 |
|
 |
|||||||||||||
 |
 |
 |
 |
Система
Online Демос-Интернет. Разработка системы Demos Online (DOL) началась в 1993 году, когда возникла необходимость предоставлять пользователям не только услуги электронной почты, но и интерактивный доступ к Internet с учетом возможностей распространенного в то время оборудования и финансовых возможностей клиентов. В 1994 году Demos приступил к коммерческому использованию DOL продолжая ее совершенствование. За время прошедшее с начала эксплатации система DOL претерпела значительное развитие как с точки зрения используемого оборудования и внутренней структуры, так и с точки зрения предоставляемых сервисов и схемы работы с пользователями. В настоящее время DOL представляет собой интегрированную систему предоставляющую пользователю весь комплекс услуг по подключению к Internet по комутируемым линиям, работе с почтой с помощью широкого набора протоколов, обмену новостями или другой информацией с наиболее популярными типами серверов, и размещению пользователями собственных общедоступных или корпоративных серверов с разнообразными возможностями управления доступом. DOL, как и любую подсистему предоставления услуг ISP можно рассматривать с нескольких взаимодополняющих позиций характеризующих ее положение в структуре ISP:
1. Типы используемого в системе оборудования Оборудование применяемое ISP может быть
разбито на две большие группы: Возможность хранить большие объемы информации, и, как правило, широкий выбор совместимых ОС и переферийных устройств, позволяет использовать дисковые серверы для предоставления практически любых услуг ISP, включая услуги для которых преднозначены бездисковые серверы, однако для обеспечения необходимой надежности требуются дополнительные меры, такие как использование RAID контроллеров и кластерных структур. Оба типа оборудования имеют свои достоинсва и недостатки, и взависимости от требующихся клиенту возможностей некоторые сервисы Demos (например dialup-ip) могут предоставляться или на бездисковых устройствах (входных терминальных серверах) или в системе DOL (с дополнительными возможностями), котрая как раз и является единой, с точки зрения пользователя и управления, структурой дисковых серверов оказывающей, кроме всего прочего, и услуги интерактивного доступа в Internet (online). 2. Необходиый для обслуживания системы и работы с клиентами персонал Персонал обслуживающий систему DOL
может быть условно разбит на несколько категорий
на основе выполняемых функций: Последний пункт включает стандартные операции не требующие доступа к внутренним структурам DOL и осуществляется общей службой работающей с пользователями Demos, в то время как для выполнения работ по пункту (e) требуется специально обученный персонал с дополнительными правами доступа, а так же взаимодействие с другими службами, например, отвечающими за разработку пользователям WWW-страниц, выделение IP-адресов для виртуальных серверов и размещение зон доменов. Пункты (a) и (b) выполняются персоналом обслуживающим не только DOL, но и другие серверы Demos, т.к. требуемые навыки в значительной мере являются общими для обслуживания дисковых серверов различного типа. 3. Предоставляемые системой сервисы Для понимания положения системы DOL в общей структуре сервисов Demos на следующей упрощенной схеме обозначены наиболее крупные группы сервисов характерные для большинства ISP и выделены части относящиеся к DOL.
+-----------+ +-----------+ +-----------+
| WWW | | news | | dialup-ip |
|WWW-servers| +-----------+ | |
| | | |
%:::::::|:::::::::::|:::::::::::::::|:::::::::::|:::::::::%
" | | +-----------+ | | "
" | 80% | | FTP | | 50% | "
" | | |FTP-servers| | | "
" +-----------+ +-----------+ +-----------+ "
" DOL - Demos Online "
" +-----------+ +-----------+ +-----------+ "
" | | | shell | | POP3 | "
" | | | terminal | | 100% | "
" | | +-----------+ +-----------+ "
" | | "
%:::::::|:::::::::::|:::::::::::::::::::::::::::::::::::::%
| | +-----------+
| UUCP | | DBASE |
+-----------+ +-----------+
Как видно из схемы системе DOL предоставляются все наиболее характерные для ISP сервисы, от интерактивного доступа (online) через terminal и dialup-ip и почтового доступа по протоколам POP3 и UUCP, до размещения пользовательских WWW-страниц и виртуальных WWW- или FTP-серверов. Характерной осбенностью предоставления сервисов в Demos является возможность получения сходных услуг в нескольких подсистемах, что позволяет диференцированно подходить к различным категориям клиентов. Для интерактивных пользователей работа в режиме dialup-ip может происходить как на бездисковых терминальных серверах (где реализована PAP авторизация, более удобная при использование клиентом продуктов MicroSoft, работа через ISDN, развитая маршрутизация сетей для пользователей со статическим IP-адресом), так и в системе DOL, с более разнообразными схемами выдачи IP-адресов, защитой компьютера пользователя от внешних воздействий, различными схемами ограничения доступа, групповыми заходами для корпоративных клиентов, а также с возможностью работы в терминальном режиме. Аналогично, WWW-страницы и массовый WWW-хостинг располагаются в системе DOL, а виртуальные WWW-серверы требующие индивидуалного обслуживания и стыковки с базами данных находятся в отдельной подсистеме. Для виртуалных FTP-серверов в системе DOL имеются несколько мест размещения взависимости от требований клиента. 4. Логическая структура системы с точки зрения пользователя Базовой концепцией DOL является понятие так называемой "виртуальной машины". "Виртуальная машина" это логическое образование, надежно изолированное от других виртуальных машин с помощью специальных системных средств, и имеющая все атрибуты отдельного хоста в Internet:
Пользователь может получить в свое распоряжение как отдельную "виртуальную машину" (удобно для корпоративных пользователей желающих самим администрировать доступ сотрудников), так и одиночный заход на выделенной "виртуалной машине" администрируемой через сервер регистрации и статистики Demos (существует несколько таких "виртуальных машин" имеющих специальное назначение).
На предыдущей схеме показана структура "виртуальной машины" общего назначени. 1. MASTER MENU 2. UUC/P spool
Возможны разнообразные ограничения доступа пользователя в Internet, к почте, и различное взаимное расположения рабочих каталогов, устанавливаемые администратором "виртуальной машины". На основе "виртуальной машины" может быть организован виртуальный FTP-сервер, а виртуальные WWW-серверы могут быть привязаны к WWW-страницам пользователей выбранным администратором. Более подробные сведения можно найти на сервере http://www.dol.ru в разделе "Техническая поддержка" На следующей схеме приведены четыре
существующих варианта работы
Эти варианты отличаются протоколами канального уровня ([C]SLIP или PPP), способом выдачит адресов сетевого уровня (dynamic или static IP-адрес), а так же реализацией работы на транспортном уровне (TCP/UDP) с внешним миром (анонимный доступ пользователя в Internet с использованием IP-адреса сервера Online, а не полученного клинтским компьютером IP-адреса, через реализованный на сервере мост на транспортном уровне по существующей не установивщейся терминологии можно назвать или соединением с "private ip" или, совсем не точно, работой в режиме "эмуляции SLIP/PPP").
Пункты (3) и (4) отличаются друг от
друга только протоколами канального
уровня ([C]SLIP или PPP), но имеют принципиальное
отличие от режимов по пунктам (1) и (2),
хотя со стороны програмного Как и в режимах (1) и (2) компютер пользователя на канальном уровне устанавливает соединение с Online сервером по протоколу PPP или [C]SLIP и получает IP-адрес (хотя в данном случае адрес может выбираться произвольно, обычно он фиксирован и принадежит private блоку IP-адресов, для которого отсутсвует маршрутизация в Internet). IP-пакеты приходящие со стороны клиента просматриваются програмным обеспечением Online сервера и если они содержат TCP-сегменты или UDP-пакеты, то требуемое соединение (или посылка дейтограммы) осуществляется от имени сервера (с server-ip), а необходимая информация для отождествления клиента при ответе заносится в специальную таблицу. При получении ответа происходит преобразование на основание таблицы (если в таблице сведений нет пакет отбрасывается) и соответсвующий пакет отправляется клиенту от имени внешнего сервера, так что програмное обеспечение клиента не замечает подмены и прозрачно работает с внешним миром. В то же время любая попытка достич клиента из внешнего мира не удается, если клиент сам не инициализировал это соединение, т.е. клиент защищен от различных опасных воздействий из Internet, что особенно важно всвязи с появлением разнообразных утилит для сбора конфиденциальной информации с клиентских компьютеров под управлением ОС производства MicroSoft. Ниже приведена упрощенная схема системы авторизации использующейся в Demos'е при соединении пользователя по комутируемум линиям.
На терминальном сервере сначала происходит так называемая "префиксная авторизация", т.е. определение требуемого вида сервиса по преффиксу имени пользователя. Если при соединении терминальный сервер получает LCP пакеты (тип пакетов используемых при PPP соединении) подразумевается PAP авторизация (один из протоколов авторизации предусмотренных PPP протоколом) и преффикс "pp" в имени, предназначенный для работы по PPP на терминальном сервере. В ином случае выдается приглашение, анализируется полученная строка и для преффиксов "pp" и "ip" происходит запрос пароля и окончательная авторизация на терминальном сервере, после которой начинается работа по протоколам PPP или [C]SLIP, соответсвенно. При переффиксе "uu" клиент соединяется с центральным UUCP-сервером Demos где и происходит авторизация. Система DOL использует три основных преффикса "_", ">" и "<" по которым осуществляется соединение с одним из Online серверов и окончательная авторизация. По преффиксу "<" происходит доступ по протоколу UUCP к UUCP spool'у "виртуальной машины" имя которой следует после преффикса, с паролем установленным администратором. По преффиксу ">" осуществляется соединение пользователя "виртуальной машины" общего назначения (после преффикса следует название "виртуальной машины", затем запрашивается sublogin, т.е. имя пользователя, и пароль). После преффикса "_" следует имя пользователя выделенной "виртуальной машины" для которого затем запрашивается пароль). По окончании авторизации с преффиксами "_" и ">" пользователь может выбрать режим работы, или terminal, или один из видов dialup-ip, в последнем случае, как правило, для автоматизации процесса соединения используется один из сценариев дозвонки которыйе можно найти по URL ftp://ftp.demos.su/support/win95. 5. Структура и внутренние связи системы на уровне оборудования Группа серверов DOL объединенных общими задачами и внутренними связями является составной частью общей инфраструктура рабочей (или технологической) площадки Demos/IKI. Ниже приведена упрощенная схема рабочей площадки обобщенного ISP
Реальная площадка, в зависимости от назначения, может не иметь некоторых структурных единиц или они могут быть сформированы не полностью. Если структурная единица представляет собой группу, то она может иметь развитую внутреннюю структуру, включать в себя дополнительные маршрутизаторы, сетевые фильтры, firewall и proxy. Основное назначение структурных единиц: 1. периферийные маршрутизаторы и специальные серверы
2. группы пользовательских серверов предназначены для размещения и изоляции пользовательских серверов и другого сетевого оборудования сторонних организаций на рабочей площадке (т.н. colocation). 3. группы оборудования и терминальных серверов для доступа пользователей обеспечивают подключение комутируемых каналов и выделенных линий 4. выделенные серверы серверы, расположенные непосредственно на внутренней сети общего назначения и не входящие в группы 5. группы внутренних станций/серверов предназначены для размещения и изоляции персональных компьютеров и внутренних серверов общего пользования для обслуживающего персонала 6. технологические группы серверов ниже приведена упрощенная схема возможной структуры группы серверов
В зависимости от назначения группы
могут отсутствовать отдельные 1. периферийные маршрутизаторы, переключатели, фильтры, firewall, proxy предназначены для периферийной защиты группы и разграничения трафика внутренней сети группы и сети рабочей площадки, в простейшем варианте функции этого элемента может выполнять аналогичная структурная единица рабочей площадки (1), а внутренний трафик не изолироваться, так же они могут заниматься балансом нагрузки на серверах группы 2. периферийные серверы обеспечивают внешний интерфейс группы и доступ к предоставляемым группой сервисам, серверы могут быть частично или полностью взаимозаменяемы путем миграции приложений и IP-интерфейсов во внутренней сети группы, для надежной изоляции внутреннего трафика используется приватная сеть группы, которая не маршрутизируется в Internet, на перифериных серверах возможно включение IP-фильтрации в дополнение к периферийной защите 3. внутренний маршрутизатор/переключатель предназначен для подключения серверов к приватной сети и регулирования трафика, например, за счет фильтрации 4. приватные серверы предоставляют наиболее критичные сервисы которые доступны извне только через специальные интерфейсы периферийных серверов На следующей схеме приведена упрощенная структура серверной части рабочей площадки Demos/IKI включающей группу серверов DOL (на схеме обозначены парой символов "SO" и последующей цифрой), в основном удовлетворяющей рассмотренной ранее схеме обобщенной технологической группы серверов.
Планируется, что в течении года струтура усовершенствуется и будет удовлетворять следующей схеме
В заключение следуе сказать, что на основе "виртуальных машин" удалось построить легко расширяемую, гибкую, многофункциональную систему DOL, удобную как для единичного, так и для корпоративного пользователя. |
 ![[ КОМПАНИЯ ДЕМОС-ИНТЕРНЕТ ]](demos-top5.gif) ![[ КОМПАНИЯ КОНТАКТ ]](contact-top5.gif) ![[ УЧАСТНИКИ ]](menu1_5.gif){kind=small} ![[ ФОТОРЕПОРТАЖ ]](menu3_5.gif){kind=small} ![[ ПЕРВАЯ СТРАНИЦА ]](home.gif){kind=small} |
     |
     |
     |
     |
||||||
![[ НАВЕРХ ]](up-arrow.gif){kind=icon} |
|||||||||||||||
 |
|
 |
|||||||||||||
