Сети -> Internet -> Операционка для роутинга

Для подключения локальных пользователей к Интернету через общий канал доступа используются чаще всего специальные программы, работающие либо под ОС Windows, либо под .nix-системами. Это вполне приемлемое решение для небольших организаций. В крупных фирмах для этой цели зачастую используют программно-аппаратные комплексы. Но есть и промежуточное решение - операционные системы, предназначенные для решения таких задач. Одна из них - MikroTik RouterOS, созданная на базе операционной системы Linux.

Что понимается под специализированной операционной системой? То, что ее функции полностью направлены на реализацию определенного класса задач. Так и решение компании MikroTik предназначено для поддержки самых разнообразных решений доступа к Интернету. Операционная система обеспечивает как самые простые задачи - IP-роутинг и его администрирование, так и поддержку IP-телефонии, доступ к OSPF и иные потребности. Одно замечание - базовый пакет поддерживает IP-роутинг и администрирование. Для подключения остальных возможностей требуется приобретение соответствующих пакетов. Важно, чтобы их версия соответствовала версии базовой программы, в противном случае они не будут работать.

Для работы программы достаточно довольно простого компьютера - минимальные требования заключаются в том, чтобы память составляла не менее 64 Мб, частота шины материнской платы - не менее 100МГц, жесткий диск с объемом от 64 Мб. Многопроцессорные системы не поддерживаются, так же как не поддерживаются устройства SCSI, USB, RAID-системы. Никакой предварительно установленной математики для функционирования системы не требуется. После инсталляции она готова к круглосуточной работе. Жесткий диск с установленной системой можно переносить на другой компьютер, но нельзя копировать и переносить инсталлированную систему - так работает система лицензирования.

Перед тем, как система заработает в предусмотренном для нее режиме, ее нужно сконфигурировать. Начинается этот этап с определения и описания сетевых устройств. (Для NE2000-совместимых сетевых плат требуется установить дополнительные драйверы.) Следующий этап - конфигурирование IP-адресов. Все действия выполняются через системные команды. На этом же этапе выполняется и настройка доступа к Интернету. Имеются возможности защиты внешнего IP-адреса роутера от распознавания извне. Если во внутренней сети имеются сервера, к которым необходимо обеспечить доступ из внешней сети, используется статическая переадресация (NAT). Все настройки описываются в виде правил, например:

[admin@MikroTik] ip firewall dst-nat> add action=nat protocol=tcp \
dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4
[admin@MikroTik] ip firewall dst-nat> print
Flags: X - disabled, I - invalid, D - dynamic
  0    dst-address=10.0.0.217/32:80 protocol=tcp action=nat
    to-dst-address=192.168.0.4
[admin@MikroTik] ip firewall dst-nat>

Специализированные компьютеры, в том числе роутеры, обычно обслуживаются сетевыми администраторами. А у них столько дел, что перемещаться от компьютера к компьютеру им просто некогда. И их выручают имеющиеся возможности удаленного доступа. Какие возможности предоставляет MikroTik RouterOS? Во-первых, предустановленный Telnet Server. С его помощью можно подключаться у другим устройствам локальной сети. Во-вторых, имеется консоль управления асинхронными портами. Это означает, что с ее помощью можно управлять устройствами, подключенными к этим портам - модемом, сетевыми устройствами или любыми иными, подключенным к этим портам. С помощью этой консоли можно настроить один из асинхронных портов для обеспечения доступа к роутеру, например, через нуль-модемный кабель с использованием терминальной программы. Для обеспечения безопасности имеется возможность подсоединения с использованием защищенного протокола к серверу SSH.

Для системщиков, работающих на компьютерах с операционной системой Windows, удачным решением будет использование возможности доступа к роутеру и его функциям через http-соединение. В качестве приложения на роутере используется программа Winbox. Она становится доступной после соединения с роутером по http-протоколу на стандартном 80-м порту. (Сама же программа использует порт 3986 для незащищенного соединения и порт 3987 - для защищенного соединения.) В открывающемся после подключения к программе окне не нужно вводить какие-либо дополнительные команды - все они выполнены в виде меню, в котором можно выбрать действия, которые необходимо выполнить. (Аналогичные действия по настройке, просмотре конфигурации, ее изменении можно выполнять и через консоль терминала, но в ней все команды необходимо вводить с клавиатуры.) Есть и еще одна возможность доступа - через доступ с поддержкой MAC-адресов. Используется как правило для связи двух роутеров.

Параметры конфигурации настраиваются долго, а вот утратить их можно в один момент. Чтобы была возможность восстановить случайно утраченную конфигурацию, либо использовать несколько различных вариантов, в состав продукта включен сервис управления конфигурациями. С его помощью можно создавать резервные копии и восстанавливать из них конфигурации, осуществлять импорт и экспорт конфигураций (удобно для типовой настройки нескольких роутеров). Все действия, выполняемые на роутере, могут быть запротоколированы. Протоколы (лог-файлы) могут храниться как на самом роутере, так и на удаленном сервере, на котором запущена программа Windows Syslog daemon.

Локальную сеть необходимо защищать от проникновения извне. Для этой цели в роутере присутствует брандмауэр, имеющий большие возможности по настройке прохождения пакетов. Для настройки и управления правилами фильтрации можно использовать любой из описанных выше способов доступа к роутеру. Брандмауэр поддерживает фильтрацию пакетов сети Pear-to-Pear вне зависимости от того, какой тип протокола эти сети поддерживают. Для остальных протоколов используется фильтрация по адресам. Корректно прописанные правила обеспечивают невозможность проникновения в локальную сеть, как и на сам роутер, извне, в то же время, позволяя проходить пакетам на определенные внутренние сервисы.

Как и любая иная "уважающая себя" программа роутинга, MikroTik RouterOS имеет встроенный DHCP-сервер и кэширование DNS. В комплект системы входят как серверная, так и клиентская части DHCP, что обеспечивает надежную и стабильную работу этого сервера. IP-адреса могут назначаться как динамически, так и статически, связываться с MAC-адресами. Для каждого сетевого адаптера может запускаться отдельный DHCP-сервер. Кроме кэширования DNS-запросов, роутер поддерживает и кэширование веб-запросов. Для этого устанавливается сервис веб-прокси. При использовании этого сервиса система резервирует из всего свободного места на диске одну седьмую доступного объема собственно для системы, но не менее пятидесяти мегабайт, а остальное пространство (за небольшим исключением для RAM) может предоставить для кэша прокси-сервера. Настройки прокси позволяют установить время, после которого данные из кэша удаляются и требуется их обновление при обращение к сохраненным ранее страницам. Возможности прокси обеспечивают также настройку прав доступа к внешним ресурсам. В случае любых проблем, связанных с кэшем прокси-сервера, система роутера будет пытаться решать их самостоятельно. В крайней ситуации взамен проблемного кэша будет создаваться новый, а старый удалится.

Установить и настроить роутер - занятие хоть и не простое, но вполне по силам грамотному администратору. Но кроме настройки необходимо тестировать роутер на качество работы. Для этого имеются специальные системные утилиты, позволяющие определить качество связи и качество передачи пакетов по различным протоколам. Одним из таких методов является Bandwidth Test. С его помощью можно проверить прохождение пакетов через роутер. Другой способ - Realtime Traffic Monitor - определяет прохождение пакетов через любой из сетевых интерфейсов. При этом можно проверять любые из сетевых или IP-протоколов. Следующие тесты - трассировка прохождения пакетов, пингование сети, выявляющие дополнительные показатели как роутера, так и внешней связи.

Во время работы роутера администратор не будет постоянно находиться в его консоли и отслеживать его работу. Для этой цели существуют другие способы. Один из них - отправка сообщений о различных событиях на определенные адреса электронной почты. Выполняется эта задача с помощью встроенного e-mail - клиента. Этот клиент использует заранее подготовленные скрипты для формирования и отправки сообщений. Например, перед созданием резервной копии конфигурации настроек может быть отправлено сообщение: [admin@MikroTik] tool e-mail> send file=back.backup to=someone2@mikrotik.com \
\... body="This morning" subject="Backup"
А для написания скриптов, которые могут использоваться не только для формирования и отправки сообщений, имеется специальный сервис.

Что же по поводу дополнительных сервисов? Роутер может обеспечивать услуги IP-телефонии при использовании дополнительных устройств, таких как:

• Quicknet LineJACK or PhoneJACK analog telephony cards
• ISDN cards
• Voicetronix OpenLine4 (was V4PCI) - 4 analog telephone lines cards
• Zaptel Wildcard X100P IP telephony card - 1 analog telephone line

Предлагаемое программное решение намного шире по своим возможностям роутеров, устанавливаемых под операционными системами. В то же время оно проще в освоении и настройке, чем установка ОС Linux и роутера под этой системой. И это решение дешевле, нежели приобретение аппаратно-программного маршрутизатора.

Автор: Михаил Брод
Источник: www.hostinfo.ru