Межсетевые экраны и Интернет-маршрутизаторы D-Link

 

 

Рисунок 3.4 – Параметры DHCP-сервера на примере межсетевого  экрана DFL-860E

Помимо описанных  свойств, DHCP-сервер системы NetDеfendOS может  иметь два дополнительных набора объектов: Static Hosts и Custom Options .

Static Hosts . При необходимости установления фиксированной связи между клиентом и конкретным IP-адресом, система NetDеfendOS позволяет назначить данный IP-адрес MAC-адресу клиента. Другими словами, позволяет создать хост со статическим IP-адресом.

Custom Options . Заполнение раздела специальных опций DHCP-сервера при его определении позволяет администратору в сообщениях, содержащих детали аренды (такие, как код и тип данных), также отправлять дополнительную информацию для DHCP-клиентов. В качестве примера могут служить те коммутаторы, которым требуется IP-адрес TFTP-сервера, для передачи дополнительной информации.

Коды вводятся в  соответствии со значениями, определенными  в RFC 2132 (DHCP Options and BOOTP Vendor Extensions).

RFС (Request for Comments – запрос комментариев) – это документы из серии пронумерованных информационных документов Интернета, содержащих технические спецификации и стандарты.

Функция DHCP Relays в межсетевых экранах NetDefend

По протоколу DHCP хост-клиент отправляет запросы DHCP-серверам, чтобы классифицировать их с помощью  широковещательной рассылки. Однако такие сообщения обычно распространяются только в локальных сетях. Это  означает, что DHCP-сервер и клиент всегда должны находиться в одной и той  же физической сети. Поскольку для  сетевой топологии, подобной сети Интернет, невозможно установить свой DHCP-сервер в каждой сети, в межсетевых экранах NetDefend используется функция DHCP Relays , которая позволяет передавать запросы от DHCP-клиентов DHCP-серверу.

DHCP Relayer (DHCP -ретранслятор) занимает место DHCP-сервера в локальной сети и выполняет роль связи между клиентом и удаленным DHCP-сервером.Он перехватывает запросы от клиентов и передает их DHCP-серверу. DHCP-сервер затем отвечает ретранслятору, который переадресовывает ответ обратно клиенту. Чтобы выполнять функции ретрансляции DHCP Relayer использует протокол TCP/IP Bootstrap Protocol (BOOTP). Поэтому DHCP Relayer иногда ассоциируют с агентом пересылки BOOTP (BOOTP relay agent).

Пример получения IP-адресов клиентами системы NetDеfendOS на интерфейсе lan от DHCP-сервера, расположенного во внешней сети, приведен на рисунке 3.5. IP-адрес DHCP-сервера определен в адресной книге системы NetDеfendOS как ip-dhcp . Когда в системе NetDеfendOS завершается процесс получения IP-адреса по DHCP, для клиента добавляется еще один маршрут (во вкладке Add Route нужно включить опцию Add dynamic routes for this relayed DHCP lease) .

 

Рисунок 3.5 – Использование  функции DHCP Relays на примере межсетевого  экрана DFL-860E

3.1.5 Балансировка  нагрузки сети

В терминологии компьютерных сетей балансировка (выравнивание) нагрузки – распределение процесса выполнения заданий между несколькими серверами сети с целью оптимизации использования ресурсов и сокращения времени вычисления.

Типы серверов, которые  должны быть сбалансированы:

Ø серверные кластеры;

Ø межсетевые экраны;

Ø серверы инспектирования  содержания (такие как AntiVirus- или AntiSpam-серверы).

Обычно системы  балансировки загрузки серверов используют возможности уровня L4 (UDP/TCP). При этом контролируется доступность сервера по IP-адресу и номеру порта и принимается решение: какому из доступных серверов следует переслать запрос. Наиболее часто для выбора сервера используется карусельный алгоритм (round-robin). В этом варианте предполагается, что все запросы создают одинаковую загрузку и длительность исполнения. В более продвинутых вариантах алгоритма используется уровень занятости сервера и число активных соединений.

Раньше возможности  балансировки нагрузки встраивались в  саму прикладную программу или операционную систему. Современные системы балансировки нагрузки должны удовлетворять следующим  требованиям:

Ø Обеспечивать управление трафиком, чтобы гарантировать доступность  приложения и распределение нагрузки в условиях фермы серверов (группа серверов, соединенных сетью передачи данных и работающих как единое целое).

Ø Ускорять выполнение приложений в несколько раз.

Ø Гарантировать  защиту приложений, сохранность данных и обеспечение мониторинга трафика.

Здесь важно учитывать, что доступность IP-адреса и порта  еще не гарантирует доступа к  приложению.

В последнее время  для решения задачи балансировки нагрузки все чаще используется прикладной уровень. При этом в процессе принятия решения учитывается тип клиента, запрашиваемый URL, информация из cookie, возможности конкретного сервера и тип прикладной программы, что позволяет оптимизировать использование ресурсов системы.

Довольно существенные преимущества может предоставить система GSLB (Global Server Load Balancing), которая способна решать задачу балансировки для произвольно  расположенных ферм серверов с учетом их удаленности от клиента. Эта система  может поддерживать несколько разных алгоритмов распределения нагрузки и обеспечивать оптимальное обслуживание клиентов, разбросанных по всему миру. Для администраторов система  дает возможность формирования гибкой политики управления ресурсами.

Одним из способов ускорения  обслуживания является кэширование. В  случае хорошо сконфигурированного КЭШа доля запросов, удовлетворяемых KЭШем, может достигать 40%. При этом ускорение обслуживания может быть улучшено в 30 раз.

Еще одним методом  ускорения обслуживания может служить  архивация данных, так как в  этом варианте понижается уровень перегрузки каналов сети.

Управление балансировкой  нагрузки можно совместить с функцией прикладного Firewall (70% успешных вторжений использует уязвимости приложений) и с использованием SSL по VPN-туннелю. SSL – Secure Sockets Layer – криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером.

Для достижения максимальной пропускной способности и отказоустойчивости межсетевые экраны позволяют распределить или сбалансировать нагрузку, используя  все имеющиеся каналы Интернета (серверов) одновременно. Например, можно  избежать такой ситуации, когда передаваемые по сети пакеты идут через одного провайдера, в то время как выход в Интернет через другого провайдера простаивает  без дела. Или распределить сервисы  и направить трафик через все  имеющиеся Интернет-каналы. Возможна настройка балансировки нагрузки, если соединения с провайдерами осуществляются с разными типами подключения ( Static IP , PPPoE , PPTP / L2TP ), а также – для балансировки трафика, проходящего через VРN-туннели, установленные на разных физических интерфейсах.

 

Рисунок 3.10 – Балансировка нагрузки по нескольким маршрутам

В межсетевых экранах D-Link серии NetDefend предусмотрена функция, предназначенная для балансировки сетевой нагрузки по разным маршрутам  – Route Load Balancing (RLB), возможности которой обеспечивают:

Ø балансировку трафика  между интерфейсами на основе политик;

Ø балансировку нагрузки трафика при одновременном множественном  доступе в Интернет, пользуясь  услугами двух и более провайдеров;

Ø балансировку трафика, проходящего через VРN-туннели, установленные  на разных физических интерфейсах.

Функция балансировки нагрузки в межсетевых экранах NetDefend активируется на основе таблицы маршрутизации  путем создания объекта RLBInstance, в котором определены два параметра: таблица маршрутизации и RLB-алгоритм. С таблицей маршрутизации может быть связан только один объект Instance.

 

Рисунок 3.11 – Выбор  алгоритма распределения нагрузки в межсетевых экранах NetDefend

Есть возможность  выбрать один из алгоритмов распределения  нагрузки между Интернет-интерфейсами:

Ø Алгоритм Round Robin распределяет нагрузку между интерфейсами WAN1 и WAN2 последовательно (поочередно). Каждый раз, когда возникает новая исходящая сессия с интерфейса LAN, выбирается интерфейс WAN1 или WAN2 для отправки пакетов. В дальнейшем, пакеты данной сессии будут использовать ранее определенный WAN-интерфейс. TCP-сессия открывается и закрывается на одном и том же WАN-интерфейсе.

Ø Алгоритм Destination позволит избежать проблем с некоторыми протоколами при использовании балансировки, например FTP. Данный алгоритм работает аналогично алгоритму RoundRobin, за исключением того, что все данные к удаленному хосту идут через тот интерфейс, через который соединение было установлено.

Ø Значение Spillover определяет предельное значение нагрузки для основного WАN-порта (Routing→ Route Load Balancing → Algoritm Setings). При достижении этой нагрузки за указанный период начнет использоваться второй WАN-порт (для новых сессий). Как только загрузка основного канала упадет, новые сессии будут открываться на нем.

Использование метрик маршрута с алгоритмом Round Robin

Метрика каждого  маршрута по умолчанию равна нулю. При использовании взаимосвязанных  алгоритмов Round Robin и Destination можно устанавливать разные значения метрик, позволяющие создать приоритет выбора маршрутов. Маршруты с минимальным значением метрики будут выбираться чаще, чем маршруты с более высоким значением.

Если в сценарии с двумя Интернет-провайдерами (часто  встречается выражение «ISP-провайдер», т.е. Internet Service Provider) требуется, чтобы большая часть трафика проходила через одно из ISР-подключений, то следует активировать RLB и назначить меньшее значение метрики для маршрута основного ISР-подключения (например, 90) относительно второго (например, 100).

Если задача заключается  в равномерной балансировке трафика  между двумя Интернет-провайдерами, то значение метрик для обоих маршрутов  следует назначать одинаковое.

Использование метрик маршрута с алгоритмом Spillover

При использовании  алгоритма Spillover для каждого маршрута обязательно должна быть определена метрика. В этом случае система NetDefendOSвсегда выбирает маршрут с самым низким значением метрики. Алгоритм не предназначен для работы с одинаковыми метрическими значениями маршрутов, поэтому администратору следует устанавливать различные значения метрик для всех маршрутов, к которым применяется алгоритм Spillover.

Значение метрики  определяет порядок, в соответствии с которым определяется другой маршрут  после того, как для выбранного маршрута превышено допустимое значение передаваемого трафика.

Можно создать несколько  альтернативных маршрутов с различными метрическими значениями, для каждого  из которых определена пороговая  величина настроек алгоритма – Spillover Setting – для каждого интерфейса. Сначала выбирается маршрут с минимальной метрикой; после того как превышен допустимый порог настроек алгоритма, будет выбран следующий маршрут.

Если на всех альтернативных маршрутах достигнуты пороговые  значения Spillover Setting, то маршрут не меняется.

ВНИМАНИЕ : значение метрики на интерфейсах (маршрутах), которые используются в балансировке, должно быть установлено выше, чем для остальных интерфейсов (маршрутов). Чем ниже значение метрики на интерфейсе (маршруте), тем чаще этот интерфейс (маршрут) будет использован для установки соединения, относительно интерфейса (маршрута) с большим значением метрики. Доля использования интерфейсов (маршрутов) будет пропорциональна разницы между значениями метрики на этих интерфейсах (маршрутах).

3.1.7 Поддержка UPnP

Служба UPnP (Universal Plug and Play) – сетевая архитектура, предоставляющая возможность легко и быстро организовывать обмен данными между любыми устройствами в сети, автоматически определяя, подключая и настраивая эти устройства для работы с локальными сетями. Сетевые продукты, использующие технологию Universal Plug and Play , заработают сразу, как только будут физически подключены к сети. UPnP поддерживает практически все технологии сетевых инфраструктур – как проводные, так и беспроводные.

UPnP – это расширение  стандартов Plug-and-Play для упрощения  управления устройствами в сети, т.е. автоматическое конфигурирование  устройств (программных или аппаратных  маршрутизаторов), которые эту службу  поддерживают. В частности, программа  на компьютере в локальной  сети может обратиться к маршрутизатору  «на языке» UPnP с указанием перенаправить  на себя нужный порт.

Практически все  модели Интернет-маршрутизаторовсерий DI-xxx и DIR- xxx поддерживают службу Universal Plug and Play.

Активирование UPnP представлено на рисунке 3.14 на примере Интернет-маршрутизатора DIR-855.

3.1.8 Качество обслуживания (QoS) и управление полосой пропускания  трафика (Traffic Shaping)

Сегодня, во время  активного развития сети Интернет, многие сервис-провайдеры пытаются привлечь клиентов дополнительными информационными  услугами такими, как IP-телефония, интерактивные  игры, видеоконференции, видеотелефония, доступ к разнообразным базам  данных, электронным магазинам и  т. д. Клиенты же ищут не просто выход  в Интернет, а интересуются полосой  пропускания, безопасностью, стабильностью  связи. По этой причине многие компании, производящие сетевое оборудование, уделяют повышенное внимание средствам  управления трафиком и качеству обслуживания QoS.

С целью поддержки  передачи по одной сети трафика потоковых  мультимедийных приложений (IP-телефония (VoIP), IPTV, видеоконференции, онлайн-игры и др.) и трафика данных с различными требованиями к пропускной способности необходимы механизмы, обеспечивающие возможность дифференцирования и обработки различных типов сетевого трафика в зависимости от предъявляемых ими требований. Негарантированная доставка данных (best effort service), традиционно используемая в сетях, построенных на основе коммутаторов, не предполагала проведения какой-либо классификации трафика и не обеспечивала надежную доставку трафика приложений, гарантированную пропускную способность канала и определенный уровень потери пакетов. Для решения этой проблемы было введено такое понятие, как качество обслуживания (Quality of Service, QoS).

Функции качества обслуживания в современных сетях заключаются  в обеспечении гарантированного и дифференцированного уровня обслуживания сетевого трафика, запрашиваемого теми или иными приложениями на основе различных механизмов распределения  ресурсов, ограничения интенсивности  трафика, обработки очередей и приоритезации.