vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

#62 Авторизация через VPN. Немного про Twinaxial

Дата публикации: 17.12.2001
Количество просмотров: 5432

Новости.

Традиционное пополнение в полезных материалах - на сей раз в разделе "Софт". Помещено сразу 6 "драйверов" для прямого кабельного соединения.

Схема пробника разводки витой пары была сегодня разгромлена в форуме. Со словами "даже для китайцев закон Ома ни кто не отменял". Собственно, туда ей (схеме), и дорога... Мультиметр удобнее. ;-)


По конкурсу (условия в прошлом обзоре), возникло несколько замечаний. Прежде всего, огромное спасибо всем, кто прислал письма. Теперь стало очевидно, что я ошибся, не описав уже рассмотренные на "железном пингвине" варианты. Не хотел пускать мысли по шаблону. Но не получилось...
Итак, есть 3 базовых метода определения зависания коммутатора:

  • анализ состояния светодиодов;
  • наблюдение за пакетами (например, бродкастами);
  • отслеживание потребления электроэнергии.

Неправильно будет сказать, что эти пути не годятся. Очень надеюсь, что их можно довести до реального воплощения. Но нужно конкретное описание - какой сигнал, какого вида (амплитуды, частоты), откуда берем, как анализируем. Ну и, конечно, обоснование, что этот механизм вообще будет работать.

Первые два из присланных предложений этим условиям не вполне отвечают. Но, тем не менее, потихоньку обсуждаются на "железном пингвине". Третье предложение очень интересно, просто революционно (не укладывается в перечисленные варианты). Но его пока "обкатывает" автор. Если получится, то это явный претендент на приз.


Разработано весьма много простых устройств, которыми можно через сеть управлять по SNMP (или даже Телнетом), подключать к разной переферии.

Железка

Они обычно недешевы, малонадежны, и их сложно приобрести.
Но есть замена.

Вот несколько близкая к "антизависатору" идея, высказанная marimba на форуме ixbt.

Принт-сервер

Это принт-сервер. Главное достоинство - серийность, а значит доступность, низкая цена (от $28), и "обкатанный" софт. Оболочка есть в комплекте. А параллельный порт не слишком сложно использовать для решения самого широкого круга задач.

Вернемся к вопросу авторизации при помощи VPN. Ниже приведено длинное, но очень интересное письмо на эту тему.

...Сегодня 5 месяцев, как юзаем VPN в своей сети. Весьма успешно - VPN рутер (линукс) ни разу не вис, не глючил. Клиентам надо только патч последний поставить на виндовсовский DUN, чтобы все работало. ME, 2000, XP уже пропатчены изготовителем. Никаких дополнительных программ клиенту не требуется.

Он даже может использовать WinGate, WinRoute и пр., чтобы свою сетку через в инет вывести. Если, скажем, до этого конторка посредством вингейта всей сеткой в инет через модем ходила, то ее админу только новую учетную запись вингейту подсунуть. Все остальное даже и не заметит изменений.

А можно несколько логинов использовать, чтобы с разных компов инет использовать по нескольким VPN аккаунтам. Тогда можно легко видеть кто, что качает, и не морочить себе голову со всякими там проксями подвиндовыми.

Минусов два. Задержка в пинге примерно 100 мс, и предел скорости у клиента порядка 200 кбайт/сек. На качестве серфинга не отражается, но в Контер-Страйк на Демосе не поиграть... Кардинально решается путем установки локального игрового сервера.

Точно о причине такого явления пока сказать не могу, линукс тянет десяток - другой таких коннектов без проблем, и у всех по 150-200 Кбайт. Правда он на PIII-633 и 256 метров памяти.

Испытание у знакомых на 100 мегабитной оптике и приличном оборудовании показали такую же картину, причем зависимость от "железа" не была выявлена (в разумных пределах). Что-то в самом алгоритме, похоже. Прим. Nag

Зато если у клиента комп слабый, то такой коннект его сильно грузит, почти как винмодем в P100 - 16 мб. Но это тоже ничего, просто скорость падает вплоть до 50 кбайт. Все равно IE страницы рисует медленнее, чем они из инета грузятся :-))

Зато много плюсов.

1. Никаких проблем с незаконным коннектом, у клиентов нерутируемые IP. Никакого NAT, прокси пускает только с реальных адресов, почта тоже. Смысла подменивать свой "нереальный" IP никакого, ну а MAC адрес, тем более.

2. Нет проблем с планированием IP адресов под маршрутизацию. При виртуальном соединении клиентам выдаются реальные IP подряд из всего диапазона. Причем нет смысла выдавать динамические адреса, хотя технически можно. Так как это все же не диалап, так что адреса не сэкономить.

3. Нет проблем с учетом, благо я 4 года назад начал писать систему для диалапа и теперь она работает как надо. Шлет отчетики по почте каждый день, все расписано когда, чего, сколько и по чем. И нет проблем с доказательством факта получения услуги, есть коннект - есть строчка в отчете, и наоборот. А все, до чего можно добраться без коннекта - уже точно бесплатное.

Скорее всего, не сложно будет применить Tacacs или Radius, к которым есть просто море всяких биллинговых систем. Прим. Nag

4. Трафик от клиента до центрального рутера (при коннекте) зашифрован ключом 128 бит. Никакой снифер его пароли не снимет. Сам процесс соединения только по MS-CHAP-V2, и хоть это мастдай, но пусть хоть кто-то мне скажет, что он этот MS-CHAP снифером взломал... Так что пароли никак не уплывут, кроме как сам клиент их разгласит. Ну или какой обалденный хацкер сервак под линуксом сломает, и все пароли оттуда возьмет. Но это врядли... Я же к нему шеллы не раздаю. Впрочем, дальше замены MAC-адреса вряд ли кто из юзеров дойдет, пусть даже и самый продвинутый...

5. Клиент может придти в гости к приятелю, и оттуда "под собой" подключиться - за свой счет. Причем имеем три сети, в разных местах города, соединенных виланом в один канал, в перспективе еще сегменты. Реальные IP у клиентов все из одной сетки С, все подряд. Большое удобство.

Такая система, плюс ко всему, должна удобно стыковаться с диалапом. Например, можно сделать резервный доступ через коммутируемое соединение с тем же логином и паролем, и той же системой учета трафика. Прим. Nag

Да, чуть не забыл зачем писал все это. Могу поделиться своим опытом, какие проги юзать, и как заставить все именно так работать. Надо сказать не так оно и просто. И кернел пересобрать из последних, и пропатчить его надо всякими патчами, и сам PPP демон из последних, и его тоже патчами разными, да еще настроить... Но в итоге все пашет.

Когда сам первый раз приконнектился, все не мог поверить, что работает. Пакеты на одном конце упаковываются, летят под видом локальных через всю сеть, на рутере обратно распаковываются, и летят в инет уже как новенькие, будто и не было этой инкапсуляции. Фаирволом их на внешнем интерфейсе рулить как обычно можно и еще раз для контроля обсчитывать обычными "трафикометрами".

Короче, все как надо.

Eugene

С чего начинался гигабит...

Все уже привыкли к гигабиту, который работает на сравнительно обычной витой паре. Интеграторы радостно заявляют о частичной пригодности построенных 2-3 года назад сетей для передачи 1000baseT. И продвигают все новые и новые километры Cat.5e.

Заказчики довольны, и испытывают чувство глубокой благодарности к добрым людям, придумавшим EIA/TIA 568B, который спас их капиталовложения. Нет, чтоб выразить признательность достижениям полупроводниковой техники, сделавшей доступными сложные методы кодирования на таких скоростях...

Но шутки в сторону. Вспомним, как выглядел гигабит несколько раньше. Вот интерфейс 1000BaseCX, предназначенный для связи на короткие расстояния (до 25 м) - в пределах аппаратной комнаты.

Почему так мало? Да просто не работал гигабит на более длинных линиях. Даже на специальном кабеле отказывался соблюдать стандарты СКС.

Twinaxial

Использовали для этого двухосевой (twinaxial) кабель, разработанный для применения в сетях Gigabit Ethernet. По сути, он представлял собой два высококачественных коаксиальных кабеля в общей оболочке.

Два проводника твинаксиального кабеля позволяют организовать полудуплексный режим передачи. Для полнодуплексной работы необходимо использовать два кабеля - можно подумать, это удобно. Хотя, успел появиться так называемый Quard-кабель, содержащий 4 коаксиальных проводника, и используемый для организации дуплекса.

По внешнему виду и характеристикам кабель близок к UTP cat.5 и имеет близкий к нему внешний диаметр.

Twinaxial-connector

В качестве коннекторов использовался DB-9 (используемый для STP в Token Ring), так же разрабатывался новый тип коннектора HSSDC (High-Speed Serial Data Connector). Хотя даже по внешнему виду можно сказать - частота не маленькая, и дешевого решения можно не ждать.

А вот и параметры кабеля (тонкого и толстого):

Волновое сопротивление,Ом

78

78

Внешний диаметр,дюймов

0.242

0.129

Диаметр проводника,дюймов

0.037

0.024

Затухание на 100 MHz,dB/100 ft

0.6

1.4

Кому не лень - можно сравнить с витой парой. Замечу только, что затухание для Cat.5 на 100 метров, при 100 МГц нормируется 23,2 дБ. Соответственно, на 100 футов получится примерно 7-8 дБ. Что заметно отличается в худшую сторону от параметров twinaxial'а.

Ну и напоследок - картинка реального применения таких железок.

Twinaxial-cross

Что бы не казалось, что эта технология так и померла на бумаге. Кросс во всей красе. Бр... Страшно представить, каким путем мог пойти прогресс.

Интересно, много ли таких "монстриков" проглотила IT-индустрия под флагом самых передовых и быстрых решений? Так же хочется узнать, давали ли инсталляторы 25-и летнюю гарантию на сделанные системы... И сколько циклов присоединения/отсоединения может выдержать разъем с позолоченными контактами из нитрида бора от фирмы ХхХхХхХ...

Скажем так. Опытные админы гордятся тем, что ставят новые операционные системы после выпуска 1-го (2-го, 3-го, 4-го) сервис пака. Может быть, сетевые решения то же нужно использовать только тогда, когда их научатся массово штамповать китайцы?

Ни заоблачных цен, ни проблем с совместимостью на этом этапе уже не остается... А нежизнеспособные решения так просто умирают.

Обсудить в форуме

Анонс

Новости, рассказ о разрезании кабельных систем под Крещатиком (в Киеве). Опять буду искать силы для очередную части СДС...
Фотографии питания оборудования в старых домах в этот обзор не вошли. Будут в следующем, все 5 штук.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/reviews/15683/avtorizatsiya-cherez-vpn-nemnogo-pro-twinaxial.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться