Объединение сетей на сетевом уровне

Объединение сетей на сетевом уровне имеет свои особенности и отличает- ся от объединения на уровне передачи данных. На рис. 5.2, а источник S пыта- ется послать пакет приемнику D. Эти две машины работают в разных сетях Ethernet, соединенных коммутатором. Источник S вставляет пакет в кадр и от- правляет его. Кадр прибывает на коммутатор, который по МАС-адресу опреде- ляет, что его надо переслать в ЛВС 2. Коммутатор просто снимает кадр с ЛВС 1 и передает его в ЛВС 2.

 

Коммутатор                                   Маршрутизатор

ЛВС 1                      ЛВС 2          ЛВС 1                      ЛВС 2

а)                                                    а)

- заголовок;

- пакет;

- концевик

Рис. 5.2. Две сети Ethernet, объединенные: а – коммутатором;

б – маршрутизаторами

Допустим, две сети Ethernet объединены не коммутатором, а парой марш- рутизаторов (рис 5.2, б). Маршрутизаторы между собой соединены выделенной двухточечной линией. Кадр принимается маршрутизатором, из его поля дан- ных извлекается пакет. Маршрутизатор анализирует содержащийся в пакете адрес (например, IР-адрес). Этот адрес нужно отыскать в таблице маршрутиза- ции. В соответствии с ним принимается решение об отправке пакета (возможно, упакованного в кадр нового вида – это зависит от протокола, используемого ли- нией) на удаленный маршрутизатор. На противоположном конце пакет встав- ляется в поле данных кадра Ethernet и поступает в ЛВС 2.

В чем заключается основная разница между случаем коммутации (уста- новки моста) и маршрутизации? Коммутатор (мост) пересылает весь кадр, обосновывая свое решение значением МАС-адреса. При применении маршру- тизатора пакет извлекается из кадра, и для принятия решения используется ад- рес, содержащийся именно в пакете. Коммутаторы не обязаны вникать в по- дробности устройства протокола сетевого уровня. А маршрутизаторы обязаны.

Если в разных частях составной сети используются разные сетевые про- токолы, то для того, чтобы она функционировала как единая сеть, все узлы ко-

 

торой имели бы возможность обмениваться информацией, может быть исполь- зован стандартный прием – трансляция.

Специфические особенности, определенные в разд. 5.2, делают задачу трансляции сетевых протоколов нетривиальной, требующей привлечения про- граммных средств. Устройство, реализующее трансляцию одного сетевого про- токола в другой, называется шлюзом. (Некоторые шлюзы решают и более сложную задачу согласования стеков протоколов, включающих протоколы всех уровней.)

Оправдано применение на сетевом уровне инкапсуляции. Наибольшую гибкость при инкапсуляции своих пакетов в пакеты других сетевых протоколов демонстрирует протокол IP. Для него разработано семейство протоколов ARP, каждый из которых предназначен для выполнения процедуры инкапсуляции пакетов IP в определенный протокол – Ethernet, Х.25, Frame Relay, ATM и т.п.

Туннели могут быть проложены и через несколько последовательно со- единенных подсетей. Для этого используется ориентированное на соединение сцепление виртуальных каналов подсетей.

 

Узел 1

 

 

Сеть SNA

 

Шлюз

 

Сеть ATM

 

 

 

Сеть Х.25

 

Маршрутизатор

 

Сквозные

 

Сеть OSI

сцепленные виртуальные каналы

Узел 2

 

Рис. 5.3. Объединение сетей с помощью сцепленных виртуальных каналов

В модели сцепленных виртуальных каналов, показанной на рис. 5.3, со- единение с хостом в удаленной сети устанавливается способом, близким к рас- смотренному ранее. Подсеть «видит», что адресат является удаленным, и созда- ет виртуальный канал к ближайшему маршрутизатору из сети адресата. Затем строится виртуальный канал от этого маршрутизатора к внешнему шлюзу (многопротокольному маршрутизатору). Шлюз запоминает существование со- зданного виртуального канала в своих таблицах и строит новый виртуальный канал к маршрутизатору в следующей подсети. Процесс продолжается до тех пор, пока не будет достигнут хост-получатель.

Поскольку речь идет о сцеплении виртуальных каналов, то целесообразно рассмотреть особенности коммутации с их использованием.

 

5.6. Коммутации с использованием техники виртуальных каналов

Наряду с маршрутизаторами и пограничными шлюзами для организации виртуальных каналов на сетевом уровне широко используются коммутаторы. При этом при прокладке маршрута для виртуализации проложенного соедине- ния таблицы маршрутизации заменяются таблицами коммутации. Рассмотрим, что же дает применение виртуальных каналов (ВК) в сети.

Смысл создания ВК заключается в следующем. Маршрутизация пакетов между УК сети на основе таблиц маршрутизации происходит только один раз при создании коммутируемого ВК. Для установления виртуального соединения посылается запрос – специальный пакет Call Request, содержащий сетевые ад- реса источника и получателя. Адреса конечных узлов в глобальных сетях име- ют длину 14, 15 десятичных цифр (до 8 байт) в служебном поле пакета. При прохождении Call Request через УК резервируются и затем фиксируются номе- ра входящего и исходящего портов в каждом УК, между которыми будет ком- мутироваться поток передаваемых данных между корреспондирующими око- нечными устройствами в установленном виртуальном соединении. Номер ВК составляет 12 бит (4 бита – номер группы, 8 бит номер – канала в группе). В ре- зультате после установления виртуального соединения пакеты не несут длин- ных адресов, и работа сети маршрутизации пакетов ускоряется за счет двух факторов: решение по продвижению пакетов принимается быстрее из-за мень- шего размера таблицы коммутации и уменьшается доля служебной информа- ции.

Режим продвижения пакетов на основе готовой таблицы коммутации

портов называют не маршрутизацией, а коммутацией. Таблица маршрутизации в оконечных узлах состоит из записей глобального адреса DА и номера порта, на который нужно переслать пакет из УК, к которому имеет доступ данное око- нечное устройство. Адрес следующего коммутатора (УК) не нужен, так как свя- зи между коммутаторами типа «точка – точка», а множественных связей между коммутаторами нет.

Пусть конечный узел с адресом 5813760 начинает устанавливать вирту- альное соединение с узлом 5813765 и посылает запрос на установление соеди- нения Call Request. Установление требуемого соединения и формирование коммутационных таблиц на каждом УК, входящем в данный ВК, показаны на рис. 5.4.

Техника ВК позволяет реализовать два режима продвижения пакетов – стандартный режим маршрутизации пакета на основании адреса назначения и режим коммутации пакетов на основании номера ВК. Эти режимы применяют- ся поэтапно, причем первый этап состоит в маршрутизации всего одного паке- та – запроса на установление соединения. При использовании виртуальных ка- налов очень эффективно передаются через сеть долговременные потоки, но для кратковременных этот режим не очень подходит, так как на установление со- единения уходит значимое время.

 

 

Узел A

 

DA=5813760

 

 

 

УК B

 

Маршрутная таблица УК C

 

Маршрутная таблица УК D Маршрутная таблица УК E

                                     

...

Таблица маршрутизации порта 1 B

ВК-вход	ВК-выход	Порт
10	4	1
9	8	3

Таблица маршрутизации порта 1 C

Таблица маршрутизации порта 4 B

ВК-вход	ВК-выход	Порт
3	2	2
4	10	4

Таблица маршрутизации порта 2 _C

           

Таблица маршрутизации порта 4 D       Таблица маршрутизации порта 3 D

Таблица маршрутизации порта 2 _E   Таблица маршрутизации порта 3 _E

          

УК B

Узел А

ВК4

ВК10

ВК5

ВК6

ВК1

                                                                                            

 

Узел F

УК E

УК D

УК C

Рис. 5.4. Установка виртуального канала между оконечными устройствами: А и F; 𝒀_𝒊, Y = B, C, D, E – коммутаторы (УК),

i = 1, 2, 3, 4 – номера портов

Корпоративные сети

Инкапсуляция и техника виртуальных каналов лежат в основе организа- ции виртуальных сетей – VLAN (Virtual Local Area Network).

 

VLAN применяются, например, при построении многих корпоративных сетей. Почему?

Корпорация является сложной многопрофильной структурой и состоит из множества предприятий и организаций, обладающих весьма высокой степенью самостоятельности. В то же время в своей деятельности она ориентируется на вполне конкретные цели. Чтобы обеспечить их достижение, корпорация нужда- ется в исключительно четко организованной координации деятельности входя- щих в ее состав предприятий и организаций. Такая координация возможна только на основе эффективной системы централизованных коммуникаций.

Концепция корпоративной сети как базовой несущей конструкции совре- менной организации ориентирована на крупномасштабные организации, име- ющие распределенную инфраструктуру. Поэтому корпоративная сеть, как пра- вило, является территориально распределенной, т. е. объединяющей офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга.

Термин «корпоративная» отражает, с одной стороны, размер сети, так как корпорация – это крупное, большое предприятие. С другой стороны, этот тер- мин имеет смысл объединения, т. е. корпоративная сеть – это сеть, получивша- яся в результате объединения нескольких сетей.

С функциональной точки зрения корпоративная сеть – это среда, обеспе- чивающая передачу информации между различными приложениями, использу- емыми в системе корпорации. В узком смысле сеть – программно-аппаратный комплекс, организующий надежную и быструю доставку сообщений между взаимодействующими приложениями. Сеть является универсальной транспорт- ной платформой, которая берет на себя выполнение рутинных коммуникацион- ных задач.

Первая проблема, которую приходится решать при создании корпоратив- ной сети, – организация каналов связи. За исключением некоторых крупных ве- домств (МЧС, железнодорожный транспорт, газо- и нефтепроводы) территори- ально распределенные сети используют арендованные линии связи.

В пределах одного города можно рассчитывать на аренду выделенных линий, в том числе высокоскоростных. При переходе к географически удален- ным узлам естественным решением этой проблемы является использование уже существующих глобальных сетей. В этом случае достаточно обеспечить каналы от офисов до ближайших узлов глобальной сети. Задачу доставки информации между узлами глобальная сеть при этом возьмет на себя. В качестве такой гло- бальной сети предприятиями широко используется среда Internet.

Использование Internet в качестве транспортной среды передачи данных при построении корпоративной сети имеет как преимущества, так и недостатки. К преимуществам относятся готовые коммутационные каналы, низкая абонент- ская плата, простота реализации. Однако бурный рост услуг, предоставляемых Internet, приводит к перегрузке узлов и каналов связи. Это резко снижает ско- рость и надежность передачи информации, поэтому в «чистом виде» рекомен- довать Internet как основу для систем, в которых требуется надежность и закры- тость, никак нельзя. В рамках корпоративной сети Internet находит применение

 

как виртуальная частная сеть (VPN), представляющая собой защищенные виртуальные каналы сетей пакетной коммутации. Основные достоинства такого подхода – универсальность, гибкость, безопасность.

VPN – обобщенное название технологий, позволяющих реализовывать одно или несколько сетевых соединений (логическую сеть) поверх другой сети. VPN представляет собой объединение отдельных машин или локальных сетей в виртуальной сети, которая обеспечивает целостность и безопасность передаваемых данных. Она обладает свойствами выделенной частной сети и позволяет передавать данные между компьютерами через промежуточную сеть (internetwork). Главной отличительной чертой данной технологии является ис- пользование сети Internet в качестве такой промежуточной магистрали для пе-

редачи корпоративного IP-трафика (рис. 5.5).

VPN состоит из «внутренней» (подконтрольной) сети (таких сетей может быть несколько) и «внешней», по которой проходит инкапсулированное соеди- нение (Internet). Возможно также подключение к виртуальной сети отдельного компьютера. Когда данные передаются через VPN, они исчезают «с поверхно- сти» в точке отправки и вновь появляются только в точке назначения. Этот процесс и принято называть «туннелированием».

 

Региональное отделение

Главный офис

 

Интернет

 

 

Региональное отделение

Другие удаленные пользователи

 

Рис. 5.5. VPN для корпоративной сети

При туннелировании протокольные пакеты сети одного типа для переда- чи вставляются или инкапсулируются в протокольные пакеты («пакеты- переносчики») другой сети. В конце туннеля пакеты деинкапсулируются и пе- редаются получателю.

Логический путь передвижения инкапсулированных пакетов в транзит- ной сети называется VPN-туннелем.

Присоединение удаленного пользователя к VPN производится посред- ством сервера доступа, который подключен как ко внутренней, так и к внешней (общедоступной) сетям. Существует два типа VPN-подключений: удаленного доступа и типа «сеть-сеть».

В качестве примера на рис. 5.6 показано VPN-подключение удаленного доступа.

 

 

 

 

Сервер провайдера (с РРР)

 

Интернет

Сервер удаленного доступа, использующей PPTP или L2TP

 

 

 

VPN-соединение (PPTP или L2TP)

VPN-туннель или частная сеть

 

Корпоративная сеть

 

Рис. 5.6. VPN на основе подключения к интернет-провайдеру

С точки зрения пользователя VPN-подключение представляет собой под- ключение типа «точка – точка» между клиентским компьютером и сервером организации. Реальная инфраструктура общей или публичной сети не имеет значения. Данные передаются подобно тому, как если бы они передавались по выделенному частному каналу.

Связь через Internet подвержена потенциальным нарушениям защиты и конфиденциальности. Для формирования криптозащищенных VPN-туннелей используются специальные механизмы – протоколы IPSec, PPTP, L2TP.

Каждый криптозащищенный туннель представляет собой соединение, проведенное через открытую сеть. Для защиты от повтора, удаления и задержек пакетов сообщений, передаваемых по туннелю VPN, перегрузки сети и исполь- зуются возможности стеков сетевых протоколов.

 

Транспортная сеть

В объединенных сетях роль транспортной сети (ТС) выполняет специ- альная внутренняя (первичная) сеть, не имеющая непосредственного выхода на абонентские системы. В первичных сетях сообщения передаются и принимают- ся посредством передачи и приема электрических сигналов, т. е. с помощью электросвязи. Первичные сети основаны на понятии группового канала и ком- мутации таких каналов.