Приглашенных гостей следует обслужить в первую очередь, а то, что останется, можно разделить среди тех, кто пришел незваным.
Один из признаков хорошего ночного клуба - его постоянные посетители. Но если вы впустили всех достойных клиентов, а места в клубе еще достаточно и у дверей полно весьма подозрительной публики, то единственное приемлемое решение - разрешить им войти, но препроводить их туда, где они не будут мозолить глаза завсегдатаям. Из-за этих подозрительных личностей публика в клубе, конечно, будет не столь рафинированной, но до тех пор, пока элита сможет приходить и уходить, когда ей вздумается, клуб сохранит свою репутацию приличного заведения и при этом оградит себя от убытков, если в какой-то определенный день респектабельных клиентов окажется немного.
Приоритезация трафика при передаче данных мало напоминает ночную жизнь, но некоторые моменты имеют определенное сходство. Когда осенью 2000 г. в одном из колледжей в центральной Флориде программа обмена файлами в формате MP3 Napster и ее многочисленные клоны начали буквально "пожирать" пропускную способность в каналах доступа в Internet, опасности удалось избежать не за счет запрещения постороннего трафика, а благодаря четкой приоритезации более важного трафика. Не став брать на себя роль вышибалы, который не пускает непрезентабельных посетителей, Rollins College, по существу, занес легитимный трафик в список постоянных клиентов, гарантируя, что академический трафик VIP будет обслуживаться по высшему разряду.
NAPSTER ПОЯВЛЯЕТСЯ В ШКОЛЕ: ПЕРВАЯ ЛЮБОВЬ
Летом 2000 г. случилось нечто непредвиденное: все и каждый узнали, что такое Napster и бесплатные музыкальные файлы, по качеству воспроизведения близкие к записям на компакт-дисках. Два канала T1 для доступа в Internet с балансировкой нагрузки между ними до этого вполне удовлетворяли потребности Rollins, но резкое увеличение загрузки файлов MP3 объемом 3 Мбайт, не говоря уж о видеофайлах, существенным образом сказалось на доступности Internet-каналов колледжа общей емкостью 3 Мбит/с.
Осознав надвигающуюся опасность, Джим Спитцер, ведущий сетевой инженер колледжа Rollins College, в качестве меры борьбы с Napster решил сначала реализовать систему приоритезации трафика FloodGate-1 компании Check Point Software Technologies. Его установка началась летом 2000 г., но программное обеспечение не было готово к работе, когда студенты вернулись в колледж после летних каникул. К тому времени ситуация обострилась до крайности. "Мы три недели жили в условиях ужасающе низкой производительности при том, что объем загружаемой информации нарастал как снежный ком", - объяснил Спитцер.
За лето студенты осознали, насколько легко и удобно пользоваться Napster. Каналы T1 в колледже прекрасно подходили для быстрой загрузки файлов в формате MP3, и многие поспешили воспользоваться этой возможностью. Остальные пользователи немедленно ощутили на себе последствия перегрузки сетевых каналов, поскольку основной "академический" трафик передавался с огромными задержками из-за загрузки мультимедиа с развлекательными целями. Вспоминая эту кризисную ситуацию, Спитцер утверждает, что невозможно было даже просматривать страницы Web из-за постоянных разрывов соединения. Так, при обращении к компьютерам в демилитаризованной зоне из других кампусов профессор физики не мог открыть сеанс telnet, поскольку передача символов длилась так долго, что время ожидания постоянно истекало.
"Машина профессора физики находилась с внешней стороны межсетевого экрана, иначе говоря, он пытался попасть во внутреннюю сеть извне кампуса. Это было неопровержимым доказательством того, что канал с провайдером "забит" настолько плотно, что мы даже не в состоянии поддерживать сеанс telnet, - подчеркнул Спитцер. - Оба канала T1 были перегружены до предела, и мы оказались связанными по рукам и ногам. Даже электронную почту передать было невозможно".
ГЛАВНОЕ - ВВЯЗАТЬСЯ В ДРАКУ
Система FloodGate-1 начала работать в Rollins College в первый понедельник сентября 2000 г. Она была призвана поместить Napster в контролируемые рамки. Спитцер сначала определил порты, которые использует Napster, и установил ограничительные правила для этой программы. По умолчанию весь остальной трафик мог передаваться свободно. И тут-то Спитцер понял, что Napster была не единственным врагом.
"Для начала мы предоставили для работы Napster не более 10% пропускной способности, - рассказывает Спитцер. - В течение двух дней казалось, что все идет прекрасно, пока мы не поняли, что причина не только в Napster. Каналы связи по-прежнему оставались переполнены. Как выяснилось, большую часть пропускной способности отнимает трафик к сайту iMesh. iMesh - это аналогичная одноранговая (P2P) программа, причем она работает помимо MP3 со всеми видами форматов файлов - и с видео тоже".
Когда Спитцер попытался определить, какие порты использует iMesh, он понял, что после установления соединения они мигрируют, а IP-адреса источника не совпадают с IP-адресами сервера. "Тогда-то мы поняли, что для решения этой проблемы необходима иная, более эффективная стратегия", -- объяснил Спитцер.
РЕБЯТА, ВРЕМЯ МОЛЧАТЬ
Как только Спитцер и его сотрудники детально разобрались в различных клонах Napster и разнообразных схемах портов, с которыми те работали, стало очевидно, насколько устаревший подход они применяли. После этого они стали классифицировать и задавать приоритеты для трафика, который был важен для работы сотрудников колледжа, а весь остальной трафик отнесли к категории низкоприоритетного, куда попали Napster, iMesh, Scour и все остальные одноранговые программы.
Check Point использует подход с запоминанием состояния при определении типа трафика и передачи его согласно присвоенному ему высокому или низкому уровню приоритета. При этом пакеты помещаются в соответствующую очередь. В колледже Rollins College для FloodGate-1 были заданы правила, в соответствии с которыми трафик FTP, SMTP, POP3, Network Time Protocol (NTP), DNS, и HTTP направляется в очереди с высоким приоритетом, и в базе правил программного обеспечения им присваивается приоритет 600. Приложение видеоконференций NetMeeting получило приоритет 100. Любой трафик, для которого явным образом не заданы эти значения, по умолчанию получает приоритет 10. Правила работы учитывают относительные приоритеты, поэтому трафики с приоритетами 600 и 10 имеют соотношение приоритетов 60 к 1. Одноранговые программы обмена файлами по умолчанию получают приоритет 10. Фактически такой трафик не передается до тех пор, пока отсутствует достаточная пропускная способность.
Кроме того, для определенных приложений можно зарезервировать определенную часть каналов Internet. Например, колледж поддерживает передачу в прямом эфире своей радиостанции WPRK с Web-сайта Nibblebox.com путем гарантирования минимальной скорости потока для трафика, что обеспечивает адекватный прием в любом случае. По существу, такое решение игнорирует все очереди приоритетов.
Повысить эффективность использования сети можно также за счет составления расписаний; в настоящее время оно создано только для Napster. "Мы разрешаем увеличивать скорость передачи трафика Napster после 19:30 вечера и до 7 утра, чтобы студенты могли почувствовать себя более свободно", - отметил Спитцер.
ОГРАНИЧЕНИЯ И СВОБОДЫ
Во время затишья, когда объем легитимного трафика невелик, студенты получают в свое распоряжение довольно приличную пропускную способность, поскольку в это время сотрудники информационной службы не ограничивают их свободу. Нет никакого вреда в том, что студенты используют пропускную способность для удовлетворения своих личных интересов, если применяемые программы никому не приносят вреда. Но как только появляется какой-либо другой трафик, для легитимной информации тут же освобождается дорога. Большую часть времени соединение колледжа с Internet служит для путешествий по Web и передачи электронной почты.
"Что касается загрузки Napster, если кто-то по незнанию попытается найти другую программу, она все равно попадет в категорию "остальных программ", и файлы через нее быстрее загружаться не будут, - заметил Спитцер. - Napster действительно ограничили до такой степени, что скорость передачи составляет менее 1 бит/с, поэтому для студентов он уже не представляет интереса". Диалоговые окна сообщают студентам, что по оценке на текущий момент на загрузку файла объемом 3 Мбайт потребуется четыре-пять часов. "Если у них есть время и хватает терпения, они смогут загрузить этот файл. Негативной реакции, которая ожидалась, на самом деле не было, да и мы приложили все усилия, чтобы этого не случилось. Сейчас, как я предполагаю, канал связи загружен в среднем более чем на 80%, но никто ни разу не позвонил в службу помощи с жалобой на то, что он не может получить свои страницы Web", - отметил Спитцер. Он рекомендует студентам загружать свои файлы по утрам, пока остальные еще спят или учатся, поскольку в утренние часы трафик в сети минимален. Днем ситуация меняется. "С двух часов дня и пытаться не стоит - канал загружен на 90%, - подчеркнул он. - Даже трафик с низким приоритетом оказывается в буфере, поскольку нам по-прежнему приходится биться за каждый бит. Но так было всегда, поскольку в лабораториях полно народу и идет активный обмен электронной почтой".
Какая бы ни была скорость, сейчас специалистов информационной службы жалобами не донимают, возможно, потому, что Спитцер хорошо разбирается в человеческой природе. После реализации FloodGate-1 он посоветовал сотрудникам службы технической помощи интересоваться у тех, кто жалуется на медленную работу сети, к каким ресурсам они обращаются. "Таким образом нам удается "завернуть" многие жалобы уже на этом уровне", - смеется он.
ВОПРОС О ПОРТЕ 80
По словам Спитцера, все удобство реализованной в Rollins конфигурации состоит в том, что специалисты по ИТ могут избежать любых трудностей, связанных с контролем, регистрацией и "борьбой" с каждой конкретной программой и ее схемами портов. Тем не менее он опасается, что эти меры позволяют лишь отсрочить решение проблемы. "Если кто-нибудь предложит одноранговую программу, где будет использоваться порт 80, мы обречены", - считает он.
Если Napster и ее клоны начнут имитировать трафик HTTP и передавать его через порт 80, то, как опасается Спитцер, колледж окажется не в состоянии предотвратить монополизацию пропускной способности соединений Internet, как это уже было однажды. "Если они начнут использовать порт 80, или порт FTP, или нечто иное, что мы считаем легитимным трафиком, мне придется искать иное решение", - сказал Спитцер. Отделить легитимный трафик через порт 80 от другого трафика, направляемого на этот порт, - дело отнюдь не легкое. "Это сделать практически невозможно, поскольку никогда не известно, какие из адресов страниц Web относятся к легитимному трафику, особенно если это рекламные ссылки или что-то подобное. Бог мой, сколько различных адресов используется в рамках легитимного трафика на порту 80!" - посетовал он. Сейчас Napster и большинство ее клонов используют свободные порты и порты UDP из верхнего диапазона, поэтому их легко идентифицировать как трафик, не имеющий отношения к Web.
Обнадеживает лишь то, что специалистов Check Point не пугает такая перспектива. Майк Ли, менеджер по маркетингу продуктов компании Check Point, уверен, что адаптация продукта к условиям широкого использования порта 80 одноранговыми программами обмена файлов не является неразрешимой задачей. "Боимся ли мы этого? Вовсе нет - нам нужно только заняться ее решением", - сказал он. Ли объяснил, что при анализе состояния проверяется содержимое пакетов на уровне приложений, где выявляется их истинное назначение. "PointCast задействует порт 80. Тем не менее мы можем контролировать трафик PointCast, поскольку наш продукт может работать вплоть до уровня приложений и определять, какой трафик попадает на порт 80. Так что мы можем отделить PointCast от HTTP и т. д.", - отметил Ли.
НЕКОТОРЫЕ ОСОБЕННОСТИ СЕТИ
FloodGate-1 располагается в той же точке сети, что и межсетевой экран, на компьютере Ultra 10 под управлением Solaris компании Sun Microsystems и находится перед основным коммутатором локальной сети колледжа, в качестве которой служит Alcatel OmniSwitch/Router (см. Рисунок). Программное обеспечение использует имеющийся в колледже продукт Check Point FireWall-1, что освобождает специалистов информационной службы от решения проблем интеграции устройства с остальной инфраструктурой сети, изучения новой архитектуры управления и графического пользовательского интерфейса или чего-то аналогичного. Спитцер и его служба приобрели лицензию и были готовы к использованию FloodGate-1.
"Мы уже применяем решения Check Point, в частности FireWall-1 и для нас не составило труда интегрировать FloodGate-1, поскольку он имеет тот же интерфейс, знакомый модуль управления и создан надежным производителем, с которым мы уже работаем", - отметил Спитцер. На границе сети в колледже уже установлен FireWall-1, поэтому не было сомнений, где именно размещать систему для приоритизации трафика.
?Сеть кампуса имеет звездообразную топологию, связывая здания и общежития с базовым коммутатором Alcatel, имеющим четыре порта 1000SX, восемь портов 1000LX и 64 порта 10/100TX. На магистрали между точками консолидации используется Gigabit Ethernet, а Fast Ethernet применяется практически на всех остальных каналах. Связь с некоторыми общежитиями по-прежнему поддерживается с помощью разделяемых каналов 10BaseT, однако большинство других линий были модернизированы до коммутируемого Ethernet на 10/100 Мбит/с. В колледже в основном используются централизованные серверы, причем серверная ферма подключена к главному коммутатору. Серверы факультетов размещаются как можно ближе к пользователям.
"Производительность сети в кампусе всегда оставалась достаточно высокой", - подчеркнул Спитцер. Даже в ситуациях с пиковой сетевой нагрузкой сеть кампуса работала без перебоев. "Когда однажды мой шеф, находящийся в другом здании, пожаловался на сеть, я настроил его машину на подачу команды Ping через весь кампус, в том числе через три коммутатора, на сервер Novell. За весь день эхо команды Ping возвращалось не долее чем через 100 мс. Емкость Intranet вопросов не вызывает; узкое место лишь в соединении, связывающем локальную сеть кампуса с Internet", - подчеркнул Спитцер.
ЗАКЛЮЧИТЕЛЬНЫЕ МЫСЛИ
Спитцер уверен, что FloodGate-1 позволил колледжу обойтись без огромных затрат на приобретение дополнительной пропускной способности, что, кстати, все равно не помогло бы в решении проблемы. "Я не думаю, что вообще возможно обеспечить достаточную пропускную способность, не занимаясь управлением ею. В нашем случае мы могли бы приобрести канал T3, и он опять оказался бы переполненным", - считает он. Сотрудники информационной службы планируют каждый год удваивать пропускную способность, но не для того, чтобы субсидировать пополнение коллекций музыкальных записей, а для поддержания естественного темпа роста потребностей в пропускной способности.
Прямая схватка с Napster ни к чему не привела, но идентификация важного трафика и присвоение приоритетов позволили добиться успеха там, где прямой подход оказался бесполезен. Бесплатная музыка - это здорово, но хорошее состояние сети - еще лучше.
Роб Кирби -- помощник редактора Network Magazine. С ним можно связаться по адресу: rkirby@cmp.com.
Колледж Rollins College
Колледж Rollins College
Уинтер Парк, шт. Флорида, США
http://www.rollins.edu
Факты. Колледж Rollins College - образовательное учреждение, где обучается 1500 студентов и аспирантов; в 18 общежитиях проживают 1000 студентов. Осенью 2000 г. вернувшиеся с летних каникул студенты Rollins College, окрыленные новыми знаниями, стали активно загружать файлы в формате MP3, в результате чего оба канала T1 с балансировкой нагрузки, имеющиеся в колледже, оказались переполненными.
Задача. Приоритезация трафика c целью ограничения доступной для программы обмена файлами в формате MP3 доли пропускной способности внешнего соединения Internet. Специалисты информационной службы колледжа попытались блокировать Napster, но пропускной способности в Internet-соединении по-прежнему не хватало, несмотря на прямое запрещение применения Napster. Трафик, генерируемый одноранговыми программами обмена файлами, по-прежнему заполнял канал доступа в Internet.
Решение. В конечном итоге специалистам Rollins College удалось справиться с одноранговыми программами обмена файлами, научившись их игнорировать. Вместо того чтобы блокировать "вредные" программы, специалисты колледжа сосредоточились на том, чтобы предложить обслуживание по первому классу для трафика, имеющего высокий приоритет. FloodGate-1 компании Check Point Software Technologies сортирует трафик в соответствии с назначенными приоритетами, которые в Rollins College определены в базе правил программного обеспечения. Оно работает на компьютере, где установлен межсетевой экран, выявляя и назначая приоритеты трафику, который представляется важным, а весь остальной трафик, такой, как Napster, iMesh и Scour, помещает в очередь заданий с низкими приоритетами.