Řízení šířky pásma od Allot Communications

24.6.2008
Zajímají vás možnosti správy provozu sítě na sedmé vrstvě ? Chcete znát podrobnosti provozu va vaší síti ? Máte problémy s nedostatkem konektivity ? Chcete omezit nežádoucí aplikace ? Traffic shaper od Allot Communication vám ušetří investice do nové konektivity a zjednoušší monitorování a správu provozu vaší sítě.
Allot Communications je přední světový výrobce v oblasti QoS (Quality of Service), formování provozu (traffic shapping) a policy networkingu.

V současné době nelze přehlédnout stále větší požadavky na rychlost spojení - ať už v lokálních sítích nebo ve WAN, pro připojení k internetu, propojování poboček atd. Praxe však ukazuje, že seberychlejší spoj lze zahltit a upgrade na vyšší rychlost není právě levnou záležitostí, zvláště pokud by se měl provádět každých pár měsíců.

Jednou z možností jak se tomu vyhnout, je stanovit pravidla (policy) jak bude pásmo - které máme k dispozici - využito. Jaká pravidla? Například, pro kritickou aplikaci typu SAP, Oracle bude vždy k dispozici minimálně 256 Kbps, pro mail pak maximálně 32 Kbps a pro browsování na internetu zbytek. Z pohledu uživatele (např. podle IP nebo MAC adresy) lze definovat např., že účetní oddělení bude mít pro přístup do SAPu větší prioritu než uživatelé z jiných oddělení. Jinými slovy, jde o bandwith management neboli řízení šířky pásma.



Skutečnost je samozřejmě poněkud složitější a je potřeba zohlednit i jiné faktory. Různé aplikace mají rozdílné požadavky nejen na potřebné pásmo, ale i na jiné parametry. Například hlas přes IP nepotřebuje příliš velké pásmo (při použití komprese je to kolem 20 Kbps), ale je velice citlivý na zpoždění paketů.

Může být zajímavé definovat i pravidla podle času. Nechci, aby zaměstnanci stahovali v pracovní době od 6 do 18 hodin MP3 soubory, ale večer to není důležité a není důvod jim to neumožnit. Stejně tak lze spravovat i konkrétní aplikace, jako je např. BitTorrent nebo http-download obecně (např. Rapidshare), zakázat úplně.

Cílem je tedy optimalizovat požadavky uživatelů a nároky aplikací s možnostmi (zdroji) sítě.

Částečně to lze řešit i na některých směrovačích nebo pomocí LINUXu, taková řešení jsou však zpravidla limitována 3. a 4. vrstvou OSI. Ale pokud je potřeba garantovat kvalitu služeb aplikacím, je potřeba jít až na 7. vrstvu. V případě rozsáhlejší aplikace je nutný centrální management (pokud možno s podporou adresářových služeb (LDAP)) a možnost zpětně prokázat, že nasmlouvaná kvalita služeb (SLA – Service Level Agreement) byla dodržena – jinými slovy průběžné monitorování a záznam toho, co se v síti stalo (accounting). V tomto okamžiku je vhodné se porozhlédnout po specializovaných produktech a k takovým řešením patří nabídka firmy Allot Communications.

Základem řešení Allot Communications je hardwarový „trafic shapper” s názvem NetEnforcer. Samotný název (angl. enforce = vynutit) napovídá, že se jedná o zařízení, které aplikuje (vynucuje) stanovená pravidla v síti. Je dostupný v několika variantách podle podporované rychlosti:

  • AC400 pro rychlosti 10, 45, 100 Mb/s a MO (Monitoring Only)
  • AC800 pro rychlosti 45, 100, 155 a 310 Mb/s
  • AC1000 pro rychlosti 155, 310, 622 Mb/s a 1 Gb/s
  • AC2500 pro rychlosti 310 Mb/s, 1, 2 a 2,5 Gb/s
  • Service Gateway Omega A14 až do 20 Gb/s

Uvedené rychlosti umožňují nasadit toto řešení nejen ve WAN, ale i v lokálních sítích. Jde o hardwarové zařízení s nejméně dvěma Ethernet porty, chová se de facto jako bridge (pracuje na 2. vrstvě OSI) a díky tomu dokáže garantovat QoS i pro jiné protokoly než IP (DECNET, IPX, SNA, ...). Na druhé straně se dokáže „dívat” až na 7. vrstvu. Rodina protokolů IP je samozřejmě nejpropracovanější a NetEnforcer dokáže pracovat nejen s definovanými protokoly (http, ftp) a aplikacemi (SAP, Oracle, Citrix, ...), ale umožňuje definovat i vlastní „služby“ podle obsahu paketu.

„V ceně” je samotný traffic shaping, on-line monitoring, řízení přístupu (povolení/zakázání provozu protokolů, aplikací i uživatelů) a TOS gateway, tzn. že NetEnforcer dokáže pracovat s TOS políčkem v hlavičce IP paketu a měnit jeho obsah. Díky tomu může spolupracovat i s řešením jiných výrobců.

Pomocí tohoto řešení lze tedy garantovat pásmo (CIR/MIR), vytvářet virtuální pevné linky (CBR – Constant Bit Rate), přidělovat až 10 úrovní priorit (zjednodušeně – na 1 paket s nejnižší prioritou je odesláno 10 paketů s prioritou nejvyšší), povolovat a zakazovat provoz aplikací v síti, pracovat se standardními mechanismy kvality služeb (TOS) a monitorovat provoz sítě. To vše na úrovni protokolů, aplikací i uživatelů. Navíc jsou podporovány adresářové služby pomocí LDAP, takže např. k profilu uživatele v Novell NDS lze doplnit jako parametr i garantované parametry sítě. Pro uživatelé VoIP je určitě zajímavé, že dokáže zajistit kvalitní spojení díky fragmentaci dlouhých paketů.

Pro jednotlivé služby jsou vytvářeny tzv. virtuální kanály, které mohou obsahovat libovolný počet pravidel. Protokoly a aplikace, které nejsou definovány v některém z kanálů, patří do tzv. loopback kanálu. Díky tomu pak lze jedním kliknutím myši zakázat veškerý nechtěný provoz. Veškerá konfigurace probíhá přes grafické rozhraní v internetovém prohlížeči.

Důležitá je otázka zabezpečení proti poruchám. Zde Allot Communications nabízí zajímavé řešení, kdy při vypnutí nebo libovolné poruše zařízení dojde k sepnutí kontaktu mezi dvěma ethernet porty a z NetEnforceru se stane transparentní „kus drátu“. Uživatel tak sice přijde o kvalitu služeb, v žádném případě však nepřijde o spojení. V případě nutnosti lze použít dva boxy v redundantní konfiguraci.

Jako samostatné softwarové moduly lze pořídit:

  • NetAccountant – pro dlouhodobé monitorování provozu (jedná se vlastně o obdobu RMON2 sondy) například pro účtování služeb,
  • NetBalancer – pro vyvažování zátěže mezi servery (např. farmou web serverů),
  • CacheEnforcer – pro transparentní přesměrování provozu do cache a to bez nutnosti konfigurace jednotlivých browserů uživatelů a s možností definovat, který provoz půjde přes cache a který přímo.

Celé řešení lze zastřešit centrálním managementem NetPolicy, pomocí kterého lze konfigurovat vše z jednoho místa a to i ve spolupráci s prvky jiných výrobců (CISCO, RADGuard, ...).

A jaké jsou typické aplikace? Poskytovatelé internetového připojení, propojování poboček, internet přes kabelovou televizi atd. Z těch méně obvyklých např. web hosting, kdy lze na jednom fyzickém serveru provozovat více web serverů a garantovat jim nasmlouvanou propustnost. Ale i v rámci jednoho web serveru lze rozlišovat až na úroveň jednotlivých stránek (např. přidělit maximální prioritu při vyplňování formuláře pro nákup zboží).