Kualitas layanan dalam jaringan IP telephony. Portal Informasi Keamanan

Lalu lintas Internet global akan tumbuh hingga 1,6 zettabytes pada tahun 2018. Pendorong pertumbuhan utama adalah penyebaran video Ultra-HD/4K dan teknologi komunikasi mesin-ke-mesin, termasuk mobil pintar.

Menurut penelitian Cisco yang disebut Visual Evolution Index teknologi jaringan: prakiraan global dan distribusi jasa untuk periode 2013-2018.” (Cisco VNI), lalu lintas IP global akan meningkat hampir tiga kali lipat dalam waktu 4 tahun. Hal ini terjadi karena pertumbuhan jumlah pengguna Internet dan berbagai perangkat, peningkatan kecepatan broadband, dan jumlah penayangan video. Pada tahun 2018, volume tahunan lalu lintas IP global yang melewati koneksi tetap dan seluler diperkirakan akan mencapai 1,6 zettabytes*, yaitu lebih dari satu setengah triliun gigabyte. Ini merupakan lebih banyak lalu lintas IP (1,3 zettabytes) yang dihasilkan di seluruh dunia antara tahun 1984 dan 2013.

Puluhan juta penggemar akan menonton siaran pertandingan Piala Dunia melalui Internet. Streaming video dan permainan IP dapat menghasilkan 4,3 exabyte lalu lintas Internet, yang merupakan tiga kali lipat volume lalu lintas bulanan di Brasil. Selain itu, lalu lintas Internet yang dihasilkan oleh penonton di setiap stadion dan dalam perjalanan menuju pertandingan diperkirakan akan melebihi jumlah rata-rata lalu lintas yang dihasilkan selama jam sibuk** oleh semua ponsel cerdas yang saat ini dimiliki oleh warga Brasil.

Lalu lintas IP global diperkirakan akan mencapai 132 exabyte per bulan pada tahun 2018. Jumlah lalu lintas yang sama dapat dihasilkan oleh:

Streaming video definisi ultra-tinggi (Ultra-HD/4K) jika ditransmisikan secara bersamaan ke 8,8 miliar layar selama pertandingan final Piala Dunia;
5,5 miliar pemirsa yang, menggunakan layanan video-on-demand, menonton Musim 4 “Games of Thrones” tanpa gangguan dalam definisi tinggi (HD), atau 1,5 miliar dalam definisi ultra-tinggi;
House of Cards Musim 3 streaming secara bersamaan di 24 miliar layar dalam definisi ultra-tinggi;
940 kuadriliun pesan teks;
4,5 triliun klip YouTube.

Di tahun-tahun mendatang, komposisi lalu lintas IP akan berubah secara dramatis. Pada tahun 2018, untuk pertama kalinya, sebagian besar tidak akan dikaitkan dengan komputer pribadi, tetapi dengan perangkat lain. Selain itu, untuk pertama kalinya, volume lalu lintas Wi-Fi akan melebihi volume lalu lintas kabel, dan volume lalu lintas video resolusi tinggi akan melampaui lalu lintas video biasa.

Internet untuk Segalanya juga mendapatkan momentumnya, dan pada tahun 2018 jumlah modul komunikasi mesin-ke-mesin akan sama dengan jumlah manusia. Jadi, untuk setiap mobil “pintar” akan ada hampir 4 koneksi.

“Dalam laporan pertama yang diterbitkan 9 tahun lalu, kami menetapkan zettabytes sebagai tonggak pertumbuhan lalu lintas IP global,” kata Doug Webster, wakil presiden pemasaran produk dan solusi Cisco. - Saat ini kita sudah hidup di era zettabyte, menyaksikan perubahan industri yang luar biasa. Di antara tren utama yang disoroti dalam perkiraan saat ini dan memberikan peluang signifikan bagi penyedia layanan baik saat ini maupun dalam waktu dekat, kami mencatat penerapan Internet Segalanya, pertumbuhan permintaan akan mobilitas jaringan, dan munculnya video definisi ultra-tinggi. .”

Perkiraan pertumbuhan lalu lintas global dan pendorong utama adopsi layanan

lalu lintas IP

Pada tahun 2018, sebagian besar lalu lintas akan didorong oleh perangkat seluler dan wearable, tanpa komputer pribadi. Jika pada tahun 2013 perangkat selain PC menyumbang 33% dari lalu lintas IP, maka pada tahun 2018 pangsanya akan tumbuh menjadi 57%. Tingkat pertumbuhan lalu lintas PC akan sebesar 10% per tahun, sedangkan untuk perangkat dan koneksi lain angkanya akan lebih tinggi: 18% untuk TV, 74% untuk tablet, 64% untuk ponsel cerdas, dan 84% untuk komunikasi mesin-ke-mesin (M2M) modul.

Lalu lintas pada jam sibuk tumbuh lebih cepat dibandingkan lalu lintas Internet normal. Pada tahun 2013, pertumbuhan lalu lintas Internet pada jam-jam sibuk adalah sebesar 32%, sedangkan lalu lintas pada waktu-waktu lain meningkat sebesar 25%.

Pada tahun 2013, jaringan perkotaan membawa lebih banyak lalu lintas dibandingkan koneksi utama. Selama periode 2013-2018. lalu lintas di jaringan perkotaan akan tumbuh hampir dua kali lebih cepat dibandingkan koneksi utama. Hal ini sebagian disebabkan oleh perkiraan peningkatan lalu lintas Internet di jaringan pengiriman konten sebesar dua kali lipat pada tahun 2018.

video IP

Pada tahun 2018, pangsa video IP dalam total lalu lintas IP akan tumbuh menjadi 79% (pada tahun 2013 sebesar 66%).

Pangsa video definisi ultra-tinggi dalam total lalu lintas IP pada tahun 2018 akan meningkat sebesar 0,1% dibandingkan tahun 2013 dan akan berjumlah 11%. Pangsa video definisi tinggi akan meningkat dari 36% pada tahun 2013 menjadi 52% pada tahun 2018, dan video definisi standar akan berkurang dari 64% menjadi 37% dari total lalu lintas IP.

Lalu lintas IP berdasarkan jenis akses

Pada tahun 2018, Wi-Fi dan perangkat seluler akan menghasilkan 61% lalu lintas IP. Pangsa Wi-Fi akan mencapai 49%, pangsa jaringan seluler - 12%. Lalu lintas tetap pada tahun 2018 hanya akan mencapai 39% dari total lalu lintas IP. Sebagai perbandingan: pada tahun 2013, pangsa Wi-Fi adalah 41%, lalu lintas seluler - 3%, lalu lintas tetap - 56%.

Pada tahun 2018, Wi-Fi dan perangkat seluler akan menghasilkan 76% lalu lintas Internet. Pangsa Wi-Fi akan mencapai 61%, pangsa jaringan seluler - 15%. Lalu lintas tetap hanya akan mencapai 24% dari total lalu lintas Internet pada tahun 2018. Sebagai perbandingan: pada tahun 2013, pangsa Wi-Fi adalah 55%, lalu lintas seluler - 4%, lalu lintas tetap - 41%.

Perangkat dan koneksi

Pada tahun 2018, akan ada rata-rata 2,7 perangkat jaringan atau koneksi untuk setiap orang di planet kita. Pada tahun 2013, angkanya adalah 1,7 per kapita.

Jumlah koneksi mesin-ke-mesin secara global akan mencapai 7,3 miliar, atau hampir satu koneksi per orang (dengan asumsi populasi global berjumlah 7,6 miliar pada tahun 2018).

Jumlah perangkat tetap dan seluler yang mendukung IPv6 akan tumbuh dari 2 miliar pada tahun 2013 menjadi 10 miliar pada tahun 2018.

Peningkatan kecepatan broadband

Kecepatan broadband di dunia akan meningkat dari 16 Mbit/s pada akhir tahun 2013 menjadi 42 Mbit/s pada tahun 2018.

Mayoritas (sekitar 55%) koneksi broadband akan melebihi 10 Mbps pada tahun 2018. Di Jepang dan Korea Selatan, kecepatan broadband rata-rata akan mendekati 100 Mbit/s pada tahun 2018.

Distribusi layanan lanjutan

Layanan dengan pertumbuhan tercepat di sektor perumahan adalah video online: dengan rata-rata pertumbuhan tahunan sebesar 10% untuk periode 2013-2018. jumlah penggunanya akan meningkat dari 1,2 menjadi 1,9 miliar orang.

Segmen konsumen akan tumbuh paling cepat layanan seluler berdasarkan lokasi: dengan rata-rata pertumbuhan tahunan sebesar 36 persen selama periode 2013-2018. jumlah pengguna layanan tersebut akan bertambah dari 236 juta menjadi lebih dari satu miliar orang.

Di segmen bisnis, layanan Internet yang paling cepat berkembang adalah penggunaan konferensi video perangkat pribadi dan komputer desktop: dengan rata-rata pertumbuhan tahunan sebesar 45 persen selama periode 2013-2018. jumlah penggunanya akan bertambah dari 37 juta menjadi 238 juta orang.

Perkiraan berdasarkan negara dan wilayah

Pada tahun 2018, volume lalu lintas IP terbesar – 47,7 exabyte per bulan – akan dihasilkan di kawasan Asia-Pasifik. Wilayah terpadat di dunia, yang menyumbang perangkat dan koneksi terbanyak, akan tetap menjadi nomor satu dalam hal volume lalu lintas sepanjang tahun 2018.

Di Timur Tengah dan Afrika pada periode 2013-2018. tingkat pertumbuhan lalu lintas IP tertinggi akan tetap ada (peningkatan lima kali lipat dengan rata-rata peningkatan tahunan sebesar 38 persen).

Pada tahun 2018, negara-negara yang menghasilkan volume lalu lintas terbesar adalah Amerika Serikat dan Tiongkok (masing-masing 37 dan 18 exabyte per bulan).

Pertumbuhan trafik IP tercepat pada periode 2013-2018. akan terjadi di India dan Indonesia (masing-masing rata-rata pertumbuhan tahunan sebesar 39 persen dan 37 persen).

Apa arti semua ini bagi penyedia layanan?

Jaringan penyedia layanan memerlukan peningkatan keamanan dan intelijen. Mereka harus beradaptasi untuk menghadapi meningkatnya jumlah tablet, ponsel pintar, dan perangkat komunikasi mesin-ke-mesin yang memerlukan otentikasi untuk mengakses jaringan tetap dan seluler.

Perkembangan layanan video seperti video definisi tinggi dan ultra-definisi tinggi mungkin memerlukan penyedia layanan untuk meningkatkan bandwidth dan menambahkan skalabilitas tambahan. Akan terus ada permintaan yang kuat di sektor perumahan, seluler, dan bisnis untuk akses terhadap layanan video canggih di semua jenis jaringan dan perangkat. Faktor kunci keberhasilan di sini adalah kualitas layanan, kemudahan penggunaan, dan harga.

Penerapan layanan seperti konferensi video definisi tinggi, konferensi video web, dan video bisnis sesuai permintaan secara terus-menerus di segmen bisnis dapat mendorong peningkatan pertumbuhan dalam virtualisasi jaringan dan penggunaan Internet untuk transmisi video, yang akan menyebabkan masalah tertentu baik bagi penyedia layanan maupun bagi penyedia layanan independen (penyedia over-the-top, OTT).

Pertumbuhan jaringan 4G dan penyebaran layanan terkait dapat meningkat, mengingat pengguna seluler terus menuntut layanan dan kualitas layanan serupa pada jaringan tetap dan seluler mereka.

Jaringan IP harus cerdas dan cukup fleksibel untuk mendukung aplikasi baru dan berkembang yang jumlahnya terus bertambah untuk jaringan tetap dan seluler. Dalam upaya membedakan layanannya, banyak penyedia layanan yang aktif berkolaborasi dengan pengembang aplikasi.

Anotasi: Topik terkait kualitas layanan dalam jaringan IP dibahas. Definisi ditunjukkan dan metode untuk menentukan kualitas dalam jaringan IP dijelaskan. Protokol yang digunakan untuk mencapai tingkat kualitas layanan dibahas. Perbandingan berbagai teknologi untuk memastikan kualitas layanan IP disediakan. Konsep antrian dan “algoritma untuk menanganinya” diperkenalkan

7.1. Konsep QoS

Jaringan packet-switched berdasarkan protokol IP tidak memberikan jaminan lebar pita karena mereka tidak menjamin pengiriman.

Untuk aplikasi dimana urutan dan interval kedatangan paket tidak penting, waktu tunda antar paket individu tidak menjadi masalah sangat penting. IP telephony merupakan salah satu bidang transmisi data yang mengutamakan urutan kedatangan paket dan dinamika transmisi sinyal yang disediakan. metode modern pengkodean dan transmisi informasi. Protokol transportasi tumpukan TCP/IP, yang beroperasi di atas protokol IP, tidak menyediakan berkualitas tinggi melayani lalu lintas yang sensitif terhadap penundaan. Protokol TCP, meskipun menjamin pengiriman informasi yang andal, mentransfernya dengan penundaan yang tidak dapat diprediksi. Protokol UDP, yang biasanya digunakan untuk mengangkut informasi secara real-time, memberikan latensi yang lebih rendah dibandingkan protokol TCP, namun, seperti protokol IP, tidak mengandung mekanisme kualitas layanan apa pun.

Namun, penting untuk menyediakan mekanisme yang, selama periode kemacetan, paket dengan informasi yang sensitif terhadap penundaan (misalnya, ucapan) tidak akan menganggur dalam antrian atau akan menerima prioritas lebih tinggi daripada paket dengan informasi yang tidak sensitif terhadap penundaan. Untuk tujuan ini, mekanisme harus diterapkan dalam jaringan untuk menjamin kebutuhan kualitas layanan(Kualitas Layanan - QoS).

Objektif, terukur atau dipertimbangkan indikator kualitas adalah:

perubahan penundaan jaringan;
bandwidth jaringan.

Waktu respons diperkirakan dengan:

jangka waktu sejak paket dikirimkan sampai konfirmasi diterima;
Waktu tunda koneksi end-to-end searah, disebut juga latensi ( latensi);
keluaran.

Ketersediaan dan keandalan dinilai dengan:

kemampuan untuk mendapatkan akses ke sumber daya jaringan atau tingkat pemanfaatan;
hasil pemantauan tingkat pelayanan 24/7 (dengan modus operasi 24 jam sehari, 7 hari seminggu).

Langkah-langkah QoS yang digunakan dalam jaringan IP:

Reservasi sumber daya (selama durasi koneksi, sumber daya yang diperlukan untuk menjalankan aplikasi diminta dan dicadangkan).
Prioritas lalu lintas (membagi lalu lintas jaringan ke dalam kelas-kelas dengan urutan prioritas untuk melayani beberapa di antaranya).
Perutean ulang (memungkinkan Anda mentransfer lalu lintas ke rute cadangan ketika ada kemacetan di jaringan; ini adalah metode yang digunakan untuk memastikan QoS di sebagian besar pengontrol SBC).

Dalam jaringan IP modern, langkah-langkah di atas diimplementasikan menggunakan teknologi IntServ, DiffServ dan MPLS menggunakan protokol RSVP.

7.2. Lalu lintas real-time di jaringan IP

Biasanya, sebagian besar lalu lintas VoIP terdiri dari arus informasi yang sensitif terhadap latensi. Penundaan maksimum tidak boleh melebihi 250 ms, dan ini juga termasuk waktu pemrosesan informasi di stasiun akhir. Variasi penundaan (jitter) juga perlu dijaga agar tetap minimum. Selain itu, harus diingat bahwa ketika dikompresi, informasi menjadi lebih sensitif terhadap kesalahan yang terjadi selama transmisi, dan kesalahan tersebut tidak dapat diperbaiki dengan mengirimkan ulang justru karena kebutuhan transmisi waktu nyata.

Penundaan total informasi ucapan dibagi menjadi dua bagian utama - penundaan dalam pengkodean dan penguraian kode ucapan di gateway atau peralatan terminal pengguna dan penundaan yang disebabkan oleh jaringan itu sendiri. Ada dua cara untuk mengurangi penundaan secara keseluruhan: pertama, merancang infrastruktur jaringan sedemikian rupa sehingga penundaan di dalamnya minimal, dan kedua, mengurangi waktu yang diperlukan gateway untuk memproses informasi suara.

Untuk mengurangi latensi jaringan, Anda perlu mengurangi jumlah router transit dan menghubungkannya satu sama lain melalui saluran berkecepatan tinggi. Dan untuk memperlancar variasi penundaan Anda dapat menggunakan yang berikut ini metode yang efektif, seperti mekanisme reservasi sumber daya jaringan.

Salah satu cara untuk mencegah ucapan dan informasi lain yang memerlukan transmisi real-time agar tidak berada dalam antrian bersama dengan informasi statis (data biasa, non-suara) adalah dengan mengisolasi dan mengurutkan paket yang berisi informasi suara.

7.3. Layanan yang dibedakan untuk berbagai jenis lalu lintas - Diff-Serv

Pilihan DiffServ memungkinkan Anda mengklasifikasikan paket dari lalu lintas yang menuju ke jaringan lokal. Pekerjaan DiffServ berdasarkan pengidentifikasi DSCP, yang merupakan 6 bit pertama bidang T.O.S.. DSCP menentukan bagaimana paket akan diteruskan di jaringan DiffServ (PHB, Perhop Behavior). Dengan mengubah nilai pengidentifikasi ini, berbagai jenis lalu lintas dapat diprioritaskan dalam antrian.

Model Diff-Serv menggambarkan arsitektur jaringan sebagai kumpulan wilayah tepi dan inti. Contoh jaringan menurut model Diff-Serv ditunjukkan pada Gambar 7.1.

Lalu lintas yang memasuki jaringan diklasifikasikan dan dinormalisasi oleh router edge. Normalisasi lalu lintas melibatkan pengukuran parameternya, memeriksa kepatuhan terhadap aturan yang ditentukan untuk penyediaan layanan, pembuatan profil (dalam hal ini, paket yang tidak sesuai dengan aturan yang ditetapkan dapat dihilangkan) dan operasi lainnya. Pada inti jaringan, router backbone memproses lalu lintas sesuai dengan kelas PHB, yang kodenya ditunjukkan di bidang DS.

Keuntungan model Diff-Serv:

memberikan pemahaman terpadu tentang bagaimana lalu lintas kelas tertentu harus diproses;
memungkinkan Anda membagi semua lalu lintas ke dalam sejumlah kelas yang relatif kecil dan tidak menganalisis setiap aliran informasi secara terpisah;
tidak perlu mengatur koneksi awal dan reservasi sumber daya;
tidak diperlukan kinerja tinggi peralatan jaringan.

Saat ini ada dua kelas lalu lintas yang ditentukan untuk Diff-Serv:

kelas penerusan paket mendesak (Expedited Forwarding PHB Group);
kelas penerusan paket yang dijamin (Assured Forwarding PHB Group).

Mekanisme QoS tingkat perangkat Diff-Serv mencakup operasi berikut: Paket pertama kali diklasifikasikan berdasarkan headernya. Kemudian ditandai sesuai dengan klasifikasi yang dibuat (di bidang prioritas Diff-Serv, tergantung pada penandaannya, algoritma transmisi dipilih, jika perlu - dengan penghapusan selektif paket) untuk menghindari kemacetan jaringan. Operasi terakhir paling sering terdiri dari pengorganisasian antrian berdasarkan prioritas.

7.4. Layanan terintegrasi IntServ

IntServ (Layanan Terintegrasi) lebih cocok untuk memusatkan lalu lintas di jaringan tepi IP dan tidak disarankan untuk digunakan di jaringan transit IP (karena masalah skalabilitas).

Model integrasi layanan diusulkan pada awal tahun 90an dan dikembangkan untuk melayani aliran tunggal yang disediakan dengan dua jenis layanan: dijamin dan dikelola beban. Layanan terjamin memungkinkan Anda memberikan volume lalu lintas tertentu yang dapat diukur nilai maksimal penundaan perjalanan paket dari ujung ke ujung. Layanan yang dikontrol beban memberikan volume lalu lintas tertentu dengan layanan upaya terbaik di bawah beban jaringan virtual yang rendah tanpa jaminan yang ketat.

Mari kita pertimbangkan diagram blok IntServ (Gbr. 7.2).

Beras. 7.2.

Setiap node yang mendukung IntServ harus memiliki beberapa elemen yang diperlukan:

penggolong- mengarahkan paket masuk ke salah satu kelas layanan sesuai dengan informasi yang diperoleh dari header (lapisan jaringan dan transport) paket. Kelas layanan diimplementasikan sebagai antrian terpisah. Semua paket dalam kelas layanan yang sama harus menerima QoS yang sama;
manajer paket- mengambil paket dari setiap antrian dan meneruskannya ke lapisan tautan . Manajer paket dua tahap diusulkan untuk IntServ. Semua paket masuk diproses sesuai dengan disiplin layanan WFQ untuk mengisolasi thread yang menerima layanan terjamin dari paket lainnya. Thread yang dikontrol beban dan thread dengan upaya terbaik dipisahkan menggunakan prioritas;
unit kontrol akses(kontrol penerimaan) - membuat keputusan tentang kemungkinan lalu lintas menerima jumlah sumber daya yang diperlukan, tanpa mempengaruhi jaminan yang diberikan sebelumnya. Kontrol akses dilakukan pada setiap node untuk menerima atau menolak permintaan alokasi sumber daya di sepanjang jalur aliran;
protokol reservasi sumber daya- memberi tahu peserta koneksi (pengirim, penerima, router perantara) tentang parameter layanan yang diperlukan. Untuk model IntServ, disarankan menggunakan protokol RSVP.

Model layanan IntServ yang dikombinasikan dengan RSVP (lihat di bawah) memungkinkan Anda mengatur layanan fleksibel dari berbagai jenis lalu lintas, dengan mempertimbangkan kebutuhan setiap aplikasi sebanyak mungkin, dan penggunaan WFQ untuk layanan paket menjamin latensi maksimum yang diijinkan nilai. Fitur ini menjadikan IntServ ideal untuk layanan lalu lintas multimedia.

Namun, fleksibilitas yang tinggi dan "keinginan" untuk memenuhi kebutuhan single thread adalah sumber kelemahan IntServ. Kerugian utama dari model ini dianggap rendah skalabilitas. Pertunjukan Oleh karena itu, IntServ bergantung pada jumlah thread yang diproses model layanan hampir mustahil untuk diterapkan pada jaringan dengan jutaan pengguna! Oleh karena itu, jaringan yang lebih besar memerlukan teknologi yang lebih sederhana dan terukur, dan cakupan aplikasi IntServ terbatas pada jaringan internal dan edge.

Namun kelemahan terbesar IntServ berkaitan dengan skalabilitas RSVP, terutama pada jaringan backbone berkecepatan tinggi. Memang benar, jumlah sumber daya yang dibutuhkan router untuk memproses dan menyimpan informasi RSVP meningkat sebanding dengan jumlah aliran QoS. Pengukuran lalu lintas menunjukkan bahwa sebagian besar koneksi IP end-to-end berumur sangat pendek, dengan beberapa ribu koneksi aktif yang didukung oleh router backbone pada waktu tertentu. Akibatnya, beberapa aliran IntServ pada link bandwidth tinggi secara signifikan meningkatkan beban pada router. Selain itu, setiap kali topologi berubah, semua jalur yang dicadangkan harus dipasang ulang.

7.5. Pelayanan lalu lintas yang terpadu dan terdiferensiasi

Diterbitkan pada tahun 2000, RFC2998 menjelaskan bagaimana IntServ/RSVP dan DiffServ bekerja sama untuk menyediakan QoS ujung ke ujung. Kelemahan dari satu model dikompensasi oleh solusi yang sesuai dari model lainnya. Di satu sisi, IntServ yang skalanya buruk di bagian tulang punggung jaringan dapat digantikan oleh DiffServ yang lebih sederhana, di sisi lain, dengan bantuan RSVP, masalah ketidakpastian layanan yang diterima dalam jaringan DiffServ "murni" dapat diselesaikan (jika tidak sepenuhnya, maka pada tingkat yang lebih besar).

Beras. 7.3.

Masalah utama dalam interaksi adalah korespondensi sumber daya yang diminta menggunakan RSVP dan disediakan di wilayah DiffServ (yang disebut urutan berkelanjutan dari domain DiffServ di mana layanan yang berbeda dapat disediakan). Sejumlah solusi telah diusulkan untuk menerapkan pemetaan sumber daya.

Dimungkinkan untuk mengatur dua opsi untuk interaksi protokol kualitas layanan:

Wilayah DiffServ tidak mendukung pensinyalan RSVP dan sumber daya dialokasikan secara statis;
Pesan RSVP diproses di wilayah DiffServ.

Dalam kasus pertama kolaborasi didasarkan pada perjanjian statis antara klien dan operator SLS (spesifikasi tingkat layanan). DI DALAM situasi paling sederhana ini menggambarkan jumlah bandwidth yang diterima oleh lalu lintas pengguna di jaringan DiffServ. Dalam hal ini (Gbr. 7.3), Tx (pengirim) menghasilkan pesan Path, yang dirutekan ke node Rx (penerima) melalui wilayah DiffServ.

Saat melewati wilayah DiffServ, isi pesan RSVP diabaikan dan dikirim sebagai paket data biasa. Ketika node Rx menerima pesan Path, permintaan reservasi RESV dibuat dan kemudian diteruskan kembali ke node Tx. Jika permintaan berhasil diproses oleh setiap router yang kompatibel dengan RSVP dan melewati wilayah DiffServ, pesan RESV mencapai router Er1. Er1, berdasarkan SLS, membandingkan sumber daya yang diminta dalam pesan RESV dan sumber daya yang tersedia di wilayah DiffServ. Jika Er1 menerima permintaan tersebut, pesan RESV dikirim lebih lanjut menuju node Tx. Jika tidak, pesan akan ditolak dan node Rx dikirim pesan kesalahan. Pesan yang diterima oleh node Tx mungkin berisi informasi tentang penandaan paket yang dialamatkan ke node Rx dengan kode yang sesuai. Nilai kode ditentukan secara default atau dari pesan RESV.

Opsi kedua mengasumsikan bahwa router perbatasan di wilayah DiffServ (misalnya, router Br1) mendukung protokol RSVP. Perhatikan bahwa, meskipun hanya mendukung pensinyalan RSVP aliran agregat, dan bukan yang tunggal, seperti di jaringan IntServ/RSVP. Prosedur pertukaran pesan RSVP sama seperti pada kasus sebelumnya. Namun berkat dukungannya

Halo semuanya! Pada artikel hari ini kita akan membahas tentang cara mengatur statistik pengiriman paket yang melewati router Mikrotik kita ke kolektor untuk dianalisis lebih lanjut. Kita semua tahu tentang protokol seperti Netflow, yang dirancang untuk akuntansi lalu lintas jaringan, dikembangkan oleh Cisco, dan Mikrotik memiliki implementasinya sendiri keputusan ini, yang sepenuhnya kompatibel dengan standar Cisco Netflow - Arus Lalu Lintas Mikrotik.

Selain memantau dan menganalisis lalu lintas, menggunakan Traffic Flow, administrator dapat mengidentifikasi berbagai masalah, yang mungkin muncul di jaringan, dan menganalisis serta mengoptimalkan karakteristik jaringan secara keseluruhan.

Karena Traffic Flow sepenuhnya kompatibel dengan Cisco Netflow, Traffic Flow dapat digunakan oleh berbagai utilitas yang dikembangkan untuk Netflow.

Traffic Flow mendukung versi Netflow berikut:

versi 1- Versi pertama dari format data Netflow. Disarankan untuk digunakan hanya jika tidak ada alternatif lain
versi 5- Penambahan ke versi pertama, yang menambahkan kemampuan untuk menambahkan angka sistem otonom(AS) dan nomor seri sungai
versi 9- versi baru yang memungkinkan Anda menambahkan bidang dan tipe rekaman baru berkat eksekusi templat

Pengaturan

Jadi, untuk mulai mengumpulkan informasi statistik tentang lalu lintas, Anda harus mengaktifkan Arus Lalu Lintas terlebih dahulu dan memutuskan antarmuka mana yang akan dikumpulkan. Ini dilakukan dengan menggunakan kombinasi perintah berikut:

/ip set arus lalu lintas diaktifkan=ye interfaces=ether1

Dalam kasus kami, hanya satu antarmuka, ether1, yang ditentukan, namun, jika Anda ingin mengumpulkan statistik dari beberapa antarmuka, cukup tentukan dengan dipisahkan koma. Jika dari semua - antarmuka, masukkan interfaces=all .

Anda juga dapat mengonfigurasi jumlah thread yang secara bersamaan dapat berada di memori router menggunakan perintah entri cache dan menentukan nilai yang diinginkan- (128k | 16k | 1k | 256k | 2k / 4k - bawaan)

Dengan menggunakan perintah active-flow-timeout, Anda dapat mengonfigurasi masa pakai aliran maksimum; secara default, adalah 30 menit.

Beberapa aliran mungkin menjadi tidak aktif setelah beberapa waktu, artinya, paket tidak akan dipertukarkan di dalamnya; batas waktu ini dikonfigurasi dengan perintah inactive-flow-timeout. Jika tidak ada paket dalam aliran dan waktu ini telah habis, maka aliran lalu lintas berikutnya akan membuat aliran baru jika pertukaran dilanjutkan. Standarnya adalah 15 detik, namun jika terlalu pendek dapat mengakibatkan terciptanya sejumlah besar thread terpisah dan buffer overflow.

Setelah kita mengaktifkan Arus Lalu Lintas dan memutuskan antarmuka dari mana kita ingin menerima informasi tentang arus, kita perlu mengkonfigurasi host tujuan yang akan menerima informasi ini(dalam terminologi Netflow, host seperti itu disebut kolektor). Ini dilakukan dengan menggunakan perintah berikut

Target arus lalu lintas IP

Kemudian masukkan alamat IP dan Pelabuhan UDP host tujuan - tambahkan dst-address=(IP address) port=(UDP port) . Jika Anda ingin menggunakan versi protokol tertentu, tentukan dengan perintah version= (1,5,9)

Contoh

Mari kita lihat contoh konfigurasi Traffic Flow pada router Mikrotik

Katakanlah kita ingin mengumpulkan informasi statis tentang lalu lintas yang melewati antarmuka eter3 router kami dan mengirimkannya ke kolektor di 192.168.2.123 menggunakan protokol versi 5. Dalam hal ini, konfigurasinya mungkin terlihat seperti ini:

Pertama, aktifkan Traffic Flow dan tentukan antarmukanya

/ip set arus lalu lintas diaktifkan=ye interfaces=ether3

Kemudian tunjukkan alamat kolektor, pelabuhan standar dan protokol versi 5:

/ip target arus lalu lintas tambahkan alamat-dst=192.168.2.123 port=2055 versi=5

Jika Anda lebih suka utilitas konsol Kotak Win, lalu untuk mengonfigurasi Arus Lalu Lintas di menu sebelah kiri, buka item AKU P dan pilih Arus Lalu Lintas, jendela berikut akan terbuka di depan Anda:

Anda harus mengaktifkan Arus Lalu Lintas dengan mencentang kotak di sebelahnya Diaktifkan dan pilih antarmuka yang diinginkan untuk mengumpulkan informasi.

Setelah itu, buka tab Target dan tambahkan parameter kolektor, cukup masukkan alamat IP, port dan versi. Setelah ini, klik tombolnya Menerapkan

Setelah ini, router kami akan mulai mengirimkan informasi ke kolektor. Jika Anda ingin menentukan beberapa kolektor, hal ini dapat dilakukan dengan menggunakan versi protokol dan nomor port UDP yang berbeda.

Apakah artikel ini bermanfaat bagi Anda?

Tolong beri tahu saya alasannya?

Kami mohon maaf karena artikel ini tidak bermanfaat bagi Anda: (Tolong, jika tidak sulit, sebutkan alasannya? Kami akan sangat berterima kasih atas jawaban detailnya. Terima kasih telah membantu kami menjadi lebih baik!

Setiap administrator cepat atau lambat menerima instruksi dari manajemen: “hitung siapa yang online dan berapa banyak yang mereka unduh.” Bagi penyedia, hal ini dilengkapi dengan tugas “membiarkan siapa pun yang membutuhkannya, menerima pembayaran, membatasi akses.” Apa yang harus dihitung? Bagaimana? Di mana? Ada banyak informasi yang terpisah-pisah, tidak terstruktur. Kami akan menyelamatkan admin pemula dari pencarian yang membosankan dengan memberinya pengetahuan umum dan tautan berguna ke perangkat keras.
Pada artikel ini saya akan mencoba menjelaskan prinsip-prinsip pengorganisasian pengumpulan, akuntansi dan pengendalian lalu lintas di jaringan. Kami akan mempertimbangkan masalah masalah dan daftarnya cara yang mungkin Mengambil informasi dari perangkat jaringan.

Ini adalah artikel teoretis pertama dalam serangkaian artikel yang ditujukan untuk pengumpulan, akuntansi, pengelolaan dan penagihan lalu lintas dan sumber daya TI.

Struktur akses internet

Secara umum, struktur akses jaringan terlihat seperti ini:

Sumber daya eksternal - Internet, dengan semua situs, server, alamat, dan hal-hal lain yang bukan milik jaringan yang Anda kendalikan.
Perangkat akses – router (berbasis perangkat keras atau PC), switch, server VPN atau konsentrator.
Sumber daya internal adalah sekumpulan komputer, subnet, pelanggan yang operasinya di jaringan harus diperhitungkan atau dikendalikan.
Server manajemen atau akuntansi adalah perangkat yang menjalankan perangkat lunak khusus. Dapat digabungkan secara fungsional dengan router perangkat lunak.

Dalam struktur ini, lalu lintas jaringan berpindah dari sumber daya eksternal ke sumber daya internal, dan kembali melalui perangkat akses. Ini mengirimkan informasi lalu lintas ke server manajemen. Server kontrol memproses informasi ini, menyimpannya dalam database, menampilkannya, dan mengeluarkan perintah pemblokiran. Namun, tidak semua kombinasi perangkat akses (metode) serta metode pengumpulan dan pengendalian kompatibel. TENTANG berbagai pilihan dan akan dibahas di bawah ini.

Lalu lintas jaringan

Pertama, Anda perlu mendefinisikan apa yang dimaksud dengan “lalu lintas jaringan” dan informasi statistik berguna apa yang dapat diambil dari aliran data pengguna.
Protokol internetworking yang dominan masih IP versi 4. Protokol IP sesuai dengan lapisan 3 model OSI (L3). Informasi (data) antara pengirim dan penerima dikemas ke dalam paket - memiliki header dan “payload”. Header menentukan asal dan tujuan paket (alamat IP pengirim dan tujuan), ukuran paket, dan jenis payload. Sebagian besar lalu lintas jaringan terdiri dari paket dengan muatan UDP dan TCP - ini adalah protokol Layer 4 (L4). Selain alamat, header kedua protokol ini berisi nomor port yang menentukan jenis layanan (aplikasi) yang mentransmisikan data.

Untuk mengirimkan paket IP melalui kabel (atau radio), perangkat jaringan dipaksa untuk “membungkus” (merangkum) paket protokol Layer 2 (L2). Protokol yang paling umum dari jenis ini adalah Ethernet. Transmisi sebenarnya “ke kabel” terjadi pada tingkat pertama. Biasanya, perangkat akses (router) tidak menganalisis header paket pada level yang lebih tinggi dari level 4 (pengecualiannya adalah firewall cerdas).
Informasi dari bidang alamat, port, protokol dan penghitung panjang dari header L3 dan L4 paket data merupakan “bahan mentah” yang digunakan dalam akuntansi dan manajemen lalu lintas. Sebenarnya volumenya informasi yang ditransmisikan ditemukan di bidang Panjang header IP (termasuk panjang header itu sendiri). Omong-omong, karena fragmentasi paket karena mekanisme MTU, jumlah total data yang dikirimkan selalu sama ukuran lebih besar muatan.

Total panjang yang menarik bagi kami dalam konteks ini Bidang IP dan TCP/UDP pada paket membentuk 2...10% dari total panjang paket. Jika Anda memproses dan menyimpan semua informasi ini batch demi batch, sumber daya tidak akan cukup. Untungnya, sebagian besar lalu lintas disusun terdiri dari serangkaian “percakapan” antara perangkat jaringan eksternal dan internal, yang disebut “aliran”. Misalnya dalam satu operasi penerusan e-mail(Protokol SMTP) sesi TCP dibuka antara klien dan server. Hal ini ditandai dengan serangkaian parameter yang konstan (alamat IP sumber, port TCP sumber, alamat IP tujuan, port TCP tujuan). Daripada memproses dan menyimpan informasi batch demi paket, jauh lebih mudah untuk menyimpan parameter aliran (alamat dan port), serta informasi tambahan– jumlah dan jumlah panjang paket yang ditransmisikan di setiap arah, durasi sesi, indeks antarmuka router, nilai bidang ToS, dll. Pendekatan ini bermanfaat untuk protokol berorientasi koneksi (TCP), yang memungkinkan untuk secara eksplisit mencegat penghentian sesi. Namun, bahkan untuk protokol yang tidak berorientasi sesi, dimungkinkan untuk melakukan agregasi dan penyelesaian logis dari rekaman aliran berdasarkan, misalnya, batas waktu. Di bawah ini adalah kutipan dari database SQL sistem penagihan kami, yang mencatat informasi tentang arus lalu lintas:

Perlu diperhatikan kasus ketika perangkat akses melakukan terjemahan alamat (NAT, masquerading) untuk mengatur akses Internet untuk komputer jaringan lokal menggunakan satu alamat IP publik eksternal. Dalam hal ini, mekanisme khusus menggantikan alamat IP dan port TCP/UDP dari paket lalu lintas, menggantikan alamat internal (tidak dapat dirutekan di Internet) sesuai dengan tabel terjemahan dinamisnya. Dalam konfigurasi ini, perlu diingat bahwa untuk mencatat data pada host jaringan internal dengan benar, statistik harus dikumpulkan dengan cara dan di tempat di mana hasil terjemahan belum “menganonimkan” alamat internal.

Metode untuk mengumpulkan informasi lalu lintas/statistik

Anda dapat menangkap dan memproses informasi tentang lalu lintas yang lewat langsung pada perangkat akses itu sendiri (router PC, server VPN), mentransfernya dari perangkat ini ke server terpisah (NetFlow, SNMP), atau “dari kabel” (ketuk, SPAN). Mari kita lihat semua opsi secara berurutan.

router komputer

Mari kita pertimbangkan kasus paling sederhana - perangkat akses (router) berdasarkan PC yang menjalankan Linux.

Cara mengatur server seperti itu, terjemahan alamat dan perutean, banyak yang telah ditulis. Kami tertarik pada langkah logis berikutnya - informasi tentang cara memperoleh informasi tentang lalu lintas yang melewati server tersebut. Ada tiga metode umum:

mencegat (menyalin) paket yang melewati kartu jaringan server menggunakan perpustakaan libpcap
mencegat paket yang melewati built-in firewall
penggunaan alat pihak ketiga mengubah statistik paket demi paket (diperoleh dengan salah satu dari dua metode sebelumnya) menjadi aliran informasi aliran bersih agregat

Libpcap

Dalam kasus pertama, salinan paket yang melewati antarmuka, setelah melewati filter (man pcap-filter), dapat diminta oleh program klien di server yang ditulis menggunakan perpustakaan ini. Paket tiba dengan header layer 2 (Ethernet). Dimungkinkan untuk membatasi panjang informasi yang ditangkap (jika kita hanya tertarik pada informasi dari headernya). Contoh program tersebut adalah tcpdump dan Wireshark. Ada implementasi libpcap untuk Windows. Jika terjemahan alamat digunakan pada router PC, intersepsi tersebut hanya dapat dilakukan pada router tersebut antarmuka internal terhubung ke pengguna lokal. Pada antarmuka eksternal,Setelah disiarkan, paket IP tidak berisi informasi tentang host internal jaringan. Namun, dengan metode ini tidak mungkin memperhitungkan lalu lintas yang dibuat oleh server itu sendiri di Internet (yang penting jika menjalankan web atau layanan pos).

libpcap membutuhkan dukungan dari luar sistem operasi, yang saat ini berarti menginstal satu perpustakaan. Dalam hal ini, program aplikasi (pengguna) yang mengumpulkan paket harus:

buka antarmuka yang diperlukan
tentukan filter yang akan digunakan untuk meneruskan paket yang diterima, ukuran bagian yang ditangkap (snaplen), ukuran buffer,
atur parameter promisc, yang menempatkan antarmuka jaringan ke mode pengambilan untuk semua paket yang lewat, dan bukan hanya paket yang dialamatkan ke alamat MAC antarmuka ini
mengatur fungsi (panggilan balik) yang dipanggil pada setiap paket yang diterima.

Ketika sebuah paket ditransmisikan melalui antarmuka yang dipilih, setelah melewati filter, fungsi ini menerima buffer yang berisi Ethernet, (VLAN), IP, dll. header, ukuran total hingga snaplen. Karena perpustakaan libcap menyalin paket, ia tidak dapat digunakan untuk memblokir jalurnya. Dalam hal ini, program pengumpulan dan pemrosesan lalu lintas harus menggunakan metode alternatif, seperti memanggil skrip untuk menempatkan alamat IP tertentu dalam aturan pemblokiran lalu lintas.

tembok api

Menangkap data yang melewati firewall memungkinkan Anda memperhitungkan lalu lintas server itu sendiri dan lalu lintas pengguna jaringan, bahkan ketika terjemahan alamat sedang berjalan. Hal utama dalam hal ini adalah merumuskan aturan penangkapan dengan benar dan menerapkannya tempat yang tepat. Aturan ini mengaktifkan penerusan paket perpustakaan sistem, dari mana aplikasi akuntansi dan manajemen lalu lintas dapat menerimanya. Untuk OS Linux, iptables digunakan sebagai firewall, dan alat intersepsi adalah ipq, netfliter_queue atau ulog. Untuk OC FreeBSD – ipfw dengan aturan seperti tee atau divert. Bagaimanapun, mekanisme firewall dilengkapi dengan kemampuan untuk bekerja dengan program pengguna dengan cara berikut:

Program pengguna - pengendali lalu lintas mendaftarkan dirinya ke dalam sistem menggunakan panggilan sistem, atau perpustakaan.
Program pengguna atau skrip eksternal memasang aturan di firewall, “membungkus” lalu lintas yang dipilih (sesuai aturan) di dalam pengendali.
Untuk setiap paket yang lewat, pengendali menerima isinya dalam bentuk buffer memori (dengan header IP, dll. Setelah pemrosesan (akuntansi), program juga harus memberi tahu kernel sistem operasi apa yang harus dilakukan selanjutnya dengan paket tersebut - buang saja atau meneruskannya. Alternatifnya, dimungkinkan untuk meneruskan paket yang dimodifikasi ke kernel.

Karena paket IP tidak disalin, tetapi dikirim ke perangkat lunak untuk dianalisis, paket tersebut dapat "dikeluarkan", dan oleh karena itu, membatasi seluruh atau sebagian lalu lintas jenis tertentu (misalnya, ke pelanggan jaringan lokal yang dipilih). Namun, jika program aplikasi berhenti merespons kernel tentang keputusannya (misalnya macet), lalu lintas melalui server akan diblokir begitu saja.
Perlu dicatat bahwa mekanisme yang dijelaskan, dengan volume lalu lintas yang ditransmisikan secara signifikan, menciptakan beban berlebihan pada server, yang terkait dengan penyalinan data secara konstan dari kernel ke program pengguna. Metode pengumpulan statistik di tingkat kernel OS, dengan keluaran statistik agregat ke program aplikasi melalui protokol NetFlow, tidak memiliki kelemahan ini.

aliran bersih

Protokol ini dikembangkan oleh Cisco Systems untuk mengekspor informasi lalu lintas dari router untuk tujuan penghitungan dan analisis lalu lintas. Versi 5 yang paling populer sekarang memberi penerima aliran data terstruktur dalam bentuk paket UDP yang berisi informasi tentang lalu lintas masa lalu dalam bentuk apa yang disebut catatan aliran:

Jumlah informasi lalu lintas beberapa kali lipat lebih kecil daripada lalu lintas itu sendiri, yang sangat penting dalam jaringan besar dan terdistribusi. Tentu saja, tidak mungkin memblokir transfer informasi saat mengumpulkan statistik melalui netflow (kecuali jika mekanisme tambahan digunakan).
Saat ini menjadi populer pengembangan lebih lanjut Protokol ini adalah versi 9, berdasarkan pada struktur catatan aliran templat, implementasi untuk perangkat dari produsen lain (sFlow). Baru-baru ini, standar IPFIX diadopsi, yang memungkinkan statistik ditransmisikan melalui protokol pada tingkat yang lebih dalam (misalnya, berdasarkan jenis aplikasi).
Implementasi sumber netflow (agen, probe) tersedia untuk router PC, baik dalam bentuk utilitas yang bekerja sesuai dengan mekanisme yang dijelaskan di atas (flowprobe, softflowd), dan langsung dibangun ke dalam kernel OS (FreeBSD:, Linux:). Untuk router perangkat lunak, aliran statistik netflow dapat diterima dan diproses secara lokal di router itu sendiri, atau dikirim melalui jaringan (protokol transfer - melalui UDP) ke perangkat penerima (kolektor).

Program kolektor dapat mengumpulkan informasi dari banyak sumber sekaligus, mampu membedakan lalu lintasnya bahkan dengan ruang alamat yang tumpang tindih. Dengan menggunakan alat tambahan seperti nprobe, dimungkinkan juga untuk melakukan agregasi data tambahan, bifurkasi aliran, atau konversi protokol, yang penting saat mengelola jaringan besar dan terdistribusi dengan lusinan router.

dukungan fungsi ekspor netflow router Cisco Sistem, Mikrotik, dan beberapa lainnya. Fungsi serupa (dengan protokol ekspor lainnya) didukung oleh semua produsen besar peralatan jaringan.

Libpcap "di luar"

Mari kita mempersulit tugas ini sedikit. Bagaimana jika perangkat akses Anda adalah router perangkat keras dari pabrikan lain? Misalnya D-Link, ASUS, Trendnet, dll. Kemungkinan besar tidak mungkin untuk menginstal tambahan alat perangkat lunak pengumpulan data. Sebagai pilihan - perangkat pintar Anda memiliki akses, tetapi tidak mungkin untuk mengonfigurasinya (Anda tidak memiliki hak, atau dikelola oleh penyedia Anda). Dalam hal ini, Anda dapat mengumpulkan informasi tentang lalu lintas secara langsung pada titik di mana perangkat akses bertemu dengan jaringan internal, menggunakan alat penyalin paket “perangkat keras”. Dalam hal ini, Anda pasti memerlukan server terpisah dengan kartu jaringan khusus untuk menerima salinan paket Ethernet.
Server harus menggunakan mekanisme pengumpulan paket menggunakan metode libpcap yang dijelaskan di atas, dan tugas kita adalah mengirimkan aliran data yang identik dengan yang berasal dari server akses ke input kartu jaringan yang didedikasikan untuk tujuan ini. Untuk ini, Anda dapat menggunakan:

Ethernet - hub: perangkat yang meneruskan paket antar semua portnya tanpa pandang bulu. Dalam kenyataan modern, ini dapat ditemukan di suatu tempat di gudang berdebu, dan tidak disarankan menggunakan metode ini: tidak dapat diandalkan, kecepatan rendah (tidak ada hub dengan kecepatan 1 Gbit/s)
Ethernet - sakelar dengan kemampuan untuk mencerminkan (mencerminkan, port SPAN. Sakelar cerdas (dan mahal) modern memungkinkan Anda menyalin semua lalu lintas (masuk, keluar, keduanya) dari antarmuka fisik lain, VLAN, termasuk jarak jauh (RSPAN) ke yang ditentukan pelabuhan
Pemisah perangkat keras, yang mungkin memerlukan instalasi untuk mengumpulkan dua kartu jaringan bukannya satu - dan ini merupakan tambahan dari sistem utama.

Secara alami, Anda dapat mengkonfigurasi port SPAN pada perangkat akses itu sendiri (router), jika memungkinkan - Cisco Catalyst 6500, Cisco ASA. Berikut adalah contoh konfigurasi untuk switch Cisco:
pantau sesi 1 sumber vlan 100! dari mana kami mendapatkan paketnya?
pantau antarmuka tujuan sesi 1 Gi6/3! di mana kami mengeluarkan paket?

SNMP

Bagaimana jika kami tidak memiliki router di bawah kendali kami, kami tidak ingin menghubungi netflow, kami tidak tertarik dengan detail lalu lintas pengguna kami. Mereka hanya terhubung ke jaringan melalui saklar yang dikelola, dan kita hanya perlu memperkirakan secara kasar jumlah lalu lintas yang menuju ke masing-masing portnya. Seperti yang Anda ketahui, perangkat jaringan dengan kendali jarak jauh mendukung dan dapat menampilkan penghitung paket (byte) yang melewati antarmuka jaringan. Untuk melakukan polling, sebaiknya menggunakan protokol manajemen jarak jauh standar SNMP. Dengan menggunakannya, Anda cukup mendapatkan tidak hanya nilai penghitung yang ditentukan, tetapi juga parameter lain, seperti nama dan deskripsi antarmuka, alamat MAC yang terlihat melaluinya, dan lainnya informasi yang berguna. Hal ini dilakukan oleh utilitas baris perintah(snmpwalk), browser SNMP grafis, dan program pemantauan jaringan yang lebih kompleks (rrdtools, cacti, zabbix, whats up gold, dll.). Namun, metode ini memiliki dua kelemahan signifikan:

memblokir lalu lintas hanya dapat dilakukan dengan menonaktifkan antarmuka sepenuhnya, menggunakan SNMP yang sama
penghitung lalu lintas yang diambil melalui SNMP mengacu pada jumlah panjang paket Ethernet (unicast, siaran, dan multicast secara terpisah), sedangkan alat lainnya yang dijelaskan sebelumnya memberikan nilai relatif terhadap paket IP. Hal ini menciptakan perbedaan yang nyata (terutama pada paket pendek) karena overhead yang disebabkan oleh panjang header Ethernet (namun, hal ini kira-kira dapat diatasi: L3_byte = L2_byte - L2_packets * 38).

VPN

Secara terpisah, ada baiknya mempertimbangkan kasus akses pengguna ke jaringan dengan secara eksplisit membuat koneksi ke server akses. Contoh klasik dapat berfungsi sebagai dial-up lama yang bagus, analognya di dunia modern adalah layanan VPN akses jarak jauh(PPTP, PPPoE, L2TP, OpenVPN, IPSEC)

Perangkat akses tidak hanya merutekan lalu lintas IP pengguna, tetapi juga bertindak sebagai server VPN khusus dan mengakhiri terowongan logis (sering kali dienkripsi) di mana lalu lintas pengguna ditransmisikan.
Untuk memperhitungkan lalu lintas tersebut, Anda dapat menggunakan semua alat yang dijelaskan di atas (dan alat tersebut sangat cocok untuk analisis mendalam berdasarkan port/protokol), serta mekanisme tambahan yang menyediakan alat kontrol akses VPN. Pertama-tama, kita akan membahas tentang protokol RADIUS. Karyanya adalah topik yang agak rumit. Kami akan menyebutkan secara singkat bahwa kontrol (otorisasi) akses ke server VPN (klien RADIUS) dikendalikan oleh aplikasi khusus(server RADIUS), yang memiliki database di belakangnya ( berkas teks SQL Direktori Aktif) mengizinkan pengguna dengan atributnya (batas kecepatan koneksi, alamat IP yang ditetapkan). Selain proses otorisasi, klien secara berkala mengirimkan pesan akuntansi ke server, informasi tentang status setiap sesi VPN yang sedang berjalan, termasuk penghitung byte dan paket yang ditransfer.

Kesimpulan

Mari kita satukan semua metode pengumpulan informasi lalu lintas yang dijelaskan di atas:

Mari kita rangkum. Dalam praktiknya, ada banyak metode untuk menghubungkan jaringan yang Anda kelola (dengan klien atau pelanggan kantor) ke infrastruktur jaringan eksternal, menggunakan sejumlah alat akses - router perangkat lunak dan perangkat keras, sakelar, server VPN. Namun, dalam hampir semua kasus, Anda dapat membuat skema di mana informasi tentang lalu lintas yang dikirimkan melalui jaringan dapat dikirim ke perangkat lunak atau perangkat keras untuk dianalisis dan dikelola. Mungkin juga alat ini mengizinkannya masukan dengan perangkat akses, menggunakan algoritma pembatasan akses cerdas untuk klien individu, protokol, dan banyak lagi.
Di sinilah saya akan menyelesaikan analisis materi. Sisa topik yang belum terjawab adalah:

bagaimana dan ke mana perginya data lalu lintas yang dikumpulkan
perangkat lunak akuntansi lalu lintas
Apa perbedaan antara penagihan dan “penghitung” sederhana
Bagaimana Anda bisa menerapkan pembatasan lalu lintas?
akuntansi dan pembatasan situs web yang dikunjungi

Dilihat: 3498

Setiap administrator cepat atau lambat menerima instruksi dari manajemen: “hitung siapa yang online dan berapa banyak yang mereka unduh.” Bagi penyedia, hal ini dilengkapi dengan tugas “membiarkan siapa pun yang membutuhkannya, menerima pembayaran, membatasi akses.” Apa yang harus dihitung? Bagaimana? Di mana? Ada banyak informasi yang terpisah-pisah, tidak terstruktur. Kami akan menyelamatkan admin pemula dari pencarian yang membosankan dengan memberinya pengetahuan umum dan tautan berguna ke perangkat keras.
Pada artikel ini saya akan mencoba menjelaskan prinsip-prinsip pengorganisasian pengumpulan, akuntansi dan pengendalian lalu lintas di jaringan. Kami akan melihat masalahnya dan membuat daftar cara yang mungkin untuk mengambil informasi dari perangkat jaringan.

Ini adalah artikel teoretis pertama dalam serangkaian artikel yang ditujukan untuk pengumpulan, akuntansi, pengelolaan dan penagihan lalu lintas dan sumber daya TI.