На протяжении последнего года в различных форумах, посвященных сетевой тематике, все чаще звучат вопросы, связанные с реализацией механизма распределения нагрузки (Load Balancing, LB). Причем если ранее потребность в ней возникала лишь в масштабных корпоративных сетях, то сейчас о необходимости ее внедрения задумываются и при построении IT-структуры предприятия малого бизнеса, и даже при создании домашних сетей.
Одной из причин возникновения вопросов называют существенный рост числа небольших сетей, которые могут теперь подсоединяться к нескольким провайдерам одновременно. Как правило, в начальных условиях задачи фигурируют два канала доступа… и настойчивое желание добиться максимальной эффективности от их эксплуатации. Предметом обсуждения являются пути получения качественно новых возможностей, как-то: отказоустойчивое подключение к Интернету, экономически грамотное использование доступной ширины полосы пропускания, в том числе и как суммы подводимых каналов (например, в ситуации, если один провайдер предлагает «неограниченную скорость» при ограниченном объеме трафика, а другой – «неограниченный трафик» при ограничениях по скорости).
Порты 2×WAN, 4×LAN, (все – 10/100 Base-TX RJ-45 Auto MDI/MDIX)
Типы подключения статический IP, динамический IP, PPPoE, PPTP
Поддерживаемые протоколы TCP/IP, UDP, ARP, ICMP, HTTP; H.323, SNMP, UPnP
Балансировка исходящего трафика между WAN по объему данных, количеству пакетов и сессий
Аутентификация
PAP и CHAP для PPPoE, РРТР
VPN режим Pass-through (PPTP, IPSec)
Питание AC/DC-адаптер, 5 В/2 A
Индикация питание, статус, активность WAN, LAN,
Ориентировочная цена $104
Предоставлен представительством D-Link в Украине: тел. (044) 490-2230
Достаточный функциональный набор для организации эффективного управления и обеспечения безопасности небольшой сети; два порта WAN с возможностью балансировки исходящего трафика
Скромная по объему встроенная справочная система
Современный и мощный сетевой шлюз с адекватным показателем цена/функциональность для малых, средних IT-структур и домашних сетей
Путей решения этих задач, собственно, несколько. Классический вариант – установка маршрутизатора одного из именитых производителей, поддерживающего множество профилей работы и предоставляющего достаточную свободу для тонкой настройки алгоритма распределения нагрузки. Но если для больших сетей выбор устройства стоимостью порядка нескольких тысяч долларов является оправданным, то для SOHO-сетей его приобретение тяжким бременем ляжет на плечи компании, оставляя у ее владельца чувство досады по поводу недовостребованной функциональности.
Существует и другой, хорошо известный способ реализации механизма балансировки нагрузки, базирующийся на работающем под ОС *nix обычном ПК (как правило, выделенном) или сервере с несколькими сетевыми интерфейсными картами. Несмотря на возможности организации самых изощренных способов LB, к недостаткам решения следует отнести необходимость в высококвалифицированном специалисте, обеспечивающем настройку и сопровождение сети.
Продвигаясь по пути дальнейшего снижения требований к функциональности LB, будет справедливо также вспомнить и о Windows-платформе, ведь зачатки механизма балансировки нагрузки обнаруживаются в XP (и даже в более ранних версиях). Благодаря дополнительному ПО (кстати, в большинстве своем небесплатному), ценой некоторого снижения надежности, безопасности и энергопотребления системы в целом, можно достичь неплохих результатов.
С начала этого года в ассортименте ряда компаний появились недорогие маршрутизаторы, в которых был реализован минимальный набор функций механизма распределения нагрузки. Одним из примеров такого, уже продаваемого на отечественном рынке, решения является шлюз DI-LB604 от D-Link.
Устройство по базовым функциям сходно с последними версиями популярной модели DI-604 этой компании. Его основное назначение – обеспечить объединение в сеть нескольких компьютеров, предоставив им выход в Интернет, и защитить от вторжений извне.
Управление и контроль шлюзом осуществляется на основе Web-интерфейса, а также с помощью SNMP-агента (через MIB).
| На задней стороне маршрутизатора имеются два порта WAN и четыре порта 10/100BASE-TX встроенного коммутатора |
DI-LB604 обладает несколько расширенной в сравнении с фактически ставшей стандартной для данного класса функциональностью, включающей поддержку DHCP, NAT, соединения VPN в режиме Passthrough (PPTP и IPSec), фильтрацию трафика и контроль доступа к заданным адресам и доменам Интернета.
Пользователи внутренней сети могут быть объединены в несколько групп с разными правами по доступу. Например, в черный или белый списки каждой из групп заносятся конкретные URL. Если активен фильтр доступа, то в зависимости от режима его работы (не фильтровать для данной группы, запретить доступ или запретить/разрешить работу установленным портам) можно реализовать достаточно широкий набор правил. Не удастся «запинговать до смерти» шлюз – предусмотрена избирательная фильтрация ICMP по типу пакета.
Для организации доступа к Web, FTP и почтовым серверам компании извне любой LAN-порт можно настроить как multi-DMZ. Причем при формировании правила предусматривается выбор одной из восьми PPoE-сессий, распространяющихся на всех пользователей либо на конкретную их группу с указанием, на какое направление обмена трафиком оно действует.
Кроме списков контроля доступа (Access Control List, ACL), режима VPN pass-through и возможности аутентификации PAP и CHAP (для PPPoE, РРТР) защита сети от злонамеренных атак и внешних вторжений в DI-LB604 гарантируется за счет организации межсетевого экрана с поддержкой технологии Stateful Packet Inspection (SPI). Применение не только классического NAT, но и NAPT, обеспечивающего преобразование сетевых адресов и портов, – приятное дополнение достаточно эффективного для данного класса устройств механизма защиты от атак типа Denial of Service (DoS).
Для работы приложений, чувствительных к качеству/типу обслуживания, имеется отдельная закладка QoS, позволяющая установить дополнительные правила приоретизации по ToS.
Поддержка уведомлений по электронной почте и ведение системного журнала событий (Syslog) дает возможность сетевым администраторам получать информацию (среди них – об отказе WAN), необходимую для оценки работоспособности сети.
Чтобы при первом знакомстве с устройством не запутаться с обилием изменяемых параметров, предлагается воспользоваться интерактивным Мастером настроек.
Установки раздела балансировки нагрузки предельно просты и предполагают один из трех вариантов организации LB на выбор: по объему трафика, передаваемого через WAN-порт (Bytes Tx + Rx), по количеству пакетов (Packets Tx + Rx) и инициированных активных сессий.
Каждый из них можно не только активировать, но и назначить резервным: если один из WAN-каналов выйдет из строя, данные начнут автоматически передаваться через второй, предотвращая прерывание работы сети и потерю важной информации.
На этом для общего знакомства с данным маршрутизатором есть смысл поставить точку: с одной стороны, для его запуска с помощью Мастера потребуется не более десяти минут, с другой, исходя из количества параметров (даже без учета их комбинаций оно составляет более 30) тонкая настройка плюс время на подгонку правил и проверку работоспособности инфраструктуры может занять не одни сутки. Но это в большей степени относится отнюдь не к механизму распределения нагрузки. Так что нам ничего не остается, как повторить шутливый рефрен из материала трехлетней давности («Internet в малом офисе: "маленькие коробочки" против "больших ящиков"»,): «Вы до сих пор возитесь с настройками своего UNIX-сервера? Тогда мы идем с "коробочными" решениями к вам!». Заметим при этом, что категория «малых» офисных маршрутизаторов и шлюзов на фоне демонстрации дизайнерских изысков и маркетинговых обновлений действительно продолжает «перетягивать одеяло» с дорогостоящих устройств, обогащаясь новыми дополнительными функциями и предоставляя еще более широкие возможности для обеспечения небольшой офисной или домашней сети.