- •На рис.В5 приняты следующие обозначения.
- •Укузел коммутации. Задачи узлов коммутации:
- •Например:
- •Эмвос основана на трех базовых понятиях:
- •Помехоустойчивое кодирование
- •1.1 Основные определения
- •1.1.2 Понятие о корректирующих кодах
- •Линейные коды
- •1.1.3 Построение линейных кодов
- •1.1.4 Обнаружение и исправление ошибок. Декодирующее устройство
- •1.1.5 Примеры линейных кодов
- •1.2 Циклические коды
- •1) Полиномы Pr(X) должны быть неприводимыми, т. Е. Не делиться ни на какой другой полином;
- •1.2.1 Выбор образующего многочлена
- •1.2.2 Базис циклического кода, формирование кодовых комбинаций
- •1.2.3 Синдром циклического кода и его свойства
- •1.3 Коды боуза - чоудхури - хоквингема
- •2 Логическая архитектура информационных сетей
- •2.1 Архитектура эмвос
- •1.5 Международная стандартизация в области сетей эвм
- •1.6 Логическая архитектура сетей
- •1.6.1. Понятие логической архитектуры сети
- •1.6.2. Первые вычислительные системы и одноранговая архитектура
- •1.6.3 Классическая архитектура "клиент-сервер"
- •1.6.4 Архитектура "клиент-сервер", основанная на Web-технологии
- •3 Основы аналоговых и цифровых каналов инфокоммуникационных систем
- •3.1 Уровни передачи
- •2.2 Остаточное затухание
- •2.3 Электрические характеристики каналов
- •2.4 Этапы формирования цифрового сигнала
- •2.5 Временное группообразование
- •2.5 Принципы объединения и разделения цифровых потоков
- •4 Транспортные технологии ис
- •4.1 Соединения и каналы
- •3.1.1. Коммутация каналов и пакетов.
- •3.1.2. Датаграммы и виртуальные каналы.
- •3.4 Технологии глобальных соединений
- •3.4.1 Сеть Internet и технология internet.
- •3.4.2 Технология vpn
- •3.4.2.4 Технология X.25
- •3.4.2.5 Комбинированая технология через телефонные сети, Internet и сети с коммутацией пакетов
- •3.5.2 Технология Frame Relay
- •3.5 Плезиохронная и синхронная цифровые иерархии
3.4.2 Технология vpn
Идеальным вариантом для частной сети было бы создание каналов связи только на тех участках, где это необходимо, и передача по ним любых сетевых протоколов, которых требуют работающие приложения. На первый взгляд, это возврат к арендованным линиям связи, однако существуют технологии построения сетей передачи данных, позволяющие организовать внутри них каналы, возникающие только в нужное время и в нужном месте. Такие каналы называются виртуальными.
Систему, объединяющую удаленные ресурсы с помощью виртуальных каналов, естественно назвать виртуальной сетью. На сегодня существуют две основных технологии виртуальных сетей - сети с коммутацией каналов и сети с коммутацией пакетов. К первым относятся обычная телефонная сеть, ISDN и ряд других, более экзотических технологий. Сети с коммутацией пакетов представлены технологиями X.25, Frame Relay и - в последнее время - ATM. Говорить об использовании ATM в территориально распределенных сетях пока рано, и мы оставим эту технологию за рамками нашей дисциплины. Остальные типы виртуальных (в различных сочетаниях) сетей широко используются при построении корпоративных информационных систем.
Сети с коммутацией каналов обеспечивают абоненту несколько каналов связи. Хорошо нам знакомая телефонная сеть дает один канал связи между абонентами. При необходимости увеличить количество одновременно доступных ресурсов приходится устанавливать дополнительные телефонные номера, что обходится очень недешево. Даже если забыть о низком качестве связи, то ограничение на количество каналов и большое время установления соединения не позволяют использовать телефонную связь в качестве основы корпоративной сети. Для подключения же отдельных удаленных пользователей это достаточно удобный и часто единственный доступный метод.
Другим примером виртуальной сети с коммутацией каналов является ISDN (цифровая сеть с интеграцией услуг). ISDN обеспечивает цифровые каналы (64 кбит/сек), по которым могут передаваться как голос, так и данные. Базовое подключение ISDN (Basic Rate Interface) включает два таких канала и дополнительный канал управления со скоростью 16 кбит/с (такая комбинация обозначается как 2B+D). Возможно использование большего числа каналов - до тридцати (Primary Rate Interface, 30B+D), однако это ведет к соответствующему удорожанию аппаратуры и каналов связи. Кроме того, пропорционально увеличиваются и затраты на аренду и использование сети. В целом ограничения на количество одновременно доступных ресурсов, налагаемые ISDN, приводят к тому, что этот тип связи оказывается удобным использовать в основном как альтернативу телефонным сетям. В системах с небольшим количеством узлов ISDN может использоваться также и как основной протокол сети. Следует только иметь в виду, что доступ к ISDN в нашей стране пока скорее исключение, чем правило.
Альтернативой сетям с коммутацией каналов являются сети с коммутацией пакетов. При использовании пакетной коммутации один канал связи используется в режиме разделения времени многими пользователями - примерно так же, как и в Internet. Однако, в отличие от сетей типа Internet, где каждый пакет маршрутизируется отдельно, сети пакетной коммутации перед передачей информации требуют установления соединения между конечными ресурсами. После установления соединения сеть "запоминает" маршрут (виртуальный канал), по которому должна передаваться информация между абонентами и помнит его, пока не получит сигнала о разрыве связи. Для приложений, работающих в сети пакетной коммутации, виртуальные каналы выглядят как обычные линии связи - с той только разницей, что их пропускная способность и вносимые задержки меняются в зависимости от загруженности сети. Термин "виртуальная частная сеть" - VPN (Virtual Private Network) - используется для обозначения разных технологий. Однако во всех этих технологиях есть нечто общее и детали, отличающие их друг от друга. Общим является следующее. Под виртуальной частной сетью [3] понимают потоки данных одного предприятия, которые существуют в публичной сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других пользователей этой публичной сети. Другими словами, виртуальная частная сеть - это некоторая имитация сети, построенной на выделенных каналах. Если публичная сеть предоставляет такой сервис, то в ней одновременно сосуществуют несколько виртуальных корпоративных сетей, разделяющих общие комму- таторы и физические каналы связи. Потоки данных отдельного предприятия образуют виртуальные каналы частной сети. А вот защищенность от потоков данных других предприятий трактуется по-разному. Обычно ее понимают в двух отношениях - в отношении параметров пропускной способности и в отношении конфиденциальности данных.
Пропускная способность VPN
Конечно, каждое предприятие хотело бы, чтобы виртуальные каналы как можно больше были похожи на реальные выделенные линии, пропускная способность которых всегда в распоряжении пользователей предприятия. Отсюда вытекают следующие требования к VPN:
– пользователям должны предоставляться некоторые гарантии качества обслуживания в виртуальных каналах VPN - средняя пропускная способность, максимально допустимый уровень пульсации, уровни задержек кадров;
– пользователи должны иметь инструменты для контроля действительных параметров пропускной способности виртуальных каналов.
Сегодня для различных типов сетей с коммутацией пакетов существуют различные возможности получения гарантий качества обслуживания.
Конфиденциальность
Возможность несанкционированного доступа к данным, передающимся по публичной сети очень волнует сетевых администраторов, привыкшим к использованию выделенных каналов или телефонных сетей для передачи корпоративных данных. Наличие огромного числа хакеров в Internet действительно представляет постоянную угрозу для корпоративных серверов, к данным которых можно хотя бы попробовать подступиться из любого домашнего компьютера, оставаясь при этом анонимным.
В то же время угрозы перехвата пакетов по пути следования по публичной сети передачи данных многие специалисты считают преувеличенными. Действительно, пакеты идут только через коммутаторы и маршрутизаторы провайдеров публичных сетей, а в сети посторонних организаций и частных лиц не заходят. И провайдерами публичных сетей с коммутацией пакетов выступают чаще всего те же организации, которые предоставляют традиционные виды телекоммуникационных сервисов - выделенные каналы и телефонные сети. Таким образом, угроза по перехвату пакетов по пути следования исходит скорее от самих провайдеров, сотрудников которых могут подкупить конкуренты.
От двух типов угроз - входа во внутренние серверы предприятия и перехвата данных по пути - существуют соответствующие средства защиты, описанные в разделе 4 - firewall'ы и proxy-серверы для отражения угроз первого вида, и средства образования защищенного канала для второго.
3.4.2.3 Виртуальные частные сети в публичных сетях framerelay, АТМ, Internet
Виртуальные частные сети можно организовывать в сетях с коммутацией пакетов любого типа Х.25, framerelay, АТМ и TCP/IP – Internet [3].
Наличие в сетях Х.25 техники виртуальных каналов создает предпосылки для образования в них VPN. Однако, в технологии Х.25 отсутствует важный элемент, который необходим для образования VPN - поддержка качества обслуживания. Пропускная способность виртуального канала VPN неизвестна. В настоящее время работы по совершенствованию технологии Х.25 в этом направлении не ведутся, поэтому виртуальные каналы в сетях Х.25 трудно отнести к полноценным VPN.
Сети framerelay часто упоминаются при описании сервиса VPN. Действительно, техника заказа качества обслуживания виртуального канала встроена в технологию framerelay. Кроме того, сети framerelay обычно мало доступны для индивидуальных пользователей из-за своих цен и отсутствия в них информационных сервисов типа службы Web, поэтому хакерские атаки в них маловероятны. Многие провайдеры сетей framerelay рекламируют свои сервисы как сервисы VPN.
Сети АТМ - идеальное средство для образования VPN, так как они предлагают самые тонкие процедуры поддержания параметров качества обслуживания. Однако, их небольшая распространенность как публичных сетей пока не позволяет широко использовать их для построения VPN.
Сети TCP/IP и Internet до недавнего времени не фигурировали в качестве возможной среды для образования в них VPN. Основная причина - та же, что и в случае сетей Х.25 - в протоколах TCP/IP нет гарантий качества обслуживания. Однако, в последнее время ситуация изменилась. Сам термин VPN многие стали употреблять исключительно в связи с созданием частной сети предприятия в Internet.
Безусловно, это связано с стремительно возросшей популярностью Internet, его быстро растущей доступностью и дешевизной. Из-за этого многие администраторы мирятся с неизвестной пропускной способностью каналов, проложенных через Internet.
Тем не менее, VPN в сетях TCP/IP начинают приобретать свойства "настоящих" VPN. Этому способствуют два обстоятельства.
Во-первых, провайдеры, сети которых образуют магистрали Internet, много работают над улучшением качества обслуживания. магистрали строятся на основе АТМ и SDH, также быстро растет производительность магистральных маршрутизаторов. Это уменьшает задержки в Internet и повышает качество обслуживания.
Во-вторых, стек протоколов TCP/IP модернизируется и в нем появляются протоколы, с помощью которых можно управлять качеством обслуживания - протоколы RSVP, RTP и ряд других.
В-третьих, многие крупные провайдеры предоставляют услуги магистралей TCP/IP, не связанных непосредственно с Internet. На этих магистралях передается трафик только крупных корпоративных пользователей, поэтому защищенность данных и пропускная способность таких сервисов существенно выше.