Ericha Roučky 1291/4
627 00 Brno – Černovice
info@intelek.cz
+420 533 338 888
Průvodce řízením provozu sítě: Klasifikace a zajištění kvality provozu (QoS)
Důležitým krokem v řízení provozu sítě je správná klasifikace, nastavení kritérií a priorit. V dalším díle průvodce řízením provozu sítě to rozebereme podrobněji.
V minulém díle jsme zmínili potřebu klasifikace provozu, tedy nutnost definovat pravidla. Jako klasifikační kritéria lze zvolit zdroj a cíl (MAC, IP adresa, subnet, rozsah IP adres, host name), protokol nebo aplikaci, čas, VLAN nebo DSCP (Differentiated Services Code Point). Jejich kombinací je možné flexibilně vyčlenit specifickou část provozu pro monitorování i pro QoS „akci“.
Flexibilita a přehlednost jsou přitom velice důležité. Definovat pravidlo pro „Josefa Nováka“ nebo pro „SAP server“ je jistě přehlednější, než pro IP adresu 192.168.1.25. Možnost předefinovat a pojmenovat si jednotlivé objekty tak, aby se s nimi jednoduše pracovalo, je velkou výhodou. Pohodlné je také sdružit jednotlivé objekty do skupin, například „účetní oddělení“, „tiskové servery“, „neplatiči“ či „nežádoucí aplikace“. Lze tak jednoduše definovat i hromadná pravidla pro jednotlivé objekty ve skupině nebo naopak jedno pravidlo pro celou skupinu.
V dalším kroku definujeme QoS, jinými slovy co se s daným provozem stane. Logicky se nabízí provoz v daném pravidle povolit a zakázat, ale řešení traffic managementu musí být mnohem flexibilnější než firewall. Musí garantovat minimum a/nebo omezovat maximum. Musí být schopen garantovat minimum nebo omezovat maximum nejen na úrovni pravidel, ale i pro každé jednotlivé spojení (session). Jen tak lze garantovat potřebné parametry pro jednotlivé VoIP hovory podle zvoleného kodeku. Není od věci mít také možnost omezit počet současných spojení i počet nových spojení za sekundu. Lze tak zamezit mimo jiné šíření červů a omezit DoS útoky.
Neméně důležitá je i podpora priorit – zjednodušeně řečeno na jeden paket s prioritou jedna, dva pakety s prioritou dvě atd. (viz obrázek).
Priority
Dobré QoS řešení musí mít ošetřen i stav, kdy dojde v rámci definovaného pravidla nebo i celé sítě k vyčerpání pásma. Ne vždy je možné spočítat minima tak, aby jejich součet odpovídal dostupnému pásmu. Uživatelé se spoléhají na rozložení provozu v čase a poskytovatelé internetu se vždy snaží svou kapacitu prodat několikrát. V takové situaci se mohou uplatnit právě priority. Provoz s vyšší prioritou se prosadí na úkor provozu s nižší prioritou. Lze tak dosáhnout toho, že VoIP telefony budou fungovat vždy, i tehdy, když bude síť přetížena stahováním filmů či rozesíláním pošty.
Pokud se chvíli zamyslíme, uvědomíme si, že pouze dynamická garance QoS nám umožní optimální využití sítě. Pokud bychom například garantovali 5 VoIP hovorů s kodekem G.711, znamenalo by to, že máme neustále obsazeno 500 Kb/s bez ohledu na to, zda někdo telefonuje, nebo ne. Pokud je pásmo přidělováno pouze v dané chvíli existujícímu provozu a jakmile je daný provoz ukončen, je opět volné, je síť využita naprosto dokonale. Umožňuje pak splnit protikladné požadavky – umožní stahovat filmy nebo hudbu pomocí P2P plnou rychlostí a pouze v okamžiku, kdy někdo zvedne telefon, je P2P dočasně potlačeno, a to přesně jen o pásmo potřebné pro daný kodek. Hovor má garantované vše potřebné pro maximální kvalitu a v okamžiku, kdy je hovor ukončen, stahování může pokračovat opět plnou rychlostí. To je extrémní případ, ale totéž lze uplatnit pro CITRIX tisk, rozesílaní pošty, videokonference atd.
Není od věci podívat se také na to, jaký způsob pro „shapping“ je zvolen. Klasické mechanismy používané směrovači jsou účinné pouze pro určitý typ provozu a nejsou dynamické. Nevhodný je určitě „rate limiting“, jinými slovy zahazování paketů. Některé aplikace jsou na to velmi citlivé a třeba hráčům on-line her to může způsobit problémy. Pro TCP aplikace je ideální využít zrychlování/zpomalování TCP ACK paketů, které dokáže zrychlit nebo zpomalit příslušnou aplikaci. Pokud si chceme být kvalitou zvoleného řešení opravdu jisti, je vhodné ověřit, jak dané řešení funguje s P2P aplikacemi. Ty totiž řadu standardních mechanismů ignorují.
Proces definice pravidel
Jedna věc je technické řešení, ale neméně podstatný je i komfort ovládání. Jak jsme již několikrát zdůraznili, traffic management je proces (viz obrázek 2) a jakákoliv komplikace v libovolné fázi ovlivní zbytek. Důležité je, aby se uživatel mohl věnovat definici toho, co je pro něj důležité, nikoliv tomu, jak se dané řešení konfiguruje. A to je základní strategie řešení od společnosti Allot Communications, o kterém si řekneme příště.
Flexibilita a přehlednost jsou přitom velice důležité. Definovat pravidlo pro „Josefa Nováka“ nebo pro „SAP server“ je jistě přehlednější, než pro IP adresu 192.168.1.25. Možnost předefinovat a pojmenovat si jednotlivé objekty tak, aby se s nimi jednoduše pracovalo, je velkou výhodou. Pohodlné je také sdružit jednotlivé objekty do skupin, například „účetní oddělení“, „tiskové servery“, „neplatiči“ či „nežádoucí aplikace“. Lze tak jednoduše definovat i hromadná pravidla pro jednotlivé objekty ve skupině nebo naopak jedno pravidlo pro celou skupinu.
V dalším kroku definujeme QoS, jinými slovy co se s daným provozem stane. Logicky se nabízí provoz v daném pravidle povolit a zakázat, ale řešení traffic managementu musí být mnohem flexibilnější než firewall. Musí garantovat minimum a/nebo omezovat maximum. Musí být schopen garantovat minimum nebo omezovat maximum nejen na úrovni pravidel, ale i pro každé jednotlivé spojení (session). Jen tak lze garantovat potřebné parametry pro jednotlivé VoIP hovory podle zvoleného kodeku. Není od věci mít také možnost omezit počet současných spojení i počet nových spojení za sekundu. Lze tak zamezit mimo jiné šíření červů a omezit DoS útoky.
Neméně důležitá je i podpora priorit – zjednodušeně řečeno na jeden paket s prioritou jedna, dva pakety s prioritou dvě atd. (viz obrázek).
Priority
Dobré QoS řešení musí mít ošetřen i stav, kdy dojde v rámci definovaného pravidla nebo i celé sítě k vyčerpání pásma. Ne vždy je možné spočítat minima tak, aby jejich součet odpovídal dostupnému pásmu. Uživatelé se spoléhají na rozložení provozu v čase a poskytovatelé internetu se vždy snaží svou kapacitu prodat několikrát. V takové situaci se mohou uplatnit právě priority. Provoz s vyšší prioritou se prosadí na úkor provozu s nižší prioritou. Lze tak dosáhnout toho, že VoIP telefony budou fungovat vždy, i tehdy, když bude síť přetížena stahováním filmů či rozesíláním pošty.
Pokud se chvíli zamyslíme, uvědomíme si, že pouze dynamická garance QoS nám umožní optimální využití sítě. Pokud bychom například garantovali 5 VoIP hovorů s kodekem G.711, znamenalo by to, že máme neustále obsazeno 500 Kb/s bez ohledu na to, zda někdo telefonuje, nebo ne. Pokud je pásmo přidělováno pouze v dané chvíli existujícímu provozu a jakmile je daný provoz ukončen, je opět volné, je síť využita naprosto dokonale. Umožňuje pak splnit protikladné požadavky – umožní stahovat filmy nebo hudbu pomocí P2P plnou rychlostí a pouze v okamžiku, kdy někdo zvedne telefon, je P2P dočasně potlačeno, a to přesně jen o pásmo potřebné pro daný kodek. Hovor má garantované vše potřebné pro maximální kvalitu a v okamžiku, kdy je hovor ukončen, stahování může pokračovat opět plnou rychlostí. To je extrémní případ, ale totéž lze uplatnit pro CITRIX tisk, rozesílaní pošty, videokonference atd.
Není od věci podívat se také na to, jaký způsob pro „shapping“ je zvolen. Klasické mechanismy používané směrovači jsou účinné pouze pro určitý typ provozu a nejsou dynamické. Nevhodný je určitě „rate limiting“, jinými slovy zahazování paketů. Některé aplikace jsou na to velmi citlivé a třeba hráčům on-line her to může způsobit problémy. Pro TCP aplikace je ideální využít zrychlování/zpomalování TCP ACK paketů, které dokáže zrychlit nebo zpomalit příslušnou aplikaci. Pokud si chceme být kvalitou zvoleného řešení opravdu jisti, je vhodné ověřit, jak dané řešení funguje s P2P aplikacemi. Ty totiž řadu standardních mechanismů ignorují.
Proces definice pravidel
Jedna věc je technické řešení, ale neméně podstatný je i komfort ovládání. Jak jsme již několikrát zdůraznili, traffic management je proces (viz obrázek 2) a jakákoliv komplikace v libovolné fázi ovlivní zbytek. Důležité je, aby se uživatel mohl věnovat definici toho, co je pro něj důležité, nikoliv tomu, jak se dané řešení konfiguruje. A to je základní strategie řešení od společnosti Allot Communications, o kterém si řekneme příště.
23.12.2009
Související články
Průvodce řízením provozu sítě: Výběr řešení
28.12.2009
Poslední fází traffic managementu je výběr konkrétního řešení. Na jeho správné volbě závisí úspěšnost řízení provozu vaší sítě. Na co byste se měli zaměřit?
Průvodce řízením provozu sítě: Monitorování provozu
16.12.2009
Základem rozpoznání provozu na sedmé aplikační vrstvě je monitoring. Jaké jsou jeho možnosti? Co všechno můžete sledovat? Čtěte další díl průvodce řízením provozu sítě.
Průvodce řízením provozu sítě: DPI (Deep Packet Inspection)
9.12.2009
Minule jsme si řekli, že pokud chceme něco řídit, musíme v první řadě vědět, co se děje. V dnešních sítích to znamená schopnost rozlišovat provoz na sedmé aplikační vrstvě. Proč právě to?
Průvodce řízením provozu sítě: Proč ho řídit?
2.12.2009
Proč a kdy se vyplatí řídit provoz ve vaší síti? Jaké jsou typy řízení provozu v síti a jaký je vliv jednotlivých druhů aplikací na provoz v síti? Přinášíme vám první díl průvodce managementem sítě.
NOVINKA: Řada 10Gb rate shaperů AC 10000 pro management sítě
23.9.2009
Chcete inteligentně řídit provoz vaší sítě? Hledáte robusní řešení pro 10Gb konektivitu? Pomohou vám nové rate shapery od Allot Communications.
Bezdrátová budoucnost – srovnání technologií Wi-Fi a WiMAX
29.5.2008
Na našem webu jste si již mohli přečíst několik článků věnovaných technologii WiMAX. Přinesli jsme vám v nich velkou řadu informací, které se týkají hlavně praktických zkušeností s nasazením. Dnes půjdeme více do hloubky a detailněji se seznámíme s technickými podrobnostmi této technologie. Lidé mají velmi často, ač to není příliš vhodné, tendence srovnávat WiMAX s Wi-Fi. My se tomuto srovnání bránit nebudeme a ukážeme si, proč tyto technologie navzájem nesoupeří, ale spíše se doplňují.