CC BY
13ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ УПРАВЛЕНИЯ ВУЗОМ
В. М. Кормышев, Д. Ю. Кирин
СОВРЕМЕННОЕ СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ КОРПОРАТИВНОЙ СЕТИ УГТУ-УПИ
V. M. Kormyshev, D. Y. Kirin
Current state and future trends of USTU corporate network development
The authors present the structure of services of the corporate network of the Ural Technical University. The main attention in the article is paid to development and implementation of the billing system on the basis of VPN-technology.
ычислительная корпоративная сеть (КС) УГТУ построена по топологии «звезда». Ее основу оставляет оптическое FDDI-кольцо, в узловых точках которого установлены маршрутизаторы 3-го уровня по модели OSI Cisco Catalist 1200, Cisco Catalist 3550 и DES 3326. Тем самым обеспечивается широкий пропускной канал между магистральными сегментами. В ИКУ (информационно-коммуникационный узел) установлен маршрутизатор 3-го уровня по модели OSI Catalist 5505, который обеспечивает маршрутизацию трафика между тремя каналами выхода в глобальные сети Интернет, а также базовую защиту КС УГТУ, политику работы в Интернет и предоставление служб и сервисов сети Интернет (рис. 1).
Основные серверы сети, в том числе почтовый сервер, файл-сервер, web-сервер, сервер приложений, сервер терминалов, сервер баз данных, сервер хранилища документов, портальный сервер, подключены напрямую в маршрутизатор Cisco Catalist 3550, что обеспечивает высокоскоростной доступ к корпоративным ресурсам из сетей Интранет/Интернет. На главном телекоммуникационном узле установлен биллинг-сервер
с системой защищенного доступа в Интернет на базе VPN-технологии и доступа к корпоративным ресурсам, который обеспечивает персональный вход в КС УГТУ, контроль доступа к ресурсам, учет и статистику использования ресурсов Интернета и корпоративных ресурсов, защиту корпоративной сети от атак из Интернета и защиту локальных пользователей друг от друга. В корпусах факультетов университета организованы локальные телекоммуникационные узлы с соответствующим оборудованием, обеспечивающие доступ к главному ИКУ через высокоскоростные выделенные оптические каналы связи. Локальные сегменты факультетов построены на базе технологии Fast Ethernet и частично на Ethernet, для построения иерархической структуры сети используются аппаратные маршрутизаторы, маршрутизаторы на выделенных серверах под ОС Linux, коммутаторы и концентраторы. Также в корпоративную сеть подключены некоторые учебные корпуса по выделенным коммутируемым линиям на базе техонологий ADSL и SDSL со скоростью передачи данных от 2 до 8 Мбит/с.
В КС УГТУ-УПИ пользователям предоставлен следующий набор служб и сервисов:
© В. М. Кормышев, Д. Ю. Кирин, 2005
В. М. Кормышев, Д. Ю. Кирин. Перспективы развития корпоративной сети УГТУ-УПИ
10 0 Mb/s
15 5 Mb/s
10 0 Mb/s
К
Cisco Cata list 5500
кий ф -т
Рис. 1. Схема корпоративной сети УГТУ-УПИ
• Электронная почта: данный сервис предоставляется почтовым сервером (relay.ustu.ru), на котором происходит централизованная проверка входящей и исходящей почты на наличие вирусов, также многие подразделения имеют свои собственные почтовые сервера, на которые происходит пересылка электронной почты с центрального почтового сервера.
• Файловый сервис: предоставляет совокупность сервисов для передачи файлов, к ним относятся FTP- и SFTP-сервисы, сервер сервисов находится по адресу ftp.ustu.ru.
• Web-сервис: пользователям КС УГТУ
предоставляется доступ по ПТТР/ПТТРБ-про-токолам к внутренним и внешним web-серверам.
• Регистрация доменов третьего уровня в зоне ustu.ru: любой пользователь может зарегистрировать домен третьего уровня в зоне ustu.ru
• Виртуальный хостинг: пользователям КС УГТУ предоставляется в аренду место на сервере для размещения своих web-сайтов.
• УР^сервис: пользователям КС УГТУ предоставляется возможность создания виртуальных частных сетей для организации защищенного канала связи с удаленными подразде-
лениями и мобильными пользователями, для это была разработана система защищенного бил-линга, которая развернута на сервере bill.ustu.ru
• Корпоративная система антивирусной защиты персональных компьютеров. Администрирование и управление производится централизовано с головного сервера системы сотрудниками РЦ НИТ.
В 2005 г. проведена реорганизация точек доступа в учебных корпусах УГТУ-УПИ, что позволило увеличить пропускную способность корпоративной сети в 10 раз — до 1 Гб/с. Столь значительное расширение канала связи вызвано необходимостью технически обеспечить постоянный рост числа клиентов и желанием пользователей передавать все большие объемы информации.
Развитие корпоративной сети предусматривает подключение по высокоскоростным опто-
волоконным каналам студенческого городка университета, что позволит обеспечить доступ студентов и сотрудников к ресурсам КС и сети Интернет (рис. 2).
Следующая задача — подключение к корпоративной сети территориально удаленных подразделений, т. е. филиалов и представительств университета. При этом студенты и сотрудники филиала получают неограниченный доступ к ресурсам корпоративной сети УГТУ, т. е. могут скачивать любые материалы, вплоть до видео, и все совершенно бесплатно. Если бы они при этом пользовались услугами Интернет-провайдеров, то затраты были бы в десятки раз больше. Специалистами Уральского регионального центра новых информационных технологий была разработана типовая схема подключения территориально удаленных подразделений УГТУ-УПИ (рис. 3), предусматривающая
Рис. 2. Оптическая кабельная система УГТУ-УПИ
В. М. Кормышев, Д. Ю. Кирин. Перспективы развития корпоративной сети УГТУ-УПИ
К
Рис. 3. Схема организации информационного канала УГТУ-УПИ (филиал в г. Серове)
аренду оптоволоконного кабеля у крупных Интернет-провайдеров Уральского региона, в частности у ООО «Уральские мобильные сети» и ОАО «Уралзвязьинформ». В настоящее время реализован пилотный проект подключения к КС университета филиала УГТУ в городе Серове. На завершающей стадии переговоров находятся проекты в городах Ирбит и Среднеуральск.
Полностью себя оправдали разработка и внедрение системы защищенного доступа (бил-линга) в Интернете на основе VPN- технологии. Это позволило наряду с внедрением карточной технологии оплаты за Интернет оптимизировать процесс подключения к корпоративной сети и сети Интернет. В настоящий момент вместе со студентами Интернет-зала в корпоративной сети университета насчитывается около 6 тыс. абонентов (за последний год их число увеличилось примерно в 2 раза). Разумеется, такое количество абонентов подключить очень сложно, а обеспечить авторизацию и безопасность обычными средствами невозможно.
Система защищенного доступа в Интернет осуществляет функции контролируемого доступа к ресурсам сетей Интернет/Интранет, учет и авторизацию пользователей, ведение статистики использования ресурсов и хранение данных по потребленным услугам, учет потребленных услуг, обработку событий по факту потребленных услуг, формирование отчетов по потребленным услугам, защиту клиентских компьютеров от атак из Интернета.
Система биллинга УГТУ-УПИ (рис. 4) — это новая разработка, которая, используя всю мощь технологий VPN, UNIX и POSIX, позво-
ляет переити на качественно новый уровень предоставления услуг доступа в Интернет, что дает университету следующие возможности:
— выделенное защищенное соединение для каждого студента и преподавателя;
— подсчет трафика не по компьютеру, как это обычно принято, а персонально по каждому пользователю. Другими словами, пользователи смогут выходить в Интернет с любого компьютера из любого компьютерного класса, им будет достаточно ввести свой логин (имя пользователя) и пароль;
— возможность работы по Интернет-картам студентам и преподавателям;
— возможность управлять системой без квалифицированного системного администратора. А это значит, что сами преподаватели, лаборанты — каждый, кому это разрешено, может управлять системой (добавлять пользователей, просматривать статистику и пр.);
— разграничение доступа к образовательным и корпоративным ресурсам;
— автоматический почтовый адрес;
— удаленный защищенный доступ преподавателей к информационным ресурсам независимо от того, где они находятся — дома или в командировке;
— поддержка лицевых счетов;
— возможность оплаты через кассу или через Интернет-карты;
— организация защищенного канала связи между филиалами.
Основные отличия этой системы от представленных на рынке:
• Каждому пользователю назначается свой
Доступ к корпоративным ресурсам
БД
Сервер
Б иллинг-сервер
Система контроля доступа и учета пользователей
Встроен н
ы й F ire wall
Доступ
I
Dial-Up пользователи
к корпоративным— Н ресурсам
-Го о о оП
Модемный пул
□
П ользователи
а
-Ethernet-
m
Документы
Хранилище данных Почтовы й сервер
Пользователи Пользователи
Рис. 4. Система защищенного доступа в Интернет УГТУ-УПИ
личный IP-адрес и учет ведется по каждому сотруднику, а не по компьютеру.
• Не требуется изменений в существующей сети предприятия.
• Не требуется установка нестандартного ПО на компьютеры клиентов, только стандартные драйверы MS Windows(95/98/ME/NT/2000/ XP/2003) или стандартное ПО для UNIX/Linux.
• Защита клиентских компьютеров от атак через Интернет на базе технологии NAT (Network Address Translation) и встроенного Firewall.
• Нет технических ограничений использования Интернета — применяется сквозной канал.
• Прозрачность для всех сетевых служб и приложений: mail, http, ftp, ICQ, БД и т. д.
• Многоуровневая иерархия пользователей, что позволяет управлять группами пользователей и получать статистику по отделам и подразделениям.
• Использование одного сервера.
• Автоматическая система настройки клиентской машины для работы с сервером.
