Transfer IP saobraćaja preko SDH mreža, ili ATM ima alternativu? Skrivanje saobraćaja: Tehnika za skrivanje IP saobraćaja pomoću tajnih pasivnih kanala.

04.07.2019 U kontaktu sa

Transfer IP saobraćaja preko SDH mreža, ili ATM ima alternativu?

Oleg ALLENOV
AMT Group

Mnogo se raspravlja o tome koje će transportne tehnologije doći do izražaja u brzim multimedijalnim mrežama kao što je Internet. I iako je većina spornih glasala za bankomat, ne slažu se svi s ovim gledištem. Moguća je i druga, alternativna opcija za izgradnju transportnih multimedijalnih mreža - korištenje IP (Internet Protocol) sa direktnom enkapsulacijom u mrežu sinhrone digitalne hijerarhije (SDH).

IP postoji više od 15 godina, dok je ATM relativno nov protokol. Tokom postojanja IP Interneta, iz ujedinjene naučne mreže raznorodnih univerzitetskih kampusa, pretvorio se u ogromnu kompjutersku mrežu koja je pokrivala čitavu planetu. Sve veći broj korisnika Interneta (koji se sada broji u milionima) i rastući zahtjevi za propusnim opsegom prijete da preplave Web. Nove multimedijalne aplikacije postavljaju mnogo strože zahtjeve za propusni opseg koji pružaju, često u realnom vremenu. To nas tjera da preispitamo postojeće pristupe izgradnji internetske infrastrukture.

Da bi se povećala propusnost Interneta, prije svega je potreban brzi "transport". Jedna od opcija je korištenje popularne tehnologije bankomata. Treba napomenuti da, kao transportni protokol, ATM izaziva sve više kritika kako proizvođača opreme tako i krajnjih korisnika. Pokušaćemo detaljnije analizirati nedostatke ATM-a i razmotriti slučaj drugog načina transporta internet saobraćaja – direktnu enkapsulaciju TCP/IP protokola u SONET/SDH protokole.

Tehnologija bankomata

Asinhroni režim prenosa, ATM, predstavljen je provajderima mrežnih usluga i dobavljačima kao tehnologija koja može da obezbedi potrebnu propusnost na zahtev i garantovanu kvalitetu usluge za širok spektar multimedijalnih aplikacija, od kojih je Internet bio na prvom mestu. Dakle, nije najnoviji dio ATM komponenti orijentisan i razvijen posebno za transport Internet saobraćaja. U bliskoj budućnosti, Mreža je bila zamišljena da se uglavnom sastoji od ATM korisnika i LANE (LAN Emulation) klijenata, omogućavajući laku i prirodnu migraciju Internet aplikacija na novi transportni protokol koji obećava neograničene mogućnosti.

Međutim (možda zbog visoke cijene novih rješenja ili njihove anorganske prirode), iz nekog razloga to se nije dogodilo. Štaviše, tendencija ka povećanju uticaja TCP/IP protokola kako transportni protokoli počela je da se pojavljuje sve jasnije.

Zaista, stog TCP / IP protokola je dugo razrađen i testiran; mnogo novca i truda je uloženo u njegovo kreiranje i otklanjanje grešaka. Iako IPv4 ima neke nedostatke, nadolazeća verzija IPv6 će riješiti većinu njih. Međutim, postojeća verzija IPv4 također odgovara mnogim ljudima i, prema riječima stručnjaka, može izdržati još nekoliko godina. Veliki broj proizvođača IP smatra obećavajućim transportnim protokolom za modernu telekomunikacionu infrastrukturu. Pa kakve veze ima bankomat s tim?

ATM je predložio ITU-T kao osnovnu tehnologiju za širokopojasni ISDN (ili B-ISDN). Budući da je B-ISDN prvenstveno namijenjen za prijenos multimedijalnog saobraćaja, ATM je bio u dobroj poziciji da podrži ovu vrstu saobraćaja u stvarnim mrežama.

Nešto kasnije, proizvođači telekom opreme skrenuli su pažnju na bankomat. Stvoren je ATM Forum koji se bavio oživljavanjem nove tehnologije. Istovremeno, zadaci ATM Foruma su bili standardizacija i razvoj efikasnog skalabilnog protokola koji podržava dijametralno suprotan saobraćaj (multimedija), garantuje određeni kvalitet usluge (QoS) i podržava multicast emitovanje. Osim toga, ovaj protokol mora biti kompatibilan sa postojećim LAN i WAN tehnologijama.

Treba shvatiti da je ATM tehnologija stekla toliku popularnost upravo zbog općeg uvjerenja da tehnologije koje su postojale u to vrijeme nisu bile u stanju zadovoljiti gore navedene zahtjeve.

IP tehnologija

IP, s druge strane, ne izgleda kao zastarjeli protokol na koji treba zaboraviti. Postoji ogroman broj IP over Ethernet rješenja instaliranih širom svijeta, i nije lako uvjeriti kupce da odustanu od jeftinih Ethernet kartica i instaliraju ATM adaptere bez obećanja fundamentalno novih karakteristika ili barem većih brzina (povećanje brzine nikako znači očigledno).

Mislim da će se mnogi kupci sa iskustvom sa ATM adapterima za personalne računare složiti sa mnom da je 100 Mbps Fast Ethernet (da ne spominjemo Full Duplex) NIC barem jednako brz kao 155 Mbps ATM adapter. To je zbog veće redundancije ATM protokola i kašnjenja sastavljanja/demontaže ćelije. Što se tiče garantovanog kvaliteta usluge ATM-a, on se praktično ne implementira u LANE, a AAL5 UBR (maksimalni UBR + ili ABR) se sada koristi za prenos IP saobraćaja preko ATM-a. Dakle, nema potrebe govoriti o QoS-u.

Nesumnjivo, nova tehnologija mora podržati širok spektar nivoa kvaliteta usluga. Međutim, IP je izabran kao protokol za univerzalno povezivanje i dobro je radio na tadašnjem Internetu od 20.000 računara još sredinom 1980-ih i nastavlja uspješno povezivati nekoliko miliona hostova i danas. Da li je IP zaista zastario? Zagovornici bankomata će vjerovatno odgovoriti potvrdno.

Ogromna sredstva su uložena u razvoj porodice Internet protokola i dovođenje u sadašnje stanje. Pored ATM foruma, Internet Engineering Task Force (IETF) nastavlja da traži načine da iskoristi IP u novim multimedijalnim mrežama velike brzine. Stvoreni su protokoli za podršku multicast emitovanja (IGMP, DVMRP, PIM) i protokoli koji obezbjeđuju rezervaciju resursa za prijenos saobraćaja (RSVP). Moguće je izvršiti rutiranje (iako još nije tako fleksibilno kao kada se koristi PNNI) na osnovu potrebnog kvaliteta usluge (Tag Switching), a MPLS (Multiprotocol Label Switching) standard, koji će uskoro ući u IETF, će osigurati interoperabilnost svih uređaja koji podržavaju prebacivanje oznaka i vjerovatno će značajno pomaknuti poziciju MPOA (Multiprotocol Over ATM).

Dakle, ima li smisla zamijeniti dobro uspostavljenu IP tehnologiju novim bankomatom?

IP preko bankomata

U početku je ideja o transportu IP-a preko ATM-a viđena kao mogući način uvođenja ATM-a u postojeću internet arhitekturu, uz posljedično potpuno suzbijanje IP-a. Sada, shvaćajući da ATM nije u stanju u potpunosti zamijeniti IP, možemo postaviti pitanje: zašto još uvijek ne postoje efikasne metode prijenosa IP prometa preko ATM-a? Čini se da ATM nudi jedinstvenu tehnologiju brzog prebacivanja koja može riješiti trenutna ograničenja propusnosti Interneta. Međutim, u stvarnosti se ovdje pojavljuju neki problemi.

Prije svega, obratimo pažnju na činjenicu da gotovo svi (s rijetkim izuzecima, na primjer, ATM25, TAXI, itd.) fizički interfejsi ATM prekidača rade u formatu okvira SDH / SONET / PDH. Ovo je da bi se olakšala integracija sa široko rasprostranjenim SDH transportnim mrežama. Ali čak i kada je SDH potpuno odsutan i nije predviđen projektom, ipak se u prijenos korisničkog prometa uvode SDH overhead, što, blago rečeno, ne povećava brzinu i performanse mreže.

Takođe je bitno napomenuti da je SDH sinhroni način prijenosa, dok je ATM asinhroni. Prilikom prijenosa ATM prometa preko SDH transportnih mreža gubimo sve prednosti metode asinhronog prijenosa ćelija, a da ne spominjemo dupliciranje niza funkcija (na primjer, OA&M).

Enkapsuliranje IP-a u ATM, koji zauzvrat radi preko SDH, ne poboljšava situaciju. ATM je orijentisan na vezu, dok IP nije. Ova neusklađenost također dovodi do dodatne komplikacije i dupliciranja niza funkcija.

Dakle, svaki od protokola, IP i ATM, zahtijeva svoj vlastiti protokol rutiranja. Dodatne funkcije upravljanja su potrebne za kontrolu IP i ATM saradnje. Efikasnost prenosa multicast saobraćaja je smanjena, jer se bez poznavanja tačne topologije mreže na nižim slojevima, prenos multicast paketa pretvara u njihovu jednostavnu kopiju na graničnim ruterima. Distribucija takvih paketa vrši se duž ruta koje su daleko od optimalnih za stvarnu mrežu.

Nema potrebe da se zadržavamo na nedostacima metoda za emulaciju lokalnih mreža, jer će se svaki kvalificirani mrežni stručnjak složiti da se LANE tehnologija ne može nazvati organskom i obećavajućom. Na mnogo načina, ova tehnologija je neuspješan pokušaj "povlačenja" protokola dizajniranih za okruženja emitiranja u okruženja s višestrukim pristupom bez emitiranja (NBMA).

Dakle, ako je Internet i dalje sam i nastavlja da bude zasnovan na IP-u, postoji li potreba za dodatnim slojem ATM-a između IP-a i zaista efikasnog, istinski brze SDH transportne interpunkcije koja služi jednako dobro za transport gotovo bilo koje vrste saobraćaj?

IP preko SDH

SDH tehnologija se široko koristi za organiziranje pouzdanog transporta. SDH je razvijen da obezbijedi standardni protokol za komunikaciju između provajdera; objediniti američke, evropske i japanske digitalne sisteme; omogućavaju multipleksiranje digitalnih signala pri gigabitnim brzinama; pružaju podršku za funkcije rada, administracije i održavanja (OA&M).

Iako SDH radi sa okvirima i ima svoju vlastitu strukturu kanala, sa stanovišta sloja mreže SDH je samo tok okteta. Da bi se IP paket pravilno ugnijezdio u SDH kontejner, potrebno je jasno definirati granice paketa (ili grupe paketa) unutar modula za sinhroni transport (STM). Drugim riječima, potreban je neki "međusloj" protokola između IP-a i SDH za uokvirivanje sloja veze.

Pošto SDH pruža veze od tačke do tačke, čini se logičnim koristiti PPP (Point-to-Point Protocol) kao posredni protokol. PPP se široko koristi na Internetu kao protokol veze podataka za uspostavljanje konekcija preko mreža širokog područja. Osim toga, PPP vam omogućava korištenje dodatnih funkcija PPP protokola:

mogućnost višeprotokolne enkapsulacije;
zaštita od greške;
korišćenje LCP protokola za uspostavljanje, konfigurisanje i testiranje veza na nivou veze;
mogućnost korištenja NCP porodice protokola za podršku i konfiguraciju različitih mrežnih protokola.

Međutim, treba napomenuti da nas kao mrežni protokol interesuje samo IP, a osim toga, brojne funkcije NCP protokola (na primjer, dinamičko dodjeljivanje IP adresa) nisu relevantne u našem slučaju. Ono što nas zaista zanima je IP u PPP enkapsulaciji, a zatim PPP okviri u SDH.

IP enkapsulacija u PPP-u nije problem jer je dobro uspostavljena i široko se koristi. Procedura PPP enkapsulacije u SDH (definirana je vrijednost Path Signal Label = 207hex), prikazana na slici, mora biti izvedena posebnim servisnim adapterom na razini SDH putanje. Servisni adapter može biti crna kutija koja prima tok PPP okvira i "izbacuje" tok STM transportnih modula. PPP je vrlo pogodan za rad sa SDH, jer su oba protokola fokusirana na rad u jednobajtnom modu.

Dakle, korišćenjem direktne inkapsulacije internet saobraćaja u postojeću SDH transportnu uslugu, značajno pojednostavljujemo složenu mrežnu infrastrukturu, čime smanjujemo njenu cenu i povećavamo efektivni propusni opseg. Pojavom novih mogućnosti za prenos IP saobraćaja gigabitnim brzinama (Gigabit Ethernet) i tehnologija za brzo prebacivanje IP paketa (Multiprotocol Label Switching - MPLS), postaje prava upotreba IP protokola kao osnove objedinjeni transportni servis za prenos video, telefonskih i drugih multimedijalnih aplikacija - srećom, najveći dio posla na implementaciji IP protokola u World Wide Webu je već završen. U tom smislu, pojava standarda (RFC 1619) i prve praktične implementacije PPP preko SDH (ili Packets Over Sonet - POS) sučelja na modernim ruterima namijenjenim za internet, posebno na GSR 12000 kompanije Cisco Systems, izgleda da je veoma blagovremeno.

U zaključku želim da napomenem da autor ni na koji način neće umanjiti značaj ATM tehnologije i negirati njen pozitivan uticaj na razvoj svetskih telekomunikacionih usluga. Samo je smatrao da je zanimljivo na diskutabilan način razmotriti mogućnost alternativnih načina razvoja multimedijalnih usluga, osim tehnologije asinhronog načina prijenosa ćelija.

O AUTORU

Oleg Allenov je instruktor u centru za obuku AMT grupe, CCSI / CCIE. Možete ga kontaktirati telefonom. 725 - 7660

Globalni internet saobraćaj će porasti na 1,6 zetabajta do 2018. Ključni pokretači rasta bit će širenje Ultra-HD/4K video i komunikacionih tehnologija od mašine do mašine, uključujući pametne automobile.

Na osnovu Cisco istraživanja pod nazivom "Indeks razvoja vizuelnog umrežavanja: Globalna prognoza i distribucija usluga za 2013-2018." (Cisco VNI), globalni IP saobraćaj će se skoro utrostručiti u roku od 4 godine. To će se dogoditi zbog povećanja broja korisnika interneta i raznih uređaja, povećanja brzine širokopojasnog pristupa i broja pregleda videa. Očekuje se da će do 2018. globalni fiksni i mobilni IP saobraćaj dostići 1,6 zetabajta* godišnje. preko jedan i po bilion gigabajta. Ovo je više IP prometa (1,3 zetabajta) generiranog globalno između 1984. i 2013. godine.

Desetine miliona navijača gledaće preko interneta prenos svetskog prvenstva u fudbalu koje je upravo počelo. Video streaming i IP igre mogu generirati 4,3 eksabajta internet saobraćaja, što je više od tri puta više od mjesečnog prometa u Brazilu. Osim toga, predviđa se da će internet saobraćaj koji generiraju gledaoci na svakom stadionu i na putu do utakmice premašiti prosječan promet ostvaren tokom vršnih sati ** na svim pametnim telefonima koje trenutno imaju Brazilci.

Očekuje se da će globalni IP promet dostići 132 eksabajta mjesečno do 2018. Istu količinu prometa može generirati:

Ultra-HD / 4K video koji se prenosi istovremeno na 8,8 milijardi ekrana tokom finala Svjetskog prvenstva
5,5 milijardi gledalaca videa na zahtjev koji neprestano gledaju 4. sezonu Igre prijestolja u visokoj definiciji (HD), ili 1,5 milijardi u ultra-visokoj definiciji;
Kuća od karata, sezona 3, emituje se istovremeno na 24 milijarde ekrana ultra visoke rezolucije;
940 kvadriliona tekstualnih poruka;
4,5 triliona YouTube klipova.

U narednim godinama sastav IP saobraćaja će se dramatično promijeniti. Do 2018. većina će po prvi put biti povezana ne sa personalnim računarima, već sa drugim uređajima. Takođe po prvi put, Wi-Fi saobraćaj će premašiti žičani saobraćaj, a HD video saobraćaj će nadmašiti običan video saobraćaj.

Prožimajući internet takođe dobija na zamahu, a do 2018. broj komunikacionih modula mašina-mašina izjednačiće se sa brojem ljudi. Dakle, za svaki "pametni" automobil će postojati skoro 4 priključka.

“U prvom izvještaju te vrste, objavljenom prije 9 godina, postavili smo zetabajte kao prekretnicu u globalnom rastu IP saobraćaja,” prisjetio se Doug Webster, potpredsjednik marketinga proizvoda i rješenja za Cisco. “Danas već živimo u Zettabyte eri, svjedoci smo nevjerovatnih industrijskih promjena. Među glavnim trendovima istaknutim u trenutnoj prognozi koji pružaocima usluga pružaju značajne mogućnosti kako danas tako i u bliskoj budućnosti, ističemo implementaciju Interneta svega, rastuću potražnju za mrežnom mobilnošću i pojavu videa ultra visoke rezolucije. "

Prognoze rasta globalnog prometa i ključni pokretači difuzije usluga

IP saobraćaj

Mobilni i nosivi uređaji, osim personalnih računara, bit će odgovorni za većinu prometa do 2018. godine. Ako su 2013. godine uređaji osim računara činili 33% IP saobraćaja, onda će do 2018. ovaj udio porasti na 57%. PC promet će rasti za 10% godišnje, dok će za ostale uređaje i konekcije ova brojka biti veća: 18% za TV, 74% za tablete, 64% za pametne telefone i 84% za module komunikacije mašina-mašina (M2M) .

Promet u vršnim satima raste brže od redovnog internet prometa. U 2013. promet interneta u špicu porastao je za 32%, dok je promet u ostalo doba dana porastao za 25%.

U 2013. godini više saobraćaja je prenošeno kroz gradske mreže nego preko okosnih veza. U periodu 2013-2018. promet u gradskim mrežama će rasti gotovo dvostruko brže nego u okosnim vezama. To je dijelom zbog očekivanog udvostručenja internet prometa u mrežama za isporuku sadržaja do 2018.

IP video

Do 2018. godine, udio IP videa u ukupnom IP saobraćaju će porasti na 79% (2013. je bio 66%).

Udio videa ultra visoke rezolucije u ukupnom IP saobraćaju do 2018. godine će se povećati za 0,1% u odnosu na 2013. godinu i iznosit će 11%. Udio videa visoke definicije će se povećati sa 36% u 2013. na 52% do 2018. godine, a video standardne rezolucije će se smanjiti sa 64% na 37% ukupnog IP saobraćaja.

IP saobraćaj prema vrsti pristupa

Do 2018. Wi-Fi i mobilni uređaji će generisati 61% IP saobraćaja. Wi-Fi će činiti 49%, mobilne mreže - 12%. Fiksni saobraćaj će do 2018. činiti samo 39% ukupnog IP saobraćaja. Poređenja radi: u 2013. udio Wi-Fi-a iznosio je 41%, mobilni saobraćaj - 3%, fiksni saobraćaj - 56%.

Do 2018. Wi-Fi i mobilni uređaji će generisati 76% internet saobraćaja. Wi-Fi će činiti 61%, mobilne mreže - 15%. Fiksni saobraćaj će činiti samo 24% ukupnog internet saobraćaja do 2018. Poređenja radi: u 2013. udio Wi-Fi-a iznosio je 55%, mobilnog saobraćaja - 4%, fiksnog saobraćaja - 41%.

Uređaji i veze

Do 2018. godine u prosjeku će postojati 2,7 mrežnih uređaja ili konekcija za svaku osobu na planeti. U 2013. ovaj broj je iznosio 1,7 po glavi stanovnika.

Globalni broj veza između mašina će biti 7,3 milijarde, ili skoro jedna veza po osobi (pod pretpostavkom da će na Zemlji biti 7,6 milijardi ljudi do 2018.).

Broj fiksnih i mobilnih uređaja koji podržavaju IPv6 porast će sa 2 milijarde u 2013. na 10 milijardi u 2018. godini.

Rast brzina širokopojasnog pristupa

Brzina širokopojasnog pristupa u svijetu će porasti sa 16 Mbit/s na kraju 2013. na 42 Mbit/s do 2018. godine.

Većina (otprilike 55%) širokopojasnih veza će premašiti 10 Mbps do 2018. U Japanu i Južnoj Koreji, prosječna brzina širokopojasnog pristupa će se približiti 100 Mbps do 2018.

Distribucija naprednih usluga

Najbrže rastuća usluga u stambenom sektoru biće onlajn video, sa CAGR od 10% u periodu 2013-2018. broj korisnika će se povećati sa 1,2 na 1,9 milijardi.

Potrošački segment će imati najbrži rast mobilnih usluga na osnovu lokacije, sa CAGR od 36% u periodu 2013-2018. broj korisnika ovakvih usluga će porasti sa 236 miliona na preko milijardu ljudi.

U poslovnom segmentu, najbrže rastuća internet usluga biće video konferencije pomoću ličnih uređaja i desktopa, sa CAGR od 45% u periodu 2013-2018. broj korisnika će porasti sa 37 miliona na 238 miliona.

Prognoze po zemljama i regijama

Do 2018. najveći obim IP saobraćaja - 47,7 eksabajta mesečno - biće generisan u azijsko-pacifičkom regionu. Ova najnaseljenija regija na svijetu, koja čini većinu uređaja i veza, ostat će broj jedan po obimu prometa tokom 2018.

Na Bliskom istoku i Africi, 2013-2018 IP saobraćaj će nastaviti da raste najbržim tempom (petostruko, 38% CAGR).

Do 2018. godine, SAD i Kina će postati zemlje koje će generisati najveći obim saobraćaja (37 odnosno 18 eksabajta mesečno).

Najbrži rast IP saobraćaja u periodu 2013-2018 će se posmatrati u Indiji i Indoneziji (39% i 37% CAGR, respektivno).

Šta iz svega slijedi za pružaoce usluga

Mreže provajdera usluga će trebati poboljšanu sigurnost i inteligenciju. Morat će se prilagoditi kako bi se nosili sa sve većim brojem tableta, pametnih telefona i uređaja od stroja do stroja koji će zahtijevati autentifikaciju za pristup fiksnim i mobilnim mrežama.

Evolucija video usluga kao što su video visoke i ultra visoke definicije može zahtijevati dodatni propusni opseg i skalabilnost od pružatelja usluga. U rezidencijalnom, mobilnom i poslovnom sektoru postojat će velika potražnja za pristupom naprednim video uslugama putem svih vrsta mreža i uređaja. Ovdje će kvalitet usluge, pristupačnost i cijena biti ključni faktori uspjeha.

Kontinuirano širenje usluga kao što su video konferencije visoke definicije i web video konferencije u poslovnom segmentu, kao i poslovni video na zahtjev, može stimulirati rast virtualizacije mreže i korištenja interneta za prijenos videa, što će uzrokovati određene probleme. i za pružaoce usluga i za nezavisne pružaoce usluga (over-the-top provajderi, OTT).

Rast 4G mreža i proliferacija povezanih usluga mogu se ubrzati jer mobilni korisnici i dalje zahtijevaju pružanje sličnih usluga i kvalitetu usluge u svojim fiksnim i mobilnim mrežama.

IP mreže moraju biti dovoljno inteligentne i fleksibilne da podrže sve nove i evoluirajuće fiksne i mobilne mrežne aplikacije. U nastojanju da diferenciraju svoje usluge, mnogi provajderi usluga aktivno sarađuju sa programerima aplikacija.

Svaki administrator prije ili kasnije dobije upute od menadžmenta: „izračunaj ko ide na internet i koliko preuzima“. Za provajdere ga dopunjuju zadaci "pusti koga treba, uzmi uplatu, ograniči pristup". Šta računati? Kako? Gdje? Ima dosta fragmentarnih informacija, nisu strukturirane. Sačuvajmo administratora početnika od zamornih pretraga, pružajući mu opće znanje i korisne veze do materijala.
U ovom članku pokušat ću opisati principe organizacije prikupljanja, obračuna i kontrole prometa u mreži. Razmotrit ćemo problematiku problema i navesti moguće načine za preuzimanje informacija sa mrežnih uređaja.

Ovo je prvi teorijski članak u nizu članaka posvećenih prikupljanju, računovodstvu, upravljanju i naplati prometa i IT resursa.

Struktura pristupa Internetu

Generalno, struktura pristupa mreži je sljedeća:

Eksterni resursi - Internet, sa svim stranicama, serverima, adresama i ostalim stvarima koje ne pripadaju mreži koju kontrolišete.
Pristupni uređaj je ruter (zasnovan na hardveru ili računaru), prekidač, VPN server ili čvorište.
Interni resursi - skup računara, podmreža, pretplatnika čiji se rad u mreži mora uzeti u obzir ili kontrolisati.
Kontrolni ili računovodstveni server je uređaj na kojem radi specijalizovani softver. Može se funkcionalno kombinovati sa softverskim ruterom.

U ovoj strukturi, mrežni promet prolazi sa vanjskih resursa na interne resurse i nazad kroz pristupni uređaj. Šalje informacije o prometu na upravljački server. Kontrolni server obrađuje ove informacije, pohranjuje ih u bazu podataka, prikazuje ih, izdaje komande za blokiranje. Međutim, nisu sve kombinacije pristupnih uređaja (metoda) i metoda prikupljanja i kontrole kompatibilne. Različite opcije će biti razmotrene u nastavku.

Mrežni saobraćaj

Prvo, morate odrediti šta se podrazumijeva pod "mrežnim prometom" i koje korisne statističke informacije mogu biti izvučene iz toka korisničkih podataka.
IP verzija 4 ostaje dominantan protokol za međusobnu saradnju. IP protokol je u skladu sa 3. slojem OSI modela (L3). Informacije (podaci) između pošiljaoca i primaoca spakovane su u pakete - sa zaglavljem i "korisnim opterećenjem". Zaglavlje određuje odakle paket dolazi i gdje (izvorne i odredišne IP adrese), veličinu paketa i tip korisnog opterećenja. Najveći deo mrežnog saobraćaja sastoji se od UDP i TCP paketa korisnog opterećenja - ovo su protokoli Layer 4 (L4). Pored adresa, zaglavlje ova dva protokola sadrži brojeve portova koji određuju tip usluge (aplikacije) koja prenosi podatke.

Da bi prenijeli IP paket preko žica (ili radija), mrežni uređaji su prisiljeni da ga "umotaju" (inkapsuliraju) u paket protokola Layer 2 (L2). Najčešći od ovog tipa je Ethernet. Stvarni prijenos "na žicu" je na 1. nivou. Obično, pristupni uređaj (ruter) ne analizira zaglavlja paketa na nivou višem od 4. (osim pametnih zaštitnih zidova).
Informacije iz polja adresa, portova, protokola i brojača dužine iz L3 i L4 zaglavlja paketa podataka čine "izvorni materijal" koji se koristi u računovodstvu i upravljanju saobraćajem. Stvarna količina prenesenih informacija nalazi se u polju Dužina IP zaglavlja (uključujući dužinu samog zaglavlja). Inače, zbog fragmentacije paketa zbog MTU mehanizma, ukupna količina prenesenih podataka je uvijek veća od veličine korisnog opterećenja.

Ukupna dužina IP i TCP/UDP polja paketa koji nas zanima u ovom kontekstu je 2...10% ukupne dužine paketa. Ako sve ove informacije obrađujete i pohranjujete u serijama, neće biti dovoljno resursa. Srećom, velika većina saobraćaja je struktuirana na način da se sastoji od skupa "razgovora" između eksternih i internih mrežnih uređaja, takozvanih "tokova". Na primjer, kao dio jedne operacije prosljeđivanja e-pošte (SMTP protokol), otvara se TCP sesija između klijenta i servera. Karakterizira ga konstantan skup parametara (Izvorni IP, izvorni TCP port, odredišni TCP port, odredišni TCP port)... Umjesto obrade i pohranjivanja informacija po paketu, mnogo je zgodnije pohraniti parametre protoka (adrese i portove), kao i dodatne informacije - broj i zbir dužina prenetih paketa u svakom smjeru, opciono trajanje sesije, sučelje rutera indeksi, vrijednost polja ToS i tako dalje. Ovaj pristup je koristan za protokole orijentirane na vezu (TCP), gdje možete eksplicitno presresti kada se sesija završi. Međutim, čak i za protokole koji nisu orijentirani na sesiju, moguće je izvršiti agregaciju i logički završetak snimanja toka, na primjer, timeoutom. Ispod je izvod iz SQL baze podataka vlastitog sistema naplate koji bilježi informacije o tokovima prometa:

Treba napomenuti slučaj kada pristupni uređaj vrši translaciju adresa (NAT, maskiranje) kako bi organizovao pristup Internetu za računare na lokalnoj mreži koristeći jednu eksternu javnu IP adresu. U ovom slučaju, poseban mehanizam zamjenjuje IP adrese i TCP/UDP portove prometnih paketa, zamjenjujući interne (ne rutabilne na Internetu) adrese prema svojoj dinamičkoj tablici prevođenja. U takvoj konfiguraciji treba imati na umu da za ispravno obračunavanje podataka na internim hostovima mreže statistiku treba uzeti na način i na mjestu gdje rezultat prijevoda još ne „depersonalizira“ interne adrese.

Metode za prikupljanje informacija o prometu / statistici

Možete snimiti i obraditi informacije o propuštanju prometa direktno na samom pristupnom uređaju (PC-ruter, VPN-server), sa ovog uređaja prenoseći ih na poseban server (NetFlow, SNMP) ili "sa žice" (tap, SPAN ). Analizirajmo sve opcije po redu.

PC ruter

Razmotrimo najjednostavniji slučaj - pristupni uređaj (ruter) zasnovan na PC-u koji koristi Linux.

Kako postaviti takav server, prevođenje adresa i rutiranje, puno napisano... Zanima nas sljedeći logičan korak - informacije o tome kako doći do informacija o prometu koji prolazi kroz takav server. Postoje tri uobičajena načina:

presretanje (kopiranje) paketa koji prolaze kroz mrežnu karticu servera pomoću biblioteke libpcap
presretanje paketa koji prolaze kroz ugrađeni firewall
korištenje alata treće strane za pretvaranje statistike po paketu (dobivene jednom od dvije prethodne metode) u tok agregiranih informacija mrežnog toka

Libpcap

U prvom slučaju, kopiju paketa koji prolazi kroz interfejs, nakon prolaska filtera (man pcap-filter), može zatražiti klijentski program na serveru napisan pomoću ove biblioteke. Paket dolazi sa zaglavljem Layer 2 (Ethernet). Moguće je ograničiti dužinu uhvaćene informacije (ako nas zanimaju samo podaci iz njenog zaglavlja). Primjeri takvih programa su tcpdump i Wireshark. Postoji implementacija libpcap za Windows. U slučaju korišćenja translacije adresa na PC ruteru, takvo presretanje se može izvršiti samo na njegovom internom interfejsu koji je povezan sa lokalnim korisnicima. Na eksternom interfejsu, nakon prevođenja, IP paketi ne sadrže informacije o internim hostovima mreže. Međutim, ovom metodom nemoguće je uzeti u obzir promet koji generiše sam server na Internetu (što je važno ako na njemu radi web ili mail servis).

Libpcap zahtijeva podršku operativnog sistema, koja se trenutno svodi na instaliranje jedne biblioteke. U tom slučaju, aplikacijski (korisnički) program koji prikuplja pakete mora:

otvorite traženi interfejs
navedite filter kroz koji će proći primljeni paketi, veličinu uhvaćenog dijela (snaplen), veličinu bafera,
postavite parametar promisc, koji mrežno sučelje prebacuje na način hvatanja svih paketa koji prolaze općenito, a ne samo onih adresiranih na MAC adresu ovog sučelja
postavite funkciju (povratni poziv) pozvanu za svaki primljeni paket.

Kada se paket prenosi kroz odabrani interfejs, nakon prolaska filtera, ova funkcija prima bafer koji sadrži Ethernet, (VLAN), IP, itd. zaglavlja do snaplena. Pošto biblioteka libcap kopira pakete, nije moguće blokirati njihov prolaz kroz nju. U ovom slučaju, program za prikupljanje i obradu saobraćaja morat će koristiti alternativne metode, na primjer, pozivanje skripte za stavljanje navedene IP adrese u pravilo blokiranja prometa.

Firewall

Snimanje podataka koji prolaze kroz firewall omogućava vam da uzmete u obzir i promet samog servera i promet korisnika mreže, čak i kada je pokrenuta translacija adresa. Glavna stvar u ovom slučaju je pravilno formulirati pravilo hvatanja i staviti ga na pravo mjesto. Ovo pravilo aktivira prijenos paketa prema sistemskoj biblioteci, odakle ga aplikacija za obračun i kontrolu prometa može primiti. Za Linux OS, iptables se koristi kao firewall, a presretači su ipq, netfliter_queue ili ulog. Za FreeBSD OC - ipfw sa tee ili divert pravilima. U svakom slučaju, mehanizam firewall-a je dopunjen mogućnošću rada sa korisničkim programom na sljedeći način:

Korisnički program - rukovalac saobraćaja se registruje u sistemu koristeći sistemski poziv ili biblioteku.
Korisnički program ili eksterna skripta instalira pravilo u firewall koje "omata" odabrani promet (prema pravilu) unutar rukovatelja.
Za svaki paket koji prolazi, rukovalac prima njegov sadržaj u obliku memorijskog bafera (sa IP zaglavljima itd. Nakon obrade (obračunavanja), program takođe mora reći kernelu operativnog sistema šta dalje da radi sa takvim paketom - da odbaci ili proslijedite modificirani paket kernelu.

Budući da se IP paket ne kopira, već se šalje softveru na analizu, postaje moguće "baciti" ga, a samim tim i potpuno ili djelomično ograničiti promet određenog tipa (na primjer, odabranom pretplatniku lokalnog mreža). Međutim, ako aplikacija prestane da odgovara kernelu o svojoj odluci (na primjer, visi), promet kroz server je jednostavno blokiran.
Treba napomenuti da opisani mehanizmi, uz značajne količine prenijetog prometa, stvaraju preveliko opterećenje na serveru, što je povezano sa stalnim kopiranjem podataka iz kernela u korisnički program. Metoda prikupljanja statistike na nivou kernela OS-a, uz izdavanje agregirane statistike aplikacijskom programu preko NetFlow protokola, je lišena ovog nedostatka.

Netflow

Ovaj protokol je razvio Cisco Systems za izvoz informacija o saobraćaju sa rutera za obračun i analizu saobraćaja. Najpopularnija verzija 5 sada pruža primaocu strukturirani tok podataka u obliku UDP paketa koji sadrže informacije o proslijeđenom prometu u obliku takozvanih zapisa toka:

Količina informacija o prometu je nekoliko redova veličine manja od samog prometa, što je posebno važno u velikim i distribuiranim mrežama. Naravno, nemoguće je blokirati prijenos informacija prilikom prikupljanja statistike o netflow-u (osim ako se ne koriste dodatni mehanizmi).
Trenutno, dalji razvoj ovog protokola postaje popularan - verzija 9, zasnovana na strukturi šablona zapisa toka, implementacija za uređaje drugih proizvođača (sFlow). Nedavno je usvojen IPFIX standard koji omogućava prenos statistike preko protokola dubljih slojeva (na primjer, prema vrsti aplikacije).
Implementacija netflow izvora (agenti, sonda) dostupna je za PC rutere, kako u obliku uslužnih programa koji rade prema gore opisanim mehanizmima (flowprobe, softflowd), tako i direktno ugrađenih u jezgro OS (FreeBSD :, Linux:). Za softverske rutere, tok statistike netflow-a se može primiti i obraditi lokalno na samom ruteru, ili poslati preko mreže (protokol za prijenos - preko UDP-a) do prijemnog uređaja (kolektora).

Program za prikupljanje može prikupiti informacije iz više izvora odjednom, u stanju je razlikovati njihov promet čak i sa preklapajućim adresnim prostorima. Uz pomoć dodatnih alata, kao što je nprobe, moguće je izvršiti i dodatnu agregaciju podataka, split streams ili konverziju protokola, što je važno pri upravljanju velikom i distribuiranom mrežom sa desetinama rutera.

Funkcije netflow izvoza podržavaju Cisco Systems, Mikrotik i nekoliko drugih. Sličnu funkcionalnost (sa drugim izvoznim protokolima) podržavaju svi veći proizvođači mrežne opreme.

Libpcap "napolju"

Hajde da malo zakomplikujemo zadatak. Šta ako je vaš pristupni uređaj hardverski ruter treće strane? Na primjer, D-Link, ASUS, Trendnet, itd. Na njega je najvjerovatnije nemoguće instalirati dodatni softver za preuzimanje podataka. Alternativno, imate pametni pristupni uređaj, ali ga nije moguće konfigurirati (nema prava ili ga kontrolira vaš provajder). U ovom slučaju moguće je prikupljati informacije o prometu direktno na interfejsu pristupnog uređaja sa internom mrežom, koristeći "hardverska" sredstva za kopiranje paketa. U ovom slučaju će vam svakako trebati samostalni server sa namjenskom mrežnom karticom za primanje kopija Ethernet paketa.
Server mora koristiti mehanizam za prikupljanje paketa gore opisanom metodom libpcap, a naš zadatak je da pošaljemo tok podataka na ulaz namjenske mrežne kartice koja je identična onoj koja napušta pristupni server. Da biste to učinili, možete koristiti:

Ethernet - čvorište: uređaj koji jednostavno prosljeđuje pakete između svih svojih portova neselektivno. U modernim stvarnostima, može se naći negdje u prašnjavom skladištu i ne preporučuje se korištenje ove metode: nepouzdana, mala brzina (nema čvorišta na 1 Gbit / s)
Ethernet je prekidač sa mogućnošću preslikavanja (zrcaljenje, SPAN portovi. Moderni inteligentni (i skupi) prekidači omogućavaju kopiranje na određeni port sav promet (dolazni, odlazni, oba) drugog fizičkog interfejsa, VLAN-a, uključujući daljinski (RSPAN)
Hardverski razdjelnik, koji može zahtijevati instalaciju za prikupljanje dvije mrežne kartice umjesto jedne - i to je dodatak glavnoj, sistemskoj.

Naravno, možete konfigurisati SPAN port na samom pristupnom uređaju (ruteru), ako to dozvoljava - Cisco Catalyst 6500, Cisco ASA. Evo primjera takve konfiguracije za Cisco switch:
monitor sesije 1 izvorni vlan 100! gde dobijamo pakete
monitor sesija 1 odredišni interfejs Gi6 / 3! gdje izdajemo pakete

SNMP

Šta ako nema rutera pod našom kontrolom, nema želje za komunikacijom sa netflowom, ne zanimaju nas detalji saobraćaja naših korisnika. Oni su jednostavno povezani na mrežu preko upravljanog prekidača, a mi samo trebamo grubo procijeniti količinu saobraćaja koji ide na svaki od njegovih portova. Kao što znate, daljinski upravljani mrežni uređaji podržavaju i mogu prikazati broj paketa (bajtova) koji prolaze kroz mrežna sučelja. Za njihovo ispitivanje bilo bi ispravno koristiti standardizirani SNMP protokol za daljinsko upravljanje. Koristeći ga, lako možete dobiti ne samo vrijednosti navedenih brojača, već i druge parametre, kao što su naziv i opis sučelja, MAC adrese vidljive kroz njega i druge korisne informacije. Ovo se radi i sa uslužnim programima komandne linije (snmpwalk), grafičkim SNMP pretraživačima i sofisticiranijim programima za praćenje mreže (rrdtools, cacti, zabbix, whats up gold, itd.). Međutim, ova metoda ima dva značajna nedostatka:

saobraćaj se može blokirati samo potpunim onemogućavanjem interfejsa, koristeći isti SNMP
SNMP brojači saobraćaja odnose se na zbir dužina Ethernet paketa (unicast, broadcast i multicast odvojeno), dok ostatak prethodno opisanih sredstava daje vrijednosti u odnosu na IP pakete. Ovo stvara primjetno odstupanje (posebno za kratke pakete) zbog prevelikog opterećenja uzrokovanog dužinom Ethernet zaglavlja (međutim, ovo se može grubo riješiti: L3_bytes = L2_bytes - L2_packets * 38).

VPN

Odvojeno, vrijedi razmotriti slučaj pristupa korisnika mreži eksplicitnim uspostavljanjem veze sa pristupnim serverom. Klasičan primjer je dobro staro dial-up, čiji je analog u modernom svijetu VPN usluge udaljenog pristupa (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)

Pristupni uređaj ne samo da usmjerava IP promet korisnika, već djeluje i kao namjenski VPN server i završava logičke tunele (često šifrirane) unutar kojih se prenosi korisnički promet.
Da biste uračunali takav promet, možete koristiti sve gore opisane alate (i oni su vrlo prikladni za dubinsku analizu prema portu/protokolu), kao i dodatne mehanizme koji pružaju alate za kontrolu pristupa VPN-u. Prije svega, govorit ćemo o RADIUS protokolu. Njegov rad je prilično složena tema. Ukratko ćemo spomenuti da kontrolu (autorizaciju) pristupa VPN serveru (RADIUS klijent) kontroliše posebna aplikacija (RADIUS server), koja ima bazu podataka (tekstualni fajl, SQL, Active Directory) važećih korisnika sa njihovim atributima ( ograničenja brzine veze, dodijeljene IP adrese). Pored procesa autorizacije, klijent periodično prenosi računovodstvene poruke na server, informacije o statusu svake trenutne pokrenute VPN sesije, uključujući brojače prenetih bajtova i paketa.

Zaključak

Hajde da sumiramo sve gore navedene metode prikupljanja saobraćajnih informacija zajedno:

Hajde da sumiramo malo. U praksi postoji veliki broj metoda za povezivanje mreže kojom upravljate (sa klijentima ili kancelarijskim pretplatnicima) na eksternu mrežnu infrastrukturu, korišćenjem brojnih pristupnih sredstava – softverskih i hardverskih rutera, komutatora, VPN servera. Međutim, u gotovo svakom slučaju možete smisliti shemu kada se informacije o prometu koji se prenosi preko mreže mogu poslati softverskom ili hardverskom alatu za njegovu analizu i kontrolu. Također je moguće da će ovaj alat omogućiti povratne informacije pristupnom uređaju koristeći inteligentne algoritame za ograničavanje pristupa za pojedinačne klijente, protokole i druge.
Ovim je završena analiza materijala. Od neodgovorenih tema ostale su:

kako i gdje idu prikupljeni podaci o saobraćaju
softver za knjigovodstvo saobraćaja
koja je razlika između naplate i jednostavne "brojanice"
kako možete uvesti ograničenja u saobraćaju
obračunavanje i ograničavanje posjećenih web stranica

Pregledano: 3498

Ovo je prvi teorijski članak u nizu članaka posvećenih prikupljanju, računovodstvu, upravljanju i naplati prometa i IT resursa.