Типы сетевого трафика: Что такое трафик, его виды и типы

Содержание

5 основных каналов привлечения посетителей на сайт — Lemarbet

Работа над увеличением посещаемости является краеугольным камнем любого успешного бизнеса в Интернете. Постоянный и растущий поток трафика на ваш сайт — залог успешного развития, завоевания рынка и увеличения отрыва от конкурентов.
Может, не все наши читатели хорошо разбираются в терминологии, так что давайте сначала разберемся, что такое «трафик» и что под этим подразумевают. Если кратко, то речь идет о посетителях, которые переходят на ваш сайт с самых разных источников. Это может быть поиск Google, ВКонтакте или другая социальная сеть, рассылка по электронной почте и множество других. Соответственно, выделяют разные виды трафика, рассмотрению которых и посвящена наша статья, как уже понятно из заголовка.

Сайт является своего рода точкой контакта потенциальных клиентов с вашим бизнесом. Часть посетителей, которые на него переходят, покупают ваш товар или заказывают услугу. И по логике вещей, если вы найдете способ увеличить объем трафика, соответственно, сможете наслаждаться и увеличением собственной прибыли.

Независимо от того, насколько продуманным и визуально привлекательным является ваш сайт, без посещаемости, как говорится, пациент скорее мертв, чем жив. Даже для профессионалов в области интернет-маркетинга увеличение трафика в коммерческих тематиках может быть нелегкой задачей. Что уж говорить о предпринимателях, которые, в принципе, должны заниматься развитием бизнеса, а не техническими вопросами или вникать в премудрости интернет-маркетинга.

Тем не менее понимание того, какие виды трафика существуют и какой канал является потенциальным источником привлечения посетителей, позволяет лучше понять, в каком направлении работать, и упрощает визуализацию кампании по продвижению бизнеса в целом. И еще один важный момент – наиболее успешные маркетинговые стратегии, как правило, включают работу по нескольким направлениям привлечения клиентов одновременно.

Основные типы трафика

Ниже вы можете подробнее почитать про пять основных типов трафика в Интернете и узнать о ключевых особенностях каждого из них. Работа по любому каналу является важной, ведь это может положительно сказаться на росте бизнеса.

Поисковый (органический) трафик. Это люди, которые нашли ваш сайт по определенному запросу в поисковой системе. Например, пользователь может ввести в поисковую строку запрос «кожаные чехлы для iPhone», увидеть ссылку на сайт вашего интернет-магазина в списке результатов выдачи и нажать на нее для перехода. Мировым лидером здесь является Google, но в Украине немалая доля рынка принадлежит и Яндексу – около 30% общего трафика.

Органический трафик обладает большим потенциалом масштабирования, что подтверждается нашими кейсами. Это значит, что чем больше усилий вы приложите к работе над его увеличением, тем лучше будет отдача. Результаты не будут быстрыми, но их характер может быть экспоненциальным.

Посещаемость сайта с поиска зависит от того, насколько хорошо ваш сайт ранжируется в поисковых системах по различным ключевым словам. Для улучшения его видимости по целевым поисковым запросам ведется работа по SEO-оптимизации как отдельных страниц, так и сайта в целом. Также осуществляется регулярная работа с внешними факторами, которые влияют на его ранжирование.

Для обеспечения роста органического трафика решающее значение имеет видимость сайта по ключевым словам в поиске. Для этого необходимо собрать широкое семантическое ядро, оптимизировать существующие страницы и создавать новые, добавлять качественные и уникальные статьи, добиваться того, чтобы на вас ссылались не только другие сайты, но и пользователи в социальных сетях. Это напряженная работа, которая занимает много времени, но вознаграждается сполна.

Сейчас SEO — это уже полноценная наука, комплекс сложных работ по улучшению соответствия сайта критериям качества поисковых систем, которые постоянно совершенствуются. Чтобы достичь успеха в этом деле, лучше обратиться к специалистам, чтобы не потратить время зря и избежать возможных негативных последствий.

Но в некоторых вещах можно разобраться самостоятельно. Если вам это интересно, обратите внимание на наши статьи «Как оптимизировать сайт интернет-магазина для SEO» и «27 способов, как раскрутить сайт самостоятельно и получать больше трафика».

Платный трафик. Сюда относятся посетители, которые переходят на ваш сайт благодаря использованию любого вида интернет-рекламы. Это может быть Google AdWords и Яндекс.Директ, реклама в Facebook, медийная реклама и другие подобные каналы. Крупнейшим поставщиком такого вида трафика на Украине и в мире является сеть контекстной рекламы Google AdWords.

Плюсы привлечения посетителей с помощью оплаченного трафика в том, что вы можете полностью контролировать поток по различным параметрам. Например, решать, сколько именно переходов хотите получить на свой сайт, в какое время использовать географический и другие виды таргетинга.

Недостатком, очевидно, является необходимость платить за переходы или показы. А в коммерческих тематиках стоимость привлечения посетителям может быть довольно высокой. И если бюджет закончится, переходов на сайт (и клиентов) тоже не будет.

Например, вот как выглядят объявления в поиске Google:

В ленте новостей в Facebook:

И в процессе воспроизведения видео на YouTube:

Объявления рекламодателей могут отображаться в различных форматах, размещаться в поиске, различных местах на странице, тексте и других видах контента. Подробнее эта тема рассматривалась в статье о видах интернет-рекламы, с которой я рекомендую вам ознакомиться.

Прямой трафик. Он состоит из любых посетителей, которые осуществляют переход непосредственно на сам сайт, вместо того чтобы попасть туда из других каналов. Например, если пользователь вводит URL сайта непосредственно в адресную строку браузера или нажимает на заранее сохраненную закладку.

Прямой трафик может составлять относительно небольшую долю от общего количества переходов, но он очень важен для любого проекта. Это своего рода индикатор лояльности аудитории и узнаваемости бренда.

Для информационного проекта основную долю таких переходов составляют постоянные читатели, а для коммерческих сайтов – это клиенты, которые возвращаются за новой информацией, посмотреть на свежие поступления в каталоге или сделать повторную покупку.

Если ваш сайт получает большое количество прямого трафика — это хороший показатель того, что люди действительно знают о вашем бизнесе, товарах и услугах, которые вы предлагаете. Это очень хорошо, когда люди при необходимости могут легко вспомнить название и адрес вашего сайта, а затем посетить сайт без какой-либо подсказки.


Увеличения его доли можно добиться путем повышения маркетинговой активности как в Интернете, так и в оффлайне. Например, использование медийной рекламы для продвижения бренда, проведение акций и конкурсов, печать флаерсов/брошюр с их последующим распространением.

Реферальный трафик. В основном он состоит из людей, которые переходят на ваш сайт по различным ссылкам на других ресурсах (в том числе крауд-маркетинг). Например, если вы опубликовали на стороннем ресурсе пресс-релиз со ссылкой на свой сайт, а кто-то нажал на нее и перешел по ссылке с этой публикации, такой переход считается реферальным. В Google Analytics они отображаются в отчете «Источники трафика -> Весь трафик -> Каналы»:

Логика увеличения объема реферального трафика достаточно проста – чем больше ссылок на ваш сайт из популярных источников будет появляться, тем больше людей будут на него переходить. Стоит размещаться именно на посещаемых ресурсах, ведь вероятность переходов с сайтов, посещаемость которых составляет тысячи посетителей в день, будет гораздо выше.

Обратные ссылки могут находиться не только в статьях, но и комментариях, тематических ветках на форумах, подписях активных пользователей, в письмах электронной почты и других местах. Важную роль здесь играет и фактор тематики – вряд ли аудитория сайта с кулинарными рецептами особо заинтересуется ссылкой на строительный портал.

Обратные ссылки изначально являются самой основой Интернета, и компании, упоминание о которой часто появляется на авторитетных сайтах, клиенты будут доверять больше. Это напоминает ситуацию с отзывами в интернет-магазинах, о чем мы уже писали.

Главное, чтобы при попытке увеличить количество обратных ссылок не получилось так, что вы случайно вместо того, чтобы принести пользу, навредили своему сайту. Речь идет о возможном наказании со стороны поисковых систем за попытки манипулирования результатами выдачи. Поэтому при необходимости лучше обратиться к специалистам.

Социальный трафик. Как вы можете понять из названия, социальный трафик состоит из людей, которые нашли ссылку на одну из страниц вашего сайта и перешли по ней в какой-нибудь из социальных сетей – ВКонтакте, Facebook, Twitter и множества других платформ. Количество таких переходов зависит от активности компании в социальной сети и качества взаимодействия с аудиторией, умением угадывать их интересы.

Создав сильное сообщество с высоким уровнем вовлечения и активности подписчиков, можно получить свой «кусочек пирога» трафика у платформ, количество пользователей которых насчитывает миллионы участников. Другое дело, что сделать это совершенно непросто, и, скорее всего, нужно будет воспользоваться услугами сторонних подрядчиков.

В рамках реализации своей маркетинговой стратегии, при активной работе с социальными сетями вы, вероятнее всего, вскоре заметите, что одни социальные платформы приносят больше трафика, чем другие. Чтобы узнать эту информацию, перейдите в Google Analytics в раздел «Источники трафика -> Соцфункции — > Переходы из сетей»:

Когда вы доберетесь до точки, когда нужно будет провести соответствующую оценку, вполне разумным решением будет перестроить свою маркетинговую стратегию с учетом такой информации. Перераспределите усилия и бюджеты в сторону именно тех социальных сетей, которые приносят вам больше всего трафика.

Несколько рекомендаций на заметку

Понимание особенностей того или иного типа трафика упрощает разработку маркетинговой стратегии по продвижению бизнеса в Интернете. Нельзя сказать, что только какой-то один источник трафика способен стать для вас единственным и лучшим каналом привлечения клиентов.

Ваши потенциальные покупатели могут перейти на сайт с самых разных мест, и, если увеличивать трафик по всем направлениям, это позволит добиться наиболее широкого охвата аудитории. Например, вот как выглядят ассоциированные конверсии в Google Analytics:

По сути, практически в любом случае мы имеем дело с двумя основными видами трафика: трафик, потоком которого вы можете управлять, и трафик, который полностью зависит от третьей стороны (поисковая система, социальная сеть). Вполне логичный вывод – сконцентрироваться на том, что вы можете контролировать, и не обращать внимание на все остальное.

На самом деле, такой подход будет правильным только частично. Лучше всего рассматривать работу с трафиком в разрезе стратегий, и в долгосрочной перспективе работа над SEO-продвижением, то есть увеличением количества неуправляемого, но бесплатного трафика, будет действительно лучшим стратегическим выбором. А вот платный трафик, как и прежде, стоит рассматривать как отличный инструмент быстрого привлечения посетителей в краткосрочном периоде.

  • Автор: Владимир Федоричак

Что такое VLAN — энциклопедия lanmarket.ua

Компьютерные сети могут быть сегментированы в локальные (LAN) и глобальные (WAN) сети. Сетевые устройства, такие как коммутаторы, концентраторы, мосты, рабочие станции и серверы, подключенные друг к другу в одной сети в определенном месте, обычно известны как локальные сети. LAN также считается широковещательным доменом.

VLAN позволяет нескольким сетям работать практически как одна локальная сеть. Одним из наиболее полезных элементов VLAN является то, что он устраняет задержку в сети, что экономит сетевые ресурсы и повышает эффективность сети. Кроме того, VLAN созданы для обеспечения сегментации и поддержки в таких вопросах, как безопасность, управление сетью и масштабируемость. Трафик также можно легко контролировать с помощью VLAN.


Виртуальная локальная сеть (VLAN) — это логическая локальная сеть (или LAN), которая расширяет пределы одной традиционной локальной сети до группы сегментов локальной сети, учитывая конкретные конфигурации. VLAN является логическим объектом, поэтому его создание и конфигурация полностью выполняются в программном обеспечении.

Иными словами, VLAN представляет собой логическую группу рабочих станций, серверов и сетевых устройств, которые, как представляется, находятся в одной и той же локальной сети, несмотря на их географическое распределение. VLAN позволяет сети компьютеров и пользователей взаимодействовать в имитируемой среде, как если бы они существовали в одной локальной сети и совместно использовали один широковещательный и многоадресный домен. VLAN реализованы для обеспечения масштабируемости, безопасности и удобства управления сетью и могут быстро адаптироваться к изменениям сетевых требований и перемещению рабочих станций и узлов сервера.

Коммутаторы более высокого уровня позволяют использовать функциональность и реализацию VLAN. Целью внедрения VLAN является повышение производительности сети или применение соответствующих функций безопасности.

Ключевыми преимуществами реализации VLAN являются:

  • Разрешение сетевым администраторам применять дополнительную безопасность для сетевой связи

  • Расширение и перемещение сети или сетевого устройства

  • Обеспечение гибкости, поскольку администраторы могут настраивать сеть в централизованной среде, в то время как устройства могут быть расположены в разных географических точках

  • Снижение латентности и нагрузки трафика в сети и сетевых устройствах, что обеспечивает повышенную производительность

У VLAN также есть некоторые недостатки и ограничения, перечисленные ниже:

  • Высокий риск возникновения вирусов, поскольку одна зараженная система может распространять вирус по всей логической сети

  • Ограничения оборудования в очень больших сетях, поскольку для управления рабочей нагрузкой могут потребоваться дополнительные маршрутизаторы

  • Более эффективен при контролировании задержки, чем WAN, но менее эффективен, чем LAN

Вам необходимо рассмотреть возможность использования VLAN в любой из следующих ситуаций:

  • У вас более 200 устройств в вашей локальной сети

  • У вас много широковещательного трафика в вашей локальной сети

  • Группы пользователей нуждаются в большей безопасности или замедляются слишком большим количеством передач

  • Группы пользователей должны находиться в одном широковещательном домене, потому что они работают с одними и теми же приложениями. Примером может служить компания, имеющая телефоны VoIP. Пользователи, использующие телефон, могут находиться в другой VLAN, а не вместе с обычными пользователями.

  • Или же вы можете просто разделить один коммутатор на несколько виртуальных коммутаторов.

Назначение VLAN


Основной причиной разделения сети на сети VLAN является сокращение перегрузок в большой локальной сети. Чтобы понять эту проблему, нам нужно вкратце остановиться на том, как LAN развиваются на протяжении многих лет. Первоначально локальные сети были очень плоскими — все рабочие станции были подключены к одному кусочку коаксиального кабеля или к наборам цепных хабов. В плоской локальной сети каждый пакет, который любое устройство помещает в провод, отправляется на все другие устройства в локальной сети. По мере роста числа рабочих станций в типичной локальной сети они начали безнадежно перегружаться; было слишком много коллизий, потому что большую часть времени, когда рабочая станция пыталась отправить пакет, выяснилось, что провод уже занят пакетом, отправленным каким-либо другим устройством.

Чтобы справиться с этой проблемой разработали три основных решения для избежания перегрузки:

  • Использование маршрутизаторовдля сегментирования локальных сетей

  • Использование коммутаторов для сегментов LAN

  • Использование VLAN для сегментирования локальных сетей

Использование VLAN для сегментирования локальных сетей


По мере увеличения LAN скорость передачи данных стала быстрее, и пользователи стали более гибкими, маршрутизаторы в сети стали узким местом. Это потому что:

  • маршрутизаторы обычно передают данные в программном обеспечении, и поэтому не так быстро, как коммутаторы
  • разделение LAN с использованием маршрутизаторов означало, что локальная сеть обычно соответствует определенному физическому местоположению. Это стало ограничивающим фактором, когда многие пользователи имели ноутбуки и хотели иметь возможность перемещаться между зданиями, но все же иметь одну и ту же сетевую среду, где бы они ни были подключены.

Таким образом, поставщики коммутаторов начали внедрять методы определения «виртуальных локальных сетей» -сетей портов коммутатора, обычно распределенных между несколькими коммутаторами, которые каким-то образом взаимодействовали, как если бы они находились в одной изолированной локальной сети. Таким образом, рабочие станции могут быть разделены на отдельные локальные сети без физического разделения маршрутизаторами.

Примерно в то же время хабы стали менее популярными и в значительной степени были заменены коммутаторами L2. Это сделало всю концепцию области столкновения несколько исторической. В современных сетях «домен столкновения» в основном состоит из одного устройства, подключенного к порту коммутатора L2, или, возможно, ПК с чем-то вроде подключенного к нему IP-телефона.

Итак, макет LAN стал больше похож на:


Таким образом, вместо локальных сетей, соответствующих физическим областям, разделенным между собой маршрутизаторами, существуют виртуальные локальные сети, распределенные по сети. Например, все устройства в различных областях, обозначенные как «VLAN A», все принадлежат одной виртуальной локальной сети — один широковещательный домен.

Типы VLAN

Существуют различные типы VLAN. Тип сетевого трафика, который они несут, определяет конкретный тип VLAN:

Default VLAN

При начальной загрузке коммутатора все порты коммутатора становятся членами VLAN по умолчанию, что делает их частью одного и того же широковещательного домена. Это позволяет любому сетевому устройству подключаться к любому порту коммутатора для связи с другими устройствами на других портах коммутатора.

В коммутаторах Cisco VLAN по умолчанию является VLAN 1. VLAN 1 имеет все функции любого VLAN, за исключением того, что вы не можете переименовать или удалить его.

Data VLAN

VLAN данных, который также можно назвать пользовательский VLAN. Он настроен на перенос только генерируемого пользователями трафика. Важность разделения пользовательских данных из другого типа VLAN — это правильное управление коммутатором.

Native VLAN

Native VLAN назначается порту соединительной линии 802.1Q. Порт магистрали 802.1Q поддерживает трафик, поступающий из многих VLAN, а также трафик, который не поступает из VLAN. Порт магистрали 802.1Q помещает немаркированный трафик (трафик, который не поступает из VLAN) в собственный Native VLAN. Таким образом, собственный VLAN наблюдает и идентифицирует трафик, поступающий с каждого конца соединительной линии.

Management VLAN

VLAN управления — это любой VLAN, который вы настраиваете для доступа к возможностям управления коммутатором. Ваш настроенный управляющий VLAN должен быть назначен с IP-адресом и маской подсети. Любой из VLAN-коммутатора может быть настроен как управляющий, если вы не настроили или не определили уникальный VLAN, который будет использоваться в качестве управления. В некоторых случаях сетевой администратор проактивно определяет VLAN 1 как управляющий; это создает лазейку для несанкционированного подключения к коммутатору.

Voice VLAN

Голосовой VLAN настроен на перенос голосового трафика. Voice VLAN в основном получают приоритет передачи по сравнению с другими типами сетевого трафика. Коммуникация по сети не завершена без телефонных звонков. Больше вызовов производится по сети, чем передача сообщений другими формами. Отправка сообщений электронной почты и текстовых сообщений также являются формами взаимоотношений, но прослушивание реального голоса обеспечивает легитимность и уверенность.

Он используется среди сетевых администраторов для создания сети, поддерживающей VoIP с гарантированной полосой пропускания для обеспечения качества голоса и возможности маршрутизации вокруг перегруженных участков сети с минимальными задержками (150-180 миллисекунд).

Как работают виртуальные локальные сети (VLAN)

Магия работы виртуальных локальных сетей (VLAN) найдена в заголовках Ethernet. Когда коммутатор получает кадр Ethernet, в кадре либо уже есть тэг VLAN, либо коммутатор будет вставлять тег VLAN в заголовок Ethernet. Если кадр был получен от другого коммутатора, этот коммутатор уже вставил тег VLAN; в то время как кадры поступают от сетевых устройств, таких как компьютеры, в кадре не будет тега VLAN.

Если вы используете настройки по умолчанию для VLAN, тег VLAN, который будет помещен в кадр, — VLAN1. При размещении тега VLAN (также известного как тег IEEE 802.1Q) на кадре Ethernet четыре байта данных, которые составляют тег VLAN, вставляются перед полем «Тип», как показано на следующем рисунке. Этот 4-байтовый заголовок содержит несколько фрагментов информации:

  1. 2-байтовый идентификатор протокола тегов (TPID), который будет установлен в значение 0x8100, чтобы обозначить, что этот кадр содержит информацию тега 802.1Q или 802.1p.

  2. 2-байтная информация управления тегами (TCI), которая состоит из следующего:

  • 3-разрядная точка приоритета пользователя (PCP), которая устанавливает значение приоритета между 0 и 7, что может использоваться для доставки приоритетного трафика качества обслуживания (QoS).

  • 1-разрядный индикатор канонического формата (CFI), который представляет собой бит совместимости между Ethernet и другими сетевыми структурами, например Token Ring. Для сетей Ethernet это значение также будет установлено на ноль.

  • 12-битный идентификатор VLAN (VID), который идентифицирует VLAN, к которой относится фрейм.


Несчастливая ошибка может произойти при маркировке VLAN на фрейме. Максимальный размер Ethernet-кадра IEEE 802.3 составляет 1518 байт. Если часть полезной нагрузки или данных содержит полные 1500 байтов данных и дополнительный 4-байтовый заголовок в кадре, размер кадра будет равен 1522 байтам.

Чтобы справиться с этой ситуацией, IEEE выпустила новый стандарт для Ethernet в 1998 году (IEEE 802.3ac), который увеличил максимальный размер кадра Ethernet до 1,522 байта. Если у вас есть более старые коммутаторы, которые не поддерживают более крупный размер кадра IEEE 802.3ac, ваши коммутаторы могут отказаться от этих неподдерживаемых фреймов с уведомлением или могут сообщать о них как о кадрах слишком большого размера.

Преимущества сетей VLAN

При правильном внедрении VLAN будет выигрышным для  вашего бизнеса благодаря простоте, большей безопасности и улучшенному опыту для ваших пользователей:

Упрощенное администрирование для сетевого менеджера: одна из лучших особенностей виртуализации заключается в том, что она упрощает управление. Логически группируя пользователей в одни и те же виртуальные сети, вы легко настраиваете и контролируете свои политики на уровне группы. Когда пользователи физически перемещают рабочие станции, вы можете держать их в одной сети с различным оборудованием. Или, если кто-то изменяет команды, но не рабочие станции, им может быть легко предоставлен доступ к любым новым VLAN, в которых они нуждаются.

Улучшенная безопасность: использование VLAN повышает безопасность за счет сокращения как внутренних, так и внешних угроз. Внутри разделение пользователей улучшает безопасность и конфиденциальность, гарантируя пользователям доступ только к сетям, которые относятся к их обязанностям. Внешние угрозы также сведены к минимуму. Если внешний злоумышленник может получить доступ к одной VLAN, они будут содержаться в этой сети по границам и элементам управления, которые у вас есть, чтобы отделить их от других.

Простое устранение неисправностей. Устранение неполадок в сети может быть проще и быстрее, когда ваши разные группы пользователей сегментируются и изолированы друг от друга. Если вы знаете, что жалобы поступают только от определенного подмножества пользователей, вы сможете быстро сузить место поиска, чтобы найти проблему.

Улучшенное качество обслуживания: VLAN управляют трафиком более эффективно, чтобы конечные пользователи имели более высокую производительность. У вас будет меньше проблем с задержкой в вашей сети и более высокая надежность для критически важных приложений. Сети VLAN также упрощают определение приоритетов трафика, позволяя вам следить за тем, чтобы критические данные приложений продолжали течь даже при трафике с более низким приоритетом, например, при просмотре веб-страниц.


Основы организации вычислительных сетей — Российская Федерация

В этом кратком обзоре сетевых технологий вы ознакомитесь с принципами работы компьютерных сетей, архитектурой, применяемой для проектирования сетей, и основами обеспечения их безопасности.

Что такое компьютерная сеть?

Компьютерная сеть — это совокупность компьютеров, соединенных с помощью кабелей (проводная) или технологии WiFi (беспроводная), с целью передачи и обмена данными и ресурсами, а также предоставления общего доступа к ним. Для построения компьютерной сети необходимо аппаратное обеспечение (например, маршрутизаторы, коммутаторы, точки доступа и кабели) и программное обеспечение (например, операционные системы и бизнес-приложения).

Зачастую компьютерная сеть зависит от географического положения. Например, LAN (локальная вычислительная сеть) объединяет компьютеры в ограниченном физическом пространстве, таком как офисное здание, тогда как WAN (глобальная вычислительная сеть) может обеспечивать взаимодействие компьютеров на разных континентах. Интернет — это самый масштабный пример сети WAN, объединяющей миллиарды компьютеров по всему миру.

Для дальнейшего определения компьютерной сети можно указать применяемый протокол связи, физическую конфигурацию компонентов, способ управления трафиком и назначение.

Компьютерные сети обеспечивают обмен данными в любых сферах деятельности, таких как бизнес, развлечения и исследования. Интернет, поисковые системы, электронная почта, обмен аудио- и видеозаписями, электронная коммерция, онлайн-трансляции и социальные сети — все это существует благодаря компьютерным сетям.

Типы компьютерных сетей

Большое разнообразие типов компьютерных сетей связано с тем, что требования к сетям постоянно менялись. Ниже перечислены самые распространенные типы компьютерных сетей:

  • LAN (локальная сеть): локальная сеть объединяет компьютеры, расположенные друг от друга на относительно небольшом расстоянии, позволяя им обмениваться данными, файлами и ресурсами. Например, в состав локальной сети могут входить все компьютеры в офисном здании, школе или больнице. Как правило, локальные сети находятся в частной собственности и управляются в частном порядке.

  • WLAN (беспроводная локальная сеть): WLAN — по своей сути аналогична локальной сети, однако в ней устанавливаются беспроводные соединения между устройствами.

  • WAN (глобальная сеть): как предполагает название, WAN объединяет компьютеры в глобальной области, которая может охватывать несколько регионов или даже континентов. Интернет — это самая крупная сеть WAN, объединяющая миллиарды компьютеров по всему миру. Управление WAN организовано с помощью моделей коллективного или распределенного владения.

  • MAN (городская вычислительная сеть): сети MAN по размерам обычно больше, чем сети LAN, но меньше, чем сети WAN. Как правило, сети MAN принадлежат городам и правительственным учреждениям.

  • PAN (личная сеть): PAN ограничивается обслуживанием одного пользователя. Например, если у вас есть iPhone и Mac, то с большой вероятностью они объединены в сеть PAN, которая обеспечивает совместное использование и синхронизацию данных — текстовых сообщений, электронной почты и фотографий — между обоими устройствами.

  • SAN (сеть хранения данных): SAN представляет собой специализированную сеть, обеспечивающую доступ к блочным системам хранения, таким как общая сеть или облачное хранилище. С точки зрения пользователя SAN выглядит и работает как дисковый накопитель, физически подключенный к компьютеру. (Дополнительная информация о принципах работы SAN с блочной памятью приведена на веб-странице Блочное хранилище: полное руководство).

  • CAN (кампусная сеть): сеть CAN также называется корпоративной сетью. CAN больше, чем сеть LAN, но меньше, чем сеть WAN. Сети CAN обслуживают такие объекты, как колледжи, университеты и бизнес-центры.

  • VPN (виртуальная частная сеть): VPN представляет собой безопасное двухточечное соединение между двумя конечными точками (см. раздел «Узлы» ниже). VPN создает зашифрованный канал, который защищает идентификационные данные пользователя и передаваемую информацию от несанкционированного доступа.

Важные термины и концепции

Ниже перечислены общие термины, с которыми вы можете столкнуться при изучении компьютерных сетей:

  • IP-адрес: IP-адрес — это уникальный номер, который присваивается каждому устройству, подключенному к сети на основе протокола Интернета (IP). Каждый IP-адрес содержит идентификатор сети, которой принадлежит устройство, а также расположение устройства в этой сети. Когда одно устройство отправляет данные другому, в данные добавляется заголовок, содержащий IP-адрес отправляющего устройства и IP-адрес целевого устройства.

  • Узлы: Узел представляет собой связующее звено внутри сети, которое может принимать, отправлять, создавать и хранить данные. Каждому узлу должен быть присвоен идентификатор для получения доступа, такой как IP-адрес. Примеры узлов: компьютеры, принтеры, модемы, мосты и коммутаторы. Узлом по сути является любое сетевое устройство, обладающее возможностью распознавать другие сетевые узлы и передавать им информацию.

  • Маршрутизаторы: Маршрутизатор — это физическое или виртуальное устройство, обеспечивающее передачу информации между сетями в виде пакетов данных. Анализируя содержимое пакетов, маршрутизаторы определяют оптимальный путь доставки информации конечному получателю. Маршрутизаторы пересылают пакеты данных до тех пор, пока они не достигнут целевого узла.

  • Коммутаторы: Коммутатор — это устройство, которое соединяет другие устройства и управляет обменом данными между узлами в сети, обеспечивая доставку пакетов данных конечным получателем. Обратите внимание, что маршрутизатор отправляет информацию между сетями, а коммутатор отправляет информацию между узлами в пределах одной сети. В контексте компьютерных сетей термин «коммутация» описывает способ передачи данных между устройствами в сети. Три основных типа коммутации:

    • Коммутация каналов — между узлами в сети создается выделенный канал связи. Выделенный канал предлагает полную пропускную способность во время передачи — по нему не передается другой трафик.

    • Коммутация пакетов — предусматривает разбиение данных на независимые части, называемые пакетами, которые вследствие небольшого размера позволяют снизить нагрузку на сеть. Пакеты передаются по сети конечному получателю.

    • Коммутация сообщений — сообщение целиком отправляется из исходного узла и передается между коммутаторами до тех пор, пока не достигнет целевого узла.

  • Порты: Порт выполняет роль идентификатора конкретного соединения между сетевыми устройствами. Каждый порт имеет числовое значение. Например, если сравнить IP-адрес с адресом жилого дома, то порт будет номером квартиры в этом доме. Номера портов помогают компьютерам маршрутизировать сообщения между приложениями, службами и процессами.

  • Типы сетевых кабелей: Наиболее распространенные типы сетевых кабелей: витая пара Ethernet, оптоволоконный кабель и коаксиальный кабель. Выбор типа кабеля зависит от размера сети, схемы размещения сетевых элементов и физического расстояния между устройствами.

Примеры компьютерных сетей

Компьютерная сеть представляет собой совокупность проводных или беспроводных соединений между двумя и более компьютерами с целью обмена данными и ресурсами. Сегодня практически каждое цифровое устройство подключено к компьютерной сети.

В офисной обстановке можно организовать общий доступ к принтеру или системе группового обмена сообщениями. Для этой цели лучше всего подойдет локальная сеть (LAN), разрешающая совместное использование ресурсов на уровне вашего отдела.

Правительство города может управлять городской сетью камер наблюдения, отслеживающих плотность движения и дорожно транспортные происшествия. Эта сеть могла бы входить в состав городской вычислительной сети (MAN), позволяющей аварийно-спасательным службам реагировать на ДТП, предлагать водителям альтернативные маршруты и даже штрафовать нарушителей.

Компания The Weather Company создала децентрализованную ячеистую сеть, позволяющую мобильным устройствам напрямую взаимодействовать друг с другом без подключения к WiFi или сотовой сети. Проект Mesh Network Alerts обеспечивает доставку предупреждений о погоде миллиардам людей даже в районах с ограниченным доступом к Интернету.

Компьютерные сети и Интернет

Интернет — это сеть сетей, объединяющая миллиарды цифровых устройств по всему миру. Обмен данными между этими устройствами ведется по стандартным протоколам. В число таких протоколов входят протокол передачи гипертекста (HTTP) (префикс ‘http’ перед адресом веб-сайта). Протокол Интернета — задает уникальные идентификационные номера (IP-адреса), которые присваиваются всем устройствам, обращающимся к Интернету. IP-адрес можно сравнить с почтовым адресом, описывающим уникальное местоположение для правильной доставки информации.

Поставщики интернет-услуг (ISP) и поставщики сетевых услуг (NSP) предлагают инфраструктуру, позволяющую передавать пакеты данных или информацию через Интернет. Передаваемую через Интернет информация нет смысла доставлять на все устройства, подключенные к Интернету. За определение конечного получателя информации отвечает комбинация протоколов и инфраструктуры.

Как они работают?

Компьютерные сети объединяют компьютеры, маршрутизаторы и коммутаторы с помощью электрических, оптоволоконных и беспроводных сигналов. Подключенные к сети устройства могут взаимодействовать друг с другом и обмениваться информацией и ресурсами.

Работа сетей подчиняется протоколам, которые устанавливают порядок отправки и приема данных. Такие протоколы обеспечивают взаимодействие устройств. Каждому устройству в сети присваивается IP-адрес — уникальный числовой идентификатор, с помощью которого к устройству могут обращаться другие устройства. 

Маршрутизаторы — это виртуальные или физические устройства, отвечающие за передачу данных между разными сетями. Анализируя информацию, маршрутизаторы определяют оптимальный способ доставки данных конечному получателю. Коммутаторы соединяют устройства и управляют обменом данными между узлами внутри сети, обеспечивая доставку передаваемых по сети пакетов с информацией конечным получателям.

Архитектура

Архитектура компьютерной сети определяет физическую и логическую структуру сети. Она задает способ организации компьютеров в сети, а также распределяет задачи между ними. Сетевая архитектура состоит из следующих компонентов: аппаратное обеспечение, программное обеспечение, среда передачи данных (проводная или беспроводная), сетевая топология и протоколы связи.

Основные типы сетевых архитектур

Сетевые архитектуры бывают двух типов: одноранговые (P2P) и клиент-серверные. В архитектуре P2P два и более компьютеров соединены друг с другом как равноправные узлы, обладающие одинаковым приоритетом и полномочиями по отношению к сети. В сети P2P не требуется центральный сервер для координации. Каждый компьютер выполняет роль клиента (узел, которому требуется доступ к службе) и сервера (узел, который обслуживает клиента при обращении к службе). Каждый равноправный узел предоставляет сети часть своих ресурсов, включая вычислительную мощность, оперативную память, ресурсы хранения данных и пропускную способность.

В клиент-серверной сети за управление ресурсами и обслуживание клиентских устройств отвечает центральный сервер или группа серверов. Обмен данными между клиентами в сети осуществляется через промежуточный сервер. В отличие от модели P2P, клиенты в клиент-серверной архитектуре не отдают часть своих ресурсов под служебные нужды. Архитектура такого типа часто называется многоуровневой моделью, поскольку она состоит из нескольких уровней или слоев.

Топология сети

Топология сети — это схема размещения узлов и соединений в сети. Сетевой узел — это устройство, которое может отправлять, получать, хранить или пересылать данные. Сетевое соединение устанавливается между узлами и может быть проводным или беспроводным.

Для успешного проектирования сетей важно хорошо понимать типы топологий. Среди множества топологий самыми распространенными являются шина, кольцо, звезда и ячеистая топология:

  • Шина — в сетевой топологии этого типа каждый узел напрямую подключен к главному кабелю.

  • Кольцо — соединения между узлами образуют кольцо и каждое устройство подключено ровно к двум соседним узлам. Соседние узлы напрямую соединены друг с другом; несоседние узлы взаимодействуют через другие узлы.

  • В сетевой топологии типа «звезда» все узлы подключены к одному центральному узлу, через который осуществляется взаимодействие между узлами.

  • В ячеистой топологии между узлами устанавливаются перекрывающиеся соединения. В случае полной ячеистой топологии каждый узел в сети подключен ко всем остальным узлам. Кроме того, можно создать частичную ячеистую топологию, в которой отдельные узлы подключены не ко всем узлам, а только к тем, с которыми они чаще всего обмениваются данными. Поскольку реализация полной ячеистой сети может быть дорогостоящим и трудоемким процессом, такая топология обычно используется в редких случаях, когда требуется высокая степень избыточности сети. Частичная ячеистая сеть не отличается настолько высокой избыточностью, но при этом реализовать ее гораздо проще и дешевле.

Безопасность

Средства обеспечения безопасности компьютерной сети защищают целостность информации в сети и управляют доступом к ней. Политики сетевой безопасности должны обеспечивать оптимальное сочетание обслуживания пользователей и управления доступом к информации.

Точки входа в сеть крайне разнообразны. Среди них — аппаратное и программное обеспечение, образующее сеть, а также подключенные к сети устройства, такие как компьютеры, смартфоны и планшеты. В связи с этим для обеспечения безопасности сети требуются разные методы защиты. Как правило, для этой цели применяются брандмауэры — устройства, которые отслеживают сетевой трафик и блокируют доступ к отдельным участкам сети с помощью правил безопасности.

Процессы идентификации пользователей с помощью идентификаторов и паролей добавляют дополнительный уровень безопасности. Изоляция сетевых данных позволяет затруднить доступ к частной или персональной информации по сравнению с менее важной информацией. Кроме того, в рамках программы обеспечения безопасности рекомендуется регулярно обновлять и устанавливать исправления аппаратного и программного обеспечения, довести до сведения пользователей сети информацию об основных угрозах и оставаться в курсе последних событий в области кибербезопасности. В условиях, когда сетевые угрозы постоянно эволюционируют, обеспечение безопасности сети можно рассматривать как бесконечный процесс.

В случае применения общедоступных облачных сред также важно регулярно обновлять процедуры обеспечения безопасности, чтобы гарантировать бесперебойный доступ и безопасность. Безопасное облако можно создать только на основе хорошо защищенной сети. 

Ознакомьтесь с пятью основными соображениями (PDF, 298 КБ) по защите общедоступного облака.

Ячеистые сети

Как было отмечено выше, ячеистая сеть — это тип топологии, в которой каждый узел компьютерной сети соединен с максимально возможным количеством других узлов. В этой топологии узлы совместными усилиями выбирают оптимальный маршрут доставки данных получателю. Такая топология отличается высокой отказоустойчивостью, поскольку в случае сбоя одного из узлов данные можно будет передать через множество других узлов. Самоорганизация и самонастройка являются важными свойствами ячеистых сетей — для отправки информации выбирается самый быстрый и безопасный путь.

Типы ячеистых сетки

Ячеистые сети бывают двух типов — полная ячеистая сеть и частичная ячеистая сеть: 

  • В полной ячеистой топологии каждый узел сети соединен со всеми остальными узлами — такая схема гарантирует высочайший уровень отказоустойчивости. Однако, она очень дорогая в реализации. В частичной ячеистой топологии соединены не все узлы — обычно только те из них, которые чаще всего обмениваются данными.
  • Беспроводная ячеистая сеть может состоять из десятков сотен узлов. Пользователи подключаются к сети такого типа через точки доступа, распределенные по большой территории. 

Распределители нагрузки и сети

Распределители нагрузки отвечают за распределение задач, рабочих нагрузок и сетевого трафика между доступными серверами. Распределители нагрузки можно сравнить с диспетчерской службой в аэропорту. Распределитель нагрузки отслеживает весь трафик, поступающий в сеть, и передает его маршрутизаторам или серверам, лучше всего подходящим для его обработки. Распределение нагрузки позволяет избежать перегрузки ресурсов, оптимизировать доступные ресурсы, уменьшить время отклика и повысить пропускную способность.

Подробный обзор распределителей нагрузки приведен на веб-странице Распределение нагрузки: полное руководство.

Сети доставки материалов

Сеть доставки материалов (CDN) — это сеть распределенных серверов, предоставляющая пользователям кэшированные (временно сохраненные) копии материалов веб-сайтов в зависимости от их географического расположения. CDN хранит материалы на распределенных серверах и предоставляет их пользователям таким образом, чтобы уменьшить расстояние между посетителями веб-сайта и сервером веб-сайта. Размещение кэшированных материалов ближе к конечным пользователям позволяет повысить скорость загрузки веб-страниц и помогает повысить качество обслуживания глобальной аудитории веб-сайтов. Сети CDN обеспечивают защиту от всплесков трафика, уменьшают время отклика, снижают потребление пропускной способности и помогают минимизировать последствия взломов и атак за счет размещения дополнительного уровня между конечными пользователями и инфраструктурой веб-сайта.

Сервисы потоковых трансляций в прямом эфире и по запросу, разработчики игр, создатели приложений, интернет-магазины — стремительный рост цифрового потребления вынуждает владельцев задействовать сети CDN для повышения качества обслуживания потребителей контента.

IBM и решения для компьютерных сетей

Решения для компьютерных сетей помогают компаниям оптимизировать трафик, повысить удовлетворенность пользователей, защитить сеть и упростить предоставление услуг. Как правило, лучшее решение для компьютерной сети представляет собой уникальную конфигурацию, специально разработанную с учетом типа и потребностей бизнеса.

Сети доставки материалов (CDN), распределители нагрузки и средства обеспечения сетевой безопасности — все это примеры технологий, которые могут помочь компаниям реализовать оптимальные решения для компьютерных сетей. IBM предлагает дополнительные решения для компьютерных сетей, включая следующие:

  • Аппаратные шлюзы — это устройства, которые предлагают расширенный контроль над сетевым трафиком, повышают производительность сети и укрепляют ее безопасность. Он применяется для управления физическими и виртуальными сетями при маршрутизации в нескольких VLAN, в качестве брандмауэра, VPN, для формирования трафика и многого другого.
  • Direct Link обеспечивает защиту и ускоряет передачу данных между частной инфраструктурой, мультиоблачными средами и IBM Cloud.
  • Облачные интернет-услуги — это функции обеспечения безопасности и управления производительностью, предназначенные для защиты общедоступных веб-материалов и приложений перед их перемещением в облако. Защита от DDoS, глобальное распределение нагрузки и комплект функций обеспечения безопасности, повышения надежности и управления производительностью для защиты общедоступных веб-материалов и приложений перед их перемещением в облако. 

Сетевые услуги IBM Cloud предлагают сетевые решения для оптимизации трафика, повышения удовлетворенности пользователей и эффективного предоставления ресурсов по мере необходимости.

Повысьте свою квалификацию в области сетевых технологий и получите профессиональную сертификацию IBM, пройдя курсы в рамках программы Инженер по надежности облачных сайтов (SRE), профессиональный уровень. 

Зарегистрируйтесь для получения IBMid и создайте учетную запись IBM Cloud.

Обзор различных видов сетевых ответвителей трафика (Network TAP)

В этой статье мы глубже копнем различные виды TAP, рассмотрим пассивные и активные решения. Помимо этого, немного поговорим о брокерах сетевых пакетов и возможности их использовании с сетевыми ответвителями TAP для обеспечения дополнительной защиты.

Начнем с того, что существует 3 типа сетевых ответвителей TAP. Каждый тип обладает единым базовым функционалом – копирование сетевого трафика и отправка этой копии на любой присоединенный инструмент мониторинга сетевого трафика. Их различие заключается в соотношении сетевых портов к портам мониторинга.

Сетевой ответвитель (Network TAP): соотношение 1:1

Агрегирующий ответвитель (Aggregation TAP): – соотношение «много к одному» (М:1)

Регенерирующий ответвитель (Regeneration TAP): соотношение «один ко многим» (1:M)

Сетевые ответвители

Соотношение «один к одному» означает, что каждому сетевому порту соответствует один порт мониторинга. Часто сетевые порты маркируются как «порт А» или «порт В», также маркируются и соответствующие порты мониторинга (порт А, порт В). В таких ответвителях сетевой трафик копируется и отправляется на инструмент мониторинга. В сети может быть развернут один пассивный инструмент мониторинга либо брокер сетевых пакетов (network packet broker (NPB)), который далее распределяет скопированный трафик между несколькими инструментами сетевого мониторинга: анализаторами трафика, анализаторами производительности, системами захвата трафика/пакетов, системами обнаружения вторжений  (IDS) или анализаторами сети типа Wireshark.

Эти инструменты предлагают сетевым инженерам легкий способ добиться максимальной прозрачности сети, так как разместить их можно в любом месте. Кроме того, будучи пассивными сетевыми ответвителями, они позволяют подключать и отключать инструменты мониторинга без прерывания потока данных.

Для снижения риска даже минимального влияния  на работу сети некоторые медные TAP-устройства, такие как Profitap copper TAP, имеют функцию «No Break», которая позволяет существенно снизить время восстановления после отказа в случае сбоя электропитания. Эта функция помогает быстро восстановить соединение после восстановления электроснабжения. Все это в отличии от SPAN портов, которые могут повлиять на прохождение сетевого трафика даже во время нормальной работы.

Агрегирующие ответвители

В отличие от сетевых ответвителей, агрегирующие ответвители соединяют много сетевых портов с одним портом мониторинга (М:1). Таким образом, трафик из многочисленных сегментов может быть направлен на единый анализатор сетевого трафика. Это особенно полезно, когда такой единый инструмент мониторинга имеет ограниченное число портов. Тем не менее, этот тип ответвителя все же может создать проблемы, так как пакеты могут быть потеряны, если трафик превышает выходную полосу пропускания.

Например, при использовании агрегирующего 1Гбит/с ответвителя с агрегированным выходным 1 Гбит/с каналом общая полоса может достигать 2 Гбит/с при полном дуплексе, что превышает возможности ответвителя и приводит к потере пакетов.

Избежать потери пакетов могут помочь такие устройства, как Profitap Booster или ProfiShark 1G. Например, ProfiShark 1G передает захваченный трафик через кабель USB3 со скоростью до 5 Гбит/с, легко обрабатывая результат агрегирования полнодуплексного 1Гбит/с канала.

Регенерирующие ответвители

Трафик критического сегмента сети можно контролировать при помощи системы обнаружения вторжений (IDS), записывать для дальнейшего расследования или анализировать для решения проблем производительности. Регенерирующий ответвитель полезен, когда критический сегмент требует контроля со стороны целой линейки инструментов безопасности и compliance-инструментов.

Сравнение пассивных и активных инструментов мониторинга сети

Система IDS, упомянутая выше, является примером инструмента пассивного мониторинга. Трафик, скопированный ответвителем и отправленный для анализа в систему IDS, терминируется и никуда больше не перенаправляется. Такой тип инструмента называется «пассивным», потому что система мониторинга не изменяет трафик, а выдает предупреждения на основе предварительно настроенных критериев. Копия трафика поступает в пассивный инструмент мониторинга и никуда дальше не направляется.

Другие инструменты безопасности и измерения производительности устанавливаются в разрыв (inline), трафик поступает на такие устройства, а затем направляется дальше. Такие инструменты могут изменить, и даже блокировать трафик, поэтому они являются «активными» инструментами. Обычный пример инструмента безопасности такого типа – системы предотвращения вторжений (IPS). В отличие от пассивных IDS систем, авторизованный сетевой трафик постоянно проходит через IPS систему, неавторизованный трафик блокируется в ней. Сетевые инженеры должны определить параметры такое неавторизованного трафика, но чаще всего системы IPS направлены на блокирование рисков безопасности, таких как вредоносный код.

Устройства TAP поддерживают только пассивные инструменты мониторинга сети, такие как IDS. Для работ с активными инструментами вам потребуется брокер сетевых пакетов (NPB) или более простое устройство — Bypass TAP.

Bypass TAPs

Устройства BypassTap и брокеры сетевых пакетов могут поддерживать активные inline инструменты сетевой безопасности и производительности. Устройства Bypass TAP были разработаны так, чтобы устранить вероятность появления проблемы единой точки отказа с другими устройствами. В случае отказа активного инструмента  из-за аппаратной ошибки, программной ошибки или сбоя в электропитании, устройство Bypass TAP сохранит сетевое соединение. В этом случае он работает как отказоустойчивая точка доступа для подключенных в разрыв инструментов сетевого мониторинга.

Устройство Bypass TAP отправляет heartbeat пакеты на устройства безопасности. Если пакеты возвращаются обратно, то Bypass TAP продолжает отправлять трафик на это устройство. Если по какой-то причине инструмент безопасности перестает возвращать  heartbeat пакеты, Bypass TAP автоматически настраивает обход этого устройства, чтобы обеспечить передачу данных.

Может показаться, что bypass TAP сам является единой точкой отказа. Однако, если в работе этого устройства происходит сбой, критические соединения продолжают работать, потому что устройство bypass TAP построено по принципу «fail open».

Брокеры сетевых пакетов

Основная функция брокера сетевых пакетов заключается в фильтрации конкретного сетевого трафика и его передаче на конкретный инструмент мониторинга, чтобы оптимизировать передачу трафика. Эти устройства обычно монтируются на стойке, у них есть оптические или медные входы, а чаще всего – и те, и другие. Назначая сетевые порты портам мониторинга по типу М:М, они могут более эффективно направлять сетевой трафик. Это дает возможность сетевым инженерам отфильтровывать только нужные данные, что помогает сетевым инструментам более продуктивно анализировать данные.

Брокеры сетевых пакетов не только улучшают работу с потоком трафика, но и помогают ускорить анализ инцидентов и снизить время реагирования на инциденты. Это возможно благодаря тому, что брокеры сетевых пакетов предоставляют сетевым инженерам гибкость при направлении на инструмент безопасности именно того трафика, который необходим. При помощи фильтров брокеры могут выбрать именно те данные, которые требуются инженерам.

Эффективный брокер сетевых пакетов, как, например, Profitap XX-1800 High-Density NPB, должен предоставлять реальную прозрачность на уровне канала, включая маркировку порта и времени. К другим возможностям относятся фильтрация, балансировка нагрузки, буферизация и интеллектуальная агрегацию наряду с обеспечением высокой доступности и отказоустойчивости.

Устройства bypass TAP сконструированы по принципу «fail open», то есть при отказе они открыты для обеспечения безотказной работы. Брокеры сетевых пакетов, с другой стороны, построены по принципу «fail closed», при отказе закрыты и разрывают сетевое соединение. Такая конфигурация наиболее часто используется для защиты особо важных сетей

Выбор типа сетевого ответвителя зависит от типа контролируемой сети. Оптическая она или медная? Если оптическая, то какие оптическая кабели и коннекторы вам потребуются? Какова полоса пропускания в вашей сети? И, конечно же, сколько линий нужно контролировать?

Надеемся, что этот краткий обзор поможет вам ответить на эти вопросы и найти правильное решение при выборе устройства TAP, чтобы гарантировать устойчивую, безотказную работу вашей сети.

Источник ►

Основные типы сетевых атак — виды и методы защиты от них

Любая компания в своей деятельности сегодня использует широкие возможности, которые дает интернет. Однако вместе с возможностями всемирная сеть приносит множество угроз информационной безопасности. Реализация этих угроз может приводить к значительному материальному и репутационному ущербу для бизнеса. Поэтому важно иметь представление об основных типах сетевых атак и способах защиты от них.

Классификация сетевых атак

Сетевой атакой называю намеренные действия третьих лиц, направленные на установлению контроля над локальным или удаленным компьютером или вычислительной системой. В результате атак злоумышленники могут нарушать работу сети, изменять права аккаунта, получать персональные данные пользователей и реализовывать другие цели.

Виды сетевых атак и их последствия имеют значительные отличия друг от друга. Современная классификация угроз проводится по следующим параметрам:

  • характер воздействия, оказываемого на сеть;
  • цель оказываемого воздействия;
  • наличие обратной связи с сетью, подвергнутой атаке;
  • условие начала атаки;
  • расположение субъекта по отношению к объекту атаки;
  • уровень эталонной модели ISO.

Рассмотрим подробнее основные виды сетевых атак по этим категориям.

По характеру воздействия на сеть

Виды сетевых атак по характеру воздействия на атакуемую сеть можно разделить на активные и пассивные.

Активная атака проводится с непосредственным воздействием на сеть, которые может предусматривать ограничение ее работоспособности, модификацию настроек. Воздействие такого рода обязательно оставляет следы, поэтому при его планировании изначально предусматривается обнаружение.

Пассивная атака проводится без непосредственного влияния на работу сети. Однако в ее результате нарушается сетевая безопасность. Обнаружить пассивную атаку намного сложнее именно из-за отсутствия прямого воздействия. Примером таких угроз можно назвать постановку наблюдения или прослушки.

По цели атаки

В зависимости от цели различают виды сетевых атак, направленных на нарушение:

  • функционирования;
  • конфиденциальности;
  • целостности атакуемой сети.

Основной целью является, как правило, несанкционированный доступ к закрытой информации методом ее искажения или перехвата. В первом случае сведения могут быть изменены, во втором – доступ производится без изменения данных.

По наличию обратной связи с атакуемой сетью

Атака может проводиться с обратной связью или без нее (однонаправленная атака).

В первом случае атакующим субъектом устанавливается обмен данными с атакуемым объектом. В результате злоумышленники получают актуальные данные о состоянии сети.

Однонаправленная атака не предусматривает установления обратной связи. Ее проводят, когда для реализации целей злоумышленников не требуется оперативной реакции на изменения состояния объекта.

По условию начала атаки

Существуют разные условия начала воздействия. В том числе можно выделить такие типы сетевых атак по этому критерию:

  • по запросу от объекта;
  • по выполнению на стороне объекта определенного действия;
  • безусловные атаки.

Первые два типа атак начинаются после соответствующего события, а безусловные – в любой момент.

По расположению субъекта по отношению к объекту атаки

По этому критерию различают сетевые атаки межсегментного и внутрисегментного типа. Особенностью категории первого типа является расположение субъекта и объекта в разных сегментах сети. Второй тип характеризуется их расположением в одном сегменте.

Сегментом сети называю хосты (компьютеры), физически объединенные между собой.

По уровню эталонной модели ISO/OSI

Воздействие на атакуемую сеть может осуществляться на разных уровнях эталонной модели ISO/OSI.

В том числе выделяются такие уровни:

  • физический;
  • сетевой;
  • транспортный;
  • канальный;
  • сеансовый;
  • прикладной;
  • представительный.

Примеры атак

В качестве примеров наиболее распространенных сетевых атак можно привести следующие виды воздействия:

  • Применение нестандартных протоколов. Тип протокола пакета данных определяется по содержащемуся в нем специальному полю. При изменении злоумышленниками значения в этом поле осуществляется передача данных, которую система не может определить.
  • Ping Flooding. Такая атака может быть реализована только при условии доступа к высокоскоростному интернету. Она предусматривает применение флудинга вместо стандартной команды контроля пинга. В результате создается избыточная нагрузка на сеть, что приводит к нарушениям в ее работе.
  • Фрагментация данных. При передаче по IP пакет данных делится на части, а на стороне получателя – собирается. В случае атаки выполняется отправка значительного числа подобных фрагментов с засорением буфера обмена и нарушениям работы сети.

Технологии обнаружения атак и алгоритмы действий по их устранению

В связи с быстрым развитием информационных технологий и технических средств статичные механизмы защиты от сетевых угроз часто оказываются неэффективными. Обеспечить эффективную защиту информации позволяют динамические методы, способные оперативно выявлять и устранять угрозы. Работа динамических технологий строится на оценки уровня подозрительности действий в сети со стороны определенной службы или процесса.

Алгоритм действия по устранению атак направлен на идентификацию подозрительных объектов. После этого система реагирует необходимым образом на деятельность таких объектов, которая может быть нацелена на ресурсы сети или компьютерного оборудования.

Методы защиты

Для защиты сетей от внешних угроз могут применяться следующие основные методы и технологии:

  • применение портов высокой надежности, шифрование данных;
  • использование эффективных антивирусов и сканеров;
  • применение программного или аппаратного сетевого экрана;
  • установка блокираторов руткитов и снифферов.

Разнообразие видов сетевых атак, которым могут подвергаться корпоративные и частные сети, требует выработки эффективных мер по их защите. Такие меры должны разрабатываться и применяться заблаговременно. Эффективная защита от угроз поможет сохранить неприкосновенными конфиденциальные данные и обеспечить стабильную работу сети. Благодаря этому многократно окупаются расходы, понесенные на внедрение такой защиты.

 

 

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».

Email*

Подписаться

Маршрутизация трафика в виртуальной сети Azure

  • Чтение занимает 23 мин

В этой статье

Узнайте, как Azure маршрутизирует трафик между средой Azure, локальными и интернет-ресурсами. Azure автоматически создает таблицу маршрутов для каждой подсети в виртуальной сети Azure и добавляет в нее системные маршруты по умолчанию. Дополнительные сведения о виртуальных сетях и подсетях см. в статье Виртуальная сеть Azure. Вы можете переопределить некоторые из системных маршрутов Azure с помощью настраиваемых маршрутов и добавить дополнительные настраиваемые маршруты в таблицу. Azure направляет исходящий трафик из подсети на основе маршрутов в соответствующей таблице.

Системные маршруты

Azure автоматически создает системные маршруты и назначает их каждой подсети в виртуальной сети. Вы не можете создавать и удалять системные маршруты, но вы можете переопределить некоторые из них с помощью настраиваемых маршрутов. Azure создает системные маршруты по умолчанию для каждой подсети и добавляет необязательные маршруты по умолчанию к конкретным подсетям или к каждой подсети при использовании определенных возможностей Azure.

По умолчанию

Каждый маршрут содержит префикс адреса и тип следующего прыжка. Трафик, выходящий из подсети, отправляется на IP-адрес в префиксе адреса маршрута, который используется Azure. Узнайте больше о том, как Azure выбирает маршрут, когда несколько маршрутов содержат одинаковые или перекрывающиеся префиксы. Всякий раз, когда создается виртуальная сеть, Azure автоматически создает для каждой содержащейся в ней подсети следующие системные маршруты по умолчанию:

ИсточникПрефиксы адресовТип следующего прыжка
Значение по умолчаниюУникальные для виртуальной сетиВиртуальная сеть
Значение по умолчанию0.0.0.0/0Интернет
Значение по умолчанию10.0.0.0/8Нет
Значение по умолчанию192.168.0.0/16Нет
Значение по умолчанию100.64.0.0/10None

Типы следующих прыжков, перечисленные в предыдущей таблице, показывают, как Azure направляет трафик, предназначенный для указанного префикса адреса. Ниже приведены описания типов следующих прыжков.

  • Виртуальная сеть. Осуществляет маршрутизацию трафика между диапазонами адресов адресного пространства виртуальной сети. Azure создает маршрут с префиксом адреса, который соответствует каждому диапазону адресов, определенному в адресном пространстве виртуальной сети. Если в адресном пространстве определено несколько диапазонов адресов, Azure создает индивидуальный маршрут для каждого из них. Azure автоматически перенаправляет трафик между подсетями, используя маршруты, созданные для каждого из диапазонов адресов. Вам не нужно определять шлюзы, чтобы Azure направлял трафик между подсетями. Хотя виртуальная сеть содержит подсети, каждая из которых имеет определенный диапазон адресов, Azure не создает маршруты по умолчанию для каждого диапазона, так как все они находятся в пределах диапазона адресов адресного пространства виртуальной сети.

  • Интернет. Направляет трафик, указанный префиксом адреса, в Интернет. Системный маршрут по умолчанию указывает префикс адреса 0.0.0.0/0. Если вы не переопределяете маршруты по умолчанию, Azure направляет трафик по любому адресу, не указанному диапазоном адресов в виртуальной сети, в Интернет, за одним исключением. Если целевой адрес предназначен для одной из служб Azure, Azure направляет трафик непосредственно в службу через магистральную сеть Azure, а не в Интернет. Трафик между службами Azure не проходит через Интернет, независимо от того, в каком регионе Azure находится виртуальная сеть или в каком регионе развернута служба Azure. Можно переопределить системный маршрут Azure по умолчанию, указывающий префикс адреса 0.0.0.0/0, с помощью настраиваемого маршрута.

  • Нет — Трафик, направляемый на тип следующего прыжка Нет, прерывается, а не направляется за пределы подсети. Azure автоматически создает маршруты по умолчанию для следующих префиксов адресов:

    • 10.0.0.0/8 и 192.168.0.0/16: Зарезервированы для частного использования в RFC 1918.
    • 100.64.0.0/10. Зарезервирован в RFC 6598.

    Если назначить какой-либо из предыдущих диапазонов адресов в пределах адресного пространства виртуальной сети, Azure автоматически изменит тип следующего прыжка для маршрута с Нет на Виртуальная сеть. Если назначить для адресного пространства виртуальной сети диапазон адресов, который включает в себя один из четырех префиксов зарезервированных адресов, но не совпадает с ними, Azure удаляет маршрут для префикса и добавляет маршрут для добавленного префикса адреса с типом Виртуальная сеть в качестве типа следующего прыжка.

Необязательные маршруты по умолчанию

Azure добавляет дополнительные системные маршруты по умолчанию для различных функций Azure, но только если функции включены. В зависимости от функций Azure добавляет дополнительные маршруты по умолчанию для определенных подсетей в виртуальной сети или для всех подсетей. Дополнительные системные маршруты и типы следующего прыжка, которые Azure может добавлять, когда включены различные функции:

ИсточникПрефиксы адресовТип следующего прыжкаПодсеть в виртуальной сети, к которой добавлен маршрут
По умолчаниюУникальные для виртуальной сети, например: 10.1.0.0/16Пиринговая связь между виртуальными сетямиAll
Шлюз виртуальной сетиПрефиксы, объявленные в локальной среде через BGP или настроенные в шлюзе локальной сетиШлюз виртуальной сетиAll
По умолчаниюНесколькоVirtualNetworkServiceEndpointТолько для подсети, для которой включена конечная точка службы

  • Пиринг виртуальных сетей. При создании пиринга между двумя виртуальными сетями добавляется маршрут для каждого диапазона адресов в адресном пространстве каждой из этих виртуальных сетей. См. дополнительные сведения о пиринге виртуальных сетей.

  • Шлюз виртуальной сети. Если в виртуальную сеть включить шлюз виртуальной сети, добавляется один или несколько маршрутов со шлюзом виртуальной сети, указанным в качестве типа следующего прыжка. Источником также является шлюз виртуальной сети, так как он добавляет маршруты в подсеть. Если локальный сетевой шлюз обменивается маршрутами протокола пограничного шлюза (BGP) со шлюзом виртуальной сети Azure, маршрут добавляется для каждого маршрута, распространяемого из локального сетевого шлюза. Рекомендуется суммировать локальные маршруты до самых больших диапазонов адресов, чтобы наименьшее количество маршрутов распространялись на шлюз виртуальной сети Azure. Существуют ограничения на количество маршрутов, которые вы можете распространять на шлюз виртуальной сети Azure. Дополнительные сведения см. в разделе Ограничения сети.

  • VirtualNetworkServiceEndpoint. Когда вы включаете конечные точки службы, Azure добавляет в таблицу маршрутов общедоступные IP-адреса для определенных служб. Конечные точки службы включаются для отдельных подсетей в виртуальной сети, поэтому маршрут добавляется только в таблицу маршрутов подсети, для которой включена конечная точка службы. Общедоступные IP-адреса служб Azure периодически изменяются. При изменении адресов Azure автоматически управляет ими в таблице маршрутов. См. дополнительные сведения о конечных точках служб для виртуальной сети и службах, для которых вы можете создать конечные точки служб.

    Примечание

    Типы следующего прыжка Пиринг виртуальных сетей и VirtualNetworkServiceEndpoint добавляются только в таблицы маршрутов подсетей в виртуальных сетях, созданных с помощью модели развертывания Azure Resource Manager. Типы следующих прыжков не добавляются в таблицы маршрутов, которые связаны с подсетями виртуальных сетей, созданными в классической модели развертывания. См. дополнительные сведения о моделях развертывания Azure.

Настраиваемые маршруты

Создать настраиваемые маршруты можно путем создания определяемых пользователем маршрутов или путем обмена маршрутами протокола BGP между локальным сетевым шлюзом и шлюзом виртуальной сети Azure.

Определяемые пользователем маршруты

Вы можете создать настраиваемые (определяемые пользователем) статические маршруты в Azure, чтобы переопределить системные маршруты Azure по умолчанию или добавить дополнительные маршруты в таблицу маршрутов подсети. В Azure вы создаете таблицу маршрутов, которую можно не связывать или связать с несколькими подсетями виртуальной сети. С каждой подсетью может быть связана одна таблица маршрутов (или ноль). Сведения о максимальном количестве маршрутов, которые можно добавить в таблицу маршрутов, и о максимальном количестве таблиц маршрутов, определяемых пользователем, на подписку Azure см. в разделе Ограничения сети. Если вы создаете таблицу маршрутов и связываете ее с подсетью, маршруты внутри нее объединяются с маршрутами по умолчанию, которые добавляет Azure, или переопределяют ее.

При создании маршрута, определяемого пользователем, можно указать приведенные ниже типы следующего прыжка.

  • Виртуальный модуль. Виртуальный модуль — это виртуальная машина, на которой обычно выполняется сетевое приложение, например брандмауэр. Дополнительные сведения о различных предварительно настроенных виртуальных сетевых модулях, которые можно развернуть в виртуальной сети, см. на странице Azure Marketplace. При создании маршрута с типом прыжка Виртуальный модуль можно также указать IP-адрес следующего прыжка одного из таких типов:

    • Частный IP-адрес сетевого интерфейса, подключенного к виртуальной машине. Для такого сетевого интерфейса, который перенаправляет сетевой трафик на адрес, отличный от своего собственного, требуется активировать параметр Azure Enable IP forwarding (Включить IP-пересылку). Параметр отключает проверку источника и назначения для сетевого интерфейса, выполняемую Azure. См. дополнительные сведения о способах включения IP-пересылки для сетевого интерфейса. Хотя параметр Включить IP-пересылку относится к Azure, вам также может потребоваться включить IP-пересылку в операционной системе виртуальной машины, чтобы устройство перенаправляло трафик между частными IP-адресами, назначенными сетевым интерфейсам Azure. Если устройство должно направлять трафик на общедоступный IP-адрес, ему нужно либо проксировать трафик, либо преобразовать методом NAT частный IP-адрес источника в собственный частный IP-адрес, который Azure затем сможет соответствующим образом преобразовать в общедоступный IP-адрес, прежде чем отправлять трафик в Интернет. Чтобы определить требуемые параметры на виртуальной машине, ознакомьтесь с документацией вашей операционной системы или сетевого приложения. См. дополнительные сведения об исходящих подключениях в Azure.

      Примечание

      Разверните виртуальный модуль в подсети, отличной от той, в которой развертываются ресурсы, направляемые через виртуальный модуль. Развертывание виртуального модуля в той же подсети с последующим применением таблицы маршрутов к подсети, которая направляет трафик через виртуальный модуль, может привести к зацикливанию маршрутизации, в результате чего трафик никогда не покидает подсеть.

    • Частный IP-адрес внутренней подсистемы балансировки нагрузки Azure. Подсистема балансировки нагрузки часто используется как часть стратегии обеспечения высокой доступности виртуальных сетевых модулей.

    Вы можете определить маршрут с префиксом адреса 0.0.0.0/0 и типом следующего прыжка «Виртуальный модуль». Таким образом модуль будет проверять трафик и определять, следует ли пересылать или прерывать трафик. Если вы хотите создать определяемый пользователем маршрут, который содержит префикс адреса 0.0.0.0/0, ознакомьтесь со статьей Определяемые пользователем маршруты и IP-пересылка.

  • Шлюз виртуальной сети. Укажите, когда трафик, предназначенный для конкретных префиксов адресов, следует направлять в шлюз виртуальной сети. Шлюз виртуальной сети должен быть шлюзом VPN. Невозможно указать шлюз виртуальной сети типа ExpressRoute в определяемом пользователем маршруте, так как для ExpressRoute с настраиваемыми маршрутами необходимо использовать BGP. Вы можете определить маршрут, который направляет трафик, предназначенный для префикса адресов 0.0.0.0/0, в виртуальный сетевой шлюз на основе маршрутов. В локальной среде у вас может быть устройство, которое проверяет трафик и определяет, следует ли пересылать или прерывать трафик. Если вы хотите создать определяемый пользователем маршрут для префикса адреса 0.0.0.0/0, ознакомьтесь со статьей Определяемые пользователем маршруты и IP-пересылка. Вместо настройки определяемого пользователем маршрута для префикса адреса 0.0.0.0/0 вы можете объявить этот маршрут с помощью BGP, если вы включили BGP для виртуального сетевого шлюза VPN.

  • Нет — Укажите, когда следует прерывать трафик, предназначенный для префикса адреса, а не перенаправлять трафик в пункт назначения. Если вы еще не полностью настроили функцию, Azure может указать Нет для некоторых необязательных системных маршрутов. Например, если для IP-адреса следующего прыжка указано значение Нет, а для типа следующего прыжка указано значение Виртуальный сетевой шлюз или Виртуальный модуль, возможно, модуль не работает или не настроен полностью. Azure создает системные маршруты по умолчанию для зарезервированных префиксов адресов со значением Нет в качестве типа следующего прыжка.

  • Виртуальная сеть. Укажите, когда следует переопределить маршрутизацию по умолчанию в виртуальной сети. Пример сценария создания маршрута с типом прыжка Виртуальная сеть см. в статье Определяемые пользователем маршруты и IP-пересылка.

  • Интернет. Укажите, требуется ли явно направлять трафик, предназначенный для префикса адреса, в Интернет или вы хотите, чтобы трафик, предназначенный для служб Azure с общедоступными IP-адресами, оставался в пределах магистральной сети Azure.

Вы не можете указать Пиринг виртуальных сетей или VirtualNetworkServiceEndpoint в качестве типа следующего прыжка в маршрутах, определяемых пользователем. Маршруты с типами следующего прыжка Пиринг виртуальных сетей или VirtualNetworkServiceEndpoint создаются Azure только при настройке пиринга виртуальных сетей или конечной точки службы.

Теги служб для определяемых пользователем маршрутов (Предварительная версия)

Теперь можно указать тег службы в качестве префикса адреса для определяемого пользователем маршрута вместо явного диапазона IP-адресов. Тег службы представляет собой группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений определяемых пользователем маршрутов и сокращая количество маршрутов, которые вам приходится создавать. В настоящее время в каждой таблице маршрутов можно создать не более 25 маршрутов с тегами службы.

Важно!

Теги службы для определяемых пользователем маршрутов в настоящее время находятся на этапе предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендована для использования рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования предварительных выпусков Microsoft Azure.

Точное совпадение

При наличии точного совпадения префикса между маршрутом с явным префиксом IP-адреса и маршрутом с тегом службы предпочтение отдается маршруту с явным префиксом. Если несколько маршрутов с тегами службы имеют совпадающие префиксы IP-адресов, маршруты будут оцениваться в следующем порядке.

  1. Региональные теги (например, Storage.EastUS, AppService.AustraliaCentral)
  2. Теги верхнего уровня (например, Storage, AppService)
  3. Региональные теги AzureCloud (например, AzureCloud.canadacentral, AzureCloud.eastasia)
  4. Тег AzureCloud

Чтобы использовать эту функцию, укажите имя тега службы для параметра префикса адреса в командах таблицы маршрутов. Например, в PowerShell можно создать новый маршрут для направления трафика, передаваемого на префикс IP-адреса службы хранилища Azure в виртуальное устройство, с помощью:

New-AzRouteConfig -Name "StorageRoute" -AddressPrefix "Storage" -NextHopType "VirtualAppliance" -NextHopIpAddress "10.0.100.4"

Для CLI будет использоваться та же команда:

az network route-table route create -g MyResourceGroup --route-table-name MyRouteTable -n StorageRoute --address-prefix Storage --next-hop-type VirtualAppliance --next-hop-ip-address 10.0.100.4

Примечание

В общедоступной предварительной версии существует несколько ограничений. Эта функция сейчас не поддерживается на портале Azure и доступна только через PowerShell и CLI. Использование с контейнерами не поддерживается.

Имя, отображаемое и указанное для типов следующего прыжка, отличается между порталом Azure и программами командной строки, а также в Azure Resource Manager и классических моделях развертывания. В следующей таблице перечислены имена, используемые для обозначения каждого типа следующего прыжка в разных инструментах и моделях развертывания:

Тип следующего прыжкаAzure CLI и PowerShell (Resource Manager)Классический Azure CLI и PowerShell (классическая модель развертывания)
Шлюз виртуальной сетиVirtualNetworkGatewayVPNGateway
Виртуальная сетьVNetLocalVNETLocal (недоступно при использовании классического CLI в режиме ASM)
ИнтернетИнтернетИнтернет (недоступно при использовании классического CLI в режиме ASM)
Виртуальный модульVirtualApplianceVirtualAppliance
NoneNoneNull (недоступно при использовании классического CLI в режиме ASM)
Пиринг между виртуальными сетямиПиринговая связь между виртуальными сетямиНеприменимо
Конечная точка службы для виртуальной сетиVirtualNetworkServiceEndpointНеприменимо

Протокол BGP

Локальный сетевой шлюз может обмениваться маршрутами со шлюзом виртуальной сети Azure с использованием протокола BGP. Использование BGP со шлюзом виртуальной сети Azure зависит от типа, выбранного вами при создании шлюза. В частности:

  • ExpressRoute. Вам нужно использовать протокол BGP, чтобы объявить локальные маршруты для маршрутизатора Microsoft Edge. Вы не можете создавать определяемые пользователем маршруты для принудительного перенаправления трафика в шлюз виртуальной сети ExpressRoute, если вы развертываете шлюз виртуальный сети типа ExpressRoute. Определяемые пользователем маршруты можно использовать для принудительного перенаправления трафика от Express Route на, например, виртуальные сетевые модули.
  • VPN. При необходимости можно использовать протокол BGP. Дополнительные сведения см. в статье Обзор использования BGP с VPN-шлюзами Azure.

При обмене маршрутами с Azure с использованием протокола BGP отдельный маршрут добавляется в таблицу маршрутов всех подсетей в виртуальной сети для каждого объявляемого префикса. При этом в качестве источника и типа следующего прыжка указано значение Шлюз виртуальной сети.

Распространение маршрутов ExpressRoute и VPN-шлюзов можно отключить для подсети с помощью свойства в таблице маршрутов. Если обмен маршрутами с Azure выполняется по протоколу BGP, маршруты не добавляются в таблицу маршрутов для всех подсетей при отключении распространения маршрутов в шлюзе виртуальной сети. Активировать VPN-подключения можно с помощью пользовательских маршрутов и VPN-шлюза с типом следующего прыжка. Распространение маршрутов BGP не должно быть отключено для GatewaySubnet. Шлюз не будет работать, если этот параметр отключен. Дополнительные сведения см. в разделе Создание, изменение и удаление таблицы маршрутов.

Как Azure выбирает маршрут

Когда исходящий трафик передается из подсети, Azure выбирает маршрут на основе целевого IP-адреса, используя самый длинный алгоритм сопоставления префикса. Например, таблица маршрутов содержит два маршрута: один маршрут указывает префикс адреса 10.0.0.0/24, а второй — префикс адреса 10.0.0.0/16. Azure направляет трафик, предназначенный для 10.0.0.5, к типу следующего прыжка, указанному в маршруте с префиксом адреса 10.0.0.0/24, так как этот маршрут длиннее, чем маршрут с префиксом адреса 10.0.0.0/16, хотя 10.0.0.5 содержится в обоих префиксах адресов. Azure направляет трафик, предназначенный для 10.0.1.5, к типу следующего прыжка, указанному в маршруте с префиксом адреса 10.0.0.0/16. Этот маршрут является самым длинным и самым подходящим, так как 10.0.1.5 не включен в префикс адреса 10.0.0.0/24.

Если несколько маршрутов содержат один и тот же префикс адреса, Azure выбирает тип маршрута на основе следующего приоритета:

  1. определяемый пользователем маршрут;
  2. маршрут BGP;
  3. Системные маршруты

Примечание

Системные маршруты для трафика, связанного с виртуальной сетью, пиринговыми подключениями между виртуальными сетями или конечными точками служб для виртуальной сети, являются предпочтительными, даже если маршруты BGP более четко определены.

Например, таблица маршрутов содержит следующие маршруты:

ИсточникПрефиксы адресовТип следующего прыжка
Значение по умолчанию0.0.0.0/0Интернет
Пользователь0.0.0.0/0Шлюз виртуальной сети

Если трафик предназначен для IP-адреса за пределами префиксов адресов любых других маршрутов в таблице маршрутов, Azure выбирает маршрут с источником Пользователь, так как определяемые пользователем маршруты имеют более высокий приоритет, чем системные маршруты по умолчанию.

Подробную таблицу маршрутизации с пояснениями маршрутов см. в статье Определяемые пользователем маршруты и IP-пересылка.

Префикс адреса 0.0.0.0/0

Маршрут с префиксом адреса 0.0.0.0/0 указывает Azure, как направлять трафик, предназначенный для IP-адреса, который не находится в префиксе адреса любого другого маршрута в таблице маршрутов подсети. При создании подсети Azure создает маршрут по умолчанию с префиксом адреса 0.0.0.0/0 и типом следующего прыжка Интернет. Если вы не переопределите этот маршрут, Azure направляет в Интернет весь трафик, предназначенный для IP-адресов, не включенных в префикс адреса любого другого маршрута. Исключением является лишь трафик к общедоступным IP-адресам служб Azure, который не перенаправляется в Интернет, а остается в магистральной сети Azure. Если вы переопределите этот маршрут с помощью настраиваемого маршрута, трафик, предназначенный для адресов, не входящих в префиксы адресов любого другого маршрута в таблице маршрутов, направляется на виртуальный сетевой модуль или шлюз виртуальной сети, в зависимости от того, что указано в настраиваемом маршруте.

Если вы переопределите префикс адреса 0.0.0.0/0, при условии, что исходящий трафик из подсети проходит через виртуальный сетевой шлюз или виртуальный модуль, в маршруте Azure по умолчанию происходят следующие изменения:

  • Azure отправляет весь трафик к типу следующего прыжка, указанному в маршруте, включая трафик, предназначенный для общедоступных IP-адресов служб Azure. Когда типом следующего прыжка для маршрута с префиксом адреса 0.0.0.0/0 является Интернет, трафик из подсети, предназначенный для общедоступных IP-адресов служб Azure, никогда не покидает магистральную сеть Azure, независимо от региона Azure, в котором находится виртуальная сеть или ресурс службы Azure. Вы можете создать определяемый пользователем маршрут или маршрут BGP с типом следующего прыжка Шлюз виртуальной сети или Виртуальный модуль. Тогда весь трафик, включая трафик, отправленный на общедоступные IP-адреса служб Azure, для которых не разрешены конечные точки службы, отправляется к типу следующего прыжка, указанному в маршруте. Если для службы включить конечную точку службы, трафик к ней не направляется по типу следующего прыжка в маршруте с префиксом адреса 0.0.0.0/0, потому что префиксы адресов для службы указаны в маршруте, который Azure создает при включении конечной точки службы, и они будут длиннее префикса 0.0.0.0/0.

  • Вы больше не сможете напрямую получать доступ к ресурсам в подсети из Интернета. Вы можете косвенно обращаться к ресурсам в подсети из Интернета, если входящий трафик проходит через устройство, указанное типом следующего прыжка для маршрута с префиксом адреса 0.0.0.0/0, прежде чем достичь ресурса в виртуальной сети. Если маршрут содержит указанные ниже значения для типа следующего прыжка:

    • Виртуальный модуль. Модуль должен:

      • быть доступным из Интернета;
      • иметь назначенный общедоступный IP-адрес;
      • не иметь связанного с ним правила группы безопасности сети, которое предотвращает связь с устройством;
      • не запрещать обмен данными;
      • иметь возможность преобразовывать и переадресовывать сетевой адрес или передавать трафик на целевой ресурс в подсети и возвращать его обратно в Интернет.

    • Шлюз виртуальной сети. Если шлюз является шлюзом виртуальной сети ExpressRoute, подключенное к Интернету локальное устройство может преобразовывать и переадресовывать сетевой адрес или передавать трафик на целевой ресурс в подсети через частный пиринг ExpressRoute.

Если виртуальная сеть подключена к шлюзу Azure VPN, не связывайте таблицу маршрутов с подсетью шлюза, включающей маршрут с назначением 0.0.0.0/0. Это может привести к неправильной работе шлюза. Дополнительные сведения см. в ответе на вопрос Почему на моем VPN-шлюзе открыты определенные порты? в статье VPN-шлюз: вопросы и ответы.

Дополнительные сведения об использовании шлюзов виртуальной сети между Интернетом и Azure см. в статье Сеть периметра между Azure и локальным центром обработки данных.

Пример маршрутизации

Чтобы продемонстрировать основные понятия в этой статье, в последующих разделах представлено следующее:

  • сценарий с описанием требований;
  • настраиваемые маршруты, необходимые для соответствия требованиям;
  • таблица маршрутов для одной подсети, которая содержит стандартные и настраиваемые маршруты, необходимые для соответствия требованиям.

Примечание

Этот пример не является рекомендуемым или лучшим типом реализации. Его предназначение — проиллюстрировать основные понятия в этой статье.

Требования

  1. Реализуйте две виртуальные сети в одном регионе Azure и настройте ресурсы для обмена данными между виртуальными сетями.

  2. Настройте в локальной сети безопасный обмен данными с обеими виртуальными сетями через Интернет с помощью туннеля VPN. Можно также использовать подключение ExpressRoute, но в этом примере используется VPN-подключение.

  3. Для одной подсети в одной виртуальной сети:

    • Настройте принудительную передачу всего трафика из подсети (за исключением хранилища Azure и внутри подсети) через виртуальный сетевой модуль для проверки и регистрации.
    • Не проверяйте трафик между частными IP-адресами в подсети и разрешите прохождение трафика непосредственно между всеми ресурсами.
    • Прервите весь исходящий трафик, предназначенный для другой виртуальной сети.
    • Разрешите прохождение исходящего трафика непосредственно в хранилище Azure без принудительного прохождения через виртуальный сетевой модуль.

  4. Разрешите весь трафик между всеми подсетями и виртуальными сетями.

Реализация

На следующем рисунке показана реализация с помощью модели развертывания Azure Resource Manager, которая соответствует предыдущим требованиям:

Стрелки показывают поток трафика.

Таблицы маршрутов

Подсеть 1

Таблица маршрутов Subnet 1 (Подсеть 1) на рисунке содержит следующие маршруты:

IDИсточникСостояниеПрефиксы адресовТип следующего прыжкаIP-адрес следующего прыжкаНазвание определяемого пользователем маршрута
1По умолчаниюНедопустимо10.0.0.0/16Виртуальная сеть
2ПользовательАктивна10.0.0.0/16Виртуальный модуль10.0.100.4В пределах виртуальной сети (VNet) 1
3ПользовательАктивна10.0.0.0/24Виртуальная сетьВ пределах подсети 1
4По умолчаниюНедопустимо10.1.0.0/16Пиринговая связь между виртуальными сетями
5По умолчаниюНедопустимо10.2.0.0/16Пиринговая связь между виртуальными сетями
6ПользовательАктивна10.1.0.0/16NoneК виртуальной сети 2 — 1 —прервать
7ПользовательАктивна10.2.0.0/16NoneК виртуальной сети 2 — 2 —прервать
8По умолчаниюНедопустимо10.10.0.0/16Шлюз виртуальной сети[X.X.X.X]
9ПользовательАктивна10.10.0.0/16Виртуальный модуль10.0.100.4К локальной среде
10По умолчаниюАктивна[X.X.X.X]VirtualNetworkServiceEndpoint
11По умолчаниюНедопустимо0.0.0.0/0Интернет
12ПользовательАктивна0.0.0.0/0Виртуальный модуль10.0.100.4Виртуальный сетевой модуль по умолчанию

Пояснение для идентификатора каждого маршрута:

  1. Azure автоматически добавляет этот маршрут для всех подсетей в виртуальной сети 1, так как 10.0.0.0/16 — это единственный диапазон адресов, определенный в адресном пространстве для виртуальной сети. Если определяемый пользователем маршрут в маршруте 2 не создан, трафик, отправленный на любой адрес между 10.0.0.1 и 10.0.255.254, будет направляться в виртуальную сеть, так как префикс длиннее 0.0.0.0/0 и не находится внутри префиксов адресов любого из других маршрутов. В Azure было автоматически изменено состояние с Активно на Недопустимо, когда был добавлен определяемый пользователем маршрут 2, так как он имеет тот же префикс, что и маршрут по умолчанию, а определяемые пользователем маршруты переопределяют маршруты по умолчанию. Состояние этого маршрута по-прежнему имеет значение Активно для подсети 2, потому что таблица маршрутов, в которой находится определяемый пользователем маршрут 2, не связана с подсетью 2.
  2. В Azure был добавлен этот маршрут, когда определяемый пользователем маршрут для префикса адреса 10.0.0.0/16 был связан с подсетью 1 в виртуальной сети 1. Определяемый пользователем маршрут указывает 10.0.100.4 в качестве IP-адреса виртуального модуля, так как это частный IP-адрес, назначенный виртуальной машине виртуального модуля. Таблица маршрутов, в которой существует этот маршрут, не связана с подсетью 2 и поэтому не отображается в таблице маршрутов подсети 2. Этот маршрут переопределяет маршрут по умолчанию для префикса 10.0.0.0/16 (маршрут 1), который автоматически направляет трафик, адресованный 10.0.0.1 и 10.0.255.254 в виртуальной сети, с помощью типа следующего прыжка «Виртуальная сеть». Этот маршрут существует в соответствии с требованием 3, чтобы принудительно направить весь исходящий трафик через виртуальный модуль.
  3. В Azure был добавлен этот маршрут, когда определяемый пользователем маршрут для префикса адреса 10.0.0.0/24 был связан с подсетью 1. Трафик, предназначенный для адресов между 10.0.0.1 и 10.0.0.254, остается в подсети, а не направляется к виртуальному модулю, указанному в предыдущем правиле (маршрут 2), так как он имеет более длинный префикс, чем маршрут 2. Этот маршрут не связан с подсетью 2 и поэтому не отображается в таблице маршрутов подсети 2. Этот маршрут эффективно переопределяет маршрут 2 для трафика в подсети 1. Этот маршрут существует в соответствии с требованием 3.
  4. В Azure были автоматически добавлены маршруты 4 и 5 для всех подсетей в виртуальной сети 1, когда между ней и виртуальной сетью 2 была установлена пиринговая связь. Виртуальная сеть 2 содержит два диапазона адресов в адресном пространстве (10.1.0.0/16 и 10.2.0.0/16), поэтому Azure добавил маршрут для каждого диапазона. Если определяемые пользователем маршруты в маршрутах 6 и 7 не созданы, трафик, отправленный на любой адрес между 10.1.0.1-10.1.255.254 и 10.2.0.1-10.2.255.254, будет направляться в пиринговую виртуальную сеть, так как префикс длиннее, чем 0.0.0.0/0, и не находится внутри префиксов адресов любого из других маршрутов. В Azure было автоматически изменено состояние с Активно на Недопустимо, когда были добавлены маршруты 6 и 7, так как они имеют те же префиксы, что и маршруты 4 и 5, а определяемые пользователем маршруты переопределяют маршруты по умолчанию. Состояние маршрутов с идентификаторами 4 и 5 по-прежнему имеет значение Активно для подсети 2, так как таблица маршрутов, в которой находятся определяемые пользователем маршруты с идентификаторами 6 и 7, не связана с подсетью 2. Пиринг виртуальных сетей был создан в соответствии с требованием 1.
  5. То же касается и маршрута 4.
  6. Azure добавляет этот маршрут и маршрут в маршрут с ИД 7, когда определяемые пользователем маршруты для префиксов адресов 10.1.0.0/16 и 10.2.0.0/16 связываются с подсетью 1. Трафик, предназначенный для адресов между 10.1.0.1-10.1.255.254 и 10.2.0.1-10.2.255.254, прерывается Azure, а не направляется в пиринговую виртуальную сеть, так как определяемые пользователем маршруты переопределяют маршруты по умолчанию. Эти маршруты не связаны с подсетью 2 и поэтому не отображаются в таблице маршрутов подсети 2. Эти маршруты переопределяют маршруты 4 и 5 трафика, выходящего из подсети 1. Маршруты 6 и 7 существует в соответствии с требованием 3, чтобы прервать трафик, предназначенный для другой виртуальной сети.
  7. То же касается и маршрута 6.
  8. Azure автоматически добавляет этот маршрут для всех подсетей в виртуальной сети 1 при создании шлюза виртуальной сети типа VPN. Azure добавляет общедоступный IP-адрес шлюза виртуальной сети в таблицу маршрутов. Трафик, отправленный на любой адрес между 10.10.0.1 и 10.10.255.254, направляется в шлюз виртуальной сети. Префикс длиннее, чем 0.0.0.0/0, и не находится внутри префиксов адресов других маршрутов. Шлюз виртуальной сети был создан в соответствии с требованием 2.
  9. В Azure был добавлен этот маршрут, когда определяемый пользователем маршрут для префикса адреса 10.10.0.0/16 был добавлен в таблицу маршрутов, связанную с подсетью 1. Этот маршрут переопределяет маршрут 8. Маршрут отправляет весь трафик, предназначенный для локальной сети, в виртуальный сетевой модуль для проверки вместо маршрутизации трафика локально. Этот маршрут был создан в соответствии с требованием 3.
  10. Azure автоматически добавляет этот маршрут в подсеть, когда для нее настраивается конечная точка службы для службы Azure. Azure направляет трафик из подсети на общедоступный IP-адрес службы через сеть инфраструктуры Azure. Префикс длиннее, чем 0.0.0.0/0, и не находится внутри префиксов адресов других маршрутов. Конечная точка службы была создана в соответствии с требованием 3, чтобы направить трафик, предназначенный для хранилища Azure, непосредственно в хранилище.
  11. Azure автоматически добавляет этот маршрут в таблицу маршрутов всех подсетей в виртуальной сети 1 и 2. Префикс адреса 0.0.0.0/0 является кратчайшим префиксом. Любой трафик, отправленный адресам с более длинными префиксами, направляется согласно другим маршрутам. По умолчанию Azure направляет весь трафик, предназначенный для адресов, отличных от указанных для одного из других маршрутов, в Интернет. Azure автоматически изменяет состояние с Активно на Недоступно для подсети 1, когда определяемый пользователем маршрут для префикса адреса 0.0.0.0/0 (12) связывается с подсетью. Состояние этого маршрута по-прежнему имеет состояние Active для всех других подсетей в обеих виртуальных сетях, поскольку маршрут не связан ни с какими другими подсетями в любых виртуальных сетях.
  12. В Azure был добавлен этот маршрут, когда определяемый пользователем маршрут для префикса адреса 0.0.0.0/0 был связан с подсетью 1. Определяемый пользователем маршрут указывает 10.0.100.4 в качестве IP-адреса виртуального модуля. Этот маршрут не связан с подсетью 2 и поэтому не отображается в таблице маршрутов подсети 2. Весь трафик для любых адресов, не включенных в префиксы адресов других маршрутов, отправляется на виртуальный модуль. Добавление этого маршрута меняет состояние маршрута по умолчанию для префикса адреса 0.0.0.0/0 (11) с Активно на Недоступно для подсети 1, потому что определяемый пользователем маршрут переопределяет маршрут по умолчанию. Этот маршрут существует для выполнения третьего требования.
Подсеть 2

Таблица маршрутов подсети 2 на рисунке содержит следующие маршруты:

ИсточникСостояниеПрефиксы адресовТип следующего прыжкаIP-адрес следующего прыжка
По умолчаниюАктивна10.0.0.0/16Виртуальная сеть
По умолчаниюАктивна10.1.0.0/16Пиринговая связь между виртуальными сетями
По умолчаниюАктивна10.2.0.0/16Пиринговая связь между виртуальными сетями
По умолчаниюАктивна10.10.0.0/16Шлюз виртуальной сети[X.X.X.X]
По умолчаниюАктивна0.0.0.0/0Интернет
По умолчаниюАктивна10.0.0.0/8Нет
По умолчаниюАктивна100.64.0.0/10Нет
По умолчаниюАктивна192.168.0.0/16None

Таблица маршрутов для подсети 2 содержит все созданные по умолчанию маршруты Azure и необязательные маршруты пиринговой виртуальной сети и шлюза виртуальной сети. Azure добавляет дополнительные маршруты во все подсети в виртуальной сети, когда шлюз и пиринг добавляются в виртуальную сеть. В Azure были удалены маршруты для префиксов адресов 10.0.0.0/8, 192.168.0.0/16 и 100.64.0.0/10 из таблицы маршрутов подсети 1, когда определяемый пользователем маршрут для префикса адреса 0.0.0.0/0 был добавлен в подсеть 1.

Дальнейшие действия

QoS – Приоритезация трафика

В сетях передачи данных присутствует различный тип трафика, нуждающийся в определенном качестве обслуживания. Есть приложения, критичные к задержкам при передаче данных. Например, голосовая передача данных или управление устройствами в промышленных сетях. Для других приложений важно отсутствие потерь, при этом время передачи данных не влияет на работу. Например, сбор данных с устройств учета.

Основные параметрами определения качества связи: 

  • Задержка – время, за которое данные доходят от отправителя до получателя.
  • Джиттер «дрожание» — разница задержек при передаче данных.
  • Потери – количество пакетов, потерянных во время передачи данных по сети.
  • Полоса пропускания – количество пакетов, проходящие по сети за определенный период времени

Чтобы обеспечить приоритетное обслуживание определенного типа трафика, используют технологию QoS (Quality of Service). QoS обеспечивает выделенную полосу пропускания, контролирует задержку и джиттер, а также ограничивает потери данных.

Модели QoS

  • Best Effort — негарантированная доставка. В такой системе не различают категории трафика. Весь трафик получает наилучшее на данный момент обслуживание. Подходит для сетей с большой пропускной способностью и отсутствием перегрузок.
  • Integrated Service (IntServ) — гарантия качества для каждого потока. Резервирование полосы пропускания для каждого потока на пути от источника до получателя. За резервирование ресурсов отвечает протокол RSVP. Такие сети не получили широкого практического применения, так как из-за резервирования каналов для каждого соединения сеть становится не масштабируемой.
  • Differentiated Service (DiffServ) — Весь трафик сети разделяется на классы и устанавливаются правила для их обработки. В результате чего каждый класс трафика получает разный уровень обслуживания. На всем пути следования трафика каждый узел самостоятельно определяет правила обслуживания, т.е. одни и те же данные могут получить разное обслуживание на своем пути.

Маркировка трафика согласно обслуживанию DiffServ

Существует несколько способов промаркировать трафик сети:

  • Маркировка на 2 уровне — CoS (Class of Service)

На канальном уровне маркировка пакетов происходит в соответствии со стандартом 802.1p. Поле CoS занимает 3 бита в 4-байтовом заголовке 802.1Q, который содержит p-тег, определяющий приоритет и идентификатор VLAN. Всего может быть установлено до 8 классов обслуживания данных, описанных в стандарте 802.1D. Исходя из всего этого, необходимым условием маркировки CoS является тегирование трафика по технологии VLAN. Такая маркировка QoS возможно только в пределах локальной сети, так как при прохождении пакетов сквозь маршрутизатор VLAN теги удаляются.

0х8100 – Идентификатор протокола маркирования (VLAN). 
Р-тег – Определяет приоритет пакета
CFI (Canonical Format Indicator) – Идентификатор формата МАС-адреса, использовался для совместимости между сетями Ethernet и Token Ring. В настоящее время поле CFI не используется, в связи с отказом от сетей Token Ring.
VLAN ID – Идентификатор VLAN. Определяет какой VLAN сети принадлежит пакет
 
  • Маркировка на 3 уровне — ToS (Type of Service) /DSCP (Differentiated Services Code Point)

Поле ToS занимает 8 бит в заголовке IP. Состоять может из идентификатора приоритета (IP Precedence — IPP, 3 бита) или DSCP (6 бит). Первоначально было достаточно делить потоки трафика на 8 классов обслуживания с помощью IPP, но со временем появилась необходимость в более гибкой системе деления. Так был разработан метод DSCP, идентификатор которого занимает 6 бит и содержит кроме приоритета пакета значения для требований к задержкам, пропускной способности и надежности передачи данных. DSCP позволяет разделять потоки на 64 класса. DSCP имеет обратную совместимость с IPP.

Два варианта заполнения поля ToS:
    1. Приоритет
    2. Differential Service Code Point (DSCP) + ECN
Differential Service Code Point (DSCP) – Определяет приоритет пакета
Explicit Congestion Notification (ECN) – Уведомление о перегруженности сети. Используется редко, только когда обе стороны согласовали использование данной функции.
 

При получении пакета определяется к какому классу QoS он относится. Затем в соответствии с уровнем обслуживания данный пакет помещается в свою очередь, где ожидает отправки.

Основные методы обработки очередей:

  • FIFO (first in – first out, первый пришел – первый вышел) — отсутствие очередей. Пакет, который пришёл на коммутатор первым, первым и будет отправлен. В этом случае коммутатор не разделяет трафик на классы обслуживания и QoS не работает.

Если технология QoS на коммутаторе отключена, пакеты будут обрабатываться именно по правилу FIFO.

  • Strict Priority queuing (PQ – строгий приоритет очереди) – Пакеты распределяются по очередям в соответствии с классом обслуживания. Первыми отправляются пакеты из очереди с наивысшим приоритетом, затем со следующей очереди и так до очереди с наименьшим приоритетом. То есть пока все пакеты из очереди с наивысшим приоритетом не будут переданы, остальные находятся в режиме ожидания. 

Минус: если очередь с наивысшим приоритетом заполнена пакетами, то трафик из остальных очередей вообще не будет передаваться.

  • Round Robin – У каждой очереди равное время обработки пакетов. Если очередь станет пустой до того, как достигнет своего собственного времени обработки, ход обработки перейдет к следующей очереди.

  • Fair Queuing (FQ – справедливая очередь) – принцип как у Round Robin, но из каждой очереди по порядку обрабатывается одинаковый объем данных, обработка идет не по пакетам, а по определенному количеству бит.

  • Weighted Round Robin (WRR) – Похожа на Round Robin, но каждая очередь имеет свое собственное время обработки, при чем у разных очередей оно разное. Так время обработки очереди с наивысшим приоритетом больше, чем у последующих очередей.

  • Weighted Fair Queuing (WFQ – взвешенная справедливая очередь) – данные из каждой очереди обрабатывается последовательно, но в зависимости от приоритета очереди определяется количество передаваемого трафика за один цикл.


Со временем были созданы гибридные методы обработки очередей.

 

QoS в коммутаторах Moxa

Модели коммутаторов Способ работы
EDS-510E, EDS-518E, EDS-G512E-8PoE, EDS-G508E, EDS-G512E-4GSFP, EDS-G516E4GSFP, IKS-6726A, IKS-6728A, IKS-6728A-8PoE Тип 1
IKS-G6524A, IKS-G6824A, ICS-G7526A, ICS-G7826A, ICS-G7528A, ICS-G7828A, ICS-G7748A, ICS-G7848A, ICS-G7750A, ICS-G7850A, ICS-G7752A, ICS-G7852A Тип 2

Коммутаторы Moxa поддерживают стандартные методы маркировки потоков данных: CoS (в соответствии со стандартом IEEE 802.1D) и ToS (DSCP). 

Приоритет очередей:

Коммутаторы Moxa поддерживают несколько приоритетов очередей

Способ работы CoS ToS Приоритет порта
Тип 1 4 очереди  8 очередей 8 очередей
Тип 2 8 очередей

Стратегии обработки очередей: 

  • Strict Priority queuing (PQ – строгий приоритет очереди) – предпочтение всегда отдается очереди с наивысшим приоритетом.
  • Weighted Fair Queuing (WFQ – взвешенная справедливая очередь) – все очереди обслуживаются поочередно. Объем данных обрабатывается в соотношении: 8-4-2-1

Настройка QoS

Все настройки, относящиеся к механизмам QoS осуществляются через web-интерфейс в разделе QoS.

  • Вкладка QoS Classification

Параметр Scheduling Mechanism определяет механизм обработки очередей.

Входящий трафик по умолчанию анализируется сначала на идентификатор ToS, затем CoS, последним проверяется приоритет порта (Port Priority).

Галочками в таблице Ingress Classification Setting можно включить или отключить проверку входящего трафика по ToS, CoS или Port Priority. Также в этой таблице указывается какой приоритет присвоен трафику того или иного порта коммутатора.

Если входящий трафик не промаркирован согласно ToS или CoS, но есть необходимость в разделении уровня обслуживания между потоками трафика, то можно использовать функцию Port Priority. Важно помнить, что при этом исходящий трафик не будет маркироваться.

  • Вкладка Priority Mapping

Определяется соотношение классификации трафика по CoS с очередями исходящего трафика

  • Вкладка DSCP Mapping

Определится соотношения классификации трафика по DSCP с очередями исходящего трафика

 IEC 61850 QoS

Коммутаторы серии Power-Plant (PT-7000) для энергетики поддерживают технологию IEC 61850 QoS, которая гарантирует доставку критически важных пакетов с наивысшим приоритетом. Данные стандарта IEC 61850 помещаются в отдельную очередь и передаются независимо от остального трафика.

Тип пакетов в очереди МЭК 61850: GOOSE, SMV, PTP

Уровень приоритета пакетов внутри очереди МЭК 61850: High, Medium, Normal, Low

Использование QoS в кольцевых топологиях Turbo Ring/Chain

При использовании QoS в сетях Turbo Ring/Chain важно помнить, что служебные сообщения Turbo Ring/Chain по умолчанию имеют наивысший приоритет. Если при настройке QoS другой трафик также имеет наивысший приоритет, то при загруженности приоритетной очереди служебные пакеты Turbo Ring/Chain могут потеряться. Потеря служебной информации приведет к нестабильной работе резервированной сети. Исходя из этого, рекомендуется, чтобы в кольцевых топологиях наивысший приоритет имели только служебные пакеты Turbo Ring/Chain.

QoS: Руководство по настройке классификации, Cisco IOS XE Release 3S — Классификация сетевого трафика [Поддержка]

Классификация сетевого трафика позволяет вам видеть, какие типы трафика вы используете. иметь, организовать трафик (то есть пакеты) по классам или категориям трафика на основание того, соответствует ли трафик определенным критериям, и относиться к некоторым типы трафика отличаются от других. Классификация сетевого трафика — это фундамент для включения других функций QoS, таких как формирование трафика и трафик контроль в вашей сети.

Цель сети Классификация трафика предназначена для группировки трафика на основе определенных пользователем критериев, чтобы что результирующие группы сетевого трафика могут затем подвергаться определенным Обработка QoS. Обработка QoS может включать более быструю пересылку промежуточные маршрутизаторы и коммутаторы или сниженная вероятность трафика упал из-за нехватки ресурсов буферизации.

Идентификация и разделение сетевого трафика на классы трафика (то есть классификация пакетов) позволяет эффективно обрабатывать разные типы трафика. разделение сетевого трафика на разные категории. Эта классификация может быть связанным с различными критериями соответствия, такими как значение приоритета IP-адреса, значение кодовой точки дифференцированных услуг (DSCP), значение класса обслуживания (CoS), MAC-адреса источника и назначения, входной интерфейс или тип протокола.Ты классифицировать сетевой трафик с помощью карт классов и политик с модульным Интерфейс командной строки качества обслуживания (MQC). Например, вы можете настроить карты классов и карты политик для классификации сетевого трафика на основе QoS группа, номер DLCI Frame Relay, длина пакета уровня 3 или другие критерии, которые вы указываете.

5 типов сетевых данных, которые должна отслеживать каждая группа безопасности

Поскольку новые технологии, такие как программно-определяемые сети (SDN) и виртуализация сетевых функций (NFV), продолжают изменять архитектуру сетей, ИТ-отделам становится все труднее получить полную картину всей сети и измерить ключевые показатели производительности ( КПЭ) точно.

Для компенсации организации часто используют отдельные инструменты для решения отдельных проблем, что может привести к разрастанию инструментов. Или они полагаются на единственный источник сетевых данных, такой как простой протокол управления сетью (SNMP), которого уже недостаточно в сегодняшнем гибридном ИТ-ландшафте.

Чтобы преодолеть эти проблемы, организации все чаще развертывают платформы мониторинга и диагностики производительности сети (NPMD), которые собирают и визуализируют различные сетевые данные. Цель состоит в том, чтобы упреждающе управлять сетью от ядра (центры обработки данных) до периферии (облако или удаленные сайты).

Существует несколько типов и форматов сетевых данных, каждый из которых по-своему полезен для мониторинга и устранения неполадок. У каждого есть свои плюсы, минусы и уникальные особенности, и самые эффективные ИТ-команды отслеживают как можно больше этих типов данных.

Вот какие типы данных вам следует собирать и почему.

Данные сетевой телеметрии

Эти данные обычно собираются с сетевых устройств в удаленных местах и ​​передаются в системы мониторинга для обработки и анализа вне сети, как правило, для управления производительностью.Существует два основных источника данных сетевой телеметрии: данные потока и данные SNMP.

«Поток» — это обобщенный термин, который включает как NetFlow, так и множество вариантов, таких как sFlow, jFow, IPFIX и т. Д. Каждый из них предлагает эффективное представление интернет-трафика в сети, предоставляя полезные данные о производительности для каждого устройства и интерфейса на всем пути от источника к месту назначения.

Flow превосходно отслеживает данные пути в режиме, близком к реальному времени, для активного уведомления и изоляции проблем, связанных с изменениями в сети.

Со своей стороны, данные SNMP обеспечивают методологию опроса сетевых элементов с подмножеством объектов через представление базы управляющей информации (MIB) SNMP. Это предоставляет данные об устройствах, интерфейсах, ЦП и т. Д. Для мониторинга и сбора информации о состоянии сетевой инфраструктуры.

Хотя это хорошая основа для базового мониторинга работы сети, SNMP обычно не предоставляет подробную информацию о сети. Это важно для анализа основной причины проблем с производительностью приложений или многих проблем взаимодействия с пользователем, таких как политики качества обслуживания (QoS) и производительность туннеля.

[См. Также: Виртуализация сетевых функций: что это такое и зачем она вам нужна]

Синтетическое тестирование и данные виртуального программного агента

Синтетическое тестирование — это метод понимания опыта пользователя с приложением путем прогнозирования поведения. Облачным приложениям может не хватать данных о видимости и производительности, необходимых для обеспечения того, чтобы пользователи получали ожидаемый опыт.

Используя виртуальные программные агенты и собирая от них данные, ИТ-отдел может непрерывно отслеживать эти приложения.Это гарантирует, что приложения обеспечивают задержку и качество пути, необходимые для обеспечения оптимальной производительности для конечных пользователей.

Данные распознавания приложений

Приложения, работающие в корпоративных сетях, требуют различных уровней обслуживания в зависимости от различных бизнес-требований. Следовательно, понимание и данные жизненно важны для поддержания производительности.

Распознавание сетевых приложений (NBAR или NBAR2, следующее поколение протокола) предлагает механизм, который классифицирует и регулирует полосу пропускания для сетевых приложений на определенных маршрутизаторах.Эти данные позволяют сетевым администраторам просматривать набор приложений, используемых в сети в любой момент времени, и решать, какую полосу пропускания предоставить каждому приложению, чтобы обеспечить максимально эффективное использование доступных ресурсов.

NBAR может извлекать данные из протоколов, включая HTTP URL, HTTP User Agent и SIP URL, для экспорта или классификации. NBAR2 работает с более чем 1000 приложений с регулярными обновлениями через пакеты протоколов NBAR2 и определяет приложения независимо от того, на каких портах приложения могут работать.

Наконец, категоризация приложений использует атрибуты NBAR2 для группировки похожих приложений, чтобы упростить управление приложениями как для классификации, так и для составления отчетов.

[См. Также: Руководство разработчика: Сети в эпоху гибридного облака]

Данные видимости и управления приложениями

Данные видимости и управления приложениями (AVC), еще один важный источник, включают несколько технологий, включая распознавание приложений и мониторинг производительности — в маршрутизаторы WAN.

Раньше сетевой трафик можно было легко идентифицировать с помощью хорошо известных номеров портов, таких как порт 80 для HTTP. Однако сегодня многие приложения доставляются по протоколу HTTP. Многие приложения, такие как Exchange, голос и видео, используют динамические порты, которые доставляются по транспортному протоколу реального времени (RTP). Это делает невозможным их идентификацию по номерам портов.

Кроме того, некоторые приложения маскируются под HTTP, потому что не хотят, чтобы их обнаруживали. В результате идентификация приложений путем проверки хорошо известных номеров портов больше не является жизнеспособной.Данные AVC заполняют этот пробел.

AVC отслеживается с помощью комбинации поставщиков метрик, встроенных агентов мониторинга и Flexible NetFlow. AVC включает в себя как показатели производительности TCP, такие как использование полосы пропускания, время отклика и задержка, так и показатели производительности RTP, включая потерю пакетов и джиттер.

Эти показатели агрегируются и экспортируются через NetFlow v9 или формат IPFIX в пакет управления и отчетности.

API и данные захвата пакетов

Наконец, при захвате данных, которые полезны для выявления основной причины, есть два источника данных, на которые в значительной степени полагаются группы сетевых операций: данные интерфейса прикладного программирования (API) и пакетные данные.

API — это набор определений подпрограмм, протоколов связи и инструментов для создания программного обеспечения. В общем, это набор четко определенных методов связи между различными компонентами.

В современных средах SDN плоскость управления обычно централизована с помощью приложения управления и контроллера для определения и передачи политик и конфигураций устройствам и функциям. Интеграция API с системами управления и доступ к этим данным позволяют получить информацию о пути и идентификаторе приложения, чтобы узнать бизнес-класс и маршрутизацию трафика через среду SDN.

[См. Также: SDN + NFV: Суммируются ли преимущества предприятия? ]

Многие платформы производительности и аналитики используют API-интерфейсы для интеграции с программным обеспечением для продажи билетов для оптимизации рабочего процесса при управлении инцидентами. При срабатывании предупреждения платформа аналитики может автоматизировать создание идентификатора инцидента (заявки на неисправность).

Билет, в свою очередь, включает семантическую информацию, такую ​​как местоположение, время и предупреждение, которое вызвало инцидент; это сокращает время ожидания, пока данные попадут в руки инженеров, стремящихся решить проблему.

Пакетные данные

Фактические пакеты данных — это наиболее детализированные данные, которые может оценить инженер. Их захват и запись в хранилище позволяет детально устранять неполадки в сети.

Это может помочь исправить проблемы, которые нельзя решить с помощью простого потока или других данных. Например, поток с большой задержкой может иметь несколько основных причин. Пакетные данные позволяют ИТ-специалистам увидеть, вызывает ли конкретное приложение эту задержку, вызывает ли ее конкретный пользователь и как часто это происходит.

Работа над полной прозрачностью

Существует множество способов сбора данных для измерения производительности сетевых приложений, в зависимости от того, какие и где находятся ваши ресурсы. В конечном итоге вам понадобится несколько наборов данных, чтобы предоставить полное представление о текущем состоянии вашей сети.

Обладая такой всеобъемлющей видимостью, вы можете упреждающе управлять производительностью сети, быстрее изолировать и устранять проблемы, а также лучше планировать более масштабные инициативы по преобразованию, такие как программно определяемая глобальная сеть.

Если ваша команда не может отслеживать все эти источники данных с помощью единой платформы управления производительностью сети, пора пересмотреть свою стратегию. Обсудите со своим ИТ-отделом или поставщиком услуг, какие из этих типов данных вы можете измерить сейчас, и как вы можете добавить возможность измерения тех, которых вам не хватает.

Продолжайте учиться

Описание типов потоков трафика для новых сетевых приложений

Как уже упоминалось, сетевой поток можно охарактеризовать своим направлением и симметрией.Направление указывает, перемещаются ли данные в обоих направлениях или только в одном направлении. Направление также определяет путь, по которому поток движется от источника к месту назначения через объединенную сеть. Симметрия описывает, имеет ли поток тенденцию иметь более высокие требования к производительности или QoS в одном направлении, чем в другом направлении. Многие сетевые приложения предъявляют разные требования в каждом направлении. Некоторые технологии передачи на канальном уровне, такие как асимметричная цифровая абонентская линия (ADSL), по своей сути асимметричны.Хороший метод характеристики потока сетевого трафика — классифицировать приложения как поддерживающие один из нескольких хорошо известных типов потока:

• Поток трафика терминал / хост

• Поток трафика клиент / сервер

• Одноранговый поток трафика

• Сервер / поток трафика сервера

Поток трафика распределенных вычислений

В своей книге «Сетевой анализ, архитектура и дизайн», второе издание, Джеймс Д. МакКейб отлично справляется с описанием и различением потоковых моделей.Следующее ниже описание типов потоков частично основано на работе МакКейба.

Поток трафика терминала / хоста

Трафик терминал / хост обычно асимметричен. Терминал отправляет несколько символов, а хост отправляет много символов. Telnet — это пример приложения, которое генерирует трафик терминала / хоста. Поведение по умолчанию для Telnet таково, что терминал отправляет в одном пакете каждый вводимый пользователем символ. Хост возвращает несколько символов, в зависимости от того, что ввел пользователь.В качестве иллюстрации рассмотрим начало сеанса Telnet, который начинается с ввода пользователем имени пользователя. Как только хост получает каждый пакет для символов в имени, хост отправляет обратно сообщение (например, Требуется пароль) в одном пакете.

ПРИМЕЧАНИЕ

Поведение Telnet по умолчанию можно изменить так, чтобы вместо отправки одного символа за раз терминал отправлял символы после тайм-аута или после того, как пользователь вводит возврат каретки. Такое поведение более эффективно использует полосу пропускания сети, но может вызвать проблемы для некоторых приложений.Например, редактор vi в системах UNIX должен немедленно видеть каждый символ, чтобы определить, нажал ли пользователь специальный символ для перемещения вверх по строке, вниз по строке, до конца строки и т. Д.

В некоторых полноэкранных терминальных приложениях, таких как некоторые терминальные приложения на базе IBM 3270, сторона терминала отправляет символы, введенные пользователем, а сторона хоста возвращает данные для перерисовки экрана. Объем данных, передаваемых с хоста на терминал, равен размеру экрана плюс байты команд и атрибутов.Байты атрибутов определяют цвет и выделение символов на экране. Экран обычно имеет ширину 80 символов и длину 24 строки, что соответствует 1920 символам. Полная передача составляет несколько тысяч байтов после добавления байтов атрибутов и команд. Более современные терминальные приложения просто отправляют изменения на экран пользователя, тем самым уменьшая сетевой трафик.

Потоки трафика терминал / хост менее распространены в сетях, чем когда-то, но они не исчезли. Фактически, так называемые тонкие клиенты, которые стали довольно популярными, могут вести себя как приложения терминала / хоста.Тонкие клиенты рассматриваются в следующем разделе, посвященном потоку трафика клиент / сервер.

Поток трафика клиент / сервер

Трафик клиент / сервер — самый известный и наиболее широко используемый тип потока. Серверы — это обычно мощные компьютеры, предназначенные для управления дисковыми хранилищами, принтерами или другими сетевыми ресурсами. Клиенты — это ПК или рабочие станции, на которых пользователи запускают приложения. Клиенты полагаются на серверы для доступа к ресурсам, таким как хранилище, периферийные устройства, прикладное программное обеспечение и вычислительная мощность.

Клиенты отправляют запросы и запросы на сервер. Сервер отвечает данными или разрешением клиенту на отправку данных. Поток обычно двунаправленный и асимметричный. Запросы от клиента обычно представляют собой небольшие фреймы, за исключением случаев записи данных на сервер, в этом случае они больше. Ответы от сервера варьируются от 64 байтов до 1500 байтов или более, в зависимости от максимального размера кадра, разрешенного для используемого уровня канала данных.

Протоколы

клиент / сервер включают в себя блок сообщений сервера (SMB), сетевую файловую систему (NFS), протокол Apple Filing Protocol (AFP) и протокол ядра NetWare (NCP).В среде TCP / IP многие приложения реализованы в режиме клиент / сервер, хотя приложения были изобретены до изобретения модели клиент / сервер. Например, протокол передачи файлов (FTP) имеет клиентскую и серверную стороны. FTP-клиенты используют FTP-приложения для взаимодействия с FTP-серверами. X Windows — это пример сервера (диспетчера экрана), который фактически работает на машине пользователя. Это может привести к большому трафику в обоих направлениях, например, когда пользователь включает мигающий курсор или тикающие часы, которые требуют постоянного обновления по сети, даже когда пользователя нет.

В наши дни протокол передачи гипертекста (HTTP), вероятно, является наиболее широко используемым протоколом клиент / сервер. Клиенты используют приложение веб-браузера, такое как Netscape, для связи с веб-серверами. Поток бывает двунаправленным и асимметричным. Каждый сеанс часто длится всего несколько секунд, потому что пользователи часто переходят с одного веб-сайта на другой.

Поток HTTP-трафика не всегда проходит между веб-браузером и веб-сервером из-за кэширования. Когда пользователи получают доступ к данным, которые были кэшированы в их собственных системах, сетевой трафик отсутствует.Другая возможность состоит в том, что сетевой администратор установил механизм кэширования. Механизм кэширования — это программное или аппаратное обеспечение, которое делает недавно открытые веб-страницы доступными локально, что может ускорить доставку страниц и снизить использование полосы пропускания глобальной сети. Механизм кеширования также может использоваться для управления типом контента, который пользователи могут просматривать.

Сеть доставки контента (CDN) также может влиять на поток HTTP-трафика. CDN — это сеть серверов, которая доставляет веб-страницы пользователям в зависимости от их географического положения.CDN копирует страницы веб-сайта в сеть серверов, которые могут быть распределены в разных местах. Когда пользователь запрашивает веб-страницу, которая является частью CDN, CDN перенаправляет запрос на ближайший к пользователю сервер и доставляет кэшированный контент. CDN также может связываться с исходным сервером для доставки любого контента, который ранее не был кэширован. CDN ускоряют доставку контента и могут защитить веб-сайт от больших скачков трафика.

Прочтите здесь: Поток трафика тонких клиентов

Была ли эта статья полезной?

Управление сетевым трафиком | IPv6.com

Обзор

Управление сетевым трафиком занимается процессом мониторинга и контроля деятельности сети, помимо преобразования сети в управляемый ресурс за счет повышения производительности, эффективности и безопасности. Это также помогает управлять, администрировать и поддерживать сетевые системы.

Типы сетевого трафика

Сети

обрабатывают все более сложный набор данных. Определение типа трафика поможет администраторам сети облегчить оптимизацию сети.Различные типы трафика:


Текущее состояние интернет-трафика

Сегодняшний интернет-трафик сильно отличается от интернет-трафика первых дней. Поскольку он растет в геометрической прогрессии с постоянно увеличивающимся количеством веб-страниц, полнометражных фильмов, программных приложений и онлайн-игр, потребность в эффективном управлении сетевым трафиком становится все более актуальной. Вот некоторые факты и цифры:

  • Согласно опросу, проведенному Ellacoya Networks на выборке из примерно 2 миллионов широкополосных клиентов, HTTP-трафик потребляет 46%, а P2P-трафик — 37% пропускной способности сети.Один только YouTube потребляет 20% всего HTTP-трафика или более половины всего потокового видео HTTP.

  • В отчете Cisco Systems Inc. прогнозировалось, что около 60% всего потребительского IP-трафика будет генерироваться коммерческими видеоуслугами или IPTV в 2008 году. В нем также упоминалось, что видеоуслуги высокой четкости и высокоскоростная широкополосная связь почти будут видеть IP-трафик. удваивается каждые 2 года до 2011 года.
  • Deloitte & Touche в своей оценке прогнозирует, что глобальный трафик превысит пропускную способность Интернета уже в этом году.

В связи с огромным увеличением количества голосовых вызовов через Интернет и бизнесом на миллиарды долларов по обычным сетям интернет-провайдеров, перегрузка сети или пробки на дорогах будут становиться все более распространенными. Это усложняет жизнь пользователей в Интернете. Из-за множества серьезных проблем в сети скорость загрузки резко упадет, и Интернет больше не будет обеспечивать гарантированное качество обслуживания или безопасность, требуемую текущими приложениями.

Управление пропускной способностью

Процесс измерения и управления трафиком в сетевом канале, позволяющий избежать его переполнения, называется управлением полосой пропускания.Это помогает поддерживать быстрое и бесперебойное подключение к Интернету. Для управления пропускной способностью трафик измеряется, анализируется и выявляется причина интенсивного трафика. Затем используется инструмент управления сетевым трафиком, чтобы избежать нежелательного трафика и запланировать использование полосы пропускания.

По разным причинам каналы связи не могут достичь максимальной пропускной способности. Использование канала должно быть ниже максимальной теоретической пропускной способности канала, чтобы обеспечить быстрое реагирование за счет устранения очередей узких мест в конечных точках канала.Проблемы, ограничивающие производительность ссылки:

  • Пропускная способность соединения определяется TCP посредством лавинной рассылки до тех пор, пока пакеты не будут отброшены.
  • Более высокая задержка создается из-за очереди в маршрутизаторах.
  • Когда сеть достигает своей емкости, глобальная синхронизация TCP приводит к потере полосы пропускания
  • Пакетный трафик требует дополнительной полосы пропускания
  • Нет надлежащей поддержки явного уведомления о перегрузке
  • Управление очередями контролируется интернет-провайдерами

Измерение трафика — Анализаторы пакетов просматривают отдельные пакеты и помогают отслеживать сложные проблемы.Но они объемны и требуют знания сетевых протоколов. Таким образом, инструменты измерения трафика используются для получения более широкого представления об объеме и типе трафика в конкретной сети. Некоторые из инструментов включают:

  • Caligare Flow для мониторинга NetFlow и обнаружения сетевых аномалий
  • Exbander Precision для мониторинга и анализа
  • FireBeast для управления полосой пропускания и формирования трафика.
  • PRTG для мониторинга использования полосы пропускания.
  • Интеллектуальные сетевые решения Sandvine для измерения и управления сетевым трафиком

Формирование трафика — Действие над набором пакетов, налагающее дополнительную задержку на эти пакеты, чтобы трафик в сети можно было контролировать для оптимизации и гарантированной производительности, называется формированием трафика.Это помогает контролировать объем трафика, отправляемого за определенный период. Обычно он применяется на границах сети для управления входом трафика, но иногда он применяется у источника или каким-либо элементом в сети.

Ограничение скорости — Метод управления скоростью трафика, отправляемого или принимаемого через сетевой интерфейс, называется ограничением скорости. Когда трафик меньше или равен указанной скорости, он отправляется, а когда он превышает указанную скорость, он отбрасывается или задерживается.Это выполняется следующими способами.

  • Применение политик — отбрасывает лишние пакеты и может применяться к любому сетевому протоколу, включая IPv6.
  • Очередь — задерживает пакеты в пути и может применяться к любому сетевому протоколу, включая IPv6.
  • Контроль перегрузки — управляет механизмом перегрузки протокола и может применяться к TCP.

Методы управления трафиком IPv6

  • XRMON — XRMON фиксирует уровни сетевого трафика и пользователей в сети с очень небольшими накладными расходами на инфраструктуру.
  • sflow — sflow — это стандарт для мониторинга и учета сетевого трафика в соответствии со спецификацией RFC 3176. Он дает полную видимость использования сети и помогает в оптимизации сетевых ресурсов.
  • NetFlow — Netflow — это открытый сетевой протокол, разработанный Cisco Systems для сбора информации об IP-трафике.
  • IPFIX — Экспорт информации о потоке Интернет-протокола (IPFIX) — это стандарт IETF, основанный на Netflow версии 9. Он экспортирует
  • Интернет-протокол передает информацию от маршрутизаторов, зондов и других устройств.
Другие инструменты управления сетевым трафиком
  • Инструмент приоритезации трафика — Он улучшает качество обслуживания в сети, помимо блокировки конкурирующих услуг. Он минимизирует задержки и распределяет полосу пропускания в сетях передачи данных.
  • Инструмент управления сетевыми ресурсами — Он отслеживает, записывает и контролирует текущую емкость системы, помимо управления распределением ресурсов.
  • Network Inventory Tool — Помогает в аудите программных и аппаратных элементов сетевых компьютеров.
  • Средство управления системой — используется для постоянного мониторинга производительности и доступности сервера.

Что такое анализ и мониторинг сетевого трафика (NTA)?

Ключевые преимущества анализа сетевого трафика

С сегодняшним мышлением в отношении кибератак «это не если, это когда» для специалистов по безопасности может показаться непосильной задачей обеспечить защиту как можно большей части среды организации.Сеть является критическим элементом поверхности их атаки; Получение прозрачности своих сетевых данных дает еще одну область, в которой они могут обнаруживать атаки и предотвращать их на раннем этапе. Преимущества NTA включают:

  • Улучшенная видимость устройств, подключенных к вашей сети (например, устройств Интернета вещей, посетителей медицинских учреждений)
  • Соответствие требованиям
  • Устранение неполадок в работе и безопасности
  • Быстрее реагируйте на расследования благодаря подробному описанию и дополнительному сетевому контексту

Ключевым этапом настройки NTA является сбор данных из правильных источников.Данные потока отлично подходят, если вы ищете объемы трафика и отображаете путь сетевого пакета от его источника до места назначения. Этот уровень информации может помочь обнаружить неавторизованный трафик WAN и использовать сетевые ресурсы и производительность, но ему может не хватать подробной информации и контекста, чтобы разобраться в проблемах кибербезопасности.

Пакетные данные, извлеченные из сетевых пакетов, могут помочь администраторам сети понять, как пользователи реализуют / работают с приложениями, отслеживать использование каналов WAN и отслеживать подозрительные вредоносные программы или другие инциденты безопасности.Инструменты глубокой проверки пакетов (DPI) обеспечивают 100% видимость в сети, преобразуя необработанные метаданные в читаемый формат и позволяя администраторам сети и безопасности детализировать до мельчайших деталей.

Важность анализа сетевого трафика

Хорошая практика — всегда внимательно следить за периметром сети. Даже при наличии сильных брандмауэров могут произойти ошибки, и несанкционированный трафик может пройти. Пользователи также могут использовать такие методы, как туннелирование, внешние анонимайзеры и VPN, чтобы обойти правила брандмауэра.

Кроме того, рост числа программ-вымогателей как распространенного типа атак в последние годы делает мониторинг сетевого трафика еще более важным. Решение для мониторинга сети должно уметь обнаруживать активность, указывающую на атаки программ-вымогателей, через небезопасные протоколы. Возьмем, к примеру, WannaCry, где злоумышленники активно сканировали сети с открытым TCP-портом 445, а затем использовали уязвимость в SMBv1 для доступа к сетевым файловым ресурсам.

Протокол удаленного рабочего стола (RDP) — еще одно часто используемое приложение.Убедитесь, что вы заблокировали любые попытки входящего подключения на своем брандмауэре. Мониторинг трафика внутри ваших брандмауэров позволяет вам проверять правила, получать ценную информацию, а также может использоваться в качестве источника предупреждений на основе сетевого трафика.

Остерегайтесь любой подозрительной активности, связанной с протоколами управления, такими как Telnet. Поскольку Telnet является незашифрованным протоколом, трафик сеанса будет отображать последовательности команд интерфейса командной строки (CLI), соответствующие марке и модели устройства.Строки CLI могут отображать процедуры входа в систему, представление учетных данных пользователя, команды для отображения загрузки или текущей конфигурации, копирование файлов и многое другое. Обязательно проверьте свои сетевые данные на наличие устройств, использующих незашифрованные протоколы управления, например:

  • Telnet
  • Протокол передачи гипертекста (HTTP, порт 80)
  • Простой протокол управления сетью (SNMP, порты 161/162)
  • Cisco Smart Install (порт SMI 4786)

Какова цель анализа и мониторинга сетевого трафика?

Многие операционные проблемы и проблемы безопасности могут быть исследованы с помощью анализа сетевого трафика как на границе сети, так и в ядре сети.С помощью инструмента анализа трафика вы можете обнаруживать такие вещи, как большие загрузки, потоковая передача или подозрительный входящий или исходящий трафик. Убедитесь, что вы начали с мониторинга внутренних интерфейсов брандмауэров, что позволит вам отслеживать активность конкретных клиентов или пользователей.

NTA также предоставляет организациям больше информации об угрозах в их сетях за пределами конечной точки. С ростом количества мобильных устройств, устройств Интернета вещей, смарт-телевизоров и т. Д. Вам нужно что-то более интеллектуальное, чем просто журналы с брандмауэров.Журналы брандмауэра также создают проблемы, когда сеть подвергается атаке. Вы можете обнаружить, что они недоступны из-за нагрузки на брандмауэр или что они были перезаписаны (или иногда даже изменены хакерами), что привело к потере важной криминалистической информации.

Вот некоторые из вариантов использования для анализа и мониторинга сетевого трафика:

  • Обнаружение активности программ-вымогателей
  • Мониторинг кражи данных / интернет-активности
  • Отслеживание доступа к файлам на файловых серверах или базах данных MSSQL
  • Отслеживание активности пользователя в сети с помощью отчетов User Forensics
  • Опишите, какие устройства, серверы и службы работают в сети
  • Выявите и определите основную причину пиков полосы пропускания в сети
  • Предоставление информационных панелей в реальном времени с акцентом на активность сети и пользователей
  • Создание отчетов о сетевой активности для руководства и аудиторов за любой период времени

На что обращать внимание при решении для анализа и мониторинга сетевого трафика

Не все инструменты для мониторинга сетевого трафика одинаковы.Как правило, их можно разделить на два типа: инструменты на основе потоков и инструменты глубокой проверки пакетов (DPI). В этих инструментах у вас будут варианты программных агентов, хранения исторических данных и систем обнаружения вторжений. При оценке того, какое решение подходит для вашей организации, учитывайте следующие пять факторов:

  1. Доступность устройств с поддержкой потока: Есть ли в вашей сети устройства с поддержкой потока, способные генерировать потоки, необходимые для инструмента NTA, который принимает только потоки, такие как Cisco Netflow? Инструменты DPI принимают необработанный трафик, обнаруживаемый в каждой сети через любой управляемый коммутатор, и не зависят от производителя.Сетевые коммутаторы и маршрутизаторы не требуют каких-либо специальных модулей или поддержки, только трафик от SPAN или зеркала порта от любого управляемого коммутатора.
  2. Источник данных: Потоковые и пакетные данные поступают из разных источников, и не все инструменты NTA собирают и то, и другое. Обязательно просмотрите свой сетевой трафик и решите, какие части являются критическими, а затем сравните возможности с инструментами, чтобы убедиться, что все, что вам нужно, покрыто.
  3. Точек в сети: Определите, использует ли инструмент программное обеспечение на основе агентов или без агентов.Также будьте осторожны, чтобы сразу не отслеживать слишком много источников данных. Вместо этого будьте стратегически важны при выборе мест, где сходятся данные, например, интернет-шлюзов или виртуальных локальных сетей, связанных с критически важными серверами.
  4. Данные в реальном времени и исторические данные: Исторические данные имеют решающее значение для анализа прошлых событий, но некоторые инструменты для мониторинга сетевого трафика не сохраняют эти данные с течением времени. Также проверьте, установлена ​​ли цена на инструмент в зависимости от объема данных, которые вы хотите сохранить. Четко поймите, какие данные вам нужны больше всего, чтобы найти вариант, наиболее соответствующий вашим потребностям и бюджету.
  5. Полный захват пакетов, стоимость и сложность: Некоторые инструменты DPI захватывают и сохраняют все пакеты, что приводит к дорогостоящим устройствам, увеличению затрат на хранение и большому обучению / опыту работы. Другие выполняют большую «тяжелую работу», захватывая полные пакеты, но извлекая только критически важные детали и метаданные для каждого протокола. Такое извлечение метаданных приводит к значительному сокращению объема данных, но при этом сохраняет удобочитаемые и полезные детали, которые идеально подходят как для сетевых специалистов, так и для групп безопасности.

Заключение

Анализ сетевого трафика — важный способ мониторинга доступности и активности сети для выявления аномалий, повышения производительности и отслеживания атак. Наряду с агрегацией журналов, UEBA и данными конечных точек сетевой трафик является основной частью комплексного анализа видимости и безопасности для раннего обнаружения угроз и их быстрого устранения. При выборе решения NTA учитывайте текущие слепые зоны в вашей сети, источники данных, из которых вам нужна информация, и критические точки в сети, где они сходятся для эффективного мониторинга.С добавлением NTA в качестве слоя в ваше решение для управления информацией и событиями безопасности (SIEM) вы получите еще больше информации о своей среде и своих пользователях.

Определение и примеры анализа сетевого трафика

Анализ сетевого трафика (NTA) — это процесс перехвата, записи и анализа схем обмена сетевым трафиком с целью обнаружения угроз безопасности и реагирования на них. Первоначально этот термин был придуман Gartner и представляет собой развивающуюся категорию продуктов безопасности.

Чем отличается анализ сетевого трафика

В то время как другие инструменты сетевой безопасности, такие как межсетевые экраны и продукты системы обнаружения вторжений (IDS) / системы предотвращения вторжений (IPS), сосредоточены на мониторинге вертикального трафика, пересекающего периметр сетевой среды, анализе сетевого трафика решения ориентированы на все виды связи — будь то традиционные пакеты в стиле TCP / IP, «виртуальный сетевой трафик», проходящий через виртуальный коммутатор (или «vSwitch»), трафик из облачных рабочих нагрузок и внутри них, а также вызовы API для приложений SaaS или экземпляров бессерверных вычислений. .Эти решения также ориентированы на операционные технологии и сети Интернета вещей (IoT), которые в противном случае полностью невидимы для группы безопасности. Расширенные инструменты NTA эффективны даже при зашифрованном сетевом трафике.

Первое поколение этой технологии было направлено на установление базовой линии того, что «нормально» или «хорошо», а затем на выявление аномалий, которые могут быть «нерегулярными» или «плохими». Например, эти решения пытаются обнаружить аномалии, такие как: « Этот IP-адрес обычно не видит соединений из Китая.Оповещать, если такое соединение происходит ». Обратной стороной такого подхода является то, что он является шумным, поскольку бизнес и ИТ постоянно развиваются по вполне законным причинам. Усовершенствованные инструменты NTA работают более интеллектуально, сравнивая не только с прошлым поведением, но и с другими объектами в среде. Другие улучшения также описаны в списке основных функций ниже.

Почему важен анализ сетевого трафика

Злоумышленники постоянно изменяют свою тактику, чтобы избежать обнаружения, и часто используют законные учетные данные с помощью надежных инструментов, уже развернутых в сетевой среде, что затрудняет упреждающее выявление критических рисков безопасности для организаций.Продукты для анализа сетевого трафика появились в ответ на неустанные инновации злоумышленников, предлагая организациям реальный путь для борьбы с творческими злоумышленниками.

Кроме того, благодаря широкому распространению облачных вычислений, процессов DevOps и Интернета вещей поддержание эффективной видимости сети стало очень сложным и трудоемким процессом. Продукты NTA могут служить для организаций единственным источником правды, определяя, что на самом деле находится в сети. Сети видят все и предоставляют объективную реальность, с которой часто сталкиваются другие источники данных.

Ключевые функции анализа сетевого трафика

Наиболее эффективные и расширенные решения для анализа сетевого трафика включают следующие ключевые функции:

  • Широкая видимость : Является ли рассматриваемая сетевая связь традиционными пакетами в стиле TCP / IP, пересекается ли виртуальный сетевой трафик от vSwitch, трафика от облачных рабочих нагрузок и внутри них, вызовов API к приложениям SaaS или экземпляров бессерверных вычислений — инструменты NTA могут отслеживать и анализировать широкий спектр коммуникаций в режиме реального времени.
  • Анализ зашифрованного трафика : Поскольку более 70 процентов веб-трафика зашифровано, организациям необходим доступный метод для дешифрования своего сетевого трафика без нарушения конфиденциальности данных. Решения NTA решают эту задачу, позволяя специалистам по безопасности обнаруживать сетевые угрозы, анализируя полную полезную нагрузку, не заглядывая в нее.
  • Отслеживание объектов : продукты NTA предлагают возможность отслеживать и профилировать все объекты в сети, включая устройства, пользователей, приложения, места назначения и многое другое.Затем машинное обучение и аналитика приписывают поведение и отношения названным объектам, предоставляя организациям бесконечно большую ценность, чем статический список IP-адресов.
  • Комплексная базовая линия : Чтобы не отставать от постоянно меняющихся современных ИТ-сред, решения NTA отслеживают поведение, уникальное для объекта или небольшого количества объектов по сравнению с большинством объектов в среде. Базовые данные доступны немедленно, а базовые параметры машинного обучения NTA развиваются в режиме реального времени по мере изменения поведения.Кроме того, с возможностями отслеживания объектов базовые параметры NTA являются еще более всеобъемлющими, поскольку они могут понимать объекты источника и назначения в дополнение к шаблонам трафика. Например, то, что может быть нормальным для рабочей станции, не является нормальным для сервера, IP-телефона или камеры.
  • Обнаружение и ответ : Поскольку инструменты NTA приписывают поведение сущностям, для рабочих процессов обнаружения и реагирования доступен обширный контекст. Это означает, что специалистам по безопасности больше не нужно просматривать несколько источников данных, таких как журналы DHCP и DNS, базы данных управления конфигурацией и инфраструктуру службы каталогов, в попытке получить полную видимость.Вместо этого они могут быстро обнаруживать аномалии, решительно отслеживать их, определять основную причину и соответствующим образом реагировать.
Последующие перспективы анализа сетевого трафика

Особую значимость технологии анализа сетевого трафика делает ее способность объединять свои основные возможности для обнаружения злонамеренных намерений. До появления продуктов NTA обнаружение намерений было трудоемким, невоспроизводимым процессом, который требовал высокой степени навыков, при этом специалисты по безопасности изо всех сил пытались выразить аномалии, которые им нужно было искать, таким образом, который можно было бы автоматизировать с помощью своей системы безопасности. стек технологий.Например, несмотря на то, что довольно просто реализовать такое правило, как «Оповестить меня, если соединение происходит из страны, с которой мы еще не сталкивались», гораздо сложнее автоматизировать правило типа «Оповестить меня, если кто-нибудь подключится к этой стране». сервер базы данных, а затем передает данные в 2 раза или более по сравнению с историческим средним объемом ».

За счет автоматизации процесса обнаружения злонамеренных намерений передовые решения NTA снижают барьер навыков и усилий, который не позволяет многим организациям эффективно защищать свои наиболее важные активы.Возможности NTA-инструментов по обнаружению на основе правил также позволяют большему количеству организаций искать конкретные тактики, техники и процедуры атак. Поскольку сами правила легко определить и автоматически коррелируют между сущностями, временем, протоколами и другими соответствующими параметрами, специалисты по безопасности могут искать последовательности событий в течение недель или месяцев, сопоставляя их с известной цепочкой или структурой уничтожения злоумышленника, такой как MITER. Матрица ATT & CK.

Возможно, наиболее многообещающим аспектом решений NTA является тот факт, что они позволяют организациям адаптировать технологию в соответствии с уникальными нюансами и потребностями любой конкретной сети.Это позволяет специалистам по безопасности реализовывать настраиваемое обнаружение угроз, специфичных для организации, без необходимости в опытных командах по обработке и анализу данных или необходимости изменять обучающие наборы или алгоритмы.

См. Также

Подписаться!

Если вам понравилось то, что вы только что прочитали, подпишитесь, чтобы узнавать о наших исследованиях угроз и анализе безопасности.

Монитор сетевого трафика — просмотр, анализ и оптимизация трафика

  • Что такое сетевой трафик?

    Сетевой трафик, также называемый трафиком или трафиком данных, относится к данным, перемещающимся по сети в любой момент времени.Сетевые данные состоят из пакетов, мельчайших фундаментальных единиц данных, передаваемых по сети. Данные сетевого трафика разбиваются на эти пакеты для передачи и повторно собираются в месте назначения. Пакеты состоят из полезных данных (необработанных данных) и заголовков (метаданных), содержащих такую ​​информацию, как IP-адреса отправителя и получателя.

    Существует четыре основные категории сетевого трафика:

    1. Занятый / интенсивный трафик, при котором используется высокая пропускная способность
    2. Трафик не в реальном времени, который относится к полосе пропускания, потребляемой в рабочее время
    3. Интерактивный трафик — трафик, конкурирующий за пропускную способность, что приводит к медленному отклику, если не установлены приоритеты для трафика и приложений.
    4. Трафик, чувствительный к задержкам, что также может привести к снижению времени отклика из-за конкуренции за пропускную способность
  • Почему важен мониторинг сети?

    Получение информации о сетевом трафике важно при управлении и измерении пропускной способности (объем данных, которые могут быть переданы за установленный промежуток времени), а поддержание функциональной пропускной способности критически важно для предоставления услуг.

    Анализ сетевого трафика может иметь множество преимуществ. Это может помочь выявить узкие места в сети, которые возникают, когда не хватает мощности обработки данных для управления объемом проходящего в настоящее время трафика. Это также может помочь определить пользователей или приложения, которые больше всего говорят в сети. Этот анализ также имеет преимущества с точки зрения безопасности, поскольку необычно высокий объем трафика в сети может указывать на кибератаку.

    Анализ сетевого трафика также может дать представление о текущих и прошлых моделях использования полосы пропускания, что позволит вам лучше понять будущие потребности вашей организации в сети.Измеряя объемы и типы данных, передаваемых по сети, администраторы могут лучше управлять ими, чтобы гарантировать, что наиболее важные процессы получают необходимую пропускную способность.

  • Как проверить сетевой трафик

    Вот несколько основных шагов, необходимых для ручной проверки сетевого трафика через маршрутизатор:

    • Получите доступ к маршрутизатору, введя его IP-адрес в веб-браузере.
    • После входа в систему найдите на маршрутизаторе раздел «Состояние» (в зависимости от типа маршрутизатора у вас может быть даже раздел «Пропускная способность» или «Монитор сети»).
    • Оттуда вы сможете увидеть IP-адреса устройств, подключенных к вашей сети.
    • Для большинства современных маршрутизаторов вы должны иметь возможность щелкнуть на уровне устройства и всей сети, чтобы увидеть активность трафика.

    Для любой организации знание количества подключенных устройств и их использования — хороший первый шаг к пониманию потенциальных требований к полосе пропускания, необходимых для поддержки объема трафика в сети.Однако эти поверхностные данные трафика часто не поддерживают возможность видеть или действовать в соответствии с этой информацией в масштабе для устройств в вашей среде.

    Лучший способ проверить сетевой трафик — использовать такой инструмент, как SolarWinds ® Bandwidth Analyzer Pack (BAP). BAP создан для автоматической проверки и компиляции информации о сетевом трафике с устройств в вашей сети на централизованной панели управления и предупреждения вас о любом подозрительном поведении в вашей сети.

  • Как отслеживать активность сетевого трафика

    Первым шагом в отслеживании активности сетевого трафика является понимание того, что вы хотите отслеживать или проблему, которую вы пытаетесь решить.Это включает в себя мониторинг трафика на серверы, брандмауэры или другие устройства в вашей сети или для решения конкретной проблемы, такой как использование полосы пропускания или потеря пакетов. Определив сначала цель мониторинга, вы можете ограничить свое внимание наиболее важными показателями вашего анализа и лучшими инструментами, которые можно использовать для устранения неполадок.

    Например, мониторинг активности трафика на уровне пакетов может помочь вам понять, как пакеты перемещаются между устройствами, чтобы гарантировать доставку ваших услуг.Мониторинг активности трафика между сетевыми устройствами также может дать представление о том, теряются ли пакеты из-за недостаточной пропускной способности. Использование таких команд, как tracert, может обеспечить некоторую видимость пакетов, но сниффер пакетов, также называемый анализатором сети или анализатором протокола, создан для перехвата, регистрации и анализа сетевого трафика и данных. Понимание происхождения и назначения пакетов, отброшенных пакетов, колебаний в пакетном трафике и аналогичных точек данных может сигнализировать о проблемах и помогает администраторам точно определить местонахождение проблем с сетевой активностью.

  • Что такое монитор сетевого трафика?

    Хотя сниффер может предоставить информацию на уровне пакетов, только решение для мониторинга сетевой активности разработано, чтобы помочь вам ответить на вопрос, является ли уровень сетевого трафика нормальным для вашей инфраструктуры. Помимо простого мониторинга сетевого трафика, важно иметь инструмент мониторинга сетевого трафика, позволяющий измерять трафик и предоставлять подробный анализ, позволяющий вносить изменения в политику и максимально использовать пропускную способность.

    Инструмент мониторинга сетевого трафика в SolarWinds BAP разработан, чтобы помочь вам с легкостью выявлять проблемы сетевого трафика, чтобы вы могли улучшить возможности полосы пропускания для обеспечения хорошей производительности для конечных пользователей.

  • Как работает мониторинг сетевого трафика в BAP?

    SolarWinds BAP создан для отслеживания того, как трафик перемещается между устройствами и влияет ли взаимодействие с конечным пользователем с помощью метаданных пакетов, для расчета времени отклика приложения и сети, а также возможности сравнивать прошлые и текущие уровни сетевого трафика для выявления тенденций.Функция PerfStack упрощает идентификацию первопричины с возможностью сопоставления показателей производительности на временной шкале перетаскивания.

    • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *