Транспортные и мультисервисные системы и сети связи.-1
.pdf
Табл.2. Форматы кадров H.261 и H.263
|
Формат кадра |
Размер в пикселях |
H.261 |
H.263 |
|
|
|
|
|
|
sub-QCIF |
128x96 |
не определено |
обязательно |
|
|
|
|
|
|
QCIF |
176x144 |
обязательно |
обязательно |
|
|
|
|
|
|
CIF |
352x288 |
возможно |
возможно |
|
|
|
|
|
|
4CIF |
702x576 |
не определено |
возможно |
|
|
|
|
|
|
16CIF |
1408x1152 |
не определено |
возможно |
|
|
|
|
|
|
. |
|
|
|
Мультимедиа шлюз (Gateway) H.323
Рис.3. Мультимедиа шлюз H.323/PSTN.
Согласно H.323, мультимедиа шлюз - это опциональный элемент в конференции H.323. Он может выполнять много различных функций. Типичной его функцией являются задача преобразования форматов протоколов передачи (например, H.225.0 и H.221). Обычно мультимедиа шлюзы используются для поддержки взаимодействия между разнородными сетями. На Рис.3. показан шлюз H.323/PSTN.
Контроллер зоны (Gatekeeper, Привратник, Конференц-менеджер)
Это рекомендуемое, но не обязательное устройство, обеспечивающее сетевое управление и исполняющее роль виртуальной телефонной станции.
Рис.4. Контроллер зоны (Gatekeeper)
201
Основными функциями контроллера зоны являются:
Управление и адресация вызовов
Обеспечение основными типами обслуживания, такими как телефонный справочник и сервисом, характерным для УАТС (передача и перенаправление вызовов и т.д.)
Управление использованием полосы пропускания приложениями H.323 таким образом, чтобы обеспечить качество обслуживания (QoS).
Управление общим использованием сетевых ресурсов
Системное администрирование и обеспечение безопасности
Несмотря на то, что Рекомендации H.323 определяют контроллер зоны как необязательный компонент, без него невозможно воспользоваться мощным и разнообразным спектром услуг, предусмотренных создателями стандарта H.323 для приложений IP-телефонии и мультимедийных телеконференций.
o Устройство управления многоточечной конференцией (Multipoint Control
Units (MCU))
Устройство MCU предназначено для поддержки конференции между тремя и более участниками. В этом устройстве должен присутствовать контроллер Multipoint Controller (MC), и, возможно, процессоры Multipoint Processors (MP). Контроллер MC
поддерживает протокол Н.245 и предназначен для согласования параметров обработки аудио- и видеопотоков между терминалами. Процессоры занимаются коммутированием, микшированием и обработкой этих потоков.
Конфигурация многоточечной конференции может быть централизованной, децентрализованной, гибридной и смешанной.
Рис. 5. Схемы централизованной и децентрализованной организаций конференции в
H.323.
Централизованная многоточечная конференция требует наличия устройства MCU. Каждый терминал обменивается с MCU потоками аудио, видео, данными и командами управления по схеме "точка-точка". Контроллер MC, используя протокол H.245, определяет возможности каждого терминала. Процессор MP формирует
202
необходимые для каждого терминала мультимедийные потоки и рассылает их. Кроме того, процессор может обеспечивать преобразования потоков от различных кодеков с различными скоростями данных. Децентрализованная многоточечная конференция использует технологию групповой адресации. Участвующие в конференции H.323 терминалы осуществляют многоадресную передачу мультимедиа потока остальным участникам без посылки на MCU. Передача контрольной и управляющей информации осуществляется по схеме "точка-точка" между терминалами и MCU. В этом случае контроль многоточечной рассылки осуществляется контроллером MC. Гибридная схема организации конференцсвязи является комбинацией двух предыдущих. Участвующие в конференции H.323 терминалы осуществляют многоадресную передачу только аудиоили только видеопотока остальным участникам без посылки на MCU. Передача остальных потоков осуществляется по схеме "точка-точка" между терминалами и MCU. В этом случае задействуются как контроллер, так и процессор MCU.
Рис. 6. Схемы децентрализованной и смешанной организаций конференции в H.323.
В смешанной схеме организации конференцсвязи одна группа терминалов может работать по централизованной схеме, а другая группа - по децентрализованной.
o |
Тенденции развития рекомендаций H.323 |
H.323 v.2
Во второй версии H.323 v.2 рекомендаций были устранены недостатки предыдущей версии. Были усовершенствованы существующие протоколы: Q.931, H.245 и H.225, а также введен ряд новых. Основные преимущества новой версии стандарта заключаются в добавлении функций безопасности, установки быстрого вызова, некоторых дополнительных сервисов и интеграции протоколов H.323 и T.120.
Функции безопасности (H.235) включают в себя обеспечение аутентификации (механизм, который подтверждает то, что участники конференции именно те, за которых они себя выдают), целостности
203
(механизм, подтверждающий то, что переданные пакеты не были искажены), криптографическую защиту передаваемой информации от несанкционированного доступа.
Функция Fast Call Setup решает имевшуюся в первой версии проблему, когда после прохождения звонка одного абонента другому могла быть задержка в прохождении аудио и видеопотоков.
Протокол T.120 был интегрирован и в первую версию рекомендаций H.323, однако сценарии установки звонка были довольно сложны. Во второй версии рекомендаций H.323 эта проблема решается следующим образом: стандарт требует, чтобы оборудование конечных пользователей, поддерживающее одновременно и T.120, и H.323, управлялось звонками по H.323. Более того, согласно второй версии рекомендаций T.120 является опциональной частью конференции H.323 и возможности действий по T.120 отдаются на усмотрение каждого устройства в H.323 конференции по отдельности.
H.323 v.3
В третьей версии H.323 v.3 рекомендаций было введено несколько новых возможностей. Прежде всего они касаются дополнений к основному документу и рекомендациям H.225.0, внося усовершенствования в архитектуру стандарта. Среди них можно выделить:
|
Более эффективное использование ранее установленных |
|
|
сигнальных соединений, в частности, между мультимедиа шлюзом и |
|
|
контроллером зоны |
|
|
Возможность переадресации вызова при установленном |
|
|
соединении |
|
|
Повышено удобство получения информации об абонентах (Caller |
|
|
ID). |
|
|
Сигнальная информация включает в себя информацию о языке |
|
|
абонента, что расширяет возможности обработки вызова. |
|
|
Предложен механизм, облегчающий добавление новых кодеков. |
|
|
Механизм сигнализации может теперь использовать UDP |
|
|
транспорт, вместо TCP, что существенно для конференций с большим |
|
|
числом участников. |
|
|
Введено понятие упрощенного терминала (Simple Endpoint Type - |
|
|
SET). Такие терминалы могут поддерживать только незначительную часть |
|
|
рекомендаций H. 323, тем не менее обеспечивая проведение аудиосвязи с |
|
|
другими H.323 терминалами. |
|
|
Введена возможность SNMP - управления оборудованием |
|
|
видеоконференцсвязи. |
|
|
Информационная база |
управления (MIB) описывается |
|
документом H.341. |
|
H.323 v.4
Четвертая версия рекомендаций H.323 v.4 принята 17 ноября 2000 года. Туда внесено много изменений с целью повышения надежности, мобильности и гибкости систем видеоконференций. Новые возможности, касающиеся мультимедиа шлюзов и
204
устройств многоточечной конференции, направлены на повышение качества организации и проведения конференции с большим числом участников. Перечислим некоторые из нововведений.
|
Новые механизмы повышения устойчивости работы H.323 конференции. |
|
Декомпозиция структуры мультимедиа шлюза с целью отделения модуля |
|
управления от исполнительных устройств. |
|
Возможность мультиплексирования аудио и видео в одном RTP потоке. |
|
Модификация процесса регистрации на контроллере зоны с целью |
|
облегчить регистрацию большого числа участников конференции. |
|
Совершенствование механизмов распределения нагрузки и повышения |
|
устойчивости работы контроллеров зоны |
|
Для терминалов H.323 предусматриваются способы выделения реально |
|
необходимой полосы пропускания как для обычной, так и для групповой |
|
адресации. |
Системы управления видеоконференцсвязью
Существует общемировое правило — чем больше сеть, тем сложнее сетью становится управлять. Для обеспечения надежности и повышения отказоустойчивости и безопасности сетей видеоконференции используются технологии, получившие название системы управления сетями.
В понятие системы управления сетями видеоконференций должны входить
Обработка и анализ ошибок — обеспечение необходимыми инструментами для обнаружения сбоев и отказов сетевых и терминальных устройств, определения их причин и принятия действий по восстановлению работоспособности.
Управление конфигурацией — отслеживание и настройка конфигурации сетевого аппаратно-программного обеспечения.
Учет — измерение использования и доступности сетевых ресурсов.
Управление производительностью — измерение производительности сети, сбор и анализ статистической информации о поведении сети для ее поддержания на приемлемом уровне как для оперативного управления сетью, так и для планирования ее развития.
Управление безопасностью — контроль доступа к оборудованию и сетевым ресурсам с ведением журналов доступа для обнаружения, предотвращения и пресечения несанкционированного доступа.
Косновным системам управления видеоконференции относят:
Tandberg: Tandberg Management Suite (TMS).
Polycom: Polycom Converged Management Application (CMA); Distributed Media Application (DMA); Global Management System (GMS); PathNavigator.
Emblaze-VCON: Media eXchange Manager (MXM).
Codian: Codian Management Platform (CMP); Codian Director; Codian Scheduller.
Производители аппаратных и программных решений для видеоконференций Зарубежные производители
Polycom (США), аппаратные и программные решения
205
Tandberg (Норвегия), аппаратные и программные решения
Sony (Япония), аппаратные решения
Aethra (Италия), аппаратные решения
Codian (Англия), аппаратные и программные решения
LifeSize (США), аппаратные решения
Vidyo (США), программные решения
RadVision (Израиль), аппаратные и программные решения
Emblaze-VCON (Израиль), аппаратные и программные решения
AddPac (Корея), аппаратные решения
Huawei Technologies (Китай), аппаратные решения
Cisco Systems (США), аппаратные решения
Scotty (Англия), аппаратные решения
e-works (Италия), программные решения
ARTA Software (Казахстан), программные решения
Российские производители
ВидеоПорт, программные решения
ВидеоМост, программные решения
DiViSy, программные решения
Vidicor, аппаратно-программные решения
Mototelecom Videomeeting System, программные решения
VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщѐнное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрованию, аутентификация, инфраструктуры публичных ключей, средствам для защиты от повторов и изменения передаваемых по логической сети сообщений).
206
Уровни реализации
Обычно VPN развѐртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).
Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причѐм используемую зачастую не для создания частных сетей.
Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to- Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» для предоставления выхода в Интернет.
При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.
Структура VPN
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалѐнного пользователя к VPN производится посредством сервера доступа, который подключѐн как к внутренней, так и к внешней (общедоступной) сети. При подключении удалѐнного пользователя (либо при установке соединения с другой защищѐнной сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалѐнный пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Примеры VPN
IPSec (IP security) — часто используется поверх IPv4.
PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.
PPPoE (PPP (Point-to-Point Protocol) over Ethernet)
L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.
L2TPv3 (Layer 2 Tunnelling Protocol version 3).
OpenVPN SSL VPN с открытым исходным кодом, поддерживает режимы PPP, bridge, point-to-point, multi-client server
Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнесклиентов.
207
Классификация VPN
Классификация VPN
Классифицировать VPN решения можно по нескольким основным параметрам:
По степени защищенности используемой среды
Защищѐнные
Наиболее распространѐнный вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную на основе ненадѐжной сети, как правило, Интернета. Примером защищѐнных VPN являются: IPSec, OpenVPN и PPTP.
Доверительные
Используются в случаях, когда передающую среду можно считать надѐжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol). (точнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).
По способу реализации
В виде специального программно-аппаратного обеспечения
Реализация VPN сети осуществляется при помощи специального комплекса программноаппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищѐнности.
208
В виде программного решения
Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.
Интегрированное решение
Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.
По типу протокола
Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нѐм чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей
TCP/IP
По уровню сетевого протокола
По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.
Шифрование
Шифрование с использованием протокола MPPE (Microsoft Point-to-Point Encryption)
Метод MPPE (Microsoft Point-to-Point Encryption) используется для шифрования данных в подключениях удаленного доступа на базе протокола PPP (Point-to-Point Protocol) или подключениях к виртуальной частной сети (VPN — virtual private network) по протоколу PPTP
(Point-to-Point Tunneling Protocol). Поддерживаются схемы шифрования MPPE с 128-
разрядным ключом (усиленная), |
с 56-разрядным ключом и |
с 40-разрядным ключом |
(стандартная). MPPE обеспечивает безопасность данных для подключений PPTP между VPN- |
||
клиентом |
и |
VPN-сервером. |
MPPE требует использования ключей шифрования, генерируемых в процессе проверки подлинности по протоколу MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2) или EAP-TLS
(Extensible |
Authentication |
Protocol-Transport |
Level |
Security). |
Чтобы включить |
шифрование данных |
с использованием |
MPPE на подключениях VPN, |
|
необходимо активизировать проверку подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS. Все эти методы проверки подлинности генерируют ключи, используемые в процессе шифрования.
Шифрование с использованием протокола IPSec (Internet Protocol security)
IPSec — это набор служб защиты и протоколов безопасности, основанных на средствах криптографии. Этот протокол представляет одно из наиболее перспективных направлений развития средств защиты сетей. Так как протокол IPSec не требует изменения приложений или протоколов, он легко развертывается в существующих сетях.
IPSec обеспечивает проверку подлинности на уровне компьютера и шифрование данных для подключений VPN, использующих протокол L2TP. Согласование IPSec между локальным компьютером и VPN-сервером, использующим L2TP, выполняется перед установкой подключения L2TP. Это согласование защищает и пароли, и данные.
При взаимодействии с IPSec протокол L2TP использует стандартные методы проверки подлинности на базе PPP, такие как EAP, MS-CHAP, MS-CHAP v2, CHAP, SPAP и PAP.
209
Тип шифрования определяется так называемым сопоставлением безопасности IPSec. Сопоставление безопасности — это набор атрибутов, состоящий из адреса назначения, протокола безопасности и уникального идентификатора, называемого индексом параметров
безопасности. |
Поддерживаются |
следующие |
алгоритмы |
шифрования: |
||||||
• |
DES |
(Data |
Encryption |
Standard), |
использующий |
56-разрядный |
ключ; |
|||
• 3DES (Triple DES), использующий три 56-разрядных ключа и предназначенный для среды с высоким уровнем безопасности.
По назначению
Intranet VPN
Используют для объединения в единую защищѐнную сеть нескольких распределѐнных филиалов одной организации, обменивающихся данными по открытым каналам связи.
Remote Access VPN
Используют для создания защищѐнного канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa.
Extranet VPN
Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
Internet VPN
Используется для предоставления доступа к интернету провайдерами, обычно в случае если по одному физическому каналу подключаются несколько пользователей.
Client/Server VPN
Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.
Skype
Skype (произносится «скайп») — бесплатное проприетарное программное обеспечение с закрытым кодом, обеспечивающее шифрованную голосовую связь через Интернет между компьютерами (VoIP), а также платные услуги для связи с абонентами обычной телефонной сети.
Программа также позволяет совершать конференц-звонки (до 25 голосовых абонентов, включая инициатора), видеозвонки (в т.ч. видеоконференции до 10 абонентов), а также обеспечивает передачу текстовых сообщений и файлов.
210