Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тестируем регулировщики трафика территориально распределенных сетей

Майкл Дж. Димариа

Если вам хронически не хватает емкости каналов WAN, то призвать к порядку "лихачей", бесчинствующих в вашей сети, помогут специализированные устройства профилирования трафика. Протестировав пять таких устройств, мы присвоили почетное звание "Лучший регулировщик" продукту компании Packeteer.

Если пропускной способности корпоративных ЛВС, как правило, пользователям хватает с избытком, то каналы территориально распределенных сетей (WAN) подчас не справляются с нагрузкой, что отрицательно сказывается на работе критически важных и чувствительных к задержкам бизнес-приложений. Столкнувшись с этим, знайте, что у вас есть два пути исправить это: купить дополнительные каналы связи или оптимальней использовать уже имеющиеся у вас. Первый путь - очень дорогостоящий. Кроме того, чувствительные к задержкам и ширине полосы пропускания приложения, такие, как потоковое видео, всегда должны быть обеспечены некоторым минимумом пропускной способности, а этого вы не сможете гарантировать только за счет покупки дополнительных линий. Есть, конечно еще стандарты качества обслуживания (QoS), такие, как DiffServ (Differentiated Services) и MPLS (Multiprotocol Label Switching), но они предназначены только для приоритизации трафика и не гарантируют необходимого минимума пропускной способности.

Вместе с тем устройства профилирования трафика (traffic shapers) не только приоритизируют его, но и обеспечивают пресловутый минимум, что делает их экономически эффективной альтернативой вышеупомянутому пути. Эти устройства, с одной стороны, ограничивают потребление полосы пропускания приложениями-"обжорами", предоставляя необходимый минимум пользователям, группам и протоколам, с другой - позволяют лучше использовать WAN-соединения, сглаживая пульсирующий (bursty) трафик. Например, даже при широкой полосе пропускания вашему трафику, предположим, VoIP, может мешать трафик столь же важный, но менее чувствительный к задержкам, скажем, FTP или удаленное резервное копирование.

Решив протестировать устройства профилирования трафика, мы в первую очередь постарались разработать критерии их оценки. В данном случае мы предпочли сосредоточить свое внимание исключительно на устройствах QoS. Вы можете спросить нас: а зачем, собственно, брать специализированное устройство, когда многие маршрутизаторы уже обладают средствами QoS? Ответ: потому что дополнительная нагрузка может отрицательно сказаться на их производительности. Подробнее об этом мы поговорим ниже.

Мы тестировали специализированные устройства профилирования трафика на линии T3 при скорости 45 Мбит/с. Обычно производители предлагают несколько вариантов своих продуктов с одинаковами механизмами работы и интерфейсами, но предназначенных для различных скоростей. Так, вы можете купить недорогое устройство для линии 128 Кбит/с, либо дорогое, способное работать на скорости 200 Мбит/с. Оценивая устройства профилирования трафика, мы решили исходить из их возможностей по управлению пропускной способностью, качества отчетов и интерфейса администратора, а также распознавания ими различных сетевых протоколов и - само собой разумеется - цены.

Участие в тестировании приняли компании Allot Communications, Lightspeed Systems, NetReality, Packeteer, Radware и Sitara Networks. Фирма NetReality, которую, как нам стало известно позже, приобрела Allot, отказалась от него.

Время на разведку

Средство генерации отчетов - первое из всех имеющихся средств, которым вы воспользуетесь еще до начала профилирования трафика. Исходная задача состоит в том, чтобы идентифицировать "неуемных" потребителей полосы пропускания, мешающих работе более важных и чувствительных к задержкам протоколов. Хороший отчет должен предоставить вам исчерпывающие данные о наиболее активных протоколах, серверах и клиентах. Это очень важно, поскольку нельзя эффективно профилировать график, не установив источник проблем. Надо знать, что же замедляет работу вашей сети: трафик HTTP или наличие у вас нескольких чересчур "лихих" пользователей?

Анализ трафика приложений чрезвычайно важен. Когда-то для этого мы назначали протоколам соответствующие порты, сейчас же это простое решение уже не работает. Ведь в наши дни практически все действия осуществляются через порт 80 - стандартный порт HTTP. И трафику этого порта вероятнее всего и будет разрешен проход через межсетевой экран. Наглядной иллюстрацией проблемы могут служить приложения P2P (Peer-to-Peer), печально известные генерацией огромных объемов трафика. Любой сетевой администратор расскажет вам о том, как трафиком P2P забиваются WAN-каналы. Это похоже на то, как чрезмерное употребление гамбургеров закупоривает холестерином артерии. Предположим, у вас доминирует P2P-трафик, вы же хотите выделить больше полосы пропускания Web-приложениям. Если P2P-клиент по умолчанию работает через порт 80, а ваше устройство профилирования проверяет трафик только на уровне 4, то тогда появляется проблема. Трафик P2P подпадет под действие той же политики, что и Web-трафик (более подробно о P2P см. "Политика, закон и управление профилированием трафика"). Мы инсценировали эту проблему, организовав прохождение трафика, не являющегося трафиком HTTP, через порт 80, и обнаружили, что он был классифицирован как трафик HTTP. Мы также выяснили, что устройства профилирования лучше проверяют трафик на прикладном уровне, чем на всех прочих.

И не говорите потом, что мы не предупреждали вас...

Средства управления полосой пропускания базируются на различных методах QoS. Существует несколько способов контроля, в том числе нормирование скорости TCP (TCP rate shaping) и организация очередей. Компании Packeteer и Sitara используют нормирование скорости TCP, что означает перехват и манипулирование размерами TCP-окна. Прочие протестированные нами продукты применяют организацию очередей. (Учебник по типам организации очередей и прочим схемам профилирования трафика - "Traffic Management Techniques" - см. по адресу http://www.nwc.com/1211/1211f38.html.)

Отнесемся скептически к заявлениям производителей о кочислеличестве сигнатур, которые якобы поддерживают их продукты. Некоторые из этих так называемых сигнатур на деле означают следующее: "Известно, что по умолчанию используется такой-то порт". И это при том, что некоторые протоколы могут иметь более одной сигнатуры! Продукт компании Packeteer рассматривает Kazaa как приложение с одной сигнатурой, однако может детализировать политику для таких его действий, как загрузка (upload), скачивание (download) и поиск (search). Kazaa - это всего лишь один протокол, но у него имеются три сигнатуры операций с данными. В процессе тестирования мы "привязывали" приложение Hotline к порту 80, а не к порту 5500, на котором оно обычно работает. При этом все продукты, за исключением устройства компании Packeteer, сначала идентифицировали трафик Hotline как HTTP. После добавления правила "http-authenticated" (HTTP с аутентификацией), устройство NetEnforcer компании Allot более глубоко проинспектировало порт 80 и идентифицировало трафик Hotline как не-HTTP, тогда как устройство QoSWorks QWX-10000 компании Sitara опознало этот трафик как "other-content-type" (другой тип контента). А вот продукты компаний Lightspeed и Radware не смогли осуществить более глубокую проверку.

Необходимо ли специализированное устройство?

В наше время практически все и вся, за исключением разве кухонных раковин, обладают возможностями QoS. Это и межсетевые экраны, и виртуальные частные сети, и маршрутизаторы и даже продукты для малых офисов, такие, как FortiGate компании FortiNet. Но порой здесь проявляется синдром "браться за все, да ничего не уметь", поэтому прежде чем планировать инвестиции в средства QoS, выясните следующее: выполняет ли данное устройство проверку трафика на прикладном уровне? сможете ли вы задавать правила для соединений и протоколов? получите ли отчеты по наиболее активным протоколам и пользователям?

И помните, что профилирование трафика означает дополнительный расход ресурсов ЦПУ. Ваш же межсетевой экран может оказаться перегруженным еще до того, как приступит к выполнению функций QoS. В то же время специализированные устройства берут на себя всю нагрузку по поддержке качества обслуживания и при этом могут обеспечить детализированный контроль за использованием полосы пропускания. Протестированные нами QoS-устройства поддерживают спектры скоростей и наборы правил в самых широких пределах, что гарантирует их масштабируемость по мере роста вашей WAN-сети. Разумеется, что помимо цены, и у интегрированных решений имеется свои преимущества. Это, например, единый интерфейс управления. Да и что немаловажно, вам придется обслуживать меньше единиц оборудования.

По итогам нашего тестирования продукты компаний Packeteer и Allot заняли соответственно первое и второе места. Решение компании Sitara тоже показало хорошие результаты, но его интерфейс администратора оказался слишком запутанным. Продукт Total Traffic Control компании Lightspeed обладает приличными средствами генерации отчетов, но по управлению полосой пропускания и интерфейсу он не дотягивает до уровня продуктов конкурентов. Устройство Radware является дополнением к фирменному коммутатору приложений, но не обладает таким богатым набором средств, как прочие протестированные нами продукты. Однако при наличии у вас коммутаторов Radware, данный продукт окажется вне конкуренции по цене.

Полную версию данной статьи смотрите во 2-ом номере журнала за 2003 год.

PacketShaper 4500 компании Packeteer

Данный продукт обеспечивает самую высокую степень детализации политики, имеет впечатляющий механизм классификации протоколов и обладает наилучшим, с нашей точки зрения, пользовательским интерфейсом. Он представляет собой монтируемый в стойку блок высотой 2U с двумя портами 10/100 Мбит/c Ethernet (добавив еще два модуля расширения, вы можете в сумме получить шесть портов). У него есть и интерфейс командной строки, но большинство действий по конфигурированию осуществляются через Web-браузер. В отличие от всех прочих продуктов Web-интерфейс PacketShaper 4500 выполнен исключительно на основе стандарта HTML - без Java-аплетов и Win32-приложений.

Устройство имеет реле для бесперебойной передачи данных (pass-through failover relay), которое включается при отказе сети электропитания. Во время загрузки файла мы отсоединили питающий шнур от розетки, но передача, тем не менее, продолжилась, хотя, очевидно, что без контроля QoS. Продукты компаний Allot и Sitara тоже предоставляют такую возможность.

Сначала вы, вероятно, запустите PacketShaper в режиме мониторинга, чтобы получить список используемых протоколов и установить источники проблем. Протоколам назначаются так называемые "классы", и для любого из них может быть задана соответствующая политика. Протоколы, жадно поглощающие полосу пропускания либо наиболее часто появляющиеся, попадут в класс traffic. Изредка появляющиеся протоколы будут отнесены к классу default. Вы можете создавать подклассы, исходя из имен и адресов хостов, номеров подсетей и портов; трафики Citrix и HTTP могут быть детализированы еще глубже. Каждому классу можно выделить свой "кусок" полосы пропускания, задав максимальную и минимальную скорости передачи данных.

Мы установили следующую политику: трафику HTTP отводится минимум 20 Кбит/с, кратковременные пиковые значения скорости ограничиваются 50 Кбит/с при среднем ее значении для каждого соединения21 Кбит/с. Если для обеспечения этих параметров емкости каналов оказывается недостаточно, у вас есть выбор: либо запретить трафик, либо постараться "втиснуть" его куда только можно, либо (в случае Web-трафика) перенаправить его на альтернативный URL-адрес.

Управление приоритетами

Кроме назначения каждому классу минимума и максимума пропускной способности, вы можете также контролировать трафик, присваивая ему разные уровни приоритета - от 0 до 7 - с тем, чтобы трафику с более высоким приоритетом доставалась и более широкая полоса пропускания. Кроме того, можно присваивать более высокий или более низкий уровень приоритета пульсирующему трафику. При равных приоритетах выделение полосы пропускания зависит от числа транзакций. Мы назначили Web- и FTP-трафикам равные приоритеты, сымитировав пять пользователей Web и десять FTP. В результате чего Web-трафик получил полосу пропускания 15 Мбит/с вместо стандартной 22 Мбит/с.

Одной из наиболее примечательных функциональных возможностей PacketShaper является динамическое разбиение классов. Вы можете автоматически создавать подразделы (subpartitions) для подсетей и IP-адресов, как внутренних так и внешних. Мы создали подраздел для всего входящего трафика, назначив ему полосу пропускания 1 Мбит/с. Когда мы инициировали FTP- и Web-сеансы на одной машине, то вместе они получили только 1 Мбит/с. Устройство компании Allot имеет аналогичную функциональность, но сначала вам нужно будет сформировать список IP-адресов вручную, в продукте же компании Packeteer все полностью автоматизировано. Вы также можете создавать динамические подразделы для протоколов.

С генерацией отчетов устройство PacketShaper справляется хорошо, но эту процедуру все-таки следует усовершенствовать. Отчеты по классам и протоколам создаются в одном окне графического интерфейса, а отчеты по функционированию сети (например, по пропускной способности и повторным передачам) - в другом. Нам хотелось бы объединить их. Кроме того, мы не могли графически отобразить текущие данные (продукт Allot предоставляет такую возможность), вместо этого нам пришлось изучать ретроспективные графики минутной давности, обновляя каждый из них вручную. Не слишком большой недостаток с точки зрения функциональности, но все же делать это неудобно.

NetEnforcer AC-302 4.2.2 компании Allot Communications

Устройство компании Allot высотой 1U не произвело на нас столь большого впечатления, как продукт PacketShaper, тем не менее оно заняло почетное второе место. Конфигурировать NetEnforcer можно как из командной строки, так и посредством Java-аплета - его управляющий интерфейс оказался лучшим из всех протестированных нами, хотя и не столь простым, как у PacketShaper. Устройство поставляется с двумя портами 10/100 Мбит/c Ethernet и дополнительным портом, который можно использовать только для нужд управления (благодаря ему вы можете управлять устройством минуя ЛВС). Никаких модулей расширения для NetEnforcer не предусмотрено.

Формирование политики оказалось делом простым, но трудности возникли с взаимным анализом правил из-за того, что переметры QoS, такие, как максимум и минимум ширины полосы пропускания, не отображаются в окне редактора. Вместе с тем здесь легко можно создавать "шаблонную" политику. Так, например, мы сформировали политику, ограничивающую скорость для каждого соединения в пределах 2 Мбит/с. После этого мы могли применять эту политику к трафикам HTTP, FTP и любым другим. Если позже мы меняли ограничение скорости с 2 Мбит/с на 3 Мбит/с, то соответствующие изменения осуществлялись для всех этих протоколов автоматически и незамедлительно.

NetEnforcer поддерживает автоматическую генерацию списка хостов, на тот случай, если вы захотите, чтобы хост создавался для каждого IP-адреса вашей сети. Хосты затем можно объединять в группы, и к этим группам применять ту или иную политику. Эта возможность будет полезна для сетей с динамическими IP-адресами, если вы целиком включите пул DHCP в соответствующую группу.

Мы заставили программу-мастер создать хосты для всех узлов нашей сети, объединив их в группу nwc.syr.edu. Затем к этой группе мы применили политику, ограничивающую трафик скоростью 2 Мбит/с на каждый IP-адрес. Неважно, какие IP-адреса назначались сервером DHCP нашим тестовым машинам, - они получали только оговоренные 2 Мбит/с. В этом случае недостаток продукта NetEnforcer состоит в том, что внесенные в политику изменения вступают в силу только для вновь устанавливаемых соединений. Запустив несколько FTP-сессий, мы задействовали правило, ограничивающее скорость FTP-трафика 100 Кбит/с. Однако текущие сессии продолжали поглощать всю полосу пропускания до тех пор, пока не завершились.

Мы столкнулись с проблемой и при тестировании передачи видеопотоков. Под видео нами была выделена полоса пропускания 3 Мбит/с, а соответствующему трафику назначен обычный (normal) приоритет. Однако, когда WAN-магистраль оказалась забита Web-трафиком, передававшийся на скорости 1,6 Мбит/с ролик QuickTime не получил гарантированного минимума полосы пропускания. Необходимый минимум был обеспечен только после того, как мы повысили его приоритет.

Наблюдение за пользователями

Вы можете экспортировать данные продуктов NetEnforcer и Packeteer в службу Radius для учета использования ресурсов. Интернет-провайдерам эта возможность наверняка понравится, поскольку поможет учитывать потребление полосы пропускания. NetEnforcer также обеспечивает некоторую степень защиты от DoS-атак, так как вы можете ограничить число соединений, в частности, устанавливаемых в единицу времени. Все нарушающие эти ограничения соединения могут быть либо разрешены без обеспечения QoS, либо запрещены.

Генерируемые устройством NetEnforcer отчеты лучше тех, что предоставляет Packeteer, и это может повлиять на ваш выбор, если вы намерены демонстрировать их. Каждый набор статистических данных может быть представлен в виде таблицы и разнообразных диаграмм. Однако несколько странно, что демонстрируется не более пяти графиков одновременно. Когда же мы попытались открыть шестой график, нам было предложено закрыть один из уже открытых. Компания Allot обещает, что в следующей версии ПО будет разрешено открывать до десяти графиков одновременно, но и это ограничение представляется нам необязательным. Еще мы обнаружили ошибку в графическом интерфейсе этого продукта: в списке наиболее активных клиентов/серверов было перепутано направление передачи данных, - в результате клиенты оказались серверами.

QoSWorks QWX-10000 компании Sitara Networks

Монтируемое в стойку устройство высотой 2U производства компании Sitara может управляться посредством Web-интерфейса или через telnet. Это самый дорогой из всех протестированных продуктов - он стоит почти 20 тыс. долл.

По сравнению с рассмотренными выше продуктами, возможности QWX-10000 по управлению полосой пропускания ограничены: предусмотрены только пять уровней приоритета, и вы не можете устанавливать максимальные значения скорости для соединений. А процесс добавления в политику новых протоколов - это сущая морока. Нам был "выдан" огромный список протоколов, и мы должны были "прочесывать" его вручную в поисках протоколов TCP. Когда же мы нашли их, то наше и без того трудное положение усугубилось еще тем, что, как оказалось, за раз можно добавлять только по одному протоколу. Более того, каждый раз при добавлении нам приходилось "прокручивать" список с самого начала.

Гарантированная полоса

Экран формирования политики управляющего интерфейса продукта QoSWorks отображает гарантированную полосу пропускания в абсолютных и относительных единицах, включая число "всплесков" и уровни приоритета для всех классов. Внутри каждого класса полоса пропускания распределяется равномерно между всеми соединениями. Наш видеоролик прекрасно воспроизводился и без задания правил QoS даже при работе 100 Web-клиентов. В то же время устройства компаний Allot и Packeteer допускали видеопомехи до тех пор, пока не были заданы наборы правил. Кроме того, продукт QoSWorks поддерживает внешний кэш-сервер.

Мы не пришли в восторг и от его отчетов. Данные использовании полосы пропускания, параметрах всплесков и другие отображались только в виде усредненных графиков за последние 5, 15 и 30 мин. Графики более давних событий находились в разделе historic reports. Там же находятся данные по пропускной способности, числу переданных пакетов, приложениям, правилам, IP-адресам, битам IP ToS (Type of Service) - и это все.

Впрочем продукт компании Sitara получился вполне приличным, правда, управляющий интерфейс" подкачал", да и цена его завышена, по крайней мере, на 5 тыс. долл.

Total Traffic Control 3.0 компании Lightspeed Systems

Из всех протестированных нами средств QoS только продукт компании Lightspeed не поставляется в виде отдельного устройства, а инсталлируется на сервер Microsoft Windows 2000 (в нашем случае это была машина Dell PowerEdge 1650). Но даже с учетом цены сервера, это решение является самым дешевым. Однако возможности его оказались самыми ограниченными, не говоря уж о неудобном управляющем интерфейсе.

Для начала нам пришлось "нарисовать" сеть. Мы долго и усердно перетаскивали пиктограммы - этот процесс напоминал создание карты сети в приложении Visio. Мы должны были добавить пиктограммы для внешних и внутренних сетевых адаптеров, фильтр для сортировки и анализа трафика, а также очереди. К счастью, в продукте имеются программы-мастера и образцы конфигураций, однако пользовательский интерфейс нельзя назвать интуитивно понятным - мы несколько часов ломали над ним голову.

Администрирование осуществляется посредством Windows-программы как с консоли, так и с удаленного компьютера. Трафик профилируется либо на базе трех уровней приоритета, либо на базе механизма CBQ. Мы могли создавать до восьми классов и назначать каждому из них общий процент полосы пропускания и максимальное значение задержки. Мы даже могли разрешить одним классам "заимствовать" свободную полосу пропускания у других. Все средства контроля базируются на IP-адресах источника и приемника, а также на диапазоне портов. Кроме того, возможна интеграция с фильтрами "почтового мусора".

В небольших сетях, где вам известно все о каждой запускаемой программе, такого продукта может оказаться вполне достаточно. Однако в нем отсутствует возможность гарантировать минимум полосы пропускания отдельному сеансу - мы могли применять только фильтры для целого класса.

FireProof SynApps 2.51 компании Radware

Среди протестированных нами продуктов SynApps уникален тем, что является дополнением к линии коммутаторов компании Radware. Хоть он и финишировал последним и по набору средств не сравним с конкурентами, но его приобретение будет выгодным, если в вашей сети уже есть коммутатор Radware. Этот продукт хорош в качестве вспомогательного средства, а не как самостоятельное QoS-устройство.

В целом функции управления коммутатором SynApps реализованы лучше, чем продуктом компании Lightspeed, но из-за недостаточного контроля полосы пропускания и низкого качества отчетов он занял последнее место. Управление пропускной способностью осуществляется посредством механизма взвешенной справедливой очередности или CBQ. Вы можете задавать политику, исходя из IP-адресов источника и приемника, номеров портов, значений DiffServ или битов IP ToS. Протестированный нами коммутатор имел восемь сетевых портов, что больше, чем у любого другого устройства данного обзора. Для каждого порта можно определить доступную полосу пропускания. Имеются семь уровней приоритета, а также один уровень режима реального времени. Можно задать минимум или максимум полосы пропускания, последнюю можно позаимствовать, но только для целого класса, а не для соединения.

SynApps не предоставляет практически никаких отчетов, за исключением текущего использования полосы пропускания при данной политике. Принимая во внимание цену устройства, отметим, что его вам может оказаться вполне достаточно, если проходящий через него трафик имеет предсказуемый характер.

Коротко о продуктах

PacketShaper 4500
Цена: 16 000 долл.
Фирма: Packeteer
http://www.packeteer.com

NetEnforcer AC-302 4.2.2
Цена: 12 000 долл.
Фирма: Allot Communications
http://www.allot.com

QoSWorks QWX-10000
Цена: 19 995 долл.
Фирма: Sitara Networks
http://www.sitaranetworks.com

Total Traffic Control 3.0
Цена: 6 495 долл.
Фирма: Lightspeed Systems
http://www.lightspeedsystems.com

FireProof SynApps 2.51
Цена: 4 000 долл.
Фирма: Radware
http://www.radware.com


Самая детальная информация липофилинг у нас.




  
2 '2003
СОДЕРЖАНИЕ

бизнес

• Юридические аспекты хранения электронных данных

инфраструктура

• Технология Hyper-Threading повышает производительность серверов

• Новое в RSVP

• "Песочницы" для Web-серверов

• Тестируем регулировщики трафика территориально распределенных сетей

информационные системы

• Абонентские сервисы в контакт-центре

• Обращаем ошибки себе на пользу

• На все руки мастер

сети связи

• Обеспечение безопасности сетей ОКС-7

• "Софтсвич" - это по-нашему!

кабельные системы

• Развитие стандарта на кабельные системы жилых зданий

• Сети Industrial Ethernet

защита данных

• Обзор решений HIP

новые продукты

• "Дэйтлайнер" соединяет

только на сервере

• ETM сделает менее уязвимой телефонную сеть вашей компании


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх