Наступает эра "тонких" клиентов, и это означает, что в корпоративных сетях и в Internet начинает появляется множество апплетов и других программных компонентов. Тонкие клиенты, как бы они ни назывались - сетевой компьютер, Windows-терминал или NetPC - будут активно использовать Java-апплеты, управляющие элементы ActiveX или другие компоненты, распределенные по сетевым серверам. Внедрение компонентных технологий несомненно приведет к росту (и порой предсказуемому) сетевого трафика, способному внести беспорядок в тщательно спроектированные корпоративные сети.

"Мы собираемся начать использовать Windows Zero Administration Kit и тонкие клиенты NetPC, чтобы снизить общую стоимость содержания сети, и особенно затраты на удаленное администрирование, - говорит Дэнни Робинсон, главный сетевой инженер MCI Systemhouse, дочерней фирмы MCI Communications. - Одной из главных проблем, которую придется решать при внедрении тонких клиентов, будет повышение сетевой нагрузки, поскольку эти клиенты больше используют серверное ПО и приложения intranet."

Укрепляя свою сеть перед "нападением" апплетов, вы, прежде всего, должны убедиться, что ваши серверы обладают достаточной вычислительной мощностью и расположены в правильных местах. Вы также должны обеспечить достаточную пропускную способность сети и принять меры к тому, чтобы конечные пользователи не могли самостоятельно загружать программы, которые приносят больше вреда, чем пользы.

Ключевые компоненты

Все большее количество разработчиков используют программные компоненты для создания Web-страниц с активным содержимым или применяют Internet-технологии для совместного использования информации в корпоративных сетях. Эти компоненты, которые чаще всего являются Java-апплетами или управляющими элементами ActiveX, встраиваются в Web-браузеры или в другие контейнеры и формируют приложения. Для выполнения внутри контейнеров программные компоненты могут загружаться с локального диска, файл-сервера или сервера Internet.

Многие компоненты выполняют какую-то одну функцию, но для этого запрашивают сервисы и другие компоненты с нескольких серверов корпоративной сети. Такая расширяемость существенно затрудняет слежение за влиянием трафика, создаваемого компонентами, на сеть, особенно если с сетевыми приложениями одновременно работают несколько пользователей.

Трафик может содержать как простые тексты и HTML-файлы, так и графические данные и мультимедийные приложения. Фактически, апплет или управляющий элемент может заключать в себе как один из этих видов данных, так и все сразу. "Мы пытаемся упростить наши узлы intranet, чтобы минимизировать их влияние на сеть, однако, фактически получается, что содержимое этих узлов определяют клиенты, которые хотят использовать одновременно речь, видео и графику," - говорит Кенни Грандерсон, президент компании Inner-City Software, занимающейся разработкой приложений.

Все это может оказаться весьма болезненным для традиционной сетевой среды, в которой администраторы привыкли тщательно планировать потоки трафика и учитывать требования к пропускной способности, связанные с обновлением сетевой ОС или внедрением новых клиент-серверных приложений.

Тем не менее, сетевые администраторы могут предпринять ряд шагов, которые позволят защитить сети от развала, вызванного внедрением компонентных технологий.

Как укрепить сеть?

Вашим первым шагом на пути укрепления сети должна стать разработка и внедрение строгой корпоративной политики в отношении доступа к Internet и развертывания серверов intranet. Хотя большинство организаций уже выработали в той или иной форме политику доступа к Internet, лишь немногие из них имеют в письменном виде правила, ограничивающие и контролирующие развертывание серверов intranet.

Отдел информационных технологий (ИТ) должен с самого начала взять серверы intranet под свой контроль. При этом, не так важно администрировать информационное наполнение серверов, как обеспечить, чтобы серверы соответствовали тем же (или еще более строгим) требованиям, которые предъявляются к другим корпоративным серверам.

По мере того, как серверы intranet, содержащие апплеты и другие компоненты, становятся все более популярными среди конечных пользователей и играют все большую роль в каждодневных деловых операциях сотрудников, все большее значение приобретают такие характеристики серверов как производительность и время бесперебойной работы. Отделы ИТ должны документировать требования к процессору, памяти и емкости диска для этих серверов - точно так же, как это должно делаться для серверов электронной почты, баз данных и других серверов корпоративной сети.

Наибольшее значение имеют требования к памяти. Компьютер должен иметь как минимум 64 Мбайта ОЗУ, а возможно, и в два раза больше. Памяти никогда не бывает слишком много. Если память достаточно большая, то может быть выбран менее мощный процессор. Необходимая емкость диска определяется тем, какие приложения используются.

Пропускная способность

Чтобы достичь максимальной производительности и свести к минимуму проблемы с управлением, важно правильно разместить серверы в сети. Централизованное размещение серверов упрощает управление ими, в то время как распределение серверов по сети помогает сократить сетевой трафик на WAN-каналах. Обычно в компаниях используется некоторое сочетание этих двух подходов.

Для передачи апплетов в пределах локальной сети должны использоваться сетевые коммутаторы. Использование коммутаторов уровня 2 на границе сети обычно помогает увеличить пропускную способность сети и достичь более высокой производительности. Установка в центральной части сети интеллектуальных коммутаторов уровня 3 обеспечивает улучшенное управление трафиком и скорость передачи пакетов благодаря использованию таких функций как IP-коммутация, ограничения на многоадресную рассылку и др.

Учитывая то, что стоимость выделенных портов на 100 Мбит/с сейчас составляет уже менее 100 дол., имеет смысл зарезервировать один из таких высокоскоростных каналов для сервера, а для пользователей оставить выделенные или разделяемые каналы на 10 Мбит/с.

Многие современные коммутаторы также обеспечивают возможности организации виртуальных сетей (VLAN), что позволяет компаниям разделять пользователей и серверы на логические группы, независимо от их физического местоположения. Технология VLAN обеспечивает возможности управления сетью "на лету", что позволяет отслеживать изменения трафика, происходящие в результате использования апплетов. "Мы встраиваем в операционную систему наших коммутаторов все больше и больше функций контроля трафика и управления, которые нужны компаниям для поддержки приложений intranet," - говорит Майк Прайе, маркетинговый агент из компании Cabletron Systems.

Возможно, один из лучших на сегодняшний день способов анализа сетевой производительности - это использование Remote Monitoring (RMON) 2. RMON позволяет собирать статистическую информацию, которая дает возможность сетевым администраторам строить модели использования сети и ее производительности. Для анализа тенденций в сети можно использовать ряд счетчиков, которые позволяют идентифицировать обычные и предсказуемые изменения в использовании сети. RMON также помогает определять, в какие периоды времени использование пропускной способности достигает пиковых значений и необходимы дополнительные ресурсы.

Ряд поставщиков, среди которых BMC Software и Optimal Networks, поставляют продукты, специально предназначенные для слежения за доступом пользователей к Java-апплетам и за распространением компонентных приложений по сети intranet. Эти средства призваны помочь сетевым администраторам определять, чем вызвано снижение производительности: неэффективностью апплетов или сетевой инфраструктуры.

Другие поставщики, например Computer Associates, Hewlett-Packard и Tivoli Systems, включают в свои платформы управления специальные модули для управления использованием компонентных технологий.

Брандмауэры и прокси-серверы

Еще одним способом обеспечения приемлемой сетевой производительности, а также сохранения контроля над потенциально опасными апплетами и компонентами, является установка брандмауэра, прокси-сервера или их сочетания.

Не все компоненты, загружаемые из Internet, являются безопасными. Одни могут содержать вирусы, другие могут уничтожать файлы, а третьи - извлекать из корпоративных Web-серверов и настольных компьютеров конфиденциальную информацию. Кроме того, хакеры любят находить и использовать для своих целей огрехи в системах, использующих компонентные технологии.

Брандмауэры и прокси-серверы призваны обеспечить защиту памяти, цифровые подписи, шифрование и аутентификацию управляющих элементов ActiveX, а также верификацию Java-апплетов в процессе их выполнения.

Прокси-сервер может функционировать и в качестве брандмауэра, защищающего конечных пользователей и корпоративные Web-серверы от прямого доступа извне и контролирующего узлы, к которым пользователи могут обращаться и загружать информацию. В то же время, прокси-сервер обеспечивает пользователям быстрый доступ к Web-узлам и сокращает их потребности в использовании WAN-каналов для доступа к нужной информации.

Новые прокси-серверы компаний Microsoft и Netscape Communications обеспечивают повышение производительности при доступе к Internet за счет кэширования тысяч часто запрашиваемых файлов на локальном сервере, обновления страниц в кэше по заданному графику и предоставления конечным пользователям быстрого доступа к страницам в кэше.

Кроме того, прокси-серверы делают сеть intranet более управляемой, поскольку апплеты и компоненты устанавливаются только на центральном сервере сети. Однако для обеспечения быстрого доступа пользователей к программам, они могут быть реплицированы на другие серверы.

В дополнение к брандмауэрам и прокси-серверам, появляются новые приложения, способные идентифицировать и деактивировать опасные компоненты ActiveX и Java. Например, компания Finjan Software из Израиля поставляет специальный сканер для Web-браузера, который разрешает передавать по сети только безопасные компоненты, а все опасные программы сохраняет в отдельной базе данных. Компания также поставляет комплект средств, предназначенных для встраивания защитных функций в приложения ActiveX и Java.

Когда апплеты нападут на наши сети, выжить смогут лишь самые предусмотрительные и осторожные.


Дейл Дауди (Dale Dowdie) - президент и исполнительный директор компании Intellitech Consulting Enterprises, занимающейся разработками и консультациями в области Internet/intranet. С ним можно связаться по адресу ddowdie@intellitech.net.