2.4. Фундаментальні проблеми керування трафіком в mpls

Існує три фундаментальні проблеми, що ставляться до керування трафіком в MPLS.

- Перша проблема стосується того, як визначати відповідність пакетів певному класу FEC (Forwardіng Equіvalence Class).

- Друга проблема стосується того, як визначати відповідність FEC і каналів передачі даних.

- Третя проблема стосується того, як визначати відповідність каналів передачі даних фізичної топології мережі через маршрути з комутацією по мітках.

Даний документ не стосується перших двох перерахованих проблем (хоча вони досить важливі). Замість цього, інша частина документа присвячена можливостям, які дозволяють третій функції здійснювати ефективну й надійну роботу мереж. Встановлення відповідності між наведеним MPLS-графом (H) і базовою топологією мережі (G) є досить важливою проблемою.

2.5. Аналіз сучасних програм оцінки і контролю трафіку у мережі

Деякі засоби контролю й підрахунку трафіка звичайно дають користувачеві файерволи. Наприклад, у вікні статистики Norton internet Securіty можна простежити навіть який процес скільки байт відправив і скільки прийняв - це дуже допомагає у виявленні програм-пожирачів трафіка (не звертайте тільки уваги на з'єднання, у яких в якості і вилученого хоста й локального фігурує ваш власний ПК).

Аналогічні засоби майже всіх просунутих інтернет-дзвонилок, як правило, надають докладну статистику в більш зручному для сприйняття виді. Так, Dіal-UP Monіtor (www.dіalmonіtor.ro) підраховує прийняті й передані дані аж до кожної сесії й веде точний облік витрат згідно до гнучко настоюваної тарифікації.

Втім, є й програми, призначені тільки для підрахунку трафіка й контролю витрат на Інтернет - для роботи в локальній мережі вони підходять краще. Одні з найпростіших - безкоштовні vAv Traffіc Watcher й vAv іNet Statіstі (av4sx.nm.ru). Перша не тільки скрупульозно врахує кожен байт, але й вчасно попередить про перевищення денного або місячного ліміту або навіть примусово розірве з'єднання, щоб не допустити перевитрати коштів.

Друга підрахує ваші фінансові витрати в будь-якій валюті, виведе тижневий графік витоку грошей і поточний стан рахунку.

Більш могутніша програма TMeter (www.tmeter.ru), дозволяє навіть вести статистику трафіка роздільно для локальної мережі й Інтернету, має серйозну систему фільтрів, завдяки якій можна вважати тільки корисний трафік, підтримує плагіни. Крім того, TMeter працює з будь-яким проксі, може формувати статистику для будь-якого хоста в мережі, уміє блокувати трафік при досягненні заданого ліміту й здійснювати одночасний збір трафіка з декількох мережних адаптерів.

А Netimiter (www.netlіmіter.com) здатний навіть урізати трафік для окремо обраних програм. Аналогічними програмами є Down2Home (jitserv.coolfreepage.com), Bandwidth Monitor Pro (www.bandwidthmonitorpro.com) - гляньте й на їхній можливості, може бути таке, що вони виявляться чимось зручнішими.

Однак будьте готові до того, що дані вашого провайдера й програми підрахунку трафіка не збіжаться. Справа в тому, що реальні методи підрахунку в провайдера звичайно ставлять в основу його особисту любов до грошових знаків і часом не сильно афішуються. Наприклад, якщо ви, установивши GPRS з'єднання з BeeLіne, за цілий день скачаєте всього трохи кілобайт, то, швидше за все, втратите зовсім не таку суму грошей, яку очікували, оскільки провайдер вважає, що протягом певного проміжку часу ви зобов'язані завантажити якийсь обсяг даних, і із чистою совістю виставляє за нього рахунок. Виходить гібрид "по часу" з тарифікацією по трафіку, про що багато користувачів навіть не підозрюють (forum.sіemens-club.ru/vіewtopіc.php?Topіcі=27281). Аналогічно в локальних мережах програми обліку трафіка допоможуть контролювати свої витрати або вчасно запобігти серйозному злодійству трафіку.

В межах дипломного проекту було проведено аналіз роботи програм аналізу мережевого трафіку:

1) Програма Traffic Inspector - це комплексне рішення для підключення мережі або персонального комп'ютера до мережі Інтернет, що забезпечує мережний захист, точний облік і статистику використання підключення по кожному користувачу, а також ефективну економію трафіку й часу за рахунок кешування й керованого блокування банерів і небажаних ресурсів (рис. 2.2).

Послуга широкополосного високошвидкісного доступу в мережу Інтернет, що стала популярною, ставить важливе завдання обліку споживаного трафіку як платного ресурсу. Погано контрольоване використання Інтернет при наявності великих швидкостей передачі даних і дорогому трафіку приводить до великих витрат і може зробити використання такого підключення просто неможливим. Адміністративні міри обмеження трафіку в організаціях шляхом простої заборони незручні для співробітників і не завжди ефективні.

Рис. 2.2 Основне вікно програми Traffic Inspector

Серверна частина програми Traffіc Іnspector реалізована тільки під платформу Wіndows 2000/XP/2003, клієнти ж можуть використати будь-яку операційну систему - тут обмежень немає. Система легко встановлюється, настроюється й управляється, є засоби віддаленого керування. Для настроювання програми не потрібні особливі знання й кваліфікація - фахівець, здатний установити Wіndows, настроїти мережу й підключитися до Інтернет без проблем настроїть і цю програму.

Traffіc Іnspector також дозволяє вирішити ще одне завдання - реалізувати роздільний облік користувачів, що працюють на єдиному комп'ютері підключеному до Інтернет з можливим їхнім блокуванням. Це окреме завдання й воно реалізується включенням роботи програми в персональному режимі.

Існує багато програм, які вирішують такі завдання, але аналога, який би все це робив в одному пакеті немає - тут однією програмою не обійтися, це все доводиться збирати на основі різних програм, вартість рішення зростає, завдання настроювання й адміністрування сильно ускладнюються. Також істотно те, що завдяки об'єднанню різних служб в одному пакеті стало можливим легко реалізувати деякі речі, які інакше зробити було б украй важко.

Таким чином, ця програма - самодостатнє вирішення. Але при необхідності її окремі служби можуть використовуватися окремо. Наприклад, Traffіc Іnspector може працювати як система білінгу для інших серверів, наприклад Mіcrosoft ІSA Server.

2) програма SurfAnalyzer. У багатьох компаніях працівники займаються на роботі сторонніми справами. Для контролю Інтернет-трафіка підприємств, а також для захисту від витоку інформації був створений SurfAnalyzer.

На сьогодні Інтернет став джерелом не тільки корисної інформації, але й розваг. На ігри, фільми, музику, фотографії витрачається багато часу та грошей. Можна без проблем завести нові знайомства й спілкуватися досхочу.

За допомогою SurfAnalyzer можна не тільки обмежити доступ до певної інформації, але й контролювати прийняття/надсилання електронних листів та повідомлень ІCQ.

Програма контролює увесь Інтернет-трафік підприємства, зберігаючи в базі даних всю інформацію з відвіданих сайтів, надісланих і отриманих повідомлень електронної пошти та ICQ. А в разі виявлення «підозрілого» тексту SurfAnalyzer автоматично блокує доступ до нього. Встановлюється через запуск файла установки SurfAnalyzer Server. msi.

Процес встановлення має два ступені: встановлення СУБД (системи управління базою даних) і встановлення сервісів SurfAnalyzer.

СУБДом для SurfAnalyzer обрана FireBird 1.5.3. Її установчий файл уже включений до складу інсталяційного пакета SurfAnalyzer Server.msi і запускається автоматично.

Для встановлення запустіть цей файл і виконуйте інструкції інсталятора. У діалозі вибору варіанта встановлення FireBird (Classic або Superserver) виберіть варіант Superserver.

SurfAnalyzer-сервер містить декілька компонентів, які виконують роботу з розмежування доступу користувачів до Інтернет-ресурсів, контролю та пересилання електронної пошти тощо.

Усі компоненти встановлюються через один інсталяційний файл SurfAnalyzer Server.msi. Під час роботи інсталятора буде також зроблена конфігурація сервера.

Для безпосередньої організації доступу до Інтернету і обліку трафіка користувачів вам потрібна додаткова програма класу проксі-сервер.

Тут придасться проксі-сервер будь-якого виробника (UserGate, WinGate тощо).

Для організації спільної роботи проксі-сервера та SurfAnalyzer потрібно змінити настроювання проксі-сервера:

1) додати до списку користувачів комп’ютер, на якому встановлений SurfAnalyzer і надати йому всі повноваження;

2) видалити зі списку або заборонити будь-які дії для тих користувачів, які не повинні виходити в Інтернет поза програмою SurfAnalyzer.

Surf Analyzer Admin - ця програма встановлюється на робоче місце адміністратора системи, з її допомогою настроюється система.

Для початку процесу встановлення SurfAnalyzer Admin запустіть установчий файл SurfAnalyzer Admin.msi і дотримуйтеся інструкцій майстра встановлення.

При першому запуску SurfAnalyzer Admin запропонує заповнити параметри під’єднання до бази даних.

У цьому діалозі потрібно вказати ім’я сервера, на якому встановлена база, а також шлях до файла GUARD.gdb. Не треба відкривати загальний доступ до нього. Шлях указується тільки для сервера!

Програма попросить ввести ім’я користувача, який має права на зміну настроювань, і пароль. Працювати з SurfAnalyzer Admin може тільки користувач із правами адміністратора.

За замовчуванням у базі уже є обліковий запис з ім’ям Admin і порожнім паролем. З метою підвищення безпеки рекомендуємо змінити пароль.

За умови правильного настроювання проксі-сервера доступ до ресурсів Інтернету матимуть тільки користувачі, додані у відповідний список SurfAnalyzer.

Редагування списку комп’ютерів може здійснюватися тільки адміністратором і тільки за допомогою програми SurfAnalyzer Admin. Цей список розміщений на закладці Web + ICQ.

Для додавання імені нового користувача виберіть групу, у якій він буде відображатися, і натисніть кнопку +.

У поля «Ім’я комп’ютера», «IP-адреса» і «MAC-адреса» треба записати дані відповідного комп’ютера, який додається. Виберіть з можливих типів авторизації (IP, IP+MAC, MAC) найбільш прийнятний.

Зміст поля «Назва» надалі буде відображатися в списку комп’ютерів, тому дайте йому зрозумілу вам назву.

Після закінчення заповнення натисніть кнопку «Додати» для додавання комп’ютера у список.

SurfAnalyzer View - ця програма встановлюється на робоче місце фахівця безпеки і дозволяє переглядати архіви електронної пошти, повідомлень ICQ, відвідування веб-сайтів; одержувати повідомлення про порушення безпеки.

Для початку встановлення Surf Analyzer View достатньо запустити установчий файл SurfAnalyzer View.msi і виконувати інструкції майстра встановлення.

При першому запуску SurfAnalyzer View запропонує заповнити параметри під’єднання до бази даних.

Для настроювання комп’ютерів користувачів зайдіть у «Властивості оглядача», наприклад, так: «Пуск > Панель управління > Властивості оглядача». Переходьте на вкладку «Під’єднання» і натисніть кнопку «Настроювання LAN». Зазначте IP-адресу комп’ютера, на якому встановлено Surf Analyzer-сервер, як порт – «Порт WEB +ICQ» (встановлюється в SurfAnalyzer Admin, закладка «Основні»).

SurfAnalyzer – непогана програма, яка аналізує увесь Інтернет-трафік підприємства, дозволяє контролювати та блокувати відвідування веб-сайтів, обмін повідомленнями ICQ, отримання та надсилання поштових повідомлень. Дозволяє уникнути завантаження потенційно небезпечних файлів та перекрити доступ до розважальної інформації.

3) програма DU Meter 3.50. Одна із найкращих програм для підрахунку реального вхідного й вихідного мережного трафіку. Можливості: підрахунок обсягу трафіку й попередження про час модемного з'єднання; настроювана щоденна, щотижнева й щомісячна статистика (як по трафіку, так і за часом з'єднання) з можливістю експортувати дані у формати Excel, Word, HTML, Text й ін.; вимикання комп'ютера при зниженні трафіка нижче заданого мінімуму. Одна з особливостей - показ прогнозованого трафіка на наступний тиждень або місяць на основі наявних даних. Підтримує прозорість.

Це професійна утиліта, що відображає швидкість прокачування даних. DuMeter малий в розмірах, потребує дуже мало пам'яті й зручний. Показує поточну швидкість upload/download, ще й графік будує. Програма добре настроюється.

4) програма DUTraffic. Багатофункціональний монітор віддаленого доступу. DUTraffіc записує статистику для кожного сеансу незалежно від того, яка програма дозвону використовується. Програма може автоматично відкривати декілька додатків як тільки зв'язок буде досягнутий, наприклад, запустить браузер і клієнт електронної пошти й закриє їх, як тільки буде розірваний зв'язок.

Підтримується багатокористувацьке використання, настроювання колірних профілів і вигляду графіка, є опції експорту статистики й деякі інші корисні можливості. Інтерфейс – багатомовний (рис. 2.3).

5) програма TrafficRefine 2.02. За допомогою програми ви можете встановити обмеження доступу до небажаних ресурсів по різних категоріях - сайтам, зі змістом інформації для дорослих, onlіne-іграм і казино, форумам, вказавши галочкою на певну категорію.

Також є можливість встановити обмеження самостійно за допомогою чорного списку. Також тут є можливість задання контролю доступу до Інтернету по дням і годинам, тобто задання розкладу роботи.

Основні можливості модуля KidsControl:

- обмеження доступу до небажаних ресурсів;

- контроль часу знаходження дитини в мережі;

- можливість контролювати інших членів родини;

- робота програми непомітна для дитини;

- щоденні звіти про відвідування сайти (лог-файли);

- контроль трафіка.

Також, якщо у вас не безлімітний Інтернет, то програма реально допоможе вам обмежити витрати, шляхом контролю трафіка.

Рис. 2.3 Приклад роботи програми DUTraffic

Можна заблокувати рекламні банери на сайтах і заборонити скачувати файли - exe, zip, rar, аудіо й відео, Flash (рис. 2.4).

6) програма NeTAMS (Network Traffic Accounting and Monitoring Software) - багатофункціональна програма по обліку й керуванню IP-трафіком для маршрутизаторів Cisco або комп'ютерів під керуванням Unix (Linux/FreeBSD/Solaris).

Рис. 2.4 Приклад роботи програми TrafficRefine 2.02

Підтримуються різні методи збору статистики (tee/divert/ip_ queue/ulog/ libpcap/netflow v5 й v9/netgraph), зберігання в базі даних (BerkleyDB/ MySQL/ PostgresSQL/Oracle/Radіus), агрегування, відображення, оповіщення й ін. Можливо проводити блокування на базі квот, авторизації, вичерпанні балансу (білинг); управляти смугою пропускання, контролювати підміну MAC-адреси, робити зв'язок з RADIUS, створювати гнучкі політики обліку й фільтрації (повний список).

NeTAMS – багатопотоковий додаток, написаний на C++ і такий, що працює на вашому PC-роутері або виділеному сервері. ІP-трафік або проходить (маршрутизуєтся) через цей роутер, або на роутер попадає потік пакетів ззовні (SPAN port), або інший пристрій відсилає на нього потік даних netflow. На цьому ж комп'ютері, або на сусідньому, працює підходяща СУБД. Веб-сервер надає дані про трафік користувачам вашої мережі, і дозволяє вам управляти системою NeTAMS через набір Perl/CGі-скриптів або java-сервлет (рис. 2.6).

Основною перевагою NeTAMS є те, що це безкоштовне (ліцензія GPL v3) програмне забезпечення.

7) програма Proxyіnspector - простий, але ефективний інструмент аналізу використання корпоративного доступу в Інтернет. Ця програма для підрахунку трафіка аналізує перелоги-файли проксі-сервера й видає вам вичерпний звіт про поводження користувачів вашої локальної мережі в Інтернеті. Ви можете зробити докладний аналіз трафіка: виявити самі активні робочі станції, подивитися які ресурси вони відвідують, одержати загальне подання про розподіл трафіка на сайтах, протоколах, днях тижня й часу доби. Вся інформація представляється в зручній для сприйняття формі й зрозуміла навіть не надто досвідченому користувачеві (рис. 2.5).

Рис. 2.5 Основне вікно програми NeTAMS

Рис. 2.6 Приклад діаграми розподілу трафіку, який отримано програмою Proxyinspector

8) програма RasAdminExt 2.1 ‑ це доповнення до Routіng & Remote Access Admіn фірми Microsoft, що дозволяє здійснювати більш розширене керування й контроль за вхідними dіal-up з'єднаннями (рис. 2.7).

Рис. 2.7 Основне вікно програми RasAdminExt 2.1

До можливостей ставляться: робота як сервіс, підтримка безлічі тарифних планів з обмеженнями за часом, трафіку, а також грошові обмеження, можливість відключення при виробленні лімітів часу або обсягу інформації, виробленню грошової суми на рахунку користувача, одночасній роботі під аккаунтом, простої лінії; ведення логів через ODBC; можливість призначення статичних ІP адрес користувачам і групам користувачів об'єднаних одним тарифним планом; програма віддаленого керування користувачами, що працює по протоколу TCP/IP під Win9x/NT/2000; програма віддаленого перегляду статистики (для клієнтів); трьох рівневі поштові розсилання попереджень по E-Maіl; гарантування dіal-іn прав до певної дати; відбір dial-in прав при виробленні бюджету й/або виробленню обмежень; запуск зовнішніх додатків при підключенні й/або відключенні користувачів

9) програма ClubControl 4. Керування й облік всіх аспектів діяльності комп'ютерного клубу/Інтернет кафе. Повний облік грошей, ігрового часу й Інтернет трафіка. Перегляд роботи клубу через Інтернет. Закриті всі "дірки" з ігор і програм. Повне автономне керування Інтернетом, обмеження по швидкості/трафіку/часу (є вбудований fіrewall і сніфер). Рейтинг ігор за підсумками голосувань й інших параметрів. Фінансова статистика допоможе визначити цінову політику. Невизначена кількість тарифів, розподілених по днях/годинникам/комп'ютерам + пакети + клубні карти. Унікальна Графічна таблиця зайнятості клубу.

Віддалене керування клієнтами й спостереження за ними. Клієнтам - зручний інтерфейс, що повністю замінює wіndows explorer, вбудований поштовий клієнт, чат, персональні й авто-знижки. Ексклюзивний інтерфейс клієнтської частини з можливістю створення свого дизайну. Захист комп'ютера від користувачів, моніторинг системних ресурсів, контроль стану ігрової машини. Автоматичне розсилання звітів по електронній пошті.

10) програма TrafficFilter позиціюється як доповнення до Microsoft ISA Server, (операційні системи сімейства Windows 2000, XP) що дозволяє враховувати обсяг трафіка, отриманого користувачем за певний період, і припиняти передачу трафіка при перевищенні встановленого ліміту. Обмежується трафік по протоколах HTTP, FTP, http й Gopher. Про обмеження поштового трафіка на сайті компанії нічого не сказано. Обмеження встановлюються індивідуально для кожного користувача на основі інформації про користувачів і групи Actіve Dіrectory.

Трафік може обмежуватися як в одному напрямку (вхідний/вихідний) так й в обох. Перегляд стану квоти можливий з будь-якої машини в мережі (за допомогою браузера). Адміністратор може подивитися поточний стан трафіка всіх користувачів, користувач одержує інформацію тільки про своєму трафіку. Інтерфейс програми (рис. 2.8) простий й інформативний.

11) програма CommTraffic призначена для збору, обробки й відображення статистики інтернет-трафіка через модемне або виділене з'єднання. При моніторингу сегмента локальної мережі, CommTraffіc показує інтернет-трафік для кожного комп'ютера в сегменті.

Рис. 2.8 Основне вікно програми TrafficFilter

Інформація видається як у вигляді числових показників, так й у вигляді графіків, що відбивають динаміку вхідні й вихідного трафіка, а також їхньої суми (рис. 2.9).

Рис. 2.9 Основне вікно програми CommTraffic

CommTrafic надає безліч функцій для генерації звітів, які відображають обсяги мережного трафіка й витрати на зв'язок з Інтернетом. При підрахунку витрат програма може бути настроєна відповідно до тарифного плану провайдера, у тому числі з урахуванням залежності розцінок від часу доби. Цікавою є функція попередження користувача про наближення до ліміту встановленої для нього квоти, у тому числі, за допомогою звукового сигналу. До переваг програми варто віднести простоту інтерфейсу й підтримку російської мови.