Сегодня соединение по линии связи для входа в сеть означает использование разнообразных протоколов и платформ. В этой статье даются ориентиры для нахождения своего пути в пестром мире многопротокольного удаленного доступа.
Спрос на средства соединения, подстегнутый распространением новых вычислительных сред, изобилующих портативными компьютерами и телекоммуникациями для ведения "полевых" работ, привел в результате к внедрению удаленного доступа в прежде изолированные сети. Раньше это было весьма непростой задачей, особенно если сеть представляла из себя разнородную смесь локальных систем и настольных машин, типа ПК и Macintosh. К счастью, сетевые протоколы и системы со временем эволюционировали.
За последние несколько лет концепция удаленного доступа была существенно пересмотрена - вследствие изменений происходящих в современном бизнесе. Например, многие организации стали разрешать, а зачастую и поощрять сотрудников работать на дому. Первые приверженцы подобного подхода среди его преимуществ называли высвобождение площадей в офисе и уменьшение трафика в сети.
Другой причиной поразительной популярности средств удаленного соединения с сетью стало осознание очевидного факта: если та или иная компания хочет сохранить конкурентоспособность на мировом рынке, она должна добиваться максимальной эффективности. На практике это означает повседневную связь филиалов, подразделений и даже мобильных пользователей через глобальную сеть для разделения информации. Немалую роль сыграло и широчайшее распространение Internet, породившее целую тьму провайдеров услуг, готовых предоставить коммутируемые соединения за весьма умеренную месячную плату. Существенно и то, что средства компьютерной связи в своем развитии достигли той стадии, когда многопротокольный удаленный доступ может поддерживаться с помощью одного простого аппаратного решения.
КАК ПОЛУЧИТЬ УДАЛЕННЫЙ ДОСТУП
Несколько месяцев назад государственное агентство, на которое я трудился в поте лица, наконец-то решило, что время для удаленного доступа давно пришло. Некоторые сотрудники и до этого работали на дому, а само агентство имело к тому же несколько рассредоточенных офисов. Нам были необходимы соединения для входного и средства для выходного набора на ПК, Macintosh и компьютерах под UNIX, которые использовали несколько сетевых протоколов, в том числе IPX/SPX, принятый в NetWare, AppleTalk и TCP/IP для соединения с Internet и UNIX.
Прежде организация вполне могла обойтись одной локальной сетью и одним сетевым протоколом - к примеру, NetWare и IPX/SPX. Эти дни давно миновали. Применение нескольких протоколов стало общепринятой нормой, особенно в связи с возникшим бумом вокруг средств соединения локальных сетей, состоящих из ПК или Macintosh, с Internet.
Современные стандарты de facto на удаленный доступ весьма различаются между собой в зависимости от платформы клиента и сервера (см. таблицу 1). Компания Apple стала с недавних пор предустанавливать на портативных компьютерах PowerBook программное обеспечение Apple Remote Access (ARA), служащее для соединения удаленных клиентов Macintosh.
Таблица 1 - Протоколы удаленного доступа
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Клиенты NetWare воспринимают как явление само собой разумеющееся, обмен пакетами IPX/SPX. Сегодня компания Novell предлагает для удаленного доступа предлагает NetWare Connect, где задействована нестандартная и недокументированная реализация IPX поверх PPP, тогда как многие другие поставщики предпочитают вариант, документированный в RFC 1551.
Имеются и другие наборы стандартов. При отсутствии иного программного обеспечения сервера большинство машин под UNIX могут взаимодействовать только через TCP/IP (основное средство доступа в Internet) и использовать SLIP или PPP в удаленных каналах.
В Microsoft базой для ее службы удаленного доступа Remote Access Service (RAS) ранее служил AsyBEUI, нестандартный протокол NetBEUI. В новейших версиях Windows NT и Windows 95 корпорация перешла к PPP для RAS (NetBIOS поверх PPP, IPX поверх PPP и TCP/IP поверх PPP).
Откликаясь на возросшие требования к средствам соединения, Microsoft предлагает как Windows NT, так и Windows 95 в пакете со стеками протоколов IPX/SPX, TCP/IP и NetBEUI. Windows NT Server предоставляет даже стек AppleTalk и программное обеспечение для эмуляции AppleShare File Server.
OS/2 Warp Connect содержит TCP/IP (помимо традиционного стека NetBEUI, используемого LAN Server от IBM), а также LAN Manager и Windows NT Advanced Server 3.1 от Microsoft. MacOS 7.5 включает протоколы AppleTalk и MacTCP.
Обычный способ работы с несколькими протоколами при удаленном доступе состоит в применении "грубой силы", т. е. в установке нескольких систем и банков модемов - по одному для каждого протокола. Это может иметь смысл в университете или другой крупной организации. Однако для небольшой компании дублирование оборудования и телефонных линий неприемлемо с точки зрения цены. Кроме того, подобная стратегия зачастую невыгодна в следствии малой загруженности аппаратуры.
В идеале последовательному каналу необходимо нести трафик от нескольких сетевых протоколов. Ясно, что в данном случае требуется единое решение для удаленного доступа, которое прямо "из коробки" поддерживает ряд протоколов, локальных сетей и операционных систем, превалирующих на рабочих местах.
Для пользователя удаленное соединение должно быть таким же прозрачным и безболезненным, как и доступ к электронной почте по локальной сети. Это составляет определенную проблему, поскольку обычные скорости модемов, равные 14,4 Кбит/с и 28.8 Кбит/с, несравнимы, скажем, с 10 Мбит/с в локальной сети Ethernet.
НОВАЯ СРЕДА
Как и в типичных локальных вычислительных средах, большинство решений для удаленного доступа базируется на немногих основных компонентах. Сюда входят несколько машин, выделенных под информационные серверы, множество клиентских настольных и переносных компьютеров, имеющих доступ к разделяемым данным, а также аппаратная и программная инфраструктура обеспечения соединения. В локальных сетях последняя состоит обычно из сетевых плат, проводки, хабов и маршрутизаторов. Система удаленного доступа включает еще и модемы, телефонные, а также, возможно, арендуемые выделенные линии и при необходимости специальное аппаратное и программное обеспечение.
Десять лет назад удаленный клиент был преимущественно немым терминалом (или маскирующимся под таковой персональным компьютером), подсоединенным к модему или телефонной линии. Пользователь посылал команды модему, инициировавшему звонок и осуществлявшему соединение с удаленным узлом. После входа и идентификации открывался доступ к хосту под UNIX, миникомпьютеру VAX VMS или мэйнфрейм-системе IBM. По телефонной линии пересылался весьма небольшой объем данных, поэтому высокая скорость или широкая полоса пропускания были не нужны. На вход пользователя хост обычно отвечал простым текстовым сообщением, а компьютерная обработка целиком поручалась серверам.
Так было раньше. Нынче ПК и Macintosh отнюдь не страдают немотой. Напротив, сейчас они на равных с серверными машинами, с которыми связаны удаленно. Через одно и то же соединение могут проходить мегабайтная электронная почта, разделяемые файлы данных, сетевые новости и траффик World Wide Web. Вот здесь-то и необходима широкополосная и высокоскоростная передача.
Сегодня вместо простых терминальных сеансов как средства перемещения данных между удаленными машинами применяются сетевые протоколы. Однако последовательные каналы, такие как коммутируемые телефонные линии, просто передают потоки бит без четкого разграничения отдельных информационных пакетов. Для имитации сети от программного или аппаратного обеспечения требуется определить и наложить на поток бит пакетную схему. Следовательно, для того, чтобы задействовать сетевое ПО, надо сперва определить протокол последовательного канала в большинстве типов удаленных соединений.
Как и в случае нескольких протоколов на одной сетевой плате ПК, программное обеспечение для последовательных каналов должно уметь работать с мультиплексным каналом, если по одной линии осуществляется многопротокольная передача. Большинство первых протоколов удаленного доступа были "себе на уме" - в том смысле, что в них не предусматривалась возможность разделения последовательного канала с другими. Кроме того, такие протоколы локальных сетей, как IPX и AppleTalk вообще не могли работать с медленными каналами и по этой причине блокировка, скажем, по времени или опрос абонентов для определения адресов приводили к неоправданному снижению производительности при использовании без изменений вместе с удаленным доступом.
Еще одну трудность представляет организация такого доступа из сети. Это эффективный способ разделить централизованные ресурсы сервера с удаленными клиентами, что последним дает немалые преимущества. Однако некоторым пользователям центрального узла или даже каким-то процессам сервера может потребоваться удаленное соединение с другим узлом.
Поэтому имеет смысл применять одни и те же модемы и телефонные линии как для исходящего, так и для входящего трафика.
СМОТРИТЕ ПОД НОГИ
При рассмотрении того или иного решения для удаленного доступа в многопроцессорной среде необходимо учесть ряд принципиальных факторов. Вот первый и наиболее важный: звонящим в сеть и из сети надо обеспечить возможность установить соединение по любой свободной линии и в то же время применять протокол наиболее отвечающий их потребностям. Для этого сервер удаленного доступа должен одновременно поддерживать несколько популярных протоколов (SLIP, CSLIP, PPP и ARAP) и автоматически определять наиболее предпочтительный, либо предоставить выбор пользователю. Правда пока клиентское ПО удаленного доступа опирается главным образом на реализации PPP, которые поддерживают лишь один протокол управления сетью - например, IP поверх PPP.
Другими существенными факторами являются производительность, а также скорость в терминах разности между передачей по последовательному каналу и в локальной сети. В сетевых протоколах применяется "слоеный" подход, когда каждый пакет содержит заголовки множества сетевых уровней - например, IPX на дне с базовыми NetWare Core Protocol (NCP) над ним. Для достижения максимальной скорости перемещения крупных массивов данных такие заголовки при доступе к файлам должны быть как можно меньше в сравнении с общим объемом пакета. Правда, протоколы локальных сетей в большинстве своем обладают как раз противоположными чертами (см. таблицу 2).
Таблица 2 - Сетевые протоколы для удаленного доступа
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
По умолчанию TCP/IP поддерживает крупные пакеты, что делает его привлекательным для работы по каналам глобальных сетей. Протокол CSLIP предусматривает сложный алгоритм сжатия IP-заголовков TCP-пакетов. PPP c целью увеличения производительности предоставляет опции сжатия как заголовков, так и пакетов. ARAP позволяет сжимать пакет в целом.
Удаленные соединения (в частности, медленные каналы, где скорость модемов составляет 14.4 Кбит/с и 28.8 Кбит/с) могут вызывать задержки в прибытии пакетов с подтверждением получения. Чтобы наиболее полно использовать пропускную способность подобного канала, протокол, применяемый при передаче больших массивов данных должен иметь возможность скользящего окна для пересылки нескольких пакетов до прихода подтверждения.
Такие протоколы, как NetWare, были разработаны для локальных сетей, где временной интервал между отправкой и подтверждением минимален: здесь задействована простейшая схема, когда пакет отсылается только после уведомления о получении предыдущего. Она хороша для скоростного сетевого оборудования, однако для медленных каналов дает не удовлетворительные результаты. Поэтому NetWare справедливо порицали за низкую производительность в глобальных сетях.
С целью ликвидации этого недостатка Novell представила загружаемые модули Large Internet Packet NLM для увеличения максимального размера передаваемого пакета, а также Packet Burst NLM с протоколом скользящего окна. Модули поставляются с NetWare 3.12 и 4.x. и позволяют повысить производительность при передаче данных по каналам глобальных сетей. Технология разбивки пакета поддерживается ПК-клиентом с помощью новейшего программного обеспечения NetWare VLM (а не NETX.EXE).
ИГРА НА РЫНКЕ
В настоящее время различные аппаратные и программные решения для удаленного доступа предлагают многие фирмы. Однако если вам, помимо поддержки нескольких протоколов, необходима возможность выходного набора, то выбор оказывается на удивление невелик. Для данной статьи мы отобрали несколько продуктов, отвечающих указанному критерию:
AccessBuilder 2000 компании 3Com, LANexpress 4000 производства Microcom, LANRover Plus фирмы Shiva, NetBlazer STi от Telebit, Remote Annex 2000 компании Xylogics (см. информацию о них в таблице 3, а также врезку о поставщиках, где приводятся адреса и телефоны). Перечисленные серверы представляют собой аппаратное и программное решение в одном корпусе с одним по крайней мере сетевым портом и несколькими последовательными для подсоединения модемов. Эти машины обслуживают все переговоры, согласования и многопротокольные соединения между удаленными клиентами а также передают обычные сетевые пакеты в локальную сеть. В результате удаленный клиент выглядит для файловых серверов и других сетевых ресурсов как еще один узел сети, пусть и медленный.
Таблица 3 - Сравнение некоторых многопротокольных продуктов
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Примечания:
Изделия Shiva, 3Com и Xylogics располагаются в небольших узких корпусах вместе с ЦПУ, RAM, Flash ROM, EEPROM и специальными платами. Единственной подвижной частью является небольшой вентилятор. Новые версии системного ПО могут быть загружены на сервер по сети. Microcom и Telebit разместили свои агрегаты в корпусах размером с настольный компьютер вкупе с источником питания, слотами для плат ISA и флоппи-дисководом для начальной загрузки системы.
Все названные продукты имеют интерфейс для сетей Ethernet, могут быть (за исключением AccessBuilder 2000) предложены с интерфейсом Token Ring. Устройства без встроенных модемов поставляются, как правило, с асинхронными последовательными портами до 115.2 Кбит/с на каждый. Мы тестировали эти серверы с модемами V.34, хотя здесь подошли бы и терминальные адаптеры ISDN. Telebit и 3Com оснащают свои изделия синхронными портами со скоростью по крайней мере Т-1 в 1.44 Мбит/с, (правда такие скорости применяются, как правило лишь для соединения локальных сетей).
Далее во всех продуктах предусмотрена возможность входного вызова в качестве удаленного узла по IPX, TCP/IP или ARAP. Поскольку Novell не предлагает стандартного удаленного клиента IPX, поставщики включают в комплект заказной драйвер ODI, используемый IPX для удаленного доступа.
Программное обеспечение клиента для ПК компании Shiva оказалось наиболее гибким - оно позволило поддерживать одновременно несколько соединений по PPP, применяя IPX, TCP/IP и NetBIOS с наборщиками номера как для DOS, так и для Windows. Кроме того в пакет вошел также стек LAN Workplace TCP/IP компании Novell и ПО NetWare VLM.
За исключением Xylogics поставщики предлагают ПО клиента для ПК, представляющие собой стандартные версии IPX поверх PPP. Клиент Xylogics Fastlink II, параллельно взаимодействуя с IPX и TCP/IP, использует IPX поверх заказного варианта SLIP. Как утверждает компания, последний будет заменен на PPP до конца этого года.
В изделиях 3Com, Shiva и Xylogics установлено программное обеспечение для набора телефонных номеров и ПО удаленного клиента IPX для DOS и Windows, в то время как Telebit предлагает только резидентную программу для DOS. Microcom включает в стандартный комплект только ПО под DOS, а клиент под Windows можно приобрести за дополнительную плату. Кроме того, Shiva и Xylogics ввели полезную утилиту для предупреждения пользователей ПК о непреднамеренном запуске исполняемой программы с удаленного файлового сервера.
Наконец, все упомянутые продукты поддерживают программное обеспечение удаленного управления, а Xylogics и Microcom даже предусмотрели копии такого ПО.
Набор опций для выходного набора гораздо более ограничен. В основном проблему решают заказные приложения. Так компания Shiva дополняет ПК с IPX программным обеспечением, которое переадресует вызовы сетевого интерфейса асинхронного сервера (Network Asynchronous Server Interface, NASI) и 14-е прерывание сетевым пакетам, отправляемым серверу удаленного доступа. He забыла фирма и о пользователях Macintosh - им предлагается расширение для выходного набора. ПО, прилагаемое Microcom переадресует пакетам IPX вызовы сетевого интерфейса коммуникационных сервисов (Network Comminications Services Interface, NCSI), NASI и 14-е прерывание. Аналогичный переадресатор NASA/NCSI для IPX выпускает компания Telebit.
Машины Xylogics, Telebit и 3Com поддерживают сеансы telnet с удаленными серверами, которые напрямую взаимодействуют с модемами для выходного набора при помощи TCP/IP. (Здесь применяется CommT, условно-бесплатный COMM-драйвер под Windows для преобразования доступа через COM 3 и COM 4 в сеансы telnet). В этих случаях пользователь должен позаботиться о наличии клиентского стека TCP/IP для ODI.
СТРАТЕГИИ УПРАВЛЕНИЯ
В вышеназванные продукты заложены различные подходы к управлению и настройке - в зависимости от доставшегося им наследства. Shiva, сперва выпускавшая изделия для сетей Apple, прилагает Shiva Manager - простое в использовании приложение для Macintosh и Windows. Xylogics, начавшая с терминальных серверов для UNIX и VMS, предлагает инструмент управления посредством командной строки и OSF/Motif X Window для UNIX, включая SunOS, Solaris, AIX, HP-UX.
В Remote Annex компании Xylogics первый порт для глобальной сети функционирует как порт консоли для конфигурации через модем или через локальное прямое соединение. Кроме того, Remote Annex можно сконфигурировать и затем осуществлять удаленное управление при помощи SNMP и telnet.
LANexpress поставляется с ExpressWatch под Windows для IPX или TCP/IP. AccessBuilder имеет аналогичный инструмент настройки, которым можно управлять через telnet или порт консоли. NetBlazer Sti настраивается посредством текстовых меню через порт консоли, telnet или удаленное соединение. Все продукты включают агента SNMP, к которому можно обратиться с запросами об их состоянии.
Как только локальная сеть получает выход в телефонную, первоочередной задачей становится усиление защиты данных. В этом плане разнообразные возможности имеют рассматриваемые серверы. Все они поддерживают базу данных с именами локальных пользователей, обратный вызов, а также интегрируются с системой SecureID от Security Dunamics (Кембридж, шт. Массачусетс). AccessBuilder, LANRover и Remote Access могут контролировать доступ с использованием имен и паролей из таблицы связей NetWare. Идентификация Kerberos поддерживается в изделиях Shiva, Xylogics и Telebit.
Программное обеспечение допускает глобальный выбор методов защиты. Например, если предпочтение отдано таблице связей NetWare, то все должны иметь имена и пароли на сервере NetWare. Нам бы хотелось, чтобы защита устанавливалась в зависимости от имени пользователя.
Продукты позволяют создавать журнал регистрации входов в систему и устанавливаемых соединений. Shiva, Telebit и 3Com применяют прерывание SNMP, которое переад- ресуется демону SNMP для сохранений в файле. При тестировании мы использовали общедоступный демон SNMP Университета Карнеги-Меллон (Питтсбург) на машине SPARC для регистрации входов и соединений.
Xylogics по умолчанию применяет на машинах под UNIX SYSLOG для записи событий на удаленном сервере. Microcom требует выполнения на ПК программы управления ExpressWatch Windows для регистрации.
УДАЛЕННАЯ ДОСТАВКА
При использовании модемов V.34 на телефонных линиях большинство приложений ограничены в скорости. Виной тому не качество оборудования, а недостаточная пропускная способность линии связи. Различия в производительности между продуктами совсем незначительны и проявляются лишь при полной загрузке. Во всех устройствах есть новейшие модели ЦПУ и последовательные интерфейсы на 115.2 Кбит/c. Microcom LANexpress имеет встроенные модемы V.34 с параллельными портами. В некоторых ситуациях такие модемы способны обеспечить высокую пропускную способность, но для этого удаленные клиенты должны иметь аналогичные по скорости интерфейсы.
В сравнении с приобретением отдельного оборудования для каждого сетевого протокола, рассмотренные многопротокольные агрегаты позволяют небольшим организациям за умеренную цену внедрить в свою практику удаленный доступ. Кроме того управлять одним сервером значительно проще, нежели разбираться в нескольких устройствах. И, наконец, поскольку небольшой вентилятор является, как уже говорилось, единственной движущейся частью изделий, подобные решения более надежны, чем загрузка ПО удаленного доступа на файловые серверы с жесткими дисками, клавиатурой, дисплеями и другим аппаратным обеспечением.
Итак, если многопротокольный удаленный доступ входит в ваши планы, то эти автономные решения - как раз то, что вы ищете.
Стивен Бейкер работает в Департаменте Энергетики штата Орегон в Салеме. Он - пишущий редактор Unix Review. С ним можно связаться через Internet по адресу msbaker@cs.uoregon.edu.
Продукты и поставщики
AccessBuilder 2000
3Com
5400 Bayfront Plaza
Santa Clara, CA 95052
(408) 764-5000
(800) NET-3COM
Web: http://www.3com.com
LANexpress 4000
Microcom
500 River Ridge Dr.
Norwood, MA 02062
(617) 551-1000
(800) 822-8224
Web: http://www.microcom.com
LanRover Plus
Shiva
63 Third Ave.
Burlington, MA 01803
(508) 788-3061
(800) 977-4482
Web: http://www.shiva.com
NetBlazer STi
Telebit
1315 Chesapeake Terrace
Sunnyvale, CA 94089
(508) 441-2181
(800) TELEBIT
Web: http://www.telebit.com
Remote Annex 2000
Xylogics
53 Third Ave.
Burlington, MA 01803
(617) 272-8140
(800) 89-ANNEX
Web: http://www.xylogics.com