Продолжая тему расширений
Collax Platform Server рассмотрим модуль
Collax Advanced Networking(
русский datasheet). Сам CPS итак достаточно функционален, с сетевой точки зрения, и из коробки позволяет, через веб интерфейс создавать VLAN-ы, бриджи, бондить(агрегировать) сетевые интерфейсы, поддерживая Jumbo-Frames, STP/RSTP, GVRP, LLDP и другие расширения сетевых протоколов. Все это великолепие доступно администратору через веб интерфейс и настройка не требует ни глубоких знаний технологий ни времени на написание ручных конфигураций. Тот самый случай когда Линукс для администратора становится "Просто"(какое -то время назад девиз "Simply Linux" украшал логотип Collax).
Для примера возможностей я создал на виртуальной машине с четырьмя сетевыми интерфейсами бридж для сети 10.0.0.0/24 и агрегировал два интерфейса для сети 192.168.1.0/24.
Это "извратсво" объяснимо только тем, что на нотбуке с одной
возможной виртуальной машиной демонстрировать сложные сетевые топологие
несколько затруднительно :)
Но нет предела совершенству и вот вам елочка из бриджей и виланов :)
Возвращаясь к серьезной теме, думаю, нужно отдельно отметить, что bonding реализует схемы: Active Backup, Broabcast, Round Robin, XOR, LACP(802.3ad), Adaptive transmit load balansing и просто Adaptive load balansing.
Теперь перейдем к самому модулю Advanced Networking. Модуль, как всегда, ставится одним кликом и расширяет функционал добавляя
матричный фаервол о котором я писал ранее, систему IDS/IPS на основе
Snort и ряд сетевых функций управления/приоритезации сетевого трафика на основе
iproute2.
В разделе General меню Setting - Networking - Networks - Links появился функционал управления пропускной способностью (bandwidth) представленный двумя алгоритмами QoS шейпера: HTB и H-FSC
Разработчик рекомендует для управления потоковым трафиком аудио/видео или VoIP использовать алгоритм H-FSC как более эффективный. Нужно помнить, что одновременно в системе может быть использован только один алгоритм.
На сайте разработчика в
Support - Documents-Dounloads в разделе Howto/Whitepaper есть инструкции по настройке сетей, приоритетов, полосы пропускания и детектора вторжения ( копии соответственно есть и у меня:
Collax Networking Howto,
Collax Bandwithmanagement Howto и
Collax Intrusion Detection and Prevention Howto)
Для простоты управления Multi-WAN в меню Wizards добавлен шаблон настройки подключений с помощью которого можно настроить соединения через ISDN, DSL(PPPoE или PPtP) или роутер. Приоритеты же задаются в разделе Settings-Networking-Links-Allocations простым нажатием на стрелки, справа, в столбце Action.
Нужно отметить что в данном случае используется алгоритм Round Robin.
Политики управления трафиком задаются из раздела Settings-Networking-Links-Traffic Policies соразмерно правилам фаерволинга: по внутренним подсистемам
по типу сетевого трафика (берется из фаерволинга)
Один из вариантов применения: Предположим у вас два выхода в интернет, один высокоскоростной но с оплатой за каждый мегабайт, а второй, DSL безлимитное соединение. Перенаправив трафик таким образом чтобы бизнес критичные соединения шли через высокоскоростной канал, а некритичные и объемные загрузки шли по безлимитному каналу, вы получите весьма ощутимый экономический эффект который может окупить затраты на Collax Advanced Networking уже в первый месяц эксплуатации.
Управление полосой пропускания(QOS) начинается с того что в настройках линков в разделе Settings-Networking-Links-Configuration нужно взвести крыж QoS и указать ожидаемую полосу пропускания
Далее нужно настроить классификацию трафика в зависимости от потребностей
Вариант для шейпера HTB имеет отличие
И в случае если детализация алгоритма HBT выбрана высока то появляется возможность управлять очередью
Собственно, для чего все это нужно: В своей практике я не раз встречался с ситуацией когда дополнительные(территориально удаленные) офисы через выделенные каналы, в онлайне, работали с учетной системой расположенной в Головном Офисе. Со временем развития технологий появилась потребность использовать выделенные каналы связи не только для онлайн работы в учетной системе но и для доступа к корпоративным ресурсам(файлы, почта, порталы) и IP-Телефонии. К сожалению потребности бизнеса как правило не адекватны инвестициям в ИТ, что и приводит к тому что весь трафик межу Головным Офисом и Дополнительными Офисами без разбора и приоритетов направлялся по одному каналу. Время идет - трафик растет. Очевидно, что качество ИТ сервисов, от такого отношения, значительно страдает. Жалобы сотрудников о прерывании телефонных разговоров, невозможности дозвониться, низком качестве звука, прерывании рабочей сессии учетной системы, невозможности отправить почтовое сообщение и т.д.и т.п. Внедрение технологий приоритезации( QoS ) позволит без увеличения числа каналов и их пропускной способности(читать: без дополнительных инвестиций) обеспечить гарантированные уровни сервиса удовлетворяющие, на данный момент времени, требованиям бизнеса. В своих проектах я использую оборудование Интрепрайз уровня( Juniper или реже CISCO), но цена таких решений не всем компаниям по карману. Collax Advanced Networking - и задачи решает уровня Интерпрайза и по цене доступен любому предпринимателю.
Детектор вторжения построен на базе проекта Snort, к которому сейчас многие специалисты по информационной безопасности относятся немного скептически, дескать технология сравнения с таблицей сигнатур десятилетней давности и не удовлетворяет современным требованиям. Не в даваясь в технические детали скажу только, что технология успешно работает и применяется в сертифицированных решениях. Если проводить параллель с автомобилестроением то Snort это то же миллионик от Мерседеса:)
Включение механизмов Intrusion Detection производится из вкладки Settings-Networking-Intrusion Detection-Configuration. Там же включается и Intrusion Prevention но его настройка производится через Матричный фаервол.
Правила настраиваются через вкладку Settings-Networking-Intrusion Detection-Rules
Каждая категория имеет набор сигнатур которые необходимо включить для работы детектора
Результаты работы можно увидеть во вкладке System - System Configuration - Monitoring/Analysis - Log Files - Event Monitor. Для тестов я взвел правила на ICPM и пингую виртуалку с хостовой машины
Включение Intrusion Prevention производится во вкладке Settings - Networking - Firewall - Matrix при редактировании правила фаервола
Соответственно все события попавшие под установленные правила нотифицируются системному администратору
А это экран состояния этих машин обновляемый автоматично.
