ലിനക്സിൽ സ്ക്വിഡ് കാഷെ, സിസ്uകോ റൂട്ടർ എന്നിവ ഉപയോഗിച്ച് വെബ് ട്രാഫിക് എങ്ങനെ നിയന്ത്രിക്കാം

ഒരു നെറ്റ്uവർക്കിലെ ഒരു പ്രധാന ജോലി, സ്റ്റാഫ് വെബ് സർഫിംഗ് ട്രാഫിക്കുകൾ നിയന്ത്രിക്കുകയും നിയന്ത്രിക്കുകയും ചെയ്യുക എന്നതാണ്, ഈ പ്രശ്നം കൈകാര്യം ചെയ്യാൻ കഴിയുന്ന നിരവധി പരിഹാരങ്ങളുണ്ട്, ഏറ്റവും മികച്ച പരിഹാരങ്ങളിലൊന്ന് ഒരു ലിനക്സ് മെഷീനിൽ സ്ക്വിഡ് കാഷെ ഉപയോഗിക്കുന്നു എന്നതാണ്. കണവയ്ക്ക് ഒരു നെറ്റ്uവർക്കിൽ നിന്ന് മറ്റൊരു നെറ്റ്uവർക്കിലേക്കുള്ള വെബ് ട്രാഫിക്കുകൾ പരിശോധിക്കാനും പരിമിതപ്പെടുത്താനും കാഷെ ചെയ്യാനും കഴിയും, ഉദാഹരണത്തിന് ഒരു LAN-ൽ നിന്ന് ഇന്റർനെറ്റിലേക്ക്.

ക്ലയന്റിന്റെ വെബ് അഭ്യർത്ഥനകൾ സ്ക്വിഡ് മെഷീനിലേക്ക് റീഡയറക്uടുചെയ്യുന്നതിന് ചില വഴികളുണ്ട്, ഈ ലേഖനത്തിൽ WCCP പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് ഒരു CISCO റൂട്ടറിൽ നിന്ന് ഒരു സ്uക്വിഡ് കാഷെ മെഷീനിലേക്ക് വെബ് ട്രാഫിക് റീഡയറക്uട് ചെയ്യുന്നത് എങ്ങനെയെന്ന് ഞങ്ങൾ കാണിച്ചുതരാം.

ചുവടെയുള്ള ചിത്രം ഒരു അടിസ്ഥാന സാഹചര്യത്തിന്റെ ഒരു ഉദാഹരണമാണ്.

മുകളിലെ ചിത്രത്തിൽ കാണുന്നത് പോലെ ക്ലയന്റിന്റെ എല്ലാ വെബ് ട്രാഫിക്കുകളും ആദ്യം സിസ്uകോ റൂട്ടറിലേക്ക് പോകുന്നു (അതാണ് അവരുടെ സ്ഥിരസ്ഥിതി ഗേറ്റ്uവേ), തുടർന്ന് റൂട്ടർ നിശബ്ദമായി പാക്കറ്റുകൾ സ്ക്വിഡ് മെഷീനിലേക്ക് റീഡയറക്uട് ചെയ്യുന്നു, ഇപ്പോൾ കണവയ്uക്ക് അതിന്റെ റോളുകൾ പ്ലേ ചെയ്യാൻ കഴിയും, പ്രധാന റോളുകൾ വെബ് ഉള്ളടക്കങ്ങൾ കാഷിംഗ് ചെയ്യുക, ആക്uസസ് പരിമിതപ്പെടുത്തുക എന്നിവയാണ്. ഡൊമെയ്uനുകൾ, സമയ ഇടവേളകൾ, ഐപി വിലാസങ്ങൾ, ഫയലുകളുടെ വലുപ്പം മുതലായവ.

ഈ സാഹചര്യത്തിന്റെ കോൺഫിഗറേഷൻ ഞങ്ങൾ രണ്ട് പ്രധാന ഘട്ടങ്ങളായി അവലോകനം ചെയ്യുന്നു, ആദ്യം നമ്മൾ squid ഉം Linux ഉം ഇൻസ്റ്റാൾ ചെയ്യുകയും കോൺഫിഗർ ചെയ്യുകയും വേണം, തുടർന്ന് WCCP പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് വെബ് ട്രാഫിക് പാക്കറ്റുകൾ സ്ക്വിഡിലേക്ക് റീഡയറക്uടുചെയ്യുന്നതിന് റൂട്ടർ കോൺഫിഗർ ചെയ്യുക.

ഈ സാഹചര്യത്തിൽ ഞാൻ എന്റെ ലിനക്സ് സെർവറായി CENTOS 6.5 ഉം റൂട്ടർ സിസ്റ്റമായി Cisco 2691 ഉം ഉപയോഗിക്കുന്നു.

Operating System: CENTOS 6.5
Application: Squid
Router: Cisco 2691

ഘട്ടം 1: സ്ക്വിഡ് കാഷെ ഇൻസ്റ്റാൾ ചെയ്യുന്നു

CENTOS-ന്റെ ഡിഫോൾട്ട് റിപ്പോസിറ്ററിയിൽ Squid ലഭ്യമാണ്, ഞങ്ങൾ ആദ്യം അത് മനോഹരമായ yum കമാൻഡ് ഉപയോഗിച്ച് ഇൻസ്റ്റാൾ ചെയ്യുകയും തുടർന്ന് അവരുടെ സേവനങ്ങൾ ആരംഭിക്കുകയും ഒടുവിൽ squid സേവനത്തിന്റെ യാന്ത്രിക ആരംഭം സജ്ജമാക്കുകയും ചെയ്യുന്നു.

# yum -y install squid
# service squid start
# chkconfig squid on

ഘട്ടം 2: സ്ക്വിഡ് കാഷെ തയ്യാറാക്കുന്നു

ഇപ്പോൾ നമ്മൾ സെന്റോസ് ഓപ്പറേഷൻ സിസ്റ്റത്തിന്റെ ചില ഡിഫോൾട്ട് സ്വഭാവങ്ങൾ മാറ്റണം, നമുക്ക് പാക്കറ്റ് ഫോർവേഡിംഗ് പ്രവർത്തനക്ഷമമാക്കുകയും റിവേഴ്സ് പാത്ത് ഫിൽട്ടർ (ആർപിഎഫ്) പ്രവർത്തനരഹിതമാക്കുകയും വേണം, സെന്റോസിനെ സുതാര്യമായ ഫോർവേഡറായി (ഒരു റൂട്ടർ പോലെ) പ്രവർത്തിക്കാൻ അനുവദിക്കുന്നതിന് ഞങ്ങൾ പാക്കറ്റ് ഫോർവേഡിംഗ് പ്രവർത്തനക്ഷമമാക്കുന്നു.

ഞാൻ കൂടുതൽ വിശദമായി വിശദീകരിക്കാം, ട്രാഫിക്കുകൾ സെന്റോസിൽ എത്തുമ്പോൾ അതിന് അവയുടെ ഉറവിടവും ലക്ഷ്യസ്ഥാന വിലാസവും ഉണ്ട്, ഉദാഹരണത്തിന് ഒരു ക്ലയന്റ് അവന്റെ/അവളുടെ ബ്രൗസറിൽ www.example.com എന്ന് നൽകുമ്പോൾ ഒരു http അഭ്യർത്ഥന പാക്കറ്റ് സൃഷ്ടിക്കുകയും അതിന് ക്ലയന്റ് മെഷീന്റെ ഉറവിട IP വിലാസം ഉണ്ടായിരിക്കുകയും ചെയ്യും. (192.168.1.20 പോലെ) കൂടാതെ example.com സെർവറിന്റെ ലക്ഷ്യസ്ഥാന ഐപി വിലാസം (2.2.2.2 പോലെ).

അതിനാൽ, സെന്റോസ് വഴി പാക്കറ്റ് ലഭിക്കുമ്പോൾ, അത് തെറ്റായ പാക്കറ്റായി കണ്ടെത്തുന്നു, കാരണം സെന്റോസ് ഐപി വിലാസം പാക്കറ്റിന്റെ ലക്ഷ്യസ്ഥാന വിലാസമല്ല, സുരക്ഷാ കാരണങ്ങളാൽ സെന്റോസ് പാക്കറ്റ് ഉപേക്ഷിക്കുന്നു, പക്ഷേ കണവയിൽ നിന്ന് സുതാര്യമായ മോഡിൽ പ്രവർത്തിക്കാൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നു. പാക്കറ്റ് ഫോർവേഡിംഗ് പോഷൻ പ്രവർത്തനക്ഷമമാക്കി ഞങ്ങൾ ഈ സാഹചര്യം സെന്റോസിനോട് പറയുന്നു.

അടുത്തതായി നമ്മൾ റിവേഴ്സ് പാത്ത് ഫിൽട്ടറിംഗ് അപ്രാപ്തമാക്കണം, അത് സെന്റോസ് സ്വീകരിക്കുന്ന പാക്കറ്റുകളെ സ്ക്വിഡ് മെഷീൻ അല്ലെങ്കിൽ സ്ക്വിഡ് മെഷീന്റെ അതേ സബ്നെറ്റിൽ ഐപി വിലാസം ഇല്ലാത്ത പാക്കറ്റുകൾ സ്വീകരിക്കാൻ അനുവദിക്കുക.

# nano /etc/sysctl.conf

net.ipv4.ip_forward = 1 #set to 1 for enable the packet forwarding feature
net.ipv4.conf.default.rp_filter = 0 # set to 0 for disable the reverse path filter behavior

അടുത്തതായി നമ്മൾ CENTOS മെഷീനിൽ ഒരു GRE ഇന്റർഫേസ് ഉണ്ടാക്കണം, എന്തിന് വേണ്ടി?? ഞാൻ കൂടുതൽ വിശദീകരിക്കാം, WCCP പ്രോട്ടോക്കോൾ ഒരു GRE ടണൽ വഴിയാണ് പ്രവർത്തിക്കുന്നത്, അതിനർത്ഥം റൂട്ടറും Squid ഉം തമ്മിലുള്ള ഭാഷ GRE ആണ്, അതിനാൽ സെന്റോസിന് ഡി-എൻക്യാപ്സുലേറ്റ് GRE പാക്കറ്റുകൾക്ക് GRE ഇന്റർഫേസ് ആവശ്യമാണ്.

\/etc/sysconfig/network-script/ifcfg-gre0 പാഥിൽ GRE ഇന്റർഫേസിനായുള്ള കോൺഫിഗറേഷൻ ഫയൽ ഞങ്ങൾ സൃഷ്ടിക്കണം.

ifcfg-gre0 കോൺഫിഗറേഷൻ ഫയലിൽ താഴെയുള്ള കോഡുകൾ നൽകുക.

DEVICE=gre0
BOOTPROTO=static
IPADDR=10.0.0.2         #unused ip address in your network
NETMASK=255.255.255.252
ONBOOT=yes
IPV6INIT=no

ഒരു ജിആർഇ ഇന്റർഫേസ് സൃഷ്ടിച്ച ശേഷം നമുക്ക് നെറ്റ്uവർക്ക് സേവനം പുനരാരംഭിക്കേണ്ടതുണ്ട്.

# service network restart

ഘട്ടം 3: സ്ക്വിഡ് കാഷെ കോൺഫിഗർ ചെയ്യുന്നു

റൂട്ടറിൽ നിന്ന് WCCP പാക്കറ്റുകൾ സ്വീകരിക്കുന്ന കണവയോട് നമുക്ക് പറയേണ്ടതുണ്ട്. /etc/squid/squid.conf ഫയലിൽ താഴെയുള്ള കോഡുകൾ നൽകുക.

http_port 3128 intercept                 # Define SQUID listening port
wccp2_router 192.168.1.254          #ip address of the router
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0

കോൺഫിഗറേഷൻ ഫയൽ സംരക്ഷിച്ച് സ്ക്വിഡ് സേവനം പുനരാരംഭിക്കുക.

# service squid restart

കണവകൾ 3128 പോർട്ടിൽ പാക്കറ്റുകൾ കേൾക്കുന്നു, എന്നാൽ ഞങ്ങളുടെ പാക്കറ്റിന്റെ ലക്ഷ്യസ്ഥാന പോർട്ട് നമ്പർ 80 ആണ്, അതിനാൽ ഡെസ്റ്റിനേഷൻ പോർട്ട് 80-നെ 3128 ആക്കി മാറ്റുന്നതിന്, CENTOS സംയോജിത ഫയർവാളിൽ (iptable എന്ന് പേരിട്ടിരിക്കുന്ന) ഒരു NAT റൂൾ സൃഷ്ടിക്കേണ്ടതുണ്ട്.

# iptables -t nat -A PREROUTING -i gre0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A POSTROUTING -j MASQUERADE

ഘട്ടം 4: സിസ്കോ റൂട്ടർ കോൺഫിഗറേഷനുകൾ

ആദ്യം നമ്മൾ സിസ്uകോ റൂട്ടറിൽ WCCP പ്രവർത്തനക്ഷമമാക്കണം.

R1(config)# ip wccp version 2
Then we must use an ACL for introducing SQUID cache machine to router
R1(config)# ip access-list standard SQUID-MACHINE
R1(config-std-nacl)# permit host 192.168.1.10

അടുത്തതായി, WCCP പ്രോട്ടോക്കോൾ വഴി തിരിച്ചുവിടുന്നതിൽ നിന്ന് SQUID ട്രാഫിക്കുകൾ ഒഴികെയുള്ള രണ്ട് വ്യത്യസ്ത ഉദ്ദേശ്യങ്ങൾക്കായി ഞങ്ങൾ മറ്റൊരു ആക്സസ് ലിസ്റ്റ് നിർവചിക്കുന്നു (അല്ലെങ്കിൽ ഞങ്ങൾ ഒരു അനന്തമായ ലൂപ്പിലേക്ക് വീഴുന്നു!!) രണ്ടാമത് WCCP, SQUID എന്നിവയിലൂടെ കടന്നുപോകാൻ ആഗ്രഹിക്കുന്ന LAN ട്രാഫിക്കുകൾ ഞങ്ങൾ നിർവ്വചിക്കുന്നു.

R1(config)#ip access-list LAN-TRAFFICS
R1(config-ext-nacl)#deny ip host 192.168.1.10 any                            #Prevent SQUID to get in loop
R1(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 any equal www           #define LAN Traffics

ഞങ്ങളുടെ ആക്സസ്-ലിസ്റ്റ് സൃഷ്ടിച്ച ശേഷം, റൂട്ടറിൽ WCCP പ്രോട്ടോക്കോൾ ക്രമീകരിക്കണം.

R1(config)# ip wccp web-cache redirect-list LAN-TRAFFIC group-list SQUID-MACHINE

എല്ലാ കാര്യങ്ങളും അവസാന ഘട്ടത്തിന് തയ്യാറാണ്, ഏത് ഇന്റർഫേസ്/ഇന്റർഫേസുകളിൽ അവരുടെ WCCP കോൺഫിഗറേഷൻ ഉപയോഗിച്ച് ട്രാഫിക് റീഡയറക്uട് ചെയ്യണമെന്ന് ഞങ്ങൾ റൂട്ടറിനോട് പറയണം.

R1(config)#interface fastEthernet 0/0
R1((config-if)# ip wccp web-cache redirect in

സംഗ്രഹം

മികച്ച ഗ്രാഹ്യത്തിനായി എല്ലാ കമാൻഡുകളും ടെക്uസ്uറ്റുകളും കുറച്ച് വരികളിൽ സംഗ്രഹിക്കേണ്ട സമയമാണിത്, സാഹചര്യമനുസരിച്ച് ഞങ്ങൾ സ്റ്റാഫുകളുടെ വെബ് സർഫിംഗ് പാക്കറ്റുകൾ (ടിസിപി പോർട്ട് 80-ൽ ഉള്ളത്) ROUTER-ൽ നിന്ന് (അത് ക്ലയന്റുകളുടെ സ്ഥിരസ്ഥിതി ഗേറ്റ്uവേ) കണവ കാഷെയിലേക്ക് റീഡയറക്uട് ചെയ്യുന്നു. WCCP പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുന്ന യന്ത്രം.

ഈ പ്രക്രിയയെല്ലാം നിശബ്ദമായി സംഭവിച്ചു, കൂടാതെ ക്ലയന്റ് ഭാഗത്ത് അധിക കോൺഫിഗറേഷനൊന്നുമില്ല. അതിനാൽ നമുക്ക് LAN-ൽ വെബ് ട്രാഫിക്കുകൾ നിയന്ത്രിക്കാനും നയങ്ങൾ ക്രമീകരിക്കാനും കഴിയും. ഉദാഹരണത്തിന്, ഞങ്ങൾക്ക് പരിമിതമായ സമയത്തിനുള്ളിൽ വെബ് സർഫിംഗ് ആക്uസസ് നേടാനും പരമാവധി ഡൗൺലോഡ് വലുപ്പം പരിമിതപ്പെടുത്താനും ഞങ്ങളുടെ ഇഷ്uടാനുസൃത ബ്ലാക്ക്uലിസ്റ്റും വൈറ്റ്uലിസ്റ്റും നിർവചിക്കാനും ഇന്റർനെറ്റ് ആക്uറ്റിവിറ്റി ഉപയോഗത്തിന്റെ പൂർണ്ണ റിപ്പോർട്ടുകൾ സൃഷ്ടിക്കാനും മറ്റും കഴിയും.

ഈ സാഹചര്യത്തിലെ രസകരമായ ഒരു വസ്തുത, സ്ക്വിഡ് മെഷീൻ റൂട്ടർ താഴേക്ക് പോകുമ്പോൾ ഈ പ്രശ്നം കണ്ടെത്തി പാക്കറ്റുകൾ അതിലേക്ക് റീഡയറക്uട് ചെയ്യുന്നത് നിർത്തുക, അതിനാൽ നിങ്ങളുടെ നെറ്റ്uവർക്കിൽ പൂജ്യം പ്രവർത്തനരഹിതമായ സമയത്ത് നിങ്ങൾക്ക് ആസ്വദിക്കാനാകും.

ഈ ലേഖനവുമായി ബന്ധപ്പെട്ട് നിങ്ങൾക്ക് എന്തെങ്കിലും ചോദ്യങ്ങളുണ്ടെങ്കിൽ, ചുവടെയുള്ള കമന്റ് ബോക്സിലൂടെ മറുപടി നൽകുക.