Программы сетевого контроля

Программы сетевого контроля отслеживают текущую загрузку маршрутизаторов и среди прочих параметров — загрузку процессора. Процессорное время могут занимать процедуры NAT-трансляции, работа со списками доступа, контролирование большого количества протоколов, огромные таблицы маршрутизации и, в конце концов, большой объем сетевого трафика. Необходимо принять во внимание, что сам мониторинг процессов маршрутизатора тоже использует ресурсы устройства, так что показания не стоит снимать ежесекундно. Наш маршрутизатор является фильтрующим — большую часть его процессорного времени занимает обработка списков доступа, как динамичных (рефлексивных), так и статичных. Мне удалось значительно увеличить производительность, переопределив и переписав эти списки. Можно поместить часто используемые правила в начало списка. Я смог, кроме этого, ввести несколько статичных условий, что позволило сократить количество обращений к рефлексивным спискам. Если вы не очень хорошо ориентируетесь в списках доступа, то пришло время разобраться с ними подробнее. Итак, маршрутизаторы представляют собой раннюю стадию развития межсетевых экранов. Система маршрутизатора поддерживает так называемые списки доступа (access lists — ACLs), в которых описывается пропускаемый и блокируемый трафик. При этом используются достаточно простые правила. Например, можно пропустить (разрешить) или блокировать (отвергнуть) пакет, основываясь на адресе IP, типе протокола (Transmission Control Protocol — TCP, User Datagram Protocol — UDP, Internet Control Message Protocol — ICMP и т. д.) и номерах портов. Списки подобных правил называются Статичными списками доступа. Они могут применяться, но далеко не в любом случае. Например, при написании статичных разрешающих правил для работы по протоколам типа File Transfer Protocol (FTP), которые используют обратные соединения, возникнут проблемы, связанные с безопасностью. Как только пользователи осознали, что статичное регулирование может привести к проблемам безопасности, специальные программы межсетевых экранов стали использовать Адаптивную или параметризированную (stateful) фильтрацию пакетов. Такая фильтрация позволяет избежать образования «дыр» при работе с протоколом FTP.