Простая офисная локальная сеть с подключением к Интернет
Рассмотрим типичный небольшой офис. Предположим, что в нем работают несколько менеджеров (пусть их будет три), секретарь, бухгалтер и директор. На каждом рабочем месте установлен компьютер, также в офисе есть один выделенный канал в интернет с постоянным реальным ip адресом (например 195.34.10.134) и доменное имя myoffice.ru.
Теперь определимся, что мы хотим сделать.
- объединить все компьютеры в локальную сеть (LAN);
- организовать печать со всех рабочих мест на сетевой принтер;
- подключить и настроить Интернет — канал;
- организовать доступ в Интернет со всех компьютеров локальной сети.;
- защитить локальную сеть от внешних вторжений;
- установить и настроить сетевые сервисы: WEB-сервер, почтовый сервер, файловый, FTP, прокси и т.д.;
- организовать удаленный модемный доступ к офисной сети из дома с возможностью использования офисного интернет-канала
Теперь приступим к проектированию структуры сети.
Поставленую задачу построения простой локальной сети мы будем решать на базе стека (набора) протоколов TCP/IP.
Сначала выберем диапазон IP адресов для нашей локальной сети. Остановимся на зарезервированных для использования в частных сетях адресах: 192.168.0.0-192.168.255.255. Для нашей локальной сети используем адресацию 192.168.20.0/24, где «/24» — сокращенная форма записи маски подсети 255.255.255.0. В каждой такой сети (класса «С») может использоваться до 254 уникальных хостов, чего нам вполне достаточно. Постоянный ip адрес (195.34.10.134) в сети интернет нам по условию задачи предоставлен провайдером.
В простом случае наша сеть может иметь следующую топологию:
Как видно из рисунка 1, большая часть сетевых сервисов размещена на одном компьютере, который через один сетевой интерфейс подключен к сети интернет, через другой — к локальной сети офиса, а через модемное соединение — к домашнему компьютеру. Каждому сетевому интерфейсу этого компьютера соответствует свой ip адрес: 195.34.10.134 — в сети интернет, 192.168.20.1 — в локальной сети, 192.168.40.1 — при удаленном соединении. Таким образом этот компьютер выполняет роль и маршрутизатора и файерволла и серверов: web, почтового, базы данных и пр. (Маршрутизатор — в нашем случае играет роль шлюза в Интернет. Вы можете спросить: нафиг он нужен, чем занимается? Отвечу как чайник: маршрутзатор занимается маршрутизацией. пакетов между подсетями, но в нашем случае он будет просто «раздавать» Интернет всем компьютерам в нашей локальной сети). Но такая структура имеет недостатки: во-первых, опасно «класть все яйца в одну корзину» (такая сеть весьма уязвима для атак и не очень надежна — проигравший теряет все), во-вторых, в ней не оптимально распределяется нагрузка, а в-третьих, ее неудобно администрировать — любой сбой или неисправность основного сервера практически полностью парализует работу всей локальной сети. Несмотря на недостаки этого варианта, мы в дальнейшем в основном будем использовать именно его, т.к. мы здесь рассматриваем самые простые и дешевые решения для маленьких контор и дома. Следующие две схемы приведены лишь для ознакомления, и в них можно не вникать.
Теперь немного изменим топологию сети, чтобы устранить часть недостатков (см. рис.2).
Здесь маршрутизатор выполняет только роль шлюза в интернет и файерволла, а сетевые сервисы размещены внутри локальной сети, в идеале — каждый на отдельном компьютере. Теперь выход из строя одного сервера не парализует другие. Но в этой сетевой топологии тоже имеется недостаток: рабочие станции и серверы находятся в одном и том же сегменте сети, что потенциально снижает ее надежность и производительность.
Поэтому, может быть, будет лучше интернет-серверы выделить в отдельный сегмент (см. рис.3).
В этом случае локальная сеть находится в одном сегменте сети, а интернет-серверы — в другом.
Могут быть и другие топологии локальной сети, все зависит от конкретных целей и условий, но для упрощения задачи мы остановимся на первой сетевой топологии (Рис.1), несмотря на ее недостатки, т.к. для экспериментов — это не принципиально.
Теперь пришло время подумать на каком оборудовании и программном обеспечении (ПО) следует реализовать нашу простую локальную сеть. Конкретные реализации будут описаны в следующих статьях, здесь же затронем общие вопросы.
Прошло то время, когда руководство компаний могло не задумываться о легальности устанавливаемых программ. Сейчас нарушения в области авторских прав относятся к тяжким преступлениям, поэтому от греха подальше (с целью минимизации рисков) будем рассматривать только лицензионное программное обеспечение. Оптимизация затрат при переходе на лицензионные программы для маленьких организаций будут рассмотренны в отдельной статье 146УК (шутка :)))).
В качестве шлюза в Интернет можно использовать:
- компьютер с Windows (дорогое решение);
- компьютер с FreeBSD/Linux;
- аппаратный роутер (самое простое и дешевое решение — от 50$).
От некоторых крутых гуру, работающих в крупных организациях, скорее всего услышите рекомендацию на сервер поставить MS Windows 2003 Server, на него поставить ISA (для организации Интернет доступа), почтовый сервер MS Exchange, на клиентские компьютеры поставить Windows XP Pro и завести их в домен, а 1С использовать в терминальном режиме.
В принципе это функционально оптимальный вариант. для крупных организаций, но мы то не монстры, мы — маленькая конторка на 3-10 ПК. Посчитайте по прайс-листу партнеров Microsoft во сколько тысяч (десятков тысяч) долларов вам обойдется такое решение. Поэтому в следующих статьях будут рассматриваться в основном дешевые варианты, где на сервере (шлюзе) будут использоваться бесплатные FreeBSD или Linux, а на клиентских машинах Windows XP HomeEdition (или Professional). а то и Linux Ubuntu.
КОММЕНТАРИИ К СТАТЬЕ:
Статья изложена доступным для восприятия языком.
Спасибо автору за лаконичность изложения!
Поэтому перехожу к чтению следующей.
Схема локальной сети интернет сервер
Прежде чем рассматривать схемы организации связи с подключением к сети Интернет, приведу пример схемы простейшей локальной сети.
Современное сетевое оборудование и системное программное обеспечение позволяют практически полностью автоматизировать настройку оборудования в локальной сети при однородном программном обеспечении. Для этого достаточно подключить все компьютеры к коммутатору и после минимальной настройки, все они смогут передавать информацию друг другу.
Но в этом случае будет создана локальная сеть, работающая по протоколам той операционной системы, под которой эти компьютеры работают, причем совсем не обязательно, что эта сеть будет IP-сетью, т.е. «кусочком» глобальной интернет-сети.
IP-сеть была разработана еще и для того, чтобы можно было объединять между собой совершенно разнородные «программные среды». Сейчас практически все существующие ОС понимают и умеют работать с протоколами IP-сетей и поддерживают систему адресации, применяемую сети Интернет.
На Рис. 1 приведен пример простейшей схемы локальной сети, причем не важно под какой «программной средой» (Windows, Linux, MAC и т.п.).
Для настройки каждого из компьютеров этой сети необходимо задать минимум три параметра — IP-адрес, маску и адрес шлюза. На рисунке они указаны для «серой» сети — 192.168.1.0/24.
Замечу, что адресом шлюза в данном случае может быть любой не занятый IP-адрес из этой сети, так как шлюз — это адрес на который необходимо отправлять все IP-пакеты с адресами не принадлежащими к этой сети, а раз сеть — локальная и ни с кем не связана, то пакеты с неизвестными адресами можно просто проигнорировать, все равно они доставлены никуда не будут.
При подключении к Интернет одного компьютера обычно используют один из двух несколько различных вариантов подключения: с выделением подсети из четырех «белых» IP-адресов («связной четверки») или с выделением одного IP-адреса.
Первый вариант применяется обычно в случае подключения к сети по выделенным каналам связи т.н. «корпоративных клиентов» — организаций, которые в дальнейшем предполагают подключать к сети более одного компьютера. Схема такого включения приведанана Рис. 2
Для пользователей — частных лиц, которые редко подключают к сети более одного компьютера, провайдеры чаще используют второй вариант — схему, приведенную на Рис. 3. Эта принципиальная схема позволяет выделять клиентам как статические, так и динамические IP-адреса.
По такой схеме как правило подключаются клиенты т.н. «кампусных сетей», сетей FTTx и клиенты, подключающиеся на сеанс связи — DialUP и по технологии ADSL.
Необходимо подчеркнуть, что здесь приведены максимально упрощенные принципиальные схемы подключения — для понимания общего принципа организации связи. Реальные схемы обычно значительно сложнее.
Если клиенту необходимо подключить несколько обычных компьютеров (рабочих станций) к сети Интернет, то можно использовать схему, представленную на Рис 4. Она фактически является объединением схемы Рис. 1 со схемой Рис. 2 или Рис. 3 с помощью клиентского маршрутизатора.
Причем маршрутизатор должен уметь использовать NAT-сервис – механизм, который делает прямое и обратное преобразование «серых» IP-адресов локальной сети клиента (на схеме – сеть: 192.168.1.0/24) в один «белый» IP-адрес, под которым в Интернет «представляются» все компьютеры локальной сети клиента (на схеме – сеть: 80.255.255.0/30).
Такая схема оптимальна для домашней сети из 2-4 компьютеров или для небольших офисов компаний, в которых используются только обычные рабочие станции.
Достоинства этой схемы – экономия «белых» IP-адресов, независимость от провайдера (с ним не нужно согласовывать ни использование такой схемы, ни количество рабочих станций в ней). Количество одновременно работающих компьютеров, подключенных по этой схеме, может быт очень большое и оно зависит только от производительности маршрутизатора и «ширины» (пропускной способности) канала связи.
В последнее время стало популярным применение в небольших локальных сетях, а особенно в домашних локальных сетях, вместо проводной Ethernet сети, сети радиодоступа Wi-Fi, что при сохрании высокой скорости передачи, позволяет избавится от прокладки проводов по помещению.
В продаже, за вполне умеренную цену, сейчас есть большое количество устройств, так называемых Wi-Fi роутеров. Эти устройства объединяют в себе простейший маршрутизатор с NAT-сервисом, точку доступа беспроводной сети Wi-Fi, а иногда и встроенный коммутатор на небольшое количество портов.
Современные смартфоны, планшеты и ноутбуки почти всегда имеют встроенный Wi-Fi адаптер, а для стационарных рабочих станций не проблема такой адаптер купить и установить.
При использовании такого WiFi роутера на схеме Рис. 4 им можно заменить сразу два устройства — маршрутизатор и коммутатор. В остальном схема не изменится, кроме того, что часть рабочих станций (или даже все) будут работать через Wi-Fi и без проводов. IP-адресация при этом не изменится.
Примерно это будет выглядеть так:
На Рис. 5 приведена наиболее простая (для клиента сети) схема организации связи с использованием только «белых».
Однако, провайдеры соглашаются на нее крайне неохотно, так как эта схема требует чтобы ВСЕ устройства сети клиента имели «белые» адреса, что приводит к их неэкономичному использованию. Кроме того, маршрутизацией всех IP-пакетов передаваемых/принимаемых в Интернет приходится заниматься маршрутизатору провайдера.
Применение этой схемы допустимо в случаях, когда клиент сети предполагает подключение небольшого количества компьютеров (от 2 до 13), причем часть из них предполагается использовать в качестве Серверов.
Для подключения большого количества рабочих станций под «серыми» адресами и некоторого количества Серверов под «белыми» оптимальны схемы подключения, представленные на Рис. 6, Рис. 7 и Рис. 8
Схема на Рис. 6 — более универсальна, но требует от клиента использования достаточно мощного и сложного в настройке маршрутизатора, который должен иметь не менее трех интерфейсов и поддерживать NAT-сервис.
Схема на Рис. 7 — для клиента более удобна и не требует мощного и сложного маршрутизатора. Она фактически является объединением схем Рис.4 и Рис. 5.
Схема на Рис. 8 практически не отличается от схемы на Рис. 7 и имеет смысл, если Вы ранее были подключены по схеме Рис. 4 и хотите сохранить все «старые» настройки оборудования. Однако, эта схема не слишком «экономична» по отношению к количеству белых адресов и не всегда может быть технически реализована провайдером.
| > |
© Павел Никитенко
Допускается свободное распространение. При перепечатке — ссылка обязательна.