Благодаря прогрессу в области аппаратного и программного обеспечения, а также снижению стоимости технологий в сфере доступа в Internet, небольшие и крупные компании могут соперничать на равных
Доступ в Internet для большинства компаний так же важен, как телефонная или факсимильная связь. Чтобы небольшая фирма могла конкурировать с более крупной, ей необходим качественный доступ в Internet. Для крупной компании вовремя не ответить на запрос важного клиента из-за разрыва соединения — не такая большая беда. А если фирма владеет собственным почтовым сервером, является провайдером для удаленных пользователей или предоставляет услуги хост-сервера для других серверов, надежный доступ в Internet для нее просто критически важен. К сожалению, профессиональный широкополосный доступ в Internet, который могут себе позволить небольшие компании, зачастую похож на услуги для непрофессиональных пользователей, такие же ненадежные и с непредсказуемой скоростью, только по более высоким ценам.
Не следует думать, что для небольшой или средней компании конкурировать с более крупным участником рынка — дело безнадежное. Ведь прогресс в области аппаратного и программного обеспечения, падение цен и развитие Internet позволяют по-новому использовать технологические возможности и работать без потери оперативности, свойственной небольшим компаниям. Просто надо быть в курсе новостей обо всем спектре услуг и инноваций и действовать более настойчиво и терпеливо. Например, используя маршрутизаторы с парой разнотипных внешних портов (для краткости — двухпортовые маршрутизаторы), можно получить высоконадежный доступ в Internet за вполне приемлемую цену и даже соединить несколько локальных сетей в одну глобальную сеть.
Маршрутизаторы с парой разнотипных внешних портов
Телекоммуникационный рынок не является регулируемым, поэтому большинство компаний свободны в выборе Internet-провайдеров и технологий доступа. Последних у нас, по крайней мере, две: кабельная и DSL. Представим себе такую ситуацию. Вы подписались и на кабельный, и на DSL-доступ, настроили их на небольшом компьютере и подключили компьютер к локальной сети. Этот компьютер стал функционировать как пользовательский Internet-шлюз, но с несколькими дополнительными функциями. Когда обе службы работают, доступ в Internet на данном компьютере осуществляется по соединению с более высокой полосой пропускания. При этом, если одно из соединений разрывается, маршрутизатор автоматически переносит трафик на оставшееся соединение!
Существует несколько производителей, выпускающих маршрутизаторы с парой разнотипных внешних портов, которые обеспечивают такой отказоустойчивый доступ в Internet, и самое примечательное — это их цена: от 250 до 500 долл. за устройство. На рисунке показан маршрутизатор с парой разнотипных внешних портов и два подключения к Internet-провайдеру, которые соединяют локальную сеть и Internet. Хотя на рисунке изображено применение двусторонней спутниковой технологии, если есть возможность задействовать наземных Internet-провайдеров, лучше использовать их. Они обеспечат большую скорость и надежность.
Рисунок. Подсоединение двухпортового маршрутизатора к Internet |
Наша небольшая фирма предоставляет услуги аудита и занимается смежными операциями на рынке ценных бумаг. Среди наших конкурентов есть куда более крупные компании, и я скорее обойдусь без телефона, чем без Internet. Годами я тестировал кабельные и DSL-подключения, и те и другие работали довольно надежно. Как-то, еще до знакомства с маршрутизаторами, имеющими два разных внешних порта, я решил подписаться на обе технологии доступа одновременно. Однако это означало переключение между двумя службами вручную, и одна служба простаивала, в то время как работоспособны были обе. Теперь вот уже год, как я использую маршрутизатор с парой разнотипных внешних портов. Хоть и не сразу, но после нескольких неудач в самом начале мой, казалось бы, экзотический маршрут был проложен, и решение отлично работает по сей день.
Я обращался к нескольким производителям с предложением протестировать их маршрутизаторы данного вида и описать результаты в статье. XiNCOM прислала свои модели XC-DPG502 и XCDPG603. Я использовал модель XC-DPG502, поскольку она была не такая дорогая и имела все базовые функции для обеспечения высоконадежного доступа в Internet. Несмотря на то что о решениях с использованием маршрутизаторов с парой разнотипных внешних портов я рассуждаю, опираясь на пример маршрутизатора XiNCOM, настройка и аргументы применимы и к устройствам других производителей, включая модели серий XiNCOM DPG500 и DPG600, Symantec Gateway Security 300 Series, Linksys RV082 и HotBrick VPN 800/2.
Начальная настройка двухпортового маршрутизатора
Будем считать, что такой важный шаг, как выбор маршрутизатора, уже позади. Теперь следует заняться настройкой его порта LAN и одного из портов глобальной сети с использованием подходящих настроек IP. Когда вы впервые прикасаетесь к XC-DPG502, это устройство (как и большинство шлюзов) имеет настройки по умолчанию для сервера DHCP и выдает адреса из подсети 192.168.1.0. Новый маршрутизатор заменит текущий брандмауэр/маршрутизатор и займет место актуального шлюза по умолчанию в IP-настройках систем локальной сети.
Настройка маршрутизатора. Перед тем как подключить маршрутизатор с парой разнотипных внешних портов к внутренней сети, необходимо зарегистрироваться на сервере, который играет роль текущего шлюза, и записать параметры его Internet-подключений и внутренней сети. Для этого потребуются имя пользователя и пароль, которые шлюз использует для подключения к Internet-провайдеру, и вы должны знать, является ли IP-адрес статическим или он предоставляется провайдером динамически через DHCP. Если используется статический адрес, нужно записать маску подсети, шлюз по умолчанию и адреса серверов DNS, чтобы иметь возможность быстрого подключения через один порт нового сдвоенного шлюза. Из конфигурации внутренней сети следует записать локальный сетевой адрес шлюза и маску подсети. Если ваш шлюз также является сервером DHCP, нужно записать текущий диапазон выдаваемых адресов сервера.
Экран 1. Настройка соединения с ISP |
Также перед подключением маршрутизатора к сети следует подключить компьютер к его внутреннему порту. XC-DPG502 и большинство других моделей имеют 4 порта внутренней сети. Как только компьютер получит адрес шлюза, откройте браузер и выполните вход на шлюз с этим адресом. Нужно настроить одно из двух подключений к внешним сетям этого шлюза параметрами подключения к Internet вашего текущего шлюза. На экране 1 показана конфигурация обоих подключений к Internet-провайдерам моего маршрутизатора XC-DPG502. IP-адреса были заменены на локальные адреса из диапазона 10.*.*.*, но на практике адреса должны соответствовать актуальным публичным Internet-адресам, которые назначает провайдер. Необходимо выполнить настройку интерфейса внутренней локальной сети нового маршрутизатора, используя те же IP-адреса, что были на старом маршрутизаторе. На экране 2 показана конфигурация внутренней локальной сети.
Такой подход позволяет клиентам получать доступ в Internet, не меняя текущего шлюза. Если старый маршрутизатор выполнял функции DHCP, нужно настроить маршрутизатор с парой разнотипных внешних портов так, чтобы он был сервером DHCP. Этот прием позволяет поддерживать связь с другими устройствами локальной сети, даже если нарушается работа сервера Windows. Кроме того, возможна настройка адресов из другого диапазона, при которой новый маршрутизатор не будет брать по неосторожности адреса, уже используемые другими клиентами. Как только не остается свободных адресов из текущего диапазона аренды, компьютеры будут автоматически получать новые адреса из нового диапазона. Требуется сделать так, чтобы диапазон DHCP и внутренний адрес маршрутизатора не конфликтовали ни с серверами, ни с другими устройствами внутренней сети, имеющими статические адреса (принтеры, точки беспроводного доступа).
Экран 2. Настройка локальной сети |
Если еще какое-нибудь устройство или сервер в локальной сети действует в качестве сервера DHCP, возможно, придется немного изменить параметры, которые сервер DHCP задает для новых клиентов. До тех пор пока старый и новый маршрутизаторы используют один и тот же IP-адрес внутренней локальной сети, нет необходимости менять шлюз по умолчанию, назначаемый сервером DHCP. В зависимости от того, какие адреса сервер DHCP назначал для сервера DNS, возможны разные ситуации. В одном случае сервер DHCP мог назначать в качестве сервера DNS внутренний адрес маршрутизатора. Если так, никакие изменения DHCP серверу не требуются. В другом случае, если во внутренней сети установлен собственный сервер DNS, он мог назначать адрес локального сервера DNS: если у вас есть домен Active Directory (AD), у вас установлен и собственный DNS-сервер. Еще один вариант — сервер DHCP настраивает клиенты так, чтобы они использовали серверы DNS в Internet (обычно это сервер DNS Internet-провайдера). В таком случае поменять настройки необходимо, потому что у вас теперь два Internet-провайдера. Это объясняется тем, что, когда происходит разрыв соединения с одним из провайдеров, клиенты не могут получать доступ к Web-сайтам, так как не в состоянии выполнять разрешение доменных имен и переходить к IP-адресам. Для решения этой проблемы нужно настроить сервер DHCP так, чтобы он сообщал клиентам об использовании маршрутизатора в качестве сервера DNS. Тогда маршрутизатор будет перенаправлять запросы DNS на серверы DNS обоих провайдеров.
Установка маршрутизатора. В то время когда сеть не активна, следует удалить старый маршрутизатор и установить двухпортовый. Необходимо зарегистрироваться на маршрутизаторе с компьютера, подключенного к внутренней локальной сети, и обновить аренду адресов DHCP-сервера. Это можно сделать путем выполнения команд
ipconfig /release all
ipconfig /renew
в указанной последовательности или просто отключить и снова включить сетевое подключение. Зная действительный IP-адрес шлюза по умолчанию, который теперь соответствует новому маршрутизатору, следует выполнить регистрацию на маршрутизаторе через Web-браузер. Необходимо убедиться, что маршрутизатор способен подключаться к действующему Internet-провайдеру. Возможно, для установления соединения потребуется перезагрузить модем DSL или кабельный модем.
После проверки работоспособности маршрутизатора во внутренней сети и успешного соединения с Internet-провайдером нужно открыть другое окно браузера и попытаться зайти на несколько Web-сайтов. Если это удалось сделать, значит, маршрутизатор успешно заменен. Если нет — следует проверить параметры настройки. При необходимости менять настройки нужно придерживаться техники осторожной диагностики, внося одно изменение за раз и проверяя полученный эффект, так чтобы в итоге знать, какая именно настройка решила проблему. Следует записывать каждое изменение, чтобы иметь возможность отменить те из них, в которых не было необходимости.
Подключение маршрутизатора. В данный момент вы все еще зависите от одного широкополосного Internet-подключения. Чтобы перейти на два подключения, нужно выяснить, какие адреса — динамические или статические — назначает второй провайдер. Если адреса назначаются динамически, требуется подключить второй порт глобальной сети маршрутизатора к кабельному или DSL-модему нового провайдера и открыть страницу состояния маршрутизатора. Через несколько секунд маршрутизатор должен получить адрес и сообщить, что установлено соединение со второй глобальной (внешней) сетью. Если необходимо, настройте порт второй глобальной сети, используя указываемые провайдером статический IP-адрес, шлюз по умолчанию и сервер DNS. А после того как маршрутизатор сообщит, что на втором внешнем порту установлено соединение со вторым Internet-провайдером, можно смело переходить к тестированию отказоустойчивости.
Необходимо отключить глобальную сеть 1 и сразу же попытаться зайти на другой Web-сайт. Страница должна открыться как обычно, поскольку маршрутизатор с парой разнотипных внешних портов автоматически переключается на глобальную сеть 2. Следует выполнить переключение между глобальными сетями назад и вперед — оно должно происходить с едва уловимой задержкой доступа в Internet или совсем без нее. На экране 3 показана страница состояния XCDPG502 в тот момент, когда оба подключения к Internet-провайдерам функционировали правильно.
Экран 3. Функционируют оба канала от ISP |
Итак, мы только что получили отказоустойчивый доступ в Internet по цене подписки на второе широкополосное соединение. Но эта конфигурация дает не только экономию средств. Можно оптимально использовать оба подключения (кабельное и DSL), поскольку значительную часть времени они будут задействованы одновременно. Большинство сдвоенных маршрутизаторов поддерживают балансировку нагрузки, которая распределяет сессии между двумя подключениями. Это сохраняет высокую скорость доступа в Internet даже в периоды пиковой нагрузки. Маршрутизаторы с парой разнотипных внешних портов по чуть более высоким ценам способны устанавливать межсайтовые VPN-подключения, что позволяет создавать виртуальные сети между офисами. Некоторые маршрутизаторы даже позволяют устанавливать многоадресные VPN-подключения, превращая комбинацию широкополосных подключений в один сверхбыстрый канал между двумя сайтами.
Сбой входящего подключения
Если необходимо поддерживать входящие сетевые подключения с серверами, расположенными во внешней сети (Web-серверы, почтовые серверы), некоторые маршрутизаторы могут действовать как серверы DNS, обращенные в Internet, и выполнять автоматическое аварийное переключение с разорванного соединения на резервное соединение другого провайдера. Когда такой маршрутизатор обнаруживает, что соединение с Internet-провайдером, которое обычно используется для входящих почтовых или HTTP-запросов, прервано, он обновляет записи DNS соответствующих серверов IP-адресами второго Internet-провайдера и начинает принимать запросы по этому подключению вместо первого. Это никак не затрагивает ни внутренних клиентов, ни клиентов со стороны Internet.
Чтобы наладить работу отказоустойчивых внешних подключений, требуется получить статический IP-адрес каждого подключения у провайдера. Статические адреса необходимы потому, что сдвоенный маршрутизатор служит сервером DNS для вашего доменного имени в Internet. Если изменить IP-адреса серверов в своем доменном имени в Internet, эти изменения вступят в силу почти немедленно, а вот изменения адресов на DNS-серверах, относящихся к доменному имени, вступают в силу гораздо позже. Ввиду того что адреса серверов DNS опубликованы в Internet, обновление может занимать до нескольких дней. Необходимо заблаговременно узнать перманентные адреса своих серверов DNS, чтобы клиенты со стороны Internet могли продолжать использовать адрес альтернативного сервера DNS для разрешения доменных имен ваших серверов.
Кроме того, следует обновить доменную запись у регистратора DNS и выполнить конфигурацию адресов как серверов DNS в записи для вашего домена. В процессе функционирования в роли сервера DNS для внешнего домена маршрутизатор может динамически менять адрес, который он посылает в качестве ответа на запросы DNS, и таким образом направлять клиентов Internet на ваши почтовые или HTTP-серверы через того провайдера, соединение с которым в данный момент установлено. Когда клиент в Internet попытается разрешить имя DNS вашего сервера, а соединение с основным провайдером отключено, клиент будет простаивать и автоматически запрашивать следующий в списке сервер DNS по домену — ваш сдвоенный маршрутизатор, доступный через другого провайдера.
Конечно, не следует забывать, что, полагаясь на одно устройство в предоставлении доступа к двусторонней магистрали в Internet, вы создаете слабое звено, не имеющее подстраховки. Более дорогие сдвоенные маршрутизаторы оснащены аварийными «сменщиками», которые ликвидируют эту потенциальную угрозу. Но по своему опыту могу сказать, что, поскольку физические устройства (например, маршрутизаторы) более надежны, чем широкополосные подключения в Internet, большинству небольших и средних компаний не придется тратить деньги на резервный маршрутизатор.
Не все так просто
Настраивая двухпортовые Internet-подключения у себя в офисе, я столкнулся с некоторыми трудностями, о которых лучше знать заранее. Одна из них касается выбора правильного режима работы модема; другая — возможной разницы в настройке Maximum Transmission Units (максимальный размер пакета, MTU), поддерживаемой в маршрутизаторе и в канале DSL. Беспокойство по поводу других тонкостей, таких как предупреждения о штатных/нештатных ситуациях и обновление фирменного программного обеспечения, было незначительным.
Настройка режима ретрансляции (pass-through mode). Некоторые DSL и кабельные модемы могут работать либо в режиме преобразования сетевых адресов (Network Address Translation, NAT), либо в режиме ретрансляции. В режиме NAT широкополосный модем принимает IP-адрес, определяемый Internet-провайдером, затем через DHCP назначает маршрутизатору адрес из диапазона 192.168.*.*. При прохождении пакета из внутренней сети в Internet и обратно модем выполняет функцию сервера NAT, транслируя IP-адрес и номер порта каждого пакета. NAT хорошо приспособлен для простого исходящего трафика. Однако для установления входящих подключений к серверам внутренней сети нежелательно, чтобы маршрутизатор располагался позади сервера NAT, ведь тогда придется открывать необходимые порты не только на маршрутизаторе, но и на модеме. Пакеты должны будут проходить через два рубежа NAT. А вот режим ретрансляции открывает клиентам Internet лучший способ доступа к серверам во внутренней сети.
В режиме ретрансляции модем становится практически невидимым и просто пересылает пакеты взад и вперед, подобно концентратору. Ваш маршрутизатор взаимодействует непосредственно с маршрутизатором Internet-провайдера. Адрес либо назначается вашему маршрутизатору через DHCP, либо вы вручную настраиваете маршрутизатор, используя статический адрес, который предоставляет провайдер. Если имеется статический IP-адрес от Internet-провайдера и необходимы определенные входящие подключения (например, к почтовому серверу), убедитесь, что модем работает в режиме ретрансляции.
Чтобы узнать, работает ли модем в режиме ретрансляции, следует подключить компьютер к модему до подключения к модему маршрутизатора. Выполните настройку сетевого подключения компьютера на использование DHCP. Если вместо того, чтобы получать IP-адрес, компьютер формирует самоназначаемый адрес, модем работает в режиме ретрансляции. Режим ретрансляции на модеме установлен и в том случае, если компьютер получает адрес, который совпадает со статическим адресом, предоставляемым Internet-провайдером.
Если модем снабжает компьютер адресом локальной подсети (192.168.*.*), значит он работает в режиме сервера NAT. Для смены режима следует зайти на страницу администрирования модема. Откройте Web-браузер и просмотрите адрес шлюза по умолчанию вашего сетевого подключения, который является действующим адресом модема со стороны внутренней сети. Необходимо узнать, какая настройка модема позволяет включить режим ретрансляции (он также может называться режимом сервера демилитаризованной зоны, DMZ). Некоторые модемы позволяют указывать конкретный компьютер в качестве пункта назначения входящих пакетов (в этот момент компьютер должен быть доступен) или направлять входящие пакеты на устройство, выбранное вручную. Зафиксируйте выбор этого устройства, чтобы модем действовал совместно с маршрутизатором (имеющим статический IP-адрес), когда тот будет подключен.
Устранение неполадок с модемом DSL. Следующее препятствие на моем пути было похоже на торчащую из воды корягу, один конец которой хорошо виден, а другой уходит вглубь, так что мне пришлось изрядно повозиться, чтобы определить источник проблемы. Сразу после того, как я установил двухпортовый маршрутизатор, соединился с Internet-провайдерами и начал тестирование, заходя на Web-страницы, я заметил, что связь неустойчива и страницы иногда загружаются не полностью. Когда я отключил кабельный модем и перенес всю нагрузку на модем DSL, помехи возросли, а когда я отключил модем DSL, проблемы исчезли. Такое поведение указывало на проблему с подключением DSL. Целостность Web-страниц с незначительным количеством текста и небольшими изображениями не нарушалась. Однако загрузка более объемных страниц, а также страниц, утяжеленных большим количеством или более крупными изображениями, то и дело прерывалась после отображения части содержимого страницы. В конце концов, благодаря дискуссии на одном из форумов в Internet, я обнаружил, что мой провайдер DSL поддерживает параметр MTU, равный 1492 байт, тогда так на маршрутизаторе установлено по умолчанию 1500 байт. Оказывается, пакеты размером более 1492 байт попросту сбрасывались. Как только я подстроил параметр MTU на маршрутизаторе под соединение DSL, все заработало без помех.
Предупреждения о штатных/нештатных ситуациях. Некоторые двухпортовые маршрутизаторы, в том числе XC-DPG502, выдают предупреждения об обнаруженных нештатных ситуациях (например, о разрыве соединения с Internet-провайдером). Сначала я настроил XC-DPG502 так, чтобы он отправлял предупреждения в виде текстовых сообщений на электронный адрес моего мобильного телефона. Пошли сообщения о кратковременных разрывах связи по нескольку раз в день из-за различных нарушений нормальной работы то с одним, то с другим Internet-провайдером. Но благодаря функциям автоматического переключения маршрутизатора XC-DPG502 ни один из моих пользователей проблем не ощущал. Так что я решил отключить функцию отправки предупреждений. А если разрыв какого-либо соединения длился долго, я узнавал об этом посредством Internet-служб мониторинга, которые проверяли состояние сервера позади маршрутизатора каждые несколько минут.
Обновление встроенного программного обеспечения. Необходимо сравнить версию встроенного программного обеспечения, установленного на имеющемся устройстве, с текущей версией программного обеспечения производителя, и обязательно установить самую свежую версию. На Web-сайтах производителей часто доступны более актуальные версии встроенного программного обеспечения, чем те, что установлены на устройствах в момент продажи. Установка самого свежего программного обеспечения маршрутизатора позволила мне решить одну проблему в налаживании соединения, с которой я сталкивался первое время. Кроме того, наличие актуального фирменного программного обеспечения помогает вовремя ликвидировать обнаруженные уязвимые места в системе безопасности маршрутизатора. Настоятельно рекомендую подписаться на обновления от производителя.
Устойчивый доступ в Internet
Обычно я советую не использовать два подключения DSL, так как оба они зависят от телефонной линии. Чтобы не ставить под угрозу надежность соединения и обеспечить отказоустойчивую связь через двух независимых провайдеров широкополосных подключений, следует выбрать в качестве второго варианта провайдера, обеспечивающего связь по кабелю, электрической линии или через спутник. Также важно убедиться, что маршрутизатор обладает возможностью автоматического переключения и другими необходимыми дополнительными функциями. Нужно иметь в виду, что не во всех двухпортовых маршрутизаторах предусмотрено аварийное переключение службы DNS или функциональность VPN.
Безотказный Internet за дополнительные 45 долл. в месяц, безусловно, стоит того, чтобы завести еще одну учетную запись у широкополосного провайдера, особенно если учесть, что такая конфигурация не требует вмешательства пользователя. Разве плохо, находясь вне офиса, иметь возможность подключиться к своей локальной сети, даже несмотря на вероятный разрыв одного из соединений?
Рэнди Франклин Смит - редактор Windows IT Pro и ведущий инструктор и разработчик курсов для программы по безопасности Windows NT/2000 института MIS Training. Его компания, Monterey Technology Group, занимается консалтингом в области информационной безопасности. Связаться с ним можно по адресу: rsmith@montereytechgroup.com
Краткое резюме
Проблема: предприятия малого и среднего бизнеса часто не могут соперничать на равных с более крупными конкурентами, которые используют профессиональный доступ в Internet.
Решение: использовать двухпортовый маршрутизатор и подписаться на услуги двух провайдеров, обеспечив себе безотказный доступ в Internet.
Что необходимо: маршрутизатор, имеющий пару разнотипных внешних портов (двухпортовый маршрутизатор); два Internet-подключения.
Сложность: 3,5 из 5.
Последовательность действий:
Выбрать двух не связанных между собой провайдеров широкополосного доступа в Internet.
Выбрать двухпортовый маршрутизатор.
Установить и протестировать двухпортовый маршрутизатор.
При необходимости обновить внутренние настройки DHCP и DNS.