21 декабря 2011 r. 16:27
"Инфокоммуниканионно-упровленческие сети. Расчет и оптимизация систем связи"
Аналитический обзор тенденции развития архитектуры сетей передачи данных
Показана тенденция развития архитектуры сетей передачи данных. Рассмотрены основополагающие модели построения виртуальных частных сетей. Представлены актуальные принципы организации и функционирования VPN на базе MPLS.
Булатов А.Е.,
Аспирант ФГУП ЦНИИС ОАО «Мобильные ТелеСистемы»
Старший технический специалист отдела оперативного контроля и управления
От Х.25 к MPLS
Основное достоинство TCP/IP - его многофункциональность и гибкость. Уже три десятка лет этот протокол является основным для сети Internet, так кок обладает очень широкими возможностями. Однако широкие возможности сети TCP/IP не отменяют ее недостатки. Основные это проблемы безопасности и гарантии качества связи. Задачу по обеспечению безопасности 1Р-сети можно решить, используя различные механизмы шифрования и защиты (например, стандарт IPSec), то проблема отсутствия гарантированной скорости передачи данных, которую требуют системы передачи голоса и видео, пока остается открытой.
При создании протокола Х.25 в нем изначально была заложена высокая надежность. Создавался. Из-за того, что при создании преобладали аналоговые системы передачи данных и медные линии связи стандарт использует систему обнаружения и коррекции ошибок, что повышает надежность связи, но замедляет общую скорость передачи данных. Кроме того, каждый коммутатор, через который проходит пакет информации, выполняет анализ его содержимого, что также требует времени и больших процессорных мощностей. С появлением оптоволоконных сетей высокие требования надежности, реализуемые Х.25, стали излишними.
Протоколом, призванным исправить недостатки Х.25, стал Frame Relay. Он использует тот же принцип виртуальных каналов, однако анализ ошибок осуществляется только на пограничных точках сети, что привело к существенному увеличению. Существенным достоинством протокола стало то, что пакетам различных приложений могут предоставляться различные классы обслуживания, благодаря чему пакеты с более высоким приоритетом доставляются "вне очереди".
Протокол ATM разбивает весь трафик на пакеты строго фиксированной длины, которые асинхронно мультиплексируются в единый цифровой тракт в соответствии с присвоенным приоритетом. Благодаря малой длине ячеек (53 байта), можно организовать одновременную передачу потока данных сразу нескольких служб, критичных ко времени доставки - ячейки с данными различных приложений будут вставляться в поток попеременно, обеспечивая каждому приложению необходимую скорость обмена данными. Как Frame Relay, так и ATM обеспечивают высокую степень безопасно-
сти — благодаря тому, что весь трафик в магистральной сети не маршрутизируется, а коммутируется по виртуальным каналам, к которым несанкционированный пользователь не может подключиться, не изменив таблицы коммутации узлов сети.
Однако, виртуальные сети (VPN) на основе протоколов Frame Relay и ATM становятся слишком громоздкими и трудно управляемыми.
По данным операторов сетей, до 90% от информации, пересылаемой в сетях Frame Relay и ATM, составляет IP-трафик. Таким образом, абсолютно логичной выглядит идея объединить в одной технологии те преимущества, что дает протокол IP, одновременно предоставляя гарантию качества и надежность протоколов ATM и Frame Relay.
Так появилась технология многопротокольной коммутации на основе меток (MPLS - Multiprotocol Label Switching). Основная идея разработки состояла в том, чтобы реализовать возможность передачи трафика по наименее загруженным маршрутам IP-сети и обеспечить легкость конфигурирования VPN с одновременной поддержкой гарантии качества передачи, а также присвоения приоритетов различным видам трафика.
Особенности MPLS.
Многопротокольная коммутация меток MPLS - технология, разработанная рабочей группой по созданию интегрированных услуг IETF. Это новая архитектура построения магистральных сетей, которая значительно расширяет имеющиеся перспективы масштабирования, повышает скорость обработки трафика и предоставляет огромные возможности для организации дополнительных услуг.
Технология MPLS сочетает в себе возможности управления трафиком, присущие технологиям канального уровня, и масштабируемость и гибкость протоколов, характерные для сетевого уровня. MPLS соединила в себе надежность ATM, удобные и мощные средства доставки и обеспечения гарантированного качества обслуживания IP-сетей, — такая интеграция сетей позволяет получить дополнительную выгоду из совместного использования протоколов IP и ATM.
Главная особенность технологии MPLS - отделение процесса коммутации пакета от анализа IP-адреса в его заголовке, что позволяет осуществлять коммутацию
31
пакетов значительно быстрее. В соответствии с протоколом MPLS маршрутизаторы и коммутаторы присваивают на каждой точке входа в таблицу маршрутизации особую метку и сообщают эту метку соседним устройствам.
Наличие таких меток позволяет маршрутизаторам и коммутаторам, поддерживающим технологию MPLS, определять следующий шаг в маршруте пакета без выполнения процедуры поиска адреса.
Технология MPLS применима к любому протоколу сетевого уровня, т.е. MPLS - это своего рода инкапсулирующий протокол, способный транспонировать информацию множества других протоколов высших уровней модели OSI.
VPN
Теперь рассмотрим основные модели построения виртуальных частных сетей, при этом укажем ограничения, присущие оверлейной или наложенной модели, а затем посмотрим, какие преимущества по сравнению с ней дает одноранговая модель.
Оверлейная модель
Сервис-провайдер предоставляет корпоративному заказчику технологию соединений между его офисами и отделениями по частной WAN IP-сети. Для этого в каждой точке подключения нужно установить маршрутизатор и связать его, по крайней мере, с центральным маршрутизатором. В сети VPN с коммутацией каналов маршрутизаторы, которые находятся в разных отделениях компании, связываются между собой либо по выделенным, либо по коммутируемым линиям. Сети Frame Relay и ATM основаны на технологии коммутации каналов. В этом случае маршрутизаторы, находящиеся в отделениях компании-заказчика, связываются между собой с помощью виртуальных каналов. Эти виртуальные каналы, подобно реальным, поддерживают соединения типа точка-точка. Корпоративные маршрутизаторы могут поддерживать соединения точка-точка и с помощью средств IP-туннелирования, например, IPSec. Маршрутизаторы, установленные в отделениях корпорации, связываются с соседними маршрутизаторами по каналам точка-точка. Обмен данными о маршрутизации происходит напрямую по этим каналам. С точки зрения магистральной сети сервис-провайдера, передаваемая маршрутная информация представляет собой обычные данные, которые обрабатываются прозрачно, то есть так же, как и все остальные. Со своей стороны, корпоративные маршрутизаторы не имеют ни знаний, ни средств контроля над маршрутизирующими функциями магистрали. Это относится к сфере, за которую отвечает сервис-провайдер. В этом случае корпоративная IP-сеть является оверлейной, то есть накладывается поверх провайдерской магистрали. При этом корпоративную сеть можно рассматривать как сеть более высокого уровня, а магистраль — как сеть более низкого уровня. Обе сети существуют независимо друг от друга. Такой способ построения сети более высокого уровня поверх сети более низкого уровня называется оверлейной моделью.
Недостатки оверлейной модели
Чтобы добиться оптимальной маршрутизации в корпоративной сети, надстроенной поверх магистрали, корпоративная сеть должна иметь узловую структуру. Это означает, что в каждом отделении корпорации должен устанавливаться маршрутизатор, соединенный с соседними маршрутизаторами, находящимися в других отделениях. Если корпоративная сеть будет хотя бы частично отклоняться от узловой топологии, то возникнут случаи, когда трафик будет передаваться от одного корпоративного маршрутизатора в магистраль провайдера, затем поступать на корпоративный магистральный (центральный) маршрутизатор, затем передаваться обратно в провайдерскую магистраль и лишь затем поступать на оконечный (удаленный) маршрутизатор в пункте назначения. Поскольку удаленные маршрутизаторы подключаются к общей магистрали (магистрали сервис-провайдера), вариант, при котором трафик покидает магистраль, проходит через второй маршрутизатор и снова попадает в магистраль, нельзя признать эффективным. Если сеть имеет полносвязную структуру, вышеуказанная ситуация не встречается, однако возникают другие проблемы. Корпорация должна платить за виртуальные каналы (а провайдер должен подкреплять их соответствующими сетевыми ресурсами), но при увеличении количества корпоративных отделений количество каналов возрастает в геометрической прогрессии. Помимо высокой стоимости проблема усугубляется тем, что алгоритмы IP-маршрутизации плохо масштабируются в случае наращивания количества прямых связей между маршрутизаторами.
Одноранговая модель
Для того, чтобы пользоваться услугами VPN, предприятию совсем не нужно проектировать и эксплуатировать собственную магистральную сеть. Сервис-провайдер, который уже имеет магистральную сетевую инфраструктуру, вполне может взять эту задачу на себя. Одноранговая модель VPN требует только подключения маршрутизатора заказчика к одному из маршрутизаторов сервис-провайдера. В одноранговой VPN два маршрутизатора С считаются одноранговыми только в том случае, когда они находятся на одном сайте. Поэтому принадлежащий заказчику маршрутизатор С1 не имеет одноранговых (соседских) отношений с маршрутизатором С2, который принадлежит тому же заказчику, но установлен на другом сайте (в другом месте). Получается, что на каждом сайте заказчика имеется, по крайней мере, один корпоративный маршрутизатор (СЕ), связанный одноранговыми отношениями, по крайней мере, с одним маршрутизатором сервис-провайдера (РЕ). СЕ-маршрутизаторы не обмениваются друг с другом данными о маршрутах. Нет вообще никакой необходимости в обмене какими-либо данными между СЕ-маршрутизаторами. Данные передаются от входящего СЕ-маршрутизатора через входящий РЕмаршрутизатор сервис-провайдера и проходят через один или несколько магистральных Р-маршрутизаторов. В итоге они достигают исходящего РЕ-маршрутизатора сервис-провайдера и попадают на исходящий корпо-
32
ративный СЕ-маршрутизатор. Таким образом маршрутизация становится оптимальной. Поскольку СЕ-маршрутизаторы не обмениваются друг с другом данными о маршрутах, корпорации не нужно иметь свою магистраль или управлять ею. Разумеется, корпоративный заказчик может пользоваться IP-магистралью так, как будто у него имеется сеть Frame Relay, и создавать своего рода виртуальные каналы между СЕ-маршрутизоторами. Обычно для этого используется одна из форм IP-туннелирования. Однако это приведет обратно к оверлейной модели со всеми ее проблемами. Одноранговая модель таких проблем не имеет.
Преимущества одноранговой модели
Одноранговая модель имеет целый ряд преимуществ:
Б одноранговой модели количество работы, которую должен выполнить сервис-провайдер для технического обеспечения и управления VPN, прямопропорционально количеству сайтов заказчика подключенных к VPN. В оверлейной модели количество этой работы пропорционально квадрату сайтов заказчика, подключенных к VPN. Одноранговая модель поддерживает оптимальную маршрутизацию пользовательского трафика по магистрали сервис-провайдера, так как в этой модели нет необходимости в транзитных СЕ-устройствах. Корпоративному заказчику не нужно управлять собственной магистралью. Ему нужно только подключить СЕ-маршрутизатор на каждом сайте. Таким образом, одноранговая модель выгодна и сервис-провайдеру, и заказчику. Для провайдера она означает сокращение объема работ, а для корпоративного заказчика — более ценные услуги.
MPLS VPN
Технология MPLS это полноценная одноранговая модель, являющаяся одной из наиболее перспективных технологий создания VPN.
Использование MPLS для построения VPN позволяет сервис-провайдерам быстро и экономично создавать защищенные виртуальные частные сети любого размера.
Сеть MPLS VPN делится на две области: IP-сети клиентов и внутренняя (магистральная) сеть провайдера, которая служит для объединения клиентских сетей. В общем случае у каждого клиента может быть несколько территориально разделенных сетей IP, каждая из которых в свою очередь может включать несколько подсетей, связанных маршрутизаторами. Принадлежащие одному клиенту сайты обмениваются IP-пакетами через сеть провайдера MPLS и образуют виртуальную частную сеть этого клиента.
MPLS не обеспечивает безопасность за счет шифрования и аутентификации, как это делает IPSec, но допускает применение данных технологий как дополнительных мер защиты. Провайдер MPLS может предлагать клиентам услуги гарантированного качества обслуживания.
Виртуальные сети VPN MPLS ориентированы на построение защищенной корпоративной сети клиента поверх сетевой инфраструктуры. Данный вариант организации сочетает в себе преимущества применения
протокола IP с безопасностью частных сетей и предоставляемым качеством обслуживания, которые дает технология MPLS.
Применение туннелей для VPN
Протоколы защищенного канала, как правило, используют в своей работе механизм туннелирования С помощью данной методики пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой "отправитель - получатель" устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.
Сравнительный анализ туннелей MPLS
и обычных туннелей
Туннели MPLS позволяют передавать данные любого протокола вышестоящего уровня (например IP, IPX, кадры Frame Relay, ячейки ATM), так как содержимое пакетов вдоль всего пути следования пакета остается неизменным, меняются только метки. В отличие от них, туннели IPSec поддерживают передачу данных только протокола IP, а протоколы РРТР и L2TP позволяют обмениваться данными по протоколам IP, IPX или Net BEUI. Безопасность передачи данных в MPLS обеспечивается за счёт определённой сетевой политики, запрещающей принимать пакеты, снабжённые метками, и маршрутную информацию VPN-IP от непроверенных источников. Она может быть повышена использованием стандартных средств аутентификации и/или шифрования (например шифрование IPSec). Для безопасной передачи данных в протокол IP Security включены определенные процедуры шифрования IP-пакетов, аутентификации, обеспечения защиты и целостности данных при транспортировке, вследствие чего туннели IPSec обеспечивают надежную доставку информационного трафика. Протокол L2TP поддерживает процедуры аутентификации и туннелирования информационного потока, а РРТР помимо данных функций снабжен и функциями шифрования. Применение меток MPLS позволяет реализовать ускоренное продвижение пакетов по сети провайдера. Транспорт MPLS не считывает заголовки транспортируемых пакетов, поэтому используемая в этих пакетах адресация может носить частный характер. Содержимое пакетов не считывается и при передаче IP-пакетов по протоколам IPSec, РРТР и L2TP. Однако, в отличие от MPLS, традиционные протоколы туннелирования для транспортировки IP-пакетов используют традиционную IP-моршрутизацию. При выборе пути следования пакета в MPLS учитываются различные параметры, оказывающие влияние на выбор маршрута.
Технология VPN IPSec не поддерживает параметров качества обслуживания установленного соединения, а протокол РРТР поддерживает единственный туннель между двумя точками. Весь трафик при использовании традиционных IP-туннелей следует до адресата вдоль одного и того и того же пути. Технология MPLS позволяет контролировать потоки, передаваемые по множеству всех имеющихся путей до адресата. Одна из функций MPLS — объединение виртуальных каналов, когда не-
33
сколько туннелей MPLS объединяются для создания единого туннеля. Такая структура распространяет VPN на базе MPLS в сети оператора на сеть внутри офиса и прямо до сервера или клиента.
Трудности реализации MPLS VPN
Хотя одноранговая модель имеет множество преимуществ по сравнению с оверлейной, на пути ее реализации также стоит ряд проблем, которые перечислены ниже:
• Перегрузка Р-маршрутизаторов информацией о маршрутах.
Одной из основных проблем крупных IP-магистралей является большое количество ресурсов (памяти, процессорных мощностей, полосы пропускания), необходимых для хранения данных о маршрутизации. Если взять IP-магистраль и пустить по ней данные о маршрутах всех корпоративных сетей, Р-
маршрутизоторы никогда с ней не справятся.
• Несогласованные (несмежные) адресные пространства.
Обычно Интернет-сервис-провайдеры (ISP) стараются присваивать адреса осмысленно. Это значит, что адрес системы должен указывать на место, в котором эта система подключается к сети ISP. Однако многие корпоративные сети имеют адресные схемы, которые трудно совместить с магистральной топологией любого сервис-провайдера. В этих схемах адреса сайтов распределяются без какого-либо учета точки, в которой осуществляется подключение к провайдерской сети. Это сокращает возможности агрегации маршрутов и увеличивает объем данных о маршрутах, которые передаются по Р-сети.
• Частная адресация в С-сетях.
Адреса во многих корпоративных сетях не являются уникальными. Это значит, что тот или иной адрес является уникальным только в пределах одного предприятия, но теряет уникальность при связи между предприятиями. Если IP-магистраль сервис-провайдера используется как общая магистраль для двух разных корпоративных сетей и если адреса в этих сетях не являются уникальными, Р-маршрутизаторы не смогут гарантировать доставку пакетов по месту назначения.
• Подслушивание.
Для защиты данных нужно устанавливать шифрованные туннели точка-точка между каждой парой СЕ-моршрутизаторов (модель IPSec). Это решение хорошо подходит для оверлейной модели, поскольку она и без того использует туннель точка-точка между парами соседних СЕ-маршрутизаторов. Для одноранговой модели это решение подходит не столь хорошо, потому что здесь СЕ-маршрутизатор никогда не может определить, куда он будет передавать следующий пакет.
Литература
1. Гулевич Д.С. Сети связи следующего поколения. ВИНОМ. Лаборатория знаний. Интернет-университет информационных технологий - ИНТУИТ.ру, 2007.
2. Э. Мэйволд. Безопасность сетей. Издательство: Эком. Серия: Шаг за шагом, 2006.
3. Захватов М. Построение виртуальных частных сетей (VPN) на базе технологии MPLS.
4. www.cisco.com.
34