
olifer_v_g_olifer_n_a_kompyuternye_seti_principy_tehnologii / glava_22
.docВ результате работы протоколов маршрутизации или же после ручной модификации администратором сети в таблице маршрутизации устройства LSR может появиться запись о новой сети назначения, для которой в сети поставщика услуг еще не проложен путь коммутации по меткам. В этом случае данное устройство автоматически инициирует процедуру прокладки нового пути. Для прокладки нового пути коммутации по меткам устройства LSR используют обычный алгоритм продвижения пакета в IP-сети на основе таблиц маршрутизации.
Пусть, например, устройство LSR1 обнаруживает, что в его таблице маршрутизации появилась новая запись о сети назначения 132.100.0.0, и в качестве следующего хопа указано устройство LSR2. В то же время виртуальный путь к этой сети не проложен, так как в таблице продвижения отсутствует соответствующая запись.
LSR1 становится инициатором прокладки пути к сети 132.100.0.0 и посылает LDP-запрос устройству LSR2. В этом запросе указывается IP-адрес сети назначения A32.100.0.0), к которой нужно проложить новый путь. Этот запрос принимается и обрабатывается устройством LSR2 на основе информации, имеющейся в его таблицах маршрутизации и продвижения. Если маршрутизатор LSR2 находит, что у него также нет проложенного пути к сети 132.100.0.0, он передает LDP-запрос следующему устройству LSR, адрес которого указан в его таблице маршрутизации как следующий хоп для сети 132.100.0.0. В примере, показанном на рис. 22.13, таким устройством является LSR3, на котором путь коммутации по меткам должен закончиться, так как следующий хоп ведет за пределы сети поставщика услуг.
Примечание. Возникает вопрос: как устройство LSR3 узнает о том, что является последним в сети поставщика услуг на пути к сети 132.100.0.0? Дело в том, что LDP является протоколом, ориентированным на соединение, и при установлении логического LDP-соединения возможно применение автоматической аутентификации устройств, так что LDP-сеансы устанавливаются только между устройствами одного поставщика услуг, который задает для всех принадлежащих его сети устройств LSR соответствующую информацию для взаимной аутентификации.
Устройство LSR3, обнаружив, что для пути к сети 132.100.0.0 оно является пограничным, назначает для прокладываемого пути метку, еще не занятую его входным интерфейсом S0, и сообщает об этой метке устройству LSR2 в LDP-объявлении. В свою очередь, LSR2 назначает неиспользуемую его интерфейсом S0 метку и сообщает об этом в LDP-объявлении устройству LSR1. После этого новый путь коммутации по меткам, ведущий от LSR1 к сети 132.100.0.0, считается проложенным, и вдоль него пакеты начинают передаваться уже на основе меток и таблиц продвижения, а не IP-адресов и таблиц маршрутизации.
Было бы нерационально прокладывать отдельный путь для каждой сети назначения каждого маршрутизатора. Поэтому устройства LSR стараются строить агрегированные пути коммутации по меткам и передавать вдоль них пакеты, следующие к некоторому набору сетей. Так, LSR1 передает по пути LSP1 пакеты, следующие не только к сети 132.100.0.0, но и к сетям 194.15.17.0 и: 201.25.10.0, так как пути к этим сетям совпадают в пределах MPLS-сети поставщика услуг.
Для передачи пакетов узлам сетей 105.0.0.0 и 192.201.103.0 у устройства LSR1 имеется другой путь, а именно LSP2. С помощью протокола LDP можно агрегировать также пути, которые совпадают не для всей последовательности устройств LSR от входного пограничного устройства до выходного, а имеют только часть общих устройств LSR. Все адреса сетей назначения, имеющие один и тот же следующий хоп, образуют так называемый класс эквивалентного продвижения (Forwarding Equivalence Class, FEC) для данного устройства LSR.
Протокол MPLS IGP ускоряет продвижение пакетов за счет сокращения просматриваемых таблиц, так как обычно таблица маршрутизации содержит гораздо больше записей, чем таблица продвижения. Особенно ощутима эта разница для крупных магистралей, где маршрутизаторы могут оперировать с таблицами маршрутизации размером в несколько десятков тысяч записей. Другим фактором, влияющим на ускорения продвижения пакетов, является отсутствие этапов замены кадров канального уровня каждым маршрутизатором, что характерно для технологии IP.
Технология MPLS ТЕ
Технология MPLS ТЕ служит для прокладки в сети путей коммутации по меткам, обеспечивающих гарантированную среднюю пропускную способность в соответствии с принципами инжиниринга трафика, описанными в главе 7. В этом заключается основное отличие технологии MPLS ТЕ от технологии MPLS IGP, которая обеспечивает прокладку путей коммутации по меткам, исходя из известной топологии составной сети, а трафик при этом игнорируется.
Кроме того, в отличие от MPLS IGP в технологии MPLS ТЕ пути коммутации по меткам, называемые здесь ТЕ-туннелями, не прокладываются автоматически. ТЕ-туннели прокладываются только по инициативе администратора сети, и в этом отношении ТЕ-туннели подобны каналам PVC в технологиях ATM и Frame Relay.
MPLS ТЕ поддерживает туннели двух типов:
-
строгий ТЕ-туннель определяет все промежуточные узлы между двумя пограничным устройствами;
-
свободный ТЕ-туннель определяет только часть промежуточных узлов от одного пограничного устройства до другого, а остальные промежуточные узлы выбираются устройством LSR самостоятельно.
На рис. 22.14 показаны оба типа туннелей.
Рис. 22.14. Два типа ТЕ-туннелей в технологии MPLS
Туннель 1 является примером строгого туннеля, при его задании администратор указал как начальный и конечный узлы туннеля, так и все промежуточные узлы, то есть последовательность IP-адресов для устройств LER1, LSR1, LSR2, LSR3, LER3. Таким образом, администратор сам решил задачу инжиниринга трафика, выбрав путь, вдоль которого существует достаточная неиспользуемая пропускная способность. Администратор при установлении туннеля 1 задает не только последовательность адресов, но и требуемую пропускную способность. Несмотря на то что выбор пути происходит в автономном режиме, все устройства сети вдоль туннеля 1 проверяют, действительно ли они обладают запрошенной неиспользуемой пропускной способностью, и только в случае положительного ответа туннель устанавливается.
При установке туннеля 2 (свободного) администратор задает только начальный и конечный узлы туннеля, то есть устройства LER5 и LER2. Промежуточные устройства LSR4 и LSR2 находятся автоматически начальным узлом туннеля 2, то есть устройством LER5, а затем с помощью сигнального протокола устройство LER5 сообщает этим и конечному устройствам о необходимости установления туннеля.
Независимо от типа туннеля он всегда обладает таким параметром, как резервируемая пропускная способность. В нашем примере туннель 1 резервирует для трафика 10 Мбит/с, а туннель 2 — 36 Мбит/с. Эти значения определяются администратором, и технология MPLS ТЕ никак не влияет на их выбор, она только отрабатывает запрошенное резервирование. Чаще всего администратор оценивает резервируемую для туннеля пропускную способность на основании измерений трафика в сети, тенденций изменения трафика, а также собственной интуиции. Некоторые реализации MPLS ТЕ позволяют затем автоматически скорректировать величину зарезервированной пропускной способности на основании автоматических измерений реальной интенсивности трафика, проходящего через туннель.
Однако само по себе установление в MPLS-сети ТЕ-туннеля еще не означает передачи по нему трафика. Оно означает только то, что в сети действительно существует возможность передачи трафика по туннелю со средней скоростью, не превышающей зарезервированное значение. Для того чтобы данные были переданы по туннелю, администратору предстоит еще одна ручная процедура: задание для начального устройства туннеля условий, определяющих, какие именно пакеты должны передаваться по туннелю. Условия могут быть весьма разнообразными; в качестве признаков агрегированного потока, который должен передаваться по туннелю, могут выступать все традиционные признаки: IP-адрес назначения и источника, тип протокола, номера TCP- и UDP-портов, номер интерфейса входящего трафика, значения приоритета в протоколах DSCP и IP и т. д.
Таким образом, устройство LER должно сначала провести классификацию трафика, затем выполнить профилирование, удостоверившись, что средняя скорость потока не превышает зарезервированную, и наконец, начать маркировать пакеты, используя начальную метку TE-туннеля, чтобы передавать трафик через сеть с помощью техники MPLS. В этом случае расчеты, выполненные на этапе выбора пути для туннеля, дадут нужный результат — баланс ресурсов сети при соблюдении средней скорости для каждого потока.
Однако мы еще не рассмотрели специфический набор протоколов, которые устройства LER и LSR сети используют для прокладки свободных туннелей или проверки работоспособности созданных администратором строгих туннелей.
Для выбора и проверки путей через туннели в технологии MPLS ТЕ используются расширения протоколов маршрутизации, работающих на основе алгоритма состояния связей. Сегодня такие расширения стандартизованы для протоколов OSPF и IS-IS. Для решения задачи ТЕ в протоколы OSPF и IS-IS включены новые типы объявлений для распространения по сети информации о номинальной и незарезервированной (доступной для ТЕ-потоков) величинах пропускной способности каждой связи. Таким образом, ребра результирующего графа сети, создаваемого в топологической базе каждого устройства LER или LSR, будут маркированы этими двумя дополнительными параметрами. Располагая таким графом, а также параметрами потоков, для которых нужно определить ТЕ-пути, устройство LER может найти рациональное решение, удовлетворяющее одному из сформулированных в главе 7 ограничений на использование ресурсов сети. Чаще всего решение ищется по наиболее простому критерию, который состоит в минимизации максимального значения коэффициента использования вдоль выбранного пути, то есть критерием оптимизации пути является значение min {K,liaXj} для всех возможных путей.
В общем случае администратору необходимо проложить несколько туннелей для различных агрегированных потоков. Для упрощения задачи оптимизации выбор путей для этих туннелей обычно осуществляется по очереди, причем администратор определяет очередность на основе своей интуиции. Очевидно, что поиск ТЕ-путей по очереди снижает качество решения — при одновременном рассмотрении всех потоков в принципе можно добиться более рациональной загрузки ресурсов.
Пример
В примере, показанном на рис. 22.15, ограничением является максимально допустимое значение коэффициента использования ресурсов, равное 0,65. В варианте 1 решение было найдено при очередности рассмотрения потоков 1, 2, 3. Для первого потока был выбран путь А-В-С, так как в этом случае он, с одной стороны, удовлетворяет ограничению (все ресурсы вдоль пути — каналы А-В, А-С и соответствующие интерфейсы маршрутизаторов оказываются загруженными на 50/155 — 0,32), а с другой — обладает минимальной метрикой F5 + 65 = 130). Для второго потока также был выбран путь А-В-С, так как и в этом случае ограничение удовлетворяется — результирующий коэффициент использования оказывается равным 50 + 40/155 = 0,58. Третий поток направляется по пути A-D-E-C и загружает ресурсы каналов A-D, D-E и Е-С на 0,3. Решение 1 можно назвать удовлетворительным, так как коэффициент использования любого ресурса в сети не превышает 0,58.
Однако существует лучший способ, представленный в варианте 2. Здесь по верхнему пути А-В-С были направлены потоки 2 и 3, а поток 1 — по нижнему пути A-D-E-C. Ресурсы верхнего пути оказываются загруженными на 0,45, а нижнего — на 0,5, то есть налицо более равномерная загрузка ресурсов, а максимальный коэффициент использования всех ресурсов сети не превышает 0,5. Этот вариант может быть получен при одновременном рассмотрении всех трех потоков с учетом ограничения min (max Ki) или же при рассмотрении потоков по очереди в последовательности 2, 3, 1.
Рис. 22.15. Зависимость качества решения задачи ТЕ
от очередности выбора туннелей
Тем не менее в производимом сегодня оборудовании применяется вариант технологии MPLS ТЕ с последовательным рассмотрением потоков. Он проще в реализации и ближе к стандартным для протоколов OSPF и IS-IS процедурам нахождения кратчайшего пути для одной сети назначения (в отсутствие ограничений найденное решение для набора кратчайших путей не зависит от последовательности учета сетей, для которых производился поиск). Кроме того, при изменении ситуации — появлении новых потоков или изменении интенсивности существующих — найти путь удается только для одного потока.
Возможен также способ, при котором внешняя по отношению к сети вычислительная система, работающая в автономном режиме, определяет оптимальное решение для набора потоков. Это может быть достаточно сложная система, которая включает подсистему имитационного моделирования, способную учесть не только средние интенсивности потоков, но и их пульсации, и оценить не только загрузку ресурсов, но и результирующие параметры QoS — задержки, потери и т. п. После нахождения оптимального решения его можно модифицировать уже в оперативном режиме поочередного поиска путей.
В технологии MPLS ТЕ информация о найденном рациональном пути используется полностью — то есть запоминаются IP-адреса источника, всех транзитных маршрутизаторов и конечного узла. Вспомним, такая маршрутизация называется маршрутизацией от источника. Поэтому достаточно, чтобы поиском путей занимались только пограничные устройства сети (LER), а промежуточные устройства (LSR) лишь поставляли им информацию о текущем состоянии резервирования пропускной способности каналов.
После нахождения пути независимо от того, найден он был устройством LER или администратором, его необходимо зафиксировать. Для этого в MPLS ТЕ используется расширение уже рассмотренного нами протокола резервирования ресурсов (RSVP), который часто в этом случае называют протоколом RSVP ТЕ.
Сообщения RSVP ТЕ передаются от одного устройства LSR другому в соответствии с данными о найденных IP-адресах маршрута. При установлении нового пути в сигнальном сообщении наряду с последовательностью адресов пути указывается также и резервируемая пропускная способность. Каждое устройство LSR, получив такое сообщение, вычитает запрашиваемую пропускную способность из пула свободной пропускной способности соответствующего интерфейса, а затем объявляет остаток в сообщениях протокола маршрутизации, например CSPF.
В заключение рассмотрим вопрос о соотношении технологий MPLS ТЕ и QoS. Как видно из описания, основной целью MPLS ТЕ является использование возможностей MPLS для достижения внутренней цели поставщика услуг, а именно достижения сбалансированной загрузки всех ресурсов своей сети. Однако при этом также создается основа для предоставления транспортных услуг с гарантированными параметрами QoS, так как трафик по ТЕ-туннелям передается при соблюдении некоторого максимального уровня коэффициента использования ресурсов. Как мы знаем из материала главы 7, коэффициент использования ресурсов оказывает решающее влияние на процесс образования очереди, так что потоки, передаваемые по ТЕ-туннелям, передаются с некоторым гарантированным уровнем QoS.
Для того чтобы обеспечить разные параметры QoS для разных классов трафика, поставщику услуг необходимо для каждого класса трафика установить в сети отдельную систему туннелей. При этом для чувствительного к задержкам классам трафика нужно выполнить резервирование таким образом, чтобы максимальный коэффициент использования ресурсов туннеля находился в диапазоне 0,2-0,3, иначе задержки пакетов и их вариации выйдут за допустимые пределы.
Сетевое управление в IP-сетях
Ключевые слова: система управления сетью, интегрированная система управления, управление конфигурацией сети и именованием, обработка ошибок, анализ производительности и надежности, управление безопасностью, учет работы сети, система управления системой, идентификатор общности.
Любая сложная вычислительная сеть требует дополнительных специальных средств управления помимо имеющихся в стандартных сетевых операционных системах. Это связано с большим количеством разнообразного коммуникационного оборудования, работа которого критически важна для выполнения сетью своих основных функций. Распределенный характер крупной сети делает невозможным поддержание ее работы без централизованной системы управления, которая бы в автоматическом режиме собирала информацию о состоянии каждого концентратора, коммутатора, мультиплексора и маршрутизатора и предоставляла эту информацию оператору сети.
Одной из первых систем сетевого управления, получившей широкое распространение, был программный продукт SunNet Manager, выпущенный в 1989 году компанией SunSoft. Система SunNet Manager была ориентирована на управление коммуникационным оборудованием и контроль трафика сети. Именно эти функции имеют чаще всего в виду, когда говорят о системе управления сетью (Network Management System, NMS).
Обычно система управления работает в автоматизированном режиме, выполняя наиболее простые действия по управлению сетью автоматически, а сложные решения предоставляя принимать человеку на основе подготовленной системой информации.
Сами системы управления представляют собой сложные программно-аппаратные комплексы, поэтому существует граница целесообразности их применения. В небольшой сети можно применять отдельные программы управления наиболее сложными устройствами, например коммутатором, поддерживающим технику VLAN. Обычно каждое устройство, которое требует достаточно сложного конфигурирования, производитель сопровождает автономной программой конфигурирования и управления. Однако при росте сети может возникнуть проблема объединения разрозненных программ управления устройствами в единую систему управления, и для решения этой проблемы придется, возможно, отказаться от этих программ и заменить их интегрированной системой управления.
Функциональные группы задач управления
Независимо от объекта управления, желательно, чтобы система управления выполняла ряд функций, которые определены международными стандартами, обобщающими опыт применения систем управления в различных областях. Существуют рекомендации ITU-T X.700 и близкий к ним стандарт ISO 7498-4, которые делят задачи системы управления на пять функциональных групп.
-
Управление конфигурацией сети и именованием (Configuration Management) заключается в конфигурировании параметров как элементов сети (Network Element, NE), так и сети в целом. Для элементов сети, таких как маршрутизаторы, мультиплексоры и т. п., путем конфигурирования определяются сетевые адреса, идентификаторы (имена), географическое положение и пр. Для сети в целом управление конфигурацией обычно начинается с построения карты сети, то есть отображении реальных связей между элементами сети и изменений этих связей при образовании новых физических или логических каналов, изменении таблиц коммутации и маршрутизации.
-
Обработка ошибок включает выявление, определение и устранение последствий сбоев и отказов в работе сети.
-
Анализ производительности и надежности связан с оценкой на основе накопленной статистической информации таких параметров, как время реакции системы, пропускная способность реального или виртуального канала связи между двумя конечными абонентами сети, интенсивность трафика в отдельных сегментах и каналах сети, вероятность искажения данных при их передаче через сеть, а также коэффициент готовности сети или ее определенной транспортной службы. Результаты анализа производительности и надежности позволяют контролировать соглашение об уровне обслуживания (SLA), заключаемое между пользователем сети и ее администраторами (или компанией, продающей услуги). Без средств анализа производительности и надежности поставщик услуг публичной сети или отдел информационных технологий предприятия не сможет ни проконтролировать, ни тем более обеспечить нужный уровень обслуживания для конечных пользователей сети.
-
Управление безопасностью подразумевает контроль доступа к ресурсам сети (данным и оборудованию) и сохранение целостности данных при их хранении и передаче через сеть. Базовыми элементами управления безопасностью являются процедуры аутентификации пользователей, назначение и проверка прав доступа к ресурсам сети, распределение и поддержка ключей шифрования, управления полномочиями и т. п. Часто функции этой группы не включаются в системы управления сетями, а либо реализуются в виде специальных продуктов (например, систем аутентификации и авторизации Kerberos, различных защитных экранов, систем шифрования данных), либо входят в состав операционных систем и системных приложений.
-
Учет работы сети включает регистрацию времени использования различных ресурсов сети (устройств, каналов и транспортных служб) и ведение биллинговых операций (плата за ресурсы). Ввиду специфического характера оплаты услуг у различных поставщиков и различными формами соглашения об уровне обслуживания, эта группа функций обычно не включается в коммерческие системы и платформы управления типа HP Open View, а реализуется в заказных системах, разрабатываемых для конкретного заказчика.
Хотя модель управления OSI не делает различий между управляемыми объектами — каналами, сегментами локальных сетей, коммутаторами и маршрутизаторами, модемами и мультиплексорами, аппаратным и программным обеспечением компьютеров, на практике деление систем управления по типам управляемых объектов широко распространено.
Ставшими классическими системы управления сетями, например SunNet Manager, HP Open View или Cabletron Spectrum, управляют только коммуникационными объектами корпоративных сетей, такими как маршрутизаторы и коммутаторы.
В тех случаях, когда управляемыми объектами являются компьютеры, их системное и прикладное программное обеспечение, для системы управления часто используют особое название — система управления системой (System Management System, SMS).
SMS обычно автоматически собирает информацию об установленных в сети компьютерах и создает записи в специальной БД об аппаратных и программных ресурсах. SMS может централизованно устанавливать и администрировать приложения, которые запускаются с файловых серверов, а также удаленно измерять наиболее важные параметры компьютера, операционной системы, СУБД (например, коэффициент использования процессора или физической памяти, интенсивность страничных прерываний и др.). SMS может давать администратору возможность брать на себя удаленное управление компьютером в режиме эмуляции графического интерфейса популярных операционных систем. Примерами систем управления системами являются Microsoft System Management Server (SMS), CA Unicenter, HP Operationscenter. На практике уже несколько лет также заметна отчетливая тенденция интеграции систем управления сетями и системами в единые интегрированные продукты управления сетями.
Архитектуры систем управления сетями
Основным элементом любой системы управления сетью лежит схема взаимодействия «менеджер — агент — управляемый объект» (рис. 22.16). На основе этой схемы могут быть построены системы практически любой сложности с большим количеством агентов, менеджеров и ресурсов разного типа.
Рис. 22.16. Взаимодействие агента, менеджера и управляемого объекта
Чтобы можно было автоматизировать управление объектами сети, создается некоторая модель управляемого объекта, называемая базой данных управляющей информации (Management Information Base, MIB). MIB отражает только те характеристики объекта, которые нужны для его контроля. Например, модель маршрутизатора обычно включает такие характеристики, как количество портов, их тип, таблицу маршрутизации, количество кадров и пакетов протоколов канального, сетевого и транспортного уровней, прошедших через эти порты. Менеджер и агент работают с одной и той же моделью управляемого объекта, однако в использовании этой модели агентом и менеджером имеются существенные различия.
Агент наполняет MIB управляемого объекта текущими значениями его характеристик, а менеджер извлекает из MIB данные, на основании которых он узнает, какие характеристики он может запросить у агента и какими параметрами объекта можно управлять. Таким образом, агент является посредником между управляемым объектом и менеджером. Агент поставляет менеджеру только те данные, которые предусматриваются MIB.
Менеджер и агент взаимодействуют по стандартному протоколу. Этот протокол позволяет менеджеру запрашивать значения параметров, хранящихся в MIB, а также передавать агенту информацию, на основе которой тот должен управлять объектом. Обычно менеджер работает на отдельном компьютере, взаимодействуя с несколькими агентами.
Агенты могут встраиваться в управляемое оборудование, а могут и работать на отдельном компьютере, связанном с управляемым оборудованием. Для получения требуемых данных об объекте, а также для выдачи на него управляющих воздействий агент должен иметь возможность взаимодействовать с ним. Однако многообразие типов управляемых объектов не позволяет стандартизовать способ взаимодействия агента с объектом. Эта задача решается разработчиками при встраивании агентов в коммуникационное оборудование или в операционную систему. Агент может снабжаться специальными датчиками для получения информации, например датчиками релейных контактов или датчиками температуры. Агенты могут отличаться разным уровнем интеллекта — они могут обладать как самым минимальным интеллектом, необходимым для подсчета проходящих через оборудование кадров и пакетов, так и весьма высоким, достаточным для выполнения самостоятельных действий по выполнению последовательности управляющих команд в аварийных ситуациях, построению временных зависимостей, фильтрации аварийных сообщений и т. п.
Различают внутриполосное управление, когда управляющие сигналы идут по тому же каналу, по которому передаются пользовательские данные, и внеполосное управление, то есть осуществляемое вне канала, по которому передаются пользовательские данные. Например, если сообщения протокола, по которому менеджер взаимодействует с агентом, встроенным в маршрутизатор, передаются по той же сети, что и пользовательские данные, то это будет внутриполосным управлением. Если же менеджер контролирует коммутатор первичной сети, работающий по технологии FDM, с помощью отдельной сети Х.25, к которой подключен агент, то это будет внеполосным управлением. Передача данных управления по тому же каналу, на котором работает сеть, более экономична, так как не требует создания отдельной инфраструктуры передачи управляющих данных. Однако внеполосное управление надежнее, так как соответствующее оборудование может выполнять свои функции тогда, когда те или иные сетевые элементы выходят из строя и основные каналы передачи данных оказываются недоступными.