Сегодня два подхода к организации глобальных сетей конкурируют между собой. Но наилучшее решение получат сетевые администраторы, которые сумеют объединить оба варианта.

В конце прошедшего тысячелетия организация доступа из локальной сети в Internet решалась достаточно просто. Компания заказывала у провайдера услуг Internet необходимые услуги, подключала маршрутизатор и, если нужно, — брандмауэр или proxy-сервер. Путешествия по Сети приобретали все б'ольшую популярность, и каждый учился этому, как мог. То было начало эры «новой экономики» — безоблачное время.

Но теперь «новая экономика» уже не так нова, а подключение к Internet не кажется столь простым. Для компаний, развивающих бизнес в Internet, необходима высокая скорость подключения, вопросы безопасности приобретают исключительное значение, и им приходится постоянно иметь дело с новыми видами услуг наподобие виртуальных частных сетей. Операторы связи предлагают все более разнообразные варианты доступа, в том числе Ethernet, беспроводные технологии, DSL — не считая таких традиционных способов подключения к глобальным сетям, как T1/E1, ATM, frame relay и T3/E3.

Как повлияет доступность столь мощных каналов связи с Internet на способы подключения к центральному офису или офисам партнеров образца прошлого тысячелетия? Это зависит от конкретных условий. Применение комплексных решений позволяет снизить затраты на совместное использование как пропускной способности, так и оборудования. Теперь вы можете одновременно работать в Internet и подключаться к частным видам сервисов глобальной сети с помощью единственной линии доступа frame relay или АТМ.

Или все же имеет смысл полностью заменить все это новомодной VPN? Технология VPN поверх Internet может предоставить для малого бизнеса такие же услуги, как небольшая глобальная сеть. Крупные предприятия могут создать глобальную сеть VPN поверх частной системы передачи данных с обеспечением заданного качества обслуживания и контролем производительности. Но гораздо чаще компании вынуждены использовать прежние корпоративные глобальные сети с полным комплектом уже установленного оборудования и их проблемами связи с некоторыми удаленными офисами.

Современные сети — детище двух разных эпох. Доступ к сети VPN осуществляется через унаследованные каналы. В каком месте в таком случае подключать брандмауэр? Как управлять защитой данных и трафиком? Принятая схема организации глобальных сетей пока еще вполне приемлема, но для сетевых администраторов, не пожалевших время на поиск комбинированных решений, выбор широк, как никогда ранее. В этой статье рассматриваются способы подключения мультисервисных линий доступа к сети оператора связи и обеспечения заданного уровня качества обслуживания QoS, а также методы организации управления безопасностью сети предприятия в условиях, когда граница между ней и сетями общего доступа стирается.

СТАРЫЕ ДОГМЫ

Мультисервисную линию доступа можно организовать с помощью технологий виртуальных каналов связи (frame relay, ATM) или новейшей технологии виртуальных частных сетей (поверх любого соединения IP). Виртуальные каналы на базе предварительно сконфигурированного оконечного оборудования — это проверенная технология, пригодная практически для любого случая.

Frame relay наиболее часто используется для предоставления комбинированных услуг. Тем не менее в последнее время популярность ATM растет, чему в немалой степени способствует распространение таких новых методов доступа, как DSL и межсетевой сервис frame relay (Frame Relay Service Internetworking, FRSI, Frame Relay Forum FRF-8.1).

Трафик данных в сетях frame relay и ATM мультиплексируется в сконфигурированные на маршрутизаторе виртуальные каналы связи. В типичных приложениях для глобальных сетей центральное устройство выполняет роль концентратора, где линии связи с удаленными офисами (обычно это линии Т1, Т3 или обратного мультиплексирования АТМ — Inverse Multiplexing over ATM, IMA) объединены в общем устройстве. Маршрутизатор отображает виртуальные каналы передачи данных на виртуальные порты с помощью протоколов более высокого уровня.

Когда линия доступа к глобальной сети АТМ или frame relay используется дополнительно для получения услуг Internet, это достигается путем организации еще одного виртуального канала. Он выходит на соответствующего провайдера услуг, а виртуальные каналы подключения к глобальной сети обеспечивают доступ к удаленным офисам.

Многие операторы связи предлагают сервис FRSI, позволяющий комбинировать в сети ATM и frame relay. Так, например, центральный офис может быть подключен к сети по каналу T3 ATM, а филиалы — по более дешевым каналам frame relay. Коммутаторы оператора используют технологию FRSI для межсоединения виртуальных каналов ATM и frame relay, создавая таким образом сквозные соединения.

В состав корпоративной сети часто входят линии DSL: в частности, они служат для подключения офисов подразделений к гибридной глобальной сети. В центральном офисе обычно используются каналы ATM или frame relay, у которых скорость выше (DSL способна работать только по медной линии и обеспечивает, как правило, скорость, эквивалентную T1/E1 или ниже).

Каналы передачи данных в филиалы по DSL могут заканчиваться в центральном офисевиртуальным соединением frame relay или ATM. Некоторые коммерческие версии оборудования DSL позволяют передавать традиционные виртуальные соединения поверх DSL: в частности, они предусматривают соответствующий аппаратный интерфейс frame relay и ATM в устройствах подключения DSL.

ТУННЕЛЬНЫЕ КРЫСЫ

Технологии виртуальных каналов функционируют как базовый сервис на канальном уровне. В многопротокольных системах 90-х гг. такое мультиплексирование на втором уровне имело смысл. Но теперь, в связи с широким распространением протокола IP, более приемлемым выглядит мультиплексирование услуг на третьем уровне. В виртуальных частных сетях поверх IP создаются туннели «точка-точка» через все транзитные сети IP, что очень похоже на виртуальные каналы frame relay или ATM.

Самое большое преимущество VPN заключается в возможности осуществления такой передачи данных по любой доступной линии IP, включая DSL, традиционные системы передачи данных, а также частные или общедоступные сервисы ближайшего будущего. VPN позволяет организовать практически по любому каналу IP доступ в Internet из любой точки мира. Хотя технологии VPN могут поддерживать самые разнообразные протоколы передачи данных, почти все современные решения VPN основаны на протоколе IP. Для других протоколов могут быть организованы туннели внутри IP, как для трафика SNA в системах коммутации канального уровня (Data-Link Switching, DLS). Он передается по соединениям VPN как пакеты IP.

Сегодняшняя технология VPN — результат развития протокола PPP (стандарт RFS 1661), в который добавлены туннельные расширения. Он разработан в начале 90-х для поддержки протоколов локальных сетей второго уровня, при их передаче через соединения «точка-точка» второго уровня (как правило, по коммутируемым линиям). Используемая в то время технология высокоуровневого управления передачей данных (High-Level Data-Link Control, HDLC) была модифицирована для того, чтобы поддерживать IP и некоторые другие протоколы.

В связи с повсеместным распространением Internet поддержка многочисленных платформ для приема коммутируемых вызовов с использованием РРР стала представлять проблему для провайдеров услуг, что потребовало разработки централизованного решения РРР с более высокой масштабируемостью и экономичностью. По инициативе нескольких поставщиков был создан туннельный протокол «точка-точка» (Point-to-Point Tunneling Protocol РРТР), он был поддержан компанией Microsoft и другими разработчиками. А в 1999 г. IETF опубликовала его продолжение — стандарт туннельного протокола второго уровня (Layer-Two Tunne-ling Protocol, L2TP, RFC 2661).

Протокол L2TP позволяет передавать кадры протокола PPP второго уровня по маршрутизируемой сети IP в виде пакетов UDP.

Туннель направляет вызовы пользователей через концентратор доступа L2TP (L2TP Access Concentrator LAC) на центральный сетевой сервер L2TP (L2TP Network Server LNS) — маршрутизатору или серверу, которые являются конечной точкой для всех сеансов РРР. Протокол L2TP может использоваться совместно с протоколом с IPSec (описан в многочисленных RFC) для обеспечения безопасного шифрования туннелированных данных.

С помощью акронима VPN разработчики описывают различные непохожие друг на друга программы и приложения. По сути имеется всего два типа продуктов VPN: клиентские системы для подключения рабочих станций (клиентов Internet) к центральному серверу посредством туннелированного протокола РРР и системы для подключения удаленных офисов через частные туннели РРР или путем шифрования пакетных данных с помощью IPSec. Клиентские продукты VPN предназначены для поддержки удаленных пользователей, в то время как продукты VPN для удаленного офиса применяются для построения глобальных сетей на базе этой технологии.

В маршрутизируемой сети IP протокол L2TP выступает как продолжение протокола РРР второго уровня, а другие расширения позволяют туннелировать когда-то очень популярные соединения РРР через АТМ, Ethernet и другие сети. PPP поверх ATM (РРРoА, стандарт RFC 2364) часто встречается на линиях DSL. Использование туннелей PPP в устройствах доступа DSL обеспечивает мультисервисные услуги для удаленных сотрудников, а операторам связи открывает возможность со временем полностью перейти на IP в магистральной части сети.

РРР через Ethernet (РРРoЕ, стандарт RFC 2516) служит для продолжения туннелей РРР в локальную сеть. С помощью РРРoЕ разрабатываются клиентские продукты VPN, которые могут поддерживать любое соединение (стандартные продукты на базе L2TP требуют от клиента соединения по последовательной линии).

В ПОИСКАХ КАЧЕСТВА

Сети с обеспечением заданного уровня качества обслуживания QoS особенно важны там, где нужно создать комбинацию услуг доступа к глобальным сетям и услугам Internet. Управление качеством обслуживания достигается за счет формирования очередей — с их помощью сетевое оборудование может идентифицировать и задерживать при необходимости передаваемые пакеты, кадры или ячейки в периоды полной загрузки линии связи. Такие очереди должны быть организованы как в сети, так и в оконечных устройствах.

Современные сети виртуальных каналов открывают широкие возможности для обеспечения качества обслуживания и уровня сервиса. В сети frame relay сквозное качество обслуживания реализуется с помощью гарантированной скорости передачи (Committed Information Rate, CIR) и уведомлений о перегрузках. ATM предлагает наиболее совершенные средства QoS путем выделения или разделения емкости каждого из виртуальных каналов. И только ATM может реально эмулировать арендованную линию доступа на скоростях, не превышающих 2 Мбит/c (Circuit Emulation Service, CES).

Для каждого виртуального канала оператор должен сконфигурировать параметры качества обслуживания в соответствии с тем, какой уровень сервиса от него требуется. Виртуальный канал для передачи трафика Internet может использовать очереди, отличные от очередей виртуальных каналов, для связи удаленных офисов. У технологии FRSI, позволяющей объединять frame relay и ATM, свои трудности при организации управления качеством передачи. Дело в том, что ни один из протоколов не осуществляет сквозное управление QoS на канальном уровне. Оконечные устройства FRSI придется конфигурировать вручную, чтобы управление очередями в виртуальных каналах frame relay и максимальная скорость передачи ячеек ATM соответствовали скоростям передачи на противоположном конце линии связи.

Поддерживаемые уровни качества обслуживания в значительной степени зависят от поставщиков каналов связи и применяемых технологий. Управление ими — неизбежная необходимость при дефиците пропускной способности. Лучшее решение проблемы QoS — увеличение доступной пропускной способности.

ВОЗМОЖНЫЕ РЕЗЕРВЫ

Системы VPN поверх IP обеспечивают практически такой же уровень управления качеством обслуживания, как и ATM, но с некоторыми ограничениями. Прежде всего, сети IP передают пакеты переменного размера, в то время как сети ATM — ячейки одной величины. Такая однородность и малый объем передаваемых ячеек играют ключевую роль в способности ATM предоставлять гарантированное качество обслуживания для критически важных приложений. Сети IP способны поддерживать аналогичное качество обслуживания только при условии фрагментации пакетов и увеличения быстродействия сети.

Даже если скорости сети IP достаточно для предотвращения задержки при передаче пакетов, все равно понадобится тот или иной метод контроля за состоянием очередей на линии связи. Протокол резервирования ресурсов (Resource Reservation Protocol, RSVP, стандарт RFS 2205) позволяет заранее зарезервировать необходимые ресурсы под очереди пакетов на всех маршрутизаторах на всем протяжении линии связи между двумя точками. RSVP требует точной идентификации передаваемого трафика маршрутизаторами (например, IP-адресов или номеров портов). В связи с тем, что этот метод ориентирован на соединения, передача данных с гарантированным качеством обслуживания начнется только после того, как придет подтверждение о доступности всех необходимых для очередей ресурсов. Протокол обеспечивает надежный контроль качества обслуживания для таких ориентированных на соединение и требующих предопределенных и зарезервированных ресурсов приложений, как передача голоса поверх IP.

Отметим, что многим типам трафика требуется более обобщенная форма качества обслуживания без установления соединения. Появление стандарта IP на дифференцированные услуги (Differentiated Services, DiffServ, RFS 2474) позволяет переопределить поле «Тип сервиса IP» в заголовке пакета IP, превращая его в поле DiffServ. Это дает возможность увеличить число уровней дискретизации контроля качества обслуживания более восьми значений, используемых в поле Type of Service протокола IPv4 (или поля Traffic Class в протоколе IPv6). Поскольку теперь уровень сервиса задается в каждом пакете, то оконечные устройства могут автономно устанавливать его в соответствии с потребностями конкретных прикладных систем. Кроме того, маршрутизаторы могут изменять соответствующие параметры на границе глобальной сети.

Для обеспечения службы качества обслуживания необходимо также продумать управление очередями в оконечных устройствах. В дополнение к описанным выше методам QoS конечные системы добавляют к этим решениям свою специфическую изюминку. Организация очереди для исходящих пакетов по типу Weighted Fair Queuing (WFQ) и Weighted Random Early Detection (WRED) расширяет возможности типичных для большинства устройств очередей FIFO.

Очереди WFQ используют статистические методы для разбиения больших пакетов и предоставления справедливого доступа к линии для небольших пакетов малого размера, например во время запросов к базе данных или к главному компьютеру. WFQ хорошо работает на медленных линиях и сейчас активизируется в некоторых продуктах как настройка «по умолчанию». WFQ не рекомендуется применять на высокоскоростных интерфейсах с высоким быстродействием, например T1/E1, потому что задержка на размещение пакетов компенсируется высокой скоростью линии.

Для предотвращения перегрузки WRED изменяет размер окна передачи TCP для замедления активных диалогов при уменьшении размера буфера очереди, а также сокращает размеры окон TCP за счет выборочного удаления поставленных в очередь пакетов, в результате чего конечные системы вынуждены сокращать скорость передачи.

WRED применяется в некритических приложениях на базе TCP в сетях с большими задержками сигнала, например при доступе в Web.

ПРИМЕРЫ ПРОЕКТОВ

Объединение доступа в Internet и к глобальной сети создает существенные проблемы, связанные с защитой, маршрутизацией и поддержкой виртуальных каналов VPN. Представленные далее примеры иллюстрируют только небольшую часть возможных вариантов решений.

Рисунок 1. Для многих организаций лучшее решение заключается в сохранении раздельных выделенных каналов доступа к Internet и глобальной сети. Как внутренние, так и внешние пользователи сети подключаются к брандмауэру через его внутренний интерфейс.

Сначала необходимо определить, нужна ли комбинированная линия доступа? В некоторых случаях наиболее приемлемым вариантом станет сохранение раздельного доступа в глобальную сеть и Internet (см. Рисунок 1). Поскольку чаще всего для доступа в Internet используется отдельная линия, то большинство продуктов, ориентированных на соединения Internet (брандмауэры, proxy-серверы, серверы VPN, устройства управления пропускной способностью и т. д.), построены с учетом такой топологии. Попытки включения подобных устройств в топологию с комбинацией услуг имеют свои особенности, о которых будет сказано далее.

БРАНДМАУЭР ОТРАЖАЕТ АТАКУ

Брандмауэры, а также многие другие специализированные устройства для Internet, как правило, имеют одновременно два интерфейса — один для связи с внутренней безопасной сети, а другой — с внешней сетью, где всегда есть вероятность несанкционированного вторжения. Когда используется отдельная линия доступа в Internet, подключение внешнего и внутреннего интерфейсов просто и понятно, как показано на Рисунке 1. Несколько более сложный способ подключения к Internet по виртуальной сети, вместо реального канала связи, продемонстрирован на Рисунке 2.

Рисунок 2. Такое решение поможет ликвидировать потенциальную дыру в защите при совместном доступе к Internet и глобальной сети. В качестве маршрута по умолчанию на маршрутизаторе на линии доступа был выбран IP-адрес A (через порт D), для перенаправления запросов Internet от удаленных пользователей на внутренний интерфейс брандмауэр. Политика маршрутизации задает перенаправление всего трафика от порта B маршрутизатора на виртуальный порт маршрутизатора C (от внешнего интерфейса брандмауэра к границе Internet).

На Рисунке 2 группа пользователей (включая удаленных) обслуживается по одному или нескольким виртуальным каналам. Если брандмауэр расположен за маршрутизатором на линии доступа, то удаленные пользователи оказываются за пределами безопасной сети, что создает потенциальную «дыру» в защите. Поскольку реальная граница сети — виртуальный порт маршрутизатора, то брандмауэр не может находиться между защищенной частной сетью и незащищенным Internet.

Один из возможных вариантов решения этой проблемы проиллюстрирован на Рисунке 2. Сначала маршрутизатор направляет запросы удаленных пользователей Internet на внутренний интерфейс брандмауэра через дополнительный порт Ethernet. Затем, в соответствии с политикой маршрутизации (такую дополнительную возможность имеет большинство маршрутизаторов), весь трафик передается от внешнего интерфейса брандмауэра (порт В маршрутизатора) к границе Internet (виртуальный порт маршрутизатора С). Брандмауэр, в отличие от маршрутизатора с фильтрацией пакетов, является устройством с сохранением состояния, для его нормальной работы все входящие и исходящие пакеты пользовательских сеансов должны пройти через внутренний и внешний интерфейсы брандмауэра.

Политика маршрутизации — это всегда компромисс. Некоторые пакеты вынуждены проходить через маршрутизатор дважды, в результате чего его загрузка возрастает, а обмен данными замедляется. Фанатики защиты утверждают, что политика маршрутизации сама по себе рискованна в плане защиты — ведь она реализуется на маршрутизаторе за пределами сети, защищенной брандмауэром. Несмотря на эти мелкие проблемы, такое решение наиболее удачно при совместном использовании устройств Internet с комбинированными линиями доступа.

Рисунок 3. На этой схеме доступ к глобальной сети и Internet осуществялется через выделенное устройство VPN. В данной топологии используется такая же конфигурация маршрутизатора, как на Рисунке 2.

Услуги виртуальных частных сетей могут быть обеспечены с помощью специально спроектированного для этого устройства, посредством брандмауэра с поддержкой VPN или провайдером услуг передачи данных. На Рисунке 3 в схему добавлено выделенное устройство для организации виртуальной частной сети в топологии с политикой маршрутизации. Подобно брандмауэру, оно имеет внутренний и внешний интерфейсы. В качестве варианта это устройство можно разместить позади брандмауэра, но и их параллельное подключение обеспечивает достаточный уровень защиты, так как трафик VPN уже изначально зашифрован.

В решении, представленном на Рисунке 2, размещение точки подключения внутренней сети и реализация политики маршрутизации несколько неудобны. Но такой более сложный вариант необходим при использовании отдельного брандмауэра, и многие предприятия предпочитают именно такие решения, потому что они проще в эксплуатации. Но потребность в политике маршрутизации и дополнительном соединении с локальной сетью можно устранить, перенеся функции брандмауэра в маршрутизатор на линии доступа.

Реализовать подобную схему не так просто. Если функции брандмауэра реализованы непосредственно в маршрутизаторе, то обеспечиваемый уровень безопасности соответствует схеме с отдельным брандмауэром, но только при условии правильной конфигурации. К сожалению, современные маршрутизаторы достаточно сложны в настройке, и это может привести к дополнительному риску при обеспечении безопасности сети. Но такое решение упрощает топологию сети и заметно дешевле.

Другой способ — передать все функции обеспечения безопасного подключения внешней организации: поставщикам каналов связи или услуг доступа к Internet. Такие виды услуг предлагаются довольно часто. В этом случае брандмауэр расположен на площадке поставщика, и его управление осуществляется опытным персоналом. Тем не менее многие организации предпочитают сами заниматься собственной безопасностью.

В ПОИСКАХ ПРОСТОТЫ

Сеть виртуальных каналов — весьма сложная система. Определение топологии границы сети становится все более и более трудной задачей, особенно при включении в систему средств доступа в Internet. Для сетей, где используются виртуальные каналы, необходимы сложные центральные маршрутизаторы с достаточным количеством виртуальных портов, и эти устройства с собственным программным обеспечением требуется периодически обновлять, а их управление предполагает привлечение опытных специалистов. Появление технологии VPN должно позволить снизить сложность систем на границе с глобальной сетью.

Рисунок 4. Это решение демонстрирует организацию защищенной полносвязной сети виртуальных каналов VPN через Internet. Пользовательская сеть VPN связывает все виртуальные маршрутизаторы, а каждая линия доступа представляет собой подсеть IP «точка-точка».

Теперь, когда технология IP столь широко распространена, технологию VPN могут полностью заменить виртуальные каналы глобальных сетей. Глобальную сеть на основе VPN можно организовать с помощью как собственного оборудования, так и арендованного у поставщика каналов связи. На Рисунке 4 показан вариант построения глобальной сети с применением оборудования и услуг VPN, арендованных у поставщика каналов доступа. Для каждого заказчика поставщик создает безопасную, полносвязную сеть VPN, организуя виртуальные соединения поверх сети Internet.

Как описано в стандарте RFC 2764, предоставляемая поставщиком каналов связи сеть VPN может функционировать как виртуальная частная маршрутизируемая сеть (Virtual Private Routed Network, VPRN). В нее входят виртуальные маршрутизаторы, запущенные на оборудовании поставщика каналов связи во всех его точках присутствия. Виртуальные маршрутизаторы VPRN связаны между собой и создают для каждого заказчика его собственную виртуальную глобальную сеть. VPRN может функционировать в качестве автономного домена маршрутизации путем задания записей о статических маршрутизаторах на оборудовании пользователя. Такая сеть может быть сконфигурирована и как расширение применяемого пользователем протокола динамической маршрутизации.

Перемещение функций концентратора VPN от собственных систем пользователя на оборудование поставщика каналов связи снижает расходы на конфигурирование и управление. В этом случае линия доступа в каждом офисе пользователя конфигурируется как прямой канал IP. Средства коммутации третьего уровня на граничном оборудовании поставщика каналов связи обеспечивают гораздо большие возможности по сравнению с организацией виртуальных соединений с помощью собственного оборудования пользователей. Но при этом более низкая цена такого решения позволяет построить полносвязную сеть, устранить многие «узкие» места на пути трафика и минимизировать перегрузки и задержки в виртуальной сети.

Используя такую технологию, можно создать частную глобальную сеть, не знающую границ. Теперь виртуальные туннели проходят по сети Internet, которая может добраться до таких удаленных мест, куда не дотягивается ваш первичный оператор. Клиентские сервисы VPN могут быть предоставлены удаленным сотрудникам. Те организации, которые решили полностью передать на внешнее обслуживание свои информационные сети, могут добавить доступ к Internet и протокол NAT, обеспечиваемый поставщиком каналов связи, в качестве маршрутизируемых каналов VPRN к глобальной виртуальной частной сети предприятия.

Услуги VPRN основаны на стандарте RFC 2764 и доступны уже сегодня, хотя зона их географического распространения еще невелика. Но ожидается, что они будут развиваться по мере того, как многие предприятия начнут искать способы снижения расходов на поддержку своей информационной структуры.

Границы традиционных глобальных сетей и Internet исчезают. Но построение объединенных систем — пока еще достаточно трудная задача, так как необходимо объединить старые решения и новые технологии. С совершенствованием технологии VPN виртуальные частные сети станут основным методом объединения разнородных услуг, в результате чего частные глобальные сети будут охватывать сети различных поставщиков каналов передачи данных и различные линии доступа. Функции брандмауэров, доступ к VPN и другие услуги будут переноситься на оконечное оборудование линий доступа и на сдаваемое в аренду оборудование поставщиков каналов связи.

Как всегда, путь развития технологии будет зависеть от ее успехов на рынке.

Тоби Джессап — старший технический специалист Qwest Communications International. С ним можно связаться по адресу: jjessup@qwest.com.


Ресурсы Internet

Frame Relay Forum предоставляет информацию по стандартам frame relay на http://www.frforum.com/5000/5000index.html.

Информация по стандартам ATM размещена на сайте ATM Forum на http://www.atm-forum.com.

На домашней страничке IETF по адресу: http://www.ieft.org, можно посмотреть описание основных услуг VPN в соответствии со стандартом RFC 2764.

Поделитесь материалом с коллегами и друзьями