Организация и администрирование домашних ЛВС с доступом к провайдерам на базе ОС Линукс
Виктор Краев – ОИТ МИТСО, Минск, Беларусь – messkaline@gmail.com
Рассмотрены особенности технической реализации домашней ЛВС в одном из микрорайонов г. Минска. На ее примере описана организация бюджетного варианта ЛВС на неуправляемых свичах с центральным маршрутизатором/сегментатором на базе ОС Debian. Рассмотрена организация воздушных линий и бюджетный вариант их грозозащиты, организация связи по радиоканалу между сетями. Обосновывается использование открытой биллинговой системы Stargazer для управления доступом пользователей к сети и к провайдерам. Рассмотрены средства мониторинга сети.
организация ЛВС
Одна из причин появления домашних ЛВС – отсутствие полноценного доступа к Интернет для домашнего использования (соединение по dial-up в расчет не берется как издевательство над человеком по цене и качеству). Соединение по технологии хDSL для личного пользования до сих пор остается весьма дорогостоящим, из-за чего сам собой напрашивается выход – объединяться и совместно оплачивать то, что не по карману одному человеку. Тут на помощь приходят вторичные провайдеры, предоставляющие доступ по ADSL уже организованным сетям.
Географическое положение разработанной сети таково, что ее окружают с одной стороны воинская часть, со второй — транспортная магистраль и поле, с третьей (в направлении центра города) – поле с высоковольтной линией передач, с четвертой деревня, за ней поле и еще одна транспортная магистраль. В 2004 году с помощью компании “Solo” появилась возможность подвести Интернет по выделенной линии, но для этого требовалось определенное количество пользователей. Тогда и была создана описываемая сеть.
Микрорайон в основном состоит их пятиэтажных “хрущевок”. На один четырех-шестиподъездный дом приходится по 10-15 пользователей. Есть также двухэтажные дома. Из-за специфики микрорайона использовать подземные коммуникации не представлялось возможным, поэтому сеть оказалась растянута на 18 домов и 17 воздушных линий при 200 пользователях. Выделенная линия оказалась длинной 4 км, максимальная скорость – 264 кбит. Когда с ростом сети скорости стало не хватать, были найдены две неиспользуемые таксофонные линии (сами таксофоны оказались давно снесены), по которым подключили дополнительных провайдеров.
бюджетный вариант на неуправляемых свичах с центральным маршрутизатором/сегментатором на базе ОС Debian
При выборе сетевого оборудования вариант использовать интеллектуальный 24-портовый коммутатор на подъезд/дом (как в сетях, где длинные девятиэтажные дома) был отброшен. При таком огромном количестве воздушных линий вероятность выхода из строя сетевых коммутаторов из-за статики во время грозы, штормовых ветров и пр. наводок очень велика. В одну из первых серьезных гроз цепная реакция вывела из строя 8 коммутаторов.
Естественно, что менять дорогостоящие управляемые коммутаторы – задача, несовместимая с бюджетом такой сети. Поэтому было принято решение остановиться на недорогих, но качественных неуправляемых свичах Planet FSB-803 (8 портов) и FSB-1603 (16 портов). Задачи по управлению трафиком, контролю MAC-адресов, IP-адресов, фильтрации широковещательных сообщений и пр. “мусора”, и самое главное, контроль доступа к провайдеру и остальным сегментам сети, были возложены на центральный компьютер, выполняющий роль маршрутизатора и делящий сеть на сегменты (в нашем случае – 4 сегмента). Использован вариант с двумя процессорами pIII-800, 1 Гб ОЗУ и 4 сетевыми картами, стоимостью 170 у.е. В качестве ОС выбор пал на Linux Debian (основная мотивация – наличие бесплатного доступа к репозитарию и наличие друзей – “гуру”.
На нем работают:
- DHCP-сервер (isc-dhcp3-server) – автоматическая рассылка сетевых параметров для windows-клиентов;
- WINS-сервер (Samba3) – cеть Windows;
- DNS (bind9) (лучше вынести на отдельный сервер) – был поднят DDNS (динамический для локальной сети) с перенаправлением на DNS провайдера.
воздушные линии; грозозащита
На начальном этапе проектирования сети стоит сразу обозначить участки, где магистральный провод будет идти по крыше, фасаду и между домами по воздуху. Имеет смысл использовать на этих участках специальный кабель с экраном. В нашем случае использовался 4-х жильный военно-полевой кабель П-296. Особенность этого кабеля в том, что он имеет толстые жилы и отличный экран (можно даже вешать без троса на небольших расстояниях).
Необходима защита обоих концов (в некоторых случаях лучше ставить одну; о них см. ниже) воздушных линий грозозащитами. Грозозащиты можно купить настоящие (т.е. заводские) но их стоимость от 40 у.е. не позволяет говорить о бюджетном варианте.
Можно купить грозозащиты кустарного производства – 6-10 у.е. или сделать их самостоятельно при себестоимости порядка 3 у.е:
Рис. 1. Схема грозозащиты
Обязательно необходимо предусмотреть заземление грозозащит, экрана воздушной линии и ящиков, в которых находится сетевое оборудование.
Желательно на особенно дорогих устройствах поставить бесперебойные блоки питания.
радиоканал
Необходимо было обеспечить связь между двумя сетями, находящимися на расстоянии 2,5 км. Для обеспечения прямой видимости антенны точек доступа пришлось устанавливать на крышах двух девятиэтажных зданий. Для того, чтобы избежать потерь в коаксиальном кабеле, точки доступа установили на минимальном расстоянии от антенн, так как расстояние от одной из точек доступа до коммутатора составляло более 30 метров.
В качестве точек доступа можно выбирать любые Wi-Fi-устройства, как внешние, так и внутренние с разъемом для антенны. Изначально мы остановили выбор на внешних точках доступа D-Link; сейчас используются Planet WAP4030A со скоростью 54 мбит. Следует сразу обратить внимание на цифры 11/22/54/108, в которых кроется подвох. Так как все Wi-Fi устройства полудуплексные, чтобы выявить реальную скорость, следует разделить указанное число на 2.
В качестве антенны использованы антенны типа MMDS-хх (хх – коэффициэнт усиления). Подходит антенна 2.4 ГГц, используемая для приема каналов “Космос-ТВ”.
Вся первоначальная настройка точек доступа должна производится на земле, и только после проверки работоспособности на малом расстоянии, имеет смысл устанавливать оборудование на постоянное место.
Stargazer – открытая биллиговая система
Система StarGazer предназначена для авторизации и учета трафика в локальных, домашних и офисных сетях. При разработке данной системы была поставлена цель создать продукт, который отвечал бы требованиям большинства локальных сетей к учету трафика и средств, а также безопасной авторизации клиентов.
Система построена по клиент-серверной технологии, что обеспечивает необходимую гибкость и быстродействие. В качестве сервера выступает машина с ОС Linux или FreeBSD, в качестве клиентов могут выступать машины как семейства Windows, так и клиенты с ОС Linux или FreeBSD. Так же клиентом может выступать любая ОС, в которой есть поддержка сетевых протоколов TCP/IP и веб-браузер. Система поддерживает подключаемые модули, что позволяет самостоятельно наращивать ее функционал.
Основные возможности системы:
- контроль над клиентами сети, их добавление, удаление, текущие корректировки;
- авторизация клиента, с последующим разрешением или запретом доступа в Internet;
- подсчет трафика по предварительно заданным направлениям и правилам;
- подсчет израсходованных клиентом средств и автоматическое отключение по достижении нулевого баланса;
- хранение дополнительной информации о клиенте, такой как домашний адрес, телефон и т.д.;
- автоматическое пингование всех клиентов сети и вывод результатов на экран;
- ведение кредитной истории для всех клиентов;
- оперативное предоставление клиенту информации о его трафике и наличии средств;
- формирование подробных отчетов о состоянии клиентов;
- поддержка внешних модулей.
мониторинг сети
Для мониторинга может быть использован следующий набор утилит:
Iptraf – консольная утилита для сбора сетевой статистики. Она позволяет просматривать счетчики TCP-соединений как в байтах, так и в пакетах, показывает статистику по интерфейсам рабочей станции и индикаторы активности. Есть возможность устанавливать фильтры (отбор нужного трафика).
Iftop – аналог top по части использования сети: прослушивает трафик на указанном интерфейсе и отображает таблицу текущего использования по парам станций. Удобное средство для ответа на вопрос “почему наш ADSL так тормозит?”.
Arpwatch – отслеживание IP, MAC адресов в сети. Регистрирует и отправляет по почте все изменения, касающиеся компьютеров и их адресов. Сообщает о появлении новых компьютеров. Очень полезная утилита в случае использования неуправляемых свичей.
Tcpdump –консольное средство мониторинга на уровне пакетов. Отображает полную информацию о составе, пути, портах назначения и отправки пакета. Если требуется детально проанализировать трафик, tcpdump – идеальный выбор (при наличии только консоли).
Wireshark (ранее Ethereal) – графический анализатор сетевых протоколов, который позволяет фиксировать и в интерактивном режиме просматривать содержание сетевых фреймов. Цель проекта состоит в том, чтобы создать качественный анализатор пакетов для Unix-систем. Читает файлы данных tcpdump, Sniffer Pro, NetXray, MS Network Monitor, Novell’s LanAlyzer и т.п. Поддерживает DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET, X25 и т.д. Wireshark – это лучший (мнение автора статьи) инструмент отладки и мониторинга сети для графической оболочки.
Рис. 2. Схема сети