- •Оглавление
- •От авторов
- •1. Основы сетей передачи данных
- •1. Эволюция компьютерных сетей
- •Два корня компьютерных сетей
- •Первые компьютерные сети
- •Конвергенция сетей
- •2. Общие принципы построения сетей
- •Простейшая сеть из двух компьютеров
- •Сетевое программное обеспечение
- •Физическая передача данных по линиям связи
- •Проблемы связи нескольких компьютеров
- •Обобщенная задача коммутации
- •Выводы
- •Вопросы и задания
- •3. Коммутация каналов и пакетов
- •Коммутация каналов
- •Коммутация пакетов
- •Выводы
- •Вопросы и задания
- •4. Архитектура и стандартизация сетей
- •Декомпозиция задачи сетевого взаимодействия
- •Модель OSI
- •Стандартизация сетей
- •Информационные и транспортные услуги
- •Выводы
- •Вопросы и задания
- •5. Примеры сетей
- •Обобщенная структура телекоммуникационной сети
- •Корпоративные сети
- •Интернет
- •Выводы
- •Вопросы и задания
- •6. Сетевые характеристики
- •Типы характеристик
- •Производительность
- •Надежность
- •Характеристики сети поставщика услуг
- •Выводы
- •Вопросы и задания
- •7. Методы обеспечения качества обслуживания
- •Обзор методов обеспечения качества обслуживания
- •Анализ очередей
- •Техника управления очередями
- •Механизмы кондиционирования трафика
- •Обратная связь
- •Резервирование ресурсов
- •Инжиниринг трафика
- •Работа в недогруженном режиме
- •Выводы
- •Вопросы и задания
- •2. Технологии физического уровня
- •8. Линии связи
- •Классификация линий связи
- •Типы кабелей
- •Выводы
- •Вопросы и задания
- •9. Кодирование и мультиплексирование данных
- •Модуляция
- •Дискретизация аналоговых сигналов
- •Методы кодирования
- •Мультиплексирование и коммутация
- •Выводы
- •Вопросы и задания
- •10. Беспроводная передача данных
- •Беспроводная среда передачи
- •Беспроводные системы
- •Технология широкополосного сигнала
- •Выводы
- •Вопросы и задания
- •11. Первичные сети
- •Сети PDH
- •Сети SONET/SDH
- •Сети DWDM
- •Сети OTN
- •Выводы
- •Вопросы и задания
- •3. Локальные вычислительные сети
- •Общая характеристика протоколов локальных сетей на разделяемой среде
- •Ethernet со скоростью 10 Мбит/с на разделяемой среде
- •Технологии Token Ring и FDDI
- •Беспроводные локальные сети IEEE 802.11
- •Выводы
- •Вопросы и задания
- •13. Коммутируемые сети Ethernet
- •Мост как предшественник и функциональный аналог коммутатора
- •Коммутаторы
- •Скоростные версии Ethernet
- •Архитектура коммутаторов
- •Выводы
- •Вопросы и задания
- •14. Интеллектуальные функции коммутаторов
- •Алгоритм покрывающего дерева
- •Агрегирование линий связи в локальных сетях
- •Фильтрация трафика
- •Виртуальные локальные сети
- •Ограничения коммутаторов
- •Выводы
- •Вопросы и задания
- •4. Сети TCP/IP
- •15. Адресация в стеке протоколов TCP/IP
- •Стек протоколов TCP/IP
- •Формат IP-адреса
- •Система DNS
- •Протокол DHCP
- •Выводы
- •Вопросы и задания
- •16. Протокол межсетевого взаимодействия
- •Схема IP-маршрутизации
- •Маршрутизация с использованием масок
- •Фрагментация IP-пакетов
- •Выводы
- •Вопросы и задания
- •17. Базовые протоколы TCP/IP
- •Протоколы транспортного уровня TCP и UDP
- •Общие свойства и классификация протоколов маршрутизации
- •Протокол RIP
- •Протокол OSPF
- •Маршрутизация в неоднородных сетях
- •Протокол BGP
- •Протокол ICMP
- •Выводы
- •Вопросы и задания
- •Фильтрация
- •Стандарты QoS в IP-сетях
- •Трансляция сетевых адресов
- •Групповое вещание
- •IPv6 как развитие стека TCP/IP
- •Маршрутизаторы
- •Выводы
- •Вопросы и задания
- •5. Технологии глобальных сетей
- •19. Транспортные услуги и технологии глобальных сетей
- •Базовые понятия
- •Технология Frame Relay
- •Технология ATM
- •Виртуальные частные сети
- •IP в глобальных сетях
- •Выводы
- •Вопросы и задания
- •20. Технология MPLS
- •Базовые принципы и механизмы MPLS
- •Протокол LDP
- •Мониторинг состояния путей LSP
- •Инжиниринг трафика в MPLS
- •Отказоустойчивость путей MPLS
- •Выводы
- •Вопросы и задания
- •21. Ethernet операторского класса
- •Обзор версий Ethernet операторского класса
- •Технология EoMPLS
- •Ethernet поверх Ethernet
- •Выводы
- •Вопросы и задания
- •22. Удаленный доступ
- •Схемы удаленного доступа
- •Коммутируемый аналоговый доступ
- •Коммутируемый доступ через сеть ISDN
- •Технология ADSL
- •Беспроводной доступ
- •Выводы
- •Вопросы и задания
- •23. Сетевые службы
- •Электронная почта
- •Веб-служба
- •IP-телефония
- •Протокол передачи файлов
- •Выводы
- •Вопросы и задания
- •24. Сетевая безопасность
- •Типы и примеры атак
- •Шифрование
- •Антивирусная защита
- •Сетевые экраны
- •Прокси-серверы
- •Протоколы защищенного канала. IPsec
- •Сети VPN на основе шифрования
- •Выводы
- •Вопросы и задания
- •Ответы на вопросы
- •Алфавитный указатель
682 |
Глава 19. Транспортные услуги и технологии глобальных сек |
относительно дешевую пропускную способность. Еще одной причиной снижения интере< к ATM стала сложность этой технологии. В частности, некоторые проблемы возникак из-за использования ячеек маленького размера —на высоких скоростях оборудовані с трудом справляется с обработкой таких интенсивных потоков ячеек (сравните колич ство кадров Ethernet максимальной длины с количеством ячеек ATM, необходимых щ передачи одного и того же объема информации с той же самой скоростью).
Как и в случае Frame Relay, появление технологии MPLS, которая, с одной стороны, о! ладает некоторыми свойствами ATM, например поддерживает детерминированное! маршрутов (это общее свойство технологий, основанных на технике виртуальных путей а с другой —использует кадры любого формата и тесно интегрирована с IP, усугубш положение ATM. Одной из областей, где ATM по-прежнему удерживает позиции, явл; ется широкополосный доступ в Интернет. Если вы посмотрите на конфигурацию ваше] домашнего маршрутизатора ADSL, то, скорее всего, увидите там записи, относящие( к стеку ATM.
Более подробную информацию вы можете найти на сайте www.olifer.co.uk в разделе «Технология АТМк
Виртуальные частные сети
Услуга виртуальных частных сетей является одной из основных услуг, которую предостаї ляют сети FR и ATM. Вооруженные знанием основных принципов работы технологий F и ATM, мы теперь можем более подробно рассмотреть и классифицировать эти услуг) Любая систематизация знаний полезна сама по себе, кроме того, она нам понадобится пр изучении технологий MPLS и Carrier Ethernet, которые формировались во многом дл реализации услуг VPN.
Из самого названия —виртуальная частная сеть —следует, что она каким-то образо воспроизводит свойства реальной частной сети. Без всяких натяжек назвать сеть часп ной можно только в том случае, если предприятие единолично владеет и управляет все сетевой инфраструктурой —кабелями, кроссовым оборудованием, каналообразующе аппаратурой, коммутаторами, маршрутизаторами и другим коммуникационным обор> дованием.
Перечислим, в чем выражается эта изолированность.
□Независимый выбор сетевых технологий. Выбор ограничивается только возможностям производителей оборудования.
□Независимая система адресации. В частных сетях нет ограничений на выбор адресов - они могут быть любыми.
□Предсказуемая производительность. Собственные линии связи гарантируют заране известную пропускную способность между узлами предприятия (для глобальны соединений) или коммуникационными устройствами (для локальных соединений
Виртуальные частные сети |
683 |
□Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает сеть от атак извне и существенно снижает вероятность «прослушивания» трафика по пути следования.
Однако частная сеть —решение крайне неэкономичное! Такие сети, особенно в националь ном или международном масштабах, могут себе позволить только очень крупные и бога тые предприятия. Создание частной сети —привилегия тех, кто имеет производственные предпосылки для разработки собственной сетевой инфраструктуры. Например, нефтяные или газовые компании способны с относительно невысокими издержками прокладывать собственные технологические кабели связи вдоль трубопроводов. Частные сети были по пулярны в относительно далеком прошлом, когда общедоступные сети передачи данных были развиты очень слабо. Сегодня же их почти повсеместно вытеснили сети VPN, которые представляют собой компромисс между качеством услуг и их стоимостью.
В зависимости от того, кто реализует сети VPN, они подразделяются на два вида.
□Поддерживаемая клиентом виртуальная частная сеть (Customer Provided Virtual Private Network, CPVPN) отражает тот факт, что все тяготы по поддержке сети VPN ложатся на плечи потребителя. Поставщик предоставляет только «простые» тради ционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими.
□В случае поддерживаемой поставщиком виртуальной частной сети (Provider Provisioned Virtual Private Network, PPVPN) поставщик услуг на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных. Такой способ организации VPN сравнительно нов и не столь широко распространен, как первый.
В последние год-два популярность сетей PPVPN растет —заботы по созданию и управ лению VPN довольно обременительны и специфичны, поэтому многие предприятия предпочитают переложить их на плечи надежного поставщика. Реализация услуг VPN по зволяет поставщику оказывать и ряд дополнительных услуг, включая контроль за работой клиентской сети, веб-хостинг и хостинг почтовых служб, хостинг специализированных приложений клиентов.
Помимо деления сетей VPN на CPVPN и PPVPN существует еще и другая классифика ция —в зависимости от места расположения устройств, выполняющих функции VPN. Виртуальная частная сеть может строиться:
□на базе оборудования, установленного на территории потребителя (Customer Premises Equipment based VPN, CPE-based VPN, или Customer Edge based VPN, CE-based VPN);
□на базе собственной инфраструктуры поставщика (Network-based VPN, или Provider Edge based VPN, PE-based VPN).
Влюбом случае основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети —либо потребителя, либо поставщика.
Сети, поддерживаемые поставщиком, могут строиться как на базе инфраструктуры постав щика, так и на базе оборудования, установленного на территории потребителя. Первый ва риант наиболее понятен: поставщик управляет расположенным в его сети оборудованием. Во втором случае оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.
684 |
Глава 19. Транспортные услуги и технологии глобальных сетей |
Когда VPN поддерживается клиентом (CPVPN), оборудование всегда находится в его сети, то есть VPN строится на базе устройств клиента (CE-based).
Сеть VPN, как и любая гшитпирующая система*, характеризуется, во-первых, тем, ка кие свойства объекта имитируются, во-вторых, степенью приближенности к оригиналу, в-третьих, используемыми средствами имитации.
Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в VPN.
Практически все сети VPN имитируют собственные каналы в сетевой инфраструктуре поставщика, предназначенной для обслуживания множества клиентов.
В том случае, когда имитируется инфраструктура каналов одного предприятия, то услуги VPN называют также услугами интранет (intranet), или внутренней сети, а в том слу чае, когда к таким каналам добавляются также каналы, соединяющие предприятие с его предприятиями-партнерами, с которыми также необходимо обмениваться информацией в защищенном режиме, —услугами экстранет (extranet), или внешней сети.
Термин «виртуальная частная сеть» применяется только тогда, когда «собственные» физические каналы имитируются средствами пакетных технологий: ATM, Frame Relay, IP, IP/MPLS или Carrier Ethernet. Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при их реальном соединении собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, поэтому определение «виртуальная» стано вится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, ATM или Frame Relay), а при использовании IP —и сетевого.
Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть VPN, способная поддерживать IP-трафик клиента с созданием эффекта изолированной IP-сети. В этом случае VPN производит некоторые дополнительные сетевые операции над клиентским тра фиком —сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей —это основная функция VPN) и т. п.
Имитация сервисов прикладного уровня встречается в VPN гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные при ложения управления предприятием.
Другим критерием, используемым при сравнении VPN, является степень приближенности сервисов, предлагаемых VPN, к свойствам сервисов частной сети.
Во-первых, важнейшим свойством сервисов частной сети является безопасность. Безопас ность VPN подразумевает весь набор атрибутов защищенной сети —конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сетей потребителя и поставщика от внешних атак. Степень безопасности VPN варьируется в широких пределах в зависимости от применяе мых средств защиты: шифрования трафика, аутентификации пользователей и устройств изоляции адресных пространств (например, на основе техники NAT), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним
1 В данном случае VPN рассматривается как имитация частной сети предприятия.
Виртуальные частные сети |
685 |
несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонирован ной обороны.
Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сети по качеству обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добав ляться и другие параметры QoS —максимальные задержки и процент потерянных данных.
Впакетных сетях пульсации трафика, переменные задержки и потери пакетов —неиз бежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки параметров QoS.
ВATM, например, механизмы качества обслуживания наиболее совершенны и отработаны,
ав IP-сетях они только начинают внедряться. Поэтому далеко не каждая сеть VPN пытает ся воссоздать эти особенности частной сети. Считается, что безопасность —обязательное свойство VPN, а качество транспортного обслуживания —только желательное.
В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для кли ента независимость адресного пространства. Это дает клиенту одновременно и удобство кон фигурирования, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль поставщи каимела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных дей ствий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.
Существенное влияние на свойства виртуальных частных сетей оказывают технологии, спомощью которых эти сети строятся. Все технологии VPN можно разделить на два класса
взависимости от того, каким образом они обеспечивают безопасность передачи данных:
□технологии разграничения трафика;
□технологии шифрования.
Сети VPN на основе техники шифрования рассматриваются в главе 24.
В технологиях разграничения трафика используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. К этому типу технологий относятся:
□ATM VPN;
□Frame Relay VPN;
□MPLS VPN;
□Carrier Ethernet VPN.
Двухточечные виртуальные каналы этих технологий имитируют сервис выделенных ка налов, проходя от пограничного устройства (Client Edge, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.
ВНИМАНИЕ-------------------------------------------------------------------------------------------------------------------
Под термином «сайт» здесь понимается территориально обособленный фрагмент сети клиента. Н а пример, о корпоративной сети, в которой сеть центрального отделения связывается с тремя удален н ы м и филиалами, м о ж н о сказать, что она состоит из четырех сайтов.
686 |
Глава 19. Транспортные услуги и технологии глобальных сетей |
Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. Свойство защищенности трафика является естественным свойством техники виртуальных каналов, поэтому сервисы ATM VPN и Frame Relay VPN являются на самом деле не чем иным, как обычными сервисами PVC сетей ATM или Frame Relay. Любой пользователь ATM или Frame Relay, использующий инфраструктуру PVC для связи своих локальных сетей, потребляет услугу VPN даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополни тельных средств VPN пользователь оказывается не защищенным от атак любого другого пользователя сети.
Так как в технологиях ATM и Frame Relay при передаче данных используются только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также сетями VPN уровня 2 (Layer 2 VPN, L2VPN). Наличие в технологиях ATM и Frame Relay механизмов поддержания параметров QoS позволяет ATM VPN и Frame Relay VPN достаточно хорошо приближаться к частным сетям на выделенных каналах.
Информация третьего уровня никогда не анализируется и не меняется в этих сетях —это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может переда вать по такому виртуальному каналу трафик любых протоколов, а не только IP. Кроме того, IP-адреса клиентов и поставщика услуг изолированы и независимы друг от друга —они могут выбираться произвольным образом, так как не используются при передаче трафика через магистраль поставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода состоит в том, что поставщик не оперирует IP-трафиком клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это сегодня очень перспективное направление бизнеса поставщиков услуг.
Главным недостатком сети L2VPN является ее сложность и достаточно высокая стоимость. При организации полносвязной топологии сайтов клиента зависимость операций конфи гурирования от числа сайтов имеет квадратичный характер (рис. 19.13, а).
Действительно, для соединения N сайтов необходимо создать N* (N - 1)/2 двунаправлен ных виртуальных каналов или N* (N - 1) однонаправленных. В частности, при значении N, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администрирования, ручной труд и вероятность ошибки все равно сохраняются. При поддержке только услуг интранет общее количество конфигурируемых соединений прямо пропорционально количеству клиентов —и это хорошо! Но оказание услуг экстранет ухудшает ситуацию, так как подразумевает необхо димость обеспечить связь сайтов разных клиентов. Масштабируемость сети ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» через один или несколько выделенных транзитных сайтов (рис. 19.13, 6). Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо —поставщики услуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».
Виртуальные частные сети |
687 |
Сайты клиента
Рис. 19.13. Масштабируемость сети L2VPN
Клиенты сети ATM/FR VPN не могут нанести ущерб друг другу, а также атаковать 1Р-сеть поставщика. Сегодня поставщик услуг всегда располагает IP-сетью, даже если он оказывает только услуги ATM/FR VPN. Без IP-сети и ее сервисов администрирования он просто не сможет управлять своей сетью ATM/FR. IP-сеть является оверлейной (наложенной) по отношению к сетям ATM или FR, поэтому клиенты ATM/FR ничего не знают о ее струк туре и даже о ее наличии (рис. 19.14).
688 |
Глава 19. Транспортные услуги и технологии глобальных сетей |
Сети клиента
Рис. 19.14. Оверлейная (а) и одноранговая (б) модели VPN
Сети MPLS VPN могут строиться как по схеме L2VPN, так и по другой схеме, исполь зующей протоколы трех уровней. Такие сети называют сетями VPN уровня 3 (Layer 3 VPN, L3VPN). В технологии L3VPN также применяется техника LSP для разграничения трафика клиентов внутри сети поставщика услуг, поддерживающей технологию MPLS.
Сеть L3VPN взаимодействует с сетями клиентов на основе ІР-адресов, a L2VPN —на осно ве адресной информации второго уровня, например МАС-адресов или идентификаторов виртуальных каналов Frame Relay.