Jak zjednodušit adresaci licenčního serveru a zrychlit jeho odezvu v rozsáhlejší síti s podporou VPN
Konfigurace FLEX-LM není nikde příliš popsána. V první řadě, se jedná o řešení, které nepochází z dílny Autodesku, v druhé řadě jde o aplikaci, která příliš uživatele software nezajímá, pokud správně …
Konfigurace FLEX-LM není nikde příliš popsána. V první řadě, se jedná o řešení, které nepochází z dílny Autodesku, v druhé řadě jde o aplikaci, která příliš uživatele software nezajímá, pokud správně funguje. Dnešní článek je jistým souhrnem tipů pro provoz licenčního serveru v rozsáhlejších sítích s podporou nezávislých VPN. V našem případě se jedná o síť s přibližně dvěma stovkami licencí různých verzí produktů Autodesku v různých verzích, které jsou provozovány na úrovni VPN sítí. První privátní síť zpřístupňuje licence pro uživatele na učebnách, druhá síť je určena pro speciální projektové účely a využívají ji především vyučující. Tato síť je z důvodu bezpečnosti na úrovni 3 vrstvy ISO/OSI modelu logicky oddělena do dvou VPN (virtual private network).
Ilustrační zapojení sítě s několika VPN
Jistou nevýhodou FLEX-LM je jeho striktní vázanost na jediný síťový adaptér. Bind (přiřazení) licence je proto realizován vždy na jedinou fyzickou adresu (MAC) náležící v našem případě Ethernet adaptéru (viz. licenční soubor). Existuje ovšem jedna možnost, jak server zpřístupnit oběma VPN. Podle obrázku první VPN pracuje na adresovém prostoru 192.168.10.xxx/24 (/24 = maska 255.255.255.0). Druhá VPN pracuje na 192.168.20.xxx/24. Obě sítě jsou vzájemně logicky děleny na úrovni L3 switchů HP. Jednou z možností je obě sítě mezi sebou propojit pomocí routeru. Toto řešení je ovšem poměrně finančně nevýhodné, pokud uvažujeme s přenosy na rychlostech 1 Gbps a vyšších. V našem případě se jedná o připojení hlavního serveru 10 Gbps přes optickým interface.
Konfigurace několika IP adres virtuálních sítí na jeden síťový adaptér ve Windows 2008 R2
Výrazně levnější a výkonnější řešení této situace vychází z vlastnosti síťové konfigurace Microsoft Windows, která umožňuje přiřadit síťovému interface několik nezávislých IP adres z různých prostorů. Logicky lze odvodit, že pokud FLEX-LM pracuje na úrovni L1 a L2 vrstvy, bude zcela nezávislé na IP adresaci, která pracuje na vrstvách vyšších. Jednodušeji řešeno, můžeme se připojit z několika VPN přímo na licenční server, který má definovánu odpovídající sadu IP adres na jednom (licencovaném) interface. Je samozřejmě podmínkou, aby byl otevřen firewall na příslušných portech. Osobně doporučuji otevřít firewall ne na úrovni portu, ale na úrovni jak referenčního, tak uživatelského modulu FLEX-LM. U Autodesku se jedná o soubory adskflex.exe a lmgrd.exe. Vyvarujeme se tak bezpečnostní díře, která by vznikla na serveru v případě, že by jiná aplikace využila identického portu. Otevření firewallu na úrovni konkrétních souborů s jedinečným crc tuto možnost útoků prakticky znemožňuje. Tato technika je systémovými administrátory často podceňována, platí obecně. Otevřený konkrétní port na serveru bez jeho přímé vazby na službu (u nás na *.exe) je častou a bohužel docela nebezpečnou dírou systému. Při aktualizaci výše uvedených *.exe souborů je ovšem nutné vždy povolení zopakovat v konfiguraci firewallu.
Povolení výjimek na firewallu Windows serveru
Z pohledu konfigurace licenčního souboru není nutné cokoliv měnit. Na níže uvedeném obrázku je jeho ilustrační ukázka pracující na portu 2080. Ostatní hodnoty jsou smyšleny a jsou pouze ilustrativní. Dle výše uvedených instrukcí nikdy tento port plně neotevírejte na licenčním serveru.
Licenční soubor flexlm na serveru s názvem flexlm01
Výše uvedené řešení dvou VPN vázaných na jediný interface je funkční ovšem pouze za určitého předpokladu. Windows standardně nedokáže automaticky přiřadit dvěma IP adresám jediné jméno vycházející z názvu serveru. Není tedy možné z obou VPN vytvořit stabilní ping v našem případě na server flexlm01 z obou VPN. Jedním z řešení je nastavit odpovídající jména na DNS serveru. Pokud jej vlastníte ve své síti. Naopak použití zkrácených názvů není ovšem na veřejných DNS přípustné. Jsou vždy vázány na doménu. To znamená, že je nutné volat ze stanice FLEX-LM server například jako flexlm01.firma.cz. Navíc, pokud leží DNS server na externí lince je komunikace zbytečně zpomalována.
Přiřazení zkráceného dns záznamu na server flexlm01
Pro tyto účely existuje jedno velmi pěkné řešení. Microsoft Windows již od svých 9x verzí obsahuje textový soubor obsahující lokální DNS záznamy. U Windows XP a vyšších se jedná o soubor hosts (bez koncovky) umístěný ve složce ovladačů Windows. Tento soubor obsahuje mimo jiné také lokální loopback 127.0.0.1 a je jej možné rozšířit o další lokální DNS záznamy. V našem případě se jedná o zápis 192.168.10.228 flexlm01, který po zápisu názvu licenčního serveru při startu síťové licence libovolného Autodesk produktu vrátí korektní IP adresu licenčního serveru. Ekvivalentně zpřístupníme licenci také z druhé VPN. Vzhledem k tomu, že se navíc jedná o data čtená nezávisle na dostupnosti DNS někde ve vzdálené síti je odezva licenčního serveru adekvátně rychlejší. Doporučuji tento postup využít i v případě, že nemá používaná síť VPN a jsou problémy s rychlostí odezvy licenčního serveru, případně s jeho výpadky. Mohou být totiž způsobeny nikoliv FLEX-LM, ale pouze výpadky odezvy DNS serveru.
Výpis funkčností flexlm na serveru