Мониторинг интернет трафика в локальной сети

Практически каждый компьютер постоянно подключен к сети Интернет. Для проверки качества соединения и учета объема переданных и полученных данных существуют специальные программы для учета трафика. С их помощью можно спрогнозировать затраты в лимитированных тарифах, блокировать нежелательные процессы посредством интегрированного фаервола и следить за качеством сетевого соединения. Ряд утилит для учета трафика Интернета на компьютере доступен с меню на русском языке.

В подборке мы сравним удобство интерфейса, функциональность приложений, а также их применимость – насколько универсальны программы для использования на домашних компьютерах и серверных машинах.

В начале обзора рассмотрим утилиты, которые предназначены для учета трафика на компьютере, на котором они установлены

Мощная программа для слежения за трафиком с многофункциональным фаерволом. С помощью GlassWire можно не только завершать нежелательные активности, но и блокировать доступ в Сеть для выбранных приложений. Поддерживается возможность администрирования на уровне сетевого адаптера.

Все данные в программе визуализируются в виде понятных графиков. Предупреждения можно просмотреть в отдельной панели нотификации. Доступна возможность построения сведенных отчетов, в которых можно узнать, например, объем месячного трафика.

Бесплатная версия GlassWire включает ограничения по длительности хранения данных, также в ней недоступен ряд функций вроде поддержки Wi-Fi-сетей. Стоимость лицензионной версии начинается от 49 долларов.

Небольшая утилита для подсчета трафика на компьютере в онлайн-режиме. С ее помощью можно быстро генерировать отчеты по стандартным временным периодам (день, неделя, месяц), формировать статистику по пользователям ПК, а также создавать выборочные отчеты. Программа позволяет посмотреть список приложений, которые связываются с Интернет в текущий момент, однако заблокировать определенный процесс невозможно – встроенный файервол отсутствует. Зато есть функция шейпинга – можно закрыть доступ после достижения определенного порога данных.

Trial-период использования программы – месяц. Цена лицензии – чуть менее 30 долларов

Интерфейс NetLimiter полностью копирует функциональность программы – каждая вкладка отвечает за определенную опцию. Среди них – просмотр текущих активностей, установка фильтров и сценариев, отображение списка приложений, выходящих в Сеть, блокировка доступа в Интернет или локальную сеть, а также построение отчетов. Отметим, что программа может ограничить скорость доступа как для определенного процесса, так и для адаптера. Поддерживается возможность просмотра удаленных IP-адресов, к которым обращаются приложения.

Длительность пробного периода использования программы – 25 дней. Стоимость лицензии – около 30 долларов.

Программа для контроля трафика Интернет в реальном времени с помощью иконки в трее с возможностью скачивания и бесплатного использования в течение неограниченного периода. Утилита фактически является онлайн-монитором, позволяющим следить за трафиком, пропущенным через адаптер. При необходимости можно посмотреть объем данных для каждой сетевой карты. Поддерживается возможность разделения трафика на загруженные (download) и выгруженные (upload) данные.

Теперь рассмотрим специализированные программы для мониторинга пакетов и контроля Интернеттрафика в локальной сети. Их основная целевая аудитория – системные администраторы и специалисты, обслуживающие компьютерные сети.

Портативный захватчик пакетов, поддерживающий все распространенные типы подключений и современные протоколы. С его помощью можно захватить все данные, проходящие через адаптер – порт источника, размер пакетов, общий объем трафика, исходный адрес и другие. Информацию в сведенном отчете можно отсортировать по различным критериям либо преобразовать в удобный формат. Поддерживается возможность назначения команд посредством командной строки.

По своим возможностям TMeter ничем не уступает GlassWire. Программа включает интегрированный фаервол, однако в TMeter он также позволяет управлять правами доступа для локальных учетных записей. Особенностью утилиты является поддержка сетевого режима работы, благодаря этой функции программа может считать данные, инициатором обмена которых являются другие компьютеры внутренней сети. Кроме этого, в TMeter есть функция фильтрации сайтов по URL, возможность шейпинга скорости и мощный менеджер сценариев. С его помощью можно назначать определенное действие в случае возникновения указанного события. Например, ограничивать скорость при запросе определенного Web-адреса. TMeter содержит собственный механизм NAT.

Бесплатная версия утилиты не позволяет использовать более четырех фильтров. Стоимость максимальной версии – 65 долларов.

Специализированный инструмент для захвата и сохранения локальных и Интернет-пакетов, в том числе и IP-адресов. Программа может следить за трафиком в онлайн-режиме либо вести сбор данных по расписанию. Поддерживается возможность фильтрации информации исходя из заданных критериев – IP-адрес, порт, процесс, MAC-адрес и других вводных. Утилита совместима с более чем 100 протоколами включая VoIP.

Весь захваченный трафик хранится в виде базы данных. При необходимости можно визуализировать отчет в виде графика.

Стоимость подписки на полную версию программы начинается от почти 400 долларов в год. Пробный период – месяц.

Неплохой захватчик пакетов с интегрированным фаерволом и поддержкой сетевого режима работы. Поддерживается возможность установки лимита для определенного процесса либо ограничение доступа для указанного пользователя. Интерфейс утилиты состоит из трех основных блоков – онлайн-монитора, журнала событий и менеджера профилей.

Бесплатно пользоваться программой можно на протяжении 30 дней. Цена лицензии – 25 долларов.

Доступ в Интернет есть практически на каждом компьютере. Для того, чтобы следить за трафиком существуют специальные программы, лучшие из которых мы объединили в обзоре. С помощью утилит для мониторинга сетевых данных можно контролировать объем переданной информации, блокировать доступ для определенных процессов и отслеживать маршрутизацию пакетов.

Все утилиты в подборке мы разделили на программы, предназначенные для работ на том ПК, на котором они установлены, и инструменты, «заточенные» под мониторинг трафика в локальной сети.

Кроме уже привычных критериев «Функционал» и «Интерфейс» мы оценили универсальность утилит в блоке «Применимость». Чем выше значение, тем больше программа подходит для использования на домашних и серверных машинах.

Блокировка процессов Качество визуализации трафика Журнал событий Фильтрация по URL Мониторинг удаленных ПК Русский язык Лицензия
NetWorx Нет Высоко Нет Нет Нет Да Бесплатно в течение ограниченного периода
NetLimiter Да Средне Нет Нет Нет Да Бесплатно в течение ограниченного периода
Network Meter Нет Средне Нет Нет Нет Нет Бесплатно
GlassWire Да Высоко Да Нет Нет Нет Бесплатно с ограничениями
CommView Нет Средне Да Нет Да Да Бесплатно в течение ограниченного периода
NetworkTrafficView Нет Средне Да Нет Нет Да Бесплатно
TMeter Да Средне Да Да Да Да Бесплатно с ограничениями
NetPeeker Да Средне Да Нет Да Нет Бесплатно в течение ограниченного периода
Total Network Monitor Нет База Да Нет Да Да Бесплатно в течение ограниченного периода
Читайте также:  Меры информации синтаксическая семантическая прагматическая

Программы для учета трафика интернета компьютера

Программы в данной категории предназначены для контроля и подсчета трафика Интернет на текущем компьютере. Чаще всего их применяют в случае, если используется тарифный план с ограниченным объемом сетевого трафика, это позволяет вовремя запретить доступ в Сеть и избежать дополнительных расходов.

Простая программа для подсчета трафика в онлайн-режиме. С помощью этой утилиты на основании обработанных данных можно сформировать отчет за стандартный период – день, неделя, месяц. Кроме того, можно задать свой временной отрезок для анализа, а также выполнить захват данных для определенной учетной записи. Сведенная информация доступна в виде графика, есть возможность экспорта статистики в файл-отчет в форматах HTML, XLS и TXT.

Бесплатная версия программы работает в течение месяца с момента инсталляции. Стоимость регистрационного ключа – чуть менее 30 долларов.

Неплохой анализатор трафика с функцией блокировки соединения для определенной активности (встроенным фаерволом). «Фишка» программы – это возможность ограничения скорости доступа для указанного процесса, таким образом можно «очистить» Интернет-канал от наиболее «тяжелых» активностей. При необходимости можно задать шейпинг для всего сетевого подключения на уровне адаптера. Поддерживается возможность анализа скрытых процессов и функция назначения прав доступа.

Слежение за объемом переданных и полученных данных выполняется в онлайн-режиме, есть возможность формирования отчетов, в том числе и графических.

Trial-период использования NetLimiter – 25 дней. Цена лицензии как и в случае с NetWorx составляет около 30 долларов США.

Крохотная бесплатная утилита для обработки трафика в real-time-режиме. Она позволяет анализировать переданные (Upload) и полученные (Download) данные, пропущенные через каждый сетевой адаптер. При этом можно проанализировать трафик с нескольких сетевых карт одновременно. Полученная информация отображается в виде графика и таблицы со сведенной информацией. Значения выводятся в главном окне программы, перенести их в текстовый файл или другой документ не получится из-за отсутствия возможности экспорта отчетов.

Мощная утилита, которая выгодно отличается от других программ за счет качественных визуальных отчетов. Функционал программы находится на высоком уровне – встроенный фаервол, отдельный блок для формирования статистической информации за указанный период, возможность управления удаленными подключениями и развитая система уведомлений. При отображении удаленного IP адреса показывается флаг страны, к которой относится сетевой идентификатор.

Правда, не все функции утилиты доступны без регистрации. Бесплатная версия GlassWire позволяет анализировать данные за ограниченный период (месяц) и не содержит функцию отправки оповещений в случае обнаружения нового соединения. Цена полной версии зависит от времени, в течение которого хранится история, и начинается от 50 долларов США.

Программы для мониторинга трафика в локальной сети

Подобные программы предназначены для контроля трафика Интернет в домашней или корпоративной сети и они могут устанавливаться как на компьютеры под управлением Windows 10, XP, 7, так и на машины на базе серверных версий Windows.

Специализированный инструмент для отслеживания пакетов. С помощью программы можно смотреть статистику трафика в онлайн и офлайн режимах, формировать отчеты с захваченными IP соединениями и визуализировать их. Поддерживается возможность быстрого анализа неизвестных IP адресов посредством сервиса SmartWhois, есть возможность просмотра списка приложений, которые инициируют сетевое подключение. Программа совместима с более 100 сетевыми протоколами и популярными адаптерами. При необходимости можно следить за дистанционными машинами посредством модуля Remote Agent.

Пробный период использования программы – месяц. Цена лицензии для стандартной версии CommView составляет чуть менее 400 долларов, за поддержку протокола VoIP придется доплатить еще столько же.

Данная программа предназначена для анализа всех сетевых процессов и получения сведений об адресе инициатора трафика, конечной цели обращения, используемых портах, типе соединения и других данных. Готовые отчеты можно перевести в гипертекстовый формат.

Для более удобного анализа можно применить фильтр, исключив из отчета процессы с небольшим объемом данных или малым количеством пакетов. Сохранить настройки фильтрации можно в виде файла конфигураций.

Одна из самых многофункциональных программ в обзоре. TMeter обрабатывает пакеты вне зависимости от типа используемого протокола, позволяет графически показывать проанализированную информацию, в том числе и строить отчеты с деталями о захваченных данных. С помощью интегрированного фаервола можно запрещать подключение не только для указанного процесса, но и управлять доступом для определенного пользователя ПК или сетевой машины.

TMeter поддерживается возможность создания единой точки доступа в Интернет для нескольких компьютеров под одним IP-адресом (NAT сервер), эта функция очень популярна среди корпоративных пользователей. Кроме этого, в программе есть опция активации шейпинга после достижения определенного объема трафика.

В утилиту включен собственный сервер авторизации, его можно применять для слежения за данными каждого аккаунта.

Free-версия программы не позволяет задавать более четырех фильтров. Стоимость полной версии зависит от количества встроенных инструментов для фильтрации и начинается от 20 долларов.

Любой администратор рано или поздно получает инструкцию от руководства: «посчитать, кто ходит в сеть, и сколько качает». Для провайдеров она дополняется задачами «пустить кого надо, взять оплату, ограничить доступ». Что считать? Как? Где? Отрывочных сведений много, они не структурированы. Избавим начинающего админа от утомительных поисков, снабдив его общими знаниями, и полезными ссылками на матчасть.
В данной статье я постараюсь описать принципы организации сбора, учёта и контроля трафика в сети. Мы рассмотрим проблематику вопроса, и перечислим возможные способы съема информации с сетевых устройств.

Это первая теоретическая статья из цикла статей, посвящённого сбору, учёту, управлению и биллингу трафика и IT-ресурсов.

Структура доступа в сеть Интернет

В общем случае, структура доступа в сеть выглядит следующим образом:

  • Внешние ресурсы – сеть Интернет, со всеми сайтами, серверами, адресами и прочим, что не принадлежит сети, которую вы контролируете.
  • Устройство доступа – маршрутизатор (аппаратный, или на базе PC), коммутатор, VPN-сервер или концентратор.
  • Внутренние ресурсы – набор компьютеров, подсетей, абонентов, работу которых в сети необходимо учитывать или контролировать.
  • Сервер управления или учёта – устройство, на котором работает специализированное программное обеспечение. Может быть функционально совмещён с программным маршрутизатором.

В данной структуре, сетевой трафик проходит от внешних ресурсов к внутренним, и обратно, через устройство доступа. Оно передает на сервер управления информацию о трафике. Сервер управления обрабатывает эту информацию, хранит в базе, отображает, выдает команды на блокировку. Однако, не все комбинации устройств (методов) доступа, и методов сбора и управления, совместимы. О различных вариантах и пойдет речь ниже.

Читайте также:  Мельница для помола зерна на муку

Сетевой трафик

Для начала необходимо определить, а что же подразумевается под «сетевым трафиком», и какую полезную статистическую информацию можно извлечь из потока пользовательских данных.
Доминирующим протоколом межсетевого взаимодействия пока остается IP версии 4. Протокол IP соответствует 3му уровню модели OSI (L3). Информация (данные) между отправителем и получателем упаковывается в пакеты – имеющие заголовок, и «полезную нагрузку». Заголовок определяет, откуда и куда идет пакет (IP-адреса отправителя и получателя), размер пакета, тип полезной нагрузки. Основную часть сетевого трафика составляют пакеты с полезной нагрузкой UDP и TCP – это протоколы 4-го уровня (L4). Помимо адресов, заголовок этих двух протоколов содержит номера портов, которые определяют тип службы (приложения), передающего данные.

Для передачи IP-пакета по проводам (или радио) сетевые устройства вынуждены «оборачивать» (инкапсулировать) его в пакет протокола 2го уровня (L2). Самым распространенным протоколом такого типа является Ethernet. Фактическая передача «в провод» идет на 1м уровне. Обычно, устройство доступа (маршрутизатор) не занимается анализом заголовков пакетов на уровне, выше 4го (исключение – интеллектуальные межсетевые экраны).
Информация из полей адресов, портов, протоколов и счетчики длин из L3 и L4 заголовков пакетов данных и составляет тот «исходный материал», который используется при учёте и управлении трафиком. Собственно объем передаваемой информации находится в поле Length («Длина пакета») заголовка IP (включая длину самого заголовка). Кстати, из-за фрагментации пакетов вследствие механизма MTU общий объем передаваемых данных всегда больше размера полезной нагрузки.

Суммарная длина интересных нам в данном контексте IP- и TCP/UDP- полей пакета составляет 2. 10% общей длины пакета. Если обрабатывать и хранить всю эту информацию попакетно, не хватит никаких ресурсов. К счастью, подавляющий объем трафика структурирован так, что состоит из набора «диалогов» между внешними и внутренними сетевыми устройствами, так называемых «потоков». Например, в рамках одной операции пересылки электронного письма (протокол SMTP) открывается TCP-сессия между клиентом и сервером. Она характеризуется постоянным набором параметров . Вместо того, чтобы обрабатывать и хранить информацию попакетно, гораздо удобнее хранить параметры потока (адреса и порты), а также дополнительную информацию – число и сумму длин переданных пакетов в каждую сторону, опционально длительность сессии, индексы интерфейсов маршрутизатора, значение поля ToS и прочее. Такой подход выгоден для ориентированных на соединение протоколов (TCP), где можно явно перехватить момент завершения сессии. Однако и для не ориентированных на сессии протоколов можно проводить агрегацию и логическое завершение записи о потоке по, например, таймауту. Ниже приведена выдержка из SQL-базы собственной системы биллинга, осуществляющей протоколирование информации о потоках трафика:

Необходимо отметить случай, когда устройство доступа осуществляет трансляцию адресов (NAT, маскарадинг) для организации доступа в Интернет компьютеров локальной сети, используя один, внешний, публичный IP-адрес. В этом случае специальный механизм осуществляет подмену IP-адресов и TCP/UDP портов пакетов трафика, заменяя внутренние (не маршрутизируемые в Интернете) адреса согласно своей динамической таблице трансляции. В такой конфигурации необходимо помнить, что для корректного учета данных по внутренним хостам сети съём статистики должен производиться способом и в том месте, где результат трансляции ещё не «обезличивает» внутренние адреса.

Методы сбора информации о трафике/статистике

Снимать и обрабатывать информацию о проходящем трафике можно непосредственно на самом устройстве доступа (ПК-маршрутизатор, VPN-сервер), с этого устройства передавая ее на отдельный сервер (NetFlow, SNMP), или «с провода» (tap, SPAN). Разберем все варианты по-порядку.

ПК-маршрутизатор

Рассмотрим простейший случай – устройство доступа (маршрутизатор) на базе ПК c ОС Linux.

О том, как настроить такой сервер, трансляцию адресов и маршрутизацию, написано много . Нас же интересует следующий логический шаг – сведения о том, как получить информацию о проходящем через такой сервер трафике. Существует три распространенных способа:

  • перехват (копирование) пакетов, проходящих через сетевую карту сервера, при помощи библиотеки libpcap
  • перехват пакетов, проходящих через встроенный межсетевой экран
  • использование сторонних средств преобразования попакетной статистики (полученной одним из двух предыдущих методов) в поток агрегированной информации netflow

Libpcap


В первом случае копия пакета, проходящего через интерфейс, после прохождения фильтра (man pcap-filter) может быть запрошена клиентской программой на сервере, написанной с использованием данной библиотеки. Пакет поступает вместе с заголовком 2го уровня (Ethernet). Можно ограничить длину захватываемой информации (если нас интересует только информация из его заголовка). Примерами таких программ могут быть tcpdump и Wireshark. Существует реализация libpcap под Windows. В случае применения трансляции адресов на ПК-маршрутизаторе такой перехват можно осуществлять только на его внутреннем интерфейсе, подключенном к локальным пользователям. На внешнем интерфейсе, после трансляции, IP-пакеты не содержат информации о внутренних хостах сети. Однако при таком способе невозможно учесть трафик, создаваемый самим сервером в сети Интернет (что важно, если на нем работают веб– или почтовый сервис).

Работа libpcap требует поддержки со стороны операционной системы, что в настоящее время сводится к установке единственной бибилиотеки. При этом прикладная (пользовательская) программа, осуществляющая сбор пакетов, должна:

  • открыть необходимый интерфейс
  • указать фильтр, через который пропускать принятые пакеты, размер захватываемой части (snaplen), размер буфера,
  • задать параметр promisc, который переводит сетевой интерфейс в режим захвата вообще всех проходящих мимо пакетов, а не только адресованных MAC-адресу этого интерфейса
  • установить функцию (callback), вызываемую на каждый принятый пакет.

При передаче пакета через выбранный интерфейс, после прохождения фильтра эта функция получает буфер, содержащий Ethernet, (VLAN), IP и т.д. заголовки, общим размером до snaplen. Поскольку библиотека libcap копирует пакеты, заблокировать их прохождение при ее помощи невозможно. В таком случае программе сбора и обработки трафика придется использовать альтернативные методы, например вызов скрипта для помещения заданного IP-адреса в правило блокировки трафика.

Межсетевой экран


Захват данных, проходящих через межсетевой экран, позволяет учесть и трафик самого сервера, и трафик пользователей сети, даже при работе трансляции адресов. Главное в этом случае – правильно сформулировать правило захвата, и поставить его в нужное место. Данным правилом активируется передача пакета в сторону системной библиотеки, откуда приложение учета и управления трафиком может его получить. Для ОС Линукс в качестве межсетевого экрана применяют iptables, а средства перехвата – ipq, netfliter_queue или ulog. Для OC FreeBSD – ipfw с правилами типа tee или divert. В любом случае механизм межсетевого экрана дополняется возможностью работы с пользовательской программой следующим способом:

  • Пользовательская программа — обработчик трафика регистрирует себя в системе, используя системный вызов, или библиотеку.
  • Пользовательская программа или внешний скрипт устанавливает правило в межсетевой экран, “заворачивающее” выбранный трафик (согласно правилу) вовнутрь обработчика.
  • На каждый проходящий пакет обработчик получает его содержимое в виде буфера памяти (с заголовками IP и т.д. После обработки (учёта) программе необходимо также сообщить ядру операционной системы, что делать далее с таким пакетом — отбросить или передать далее. Как вариант, возможно передать ядру видоизмененный пакет.
Читайте также:  Можно ли в отсканированном документе изменить текст

Поскольку IP-пакет не копируется, а пересылается в программное обеспечение для анализа, становится возможным его «выброс», а следовательно, полное или частичное ограничение трафика определенного типа (например, до выбранного абонента локальной сети). Однако в случае, если прикладная программа перестала отвечать ядру о своем решении (зависла, к примеру), трафик через сервер просто блокируется.
Необходимо отметить, что описанные механизмы при существенных объемах передаваемого трафика создают избыточную нагрузку на сервер, что связано с постоянным копированием данных из ядра в пользовательскую программу. Этого недостатка лишен метод сбора статистики на уровне ядра ОС, с выдачей в прикладную программу агрегированной статистики по протоколу NetFlow.

Netflow

Этот протокол был разработан фирмой Cisco Systems для экспорта информации о трафике с маршрутизаторов с целью учета и анализа трафика. Наиболее популярная сейчас версия 5 предоставляет получателю поток структурированных данных в виде UDP-пакетов, содержащих информацию о прошедшем трафике в виде так называемых flow records:

Объем информации о трафике меньше самого трафика на несколько порядков, что особенно актуально в больших и распределенных сетях. Конечно же, блокировать передачу информации при сборе статистики по netflow невозможно (если не использовать дополнительные механизмы).
В настоящее время становится популярным дальнейшее развитие этого протокола – версия 9, основанная на шаблонной структуре flow record, реализации для устройств других производителей (sFlow). Недавно был принят стандарт IPFIX, который позволяет передавать статистику и по протоколам более глубоких уровней (например, по типу приложения).
Реализация netflow-источников (агентов, probe) доступна для ПК-маршрутизаторов, как в виде работающих по описанных выше механизмам утилит (flowprobe, fprobe, softflowd), так и непосредственно встроенных в ядро ОС (FreeBSD: ng_netgraph, Linux: ipt_neflow). Для программных маршрутизаторов поток статистики netflow можно принимать и обрабатывать локально на самом маршрутизаторе, или отправлять по сети (протокол передачи – поверх UDP) на принимающее устройство (коллектор).

Программа — коллектор может собирать сведения от многих источников сразу, имея возможность различать их трафик даже при пересекающихся адресных пространствах. При помощи дополнительных средств, таких как nprobe возможно также проводить дополнительную агрегацию данных, раздвоение потоков или конвертацию протоколов, что актуально при управлении большой и распределенной сетью с десятками маршрутизаторов.

Функции экспорта netflow поддерживают маршрутизаторы Cisco Systems, Mikrotik, и некоторые другие. Аналогичный функционал (с другими протоколами экспорта) поддерживается всеми крупными производителями сетевого оборудования.

Libpcap “снаружи”

Немного усложним задачу. Что, если ваше устройство доступа – аппаратный маршрутизатор другого производителя? Например, D-Link, ASUS, Trendnet и т.д. На нем, скорее всего, невозможно поставить дополнительное программное средство съема данных. Как вариант – интеллектуальное устройство доступа у вас есть, но настроить его не представляется возможным (нет прав, или оно управляется вашим провайдером). В таком случае можно собирать информацию о трафике непосредственно в точке стыка устройства доступа с внутренней сетью, пользуясь «аппаратными» средствами копирования пакетов. В таком случае непременно потребуется отдельно стоящий сервер с выделенной сетевой картой для приема копий Ethernet-пакетов.
Сервер должен использовать механизм сбора пакетов по методу libpcap, описанному выше, и наша задача — на вход выделенной для этого сетевой карты подать поток данных, идентичный выходящему из сервера доступа. Для этого можно использовать:

  • Ethernet – хаб (hub): устройство, просто пересылающее пакеты между всеми своими портами без разбора. В современных реалиях его можно найти где-нибудь на пыльном складе, и применять такой метод не рекомендуется: ненадежно, низкая скорость (хабов на скорости 1 Гбит/с не бывает)
  • Ethernet – коммутатор с возможностью зеркалирования (мирроринга, SPAN портов. Современные интеллектуальные (и дорогие) коммутаторы позволяют копировать на указанный порт весь трафик (входящий, выходящий, оба) другого физического интерфейса, VLANа, в том числе удаленного (RSPAN)
  • Аппаратный раздвоитель, который может потребовать установки для сбора двух сетевых карт вместо одной – и это помимо основной, системной.


Естественно, вы можете настроить SPAN-порт и на самом устройстве доступа (маршрутизаторе), если оно это позволяет – Cisco Catalyst 6500, Cisco ASA. Вот пример такой конфигурации для коммутатора Cisco:
monitor session 1 source vlan 100 ! откуда берем пакеты
monitor session 1 destination interface Gi6/3! куда выдаем пакеты

Отдельно стоит рассмотреть случай доступа пользователей к сети путем явного установления соединения к серверу доступа. Классическим примером может служить старый добрый dial-up, аналогом которого в современном мире являются VPN-службы удаленного доступа (PPTP, PPPoE, L2TP, OpenVPN, IPSEC)

Устройство доступа не только маршрутизирует IP-трафик пользователей, но также представляет из себя специализированный VPN-сервер, и терминирует логические туннели (часто зашифрованные), внутри которых передается пользовательский трафик.
Для учета такого трафика можно пользоваться как всеми средствами, описанными выше (и для глубокого анализа по портам/протоколам они хорошо подходят), так и дополнительными механизмами, которые предоставляют средства управления VPN-доступом. В первую очередь речь пойдет о протоколе RADIUS. Его работа – достаточно сложная тема. Мы же кратко упомянем, что контролем (авторизацией) доступа к VPN-серверу (RADIUS-клиенту) управляет специальное приложение (RADIUS-сервер), имеющее за собой базу (текстовый файл, SQL, Active Directory) допустимых пользователей с их атрибутами (ограничения по скорости подключения, назначенные IP-адреса). Помимо процесса авторизации, клиент периодически передает серверу сообщения аккаунтинга, информацию о состоянии каждой текущей работающей VPN-сессии, в том числе счетчики переданных байт и пакетов.

Заключение

Сведем все описанные выше методы сбора информации о трафике воедино:

Подведем небольшой итог. На практике существует большое количество методов присоединения управляемой вами сети (с клиентами или офисными абонентами) к внешней сетевой инфраструктуре, с использованием ряда средств доступа – программных и аппаратных маршрутизаторов, коммутаторов, VPN-серверов. Однако практически в любом случае можно придумать схему, когда информация о переданном по сети трафике может быть направлена на программное или аппаратное средство его анализа и управления. Возможно также, что это средство позволит осуществлять обратную связь с устройством доступа, применяя интеллектуальные алгоритмы ограничения доступа для отдельных клиентов, протоколов и прочего.
На этом закончу разбор матчасти. Из неразобранных тем остались:

  • как и куда попадают собранные данные о трафике
  • программное обеспечение для учета трафика
  • чем отличается биллинг от простой “считалки”
  • как можно накладывать ограничение на трафик
  • учёт и ограничение посещенных веб-сайтов

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector