Сам себе провайдер
Автор: Юлия Волкова
Первый заместитель начальника АНО"Радиочастотный центр МО"
Сложные проблемы имеют легкие для понимания неправильные ответы.
Закон научных исследований Мерфи
Наш бизнес становится все более глобализованным. Интернет-технологии стирают государственные границы, и в процессе командной и мобильной работы над различными документами, задачами и проектами мы забываем о расстояниях и часовых поясах. Компании, в которых мы работаем, разрастаются, иногда вне зависимости о наших желаний. У них появляются новые филиалы, офисы, удаленные сотрудники. Вместе с ростом их числа увеличивается и количество внутренних сетей. И вот однажды, где-то на одном из кругов управления менеджеры осознают, что для эффективной работы требуется единое сетевое пространство. И тогда начинаются поиски решений, позволяющих реализовать надежную, безопасную и защищенную систему корпоративной связи.
Собираем картинку
На сегодняшний день, практически единственной возможностью добиться этого является создание виртуальной частной сети VPN (Virtual Private Network). В сети так много сайтов, где вам объяснят, что VPN – это круто. Но, даже, окунувшись по уши в Рунет на несколько дней, и облазив все ссылки в поисковой выдаче на темы, хоть как-то связанные с VPN, и решив даже самостоятельно создать сайт для поика комментариев и отвеов на этот очень важный для интернет-сообществавопрос, мы вряд ли отыщем удобное и понятное описание функций и возможностей такой сети.
Однако, и в мире реальном все не так просто. Если, устав от мерцания экрана монитора, вы решите обратиться к специалистам, то в ответ на вопрос "Что такое VPN?" рискуете услышать пять-семь разных ответов. Здесь будет и про защиту информации по протоколу IPSec, и про многопротокольную коммутацию по меткам (MPLS), и про сетевой протокол туннелирования канального уровня L2TP, и про виртуальные локальные сети, и даже про системы эфирной оптической связи. Слушая все это, вы рискует ощутить себя ребенком, стоящим перед рассыпанными паззлами, из которых нужно собрать картинку, но как это сделать, пока совершенно неясно.
И действительно, когда приближаешься к пропасти, которая отделяет мир сетей физических от вселенной сетей виртуальных, становится немного не по себе. Все это "виртуально-частное" слишком сильно отличается и от того, чему нас учили в институте, и от того, что мы защищали в своих кандидатских диссертациях. Кажется, что физический мир постепенно растворяется и незаметно для глаза теряется, растекаясь по хитросплетениям уровней и слоев, протоколов и технологий, стандартов и рекомендаций, подходов и концепций.
Однако, я предлагаю взглянуть на VPN не как на набор технологий, протоколов или стандартов, и даже не как на надежный щит для вашей коммерческой (или личной) информации, а как на новое сервисное пространство, состоящее из разнообразных услуг. Некоторые из этих услуг мы хорошо знаем с детства - из опыта общения по традиционным сетям, другие пришли в нашу жизнь с появлением Интернета, без третьих, родившихся вместе с мобильной связью, мы тоже уже не мыслим своей жизни. Если совсем кратко, то суть услуг VPN можно свести к простому определению – эта сеть образует для корпоративного пользователя свою "частную" или "выделенную" сеть на основе операторской сети общего пользования. Подобные решения, основанные на "выделении" для определенного пользователя некоторого объема ресурса сети, не новы. Они существуют со времен сетей X.25 и Frame Relay. Новые технологии просто расширили набор услуг VPN, с помощью которых сегодня можно эмулировать, например, распределенный коммутатор Ethernet или маршрутизируемую IP-сеть.
Уясним состав
Основными компонентами VPN являются – оборудование "на стороне пользователя" Customer Edge (CE). Это некое устройство, которое устанавливается в помещении клиента и служит для его подключения к IP-каналу провайдера. Логически это, скорее, компонент сети клиента, однако, управляет им (а иногда и владеет) оператор. Устройства, которые расположены на стороне провайдера и к которым подключаются CE, называются оборудованием "на стороне провайдера" Provider Edge (PE). Еще одной важной частью VPN сети являются опорные маршрутизаторы (P) провайдера.
Разберемся с функциями
В соответствии со стандартами ИСО/МЭК, сеть, предоставляющая услугу VPN, должна обеспечивать выполнение некоторого набора функций (см. рис. 1). Однако, не все они являются обязательными.
Для простоты понимания, разделим функциональные объекты, показанные на рисунке 1, на несколько понятных категорий.
Обслуживание информации об участии.
Эта категория подразумевает передачу информации об участии между пользователем и сетью; распространение информации о действительности участия (между пользователем и сетью); обслуживание информации об участии (только внутри сети); отображение CE на VPN (только внутри сети).
Обслуживание информации о маршрутизации.
Эта функция описывает обмен и обработку информации о топологии сети и пользователя. Имеется три типа такой информации - данные о маршрутизации на участке пользователя, данные о топологии сети и о соединении. Информация о маршрутизации на участке пользователя нужна для оптимизации маршрута, информация о топологии сети включает в себя данные о том, как соединены каналы, и как используется ресурс. Информация о соединениях определяет, как соединено друг с другом оборудование различных пользователей.
Расчет маршрута.
Расчет маршрута - это механизм выбора каналов, который использует информацию о топологии сети, а также данных об ограничениях и/или приоритетах для конкретных пользователей. После того как маршрут рассчитан, функции управления соединением устанавливают соединение.
Управление соединением.
Это функциональный объект, при помощи которого осуществляется обмен информацией и конфигурирование соединения, он формирует сообщения запроса и ответа на установление/удаление/модификацию соединения.
Административное управление.
Это – объект, который непосредственно принимает участие в принятии решений, протоколировании и обработке ошибок во всех описанных выше функциях. Это – сложный объект, он состоит из стратегических правил, правил действия аварийных ситуациях и вспомогательных функций:
Стратегические правила (политика принятия решений).
Функция политики принятия решений определяет, как реагировать на то или иное событие, как рассчитывать маршрут, как должна вести себя сеть в аварийной ситуации. Эти правила могут служить исходными данными для расчета маршрута, и "дорожной картой" для процедур технического обслуживания и обработки аварийных ситуаций. Правила, относящиеся к расчету маршрута, описывают параметры предпочтительного типа соединения (например, предельный объем нагрузки на каждый канал). Правила, связанные с обработкой аварийных ситуаций, предусматривают индикацию работы логики защиты и восстановления соединения. Политикой принятия решения установлены также и правила передачи запроса на соединение, которые описывают, во-первых, чем и как могут быть ограничена возможность соединения, (между разными VPN и в пределах одной VPN), а, во-вторых, что делать в случае несоответствия запрошенного класса обслуживания контракту на услугу.
Правила состоят из следующих функций:
- правила для терминала каждого абонента и правила управления их работой, то есть, то, как должны взаимодействовать пользователи и сети;
- правила для каждой виртуальной частной сети (они действуют только внутри данной сети);
- ограничения на установление соединений;
- правила выбора класса обслуживания (действуют только для оборудования пользователя).
Действия в аварийных ситуациях.
В аварийных ситуациях могут использоваться определенные правила. Например, для каждого соединения и/или для каждой VPN может действовать различная логика защиты и восстановления.
При обработке аварийных ситуаций VPN:
- передает информацию о рабочих характеристиках;
- передает информацию об аварийных ситуациях;
- отслеживает изменение рабочих характеристик;
- осуществляет административное управление аварийными ситуациями.
Другие функции:
- маршрутизация на плоскости управления;
- обнаружение и обслуживание информации о ресурсе канала.
Следует отметить, что в зависимости от бизнес-сценария работы конкретной сети функции могут различаться. Кроме того, некоторые функции могут быть реализованы одним и тем же механизмом. Это, например, справедливо для "управления соединением" и "обработки информации маршрутизации" или "передачи данных об аварийной ситуации", в этом случае информация в обратном канале управления соединением может использоваться как для обновления данных о маршрутизации, так и для оповещения об аварии.
Сценарии услуги
В предыдущем блоке мы разделили функции сети на несколько конструктивных блоков. Если говорить о VPN, то для предоставления услуг принципиально важными являются управление соединением, аутентификация и авторизация, ограничения для данного соединения, обработка информации о маршрутизации, расчет маршрута внутри сети, обслуживание информации об соединениях и обработка аварийных ситуаций внутри сети. Именно эти функции позволяют абонентам инициировать запрос на соединение внутри одной VPN, а провайдеру – выбирать маршрут и управлять работой сети.
Если предполагается, что пользователю необходимо знать о том, кто, кроме него, является абонентом данной VPN, то потребуются специальные функции, связанные с обработкой данных об участниках. Эти возможности особенно важны, если абоненты VPN будут работать в динамическом режиме. А если, в добавок, различным пользователям требуются различные наборы услуг, то для нужно предусмотреть возможность, когда каждая VPN сможет устанавливать свои правила. Кроме того, если разные абоненты одной VPN будут получать услуги с разным качеством, то нам понадобится возможность установить свои правила для каждого абонента. Попробуем свести все это в единую таблицу.
Функции со свойствами услуги
|
Функции
|
Свойства услуги |
|
|
Обслуживание информации об участии |
|
|
|
Обслуживание информации о маршрутизации и расчет маршрута |
|
|
|
Управление соединением |
|
|
|
Административное управление |
Аутентификация, и авторизация |
|
|
Правила |
|
|
|
OAM и обработка аварийных ситуаций |
|
|
Теперь, наведя порядок среди функций и требований, можно рассмотреть некоторые возможные сценарии предоставления услуг VPN, а также понять, каковы желаемые свойства услуги, и какие потребуются функции для их реализации.
Расширение зоны охвата для информационного ресурса (например, зеркалирование)
В данном сценарии пользователю требуется поддерживать зеркальные копии информационного ресурса, следовательно, требуется повысить пропускную способность сети. Процессы обновления "зеркал" будут проходить регулярно и, в зависимости от объема передаваемой информации, для запроса/освобождения соединения потребуется до нескольких часов, но при этом возможно планирование схемы соединений на день или на неделю вперед. Количество абонентов относительно невелико. Они могут находиться в зоне действия одного администратора (зеркалирование внутри одной организации) или разных администраторов (зеркалирование для разных организаций). Информация об участии здесь будет, по всей вероятности. иметь статическую форму, поскольку зеркалирование осуществляется всегда для одного и того же набора оборудования пользователей).
Для предоставления такой услуги необходимо обеспечить несколько соединений типа точка-точка, при этом не требуется комплексного расчета трафика для динамической модели трафика сети.
Видеоконференция
При организации видеконференц-связи внутри VPN формируется группа пользователей, в рамках которой передается визуальная и звуковая информация. Соединения должны существовать только во время видеоконференции. Группа может быть сформирована динамически, то есть и присоединение оборудования пользователей, и создание самой группы выполняется динамически. Эта услуга аналогична услуге видеоконференций с замкнутой группой пользователей, предоставляемой в сети связи общего пользования. Единственно, что в таком сценарии может быть довольно сложно установить единые правила для всех абонентов VPN, особенно если эти абоненты, административно, входят в состав различных сетей.
Оператор для оператора
При таком сценарии один оператор использует услуги VPN другого оператора для предоставления своих услуг. Число абонентов может быть относительно большим. Трафик может быть существенно различным, как на протяжении относительно короткого времени (например, днем и ночью), так и на более продолжительном интервале времени, и это должно быть предусмотрено на этапе разработки топологии сети.
Мультисервисная опорная сеть
В данном сценарии оператор, получающий услугу VPN другого оператора, предоставляет своим пользователям иные виды услуг более высокого уровня. Трафик здесь может меняться как в зависимости от времени суток, так и на более продолжительном интервале времени, Здесь, как и в предыдущем сценарии, предполагается, что пользователь услуги VPN (которым здесь является оператор) некоторым образом участвует в управлении сетью.
В таблице 2 показа краткий обзор описанных сценариев.
Таблица 2 - Сценарии услуг и необходимые функции
|
|
Условия |
|
||||
|
Сценарий |
Число абонентов |
Модель трафика |
Расширенное участие пользователей |
Участие |
Администрирование |
Необходимые функции |
|
Расширение зоны охвата для информационного ресурса |
Небольшое |
Точка-точка |
Маловероятно |
Статическое |
Единое/распределенное (абоненты могут принадлежать одной администрации или разным администрациям.) |
OAM и обработка аварийных ситуаций (правила) |
|
Видеоконференция |
От небольшого к большому |
Точка-точка |
Маловероятно |
Динамическое |
Несколько (абоненты принадлежат разным администрациям.) |
(OAM и обработка аварийных ситуаций), обслуживание информации об участии |
|
"Оператор для оператора" |
Большое |
Объем трафика меняется как на коротком, так и на продолжительном интервале времени |
Вероятно |
Статическое |
Единственная (Все абоненты принадлежат одной администрации.) |
OAM и обработка аварийных ситуаций, правила (обслуживание информации об участии), (обслуживание информации о маршрутизации и расчет маршрута) |
|
Мультисервисная опорная сеть |
Большое |
Объем трафика меняется как на коротком, так и на продолжительном интервале времени |
Вероятно |
Статическое |
Единственная (Все абоненты принадлежат одной администрации.) |
OAM и обработка аварийных ситуаций, правила (обслуживание информации об участии), обслуживание информации о маршрутизации и расчет маршрута |
Варианты архитектуры
В зависимости от выполняемых функций, меняется и архитектура сети. Она может быть распределенной, централизованной или гибридной. В гибридной инфраструктуре некоторые функции распределены, а некоторые другие – централизованы.
Несмотря на то что между архитектурой сети на стороне провайдера и архитектурой сети на стороне пользователя могут быть существенные различия, мы рассмотрим только интересующую нас сторону сети, и будем говорить только об архитектуре сети, которую видит пользователь.
Распределенная архитектура
В распределенной архитектуре оборудование пользователя взаимодействует с оборудованием провайдера. Функции обработки информации об участии и маршрутизации, а также расчет маршрута и функции управления соединением в такой сети распределены.
Распределенная архитектура сети пользователя VPN
Централизованная архитектура
В централизованной архитектуре с оборудованием провайдера, которым, как правило, является Централизованный контроллер провайдера (РСС) общается централизованный контроллер пользователя (CCC). В некоторых случаях ССС только передает в сеть провайдера запрошенную информацию управления, в других случаях CCC может участвовать в процессе управления.
В централизованной архитектуре функции обработки информации об участии и о маршрутизации, а также расчет маршрута и управления соединением централизованы.
Централизованная архитектура сети пользователя VPN
Гибридная архитектура
В гибридной архитектуре некоторые функции обслуживания информации об участии, обслуживания информации о маршрутизации и расчета маршрута и управления соединением распределены, в то время как некоторые функции централизованы.
Где и как
Сети VPN в настоящее время используются как для решения задач взаимного подключения пользователей внутри сети, так и как способ подключения к созданной сети удаленных пользователей. Сети VPN, в их самой простой форме, являются простым и надежным механизмом создания безопасного канала или каналов передачи данных по всей существующей сети. При этом опорная сеть может быть также частной или может быть сетью общего пользования.
Удаленный доступ с применением VPN реализуется "поверх" обычного канала связи, который уже установлен между локальным и удаленным пользователями. Сеть VPN можно описать, как управляемую услугу, в которой, на совместно используемой инфраструктуре сети связи общего пользования, реализуется безопасное, надежное подключение, управление и адресация, эквивалентные тем, которые могут быть созданы в частной сети.
В принципе, сеть VPN может быть:
-
единичным каналом сквозной связи (например, устройство клиента, имеющее удаленный доступ к сети предприятия через шлюз); или
-
сетью точка-область, использующей методы MPLS.
В соответствии со стандартом ИО/МЭК 18028-5 существует три основных типа VPN:
- Сети VPN уровня 2 (L2), которые эмулируют функции LAN, связывая вместе все офисы одной компании, или предоставляя возможности удаленного подключения. Типичными предложениями провайдеров услуг являются: услуга виртуальной выделенной линии (VPWS), которая моделирует проводное соединение, или услуга виртуальной частной LAN (VPLS), которая предоставляет более полную эмулированную услугу LAN.
- Сети VPN уровня 3 (L3) эмулируют функции глобальной сети (WAN). Здесь предлагается возможность использовать частные IP-адреса на всей инфраструктуре сети связи общего пользования. Однако такое использование частных адресов в сетях общего пользования посредством трансляции сетевых адресов (NAT) может затруднить создание и использование в VPN безопасного Интернет протокола (IPsec).
- Сети VPN уровня 4 (L4) используются для организации безопасных каналов в сетях общего пользования. Этот тип сетей VPN предоставляет безопасный канал между соединенными приложениями для гарантирования конфиденциальности и целостности данных на период операции связи.
Сети VPN могут быть реализованы внутри частной сети под управлением частного бизнеса или они могут быть реализованы в сетях в доменах общего пользования. Также возможны реализации, использующие сочетания этих двух схем. В любом случае транспортной системой является сеть интернет.
Усложним задачу и упростим решение
Широкополосная связь, а следовательно, и скорости, измеряемые десятками мегабит в секунду, сегодня становятся привычными и восхищения давно не вызывают. Стоимость передачи мегабайта информации из пункта продолжает снижаться, а качество связи, напротив, повышается. Однако, оператор связи общего пользования всегда решает свои задачи, а не ваши. Его цель – продать свои услуги, ваша – получить услуги более высокого качества. Именно поэтому, даже в эпоху всеобщей истерии по поводу VPN "поверх" операторской сети, не следует забывать и о других возможностях. Так, в ряде случаев, если вам необходимо объединить несколько офисов или точек присутствия, наиболее предпочтительным вариантом может оказаться построение собственной инфраструктуры. Это выгодно, в первую очередь тогда, когда в соответствии с технологическими процессами вам требуется передавать большие объемы данных с минимальными задержками или с повышенными требованиями по обеспечению безопасности связи и защиты информации. Расходы на создание кабельных сетей много раз подсчитаны, и широко известны – это и необходимость длительных согласований, и разработка и утверждение проектной документации, и получение всевозможных заключений). Если высокоскоростная сеть нужны для того, чтобы связать точки, находящиеся в пределах прямой видимости, и расположенные в нескольких километрах друг от друга, то проще построить радиоканал. На это уйдет несколько дней, а то и часов.
Единственное, что требуется для упрощения задачи – правильно выбрать "железо". Забудьте о модном нынче WiMAXе, для VPN он не нужен. Не поддавайтесь на уговоры вендоров и интеграторов, выбросьте проспекты, рекламирующие супер-современные технологии в диапазонах 2500-2700 МГц, 3400-3600 МГц, 5650-6425 МГц. Иначе Вы там заблудитесь в согласованиях и утонете в ворохе бумаг, которые необходимо получать в полутора десятках ведомств. Я предлагаю обратиться к незаслуженно забытому диапазону миллиметровых волн, а именно 40 ГГц.
Еще лет пять назад я писала статью о том, как дорого идти "вверх по спектру". Однако, сегодня ситуация в корне изменилась. Новые технологии делают оборудование дешевле, в значительные по ширине полосы частот позволяют реализовать очень высокоскоростные каналы связи. Мало того, в силу малой длины волны относительно просто сделать небольшие антенны, обладающие хорошим усилением (на уровне 40 дБ), крутыми срезами спектра, малыми боковыми лепестками (на уровне -20 дБ). Для городских линий связи с дальностью связи до нескольких километров, потребуется антенна диаметром всего 30 см. При этом, если коэффициент ее усиления достигает 40 дБ, то мощность передатчика не должна превышать 100 мВт. Поскольку такие антенны формируют очень узкие диаграммы направленности, то линий архитектуры "точка-точка" в городе можно будет создавать довольно много.
Аппаратура с такими параметрами – не экзотика, американские компании GigaBeam, BridgeWay производят ее уже несколько лет, и она с успехом применяется, решая задачи соединения офисов крупных и средних корпораций, бизнес-центров, торговых площадок и складов, со скоростями передачи информации, превышающими 1 Гбит/с. Никакому WiMAX такие скорости и не снились. К сожалению, в России "миллиметровые" решения пока еще достаточно большая редкость. Что странно, поскольку порядок использования этой полосы частот чрезвычайно прост. Во-первых, решение ГКРЧ от 26 февраля 2008 г. № 08-23-04-001 «Об упрощении процедуры выделения полосы радиочастот 40,5-43,5 ГГц», отменило необходимость получения каждым пользователем решения ГРКЧ, что сократило сроки частотных согласований почти на год. Во-вторых, эта полоса относится к категории "ГР" и в ней не требуется согласования с военными, что также сокращает временные и финансовые затраты. Мало того, за океан ездить не надо. В России свои есть и производители оборудования такого класса. Жаль, что продают они его, по большей части, за океан.
Конечно, Российским нормам присвоения частот пока еще далеко от правил в тех же США и Европе, где линии в миллиметровых диапазонах строятся по "заявительному" принципу с уплатой чисто символических сборов за регистрацию линии, соединяющей два фиксированных пункта. Но и те "послабления", которые перечислены позволяют прогнозировать быстрое развитие новых сетей в этом диапазоне. Тем более, что все "традиционные" диапазоны частот давно либо разобраны и проданы, либо настольно замусорены помехами, что говорить о чистых каналах связи в них не давно уже приходится.
Отступая от темы
Каждый консалтинговый отчет мы заканчиваем напоминанием о том, что решения, о которых "все говорят", не всегда являются лучшими для каждого конкретного бизнеса. Мало того, они даже не всегда являются приемлемыми.
Очевидно, что применение виртуальных частных сетей в той или иной конфигурации – как на основе операторских сетей, так и с собственной инфраструктурой, может быть актуальным только для тех компаний, организационная структура которых состоит из, как минимум, двух подразделений, или в которой работает достаточно большое количество удаленных сотрудников. Но и это – не все. VPN не панацея. Просто создание нового типа сети само по себе не повысит эффективность работы. VPN – не решение всех и всяческих проблем. VPN - это просто еще один бизнес-инструмент, который надо применять в нужное время и в нужном месте.
Опубликовано в журнале CIO №11 ноябрь 2008
