В рубрику "Решения операторского класса" | К списку рубрик | К списку авторов | К списку публикаций
А.А. Кузеванов, системный администратор "Р.М.ТЕЛЕКОМ"
Эффективность управления современным предприятием в значительной мере зависит от качества функционирования информационной инфраструктуры. Работа сотрудников из территориально распределенных подразделений в едином информационном пространстве позволяет оптимизировать их взаимодействие, повышать эффективность бизнес-процессов. Однако создание собственной телекоммуникационной сети, объединяющей подобные подразделения предприятия, требует значительных капиталовложений, а ее эксплуатация -существенных непрофильных затрат. Поэтому большим спросом пользуется услуга по организации виртуальной частной сети (Virtual Private Network -VPN) предприятия, которую предлагают все современные операторы связи. Информация в такой сети передается по каналам общего пользования, а необходимая защищенность достигается на уровне протоколов информационного обмена. В настоящей статье рассматриваются основные разновидности VPN и схемы их реализации для пользователя в мульти-сервисной сети связи компании "Р.М.ТЕЛЕКОМ".
Классификация VPN
Существует несколько основных вариантов классификации VPN. Для клиента наиболее значимы следующие факторы:
По первому признаку разделяют: VPN, поддерживаемые клиентом, и VPN, поддерживаемые оператором.
Если функциональность VPN реализуется на оборудовании клиента, то он берет на себя все издержки, связанные с ее организацией, поддержкой и развитием. Преимущество данного подхода для клиента - в возможности полного контроля над работой виртуальной сети. Необходимость такого контроля может диктоваться политикой информационной безопасности клиента.
Во многих случаях экономически более целесообразно воспользоваться услугой поддержки VPN, предоставляемой оператором, который принимает на себя все вопросы технического и административного обеспечения бесперебойности ее работы. При этом клиент избавляется от необходимости приобретения, настройки и обслуживания телекоммуникационного оборудования, переносит эксплуатационные расходы на оператора. В дальнейшем в статье речь пойдет именно о VPN, организуемых поставщиками услуг.
По второму фактору VPN классифицируются в зависимости от уровня модели взаимодействия открытых систем, на котором происходит информационный обмен между сетями подразделений.
Рассмотрим типовую схему объединения локальных сетей двух удаленных объектов (см. рисунок) Как правило, такие сети представляют собой один или несколько Ethernet-коммутаторов с подключенными оконечными устройствами (компьютерами, серверами, IP-телефонами, точками доступа Wi-Fi и т.д.).
Исходя из решаемой клиентом задачи целесообразным может быть объединение таких сетей в единую пакет-но-коммутируемую сеть. В этом случае создается VPN 2-го, канального, уровня ( Ethernet-VPN). Логика работы подобной VPN такова, что она предстает "виртуальным коммутатором", функционально неотличимым от обычного пакетного коммутатора. Поэтому после подключения локальных сетей в пограничное VPN-оборудование происходит "прозрачная" передача Ethernet-фреймов из одной сети в другую.
Другим вариантом объединения сетей является использование на их границе маршрутизаторов, которые могут выполнять расширенные - по сравнению с коммутаторами - функции, например: фильтрация трафика для обеспечения информационной безопасности и повышение эффективности использования доступной полосы пропускания. В этом случае создается VPN 3-го, сетевого, уровня (IP-VPN), в которой выполняется передача только IP-пакетов, без передачи Ethernet-фреймов в целом, что дополнительно повышает эффективную пропускную способность VPN.
В IP-VPN пограничные маршрутизаторы клиента и оператора взаимодействуют с помощью одного из протоколов динамической маршрутизации, таких, как OSPF, RIP, BGP (либо используются статические маршруты). В обмене участвуют лишь IP-префиксы, принадлежащие данному клиенту, "перекрестный" трафик между сетями разных VPN невозможен (чем и обеспечивается их "частный" характер). Клиенты вправе использовать произвольные диапазоны IP-адресов, в том числе пересекающиеся с диапазонами адресов других клиентов. С точки зрения клиента, операторская сеть предстает в виде пары маршрутизаторов, соединенных между собой каналом связи "точка - точка", внутренняя же структура сети оператора, а также подключения других клиентов в этой схеме, как и в предыдущей, скрыты (см. рисунок).
Таким образом, оба варианта услуги (IP-VPN и Ethernet-VPN) в равной степени обеспечивая информационную безопасность клиента, предоставляют разные опции взаимодействия его локальных сетей: от практически полного стирания логических границ между ними (Ethernet-VPN) до максимально управляемой и масштабируемой IP-сети (IP-VPN). Выбор оптимального решения остается за клиентом.
Практика предоставления услуг VPN
"Р.М.ТЕЛЕКОМ" является оператором мультисервисной телекоммуникационной сети и предоставляет своим клиентам - наряду с услугами доступа в Интернет, телефонной свяи и видеоконференц-связи - услуги организации VPN обоих описанных выше типов.
В основе сети связи лежит протокол IP, работающий во взаимоувязанных коммутируемых Ethernet-сегментах, развернутых на широкой сети оптических и радиорелейных линий связи. Используются радиорелейные станции WOCCOM DGM с Ethernet-интерфейсом, что позволяет включать
их, как и оптические каналы связи, непосредственно в коммутаторы, обеспечивая тем самым возможность создания непрерывного пакетно-коммути-руемого домена.
При такой организации сети высокая отказоустойчивость ее работы достигается за счет применения быстродействующего протокола динамической смены канальной топологии сети RSTP в условиях высокой степени связности ее узлов. Решение опережает в работе средства динамической IP-маршрутизации, в частности, применяемый протокол OSPF, задача которого в такой схеме сводится по преимуществу к распространению информации о доступности IP-сетей.
Отказоустойчивая опорная сеть позволяет обеспечить также отказоустойчивость и предоставляемых на ее базе сетевых услуг.
Физической точкой доступа к VPN-услуге является Ethernet-интерфейс, предоставляемый оператором на месте расположения объекта заказчика. В случае VPN 3-го уровня IP-параметры настройки этого интерфейса выбираются клиентом исходя из используемой им схемы адресации. Чаще всего для этого применяют так называемые приватные адреса, специально выделенные для изолированных сетей. Задача маршрутизации, как правило, успешно решается путем настройки статических маршрутов; такая схема наиболее стабильна. В ситуациях, когда клиенту требуется динамический характер обмена маршрутной информацией между объектами сети, возможно использование общепринятого для таких случаев протокола BGP.
Для организации VPN 2-го уровня со стороны оператора применяется то же оборудование, физическая схема подключения остается неизменной, однако на этот раз порт становится "прозрачным" для Ethernet-фреймов клиента. При этом наиболее логично подсоединить к нему непосредственно коммутатор локальной сети. При необходимости включается поддержка протокола STP, что делает реальной автоматическую поддержку альтернативных каналов связи, работающих в режиме "горячего" резервирования. Для эффективного использования пропускной способности VPN-канала возможна фильтрация передаваемого трафика по MAC-адресам фреймов, который ограничивается пределами локальной сети данного объекта и не передается в VPN-канал.
Поддерживаются и более сложные клиентские сети, построенные с использованием технологии виртуальных локальных сетей (VLAN). В таком случае к оборудованию оператора напрямую подключается транк-интер-фейс коммутатора (инкапсуляция IEEE 802.1Q). Трафик всех VLAN "прозрачным" образом "пробрасывается" на удаленную точку также с транк-интерфейсом. Предусмотрены конфигурации, в которых трафик некоторого подмножества VLAN передается на одну точку, а другого - на другую.
Эти возможности позволяет легко реализовать в Ethernet-VPN как полносвязную или частично связную топологию клиентской сети, так и традиционную топологию "звезда", подходящую для иерархичных клиентских сетей.
В условиях повсеместного перехода телефонии на использование в качестве транспорта IP-сетей важным является обеспечение приоритетной передачи голосового трафика. В соответствии с современным подходом к решению этой задачи (DiffServ) такие пакеты помечаются определенным значением поля DSCP заголовка IP-пакета. Причем существенно, чтобы отработка приоритета выполнялась на каждом промежуточном устройстве в сети, в том числе и на части VPN, проходящей по сети оператора. По соглашению между оператором и клиентом клиент помечает трафик, требующий преимущественной передачи, а оператор "доверяет" этой маркировке и отрабатывает соответствующий трафик как приоритетный, чем достигается полная эффективность системы обеспечения качества корпоративных интерактивных сервисов (QoS) на всей сети клиента.
Для предоставления услуг доступа в Интернет и телефонии может быть задействовано то же каналооб-разующее оборудование оператора. Для передачи этого трафика по выбору клиента либо выделяется отдельный физический порт, либо на используемом для VPN-трафика интерфейсе (независимо от типа VPN) устанавливается дополнительный IP-адрес для выхода в Интернет, а для обеспечения телефонной связи - шлюз, к которому подключается локальная мини-АТС или телефонные аппараты.
Описанные возможности услуг VPN, предлагаемых в сети "Р.М.ТЕЛЕКОМ", показывают, что применение современных технологий построения таких сетей позволяет сделать сервис максимально удобным для клиента: их можно использовать как по принципу "включись и работай", так и сообразно с потребностями клиента реализовать сложное техническое решение стоящей перед заказчиком задачи.
Опубликовано: Журнал "Технологии и средства связи" #6, 2006
Посещений: 15622
Статьи по теме
Автор
| |||
В рубрику "Решения операторского класса" | К списку рубрик | К списку авторов | К списку публикаций
