Průvodce řízením provozu sítě: Klasifikace a zajištění kvality provozu (QoS)

23.12.2009
Důležitým krokem v řízení provozu sítě je správná klasifikace, nastavení kritérií a priorit. V dalším díle průvodce řízením provozu sítě to rozebereme podrobněji.
V minulém díle jsme zmínili potřebu klasifikace provozu, tedy nutnost definovat pravidla. Jako klasifikační kritéria lze zvolit zdroj a cíl (MAC, IP adresa, subnet, rozsah IP adres, host name), protokol nebo aplikaci, čas, VLAN nebo DSCP (Differentiated Services Code Point). Jejich kombinací je možné flexibilně vyčlenit specifickou část provozu pro monitorování i pro QoS „akci“.

Flexibilita a přehlednost jsou přitom velice důležité. Definovat pravidlo pro „Josefa Nováka“ nebo pro „SAP server“ je jistě přehlednější, než pro IP adresu 192.168.1.25. Možnost předefinovat a pojmenovat si jednotlivé objekty tak, aby se s nimi jednoduše pracovalo, je velkou výhodou. Pohodlné je také sdružit jednotlivé objekty do skupin, například „účetní oddělení“, „tiskové servery“, „neplatiči“ či „nežádoucí aplikace“. Lze tak jednoduše definovat i hromadná pravidla pro jednotlivé objekty ve skupině nebo naopak jedno pravidlo pro celou skupinu.

V dalším kroku definujeme QoS, jinými slovy co se s daným provozem stane. Logicky se nabízí provoz v daném pravidle povolit a zakázat, ale řešení traffic managementu musí být mnohem flexibilnější než firewall. Musí garantovat minimum a/nebo omezovat maximum. Musí být schopen garantovat minimum nebo omezovat maximum nejen na úrovni pravidel, ale i pro každé jednotlivé spojení (session). Jen tak lze garantovat potřebné parametry pro jednotlivé VoIP hovory podle zvoleného kodeku. Není od věci mít také možnost omezit počet současných spojení i počet nových spojení za sekundu. Lze tak zamezit mimo jiné šíření červů a omezit DoS útoky.
Neméně důležitá je i podpora priorit – zjednodušeně řečeno na jeden paket s prioritou jedna, dva pakety s prioritou dvě atd. (viz obrázek).

Priority


Dobré QoS řešení musí mít ošetřen i stav, kdy dojde v rámci definovaného pravidla nebo i celé sítě k vyčerpání pásma. Ne vždy je možné spočítat minima tak, aby jejich součet odpovídal dostupnému pásmu. Uživatelé se spoléhají na rozložení provozu v čase a poskytovatelé internetu se vždy snaží svou kapacitu prodat několikrát. V takové situaci se mohou uplatnit právě priority. Provoz s vyšší prioritou se prosadí na úkor provozu s nižší prioritou. Lze tak dosáhnout toho, že VoIP telefony budou fungovat vždy, i tehdy, když bude síť přetížena stahováním filmů či rozesíláním pošty.

Pokud se chvíli zamyslíme, uvědomíme si, že pouze dynamická garance QoS nám umožní optimální využití sítě. Pokud bychom například garantovali 5 VoIP hovorů s kodekem G.711, znamenalo by to, že máme neustále obsazeno 500 Kb/s bez ohledu na to, zda někdo telefonuje, nebo ne. Pokud je pásmo přidělováno pouze v dané chvíli existujícímu provozu a jakmile je daný provoz ukončen, je opět volné, je síť využita naprosto dokonale. Umožňuje pak splnit protikladné požadavky – umožní stahovat filmy nebo hudbu pomocí P2P plnou rychlostí a pouze v okamžiku, kdy někdo zvedne telefon, je P2P dočasně potlačeno, a to přesně jen o pásmo potřebné pro daný kodek. Hovor má garantované vše potřebné pro maximální kvalitu a v okamžiku, kdy je hovor ukončen, stahování může pokračovat opět plnou rychlostí. To je extrémní případ, ale totéž lze uplatnit pro CITRIX tisk, rozesílaní pošty, videokonference atd.

Není od věci podívat se také na to, jaký způsob pro „shapping“ je zvolen. Klasické mechanismy používané směrovači jsou účinné pouze pro určitý typ provozu a nejsou dynamické. Nevhodný je určitě „rate limiting“, jinými slovy zahazování paketů. Některé aplikace jsou na to velmi citlivé a třeba hráčům on-line her to může způsobit problémy. Pro TCP aplikace je ideální využít zrychlování/zpomalování TCP ACK paketů, které dokáže zrychlit nebo zpomalit příslušnou aplikaci. Pokud si chceme být kvalitou zvoleného řešení opravdu jisti, je vhodné ověřit, jak dané řešení funguje s P2P aplikacemi. Ty totiž řadu standardních mechanismů ignorují.

Proces definice pravidel


Jedna věc je technické řešení, ale neméně podstatný je i komfort ovládání. Jak jsme již několikrát zdůraznili, traffic management je proces (viz obrázek 2) a jakákoliv komplikace v libovolné fázi ovlivní zbytek. Důležité je, aby se uživatel mohl věnovat definici toho, co je pro něj důležité, nikoliv tomu, jak se dané řešení konfiguruje. A to je základní strategie řešení od společnosti Allot Communications, o kterém si řekneme příště.