Деревянко_БС ЭВМ
.pdf3.3. Специфика построения
Как правило, построение VPN для распределенных компаний даже с небольшим количеством (5-10) удаленных подразделений (филиалов) является достаточно трудоемкой задачей, сложность которой обуславливается следующими основными причинами:
неоднородностью используемых аппаратнопрограммных платформ;
разнообразием задач (защищённый обмен между головным офисом и филиалами, офисом и мобильными или удаленными сотрудниками, сегментами внутренней сети компании);
необходимостью построения централизованной системы управления всей корпоративной VPN;
наличием узкой полосы пропускания и откровенно плохим качеством существующих каналов связи, особенно с региональными подразделениями и т.д.
Сложность построения корпоративных VPN усугубляется еще и тем, что, как правило, корпоративные заказчики предъявляют к VPN достаточно жесткие требования по следующим критериям:
масштабируемости применяемых технических решений;
интегрируемости с уже существующими средствами;
легальности используемых алгоритмов и решений;
пропускной способности защищаемой сети;
стойкости применяемых криптоалгоритмов;
унифицируемости VPN-решения;
общей совокупной стоимости построения корпора-
тивной VPN.
181
3.4.Виртуальные частные сети в сетях
скоммутацией пакетов
VPN можно организовывать в сетях с коммутацией пакетов любого типа: Х.25, FR, АТМ и TCP/IP (Internet) и т.п. В качестве сетей общего пользования могут выступать сети и магистральные сети сервис-провайдера.
3.4.1. X.25
X.25 - это международный стандарт передачи пакетов по сетям общего пользования. Он поддерживает линии передачи данных со средней или высокой скоростью передачи для постоянного или периодического использования. Типичным применением являются системы электронной почты. Стандарт X.25 часто применяется для организации международных сетей.
X.25 - определен комитетом CCITT в 1974 г. и описывает, как информация разбивается на пакеты и передается по сети X.25. Для связи локальной сети с сетью X.25 используется мост или маршрутизатор. Доступ к сети осуществляется через арендуемую линию или линию с вызовом по номеру. Выделенные линии обычно используют синхронную связь, что увеличивает пропускную способность, и имеют скорость передачи от 19.2 до 64 Кбит/сек. Линии с вызовом по номеру используют асинхронные методы и требуют модемов, которые имеют собственные средства коррекции ошибок. Скорость передачи зависят от скорости модема.
Описывает три уровня модели ВОС и включает три соответствующих стандарта:
физический уровень – стандарт Х.21 (примерно эквивалентен RS-232-С);
канальный уровень – стандарт Link Access Procedure Balanced (LAPB);
182
сетевой уровень (в стандарте он называется пакетным уровнем) – пакетный протокол и адресация в соответствии с Х.121, X.25/3 – маршрутизация, управление виртуальным каналом и потоком пакетов.
Транспортный уровень стандартом не определяется. Обмен между абонентами выполняется через двуна-
правленную связь, называемую виртуальным каналом. Виртуальные каналы позволяют осуществлять связь между различными элементами сети через любое число промежуточных узлов без назначения частей физической среды, что является характерным для физических цепей. Виртуальные каналы могут быть либо перманентными, либо коммутируемыми (временно). Перманентные виртуальные каналы обычно называют PVC; переключаемые виртуальные каналы - SVC. PVC обычно применяются для наиболее часто используемых передач данных, в то время как SVC применяются для спорадических передач данных. Сетевой уровень Х.25 отвечает за сквозную передачу, включающую как PVC, так и SVC.
На каждом уровне осуществляется контроль ошибок. На канальном и сетевом уровнях устанавливается соединение, осуществляется коррекция ошибок и управление потоком данных. Поэтому может использоваться на низкокачественных линиях связи. Протоколы сетей Х.25 были специально разработаны для низкоскоростных линий с высоким уровнем помех.
Гарантий пропускной способности сеть Х.25 не дает. Имеется возможность устанавливать приоритет трафика виртуального канала при установлении соединения.
К сети Х.25 через устройство сборки-разборки пакетов (PAD) подключаются низкоскоростные асинхронные стартстопные терминалы (кассовые аппараты, банкоматы и т.п.). Терминалы получают доступ к PAD по телефонной сети с помощью модема или по стыку RS-232C. Параметры терминала и взаимодействие с PAD определяются стандартом Х.28.
183
Услуги, предлагаемые PAD, определяются стандартом Х.3 Взаимодействие между PAD и компьютером, а также управление устройствами PAD в сети описывает стандарт Х.29.
Взаимодействие двух сетей (управление и передача данных) Х.25 определяет стандарт Х.75.
Рис 3.3 иллюстрирует место ряда протоколов в стеке протоколов X.25.
Наличие в сетях Х.25 техники виртуальных каналов создает предпосылки для образования в них VPN. Однако в технологии Х.25 отсутствует важный элемент, который необходим для образования VPN — поддержка качества обслуживания. Пропускная способность виртуального канала VPN неизвестна. Виртуальные каналы в сетях Х.25 трудно отнести к полноценным VPN.
Стандарт Х.25 – предок почти всех современных сетевых протоколов.
3.4.2. Frame Relay
Это сети пакетной коммутации. В них в отличие от сетей Х.25 обеспечивается большая скорость за счет исключения контроля ошибок в промежуточных узлах, так как контроль, адресация, инкапсуляция и восстановление выполняются в оконечных пунктах, т.е. на транспортном уровне. Но в нем отсутствуют какие-либо механизмы для корректирования испорченных данных средствами протокола (например, путем повторной их передачи). Стек протоколов Frame Relay передает кадры (при установленном виртуальном соединении) по протоколам только физического и канального уровней. Пакеты локальных сетей вкладываются в кадры канального уровня, а не в пакеты сетевого уровня, как в Х.25.
184
|
Cеть |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Cеть |
||
|
|
|
|
|
|
|
|
|
|
|
|
X.75 |
|
|
||||
|
X.25 |
|
|
|
Компьютер |
|
|
|
|
|
|
|
X.25 |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
X.29 |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
X.3 |
|
|
|
|
PAD |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
М - модем |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
М
|
|
RS-232C |
X.28 |
|
|
|
|
|
|
|
|
М
|
|
|
|
|
|
|
|
|
Терминалы |
|
|
|
|
|
|
Т |
|
|
|
. |
|
Т |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
PAD – сборка/разборка пакетов |
|
||||||||
Уровень |
Протокол |
|
|||||||
Сетевой |
X.121, X.25/3 |
|
|||||||
Канальный |
LAPB (Link Access Procedure Balanced) |
||||||||
Физический |
X.21 (~ RS-232C) |
|
|||||||
Рис. 3.3. Протоколы стека X.25 185
Сеть Frame Relay использует дейтаграммный режим работы. Надежная передача кадров не обеспечивается. Гарантируется средняя скорость передачи данных при допустимых пульсациях трафика. Для реализации FR нужны помехоустойчивые каналы передачи данных. Другая особенность — пункты доступа фиксируются при настройке порта подключения к сети.
В сетях FR применена маршрутизация от источника (источник задает адрес промежуточных узлов маршрута), сигнализация о перегрузках осуществляется вставкой соответствующих битов в заголовок пакетов, проходящих по
перегруженному маршруту, управление потоками предусматривает динамическое распределение полосы пропускания между соединениями.
Сети FR получают широкое распространение в России по мере развития помехоустойчивых каналов связи, так как облегчен переход к ним от сетей Х.25.
Сети FR часто упоминаются при описании сервиса VPN. Действительно, техника заказа качества обслуживания виртуального канала встроена в технологию FR. Кроме того, сети FR обычно мало доступны для индивидуальных пользователей из-за своих цен и отсутствия в них информационных сервисов типа службы Web, поэтому хакерские атаки в них маловероятны. Наиболее подходящая сфера применения FR
— объединение совокупности ЛВС, находящихся на значительном расстоянии друг от друга.
3.4.3. ATM
Технология ATM кратко формулируется как быстрая коммутация коротких пакетов фиксированной длины (53 байт), называемых ячейками. По этой причине и саму технологию ATM называют коммутацией ячеек. Режим ATM является асинхронным в том смысле, что ячейки от отдельных пользователей передаются апериодически. Эта технология предна-
186
значена для передачи данных со скоростью от 1.5 Мбит/сек до 2 Гбит/сек и обеспечивает эффективную передачу различных типов данных (голос, видео, мультимедиа, трафик ЛВС) на значительные расстояния.
ATM – это транспортный протокол, который работает на подуровне MAC канального уровня. Благодаря этому он может работать над многими топологиями физического уровня.
Сети ATM относят к сетям с установлением соединения. Соединения могут быть постоянными (устанавливаются и разрываются администратором) и динамическими (устанавливаются и ликвидируются автоматически для каждого нового сеанса связи).
Каждое соединение получает свой идентификатор, который указывается в заголовке ячеек. При установлении соединения каждому коммутатору на выбранном пути следования данных передается таблица соответствия идентификаторов и портов коммутаторов. Коммутатор, распознав идентификатор, направляет ячейку в нужный порт. Непосредственное указание в заголовке адресов получателя и отправителя не требуется, заголовок короткий - всего 5 байт.
Высокие скорости в ATM обеспечиваются рядом технических решений.
1.Большое число каналов с временным мультиплексированием (TDM) можно использовать для параллельной передачи частей одного и того же "большого" сообщения (стати-
стическое мультиплексирование). Под конкретное сообщение можно выделить N интервалов, совокупность которых называют виртуальным каналом. Скорость передачи можно регулировать, изменяя N. Если сеть ATM оказывается перегруженной, то во избежание потери информации и в отличие от коммутации каналов возможна буферизация данных для выравнивания загрузки каналов. Регулирование загрузки (управление потоком) осуществляется периодическим включением (обычно через 32 кадра) RM-ячейки в информационный поток. В эту
187
ячейку промежуточные коммутаторы и конечный узел могут вставлять значения управляющих битов, сигнализирующих о перегрузке или недогрузке канала. RM-ячейка от конечного узла передается источнику сообщения, который может соответственно изменить режим передачи.
2.Отрицательные квитанции при искажениях собственно сообщений (но не заголовков) возможны только от конечного пункта. Это исключает потери времени в промежуточных пунктах на ожидание подтверждений. Такой способ иногда называют коммутацией кадров (в отличие от коммутации пакетов). Контрольный код (четырехбайтный циклический) по информационной части сообщения имеется только в конце последнего пакета сообщения.
3.Применена маршрутизация от источника. При этом клиент направляет серверу запрос в виде специального управляющего кадра. Кадр проходит через промежуточные маршрутизаторы и/или коммутаторы, в которых соединению (каналу) присваивается номер VCI (идентификатор) маршрута. Если передача адресована нескольким узлам, то соответствующий VCI в коммутаторах присваивается нескольким каналам.
4.Фиксированная длина пакетов (кадров) упрощает алгоритмы управления и буферизации данных, исключает необходимость инкапсуляции или конвертирования пакетов при смене форматов в промежуточных сетях (если они соответствуют формату ячейки ATM).
5.ATM комбинирует мультиплексирование и коммутацию пакетов в одном универсальном методе передачи данных. Он поддерживает передачу данных в локальных сетях, а также передачу голосовой и видеоинформации. Так как ячейки (пакеты ATM) имеют небольшой размер, обрабатываются они быстро. Задержка на переключение пакетов невелика. Это имеет важное значение для передачи речевой и видеоинформации, которая сильно зависит от времени.
В отличие от технологий, где применяется временное мультиплексирование, технология АТМ позволяет динамиче-
188
ски изменять полосу пропускания, используемую под определенный поток, что дает возможность эффективно использовать имеющиеся каналы связи. К тому же предусмотрен развитый механизм предоставления качественного обслуживания.
Обеспечение режима QoS на 2-3-м уровне модели OSI является коренным отличием технологии АТМ от других сетевых технологий, которые не могут предоставлять столь развитые возможности QoS. Это означает, что сегодня АТМ является единственной технологией, позволяющей полноценно передавать интегральный трафик (голос, видео, данные), одновременно удовлетворяя совершенно несовместимым требованиям к условиям передачи и жестким условиям в плане загрузки канала связи.
В настоящее время используются следующие типы QoS. CBR (Constant Bit Rate) — выделение канала с фиксированной пропускной способностью и другими параметрами (предельно допустимая задержка при передаче данных, и т.д.), заказанными пользователем. Такой вид QoS лучше всего под-
ходит для передачи голоса.
RT-VBR (Real Time Variable Bit Rate) — выделение ка-
нала с пропускной способностью в пределах коридора (мини- мум-максимум) и другими параметрами (максимальная задержка при передаче, и т.д.), запрошенными пользователем. RT-VBR идеально подходит для передачи видео и голоса. Имеет жесткие требования к задержке при передаче (поскольку предназначается для передачи трафика в режиме реального времени).
NRT-VBR (Non Real Time Variable Bit Rate) — VBR с
ослабленными требованиями к задержке передачи. NRT-VBR может применяться для передачи видео и голоса, не требующих режима реального времени.
ABR (Available Bit Rate) — предоставление пользователю части физического канала, оставшейся невостребованной; причем при установлении соединения пользователь задает максимальную и минимальную скорости передачи. Поскольку
189
ABR не контролирует величину задержек передачи, этот режим рекомендуется применять при передаче данных (то есть для трафика, не чувствительного к задержке передачи).
UBR (Unspecified Bit Rate) — самый низкоприоритет-
ный тип трафика. Не предусматривает гарантированного предоставления пользователю какой-либо полосы пропускания
— все зависит от того, имеется ли возможность предоставления пользователю какого-либо канала. UBR можно описать так: «Послал и молись, чтобы дошло».
UBR+ — модифицированный UBR, дополненный функцией Intelligent Packet Discard. Это очень существенное дополнение позволяет при потере ячейки (например, при перегрузке) не передавать оставшиеся ячейки из этого же пакета (кроме последней ячейки пакета), так как пакет уже не подлежит восстановлению. Данная операция особенно важна при использовании такого низкопроиритетного режима, как UBR. Следовательно, применение UBR+ позволяет разгрузить физические каналы АТМ.
ВATM введены три уровня. Адаптационный уровень (AAL) аналогичен транспортному уровню в ЭМВОС, на нем происходит разделение сообщения на 48-байтные ячейки, преобразование битовых входных потоков в один поток с соблюдением пропорций между числом ячеек для данных, голосовой и видеоинформации, определение вида сервиса. При этом должна поддерживаться скорость передачи данных, необходимая для обеспечения соответствующего сервиса. На следующем уровне, называемом ATM, к каждой ячейке добавляется пятибайтный заголовок с маршрутной информацией. Третий уровень — физический. Средой для ATM обычно служит среда B-ISDN, реализуемая на ВОЛС, витой паре или коаксиальном кабеле. Зачастую используется технология SDH, поясняемая ниже.
Враспространенных протоколах, таких, как TCP/IP или Х.25, пакеты имеют переменную длину, что вызывает трудности совмещения программно-аппаратных средств этих распространенных технологий и ATM, в связи с чем замедляется
190