© Георгиевский Анатолий, 15.06.2006 - 06.04.2008

Виртуальная организация

Мне нужно организовать работу научно-технического подразделения территориально расположенного на разных площадках. Термином виртуальная организация будем обозначать некоторое социальное образование по интересам. Интерес общий, а люди располагаются в разных частях света, где попало. В условиях университета может потребоваться объединить работу сотрудников расположенных в разных заданиях, в разных университетах или может потребоваться объединить компьютер расположенный дома и на работе.

Для эффективной работы научного-технического подразделения требуются общие ресурсы. Как правило нужен выделенный файловый сервер, почта, доступ к принтерам и сетевым дискам внутри сети. Сеть должна быть хорошо защищенная от взлома снаружи и совершенно открытой для сотрудников. Короче говоря, каким-то невероятным образом компьютер расположенный в любой точке земного шара должен оказаться в локальной сети организации и наш сотрудник должен себя чувствовать не на краю света, а в соседней комнате.

Терминология

Сетка, которая создает условия нормальной работы называется локальной (LAN - local area network). Если локальная сетка туннелирует между зданими и разными площадками и условия совместной работы в едином адресном пространстве обеспечиваются средствами хитроумных сетевых устройств, сеть называется виртуальной.

В нашей организации используется технология объединения сетей VLAN (виртуальные локальные сети), которая позволяет объединять подразделения в разных зданиях. Каждому подразделению соответствует виртуальная сетка со своим уникальным номером.

А как быть с сотрудниками, которые расположены на другом конце света? Очевидно надо придумать два таких устройства, которые создают туннель между сетями двух разных провайдеров, такой чтобы все пакеты, которые исходят и приходят на интерфейс удаленного компьютера отображались в локальной сети организации. Причем соединение через туннель должно устанавливаться пока интерес не прошел.

Можно придумать порядок работы в такой сети. Постучался на адрес сервера, сервер спросил пароль, произошло соединение, после чего сервер отображает все наши пакеты в локальной сети организации. Нужно программное обеспечение в компьютере пользователя, которое обеспечивает туннель со стороны клиента. Назовем такой способ объединения сетей "виртуальные частные сети" (VPN – virtual private network).

VPN Соединие с сервером

Оказывается клиент для организации защищенного соединения есть в Виндах. Для настройки сетевого соединения необходимо выбрать в меню:
«Настройка»/ «сеть»/ «создание нового подключения»
среди прочих вариантов подключения присутствует «подключение к виртуальной частной сети через Интернет». Набираем пароли и явки, подключаемся к серверу.

Для соединения используется протокол TCP/IP (порт 1723), протокол GRE используется для организации трафика между удаленным компьютером и частной сетью. Соответствующие порты и сетевые протоколы должны быть разрешены для использования в сети провайдера услуг Internet и в настройках безопасности удаленного компьютера.

После установки VPN -соединения в системе наровне с обычными сетевыми адаптерами добавляется виртуальный интерфейс WAN, который символизирует сеодинение. При этом допускается одновременная работа в интернет и в частной сети. На основе IP адресов и настроек маршрутов Windows отсылает запросы в интернет или в частную сеть.

Диагностика соедиения

Для диагностики и настройки используются утилиты командной строки: ipconfig, ping, tracert, route print.

Маршрутизация внутри организации, доступ к ресурсам рабочей группы

На рисунке представлена схема организации доступа для сети нашего университета. Сеть разделена на локальные сети подразделений университета и рабочих групп, объединенные через маршрутизатор. При подключении к серверу доступа VPN удаленный компьютер получает адрес в локальной сети (192.168.1.*), в которой располагаются основыне вычислительные ресурсы, что позволяет эффективно работать с кластером, базами данных и файловыми ресурсами.

По умолчанию все сетевые запросы удаленного компьютера, кроме запросов к частной сети (192.168.1.*), отсылаются в интернет. Однако, не редко возникает необходимость доступа к персональным компьютерам и принтрерам внутри рабочих групп.

Для доступа к локальным сетям подразделений, например к сети (192.168.209.*), необходимо переопределить шлюз по умолчанию, чтобы пакеты адресованые к нашей сети передавались на маршрутизатор организации через VPN соединение, а не в сеть провайдера Internet. Для этого надо выбрать опцию "использовать шлюз в удаленной сети" в дополнительных настройках TCP/IP для VPN-соединения, как показано на рисунке.

Для диагностики настроек маршрутизации используется системная утилита route print. На рисунке преведен результат вызова утилиты. После установки соединения система переопределяет основной шлюз и добавляет основной маршрут через VPN соединение.

Установка и настройка работы сервера

Сервер должен обеспечивать тунель между двумя точками глобальной сети. Существует сервер (PPTP) Point-to-Point Tunneling Protocol для Linux. Ничего лучшего чем организовать сервер на вычислительном кластере не придумали, поскольку, в нашем случае, организация VPN доступа к сети вызвана именно необходимостью удаленной работы с вычислительными ресурсами.

  • etc/ppp/pptpd.conf – прописать локальные и удаленные адреса сети.
  • etc/ppp/pptpd.options – прописать имя сервера и способ аутентификации пользователей
  • etc/ppp/chap-secrets – пароли для подключения к сети

Для соединения сервер использует TCP порт 1723 и протокол GRE, которые надо разрешить на сетевом экране организации для адреса сервера доступа.

Документация Микрософт утверждает, что виртуальную сетку можно организовать средствами Windows Server. C Windows Server мы не экспериментировали.

( - )