|
Настройки для офисной сети |
  
|
| Show/Hide Hidden Text |
|
Настройки для офисной сети |
|
| Show/Hide Hidden Text |
Организация доступа в офисной сети производится через NAT или прокси-сервер. В этом случае клиенты остаются внутри локальной сети и имеют внутренние IP-адреса. Раздача IP-адресов в сети осуществляется либо принудительным назначением статического IP-адреса на сетевой карте, либо с помощью сервера DHCP путем назначения динамического IP-адреса. Во втором случае авторизацию необходимо делать по имени.
Простейший вариант - один внутренний сегмент и сервер имеют два интерфейса - внешний и внутренний.
Конфигурация Traffic Inspector в сети осуществляется следующим образом.
После установки программы необходимо запустить мастер конфигурирования. Для этого щелкните правой кнопкой мыши в консоли по Traffic Inspector, в контекстном меню выберите пункт "Конфигурирование". Далее следует определиться с параметрами конфигурации.
a) В мастере конфигурирования:
1) Выберите "Сервер - сетевой шлюз". Нажмите "Далее".
2) Перейдите к настройке служб Windows. Нажмите "Далее".
3) Проверьте, чтобы служба Windows Firewall была отключена и настроена служба NAT (ICS или RRAS). Далее.
4) В службе маршрутизации выберите пункт "Настраивается самостоятельно", при необходимости поставьте галку "Да, службы настроены, можно продолжать". Далее.
5) Конфигурирование Windows Firewall: выберите "Отключить". Далее.
6) Перейдите на "Применение настроек". Далее.
7) Обязательно включите внешний сетевой экран, выберите интерфейсы, где будет работать сетевая защита. Далее.
8) Первоначальная настройка закончена. Нажмите "Продолжить".
9) Укажите необходимые опции конфигурации.
- "Включить внешний сетевой экран". Обязательно должно быть включено.
- "Маршрутизация по условию: Advanced Routing". Включите функцию Advanced Routing, если предполагается маршрутизировать сети по разным каналам. Например, часть трафика пустить по одному каналу, часть - по другому.
- "Используется RAS-сервер". Должно быть выключено.
- "Используются "публичные" внутренние сети". Должно быть выключено.
- "Включить поддержку VLAN (IEEE 802.1Q)". Должно быть выключено.
- "Используется DVB-карта (Интернет через спутник)". При необходимости включите.
Далее.
10) Перейдите к настройке HTTP, SOCKS, Proxy, SMTP-шлюза.
- "HTTP Proxy": по умолчанию порт для прокси 8080. Менять порт следует в том случае, если он уже занят другим приложением (например, на порту 8080 может находиться внутренний сайт).
- "SOCKS Proxy": по умолчанию порт для SOCKS 1080. Менять порты следует в том случае, если порт уже занят другим приложением.
- "SMTP-шлюз": если требуется учет почтового трафика для офиса, включите SMTP-шлюз и настройте пересылку почты на внутренний почтовый сервер. В свойствах клиента, на вкладке "Авторизация", необходимо прописать e-mail адреса клиента. Для этого можно воспользоваться функцией "Загрузить из AD", что позволяет загружать список почтовых адресов из Active Directory (офисная сеть должна быть построена на доменной структуре с использованием Active Directory). Почтовый шлюз Traffic Inspector позволяет работать с "белыми" или "черными" списками IP-адресов и службами RBL (Open Relay Database) в Интернете, что эффективно для ограничения и экономии входящего почтового трафика путем фильтрации от спама (рекламной рассылки). Нажмите "Далее".
11) Выберите сетевые интерфейсы внутренней (локальной) сети. Далее.
12) Выберите сетевые интерфейсы внешней сети (подключенной к провайдеру). Далее.
13) Выберите сетевые интерфейсы, на которых будет включен "Внешний сетевой экран". Далее.
14) Выберите режим использования DNS, обычно ставится нормальный. Далее.
15) Применение настроек. Далее.
16) Нажмите "Готово".
Для удобства мониторинга работы SMTP-шлюза включите оповещение для администраторов:
1) Зайдите в свойства SMTP-службы, перейдите на вкладку "Оповещение", введите адреса списка рассылки.
Конфигурирование Traffic Inspector на данном этапе завершено.
б) Выберите пункт "Активация": правой кнопкой мыши в консоли по Traffic Inspector, в контекстном меню - пункт "Активация", - проведите активацию программы.
в) Необходимо установить права доступа к консоли управления Traffic Inspector: зайдите в пункт "Администрирование", выберите Группы, Администраторы. Зайдите в свойства пользователя по умолчанию */*, выберите логин или локальную группу, или группу из домена для доступа к консоли. Теперь доступ к консоли управления Traffic Inspector смогут получить только члены выбранной Windows-группы. Подробнее об организации доступа к "Консоли управления" читайте в разделе справки "Администрирование и разграничение доступа".
г) Произведите правильное конфигурирование прокси-сервера: прокси позволяет снизить затраты на трафик до 30%.
Конфигурирование прокси-сервера:
1) Перейдите в пункт консоли Traffic Inspector: прокси-сервер, нажмите на кнопку "Обслуживание кэша".
2) Укажите размер прокси-кэша и путь для хранения базы данных. Если клиентов в сети много, для увеличения производительности имеет смысл установитть операционную систему на одном диске, а базу данных кэша хранить на другом.
3) Создайте хотя бы одно правило кэширования.
д) Заведите новых пользователей и группы с помощью консоли управления. На группах или отдельных пользователях можно запретить работу конкретных служб, например: NAT, socks, proxy для клиентов. Также устанавливать разграничение доступа по времени. Для этого:
1) Зайдите в раздел консоли "Группы".
2) Создайте Группу.
3) Создайте пользователей: щелкните правой кнопкой в поле группы, в контекстном меню выберите пункт "Добавить пользователя", на закладке "Авторизация", в поле логин введите логин пользователя и пароль (для аутентификации средствами Traffic Inspector, если используется доменная аутентификация, логин вводится в формате domainname\username, пароль при доменной аутентификации вводить не требуется).
4) Зайдите в свойства нового пользователя, на вкладке "Доступ" задайте тип доступа - Автоотключение или Безлимитный.
5) На вкладке "Ограничения" можно задать некие ограничения для клиента - разрешить или запретить работу через NAT, Proxy-, Socks-сервер. Если требуется установить разрешение доступа по времени для, переходим на вкладку "Расписание".
Если в локальной сети есть выделенные сервера, например почтовый сервер или WWW-сервер, создайте для них в консоли управления "Новую группу". Авторизацию для серверов следует производить по IP- или MAC-адресу: создайте "Нового клиента", перейдите на вкладку "Авторизация", в поле IP пропишите IP-адрес сервера; для определения MAC-адреса нажмите кнопку "Определить". Перейдите на вкладку "Доступ", выделенные сервера, работающие с Интернетом, подключайте по безлимитному доступу.
Для рядовых пользователей рекомендуется безлимитный доступ не назначать, а делать автоотключение. Всегда есть вероятность заражения компьютера вирусом, который может привести к генерации большого трафика. Чтобы пользователей при этом блокировками не напрягать, лучше выставить достаточные лимиты. Для удобства подключения пользователей с автоотключением в тарифе введите оплату по умолчанию.
Если есть домен Windows, то удобнее включить автодобавление пользователей - они будут автоматически прописываться при первой попытке авторизации. Это доступно для пользователей, использующих авторизацию через домен Windows.
Назначьте пользователю права для автодобавления: зайдите в свойства "Групп" или "Клиентов", перейдите на вкладку "Автодобавление", выберите группу из домена. Лучше всего для этого в домене завести отдельную группу: нажмите Start - Administrative Tools - Active Directory Users and Computers, запустите консоль управления Active Directory, создайте группу.
е) Перейдите в свойства группы. Для этого в контекстном меню группы нажмите свойства. Перейдите на вкладку "Тарификация": здесь можно выбрать тариф: Биллинг => Тарифы. Нажмите правой кнопкой мыши и выберите "Добавить". Вводим имя тарифа и задаем параметры тарификации пользователей (цена за Мб, единица учета трафика, кредит, предоплаченый трафик, абонентская плата, стоимость трафика из кэша и почтового задаются в процентах).
Существует несколько способов тарификации.
1) Только входящий: тарифицируется только входящий трафик.
2) Только исходящий: тарифицируется только исходящий трафик.
3) Сумма (входящий + исходящий): тарифицируется весь трафик.
4) Максимальное значение: тарифицируется тот трафик, значение которого больше (входящий или исходящий).
В свойствах тарифа на вкладке "За трафик" можно установить стоимость трафика из кэша (при его использовании), стоимость почтового трафика SMTP и предоплаченный трафик. На вкладке "Лимиты" - дневной, недельный и месячный лимит. Там же можно выбрать тип лимита - на трафик или на деньги (по тарификации).
8) Зайдите в Монитор работы, добавьте пользователю денег на счет, чтобы он смог выйти и начать работать: двойной щелчок мыши на клиенте.
ж) Если используется SMTP-шлюз, контроль и учет трафика могут быть произведены с помощью контролируемых и информационных счетчиков. Контролируемый счетчик "Весь Интернет" служит для учета всего трафика.
Для настройки счетчиков зайдите в пункт консоли "Внешние сети - Счетчики - Информационные":
в контекстном меню выберите Добавить, введите имя счетчика "SMTP", выберите протокол TCP, в "Локальном адресе" укажите порт 25 - для учета почтового трафика.
Можно учитывать трафик поступающий с POP3/IMAP/WWW/FTP и.т.д. Для этого создаются фильтры. В поле "Внешний адрес" по аналогичному примеру прописываются порты: для POP3 - порт TCP 110; IMAP4 - порт TCP 143; WWW - порт TCP 80; FTP - порт TCP 20 и 21. Если используется несколько входящих (резервных) каналов, то имеет смысл также настроить Контролируемые и Информационные счетчики для разных каналов. Для этого в свойствах счетчика выберите "Интерфейс", на котором необходимо учитывать трафик.
з) Если предполагается работа с внутренними бесплатными ресурсами или сетями, имеющими льготный трафик, а также снижение стоимости трафика в зависимости от времени суток:
1) Работа с внутренними бесплатными ресурсами или сетями: создайте фильтр "До группы" (если правило применяется для всех клиентов) или фильтр в группе (если правило применяется только для группы): зайдите в "Консоль управления - Биллинг - Клиенты - Фильтры - До группы". Добавьте новый фильтр, на вкладке "Тип" выберите "На разрешение + действие", перейдите на вкладку IP, выберите "Использовать список", далее перейдите на вкладку "Список", пропишите льготные подсети, например 10.0.0.0/255.255.255.0, или имена хостов, например download.domain.ru, перейдите на вкладку "Действия", выберите тариф, по которому хотите произвести расчет. Создайте тариф для бесплатных или льготных сетей, если он не создан.
После добавления фильтра цена на трафик, сетей и хостов, прописанных в списке, будет равна стоимости указанного тарифа на вкладке "Действия". Подробнее эти вопросы описаны в разделе "Решение задач: бесплатные и льготные сети".
2) Снижение стоимости трафика в зависимости от времени суток: создайте фильтр "До группы" (если правило применяется для всех клиентов) или фильтр в "Группе" (если правило применяется только для группы). Для этого зайдите в "Консоль управления - Биллинг - Клиенты - Фильтры - До группы". Добавьте новый фильтр, на вкладке "Тип" выберите "На разрешение + действие", перейдите на вкладку "Расписание", установите расписание для скидки, перейдите на вкладку "Действия", выберите тариф, созданый для льготных сетей.
Подробнее эти вопросы описаны в разделе "Решение задач: тарифные планы по расписанию".
и) Далее произведите настройку сетевого экрана. Для этого перейдите в пункт консоли управления "Внешние сети: сетевой экран", зайдите в Свойства сетевого экрана, отключите неиспользуемые протоколы IPSEC, VPN/PPTP - настройки зависят от конфигурации сети провайдера.
При необходимости добавьте правила в сетевой экран. Например, если используется SMTP-шлюз, откройте протокол TCP, порт 25 - для этого в свойствах фильтра выберите протокол TCP, в локальном адресе пропишите порт 25. Или зайдите в свойства SMTP-шлюза, на вкладке SMTP-сервер поставьте галку "Разрешить всем". Данная настройка будет аналогична созданию фильтра TCP 25 в сетевом экране.
к) Установите клиентских агентов, проверьте работу клиентской статистики на веб-сервере:
1) Если необходима работа только с web и почтой, но при этом используется Internet Explorer, то NAT можно не настраивать. В этом случае агента ставить не обязательно, а в прокси будет работать NTL-аутентификация (пароль каждый раз запрашиваться не будет).
2) Если нужен NAT, установите клиентских агентов и проверьте работу клиентов.
3) Проверьте работу внутреннего веб-сервера и клиентской статистики. Для этого в адресной строке браузера введите http://<IP-адрес или имя сервера>:8080/user или в клиентском агенте выберите пункт меню веб-статистика.
Текущая страница справки: http://help.smart-soft.ru/doc20/index.html?tunesol.htm