Организация корпоративного сервера на базе Linux

Между тем, по мнению Кастельса М., «созревание информационно-технологической революции в 1990-х годах трансформировало трудовой процесс, введя новые формы социального и технического разделения труда» [2, с. 233]. И далее «…новая информационная технология перестраивает трудовые процессы и работников, а, следовательно, структуру занятости и профессиональную структуру» [2, с. 242].

Внедрение новых информационных технологий требует разработки внутренней политики безопасности, регламента работы со средствами вычислительной техники. Разработка кадровой политики направленной на обучение и переквалификацию работников.

Новые возможности позволяют сотрудникам более эффективно выполнять свою работу, например использование электронной почты существенно увеличивает скорость документооборота. А использование Интернета позволяет сотрудникам оперативно получать доступ к необходимой информации, благодаря чему увеличивается эффективность выполнения ими своих обязанностей. Но тот, же доступ в Интернет нуждается в жестовой регламентации, поскольку помимо источника ценнейшей информации интернет является источником компьютерных вирусов и потенциальным путём проникновения для злоумышленника. Именно поэтому на отдел информационных технологий ложится задача защиты от различных информационных угроз, это требует комплексного подхода к проблеме. Игнорирование угроз может привести к серьёзным потерям не только финансовым, но и материальным. Также типичной задачей IT департамента является оказание поддержки пользователям, это связано с тем, что большинство рядовых сотрудником в большинстве своём не знакомо с внедряемыми технологиями. Наиболее простое решение данной проблемы это организация бесплатных курсов по информационным технологиям силами отдела информационных технологий или же направление сотрудников на специализированные курсы за счёт предприятия.

При организации корпоративного сервера следует уделять особое внимание, как программной составляющей, так и технической, особое внимание должно быть уделено программной части, поскольку именно она влияет на функционал сервера.

Аппаратная платформа определяет вычислительную мощность сервера. Аппаратная составляющая рассчитывается из нагрузки на сервер, а нагрузка в свою очередь вычисляется из количества пользователей и задач которые будут возложены на сервер. Существует огромный перечень различных аппаратных решений, начиная широкопрофильными и заканчивая узкоспециализированными.

Программная же часть, определяет функционал сервера. Её нужно подбирать исходя из того, какие функции должен выполнять сервер и на какой аппаратной платформе он будет функционировать. К выбору программной платформы нужно подходить наиболее тщательно, поскольку ошибка в выборе может привести к серьёзным материальным и финансовым потерям.

За последние время существенно расширился ряд, как программных серверных платформ, так и аппаратных. Предназначенных для решения различного рода задач, начиная от самых обычных и заканчивая задачами государственного и планетарного масштаба. Они различаются ценой качеством, функциональными особенностями, и т.д.

Что касается аппаратной части, то чаще всего используется продукция таких фирм как: HP, IBM, Intel, Dell, AMD, COMPAQ.

Программная же составляющая, в качестве OC: Microsoft Windows Server, или операционные системы семейства UNIX\LINUX различных фирм.

Продукция фирмы Microsoft более дружелюбна администратору, нежели UNIX\LINUX в плане удобства настройки и администрирования, но и стоит она соответственно немало, UNIX\LINUX в 99% случаев распространяется абсолютно бесплатно и редко требует больших финансовых расходов на приобретение, к тому, же и серверное ПО под UNIX\LINUX, в отличие от аналогичного по функциональным возможностям серверного ПО под Windows, распространяется также бесплатно.

Ко всему выше перечисленному операционные системы семейства UNIX\LINUX работают значительно стабильней, чем продукция фирмы Microsoft, и требуют меньших аппаратных мощностей, благодаря чему снижаются финансовые расходы на развертывание и поддержание работоспособности сервера. Поэтому операционные системы семейства UNIX\LINUX являются наиболее предпочтительными для организации корпоративного сервера, выполняющего задачу предоставления доступа в интернет

Сегмент рынка корпоративных серверов на базе LINUX, велик, но не достаточно, основную часть рынка составляет продукция корпорации Microsoft. Основными факторами достоинствами Linux являются.

- дешевизна;

- стабильность;

- гибкость;

Корпоративный сервер является частью общей IT инфраструктуры организации, такой же частью, как и вычислительная сеть организации. Именно ЛВС предприятия осуществляет передачу информации внутри организации.

В настоящее время наличие компьютерных сетей в офисе является неотъемлемым атрибутом успешного бизнеса. Локальная вычислительная сеть - это связанные между собой в единую информационную систему независимые персональные компьютеры, серверы, принтеры, факсы и другое телекоммуникационное оборудование.

Используя ресурсы локальной компьютерной сети, можно связать в единую корпоративную информационную систему несколько офисов, удалённых территориально. Современное оборудование позволяет передавать большие информационные потоки данных, как по проводным линиям, так и по радиоканалу, что увеличивает эффективность и гибкость создаваемых локальных и корпоративных сетей связи.

При правильном построении компьютерной сети и грамотном администрировании легко обеспечивается доступ к необходимой информации, а также ее защита от несанкционированного доступа. Вложенные на этапе организации финансовые средства обеспечивают системе долговечность и эффективность, в дальнейшем сеть быстро окупится и потребует минимальных затрат на эксплуатацию.

Основными требованиями, которым должна удовлетворять компьютерная сеть являются:

Открытость - возможность подключения дополнительных компьютеров и других устройств, а также линий (каналов) связи без изменения технических и программных средств существующих компонентов сети.

Гибкость - сохранение работоспособности при изменении структуры в результате выхода из строя любого компьютера или линии связи.

Эффективность - обеспечение требуемого качества обслуживания пользователей при минимальных затратах. [3]

Большая часть сетей построена по технологии Ethernet.

При создании локальных сетей чаще всего используется аппаратная архитектура, называемая Ethernet. В простейшем виде сеть Ethernet состоит из одного кабеля, к которому при помощи разъемов, коннекторов и трансиверов подключаются все сетевые узлы. Простая сеть Ethernet обходится относительно недорого, что в сочетании со скоростью передачи в 10, 100 и даже 1000 Мбит/с в значительной степени способствует ее популярности.

Существует три разновидности Ethernet, условно называемые толстый, тонкий и витая пара. При использовании тонкого и толстого Ethernet данные передаются через коаксиальные кабели, отличающиеся по диаметру и способу подключения к компьютеру. Для подключения компьютера к тонкому кабелю Ethernet используется специальный коннектор Т-образной формы (Т-коннектор), который вставляется в разрыв кабеля и подключается к разъему на задней стенке компьютера. Чтобы подключить компьютер к толстому кабелю Ethernet, необходимо просверлить в кабеле небольшое отверстие и при помощи специального прокалывающего приспособления (vampire tap) подсоединить к нему вспомогательный трансиверный кабель. К трансиверному кабелю можно подсоединить один или несколько сетевых узлов. Тонкий кабель Ethernet может достигать 200 метров в длину, а толстый - 500 метров. Эти разновидности Ethernet называют 10base-2 и 10base-5 соответственно. Связка base происходит от термина «baseband modulations», означающего, что данные передаются непосредственно в кабель, минуя модем. Число в начале определяет скорость в Мбит/с, а число на конце - максимальную длину кабеля в сотнях метров. При использовании витой пары используется кабель, состоящий из двух пар медных проводов. Обычно при этом требуется установить дополнительное устройство, называемое активным концентратором (active hub). Витую пару обозначают термином 10base-T (Т - twisted pair, то есть «витая пара»). Для витых пар со скоростью передачи 100 Мбит/с, используется обозначение 100base-T.

Чтобы подключить новый сетевой узел к тонкому кабелю Ethernet, требуется прервать передачу всех данных, по крайней мере, на несколько минут, поскольку при этом необходимо разорвать кабель и вставить в разрыв новый Т-коннектор. Подсоединить новый узел к сети, использующей толстый кабель Ethernet, несколько сложнее, однако при этом не требуется останавливать работу сети. С витой парой дело обстоит еще проще. В этой технологии используется устройство, называемое концентратором (hub) и выполняющее функции точки соединения. Подключение и отключение узлов от концентратора абсолютно не мешает работе других пользователей.

Чаще всего для создания малых сетей используется тонкий кабель Ethernet, поскольку этот вариант обходится очень дешево. Карты Ethernet стоят около 15 долларов (многие компании отдают их почти задаром), а кабель обходится в несколько центов за метр. Тем не менее, для крупномасштабных сетей больше подходит толстый кабель или витая пара. Сети на базе витой пары также получили очень широкое распространение. Стоимость концентраторов падает, а небольшие устройства сейчас продаются по цене, вполне подходящей даже для малых домашних сетей. Прокладка витой пары обходится существенно дешевле для больших сетей, а сам кабель обладает существенно большей гибкостью, чем коаксиальные кабели, используемые в других системах Ethernet.

Одним из недостатков технологии Ethernet является ограничение на длину кабеля, что позволяет использовать Ethernet только при создании локальных сетей. Однако несколько сетевых сегментов Ethernet можно соединить друг с другом при помощи повторителей (repeaters), мостов (bridges) или маршрутизаторов (routers). Повторитель просто передает сигнал из сегмента в сегмент, при этом усиливая его. Благодаря этому все сегменты сети работают так, будто они являются единым сегментом Ethernet. Из-за ограничений, связанных с временными задержками, между любыми двумя сетевыми узлами может быть установлено не более четырех повторителей. Мосты и маршрутизаторы устроены более сложно. Они анализируют поступающие данные и передают их в другой сегмент только в случае, если принимающий сетевой узел расположен в другом сегменте сети.

Сеть Ethernet работает подобно единой шине, через которую любой узел может пересылать пакеты (или фреймы) размером до 1500 байт на другой узел, подключенный к тому же сегменту Ethernet. Узел адресуется шестибайтовым адресом, хранящимся в постоянном запоминающем устройстве сетевой карты Ethernet (Network Interface Card, NIC). Адрес Ethernet обычно записывают как последовательность из шести Двухзначных шестнадцатеричных чисел, разделенных двоеточиями - например, aa:bb:cc:dd:ee:ff.

Фрейм, посланный одним из узлов, принимается всеми подключенными станциями, но только узел назначения обращает на него внимание и начинает его обработку. Если два узла пытаются переслать фрейм одновременно, происходит коллизия (collision), или столкновение. Коллизии в Ethernet очень быстро обнаруживаются электронными схемами сетевых карт. Чтобы разрешить конфликт, оба узла прекращают передачу и осуществляют новую попытку спустя случайно выбранный интервал времени. Вам предстоит услышать немало историй о проблеме коллизий в Ethernet и о том, что из-за них Ethernet используется только на 30 процентов своей потенциальной пропускной способности. Коллизии в Ethernet считаются нормальным явлением, и в очень занятой сети Ethernet частота коллизий вполне может доходить до 30 процентов. При использовании сетей Ethernet причина для беспокойства обычно появляется лишь тогда, когда частота коллизий доходит до 60 процентов. [4]

Не одна сеть не обходится без прокладки проводов. Для сети используются провода типа витая пара UTP.

Витая пара UTP (Unshielded Twisted Pair) представляет собой изолированные попарно свитые одножильные провода, при чем, число переплетений пар имеет разный шаг, на определенном отрезке длины кабеля. Это делается для сокращения перекрестных наводок между проводниками.

Во время монтажа кабеля типа «витая пара», важно обеспечить минимально допустимую величину развития пар кабеля, для уменьшения потерь сигнала в кабеле.

Для построения сетей применяются следующие разновидности кабеля:

UTP (unshielded twisted pair) - незащищенная витая пара - витые пары которого не имеют экранирования;



Рис. 2 Витая пара

FTP (Foiled Twisted Pair) - фольгированная витая пара - имеет общий экран из фольги, однако у каждой пары нет индивидуальной защиты;

Рис. 3. Витая пара

STP (shielded twisted pair) - защищенная витая пара - каждая пара имеет собственный экран;

Рис. 4. Витая пара

Табл. 3. Разновидности UTP кабелей

Категории:	Применение:
1	Телефон; POTS (Plain Telephone System, услуги традиционной телефонии); системы сигнализации
2	Телефон; миникомпьютеры IBM и терминалы; ARCNET; LocalTalk
3	Локальные сети Token Ring и Ethernet 10Base T, голосовые каналы и другие низкочастотные приложения (в настоящее время не рассматривается).
5	Локальные сети со скоростью передачи данных до 100 Mbit/s
5E	Локальные сети со скоростью передачи данных до 1000 Mbit/s
6	Локальные сети со скоростью передачи данных до 1000 Mbit/s
7	Локальные сети со скоростью передачи данных до 1000 Mbit/s

Помимо основных спецификаций, стандарт ANSI/TIA/EIA-568 определяет уровни производительности для кабеля UTP, в соответствии с которыми кабель разделяется на категории. Чем выше категория кабеля, тем он более эффективен. Основное отличие между категориями кабеля заключается в разном количестве витков пар проводов. [5]

Также кроме кабельных сетей, в некоторых случаях целесообразно воспользоваться технологией WiFi, благодаря ей появилась возможность строить без проводные сети.

Беспроводная сеть Wi-Fi состоит из точек доступа и клиентских устройств (настольных компьютеров, ноутбуков, КПК), оснащенных беспроводными адаптерами. Точки доступа могут работать в пяти различных режимах:

- собственно точка доступа (Access Point);

- мост «точка - точка» (Wireless Bridge);

- мост «точка - много точек» (Multi-point Bridge);

- репитер (Repeater);

- беспроводной клиент (Wireless Client).

Также в состав беспроводной сети могут входить различные устройства со встроенными точками доступа - ADSL-модемы, маршрутизаторы, принт-серверы, видеокамеры и т.д.

Точка доступа (access point, AP) - приемо-передающее радиоустройство, обеспечивающее связь между мобильными пользователями и их подключение к проводной локальной сети.

Точки доступа, работающие в режиме беспроводного моста, обеспечивают беспроводное соединение между двумя проводными сетями. Точки доступа в режиме репитера используются для расширения площади покрытия беспроводной сети. Точки доступа в режиме беспроводного клиента выполняют функции клиентского адаптера. Этот режим используется, когда нет возможности установить в компьютер обычный адаптер Wi-Fi, но имеется интерфейс Ethernet.

Беспроводной адаптер предоставляет клиентскому устройству подключение к сети через точку доступа (инфраструктурный режим) либо выполняет прямое подключение к другому адаптеру (режим Ad-Hoc). Выпускаются адаптеры с различными интерфейсами - для установки в настольные компьютеры (PCI), в ноутбуки (Cardbus), в КПК (CompactFlash), в принтеры. Есть также адаптеры, которые подключаются через интерфейс USB. Таким образом, к сети Wi-Fi может быть подключено практически любое современное клиентское устройство.

Режимы работы: инфраструктурный и Ad-Hoc.В инфраструктурном режиме беспроводной сети устройства взаимодействуют друг с другом через точку доступа. Точка доступа также обеспечивает связь беспроводных устройств c проводной частью сети. Большинство сетей Wi-Fi работают именно в инфраструктурном режиме.

Режим Ad-Hoc предназначен для прямого соединения клиентских устройств без участия точки доступа. В этом режиме не обеспечивается связь с проводной инфраструктурой. Режим Ad-Hoc предназначен в основном для создания временных сетей.

SSID

SSID (Service Set Identifier) - уникальное наименование беспроводной сети, отличающее одну сеть Wi-Fi от другой. В настройках всех устройств, которые должны работать в одной беспроводной сети, должен быть указан одинаковый SSID. SSID выбирается администратором сети самостоятельно и может содержать до 32 символов. Значение SSID на клиентском устройстве, равное «ANY», означает возможность подключения к любой доступной сети.

WEP

WEP (Wired Equivalent Privacy) - протокол безопасности для сетей Wi-Fi, определенный стандартом IEEE 802.11b. WEP был разработан для обеспечения уровня безопасности, аналогичного тому, какой существует в проводных локальных сетях.

WEP обеспечивает шифрование данных, передаваемых по радиоканалу.

К сожалению, протокол оказался не столь надежным, как ожидалось. Основным его недостатком является использование статического ключа для шифрования данных. Злоумышленник может тем или иным способом узнать этот ключ и получить доступ к беспроводной сети.

На смену WEP приходят более надежные протоколы WPA и 802.11i. Тем не менее, протокол WEP продолжает широко использоваться, так как не все WEP - лучше, чем ничего.

Open System, Shared Key

При использовании протокола WEP возможны два типа взаимной аутентификации беспроводных устройств (Authentication Type): Open System и Shared Key. При аутентификации Open System к беспроводной сети может подключиться любое устройство с соответствующим значением SSID. Ключи WEP в процессе аутентификации не проверяются.

Аутентификация типа Shared Key требует, чтобы точка доступа и беспроводной адаптер имели одинаковый ключ WEP.

Процесс аутентификации в режиме Shared Key выглядит следующим образом. В ответ на запрос клиентского устройства на подключение к сети Wi-Fi точка доступа посылает незашифрованное тестовое сообщение (challenge text). Клиент зашифровывает это сообщение своим ключом WEP и возвращает точке доступа. Точка доступа расшифровывает сообщение с помощью своего ключа WEP и, если результат совпадает с исходным сообщением, разрешает доступ. Тип аутентификации Shared Key значительно безопаснее, чем Open System, поэтому, если нет специальных противопоказаний, следует использовать именно Shared Key Authentication.

В русскоязычной версии Microsoft Windows режим аутентификации Shared Key называется «Проверка подлинности сети».

802.1x

Протокол, определенный стандартом IEEE 802.1x, используется при аутентификации и авторизации пользователей с последующим предоставлением доступа к среде передачи данных. При этом применяются динамические ключи вместо статических, используемых в WEP. Протокол предполагает совместную работу трех протоколов:

- EAP (Extensible Authentication Protocol) - расширяемый протокол аутентификации;

- TLS (Transport Layer Security) - протокол безопасности транспортного уровня;

- RADIUS (Remote Authentication Dial-In User Server) - сервер аутентификации удаленных пользователей.

Запрос пользователя на доступ к сети переадресовывается на сервер RADIUS, который выполняет аутентификацию и разрешает или запрещает доступ.

Протокол 802.1x предусматривает частую смену ключей шифрования, что сильно затрудняет взлом сети.

Большим недостатком протокола 802.1x для пользователей домашних и малых офисов является требование обязательного наличия сервера RADIUS.

WPA, 802.11i, PSK.В настоящее время существуют два очень похожих стандарта аутентификации и шифрования в сетях Wi-Fi - WPA и 802.11i. WPA (Wi-Fi Protected Access) был разработан в Wi-Fi Alliance как решение, которое можно применить немедленно, не дожидаясь завершения длительной процедуры ратификации 802.11i в IEEE.

В настоящее время стандарт IEEE 802.11i вступил в силу, но производители не слишком торопятся включать его поддержку в свои устройства, так как при сходном уровне безопасности он требует большей вычислительной мощности, чем WPA. Кроме того, поддержка WPA может вводиться на старых устройствах путем обновления встроенного программного обеспечения (чего не скажешь о 802.11i). Оба протокола используют механизм 802.1x для обеспечения надежной аутентификации, оба используют сильные алгоритмы шифрования, оба предназначены для замены протокола WEP.

Основное отличие двух стандартов заключается в использовании различных механизмов шифрования. В WPA применяется Temporal Key Integrity Protocol (TKIP), который так же, как и WEP, использует шифр RC4, но значительно более безопасным способом. Стандарт 802.11i предусматривает шифрование с помощью алгоритмов, основанных на технологии Advanced Encryption Standard (AES), и обеспечивает наиболее устойчивое шифрование из доступных в настоящее время.

Стандартами WPA и 802.11i предусмотрен режим Pre-Shared Key (PSK), который позволяет обойтись без сервера RADIUS.

DHCP

DHCP (Dynamic Host Configuration Protocol) не относится непосредственно к беспроводным технологиям, но поскольку серверы DHCP часто входят в состав точек доступа, то, наверное, есть смысл дать здесь определение и этому термину.

DHCP - протокол динамического конфигурирования сетевых устройств. Он используется для автоматического предоставления IP-адресов (вместе с информацией о маске подсети, шлюзе по умолчанию и DNS-серверах) компьютерам в сети.

MAC-адрес

MAC-адрес - уникальный шестнадцатеричный номер, назначаемый каждому сетевому устройству Ethernet (в том числе беспроводному) для его идентификации. Этот адрес устанавливается на заводе при изготовлении устройства.

Вместо термина «MAC-адрес» могут встречаться «MAC-ID», «физический адрес», «Physical Address». [6]

Основываясь на вышеописанном можно сделать следующий вывод: сервер на базе LINUX, не является какой-то универсальной системой решающей все задачи и проблемы. Система требует адаптации под определённую организацию, под адаптацией подразумевается правильный расчёт нагрузки на сервер, следовательно, необходимо правильно выбрать аппаратную составляющую системы. Аппаратная часть не должна иметь слабую вычислительную мощность. Аппаратная часть должна быть рассчитана на реальную нагрузку, плюс некоторый запас «прочности», рассчитанный на расширение организации. Для решения этой задачи необходимо провести исследование и необходимо тесное сотрудничество всех отделов предприятия. Сотрудничество необходимо для того чтобы отдел информационных технологий имел полное представление о тех задачах которые будут возложены на сервер, а так же имел возможность рассчитать нагрузку. В противном случае, если нагрузка окажется выше расчётной, могут возникнуть проблемы с обслуживанием сотрудников и как следствие снижение эффективности их работы, и как следствие снижение производительности работы организации в целом, что может привести к значительным финансовым потерям.

2. Практические аспекты внедрения корпоративного сервера на базе ОС Linux.

2.1 Основания для внедрения системы

Решение любой задачи состоит из двух этапов. Первый этап теоретический или описательный он включает в себя: возникновение идеи, определение понятий, анализ и исследование проблемы, описание задачи, и формулирование выводов. Второй прикладной или технологический включающий в себя: постановку задачи, способы решения, детальное описание используемых средств, описание технологии и введение в строй.

Задачи, связанные с внедрением информационных технологий, имеют своей конечной целью именно практический аспект.

Одной из главных особенностей внедрение информационных технологий, а именно организации корпоративного сервера, заключается в чётком представлении функций и задач которые будут возложены на сервер. В процессе подготовки к реализации возникает вопрос, какими средствами проводить реализацию проекта.

Корпоративные сервера ведут свою историю от вычислительных комплексов 80-90 годов, тогда эти комплексы играли роль больших калькуляторов, но прогресс не стоит на месте. Сейчас же корпоративный сервер это сложный многофункциональный аппаратно-программный комплекс позволяющий решать широкий круг задач, таких как: ведение статистики, хранение данных, предоставление доступа в интернет и многое другое.

Автоматизация в большинстве организаций проходит следующим образом: IT-специалист готовит смету, которая отражала нужды организации в программном и аппаратном обеспечении, далее эта смета ложится на стол руководителю, и жестко урезается на усмотрение руководителя. В результате планы по оптимизации IT-структуры предприятия, либо надолго затягивались, или же просто проваливалась. Это происходило из-за того что руководство не воспринимало информационные технологии, как часть бизнес процессов протекающих на предприятии.

Для того чтобы внедрение тех или иных информационных технологий проходило более успешно необходимо, чтобы во внедрении был заинтересован не только сотрудник отдела информационных технологий, но и руководство организации. Только в этом случае внедрение принесёт наибольшую выгоду предприятию. Для того что бы заинтересовать руководство предприятия, нужно донести до него все положительные стороны и выгоды от внедрения. Но также необходимо чтобы все подразделения организации участвовали в процессе внедрения, это необходимо для того чтобы выбранное решение было максимально адаптировано для данной организации и было выгодно не только, какому то одному подразделению, но и другим. Именно тогда использование системы будет максимально выгодно, оправданно и эффективно.

Основными принципами выбора той или иной системы в большинстве случаев являются:

- первым делом нужно изучить существующую инфраструктуру предприятия

- выработка критериев, которым должна будет удовлетворять система. Именно этому этапу следует уделить много внимания, поскольку неверная выработка критериев, скажется на функционале системы и как следствие на эффективности её работы.

- Так же важным показателем является собственное мнение о системе;

- Одним из важнейших критериев является конечная стоимость системы; Стоимость системы складывается из затрат на: анализ выбора системы, приобретение, обслуживание, поддержание в рабочем состоянии, обучение персонала, доработку, различных изменений внутри организации;

- Не менее важным является наличие русскоязычной документации к системе;

Необходимость организации корпоративного сервера в МГГУ им. М.А. Шолохова объясняется потребностью всех сотрудников организации в доступе к Интернету.

На предприятии имеется приблизительно 50 компьютеров. Так же требуется блокировать доступ к сайтам, не имеющим отношения к учебному и трудовому процессу. Кроме этого возникает потребность в мониторинге потребления интернет трафика сотрудниками организации.

2.2 Описание программно-аппаратного комплекса

Корпоративный сервер представляет собой гибкую систему, которая позволяет решать ряд задач:

- Маршрутизация трафика;

- Предоставление доступа в интернет посредством прокси-сервера;

- Возможность хранения данных;

- Просмотр статистики посещения сайтов, и количества потребляемого трафика;

- Хранилище баз данных MySQL;

Корпоративный сервер является частью инфраструктуры предприятия. Существует несколько основных способов построения локальной вычислительной сети предприятия. Способ построения сети называется топологией

Сетевая топология - способ описания конфигурации сети, схема расположения и соединения сетевых устройств.

Сетевая топология может быть:

- физической - описывает реальное расположение и связи между узлами сети;

- логической - описывает хождение сигнала в рамках физической топологии;

- информационной - описывает направление потоков информации, передаваемых по сети;

Существует множество способов соединения сетевых устройств, из них можно выделить пять базовых топологий: шина, кольцо, звезда, ячеистая топология и решётка. Остальные способы являются комбинациями базовыми. В общем случае такие топологии называются смешанными или гибридными, но некоторые из их имеют собственные названия, например «Дерево».

A - линия;

B - каждый с каждым;

C - звезда;

D - кольцо;

E - шина;

F - дерево;

Рис. 5. Варианты топологий [12]

Наиболее часто используемые топологии это шина, звезда и кольцо.

При использовании топологии Шина, все компьютеры подключаются к одному кабелю. На его концах должны быть расположены терминаторы. По такой топологии строятся 10 Мегабитные сети 10Base-2 и10Base-5. В качестве кабеля используется Коаксиальные кабели.

Пассивная топология, строится на использовании одного общего канала связи и коллективного использования его в режиме разделения времени. Нарушение общего кабеля или любого из двух терминаторов приводит к выходу из строя участка сети между этими терминаторами (сегмент сети). Отключение любого из подключенных устройств на работу сети никакого влияния не оказывает. Неисправность канала связи выводит из строя всю сеть. Все компьютеры в сети «слушают» сеть и не участвуют в передаче данных между соседями. Пропускная способность такой сети снижается с увеличением нагрузки или при увеличении числа узлов. Для соединения кусков шины могут использоваться активные устройства - повторители (repeater) с внешним источником питания.

Когда используется топология звезда, то каждый компьютер (и т.п.) подключен отдельным проводом к отдельному порту устройства, называемого концентратором или повторителем (репитер), или хабом (Hub).

Рис. 7. Топология звезда

Концентраторы могут быть как активные, так и пассивные. Если между устройством и концентратором происходит разрыв соединения, то вся остальная сеть Топология «Звезда» продолжает работать. Правда, если этим устройством был единственный сервер, то работа будет несколько затруднена. При выходе из строя концентратора сеть перестанет работать.

Данная сетевая топология наиболее удобна при поиске повреждений сетевых элементов: кабеля, сетевых адаптеров или разъемов. При добавлении новых устройств «звезда» также удобней по сравнению с топологией общая шина. Также можно принять во внимание, что 100 и 1000 Мбитные сети строятся по топологии «Звезда».

Рис. 8. Топология «звезда»

При построении по топологии кольцо, все компьютеры в сети связаны по замкнутому кругу.

Прокладка кабелей между рабочими станциями может оказаться довольно сложной и дорогостоящей, если они расположены не по кольцу, а, например, выстроены в линию.

В качестве носителя в сети используется витая пара или оптоволокно. Сообщения циркулируют по кругу.

Рабочая станция может передавать информацию другой рабочей станции только после того, как получит право на передачу (маркер), поэтому коллизии исключены. Информация передается по кольцу от одной рабочей станции к другой, поэтому при выходе из строя одного компьютера, если не принимать специальных мер выйдет из строя вся сеть.

Время передачи сообщений возрастает пропорционально увеличению числа узлов в сети. Ограничений на диаметр кольца не существует, т. к. он определяется только расстоянием между узлами в сети.

Кроме приведенных выше топологий сетей широко применяются т. н. гибридные топологии: «звезда-шина», «звезда-кольцо», «звезда-звезда».



Рис. 9. Топология «Кольцо»

Кроме трех рассмотренных основных, базовых топологий нередко применяется также сетевая топология «дерево» (tree), которую можно рассматривать как комбинацию нескольких звезд. Как и в случае звезды, дерево может быть активным, или истинным, и пассивным. При активном дереве в центрах объединения нескольких линий связи находятся центральные компьютеры, а при пассивном - концентраторы (хабы).

Применяются довольно часто и комбинированные топологии, среди которых наибольшее распространение получили звездно-шинная и звездно-кольцевая. В звездно-шинной (star-bus) топологии используется комбинация шины и пассивной звезды. В этом случае к концентратору подключаются как отдельные компьютеры, так и целые шинные сегменты, то есть на самом деле реализуется физическая топология «шина», включающая все компьютеры сети. В данной топологии может использоваться и несколько концентраторов, соединенных между собой и образующих так называемую магистральную, опорную шину. К каждому из концентраторов при этом подключаются отдельные компьютеры или шинные сегменты. Таким образом, пользователь получает возможность гибко комбинировать преимущества шинной и звездной топологий, а также легко изменять количество компьютеров, подключенных к сети.

В случае звездно-кольцевой (star-ring) топологии в кольцо объединяются не сами компьютеры, а специальные концентраторы, к которым в свою очередь подключаются компьютеры с помощью звездообразных двойных линий связи. В действительности все компьютеры сети включаются в замкнутое кольцо, так как внутри концентраторов все линии связи образуют замкнутый контур. Данная топология позволяет комбинировать преимущества звездной и кольцевой топологий. Например, концентраторы позволяют собрать в одно место все точки подключения кабелей сети. [13]

IT структура Егорьевского филиала МГГУ им. М.А. Шолохова представляет собой следующее:

2 учебных корпуса, один из которых располагается в 6 микрорайоне, второй на Фубрах.

В учебном корпусе, расположенном в 6 микрорайоне: около 35-40 компьютеров связанных в физическую сеть и в целях безопасности логически разделённых на две подсети, учебную и административную. Это сделано в целях недопущения попадания информации из административной подсети, в учебную. Доступ в интернет осуществлялся с двух компьютеров, один из которых, располагается в бухгалтерии, второй в кабинете методистов. Компьютеры были непосредственно подключены напрямую к сети провайдера. С других компьютеров доступа в Интернет не было, в том числе и с компьютеров находящихся в компьютерном классе. Так же не было возможности отслеживать посещаемые сотрудниками сайты и отслеживать количества потраченного трафика каждым компьютером.

По результатам проведённого анализа было решено организовать сервер на базе ОС Linux, а именно на дистрибутиве Gentoo.

После введения в строй сервера, доступ к интернету стал возможен со всех компьютеров входящих в сеть, также появилась возможность контролировать количество интернет трафика потребляемого сотрудниками, кроме этого появилась возможность блокировать доступ к сайтам, не имеющим отношение к учебному процессу, и служебным обязанностям. В результате в несколько раз сократилось количество потребляемого организацией интернет трафика, и его количество перестало превышать установленные провайдером по тарифу лимиты. Приказом по филиалу был установлен лимит интернет трафика на каждый компьютер в размере 500 мегабайт, при превышении этого лимита, сотруднику отключали интернет.

Схема сети:

Рис. 10. Схема сети 6 микрорайона

В учебном корпусе, расположенном на Фубрах в качестве прокси-сервера использовался компьютер с операционной Microsoft Windows XP и программой EServ. Установленная версия EServа имела ограниченный функционал, поскольку данная версия распространялась бесплатно, кроме этого возникали различные сбои в работе как операционной системы так и самой программы. После анализа ситуации и имеющихся возможностей было принято решение установить операционную систему Linux, а в качестве прокси-сервера программу Squid.

При реализации проекта использовалась топология звезда, поскольку она является наиболее оптимальной, ввиду того что она позволяет собрать в 1 месте все соединительные концы кабелей, облегчает диагностику неисправностей, возникающих в процессе эксплуатации сети, например, возникновение проблем при работе концентратора, таких как зависание «зависание» или выход его из строя. После введения в эксплуатацию нового сервера, появилась возможность отслеживать трафик потребляемый пользователями, блокировать нежелательные сайты.

Схема сети:

Рис. 11. Схема сети учебного корпуса на Фубрах

Организация серверов в двух учебных корпусах, позволила обеспечить доступом в Интернет, как сотрудников университета, так и студентов. Также по результатам работы системы был проведён анализ, в результате выяснилось, что экономия на оплате услуг Интернета составила, 800 рублей в месяц.

Сетевая инфраструктура предприятия была построена по технологии Ethernet, выбор данной технологии был обусловлен простотой в эксплуатации, монтаже и что не мало важно в условиях финансового кризиса дешевизной оборудования, не менее важным было то, что данная технология обеспечивает достаточно высокий уровень безопасности при соблюдении простейших правил безопасности, что опять же не мало важно в условиях мирового финансового кризиса финансовые вложения не велики. Кроме этого рассматривался вариант построения без проводной сети по технологии WiFi. Однако данный вариант был, отвергнут ввиду его дороговизны и сложности покрытия всего здания радиосигналом. Именно поэтому было решено строить сетевую инфраструктуру по технологии Ethernet. А с помощью технологии WiFi было решено создать мобильный компьютерный класс.

Основной задачей системы является обеспечение безопасного доступа в интернет, сотрудников предприятия через прокси-сервер.

Прокси-сервер осуществляет:

- Кэширование и обеспечение доступа к запрашиваемым сайтам;

- Блокирование доступа к нежелательным сайтам;

- Ведение журналов (логов) посещённых пользователями сайтов;

- Возможность просматривать логии (журналы) прокси-сервера для получения информации о посещённых пользователями сайтах и количестве использованного трафика.

Аппаратной платформой для системы были выбраны комплектующие класса SOHO, поскольку для поставленных задач не требуется высокая производительность, которую обеспечивают специализированные серверные платформы, а также выбранные комплектующие обеспечивают требуемый уровень надёжности. Было принято решение использовать имеющееся в наличие оборудование.

Характеристики аппаратной части:

- Двухъядерный процессор Intel pentium 4 с тактовой частотой одного ядра 2300 Mgh;

- оперативная память 512mb;

- жёсткий диск seagete barracuda 80GB;

Аппаратная часть обоих учебных корпусов была одинаковой различие было только в моделях корпусов, что не существенно.

Выбор программной платформы стоял между Linux и Windows Server 2008.

В результате проведённого анализа, был выбран Linux, а именно дистрибутив Gentoo.

Критериями, по которым производился выбор:

- минимальные затраты на развёртывание системы

- минимальное время развёртывания системы

- надёжность системы

- наличие знаний и умений по администрированию системы

- удовлетворение имеющимся вычислительным мощностям

Gentoo появился на основе разработок собственного дистрибутива Даниэла Робинса под названием Enoch Linux. Уже тогда основной целью дистрибутива являлась собственная сборка (подобная Linux from Scratch), оптимизированная под конкретное аппаратное обеспечение и содерживающее минимальный, необходимый пользователю, набор программ.

Эксперименты над сборками GCC показали, что производительность получаемого пакета увеличивалась (в зависимости от аппаратного обеспечения) от 10 до 200% по сравнению с бинарными сборками GCC, поставляемыми другими дистрибутивами. Наработки, увеличивающие производительность, были включены в официальный выпуск GCC 2.95, благодаря чему другие дистрибутивы также получили дополнительный прирост в производительности. Начиная с этого момента, Enoch начал приобретать репутацию «быстрого» дистрибутива, после чего было принято решение сменить название на Gentoo Linux.

31 марта 2002 года вышла первая версия дистрибутива.

В 2004 была основана некоммерческая организация Gentoo Foundation, в ведение которой Роббинс передал все права на исходный код и торговые марки, тем самым отстранившись от разработки дистрибутива.

На данный момент разработка управляется группой Board of Trustees из пяти человек (ответственных за управление фондом) и советом Gentoo Council (технические вопросы), состоящим из семи членов, выбираемых на срок в один год.

В октябре 2009 года Gentoo исполняется десять лет.
Особенности системы

Мощная и гибкая технология Portage, совмещающая в себе возможности конфигурирования, настройки, а также автоматизированную систему управления пакетами. Которая создавалась под влиянием системы управления пакетами в ОС FreeBSD, называемой портами.

Кроссплатформенность - на данный момент Gentoo портирована на ARM, x86, x86-64, PowerPC, PowerPC 970 (PowerPC G5), SPARC, MIPS, DEC Alpha, PA-RISC, IBM/390, SuperH и 68k. Доступны также сборки под ядра OpenBSD, FreeBSD, NetBSD, Darwin. Система Portage портирована на платформы Mac OS X, Windows NT 5.x

Оптимизация системы под конкретное аппаратное обеспечение и нужды пользователя. Это достигается посредством сборки программ из исходных текстов с использованием, так называемых USE-флагов оптимизации и подключением / отключением необходимых модулей. Для удобства все опции могут быть внесены в конфигурационные файлы как для системы в целом (/etc/make.conf), так и для конкретных программ (/etc/portage/package.use). В случае необходимости изменения флагов, например, в случае подключения поддержки системы печати (cups) или потребности в дополнительных функциях (kerberos, pda), они будут учтены при следующем обновлении, и все программы, где используются эти флаги, включая все зависимости, автоматически пересобраны. Таким образом, любое обновление программ или системы осуществляется очень просто, например, для всей системы в целом обычно используют emerge - vDNu world, обновление только системных программ emerge - vDNu system.

Собственная init-система, расширенная и удобная система инициализационных файлов, в частности, вместо числовых используются именованные уровни запуска (runlevels), при этом с указанием зависимости от прочих сценариев. Для управления используется команда rc-update.

Маскирование (masking) - возможность использовать как стабильные (по умолчанию), так и экспериментальные, но более свежие / функциональные версии программ. При этом сохраняется возможность откатиться на любую из старых версий (также следует учитывать, что есть ряд пакетов и подсистем, не поддерживающих возврат к старым версиям, что связано с особенностями их функционирования, например библиотека glibc).

Более 10000 пакетов в основном дереве и множество подключаемых оверлеев от сторонних разработчиков.

Регулярное обновление пакетов и минимальные сроки устранения уязвимостей.

В последнее время для программ, требующих долгой компиляции, распространяются официальные бинарные сборки программ, например, openoffice-bin, mozilla-firefox-bin. Также есть много ресурсов с неофициальными сборками. [14]

В качестве кэширующего прокси-сервера был выбран Squid, выбор обуславливается быстротой и надёжностью данного программного продукта.

Squid - программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Разработан сообществом как программа с открытым исходным кодом (распространяется в соответствии с GNU GPL). Все запросы выполняет как один неблокируемый процесс ввода / вывода. Используется в UNIX-системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей.

Сервер Squid развивается в течение уже многих лет. Обеспечивает совместимость с большинством важнейших протоколов Интернета, а также с операционными системами. [15]

в качестве СУБД для баз данных был выбран MySQL

MySQL - свободная система управления базами данных (СУБД). MySQL является собственностью компании Sun Microsystems, осуществляющей разработку и поддержку приложения. Распространяется под GNU General Public License и под собственной коммерческой лицензией, на выбор. Помимо этого компания MySQL AB разрабатывает функциональность по заказу лицензионных пользователей, именно благодаря такому заказу почти в самых ранних версиях появился механизм репликации.

MySQL является решением для малых и средних приложений. Входит в LAMP. Обычно MySQL используется в качестве сервера, к которому обращаются локальные или удалённые клиенты, однако в дистрибутив входит библиотека внутреннего сервера, позволяющая включать MySQL в автономные программы.

Гибкость СУБД MySQL обеспечивается поддержкой большого количества типов таблиц: пользователи могут выбрать как таблицы типа MyISAM, поддерживающие полнотекстовый поиск, так и таблицы InnoDB, поддерживающие транзакции на уровне отдельных записей. Более того, СУБД MySQL поставляется со специальным типом таблиц EXAMPLE, демонстрирующим принципы создания новых типов таблиц. Благодаря открытой архитектуре и GPL-лицензированию, в СУБД MySQL постоянно появляются новые типы таблиц.

Использование такой аппаратно программной платформы наиболее эффективно, надёжно и безопасно. А также позволяет достичь необходимого быстродействия системы, которое позволит, реагировать на запросы пользователей без каких бы то ни было задержек, что в свою очередь увеличивает эффективность работы как сотрудников организации, так и как следствие эффективность работы самого предприятия.

2.3 Описание программных модулей

Основным программным модулем системы является кэширующий HTTP прокси-сервер Squid, предназначенный для организации безопасного доступа сотрудников в интернет.

Принцип работы модуля очень прост: после запуска он начинает прослушивать стандартный порт прокси-сервера 3128. Для того чтобы пользователь мог получить доступ в интернет, ему необходимо вписать адрес HTTP прокси-сервер в настройках браузера.

HTTP прокси-сервер - это сервер, который обрабатывает HTTP запросы клиентов. Если клиенты имеет общую организацию или домен, или они проявляют подобие в просмотре документов, прокси-сервер может эффективно кэшировать запрошенные документы. Кэширование, которое перемещает документы из сети ближе к пользователям, разгружает сетевой трафик, снижает нагрузку на популярных серверах Web и уменьшает время, в течение которого конечные пользователи ждут запрашиваемые документы.

Прокси-сервер принимает запросы от клиентов. Когда это возможно и желательно, он генерирует ответ, основанный на документах, сохранённых в локальном КЭШе. Иначе, он направляет запрос удалённому серверу, а полученный ответ направляет клиенту, и если ответ был удачен, кэширует его. На рисунке 1.2 схематически показана работа кэширующего прокси-сервера.

Рис. 12. Передача информации через кэширующий proxy-сервер

Таким образом, proxy-сервер действует, и как сервер и как клиент. Он выступает в качестве сервера при приёмке HTTP запросов от клиентов, и клиентом по отношению к удалённым серверам, с которыми он устанавливает связь, когда не способен ответить на запрос, воспользовавшись данными из локального КЭШа.

Рассмотрим работу прокси-сервер более подробно. Когда прокси-сервер начинает работать, он находится в состоянии ожидания запросов от клиентов на специальный порт (по умолчанию 3128). После получения, для каждого запроса создаётся новый поток для обработки. Поток обработки анализирует запрос.

Если запрос должен извлечь документ (обозначается методом запроса «GET»), тогда, если выполняются все ниже перечисленные условия, то документ берётся из КЭШа и направляется клиенту, при этом число удачного использования кэша увеличивается на единицу (cache hit):

Необходимый документ имеется в КЭШе;

в запросе не указано, что документ нельзя взять из КЭШа (pragma «no cache» не задана в запросе);

в запросе не определена временная область «if-modified-since»;

Сервер, с которого запрашивается документ, не входит в список серверов, доступ к которым осуществляется без прокси-сервера.

Во всех остальных случаях запрос будет послан удалённому серверу, с которого запрашивается документ, или другому прокси-серверу, если таковой был определён. При этом число неудачного использования КЭШа (cache misses), будет увеличено на единицу.

Ответ от удалённого сервера передаётся клиенту. В добавление к этому в случае удачного ответа на запрос (что обозначается кодом 200 ответа удалённого сервера) и при условии, что сервер не находиться в списке серверов, доступ к которым осуществляется без прокси-сервера, найденный документ будет сохранён в КЭШе на локальном диске. При этом необходимо отметить, что всякий раз, когда получена новая версия кэшируемого документа (например, при ответе на запрос, содержащий поле «if-modified-since»), она заменяет более старую версию в КЭШе.

Статистика, накопленная в течении транзакции с удалённым сервером (время соединения, ширина пропускной полосы) используется для модификации статистической базы данных сервера. [16]. Благодаря кэшированию документов в значительной степени снижается количество потребляемого организацией трафика, как следствие экономятся финансовые средства предприятия.

Squid может выполнять следующие функции:

- Запрет доступа к различным не желательным сайтам

- ведение журнала посещённых сайтов

- ограничение скорости доступа в интернет и т.д.

Как и большинство программ для Linux, Squid не имеет графического интерфейса настройки. Настройка параметров работы прокси-сервера производится из текстового конфигурационного файла, располагающегося \etc\squid\squid.conf.

Пример конфигурационного файла Squid.

redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

acl student src 192.168.10.0/255.255.255.0

acl teacher src 192.168.0.0/255.255.255.0

http_access allow student

http_access allow teacher

http_port 192.168.0.1:3128

http_port 192.168.10.1:3128

в конфигурационном файле записываются директивы для программы, вот что значат приведённые выше директивы:

redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf - здесь указана программа редиректор в данном случае это rejik - предназначенная для блокирования нежелательных сайтов.

acl student src 192.168.10.0/255.255.255.0 - директива создающая запись в акцес листе Squid с именем student, также указано что к этой записи относятся всем компьютеры находящиеся в указанной подсети то есть в подсети 192.168.10.0/255.255.255.0

acl teacher src 192.168.0.0/255.255.255.0 - директива создающая запись в акцес листе Squid с именем teacher, также указано что к этой записи относятся всем компьютеры находящиеся в указанной подсети то есть в подсети 192.168.0.0/255.255.255.0.