USB over IP — аппаратное решение. Обзор и настройка.
Всем привет! В этой статье я хочу рассказать о технологии USB поверх IP (USB over IP). Что это такое, зачем нужно, какие сценарии и варианты у этой технологии востребованы на сегодняшний день.
Итак, господа, если вы плотно используете виртуализацию, не важно где – на работе или дома (если вы энтузиаст) и различные системы управления этой самой виртуализацией – Hyper-V, Xen, VMware, то сталкивались с ситуацией, когда необходимо пробросить USB-порт на виртуальную машину. Но в виду ограничений гипервизоров виртуальных машин сделать это проблематично, так как USB-порты на виртуальных машинах отсутствуют. А что делать, если нужно подключить USB-ключ защиты программного обеспечения, токен с криптозащитой и тому подобные нужные вещи? Если с физическим сервером проблем не было, то с виртуальным встает простой вопрос: как это сделать?!
Вот тут на помощь и приходит технология USB over IP. Не нужно ломать голову, все уже придумали. Забегая вперед скажу, что есть как аппаратные средства проброса USB по IP, так и программные.
Под катом детальный обзор и много интересного…
Обзор аппаратных устройств USBoverIP
И у тех и у других есть как преимущества, так и недостатки. Давайте рассмотрим преимущества аппаратных устройств USB over IP перед программными:
- Высокая надежность и отказоустойчивость;
- Низкое энергопотребление;
- Высокая скорость развертывания и простота настройки;
Минусы аппаратных устройств USB over IP:
- Более высокая стоимость по сравнению с программными средствами эмуляции.
Более подробно про программные эмуляторы USB портов я расскажу в одной из следующих статей.
Однажды передо мной встала задача проброса USB HASP ключей на виртуальный кластер 1С Предприятие. После обзора и просмотра большого количества решений, как программных, так и аппаратных выбор пал на устройства компании Digi International, а именно AnywhereUSB. Сейчас я расскажу про линейку продукции и конкретно какую модель выбрал я для своих систем виртуализации и почему.
AnywhereUSB это достаточно компактное устройство, представляющее из себя USB-концентратор с Ethernet-портом объединенный в один корпус. О моделях использования может наглядно поведать нижеприведенная иллюстрация:
Обзор модельного ряда Digi AnywhereUSB
Для приобретения на момент написания статьи доступны 5 моделей устройств, рассчитанных на разное количество USB портов, и модель с комбинированными COM и USB-портами.
Спецификация устройств, отличия
Первоначальная настройка и управление устройствами
Для настройки и управления устройствами предусмотрено несколько интерфейсов:
• Web-интерфейс для настройки, мониторинга и администрирования;
• AnywhereUSB config utility;
• Telnet;
• SNMP.
Самым оптимальным и удобным в использовании является Web-интерфейс.
Подключаем нашу USB IP железку в сеть с работающим DHCP-сервером и в браузере переходим по присвоенному устройству IP-адресу. Чтобы узнать адрес можно воспользоваться AnywhereUSB config utility, которую можно скачать с официального сайта производителя устройства.
Вообще, первоначальная настройка устройства не сложнее любого бытового роутера. Попадаем на страницу ввода логина и пароля – по умолчанию логин – root, пароль – root.Существует несколько вариантов присвоения IP адреса AnywhereUSB могут работать в нескольких режимах:
Динамическое присвоение IP-адреса (DHCP);
• Статический IP;
• Auto Private IP Addressing (Auto-IP).
Пробрасываем USB порты на клиентский компьютер
Тут все просто и легко. Для проброса порта на клиентский ПК нужно установить драйвера AnywhereUSB на ту машину, где мы хотим получить наше USB устройство, и указать адрес нашей волшебной коробочки от Digi. Соотвественно, не забываем подключить наши USB устройства в наш USB-IP концентратор. Это всё.
В случае необходимости получения детальной информации, о подключённом устройстве, свободных/занятых портах – можно воспользоваться утилитой AnywhereUSB View, которая устанавливается вместе с драйверами.
Весь процесс установки и развертывания занимает минут 20.
Лично я в работе использую устройство AnywhereUSB/5 with Multi-Host Connections. Её отличие от младших моделей в том, что она поддерживает группы, и это очень удобно. Сейчас объясню: в этой модели в нашем распоряжении находится 5 USB портов. Эти 5 портов можно разбить на группы и прокидывать на разные виртуальные машины (далее — ВМ). Например, нам нужно прокинуть 3 устройства с портов 1,3,5 на ВМ1, устройство на USB порте 2 на ВМ2, устройство на USB порте 4 на ВМ3. Создаем 3 группы. Порты 1,3,5 объединяем в группу 1, второй USB-порт определяем в группу 2 и третий USB-порт определяем в группу 3. Затем подключаем нужные группы на нужных ВМ с помощью утилиты – и все работает. Делается все в считанные минуты. Старшая модель AnywhereUSB /14 тоже умеет создавать и отдавать по сети группы. Прокидывать можно всё – ради эксперимента даже прокидывал USB HDD. Глюков и тормозов замечено не было.
Заключение
В завершении обзора, хочу сказать, что в отличие от подобных программных средств железка настраивается один раз, не глючит, не греется и стабильно работает. Так же, неоспоримым плюсом является возможность работы в отказоустойчивом кластере, т.е. хостовая машина не теряет подключения USB при переключении. Это важно.
Более подробную информацию о продукции Digi International, а так же драйвера, прошивки и утилиты можно скачать на официальном сайте.
На этом пожалуй всё, если будут какие-то вопросы – спрашивайте в комментариях.
USB over IP или AnywhereUSB
Технологии виртуализации прочно вошли в современный IT мир. Сегодня невозможно найти компанию, которая бы не использовала решения для виртуализации (виртуальные сервера, виртуальные рабочие места, VDI) в своей работе. И все было бы отлично и безоблачно, но гипервизоры, основа инфраструктуры внесли и определенные ограничения на созданные и используемые виртуальные машины.
Одно из ограничений — это отсутствие USB портов на виртуальных машинах. Если раньше мы могли подключить необходимое USB устройство (например, ключ защиты ПО или смарт-карту с ключами шифрования) к физическому серверу, то теперь — поскольку сервера стали виртуальными – эта задача так просто не решается. Как решить эту проблему быстро и эффективно – я расскажу в этом обзоре.
Первое, и казалось бы наиболее очевидное решение — использовать программные эмуляторы портов, но такой подход имеет требует иметь постоянно включенный компьютер, на котором и будет работать ПО для эмуляции. Вывод: неудобное, ресурсоемкое и дорогостоящее решение.
Следущий выбор — програмно-аппартные устройства для решения задачи проброса (эмуляции) USB портов на удаленной машине. Простые, эффективные и недорогие устройства. Выбор остановился на решениях компании Digi International — AnywhereUSB
AnywhereUSB представляет собой компактное устройство USB hub – с дополнительным подключением Ethernet кабеля.
Модели AnywhereUSB
Для использования доступны 3 модели устройств, рассчитанных на разное количество USB портов:
1. AnywhereUSB /2 – 2 порта USB
2. AnywhereUSB/ 5 – 5 портов USB
3. AnywhereUSB /14 – 14 портов USB
Настройка и управление
Для настройки и управления устройством предусмотрено несколько интерфейсов:
• Web интерфейс для настройки, мониторинга и администрирования;
• AnywhereUSB утилита конфигурирования;
• Telnet Command-Line Interface;
• Simple Network Management Protocol (SNMP).
Для настройки устройства рассмотрим Web интерфейс — как наиболее удобный и простой вариант.
Управление IP адресом
Существует несколько вариантов присвоения IP адреса AnywhereUSB:
• Статический IP;
• Динамическое присвоение IP — Using Dynamic Host Configuration Protocol (DHCP);
• Auto Private IP Addressing (APIPA), наиболее известен как Auto-IP;
Сетевые сервисы легко конфигурируются через web интерфейс
Для желающих тонко настроить все параметры сетевого интерфейса доступны соответствующие инструменты
Web интерфейс имеет множество дополнтельных инструментов, позволяющих посмотреть активных подключения, статус и uptime устройства, настроить функции безопасности и.т.д
Текущие подключения:
Состояние устройства:
С настройкой устройства все просто и понятно, теперь перейдем к машине, на которую осуществляется проброс USB портов.
Настройка клиенткой машины
Настройка проста и интуитивно понятна.
Все, что необходимо для настройки:
1. Установить драйвера для AnywhereUSB;
2. Указать IP адрес устройства.
Устройство подключено, в окне доступна информация о состоянии устройства.
В случае необходимости получения детальной информации, о подключеном устройстве, свободных/занятых портах – можно воспользоваться утилитой детального просмотра.
Стоит отметить, что решение очень просто в развертывании и надежно в эксплутации. Весь процесс развертывания и настройки занимает не более 30 минут.
Примерная схема подключения устройства AnywhereUSB
Детальную информацию об устройствах AnywhereUSB, скачать драйвера и документацию можно найти сайте компании Digi International — AnywhereUSB
P.S. Данный обзор написал мой коллега, который, к сожалению, пока не является хабраюзером.
- USB over IP
- AnywhereUSB
- Виртуализация
Как работать с «определенными» токенами
В состав нашей крупной организации входит более пятидесяти различных юридических лиц, управляемых из единого центра. Бухгалтерия, соответственно, тоже централизованная. И вот уже два с лишним года это создаёт немалые проблемы.
Проблема «некопируемых» токенов
Каждому юридическому лицу соответствующий орган выдаёт один токен для подписи документов. Копировать его нельзя, что в принципе соответствует линейной логике государственного органа. Токен постоянно находится у ответственного сотрудника, который занимается всевозможной отчётностью. Другим он попросту не нужен.
Но реальность часто бывает сложнее умозрительных построений. С чем мы и столкнулись.
Эпидемия привела к удалённой работе, а дистанционная схема — к децентрализации. Сотрудники разошлись по филиалам, разбросанным по всей области. Если раньше все бухгалтеры занимали три соседние комнаты в одном здании, то сейчас между ними десятки километров по пробкам.
Раньше главбух мог лично выдать токен нужному специалисту и через пару часов забрать его назад. Сейчас это стало малореальным. Не гонять же курьера за тридевять земель и обратно — дорого и совершенно неэффективно.
Вернуться к сверхцентрализации? Вряд ли это разумно. Сотрудники уже привыкли работать поближе к дому, да и цены на московскую аренду кусаются.
Выход только один. Надо сделать «некопируемые» токены доступными для всех филиалов.
Решение проблемы — USB over IP
Суть технологии USB over IP заключается в предоставлении дистанционного доступа к USB-устройствам, подключенным к специальному концентратору. Разумеется, при условии, что сам концентратор «виден» пользователю.
Таким образом, теоретически решение проблемы выглядит так. В головном офисе устанавливается концентратор, к которому подключаются все токены. При необходимости подписать какой-либо отчёт сотрудник филиала пользуется соответствующим токеном так, как будто бы ключ физически воткнут в локальный порт его машины.
Выбор концентратора
Предварительно анализировались три решения: программа FabulaTech, концентратор Digi AnywhereUSB и концентратор DistKontrolUSB. Прежде всего интересовала стоимость одного порта при использовании ста портов. Тут картина получилась такая.
Самым дорогим оказался Digi AnywhereUSB. Стоимость одного порта — более 16 тыс. рублей. Получается, нам придётся выложить больше миллиона. Сумма, честно говоря, не особенно приятная.
FabulaTech подешевле — около 13 тыс. рублей за порт. Но это без учёта расходов на сам компьютер и хабы. За миллион вряд ли перевалим, но получится что-то близкое к этому. Тоже недёшево.
К тому же, что греха таить, импорт — это санкционные риски. А мы политикой не занимаемся — мы деньги зарабатываем.
Стоимость одного порта, при использовании старшей модели DistKontrolUSB-64, начинается от 2.5 тыс. рублей. Нам необходимо решение 16-ти портовой модели, стоимость одного порта составит около 6 тыс.руб. Таким образом, всё решение обойдётся нам примерно в 100 тыс. рублей. Разница с предыдущими вариантами слишком заметная. А поскольку устройство разрабатывается и производится в России, то политических рисков вовсе нет.
DistKontrolUSB — первое знакомство
Существенное достоинство DistKontrolUSB — гарантия совместимости с токенами, так как концентратор «пробрасывает» сам порт, а не эмуляцию USB-устройства, следовательно, ему не особо важно, что находится в пробрасываемом порту. Если есть какие-то сомнения, то можно приехать в офис разработчика и лично убедиться, что всё работает. И вообще потрогать товар руками и посмотреть глазами, что часто бывает очень важно.
Например, мы планируем устанавливать концентратор на стол, расположенный в кабинете главного бухгалтера. По ряду причин размещение в стойку нам не подходит.
Для настольной установки DistKontrolUSB комплектуется специальными резиновыми «ножками», а его корпус выполнен из металла. Для физической защиты токенов, как дополнительная опция, предназначены металлические кожухи глубиной 10 см. Благодаря этому нет необходимости обращаться с концентратором, как с хрустальной вазой. Хотя, безусловно, ронять на пол его не стоит.
Важно и то, что корпус универсален. Если мы решим переместить устройство в стойку, то никаких переделок или дополнительных покупок не потребуется. Крепления для стойки 19” идут в комплекте с концентратором, что, в свою очередь, очень приятно.
Что касается скорости монтажа, то мы решили заранее проверить, сколько времени у нас займёт перенос концентратора со стола в стойку. Оказалось — примерно 10 минут. И это с первой попытки без помощи специалистов компании-разработчика.
Практика — критерий истины
Сразу после установки и подключения к сети DistKontrolUSB работает в режиме «всё доступно всем». По умолчанию все порты находятся в одной группе без каких-либо ограничений прав. Понятно, что главбуха этот не устроило, поскольку в финансовых делах порядок должен быть.
С другой стороны, ему не нравилась старая схема, когда каждый токен приходилось выдавать под роспись. Это отнимает слишком много времени, а главбуху и так есть, чем заняться. Методом проб и ошибок пришли к следующей схеме.
Из всех сотрудников, которым должны быть доступны токены, были сформированы группы, причём некоторые работники вошли сразу в несколько групп. Соответственно для каждой группы был разрешён доступ только к тем ключам, которые могут понадобиться. Но доступ к портам по группам, не совсем то, что нужно, поэтому можно, и мы это сделали, «разграничить» права между портами и пользователями в этой самой группе. А чтобы не возникло путаницы назвали каждый ключ по имени его обладателя, а «лишние» порты были убраны в отдельную группу и сделаны невидимыми всем пользователям.
Вопреки нашим опасениям со стороны сотрудников бухгалтерии никаких проблем не возникло. Переход от физического доступа к дистанционному прошёл практически незаметно. Рост количества обращений в техническую поддержку был примерно такой же, как и при прочих новшествах, причём все они были обусловлены не отказами оборудования, а обычным страхом пользователей перед чем-либо непривычным. Через неделю всё пришло в норму.
Спустя некоторое время выяснилось, что некоторые сотрудники не могут получить доступ к ключам. Оказалось, что главбух выключал концентратор, когда был вынужден отлучиться куда-либо по делам и не планировал вернуться в тот же день. Оставлять работающие устройства на ночь он категорически отказывался, поскольку мало ли что.
Проблема была решена при помощи настроек. Сформировали задание, согласно которому отключение всегда производилось в одно и то же время в конце рабочего дня. Главбуха это вполне устроило, тем более, что он ежедневно получал уведомление об отключении концентратора.
Итоги и планы
Благодаря концентратору DistKontrolUSB мы благополучно справились с проблемой «некопируемых» токенов. При этом каких-либо принципиальных сложностей у нас не возникло — все возникающие вопросы решались в рабочем порядке.
В настоящее время обсуждается идея полного отказа от выдачи на руки любых токенов, включая внутренние. Потому что так удобней.
При подготовке материала использовались источники:
https://habr.com/ru/articles/100951/
https://habr.com/ru/articles/667226/