Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Гарантии пропускной способности

Поиск

Сети Frame Relay создавались для оказания коммерческих услуг операторов связи по передаче компьютерного трафика. Одной из новых и очень привлекательных для клиентов услуг Frame Relay стала поддержка гарантий пропускной способности виртуальных соеди­нений. Для каждого виртуального соединения в технологии Frame Relay определяется несколько параметров, связанных со скоростью передачи данных.

§ Согласованная скорость передачи данных (Committed Information Rate, CIR) — га­рантированная пропускная способность соединения; фактически сеть гарантирует передачу данных пользователя со скоростью предложенной нагрузки, если эта скорость не превосходит CIR.

§ Согласованная величина пульсации (Committed Burst Size, Вс) — максимальное ко­личество байтов, которое сеть будет передавать от данного пользователя за интервал времени Г, называемый временем пульсации, соблюдая согласованную скорость CIR.

§ Дополнительная величина пульсации (Excess Burst Size, Be) — максимальное количе­ство байтов, которое сеть будет пытаться передать сверх установленного значения Вс за интервал времени Т.

Второй параметр пульсации Be позволяет оператору сети дифференцированно обрабаты­вать кадры, которые не укладываются в профиль CIR. Обычно кадры, которые приводят к превышению пульсации Вс, но не превышают пульсации Вс + Be, сетью не отбрасывают­ся, а обслуживаются, но без гарантий по скорости CIR. Для запоминания факта нарушения в кадрах Frame Realy используется поле DE. И только если превышен порог Вс + Be, кадры отбрасываются.

Если приведенные величины определены, то время Т определяется следующей фор­мулой:

Т= Bc/CIR.

Можно рассматривать значения CIR и Т в качестве варьируемых параметров, тогда про­изводной величиной станет пульсация Во. Обычно для контроля пульсаций трафика вы­бирается время Т, равное 1-2 секундам при передаче компьютерных данных и в диапазоне десятков-сотен миллисекунд при передаче голоса.

Соотношение между параметрами CIR, Вс, Be и T иллюстрирует рис. 19.10 (R — скорость в канале доступа; f 1- f 5 — кадры).

Рис. 19.10. Реакция сети на поведение пользователя

Работа сети описывается двумя линейными функциями, показывающими зависимость количества переданных битов от времени: В = R × t и B = CIR×t. Средняя скорость посту­пления данных в сеть составила на этом интервале R бит/с, и она оказалась выше CIR. На рисунке представлен случай, когда за интервал времени Т в сеть по виртуальному каналу поступило 5 кадров. Кадры f1,f2 и f3 доставили в сеть данные, суммарный объем которых не превысил порог Вс, поэтому эти кадры ушли дальше транзитом с признаком DE = 0. Данные кадра f4, прибавленные к данным кадров f1,f2 и f3 уже превысили порог Вс, но еще не достигли порога Вс + Be, поэтому кадр f4 также ушел дальше, но уже с признаком DE = 1. Данные кадра f5, прибавленные к данным предыдущих кадров, превысили порог Вс + Be, поэтому этот кадр был удален из сети.

На рис. 19.11 приведен пример сети Frame Relay с пятью удаленными региональными от­делениями корпорации. Обычно доступ к сети осуществляется по каналам с пропускной способностью, большей чем CIR. Однако при этом пользователь платит не за пропуск­ную способность канала, а за заказанные величины CIR, Вс и Be. Так, при применении в качестве линии доступа канала Т1 и заказа обслуживания со скоростью CIR, равной 128 Кбит/с, пользователь будет платить только за скорость 128 Кбит/с, а скорость канала Т1 в 1,5 Мбит/с окажет влияние на верхнюю границу возможной пульсации Вс + Be.


Рис. 19.11. Пример обслуживания в сети Frame Relay

 

Параметры качества обслуживания могут быть разными для разных направлений вирту­ального канала. Так, на рисунке абонент 1 соединен с абонентом 2 виртуальным каналом с меткой 136. При направлении от абонента 1 к абоненту 2 канал имеет среднюю скорость 128 Кбит/с с пульсациями Вс = 256 Кбит (интервал Т составил 1 с) и Be = 64 Кбит. А при передаче кадров в обратном направлении средняя скорость уже может достигать значения 256 Кбит/с с пульсациями Вс - 512 Кбит и Be - 128 Кбит.

Технология Frame Relay получила большое распространение в сетях операторов связи в 90-е годы благодаря простоте и возможности гарантировать клиентам пропускную спо­собность соединений. Тем не менее в последнее время популярность услуг Frame Relay резко упала, в основном это произошло из-за появления технологии MPLS, которая, так же как и Frame Relay, основана на технике виртуальных каналов и может гарантировать пропускную способность пользовательских соединений. Решающим преимуществом MPLS является ее тесная интеграция с технологией IP, за счет этого провайдерам легче формировать новые комбинированные услуги. Кроме того, функциональность MPLS под­держивается сегодня практически всеми маршрутизаторами среднего и высшего класса, так что применение MPLS не требует установки в сети отдельных коммутаторов.

Более подробную информацию вы можете найти на сайте www.olifer.co.uk в разделе «Технология Frame Relay».

Технология ATM

Асинхронный режим передачи (Asynchronous Transfer Mode, ATM) - это технология, осно­ванная на установлении виртуальных каналов и предназначенная для использования в качестве единого универсального транспорта нового поколения сетей с интегрированным обслуживанием.

Под интегрированным обслуживанием здесь понимается способность сети передавать тра­фик разного типа: чувствительный к задержкам (например, голосовой) трафик и эластич­ный, то есть допускающий задержки в широких пределах (например, трафик электронной почты или просмотра веб-страниц). Этим технология ATM принципиально отличается от технологии Frame Relay, которая изначально предназначалась только для передачи эластичного компьютерного трафика.

Кроме того, в цели разработчиков технологии ATM входило обеспечение широкой иерар­хии скоростей и возможности использования первичных сетей SDH для соединения ком­мутаторов ATM. В результате производители оборудования ATM ограничились первыми двумя уровнями иерархии скоростей SDH, то есть 155 Мбит/с (STM-1) и 622 Мбит/с (STM-4).

Ячейки ATM

В технологии ATM для переноса данных используются ячейки. Принципиально ячейка отличает­ся от кадра только тем, что имеет, во-первых, фиксированный, во-вторых, небольшой размер. Длина ячейки составляет 53 байта, а поля данных — 48 байт. Именно такие размеры позволяет сети ATM передавать чувствительный к задержкам аудио- и видеотрафик с необходимым уров­нем качества.

Главным свойством ATM, которое отличает ее от других технологий, является комплексная под­держка параметров QoS для всех основных видов трафика.

Для достижения этого свойства разработчики ATM тщательно проанализировали все типы трафика и провели его классификацию. Мы уже познакомились с этой классификацией в главе 7, когда рассматривали требования различных приложений к QoS. Напомним, что в ATM весь трафик разбивается на 5 классов, А, В, С, D и X. Первые четыре класса представляют трафик типовых приложений, которые отличаются устойчивым набором требований к задержкам и потерям пакетов, а также тем, что генерируют трафик с по­стоянной (CBR) или переменной (VBR) битовой скоростью. Класс X зарезервирован для уникальных приложений, набор характеристик и требований которых не относится ни к одному из первых четырех классов.

Однако на какое количество классов мы бы ни разбивали существующий трафик, прин­ципиальная задача от этого не меняется — нужно найти решение для успешного сосуще­ствования в одном канале и эластичных, и чувствительных к задержкам классов трафика. Требования этих классов почти всегда противоречат друг другу. Одним из таких противо­речий является требование к размеру кадра.

Эластичный трафик выигрывает от увеличения размера кадра, так как при этом снижают­ся накладные расходы на служебную информацию. Мы видели на примере Ethernet, что скорость передачи пользовательской информации может изменяться почти в два раза при изменении размера поля данных от его минимальной величины в 46 байт до максимальной в 1500 байт. Конечно, размер кадра не может увеличиваться до бесконечности, так как при этом теряется сама идея коммутации пакетов. Тем не менее для эластичного трафика при современном уровне скоростей размер кадра в несколько тысяч байтов является вполне приемлемым.

Напротив, чувствительный к задержкам трафик обслуживается лучше при использовании кадров небольшого размера в несколько десятков байтов. При применении больших кадров начинают проявляться два нежелательных эффекта:

§ ожидание низкоприоритетных кадров в очередях;

§ задержка пакетизации.

Рассмотрим эти эффекты на примере голосового трафика.

Мы знаем, что время ожидания кадра в очереди можно сократить, если обслуживать кадры чувствительного к задержкам трафика в приоритетной очереди. Однако если размер кадра может меняться в широком диапазоне, то даже при придании чувствительным к задержкам кадрам высшего приоритета обслуживания в коммутаторах время ожидания компьютер­ного пакета может все равно оказаться недопустимо высоким. Например, пакет в 4500 байт будет в течение 18 мс передаваться в выходной порт на скорости 2 Мбит/с (максимальная скорость работы порта коммутатора Frame Relay). При совмещении трафика за это время необходимо через тот же порт передать 144 замера голоса. Прерывать передачу пакета в сетях нежелательно, так как при распределенном характере сети накладные расходы на оповещение соседнего коммутатора о прерывании пакета, а потом — о возобновлении передачи пакета с прерванного места оказываются слишком большими.

Другой причиной явилось стремление ограничить еще одну составляющую задержки до­ставки данных — задержку пакетизации. Задержка пакетизации равна времени, в течение которого первый замер голоса ждет момента окончательного формирования пакета и от­правки его по сети.

Механизм образования этой задержки иллюстрирует рис. 19.12.

На рисунке показан голосовой кодек — устройство, которое представляет голос в цифровой форме. Пусть он выполняет замеры голоса в соответствии со стандартной частотой 8 КГц (то есть через каждые 125 мкс), кодируя каждый замер одним байтом данных. Если мы используем для передачи голоса кадры Ethernet максимального размера, то в один кадр поместится 1500 замеров голоса. В результате первый замер, помещенный в кадр Ethernet, вынужден будет ждать отправки кадра в сеть (1500 - 1) х 125 = 187 375 мкс, или около 187 мс. Это весьма большая задержка для голосового трафика. Рекомендации стандартов говорят о величине 150 мс как о максимально допустимой суммарной задержке голоса, в которую задержка пакетизации входит как одно из слагаемых.

Рис. 19.12. Задержка пакетизации

ВНИМАНИЕ

Важно отметить, что задержка пакетизации не зависит от битовой скорости протокола, а зависит только от частоты работы кодека и размера поля данных кадра. Это отличает ее от задержки ожидания в очереди, которая снижается с возрастанием битовой скорости.

Размер ячейки ATM в 53 байта с полем данных 48 байт стал результатом компромисса между требованиями, предъявляемыми к сети при передаче эластичного и чувствительного к задержкам вариантов трафика. Можно сказать также, что компромисс был достигнут между телефонистами и компьютерщиками — первые настаивали на размере поля данных в 32 байта, а вторые — в 64 байта.

При размере поля данных в 48 байт одна ячейка ATM обычно переносит 48 замеров голоса, которые делаются с интервалом в 125 мкс. Поэтому первый замер должен ждать пример­но 6 мс, прежде чем ячейка будет отправлена по сети. Именно по этой причине телефонисты боролись за уменьшения размера ячейки, так как 6 мс — это задержка, близкая к пределу, за которым начинаются нарушения качества передачи голоса. При выборе размера ячейки в 32 байта задержка пакетизации составила бы 4 мс, что гарантировало бы более качествен­ную передачу голоса. А стремление компьютерных специалистов увеличить поле данных хотя бы до 64 байт вполне понятно — при этом повышается полезная скорость передачи данных. Избыточность служебных данных при использовании 48-байтного поля данных со­ставляет 10 %, а при использовании 32-байтного поля данных она сразу повышается до 16 %.

Виртуальные каналы ATM

В сетях ATM поддерживается два типа виртуальных каналов:

§ постоянный виртуальный канал (Permanent Virtual Circuit, PVC);

§ коммутируемый виртуальный канал (Switched Virtual Circuit, SVC), создание такого канала происходит динамически но инициативе конечного узла с использованием автоматической процедуры.

Каналы PVC аналогичны каналам такого же типа в сетях Frame Relay, а для поддержки динамически устанавливаемых каналов SVC в технологии ATM добавлен специальный протокол сигнализации — это протокол, с помощью которого абоненты сети могут опера­тивно устанавливать каналы SVC. Такой тип протокола используется в телефонных сетях для установления соединения между телефонами абонентов. Для того чтобы протокол сигнализации мог работать, конечные узлы сети ATM получили глобально уникальные 20- разрядные адреса, иначе абонент, являющийся инициатором установления виртуального канала, не смог бы указать, с каким абонентом он хочет связаться.

В технологии ATM имеется также протокол маршрутизации PNNI (Private Network to Network Interface — интерфейс связи между частными сетями).

С целью обеспечения масштабируемости в сетях ATM введено два уровня иерархии вир­туальных каналов: виртуальный путь (virtual path) и виртуальное соединение (virtual circuit). Виртуальный путь определяется старшей частью номера метки виртуального канала, а виртуальное соединение — младшей. Каждый виртуальный путь включает в себя до 4096 виртуальных соединений, проходящих внутри этого пути. Достаточно определить маршрут для пути, и все соединения, которые находятся внутри этого пути, будут ему следовать.

Категории услуг ATM

Для поддержания требуемого качества обслуживания и рационального расходования ресурсов в технологии ATM реализовано несколько служб. Услуги этих служб разбиты на категории, которые, в общем, соответствуют классам трафика, поступающим на вход сети.

Всего на уровне протокола ATM определено пять категорий услуг:

§ CBR (Constant Bit Rate) — для трафика с постоянной битовой скоростью, например голосового;

§ rtVBR (real-time Variable Bit Rate) — для трафика с переменной битовой скоростью, требующего соблюдения средней скорости передачи данных и синхронизации источника и приемника (примером является видеотрафик с переменной битовой скоростью, который вырабатывают многие видеокодеки за счет использования опорных кадров и кадров, описывающих изменения изображения относительно опорного кадра);

§ nrtVBR (non real-time Variable Bit Rate) — для трафика с переменной битовой скоростью, требующего соблюдения средней скорости передачи данных и не требующего синхронизации источника и приемника;

§ ABR (Available Bit Rate) — для трафика с переменной битовой скоростью, требующего соблюдения некоторой минимальной скорости передачи данных и не требующего синхронизации источника и приемника;

§ UBR (Unspecified Bit Rate) — для трафика, не предъявляющего требований к скорости передачи данных и синхронизации источника и приемника.

Отсюда видно, что сети ATM отличаются от сетей Frame Relay большей степенью соот­ветствия услуг требованиям трафика определенного типа, так как в сетях ATM нужный уровень обслуживания задается не только численными значениями параметров CIR, Вс и Be, но и самой категорией услуги.

Технология ATM, как и технология Frame Relay, пережила пик своей популярности, и сейчас область ее применения быстро сужается. Одной из причин этого стало появление сетей DWDM и расширение верхней границы скорости сетей Ethernet, предоставляющих относительно дешевую пропускную способность. Еще одной причиной снижения интереса к ATM стала сложность этой технологии. В частности, некоторые проблемы возникают из-за использования ячеек маленького размера — на высоких скоростях оборудование с трудом справляется с обработкой таких интенсивных потоков ячеек (сравните количе­ство кадров Ethernet максимальной длины с количеством ячеек ATM, необходимых для передачи одного и того же объема информации с той же самой скоростью).

Как и в случае Frame Relay, появление технологии MPLS, которая, с одной стороны, об­ладает некоторыми свойствами ATM, например поддерживает детерминированность маршрутов (это общее свойство технологий, основанных на технике виртуальных путей), а с другой — использует кадры любого формата и тесно интегрирована с IP, усугубило положение ATM. Одной из областей, где ATM по-прежнему удерживает позиции, явля­ется широкополосный доступ в Интернет. Если вы посмотрите на конфигурацию вашего домашнего маршрутизатора ADSL, то, скорее всего, увидите там записи, относящиеся к стеку ATM.

Более подробную информацию вы можете найти на сайте www.olifer.co.uk в разделе «Технология АТМ».

Виртуальные частные сети

Услуга виртуальных частных сетей является одной из основных услуг, которую предостав­ляют сети FR и ATM. Вооруженные знанием основных принципов работы технологий FR и ATM, мы теперь можем более подробно рассмотреть и классифицировать эти услуги. Любая систематизация знаний полезна сама по себе, кроме того, она нам понадобится при изучении технологий MPLS и Carrier Ethernet, которые формировались во многом для реализации услуг VPN.

Из самого названия — виртуальная частная сеть — следует, что она каким-то образом воспроизводит свойства реальной частной сети. Без всяких натяжек назвать сеть част­ной можно только в том случае, если предприятие единолично владеет и управляет всей сетевой инфраструктурой — кабелями, кроссовым оборудованием, каналообразующей аппаратурой, коммутаторами, маршрутизаторами и другим коммуникационным обору­дованием.

Главным отличием частной сети от общедоступной сети или сети, совместно используемой несколькими предприятиями является ее изолированность.

Перечислим, в чем выражается эта изолированность.

§ Независимый выбор сетевых технологий. Выбор ограничивается только возможностями производителей оборудования.

§ Независимая система адресации. В частных сетях нет ограничений на выбор адресов — они могут быть любыми.

§ Предсказуемая производительность. Собственные линии связи гарантируют заранее известную пропускную способность между узлами предприятия (для глобальных соединений) или коммуникационными устройствами (для локальных соединений).

§ Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает сеть от атак извне и существенно снижает вероятность «прослушивания» трафика по пути следования.

Однако частная сеть — решение крайне неэкономичное! Такие сети, особенно в националь­ном или международном масштабах, могут себе позволить только очень крупные и бога­тые предприятия. Создание частной сети — привилегия тех, кто имеет производственные предпосылки для разработки собственной сетевой инфраструктуры. Например, нефтяные или газовые компании способны с относительно невысокими издержками прокладывать собственные технологические кабели связи вдоль трубопроводов. Частные сети были по­пулярны в относительно далеком прошлом, когда общедоступные сети передачи данных были развиты очень слабо. Сегодня же их почти повсеместно вытеснили сети VPN, которые представляют собой компромисс между качеством услуг и их стоимостью.

В зависимости от того, кто реализует сети VPN, они подразделяются на два вида.

§ Поддерживаемая клиентом виртуальная частная сеть (Customer Provided Virtual Private Network, CPVPN) отражает тот факт, что все тяготы по поддержке сети VPN ложатся на плечи потребителя. Поставщик предоставляет только «простые» тради­ционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими.

§ В случае поддерживаемой поставщиком виртуальной частной сети (Provider Provisioned Virtual Private Network, PPVPN) поставщик услуг на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных. Такой способ организации VPN сравнительно нов и не столь широко распространен, как первый.

В последние год-два популярность сетей PPVPN растет — заботы по созданию и управ­лению VPN довольно обременительны и специфичны, поэтому многие предприятия предпочитают переложить их на плечи надежного поставщика. Реализация услуг VPN по­зволяет поставщику оказывать и ряд дополнительных услуг, включая контроль за работой клиентской сети, веб-хостинг и хостинг почтовых служб, хостинг специализированных приложений клиентов.

Помимо деления сетей VPN на CPVPN и PPVPN существует еще и другая классифика­ция — в зависимости от места расположения устройств, выполняющих функции VPN. Виртуальная частная сеть может строиться:

§ на базе оборудования, установленного на территории потребителя (Customer Premises Equipment based VPN, CPE-based VPN, или Customer Edge based VPN, CE-based VPN);

§ на базе собственной инфраструктуры поставщика (Network-based VPN, или Provider Edge based VPN, PE-based VPN).

В любом случае основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети — либо потребителя, либо поставщика.

Сети, поддерживаемое поставщиком, могут строиться как на базе инфраструктуры постав­щика, так и на базе оборудования, установленного на территории потребителя. Первый ва­риант наиболее понятен: поставщик управляет расположенным в его сети оборудованием. Во втором случае оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.

Когда VPN поддерживается клиентом (CPVPN), оборудование всегда находится в его сети, то есть VPN строится на базе устройств клиента (CE-based).

Сеть VPN, как и любая имитирующая система1 характеризуется, во-первых, тем, ка­кие свойства объекта имитируются, во-вторых, степенью приближенности к оригиналу, в-третьих, используемыми средствами имитации.

Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в VPN. Практически все сети VPN имитируют собственные каналы в сетевой инфраструктуре поставщика, предназначенной для обслуживания множества клиентов.

В том случае, когда имитируется инфраструктура каналов одного предприятия, то услуги VPN называют также услугами интранет (intranet), или внутренней сети, а в том слу­чае, когда к таким каналам добавляются также каналы, соединяющие предприятие с его предприятиями-партнерами, с которыми также необходимо обмениваться информацией в защищенном режиме, — услугами экстранет (extranet), или внешней сети.

Термин «виртуальная частная сеть» применяется только тогда, когда «собственные» физические каналы имитируются средствами пакетных технологий: ATM, Frame Relay, IP, IP/MPLS или Carrier Ethernet. Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при их реальном соединении собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, поэтому определение «виртуальная» стано­вится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, ATM или Frame Relay), а при использовании IP — и сетевого.

Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть VPN, способная поддерживать IP-трафик клиента с созданием эффекта изолированной IP-сети. В этом случае VPN производит некоторые дополнительные сетевые операции над клиентским тра­фиком — сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция VPN) и т. п. Имитация сервисов прикладного уровня встречается в VPN гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные при­ложения управления предприятием.

Другим критерием, используемым при сравнении VPN, является степень приближенности сервисов, предлагаемых VPN, к свойствам сервисов частной сети.

Во-первых, важнейшим свойством сервисов частной сети является безопасность. Безопас­ность VPN подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сетей потребителя и поставщика от внешних атак. Степень безопасности VPN варьируется в широких пределах в зависимости от применяе­мых средств защиты: шифрования трафика, аутентификации пользователей и устройств изоляции адресных пространств (например, на основе техники NAT), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонирован­ной обороны.

Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сети по качеству обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добав­ляться и другие параметры QoS — максимальные задержки и процент потерянных данных. В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неиз­бежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки параметров QoS. В ATM, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в IP-сетях они только начинают внедряться. Поэтому далеко не каждая сеть VPN пытает­ся воссоздать эти особенности частной сети. Считается, что безопасность — обязательное свойство VPN, а качество транспортного обслуживания — только желательное.

В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для кли­ента независимость адресного пространства. Это дает клиенту одновременно и удобство кон­фигурирования, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль поставщи­ка имела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных дей­ствий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.

Существенное влияние на свойства виртуальных частных сетей оказывают технологии, с помощью которых эти сети строятся. Все технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных:

§ технологии разграничения трафика;

§ технологии шифрования.

Сети VPN на основе техники шифрования рассматриваются в главе 24.

В технологиях разграничения трафика используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. К этому типу технологий относятся:

§ ATM VPN;

§ Frame Relay VPN;

§ MPLS VPN;

§ Carrier Ethernet VPN.

Двухточечные виртуальные каналы этих технологий имитируют сервис выделенных ка­налов, проходя от пограничного устройства (Client Edge, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.

 

ВНИМАНИЕ

Под термином «сайт» здесь понимается территориально обособленный фрагмент сети клиента. На­пример, о корпоративной сети, в которой сеть центрального отделения связывается с тремя удален­ными филиалами, можно сказать, что она состоит из четырех сайтов.

Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. Свойство защищенности трафика является естественным свойством техники виртуальных каналов, поэтому сервисы ATM VPN и Frame Relay VPN являются на самом деле не чем иным, как обычными сервисами PVC сетей ATM или Frame Relay. Любой пользователь ATM или Frame Relay, использующий инфраструктуру PVC для связи своих локальных сетей, потребляет услугу VPN даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополни­тельных средств VPN пользователь оказывается не защищенным от атак любого другого пользователя сети.

Так как в технологиях ATM и Frame Relay при передаче данных используются только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также сетями VPN уровня 2 (Layer 2 VPN, L2VPN). Наличие в технологиях ATM и Frame Relay механизмов поддержания параметров QoS позволяет ATM VPN и Frame Relay VPN до­статочно хорошо приближаться к частным сетям на выделенных каналах.

Информация третьего уровня никогда не анализируется и не меняется в этих сетях — это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может переда­вать по такому виртуальному каналу трафик любых протоколов, а не только IP Кроме того, IP-адреса клиентов и поставщика услуг изолированы и независимы друг от друга — они могут выбираться произвольным образом, так как не используются при передаче трафика через магистраль поставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода состоит в том, что поставщик не оперирует IP-трафиком клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это сегодня очень перспективное направление бизнеса поставщиков услуг.

Главным недостатком сети L2VPN является ее сложность и достаточно высокая стоимость. При организации полносвязной топологии сайтов клиента зависимость операций конфи­гурирования от числа сайтов имеет квадратичный характер (рис. 19.13, а).

Действительно, для соединения N сайтов необходимо создать N × (N- 1)/2 двунаправлен­ных виртуальных каналов или N × (N- 1) однонаправленных. В частности, при значении N, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администрирования, ручной труд и вероятность ошибки все равно сохраняются. При поддержке только услуг интранет общее количество конфигурируемых соединений прямо пропорционально количеству клиентов — и это хорошо! Но оказание услуг экстранет ухудшает ситуацию, так как подразумевает необхо­димость обеспечить связь сайтов разных клиентов. Масштабируемость сети ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» через один или несколько выделенных транзитных сайтов (рис. 19.13, 6). Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо — поставщики услуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».

Рис. 19.13. Масштабируемость сети L2VPN

 

Клиенты сети ATM/FR VPN не могут нанести ущерб друг другу, а также атаковать IP-сеть поставщика. Сегодня поставщик услуг всегда располагает IP-сетью, даже если он оказывает только услуги ATM/FR VPN. Без IP-сети и ее сервисов администрирования он просто не сможет управлять своей сетью ATM/FR. IP-сеть является оверлейной (наложенной) по отношению к сетям ATM или FR, поэтому клиенты ATM/FR ничего не знают о ее струк­туре и даже о ее наличии (рис. 19.14).


Рис. 19.14. Оверлейная (а) и одноранговая (б) модели VPN

 

Сети MPLS VPN могут строиться как по схеме L2VPN, так и по другой схеме, исполь­зующей протоколы трех уровней. Такие сети называют сетями VPN уровня 3 (Layer 3 VPN, L3VPN). В технологии L3VPN также применяется техника LSP для разграничения трафика клиентов внутри сети поставщика услуг, поддерживающей технологию MPLS. Сеть L3VPN взаимодействует с сетями клиентов на основе IP-адресов, a L2VPN — на осно­ве адресной информации второго уровня, например МАС-адресов или идентификаторов виртуальных каналов Frame Relay.

IP в глобальных сетях

Чистая IP-сеть

В зависимости от того, как устроены слои глобальной сети, находящиеся под уровнем IP, можно говорить о «чистых» IP-сетях и об IP «поверх» (over) какой-нибудь технологии, например ATM. Название «чистая» IP-сеть говорит о том, что под уровнем IP не находится никакого другого уровня, выполняющего коммутацию пакетов (кадров или ячеек).

Чистая IP-сеть отличается от многослойной тем, что под уровнем IP не другой сети с коммутацией пакетов, такой как АТМ или Frame Relay и IP-маршрутизаторы связываются между собой выделенными каналами (физическими или соединениями PDH/SDH/DWDM).

В такой сети цифровые каналы по-прежнему образуются инфраструктурой двух нижних уровней, а этими каналами непосредственно пользуются интерфейсы IP-маршрутизаторов без какого-либо промежуточного уровня. В том случае, когда IP-маршрутизатор использует каналы, образованные в сети SDH/SONET, вариант IP-сети получил название пакетной сети, работающей поверх SONET1 (Packet Over SONET, POS). Для случая, когда IP пользуется каналами DWDM, употребляется название IP поверх DWDM.

Чистая IP-сеть может успешно применяться для передачи чувствительного к задержкам трафика современных приложений в двух случаях:

§ если IP-сеть работает в режиме низкой нагрузки, поэтому сервисы всех типов не стра­дают от эффекта очередей, так что сеть не требует поддержания параметров QoS;

§ если слой IP обеспечивает поддержку параметров QoS собственными средствами за счет применения механизмов IntServ или DiffServ.

Для того чтобы маршрутизаторы в модели чистой IP-сети могли использовать цифровые каналы, на этих каналах должен работать какой-либо протокол канальною уровня. Суще­ствует несколько протоколов канального уровня, специально разработанных для двух­точечных соединений глобальных сетей. В эти протоколы встроены процедуры, полезные при работе в глобальных сетях:

§ взаимная аутентификация удаленных устройств часто требуется для защиты сети от «ложного» маршрутизатора, перехватывающего и перенаправляющего трафик с целью его прослушивания;

§ согласование параметров обмена данными на канальном и сетевом уровнях применяется при удаленном взаимодействии, когда два устройства расположены в разных городах, перед началом обмена часто необходимо автоматически согласовывать такие, напри­мер, параметры, как MTU.

Из набора существующих двухточечных протоколов протокол IP сегодня использует два: HDLC и РРР Существует также устаревший протокол SLIP (Serial Line Internet Protocol — межсетевой протокол для последовательного канала), который долгое время был основным протоколом удаленного доступа индивидуальных клиентов к IP-сети через телефонную сеть. Однако сегодня он уже не применяется.

Помимо уже упомянутых протоколов, в глобальных сетях на выделенных каналах IP- маршрутизаторы нередко используют какой-либо из высокоскоростных вариантов Ethernet: Fast Ethernet, Gigabit Ethernet или 10G Ethernet. Усовершенствования, сделанные в технологии Carrier Ethernet и направленные на повышение эксплуатационных свойств классического варианта Ethernet, отражают потребности применения этой технологии в глобальных сетях.

Протокол HDLC

Протокол HDLC (High-level Data Link C



Поделиться:


Последнее изменение этой страницы: 2017-02-05; просмотров: 909; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.145.84.208 (0.012 с.)