Удаленный доступ

    Удаленный узел

    Одним из вариантов удаленного доступа  типа компьютер - сеть является режим удаленного узла (remote node). Программное обеспечение удаленного узла на клиентской машине позволяет последовательному порту и модему (или терминальному адаптеру ISDN) стать медленным узлом удаленной локальной сети, взаимодействующим обычным способом с сетевыми операционными системами при разделении их ресурсов. В локальной сети должен быть установлен сервер удаленного доступа, поддерживающий режим удаленного узла. Это означает, что сервер должен поддерживать один из протоколов канального уровня, используемых на глобальном канале. Протокол канального уровня необходим для связи удаленного компьютера с центральной локальной сетью. Так как чаще всего этот канал является коммутируемым каналом телефонной сети или ISDN, то сервер удаленного доступа должен поддерживать протоколы РРР и SLIP, используемые на этих каналах. В сети Х.25 или frame relay сервер удаленного доступа должен поддерживать протоколы этих сетей, то есть протоколы LAP-B и Х.25/3 для первого случая и LAP-F для второго (если сеть frame relay поддерживает только постоянные виртуальные каналы). При получении по глобальному каналу кадров соответствующего протокола, сервер, работающий в режиме удаленного узла, извлекает из кадра, например, РРР, пакеты тех общих протоколов сетевого уровня, по которым работают удаленный компьютер и компьютеры локальной сети. Такими протоколами могут быть протоколы IP, IPX или немаршрутизируемый протокол NetBEUI. Далее вступают в работу протоколы верхних уровней, и пользователь получает такой же доступ, как если бы его компьютер находился непосредственно в локальной сети, но с небольшим исключением — скорость обмена его компьютера с остальными компьютерами удаленной сети зависит от пропускной способности глобального канала связи.

    Клиенты, работающие в режиме удаленного узла, могут логически войти в сеть таким же образом, как если бы они были локальными пользователями, отображать сетевые диски и даже загружать программы через удаленную связь. Но удаленная загрузка больших программ неразумна, так как самый скоростной модем 33, 6 Кбит/с работает со скоростью, составляющей только 3 % от скорости сегмента Ethernet, и программа, которая в локальной сети загружается за 30 с, будет загружаться по удаленной связи в течение 15-20 минут. Поэтому в режиме удаленного узла локальные копии программ, как правило, эффективнее.

    Другая  проблема связана со способом работы сетевых операционных систем. Серверы  часто рассылают широковещательные  сообщения всем узлам сети для  проверки подключенных и работающих клиентов. Такие широковещательные рассылки могут заблокировать удаленный доступ, если они не фильтруются перед отправкой по удаленным связям. Поэтому перед приобретением любого продукта необходимо проверить по его описаниям, может ли он работать в режиме удаленного доступа.

    Компьютер, использующий режим удаленного узла, наиболее эффективно работает с системами клиент-сервер, так как в этом случае трафик по глобальному каналу обычно передается не очень интенсивный — запрос клиента обрабатывается на сервере, а по глобальному каналу передается только ответ. В режиме клиент-сервер работают многие корпоративные СУБД (например, Oracle, Informix, Microsoft SQL Server), а также приложения, ориентированные на эту архитектуру. Многие административные утилиты современных операционных систем поддерживают такой режим, например User Manager for Domains Windows NT.

    Серверы, работающие в режиме удаленного узла, выполняют свои функции различным образом.

    Первый  вариант — это реализация в  сервере удаленного узла функционального  эквивалента маршрутизатора с WAN-портами для асинхронных модемов, ISDN-линий или асинхронного доступа к PAD X.25. Этот вариант универсален, так как обеспечивает доступ как отдельных компьютеров, так и локальных сетей. Однако данный вариант при подключении отдельного компьютера избыточен, поскольку требует выделения отдельного номера сети каждому подключившемуся к сети пользователю.

    Второй  вариант основан на работе сервера  удаленного узла в режиме шлюза. Если удаленные клиенты и локальная  сеть работают на протоколе IP, то всем удаленным компьютерам присваивается один и тот же номер IP-сети, совпадающий с номером локальной сети, к которой они получают доступ. В этом случае сервер выполняет функции посредника по протоколу ARP(говорят, что он поддерживает режим proxy ARP), отвечая компьютерам локальной сети своим МАС - адресом на запросы о IP-адресах, принадлежащих удаленным подключившимся узлам. Для протокола NetBIOS работа сервера в режиме шлюза — это единственно возможный режим работы, так как этот протокол не может маршрутизироваться.

    В сервере удаленного узла могут быть реализованы оба варианта работы, которые выбираются в зависимости от типа клиента (компьютер или сеть), а также протокола.

    Операционные  системы Mac OS, OS/2, Windows 95 и Windows NT Workstation включают в стандартную поставку клиентскую часть программного обеспечения удаленного узла. В настоящее время имеется явная тенденция использования клиентами удаленного узла протокола РРР. В результате достигается совместимость клиентских и серверных частей систем различных производителей, работающих в режиме удаленного узла.

    Удаленное управление и терминальный доступ

    Другим  распространенным вариантом удаленного доступа являются две разновидности  практически одного и того же режима — удаленное управление (remote control)и  терминальный доступ (terminal access). При  этом способе удаленный компьютер  становится, в сущности, виртуальным терминалом компьютера - хоста, который может быть, а может и не быть подключен к сети. Этот вариант позволяет запустить любое приложение на компьютере - хосте, а также получить доступ к любым данным этого хоста. Если компьютер - хост подключен к сети, то и удаленные его пользователи становятся полноправными членами сети, действуя как пользователи компьютера - хоста.

    Выше  уже было сказано, что отличия удаленного управления от терминального доступа только в том, что при удаленном управлении пользователь связывается с операционной системой, не рассчитанной на поддержку многотерминального режима (MS-DOS, Windows 3.1, Windows 95/98, Windows NT, OS/2 Warp), а терминальный доступ осуществляется к операционным системам, для которых многотерминальный режим является основным (Unix, IBM, 1MB OS-400, VAX VMS).

    Удаленное управление или терминальный доступ нужны тогда, когда удаленный пользователь работает с приложениями, не оптимизированными для работы в сети, например с традиционными СУБД персональных компьютеров типа dBase, Paradox или Access. Иначе, когда такое приложение находится на одном компьютере, а файлы баз данных — на другом, в сети создается чрезмерно интенсивный трафик.

    Централизованная  схема удаленного управления требует  установки в локальной сети предприятия специального программного продукта — сервера удаленного управления, например сервера WinFrame компании Citrix. На клиентских удаленных компьютерах также нужно установить дополнительное программное обеспечение — клиента удаленного управления.

    Протоколы, используемые программами удаленного управления для передачи информации об обновлении экрана, нажатиях клавиш и перемещениях мыши, являются нестандартными — поэтому нужно устанавливать серверную и клиентские части удаленного управления от одного производителя. Например, пользователи программного клиента удаленного доступа Norton pcAnywhere не смогут дозвониться до хоста, работающего под управлением программ ReachOut, LapLink for Windows, Carbon Copy, Remotely Possible или Close-Up.

    При терминальном доступе также желательно установить в центральной сети специальный  продукт — терминальный сервер. Можно обойтись и без него, но тогда на каждый компьютер, к которому нужно подключиться в режиме удаленного терминала, нужно ставить модем и выделять ему отдельный телефонный номер. Терминальный сервер принимает запросы на связь с определенным компьютером и передает по локальной сети коды нажатия клавиш и символы, подлежащие отображению на экране пользовательского терминала. Для взаимодействия по локальной сети с многотерминальными ОС терминальный сервер использует стандартные протоколы эмуляции терминала, например telnet для Unix, DEC LAT для VAX VMS.

    Почта

    Почта является еще одним видом удаленного доступа. Почтовые шлюзы, доступные по коммутируемым телефонным линиям, и клиентское почтовое обеспечение удаленного доступа могут быть достаточными для удовлетворения потребностей многих обычных пользователей. Такие почтовые шлюзы позволяют удаленным пользователям или даже удаленным офисам звонить в почтовую систему центрального отделения, обмениваться входящими и исходящими сообщениями и файлами, а затем отключаться.

    Продукты, предназначенные для этих целей, варьируются от клиентских программ для одного пользователя, таких как cc:mail Mobile фирмы Lotus, до полномасштабных шлюзов, которые организуют почтовый обмен между удаленными серверами и корпоративной локальной сетью (например, Exchange компании Microsoft).

    Почтовые  шлюзы могут быть полезны в  случае, когда количество данных, которыми обмениваются удаленные пользователи с центральным офисом, не очень большое. Из-за того, что среднее время сессии пользователь - шлюз сравнительно невелико, шлюз центральной сети не должен поддерживать большое количество телефонных линий. Обычно почтовое соединение легко устанавливается, а стоимость программного обеспечения шлюза незначительна.

    Шлюзы работают в автоматическом режиме без  вмешательства человека. Если в удаленном  офисе работают один или два сотрудника и им не нужен доступ к корпоративным  данным в реальном масштабе времени, то почтовый шлюз может быть хорошим решением. Некоторые приложения автоматически принимают запросы в виде писем электронной почты, а затем посылают в таком же виде ответы. Так, например, работают многие СУБД.

    Не  только почта, но и другие приложения, написанные для локальной вычислительной сети, могут иметь специфические программные модули, предназначенные для удаленных соединений. Такие программы устанавливают соединения между собой с помощью нестандартных протоколов и часто увеличивают эффективность соединения за счет специальных приемов, например путем передачи только обновлений между удаленным компьютером и хостом. Примером продуктов этого класса являются программные системы коллективной работы.

    Удаленный доступ через  промежуточную сеть

    Общая схема двухступенчатого доступа

    Раньше  удаленный международный или  междугородный доступ отдельных  пользователей всегда реализовывался по схеме, основанной на использовании международной или междугородной телефонной связи. Публичные территориальные сети с коммутацией пакетов (в основном — сети Х.25) не были так распространены, чтобы, находясь в любом городе, посланный в командировку сотрудник мог получить доступ к этой сети, а через нее — к маршрутизатору или серверу удаленного доступа своего предприятия.

    Поэтому удаленные пользователи непосредственно  звонили по телефонной сети на сервер удаленного доступа своего предприятия, не считаясь с затратами на международные или междугородные переговоры.

    Однако  сегодня очень часто служба международной  сети с коммутацией пакетов имеется во многих городах, и чаще всего это служба Internet. По мере развития услуг сетей frame relay возможно, что и эта технология получит такое же массовое распространение. Поэтому стала возможной двухступенчатая связь удаленного пользователя со своей корпоративной сетью — сначала выполняется доступ по городской телефонной сети к местному поставщику услуг Internet, а затем через Internet пользователь соединяется со своей корпоративной сетью.

    Такой вариант может значительно удешевить  доступ по сравнению с непосредственным подключением через междугородные АТС.

    Обычно  экономия происходит за счет перехода от междугородных (или международных) звонков к местным. Если поставщик  услуг сети с коммутацией пакетов  поддерживает доступ по коммутируемым  телефонным сетям, то непосредственный доступ к серверу, установленному в центральной сети, находящейся в другом городе, заменяется звонком на сервер удаленного доступа местного поставщика услуг (рис.2).

    Рис.2. Подключение удаленных пользователей  через промежуточную публичную сеть с коммутацией пакетов

    Центральная сеть предприятия, используя выделенный канал, обычно непосредственно подключается к той же сети с коммутацией пакетов, что и удаленные пользователи в других городах.

    Стандартизация  клиентов удаленного доступа на основе протоколов РРР и SLIP упрощает проблемы обслуживания разнородных пользователей одним поставщиком услуг при использовании Internet в качестве промежуточной сети. Для сетей Х.25 протоколы взаимодействия сети офиса с сетью поставщика услуг также вполне определены, хотя иногда наблюдаются случаи различной настройки одного и того же протокола в оборудовании и программном обеспечении клиента и поставщика услуг.

    Выгода  от Internet в качестве промежуточного транспорта оказывается особенно ощутимой, так как расценки поставщиков услуг Internet намного ниже, чем расценки поставщиков услуг сетей Х.25. Это обстоятельство является не последней причиной бурного распространения технологии intranet, использующей транспортные и информационные службы Internet для внутрикорпоративных нужд.

    Ввиду большой популярности Internet в качестве инструмента для доступа к  корпоративной сети для этой двухступенчатой  схемы разработано много протоколов и средств, которые создают виртуальный туннель между пользователем и точкой входа в корпоративную сеть - маршрутизатором или сервером удаленного доступа. Этот туннель решает две задачи. Во-первых, передачу через IP-сеть, которой является Internet, чужеродного для нее трафика - протоколов IPX, NetBEUI, непосредственно Ethernet и т. п. Во-вторых, туннель создает защищенный канал, данные в котором шифруются.