EuropeOnline Networks (EON) с самого начала предоставления услуг спутникового Интернета в первую очередь была ориентирована на такой сервис, как Digital Download (загрузка больших файлов до 700 Mb за одну сессию при скорости более 2 Mbit/sec), а также на web-серфинг, но на ограниченной скорости, динамически изменяющейся в зависимости от загрузки прокси-серверов. Эти сервисы в основном ориентированы на частный сектор рынка (домашних пользователей) и подключение небольших ЛВС (до 5 машин). Приведем кратко основные достоинства и недостатки спутникового провайдера EON.
Плюсы:
- Digital Download — работа с большими файлами в режиме offline (700 Mb за одну сессию);
- HTTP/FTP — работа с файлами в режиме online;
- Невысокая абонентская плата за обслуживание (unlimited);
- Увеличение количества открываемых IP сессий в Online режиме при Web серфинге приводит к увеличению скорости обмена данных.
Минусы:
- Работа через proxy-сервер, вследствие чего отсутствуют другие поддерживаемые сервисы: POP3, ICQ, IRC, Napster, IPhone и т.п. (все ресурсы, которые требуют реального IP-адреса пользователя);
- Отсутствие возможности докачки файла с FTP сервера при загрузке в режиме online в случае обрыва сессии;
- Количество IP сессий ограничено 30 (согласно договору с EON);
- Нестабильность работы Web-серфинга в различные промежутки времени, из-за перегруженности сервера;
- Наличие реального IP адреса.
С тестами работы EON Вы можете ознакомиться здесь.
Для преодоления ограничений на количество сессий можно использовать большее количество подписок. На практике это реализуется путем прописки нескольких удаленных прокси-серверов EON у пользователя.
Программное обеспечение для раздачи трафика HTTP/FTP по локальной сети
Раздачей трафика занимаются так называемые прокси-серверы, осуществляющие авторизацию на родительских (parent), удаленных прокси-серверах. Такой уровень авторизации поддерживают не все прокси-серверы. Рассмотрим некоторые из них:
PROXY+. Самый простой прокси-сервер в настройке.Основные характеристики и поддерживаемые сервисы
Proxy+ представляет собой полное решение для доступа из Вашей локальной вычислительной сети (LAN) в Интернет с высокой степенью безопасности.
Поддержка: HTTP proxy, HTTPS proxy, FTP proxy, FTP gateway, Gopher proxy, Telnet gateway, SOCKS4 and SOCKS5, Real Audio Proxy, ICP Server/ICP client, DNS Forwarder, POP3/SMTP mail server, Mapped links.Конфигурация
Осуществляется программным управлением через WWW-интерфейс с поддержкой фреймов. Адрес управления имеет вид "http://x:4400", где x – это IP адрес Вашего компьютера с установленным Proxy+. IP может иметь локальный вид, например 127.0.0.1, или IP вашей сетевой карты — 192.168.3.1.Программные и аппаратные требования
PROXY+ устанавливается на ПК c ОС Windows 95/98, Windows NT или Windows 2000. Свободное место на диске для кэша и сохранения баз писем e-mail пользователей — 10Mb. Наличие TCP/IP протокола. Proxy+ не нуждается в Winsock.DLL и работает в стандартной установке ОС с поддержкой протокола TCP/IP. Proxy+ работает с одной или более сетевыми картами для LAN-связи, или если есть хоть одно коммутируемое соединение с вашим Интернет провайдером. Особых требований к аппаратному обеспечению нет. Размер использования оперативной памяти зависит от фактического размера дискового кэша, типа загрузки данных и количества пользователей — обычно несколько сотен Кб. В среднем, это 100 байт RAM для каждого объекта в дисковом кэше. Версия
Free-версия имеет некоторые ограничения по использованию в вашей сети: 2 пользователя сети, 3 почтовых ящика (аккаунта) и дисковый кэш web-страниц на 1 Mb. Существуют версии с 5, 10 и неограниченным количеством пользователей сети (за отдельную плату).
Некоторые особенности установки под Windows NT и Windows 2000:
Установка Proxy+ под Windows NT и Windows 2000 возможна в режиме сервиса (application with service support). Для этого вы должны иметь права администратора.
Адрес в интернете:
SQUID. Разрабатывалось для работы на любых современных Unix системах, и известно, что работает на AIX, FreeBSD, HP-UX, IRIX, Linux, OSF/1, Solaris, и SunOS, Windows NT.
- полнофункциональный прокси для Web;
- разработан для работы на Unix-системах;
- бесплатен, имеет открытый код;
- результат усилий большого количества оплачиваемых/не оплачиваемых добровольцев.
- проксирование и кеширование HTTP, FTP, и других URL;
- проксирование для SSL;
- иерархии кешей;
- ICP, HTCP, CARP, Cache Digests;
- прозрачное проксирование;
- WCCP (Squid v2.3);
- гибкий контроль доступа;
- HTTP серверную акселерацию;
- SNMP;
- кеширование DNS-запросов.
С информацией по настройке и функциональным возможностям этой программы Вы можете ознакомиться здесь, а с примером настройки подключения к EON — здесь.
Раздача по сети конференций USENET (Новостей)
Для решения этой задачи можно использовать самое разнообразное ПО — это WinProxy, WinGate, WinRoute и другие подобные программы. В качестве сервера новостей следует указывать следующие серверы:
| Транспондер | Сервер |
| 113 | news113.europeonline.net |
| 114 | news114.europeonline.net |
Схемные решения для подключения ЛВС к спутниковому Интернету с использованием сетевого ПО
Рассмотрим реализацию сети на простом примере.Постановка задачи
Обеспечить подключение двух локальных сетей офиса1 и офиса2 из нескольких машин в каждой к спутниковому Интернету таким образом, чтобы значительная часть входящего трафика поступала через спутник. Обеспечить изолированность локальных сетей, содержащих ценную и конфиденциальную информацию.Архитектура сети
Локальная сеть разделена на сегменты, имеющие сходную топологию и организацию структур управления. Так как сеть в целом не является закрытой корпоративной системой, соблюден ряд требований защиты от несанкционированного доступа как извне, так и изнутри сети. Общие принципы
В дальнейшем будут использоваться следующие определения:
Внутренняя сеть — локальная сеть, использующая закрытый диапазон адресов, в которой осуществляется деятельность подразделения и которая не доступна из других подразделений иначе, как с явного разрешения администратора сети;
Внешняя сеть — (глобальная) сеть, соединенная с сетью Интернет и имеющая собственное адресное пространство, подразумевающее возможность доступа из Интернета.
Рис. 1. Схема подключения ЛВС к спутниковому каналу
Каждое подразделение, имеющее внутреннюю сеть, подключается к внешней сети через выделенный сервер, на котором установлены две сетевые платы, разделяющие кабельные системы внутренней и внешней сети. Между платами запрещена маршрутизация сетевых пакетов. При необходимости организации закрытых сегментов, не имеющих прямого доступа в Интернет (в качестве дополнительной меры защиты), внутренняя и внешняя сети могут быть развязаны по протоколам: во внутренней сети может использоваться IPX или NetBEUI, во внешней – TCP/IP.
В том случае, когда необходимо подключить спутниковый канал, в такой компьютер устанавливается DVB–карта, которая коаксиальным кабелем подключается к спутниковой антенне. Схема подключения сегмента внутренней сети проиллюстрирована на Рис. 1.
Топология внутренней сети подразделения жестко не задается, за исключением наличия в ней указанного сервера c двумя сетевыми платами. Это означает возможность продолжения нормальной работы внутренней сети без переконфигурирования.
На сконфигурированном вышеописанным способом шлюзовом сервере устанавливается Microsoft Exchange Server (MSES). Так как серверу с двумя сетевыми картами доступны и внешняя, и внутренняя сети, MSES по внешней сети сможет обмениваться информацией и с другими MSES телекоммуникационной системы и передавать/получать почту и другие данные из Интернет.
Помимо MSES на такой компьютер может устанавливаться программный маршрутизатор, поддерживающий трансляцию адресов (NAT Router). С помощью NAT компьютеры внутренней сети, имеющие IP–адреса из закрытого для Интернета диапазона, могут иметь доступ в Интернет, оставаясь совершенно недоступными из внешней сети, а следовательно, и неуязвимыми для атак извне.
Программное обеспечение
В качестве серверной операционной системы для серверов, обслуживающих телекоммуникационную систему, может использоваться ОС Windows NT Server версии 4.0 с установленным Service Pack #6 или ОС Windows 2000 с установленным Service Pack #1 в варианте Server либо Professional. Поскольку организация домена Windows 2000 и поддержка сервиса Active Directory в рассматриваемом случае нецелесообразна, на основном и резервном контроллерах домена внутренней сети должна быть установлена операционная система Windows NT 4.0 в варианте enterprise edition с использованием средств терминального доступа.
Программное обеспечение для реализации Sat Router'a: можно использовать Proxy+, предусматривающую каскадную реализацию работы с удаленными прокси-серверами (в данном случае — прокси-сервера EON).
Безопасность
При проектировании телекоммуникационной системы были учтены требования к безопасности, предъявляемые задачами c повышенной секретностью.
На канальном и сетевом уровне защита реализована программно, с помощью разделения трафика на серверах, осуществляющих функции транслирующего маршрутизатора (NAT), более высокие уровни закрываются с использованием средств, предоставляемых операционной системой Windows NT с установленным Service Pack #6 (сертифицирована на класс безопасности C2 по Оранжевой книге с середины 1995г.)
На программном уровне защита от НСД реализована с использованием целого комплекса мер, направленных на пресечение попыток доступа к закрытым ресурсам.
- Все участники внутренней сети должны регистрироваться в домене сети (возможна организация нескольких доменов).
При этом: - ни у кого из пользователей не может быть прав администратора;
- регистрация под именем Guest запрещена;
- аккаунт администратора переименован для затруднения попыток подбора имени; - Все удачные и неудачные попытки регистрации в домене отмечаются в системном журнале и регулярно просматриваются администратором;
- После трех неудачных попыток регистрации в домене аккаунт пользователя блокируется и может быть разблокирован только администратором домена после выяснения ситуации;
- Пользовательские пароли регулярно и в обязательном порядке меняются.
- Старые пароли запоминаются на контроллере домена и не могут быть повторно использованы в будущем;
- На уровне файловой системы запрещен доступ ко всем ресурсам, которые не являются необходимыми для работы пользователей. Все неудачные попытки доступа к ресурсам регистрируются в системном журнале.
- Все доступные ресурсы на серверах разделены с использованием средств, скрывающих имена. Пользователь может подключиться к ресурсу, только если ему точно известно его имя в формате UNC;
- Может не настраиваться межсегментный browsing over a WAN link. В этом случае пользователь, работающий во внутренней сети, будет видеть только browse list, содержащий компьютеры в локальном сегменте.
Безопасность электронной почты контролируется средствами Microsoft Exchange, включающими ограничения прав пользователей на доступ к Public/Private Folders, электронную подпись сообщений и др.
На компьютерах, выполняющих функции шлюзов Интернета, обязательна установка специализированных средств защиты, определяющих и пресекающих атаки извне, а также соответствующая настройка NAT-маршрутизаторов.
Распределение IP-адресов и разрешение имен во внутренней сети
IP-адреса во внутренней сети распределяются автоматически, с использованием Dynamic Host Configuration Protocol (DHCP). Использование NetBios over TCP/IP позволяет осуществлять разрешение IP-адресов в NetBios-имена машин с помощью механизма Windows Internet Name Service (WINS), который при необходимости обращается к локальному или внешнему DNS-серверу.
Преимущества использования DHCP/WINS перед методом с использованием файлов hosts и lmhosts состоят в том, что:
- Не требуется репликация файлов hosts и lmhosts;
- Автоматически исключаются источники конфликта адресов и имен, так как целостность адресного пула контролируется DHCP сервером, а пространство имен — WINS сервером;
- Все изменения базы адресов легко отслеживаются.
В случае сбоя базы адресов и имен DHCP и WINS могут быть скопированы и восстановлены без вмешательства оператора.
Распределение IP-адресов во внешней сети
IP-адреса во внешней сети берутся из диапазона адресов, выделенного наземным провайдером, и назначаются вручную. При этом в качестве первого адреса DNS рекомендуется использовать IP-адрес вторичного DNS-сервера, находящегося в локальном сегменте.
Топология и оборудование
Рис. 2. Схема подключения ЛВС двух офисов к отдельным спутниковым каналам
Для полноценной реализации поставленной задачи необходимо использовать по меньшей мере пять компьютеров, распределение функций и рекомендуемые технические характеристики которых приведены в следующей таблице:
| Номер на рисунке | Выполняемые функции | Тип процессора и тактовая частота | Объем оперативной памяти, Мб | Объем дисковой памяти, Гб |
| 1 | Шлюз для подключения локальной сети 1-го офиса через наземного и спутникового провайдера. Используемые подсистемы:
| Celeron 633 | 128 | 20 |
| 2 | Шлюз для подключения локальной сети 1-го и 2-го офиса через наземного провайдера, почтовый сервер, вторичный DNS-сервер Используемые подсистемы:
| Celeron 633 | 128 | 20 |
| 3 | Шлюз для подключения локальной сети 2-го офиса через спутникового провайдера, резервный почтовый сервер Используемые подсистемы:
| Celeron 633 | 128 | 20 |
| 4 | Основной контроллер домена Сервер приложений Файл-сервер | Pentium III — 750. На плате должен быть аппаратный RAID- контроллер | 256 | Два диска по 45Гб, объединенные в RAID-массив |
| 5 | Резервный контроллер домена. Сервер резервного копирования | Pentium III — 750 | 128 | 20 |
Детали организации сети
Клиенты внутренней сети, работающие с системой Internet-Trading, где чувствительность к задержкам получаемой и передаваемой информации максимальна, работают со своим (узкоспециализированным) программным обеспечением через socks proxy, не использующим спутниковый канал доступа. При необходимости возможна "прямая" работа в Интернете, поскольку механизм трансляции адресов (NAT) поддерживает практически любой протокол сетевого (и более высоких) уровней, работая на канальном уровне и изменяя входящие/выходящие сетевые пакеты до того, как они попадают на обработку к драйверам стека протоколов TCP/IP.
Работа с WWW и FTP возможна как напрямую (через наземного провайдера), так и через спутникового провайдера, с целью обеспечить значительную экономию на входящем трафике. Для этого программы, с помощью которых клиенты из внутренней сети обращаются к www-ресурсам, настраиваются на использование http/ftp proxy (компьютеры №1 для сети 1-го офиса и №3 для сетей 2-го офиса, Рис. 2).
При необходимости возможно использование "прозрачного" (transparent) proxy-сервера на компьютере №2, который будет перехватывать все исходящие запросы по протоколам http/ftp и перенаправлять их на спутниковый шлюз. Также возможно использование спутникового шлюза в качестве proxy-сервера для доступа с компьютера №2. Каскадная организация proxy-серверов позволит централизовать учет трафика внутри сети.
Основные моменты при настройке программы Proxy+ для работы с прокси-сервером EON.
В меню CASCADING GENERAL SETTING -> Object retrieval method: -> измените на NON-ICP Parent Server
В NON-ICP Parent Server пропишите один из прокси-серверов EON, имя и пароль для автоматической авторизации.
WINROUTE. Поддерживает NAT и Parent Proxy. Однако отсутствует возможность настройки логина и пароля на parent proxy. Путем прописки в реестре ключа HKEY_LOCAL_MACHINESoftwareTinySoftwareWinRoute в параметрах ParentProxyUser и ParentProxyPass эта проблема решается.
Настройки для прокси-сервера EON (103 транспондер) в Winroute
Схемные решения для подключения ЛВС к спутниковому провайдеру с использованием аппаратных DVB-маршрутизаторов.
Сегодня на рынке массового потребления услуг спутникового провайдинга появились уже готовые варианты Sat-технологий для построения высоконадежных серверов доступа в локальных сетях, а также для компьютеров с операционными системами, отличными от Windows и Linux (FreeBSD, Solaris и пр.). Таковыми являются модели SkyMedia LX-2000 10/100 BT, Miro Router LRP (Linux Router Project), Pent@Office. Рассмотрим возможности некоторых из них.
SkyMedia LX2000-10/100BT. Представляет собой цифровой спутниковый приемник и LAN маршрутизатор. Изготовитель Telemann (Корея).
 |  |
- Прием данных DVB — Digital Video Broadcasting (ETSI 301 192);
- Реализация высокоскоростного доступа в Интернет или прием IP-каналов (Мультивещание, Multicast);
- Представляет собой DVB/IP шлюз;
- Передача принятых данных в локальную сеть через EtherNet порт: 10 Мбит — модель LX2000-10BT, 100 Мбит — модель LX2000-100BT.
- Встроенный Smart Card Reader;
- Не требует специальных драйверов;
- Удаленное управление и конфигурирование как посредством специального ПО, так и с помощью TELNET;
- Автосканирование приемного диапазона.
- Программа конфигурации и управления для Windows 98/NT;
- Возможность обновления firmware.
| Тюнер | |
| Входной частотный диапазон | 950–2150 MHz |
| Электропитание конвертера | 14/18 В ON/OFF, до 400 мА, защита от КЗ |
| Управление конвертером | 22 кГц, DiSEqC 1.0 |
| Демодулятор | |
| Скорость потока | 2–45 Мсимв/с |
| Тип модуляции | QPSK |
| Roll off Factor | 0.35 |
| Outer Decoder | Reed Solomon (204, 188, 8) |
| Forward Error Correction | 1/2, 2/3, 3/4, 5/6, 7/8 |
| Режимы SCPC и MCPC | |
| Встроенный Smart Card Reader | ISO 7816 |
| Интерфейс Ethernet | Ethernet 802.3u 10/100 Mbps |
| IP протоколы | Telnet (TCP), IGMP, ICMP |
| LAN интерфейс | RJ-45 |
| Пропускная способность | |
| Поток с транспондера | до 60 Mbps-variable |
| По интерфейсу (пиковый) | 40 Mbps для 100BaseT, 8 Mbps для 10BaseT |
| Напряжение питания | 85–265 VAC 50/60Гц |
| Энергопотребление | до 20 Вт |
| Вес | около 1 кг |
| Габариты | 155×216×48 мм |
- Multiprotocol Encapsulation(MPE);
- Datagram and Section Packing;
- CRC check sum;
- Unicast/Multicast Filtering;
- 32 PID Filters;
- 32 Section Filters;
- PES and TS Data Filtering;
- PSI/SI Private Tables;
- LLC SNAP/Null Encapsulation;
- Inband Signaling.
C настройками SkyMedia LX2000 Вы можете ознакомиться здесь, а со схемными решениями построением ЛВС — здесь. Pent@Office. Цифровой спутниковый приемник и LAN маршрутизатор
Pent@Office обеспечивает роутинг DVB-IP в локальную сеть, к которой подключен штатным образом непосредственно к хабу, как любой другой компьютер. Pent@Office был разработан для передачи DVB-IP видео, аудио и данных к корпоративным сетям, местным провайдерам, в общем, к любой Ethernet сети. Pent@Office также имеет особенность — удаленный доступ и управление по протоколу Telnet. То есть полная независимость от существующей операционной системы на Вашем сервере, да и на любом другом компьютере в сети. Все, что нужно для работы — это чтобы Ваша операционная система позволяла работать по протоколу Telnet.
Pent@Office подключается непосредственно к хабу локальной сети, при этом отсутствует необходимость в прокси-сервере. Он может поддерживать до 64 клиентов, причем раздача трафика может происходить в подсеть, отличную от своей. Фильтрация трафика осуществляется как по MAC, так и по IP адресам, которые указываются в MAC & IP Address Table. А программа Pent@Client позволяет заполнять эту таблицу динамически. Кроме того, Pent@Office позволяет фильтровать трафик и по собственному MAC адресу. При IP-фильтрации необходимы реальные IP адреса для каждого компьютера, который будет обслуживаться Pent@Office — это может быть как подключение по выделенной линии с диапазоном адресов, так и вариант с отдельным подключением каждого компьютера в сети к интернету по модему. Pent@Office — готовое решение для подключения небольших локальных сетей к спутниковому каналу.
Функции, которые должны брать на себя рассмотренные выше маршрутизаторы — это перенаправление пакетов Multicast и Unicast от спутниковых провайдеров в локальную сеть предприятия.
Рис. 3. Схема подключения ЛВС через выделенную линию с реальными IP-адресами
Все компьютеры в ЛВС имеют реальные выделенные IP-адреса (в данном случае схема подключения ЛВС по выделенной линии с WAN Router и диапазоном выделенных адресов). SAT Router также имеет выделенный IP адрес. Схема применима при подключении к EON. IP адрес WAN Router’a прописывается в Sat Router в качестве шлюза (Gateway). От этого адреса идут обращения к удаленному прокси-серверу EON, в том числе и авторизация. Ответ приходит на Sat Router, который пересылает его на WAN Router, и тот уже обеспечивает раздачу трафика по сети. Вместо аппаратного маршрутизатора (Wan Router) может быть рабочая станция или сервер с коммутируемым или выделенным соединением (Рис. 4).
С руководством по установке Pent@Office на русском языке Вы можете ознакомиться здесь
Дополнительные решения по настройке Pent@Office в локальной сети — здесь.
Рис. 4. Схема ЛВС с одним выделенным IP адресом
Sat Router регистрирует на удаленном сервере спутникового Интернет провайдера любого пользователя ЛВС по его MAC-адресу сетевой карты Ethernet (NIC) в качестве независимого подписчика. В ЛВС на одну из сетевых машин установлен NAT и прокси-сервер Winroute Pro (Lite) для разделения одного выделенного IP у наземного провайдера между внутренними IP-адресами пользователей, и разделения хотя бы одного наземного Dial-Up или выделенного соединения между группой пользователей. Если нет реальных IP, то сеть строится с использованием адресов 10.10.10.xx. Для случая модемного соединения некоторые Sat Router’ы поддерживают автоматическое определение адреса Gateway.
Выводы
DVB-маршрутизаторы SkyMedia LX2000 и Pent@Office на сегодняшний день являются прекрасным решением для подключения ЛВС к спутниковым провайдерам с целью минимизировать инвестиции в активное оборудование информационных сетей. Судите сами, стоит ли тратиться на покупку нескольких DVB-карт (цена которых — от $250 каждая) с несколькими подписками (по 30 IP-сессий каждая) или приобрести один DVB-маршрутизатор, цена которого не превышает $420, и который способен решить проблемы увеличения IP сессий для нескольких подписчиков. Вы всегда сможете перенастроить Вашу ЛВС с минимальными затратами на другой спутниковый канал, минимизировать трафик (загрузку) по сети (в случае приобретения более одного DVB-маршрутизатора).
В настоящее время существует нестабильность работы спутникового провайдера EON в связи с реорганизацией в структуре предоставляемых услуг. Но ведь рассмотренные в данной статье оборудование и схемы реализации подключений ЛВС применимы и для других Sat ISP.
Рекомендуемые ссылки
- Как раздать видео-потоки с сайта EOL по локалке?
- Запись видеопотоков с сайта ЕОЛ на диск в .AVI файл
- Раздача медиа-потоков по локалке с Win2k Server По материалам конференций.
- Как я раздавал СHANNEL18 с ЕОЛа под Win2k Server По материалам конференций.
- Программа Proxy+ www.proxyplus.cz/
- Программа Winroute www.tinysoftware.com/
- Официальное руководство по Winroute на русском языке
- Winroute FAQ, описание настроек. На русском языке
