Назад | Перейти на главную страницу

Аппаратный ограничитель пропускной способности

На самом деле не уверен, что это то место, где можно спросить об этом, но вот ...

Наша компания за последний год выросла в геометрической прогрессии. Таким образом, наше интернет-соединение нуждается в серьезном управлении и ограничении, чтобы не только запретить facebook и другие сайты-дураки, но и ограничить полосу пропускания, предназначенную для определенных сервисов, таких как youtube.

Об установке новой прошивки и ограничений для каждого из наших маршрутизаторов, естественно, не может быть и речи, и теперь я хотел бы знать, есть ли какое-то аппаратное устройство, которое предлагало бы мне эту функцию (как ограничение, так и дросселирование полосы пропускания. на определенные ресурсы и обратно) в обязательном порядке. Я бы установил это устройство между линией нашего интернет-провайдера и коммутатором в здании, чтобы контролировать распределение полосы пропускания всей компании.

Поиск в Google не выявил ничего полезного, кроме некоторых программных решений, неадекватных для нашей ситуации.

Обновить:

Мы в одном здании. В здании есть две точки входа на первом этаже, которые подключаются к коммутатору здания. То есть у нас есть два синхронных (вверх = вниз) ADSL-соединения, по сути, по одному для каждого этажа. Затем этот коммутатор разветвляется и подключается к каждому из двух текущих этажей, которыми мы владеем (то есть к каждому из нескольких маршрутизаторов на каждом этаже). 99% компании работают на Mac (я знаю ...), и эти Mac подключены к вышеупомянутым маршрутизаторам по беспроводной сети. Сами глобальные сети не связаны между собой каким-либо образом, кроме того факта, что все они в конечном итоге возвращаются к одному коммутатору здания.

Первоначально я думал о том, чтобы перепрограммировать каждый маршрутизатор новой прошивкой, а затем наложить на нее серьезные ограничения, но это не только не очень безопасно для маршрутизаторов, но и утомительно - особенно если мне нужно изменить условие позже. Это потребовало бы, чтобы я снова бегал и разбирался с каждым. Я в основном стремлюсь к тому, чтобы одно устройство могло как ограничивать пропускную способность для некоторых сайтов (т.е. ограничивать Youtube до 100 Кбит / с), так и полностью блокировать другие (facebook), предпочтительно по подсети (например, 192.168.3.x). будет иметь только регулирование полосы пропускания, тогда как 192.168.2.x будет иметь полную блокировку на facebook). Если бы вы могли просто указать на такое устройство, если оно существует, мы заплатим за него до 5000 долларов, вот насколько важно для нас сделать это немедленно и без проблем в течение неопределенного времени.

Обновление 2:

Информация о текущих маршрутизаторах: Прямо сейчас мы используем LinkSys WRT54GL для наших маршрутизаторов. Всего их 5, три на первом этаже и два на втором.

Обновление 3:

Мы находимся в арендованном доме. В здании есть главная стойка, к которой у меня нет доступа, и я должен выследить администратора сети здания. Мы являемся частью университетского городка и на данный момент занимаем 50% здания. Структура такая - на первом этаже есть напольная стойка, к которой подключено наше интернет-соединение. Оттуда мы разветвляем его на VoIP и доступ в Интернет для пользователей следующим образом: на первом этаже выделяется один канал, что составляет всего 3 таких SOHO-маршрутизатора. Стойка первого этажа соединена со стойкой главного здания, которая, в свою очередь, распределяет это соединение между помещениями первого этажа, каждая из которых имеет собственный маршрутизатор. Так что, по сути, у меня нет доступа к основной стойке здания.

Барт предложил заменить эти SOHO. Какая была бы оптимальная установка? Должен ли я получить по одной надежной точке доступа на каждый этаж? Как это обычно делается, какую комбинацию аппаратного и программного обеспечения вы бы посоветовали? Я открыт для всего, даже если потребуется, полностью реструктурирую всю сеть компании. Я хотел бы с самого начала научиться делать это правильно.

Какие роутеры вы используете? Похоже, вы просто используете роутеры типа SOHO? Возможно, вы захотите улучшить маршрутизаторы и коммутаторы со встроенным управлением и мониторингом через SNMP.

Тем не менее, я бы также установил прокси-сервер, который может регистрировать активность и блокировать определенный трафик. Прокси-сервер может помочь в некоторых ваших проблемах со скоростью, блокировка может ограничить другие.

Модернизированные маршрутизаторы также могут управлять формированием и ограничением трафика, а также QoS. Если вам нужно сделать это «дешево», вы можете начать использовать Linux-систему (есть несколько готовых решений) для мониторинга и формирования трафика. Установите, настройте, настройте его как шлюз для маршрутизации любой системы. Недорогое устройство также может выполнять работу по проксированию за вас, и у вас могут быть варианты доступа к VPN.

Некоторое время мы запускали SquidGuard для фильтрации и прокси-трафика. Оказалось, что он также неплохо помогал отслеживать определенные вредоносные программы в сети, когда мы отфильтровывали определенные широковещательные сообщения, которые рассылались по таблицам маршрутизации от конкретного (зараженного) клиента. Это также было отличным вариантом для получения отчетов об активности в Интернете.

Просто убедитесь, что в ваших политиках разрешена любая фильтрация или что-то еще, и что сотрудники осведомлены о мониторинге сети. Иногда это закон, а иногда просто вежливость, когда вашим пользователям напоминают, что они используют ресурсы компании, а не личные.

Вот обновление ситуации через пару месяцев. Большое спасибо @Bart Silverstrim за предложение такого подхода.

Мы создали новую волшебную коробку для Linux, шлюз для ПК под управлением CentOS x64. Эта машина служит маршрутизатором для всей сети. Мы оснастили ее высокопроизводительной сетевой картой Intel и использовали ее для распространения в нашей локальной сети по всей компании. Это позволило нам выполнить следующую настройку:

  1. Теперь у нас есть 4 VLAN, распределенные по 4 SSID, по одному для каждого уровня сети. (Например, у нашего издательского отдела есть свой SSID, у нашего головного офиса - свой и т. Д.)
  2. Мы купили несколько маршрутизаторов WRT54GL и превратили их в мощные точки доступа с помощью прошивки dd-wrt. Таким образом, все 4 VLAN / SSID доступны со 100% сигналом в каждой части компании, и можно проходить по этажам без потери соединения.
  3. Мы установили Radius, чтобы получить ограничение доступа WPA2-ENT, то есть наши пользователи теперь могут входить в систему с комбинацией имени пользователя и пароля, что позволяет нам видеть, кто подключен, где и когда.
  4. Мы установили на шлюзе кучу отличного программного обеспечения, чтобы включить пулы задержки, ограничения и регулирование полосы пропускания. С помощью прокси-сервера Squid у нас также есть очень мощный и очень быстрый кеш, который обрабатывает весь HTTP-трафик.

Теперь, когда компания снова растет, все, что мне нужно сделать, это клонировать конфигурацию точки доступа, настроить IP-адрес устройства и добавить его в группы поиска на шлюзе, и сеть будет расширена. Более того, у меня есть полный обзор сетевой статистики, посещений веб-сайтов, использования полосы пропускания, классификации пакетов и многого другого.

Все это обошлось нам в неделю планирования и около 5000 евро.

Шлюз Linux в комплекте с iptables и модулем ядра netem сделает все за вас. Однако потребуется довольно много работы по настройке, так что по сути вы будете обменивать деньги на время. Кроме того, для этого потребуется кто-то с приличными навыками работы с Linux, что определенно не для новичков.

Было бы полезно немного дополнительной информации, например, есть ли несколько мест? Они подключены к VPN? Палочка? Если каждое место имеет отдельный публичный доступ, то на самом деле нет никакого способа сделать что-либо, что не требует посещения каждого сайта.

Но, если у вас есть несколько дополнительных модулей Windows Server (ящик с Linux также будет работать, если вы этого хотите), вы всегда можете настроить RAS в качестве шлюза и таким образом выполнить некоторое регулирование. Я думаю, это даже играет роль в групповой политике. Что касается фильтрации контента, вы всегда можете использовать прокси-сервер (настроенный через маршрутизатор или отдельные машины), который настроен для блокировки нежелательных / не связанных с работой сайтов. Есть бесплатные и платные сайты, но обычно вы получаете то, за что платите. Сообщите нам немного больше о вашей настройке. ;)

Мы оценивали устройство PacketLogic от Procera Networks, и все идет очень хорошо.

С такой расширяющейся компанией, как ваша, правильная система прокси / фильтрации контента - лучшее долгосрочное решение. Капитальные затраты могут показаться высокими, но стоимость владения для хорошего решения очень низкая, у ИТ-команды есть дела поважнее, чем чтение журналов и работа интернет-полиции.

Я большой поклонник Синее пальто прокси-серверы, они включают в себя необходимые вам услуги и многое другое. У вас могут быть ограничения пропускной способности в зависимости от класса контента, например, мы ограничиваем веб-сайты потокового онлайн-видео до 2 Мбит / с, чтобы избежать конфликтов во время спортивных мероприятий. Другой пример - блокировка всех веб-сайтов социальных сетей, прокси-устройство bluecoat загружает определения категорий веб-сайтов в ночное время, чтобы иметь актуальные правила, день, ежедневное обслуживание, требуемое ИТ-командой, минимально.