1. Аппаратные и программные средства Университета «Синергия»
Университет «Синергия» имеет 43 компьютера, связанных между собой локальной вычислительной сетью.
Сетью охвачены только три корпуса: педагогический факультет, технический факультет, и главный корпус.
При такой структуре сети, любой запрос ресурса из интернет проходит следующую логическую цепочку:
1. Запрос из подсети корпуса к подчинённому маршрутизатору;
2. Запрос от подчинённого маршрутизатора к главному маршрутизатору;
3. Если это HTTP-запрос, то он переадресовывается к прокси-серверу 10.190.1.4;
4. Если результатов данного запроса нет в кэше прокси-сервера, то отправляем запрос прокси-сервером снова к главному маршрутизатору;
5. Пересылаем запрос на наш основной шлюз Инфоцентра;
6. Приходит ответ на HTTP-запрос на спутниковую тарелку;
7. Ответ пересылается на прокси сервер;
8. Прокси сервер пересылает ответ на главный маршрутизатор;
9. Главный маршрутизатор пересылает ответ на подчинённый маршрутизатор
10. Подчинённый маршрутизатор пересылает запрос на узел, запросивший данный ресурс.
Необходимо понимать, что логически вполне разные связи между 10.190.1.1 и 10.190.1.5,10.190.1.4, server на самом деле являются одной и то же физической линией связи между главным и техническом корпусами. Физически при этом она наиболее загружена, т.к. она реализована на технологии VDSL и имеет достаточно небольшую пропускную ширину канала — до 20 мбит/с. При этом, как показано выше, в связи с подобной реализацией маршрутизации пакетов между узлами внутренней сети, запрос и ответ для могли проходить по данному каналу связь до 4-х раз в разных направлениях, что естественно негативно отражалось на загруженности канала связи.
Именно по этой причине приходилось достаточно жёстко лимитировать загруженность этого канала обычным локальным трафиком между корпусами, т.к. его предельная загрузка в течении сколько бы то ни было длительного времени вылилась бы в невозможность нормальной работы в сети Интернет для сотрудников обоих корпусов.
Более того, при необходимости обеспечивать доступ из разных корпусов более чем к двум разным системным узлам (server и 10.190.1.4) возникает необходимость динамически делить ширину канала между ними и ограничивать максимальную его загрузку. Более того, на практике на канале шириной в 20 Мбит/с реальная достигаемая скорость составляет около 14-15 Мбит/с, что связано с особенностями реализации стандарта Ethernet.
По историческим причинам, доступ в сеть Интернет для пользователей университета организован с помощью системы «быстрого подключения» HotSpot, включённой в состав MikroTik Router OS [5].
Данная система представляет собой т. н. «прозрачную» прокси [8], пропускающую через себя весь трафик, исходящий от клиента. При HTTP-запросе от неавторизованного клиента его браузер перенаправляет на страничку логина/пароля. После авторизации пользователь сразу получает доступ к сети Интернет, ограниченный лишь настройками маршрутизатора.
Положительные моменты такой организации работы:
1. Не требуется приобретение и установка дополнительного ПО как на стороне сервера, так и на стороне клиента.
2. Не требуется никакой настройки оборудования клиента. Необходимо лишь иметь учётную запись, и быть подключённым к локальной сети.
3. Простота использования — достаточно всего лишь ввести свои учётные данные в форму, на которую пользователь будет перенаправлен при любой попытке получить доступ к сети Интернет.
4. Наличие встроенной системы биллинга на маршрутизаторе. Она позволяет ограничивать скорость доступа к сети Интернет у каждого из клиентов, учитывать как входящий, так и исходящий трафик, и ограничивать его потребление каждым из пользователей.
5. Наличие системы WalledGarden, позволяющей разрешать доступ к заданным ресурсам сети без авторизации в системе.
6. Возможность сменить типовое оформление на своё собственное, в формате HTML.
Проблемы при использовании HotSpot:
1. HotSpot ограничивает доступ не к Интернету, а к любой подсети, отличающейся от той, в которой находится пользователь. С помощью модуля Walled Garden можно разрешить использовать сервер локальной почты без регистрации в HotSpot. Но при этом, если пользователь войдёт в интернет, то на доступ ко всем локальным ресурсам (внутренний сайт, локальная электронная почта) будут накладываться те же ограничения, что и на доступ к сети Интернет. То есть, будет ограничиваться скорость работы с сетью, а также будет учитываться трафик. При этом в дальнейшем не будет возможности отделить действительно внешний трафик и локальный, засчитанный как внешний.
2. В силу реализации, учётные записи работают только на тех маршрутизаторах, на которых они созданы. При использовании же внешней RADIUS-авторизации [15] не будет работать встроенный подсчёт израсходованного трафика.
До работ по преобразованию сети, использовались следующие службы:
Для всех пользователей локальной сети:
1. Локальная POP3/SMTP электронная почта. Практически не использовалась
2. Корпоративный антивирус Dr. Web Enterprice Suite [10].
3. Прокси-сервер UserGate.
Дополнительно, для сотрудников технического центра:
1. FTP и SMB файлообменник на базе сервера
Каких-либо утилит по мониторингу состояния локальной сети, альтернативному биллингу затраченного трафика не использовалось.
Остальные части данного отчета по практике: