Начальная настройка Traffic Inspector — Документация Traffic Inspector 3.0
Оповещения Traffic Inspector
Откройте Консоль администратора и пройдите в раздел [Корень консоли\Traffic Inspector []\События\Оповещения].
Обратите внимание на три предупреждения:
- Любому пользователю Windows разрешен доступ в качестве администратора
Имеется предустановленная группа Администраторы. По умолчанию в ней разрешено автодобавление для любой группы Windows, т.е. любой пользователь, успешно прошедший Windows-аутентификацию, будет автоматически добавлен как администратор.
- Не настроено резервное копирование
Для возможного предотвращения потерь данных в случае аварийного завершения работы программы или обесточивания компьютера рекомендуется настроить задачу резервного копирования.
- Не настроена очистка данных
Для предотвращения бесконтрольного увеличения размера файлов баз данных и ухудшения быстродействия работы программы рекомендуется настроить задачу очистки данных.
Настройка резервного копирования данных Traffic Inspector
В случае если конфигурационные файлы программы окажутся поврежденными из-за проблем с жестким диском, перебоями в электроснабжении, действии вирусов, важно иметь запасную копию данных программы.
Мы продемонстрируем, как производить резервное копирование в сетевую папку.
Для настройки резервного копирования, проделайте следующие действия:
- Создайте задачу для автоматического монтирования сетевой папки
Пройдите в [Корень консоли\Traffic Inspector []\Настройки\Обслуживание БД\Фрейм Обслуживание БД\Вкладка Действия\Ссылка Резервное копирование] и кликните Добавить задачу.
- Определите настройки задачи
На вкладке Задача, настройте тип задачи Запуск внешней программы.
На вкладке Настройка запуска, кликните на кнопку Расписание. Настройте автоматический запуск задачи.
На вкладке Запуск задачи, укажите настройки подобно тем, что указаны на скриншоте.
Пояснение:
use W: \\192.168.137.2\share3 /user:DOM\Administrator 123
| W: | буква сетевого диска |
| \192.168.137.2\share3 | путь до сетевой папки |
| /user:DOM\Administrator | логин учетной записи, с правами которой будет мнтироваться сетевая папка |
| 123 | пароль учетной записи, с правами которой будет мнтироваться сетевая папка |
- Перезапустите службу Traffic Inspector.
Примечание
Настройка сохранения резервной копии в локальную папку не требует осуществления шагов 1 — 3.
- Пройдите в [Корень консоли\Traffic Inspector []\Настройки\Обслуживание БД\Фрейм Обслуживание БД\Вкладка Действия\Ссылка Резервное копирование]
- На вкладке Резервное копирование установите флаг Резервное копирование.
- Кликните на кнопку Настроить расписание для настройки расписания.
Операции обслуживания лучше назначать на часы, когда нагрузка на Traffic Inspector наименьшая. Мы запланируем ежедневное копирование, проводимое в 1:00.
- На вкладке Настройки копирования задайте настройки в соответствии со скриншотом.
- Проведите резервное копирование
В разделе [Корень консоли\Traffic Inspector []\Настройки\Обслуживание БД\Фрейм Задачи обслуживания БД\] кликните по ссылке Запустить немедленно напротив задачи Резервное копирование.
Настройка очистки данных
Для настройки очистки данных, проделайте следующие действия:
- Пройдите в [Корень консоли\Traffic Inspector []\Настройки\Обслуживание БД\Фрейм Обслуживание БД\Вкладка Действия\Ссылка Очистка данных]
- На вкладке Очистка данных установите флаг Разрешить очистку встроенной базы данных.
- Кликните на кнопку Настроить расписание для настройки расписания.
Лучше не совмешать во времени несколько разных типов операций обслуживания. Поскольку мы запланировали резервное копирование на 1:00 каждых суток, то операцию очистки базы данных назначим на другое время, например, на 2:00 каждых суток.
- На вкладке Настройки задайте настройки возраста данных, сохраняемых в базе.
По умолчанию, из базы удаляются данные старше 30 дней. Для отдельных журналов, можно настроить собственные настройки возраста данных.
- Очистка базы данных
Поскольку, Вы только начинаете работать с Traffic Inspector, то программа еще не успела накопить избыточное количество данных во встроенной базе. Если возникнет необходимость провести очистку вручную, то это можно сделать следующим образом. В разделе [Корень консоли\Traffic Inspector []\Настройки\Обслуживание БД\Фрейм Задачи обслуживания БД\] кликните по ссылке Запустить немедленно напротив задачи Очистка данных.
Работа с мастером настройки (Конфигуратор)
- Запустите Конфигуратор Traffic Inspector
Пройдите в раздел [Корень консоли\Traffic Inspector []\Настройки]. Во фрейме Настройки Traffic Inspector, на вкладка Действия, кликните Мастер расширенной настройки Traffic Inspector.
- На вкладке Вариант применения выберите вариант Сервер — сетевой шлюз.
Примечание
Вариант Сервер — сетевой шлюз — классический вариант использования Traffic Inspector, в котором доступны все функциональные возможности программы. Режим прослушки называется так, потому что переводит сетевую карту в неразборчивый (promiscuous) режим, в котором она способна принять даже трафик, который ей не предназначается. Режим прослушки часто используют совместно с управляемыми коммутаторами, способными «отзеркаливать» трафик на Traffic Inspector. Также, Режим прослушки используется, когда от Traffic Inspector требуется только выполнять функции веб-прокси сервера.
- На вкладке Службы маршрутизации выберите вариант Используется NAT от службы Routing and Remote Access Server (RRAS), если используется серверная операционная система, или вариант Используется NAT от службы Internet Connection Sharing (ICS), если используется десктопная операционная система.
- На вкладке Windows Firewall выберите вариант Отключить.
- На вкладке Готово нажмите кнопку Продолжить.
- На вкладке Опции конфигурации выберите необходимые функциональные возможности. По умолчанию задействованы только две возможности — Включить внешний сетевой экран и Используется RAS-сервер.
Примечание
Traffic Inspector классифицирует сетевые интерфейсы на внешние и локальные. По умолчанию, сетевой экран Traffic Inspector задействуется только для интерфейса, используемого как «внешний». Настройка Используется RAS-сервер позволит Traffic Inspector работать с Dial-In интерфейсами (чаще всего, это интерфейсы для взаимодействия с VPN-клиентами).
- На вкладке Службы назначьте порты, используемые службами.
- На вкладке Внутренние интерфейсы выберите интерфейсы, подключенные к вашей домашней / офисной сети.
- На вкладке Внешние интерфейсы выберите интерфейсы, подключенные к Интернету.
- На вкладке Внешний сетевой экран, интерфейсы, для которых будет включен внешний сетевой экран.
- На вкладке Настройка NAT выберите интерфейсы, для которых будет включен режим NAT.
Примечание
Флаг Конфигурировать интерфейс RAS-сервера включает частный (приватный) режим NAT для Dial-In интерфейсов. Использовать эту опцию нужно, если вы собираетесь «раздавать Интернет» на подключающихся VPN-клиентов.
- На вкладке Использование DNS выберете Нормальный режим использования DNS.
- На вкладке Применение настроек нажмите Далее, затем Готово.
Базовая конфигурация Traffic Inspector завершена!
Как настроить поток трафика на сайт. Часть 3
15.08.2014 //
Добро пожаловать на блог Бизнес-онлайн. Давайте продолжим тему по увеличению трафика на сайт. Словом, хочу с вами поделиться ещё несколькими способами, которые действительно работают. Эта 3-я часть — как настроить трафик с помощью контент-стратегии. Данная статья пригодится блогерам-новичкам, у которых поисковый трафик практически отсутствует. Ведь источники трафика, как правило, это ПС, социальные сети, ссылочный трафик, целевой — ваши постоянные читатели и платный — рекламный трафик.
Настраиваем трафик на блог [Часть 3]
Оглавление:
- Начните регулярно обновлять свой блог.
- Настройка древовидных комментариев.
- Разные стили подачи новой информации.
- Анонсы статьи в социальные сети и сервисы анонсов для блогеров.
- Пост интервью.
Совет № 1. Начните наконец-то вести свой блог
Старайтесь публиковать регулярно, а точнее 3-4 раза в неделю, хотя бы в первые шесть месяцев, этим вы приучите читателя и поисковых роботов регулярно следить за обновлениями блога. Желательно составить себе график и придерживаться его.
Оформляйте статьи правильно. Убедитесь, что вы выбрали правильный шрифт: без засечек и доступный во всех браузерах. Например, популярные: Arial, Verdana, Georgia.
Обратите внимание:
- Размер шрифта – минимум 14 px, максимум 20 px, цвет — чёрный или тёмно-серый.
- Фон сообщения — светлый.
- Текстовые блоки — короткие, максимум 2-3 предложения.
- Маркированные списки, таблицы, оглавление статьи — обеспечат вам, несомненно, преимущество перед конкурентами.
- Уникальность проверяйте на [http://advego.ru/] или [http://text.ru]
Поверьте, на блогах, где текст написан без форматирования реально трудно дышать и читать.
Заголовок — главная мысль статьи, который размещается сразу после тега head. Проверьте — это очень важно. Так как на некоторых шаблонах заголовок заключён в теги <h3>заголовок</h3> Желательно это исправить. Открываем файл single.php и меняем h3 на h2
Подзаголовки h3; h4-h6 — находятся в теле статьи. Замечательно работают, как в плане SEO-продвижения, потому что содержат ключевые слова, также полезны посетителям. Согласитесь многие читают только выделенные подзаголовки и заголовок. Дополнительная информация по этому вопросу здесь
Изображения, цитаты, вставки.
Вставки содержат наиболее важные факты, сведения, цитаты для вашей статьи. Они в комплексе с изображениями визуально улучшают и насыщают ваш текст, при этом обеспечивают небольшую передышку от чтения. Устают читатели, дайте им отдохнуть. Что касается изображений вот подсказки:
1. Где взять изображение для блога
2. Как сделать картинку уникальной
Наличие качественных изображений на странице уменьшают количество отказов и прекрасно добавляют ваш пост.
Совет № 2. Уделите внимание настройке древовидных комментарий
Смотрите сколько замечаний я сразу получила, как только исчезла кнопка «Ответить». Посетитель Василий не может ответить, а значит, подключиться к разговору с Екатериной. Иначе говоря — это огромный минус блогу и блогеру.
Плюс комментарий в том, что они индексируются поисковыми системами, улучшают релевантность текста, появляется больше Запросов=> Трафик.
Как проверить индексацию комментариев. Переходим в расширенный поиск Яндекса. В графу «Я ищу» вставляем текст предварительно скопированного комментария, в графу «На сайте» — URL страницы. Жмём «Поиск». Смотрим результат, если комментарии не индексируются ответ будет такой: «По вашему запросу ничего не нашлось».
Совет № 3. Практикуйте разные стили подачи информации
Экспериментируйте. Дайте вторую жизнь своим самым лучшим статьям, объединив их в одну. Примерно, так, но не идеал.
Блог, как современный инструмент для ведения бизнеса.
Как придумать красивое название домена.
Что такое личный бренд и почему он так важен в Интернет-бизнесе
Каких ошибок нужно избегать, чтобы не потратить свое время впустую. Пособие для начинающих мастеров.
Как реализовать себя и раскрыть свои таланты.
Совет № 4. Пост-ответ
Проанализируйте сайты и блоги в вашей нише, выберите спорный пост и напишите свою точку зрения на данный материал. Это хороший шаг для привлечения аудитории. Например. Было много вопросов, а значит, и ответов ведущих специалистов (например, Алексея Штарёва и Николая Давыдова) по теме: «Изменение в алгоритмах ссылочного ранжирования Яндекса».
Итак, есть идея=> пост=> Трафик.
Совет № 5. Делайте регулярные анонсы своих постов в социальные сети и сервисы анонсов для блогеров
Различные социальные сети дают вам возможность знакомить людей с вашим бизнесом (сайтом). Надо признать, что на это потребуется время, прежде чем вас заметят. Нельзя терять уверенность, поэтому регулярно делайте развёрнутые, смелые анонсы, с картинками и вашей ссылкой на сайт. Да, отнимает много времени. Да, возможно не всегда целевой трафик. Но, это лучше на первом этапе, чем ничего.
Совет № 6 Опубликуйте статью с подборкой 50 или нет 100 бесплатных, полезных ресурсов для блогера или пользователей сети
Серьёзно, такие посты охотно расшаривают и добавляют в закладки. Трафик вам обеспечен, если тематические сервисы будут правильно группированы вокруг определённой темы. К примеру, где сделать гиф онлайн.
Совет № 7 Пост-интервью
Разместите готовое интервью у себя на блоге. Как? Выберите денёк :), найдите интересного блогера в вашей теме, отправьте письмо-приглашение (обязательно представьтесь, озвучьте свою просьбу), придумайте вопросы. Это несложно. Главное, задавайте вопросы, которые интересуют именно вас, что вам непонятно, чтобы вы спросили у него при личной встрече. Дальше всё просто. Получайте ответы и размещайте у себя на блоге. Во-первых, это взаимопиар, во-вторых, открытая ссылка, интересный контент и посетители. Не забудьте поделиться своим интервью в социальных сетях.
Совет № 8. Преобладание количества над качеством
Ваши читатели не хотят читать большое количество постов, они требуют качество, чтобы легко решать свои проблемы. Остаётся, главное, публиковать полезный контент.
Заключение. Блог сегодня может сделать каждый, независимо от социального статуса, образования или опыта. А вот продвижение блога зависит от той работы, тех усилий, которые вы готовы предпринять. Желаю удачи в развитии и продвижении ваших блогов. С уважением, Ольга.
Читайте по этой теме:
Оставьте лайк на удачу.
контролируем сетевую активность через VPN / Блог компании Smart-Soft / Хабр
Введение
Как известно, технология VPN служит для организации прямого безопасного соединения между клиентами (конечным пользователем и корпоративным офисом) или двумя локальными сетями через общедоступный интернет-канал. С помощью VPN удаленные пользователи могут обращаться к серверам предприятия и связываться с различными офисами своей компании.
Для VPN не нужны выделенные линии, поэтому пользоваться ею может каждый, кто располагает доступом к Интернету. Как только соединение установлено, сотрудник может работать со всеми сетевыми ресурсами, как если бы он находился в офисе. Но, пожалуй, важнейшее преимущество этой технологии заключается в том, что, несмотря на общедоступную инфраструктуру, прямое соединение VPN (так называемый VPN-туннель) защищено столь надежно, что украсть данные или получить несанкционированный доступ к географически распределенной сети практически невозможно.
В этой статье мы рассмотрим, как с помощью Traffic Inspector контролировать совместную работу по VPN в корпоративной сети и отслеживать сетевую активность.
Конфигурация
Пусть в нашей компании есть головной офис в Москве и филиал в Санкт-Петербурге. Допустим, нам нужно объединить питерский офис с московским в единую корпоративную сеть посредством VPN, а также организовать доступ в Интернет через московский офис и контролировать сетевую активность в обоих офисах. Предположим также, что VPN создается программно и что каждая клиентская машина подключается по отдельности.
Общий принцип
В самом общем виде алгоритм настройки будет следующим:
- Создать и настроить VPN-сервер в головном офисе.
- Создать и настроить VPN-подключения к головному офису со стороны филиала.
- Проверить работу по VPN.
- Установить и активировать Traffic Inspector на шлюзе в головном офисе.
- Создать в Traffic Inspector разрешения во внешнем сетевом экране для VPN.
- Добавить в Traffic Inspector пользователей из филиала.
- Назначить правила отдельным пользователям и их группам (например, запретить доступ на определенные ресурсы, настроить учет и тарификацию дневного трафика и т. д.).
- Проверить работу правил и корректность настроек.
Настройка VPN-сервера
Итак, теперь мы знаем общий порядок настройки и можем переходить к описанию конкретных действий. Для примера мы взяли систему Windows Server 2012, но все то же самое применимо и для более ранних версий (Windows 2003 и 2008).
В службе Маршрутизация и удаленный доступ щелкните правой кнопкой мыши свой сервер и выберите пункт Настроить и включить маршрутизацию и удаленный доступ.
- В открывшемся мастере установки сервера маршрутизации и удаленного доступа нажмите Далее и выберите вариант Особая конфигурация.
- В следующем окне выберите Доступ к виртуальной частной сети (VPN), Преобразование сетевых адресов (NAT), Маршрутизация локальной сети и нажмите Далее.
- В последнем окне мастера нажмите кнопку Готово и запустите службу.
- Теперь зайдите в свойства сервера:
и на вкладке Общие задайте следующие параметры:
Перейдите на вкладку IPv4 и выберите статический пул адресов: 4
Нажмите кнопку Добавить и назначьте пул адресов (в данном случае выбрана подсеть 192.168.200.1—192.168.200.10, состоящая из 10 адресов, причем сервер получает адрес 192.168.200.1):
Перейдите на вкладку Ведение журнала и установите флажок в поле Вести журнал ошибок и предупреждений.
Щелкните правой кнопкой мыши Порты и выберите пункт Свойства:
Для стабильной работы сервера рекомендуется удалить ненужные порты (SSTP, PPOE, L2TP, IKEv2) и создать необходимое количество портов PPTP (в нашем случае нужно 10 таких портов):
Перейдите к элементу Преобразование сетевых адресов (NAT) и добавьте новый интерфейс:
Выберите подключение к Интернету и установите флажки в полях общий интерфейс подключен к интернету и Включить NAT на данном интерфейсе.
Затем пометьте интерфейс локальной сети как «Частный интерфейс подключен к частной сети», а внутренний интерфейс — как Частный интерфейс подключен к частной сети. Получится примерно следующее:
На этом настройка VPN-сервера в головном офисе завершена, и можно переходить к настройке VPN-клиентов в филиале.
Настройка VPN-клиентов
На серверной стороне запустите управление компьютером:
и в разделе Локальные пользователи и группы — Пользователи добавьте нового пользователя и укажите его учетные данные:
Перейдите в свойства пользователя на вкладку Входящие звонки и укажите настройки, как показано на рисунке (пользователю можно также назначить статический IP):
Теперь на стороне клиента создайте VPN-подключение средствами операционной системы (в качестве примера возьмем ОС Windows 8). Для этого в Центре управления сетями и общим доступом выберите вариант Настройка нового подключения или сети и в открывшемся мастере настройки выберите Подключение к рабочему месту:
Выберите Использовать мое подключение к Интернету (VPN) и нажмите Далее:
Затем введите URL или IP-адрес VPN-сервера, укажите название его местоположения и нажмите кнопку Создать:
Настройка Traffic Inspector на VPN-сервере
После настройки VPN-сервера и клиентов можно переходить к установке и конфигурированию самого Traffic Inspector’а. Обратите внимание, что Traffic Inspector устанавливается только на этом этапе, поэтому работоспособность VPN необходимо проверить заранее стандартными средствами Windows (ping, netstat, tracert и т. д.).
В конфигураторе Traffic Inspector в настройках служб установите флажок Используется RAS сервер:
В разделе Правила внешнего сетевого экрана в Traffic Inspector создайте два правила — в одном правиле разрешите подключение по TCP на порт 1723 для внешних клиентов, а во втором правиле разрешите подключения по протоколу GRE (вариант Заданный тип IP, номер 47):
Остальные параметры можно не изменять и оставить значения по умолчанию.
Добавьте в программу нового клиента и укажите способ подключения Подключение через RAS сервер Windows:
Остальные настройки аналогичны настройкам клиентов программы. В данном случае использована авторизация по IP:
При необходимости можно настроить автоматическое отключение клиента в случае превышения допустимого баланса или же запретить доступ к серверу в определенные дни:
В Traffic Inspector предусмотрены 4 уровня фильтрации трафика для пользователей — баннеры, мультимедиа, графика и только текст. Чтобы выбрать один из них, поставьте флажок в поле Установить индивидуальный минимальный уровень фильтрации для пользователя:
Кроме того, пользователю можно выделить определенную квоту трафика (например, 100 МБ):
После окончания настройки в главном окне Traffic Inspector появится новая сеть RAS server (dial in):
Заключение
Организация VPN-туннеля может обеспечить высокую скорость и безопасность подключения в корпоративной сети, гарантированную полосу пропускания, а также экономию средств на сетевой инфраструктуре. Вместе с тем, проблема сетевой безопасности остается актуальной и для VPN. Traffic Inspector восполняет этот пробел, позволяя оперативно контролировать работу пользователей в Интернете и подключения к корпоративному серверу, в том числе задавать квоты на трафик, ограничивать доступ к определенным ресурсам, настраивать различные уровни фильтрации для пользователей и многое другое. При этом от системного администратора не требуется каких-либо специальных знаний — вся настройка выполняется в Консоли управления Windows (MMC) с помощью удобных пошаговых мастеров.
Как привлечь трафик на сайт?
Главной целью и, одновременно, показателем эффективности продвижения сайта является количество привлеченных посетителей, или трафик сайта. От посещаемости площадки зависит уровень её монетизации. Только популярные сайты с высокими показателями посещаемости приносят своим владельцам достаточные большие доходы. Остальные площадки, чтобы добиться такого коммерческого успеха, должны подвергаться оптимизационным мероприятиям, направленным на привлечение трафика.
Как привлечь трафик на сайт?
Внутренняя оптимизация
Одним из наиболее распространённых способов привлечь трафик на сайт является поисковая оптимизация. Под оптимизацией следует понимать комплекс мер, направленных на повышение позиций сайта в рейтинге выдачи популярных поисковых систем. Чтобы добиться этой цели, необходимо осуществлять одновременное воздействие на факторы, понижающие позиции сайта, которые действуют изнутри и снаружи. В зависимости от этого специалисты выделяют методы внутренней и внешней оптимизации. Эффективно привлечь трафик на сайт помогает анализ юзабилити сайта и его контента. Не секрет, что привлечь большое количество пользователей могут только удобные в использовании площадки. Поэтому неотъемлемой частью программы привлечения трафика является осуществление мер, направленных на повышение юзабилити сайта. В рамках таких мероприятий необходимо работать над упрощением структуры, интерфейса и навигации площадки. Второй составляющей внутренней оптимизации является анализ контента, в рамках чего необходимо проверить все тексты на уникальность и плотность ключевых выражений. Не допускается использование на площадке дублированных текстов, которые могут попасть под фильтры поисковых роботов и потянуть за собой остальные разделы сайта.
Внешняя оптимизация
Чтобы привлечь трафик на сайт не достаточно совершенствовать только саму площадку, нужно ещё нивелировать влияние внешних факторов, негативно влияющих на позиции сайта. С этой целью производится так называемая внешняя оптимизация. Для того чтобы повысить позиции сайта в рейтинге выдачи популярных поисковых систем, необходимо вплотную заняться ссылочным продвижением, сущность которого заключается в размещении ссылок, ведущих на продвигаемый ресурс, на сторонних сайтах. При этом ссылки желательно размещать не только в «голом» виде, но и вписанными в тексты – так называемые сео-статьи. Текстовая часть ссылок должна совпадать с популярными пользовательскими запросами – так эффективность продвижения будет в разы выше. Огромное значение имеет не только вид самой ссылки, но и правильный выбор площадки, на которой она будет размещена. Специалисты рекомендуют отдавать предпочтение авторитетным сайтам с хорошими показателями посещаемости, которые имеют тематику, аналогичную или схожую с тематикой продвигаемого ресурса. Желательно также выбирать доноров из числа сайтов из того же региона, что и продвигаемый – это позволит не только повысить позиции сайта в региональной выдаче, но и привлечь релевантный трафик. А ведь именно целевая аудитория обеспечивать большую часть доходов, которые приносит площадка.
Заворачиваем весь трафик локальной сети в vpn без ограничения скорости / Блог компании Postuf / Хабр
В прошлой статье мы разбирали, как анонимизировать весь Интернет-трафик одного хоста. Теперь давайте повысим уровень безопасности, обернув всю локальную сеть VPN-ом. При этом мы избавимся от опасности выйти в интернет с еще не настроенного девайса и ассоциировать адрес своего провайдера с этим устройством.
Для этой цели можно просто настроить VPN-клиент на шлюзе, если это позволяет роутер. Но такое решение черевато последствиями в виде уменьшения скорости работы Интернета, повышенной нагрузки на роутер, к тому же некоторые клиенты отправляют весь трафик через основное соединение сразу же в случае отключения от VPN. Не стоит забывать, что даже ведущие VPN-провайдеры не могут обеспечить 100% аптайм своих серверов.
Итак, каковы наши цели:
- пропускать через VPN весь без исключения исходящий трафик
- делать это с максимально возможной скоростью
- не зависеть от временных неполадок VPN-провайдера
- максимум анонимности в Интернете
Нам нужен мощный роутер, способный шифровать трафик на высокой скорости. Он будет выступать в роли VPN-шлюза. Мы нашли замечательные мини-ПК на AliExpress, которые подошли под эту задачу: четырехъядерный Intel Celeron, нативная поддержка AES-CBC, AES-XTS, AES-GCM, AES-ICM и аж четыре RJ-45 порта. И по умолчанию на них была установлена pfSense. С ней и будем работать.
Если ваш Интернет-провайдер требует особой настройки соединения, вы можете взять еще два роутера и разделить доступ к интернету и локальную сеть, а между ними поставить VPN-шлюз. В другом случае, можете напрямую подключить провод провайдера к VPN-шлюзу, а за ним разместить ваш домашний роутер с локальной сетью. Первоначальная настройка Интернет-соединения на pfSense выходит за рамки этой статьи.
Статья предполагает, что интернет подключен к первому порту, ваш ПК или домашняя сеть — ко второму, и что до настройки VPN вы смогли выйти в интернет.
Во избежание дальнейших проблем давайте авторизуемся у любимого VPN-провайдера и найдем инструкцию по настройке pfSense. Если ваш провайдер не предоставляет инструкцию по ручной настройке в pfSense, можно воспользоваться вот этой от моего любимого провайдера: www.expressvpn.com/support/vpn-setup/pfsense-with-expressvpn-openvpn — основная суть не изменится. Приведенная статья с картинками расписывает, как полностью настроить только что купленный роутер с pfSense.
Вот краткий чеклист настройки нового VPN-а:
- System — Cert. Manager — CAs. Добавляем сертификат VPN CA
- System — Cert. Manager — Certificates. Добавляем сертификат VPN сервера
- VPN — OpenVPN — Clients. Создаем нового клиента по инструкции от VPN-провайдера
- Interfaces — Assignment. Добавляем клиентов как интерфейсы
- System — Routing. Проверяем что появился шлюз.
- Firewall — NAT. Добавляем правила NAT для каждого клиента
- Firewall — Rules — LAN. Добавляем перенаправление всего трафика из сети через Gateway
- System — Routing. Для активного VPN-a в настройках шлюза указываем Monitor IP, пингом до которого будет проверяться работоспособность VPN-а
Перезагрузка VPN-ов осуществляется в Status — OpenVPN. Просмотр логов в Status — Package Logs — OpenVPN.
На этом этапе останавливаемся и проверяем, что доступ в интернет через VPN есть, и что при отключении от VPN доступ пропадает вовсе. Если интернета нет — где-то ошиблись, смотрим логи VPN, проверяем настройки заново. Если после отключения VPN трафик начинает идти через основной шлюз, значит накосячили в Firewall — Rules — LAN.
Теперь интересная часть. Если ваш провайдер выдает 20 Мбит в секунду, и то ночью — то на этом этапе вы уже получили локальную сеть, полностью закрытую VPN-ом, который работает с максимально возможной скоростью. Но что, если у вас канал пошире?
Настраиваем еще пару-тройку VPN клиентов для разных серверов по инструкции выше. Добавлять сертификаты CA и сервера не нужно, выбираем уже добавленные. Также не выполняем шаг с Firewall — Rules — LAN, его мы сделаем позже. Необходимое количество клиентов устанавливается эмпирическим путем по результатам замеров скорости через каждый отдельный сервер.
После того как завершили, у нас должна быть следующая картина:
— В VPN — OpenVPN — Clients созданы и активированы клиенты
— В Interfaces — Assignment созданы и активированы интерфейсы для каждого клиента
— В Status — OpenVPN все клиенты находятся в состоянии «up»
— В System — Routing появились шлюзы, и для них указаны пингуемые IP-адреса.
(Если не можете придумать, кого попинговать — откройте shodan.io и найдите все IP google)
Теперь зайдем в System — Routing — Gateway Groups. Нажмите Add. Укажите запоминающееся имя в Group Name.
Теперь обратите внимание на таблицу Gateway Priority. Группы шлюзов работают следующим образом: failover по уровням, балансировка внутри уровня. Столбец Tier указывает, в каком уровне будет использоваться данный шлюз. Простейший вариант — указываем все активные VPN-шлюзы в первом уровне. Вариант для медленного интернета — создаем двух клиентов и размещаем их на первом и втором уровне, но в этом случае будет только отказоустойчивость.
Ниже найдите Trigger Level. Это условие, при котором произойдет временное исключение шлюза из группы. Варианты кроме Member Down позволяют перестать отправлять пакеты шлюзу чуть раньше, чем он упадет полностью — по превышению порога потери пакетов и/или по высокому пингу. Пороги потерь и пинга задаются для каждого шлюза индивидуально в System — Routing — Gateway.
Как только выбрали удобный вариант расстановки шлюзов по уровням, нажмите Save.
Пришло время направить трафик в новую группу шлюзов. Идем в Firewall — Rules — LAN, открываем созданное ранее правило перенаправления, спускаемся до списка со шлюзами и видим в этом списке созданную нами группу. Выбираем её, сохраняем правило и применяем изменения. Всё, теперь каждое новое соединение будет идти через новый VPN-клиент в группе.
Время тестирования: открываем api.ipify.me, отключаем кэш и keep-alive, и перезагружаем страницу. Если вы единственный пользователь в сети, на каждое обновление страницы вы должны видеть новый IP адрес, отличающийся от вашего домашнего. Если вы видите один и тот же адрес, полностью обновите страницу при помощи Ctrl+F5 (Command+Shift+R на маках), или откройте новую приватную вкладку. Если не помогло — значит где-то ошиблись в настройках группы, или не сменили шлюз в правилах фаерволла.
Теперь о плохом. К сожалению, у данного решения есть небольшой трудноуловимый баг, если использовать его перед роутером локальной сети (а не коммутатором). Рано или поздно у вас отваливается один из VPN-клиентов, срабатывает исключение его из группы, и всё хорошо до того момента, пока VPN не поднимется обратно. Так как все пользователи находятся за NAT, а VPN-роутер видит только один IP-адрес и 65 тысяч портов, со временем он ассоциирует все порты с теми VPN-клиентами, которые никогда не падали. Соответственно, как только VPN-клиент поднимается, через него не идет никакой трафик. Клиент полностью жив, через него идут пинги и некоторое стабильное количество служебного трафика, но через него не идет трафик клиентов. По идее это решалось бы сбросом таблицы соединений, и для этого даже есть галочка в настройках pfSense, но в моих исследованиях эта галочка напрочь блокировала всякий доступ к роутеру, так как клиенты начинали валиться циклично, при этом роняя только-только установленные соединения с веб-интерфейсом, что сильно затрудняло исправление проблемы. Без этой галочки при наличии более двух VPN-ов они уравновешивали себя, так что доступ хотя бы через один всегда был. В конце концов я настроил в мониторинге условие «если пять минут на интерфейсе было меньше 1000 байт трафика в секунду, сообщить мне», и в особо запущенных случаях перезагружаю зомби-VPN-клиента вручную с целью сбросить таблицу соединений.
Итак, мы получили сеть, полностью пропускаемую через несколько распределенных VPN-ов. За счет сочетания нескольких разных VPN-серверов мы не зависим от доступности каждого из них в отдельности, а скорость сети ограничена только вашим каналом за вычетом шифрования. Если вдруг вам не хватит одного роутера — их тоже можно масштабировать, но это тема для отдельной статьи.
Что такое Traffic Inspector и с чем его едят / Блог компании Smart-Soft / Хабр
Система Traffic Inspector уже давно завоевала популярность среди системных администраторов благодаря своей гибкости, модульной архитектуре, простоте администрирования и мощным функциям для контроля сетевой активности. Такие возможности Traffic Inspector, как защита сети, контроль интернет-трафика, статистика доступа, работа с VPN, NAT, прокси-сервером и Active Directory, блокировка сайтов и фильтрация контента, интеллектуальная маршрутизация и динамическая балансировка нагрузки, сделали это решение ключевым элементом сетевой безопасности во многих организациях малого, среднего и крупного бизнеса.
Однако, как показывает практика, даже профессиональные сисадмины, которые не первый год работают в Traffic Inspector, знают далеко не обо всех возможностях нашего продукта. Поэтому в этой статье мы хотели бы привести полный перечень возможностей системы и кратко прокомментировать наиболее интересные из них. Надеемся, что здесь найдут для себя что-то новое все читатели — и новички, которые еще только присматриваются к Traffic Inspector’у, и опытные сетевые инженеры, которые активно используют Traffic Inspector для управления ИТ-инфраструктурой компании.
Внутренние и внешние сети
• Внутренние сети в Traffic Inspector разделяются на локальные (например, внутриофисная сеть) или публичные (например, внутридомовая сеть), причем для каждой сети можно настроить уникальную политику доступа. Перехват трафика пользователей через другие сервера внутренней сети может осуществляться в специальном режиме сниффера («прослушки»), о котором мы расскажем в следующих статьях. Что касается внешних сетей, то сервер Traffic Inspector способен работать сразу с несколькими внешними интерфейсами (т.е. можно создать несколько одновременных подключений к Интернету), а также корректно разделяет входящий и исходящий трафик на этих интерфейсах (например, при спутниковом подключении). Если внешние интерфейсы являются динамическими, Traffic Inspector автоматически выберет для них оптимальный режим.
• Сервер Traffic Inspector может работать с несколькими внутренними интерфейсами в локальной сети со сколь угодно сложной топологией. В частности, сервер поддерживает работу с 802.3 (Ethernet), 802.11 (Radio Ethernet), WAN PPP и WAN VPN (PPTP, L2TP).
• Имеется поддержка NAT и RAS-сервера, причем для NAT поддерживаются соединения RAS (Dial-out), VPN (PPTP, L2TP) и PPPoE, а для RAS можно использовать модемные и VPN-подключения (PPTP, L2TP).
• Среди дополнительных функций стоит отметить возможность работы клиентов на терминальном сервере и встроенную поддержку протокола IEEE 802.1Q (Tag based VLAN), который служит для передачи информации о принадлежности трафика к определенной виртуальной сети.
Авторизация пользователей
• Авторизация пользователей в Traffic Inspector может осуществляться по IP-адресу и/или MAC-адресу, по диапазону IP-адресов, по имени и паролю (в том числе с разных доменов), по адресам электронной почты (используется в SMTP-шлюзе) или через API (для сторонних приложений). В качестве дополнительно параметра авторизации можно также использовать идентификатор виртуальной сети. Всего поддерживается 8192 пользователей и 256 групп.
• Если пользователь еще не авторизован (например, вошел в сеть впервые), система может автоматически перенаправить его на специальную информационную страницу встроенного веб-сервера. Это особенно удобно для сетей Wi-Fi, а также при подключении новых клиентов во внутридомовых сетях.
• Traffic Inspector автоматически отслеживает нарушения правил авторизации. Обнаружив нарушение, система делает запись о нем в сетевой статистике и журнале, а затем оповещает об инциденте администраторов по электронной почте.
Ограничение работы пользователей
• Продолжительность работы пользователей и доступность определенных сетевых ресурсов можно регламентировать несколькими способами: по дате, по расписанию (для всех сразу или для определенных пользователей или их групп), по уровню доступа (с помощью групповых и общих фильтров на запрет или разрешение, которые применяются на сетевом уровне для любого трафика или на прикладном уровне для программ, работающих через прокси-сервер), по IP- и/или MAC-адресам клиента, по доступу к службам (NAT, роутинг, прокси-сервер, SOCKS-сервер), а также по количеству TCP-сеансов (как для трафика через SOCKS, так и для прямого трафика)
• Подсистема Virus Flood Protect для защиты сети и сервера от перегрузки. Эта подсистема анализирует входящий и исходящий трафик пользователя и блокирует доступ при переполнении сетевой статистики или при подозрении на вирус.
• Имеется возможность отключения порта управляемого оборудования по SNMP-протоколу с помощью скриптов в случае изменения состояния клиента.
Тарификация
• Traffic Inspector поддерживает различные варианты учета трафика: по входящему объему, исходящему объему, сумме входящего и исходящего объемов или по максимальному объему между входящим и исходящим.
• В Traffic Inspector можно тарифицировать время работы клиентов и при необходимости задавать объем предоплаченного (бесплатного) трафика. Абонентская плата может начисляться посуточно или поминутно либо предоставляться в кредит, а сами тарифы могут быть изменены задним числом (при каждом их изменении система автоматически пересчитывает статистику биллинга). Дополнительно можно ввести скидки на кэшированный, почтовый или любой другой трафик в соответствии заданными критериями фильтрации либо задать лимиты трафика на сутки, неделю, месяц или особый период.
• Все настройки тарификации могут быть сделаны индивидуальными, групповыми или общими, что позволяет одновременно использовать множество тарифных планов.
• Текущий статус клиента со всеми его параметрами тарификации отображается в реальном времени, а все изменения статуса клиентов записываться в журнал для последующей обработки и формирования отчетов (в том числе групповых).
Контроль внешнего трафика
• Для учета общего трафика, потребляемого у провайдера, имеются контролируемые счетчики, которые описываются как IP-сети. Настроив несколько таких счетчиков, можно вести раздельный учет разных видов трафика (например, платного, льготного и бесплатного). Для контролируемых счетчиков задаются лимиты (общий и дневной), при превышении которых генерируется оповещение от администратора и/или блокируется трафик. При срабатывании блокировок на внешних счетчиках может быть запущено любое внешнее приложение. Данные по внешним счетчикам могут отображаться как в реальном времени и записываться в журнал для формирования отчетов.
• Для дополнительного анализа общего потребляемого трафика могут быть заданы и внешние информационные счетчики, которые могут дополнительно анализировать трафик по IP-протоколу и портам.
Сетевая статистика
• Для пользователей и внешних счетчиков Traffic Inspector может собирать сетевую статистику об IP-адресах, протоколах, портах и DNS-именах, причем администратор может настроить интервал анализа и количество активных соединений. Собранная статистика записывается либо во внутреннюю СУБД, которая при необходимости синхронизируется с внешней базой MSSQL 2005, MySQL или PosrgreSQL.
• Текущая статистика может отображаться в реальном времени и записываться в журнал для последующего анализа и формирования отчетов.
Прокси-сервер
• Встроенный в Traffic Inspector прокси-сервер работает по протоколам HTTP/1.1, FTP и SOCKS 4/5. Аутентификация может быть BASIC (по открытому паролю) или интегрированная через домен Windows (NTLM v. 1/2).
• Прокси-сервер включает в себя мощные функции кэширования для экономии трафика и позволяет назначать отдельным ресурсам гибкие настройки параметров кэширования. Весь кэш хранится в одном файле СУБД, причем его внутренняя фрагментация полностью исключена. Все индексы кэша хранятся в оперативной памяти, что обеспечивает высокую скорость чтения и записи.
• Для фильтрации контента прокси-сервер Traffic Inspector использует общие с IP-фильтрами списки, но для него есть возможность также задавать тип контента и вести анализ протокола и URL вплоть до контекстного поиска по регулярным выражениям, что позволяет, например, легко «вырезать» баннеры.
• Имеется также поддержка метода HTTP CONNECT – через прокси-сервер в этом режиме может работать любое приложение, поддерживающее SSL, FTP или TCP, а также работу через HTTP-туннель.
• Поддержка FTP over HTTP (метод GET) – прокси-сервер генерирует HTML-страницы, позволяя работать с FTP-серверами в режиме чтения, и автоматически переключается между активным и пассивным режимами для протокола FTP.
• По умолчанию прокси-сервер использует сквозную авторизацию, но если пользователь не авторизовался до входа на прокси-сервер, то запрашивается аутентификация через прокси-сервер или SOCKS.
• Автоматическое конфигурирование веб-браузеров согласно действующим в компании стандартам. Прокси-сервер предоставляет клиентам стандартный JAVA-скрипт WPAD.DAT для их конфигурирования, причем в этом скрипте можно указать LAT (таблицу локальных адресов). Кроме того, браузеры можно принудительно настроить с помощью клиентского агента.
• При необходимости прокси-сервер Traffic Inspector способен блокировать HTTP-трафик, а также перенаправлять HTTP-запросы на другой прокси-сервер.
• Клиент, со своей стороны, может оперативно управлять режимами фильтрации и кэширования.
• Кроме того, прокси-сервер может вести журнал обработанных им запросов.
SMTP-шлюз
• SMTP-шлюз, встроенный в Traffic Inspector, публикует снаружи один внутренний SMTP-сервер, проверяет достоверность доменов в адресах отправителей, а также запрещает открытые «пересылки» (relay), что позволяет использовать внутри сети простейшие почтовые сервера.
• Имеется проверка хостов отправителей с помощью служб RBL на основе DNS. Многопоточная реализация позволяет задействовать большое количество служб без замедления работы. Через RBL также могут также проверяться и все промежуточные SMTP-серверы.
• SMTP-шлюз ведет «черные списки» хостов отправителей, которые могут заполняться как автоматически, так и вручную. Автоматическое занесение в «черные» списки хостов, отфильтрованных через RBL, позволяет существенно экономить трафик и эффективно бороться со спамом. Кроме того, имеются и «белые» списки, включающие в себя отправителей, для которых фильтрация сообщений применяться не будет.
• Для анализа отфильтрованной почты ведется подробный журнал, а также предусмотрена массовая рассылка для администраторов.
• Поддерживается тарификация входящей почты для известных получателей (пользователей Traffic Inspector). С целью экономии трафика прием почты для неизвестных получателей может быть запрещен.
• Поддерживается интеграция модуля защиты от нежелательной почты Traffic Inspector AntiSpam.
Межсетевой экран
• По умолчанию закрывает все запросы извне, при этом прозрачно разрешая исходящий TCP, UDP и ICM-трафик, поэтому настройка службы практически не требуется.
• Осуществляет динамическую UDP-фильтрацию, что позволяет корректно отличать входящие UDP-запросы от исходящих, прозрачно разрешая исходящие UDP-трафик.
• Предусмотрена динамическая фильтрация FTP-DATA. Производится анализ FTP команд PORT и PASV и выставление временных разрешений в firewall. Это позволяет удобно работать как с активным режимом (клиент), так и пассивным (публикуемый сервер).
• Для управления работой различных серверных приложений или других протоколов можно отдельно задать список разрешающих и запрещающих правил.
• На информационных счетчиках можно вести раздельный учет и анализ отфильтрованного входящего трафика (анализ флуда, сканирования портов и др.).
• Для защиты самого сервера внутри сети также можно включить внутренний фаервол, функциональность которого аналогична внешнему фаерволу. Внутренний фаервол поддерживает индивидуальные настройки для локальных и публичных внутренних сетей.
• Реализована возможность запрета неавторизованого трафика, идущего с самого сервера.
Шейпер
• Шейпер работает с любым трафиком, проходящим через сервер, в том числе через прокси-сервер и SOCKS.
• Шейпер может ограничить индивидуальную скорость работы клиента на прием и/или передачу. Кроме того, ограничение может быть динамическим, когда назначается суммарная максимальная скорость для группы (отдельно на прием и передачу), а также основываться на количестве пакетов, если необходимо предотвратить перегрузку сети во время вирусной эпидемии.
• Шейпер также позволяет задавать в фильтрах тип трафика, который следует исключить из контроля, а также ограничения скорости для каждого типа (однако эти ограничения не распространяются на данные из кэша прокси-сервера и на локальный веб-сервер статистики).
• Кроме того, каждому типу трафика можно назначить приоритет, чтобы менять очередность обработки пакетов во внутренней очереди шейпера и передавать эти данные с минимальными задержками.
• Для всех правил может быть назначено расписание, что позволяет динамически изменять настройки службы этой в зависимости от времени.
Расширенная маршрутизация
• С помощью функций расширенной интеллектуальной маршрутизации можно настроить условное или безусловное перенаправление трафика через заданный внешний интерфейс для группы пользователей, причем при работе через прокси-сервер можно задать также тип HTTP-содержимого.
• Кроме того, поддерживается перенаправление исходящих от клиента TCP-соединений, когда в локальной сети работает сторонний прокси-сервер или когда нужно переадресовать клиента на другой онлайн-ресурс.
Клиентский агент
Клиентский агент — это специальное приложение, которое устанавливается на компьютеры пользователей и позволяет пользователям самостоятельно выполнять следующие действия:
• Просматривать текущий баланс и настраивать оповещения о недостаточном количестве средств на счете.
• Переключать уровни фильтрации контента для экономии трафика.
• Переключать режимы кэширования прокси-сервера, чтобы быстро просматривать обновляемые ресурсы с минимальными затратами трафика.
• Быстро входить в личный кабинет с помощью контекстного меню агента.
• Изменять свой пароль через агент, если администратор не отключил такую возможность в Traffic Inspector.
• Использовать настольную или онлайн-версию агента (веб-агент). Веб-агент поддерживает все функции настольной версии и доступен на специальной странице сервера Traffic Inspector.
• Получать оповещения от администратора в режиме реального времени.
Администрирование
• Поддержка удаленного управления по стандартной технологии DCOM. Консоль управления выполнена в виде оснастки MMC, что позволяет легко интегрировать ее с другими инструментами администратора.
• Ограничение доступа: можно задать группу администраторов в домене Windows или использовать встроенную аутентификацию по паролю.
• Распределение доступа: можно создать администраторов с ограниченными правами, например, только для добавления клиентов, только для пополнения счетов или только для работы с определенной группой клиентов.
• Поддерживается мониторинг работы клиентов и сетевой статистики в реальном времени.
• Можно просматривать статистику клиентов и пополнять их счета в веб-интерфейсе.
Отчеты
• В Traffic Inspector можно сформировать несколько десятков видов отчетов по трафику, биллингу и сетевой статистике. Все отчеты могут быть импортированы и сохранены в различных видах и форматах – как табличных, так и графических.
• При необходимости, набор отчетов можно расширить при помощи интерфейса автоматизации.
Заключение
Traffic Inspector – это современное комплексное решение для организации и контроля интернет-доступа. Для его внедрения не нужно приобретать дорогостоящее серверное оборудование или расширять штат системных администраторов. Благодаря своей неприхотливости, гибким правилам тарификации, надежной сетевой защите, эффективной балансировке нагрузки, точному учету и фильтрации трафика, эта система не только защитит вашу корпоративную инфраструктуру, но и сэкономит немало сил, денег и нервов. Дополнительную информацию о Traffic Inspector можно найти на нашем официальном сайте.
Настройка контроля трафика (IP QoS — качество обслуживания в IP-сетях) на TD-W8960N
Зачем нужен контроль трафика?
ПО умолчанию пропускная способность Интернет-канала делится между всеми клиентами. Пропускная способность каждого клиента не контролируется, в то время, как они имеют совместный доступ в Интернет. Если кто-либо находится в Интернете или загружает что-либо с помощью P 2 P , то это повлияет на характеристики остальных клиентов. Контроль трафика поможет избежать таких ситуаций.
Как настроить контроль трафика?
Примечание: Вам стоит указать статический IP -адрес для каждой из ваших сетей для более удобного управления.
Шаг 1 Откройте веб-браузер и введите в адресной строке IP -адрес локальной сети (по умолчанию 192.168.1.1), нажмите Enter.
Шаг 2 На странице авторизации введите имя пользователя и пароль (по умолчанию и то и другое – admin ).
Шаг 3 Войдите на страницу Advanced Setup (Дополнительные настройки)-> Traffic Control (Контроль трафика), укажите общее значение на выходе и на входе. Они должны быть меньше чем пропускная способность линии канала. Пропускная способность линии канала – это так скорость, которую вам предоставляет ваш Интернет-провайдер. Поставьте галочку в поле Enable (Включить) и нажмите кнопку Save / Apply (Сохранить/Применить).
Шаг 4 Войдите на страницу Traffic Control (Контроль трафика) -> Traffic Control Rule (Правила контроля трафика), нажмите кнопку Add (Добавить) для добавления нового правила.
Шаг 5 Заполните параметры.
· Rule Status (Статус правила) – поставьте Enable (Включить).
· IP Range (Диапазон IP -адресов) – укажите IP -адреса ваших клиентов. Если вы хотите управлять всеми клиентами вашей сети, укажите диапазон IP -адресов этих компьютеров.
· Port Range (Диапазон портов) – Укажите номера портов. Если вы хотите управлять всеми портами, оставьте это подле пустым.
· Protocol (Протокол) — TCP/UDP/ALL
· Precedence (Приоритет) – Укажите приоритет правил контроля трафика; Highest (Самый высокий) / High (Высокий) / Medium (средний)/ Low (Низкий)/ Lowest (Самый низкий)
· Egress Rate / Ingress Rate (уровень на выходе/уровень на входе) – Вы можете указать Min Bandwidth (Минимальная пропускная способность) и Max Bandwidth (Максимальная пропускная способность) для уровня трафика на выходе и входе. Эти параметры настраиваются в соответствии с вашими требованиями.
· Egress Rate / Ingress Rate (Уровень на выходе/уровень на входе) – независимая пропускная способность для каждого компьютера в списке диапазона IP -адресов)
Пример:
Примечание:
Поля Min Egress / Ingress Rate (Минимальный уровень на выходе/уровень на входе) не должны быть пустыми и не должны быть менее 10 Kbps .
Поля Max Egress / Ingress Rate (Максимальный уровень на выходе/уровень на входе) не должен превышать Egress / Ingress Total Rate (общий уровень на выходе/на входе), если это поле пустое или выше чем общий уровень на выходе/на входе, то фактическое значение будет установлено равное общему уровню на выходе/на входе.
Шаг 7 Нажмите Save / Apply (Сохранить/Применить) для сохранения настроек.
Настройки трафика
Если вы используете систему единого входа (SSO) на основе форм или SAML для защищенных приложений, вы настраиваете эту функцию в настройках трафика. SSO позволяет вашим пользователям войти в систему один раз, чтобы получить доступ ко всем защищенным приложениям, вместо того, чтобы требовать от них входить отдельно для доступа к каждому из них.
SSO на основе форм позволяет использовать веб-форму собственной разработки в качестве метода входа вместо обычного всплывающего окна.Таким образом, вы можете разместить логотип вашей компании и другую информацию, которую ваши пользователи могут видеть в форме входа. SAML SSO позволяет настроить одно устройство NetScaler или экземпляр виртуального устройства для аутентификации на другом устройстве NetScaler от имени пользователей, которые прошли аутентификацию с помощью первого устройства.
Для настройки любого типа единого входа необходимо сначала создать формы или профиль единого входа SAML. Затем вы создаете профиль трафика и связываете его с созданным вами профилем SSO. Далее вы создаете политику, привязываете ее к профилю трафика.Наконец, вы привязываете политику глобально или к виртуальному серверу аутентификации, чтобы ваша конфигурация вступила в силу.
Официальная версия этого контента на английском языке. Некоторая часть документации Citrix переведена на компьютер только для вашего удобства. Citrix не контролирует контент, переведенный с помощью машин, который может содержать ошибки, неточности или неподходящий язык. Не дается никаких гарантий, явных или подразумеваемых, в отношении точности, надежности, пригодности или правильности любых переводов, сделанных с английского оригинала на любой другой язык, или того, что ваш продукт или услуга Citrix соответствует любому содержимому, переведенному с помощью машин. , а также любая гарантия, предоставленная в соответствии с применимым лицензионным соглашением с конечным пользователем или условиями обслуживания или любым другим соглашением с Citrix, что продукт или услуга соответствует какой-либо документации, не применяется в той степени, в которой такая документация была переведена на компьютер.Citrix не несет ответственности за какой-либо ущерб или проблемы, которые могут возникнуть в результате использования переведенного автоматически содержимого.
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT Jede AUSDRÜCKLICHE ОДЕР STILLSCHWEIGENDE GEWÄHRLEISTUNG В BEZUG АУФ DIE Übersetzungen AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG МЭД GENAUIGKEIT, Zuverlässigkeit UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG МЭД MARKTGÄNGIGKEIT, МЭД EIGNUNG FÜR Einen BESTIMMTEN Zweck UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D’EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D’ADÉQUATION D’REULER UN US.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUDONE, FIABILIDAD Y OTRAS GARANTÍAS PARTUS INPLCITAS DEERADIC UNDERCIABIL EN
本 服务 可能 包含 Google 提供 技术 支持 的 翻译 。Google 对 这些 翻译 内容 不做 明示 暗示 的 保证 , 包括 对 准确性 、 可靠性 的 任何 以及 适销 性 和 非 性的 任何 暗示 保证.
こ の サ ー ビ ス に は, Google が 提供 す る 翻 訳 が 含 ま れ て い る 可能性 が あ り ま す .Google は 翻 訳 に つ い て, 明示 的 か 黙 示 的 か を 問 わ ず, 精度 と 信 頼 性 に 関 す る あ ら ゆ る 保証, お よ び 商品性, 特定 目的 への 適合 性, 第三者 の 権 利 を 侵害 し な い こ と に 関 す る あ ら ゆ る 黙 示 的 保証 を 含 め, 一切 保証 し ま せ ん.
ESTE SERVIO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. О GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAOE
.
Проверьте настройки диспетчера трафика Azure
- 3 минуты на чтение
В этой статье
Чтобы проверить настройки диспетчера трафика, вам необходимо иметь несколько клиентов в разных местах, из которых вы можете запускать тесты. Затем по очереди отключайте конечные точки в своем профиле диспетчера трафика.
- Установите низкое значение TTL для DNS, чтобы изменения распространялись быстро (например, 30 секунд).
- Знайте IP-адреса своих облачных служб Azure и веб-сайтов в тестируемом профиле.
- Используйте инструменты, которые позволяют преобразовывать DNS-имя в IP-адрес и отображать этот адрес.
Вы проверяете, разрешаются ли имена DNS в IP-адреса конечных точек в вашем профиле. Имена должны разрешаться в соответствии с методом маршрутизации трафика, определенным в профиле диспетчера трафика.Вы можете использовать такие инструменты, как nslookup или dig для разрешения имен DNS.
Следующие примеры помогут вам проверить свой профиль диспетчера трафика.
Проверьте профиль диспетчера трафика с помощью nslookup и ipconfig в Windows
Откройте команду или приглашение Windows PowerShell от имени администратора.
Введите
ipconfig / flushdns, чтобы очистить кеш преобразователя DNS.Введите
nslookup <ваше доменное имя диспетчера трафика>.Например, следующая команда проверяет доменное имя с префиксом myapp.contosonslookup myapp.contoso.trafficmanager.netТипичный результат показывает следующую информацию:
- DNS-имя и IP-адрес DNS-сервера, к которому осуществляется доступ для разрешения этого доменного имени диспетчера трафика.
- Имя домена диспетчера трафика, которое вы ввели в командной строке после «nslookup», и IP-адрес, на который разрешается домен диспетчера трафика.Второй IP-адрес является важным для проверки. Он должен совпадать с общедоступным виртуальным IP-адресом (VIP) одной из облачных служб или веб-сайтов в профиле диспетчера трафика, который вы тестируете.
Как протестировать метод маршрутизации отказоустойчивого трафика
- Оставить все конечные точки включенными.
- Используя один клиент, запросите разрешение DNS для доменного имени вашей компании с помощью nslookup или аналогичной утилиты.
- Убедитесь, что разрешенный IP-адрес соответствует первичной конечной точке.
- Выключите основную конечную точку или удалите файл мониторинга, чтобы диспетчер трафика решил, что приложение не работает.
- Подождите, пока истечет время жизни DNS (TTL) профиля диспетчера трафика плюс еще две минуты. Например, если TTL вашего DNS составляет 300 секунд (5 минут), вы должны подождать семь минут.
- Очистите кэш клиента DNS и запросите разрешение DNS с помощью nslookup. В Windows вы можете очистить кеш DNS с помощью команды ipconfig / flushdns.
- Убедитесь, что разрешенный IP-адрес соответствует вашей вторичной конечной точке.
- Повторите процесс, по очереди отключая каждую конечную точку. Убедитесь, что DNS возвращает IP-адрес следующей конечной точки в списке. Когда все конечные точки не работают, вы должны снова получить IP-адрес основной конечной точки.
Как протестировать метод взвешенной маршрутизации трафика
- Оставить все конечные точки включенными.
- Используя один клиент, запросите разрешение DNS для доменного имени вашей компании с помощью nslookup или аналогичной утилиты.
- Убедитесь, что разрешенный IP-адрес соответствует одной из ваших конечных точек.
- Очистите кэш клиента DNS и повторите шаги 2 и 3 для каждой конечной точки. Вы должны увидеть разные IP-адреса, возвращаемые для каждой из ваших конечных точек.
Как проверить производительность метода маршрутизации трафика
Чтобы эффективно протестировать метод маршрутизации трафика производительности, у вас должны быть клиенты, расположенные в разных частях мира. Вы можете создавать клиентов в разных регионах Azure, которые можно использовать для тестирования ваших служб.Если у вас глобальная сеть, вы можете удаленно входить в систему для клиентов в других частях мира и запускать тесты оттуда.
Кроме того, доступны бесплатные веб-службы поиска и поиска DNS. Некоторые из этих инструментов дают вам возможность проверять разрешение имен DNS из разных мест по всему миру. Поищите примеры по запросу «DNS-поиск». Сторонние сервисы, такие как Gomez или Keynote, можно использовать для подтверждения того, что ваши профили распределяют трафик должным образом.
Следующие шаги
.
Включение регулирования трафика — Veeam Backup Guide для Hyper-V
Настройка регулирования трафика в сетевом правиле позволяет ограничить влияние задач Veeam Backup & Replication на производительность сети. Регулирование трафика предотвращает использование заданиями всей полосы пропускания, доступной в вашей среде, и гарантирует, что другие сетевые операции получают достаточный трафик.
Важно! |
Регулирование трафика не применяется к задачам восстановления. |
Когда несколько заданий, подпадающих под одно сетевое правило, выполняются одновременно, Veeam Backup & Replication поровну распределяет между ними регулируемый трафик. Например, если одновременно выполняются два задания, каждое задание получает половину регулируемого трафика. Как только одно задание завершается, другое получает всю полосу пропускания, разрешенную правилом.
Примечание: |
Рекомендуется регулировать сетевой трафик, если вы выполняете внешнее резервное копирование или реплицируете виртуальные машины на сайт аварийного восстановления по медленным каналам глобальной сети. |
Компоненты инфраструктуры
Дросселирование трафика возможно только между компонентами инфраструктуры резервного копирования, на которых развернуты Veeam Data Mover. Эти компоненты различаются в зависимости от сценария защиты данных. В следующей таблице показана эта зависимость.
Сценарий | Компоненты | |
|---|---|---|
Резервное копирование в репозиторий резервных копий Microsoft Windows или Linux * | Прокси-сервер резервного копирования (на хосте или вне хоста) и репозиторий резервных копий в хранилище | Резервный прокси (на хосте или вне хоста) и сервер шлюза |
Резервная копия * | Исходные и целевые репозитории резервных копий, серверы шлюза или ускорители глобальной сети ( если они участвуют в процессе резервного копирования) | |
Репликация | Исходные и целевые прокси-серверы резервного копирования (на хосте или вне хоста) или ускорители WAN (если они участвуют в процессе репликации) | |
Резервное копирование на ленту * | Репозиторий резервных копий и ленточный сервер | |
Разгрузка данных SOBR | Сервер шлюза и хранилище объектов Amazon S3 / Azure |
* Veeam Backup & Replication ограничивает трафик между перечисленными компонентами, даже если резервные копии создаются с помощью Veeam Agent для Microsoft Windows или Veeam Agent для Linux работа в автономном или управляемом режиме.
Настройка регулирования трафика
Чтобы настроить параметры регулирования трафика в правиле:
- В главном меню выберите Правила сетевого трафика.
- В окне «Правила глобального сетевого трафика» нажмите «Добавить».
- В поле «Имя» укажите имя для правила.
- В разделе Диапазон IP-адресов источника укажите диапазон IP-адресов для компонентов инфраструктуры резервного копирования на стороне источника.
- В разделе Целевой диапазон IP-адресов укажите диапазон IP-адресов для компонентов инфраструктуры резервного копирования на целевой стороне.
- Установите флажок Ограничивать сетевой трафик до.
- В поле Регулирование сетевого трафика укажите максимальную скорость, которая должна использоваться для передачи данных от источника к цели.
- В разделе под полем Ограничение сетевого трафика до укажите интервал времени, в течение которого скорость должна быть ограничена. Вы можете ограничивать трафик постоянно или через определенные промежутки времени, например, в рабочее время.
Несколько правил с регулированием трафика
Если вы создаете несколько правил с одинаковыми диапазонами IP-адресов, убедитесь, что временные интервалы правил не перекрываются.Например, для управления сетевым трафиком в рабочее и нерабочее время вы можете создать правила, как показано ниже. У этих правил одинаковые диапазоны IP-адресов.
- Правило 1. Ограничение скорости: 1 Мбит / с; временной интервал: с понедельника по пятницу с 7:00 до 19:00.
- Правило 2. Ограничение скорости: 10 Мбит / с; временной интервал: с субботы по воскресенье с 7 до 19 часов.
Согласно таким правилам Veeam Backup & Replication ограничит скорость до 1 Мбит / с в рабочее время и до 10 Мбит / с в нерабочее время.
Если несколько правил имеют одинаковый диапазон IP-адресов цели / источника, но разные ограничения скорости, используется самый низкий предел. Например, если вы настроили следующие правила:
- Правило 1. Диапазон IP-адресов источника: 192.168.0.1–192.168.0.30; диапазон целевых IP-адресов: 192.168.0.1–192.168.0.255; ограничение скорости: 4 Мбит / с.
- Правило 2. Диапазон IP-адресов источника: 192.168.0.1–192.168.0.255; диапазон целевых IP-адресов: 192.168.0.1–192.168.0.255; ограничение скорости: 1 Мбит / с.
В этом случае Veeam Backup & Replication будет использовать минимальное ограничение скорости — 1 Мбит / с.
Это правило также применяется, если трафик ограничивается Veeam Backup & Replication, а также Veeam Agent для Microsoft Windows. Подробнее о том, как ограничивать трафик с помощью Veeam Agent для Microsoft Windows, читайте в Руководстве по управлению Veeam Agent и Руководстве пользователя Veeam Agent для Microsoft Windows.
.
Включение регулирования трафика — Veeam Backup Guide для vSphere
Настройка регулирования трафика в сетевом правиле позволяет ограничить влияние задач Veeam Backup & Replication на производительность сети. Регулирование трафика предотвращает использование заданиями всей полосы пропускания, доступной в вашей среде, и гарантирует, что другие сетевые операции получают достаточный трафик.
Важно! |
Регулирование трафика не применяется к задачам восстановления. |
Когда несколько заданий, подпадающих под одно сетевое правило, выполняются одновременно, Veeam Backup & Replication поровну распределяет между ними регулируемый трафик. Например, если одновременно выполняются два задания, каждое задание получает половину регулируемого трафика. Как только одно задание завершается, другое получает всю полосу пропускания, разрешенную правилом.
Примечание: |
Рекомендуется регулировать сетевой трафик, если вы выполняете внешнее резервное копирование или реплицируете виртуальные машины на сайт аварийного восстановления по медленным каналам глобальной сети. |
Компоненты инфраструктуры
Дросселирование трафика возможно только между компонентами инфраструктуры резервного копирования, на которых развернуты Veeam Data Mover. Эти компоненты различаются в зависимости от сценария защиты данных. В следующей таблице показана эта зависимость.
Сценарий | Компоненты | |
|---|---|---|
Резервное копирование в репозиторий резервных копий Microsoft Windows или Linux * | Прокси-сервер резервного копирования и репозиторий резервных копий | |
общий ресурс EMC Data Domain и HPE StoreOnce * | Резервный прокси-сервер и сервер шлюза | |
Копия виртуальной машины | Резервный прокси-сервер и репозиторий резервных копий | |
Резервная копия резервной копии * 9 | целевой репозиторий и | , шлюзовые серверы или ускорители WAN (если они участвуют в процессе резервного копирования) |
Репликация | Исходные и целевые прокси-серверы резервного копирования или ускорители WAN (если они участвуют в процессе репликации) | |
Резервное копирование на ленту * | Резервное копирование повторно почтовый и ленточный сервер | |
Выгрузка данных SOBR | Сервер шлюза и хранилище объектов Amazon S3 / Azure |
* Veeam Backup & Replication ограничивает трафик между перечисленными компонентами, даже если резервные копии создаются с помощью Veeam Agent для Microsoft Windows или Veeam Agent для Linux, работающих в автономном или управляемом режиме.
Настройка регулирования трафика
Чтобы настроить параметры регулирования трафика в правиле:
- В главном меню выберите Правила сетевого трафика.
- В окне «Правила глобального сетевого трафика» нажмите «Добавить».
- В поле «Имя» укажите имя для правила.
- В разделе Диапазон IP-адресов источника укажите диапазон IP-адресов для компонентов инфраструктуры резервного копирования на стороне источника.
- В разделе Целевой диапазон IP-адресов укажите диапазон IP-адресов для компонентов инфраструктуры резервного копирования на целевой стороне.
- Установите флажок Ограничивать сетевой трафик до.
- В поле Регулирование сетевого трафика до укажите максимальную скорость, которая должна использоваться для передачи данных от источника к целевому.
- В разделе под полем Ограничение сетевого трафика до укажите интервал времени, в течение которого скорость должна быть ограничена. Вы можете ограничивать трафик постоянно или через определенные промежутки времени, например, в рабочее время.
Несколько правил с регулированием трафика
Если вы создаете несколько правил с одинаковыми диапазонами IP-адресов, убедитесь, что временные интервалы правил не перекрываются.Например, для управления сетевым трафиком в рабочее и нерабочее время вы можете создать правила, как показано ниже. У этих правил одинаковые диапазоны IP-адресов.
- Правило 1. Ограничение скорости: 1 Мбит / с; временной интервал: с понедельника по пятницу с 7:00 до 19:00.
- Правило 2. Ограничение скорости: 10 Мбит / с; временной интервал: с субботы по воскресенье с 7 до 19 часов.
Согласно таким правилам Veeam Backup & Replication ограничит скорость до 1 Мбит / с в рабочее время и до 10 Мбит / с в нерабочее время.
Если несколько правил имеют одинаковый диапазон IP-адресов цели / источника, но разные ограничения скорости, используется самый низкий предел. Например, если вы настроили следующие правила:
- Правило 1. Диапазон IP-адресов источника: 192.168.0.1–192.168.0.30; диапазон целевых IP-адресов: 192.168.0.1–192.168.0.255; ограничение скорости: 4 Мбит / с.
- Правило 2. Диапазон IP-адресов источника: 192.168.0.1–192.168.0.255; диапазон целевых IP-адресов: 192.168.0.1–192.168.0.255; ограничение скорости: 1 Мбит / с.
В этом случае Veeam Backup & Replication будет использовать минимальное ограничение скорости — 1 Мбит / с.
Это правило также применяется, если трафик ограничивается Veeam Backup & Replication, а также Veeam Agent для Microsoft Windows. Подробнее о том, как ограничивать трафик с помощью Veeam Agent для Microsoft Windows, читайте в Руководстве по управлению Veeam Agent и Руководстве пользователя Veeam Agent для Microsoft Windows.
.