Prijenos IP prometa preko SDH mreža, ili ATM ima alternativu? Skrivanje prometa: Tehnika za skrivanje IP prometa korištenjem tajnih pasivnih kanala.

04.07.2019 U kontaktu s

Prijenos IP prometa preko SDH mreža, ili ATM ima alternativu?

Oleg ALLENOV
AMT grupa

Puno se raspravlja o tome koje će transportne tehnologije doći do izražaja u brzim multimedijskim mrežama kao što je Internet. I premda je većina spornih dala svoj glas za bankomat, ne slažu se svi s ovim stajalištem. Moguća je i druga, alternativna opcija za izgradnju transportnih multimedijskih mreža - korištenje IP-a (Internet Protocol) s izravnom inkapsulacijom u mrežu sinkrone digitalne hijerarhije (SDH).

IP postoji već više od 15 godina, dok je ATM relativno nov protokol. Tijekom postojanja IP Interneta, iz ujedinjene znanstvene mreže raznorodnih sveučilišnih kampusa, pretvorio se u ogromnu računalnu mrežu koja je pokrivala cijeli planet. Sve veći broj korisnika interneta (koji se sada broji u milijunima) i rastući zahtjevi za propusnošću prijete preplaviti web. Nove multimedijske aplikacije postavljaju mnogo strože zahtjeve na propusnost koju pružaju, često u stvarnom vremenu. To nas tjera da preispitamo postojeće pristupe izgradnji internetske infrastrukture.

Za povećanje propusnosti Interneta, prije svega, potreban je brzi "transport". Jedna od opcija je korištenje popularne tehnologije bankomata. Treba napomenuti da bankomat kao transportni protokol izaziva sve više kritika kako proizvođača opreme tako i krajnjih korisnika. Pokušat ćemo detaljnije analizirati nedostatke ATM-a i razmotriti slučaj drugog načina transporta internetskog prometa - izravnu enkapsulaciju TCP/IP protokola u SONET/SDH protokole.

Tehnologija bankomata

Asinkroni način prijenosa, ATM, doveli su u prvi plan proizvođači i pružatelji mrežnih usluga kao tehnologiju koja može pružiti potrebnu propusnost na zahtjev i zajamčenu kvalitetu usluge širokom spektru multimedijskih aplikacija, među kojima je Internet bio na prvom mjestu. Dakle, ne najnoviji dio ATM komponenti nije orijentiran i razvijen posebno za prijenos internetskog prometa. Očekivalo se da će se u bliskoj budućnosti Mreža uglavnom sastojati od ATM korisnika i LANE (LAN Emulation) klijenata, što će omogućiti jednostavnu i prirodnu migraciju internetskih aplikacija na novi transportni protokol koji obećava neograničene mogućnosti.

Međutim (možda zbog visoke cijene novih otopina ili njihove anorganske prirode), iz nekog razloga to se nije dogodilo. Štoviše, tendencija povećanja utjecaja TCP/IP protokola kao transportnih protokola počela se sve jasnije pojavljivati.

Doista, stog TCP / IP protokola je dugo razrađen i testiran, u njegovo stvaranje i otklanjanje pogrešaka uloženo je puno novca i truda. Iako IPv4 ima neke nedostatke, nadolazeća verzija IPv6 riješit će većinu njih. Međutim, postojeća verzija IPv4 također odgovara mnogim ljudima i, prema riječima stručnjaka, može izdržati još nekoliko godina. Velik broj proizvođača IP smatra obećavajućim transportnim protokolom za modernu telekomunikacijsku infrastrukturu. Pa kakve veze ima bankomat s tim?

ATM je predložio ITU-T kao temeljnu tehnologiju za širokopojasni ISDN (ili B-ISDN). Budući da je B-ISDN prvenstveno namijenjen prijenosu multimedijskog prometa, ATM je dobro pozicioniran da podrži ovu vrstu prometa u stvarnim mrežama.

Nešto kasnije, proizvođači telekomunikacijske opreme svoju su pozornost usmjerili na bankomat. Stvoren je ATM Forum koji se bavio oživljavanjem nove tehnologije. Istodobno, zadaci dodijeljeni ATM Forumu bili su standardizirati i razviti učinkovit skalabilan protokol koji podržava dijametralno suprotan promet (multimedija), jamči određenu kvalitetu usluge (QoS) i podržava multicast emitiranje. Osim toga, ovaj protokol mora biti kompatibilan s postojećim LAN i WAN tehnologijama.

Treba razumjeti da je ATM tehnologija stekla toliku popularnost upravo zbog općeg uvjerenja da tehnologije koje su postojale u to vrijeme nisu bile u stanju zadovoljiti navedene zahtjeve.

IP tehnologija

IP, s druge strane, ne izgleda kao zastarjeli protokol na koji treba zaboraviti. Postoji ogroman broj IP over Ethernet rješenja instaliranih diljem svijeta i nije lako nagovoriti kupce da odustanu od jeftinih Ethernet kartica i instaliraju ATM adaptere bez obećanja temeljno novih značajki ili barem većih brzina (povećanje brzine nije nimalo znači očito).

Mislim da će se mnogi kupci koji imaju iskustva s ATM adapterima za osobna računala složiti sa mnom da Fast Ethernet 100 Mbps mrežna kartica (da ne spominjemo Full Duplex) barem nije sporija od 155 Mbps ATM adaptera. To je zbog veće redundancije ATM protokola i kašnjenja sastavljanja/demontaže ćelije. Što se tiče zajamčene ATM kvalitete usluge, ona se praktički ne implementira u LANE, a AAL5 UBR (maksimalni UBR + ili ABR) sada se koristi za prijenos IP prometa preko ATM-a. Dakle, o QoS-u ne treba govoriti.

Nesumnjivo, nova tehnologija mora podržavati širok raspon razina kvalitete usluga. Međutim, IP je odabran kao protokol za univerzalno međusobno povezivanje i dobro je radio na tadašnjem Internetu s 20.000 računala još sredinom 1980-ih i nastavlja uspješno povezivati nekoliko milijuna hostova i danas. Je li IP stvarno zastario? Zagovornici bankomata vjerojatno će odgovoriti potvrdno.

Uložena su ogromna sredstva u razvoj obitelji internetskih protokola i njihovo dovođenje u postojeće stanje. Osim ATM Foruma, Radna skupina za internetsko inženjerstvo (IETF) nastavlja tražiti načine za iskorištavanje IP-a u novim multimedijskim mrežama velike brzine. Stvoreni su protokoli za podršku multicast emitiranja (IGMP, DVMRP, PIM) i protokoli koji osiguravaju rezervaciju resursa za prijenos prometa (RSVP). Moguće je izvršiti usmjeravanje (iako još nije tako fleksibilno kao kod korištenja PNNI) na temelju potrebne kvalitete usluge (Tag Switching), a nadolazeći IETF standard MPLS (Multiprotocol Label Switching) osigurat će interoperabilnost svih uređaja koji podržavaju oznake i vjerojatno će značajno pomaknuti poziciju MPOA (Multiprotocol Over ATM).

Dakle, ima li smisla zamijeniti dobro uspostavljenu IP tehnologiju novim bankomatom?

IP preko bankomata

U početku je ideja prijenosa IP-a preko ATM-a viđena kao mogući način uvođenja ATM-a u postojeću internetsku arhitekturu, s posljedičnim potpunim potiskivanjem IP-a. Sada, shvaćajući da ATM nije u stanju u potpunosti zamijeniti IP, možemo postaviti pitanje: zašto još uvijek ne postoje učinkovite metode prijenosa IP prometa preko ATM-a? Čini se da ATM nudi jedinstvenu tehnologiju brzog prebacivanja koja može riješiti trenutna ograničenja propusnosti Interneta. Međutim, u stvarnosti se ovdje pojavljuju neki problemi.

Prije svega, obratite pozornost na činjenicu da gotovo sva (s rijetkim iznimkama, na primjer, ATM25, TAXI, itd.) fizička sučelja ATM prekidača rade u formatu okvira SDH / SONET / PDH. Time se olakšava integracija s raširenim SDH transportnim mrežama. Ali čak i kada SDH potpuno izostane i nije predviđen projektom, svejedno se u prijenos korisničkog prometa uvode SDH režijski troškovi, što, blago rečeno, ne povećava brzinu i performanse mreže.

Također je važno napomenuti da je SDH sinkroni način prijenosa, dok je ATM asinkroni. Prilikom prijenosa ATM prometa preko SDH transportnih mreža gubimo sve prednosti metode asinkronog prijenosa ćelija, a da ne spominjemo dupliciranje niza funkcija (npr. OA&M).

Enkapsuliranje IP-a u ATM, koji pak radi preko SDH-a, ne poboljšava situaciju. ATM je orijentiran na vezu, dok IP nije. Ova neusklađenost također dovodi do dodatnog kompliciranja i dupliciranja niza funkcija.

Dakle, svaki od protokola, IP i ATM, zahtijeva svoj vlastiti protokol usmjeravanja. Dodatne funkcije upravljanja potrebne su za kontrolu IP i ATM suradnje. Učinkovitost prijenosa multicast prometa je smanjena, jer se bez poznavanja točne topologije mreže na nižim slojevima, prijenos multicast paketa pretvara u njihovu jednostavnu kopiju na graničnim usmjerivačima. Distribucija takvih paketa provodi se duž ruta koje su daleko od optimalnih za stvarnu mrežu.

Ne treba se zadržavati na nedostacima metoda za oponašanje lokalnih mreža, budući da će se svaki kvalificirani mrežni stručnjak složiti da se LANE tehnologija ne može nazvati organskom i obećavajućom. Na mnogo načina, ova tehnologija je neuspješan pokušaj "povlačenja" protokola dizajniranih za emitiranje okruženja za rad u okruženjima u kojima ovaj način prijenosa podataka nije moguć (NBMA, Nonbroadcast Multiple Access).

Dakle, ako je internet još uvijek sam i nastavlja se temeljiti na IP-u, postoji li dodatni ATM sloj između IP-a i uistinu učinkovite, uistinu brze SDH transportne interpunkcije koja jednako dobro služi za prijenos gotovo bilo koje vrste prometa?

IP preko SDH-a

SDH tehnologija se naširoko koristi za organiziranje pouzdanog transporta. SDH je razvijen za pružanje standardnog protokola za komunikaciju između pružatelja usluga; objediniti američke, europske i japanske digitalne sustave; osigurati multipleksiranje digitalnih signala pri gigabitnim brzinama; pružiti podršku za funkcije rada, administracije i održavanja (OA&M).

Iako SDH radi s okvirima i ima vlastitu strukturu kanala, sa stajališta mrežnog sloja SDH je samo tok okteta. Kako bi se IP paket ispravno ugnijezdio u SDH kontejner, potrebno je jasno definirati granice paketa (ili grupe paketa) unutar sinkronog transportnog modula (STM). Drugim riječima, potreban je neki "međusloj" protokola između IP-a i SDH za uokvirivanje sloja veze.

Budući da SDH pruža veze od točke do točke, čini se logičnim koristiti PPP (Point-to-Point Protocol) kao međuprotokol. PPP se naširoko koristi na Internetu kao protokol podatkovne veze za uspostavljanje veza preko mreža širokog područja. Osim toga, PPP vam omogućuje korištenje dodatnih funkcija PPP protokola:

mogućnost višeprotokolne enkapsulacije;
zaštita od pogreške;
korištenje LCP protokola za uspostavljanje, konfiguriranje i testiranje veza na sloju veze;
mogućnost korištenja NCP obitelji protokola za podršku i konfiguraciju različitih mrežnih protokola.

Međutim, treba napomenuti da nas kao mrežni protokol zanima samo IP, a osim toga, brojne funkcije NCP protokola (na primjer, dinamičko dodjeljivanje IP adresa) u našem slučaju nisu relevantne. Ono što nas stvarno zanima je IP u PPP enkapsulaciji, a zatim PPP okviri u SDH.

IP enkapsulacija u PPP-u nije problem jer je dobro uspostavljena i široko korištena. Postupak PPP enkapsulacije u SDH (definirana je vrijednost Path Signal Label = 207hex), prikazan na slici, mora se izvesti posebnim servisnim adapterom na razini SDH puta. Servisni adapter može biti crna kutija koja prima tok PPP okvira i "izbacuje" tok STM transportnih modula. PPP je vrlo prikladan za rad sa SDH, budući da su oba protokola usmjerena na rad u jednobajtnom načinu rada.

Dakle, korištenjem izravne inkapsulacije internetskog prometa u postojećoj SDH transportnoj usluzi značajno pojednostavljujemo složenu mrežnu infrastrukturu, smanjujući njezinu cijenu i povećavajući efektivnu propusnost. Pojavom novih mogućnosti za prijenos IP prometa gigabitnim brzinama (Gigabit Ethernet) i tehnologija za brzo prebacivanje IP paketa (Multiprotocol Label Switching - MPLS), postaje stvarna upotreba IP protokola kao osnove jedinstvena transportna usluga za prijenos video, telefonskih i drugih multimedijskih aplikacija - srećom, glavnina posla na implementaciji IP protokola na World Wide Webu je već završena. U tom smislu, čini se pojava standarda (RFC 1619) i prve praktične implementacije "PPP over SDH" (ili Packets Over Sonet - POS) sučelja na modernim usmjerivačima namijenjenim Internetu, posebice GSR 12000 tvrtke Cisco Systems. biti vrlo pravovremen.

Zaključno, želio bih napomenuti da autor ni na koji način neće umanjiti važnost ATM tehnologije i negirati njezin pozitivan utjecaj na razvoj svjetskih telekomunikacijskih usluga. Samo je smatrao zanimljivim na diskutabilan način razmotriti mogućnost alternativnih načina razvoja multimedijskih usluga, osim tehnologije asinkronog načina prijenosa stanica.

O AUTORU

Oleg Allenov je instruktor u centru za obuku AMT grupe, CCSI / CCIE. Možete ga kontaktirati telefonom. 725 - 7660 (prikaz, stručni).

Globalni internetski promet porast će na 1,6 zetabajta do 2018. Ključni pokretači rasta bit će širenje Ultra-HD/4K video i komunikacijskih tehnologija od stroja do stroja, uključujući pametne automobile.

Na temelju Ciscove ankete pod nazivom "Indeks razvoja vizualnog umrežavanja: Globalna prognoza i distribucija usluga za 2013.-2018." (Cisco VNI), globalni IP promet će se gotovo utrostručiti unutar 4 godine. To će se dogoditi zbog povećanja broja korisnika interneta i raznih uređaja, povećanja brzine širokopojasnog pristupa i broja pregleda videa. Očekuje se da će do 2018. globalni fiksni i mobilni IP promet dosegnuti 1,6 zetabajta * godišnje. preko jedan i pol bilijun gigabajta. Ovo je više IP prometa (1,3 zetabajta) generiranog globalno između 1984. i 2013.

Prijenos Svjetskog nogometnog prvenstva koje je upravo počelo gledat će preko interneta deseci milijuna navijača. Video streaming i IP igre mogu generirati 4,3 eksabajta internetskog prometa, što je više od tri puta više od mjesečnog prometa u Brazilu. Osim toga, predviđa se da će internetski promet koji generiraju gledatelji na svakom stadionu i na putu do utakmice premašiti prosječni promet koji generiraju svi pametni telefoni u Brazilu tijekom vršnih sati **.

Očekuje se da će globalni IP promet dosegnuti 132 eksabajta mjesečno do 2018. Istu količinu prometa može generirati:

Ultra-HD / 4K streaming video koji se istodobno strujio na 8,8 milijardi zaslona tijekom finala Svjetskog prvenstva
5,5 milijardi HD gledatelja koji gledaju 4. sezonu Igre prijestolja bez prestanka na video na zahtjev, ili 1,5 milijardi u ultra-visokoj razlučivosti;
Kuća od karata, sezona 3, emitira se istovremeno na 24 milijarde ekrana ultra visoke razlučivosti;
940 kvadrilijuna tekstualnih poruka;
4,5 bilijuna YouTube isječaka.

U narednim godinama sastav IP prometa će se dramatično promijeniti. Do 2018. većina će po prvi put biti povezana ne s osobnim računalima, već s drugim uređajima. Također po prvi put, Wi-Fi promet će premašiti žičani promet, a HD video promet će nadmašiti redoviti video promet.

Prožimajući internet također dobiva na zamahu, a do 2018. broj komunikacijskih modula od stroja do stroja izjednačit će se s brojem ljudi. Dakle, za svaki "pametni" automobil bit će gotovo 4 priključka.

“U prvom izvješću te vrste, objavljenom prije 9 godina, postavili smo zettabyte kao prekretnicu u globalnom rastu IP prometa,” prisjetio se Doug Webster, potpredsjednik marketinga proizvoda i rješenja za Cisco. “Danas već živimo u Zettabyte eri i svjedočimo nevjerojatnim promjenama u industriji. Među glavnim trendovima istaknutim u trenutnoj prognozi koji pružateljima usluga pružaju značajne mogućnosti kako danas tako i u bliskoj budućnosti, ističemo implementaciju Interneta svega, rastuću potražnju za mrežnom mobilnošću i pojavu videa ultra visoke razlučivosti. "

Prognoze rasta globalnog prometa i ključni pokretači difuzije usluga

IP promet

Mobilni i nosivi uređaji, osim osobnih računala, bit će odgovorni za većinu prometa do 2018. godine. Ako su u 2013. uređaji osim osobnih računala činili 33% IP prometa, do 2018. taj će udio porasti na 57%. PC promet će rasti za 10% godišnje, dok će za ostale uređaje i veze ta brojka biti veća: 18% za TV, 74% za tablete, 64% za pametne telefone i 84% za komunikacijske module stroj-stroj (M2M) .

Promet u vršnim satima raste brže od običnog internetskog prometa. Internetski promet u špici u 2013. godini porastao je za 32%, dok je promet u ostala doba dana porastao za 25%.

U 2013. godini više se prometa prenosilo kroz gradske mreže nego preko okosnih veza. U razdoblju 2013.-2018. promet u gradskim mrežama će rasti gotovo dvostruko brže nego u okosničkim vezama. To je dijelom posljedica očekivanog udvostručenja internetskog prometa u mrežama za isporuku sadržaja do 2018. godine.

IP video

Do 2018. udio IP videa u ukupnom IP prometu će porasti na 79% (2013. je bio 66%).

Udio videa ultra visoke razlučivosti u ukupnom IP prometu do 2018. će se povećati za 0,1% u odnosu na 2013. i iznosit će 11%. Udio videa visoke razlučivosti povećat će se sa 36% u 2013. na 52% do 2018., a video standardne razlučivosti će se smanjiti sa 64% na 37% ukupnog IP prometa.

IP promet prema vrsti pristupa

Do 2018. Wi-Fi i mobilni uređaji će generirati 61% IP prometa. Wi-Fi će činiti 49%, mobilne mreže - 12%. Fiksni promet do 2018. činit će samo 39% ukupnog IP prometa. Za usporedbu: u 2013. udio Wi-Fi-ja bio je 41%, mobilni promet - 3%, fiksni promet - 56%.

Do 2018. Wi-Fi i mobilni uređaji će generirati 76% internetskog prometa. Wi-Fi će činiti 61%, mobilne mreže - 15%. Fiksni promet činit će samo 24% ukupnog internetskog prometa do 2018. Za usporedbu: u 2013. udio Wi-Fi-ja bio je 55%, mobilni promet - 4%, fiksni promet - 41%.

Uređaji i veze

Do 2018. bit će prosječno 2,7 mrežnih uređaja ili veza za svaku osobu na planetu. U 2013. ta je brojka iznosila 1,7 po glavi stanovnika.

Globalni broj veza između stroja bit će 7,3 milijarde, ili gotovo jedna veza po osobi (pod pretpostavkom da će na Zemlji biti 7,6 milijardi ljudi do 2018.).

Broj fiksnih i mobilnih uređaja koji podržavaju IPv6 porast će s 2 milijarde u 2013. na 10 milijardi u 2018. godini.

Rast brzina širokopojasnog pristupa

Brzina širokopojasnog pristupa u svijetu će porasti sa 16 Mbit/s na kraju 2013. na 42 Mbit/s do 2018. godine.

Većina (otprilike 55%) širokopojasnih veza premašit će 10 Mbps do 2018. U Japanu i Južnoj Koreji prosječna brzina širokopojasnog pristupa približit će se 100 Mbps do 2018.

Distribucija naprednih usluga

Najbrže rastuća usluga u stambenom sektoru bit će online video s CAGR od 10% u razdoblju 2013.-2018. broj korisnika će se povećati s 1,2 na 1,9 milijardi.

Potrošački segment doživjet će najbrži rast mobilnih usluga na temelju lokacije, s CAGR od 36% u razdoblju 2013.-2018. broj korisnika takvih usluga će porasti s 236 milijuna na više od milijardu ljudi.

U poslovnom segmentu najbrže rastuća internetska usluga bit će video konferencije putem osobnih uređaja i stolnih računala, s CAGR od 45% u razdoblju 2013.-2018. broj korisnika će porasti sa 37 milijuna na 238 milijuna.

Prognoze po zemljama i regijama

Do 2018. najveći volumen IP prometa - 47,7 eksabajta mjesečno - bit će generiran u azijsko-pacifičkoj regiji. Ova najmnogoljudnija regija na svijetu, na koju otpada većina uređaja i veza, ostat će broj jedan po prometu tijekom 2018. godine.

Na Bliskom istoku i u Africi, 2013.-2018 IP promet nastavit će rasti najbržim tempom (peterostruko, 38% CAGR).

Do 2018. SAD i Kina postat će zemlje s najvećim prometom (37 odnosno 18 eksabajta mjesečno).

Najbrži rast IP prometa u razdoblju 2013.-2018 promatrat će se u Indiji i Indoneziji (39% odnosno 37% CAGR).

Što iz svega toga slijedi za davatelje usluga

Mreže davatelja usluga trebat će poboljšanu sigurnost i inteligenciju. Morat će se prilagoditi kako bi mogli nositi sve veći broj tableta, pametnih telefona i uređaja od stroja do stroja koji će zahtijevati autentifikaciju za pristup fiksnim i mobilnim mrežama.

Evolucija video usluga kao što su video visoke i ultra visoke razlučivosti može zahtijevati dodatnu propusnost i skalabilnost od davatelja usluga. U stambenom, mobilnom i poslovnom sektoru bit će velika potražnja za pristupom naprednim video uslugama putem svih vrsta mreža i uređaja. Ovdje će kvaliteta usluge, jednostavnost i cijena biti ključni čimbenici uspjeha.

Kontinuirano širenje usluga kao što su video konferencije visoke razlučivosti i web video konferencije u poslovnom segmentu, kao i poslovni video na zahtjev, može potaknuti rast virtualizacije mreže i korištenja interneta za prijenos videa, što će uzrokovati određene probleme i za davatelje usluga i za neovisne pružatelje usluga (over-the-top provideri, OTT).

Rast 4G mreža i proliferacija povezanih usluga mogu se ubrzati jer mobilni korisnici i dalje zahtijevaju pružanje sličnih usluga i kvalitetu usluge u svojim fiksnim i mobilnim mrežama.

IP mreže moraju biti dovoljno inteligentne i fleksibilne da podrže sve nove i evoluirajuće fiksne i mobilne mrežne aplikacije. U nastojanju da razlikuju svoje usluge, mnogi davatelji usluga aktivno surađuju s programerima aplikacija.

Svaki administrator prije ili kasnije dobije upute od uprave: "izračunaj tko ide na internet i koliko preuzima". Za pružatelje ga nadopunjuju zadaci "pusti koga treba, uzmi plaćanje, ograniči pristup". Što računati? Kako? Gdje? Ima dosta fragmentarnih informacija, nisu strukturirane. Sačuvajmo administratora početnika od zamornih pretraživanja, pružajući mu opće znanje i korisne veze na materijal.
U ovom članku pokušat ću opisati principe organizacije prikupljanja, računovodstva i kontrole prometa u mreži. Razmotrit ćemo problematiku problema i navesti moguće načine dohvaćanja informacija s mrežnih uređaja.

Ovo je prvi teorijski članak u nizu članaka posvećenih prikupljanju, računovodstvu, upravljanju i naplati prometa i IT resursa.

Struktura pristupa internetu

Općenito, struktura pristupa mreži je sljedeća:

Vanjski resursi - Internet, sa svim stranicama, poslužiteljima, adresama i ostalim stvarima koje ne pripadaju mreži koju kontrolirate.
Pristupni uređaj je usmjerivač (bazirani na hardveru ili računalu), prekidač, VPN poslužitelj ili čvorište.
Interni resursi - skup računala, podmreža, pretplatnika čiji se rad u mreži mora uzeti u obzir ili kontrolirati.
Kontrolni ili računovodstveni poslužitelj je uređaj na kojem radi specijalizirani softver. Može se funkcionalno kombinirati sa softverskim usmjerivačem.

U ovoj strukturi, mrežni promet prolazi s vanjskih resursa na interne resurse i natrag kroz pristupni uređaj. Šalje informacije o prometu poslužitelju za upravljanje. Kontrolni poslužitelj obrađuje te podatke, pohranjuje ih u bazu podataka, prikazuje, izdaje naredbe za blokiranje. Međutim, nisu sve kombinacije pristupnih uređaja (metoda) i metoda prikupljanja i kontrole kompatibilne. Različite opcije bit će razmotrene u nastavku.

Mrežni promet

Prvo morate odrediti što se podrazumijeva pod "mrežnim prometom" i koje se korisne statističke informacije mogu izdvojiti iz toka korisničkih podataka.
IP verzija 4 ostaje dominantan protokol za međusobnu suradnju. IP protokol je u skladu s 3. slojem OSI modela (L3). Informacije (podaci) između pošiljatelja i primatelja pakiraju se u pakete - sa zaglavljem i "korisnim opterećenjem". Zaglavlje određuje odakle paket dolazi i gdje (izvorna i odredišna IP adresa), veličinu paketa i vrstu tereta. Najveći dio mrežnog prometa sastoji se od UDP i TCP paketa tereta – to su protokoli Layer 4 (L4). Osim adresa, zaglavlje ova dva protokola sadrži brojeve portova koji određuju vrstu usluge (aplikacije) koja prenosi podatke.

Za prijenos IP paketa preko žica (ili radija), mrežni uređaji su prisiljeni da ga "umotaju" (inkapsuliraju) u paket protokola Layer 2 (L2). Najčešći od ove vrste je Ethernet. Stvarni prijenos "na žicu" je na 1. razini. Obično pristupni uređaj (usmjerivač) ne analizira zaglavlja paketa na razini većoj od 4. (osim za pametne vatrozide).
Informacije iz polja adresa, portova, protokola i brojača duljine iz L3 i L4 zaglavlja paketa podataka čine "izvorni materijal" koji se koristi u računovodstvu i upravljanju prometom. Stvarna količina prenesenih informacija nalazi se u polju Duljina IP zaglavlja (uključujući duljinu samog zaglavlja). Inače, zbog fragmentacije paketa zbog MTU mehanizma, ukupna količina prenesenih podataka uvijek je veća od veličine korisnog opterećenja.

Ukupna duljina IP i TCP/UDP polja paketa koji nas zanima u ovom kontekstu je 2 ... 10% ukupne duljine paketa. Ako sve ove informacije obrađujete i pohranjujete u serijama, neće biti dovoljno resursa. Srećom, velika većina prometa strukturirana je na način da se sastoji od skupa "razgovora" između vanjskih i internih mrežnih uređaja, tzv. "protoka". Na primjer, kao dio jedne operacije prosljeđivanja e-pošte (SMTP protokol), otvara se TCP sesija između klijenta i poslužitelja. Karakterizira ga konstantan skup parametara (Izvorni IP, izvorni TCP port, odredišni TCP port, odredišni TCP port)... Umjesto obrade i pohranjivanja informacija po paketu, puno je praktičnije pohraniti parametre protoka (adrese i portove), kao i dodatne informacije - broj i zbroj duljina odaslanih paketa u svakom smjeru, opcionalno trajanje sesije, sučelje usmjerivača. indeksi, vrijednost polja ToS i tako dalje. Ovaj pristup je koristan za protokole orijentirane na vezu (TCP), gdje možete eksplicitno presresti kada sesija završi. Međutim, čak i za protokole koji nisu orijentirani na sesiju, moguće je izvesti agregaciju i logički završetak snimanja toka, na primjer, timeout. Ispod je izvadak iz SQL baze podataka vlastitog sustava naplate koji bilježi informacije o tokovima prometa:

Treba napomenuti slučaj kada pristupni uređaj obavlja prijevod adrese (NAT, maskiranje) kako bi organizirao pristup internetu za računala u lokalnoj mreži koristeći jednu vanjsku javnu IP adresu. U ovom slučaju, poseban mehanizam zamjenjuje IP adrese i TCP / UDP portove prometnih paketa, zamjenjujući interne (koje se ne usmjeravaju na Internetu) adrese prema svojoj dinamičkoj tablici prijevoda. U takvoj konfiguraciji treba imati na umu da za ispravno obračunavanje podataka o internim hostovima mreže statistiku treba uzeti na način i na mjestu gdje rezultat prijevoda još ne "depersonalizira" interne adrese.

Metode za prikupljanje informacija o prometu / statistici

Možete snimiti i obraditi informacije o propuštanju prometa izravno na samom pristupnom uređaju (PC-usmjerivač, VPN-poslužitelj), s ovog uređaja prenoseći ih na zasebni poslužitelj (NetFlow, SNMP) ili "iz žice" (tap, SPAN ). Analizirajmo sve opcije po redu.

PC usmjerivač

Razmotrimo najjednostavniji slučaj - pristupni uređaj (usmjerivač) koji se temelji na računalu s Linuxom.

Kako postaviti takav poslužitelj, prijevod adrese i usmjeravanje, puno napisano... Zanima nas sljedeći logičan korak – informacija o tome kako doći do informacija o prometu koji prolazi kroz takav poslužitelj. Postoje tri uobičajena načina:

presretanje (kopiranje) paketa koji prolaze kroz mrežnu karticu poslužitelja pomoću biblioteke libpcap
presretanje paketa koji prolaze kroz ugrađeni vatrozid
korištenje alata treće strane za pretvaranje statistike po paketu (dobivene jednom od dvije prethodne metode) u tok agregiranih informacija mrežnog toka

Libpcap

U prvom slučaju, kopiju paketa koji prolazi kroz sučelje, nakon prolaska filtra (man pcap-filter), može zatražiti klijentski program na poslužitelju napisan pomoću ove biblioteke. Paket dolazi sa zaglavljem Layer 2 (Ethernet). Moguće je ograničiti duljinu snimljenih informacija (ako nas zanimaju samo podaci iz zaglavlja). Primjeri takvih programa su tcpdump i Wireshark. Postoji implementacija libpcap za Windows. U slučaju korištenja prijevoda adresa na PC usmjerivaču, takvo presretanje se može izvesti samo na njegovom internom sučelju povezanom s lokalnim korisnicima. Na vanjskom sučelju, nakon prijevoda, IP paketi ne sadrže informacije o internim hostovima mreže. Međutim, ovom metodom nemoguće je uzeti u obzir promet koji generira sam poslužitelj na Internetu (što je važno ako na njemu radi web ili mail servis).

Libpcap zahtijeva podršku operativnog sustava, koja se trenutno svodi na instalaciju jedne biblioteke. U tom slučaju, aplikacijski (korisnički) program koji prikuplja pakete mora:

otvorite potrebno sučelje
navedite filter kroz koji će proći primljeni paketi, veličinu uhvaćenog dijela (snaplen), veličinu međuspremnika,
postavite promisc parametar, koji mrežno sučelje prebacuje na način hvatanja svih paketa koji prolaze općenito, a ne samo onih adresiranih na MAC adresu ovog sučelja
postaviti funkciju (povratni poziv) pozvanu za svaki primljeni paket.

Kada se paket prenosi kroz odabrano sučelje, nakon prolaska filtra, ova funkcija prima međuspremnik koji sadrži Ethernet, (VLAN), IP itd. zaglavlja do snaplena. Budući da biblioteka libcap kopira pakete, nije moguće blokirati njihov prolaz kroz nju. U tom slučaju, program za prikupljanje i obradu prometa morat će koristiti alternativne metode, na primjer, pozivanje skripte za postavljanje navedene IP adrese u pravilo blokiranja prometa.

Vatrozid

Snimanje podataka koji prolaze kroz vatrozid omogućuje vam da uzmete u obzir i promet samog poslužitelja i promet korisnika mreže, čak i kada se izvodi prijevod adresa. Glavna stvar u ovom slučaju je ispravno formulirati pravilo hvatanja i staviti ga na pravo mjesto. Ovo pravilo aktivira prijenos paketa prema biblioteci sustava, odakle ga aplikacija za obračun i kontrolu prometa može primiti. Za Linux OS, iptables se koristi kao vatrozid, a presretači su ipq, netfliter_queue ili ulog. Za FreeBSD OC - ipfw s tee ili divert pravilima. U svakom slučaju, mehanizam vatrozida nadopunjen je mogućnošću rada s korisničkim programom na sljedeći način:

Korisnički program - rukovalac prometa se registrira u sustavu koristeći sistemski poziv ili knjižnicu.
Korisnički program ili vanjska skripta instalira pravilo u vatrozid koji "omata" odabrani promet (prema pravilu) unutar rukovatelja.
Za svaki prolazni paket rukovatelj prima njegov sadržaj u obliku memorijskog međuspremnika (s IP zaglavljima itd. Nakon obrade (obračunavanja), program također mora reći kernelu operativnog sustava što dalje učiniti s takvim paketom – odbaciti ili ga prenesite dalje.proslijedite modificirani paket u kernel.

Budući da se IP paket ne kopira, već šalje softveru na analizu, postaje moguće "baciti" ga, a time i potpuno ili djelomično ograničiti promet određene vrste (na primjer, odabranom pretplatniku lokalnog mreža). Međutim, ako aplikacija prestane odgovarati kernelu o svojoj odluci (na primjer, visi), promet kroz poslužitelj je jednostavno blokiran.
Valja napomenuti da opisani mehanizmi, uz značajne količine prenesenog prometa, stvaraju prekomjerno opterećenje poslužitelja, što je povezano sa stalnim kopiranjem podataka iz kernela u korisnički program. Metoda prikupljanja statistike na razini jezgre OS-a, uz izdavanje agregirane statistike aplikacijskom programu putem NetFlow protokola, lišena je ovog nedostatka.

Netflow

Ovaj protokol razvio je Cisco Systems za izvoz informacija o prometu s usmjerivača za obračun i analizu prometa. Najpopularnija verzija 5 sada primatelju pruža strukturirani tok podataka u obliku UDP paketa koji sadrže informacije o proslijeđenom prometu u obliku takozvanih zapisa toka:

Količina informacija o prometu je nekoliko redova veličine manja od samog prometa, što je posebno važno u velikim i distribuiranim mrežama. Naravno, nemoguće je blokirati prijenos informacija prilikom prikupljanja statistike o mrežnom toku (osim ako se ne koriste dodatni mehanizmi).
Trenutno, daljnji razvoj ovog protokola postaje popularan - verzija 9, temeljena na strukturi predloška zapisa toka, implementacija za uređaje drugih proizvođača (sFlow). Nedavno je usvojen IPFIX standard koji omogućuje prijenos statistike preko protokola dubljih slojeva (na primjer, prema vrsti aplikacije).
Implementacija netflow izvora (agenti, sonda) dostupna je za PC usmjerivače, kako u obliku uslužnih programa koji rade prema gore opisanim mehanizmima (flowprobe, softflowd), tako i izravno ugrađenih u jezgru OS-a (FreeBSD:, Linux:). Za softverske usmjerivače, tok statistike mrežnog toka može se primati i obraditi lokalno na samom usmjerivaču, ili poslati preko mreže (protokol prijenosa - preko UDP-a) na uređaj za primanje (kolektor).

Program za prikupljanje može prikupljati informacije iz više izvora odjednom, a može razlikovati njihov promet čak i s preklapajućim adresnim prostorima. Uz pomoć dodatnih alata, kao što je nprobe, također je moguće provesti dodatno agregiranje podataka, split streamove ili konverziju protokola, što je važno kod upravljanja velikom i distribuiranom mrežom s desecima usmjerivača.

Funkcije netflow izvoza podržavaju Cisco Systems, Mikrotik i nekoliko drugih. Sličnu funkcionalnost (s drugim izvoznim protokolima) podržavaju svi veći proizvođači mrežne opreme.

Libpcap "izvan"

Zakomplicirajmo malo zadatak. Što ako je vaš pristupni uređaj hardverski usmjerivač treće strane? Na primjer, D-Link, ASUS, Trendnet itd. Najvjerojatnije je nemoguće na njega instalirati dodatni softver za dohvaćanje podataka. Alternativno, imate pametni pristupni uređaj, ali ga nije moguće konfigurirati (nema prava ili ga kontrolira vaš davatelj). U tom slučaju moguće je prikupljati prometne informacije izravno na sučelju pristupnog uređaja s internom mrežom, koristeći "hardverska" sredstva za kopiranje paketa. U tom slučaju će vam svakako trebati samostalni poslužitelj s namjenskom mrežnom karticom za primanje kopija Ethernet paketa.
Poslužitelj mora koristiti mehanizam za prikupljanje paketa gore opisanom metodom libpcap, a naš je zadatak poslati tok podataka na ulaz namjenske mrežne kartice koja je identična onoj koja napušta pristupni poslužitelj. Da biste to učinili, možete koristiti:

Ethernet – čvorište: uređaj koji jednostavno prosljeđuje pakete između svih svojih portova neselektivno. U modernim stvarnostima, može se naći negdje u prašnjavom skladištu i ne preporučuje se korištenje ove metode: nepouzdana, mala brzina (nema čvorišta na 1 Gbit / s)
Ethernet je preklopnik s mogućnošću zrcaljenja (zrcaljenje, SPAN portovi. Moderni inteligentni (i skupi) prekidači omogućuju kopiranje na određeni port cjelokupnog prometa (dolaznog, odlaznog, oba) drugog fizičkog sučelja, VLAN-a, uključujući daljinski (RSPAN)
Hardverski razdjelnik, koji može zahtijevati instalaciju za prikupljanje dvije mrežne kartice umjesto jedne - i to uz glavnu, sustavnu.

Naravno, možete konfigurirati SPAN port na samom pristupnom uređaju (usmjerivaču), ako to dopušta - Cisco Catalyst 6500, Cisco ASA. Evo primjera takve konfiguracije za Cisco switch:
monitor session 1 izvorni vlan 100! gdje dobivamo pakete
nadzor sesije 1 odredišno sučelje Gi6 / 3! gdje izdajemo pakete

SNMP

Što ako nema rutera pod našom kontrolom, nema želje za komunikacijom s netflowom, ne zanimaju nas detalji prometa naših korisnika. Oni su jednostavno povezani s mrežom putem upravljanog prekidača, a mi samo trebamo otprilike procijeniti količinu prometa koji ide na svaki od njegovih priključaka. Kao što znate, daljinski upravljani mrežni uređaji podržavaju i mogu prikazati broj paketa (bajtova) koji prolaze kroz mrežna sučelja. Za njihovo ispitivanje bilo bi ispravno koristiti standardizirani SNMP protokol za daljinsko upravljanje. Koristeći ga, lako možete dobiti ne samo vrijednosti navedenih brojača, već i druge parametre, kao što su naziv i opis sučelja, MAC adrese vidljive kroz njega i druge korisne informacije. To se radi i s uslužnim programima naredbenog retka (snmpwalk), grafičkim SNMP preglednicima i sofisticiranijim programima za praćenje mreže (rrdtools, cacti, zabbix, whats up gold, itd.). Međutim, ova metoda ima dva značajna nedostatka:

promet se može blokirati samo potpunim onemogućavanjem sučelja, koristeći isti SNMP
SNMP brojači prometa odnose se na zbroj duljina Ethernet paketa (unicast, broadcast i multicast zasebno), dok ostatak prethodno opisanih sredstava daje vrijednosti u odnosu na IP pakete. To stvara zamjetnu neusklađenost (osobito za kratke pakete) zbog opterećenja uzrokovanog duljinom Ethernet zaglavlja (međutim, to se može grubo riješiti: L3_bytes = L2_bytes - L2_packets * 38).

VPN

Zasebno, vrijedi razmotriti slučaj pristupa korisnika mreži eksplicitnim uspostavljanjem veze s pristupnim poslužiteljem. Klasičan primjer je dobro staro dial-up, čiji su analog u modernom svijetu VPN usluge daljinskog pristupa (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)

Pristupni uređaj ne samo da usmjerava IP promet korisnika, već djeluje i kao namjenski VPN poslužitelj i završava logičke tunele (često šifrirane) unutar kojih se prenosi korisnički promet.
Da biste uračunali takav promet, možete koristiti sve gore opisane alate (i oni su vrlo prikladni za dubinsku analizu prema portu/protokolu), kao i dodatne mehanizme koji pružaju alate za kontrolu pristupa VPN-u. Prije svega, fokusirat ćemo se na RADIUS protokol. Njegov rad je prilično složena tema. Ukratko napominjemo da kontrolu (autorizaciju) pristupa VPN poslužitelju (RADIUS klijent) kontrolira posebna aplikacija (RADIUS poslužitelj) koja ima bazu podataka (tekstualna datoteka, SQL, Active Directory) valjanih korisnika s njihovim atributima (ograničenjem). o brzinama veze, dodijeljenim IP adresama). Osim procesa autorizacije, klijent povremeno šalje računovodstvene poruke poslužitelju, informacije o statusu svake trenutne pokrenute VPN sesije, uključujući brojače prenesenih bajtova i paketa.

Zaključak

Sumirajmo sve gore navedene metode prikupljanja prometnih informacija zajedno:

Hajdemo malo sumirati. U praksi postoji veliki broj metoda za povezivanje mreže kojom upravljate (s klijentima ili uredskim pretplatnicima) na vanjsku mrežnu infrastrukturu, korištenjem brojnih pristupnih sredstava – softverskih i hardverskih usmjerivača, switcheva, VPN poslužitelja. Međutim, u gotovo svakom slučaju možete smisliti shemu kada se informacije o prometu koji se prenosi preko mreže mogu poslati softverskom ili hardverskom alatu za njegovu analizu i kontrolu. Također je moguće da će ovaj alat omogućiti povratne informacije pristupnom uređaju pomoću inteligentnih algoritama za ograničavanje pristupa za pojedinačne klijente, protokole i druge.
Ovim je završena analiza materijala. Od neodgovorenih tema ostale su:

kako i kamo idu prikupljeni prometni podaci
softver za računovodstvo prometa
koja je razlika između naplate i jednostavne "brojaonice"
kako možete nametnuti ograničenja prometa
obračunavanje i ograničavanje posjećenih web stranica

Pregledano: 3498

Ovo je prvi teorijski članak u nizu članaka posvećenih prikupljanju, računovodstvu, upravljanju i naplati prometa i IT resursa.