии возможна только при наличии уже проложенных свободных пар как у клиента, так и у провайдера и между ними. В этом случае процесс сводится к их соединению (“кроссированию”) телефонной компанией. Если же свободных пар в уже проложенных кабелях нет, то придется оплачивать прокладку новых, а это резко удорожает установку выделенной линии.
Основная проблема при установке физической выделенной линии, кроме возможного отсутствия свободных пар, - получение удовлетворительных характеристик. Для всех SRM существуют таблицы максимальной дальности работы. Для SRM на 64 - 128 кбит/с эта дальность (т. е. максимальная длина выделенной линии) составляет 5 - 7 км. Обязательно обратите внимание на толщину проводов, для которых приведена дальность в таблице. В России, как правило, провода имеют диаметр 0,4 мм, в то время как в таблицах часто указаны данные только для проводов 0,5 мм и толще. Естественно, чем провод тоньше, тем выше в нем потери и меньше допустимая дальность. Имейте в виду, что длина выделенной линии в общем-то не всегда зависит от геометрического расстояния между двумя точками. Во-первых, она всегда больше, иногда значительно. Во-вторых, в связи с тем что физические выделенные линии собирают из свободных пар в уже проложенных кабелях, могут быть самые различные аномалии, например длина выделенной линии между двумя соседними домами может оказаться 5 - 10 км из-за того, что существующие кабели ведут от этих домов к разным АТС.
Кроме того, длина - далеко не единственный параметр физической выделенной линии. Так что вполне возможна ситуация, при которой по достаточно короткой выделенной линии не будут работать SRM из-за того, что какие-либо другие параметры линии вышли за границы нормы. Поэтому рекомендуется устанавливать выделенную линию только с условием, что перед ее приемом в эксплуатацию будет проверена работа модемов.
Этих недостатков лишены цифровые линии. Возможная пропускная способность такой линии совершенно не зависит от расстояния между точками. Дело в том, что оконечный участок цифровой линии (“последняя миля”) прокладывается только до точки присутствия канального оператора, т. е. между клиентом и ближайшей точкой, где установлено оборудование канального оператора. Между собой точки присутствия связаны высокоскоростной оптоволоконной сетью. У развитых канальных операторов точки присутствия в крупных городах расположены весьма густо, поэтому, скорее всего, рядом с клиентом такая точка найдется. Кроме того, большинство канальных операторов обеспечивают круглосуточный мониторинг своих каналов и быстрое восстановление в случае повреждения.
Конечно, за это приходится платить. Так как при выделении цифровых каналов используются ресурсы сети канального оператора, да и круглосуточная поддержка и мониторинг недешевы, цены на них существенно выше, чем на физические выделенные линии, и в Москве обычно составляют $300 - $700 в месяц за канал 64 кбит/с. Интересно, что стоимость канала растет нелинейно с увеличением пропускной способности, так, аренда цифрового канала с пропускной способностью в 2 Мбит/с (в 32 раза больше, чем 64 кбит/с) стоит не в 32, а всего в 2 - 3 раза дороже аренды 64 кбит/с канала. Из-за этого, если ваши потребности в телекоммуникациях не ограничиваются доступом в Internet, часто имеет смысл брать канал большей пропускной способности и использовать его для передачи разного вида трафика (например, кроме Internet пропустить некоторое количество телефонных линий в цифровом виде).
Довольно часто для доступа в Internet применяется радиоканал. Радиоканал обычно обеспечивается с помощью разного рода радиомодемов и радиомостов, работающих в диапазоне от сотен мегагерц до единиц гигагерц. Одни из них функционируют в режиме “точка - точка”, т. е. каждое соединение требует пары одинаковых устройств, между которыми обеспечивается связь, другие - в режиме многоточечного доступа, при этом одно устройство, установленное у провайдера, является центральным и обеспечивает создание множества радиоканалов для каждого клиента. Пропускная способность устройств радиодоступа также варьируется между 64 кбит и 2 Мбит/с. Дальность работы от сотен метров до десятков километров. Стоимость устройств для организации радиодоступа - $1000 - $7000, в зависимости от типа, пропускной способности и дальности работы.
Две главные проблемы при организации радиоканала - это получение разрешения на эксплуатацию и обеспечение прямой видимости.
Все радиопередающие устройства в России, кроме домашних радиотелефонов, игрушек и некоторых других, требуют оформления разрешения на использование. Кроме того, они должны работать в официально разрешенной полосе частот. Во многих случаях получение такого разрешения может быть крайне сложным, а то и просто невозможным. Работа же без разрешения чревата крупными штрафами и конфискацией аппаратуры. Во многих случаях фирмы, организующие радиоканалы, сами занимаются оформлением разрешений, взимая за это с клиентов некоторую плату.
Проблема с прямой видимостью также существенна для большинства типов устройств радиодоступа, так как радиоволны высоких частот распространяются практически только в условии прямой видимости между передатчиком и приемником, т. е. между концами радиоканала не должно находиться предметов и строений, отражающих и поглощающих радиоволны. Добиться же этого в условиях города весьма непросто.
Подключение локальной сети к каналу до провайдера
После того как вы организовали физический канал тем или иным образом, у вас появился некоторый порт, через который вы можете непосредственно соединиться с портом маршрутизатора провайдера. Теперь вам надо как-то обеспечить сопряжение этого порта и вашей локальной сети. То есть вам необходимо устройство, имеющее два порта ввода-вывода (в принятой в Internet терминологии “интерфейса”), один из которых будет включен в локальную сеть, а второй - соединен с каналом (точнее, со стоящим с вашей стороны оконечным устройством - модемом, радиомодемом, терминальным устройством цифровой линии и т. д.). Условно назовем это устройство маршрутизатором клиента, хотя подчас оно выполняет не прозрачную маршрутизацию IP-пакетов между локальной сетью и Internet, а представляет собой разграничивающий брандмауэр.
Существует два основных подхода к созданию клиентских маршрутизаторов. Первый - использование обычных PC-совместимых компьютеров с операционной системой, умеющей выполнять IP-маршрутизацию (Unix, Windows NT или специализированной, например PCRouter). Плюс данного подхода в том, что этот компьютер может кроме маршрутизации (в случае многозадачной ОС общего назначения типа Unix или Windows NT) выполнять и другие задачи.
Определенной проблемой применения PC-совместимых компьютеров является подключение оконечного канального оборудования. Проще всего подсоединить обычный асинхронный модем - все компьютеры имеют асинхронный последовательный порт, в который модем можно включить непосредственно. есть модели радиомостов, предоставляющие для подключения порт Ethernet, в этом случае все тоже несложно - достаточно вставить в компьютер еще один сетевой адаптер. Сложнее обстоят дела при подключении к оборудованию с синхронными последовательными портами (а такие порты имеют практически все SRM и оконечное оборудование цифровых линий). Вам потребуется специальная плата контроллера синхронного порта (обычно стоит $300 - $500). А для подключения к ISDN необходим ISDN-модем ($300 - $700). Если вы решили использовать контроллер синхронного порта, или внутренний ISDN-модем, или радиомодем, обязательно проверьте, имеются ли для них драйверы, поддерживающие ваши ОС.
Второй подход - применение специализированных аппаратных маршрутизаторов. Их основное достоинство - надежность. Аппаратные маршрутизаторы предназначены для долговременной необслуживаемой работы. Однажды подключив его к оконечному канальному оборудованию и локальной сети, вы не будете волноваться о том, что компьютер-маршрутизатор может зависнуть, на нем может выйти из строя жесткий диск или попавшая в вентилятор пыль остановит его и вызовет перегрев процессора. Стоимость аппаратного маршрутизатора в зависимости от производителя, возможностей, типа и количества интерфейсов обычно составляет $700 - $2500.
Подключение локальной сети с маршрутизацией
В этом случае ваша локальная сеть полностью становится частью Internet. Провайдер выделяет вам диапазон IP-адресов, которые вы присваиваете компьютерам. Эти адреса непосредственно принадлежат адресному пространству Internet, и любой компьютер с реальным адресом становится такой же полноправной машиной в Internet, как, например, www.microsoft.com. Маршрутизатор просто перенаправляет пакеты между каналом до провайдера и локальной сетью.
При всем удобстве подобная организация подключения имеет некоторые сложности. Во-первых, адреса являются ценным ресурсом в Internet и провайдеры выдают их весьма экономно и чаще всего за дополнительную плату. Использование же адресов от другого провайдера невозможно и, например, если вы захотите сменить провайдера, вам потребуется также полностью поменять IP-адреса в локальной сети. Во-вторых, то, что все машины становятся непосредственно доступными из Internet, повышает риск воздействия на них хакеров. Этот риск можно существенно снизить, включив фильтрацию IP-пакетов; большинство аппаратных и программных маршрутизаторов имеют возможность задания произвольных фильтров.
Подключение локальной сети через брандмауэр уровня приложения или трансляцию адресов
В таком варианте подключения используется только один реальный IP-адрес, полученный от провайдера. Всем компьютерам внутри локальной сети раздаются адреса, специально выделенные для сетей без доступа в Internet (например, из диапазона 192.168.0.0 - 192.168.255.255), а на программном или аппаратном маршрутизаторе все соединения от компьютеров с внутренними адресами транслируются в фиктивные соединения с компьютером, имеющим реальный адрес.
В этом случае вы можете использовать любое число адресов внутри вашей локальной сети совершенно бесплатно. Переход к другому провайдеру повлечет смену только одного адреса. Так как компьютеры внутри сети имеют недосягаемый из Internet адрес, доступ к ним затруднен. Да и доступ изнутри локальной сети в Internet может быть проконтролирован и ограничен.
Основная разница между трансляцией (иначе называемой NAT или “маскарадинг”) и сервером-посредником (proxy) состоит в уровне работы. При трансляции транслируются все TCP-соединения и адреса в дейтаграммах UDP. Сервер-посредник ведет трансляцию на уровне прикладных протоколов (например, http или ftp) и обеспечивает дополнительные возможности: более тонкое разграничение доступа и кэширование. Функция трансляции адресов имеется во многих современных аппаратных маршрутизаторах и некоммерческих версиях Unix. Для коммерческих же ОС программное обеспечение с функциями firewall и трансляции адресов, как правило, приходится приобретать отдельно.
У трансляции адресов или установки брандмауэра есть существенный недостаток - некоторые протоколы и сервисы не работают через трансляцию или брандмауэр или работают, но предоставляют не все возможности. Однако большинство распространенных протоколов в такой конфигурации работают без проблем.
Сервер Internet
Скорее всего, вам придется установить сервер, предоставляющий некоторые сервисы Internet. Практически всегда необходим почтовый сервер, который будет использоваться внутри вашей организации и для обмена электронной почтой с другими пользователями Internet по всему миру. Несмотря на то что провайдеры обычно предоставляют возможность создания виртуального Web-сервера и сервера DNS (сервер, осуществляющий перевод адресов в доменной форме в адреса IP), иногда удобнее устанавливать Web-сервер на территории клиента. А установка локального DNS-сервера ускоряет работу за счет кэширования информации о часто используемых адресах. Также полезна установка кэша http, кэширующего наиболее часто страницы web.
В некотором роде эталонной и все еще самой развитой платформой для сервера Internet являются Unix разных версий. Кроме того, это наиболее дешевое решение, так как имеются бесплатные версии как самой ОС (например, для IBM PC это Linux и FreeBSD), так и всех необходимых серверов (DNS, почтового, web и т. д.). То есть один CD-ROM за 100 руб. содержит все необходимое для создания сервера Internet. В последнее время все активнее на место Unix претендует Windows NT. Сейчас уже существует множество различных реализаций сервисов Internet для Windows NT, может быть, и не настолько развитых, как их аналоги для Unix, но вполне удовлетворяющих обычным требованиям для простого подключения офиса. Правда, создание сервера на Windows NT значительно дороже (если, конечно, платить за ПО), но обычно проще в эксплуатации для системного администратора невысокой квалификации.
Конечно, в данной статье основные проблемы, которые приходится решать при подключении к Internet локальной сети, рассмотрены довольно поверхностно и упрощенно. Оценивая различные варианты подключения, обязательно попросите провайдера рассказать, как он планирует решать эти проблемы, и подсчитать полную стоимость подключения, включая не только оплату канала и цену непосредственно подключения к Internet, но и аренды адресов, поддержки домена, web-узла и всех других услуг, предлагаемых провайдером.
К Михаилу Шойхеру можно обратиться по адресу: msh@corbina.net.
