Интерфейсы и сети

Previous pageReturn to chapter overviewNext page

 

Сервер может иметь несколько сетевых внутренних и внешних интерфейсов, Traffic Inspector может работать со всеми сразу или выборочно. Количество интерфейсов не ограничено. Также на одном интерфейсе может быть назначено несколько IP адресов разных сетей.

 

Использование NAT совсем не обязательно, сервер может быть настроен как роутер. Режим сетевого моста (ethernet bridge) не поддерживается.

 

При конфигурировании программы выбираются интерфейсы внутренних и внешних сетей. При этом могут использоваться конфигурации, когда используется только внутренние сети, или только внешние (см. раздел "Примеры").

 

В соответствие с тем, назначены или нет внешние и внутренние интерфейсы, будут доступны и соответствующие службы и функции программы -

 

Для внутренних сетей - сервер авторизации, билинг, HTTP и SOCKS сервер.
Для внешних сетей - внешние счетчики, внешний сетевой экран, SMTP шлюз.

 

WAN интерфейсы и ограничения их использования.

 

WAN интерфейсы - это сеансовые сетевые соединения через модемы, VPN, PPPoE и т.д. В Windows WAN интерфейсы могут быть -

 

1.Исходящие, сконфигурированные в окне сетевых соединений Windows.
2.Исходящие, сконфигурированные как Dial Demand в службе RRAS.
3.Входящие (Dial-In) для RAS сервера службы RRAS.
4.Входящее (Dial-In), сконфигурированное в окне сетевых соединений Windows.
5.Двухсторонние Dial Demand соединения в службе RRAS.

 

В силу специфики архитектуры операционной системы и самой программы для WAN интерфейсов есть ограничения -

 

Traffic Inspector поддерживает корректную работу только с первыми тремя типами соединений.
Интерфейсы исходящих соединений могут быть назначены только как внешние.
Интерфейс RAS сервера может быть назначен только как внутренний.
Для RAS сервера должен быть обязательно назначен отдельный пул IP адресов, не пересекающийся с сетями других интерфейсов.

 

Существенным недостатком это все не является, так как все типовые задачи решаются первыми тремя вариантами соединений.

 

Если WAN интерфейс в программе не назначен, то трафик через него будет блокироваться. Для исходящих соединений это можно обойти, отключив в настройках соединения драйвер программы. Но для Dial-In интерфейса в системе такого не предусмотрено, поэтому работа c RAS сервером в программе должна быть всегда настроена, прозрачно отвязать эту службу от Traffic Inspector не получится.

 

Привязка интерфейсов и их автоматический выбор.

 

Интерфейсы в программе идентифицируются по 2-м параметрам - системному идентификатору (GUID) и имени. Если один из параметров меняется, то программа при привязке использует другой. Это сделано для того, чтобы интерфейсы можно было безпроблемно переименовывать, а также для устранения проблем, когда система сама меняет свой внутренний идентификатор интерфейса. Тут важно, чтобы имена интерфейсов и сетевых соединений были уникальны. Следует отметить, что сама система эту уникальность не всегда корректно отслеживает.

 

В программе предусмотрена функция автоматического определения внешнего интерфейса - он выбирается по критерию наличия на нем маршрута по умолчанию. По умолчанию это включено. Т.е. если в системе появляется новый внешний интерфейс, то он сразу автоматически назначается как внешний.

 

Также есть функция автоматического назначения всех исходящий WAN соединений как внешних.

 

Программа отслеживает изменение любых сетевых настроек - изменение активности интерфейсов, IP настройки, маршрутизация и т.д. При этом она автоматически перестраивает работу всех своих служб. Это сопровождается сбросом всех сессий прокси сервера, SOCKS и почтового шлюза. Также на короткое время отключается сервер авторизации и может блокироваться весь трафик. Поэтому если имеются очень нестабильные сетевые интерфейсы и соединения, например, радиокарта или модем KTV, которые очень часто теряют активность, то это приведет к проблемам. Процесс отработки изменения сетевых настроек отражается в логах, так что это всегда можно проконтролировать.

 

Начиная с версии 1.1.3 интерфейс RAS сервера автоматически назначается как внутренний.

Внутренние сети.

 

При назначении внутреннего интерфейса ему можно назначить тип сети - локальная или публичная.

 

Локальная сеть в этой терминологии - это внутренняя сеть, находящаяся под полным контролем администратора сети. Публичная - это внутренняя сеть, например домовая, к которой подключены клиенты, и в ней требуется  применение особых мер защиты в связи с тем, что из нее возможны различные несанкционированные действия. Это как-бы две предопределенные группы интерфейсов сетей, для которых можно отдельно задать некоторые настройки -

 

Внутренний firewall. По умолчанию для публичной сети включен, для локальной отключен.
Фильтры и правила. В них можно указать, для какого типа сети их применять.

 

Маркировка трафика и маршрутизация.

 

Все пакеты, идущие через драйвер внутренних интерфейсов, предварительно маркируются -

 

Локальный трафик на сам сервер. Это трафик между хостами внутренних сетей на все IP адреса всех интерфейсов сервера (внутренних и внешних).
Внутренний транзитный трафик. Это трафик между хостами внутренних сетей, который идет через роутер сервера. Он может идти как через разные внутренние интерфейсы, так и через один, если на нем назначено несколько отдельных сетей.
Внешний трафик. Это трафик с хоста внутренней сети наружу. Внешним трафиком считается тот, который не промаркирован как локальный или внутренний транзитный.

 

Для определения, что трафик внутренний, используется анализ таблицы маршрутизации системы. При этом берутся маршруты интерфейсов, назначенные в программе как внутренние. Поэтому очень важно исключить ошибки в маршрутизации системы, так как они полностью могут нарушить работу логики программы. Например, не допускается назначение маршрутов по умолчанию на внутренних интерфейсах.

 

Аналогичным образом, анализом маршрутов, решается задача авторизации для Dial-In клиента, если через него подключается одна или несколько сетей.

 

Фильтрация трафика и действия по умолчанию.

 

На основании маркировки внутреннего трафика применяются действия по умолчанию -

 

Локальный трафик на сам сервер полностью разрешен, если не включен внутренний сетевой экран.
Транзитный трафик может быть разрешен или запрещен в соответствии с настройками.
Внешний трафик запрещен.

 

Это все относится к трафику "без авторизации".

 

Внешние сети.

 

При конфигурировании внешних сетей имеется особый случай - это когда исходящие и входящие пакеты снимаются с разных интерфейсов. Такое используется при работе через спутник. Здесь необходимо обязательно указать интерфейс, на который принимаются пакеты (DVB карта). Также для корректной работы функции Advanced routing надо указать интерфейс, через который происходит передача основного трафика.

 

Блокировка внешних сетей при остановке программы.

 

В драйвере программы есть функция блокировки трафика при остановке службы программы. Цель - отключить интернет и предотвратить неконтролируемую работу клиентов, если программа не запущена или при ее работе произошел сбой. Под сбоем тут понимается не только остановка службы, но и внутренние серьезные ошибки в ее работе. Блокируются интерфейсы, назначенные в программе как внешние, а также все WAN интерфейсы. Эта функция блокировки может быть отключена.

 

Поддержка виртуальных Ethernet сетей (VLAN) на базе протокола IEEE 802.1Q.

 

Начиная с версии 1.1.4.196 для внутренних сетей реализована поддержка виртуальных Ethernet сетей. Это доступно в сегментах сетей со стороны интерфейсов, настроенных в программе, как внутренние. Протокол IEEE802.1Q описывает расширение заголовков Ethernet пакетов, где добавляется дополнительная информация ввиде тега (отметки) о номере VLAN сети. Номер VLAN может быть задан от 1 до 2047.

 

Со стороны клиента добавление тега может производиться путем использования управляемых коммутаторов с поддержкой этой функции, или программно, если драйвер сетевой карты поддерживает это.

 

Traffic Inspector, со своей стороны, поддерживает следующие функции -

 

1.определение для принимаемых пакетов наличия в них тега VLAN.
2.запись и отображение номера VLAN в сетевой статистике.
3.контроль политики авторизации клиента по номеру VLAN. Если в настройках клиента задан номер VLAN, но он не совпадает с тегом VLAN принимаемых от него пакетов (например, клиент подключился через другой порт коммутатора), то клиент может быть заблокирован, а администратор сети оповещен об этом - об этом см. далее в разделе про контроль политики авторизации.
4.если в сети для клиента порт коммутатора настроен в "закрытом" режиме (т.е. пропускает на клиента пакеты только с его номером VLAN), то драйвер программы может сам добавлять в пакеты соотв. теги.

 

Следует отметить, что все функции доступны только при лицензии на версию PRO. В других версиях лицензии доступны функции только п.1 и 2.

 

 

 


Текущая страница справки: help.smart-soft.ru/index.html?howworkintf.htm

Сайт разработчиков Traffic Inspector