Межсетевые экраны и Интернет-маршрутизаторы D-Link

Можно выделить три  модели реализации QоS в сети:

Ø Негарантированная доставка данных (Best Effort Service) обеспечивает связь между узлами, но не гарантирует надежную доставку данных, время доставки, пропускную способность и определенный приоритет.

Ø Интегрированные услуги (Integrated Services, IntServ) – эта модель описана в RFC1633 и предполагает предварительное резервирование сетевых ресурсов с целью обеспечения предсказуемого поведения сети для приложений, требующих для нормального функционирования гарантированной выделенной полосы пропускания на всем пути следования трафика. В качестве примера можно привести приложения IP-телефонии, которым для обеспечения приемлемого качества передачи голоса требуется канал с минимальной пропускной способностью 64 Кбит/с (для кодека G.711).

Модель IntServ использует сигнальный протокол RSVP (Resource Reservation Protocol – протокол резервирования ресурсов) для резервирования ресурсов для  каждого потока данных, который должен поддерживаться каждым узлом на пути следования трафика. Эту модель также  часто называют жестким QоS(Hard QоS) в связи с предъявлением строгих требований к ресурсам сети.

Ø Дифференцированное обслуживание (Differentiated Service, DiffServ) – эта модель описана в RFC2474, RFC2475 и предполагает разделение трафика на классы на основе требований к качеству обслуживания. В архитектуре DiffServ каждый передаваемый пакет снабжается информацией, на основании которой принимается решение о его продвижении на каждом промежуточном узле сети в соответствии с политикой обслуживания трафика данного класса (Per-Hop Behavior, PHB).

Модель дифференцированного  обслуживания занимает промежуточное  положение между негарантированной  доставкой данных и моделью IntServ и сама по себе не предполагает обеспечение  гарантий предоставляемых услуг, поэтому  дифференцированное обслуживание часто  называют мягким QоS (soft QоS).

Технология DiffServ позволяет  классифицировать пакеты из трафика, направленного  в локальную сеть. Работа DiffServ основывается на идентификатореDSCP (DiffServcode Point), представляющего собой первые 6 бит поля ToS. DSСP определяет, как будут перенаправляться пакеты в DiffServ-сети. Изменяя значение этого идентификатора, можно распределить различные виды трафика в очереди проброса по приоритетам. Таким образом, можно распределять ресурсы согласно значениям DSСP и сконфигурированным правилам.

Межсетевые экраны D-Link серии NetDefend для управления полосой пропускания трафика поддерживают технологию DiffServ.

Функция ограничения полосы пропускания трафика (Traffic shaping) – или, как ее еще называют – «шейпинг» трафика – работает, оценивая и выстраивая в очередь IP-пакеты в соответствии с заданными параметрами. Определить различные ограничения скоростей и выделить гарантированную полосу пропускания можно на основании адреса источника, адреса назначения и параметров протокола – в основном так же, как определяются правила межсетевого экрана.

Объектом для  управления полосой пропускания  трафика служит Pipe - канал, через который будут передаваться данные в соответствии с созданными правилами (Pipe Rules).

 

Рисунок 3.15 – Управление полосой пропускания трафика  по Pipe-каналам

При использовании  функции Traffic shaping в межсетевых экранах NetDefend различают два основных компонента и два вспомогательных:

Ø Объект Pipes - канал

Ø Правило канала Pipe Rules

– Фильтр трафика Filter (вкладка General)

Определяет тип  трафика и направление, к которым  будут применяться ограничения  или приоритизация.

– Цепочки каналов Pipe Chains (вкладка Traffic shaping)

Используется в  целях назначения роли для Pipe-трафика  в обоих направлениях (Forward chain, Return chain).

В NetDefenseOS используется 8 приоритетов очередей: от 0 (низший приоритет) до 7 (наивысший приоритет). Приоритет будет определяться как  отдельная очередность передачи пакетов: трафик с приоритетом 2 будет  отправлен перед трафиком с приоритетом 0, трафик с приоритетом 4 будет отправлен  перед трафиком с приоритетом 2 и  т.д.

При конфигурировании Pipe-канала назначается 3 приоритета:

Minimum Precedence: 0

Default Precedence: 0

Maximum Precedence: 7

Значение Default Precedence – это приоритет, который получает пакет в том случае, если он явно не принадлежит какому-нибудь Pipe-правилу.

Минимальное и максимальное значения (Minimum Precedence и Maximum Precedence) определяют диапазон приоритета, в котором может находиться Pipe-канал. Если пакету уже назначен приоритет ниже минимального в правиле, то его приоритет изменится на значение Minimum Precedence. Например, если пакет пришел со значением приоритета 0, а минимальный приоритет для сервиса данного пакета – 2, то далее пакет отправляется с приоритетом 2.

Аналогично, если пакет  имеет приоритет выше Maximum Precedence, то значение приоритета меняется на максимальное заданное.

Для контроля полосы пропускания назначается приоритет  для первого канала First pipe при выборе одного из значений:

– Use the default from first pipe – каждый канал имеет приоритет по умолчанию ( Default precedence) , который определяется, начиная с первого канала.

– Use Fixedprecedence (0~7) – по уровням: значения от 0 (низший приоритет) до 7 (наивысший приоритет).

– Map IP DSСP (TOS) – приоритет с идентификатором DSСP .

 

Рисунок 3.16 – Настройка  функции Traffic Shaping в межсетевых экранах NetDefend

Использование технологии QоS в Интернет-маршрутизаторах D-Link

В маршрутизаторах D-Link функции приоритизации трафика  в зависимости от используемых приложений на клиентских компьютерах поддерживаются благодаря технологиям QоS Engine и WISH Stream Engine .

Технология QоS Engine позволяет за счет активного использования технологии QоS ограничить максимальную ширину Интернет-канала для одних приложений и выделить персональный канал для других. Эта функция полезна в основном для компьютерных онлайн-игр, просмотра онлайн-видео и потокового вещания, для которых важным критерием является не только ширина канала, но и время отклика.

 

Рисунок 3.17 – Активирование  функции QоS Engine на примере Интернет-маршрутизатора DIR-855

Технология WISH (Wireless Intelligent Stream Handling – интеллектуальная обработка потоков в беспроводной сети) автоматически различает мультимедиафайлы, VoIP и онлайновые игры, не требующие настроек пользователя и в зависимости от их наличия помещает тэгированный и чувствительный к задержкам трафик в начало очереди, оптимизируя частотные настройки для оптимальной беспроводной полосы пропускания. Поддержка данной функции позволяет маршрутизаторам прозрачно работать с другими технологиями QоS, что дает возможность быстро увеличить скорость передачи данных в беспроводной сети.

 

Рисунок 3.18 – Активирование  функции WISH Stream Engine на примере Интернет-маршрутизатора DIR-855

3.1.9 Технология SharePort

Технология SharePort – инновационная разработка компании D-Link – позволяет обеспечить совместный доступ к USB-устройствам через сети Ethernet и Wi-Fi.Суть новой технологии заключается в том, что устройства, подключенные к USB-портам Интернет-маршрутизаторов, становятся доступными для использования на компьютерах в сети, а передача USB-сигнала между устройством и персональными компьютерами осуществляется по протоколу TCP/IP. Таким образом, можно организовать совместный доступ пользователей к USB-устройствам (принтеры*, устройства хранения и др.) из любой точки сети.

 

Рисунок 3.19 – Использование  функции Shareport на примере Интернет-маршрутизатора DIR-855

Утилита D-Link SharePоrt™ Network USB обеспечивает совместное использование в сети USB-устройств, включая внешние устройства хранения информации и принтеры/многофункциональные устройства (МФУ). Для этого достаточно просто подключить выбранное устройство к маршрутизатору D-Link, поддерживающему данную функцию. Такой способ организации совместного доступа пользователей к внешнему устройству хранения или принтеру является хорошей альтернативой подключения этих устройств к локальному компьютеру.

Скачать утилиту D-Link SharePоrt ™ Network USB можно с FTP-сервера компании D-Link. После установки программы в правом нижнем углу монитора появится значок D-Link SharePоrt network USB utility. При нажатии по нему правой кнопки мыши выведется окно включения-отключения USB-устройства:

 

Рисунок 3.20 – Использование  утилиты D-Link SharePоrt ™ Network USB

И далее – окно обнаружения USB-устройства:

 

Рисунок 3.21 – Окно обнаружения USB-устройства при использовании  утилиты D-Link SharePоrt ™ Network USB

При нажатии на значок утилиты левой кнопкой мыши выведется  окно приглашения к подключению USB-устройства:

 

Рисунок 3.22 – Окно подключения USB-устройства при использовании  утилиты D-Link SharePоrt ™ Network USB

Ограничение данной технологии:

1. Одновременно использовать  устройства, подключенные к USB-порту  маршрутизатора, может только один  пользователь. Для использования  устройства другим компьютером,  на первом компьютере необходимо отключить утилиту SharePоrt.

2. Функция Shareport доступна  на определенных Интернет-маршрутизаторах  серии DIR-6xx и DIR-8xx .

*Список поддерживаемых USB-принтеров доступен на FТP-сервере компании D-Link:http://ftp.dlink.ru/pub/Router/SharePort_Compatibility_List.xls

3.1.10 Уведомление  о нештатных событиях по электронной  почте

Поддержка уведомлений  по электронной почте и системного журнала событий (Syslog) позволяет  сетевым администраторам получать информацию, необходимую для управления инфраструктурой сети.

В межсетевых экранах  и Интернет-маршрутизаторах D-Link предусмотрено  ведение журнала системных событий (log-файла) для регистрации всех событий, происходящих в сети и последующем  уведомлении о них по электронной  почте.

 

Рисунок 3.23 – Настройка  уведомлений по электронной почте  на примере Интернет-маршрутизатора DIR-855

В межсетевых экранах NetDefend уведомление по электронной  почте конфигурируется только для IDP-событий, которые произошли за время, назначенное пользователем. Можно определить три альтернативных email-адреса.

 

Рисунок 3.24 – Настройка  уведомлений по электронной почте  на примере межсетевого экрана DFL-860E

Следует отметить, что  при настройке данной конфигурации подразумевается, что уже созданы  объект SMTP-сервер и IDP-правила для определенного вида трафика. Во вкладке Log Setting необходимо отметить поле Enable logging для записи событий в журнал:

 

Рисунок 3.25 – Настройка  уведомлений по электронной почте  на примере межсетевого экрана DFL-860E

3.2 Протоколы и  функции обеспечения безопасности  сети

3.2.1 Фильтрация трафика

При отсутствии гибкой фильтрации доступа к сети Интернет на долю ненужных и опасных сайтов, ежедневно посещаемых сотрудниками, приходится чуть ли не половина общего трафика.

Лидерами в списке нежелательных ресурсов являются социальные сети, порталы, выкладывающие контент  непристойного содержания, серверы  онлайновых игр, а также сайты, генерирующие так называемый «тяжелый» трафик и предлагающие посетителям загружать  и просматривать видеоролики  и флэш-баннеры.

Потенциальные угрозы, возникающие в результате посещения  сотрудниками различных не относящихся  к выполняемой ими работе сайтов, помимо нецелевого использования рабочего времени, могут выглядеть как:

˗ чрезмерная нагрузка на сеть, вызванная неконтролируемым скачиванием сотрудниками объемных файлов из Интернет-сети. В случае, когда речь идет о постоянном или выделенном подключении с фиксированной скоростью канала от провайдера, просмотр или загрузка пользователями видеофайлов негативно скажется на распределении ресурсов сети и загрузке Интернет-канала в целом, а также на стоимости нецелевого трафика;

˗ нерациональное использование ресурсов сети и рабочего времени в результате деятельности любителей онлайновых игр с видео- или голосовыми чатами;

˗ неконтролируемые удаленные соединения сотрудников с рабочими серверами корпоративных сетей посредством VPN-соединений или утилит, связанные с риском заражения локальной сети вирусами, потенциально находящимися на удаленном компьютере;

˗ снижение уровня безопасности корпоративной сети.

Чтобы обеспечить безопасность и целостность бизнеса, перекрыть  каналы возможной утечки информации и повысить производительность работы сотрудников, необходимо управлять  потоком Интернет-трафика, входящего  в локальную сеть при помощи фильтрации Интернет-запросов. Запрещая при помощи настройки фильтров доступ к тем  или иным ресурсам, можно решить вопросы снижения затрат на нецелевые  Интернет-ресурсы, а также значительно  уменьшить риск инфицирования внутренних ресурсов корпоративной сети.

Применение  фильтрации в межсетевых экранах NetDefend D-Link рассмотрено в разделе «Функции IDP , WCF , AVмежсетевых экранов UTM» («Фильтрация Web-содержимого (WСF)»).

3.2.2 Виртуальные  локальные сети VLAN

VLAN (Virtual Local Area Network–виртуальная локальная сеть). Виртуальной локальной сетью называется логическая группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, трафик устройств, находящихся в разных VLАN’ах, полностью изолирован от других узлов сети на канальном уровне, даже если они подключены к одному коммутатору. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса – уникального, группового или широковещательного.

Виртуальные локальные  сети обладают следующими преимуществами:

˗ Гибкость внедрения. VLАN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети.