ISA Server Üzerinde User Bandwith Control

[GheTTo]

ISA Server Üzerinde User Bandwith Control

Mevcut internet çıkışlarımızı etkin ve efektif bir şekilde düzenleyemediğimiz durumlarda ise, ortaya çıkan darboğaz ; kullanıcıların yaptıkları download’lar veya web siteleri üzerinde gezinirken istedikleri şekilde sınırsız erişim sayesinde amaçlarına ulaşması, fakat önemli sunucularımızın ( exchange ,RAS ,web Server ) ihtiyacı olan bandı kullanamaması şeklinde ortaya çıkar. Şayet istediğimiz sunucuya veya istediğimiz kullanıcı grubuna özel erişim miktarını belirleyebilirsek , bu sıkıntıyı ortadan kaldırmış oluruz.
İnternet erişiminin yerel bir ağ’a dağıtılması/paylaştırılması esnasında bizleri en çok düşündüren ve çoğu zaman elimizdeki mevcut yapısal veya yazılımsal araçlarla müdahale edemediğimiz hususlardan bir tanesi de bandwith yönetimidir.


Mevcut internet çıkışlarımızı etkin ve efektif bir şekilde düzenleyemediğimiz durumlarda ise, ortaya çıkan darboğaz ; kullanıcıların yaptıkları download’lar veya web siteleri üzerinde gezinirken istedikleri şekilde sınırsız erişim sayesinde amaçlarına ulaşması, fakat önemli sunucularımızın ( exchange ,RAS ,web Server ) ihtiyacı olan bandı kullanamaması şeklinde ortaya çıkar. Şayet istediğimiz sunucuya veya istediğimiz kullanıcı grubuna özel erişim miktarını belirleyebilirsek , bu sıkıntıyı ortadan kaldırmış oluruz.

Yüksek fiyatlarda satın aldığımız Leased Line, Frame Relay gibi hatlarımızı bu şekilde bir uygulama ile istediğimiz gibi kontrol altına alabiliriz.

Örnek verecek olursak, elimizde bulunan 512/512 Leased Line bir hattımızın 128 Kbit’ini web sunucumuza, 128 Kbit’ini Mail Sunucumuza ve geriye kalan 256 Kbit’i de çeşitli user gruplarına önem derecelerine göre paylaştırabiliriz. Bu userlardan önem dereceleri yüksek olanlar da kendi aralarında 256 kbit’i bizim belirleyecegimiz rule’lar sayesinde bölüşürler. Ve bu durumda ortaya çıkan tablo en efektif internet kullanımı olarak fayda sağlar.

Proxy ve NAT hizmetleri veren çeşitli 3. parti ürünler halihazırda bu isteklerimizi yerine getiriyor, örneğin, RhinoSoft firmasının AllegroSoft yazılımı bir proxy görevi yaparak aynı zamanda band erişimini userlar bazında yönetebiliyor, aynı şekilde CCproxy yazılımı da band yönetimi yapan diğer bir uygulamadır.


Şayet şirketimizde ISA 2004 veya Windows RRAS - NAT hizmetini çalıştırıyorsak veya en basitinden ICS ( internet Connection Sharing ) gibi bir uygulama ile internet hattını iç networke dağıtıyorsak , burada daha fazla düsünmemiz gerekecektir. Çünkü seçmiş olduğumuz yöntem bir NAT uygulamasıdır ve Proxy hizmeti veren yukardaki yazılımlar bizlerin band yönetim ihtiyacını sağlıyor olsalar da , ISA veya RRAS gibi komplike bir NAT yapısında işlevsiz kalacaklardır. Aynı zamanda bu 3. parti yazılımlar ISA veya RAS ile birlikte çalışmayacaklardır.


Peki bu durumda ne yapmalıyız? Hem şirketimiz için önem derecesi yüksek bir Firewall uygulaması olan ISA 2004’ü şirketimizin çıkış kapısındaki güçlü bir bekçi olarak kullanıp, hem de bunun üzerinden iç network’umuza gelen bandımızı yukarıdaki örnekte anlatıldığı üzere dağıtmak nasıl olabilir? ISA 2004’ün bu konuda bizlere sunacağı bir alternatif ne yazık ki yok. Bu durumda 3. parti bir uygulamadan yardım alacağız ;


Softperfect Bandwith Manager. Bu uygulama ISA 2004’ü çalıştıran sunucumuza install edilecek ve kısa bir konfigurasyon ile istediğimiz şekilde artık user’lara ve internet odaklı sunucularımıza giden kilobyte’ları istediğimiz gibi belirleyebilecegiz.

Oldukça ufak olan ve gayet başarılı çalışan bu yazılımın ISA 2004 üzerinde hiçbir yan etkisi bulunmamaktadır çünkü yaptığı iş, MTU değerlerini belirleyerek sunucuya hangi IP’den gelen isteklere ne kadar throughput verileceği, günün hangi saatleri içerisinde hangi IP blokları ne kadar erişime sahip olacağı, ve çok önemli bir özellik olarak Hangi spesifik port/portlar üzerinden kaç KB veri geçeceği yine MTU değerleri ile belirlenmektedir.

Tekrar edecek olursak, bu uygulama sadece ISA 2004 üzerinde değil, ilgili sunucuda hangi NAT tabanlı yazılım çalışıyorsa çalışsın, başarılı bir şekilde hizmet vermeye devam edecektir.

Sıra geldi uygulamanın kurulum aşamalarına ;

• ISA 2004’ün sistemde kurulmuş olduğunu varsayıyoruz
• SoftPerfect Bandwith Manager’ın kurulum aşaması
• Gerekli konfigurasyon ayarları
• Bir user’dan yapılan test aşaması

SBM’nin kurulumu ise oldukça kolay,


1. http://www.softperfect.com/download/ adresinden bandwith manager’ı download ederek kuruluma başlıyoruz.

2. System Service ve Yönetim paneli seçeneklerini işaretleyerek NEXT diyoruz

3. Kısa kurulum bittikten sonra sistemi restart ediyoruz.

Şimdi ise gerekli konfigürasyon ayarlarını yapacağız;

SBM yönetim paneli
Rules menüsünden ADD RULES seçeneği ile ilk kuralımızı yaratıyoruz ;

Açılan Rule penceresinde hangi istikamete doğru erişimin kısıtlanacağını belirliyoruz, buradaki ayarlar isteğinize göre şekillendirilebilir , örnekte BOTH seçeneğini kullanıyoruz ve daha sonra Transfer değerini belirtiyoruz , burada da Bytes/sec’ i belirttikten sonra alttaki satıra gireceğimiz değer ilgili kullanıcıların erişimlerinin ne kadar olacağıdır, örnekte 10000 yaptık ve bu sayede Userlar sadece 10 KB ile internete çıkacaklardır.


Alttaki protocol seçeneğinde ise hangi protokole göre bu hız limiti yapılacak onu belirtiyoruz, ve en alttaki Interface kısmı önemli çünkü burada seçilecek interface, userlarımızın veya sunucuların hangi interface’den geleceklerini SBM’ye söylüyor.

Bu arada unutulmaması gereken birşey var ki, halihazırda ISA’da yarattığımız ACCESS RULE’lar eğer clientlarımızın herhangi bir porttan veya Computer/IP’den gelmelerine izin vermiyorsa, bu durumda SBM işlevsiz kalacaktır. Çünkü Sunucu üzerinde asıl belirleyici olan ISA’dır. SBM ise sadece hız erişimini kontrol etmektedir.

Yukardaki ayarlardan sonra sağdaki TAB’a geçerek Source Ve daha sonra destination bilgilerini gireceğiz; source kısmında WHOLE IP RANGE seçeneği ile 172.1.1.2 ile 172.1.1.10 aralığını belirttik, ve altında Source port ile ilgili herhangi bir ayar yapmadık fakat istersek burada da sadece istediğimiz portlardan band yönetimi yapılacaktır.

Ardından Destination kısmında özellikle seçmemiz gereken ANY IP Address seçeneğidir. Bunun anlamı ise, clientlarımız bizim üzerimizden NAT yöntemi ile dış IP’lere ulaşacakları için hedef burada ANY IP olmalıdır. Çünkü halihazırda ISA 2004’ümüz clientlar icin NAT görevi yapmaktadır.

Bir hususu daha belirtelim ki, eklediğimiz veya değiştirdiğimiz Rule’lar clientları o anda etkilemektedir. Örneğin 10 KB limiti olan bir client o anda 10 KB ile download ederken bizim ISA server’ımızdan SBM üzerinde yapacağımız o anki 40 KB’a yükseltme değişikliği anlık olarak client’ın download seviyesini hemen yükseltecektir.

SBM’nin diğer bir özelliği ise Kota yönetimi sağlamasıdır, özellikle belirli erişim miktarına sahip bir kullanıcının gün içerisinde sürekli yapacağı downloadlar ile erişim limiti düsük de olsa bandımız üzerinde bir yer kaplayacağını düşünerek buna da ayrı bir kısıtlama getirebiliriz.

Bunu da bir örnekle açıklayalım, 100 kullanıcıdan oluşan ve 1024 kbit/sec(128 KB) hızındaki bir Leased line veya ADSL üzerinde her kullanıcının max 10 KB erişimi olduğunu düşünelim, normal şartlarda bu oran teorik olarak sistemi yormayacak gibi görünüyor. Çünkü her kullanıcı kendi başına max 10 KB’a çıkabilecektir, fakat aynı anda 10 kullanıcının gün içinde sabahtan akşama kadar 10 KB downloadları sürdürmesi yine bizim icin bir kabus olacaktir.


Bu durumda da Kota yönetimi devreye girer ve her kullanıcıya belli kotalar uygulanarak kontrol altına alınabilir.

Sonuç olarak yüksek oranda donanımsal yatırımlar yaparak bilişim altyapımızda istediğimiz bu tür bir band yönetimini yukarda anlatmaya çalıştığımız bileşkeler sayesinde de gayet başarılı bir şekilde yapabiliyoruz.