Jeśli jesteś właścicielem tej strony, możesz wyłączyć reklamę poniżej zmieniając pakiet na PRO lub VIP w panelu naszego hostingu już od 4zł!
Strony WWWSerwery VPSDomenyHostingDarmowy Hosting CBA.pl

Definicja QoS jest związana z technicznym podejściem do zapewnienia parametrów transmisji danych. Użytkownik korzystający z usługi czy dostawca zapewniający tę usługę mają pewne oczekiwania. W przypadku użytkownika jest najważniejsze uzyskanie jak najlepszej jakości danych usług. W przypadku dostawcy, musi on zapewnić możliwość techniczną realizacji usługi mając na uwadze koszty. W związku z tym QoS dzielimy na trzy kategorie:

  • Perceived QoS – postrzegana jakość usługi,
  • Assessed QoS – oceniana jakość usługi,
  • Intrinsic QoS – wrodzona jakość usługi.

 

Postrzegana jakość usługi i oceniana, dotyczy wrażeń podczas korzystania z niej przez użytkownika. Te dwie kategorie głównie są związane z polityką marketingową dostawcy usługi. Oceniana jakość usługi to głównie opinie innych użytkowników, które również mają na celu poniesienia jakości usług, jeśli opinie nie są dla dostawcy korzystne na forum. Wrodzona jakość usługi związana jest z parametrami technicznymi, parametrami łącza transmisyjnego i z zastosowanymi protokołami, które mają na celu zapewnić jakość usługi.

Intrinsic QoS (wrodzona jakość usługi) posiada następujące właściwości:

  • przepustowość,
  • opóźnienie,
  • fluktuacje opóźnienia,
  • straty pakietów.

 

Do zapewnienia parametrów transmisji niezbędne są pomiary wartości, aby je osiągnąć potrzebna jest metryka pomiarowa. Metryki pomiarowe muszą być ściśle określone, a ich pomiar powinien gwarantować powtarzalność pomiarów w identycznych warunkach sieciowych.

Metryki pomiarowe są określone m.in. przez organizacje IETF (ang. Internet Engineering Task Force) oraz ITU-T (ang. International Telecomunication Union). ITU zajmuje się tworzeniem standardów wysokiej jakości, które obejmują wszystkie dziedziny telekomunikacji. Powstał w 1993 roku. Do ITU-T należą największe polskie firmy m.in. Polkomtel S.A, NASK, Orange (Telekomunikacja Polska).

 

  • Metody pomiarów metryk QoS

 

Klasyfikując metody pomiarowe można podzielić je na metody aktywne i metody pasywne. Ze względu na zarządzanie pomiarami i uzyskiwaniu wyników, można wyróżnić narzędzia, które działają w trybach:

  • Off-line – pomiary w planowanych eksperymentach,
  • On-line – pomiary w działającej sieci.

Powyższe kryteria są od siebie niezależne i metody pomiaru aktywnego lub pasywnego mogą być wykorzystywane przez narzędzia pracujące w trybie off-line i on-line.

  • Metoda aktywna pomiaru –

Metoda aktywnego pomiaru pozwala uzyskać wartości metryk QoS, jeśli wyślemy specjalne pakiety pomiarowe w ramach monitorowanego strumienia ruchu. W metodzie aktywnej pakiet pomiarowy jest przesyłany tą samą drogą, co pakiety użytkownika. Wartości metryk zmierzonych dla ruchu pomiarowego jest przybliżeniem dla wartości metryk dla pakietów użytkowników. Stosując metodę aktywną wprowadza się dodatkowy ruch na pewnym mierzonym odcinku, jednak łatwa implementacja i zarządzanie pomiarami sprawia, że jest to najczęściej stosowana metoda w narzędziach i systemach pomiaru parametrów QoS.

  • Metoda pasywna pomiaru

W tej metodzie rejestruje się pakiety i odpowiadające im znaczniki czasowe w dwóch punktach pomiaru. Zebrane pomiary z dwóch punktów poddaje się analizie. Porównanie znaczników czasowych dla pakietu umożliwia nam na ustalenie czasu przesłania pakietu między dwoma punktami. Metoda pasywna wymaga synchronizacji zegarów w punktach pomiarowych. Różnica między tymi metodami jest taka, że metoda pasywna nie wprowadza dodatkowego ruchu w sieci. Dzięki tej metodzie można w bezpośredni sposób wykonać pomiar jakości przekazu uzyskiwanej przez pakiety użytkowników, ale jest ona trudna w zaimplementowaniu i dodatkowo wymaga rejestracji całego ruchu sieciowego w danych punktach pomiarowych. Przetworzenie wyników uzyskanych z pomiarów jest skomplikowane.

  • Metoda off-line pomiaru

W metodzie off-line wyniki pomiarów są zbierane i przechowywane w bazie danych. Przetwarzanie wyników następuje po ukończeniu pomiarów. Głównie tę metodę wykorzystuje się podczas testów nowych mechanizmów i urządzeń zapewniających parametry QoS w sieciach laboratoryjnych.

  • Metoda on-line pomiaru

W metodzie on-line wykorzystywany jest mechanizm przesuwającego się okna pomiarowego. Gromadzenie wyników z punktów pomiarowych odbywa się określonych odstępach czasu, nie przerywając procesu pomiarowego. Metoda ta pozwala na monitorowanie na bieżąco sieci, otrzymywane są także informacje o aktualnym stanie sieci i jakości przekazu pakietów.

Architektury sieciowe z gwarancją parametrów QoS. Jednym z najważniejszych problemów podczas tworzenia sieci wielousługowych jest stworzenie infrastruktury takiej, która umożliwia efektywne przekazywanie informacji dla różnych klas usług. Klasy różnią się od siebie między innymi rodzajem generowanego ruchu oraz wymaganiami dotyczące jakości przekazu pakietów. W poniższej tabeli (tabela 1) przedstawiono przykładowe wymagania QoS dla wybranych usług transmisji audio, wideo i danych: 
Tabela1

Typ usługi Aplikacja Podstawowe parametry i wartości
Opóźnienie w jedną stronę [ms] Fluktuacja opóźnienia [ms] Utrata informacji[%]
Audio Konwersacja <150 (maksymalnie 400) <1 <3
Wiadomości głosowe <1000 (odtwarzanie)
<2000 (nagrywanie)
<1 <3
Usługi strumieniowe <10000 <<1 <1
Wideo Wideofon <150 (maksymalnie 400) Brak ograniczeń <1
Usługi strumieniowe <10000 Brak ograniczeń <1
Dane Gry interaktywne <200 Brak ograniczeń 0
Telnet <200 Brak ograniczeń 0
E-mail (dostęp do serwera) Pref. <2000 
Akceptów. <4000
Brak ograniczeń 0
E-mail (między serwerami) Do kilkunastu minut Brak ograniczeń 0
Faks <30000/stronę Brak ograniczeń <0.001

 

Podstawowym parametrem jest przepustowość łącza, zaś w przypadku usług realizowanych w czasie rzeczywistym istotne jest również opóźnienie i jego zmienność. W przypadku transmisji danych najistotniejszym parametrem jest utrata informacji, zatem niezbędne jest zastosowanie niezawodnych systemów zapewniających korekcję w przypadku pojawienia się błędów i retransmisję w przypadku utraty części informacji.

W związku z tymi wymaganiami, konieczne stało się opracowanie mechanizmów oraz architektury sieciowej, które pozwalają zagwarantować parametry jakości transmisji danych QoS.

Architektura usług zintegrowanych

Organizacja IETF opracowała w 1994 roku model usług zintegrowanych IntServ (ang. Integrated Services) (rysunek1). Celem stworzenia projektu było zagwarantowanie jakości usług dla sekwencji pakietów pochodzące z jednego źródła i jednego odbiorcy.

W ruterach i innych urządzeniach sieciowych muszą występować mechanizmy sterowania jakością usług, te urządzenia muszą rozpoznawać i obsługiwać protokoły związane z rezerwacją zasobów, dodatkowo aplikacja musi mieć zdolność do określania i przekazywania do sieci wymagań dla jakości usługi.

Rysunek 1

 

W modelu IntServ określamy trzy typy usług zarządzania ruchem sieciowym:

  • Guaranteed Quality of Service – gwarantowana jakość usługi.Guaranteed Quality of Service – gwarantowana jakość usługi.

 

Usługa gwarantowana może być stosowana do obsługi aplikacji wymagających ograniczonego czasu dostarczenia. Dla tego typu aplikacji, dane dostarczane do aplikacji po przekroczeniu predefiniowanej jednostki czasu są bezwartościowe. Dlatego też usługa gwarantowana przeznaczona jest do utrzymania określonej wartości opóźnienia w dostarczaniu pakietów end-to-end (od końca do końca) dla strumienia. Jest to osiągane dzięki sterowaniu opóźnieniami kolejkowania w elementach sieciowych wzdłuż ścieżki strumienia danych. Usługa gwarantowana nie wprowadza jednak ograniczeń w jitterze (czyli czasie pomiędzy kolejnymi przychodzącymi pakietami).

  • Controlled-load Service – usługa zapewnia pewną jakość usługi.

Może być stosowana dla aplikacji adaptacyjnych, które tolerują pewne opóźnienia, ale są wrażliwe na stany przeciążenia ruchem. Tego typu aplikacje działają efektywnie wtedy, gdy sieć jest lekko obciążona, natomiast wydajność maleje drastycznie w stanie mocnego obciążenia sieci. Dlatego też controlled-load service został zaprojektowany do wprowadzenia w przybliżeniu takiej samej usługi jak usługa best-effort w lekko obciążonej sieci, bez względu na aktualny stan sieci. Usługa ta jest opisywana jakościowo jako ta, gdzie brak jest określonych wartości opóźnienia i strat.

  • Best Effort – usługa bez zapewnienia parametrów transmisji.

W tej usłudze, transmisja odbywa się w możliwie najwyższej przepustowości nie gwarantując parametrów przesyłu danych. Best Effort jest standardowym sposobem obsługiwania pakietów w sieci Internet Admission Control (AC) – kontrola dostępu jest niezbędna, aby strumienie miały zagwarantowaną jakość usługi bez negatywnego wpływu na już obsługiwane strumienie. Wywoływana jest przez komunikaty protokołu rezerwacji podczas każdego zgłoszenia nowego strumienia. O wyniku kontroli decyduje udział zasobów w obsłudze bieżących strumieni i obciążeniu sieci.

W architekturze IntServ wymagana jest rezerwacja zasobów, w związku z tym należy zastosować protokół sygnalizacyjny dla zestawienia połączenia w sieci. W tym celu został opracowany protokół Resource Reservation Protocol (RSVP) Przykładowy przepływ wiadomości sygnalizacyjnych w protokole RSVP przedstawia rysunek 2:

Rysunek 2

 

Strona nadawcza żąda rezerwacji zasobów, wysyłając wiadomość typu PATH. Każdy kolejny ruter, który odbiera pakiet PATH, zapamiętuje adres poprzedniego rutera, a w jego miejsce wpisuje swój adres i przesyła pakiet dalej do następnego rutera na ścieżce. Jeśli pakiet dotrze do odbiorcy, to z otrzymanych danych tworzony jest pakiet RESV – żądanie rezerwacji. Jeśli na trasie pakietu PATH występuje łącze, które swoimi parametrami nie spełnia oczekiwań, wyszukiwana jest inna trasa, a jeśli taka nie występuje, wysyłany jest komunikat zwrotny i operacja zostaje anulowana. Żądanie rezerwacji składa się z dwóch obiektów, FlowSpec i FilterSpec zwanych Flow Descriptor – deskryptor przepływu. FlowSpec specyfikuje żądania QoS, natomiast FilterSpec definiuje zbiór pakietów zachowujących się według FlowSpec.

Obiekt FlowSpec składa się z klasy usługi, Rspec – specyfikacji rezerwacji określającej QoS oraz Tspec – opisującej przepływ danych. Pola w deskryptorze przepływu mają następujące zadania:

  • FilterSpec – identyfikacja pakietów należących do pewnego przepływu.
  • FlowSpec:
    • Tspec – algorytm kształtowania przepływu ruchu
    • Rspec – parametry QoS na przykład: pasmo opóźnienia.

 

Router po przyjęciu komunikatu RESV wykorzystuje obiekt FilterSec, aby ustawić parametry klasyfikatora, FolowSpec ustawia parametry w mechanizmie warstwy łącza danych, dalej kieruje pakiet do sąsiedniego rutera, którego adres miał zapisany podczas transmisji pakietu PATH. Rezerwacja zostanie pomyślnie ustawiona, kiedy RESV dotrze do nadawcy pakietu PATH. Po wykonaniu takiej operacji aplikacja ze stacji nadawczej może zacząć transmisję danych. IntServ zapewnia gwarancję jakości parametrów dla połączenia typu point-to-point (punkt-punkt). Na niekorzyść architektury IntServ przemawia to, że każde urządzenie sieciowe w takim połączeniu musi przechować w buforze dane o rezerwacji. Zmniejsza to skalowalność i jednocześnie zwiększa koszty implementacji takiego modelu.

Architektura usług zróżnicowanych (DiffServ) 
W architekturze IntServ pojawił się problem skalowalności, DiffServ [26] pozwala ominąć ten problem. Zakłada ona, że w sieci definiujemy odpowiednie zestawy usług sieciowych, ale jedynie na podstawie mechanizmów priorytetyzowania strumieni w ruterach

Rysunek 3. Usługi zróżnicowane

 

Wyłącznie w ruterach brzegowych odbywa się klasyfikacja usług sieciowych, za pomocą informacji zawartych w polu Traffic Class 8 bitowego nagłówka pakietu IP. 6 najstarszych bitów tego pola zawiera Differentiated Service Code Point (DSCP). Dodatkowo możliwe jest, podobnie jak w RSVP, klasyfikowanie przepływów z dużo większą łatwością używając pola Flow Label w nagłówku IP. Ruter w domenie odczytuje to pole i w pierwszej kolejności obsłuży dany przepływ. Pole to również pozwala na zastosowanie metod QoS dla pakietów IPsec, które do tej pory nie miały możliwości obsługi, bo posiadały szyfrowany nagłówek. Na chwilę obecną korzystanie z pola Flow Label jest ograniczone, sprzęt wykorzystywany w sieciach nie posiada możliwości obsługi tego pola.

Rysunek 4. Architektura DiffServ

 

W architekturze DiffServ zdefiniowano sposób wykorzystania pola DSCP i reguły przekazywania pakietów w ruterze za pomocą Per Hop Behaviours (PHB). W architekturze tej zdefiniowano sposób wykorzystania pola DSCP i określono zestaw reguł przekazywania pakietów w ruterze tzw. PHB (ang. Per Hop Behaviours). Według RFC4594 istnieją podstawowe zasady przekazywania pakietów PHB, które w najprostszym przypadku mogą reprezentować dwa poziomy obsługi pakietów:

  • Expedited Forwarding (EF) – przyśpieszone przekazywanie – określony jest w pojedynczej wartości pola DSCP i wykorzystywany jest do zapewnienia jakości obsługi związanej z parametrami opóźnień. Na wejściu do sieci monitorowany jest ruch; pakiety, które nie spełniają warunków zdefiniowanym w profilu ruchowym strumienia lub grupy strumieni, są usuwane z sieci.
  • Assured Forwarding (AF) – zapewnione przekazywanie – określa cztery klasy i trzy poziomy odrzucania pakietów wewnątrz każdej z klas, (co daje w sumie 12 wartości pola DSCP). Jeśli ruch danego strumienia lub strumieni nie spełnia warunków utworzonych w profilu ruchowym dla danej klasy, to może on być przesłany, jako ruch należący do niższej klasy lub odrzucony.
  • Best Effort (BE) - usługa bez zapewnienia parametrów transmisji i przy najwyższej przepustowości. Zasady PHB w architekturze DiffServ mogą być zaimplementowane za pomocą algorytmu kolejkowania i zarządzania kolejkami. Dodatkowo możemy wyróżnić elementy funkcjonalne w ruterach, które można stosować w zależności od miejsca w sieci, w której ruter się znajduje, umiejscowienia brzegowego lub szkieletowego oraz przyjętej reguły dla obsługi poszczególnych klas ruchu.

 

Zestawienie usług dla architektury DiffServ (tabela 2): 
Tabela2

Klasa PHB Assured Forwarding (AF) Expedited Forwarding (EF) Best Effort (BE)
Opcje 4 klasy priorytetów, każda z 3 podklasami usuwania pakietów Usługa łączy dzierżawionych Brak
Zalecane wartości w polu DSCP   AF1 AF2 AF3 AF4 101110 000000
Niski 010000 011000 100000 101000
Średni 010010 011010 100010 101010
Wysoki 010100 011100 100100 101100
Kontrola Ruchu Statyczne SLA, kontrola, klasyfikacja, oznaczanie według algorytmów RIO/WRED Dynamiczne SLA, kontrola, klasyfikacja, oznaczanie według algorytmu WFQ Kolejka FIFO
Ruch niespełniający kontraktu SLA Oznacz, jako Best Effort Usuń Prześlij dalej

 

Pakiety mogą zostać przydzielone do odpowiedniej klasy usług względem kryteriów:

  • adresu IP, źródła lub celu,
  • numeru portu TCP/UDP,
  • interfejsu,
  • adresu MAC.

 

Sieciowe urządzenia posiadające zaawansowane opcje umożliwiają również klasyfikację pakietów na podstawie warstwy aplikacji, w której rozpoznawany jest rodzaj aplikacji. Niezbędnym elementem funkcjonalnym w sieciach DiffServ jest Bandwidth Broker (broker pasma), który steruje domeną DiffServ i umożliwia świadczenie usług z ustalonym QoS przy maksymalnym wykorzystaniu zasobów sieci. Zadaniami brokera są:

  • Measurement–Based Admission Control, zapobieganie nadmiernej ilości ruchu i zabezpieczenie przed osłabieniem już obsługiwanych strumieni,
  • spójna konfiguracja ruterów brzegowych i rdzeniowych w jednej domenie, która polega na przesyłaniu parametrów koniecznych do realizacji PHB,
  • taryfikowanie, jeśli na przykład operator inaczej taryfikuje usługi różnych klas QoS,
  • utrzymanie, polega na zbieraniu statystyki o ruchu sieciowym bądź informacji o błędnym działaniu sieci, dzięki, której możemy rekonfigurować sieć lub optymalnie rozbudować infrastrukturę operatorską,
  • komunikacja z domenami sąsiednimi w celu przekierowania strumienia zagregowanego dla danej klasy w kierunku domeny, w której klientem jest odbiorca,
  • Spójne konfigurowanie ruterów w domenie, polegające na przesłaniu wag w algorytmie WFQ dla urządzeń, jak również prawdopodobieństwa odrzucenia pakietów dla mechanizmu RED.

Zasadniczą różnicą między dwoma architekturami IntServ i DiffServ [1] jest to, że IntServ jest wykorzystywane do połączenia point-to-point na podstawie danych pojedynczego przepływu. DiffServ dostarcza znacznie większą skalowalność poprzez agregację przepływów i zróżnicowanie klas. W DiffServ nie są zapewnione statycznie parametry transmisji, co wiąże się z jak najlepszym wykorzystaniem zasobów. Poniższa tabela 3 przedstawia różnice między dwoma architekturami, IntServ i DiffServ:


Tabela3

IntServ DiffServ
Wymagania QoS są sprecyzowane Pewna nieprzewidywalność poziomu QoS, Niewielka ilość klas ruchu o różnym priorytecie
Możliwość reagowania na chwilowe zmiany topologii przez konieczność odświeżania rezerwacji, informowanie o odrzuceniu pakietów (RSVP) Brak możliwości sterowania ruchem na poziomie strumieni
Ilość przechowywanych i przetwarzanych informacji proporcjonalna do liczby strumieni Ilość przechowywanych informacji proporcjonalna do liczby klas ruchu (PHB)
Brak odpowiednika ścieżki wirtualnej – utrudnienie przyjmowania zgłoszeń i zarządzanie strumieniami IP Możliwość tworzenia ścieżek wirtualnych
Wszystkie węzły mają taką samą budowę Proste routery brzegowe (klasyfikacja wg DSCP) a funkcje obsługi pakietów tylko na brzegach sieci
QoS określone bezpośrednio dla odpowiednich usług Stosunkowo niewielki zestaw PHB określonych jakościowo
Duże opóźnienia przy tworzeniu rezerwacji end-to-end Brak rezerwacji

 

Możliwe jest łączenie architektury IntServ i DiffServ w sieciach WAN. W takiej sytuacji architektura DiffServ może spełniać zadanie sieci szkieletowej, a IntServ w takim przypadku będzie siecią dostępową, tak jak to widać na poniższym rysunku 5:

Rysunek 5. Połączenie architektury IntServ i DiffServ

 

Metody gwarantowania parametrów transmisji w sieciach IP. W Internecie domyślnie stosuje się metodę best-effort, czyli każdy pakiet obsługuje się w najlepszy możliwy sposób nie stosując priorytetów. Pakiety kolejkują się zgodnie z zasadą FIFO (First In Firs Out). Stosując FIFO może dojść do zatorów, w związku z tym jakość obsługi pakietu jest na niskim poziomie. Stosując QoS można użyć jeden z dwóch rodzajów sterowania ruchem:

  • sterowanie przepływem,
  • przeciwdziałanie przeciążeniom.

Sterowanie przepływem i przeciwdziałanie przeciążeniom są stosowane, jako wzajemnie się uzupełniające. Sterowanie przepływem ma na celu dopasowanie szybkości nadawania pakietów do możliwości ich obsługi. Drugi rodzaj sterowania, przeciwdziałanie przeciążeniom, ma na celu zabezpieczenie sieci przed nadmiernym ruchem, który mógłby spowodować degradacje jakości usług. Gwarantowanie parametrów jakości transmisji można podzielić również na klasowe i bezklasowe. W podejściu klasowym ruch jest klasyfikowany i dzielony na klasy, które mają określoną przepustowość. Dodatkowo w modelu klasowym można wykorzystać metody bezklasowe. W podejściu bezklasowym klasyfikowanie pakietów nie występuje, mechanizmy występujące w tej metodzie są mniej złożone i łatwiejsze w implementacji.

Priority Queueing jako jedno z rozwiązań problemu opóźnień w technologii VoIP

Rysunek 6. Schemat Priority Queueig

 

PQ, czyli Priority Queueing (kolejki z priorytetami) używa czterech kolejek i klasyfikowania ruchu do jednej z nich. Kolejki te nazywają się od posiadającej największy priorytet high, przez medium, normal do low. Cechą charakterystyczną PQ jest fakt, że dopóki jakiekolwiek pakiety znajdują się w kolejce o wyższym priorytecie, ruter nie wyśle pakietów oczekujących w kolejkach o priorytecie niższym. Łatwo doprowadzić w ten sposób do "umierania" transmisji, klasyfikowanych do kolejek o niższych priorytetach. Aby dodać priorytety odpowiednim protokołom w skonfigurowanych ruterach w sieci prywatnej (VPN) należy:
R1:
access-list 100 deny tcp any any eq ftp
access-list 100 deny tcp any eq ftp-data any
access-list 100 permit tcp 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
priority-list 10 protocol ip high udp 53
! R2: access-list 100 deny tcp any any eq ftp
access-list 100 deny tcp any eq ftp-data any
access-list 100 permit tcp 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
priority-list 10 protocol ip high udp 53
!

Dzięki takiemu ustaleniu priorytetu przesyłanie danych protokołu UDP ma w sieci najwyższy priorytet i dane są przesyłane w pierwszej kolejności. Przekłada się to na wydajność sieci. Przesyłane dane, które nie zawierają się w liście priorytetu, są kolejkowane dopóki najwyższy priorytet przesyła dane, co może być również szkodliwe dla sieci. Pakiety, które mają niższy priorytet są kolejkowane i dopóki przesyłane są dane o najwyższym priorytecie pozostałe czekają, w rezultacie mogą one wymierać i może nastąpić utrata przesyłanych danych. 
Kolejnym rozwiązaniem jest CQ, czyli Custom Queueing (kolejkowanie konfigurowalne) jest mechanizmem podobnym do PQ, ale możemy po pierwsze używać do 16 kolejek, a po drugie opróżniane one są na zasadzie round-robin: najpierw X bajtów z kolejki pierwszej, później Y bajtów z kolejki drugiej i tak dla wszystkich kolejek i od początku. Taka konstrukcja zapobiega wymieraniu potoków mniej uprzywilejowanych. 
Najlepszym rozwiązaniem priorytetyzacji jest algorytm CBWFQ, czyli Class-Based WFQ (WFQ oparte o klasy). Jest potężnym mechanizmem, umożliwiającym łączenie wielu różnych innych mechanizmów w jedną całość na interfejsie rutera. Aby wykorzystać CBWFQ, należy najpierw wskazać, czyli inaczej sklasyfikować ruch, który będzie traktowany w różny sposób - innymi słowy, podzielić go na klasy. Cisco IOS daje wiele metod klasyfikacji - możemy wskazywać ogólnie protokoły (np. IP, EIGRP, ESP), dowolny ruch pasujący do jakiegoś rodzaju ACLek (np. tylko ruch do konkretnego hosta w porcie 80 tcp itp.), a także z wykorzystaniem mechanizmu NBAR, zagłębiać się w konstrukcję pakietu i np. wykrywać sieci P2P.

Artykuł opracował Paweł Jaroszewicz,

Źródła:

  1. Opracowanie własne

W ostatnim czasie zauważalna stała się intensywna rozbudowa centrów obliczeniowych w chmurze. Obserwujemy tutaj zarówno wzrost ilości oferowanych usług w chmurze, jak i ilość przechowywanych w niej danych.

Symantec jest firmą oferującą usługę Software as Service w chmurze - Backup Exec.Cloud. Backup Exec.Cloud pozwala stworzyć rozwiązanie dopasowane do indywidualnych potrzeb klienta, które umożliwia wykonywanie backupu. Backup jest to proces strategicznego i metodycznego kopiowania danych, umożliwiający w końcowym rozrachunku na skuteczne ich odzyskanie. W celu opracowania skutecznej procedury kopii zapasowej, należy uwzględnić kilka czynników, takich jak:

  • ciągłość dostępności danych;
  • redukcja kosztów przechowywania danych;
  • efektywność wykonywania kopii bezpieczeństwa.

 

Kwestia bezpieczeństwa danych, jak i ich ochrony przed utratą, jest kluczowa dla funkcjonowania organizacji, ze względu na możliwe straty finansowe związane z przerwą w pracy firmy. Dlatego też tak istotne staje się posiadanie kopii oraz możliwość jej skutecznego odzyskania tak, aby zapewnić dzienną ciągłość pracy środowiska. Opracowując strategie procesu backupu, należy uwzględnić czas, pieniądze i ewentualne ryzyko utraty danych na skutek nieprzewidzianych sytuacji losowych. Rozwiązanie proponowane przez Symantec - Backup Exec.Cloud umożliwia przechowywanie danych bezpiecznie na zewnątrz organizacji w chmurze, dzięki czemu nie wymaga kosztów związanych z zakupem sprzętu i nośników do przechowywania danych. Zniwelowane jest tutaj również ryzyko utraty posiadanych kopii, a co za tym idzie możliwości odzyskania danych. Dane przesyłane w sieci są szyfrowane, co uniemożliwia ich przechwycenie podczas transmisji i wykradnięcia danych. W konfiguracji wybieramy sposób wysyłania danych do chmury, bezpośrednio lub za pośrednictwem lokalnego serwera proxy.

 

cloud

 

Instalacja agentów Backup Exec.Cloud na klienckich systemach operacyjnych jest intuicyjna i możemy korzystać tutaj z gotowych rozwiązań przygotowanych przez Symantec. W pierwszej kolejności należy przygotować pliki instalacyjne agenta, zawierające wszystkie informacje konfiguracyjne, potrzebne do połączenia hosta z chmurą. Producent przygotował nam kilka możliwości automatyzacji instalacji Backup Exec.Cloud. Jedną z opcji jest przygotowanie paczki instalacyjnej w formie pliku wykonywalnego exe oraz użycie skryptów wiersza poleceń. Druga możliwość to stworzenie pliku instalatora Windows - msi, a następnie korzystając z zasad zarządzania grup, możemy rozdystrybuować instalacje agentów na hosty. Inną opcją jest przygotowanie paczki instalacyjnej w panelu administracyjnym i wysłanie jej pocztą lub pobranie bezpośrednio z panelu na komputer kliencki. Backup Exec.Cloud wspiera takie systemy operacyjne klienckie jak: 32 i 64 bitowe Windows XP, Vista, 7 i 8 oraz serwerowe Serwer 2003, 2008 i 2012.

Przygotowanie paczki instalacyjnej agenta na lokalnym komputerze odbywa się za pomocą zautomatyzowanego procesu, polegającego na przejściu kilku kroków, w których konieczne jest zaznaczenie interesujących nas opcji – np. wskazanie lokalizacji zapisu plików wyjściowych oraz wybór sposobu rozpropagowania agenta w środowisku. Wszystkie parametry konfiguracyjne zaszyte będą w plikach wyjściowych.

 

cloud

 

Po zainstalowaniu agenta na hoście zostaje wysłana wiadomość do administratora systemu. Otrzymujemy w niej informacje o tym, że agent działa i jest dostępny w hoście. Należy wtedy przypisać host do odpowiedniej grupy oraz skonfigurować na nim opcje dotyczące konfiguracji i harmonogramu backupu. Zarządzanie Backup Exec.Cloud odbywa się za pomocą webowego panelu administracyjnego z poziomu, z którego mamy możliwość konfiguracji agentów, monitorowania wykonywania kopii zapasowych oraz innych zadań związanym z działaniem systemu backupu. Z panelu administracyjnego możemy zarządzać zadaniami, takimi jak przywrócenie danych czy odzyskanie systemu po krytycznej awarii. Backup Exex.Cloud pozwala na odzyskanie systemów na inny sprzęcie bare matal recowery.

 

Kopie zapasowe

 

Backup Exec.Cloud jest rozwiązaniem, którego wdrożenie powinna rozważyć każda organizacja, która nie chce ponosić nadmiernych kosztów inwestycyjnych w licencje i sprzęt, a jej polityka zezwala na przechowywanie danych w chmurze. Uwalnia ono od kosztów związanych z zabezpieczeniem kopii przed ich utraceniem na skutek nieszczęśliwych wypadków. Może być również uzupełnieniem dla organizacji, które chcą zapewnić bezpieczeństwo pracowników, którzy pracują poza siedzibą firmy, a mają dostęp do łączy internetowych, umożliwiających połączenie się z chmurą i wykonanie backupu.

Autor: Przemysław Łopaciński

Źródła:

  1. Opracowanie własne
  2. Symantec.com

Do jednych z codziennych obowiązków administracyjnych należy przeglądanie statusów wykonywania nocnych kopii zapasowych. Dla 90% ogółu społeczeństwa pierwszą czynnością wykonywaną zaraz po uruchomieniu komputera w pracy jest uruchomienie klienta pocztowego i sprawdzenie poczty. Dla ułatwienia i uniknięcia błędu ludzkiego (zapomnienia o sprawdzeniu), warto zautomatyzować tą czynność. Raport wówczas przyjdzie rano pocztą elektroniczną, przed rozpoczęciem pracy.

W artykule opisany został przykład wysyłania raportów wiadomością e-mail z wykorzystaniem System.Net.Mail (http://msdn.microsoft.com/pl-pl/library/system.net.mail.aspx ) i oprogramowania do wykonywania kopii bezpieczeństwa System Center - Data Protection Manager 2012 (http://www.microsoft.com/pl-pl/server-cloud/system-center/data-protection-manager.aspx )

Zawartość skryptu generującego plik z raportem oraz wysyłka wiadomości e-mail:

 

raportowanie

 

  1. Do uruchamiania skryptów powershell z plików należy zmienić ExecutionPolicy poleceniem: Set-ExecutionPolicy –unrestricted(http://technet.microsoft.com/pl-PL/library/dd347628.aspx)
  2. Skrypt należy dodać do zaplanowanych zadań:raportowanie
  3. Należy utworzyć zadanie uruchamiane z najwyższymi uprawnieniami:raportowanie
  4. Dodanie akcji do zaplanowanego zadania raportowanie Należy uruchomić PowerShell z wykonaniem skryptu: 
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noninteractive -nologo 
    C:\Scripts\BackupCheck.ps1

 

Poniżej wygenerowany i wysłany raport:

StartTime

EndTime

Status

ProtectionGroupName

DataSources

2013-06-19 03:00:01

2013-06-19 03:26:10

Succeeded

Linux - Virtual Server

\Backup Using Saved State\Linux

2013-06-19 00:00:01

2013-06-19 00:02:14

Succeeded

FSSrv- Shared Folders

D:\

2013-06-16 01:00:01

2013-06-16 01:42:45

Succeeded

SQLSrv - Virtual Server

\Backup Using Child Partition Snapshot\SQLSrv

2013-06-19 00:30:00

2013-06-19 00:58:06

Succeeded

DC1Srv - Virtual Server

\Backup Using Child Partition Snapshot\DC1Srv

2013-06-17 09:02:45

2013-06-17 10:19:59

Succeeded

ExchSrv - Virtual Server

\Backup Using Child Partition Snapshot\ExchSrv

2013-06-19 05:00:00

2013-06-19 05:11:06

Succeeded

ExchSrv - Exchange Databases

Mailbox Database 2, Public Folders Databese, Mailbox Database 1

2013-06-19 01:30:01

2013-06-19 01:47:41

Succeeded

DC2Srv - Virtual Server

\Backup Using Child Partition Snapshot\DC2Srv

2013-06-19 00:00:01

2013-06-19 00:00:25

Succeeded

SQLSrv - MS SQL 2012 + C_Drive

C:\

Raport zostanie również zarchiwizowany na dysku w lokalizacji C:\DPM_Reports\

Artykuł opracował Bartek Kamiński,

Źródła:

  1. Opracowanie własne
  2. http://msdn.microsoft.com/pl-pl/library/system.net.mail.aspx
  3. http://technet.microsoft.com/en-us/library/hh881679%28v=sc.10%29.aspx

Narzędzia do inwentaryzacji sprzętu i oprogramowania Open Computer and Software Inventory Next Generation – OCS zostały zaprojektowany do pomocy administratorom sieci lub systemów. Służą one do monitorowania komputerów i oprogramowania na nich zainstalowanego. Zastosowanie narzędzia do inwentaryzacji OCS w sieci z domeną Windows pozwala na otrzymywanie wielu informacji niezbędnych do zachowania przejrzystości zasobów komputerowych. OCS pozwala zebrać informacje dotyczące:

  • Typu Maszyny – Fizyczna / Wirtualna.
  • Dyskach i partycjach,
  • Działających systemach operacyjnych,
  • Zainstalowanego oprogramowania,
  • Opisu urządzenia tj: producenta, numeru seryjnego

Instrukcja instalacji agenta OCS na komputerach Windows w środowisku domenowym przy pomocy narzędzi zasadami zarządzania grupy - group policy object (GPO):

Opis sposobu wprowadzenia OCS przy pomocy GPO.

  1. Przygotowujemy specjalna paczkę z certyfikatem SSL -
  2. Uruchamiamy OcsPackager.exe wersja 1.0.3.
  3. W Exe file wskazujemy plik z najnowszą wersją OCS-NG-Windows-Agent-Setup.exe wersja 2.0.5.
  4. Następnie do paczki wgrywamy nasz certyfikat. cert.pem
  5. Command line options: /s /now /no_systray /nosplash /proxy_type=0 /server=https://www.nazwa-naszego-serwera.net/ocsinventory/ /ssl=1 /ca=cert.pem /tag=Nazwa_Firmy
  6. Zatwierdzamy “Next” i wskazujemy, gdzie zapiszemy gotowy plik ocspackage.exe
  7. Następnie przechodzimy do głównego kontrolera domeny i wybieramy Zarządzanie Zasadami Grupami – Local Security Policy.
  8. Ustawiamy się pod jednostką organizacyjną, w której znajdują się wszystkie stacje robocze. PPM i wybieramy „utwórz nową polisę i podłącz ją tu” (“Create a GPO in this domain, and Link it Here”). Możemy nazwać nową polisę OCS. 
  9. Przechodzimy do jej edycji „Edit” i wybieramy Computer Configuration - > Polices - > Windows Seetings – > Scripts – Startup.
  10. Następnie kopiujemy utworzoną przez nas paczkę do polisy „Add” i wklejamy plik ocspackage.exe. Zatwierdzamy „Apply”.
  11. Dla nowej polisy wybieramy w Security Filtering: Domain Computers i Domain Users.

Po wprowadzonej zasadzie zarządzania grupo (GPO) dotyczącej instalacji paczki agenta OCS na komputerach w domenie, będziemy otrzymywać regularnie informacje, dotyczące wszystkich komputerów znajdujących się w domenie Windows. Nowa polisa pozwala również przeprowadzić aktualizacje już zainstalowanych poprzednich agentów OCS.

Artykuł opracował Przemysław Łopaciński z firmy Support Online Sp. z o.o.

Źródła:

  1. Opracowanie własne

Powłoka Windows PowerShell oferuje ponad 130 standardowych narzędzi wiersza polecenia, jest to język skryptów ukierunkowany na administrację oraz spójną składnię i narzędzia. Powłoka Windows PowerShell przyspiesza automatyzację zadań administrowania systemem, jak usługi Active Directory, serwer terminali i internetowe usługi informacyjne (IIS) 7.0. Zwiększa również zdolność organizacji do pokonywania problemów z zarządzaniem systemami specyficznych dla danego środowiska.

W tym artykule przedstawiono jak można wykorzystać PowerShell do stworzenia dowolnej liczy użytkowników a także ich usunięcie w Active Directory.

Aby stworzyć użytkownika należy:

 

  1. Zastosować odpowiedniego dostawcę do sieci
  2. Połączyć się z kontenerem dla użytkowników
  3. Ustalić domenę
  4. Ustalić dla obiektu klasę User
  5. Powiązać z Active Directory
  6. Utworzyć użytkownika za pomocą metody Create
  7. Podać przynajmniej jeden atrybut sAMAccountName w metodzie Put
  8. Zastosować SetInfo() wpisując tym samym użytkownika do Active Directory.

 

Po wykonaniu poniższego skryptu stworzy się zgodnie ze wskazanym miejscem 10 nowych użytkowników: 

$aryText = Get-Content -Path "c:\dane.txt"
$strCLass = "User"
$intUsers = 10
$strName = "cn=Użytkownik"
$objADSI = [ADSI]"LDAP://ou=MojTestOU,dc=northwood,dc=com" 
for ($i=1; $i -le $intUsers; $i++)
{
$objUser = $objADSI.create($strCLass, $StrName+$i)
$objUser.put(”userAccountControl”, 544)
$objUser.Put("description" , "Prosty użytkownik $i")
$objUser.setInfo()
$objUser.put("streetAddress", $aryText[0])
$objUser.put("postOfficeBox", $aryText[1])
$objUser.put("l", $aryText[2])
$objUser.put("st", $aryText[3])
$objUser.put("postalCode" , $aryText[4])
$objUser.put("c", $aryText[5])
$objUser.put("co", $aryText[6])
$objUser.put("countryCode", $aryText[7])
$objUser.SetInfo()
$objUser.put("profilePath", $aryText[8])
$objUser.put("scriptPath", $aryText[9])
$objUser.put("homeDirectory", $aryText[10])
$objUser.put("homeDrive", $aryText[11])
$objUser.setInfo()
}

Wynik wygląda następująco: 

Windows PowerShell. Wykorzystanie w Active Directory.

Dodatkowa linią w kodzie: $objUser.put(”userAccountControl”, 544), ma za zadanie zaraz po utworzeniu nowego użytkownika ustawić go na aktywny, gdyż domyślnie tworzone konto bez tego fragmentu kodu, będzie kontem wyłączonym.

Fragment kodu z powyższego skryptu:
$aryText = Get-Content -Path "c:\dane.txt"
…………………………………
$objUser.put("streetAddress", $aryText[0])
$objUser.put("postOfficeBox", $aryText[1])
$objUser.put("l", $aryText[2])
$objUser.put("st", $aryText[3])
$objUser.put("postalCode" , $aryText[4])
$objUser.put("c", $aryText[5])
$objUser.put("co", $aryText[6])
$objUser.put("countryCode", $aryText[7])
$objUser.SetInfo()
$objUser.put("profilePath", $aryText[8])
$objUser.put("scriptPath", $aryText[9])
$objUser.put("homeDirectory", $aryText[10])
$objUser.put("homeDrive", $aryText[11])

ma za zadanie wczytanie danych z zewnętrznego pliku tekstowego dane.txt. W pliku tekstowym każda linia odpowiada jej właściwości w Active Directory. Jeśli podamy każdą wartość w nowej linii możemy w prosty sposób wprowadzić każdą zmienną do określonego pola. Ilość użytkowników jaką można stworzyć zależy wyłącznie od tego jaką wartość nadamy zmiennej $intUsers. W tym przypadku jest to wartość 10, co oznacza, że zostało utworzonych dziesięciu użytkowników. Nie mniej jednak, nic nie stoi na przeszkodzie, żeby była to liczba np. 120.

Efektem wczytywania danych z pliku tekstowego dane.txt są wypełnione następujące pola:

Windows PowerShell. Wykorzystanie w Active Directory.

 


Usuwanie wielu użytkowników:

$strCLass = "User"
$intUsers = 10
$strName = "cn=Użytkownik"
$objADSI = [ADSI]"LDAP://ou=MojTestOU,dc=northwood,dc=com" 
for ($i=1; $i -le $intUsers; $i++)
{
$objUser = $objADSI.delete($strCLass, $StrName+$i)
}

Powyższy skrypt usuwa określoną w liczbie powtórzeń pętli użytkowników o nazwie Użytkownik. Nie stosując pętli można w ten sposób usuwać pojedyncze konta użytkowników, komputerów.


Podsumowanie

Powłoka Windows PowerShell ma szerokie zastosowanie, nie tylko przy tworzeniu użytkowników, ale praktycznie w każdym działaniu administratora sieci. Można między innymi wykorzystać ją do czyszczenia co pewien czas dziennika zdarzeń w Windows Exchange 2010 oraz do wszystkiego co można wykonać za pomocą graficznego interfejsu użytkownika (GUI). Używając konsoli cmdlet w Power Shell można również tworzyć obiekty, np. plik tekstowy z pewną zawartością lub pliki pakietu MS Office.

Artykuł opracował Paweł Jaroszewicz z firmy Support Online Sp. z o.o.

Źródła:

  1. Opracowanie własne

Popularne