Akses Jaringan Berbasis Port Kontrol

Hai Guys, balik lagi bareng Fairus. Berhubung aku dan temen kelas mendapatkan tugas dari guru pengampu kami untuk menyuguhkan ilmu bermanfaat di blog, kalian harus baca chapter sebelumnya ya, biar paham. Linknya ada dibawah kok. Setelah aku menyuguhkan beberapa cerita kali ini aku bakalan membahas mngenai Akses Jaringan Berbasis Port Kontrol, ngalang banget ya. By the Way, aku tidak sendiri, ada patner aku yang akan membantu menjelaskan, dia adalah Latifah. Yuk langsung kepoin aja.

Jaringan IP sering digunakan tanpa mekanisme untuk membatasi atau mengendalikan akses

untuk menghitung sumber daya. Akses tak terbatas, ditambah dengan kebutuhan hari ini

membuat jaringan yang terhubung dengan baik, sangat meningkatkan eksposur yang tidak sah mengakses. Kali ini kami akan memberikan gambaran umum tentang kontrol akses jaringan berbasis port (NAC) yang digunakan dengan 802.1x. 802.1x menyediakan framework untuk otentikasi dan otorisasi perangkat yang saling terkait oleh jaringan area lokal.

Port based network access control (NAC) merupakan inisiatif yang menggunakan jaringan

infrastruktur untuk mengotentikasi dan memberi otorisasi perangkat yang saling terkait oleh daerah setempat, jaringan melalui penggunaan standar IEEE 802.1x. Dengan 802.1x, jaringan

administrator dapat mengontrol akses jaringan dan menerapkan kebijakan jaringan berdasarkan hasil dari proses otentikasi untuk setiap port fisik IEEE 802 (termasuk koneksi kabel dan nirkabel). 802.1x memberi administrator kontrol untuk mengidentifikasi siapa yang mengakses sumber daya komputasi dan akses apa adanya diizinkan di lapisan data link dan jaringan.

Terminologi berikut digunakan dengan IEEE 802.1x deployments: Authenticator Entitas di salah satu ujung segmen LAN point-to-point bahwa fasilitas otentikasi entitas ke pihak lainnya akhir link. Pertukaran otentikasi Percakapan dua pihak antar sistem melakukan proses otentikasi. Proses otentikasi Operasi kriptografi dan data pendukung frame yang melakukan otentikasi sebenarnya. Server otentikasi Entitas yang menyediakan layanan otentikasi seorang authenticator Layanan ini menentukan, dari Kredensial yang diberikan oleh pemohon, apakah

pemohon diberi wewenang untuk mengakses layanan disediakan oleh sistem di mana authenticator tinggal. Autentikasi transport Sesi datagram yang secara aktif menggerakkan pertukaran otentikasi antara dua sistem. Bridge port Port dari jembatan IEEE 802.1D atau 802.1Q. Port tepi Port jembatan yang terpasang pada LAN yang tidak memiliki lainnya jembatan yang menempel padanya. Port akses jaringan Suatu titik keterikatan sistem ke LAN. Bisa jadi port fisik, seperti MAC LAN tunggal yang terpasang ke segmen LAN fisik, atau port logis, untuk Misalnya, sebuah hubungan IEEE 802.11 antara a stasiun dan jalur akses. Port access entity (PAE) Entitas protokol yang terkait dengan port. Bisa mendukung fungsi protokol yang terkait dengan authenticator, si pemohon, atau keduanya. Supplicant Entitas di salah satu ujung segmen LAN point-to-point yang berusaha untuk diautentikasi oleh seorang authenticator melekat pada ujung link itu.

Gambaran komponen NAC berbasis port Kontrol masuk jaringan berbasis port menentukan kerangka kerja untuk mengendalikan masuk ke sumber jaringan dengan memanipulasi keadaan logis jaringan Pelabuhan. Kerangka ini tercipta melalui penggunaan komponen jaringan, banyak umumnya ditemukan di jaringan area lokal, yang memberikan otentikasi tambahan dan karakteristik otorisasi: Entitas akses pelabuhan Entitas akses port (PAE) adalah komponen logis dari port jaringan fisik IEEE 802. Authenticator Authenticator bertanggung jawab untuk menerima perangkat permintaan otentikasi dan meneruskannya ke server otentikasi Authenticator adalah kebijakannya titik penegakan Lalu lintas tidak boleh lewat sampai negara pelabuhan berwenang Pengasuh harus dukungan 802.1x Dalam instalasi 802.1x khas, saklar tepi bertindak sebagai autheticator. Dengan mendukung 802 tipe medium, switch tepi ini bisa ditransfer atau nirkabel. Pemohon Pemohon mengkomunikasikan identitasnya ke authenticator untuk mendapatkan akses yang ditentukan Layanan LAN Pemohon adalah sepotong kecil perangkat lunak yang diinstal dan berjalan pada pengguna akhir workstation atau perangkat. Protokol yang bertanggung jawab mentransmisikan informasi otentikasi ke authenticator adalah EAPoL, atau Extensible Authentication Protokol melalui LAN (lihat "Otentikasi yang Diperluas Protokol melalui LAN (EAPoL) "pada halaman 894). Otentikasi server Sebagai bagian dari solusi 802.1x, tanggung jawab utama dari server otentikasi adalah untuk mengotentikasi kredensial Kredensial ini berasal dari mereka pemohon, diteruskan ke server melalui authenticator Setelah kredensial telah diverifikasi, server kemudian dapat memberikan instruksi otorisasi kembali ke authenticator (yang biasanya tepi beralih).

Operasi kontrol akses jaringan berbasis port Port access control memberikan kemampuan untuk memberikan atau menolak akses jaringan sumber daya komputasi 802.1x menggunakan konsep "terkontrol" dan "tidak terkontrol" port jaringan Jenis port ini adalah representasi logis dari port fisik berada di authenticator. Ada dua konsep tipe port yang dikontrol dan tidak terkontrol. Itu operasi kontrol akses port menciptakan dua metode akses yang berbeda ke jaringan. Operasi port 802.1x Jenis portnya adalah: Port yang tidak terkontrol Pelabuhan yang tidak terkontrol mengizinkan yang tidak terkontrol pertukaran frame antara authenticator dan sumber daya komputasi yang saling berhubungan dengan lokal jaringan area Port terkontrol Port yang dikontrol oleh frame pengaman antara authenticator dan sumber daya komputasi yang ada interkoneksi oleh jaringan area lokal jika status port diautentikasi Keadaan default dari port yang dikontrol 802.1x adalah memperlakukan semua lalu lintas tidak sah Ini memaksa port yang dikontrol menjadi negara yang tidak sah hanya mengizinkan pertukaran lalu lintas otentikasi, atau lebih spesifik lagi, EAPoL bingkai. Authenticator bertindak sebagai bagian untuk otentikasi lalu lintas antara server pemohon dan autentikasi. Otentikasi server memverifikasi dan memvalidasi keaslian pemohon untuk mengakses sumber daya jaringan Authenticator memberikan atau menolak akses untuk pemohon berdasarkan hasil penyelidikan dari server otentikasi (server RADIUS). Setelah pemohon berhasil mengautentikasi dengan server otentikasi, port jaringan memindahkan port yang dikontrol ke status "authorized", yang memungkinkan pemohon untuk mengakses sumber daya komputasi

IEEE 802.1x mendefinisikan sebuah protokol enkapsulasi yang disebut EAP over LAN (EAPoL) ke membawa paket EAP ini antara pemohon dan port jaringan. Itu pemohon dan authenticator menggunakan EAPoL untuk otentikasi dan otorisasi komunikasi. Authenticator kemudian mengemas ulang paket EAP ini dengan menggunakan Protokol RADIUS dan meneruskannya ke server otentikasi. Jaringan port dan authentication server menggunakan EAP over RADIUS untuk komunikasi. Itu pertukaran port jaringan Paket otentikasi EAP antara pemohon dan server otentikasi dengan enkapsulasi yang tepat, yaitu EAPoL untuk paketnya yang dimaksudkan untuk pemohon dan RADIUS untuk paket yang dimaksudkan untuk server otentikasi Catatan: EAPoL, yang didefinisikan dalam standar 802.1x, hanyalah sebuah enkapsulasi protokol untuk bertukar informasi otentikasi EAP antara pemohon dan authenticator.

EAP didefinisikan dalam RFC 3478. EAP memiliki kemampuan untuk mendukung banyak mekanisme otentikasi, menjadikannya kandidat terbaik untuk lulus informasi otentikasi dari sumber daya komputasi yang berbeda dalam area lokal jaringan. Mekanisme otentikasi yang berbeda mencakup One Time Password (OTP), Message Digest 5 (MD5), Transport Layer Security (TLS), Terowongan Transport Layer Security (TTLS), dan Protected Extensible Authentication Protokol (PEAP) untuk memberikan otentikasi. Masing-masing mekanisme terpisah RFC untuk menjelaskan penggunaannya atas EAP. EAP juga menyediakan kemampuan untuk mendukung mekanisme otentikasi masa depan.

Workstation terpasang pada jaringan, dan inisiat pemohon a sesi dengan authenticator Sesi dimulai dengan mengirim sebuah Paket EAPoL-Start. Authenticator merespon dengan mengirim sebuah Paket EAP-Request / Identity ke pemohon. Port jaringan bisa langsung memulai proses otentikasi dengan mengirimkan EAP-Request / Identity paket ke pemohon segera setelah pelabuhan beroperasi otentikasi diaktifkan di atasnya 2. Pemohon memberikan identitasnya dengan menanggapi authenticator dengan Paket EAP-Response / Identity. Authenticator meneruskan paket EAP ini ke server otentikasi di atas RADIUS, yang memverifikasi pemohon identitas.

Server otentikasi mengirimkan paket EAP-Request / Authentication ke authenticator di atas RADIUS dan meneruskannya ke si pemohon EAPoL. Paket ini meminta pemohon untuk membuktikan kredensialnya dengan menggunakan jenis otentikasi didukung pada server otentikasi. 4. Jika pemohon tidak mendukung jenis otentikasi yang disebutkan dalam EAP-Request / Authentication packet, ia merespons dengan pesan EAP-Nak, yang menunjukkan bahwa tipe otentikasi tidak didukung. Paketnya bisa Juga sertakan jenis autentikasi yang diinginkan yang didukung oleh sang pemohon. Jika pemohon mendukung jenis otentikasi, ia merespons dengan Paket EAP-Response / Authentication ke authenticator, yang ke depan paket ini ke server otentikasi. Jumlah permintaan dan respon pesan otentikasi yang dipertukarkan tergantung pada jenis otentikasi menggunakan. 5. Dengan serangkaian paket otentikasi EAP-Request dan -Response pertukaran, server otentikasi memverifikasi kredensial pemohon. Jika kredensial yang tepat, server otentikasi mengirimkan EAP-Success paket ke authenticator, yang kemudian diteruskan ke si pemohon. Itu pemohon menerima paket EAP-Failure jika tidak dapat membuktikannya kredensial Jika otentikasi berhasil, authenticator akan memindahkannya dikontrol port ke "berwenang" negara, memungkinkan pemohon untuk mengakses jaringan dan internet. 6. Jika jenis otentikasi berhasil, pemohon menerima sebuah Paket EAPOL-Key dari authenticator. IEEE 802.1x menyediakan cara bertukar informasi yang berkaitan dengan kunci enkripsi antara si pemohon dan authenticator dengan paket EAPOL-Key, membantu dalam berbagi kesamaan kunci enkripsi untuk sesi tertentu. Jika Anda menggunakan PEAP, TLS, atau TTLS lebih dari EAP untuk memberikan otentikasi, server otentikasi pertama kali mengirim informasi yang berkaitan dengan kunci enkripsi ke authenticator. Authenticator Ke depan informasi ini sebagai paket EAPOL-Key untuk si pemohon. 7. Jika si pemohon ingin memutuskan hubungan dari jaringan setelah berhasil otentikasi, ia mengirimkan paket EAPOL-Logoff ke authenticator. Itu authenticator segera memindahkan port yang dikontrol ke negara yang tidak berwenang menonaktifkan pemohon mengakses jaringan.

Bidang jenis paket menunjukkan jenis paket Nilai 0 untuk bidang ini menunjukkan bahwa itu adalah EAP paket. Bidang panjang pak panjang paket berisi panjang paket, tidak termasuk header Ethernet dan EAPoL. Di header EAP, bidang Kode menunjukkan jenis paket EAP. Ada empat jenis paket EAP yang dipertukarkan selama otentikasi: permintaan, respon, keberhasilan, dan kegagalan paket. Bidang Identifier cocok dengan tanggapan dengan permintaan Saat sebuah respon dikirim untuk permintaan tertentu, Nilai field Identifier dalam paket respon sama dengan yang ada pada field Identifier permintaan. Bidang Panjang menunjukkan panjang paket EAP, yang mencakup hanya kolom header dan data EAP. Nilai 1 menunjukkan bahwa itu adalah paket Permintaan EAP. Nilai 2 menunjukkan bahwa itu adalah paket EAP-Response. Field Type tambahan ada di header EAP dari paket permintaan atau tanggapan. Ini menunjukkan jenis permintaan atau paket tanggapan Gambar 23-10 Format paket EAP-Request dan EAP-Response Tabel 23-1 menyediakan beberapa jenis permintaan atau respons utama dan nilainya. Itu Tiga pertama adalah tipe khusus dan tipe yang tersisa menentukan berbagai metode otentikasi Tabel 23-1 Jenis permintaan dan tanggapan utama Permintaan dan jenis respon Nilai Identitas 1 Pemberitahuan 2 Nak (hanya tanggapan) 3 Tantangan MD-5 4 Kata sandi satu kali (OTP) 5 Kartu token generik (GTC) 6

Paket yang hanya dikirim sebagai EAP respon untuk menunjukkan bahwa tipe otentikasi yang dikirim dalam paket Request adalah tidak bisa diterima oleh rekan sejawat Nilai field Type pada header EAP adalah 3 sampai menunjukkan bahwa itu adalah paket EAP-Nak.

Paket EAP-Failure Tujuan alamat Sumber alamat Mengetik 0x888E Protokol versi 1 Paket mengetik 0 Tubuh paket panjangnya 4 Kode 3 Panjang pengenal 4 (Bytes) 6 6 2 1 1 2 1 1 2 Header EAPOL Headset Ethernet Headset 802.1x / EAPOL Header Bab 23. Kontrol akses jaringan berbasis port 903 Gambar 23-18 menunjukkan format paket EAPOL-Start. Nilai 1 untuk Paket jenis di header 802.1x dan EAPOL menunjukkan bahwa itu adalah EAPOL-Start paket. Tidak ada paket untuk paket ini; Oleh karena itu, nilai Panjang bidang isi paket adalah 0.

Parameter kontrol akses jaringan berbasis port fungsional. Standar untuk kontrol akses jaringan berbasis port memungkinkan fleksibilitas masuk penyebaran. Setiap perangkat yang mampu mendukung 802.1x dapat bertindak seperti apapun kombinasi dari pemohon, authenticator, dan server otentikasi. Namun, untuk memanfaatkan jumlah fungsionalitas terbesar, standar IEEE 802.1x menyarankan penggunaan aspek berikut.

Parameter kontrol akses jaringan berbasis port fungsional Standar untuk kontrol akses jaringan berbasis port memungkinkan fleksibilitas masuk penyebaran. Setiap perangkat yang mampu mendukung 802.1x dapat bertindak seperti apapun kombinasi dari pemohon, authenticator, dan server otentikasi. Namun, untuk memanfaatkan jumlah fungsionalitas terbesar, standar IEEE 802.1x menyarankan penggunaan aspek berikut. Tujuan alamat Sumber alamat Mengetik 0x888E Protokol versi 1 Paket mengetik 3 Paket Panjang tubuh Deskripsi mengetik kunci lengt h Ulangan melawan Kunci IV Kunci indeks Kunci kunci tanda tangan 6 6 2 1 1 2 1 2 8 16 1 16 N (Bytes) Header Ethernet Header 802.1x / EAPOL Key deskriptor (Bytes) Bab 23. Kontrol akses jaringan berbasis port 905 Otentikasi tepi Standar IEEE 802.1x menyarankan penggelaran 802.1x pada switch tepi terdekat ke perangkat yang membutuhkan akses ke sumber daya komputasi, seperti yang digambarkan pada Gambar 23-5 di halaman 896. Pendekatan ini menciptakan keuntungan sebagai berikut: Keamanan Semua status akhir yang diautentikasi pada jembatan akses lokal terlindungi stasiun akhir yang tidak diautentikasi Jika otentikasi dilakukan pada sebuah inti jembatan, adalah mungkin bagi sebuah stasiun akhir yang jahat untuk menyerang akhir yang otentik stasiun terhubung ke jembatan akses lokal yang sama, atau sejumlah lainnya jembatan akses lokal antara jembatan ini dan jembatan inti. Serangan ini dieliminasi dengan membatasi layanan ke stasiun akhir yang tidak diautentikasi secara langsung jembatan akses lokal. Kompleksitas Jika otentikasi dilakukan di inti LAN, ada kemungkinan beberapa jembatan di segmen bersama yang memulai otentikasi. Untuk menghindarinya, entitas protokol jembatan harus memanipulasi pohon rentang untuk dibuat Tentu hanya jembatan yang terletak di jalur penerusan inisiat otentikasi. Skalabilitas Menerapkan otentikasi di inti LAN memerlukan otentikasi tergantung pada alamat MAC individu, tidak hanya pada titik fisik lampiran. Hal ini, pada gilirannya, mensyaratkan bahwa status otentikasi dikaitkan dengan entri database penyaringan untuk alamat MAC tersebut. Hal ini meningkatkan biaya implementasi dan membutuhkan perubahan pada operasi penuaan alamat dan belajar. Topologi berubah dan mencakup konfigurasi ulang pohon mempersulit interaksi dalam jaringan besar.

Tersedianya Jaringan yang dijembatani sering dirancang dengan ketersediaan sebagai salah satu dari tujuan utama Inti dari jaringan adalah redundant fault-tolerant. Jika Otentikasi dilakukan pada intinya, hal ini membutuhkan reauthentication dari semua stasiun akhir setiap kali perubahan topologi menyebabkan perubahan status port pada membentang pohon Penjembatanan translasi Melakukan otentikasi di jembatan akses menghindari komplikasi yang timbul dari penjembatanan translasi atau VLANS. Jika hanya satu link ada antara end station dan jembatan, frame tidak perlu diterjemahkan atau diberi tag selama pertukaran otentikasi. Jalan menuju jembatan inti mungkin melibatkan a berbagai jenis link (FDDI, token ring, dan sebagainya) dan format paket (untuk Misalnya, bingkai tag VLAN, enkapsulasi MAC). Apakah otentikasi untuk diizinkan di jembatan inti, peraturan tambahan mungkin perlu dilakukan tentukan bagaimana protokol otentikasi diterjemahkan. Propagasi multicast. Jika otentikasi terjadi di inti LAN, maka perlu akses lokal. Jembatan untuk meneruskan lalu lintas authenciation ke arah inti sehinggaauthenticator bisa merespon Karena jembatan inti tidak bisa merasakan koneksi stasiun akhir ke port pengaman akses lokal, inisiasi dari otentikasi dapat terjadi baik saat menerima lalu lintas dari stasiun akhir yang baru atau melalui inisialisasi stasiun akhir. Membutuhkan jembatan inti untuk dipelihara status otentikasi untuk setiap stasiun akhir tidak berskala. Agar inisiasi stasiun akhir untuk mencapai pengantin inti, ini mensyaratkan hal tersebut (multicast) dibanjiri jembatan akses authenciation-access, stasiun akhir yang tidak sabar Sebaliknya, jika otentikasi hanya terjadi di lokal akses jembatan, frame multicast ini tidak diteruskan.

RFC yang relevan dengan bab ini

RFC berikut memberikan informasi rinci tentang penerimaan jaringan

kontrol seperti yang disajikan sepanjang bab ini:

RFC 2716 - Protokol Otentikasi PPP EAP TLS (Oktober 1999)

RFC 2865 - Remote Authentication Dial di Layanan Pengguna (RADIUS) (Juni 2000)

RFC 3748 - Protokol Otentikasi Diperluas (EAP) (Juni 2004)

Persyaratan Persyaratan Protokol Otentikasi Diperluas (RFC 4017 - Extensible Authentication Protocol (EAP) untuk LAN Nirkabel (Maret 2005)

Antarmuka Antarmuka Internet-Draf - EAP over UDP (EAoUDP)

Ketersediaan, skalabilitas, dan penyeimbang beban Bab ini membahas berbagai ketersediaan, skalabilitas, dan load balancing teknik yang digunakan dalam perusahaan dalam upaya untuk memastikan arus data kontinyu dan meminimalkan pemadaman listrik. Bab ini menjelaskan topik berikut: Ketersediaan Skalabilitas Load balancing Clustering Virtualisasi Protokol Redundansi Router Virtual (VRRP) DNS round-robin Solusi alternatif untuk load balancing

Bisnis internet telah berkembang dengan sangat cepat sehingga ketersediaannya terus menerus Data mission-critical dan aplikasi yang berada pada server sangat penting persyaratan untuk perusahaan. Internet menantang perusahaan untuk mengembangkan hal baru strategi untuk meningkatkan pendapatan dan menyediakan produk dan pengiriman yang rinci informasi. Hasilnya memunculkan kepuasan klien dan mitra bisnis. Juga pengelolaan proses bisnis internal perusahaan yang diakses Melalui internet oleh tenaga kerja harus lebih optimal. Meningkatnya permintaan dari klien, mitra bisnis, dan karyawan untuk akses aplikasi dan data merupakan tantangan bagi pengembangan server baru dan strategi dan layanan jaringan. Pertimbangkan tiga aspek utama berikut ini: Bagaimana ketersediaan informasi perusahaan tersedia 24 jam sehari dan 7 hari seminggu? Bagaimana layanan ini bisa dijamin bahkan jika jumlahnya Transaksi meningkat sangat cepat, misalnya karena lonjakan pada klien atau pertanyaan rekan bisnis? Bagaimana akses ke aplikasi dan data server dibagi antara paralel server yang terpasang Jawabannya adalah ketersediaan, skalabilitas, dan load balancing. Dalam bab ini, kita diskusikan teknik yang bisa digunakan untuk mencapai ketersediaan, skalabilitas, dan penyeimbang beban. Kami membahas setiap teknik di tingkat yang cukup tinggi.

Ketersediaan Contoh aplikasi, antarmuka jaringan, dan mesin bisa gagal (direncanakan untuk pemeliharaan atau tidak terencana karena kesalahan aplikasi atau sistem). Dalam kasus-kasus ini, pengguna tidak boleh kehilangan layanan mereka. Memulihkan dari kegagalan aplikasi contoh adalah cukup mudah dalam aplikasi yang hanya ulang. Antarmuka jaringan Kegagalan juga bisa ditoleransi dengan memanfaatkan alamat IP virtual, yang mana tidak terikat pada antarmuka fisik tertentu dan karenanya tidak akan pernah gagal. Alamat IP virtual dapat diberikan ke perangkat yang memiliki satu atau beberapa jaringan antarmuka. Hal ini memungkinkan mesin pengguna untuk mengambil IP tertentu yang terkait dengan mesin atau perangkat tertentu. Namun, alamat IP yang diberikan tidak terikat alamat IP fisik dari antarmuka perangkat. Oleh karena itu, jika salah satu antarmuka gagal, pengguna tidak menyadari kegagalannya. Kegagalan mesin, bagaimanapun, adalah sedikit lebih kompleks. Pengguna harus bisa segera hubungkan kembali ke layanan tanpa mengetahui bahwa mereka sekarang menggunakan Gambar alternatif aplikasi pada sistem lain. Pengguna juga tidak boleh sadar bahwa jalan ke sistem lain telah otomatis berubah. Itu Penggunaan virtualisasi bisa sangat menguntungkan dengan memperhatikan peningkatan tersedianya sistem Virtualisasi akan dibahas lebih lanjut nanti.

Skalabilitas berarti memberikan solusi bagi bisnis yang berkembang yang membutuhkan kapasitas sistem tambahan Bila kapasitas beban kerja menjadi lebih kecil karena lebih banyak permintaan koneksi baru dari klien atau mitra bisnis, a Pertumbuhan nondisruptif dari lingkungan sistem saat ini harus tersedia. Dalam lingkungan sistem single tradisional (tidak ada sistem berkerumun), a Upgrade sistem yang nondisruptif relatif terbatas. Untuk meningkatkan kapasitas, sistem ini harus diturunkan untuk menginstal fitur baru. Oleh karena itu, mereka tidak tersedia untuk waktu tertentu Implementasi sistem cluster adalah pendekatan yang lebih baik (dibahas di lebih mendalam nanti). Menambahkan sistem baru ke cluster yang menjalankan aplikasi yang sama Contoh tidak mempengaruhi sistem lain dalam cluster. Solusi ini menambahkan kapasitas yang mulus untuk bisnis yang sedang berkembang. Dibandingkan dengan sistem tradisional, Pengguna tidak terikat pada sistem yang diberikan di lingkungan clustered server. Oleh karena itu, pengelolaan koneksi pengguna ke server lebih fleksibel. Saat sistem baru online, koneksi baru diarahkan ke mesin itu mengambil alih beban kerja baru.

Teknik generik untuk meningkatkan skalabilitas meliputi pengelompokan, virtualisasi, dan

pemantauan perangkat untuk memastikan bahwa jika batas sumber daya tertentu terpenuhi,

sumber daya ditingkatkan Kami membahas pengelompokan dan virtualisasi lebih banyak lagi

detail nanti

Load balancing

Menetapkan aplikasi dengan koneksi pengguna ke sistem tertentu bisa membebani kapasitas sistem ini, sementara sistem lain dengan permintaan koneksi yang lebih sedikit aplikasi lain mungkin membuang kapasitas gratis. Untuk mencapai tujuan untuk tingkat beban yang sama dari semua sistem, sistem ini harus dilakukan diatur dalam kelompok sistem berkelompok. Semua sistem dalam cluster ini bisa memberi informasi tentang beban kerja mereka ke perangkat load balancing. Perangkat ini akan sekarang bertanggung jawab untuk mendistribusikan permintaan koneksi dari pengguna ke sistem dari server aplikasi, berdasarkan informasi beban kerja. Pengguna tidak mengetahui cluster tersebut. Mereka mencoba untuk terhubung ke layanan, dengan asumsi itu berjalan di mesin penyeimbang beban. Penyeimbang beban ke depan permintaan koneksi ke penyedia layanan sebenarnya berdasarkan beban kerja saat ini semua sistem di cluster. Informasi tentang keadaan beban kerja bisa jadi disediakan oleh fungsi, seperti pengelola beban kerja yang berada di setiap sasaran sistem. Jika tidak ada informasi beban kerja dari sistem target, penyerah beban bisa gunakan aturan distribusi, seperti: Distribusi round-robin sederhana. Jumlah koneksi terdistribusi. Kami membahas teknik yang digunakan untuk membantu atau menyediakan load balancing, skalabilitas, dan ketersediaan berikutnya.

Clustering

Untuk memberikan persyaratan ketersediaan referensi, sistem lain organisasi harus diterapkan Hal ini menyebabkan beberapa aplikasi berjalan. Contoh pada beberapa mesin, termasuk tumpukan TCP / IP dengan paralel koneksi ke jaringan TCP / IP. Solusi ini disebut teknik clustering. Secara umum, digunakan untuk tujuan load balancing namun juga berlaku untuk penyelesaian persyaratan ketersediaan tinggi Teknik pengelompokan mengirimkan koneksi ke server target, tidak termasuk server gagal, dari daftar server target yang bisa menerima koneksi. Di dalam cara, fungsi pengiriman menghindari koneksi routing ke server yang tidak mampu memuaskan permintaan semacam itu. Teknik clustering membutuhkan penerapan aplikasi yang sama contoh berjalan pada mesin yang berbeda. Jika aplikasi, sistem operasi dengan tumpukan TCP / IP, atau mesin gagal, teknik pengiriman segera menyediakan cadangan. Pengguna yang meminta layanan dari server tertentu tidak akan lagi alamat. Aplikasi di server tertentu tapi sekarang akan membahas sekelompok server. Itu Permintaan koneksi sekarang dikirim ke petugas operator, siapa yang memutuskan mana yang tersedia server aplikasi itu diteruskan Karena itu, pengguna tidak sadar yang mana server aplikasi (dalam grup) mereka terhubung. Teknik pengelompokan memerlukan alamat yang mengacu pada kelompok aplikasi. Hal ini dapat diatasi melalui alamat IP virtual. Alamat IP virtual (VIPA) adalah alamat IP dari sekelompok server aplikasi, misalnya, server Telnet. VIPA ini digunakan untuk permintaan koneksi. Petugas operator adalah penerima permintaan koneksi dari pengguna Ini memilih dari daftar server yang tersedia secara nyata server dan meneruskan permintaan ke server ini. Proses pemilihan server aplikasi yang tersedia dapat diperpanjang oleh petugas operator dengan menggunakan peraturan distribusi yang berbeda. Distribusi koneksi Permintaan akan dibahas di bagian load balancing. Aspek lain dari ketersediaan yang perlu dipertimbangkan adalah saat petugas operator gagal. Di dalam Kasus, petugas operator cadangan harus diimplementasikan dengan alamat IP yang sama bahwa pengguna dapat mengirim permintaan koneksi mereka ke petugas operator cadangan. SEBUAH Petugas pengirim cadangan juga menyebarkan alamat IP-nya ke jaringan. Karena itu, router menggunakan jalur baru yang mengarahkan permintaan koneksi pengguna ke petugas pengiriman cadangan. Jika petugas operator menjaga koneksi klien / server, petugas operator cadangan harus mengambil alih koneksi yang sedang berjalan. Proses takeback harus dilakukan diimplementasikan untuk mengembalikan koneksi yang berjalan ke petugas operator utama. Virtualisasi juga merupakan teknik yang digunakan untuk menyediakan ketersediaan dan skalabilitas. Virtualisasi memiliki kesamaan dengan teknik clustering berkaitan dengan transparansi yang ditunjukkan kepada pengguna mengenai mesin fisik mana yang sedang digunakan digunakan dan juga tidak ada dampaknya bagi pengguna jika sebuah mesin gagal. Kita diskusikan virtualisasi selanjutnya

Virtualisasi

Virtualisasi adalah representasi logis dari sumber daya yang tidak terhambat secara fisik batas. Tujuan utama virtualisasi adalah menyederhanakan infrastruktur TI. Ini menyederhanakan akses terhadap sumber daya dan pengelolaan sumber daya tersebut. Pengguna mengakses layanan yang dibutuhkan melalui antarmuka standar yang didukung dan dikelola oleh sumber daya virtual. Antarmuka standar memungkinkan Masalah ketersediaan diminimalkan saat terjadi perubahan pada infrastruktur TI. Ada banyak jenis virtualisasi, dan kami jelaskan beberapa hal berikut ini bagian. Untuk informasi tambahan, lihat: Artikel IBM developerWorks® "Virtualisasi Singkatnya: Sebuah titik pola dari pandangan " http://www.ibm.com/developerworks/grid/library/gr-virt/ IBM Redpaper Virtualization dan On Demand Business, REDP-9115 http://www.redbooks.ibm.com/redpapers/pdfs/redp9115.pdf Virtualisasi server Banyak aplikasi tidak bisa di host di server fisik yang sama karena resource konflik Hal ini menciptakan masalah terkait jumlah server yang digunakan juga sebagai pemanfaatan sumber daya yang ada. Kurangnya pemanfaatan ini mahal, terutama mengingat biaya ruang penyimpanan terbuang, pengolahan server kemampuan, dan pemanfaatan jaringan. Virtualisasi server adalah salah satu cara untuk menyelesaikannya masalah. Virtualisasi server digunakan untuk melepaskan aplikasi dari fisik konfigurasi dan keterbatasan. Virtualisasi server umumnya digunakan sebagai IT teknik optimasi dan memiliki banyak manfaat mengenai ketersediaan dan skalabilitas. Virtualisasi server memberikan fleksibilitas untuk mengubah alokasi secara dinamis sumber daya sistem untuk lingkungan virtual. Server virtual bisa berjalan pada salah satu mesin fisik. Ini berarti sumber daya mesin itu sepenuhnya berbagi Hal ini memungkinkan untuk menjalankan server fisik dengan utilisasi tinggi tingkat. Selain itu, jika ada sumber daya fisik yang mendasarinya berubah, itu tidak mempengaruhi server virtual. Hal ini meningkatkan tingkat skalabilitas dan ketersediaan yang terkait dengan setiap server virtual. Aspek lain dari ketersediaan untuk dipertimbangkan adalah jika salah satu contoh server virtual gagal Dalam kasus seperti itu, hal itu tidak mempengaruhi server virtual lainnya saat ini berada pada mesin fisik yang sama. Setiap instance dari virtual server adalah benar-benar terisolasi satu sama lain. Ini juga menghilangkan masalah keamanan atau kekhawatiran tentang kebocoran data Setiap instance dari server juga disimpan sebagai file, yang kemudian dapat dengan mudah disalin ke server virtual baru jika instance gagal. Ini membantu dengan waktu yang dibutuhkan untuk memulihkan server virtual dan keseluruhannya ketersediaan layanan yang disediakan.

Virtualisasi penyimpanan

Virtualisasi penyimpanan adalah kombinasi dari kapasitas penyimpanan ganda pengendali ke satu sumber tunggal dengan satu tampilan sumber daya penyimpanan. Lapisan virtual ini antara perangkat penyimpanan fisik dan pengguna atau host Aplikasi menyediakan kemampuan untuk menyembunyikan infrastruktur fisik dari aplikasi dan pengguna. Manfaat virtualisasi penyimpanan adalah kemampuan untuk menambahkan, upgrade, atau menghapus ruang dan disk tanpa aplikasi atau layanan pengguna terpengaruh.

Virtualisasi jaringan

Virtualisasi jaringan memungkinkan administrator mengelola bagian jaringan yang mungkin dibagi di antara perusahaan yang berbeda sebagai jaringan virtual, sementara masih terus melestarikan isolasi lalu lintas dan pemanfaatan sumber daya. Jaringan virtualisasi juga memungkinkan administrator untuk memprioritaskan lalu lintas di seluruh jaringan memastikan kinerja optimal untuk aplikasi bisnis vital dan proses. Ini termasuk teknologi seperti virtual private networks (VPNs), HiperSockets ™, jaringan virtual, dan LAN virtual.

Protokol Redundansi Router Virtual (VRRP) Protokol Redundansi Router Virtual (VRRP) dikeluarkan ke IETF oleh IBM, Mendaki Komunikasi, Microsoft, dan Digital Equipment Corporation pada bulan April 1998 dan didokumentasikan di RFC 3768. Statusnya adalah standar yang diusulkan.

Penggunaan rute default yang dikonfigurasi secara statis cukup populer untuk IP host konfigurasi Ini meminimalkan inefisiensi konfigurasi dan pengolahan pada end host dan didukung oleh hampir setiap implementasi IP. Mode ini operasi kemungkinan di mana protokol konfigurasi host dinamis (seperti 3,7, "Dynamic Host Configuration Protocol (DHCP)" pada halaman 130) dikerahkan, yang biasanya menyediakan konfigurasi untuk alamat IP host akhir dan default pintu gerbang. Namun, ini menciptakan satu titik kegagalan. Hilangnya router default menghasilkan peristiwa bencana, mengisolasi semua host akhir yang tidak dapat dideteksi jalur alternatif yang mungkin tersedia.

VRRP menentukan sebuah protokol pemilihan itu secara dinamis memberikan tanggung jawab untuk router virtual ke salah satu router VRRP di LAN Router VRRP mengendalikan alamat IP yang terkait dengan virtual router disebut master, dan meneruskan paket yang dikirim ke alamat IP ini. Proses pemilihan memberikan kegagalan dinamis dalam tanggung jawab forwarding jika master menjadi tidak tersedia Salah satu alamat IP router virtual pada a LAN kemudian dapat digunakan sebagai router hop pertama default oleh host akhir. Itu Keuntungan yang diperoleh dari penggunaan VRRP adalah jalur default ketersediaan yang lebih tinggi membutuhkan konfigurasi routing dinamis atau protokol penemuan router pada setiap end host (lihat protokol penemuan router di 3.2, "Pesan Kontrol Internet Protokol (ICMP) "di halaman 109).

Definisi VRRP

Beberapa istilah yang digunakan dalam VRRP adalah: Router VRRP Router yang menjalankan Virtual Router Redundancy Protokol. Ini dapat berpartisipasi dalam satu atau lebih virtual router. Virtual router Sebuah objek abstrak yang dikelola oleh VRRP yang bertindak sebagai router default untuk host di LAN bersama. Terdiri dari pengenal router virtual dan seperangkat IP terkait alamat tergantung pada definisi, di a LAN biasa. Router VRRP dapat membuat cadangan satu atau beberapa lebih banyak router virtual Pemilik alamat IP Router VRRP yang memiliki IP router virtual alamat sebagai alamat antarmuka nyata Ini adalah Router itu, saat naik, merespon paket yang dialamatkan ke salah satu alamat IP untuk ping ICMP, TCP koneksi, dan sebagainya. Alamat IP Primer Alamat IP dipilih dari kumpulan antarmuka yang sebenarnya alamat. Salah satu algoritma seleksi yang mungkin adalah selalu pilih alamat pertama Iklan VRRP selalu dikirim menggunakan alamat IP utama sebagai sumber paket IP. Master router virtual Router VRRP yang mengasumsikan tanggung jawab paket forwarding dikirim ke alamat IP terkait dengan router virtual dan menjawab ARP permintaan untuk alamat IP ini Perhatikan bahwa jika IP Pemilik alamat tersedia, maka akan selalu menjadi menguasai. Backup router virtual Rangkaian router VRRP tersedia untuk diasumsikan forwarding tanggung jawab untuk virtual router jika master saat ini gagal

Ikhtisar VRRP

VRRP menentukan protokol pemilihan untuk menyediakan fungsi virtual router dijelaskan sebelumnya Semua pesan protokol dilakukan dengan menggunakan multicast IP datagrams (lihat Bab 6, "IP multicast" di halaman 237), sehingga protokolnya bisa beroperasi di berbagai teknologi LAN multiaccess yang mendukung IP multicast Setiap router virtual VRRP memiliki satu alamat MAC yang terkenal dialokasikan untuk itu Alamat MAC router virtual digunakan sebagai sumber dalam semua Pesan VRRP periodik yang dikirim oleh master router untuk memungkinkan pembelajaran jembatan di sebuah LAN yang diperluas

Sebuah virtual router didefinisikan oleh virtual router identifier (VRID) dan satu set IP alamat. Router VRRP dapat menghubungkan router virtual dengan alamat sebenarnya pada sebuah interface dan juga bisa dikonfigurasi dengan tambahan virtual router pemetaan dan prioritas untuk router virtual itu bersedia untuk membuat cadangan. Pemetaan antara VRID dan alamat harus dikoordinasikan di antara semua router VRRP pada a LAN. Namun, tidak ada batasan untuk menggunakan kembali VRID dengan yang berbeda pemetaan alamat pada LAN yang berbeda. Ruang lingkup setiap router virtual dibatasi untuk LAN tunggal. Untuk meminimalkan lalu lintas jaringan, hanya master untuk setiap router virtual yang mengirimkan VRRP berkala pesan iklan Router cadangan tidak akan mencoba untuk mendahului master kecuali jika memiliki prioritas lebih tinggi. Ini menghilangkan gangguan layanan kecuali lebih jalur pilihan tersedia. Hal ini juga memungkinkan untuk secara administratif melarang semua upaya preemption Satu-satunya pengecualian adalah bahwa router VRRP akan selalu menjadi master dari setiap router virtual yang terkait dengan alamat yang dimilikinya. Jika master menjadi tidak tersedia, backup prioritas tertinggi akan beralih ke master Setelah penundaan singkat, memberikan transisi terkontrol dari router virtual tanggung jawab dengan gangguan pelayanan minimal. Desain protokol VRRP memberikan transisi cepat dari master ke backup ke meminimalkan gangguan layanan dan memasukkan pengoptimalan yang mengurangi protokol kompleksitas sambil menjamin transisi master terkontrol untuk operasional tipikal skenario. Optimasi menghasilkan protokol pemilihan dengan runtime minimal persyaratan negara, status protokol aktif minimal, dan satu jenis pesan tunggal dan pengirim. Skenario operasional tipikal didefinisikan dua berlebihan router atau preferensi jalur yang berbeda di antara masing-masing router, atau keduanya. Efek samping Bila asumsi ini dilanggar (misalnya lebih dari dua redundan path semua dengan preferensi yang sama) adalah bahwa paket duplikat dapat diteruskan untuk a periode singkat selama pemilihan ketua. Namun, skenario tipikal. Asumsi cenderung mencakup sebagian besar penyebaran, kehilangan master router jarang terjadi, dan durasi yang diharapkan dalam pemilihan master konvergensi cukup kecil (<1 detik). Oleh karena itu, optimalisasi VRRP merupakan penyederhanaan yang signifikan dalam desain protokol saat menimbulkan a probabilitas jaringan degradasi jaringan yang tidak signifikan.

Konfigurasi contoh

contoh konfigurasi sederhana VRRP Konfigurasi ini menunjukkan skenario VRRP yang sangat sederhana. Dalam konfigurasi ini, end host menginstal rute default ke alamat IP dari router virtual # 1 (alamat IP 9.180.20.3) dan kedua router menjalankan VRRP. Router di sebelah kiri menjadi master untuk router virtual # 1 (VRID = 1), dan router di sebelah kanan adalah cadangannya router virtual # 1. Jika router di sebelah kiri gagal, router lain mengambil alih virtual router # 1 dan alamat IP-nya, dan menyediakan layanan tanpa gangguan untuk host. Perhatikan bahwa dalam contoh ini, alamat IP 9.180.20.4 tidak didukung oleh router di kiri. Alamat IP 9.180.20.4 hanya digunakan oleh router di sebelah kanannya alamat antarmuka Untuk back up alamat IP 9.180.20.4, virtual kedua router perlu dikonfigurasi Hal ini ditunjukkan pada Gambar 24-4.

konfigurasi dengan dua router virtual dengan host membelah lalu lintas mereka di antara mereka. Contoh ini diharapkan sangat umum dalam praktik sebenarnya. Dalam konfigurasi ini, setengah dari host menginstal sebuah default rute ke router virtual # 1 (alamat IP 9.180.20.3), dan setengah lainnya dari host menginstal rute default ke router virtual # 2 (alamat IP o f 9.180.20.4). Ini memiliki efek load balancing lalu lintas dari host melalui router, sementara juga menyediakan redundansi penuh. Format paket VRRP 24.6.5 Tujuan paket VRRP adalah mengkomunikasikan ke semua router VRRP prioritas dan keadaan router induk yang terkait dengan ID router virtual. Paket VRRP dikirim dienkapsulasi dalam paket IP. Mereka dikirim ke IPv4 alamat multicast yang ditugaskan ke VRRP. Alamat IP, seperti yang ditugaskan oleh IANA untuk VRRP, adalah 224.0.0.18. Ini adalah link alamat multicast lingkup lokal. Router tidak boleh meneruskan sebuah datagram dengan alamat tujuan ini tanpa memandang TTL-nya (lihat 3.1, "Protokol Internet (IP)" di halaman 68). TTL harus diatur ke 255. A Router VRRP yang menerima paket dengan TTL tidak sama dengan 255 harus membuang paket.

Bidang header VRRP didefinisikan sebagai berikut: Versi Bidang versi menentukan versi protokol VRRP dari paket ini (Dalam RFC 3768, versinya adalah 2.) Jenis Bidang jenis menentukan jenis paket VRRP ini. Satu-satunya jenis paket yang didefinisikan dalam versi protokol adalah 1. Virtual router ID (VRID) Bidang virtual router identifier (VRID) mengidentifikasi router virtual yang paket ini melaporkan status. Prioritas Bidang prioritas menentukan router pengirim VRRP prioritas untuk router virtual. Nilai yang lebih tinggi sama prioritas yang lebih tinggi Nilai prioritas untuk router VRRP yang memiliki alamat IP yang terkait dengan virtual router harus 255. Router VRRP membackup sebuah virtual router harus menggunakan nilai prioritas antara 1-254. Itu nilai prioritas default untuk router VRRP memback up a router virtual adalah 100. Nilai prioritas nol (0) telah Arti khusus, menunjukkan bahwa master saat ini memiliki berhenti berpartisipasi dalam VRRP Ini digunakan untuk memicu router cadangan untuk cepat transisi ke master tanpa Harus menunggu master saat ini untuk time out. Hitung IP addrs Jumlah alamat IP yang terdapat dalam VRRP ini iklan. Tipe auth Bidang jenis otentikasi mengidentifikasi metode otentikasi yang digunakan Otentikasi Jenisnya unik pada basis per antarmuka. Itu Bidang jenis otentikasi adalah bilangan bulat unsigned 8-bit. SEBUAH paket dengan jenis otentikasi yang tidak diketahui atau yang tidak tidak sesuai dengan metode autentikasi yang dikonfigurasi secara lokal harus dibuang Metode otentikasi yang saat ini didefinisikan adalah: 0 - Tidak ada otentikasi 1 - kata sandi teks sederhana 2 - header otentikasi IP Interval iklan (Adver Int) Defaultnya adalah 1 detik. Bidang ini bisa digunakan untuk mengatasi masalah router yang salah dikonfigurasi Checksum Ini digunakan untuk mendeteksi data korupsi di VRRP pesan.
Alamat IP (es) Satu atau beberapa alamat IP yang terkait dengan router virtual Data otentikasi String otentikasi saat ini hanya digunakan untuk otentikasi teks sederhana