Настройки для провайдера |
|
В отличие от офисной сети, настройка программы для сети провайдера (домовой) несет отличия.
Сеть провайдера может быть простой - клиенты подключены к одному или нескольким внутренним интерфейсам (публичной сети), сервер - к внешнему (интернет). Доступ к сети интернет можно осуществлять по нескольким вариантам:
- через NAT или прокси сервер, в этом случаи клиенты остаются внутри публичной сети и имеют внутренние IP адреса, раздача IP адресов в сети осуществляется либо принудительным назначением статического IP адреса на клиентской сетевой карте. Либо с помощью RRAS VPN сервера или сервера DHCP путем назначения динамического IP адреса, в таком случаи авторизацию необходимо с помощью логина и пароля.
- с помощью IP маршрутизации (необходима серверная версия операционной системы не ниже Windows 2000 Service Pack 3), в данном варианте внешняя клиентская IP сеть должна маршрутизироваться на сервер, а IP адреса раздаваться клиентам. Авторизация клиентов в данном случае должна происходить по IP или MAC адресу. Клиентам назначаться "белые" IP-адреса и на них могут маршрутизироваться подсети.
Может быть и комбинированный вариант, когда есть фирма со своей сетью, своими корпоративными клиентами, а публичная сеть с "коммерческими" клиентами подключена через отдельный интерфейс. Для этой схемы рекомендуется обязательное использование прокси сервера для локальной сети в целях экономии потребляемого трафика. На публичной (клиентской сети) прокси и sock сервер рекомендуется отключать.
Публичная сеть можно использовать при предоставлении платных услуг путем подключения клиентов через свою сеть. Особенности организации "последней мили" значения не имеют. Для такого публичного сегмента, ввиду его неподконтрольности администратору, должны применяться дополнительные меры безопасности.
Конфигурация Трафик Инспектора в сети осуществляется следующим образом:
После инсталляции программы необходимо запустить мастер конфигурирования. Для этого щелкаем правой кнопкой мыши в консоли по Traffic Inspector, в контекстном меню выбираем пункт Конфигурирование. Далее следует определиться с параметрами конфигурации:
a) В мастере конфигурирования:
1) Выбираем "Используется внутренняя и внешняя сеть". Нажимаем далее.
2) Далее указываем интерфейсы внутренней (локальной) сети (в том числе и интерфейс публичной (клиентской) сети). Нажимаем далее.
3) Выбираем тип внутренней сети, на клиентском интерфейсе ставим галку публичной сети, на локальном убираем. Нажимаем далее.
4) Для организации доступа в сеть с помощью VPN ставим галку Разрешить работу с RAS сервером. И конфигурируем RAS интерфейс как публичный. Нажимаем далее.
5) Определяемся в использовании прокси сервера для клиентов. Для этого выбираем порт прокси сервера. Прокси и SOCKS сервер для провайдера рекомендуется не использовать. Нажимаем далее.
6) Выбираем интерфейсы внешней сети (подключенной к провайдеру). Нажимаем далее.
7) Обязательно включаем внешний сетевой экран, выбираем интерфейсы где будет работать сетевая защита. Нажимаем далее.
8) Если прием и передача данных осуществляется через разные интерфейсы, например для спутникового подключения, выбираем интерфейс для приема и передачи данных. Включаем функцию Advanced routing, если предполагается маршрутизировать сети по разным каналам. Например часть трафика пустить по одному каналу, часть по другому. Нажимаем далее.
9) Если провайдеру требуется учет почтового трафика для клиентов или офиса, в мастере конфигурирования включаем SMTP шлюз и настраиваем пересылку почты на почтовый сервер, откуда клиенты ее смогут забирать. В свойствах клиента, на вкладке Авторизация необходимо прописать, email адреса клиента, можно воспользоваться функцией: Загрузить из AD, что позволяет загружать список почтовых адресов из Active Directory. Почтовый шлюз трафик инспектора позволяет работать с "белыми" или "черными" списками IP адресов и службами RBL (Open Relay Database) в интернете. Что особенно эффективно для ограничения пользователей от спама (рекламной рассылки). Нажимаем далее.
10) Выбираем режим использования DNS, обычно ставиться нормальный. Нажимаем далее.
Конфигурирование Трафик Инспектора на этом этапе завершено.
б) Далее выбираем пункт активация, для этого щелкаем правой кнопкой мыши в консоли по Traffic Inspector, в контекстном меню выбираем пункт Активация и проводим активацию программы.
в) Далее необходимо установить права доступа к консоли управления Трафик инспектора, для этого заходим в пункт Администрирование далее выбираем Группы, Администраторы. Заходим в свойства пользователя по умолчанию */*, выбираем логин или группу локальную, или из домена для доступа к консоли. Теперь доступ к консоли управления Трафик Инспектора смогут получить только члены выбранной Windows группы. Подробнее о организации доступа к Консоли управления читайте в разделе справки Администрирование и разграничение доступа.
г) Если вы определились с использованием прокси сервера следует произвести правильное конфигурирование, если использование прокси сервера не предполагается переходим к следующему пункту.
Конфигурирование прокси сервера:
1) Переходим в пункт консоли Traffic Inspector\Прокси сервер, нажмите на кнопку обслуживание кэша.
2) Указать размер прокси кэша и путь для хранения базы данных. Если клиентов в сети много, для увеличения производительности имеет смысл устанавливать операционную систему на одном диске а базу данных кэша хранить на другом.
3) Создать хотя бы одно правило кэширования.
д) Далее следует завести новых пользователей и группы с помощью консоли управления. На группах или отдельных пользователях можно запретить работу конкретных служб например: NAT, socks, proxy для клиентов. Также устанавливать разграничение доступа по времени. Для этого следует:
1) Зайти в раздел консоли Группы.
2) Нажмите свойства Группы, на вкладке Авторизация поставьте галки Разрешить с агента и Разрешить с HTTP прокси - это позволит пользователям авторизоваться с агента и через прокси сервер.
3) Создайте Группу.
4) Создайте пользователей, для этого щелкните правой кнопкой в поле группы, в контекстном меню выберите пункт Добавить пользователя, на вкладке Авторизация, в поле логин введите логин пользователя и пароль (для аутентификации средствами Трафик Инспектора, если используется доменная аутентификация, логин вводится в формате domainname\username, пароль при доменной аутентификации вводить не требуется.
5) Зайдите в свойства нового пользователя, на вкладке Доступ задайте тип доступа, Автоотключение или Безлимитный.
6) На вкладке ограничения можно задать некие ограничения для клиента - это разрешить или запретить работу через NAT, Proxy, Socks сервер. Если требуется возможно установить разрешение доступа по времени для этого переходим на вкладку Расписание.
е) Перейдите в свойства группы. Для этого в контекстном меню группы нажмите свойства. Перейдите на вкладку Тарификация, здесь задаются параметры тарификации пользователей (цена за мб, единица учета трафика, предоплаченый трафик, абонентская плата, стоимость трафика из кэша и почтового задается в процентах.)
Существует несколько способов тарификации:
а) только входящий - тарифицируется только входящий трафик.
б) только исходящий - тарифицируется только исходящий трафик.
в) сумма (входящий + исходящий) - тарифицируется весь трафик.
г) максимальное значение - тарифицируется тот трафик, значение которого больше (входящий или исходящий).
д) также для клиентов можно установить абонентскую плату.
Также в свойствах группы на вкладке Тарификация, можно установить стоимость трафика из кэша (при его использовании), стоимость почтового трафика SMTP, кредит и предоплаченый трафик.
Для установки абонентской платы, зайдите в свойства Группы, далее перейдите на вкладку Тарификация, в поле Абонентская плата, установите тариф абонентской платы и выберите способ ее начисления.
Существует три способа начисления абонентской платы:
а) по суточная (за сутки)
б) по часовая (за реальное время работы проведенное в интернете)
в) с помощью скриптов и функций API подробнее об этом написано в разделе Автоматизация и программирование.
Тема построения тарифных планов подробно в разделе задач "Тарифные планы".
8) Зайдите в Монитор работы, добавьте пользователю денег на счет, чтобы он смог выйти и начать работать, для этого сделайте двойной щелчок мыши на клиенте.
ж) Контроль и учет трафика например SMTP шлюза или DNS сервера, может быть произведен с помощью контролируемых и информационных счетчиков. Контролируемый счетчик Весь интернет служит для учета всего трафика.
Для настройки счетчиков, следует зайти в пункт консоли Внешние сети - Внешний трафик - Счетчики - Информационные:
Рекомендуется добавить несколько счетчиков
а) DNS - в контекстном меню выбрать добавить, ввести имя счетчика DNS локальные порты указать протокол UDP порт 53 - для учета трафика поступающего на DNS сервер.
б) SMTP - в контекстном меню выбрать добавить, ввести имя счетчика SMTP локальные порты указать протокол TCP порт 25 - для учета почтового трафика.
По аналогичному примеру, если провайдер хочет учитывать трафик поступающий на сервиса POP3/IMAP/WWW/FTP и.т.д создаются фильтры для POP3 порт TCP 110, IMAP4 порт TCP 143, WWW порт TCP 80, FTP порт TCP 21. Если используется несколько входящих (резервных) каналов у провайдера, то имеет смысл также настроить Контролируемые и Информационные счетчики для разных каналов. Для этого в свойствах счетчика выберите Интерфейс, на котором необходимо учитывать трафик.
з) Если предполагается работа с внутренними бесплатными ресурсами или сетями, имеющими льготный трафик, а также снижение стоимости трафика в зависимости от времени суток:
а) Работа с внутренними бесплатными ресурсами или сетями: следует создать фильтр "До группы" (если правило применяется для всех клиентов) или фильтр в "Группе" (если правило применяется только для группы). Для этого зайдите в Консоль управления - Внутренние сети - Клиенты - Фильтры - До группы. Добавьте новый фильтр, на вкладке Тип выберите "На разрешение + действие", перейдите на вкладку IP, выберите "Использовать список", далее перейдите на вкладку Список, пропишите льготные подсети в например 10.0.0.0/255.255.255.0 или имена хостов например download.domain.ru, перейдите на вкладку Действия, измените стоимость трафика в % варианте.
После добавление фильтра цена на трафик, сетей и хостов, прописанных в списке будет равна стоимости указанной на вкладке Действия. Подробнее эти вопросы подробно описаны в разделе Решение задач "Бесплатные и льготные сети".
б) Снижение стоимости трафика в зависимости от времени суток: следует создать фильтр "До группы" (если правило применяется для всех клиентов) или фильтр в "Группе" (если правило применяется только для группы). Для этого зайдите в Консоль управления - Внутренние сети - Клиенты - Фильтры - До группы. Добавьте новый фильтр, на вкладке Тип выберите "На разрешение + действие", перейдите на вкладку Расписание установите расписание для скидки, перейдите на вкладку Действия, измените стоимость трафика в % варианте. Например с 20:00 до 8:00 можно установить скидку в размере 50%.
Подробнее эти вопросы описаны в разделе Решение задач "Тарифные планы по расписанию".
и) Далее следует произвести настройку сетевого экрана. Для этого переходим пункт консоли управления Внешние сети - Сетевой экран, заходим в свойства сетевого экрана, отключаем не используемые протоколы DHCP, IPSEC и другие. Зависит от конфигурации сети провайдера. Далее:
а) При необходимости добавляем правила в сетевой экран, например, если используется SMTP шлюз необходимо открыть протокол TCP порт 25, для этого в свойствах фильтра выбрать протокол TCP, в локальном адресе прописать порт 25. Или зайти в свойства SMTP шлюза, на вкладке SMTP сервер поставить галку "Разрешить всем". Данная настройка будет аналогична созданию фильтра TCP 25 в сетевом экране.
б) Если раздача интернета в сети провайдера осуществляется путем IP маршрутизации (роутинга), необходимо в сетевом экране добавить правило, разрешающее трафик на клиентскую IP сеть. Для этого в контекстном меню выбрать пункт Добавить фильтр, в поле Локальный адрес прописать IP подсеть клиентской сети с указанием маски подсети.
Текущая страница справки: help.smart-soft.ru/index.html?qshomenet.htm