Беспроводная сеть масштаба микрорайона. Часть 2

В первой части нашего материала уже было сказано, что в качестве основной операционной системы для серверов сети была выбрана платформа Windows. Почему не Linux или, например, FreeBSD? Закономерный вопрос, причин такого выбора несколько…

Александр Горский
by WildHunter http://airnet.vberdyanske.net

Серверы, или «Кто кинул сапог на пульт управления?»

Во-первых, макси- мальная простота в развертывании, уп- равлении и эксплу- атации, при этом достаточная гибкость.

Вторым и немаловажным критерием послужило то, что специфика сети (и ограниченный бюджет) не позволяли использовать специализированное (и дорогостоящее) оборудование, необходимое для версий Linux, «заточенных» под провайдерские задачи. Да и сами программные решения для организации сети под Linux не являются бесплатными и вполне сравнимы по цене с аналогичными решениями на базе Windows.

Третьим фактором послужила проверенная временем и большим опытом надежность Windows Server. Вижу ехидные улыбки приверженцев Linux, но это именно так и есть. За более чем 10-летний опыт мы не сталкивались с немотивированными отказами, все серверные сбои имели вполне закономерные причины, от не совсем подходящего «железа» до «человеческого фактора».

Четвертая и последняя причина – никто из организаторов проекта раньше не сталкивался с построением довольно больших сетей на базе Linux, зато кое-какой опыт использования для этих целей Windows у нас был.

Пара общих слов о сети

Прежде чем перейти непосредственно к технологиям, необходимо сказать несколько слов о том, что собой представляет наша сеть в плане услуг и правил пользования ими. Определяющее значение имеет то, что сеть некоммерческая, то есть по определению бесплатная и со свободным доступом. Но это не значит, что в сети может быть бардак и основным принципом является «что хочу, то и делаю». Единственное, что требуется от пользователей, – соблюдение правил, суть которых сводится к «пользуйся сам и не мешай другим».

Подключившийся к сети новичок сразу попадает на наш сайт, где изложены правила поведения в ней, инструкции по правильной настройке различных программ и оборудования. Задать вопрос или получить консультацию можно на нашем форуме, который также общедоступен.

Без регистрации сразу доступны и некоторые внутрисетевые сервисы, например FTP и DC++, но для выхода в Интернет необходимо зарегистрироваться, получить логин и пароль и настроить VPN-подключение. Регистрация предельно проста, главное – указать свои контактные данные, чтобы администрация смогла при необходимости оперативно связаться с пользователем.

Максимальная скорость его работы ограничена на уровне 10 Mbps, реальная скорость зависит в основном от качества беспроводного соединения «точка-клиент».

Ограничений по использованию Интернета минимум, запрещено только использование сети в криминальных целях; существуют некоторые ограничения и по количеству одновременных соединений, что требует правильной настройки некоторых программ (например, torrent- клиентов).

Централизация или распределение?

Несомненно, что достаточно большая сеть должна быть структурированной, состоять из нескольких сегментов, каждый из которых имеет свое адресное пространство и свой гейт для связи с другими сегментами и с центральным сервером (ЦС) сети. Но для эффективного контроля сеть должна быть построена по общему плану и с централизованным управлением. Именно эти функции выполняет ЦС.

Основные функции гейта сегмента:

• назначение клиентским устройствам IP- адресов, адреса шлюза и внутреннего DNS;
• маршрутизация трафика в другие сегменты и на ЦС;
• контроль и учет трафика внутри сегмента для сбора статистики и диагностики проблем.

Основные функции центрального сервера:

• сервер AD (домена) для централизованного управления сетью;
• сервер VPN и маршрутизации в Интернет/из него;
• Firewall корпоративного уровня.

Все эти серверные роли (кроме Firewall) являются стандартными для Windows Server 2003, что гарантирует их совместимость друг с другом, удобство контроля и управления.

Active Directory (AD)

Служба Active Directory http://ru.wikipedia.org/ wiki/Active_Directory в нашей сети используется для централизованного управления пользователями. Именно в ней хранятся данные о пользователе, его логин и пароль, а также базовые настройки (см. рисунок 1).

Рис. 1. Общие данные пользователя в AD

Здесь также содержатся основные настройки этого пользователя для сервера VPN, такие как IP-адрес, назначаемый VPN-подключению пользователя, и дополнительные маршруты, если необходимо (см. рисунок 2).

Рис. 2. Основные настройки пользователя для VPN-сервера

Также AD имеет множество дополнительных возможностей, которые могут оказаться полезными в конкретных ситуациях.

Сервер маршрутизации и удаленного доступа (VPN-сервер)

Сервер виртуальной частной сети (VPN) используется для защищенного подключения пользователей к центральному серверу сети. В первую очередь это необходимо для защиты конфиденциальных данных пользователей в открытой сети. Ни для кого не секрет, что сейчас есть множество желающих поживиться за чужой счет или просто сделать пакость*. Именно для предотвращения подобного и служит подключение VPN, в котором весь трафик «клиент–сервер» защищен 128-битным шифрованием (см. рисунок 3).

Рис. 3. Интерфейс сервера маршрутизации и удаленного доступа, используемого в качестве VPN-сервера

Firewall и учет интернет-трафика

Перепробовав множество программ для организации доступа из локальной сети в Интернет, мы остановились на Kerio Winroute Firewall**, как наиболее удовлетворяющей нашим требованиям по надежности, гибкости и удобству в эксплуатации (см. рисунок 4 и 5).

Рис. 4. Общий интерфейс KWF

Рис. 5. Текущая активность пользователей в KWF (данные пользователей по понятным причинам скрыты)

Кроме выполнения функций классического Firewall, в KWF заложена еще масса различных возможностей, позволяющих использовать эту систему как полноценный интернет-шлюз для небольшой или средней сети. KWF имеет встроенный web-сервер, на котором пользователи могут посмотреть свою статистику, а администраторы – статистику доступа в Интернет как по сети в целом, так и по отдельным пользователям (см. рисунок 6 и 7).

Рис. 6. Пример статистики по самым посещаемым из сети web-узлам за неделю

Рис. 7. Пример статистики пользователя за текущую неделю

К несомненным достоинствам KWF также можно отнести удобный интерфейс администрирования, который позволяет управлять шлюзом не только непосредственно с сервера, но и удаленно. Единственный обнаруженный недостаток – отсутствие встроенного шейпера http://ru.wikipedia.org/wiki/Шейпинг, позволяю- щего управлять скоростью каждого пользователя отдельно. Об этом далее…

Шейпер

В качестве простого, но достаточно гибкого и эффективного шейпера мы используем SoftPerfect Bandwidth Manager http://www.softperfect.com (см. рисунок 8).

Рис. 8. Общий интерфейс SoftPerfect Bandwidth Manager

Ограничение скорости настраивается очень гибко, как для хоста в целом (или группы хостов), так и для отдельных портов (диапазонов портов), протоколов, интерфейсов и т.д. Возможно создание различных правил для различных временных диапазонов, например, в ночное время скорость выше, чем в дневное. Имеется также приличный набор дополнительных функций (определение P2P трафика, флуда мелкими пакетами, большого количества одновременных подключений и т. п.). В случае обнаружения нежелательных типов трафика могут автоматически применяться меры, например снижение разрешенной скорости.

Немного статистики и эпилог

Для начала немного статистики, чтобы можно было получить представление о масштабах и объемах:

• 4 сегмента сети, состоящие из 19 точек доступа, уверенно «накрывающих» микрорайон средних размеров;
• около 300 постоянных и около 2000 «периодических» пользователей;
• одновременно в сети до 300 активно работающих хостов;
• среднемесячный интернет-трафик до 3 терабайт;
• среднемесячный внутрисетевой трафик до 10 терабайт.

Конечно, пришлось вложить много сил (и прилично средств) для создания такой сети, но в итоге проект успешно работает и потихоньку развивается. Сеть показала себя как достаточно надежная, гибкая и легко расширяемая система, соответствующая современным требованиям по скорости и качеству. В целом уровень услуг как минимум не хуже, чем у коммерческих провайдеров, работающих в нашем городе.

В перспективе – расширение на весь город (а возможно, и за его пределы), полный переход на стандарт 802.11n и много других интересных задумок.

Продолжение следует…

Статья из седьмого выпуска журнала «ПРОграммист».