О Collax Advanced Networking

Продолжая тему расширений Collax Platform Server рассмотрим модуль Collax Advanced Networking(русский datasheet). Сам CPS итак достаточно функционален, с сетевой точки зрения, и из коробки позволяет, через веб интерфейс создавать VLAN-ы, бриджи, бондить(агрегировать) сетевые интерфейсы, поддерживая Jumbo-Frames, STP/RSTP, GVRP, LLDP и другие расширения сетевых протоколов. Все это великолепие доступно администратору через веб интерфейс и настройка не требует ни глубоких знаний технологий ни времени на написание ручных конфигураций. Тот самый случай когда Линукс для администратора становится "Просто"(какое -то время назад девиз "Simply Linux" украшал логотип Collax).
Для примера возможностей я создал на виртуальной машине с четырьмя сетевыми интерфейсами бридж для сети 10.0.0.0/24 и агрегировал два интерфейса для сети 192.168.1.0/24.

Это "извратсво" объяснимо только тем, что на нотбуке с одной возможной виртуальной машиной демонстрировать сложные сетевые топологие несколько затруднительно :)

Но нет предела совершенству и вот вам елочка из бриджей и виланов :)
 
Возвращаясь к серьезной теме, думаю, нужно отдельно отметить, что bonding реализует схемы: Active Backup, Broabcast, Round Robin, XOR, LACP(802.3ad), Adaptive transmit load balansing и просто Adaptive load balansing.

Теперь перейдем к самому модулю Advanced Networking. Модуль, как всегда, ставится одним кликом и расширяет функционал добавляя матричный фаервол о котором я писал ранее, систему IDS/IPS на основе Snort и ряд сетевых функций управления/приоритезации сетевого трафика на основе iproute2.
В разделе General меню Setting - Networking - Networks - Links появился функционал управления пропускной способностью (bandwidth) представленный двумя алгоритмами QoS шейпера: HTB и H-FSC

Разработчик рекомендует для управления потоковым трафиком аудио/видео или VoIP использовать алгоритм H-FSC как более эффективный. Нужно помнить, что одновременно в системе может быть использован только один алгоритм.

На сайте разработчика в  Support - Documents-Dounloads в  разделе Howto/Whitepaper есть инструкции по настройке сетей, приоритетов, полосы пропускания  и детектора вторжения ( копии соответственно есть и у меня: Collax Networking Howto, Collax Bandwithmanagement Howto и Collax Intrusion Detection and Prevention Howto)

Для простоты управления Multi-WAN в меню Wizards добавлен шаблон настройки подключений с помощью которого можно настроить соединения через ISDN, DSL(PPPoE или PPtP) или роутер. Приоритеты же задаются в разделе Settings-Networking-Links-Allocations простым нажатием на стрелки, справа, в столбце Action.

Нужно отметить что в данном случае используется алгоритм Round Robin.

Политики управления трафиком задаются из раздела Settings-Networking-Links-Traffic Policies соразмерно правилам фаерволинга: по внутренним подсистемам

по типу сетевого трафика (берется из фаерволинга)

Один из вариантов применения: Предположим у вас два выхода в интернет, один высокоскоростной но с оплатой за каждый мегабайт, а второй, DSL безлимитное соединение. Перенаправив трафик таким образом чтобы бизнес критичные соединения шли через высокоскоростной канал, а некритичные  и объемные загрузки шли по безлимитному каналу, вы получите весьма ощутимый экономический эффект который  может окупить затраты на Collax Advanced Networking уже в первый месяц эксплуатации.

Управление полосой пропускания(QOS) начинается с того что в настройках линков в разделе Settings-Networking-Links-Configuration нужно взвести крыж QoS и указать ожидаемую полосу пропускания

Далее нужно настроить классификацию трафика в зависимости от потребностей
Вариант для шейпера HTB  имеет отличие

И в случае если детализация алгоритма HBT выбрана высока то появляется возможность управлять очередью

 Собственно, для чего все это нужно: В своей практике я не раз встречался с ситуацией когда дополнительные(территориально удаленные)  офисы через выделенные каналы, в онлайне, работали с учетной системой расположенной в Головном Офисе. Со временем развития технологий  появилась потребность использовать выделенные каналы связи не только для онлайн работы в учетной системе но и для доступа к корпоративным ресурсам(файлы, почта, порталы) и IP-Телефонии. К сожалению потребности бизнеса как правило не адекватны инвестициям в ИТ, что  и приводит к тому что весь трафик межу Головным Офисом и Дополнительными Офисами без разбора и приоритетов направлялся по одному каналу. Время идет - трафик растет. Очевидно, что качество ИТ сервисов, от такого отношения, значительно страдает. Жалобы сотрудников о прерывании телефонных разговоров, невозможности дозвониться, низком качестве звука, прерывании рабочей сессии учетной системы, невозможности отправить почтовое сообщение и т.д.и т.п. Внедрение технологий приоритезации( QoS ) позволит без увеличения числа каналов и их пропускной способности(читать: без дополнительных инвестиций) обеспечить гарантированные уровни сервиса  удовлетворяющие, на данный момент времени, требованиям бизнеса. В своих проектах я использую оборудование Интрепрайз уровня( Juniper или реже CISCO), но  цена таких решений не всем компаниям по карману. Collax Advanced Networking - и задачи решает уровня Интерпрайза и по цене доступен любому предпринимателю.  

Детектор вторжения построен на базе проекта Snort, к которому сейчас многие специалисты по информационной безопасности относятся немного скептически, дескать технология сравнения с таблицей сигнатур десятилетней давности и не удовлетворяет современным требованиям. Не в даваясь в технические детали скажу только, что технология успешно работает и применяется  в сертифицированных решениях. Если проводить параллель с автомобилестроением то Snort это то же миллионик от Мерседеса:)
Включение механизмов Intrusion Detection производится из вкладки Settings-Networking-Intrusion Detection-Configuration. Там же включается и Intrusion Prevention но его настройка производится через Матричный фаервол.

 Правила настраиваются через вкладку Settings-Networking-Intrusion Detection-Rules

Каждая категория имеет набор сигнатур которые необходимо включить для работы детектора

Результаты работы можно увидеть во вкладке System - System Configuration - Monitoring/Analysis - Log Files - Event Monitor. Для тестов я взвел правила на ICPM и пингую виртуалку с хостовой машины

Включение Intrusion Prevention производится во вкладке Settings - Networking - Firewall - Matrix при редактировании правила фаервола

Соответственно все события попавшие под установленные правила нотифицируются системному администратору