Transferimi i trafikut IP përmes rrjeteve SDH, apo ATM ka një alternativë? Fshehja e trafikut: Një teknikë për fshehjen e trafikut IP duke përdorur kanale sekrete pasive.

04.07.2019 Në kontakt me

Transferimi i trafikut IP përmes rrjeteve SDH, apo ATM ka një alternativë?

Oleg ALLENOV
Grupi AMT

Ka shumë debate se cilat teknologji transporti do të dalin në pah në rrjetet multimediale me shpejtësi të lartë si interneti. Dhe megjithëse shumica e kundërshtuesve hodhën votat e tyre në favor të ATM, jo të gjithë pajtohen me këtë këndvështrim. Një opsion tjetër alternativ për ndërtimin e rrjeteve multimediale të transportit është gjithashtu i mundur - përdorimi i IP (Protokolli i Internetit) me kapsulim të drejtpërdrejtë në një rrjet hierarkik dixhital sinkron (SDH).

IP ka mbi 15 vjet, ndërsa ATM është një protokoll relativisht i ri. Gjatë ekzistencës së Internetit IP, nga një rrjet i bashkuar shkencor i kampuseve të ndryshme universitare, ai u shndërrua në një rrjet të madh kompjuterik që mbulonte të gjithë planetin. Numri gjithnjë në rritje i përdoruesve të internetit (tani numëron në miliona) dhe kërkesat në rritje të gjerësisë së brezit kërcënojnë të pushtojnë Ueb-in. Aplikacionet e reja multimediale po vendosin kërkesa shumë më të rrepta për gjerësinë e brezit që ato ofrojnë, shpesh në kohë reale. Kjo na detyron të rishqyrtojmë qasjet aktuale për ndërtimin e infrastrukturës së internetit.

Për të rritur gjerësinë e brezit të internetit, para së gjithash nevojitet "transport" me shpejtësi të lartë. Një opsion është përdorimi i teknologjisë popullore ATM. Duhet të theksohet se, si protokoll transporti, ATM po shkakton gjithnjë e më shumë kritika si nga prodhuesit e pajisjeve, ashtu edhe nga përdoruesit përfundimtarë. Ne do të përpiqemi të analizojmë disavantazhet e ATM në mënyrë më të detajuar dhe të shqyrtojmë rastin për një metodë tjetër të transportit të trafikut të Internetit - kapsullimin e drejtpërdrejtë të protokolleve TCP / IP në protokollet SONET / SDH.

Teknologji ATM

Modaliteti i Transferimit Asinkron, ATM, është sjellë në plan të parë nga prodhuesit dhe ofruesit e shërbimeve të rrjetit si një teknologji që mund të sigurojë gjerësinë e nevojshme të brezit sipas kërkesës dhe cilësinë e garantuar të shërbimit për një gamë të gjerë aplikacionesh multimediale, nga të cilat interneti doli i pari. Kështu, jo pjesa më e fundit e komponentëve të ATM-ve është orientuar dhe zhvilluar posaçërisht për transportimin e trafikut të internetit. Parashikohej që në të ardhmen e afërt, Rrjeti do të përbëhet kryesisht nga përdoruesit e ATM-ve dhe klientët LANE (Emulation LAN), duke lejuar migrimin e lehtë dhe të natyrshëm të aplikacioneve të internetit në një protokoll të ri transporti që premton mundësi të pakufishme.

Sidoqoftë (ndoshta për shkak të kostos së lartë të zgjidhjeve të reja ose natyrës së tyre inorganike), për disa arsye kjo nuk ndodhi. Për më tepër, tendenca drejt rritjes së ndikimit të protokolleve TCP / IP si protokolle transporti filloi të shfaqej gjithnjë e më qartë.

Në të vërtetë, grumbulli i protokollit TCP / IP është përpunuar dhe testuar prej kohësh; shumë para dhe përpjekje janë investuar në krijimin dhe korrigjimin e tij. Ndërsa IPv4 ka disa të meta, versioni i ardhshëm i IPv6 do të adresojë shumicën e tyre. Sidoqoftë, versioni ekzistues i IPv4 gjithashtu u përshtatet shumë njerëzve dhe, sipas ekspertëve, është në gjendje të qëndrojë edhe për disa vite të tjera. Një numër mjaft i madh prodhuesish e konsiderojnë IP-në si një protokoll transporti premtues për infrastrukturën moderne të telekomunikacionit. Pra, çfarë ka të bëjë ATM me të?

ATM u propozua nga ITU-T si teknologjia bazë për ISDN me brez të gjerë (ose B-ISDN). Meqenëse B-ISDN është menduar kryesisht për të kryer trafik multimedial, ATM-ja ishte e vendosur mirë për të mbështetur këtë lloj trafiku në rrjetet reale.

Disa kohë më vonë, prodhuesit e pajisjeve të telekomit e kthyen vëmendjen e tyre te ATM. U krijua Forumi ATM, i cili u angazhua për të sjellë në jetë teknologjinë e re. Në të njëjtën kohë, detyrat që i caktoheshin Forumit të ATM-ve ishin standardizimi dhe zhvillimi i një protokolli efikas të shkallëzuar që mbështet trafikun diametralisht të kundërt (multimedia), duke garantuar një cilësi të caktuar shërbimi (QoS) dhe duke mbështetur transmetimin multicast. Përveç kësaj, ky protokoll duhet të jetë në përputhje me teknologjitë ekzistuese LAN dhe WAN.

Duhet kuptuar që teknologjia ATM fitoi një popullaritet kaq të gjerë pikërisht për shkak të besimit të përgjithshëm se teknologjitë që ekzistonin në atë kohë nuk ishin në gjendje të plotësonin kërkesat e mësipërme.

Teknologjia IP

IP, nga ana tjetër, nuk duket si një protokoll i vjetëruar për t'u harruar. Ka një numër të madh të zgjidhjeve IP mbi Ethernet të instaluara në mbarë botën dhe nuk është e lehtë të bindësh klientët të heqin dorë nga kartat e lira Ethernet dhe të instalojnë adaptorë ATM pa premtuar veçori thelbësisht të reja ose të paktën shpejtësi më të larta (rritja e shpejtësisë nuk është aspak do të thotë e qartë).

Unë mendoj se shumë klientë që kanë përvojë me adaptorët ATM për kompjuterë personalë do të pajtohen me mua se një kartë rrjeti Fast Ethernet 100 Mbps (për të mos përmendur Full Duplex) është të paktën jo më e ngadaltë se një përshtatës ATM 155 Mbps. ... Kjo është për shkak të tepricës më të madhe të protokollit të ATM-së dhe vonesave të montimit/çmontimit të celularit. Sa i përket cilësisë së garantuar të shërbimit të ATM-ve, ajo praktikisht nuk zbatohet në LANE, dhe AAL5 UBR (maksimumi UBR + ose ABR) përdoret tani për të transmetuar trafikun IP përmes ATM. Pra, nuk ka nevojë të flasim për QoS.

Pa dyshim, teknologjia e re duhet të mbështesë një gamë të gjerë të niveleve të cilësisë së shërbimit. Sidoqoftë, IP u zgjodh si protokoll për ndërlidhjen universale dhe funksionoi mirë në internetin e atëhershëm me 20,000 kompjuterë qysh në mesin e viteve 1980 dhe vazhdon të lidhë me sukses disa milion hoste sot. A është vërtet IP e vjetëruar? Përkrahësit e ATM-ve ka të ngjarë të përgjigjen po.

Fonde të mëdha janë investuar në zhvillimin e një familjeje protokollesh interneti dhe sjelljen e tyre në gjendjen aktuale. Përveç Forumit ATM, Task Forca e Inxhinierisë së Internetit (IETF) vazhdon të kërkojë mënyra për të përdorur IP në rrjetet multimediale me shpejtësi të lartë. Janë krijuar protokolle për të mbështetur transmetimin multicast (IGMP, DVMRP, PIM) dhe protokolle që ofrojnë rezervimin e burimeve për transmetimin e trafikut (RSVP). Është e mundur të kryhet rutimi (megjithëse jo ende aq fleksibël sa kur përdoret PNNI) bazuar në cilësinë e kërkuar të shërbimit (Tag Switching), dhe standardi i ardhshëm i IETF MPLS (Multiprotocol Label Switching) do të sigurojë ndërveprimin e të gjitha pajisjeve që mbështesin etiketën ndërrimi dhe ka të ngjarë të shtyjë ndjeshëm pozicionin e MPOA (Multiprotocol Over ATM).

Pra, a ka kuptim zëvendësimi i teknologjisë së mirëpërcaktuar IP me ATM-në në zhvillim?

IP mbi ATM

Fillimisht, ideja e transportit të IP-së mbi ATM u pa si një mënyrë e mundshme e futjes së ATM-së në arkitekturën ekzistuese të internetit, me pasojë shtypjen e plotë të IP-së. Tani, duke kuptuar që ATM nuk është në gjendje të zëvendësojë plotësisht IP-në, mund të shtrojmë pyetjen: pse nuk ka ende metoda efektive të transferimit të trafikut IP mbi ATM? ATM duket se ofron një teknologji unike të ndërrimit të shpejtë që mund të adresojë kufizimet aktuale të gjerësisë së brezit të internetit. Megjithatë, në realitet, këtu shfaqen disa probleme.

Para së gjithash, kushtojini vëmendje faktit që pothuajse të gjitha (me përjashtime të rralla, për shembull, ATM25, TAXI, etj.) Ndërfaqet fizike të çelsave ATM funksionojnë në formatin e kornizës SDH / SONET / PDH. Kjo është për të lehtësuar integrimin me rrjetet e përhapura të transportit SDH. Por edhe kur SDH mungon plotësisht dhe nuk parashikohet nga projekti, në të njëjtën kohë, shpenzimet e sipërme SDH futen në transmetimin e trafikut të përdoruesve, gjë që, për ta thënë butë, nuk rrit shpejtësinë dhe performancën e rrjetit.

Është gjithashtu me vend të theksohet se SDH është një metodë transmetimi sinkron, ndërsa ATM është një metodë asinkrone. Kur transmetojmë trafikun e ATM-ve përmes rrjeteve të transportit SDH, ne humbim të gjitha avantazhet e metodës së transferimit asinkron të qelizave, për të mos përmendur dyfishimin e një numri funksionesh (për shembull, OA&M).

Kapsulimi i IP-së në ATM, i cili nga ana tjetër funksionon mbi SDH, nuk e përmirëson situatën. ATM është i orientuar drejt lidhjes, ndërsa IP jo. Kjo mospërputhje çon gjithashtu në komplikime shtesë dhe dyfishim të një numri funksionesh.

Kështu, secili nga protokollet, IP dhe ATM, kërkon protokollin e vet të rrugëtimit. Nevojiten funksione të tjera menaxhimi për të kontrolluar bashkëpunimin IP dhe ATM. Efikasiteti i transmetimit të trafikut multicast zvogëlohet, sepse pa e ditur topologjinë e saktë të rrjetit në shtresat më të ulëta, transmetimi i paketave multicast kthehet në një kopje të thjeshtë të tyre në ruterët kufitarë. Shpërndarja e paketave të tilla kryhet përgjatë rrugëve që janë larg nga optimale për një rrjet real.

Nuk ka nevojë të ndalemi në mangësitë e metodave për emulimin e rrjeteve lokale, pasi çdo specialist i kualifikuar i rrjeteve do të pajtohet që teknologjia LANE nuk mund të quhet organike dhe premtuese. Në shumë mënyra, kjo teknologji është një përpjekje e pasuksesshme për të "tërhequr" protokollet e krijuar për mjediset e transmetimit për të punuar në mjedise ku kjo mënyrë e transferimit të të dhënave nuk është e mundur (NBMA, Nonbroadcast Multiple Access).

Pra, nëse Interneti është ende vetvetja dhe vazhdon të jetë i bazuar në IP, a ka një shtresë shtesë ATM midis IP-së dhe një shenjë pikësimi transporti SDH me të vërtetë efikase, me të vërtetë me shpejtësi të lartë që shërben po aq mirë për transportimin praktikisht të çdo lloj trafiku?

IP mbi SDH

Teknologjia SDH përdoret gjerësisht për të organizuar transport të besueshëm. SDH u zhvillua për të ofruar një protokoll standard për komunikimin ndërmjet ofruesve; unifikimi i sistemeve dixhitale amerikane, evropiane dhe japoneze; ofrojnë multipleksim të sinjaleve dixhitale me shpejtësi gigabit; ofrojnë mbështetje për funksionet e funksionimit, administrimit dhe mirëmbajtjes (OA&M).

Edhe pse SDH punon me korniza dhe ka strukturën e vet të kanalit, nga pikëpamja e shtresës së rrjetit SDH është vetëm një rrjedhë oktetesh. Për të futur saktë një paketë IP në një kontejner SDH, është e nevojshme të përcaktohen qartë kufijtë e paketës (ose grupit të paketave) brenda modulit të transportit sinkron (STM). Me fjalë të tjera, nevojitet një "interlayer" protokolli midis IP dhe SDH për kornizën e shtresës së lidhjes.

Meqenëse SDH ofron lidhje pikë-për-pikë, duket logjike të përdoret PPP (Point-to-Point Protocol) si një protokoll ndërmjetës. PPP përdoret gjerësisht në internet si një protokoll i lidhjes së të dhënave për vendosjen e lidhjeve në rrjete me zonë të gjerë. Përveç kësaj, PPP ju lejon të përdorni funksione shtesë të protokollit PPP:

mundësia e kapsulimit me shumë protokolle;
mbrojtje nga gabimet;
përdorimi i protokollit LCP për të vendosur, konfiguruar dhe testuar lidhjet e shtresave të lidhjes;
aftësia për të përdorur familjen e protokolleve NCP për të mbështetur dhe konfiguruar protokolle të ndryshme të rrjetit.

Sidoqoftë, duhet të theksohet se vetëm IP është me interes për ne si një protokoll rrjeti, dhe përveç kësaj, një numër funksionesh të protokollit NCP (për shembull, caktimi dinamik i adresave IP) nuk janë të rëndësishme në rastin tonë. Ajo që na intereson vërtet është IP në kapsulimin PPP dhe më pas kornizat PPP në SDH.

Enkapsulimi i IP-së në PPP nuk është problem pasi është vendosur mirë dhe përdoret gjerësisht. Procedura e kapsulimit PPP në SDH (është përcaktuar vlera e etiketës së sinjalit të rrugës = 207 hex), e treguar në figurë, duhet të kryhet nga një përshtatës shërbimi special në nivelin e shtegut SDH. Përshtatësi i shërbimit mund të jetë një kuti e zezë që merr një rrjedhë kornizash PPP dhe "nxjerrë" një rrjedhë modulesh transporti STM. PPP është shumë i përshtatshëm për të punuar me SDH, pasi të dy protokollet janë të përqendruar në punën në modalitetin me një bajt.

Kështu, duke përdorur kapsulimin e drejtpërdrejtë të trafikut të internetit në shërbimin ekzistues të transportit SDH, ne thjeshtojmë ndjeshëm infrastrukturën komplekse të rrjetit, duke ulur kështu koston e tij dhe duke rritur gjerësinë e bandës efektive. Me ardhjen e mundësive të reja për transmetimin e trafikut IP me shpejtësi gigabit (Gigabit Ethernet) dhe teknologjive për ndërrimin e shpejtë të paketave IP (Multiprotocol Label Switching - MPLS), po bëhet një përdorim real i protokollit IP si bazë e një shërbimi i unifikuar i transportit për transmetimin e videove, telefonisë dhe aplikacioneve të tjera multimediale - për fat të mirë, pjesa më e madhe e punës për zbatimin e protokollit IP në World Wide Web tashmë ka përfunduar. Në këtë drejtim, shfaqja e standardeve (RFC 1619) dhe zbatimet e para praktike të ndërfaqeve "PPP mbi SDH" (ose Packets Over Sonet - POS) në ruterat modernë të destinuar për internetin, në veçanti GSR 12000 nga Cisco Systems, duket. të jetë shumë në kohë.

Si përfundim, dëshiroj të vërej se autori në asnjë mënyrë nuk do të zvogëlojë rëndësinë e teknologjisë ATM dhe të mohojë ndikimin e saj pozitiv në zhvillimin e shërbimeve botërore të telekomunikacionit. Ai e pa se ishte interesante në një mënyrë të diskutueshme të shqyrtonte mundësinë e mënyrave alternative të zhvillimit të shërbimeve multimediale, përveç teknologjisë së mënyrës së transferimit asinkron të qelizave.

RRETH AUTORIT

Oleg Allenov është një instruktor në qendrën e trajnimit të AMT Group, CCSI / CCIE. Mund ta kontaktoni me telefon. 725 - 7660

Trafiku global i internetit do të rritet në 1.6 zetabajt deri në vitin 2018. Drejtuesit kryesorë të rritjes do të jenë përhapja e videove Ultra-HD / 4K dhe teknologjive të komunikimit makinë me makinë, duke përfshirë makinat inteligjente.

Bazuar në një sondazh të Cisco-s të titulluar "Indeksi i Zhvillimit të Rrjetit Vizual: Parashikimi Global dhe Shpërndarja e Shërbimit për 2013-2018". (Cisco VNI), trafiku global i IP-së pothuajse do të trefishohet brenda 4 viteve. Kjo do të ndodhë për shkak të rritjes së numrit të përdoruesve të internetit dhe pajisjeve të ndryshme, rritjes së shpejtësisë së aksesit me brez të gjerë dhe numrit të shikimeve të videove. Deri në vitin 2018, trafiku global i IP fiks dhe celular pritet të arrijë në 1.6 zetabajt * në vit. mbi një trilion e gjysmë gigabajt. Ky është më shumë trafik IP (1.3 zettabajt) i gjeneruar globalisht midis 1984 dhe 2013.

Dhjetëra miliona fansa do të ndjekin përmes internetit transmetimin e Botërorit të futbollit që sapo ka nisur. Transmetimi i videove dhe lojërat IP mund të gjenerojnë 4,3 ekzabajt trafik interneti, më shumë se tre herë më shumë se trafiku mujor i Brazilit. Për më tepër, trafiku i internetit i gjeneruar nga spektatorët në çdo stadium dhe rrugës për në ndeshje parashikohet të tejkalojë trafikun mesatar të gjeneruar gjatë orëve të pikut ** nga të gjithë telefonat inteligjentë që mbahen aktualisht nga brazilianët.

Trafiku global IP pritet të arrijë në 132 ekzabajt në muaj deri në vitin 2018. E njëjta sasi trafiku mund të gjenerohet nga:

Videoja me transmetim Ultra-HD / 4K u transmetua njëkohësisht në 8.8 miliardë ekrane gjatë finales së Kupës së Botës
5.5 miliardë shikues video sipas kërkesës duke parë pa ndalur sezonin 4 të Game of Thrones në definicion të lartë (HD), ose 1.5 miliardë në definicion ultra të lartë;
Sezoni 3 i House of Cards, i transmetuar njëkohësisht në 24 miliardë ekrane me definicion ultra të lartë;
940 kuadrilion mesazhe me tekst;
4.5 trilion klipe në YouTube.

Në vitet e ardhshme, përbërja e trafikut IP do të ndryshojë në mënyrë dramatike. Deri në vitin 2018, pjesa më e madhe e tij për herë të parë do të lidhet jo me kompjuterë personalë, por me pajisje të tjera. Gjithashtu për herë të parë, trafiku Wi-Fi do të tejkalojë trafikun me kabllo dhe trafiku i videove HD do të kalojë trafikun e rregullt të videos.

Interneti i përhapur po fiton gjithashtu vrull dhe deri në vitin 2018 numri i moduleve të komunikimit makinë me makinë do të jetë i barabartë me numrin e njerëzve. Pra, për çdo makinë “smart” do të ketë pothuajse 4 lidhje.

"Në raportin e parë të këtij lloji, të botuar 9 vjet më parë, ne vendosëm zettabytes si një moment historik në rritjen e trafikut global të IP," kujtoi Doug Webster, nënkryetar i marketingut të produkteve dhe zgjidhjeve për Cisco. “Sot ne po jetojmë tashmë në epokën e Zettabyte, duke dëshmuar ndryshime të jashtëzakonshme në industri. Ndër tendencat kryesore të theksuara në parashikimin aktual që u ofrojnë ofruesve të shërbimeve mundësi të konsiderueshme si sot ashtu edhe në të ardhmen e afërt, vëmë re zbatimin e Internetit të Gjithçkaje, kërkesën në rritje për lëvizshmërinë e rrjetit dhe shfaqjen e videove me definicion ultra të lartë. "

Parashikimet e rritjes së trafikut global dhe nxitësit kryesorë të shpërndarjes së shërbimeve

trafiku IP

Pajisjet celulare dhe ato të veshura, duke përjashtuar kompjuterët personalë, do të jenë përgjegjëse për pjesën më të madhe të trafikut deri në vitin 2018. Nëse në vitin 2013 pajisjet e tjera përveç PC-ve përbënin 33% të trafikut IP, atëherë deri në vitin 2018 kjo pjesë do të rritet në 57%. Trafiku i PC-ve do të rritet me 10% në vit, ndërsa për pajisjet dhe lidhjet e tjera kjo shifër do të jetë më e lartë: 18% për TV, 74% për tabletët, 64% për telefonat inteligjentë dhe 84% për modulet e komunikimit makinë me makinë (M2M). .

Trafiku në orët e pikut rritet më shpejt se trafiku i rregullt i internetit. Në vitin 2013, trafiku i internetit në orët e pikut u rrit me 32%, ndërsa trafiku në periudha të tjera të ditës u rrit me 25%.

Në vitin 2013, më shumë trafik u transmetua përmes rrjeteve urbane sesa përmes lidhjeve kryesore. Në periudhën 2013-2018. trafiku në rrjetet urbane do të rritet pothuajse dy herë më shpejt se në lidhjet kryesore. Kjo është pjesërisht për shkak të dyfishimit të pritshëm të trafikut të internetit në rrjetet e ofrimit të përmbajtjes deri në vitin 2018.

video IP

Deri në vitin 2018, pjesa e videove IP në trafikun total të IP do të rritet në 79% (në 2013 ishte 66%).

Pjesa e videove me definicion ultra të lartë në trafikun total të IP deri në vitin 2018 do të rritet me 0.1% krahasuar me vitin 2013 dhe do të arrijë në 11%. Pjesa e videove me definicion të lartë do të rritet nga 36% në 2013 në 52% deri në vitin 2018, dhe video me definicion standard do të bjerë nga 64% në 37% të trafikut total të IP.

Trafiku IP sipas llojit të aksesit

Deri në vitin 2018, Wi-Fi dhe pajisjet celulare do të gjenerojnë 61% të trafikut IP. Wi-Fi do të zërë 49%, rrjetet celulare - 12%. Trafiku fiks deri në vitin 2018 do të përbëjë vetëm 39% të trafikut total të IP. Për krahasim: në vitin 2013, pjesa e Wi-Fi ishte 41%, trafiku celular - 3%, trafiku fiks - 56%.

Deri në vitin 2018, Wi-Fi dhe pajisjet celulare do të gjenerojnë 76% të trafikut të internetit. Wi-Fi do të zërë 61%, rrjetet celulare - 15%. Trafiku fiks do të përbëjë vetëm 24% të trafikut total të internetit deri në vitin 2018. Për krahasim: në vitin 2013, pjesa e Wi-Fi ishte 55%, trafiku celular - 4%, trafiku fiks - 41%.

Pajisjet dhe lidhjet

Deri në vitin 2018, do të ketë mesatarisht 2.7 pajisje ose lidhje rrjeti për çdo person në planet. Në vitin 2013, kjo shifër ishte 1.7 për frymë.

Numri global i lidhjeve makinë me makinë do të jetë 7.3 miliardë, ose pothuajse një lidhje për person (duke supozuar se do të ketë 7.6 miliardë njerëz në Tokë deri në vitin 2018).

Numri i pajisjeve fikse dhe celulare që mbështesin IPv6 do të rritet nga 2 miliardë në 2013 në 10 miliardë në 2018.

Rritja e shpejtësive të aksesit me brez të gjerë

Shpejtësia e aksesit me brez të gjerë në botë do të rritet nga 16 Mbit/s në fund të 2013 në 42 Mbit/s deri në vitin 2018.

Shumica (afërsisht 55%) e lidhjeve me brez të gjerë do të kalojnë 10 Mbps deri në vitin 2018. Në Japoni dhe Korenë e Jugut, shpejtësia mesatare e brezit të gjerë do t'i afrohet 100 Mbps deri në vitin 2018.

Shpërndarja e shërbimeve të avancuara

Shërbimi me rritje më të shpejtë në sektorin e banesave do të jetë video online, me një CAGR 10% gjatë periudhës 2013-2018. numri i përdoruesve do të rritet nga 1.2 në 1.9 miliardë.

Segmenti i konsumatorëve do të shohë rritjen më të shpejtë në shërbimet celulare bazuar në vendndodhje, me 36% CAGR gjatë periudhës 2013-2018. numri i përdoruesve të shërbimeve të tilla do të rritet nga 236 milionë në mbi një miliard njerëz.

Në segmentin e biznesit, shërbimi i internetit me rritje më të shpejtë do të jetë videokonferencat duke përdorur pajisje personale dhe desktop, me një CAGR 45% gjatë periudhës 2013-2018. numri i përdoruesve do të rritet nga 37 milionë në 238 milionë.

Parashikimet sipas vendit dhe rajonit

Deri në vitin 2018, vëllimi më i madh i trafikut IP - 47.7 ekzabajt në muaj - do të gjenerohet në rajonin Azi-Paqësor. Ky rajon më i populluar në botë, i cili përbën shumicën e pajisjeve dhe lidhjeve, do të mbetet volumi numër një i trafikut gjatë gjithë vitit 2018.

Në Lindjen e Mesme dhe Afrikë, 2013-2018 Trafiku IP do të vazhdojë të rritet me ritmin e tij më të shpejtë (pesëfish, 38% CAGR).

Deri në vitin 2018, SHBA dhe Kina do të bëhen vendet që gjenerojnë vëllimet më të mëdha të trafikut (përkatësisht 37 dhe 18 ekzabajt në muaj).

Rritja më e shpejtë e trafikut IP në periudhën 2013-2018 do të vërehet në Indi dhe Indonezi (39% dhe 37% CAGR, respektivisht).

Çfarë rrjedh nga e gjithë kjo për ofruesit e shërbimeve

Rrjetet e ofruesve të shërbimeve do të kenë nevojë për siguri dhe inteligjencë të zgjeruar. Ata do të duhet të përshtaten për të trajtuar numrin në rritje të tabletave, telefonave inteligjentë dhe pajisjeve makinë me makinë që do të kërkojnë vërtetim për të hyrë në rrjetet fikse dhe celulare.

Evolucioni i shërbimeve video si video me definicion të lartë dhe me definicion ultra të lartë mund të kërkojë gjerësi bande shtesë dhe shkallëzim nga ofruesit e shërbimeve. Në sektorin e banimit, celularin dhe atë të biznesit, do të ketë një kërkesë të fortë për akses në shërbime video të avancuara përmes të gjitha llojeve të rrjeteve dhe pajisjeve. Këtu, cilësia e shërbimit, mirëdashësia e përdoruesit dhe çmimi do të jenë faktorët kryesorë të suksesit.

Përhapja e vazhdueshme e shërbimeve të tilla si video-konferencat me definicion të lartë dhe video-konferencat në ueb në segmentin e biznesit, si dhe videot e biznesit sipas kërkesës, mund të stimulojnë rritjen e virtualizimit të rrjetit dhe përdorimin e internetit për transmetimin e videos, gjë që do të shkaktojë probleme të caktuara. si për ofruesit e shërbimeve, ashtu edhe për ofruesit e pavarur të shërbimeve (ofruesit e lartë, OTT).

Rritja e rrjeteve 4G dhe përhapja e shërbimeve të lidhura me to mund të përshpejtohet pasi përdoruesit celularë vazhdojnë të kërkojnë ofrimin e shërbimeve të ngjashme dhe cilësinë e shërbimit në rrjetet e tyre fikse dhe celulare.

Rrjetet IP duhet të jenë mjaft inteligjente dhe fleksibël për të mbështetur aplikacionet e reja dhe në zhvillim të rrjeteve fikse dhe celulare gjithnjë në zhvillim. Në përpjekje për të dalluar shërbimet e tyre, shumë ofrues shërbimesh bashkëpunojnë në mënyrë aktive me zhvilluesit e aplikacioneve.

Çdo administrator herët a vonë merr udhëzime nga menaxhmenti: "llogaritni kush shkon në internet dhe sa shkarkon". Për ofruesit, ai plotësohet nga detyrat "leni kë të duhet, merrni pagesën, kufizoni aksesin". Çfarë duhet numëruar? Si? Ku? Ka shumë informacione fragmentare, ato nuk janë të strukturuara. Le ta shpëtojmë administratorin fillestar nga kërkimet e lodhshme, duke i ofruar atij njohuri të përgjithshme dhe lidhje të dobishme me materialin.
Në këtë artikull do të përpiqem të përshkruaj parimet e organizimit të mbledhjes, kontabilitetit dhe kontrollit të trafikut në rrjet. Ne do të shqyrtojmë problematikën e problemit dhe do të listojmë mënyrat e mundshme për të marrë informacion nga pajisjet e rrjetit.

Ky është artikulli i parë teorik në një seri artikujsh kushtuar mbledhjes, kontabilitetit, menaxhimit dhe faturimit të trafikut dhe burimeve të IT.

Struktura e aksesit në internet

Në përgjithësi, struktura e aksesit në rrjet është si më poshtë:

Burimet e jashtme - Interneti, me të gjitha faqet, serverët, adresat dhe gjërat e tjera që nuk i përkasin rrjetit që ju kontrolloni.
Një pajisje aksesi është një ruter (i bazuar në harduer ose PC), ndërprerës, server VPN ose shpërndarës.
Burimet e brendshme - një grup kompjuterash, nënrrjetash, pajtimtarësh, puna e të cilëve në rrjet duhet të merret parasysh ose të kontrollohet.
Një server kontrolli ose kontabiliteti është një pajisje në të cilën funksionon softueri i specializuar. Mund të kombinohet funksionalisht me një ruter softuerësh.

Në këtë strukturë, trafiku i rrjetit kalon nga burimet e jashtme në burimet e brendshme dhe përsëri përmes pajisjes së aksesit. Ai dërgon informacionin e trafikut në serverin e menaxhimit. Serveri i kontrollit përpunon këtë informacion, e ruan atë në bazën e të dhënave, e shfaq atë, lëshon komanda për bllokim. Megjithatë, jo të gjitha kombinimet e pajisjeve të aksesit (metodave) dhe metodave të grumbullimit dhe kontrollit janë të pajtueshme. Opsionet e ndryshme do të diskutohen më poshtë.

Trafiku i rrjetit

Së pari, duhet të përcaktoni se çfarë nënkuptohet me "trafik në rrjet" dhe çfarë informacioni të dobishëm statistikor mund të nxirret nga rrjedha e të dhënave të përdoruesit.
IP versioni 4 mbetet protokolli dominues për ndërveprim. Protokolli IP përputhet me shtresën e tretë të modelit OSI (L3). Informacioni (të dhënat) ndërmjet dërguesit dhe marrësit janë të paketuara në pako - me një kokë dhe një "payload". Kreu përcakton se nga vjen paketa dhe ku (adresat IP të burimit dhe destinacionit), madhësinë e paketës dhe llojin e ngarkesës. Pjesa më e madhe e trafikut të rrjetit përbëhet nga paketat e ngarkesës UDP dhe TCP - këto janë protokollet e Layer 4 (L4). Përveç adresave, kreu i këtyre dy protokolleve përmban numra portash që përcaktojnë llojin e shërbimit (aplikacionit) që transferon të dhënat.

Për të transmetuar një paketë IP me tela (ose radio), pajisjet e rrjetit detyrohen ta "mbështjellin" (kapsulojnë) atë në një paketë të protokollit Layer 2 (L2). Më i zakonshmi i këtij lloji është Ethernet. Transmetimi aktual "në tela" është në nivelin e 1-të. Zakonisht, pajisja e aksesit (ruteri) nuk analizon kokat e paketave në një nivel më të lartë se i 4-ti (me përjashtim të mureve të zjarrit inteligjentë).
Informacioni nga fushat e adresave, porteve, protokolleve dhe numëruesve të gjatësisë nga titujt L3 dhe L4 të paketave të të dhënave është "materiali burimor" që përdoret në kontabilitet dhe menaxhimin e trafikut. Sasia aktuale e informacionit të transmetuar gjendet në fushën Length të titullit IP (duke përfshirë gjatësinë e vetë kokës). Nga rruga, për shkak të fragmentimit të paketave për shkak të mekanizmit MTU, sasia totale e të dhënave të transmetuara është gjithmonë më e madhe se madhësia e ngarkesës.

Gjatësia totale e fushave IP dhe TCP / UDP të paketës me interes për ne në këtë kontekst është 2 ... 10% e gjatësisë totale të paketës. Nëse i përpunoni dhe ruani të gjitha këto informacione në grupe, nuk do të ketë burime të mjaftueshme. Për fat të mirë, pjesa dërrmuese e trafikut është e strukturuar në atë mënyrë që përbëhet nga një grup "bisedash" midis pajisjeve të rrjetit të jashtëm dhe të brendshëm, të ashtuquajturat "flukse". Për shembull, si pjesë e një operacioni të vetëm të përcjelljes së emailit (protokolli SMTP), hapet një seancë TCP midis klientit dhe serverit. Karakterizohet nga një grup i vazhdueshëm parametrash (IP-ja e burimit, porta e burimit TCP, porta e destinacionit TCP, porta e destinacionit TCP)... Në vend të përpunimit dhe ruajtjes së informacionit për paketë, është shumë më i përshtatshëm për të ruajtur parametrat e transmetimit (adresat dhe portet), si dhe informacione shtesë - numri dhe shuma e gjatësisë së paketave të transmetuara në çdo drejtim, kohëzgjatja opsionale e seancës, ndërfaqja e ruterit. indekset, vlera e fushës ToS, e kështu me radhë. Kjo qasje është e dobishme për protokollet e orientuar drejt lidhjes (TCP), ku mund të përgjoni në mënyrë eksplicite kur përfundon sesioni. Sidoqoftë, edhe për protokollet jo të orientuara nga sesionet, është e mundur të kryhet grumbullimi dhe përfundimi logjik i regjistrimit të transmetimit, për shembull, me një afat kohor. Më poshtë është një fragment nga baza e të dhënave SQL e sistemit të tij të faturimit që regjistron informacione rreth flukseve të trafikut:

Duhet të theksohet rasti kur pajisja e aksesit kryen përkthimin e adresave (NAT, maskuar) për organizimin e aksesit në internet për kompjuterët në rrjetin lokal duke përdorur një adresë IP të jashtme publike. Në këtë rast, një mekanizëm i veçantë zëvendëson adresat IP dhe portat TCP / UDP të paketave të trafikut, duke zëvendësuar adresat e brendshme (jo të rutueshme në internet) sipas tabelës së tij dinamike të përkthimit. Në një konfigurim të tillë, duhet mbajtur mend se për llogaritjen e saktë të të dhënave në hostet e brendshëm të rrjetit, mbledhja e statistikave duhet të bëhet në një mënyrë dhe në vendin ku rezultati i përkthimit nuk e "depersonalizon" ende të brendshmen. adresat.

Metodat për mbledhjen e informacionit të trafikut / statistikave

Është e mundur të kapni dhe përpunoni informacionin rreth kalimit të trafikut direkt në vetë pajisjen e aksesit (ruter PC, server VPN), nga kjo pajisje që e transmeton atë në një server të veçantë (NetFlow, SNMP) ose "nga tela" (trokitje e lehtë , SPAN). Le të analizojmë të gjitha opsionet me radhë.

Ruter PC

Le të shqyrtojmë rastin më të thjeshtë - një pajisje aksesi (ruter) i bazuar në një PC që funksionon Linux.

Si të konfiguroni një server të tillë, përkthimin e adresave dhe rrugëzimin, shkruar shumë... Ne jemi të interesuar për hapin tjetër logjik - informacion se si të marrim informacione në lidhje me trafikun që kalon përmes një serveri të tillë. Ekzistojnë tre mënyra të zakonshme:

përgjimi (kopjimi) i paketave që kalojnë përmes kartës së rrjetit të serverit duke përdorur bibliotekën libpcap
përgjimi i paketave që kalojnë përmes murit të zjarrit të integruar
duke përdorur mjete të palëve të treta për konvertimin e statistikave për paketë (të marra nga një nga dy metodat e mëparshme) në një rrjedhë të rrjedhës së informacionit të grumbulluar.

Libpcap

Në rastin e parë, një kopje e paketës që kalon përmes ndërfaqes, pas kalimit të filtrit (man pcap-filter), mund të kërkohet nga një program klient në server i shkruar duke përdorur këtë bibliotekë. Paketa vjen me një kokë të Layer 2 (Ethernet). Është e mundur të kufizohet gjatësia e informacionit të kapur (nëse na intereson vetëm informacioni nga titulli i tij). Shembuj të programeve të tilla janë tcpdump dhe Wireshark. Ekziston një zbatim libpcap për Windows. Në rastin e përdorimit të përkthimit të adresës në një ruter PC, një përgjim i tillë mund të kryhet vetëm në ndërfaqen e tij të brendshme të lidhur me përdoruesit lokalë. Në ndërfaqen e jashtme, pas përkthimit, paketat IP nuk përmbajnë informacion për hostet e brendshëm të rrjetit. Sidoqoftë, me këtë metodë, është e pamundur të merret parasysh trafiku i gjeneruar nga vetë serveri në internet (gjë që është e rëndësishme nëse një shërbim në internet ose postë po funksionon në të).

Libpcap kërkon mbështetje nga sistemi operativ, i cili aktualisht zbret në instalimin e një biblioteke të vetme. Në këtë rast, programi i aplikacionit (përdoruesi) që mbledh paketat duhet:

hapni ndërfaqen e kërkuar
specifikoni filtrin përmes të cilit kalojnë paketat e marra, madhësinë e pjesës së kapur (snaplen), madhësinë e buferit,
vendosni parametrin promisc, i cili kalon ndërfaqen e rrjetit në mënyrën e kapjes së të gjitha paketave që kalojnë në përgjithësi, dhe jo vetëm atyre që i drejtohen adresës MAC të kësaj ndërfaqeje
caktoni një funksion (callback) të thirrur për çdo paketë të marrë.

Kur një paketë transmetohet përmes ndërfaqes së zgjedhur, pasi kalon filtrin, ky funksion merr një bufer që përmban Ethernet, (VLAN), IP, etj. headers deri në snaplen. Meqenëse biblioteka libcap kopjon paketat, nuk është e mundur t'i bllokosh ato që të kalojnë nëpër të. Në këtë rast, programi për mbledhjen dhe përpunimin e trafikut do të duhet të përdorë metoda alternative, për shembull, duke thirrur një skript për të vendosur adresën IP të specifikuar në rregullin e bllokimit të trafikut.

Firewall

Kapja e të dhënave që kalojnë përmes murit të zjarrit ju lejon të merrni parasysh trafikun e vetë serverit dhe trafikun e përdoruesve të rrjetit, edhe kur përkthimi i adresës është duke u ekzekutuar. Gjëja kryesore në këtë rast është të formuloni saktë rregullin e kapjes dhe ta vendosni atë në vendin e duhur. Ky rregull aktivizon transferimin e paketës drejt bibliotekës së sistemit, nga ku mund ta marrë aplikacioni i kontabilitetit dhe kontrollit të trafikut. Për Linux OS, iptables përdoret si muri i zjarrit, dhe interceptorët janë ipq, netfliter_queue ose ulog. Për FreeBSD OC - ipfw me rregulla tee ose devijimi. Në çdo rast, mekanizmi i murit të zjarrit plotësohet nga aftësia për të punuar me një program përdoruesi në mënyrën e mëposhtme:

Programi i përdoruesit - mbajtësi i trafikut regjistrohet në sistem duke përdorur një thirrje sistemi ose një bibliotekë.
Një program përdoruesi ose skript i jashtëm instalon një rregull në murin e zjarrit që "mbështjell" trafikun e zgjedhur (sipas rregullit) brenda mbajtësit.
Për çdo paketë që kalon, mbajtësi merr përmbajtjen e tij në formën e një buferi memorie (me kokë IP, etj. Pas përpunimit (kontabilitetit), programi duhet gjithashtu t'i tregojë kernelit të sistemit operativ se çfarë të bëjë më pas me një paketë të tillë - të hidhet ose transferojeni më tej.kaloni paketën e modifikuar në kernel.

Meqenëse paketa IP nuk kopjohet, por dërgohet në softuer për analizë, bëhet e mundur "hedhja" e saj dhe, rrjedhimisht, kufizimi plotësisht ose pjesërisht i trafikut të një lloji të caktuar (për shembull, te një pajtimtar i zgjedhur i lokalit rrjet). Sidoqoftë, nëse aplikacioni ndalon t'i përgjigjet kernelit në lidhje me vendimin e tij (varet, për shembull), trafiku përmes serverit thjesht bllokohet.
Duhet të theksohet se mekanizmat e përshkruar, me vëllime të konsiderueshme të trafikut të transmetuar, krijojnë një ngarkesë të tepruar në server, e cila shoqërohet me kopjimin e vazhdueshëm të të dhënave nga kerneli në programin e përdoruesit. Metoda e mbledhjes së statistikave në nivelin e kernelit OS, me lëshimin e statistikave të grumbulluara në programin e aplikacionit nëpërmjet protokollit NetFlow, nuk ka këtë pengesë.

Rrjedha e rrjetit

Ky protokoll u zhvillua nga Cisco Systems për të eksportuar informacionin e trafikut nga ruterët për llogaritjen dhe analizën e trafikut. Versioni më i popullarizuar 5 tani i siguron marrësit një rrjedhë të strukturuar të të dhënave në formën e paketave UDP që përmbajnë informacione rreth trafikut të kaluar në formën e të ashtuquajturave regjistrime të rrjedhës:

Sasia e informacionit në lidhje me trafikun është disa renditje më e vogël se vetë trafiku, gjë që është veçanërisht e rëndësishme në rrjetet e mëdha dhe të shpërndara. Sigurisht, është e pamundur të bllokohet transferimi i informacionit gjatë mbledhjes së statistikave mbi rrjedhën e rrjetit (përveç nëse përdoren mekanizma shtesë).
Aktualisht, zhvillimi i mëtejshëm i këtij protokolli po bëhet i njohur - versioni 9, bazuar në strukturën e shabllonit të regjistrimit të rrjedhës, zbatimi për pajisjet nga prodhuesit e tjerë (sFlow). Kohët e fundit, është miratuar standardi IPFIX, i cili lejon që statistikat të transmetohen përmes protokolleve të shtresave më të thella (për shembull, sipas llojit të aplikacionit).
Zbatimi i burimeve të rrjedhës së rrjetit (agjentë, sonda) është i disponueshëm për ruterat e PC, si në formën e shërbimeve që punojnë sipas mekanizmave të përshkruar më sipër (flowprobe, softflowd), ashtu edhe të integruara drejtpërdrejt në kernelin e OS (FreeBSD :, Linux:). Për ruterat e softuerit, rrjedha e statistikave të netflow mund të merret dhe përpunohet në nivel lokal në vetë ruterin, ose të dërgohet përmes rrjetit (protokolli i transmetimit - mbi UDP) në pajisjen marrëse (kolektor).

Programi mbledhës mund të mbledhë informacion nga shumë burime në të njëjtën kohë, duke qenë në gjendje të dallojë trafikun e tyre edhe me hapësira adresash të mbivendosura. Me ndihmën e mjeteve shtesë, të tilla si nprobe, është gjithashtu e mundur të kryhet grumbullimi i të dhënave shtesë, transmetimet e ndarjes ose konvertimi i protokollit, gjë që është e rëndësishme kur menaxhoni një rrjet të madh dhe të shpërndarë me dhjetëra rutera.

Funksionet e eksportit netflow mbështeten nga Cisco Systems, Mikrotik dhe disa të tjerë. Funksionalitet i ngjashëm (me protokolle të tjera eksporti) mbështetet nga të gjithë prodhuesit kryesorë të pajisjeve të rrjetit.

Libpcap "jashtë"

Le ta komplikojmë pak detyrën. Po sikur pajisja juaj e aksesit të jetë një ruter hardueri i palës së tretë? Për shembull, D-Link, ASUS, Trendnet, etj. Ka shumë të ngjarë të jetë e pamundur të instaloni softuer shtesë për marrjen e të dhënave në të. Përndryshe, ju keni një pajisje me akses inteligjent, por nuk është e mundur ta konfiguroni atë (nuk ka të drejta ose kontrollohet nga ofruesi juaj). Në këtë rast, është e mundur të mblidhen informacionet e trafikut direkt në ndërfaqen e pajisjes së aksesit me rrjetin e brendshëm, duke përdorur mjetet "hardware" të kopjimit të paketave. Në këtë rast, do t'ju duhet patjetër një server i pavarur me një kartë rrjeti të dedikuar për të marrë kopje të paketave Ethernet.
Serveri duhet të përdorë mekanizmin për mbledhjen e paketave duke përdorur metodën libpcap të përshkruar më sipër, dhe detyra jonë është të dërgojmë një rrjedhë të dhënash në hyrjen e një karte rrjeti të dedikuar që është identike me atë që del nga serveri i aksesit. Për ta bërë këtë, mund të përdorni:

Ethernet - shpërndarës: një pajisje që thjesht përcjell paketat midis të gjitha porteve të saj pa dallim. Në realitetet moderne, mund të gjendet diku në një depo me pluhur, dhe nuk rekomandohet përdorimi i kësaj metode: jo i besueshëm, me shpejtësi të ulët (nuk ka shpërndarës me 1 Gbit / s)
Ethernet është një ndërprerës me aftësinë për të pasqyruar (pasqyrim, porte SPAN. Çelësat modernë inteligjentë (dhe të shtrenjtë) lejojnë kopjimin në një port të caktuar të gjithë trafikut (hyrës, dalës, të dyja) të një ndërfaqeje tjetër fizike, VLAN, duke përfshirë telekomandën (RSPAN)
Një ndarës harduerësh, i cili mund të kërkojë instalim për të mbledhur dy karta rrjeti në vend të një - dhe kjo është përveç asaj kryesore, të sistemit.

Natyrisht, mund të konfiguroni portën SPAN në vetë pajisjen e hyrjes (ruter), nëse e lejon - Cisco Catalyst 6500, Cisco ASA. Këtu është një shembull i një konfigurimi të tillë për një ndërprerës Cisco:
monitoroni sesionin 1 burim vlan 100! ku i marrim paketat
monitoroni ndërfaqen e destinacionit të seancës 1 Gi6 / 3! ku nxjerrim paketat

SNMP

Po sikur të mos ketë asnjë ruter nën kontrollin tonë, të mos ketë dëshirë për të komunikuar me netflow, ne nuk jemi të interesuar për detajet e trafikut të përdoruesve tanë. Ata thjesht lidhen me rrjetin përmes një ndërprerësi të menaxhuar, dhe ne vetëm duhet të vlerësojmë përafërsisht sasinë e trafikut që shkon në secilën prej porteve të tij. Siç e dini, pajisjet e rrjetit të menaxhuara nga distanca mbështesin dhe mund të shfaqin numërimin e paketave (bajt) që kalojnë nëpër ndërfaqet e rrjetit. Për t'i anketuar ato, do të ishte e saktë të përdorej protokolli i standardizuar i menaxhimit në distancë SNMP. Duke përdorur atë, ju lehtë mund të merrni jo vetëm vlerat e numëruesve të specifikuar, por edhe parametra të tjerë, siç janë emri dhe përshkrimi i ndërfaqes, adresat MAC të dukshme përmes tij dhe informacione të tjera të dobishme. Kjo bëhet si me shërbimet e linjës së komandës (snmpwalk), shfletuesit grafikë SNMP dhe programet më të sofistikuara të monitorimit të rrjetit (rrdtools, kaktusët, zabbix, whats up gold, etj.). Sidoqoftë, kjo metodë ka dy disavantazhe të rëndësishme:

trafiku mund të bllokohet vetëm duke çaktivizuar plotësisht ndërfaqen, duke përdorur të njëjtin SNMP
Numëruesit e trafikut SNMP i referohen shumës së gjatësisë së paketave Ethernet (unicast, transmetimi dhe multicast veçmas), ndërsa pjesa tjetër e mjeteve të përshkruara më parë japin vlera në lidhje me paketat IP. Kjo krijon një mospërputhje të dukshme (veçanërisht në paketat e shkurtra) për shkak të kostos së lartë të shkaktuar nga gjatësia e kokës së Ethernetit (megjithatë, kjo mund të trajtohet afërsisht: L3_bytes = L2_bytes - L2_paketat * 38).

VPN

Më vete, vlen të merret në konsideratë rasti i aksesit të përdoruesit në rrjet duke krijuar në mënyrë eksplicite një lidhje me serverin e aksesit. Një shembull klasik është dial-up-i i vjetër, analog i të cilit në botën moderne janë shërbimet e qasjes në distancë VPN (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)

Pajisja e aksesit jo vetëm që drejton trafikun IP të përdoruesit, por gjithashtu vepron si një server i dedikuar VPN dhe përfundon tunelet logjike (shpesh të koduar) brenda të cilëve transmetohet trafiku i përdoruesit.
Për të llogaritur një trafik të tillë, mund të përdorni të gjitha mjetet e përshkruara më sipër (dhe ato janë të përshtatshme për analiza të thella nga porti / protokolli), si dhe mekanizma shtesë që ofrojnë mjete të kontrollit të hyrjes VPN. Para së gjithash, ne do të flasim për protokollin RADIUS. Puna e tij është një temë mjaft komplekse. Përmendim shkurtimisht se kontrolli (autorizimi) i aksesit në serverin VPN (klienti RADIUS) kontrollohet nga një aplikacion special (serveri RADIUS), i cili ka një bazë të dhënash (skedar teksti, SQL, Active Directory) të përdoruesve të vlefshëm me atributet e tyre (kufizimet). në shpejtësitë e lidhjes, adresat IP të caktuara). Përveç procesit të autorizimit, klienti transmeton periodikisht mesazhet e kontabilitetit në server, informacione në lidhje me statusin e çdo sesioni aktual VPN që funksionon, duke përfshirë numëruesit e bajteve dhe paketave të transmetuara.

konkluzioni

Le të përmbledhim të gjitha metodat e mësipërme të mbledhjes së informacionit të trafikut së bashku:

Le të përmbledhim pak. Në praktikë, ekziston një numër i madh metodash për lidhjen e rrjetit që menaxhoni (me klientët ose abonentët e zyrës) me infrastrukturën e rrjetit të jashtëm, duke përdorur një sërë mjetesh aksesi - ruterë softuerësh dhe harduerësh, ndërprerës, serverë VPN. Sidoqoftë, pothuajse në çdo rast, mund të dilni me një skemë kur informacioni në lidhje me trafikun e transmetuar përmes rrjetit mund të dërgohet në mjetin softuer ose harduerik për analizën dhe kontrollin e tij. Është gjithashtu e mundur që ky mjet të lejojë reagime në pajisjen e aksesit duke përdorur algoritme inteligjente për të kufizuar aksesin për klientët individualë, protokollet dhe të tjerët.
Kjo përfundon analizën e materialit. Nga temat pa përgjigje mbetën:

si dhe ku shkojnë të dhënat e grumbulluara të trafikut
softuer i kontabilitetit të trafikut
cili është ndryshimi midis faturimit dhe një "dhomë numërimi" të thjeshtë
si mund të vendosni kufizime në trafik
kontabiliteti dhe kufizimi i faqeve të internetit të vizituara

Shikuar: 3498

Ky është artikulli i parë teorik në një seri artikujsh kushtuar mbledhjes, kontabilitetit, menaxhimit dhe faturimit të trafikut dhe burimeve të IT.