|
Интерфейсы и сети |
  
|
|
Интерфейсы и сети |
|
Сервер может иметь несколько сетевых внутренних и внешних интерфейсов, но Traffic Inspector видит только те, для которых имеется привязанный драйвер (см. раздел "Внутренняя архитектура"). Количество интерфейсов не ограничено. На одном интерфейсе может быть назначено несколько IP-адресов разных сетей.
Использование NAT не обязательно - сервер может быть настроен как роутер. Режим сетевого моста (ethernet bridge) не поддерживается.
При конфигурировании программы выбираются интерфейсы внутренних и внешних сетей. Функциональное назначение этих сетей в программе разное: смешанные варианты работы, например, на одном интерфейсе, не поддерживаются.
К сетевым интерфейсам разных сетей привязываются следующие службы программы:
| • | Для внутренних сетей: сервер авторизации, биллинг, внутренний сетевой экран, HTTP-прокси и SOCKS-сервер. |
| • | Для внешних сетей: внешние счетчики, внешний сетевой экран, SMTP-шлюз. |
Для внутренних сетей существует особый интерфейс - внутренний. Он назначается на адрес 127.0.0.1 и всегда подключен.
Встроенный web-сервер работает на всех сетевых интерфейсах.
WAN-интерфейсы и ограничения их использования
WAN-интерфейсы - это сеансовые сетевые соединения через модемы, VPN, PPPoE и т.д. В Windows WAN-интерфейсы могут быть:
| 1. | Исходящие, созданные в окне сетевых соединений Windows. |
| 2. | Исходящие, сконфигурированные как Dial Demand в службе RRAS. |
| 3. | Входящие (Dial-In) для RAS-сервера службы RRAS. |
| 4. | Входящее (Dial-In), созданное в окне сетевых соединений Windows. |
| 5. | Двухсторонние Dial Demand-соединения в службе RRAS. |
В силу специфики архитектуры операционной системы и самой программы Traffic Inspector для WAN-интерфейсов есть ограничения:
| • | Traffic Inspector поддерживает корректную работу с первыми тремя типами соединений. |
| • | Интерфейсы исходящих соединений могут быть назначены только как внешние. |
| • | Интерфейс RAS-сервера может быть назначен только как внутренний. Это делается автоматически. |
| • | Для RAS-сервера должен быть обязательно назначен отдельный пул IP-адресов, не пересекающийся с сетями других интерфейсов. |
Существенным недостатком приведенные выше ограничения не являются, т.к. все типовые задачи решаются первыми тремя вариантами соединений.
Если WAN-интерфейс в программе не назначен, то трафик через него будет блокироваться. Для исходящих соединений этого можно избежать, отключив в настройках соединения драйвер программы. Но для Dial-In интерфейса в системе такого не предусмотрено, поэтому работа c RAS-сервером в программе должна быть всегда настроена, прозрачно отвязать эту службу от Traffic Inspector не получится.
Привязка интерфейсов и их автоматический выбор
Интерфейсы в программе идентифицируются по двум параметрам - внутреннему системному идентификатору и имени. Если один из параметров меняется, то программа при привязке использует другой. Это позволяет переименовывать сетевые интерфейсы в Windows без повторной настройки их в программе, а также переносить настройки. Важно, чтобы имена интерфейсов и сетевых соединений были уникальны - Windows эту уникальность не всегда корректно отслеживает.
В программе предусмотрена функция автоматического определения внешнего интерфейса - он выбирается по критерию наличия на нем маршрута по умолчанию. При установке программы эта опция включена. Если в системе появляется новый внешний интерфейс - он сразу автоматически назначается как внешний.
Существует функция автоматического назначения всех исходящих WAN-соединений как внешних.
Программа отслеживает изменение любых сетевых настроек: активности интерфейсов, IP-настройки, маршрутизация и т.д. При этом она автоматически перестраивает работу всех своих служб. Происходит сброс всех сессий прокси-сервера, SOCKS и почтового шлюза. Кроме того, на короткое время отключается сервер авторизации, и может блокироваться весь трафик. Поэтому, если имеются очень нестабильные сетевые интерфейсы и соединения, например, радиокарта или модем KTV, которые очень часто теряют активность, возникают проблемы. Процесс отработки изменения сетевых настроек отражается в логах, что всегда можно проконтролировать.
Внутренние сети
При назначении интерфейса внутренней сети ему можно назначить тип сети - локальная или публичная.
Локальная сеть - это внутренняя сеть, находящаяся под полным контролем администратора сети. Публичная - внутренняя сеть, например, домовая, к которой подключены пользователи и в ней требуется применение особых мер защиты в связи с тем, что из нее возможны различные несанкционированные действия. Это две предопределенные группы интерфейсов сетей, для которых можно отдельно задать некоторые настройки:
| • | Внутренний сетевой экран: по умолчанию для публичной сети включен, для локальной отключен. |
| • | Правила: в них можно указать, для какого типа сети они будут применимы. |
Маркировка трафика и маршрутизация
Все сетевые пакеты, идущие через драйвер внутренних интерфейсов, маркируются как:
| • | Локальный трафик на сам сервер: трафик между хостами внутренних сетей на все IP-адреса всех сетевых интерфейсов сервера (внутренних и внешних). По умолчанию разрешен. Управляется настройками правил или внутренним сетевым экраном. |
| • | Внутренний транзитный трафик: трафик между хостами внутренних сетей, который идет через роутер сервера. Он может идти как через разные внутренние интерфейсы, так и через один, если на нем назначено несколько отдельных сетей. По умолчанию разрешен. Управляется настройками правил или внутренним сетевым экраном. |
| • | Внешний трафик: трафик с хоста внутренней сети наружу. Внешним трафиком считается тот, который не промаркирован как локальный или внутренний транзитный. По умолчанию разрешен только для авторизованных пользователей. Дополнительно управляется настройками правил. |
Для определения, что трафик внутренний, используется анализ таблицы маршрутизации системы. При этом берутся маршруты интерфейсов, назначенные в программе как внутренние. Поэтому очень важно исключить ошибки в маршрутизации системы, т.к. они полностью могут нарушить работу логики программы. Например, не допускается назначение маршрутов по умолчанию на внутренних интерфейсах.
Анализом маршрутов также решается задача авторизации для Dial-In клиента, если через него подключается одна или несколько сетей.
Внешние сети
Для внешних сетей имеет место быть случай, когда исходящие и входящие пакеты снимаются с разных интерфейсов. Это возможно при работе через спутник. Здесь необходимо указать интерфейс, на который принимаются пакеты, - для спутникового интернета это DVB-карта.
Блокировка внешних сетей при остановке программы
В драйвере программы есть функция блокировки трафика при остановке службы программы. Цель - отключить интернет и предотвратить неконтролируемую работу пользователей, если программа не запущена или при ее работе произошел сбой. Под сбоем следует понимать не только остановку службы, но и серьезные ошибки в ее работе. При этом блокируются сетевые интерфейсы, назначенные в программе как внешние, а также все WAN-интерфейсы.
Функция блокировки может быть отключена.
Поддержка виртуальных Ethernet-сетей (VLAN) на базе протокола IEEE 802.1Q
Для внутренних сетей имеется встроенная поддержка VLAN - виртуальных Ethernet-сетей. Протокол IEEE 802.1Q описывает расширение заголовков Ethernet-пакетов, где добавляется дополнительная информация в виде тега (отметки) о номере VLAN-сети. Номер VLAN может быть задан от 1 до 2047.
Со стороны пользователя добавление тега может производиться путем использования управляемых коммутаторов с поддержкой этой функции или программно, если нет поддержки драйвера сетевой карты.
Traffic Inspector, со своей стороны, поддерживает следующие функции:
| 1. | Определение для принимаемых пакетов наличия в них тега VLAN. |
| 2. | Запись и отображение номера VLAN в сетевой статистике. |
| 3. | Контроль политики авторизации пользователя по номеру VLAN. Если в настройках пользователя задан номер VLAN, но он не совпадает с тегом VLAN принимаемых от него пакетов (например, пользователь подключился через другой порт коммутатора), то пользователь может быть заблокирован, а администратор сети оповещен - об этом см. далее в разделе про контроль политики авторизации. |
| 4. | Если в сети для пользователя порт коммутатора настроен в "закрытом" режиме (т.е. пропускает на пользователя пакеты только с его номером VLAN), то драйвер программы может сам добавлять в пакеты соответствующие теги. |
Функции по пп.3 и 4 доступны исключительно при наличии лицензии на версию PRO или GOLD. В других версиях лицензии доступны функции только по пп.1 и 2.
Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?howworkintf.htm