Виртуализация сетевых ресурсов сегодня «в тренде». Столкнувшись с ограничениями «старой доброй» VLAN, пользователи активно изучают возможности новых технологий VXLAN, NVGRE и STT, о которых «Журнал сетевых решений/LAN» подробно рассказывал в мартовском номере. Ну а что происходит с виртуализацией ресурсов в территориально распределенных сетях?
Виртуализация канальных ресурсов территориально распределенных сетей (WAN) началась давным-давно, с появлением технологий Frame Relay и АТМ. Они позволяли предоставлять корпоративным пользователям аналог частной сети (выделенный ресурс) на основе сети общего пользования оператора связи (разделяемый ресурс), в чем, собственно говоря, и состоит суть построения виртуальных частных сетей (VPN). Однако сегодня Frame Relay и АТМ ушли в прошлое, а в мире распределенных сетей правят бал Ethernet и IP. Современные технологии VPN позволяют вне зависимости от расстояния между узлами эмулировать коммутатор Ethernet (L2 VPN) или маршрутизируемую IP-сеть (L3 VPN).
Стремительный рост рынка услуг VPN начался с появлением технологии MPLS. В России первые услуги VPN на базе этой технологии начали предоставлять в 2001 году такие компании, как «Раском», «Транстелеком», Orange Business Services и Telia Sonera. Через пару лет к этому перечню присоединился «РТКомм», а в 2005 году услуги на базе собственной сети MPLS начал предоставлять и «Ростелеком».
Согласно данным, которые приводит Orange Business Services, объем российского рынка услуг VPN в 2012 году составил около 25 млрд рублей, а его годовой прирост — 19%. Наибольшим спросом у заказчиков пользуются услуги IP VPN, на которые приходится 85% рынка. Доля услуг L2 (Ethernet) VPN — 15%, но, по прогнозу, в ближайшие годы спрос на этот тип виртуальных частных сетей будет расти быстрее, чем на IP VPN. Согласно приведенным данным, в период с 2011 по 2016 год средний темп роста рынка услуг L2 VPN составит 26%, а услуг IP VPN — 16% (см. Рисунок 1).
.png "Рисунок 1. Объем рынка услуг Ethernet и IP VPN в 2009–2011 годах и прогноз до 2016 года (млн руб.).") |
| Рисунок 1. Объем рынка услуг Ethernet и IP VPN в 2009–2011 годах и прогноз до 2016 года (млн руб.). |
L2 VPN, ИЛИ РАСПРЕДЕЛЕННЫЙ ETHERNET
В категорию L2 VPN входит широкий набор сервисов: от эмуляции выделенных каналов точка – точка (E-Line) до организации многоточечных соединений и эмуляции функций коммутатора Ethernet (E-LAN, VPLS). Технологии L2 VPN «прозрачны» для протоколов вышележащих уровней, поэтому позволяют передавать, например, трафик IPv4 или IPv6 независимо от того, какую версию протокола IP использует оператор. Их «низкоуровневость» положительно проявляет себя и в тех случаях, когда необходимо передавать трафик SNA, NetBIOS, SPX/IPX. Однако сейчас, в период всеобщей «айпизации», эти возможности требуются все реже. Пройдет еще какое-то время, и новое поколение сетевых специалистов вообще, наверное, не будет знать, что были времена, когда в сетях «господствовали» ОС NetWare и протоколы SPX/IPX.
Сервисы L2 VPN обычно используются для построения корпоративных сетей в рамках одного города (или города и ближайших окрестностей), поэтому часто это понятие воспринимается почти как синоним термина Metro Ethernet. Для таких сервисов характерны большие скорости каналов при меньшей (по сравнению с L3 VPN) стоимости соединения. Достоинствами L2 VPN являются также поддержка кадров увеличенного размера (jumbo frame), относительная простота и дешевизна оборудования клиента, устанавливаемого на границе с провайдером (L2).
Рост популярности сервисов L2 VPN во многом связан с потребностями отказоустойчивых территориально распределенных ЦОД: для «путешествий» виртуальных машин требуется прямое подключение между узлами на уровне L2. Такие сервисы, по сути, позволяют растянуть домен L2. Это хорошо отлаженные решения, но часто требующие сложной настройки. В частности, при подключении ЦОД к сети сервис-провайдера в нескольких точках — а это крайне желательно для повышения отказоустойчивости — требуется задействовать дополнительные механизмы, чтобы обеспечить оптимальную загрузку соединений и исключить возникновение «петель коммутации».
Существуют и решения, разработанные специально для межсоединения сетей ЦОД на уровне L2, — например, технология Overlay Transport Virtualization (OTV), реализованная в коммутаторах Cisco Nexus. Она функционирует поверх сетей IP, используя все преимущества маршрутизации на уровне L3: хорошую масштабируемость, высокую отказоустойчивость, подключение в нескольких точках, передачу трафика по множеству путей и пр. (подробнее см. статью автора «На магистралях интерЦОД» в ноябрьском номере «Журнала сетевых решений/LAN» за 2010 год).
L2 ИЛИ L3 VPN
Если в случае покупки услуг L2 VPN предприятию придется самому заботиться о маршрутизации трафика между своими узлами, то в системах L3 VPN эту задачу решает сервис-провайдер. Главное предназначение L3 VPN — соединение площадок, находящихся в разных городах, на большом удалении друг от друга. Эти услуги, как правило, характеризуются большей стоимостью подключения (поскольку задействуется маршрутизатор, а не коммутатор), высокой арендной платой и небольшой пропускной способностью (обычно до 2 Мбит/с). Цена может значительно возрастать в зависимости от расстояния между точками подключения.
Важным достоинством L3 VPN является поддержка функций QoS и инжиниринга трафика, что позволяет гарантировать требуемый уровень качества для сервисов IP-телефонии и видео-конференц-связи. Их недостаток — непрозрачность для услуг Ethernet, отсутствие поддержки кадров Ethernet увеличенного размера, а также более высокая стоимость по сравнению с сервисами Metro Ethernet.
Заметим, что технология MPLS может применяться для организации и L2, и L3 VPN. Уровень услуги VPN определяется не уровнем используемой для нее технологии (MPLS вообще сложно отнести к какому-то определенному уровню модели OSI, скорее это технология L2,5), а «потребительскими свойствами»: если сеть оператора маршрутизирует клиентский трафик, значит, это L3, если эмулирует соединения канального уровня (или функции коммутатора Ethernet) — L2. При этом для формирования L2 VPN могут применяться и другие технологии, например 802.1ad Provider Bridging или 802.1ah Provider Backbone Bridges.
Решения 802.1ad Provider Bridging, известные также под множеством других названий (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), позволяют добавлять в кадр Ethernet второй тег 802.1Q VLAN. Сервис-провайдер может игнорировать внутренние теги VLAN, установленные оборудованием клиента, — для пересылки трафика достаточно внешних тегов. Эта технология снимает ограничение в 4096 идентификаторов VLAN, имеющее место в классической технологии Ethernet, что существенно повышает масштабируемость сервисов. Решения 802.1ah Provider Backbone Bridges (PBB) предусматривают добавление в кадр второго МАС-адреса, при этом МАС-адреса конечного оборудования оказываются скрыты от магистральных коммутаторов. PBB предоставляет до 16 млн идентификаторов сервисов.
С ПРОВАЙДЕРОМ ИЛИ БЕЗ?
Реализация рассмотренных выше вариантов сетей VPN невозможна без участия оборудования сервис-провайдера, поскольку только оно может, например, обеспечить необходимую пересылку потоков по меткам MPLS. По сути, в этом случае технология VPN неразрывно связана с услугой VPN, предоставляемой оператором. Но далеко не все компании готовы вступать в столь серьезные, и, соответственно, требующие немалых затрат «отношения» с операторами. Многие, особенно небольшие, компании довольствуются обычным Интернетом, через который сами организуют закрытые каналы. В таком сценарии наибольшей популярностью пользуется протокол IPsec, который также позволяет формировать L3 VPN.
Чтобы установить защищенное соединение IPsec, оба участника сеанса должны иметь возможность быстро согласовать параметры безопасности, такие как алгоритмы аутентификации и ключи, для чего используют стандарт Internet Key Exchange (IKE). В качестве алгоритмов шифрования могут применяться 56- или 168-разрядные варианты DES либо Advanced Encryption Standard (AES). Работая на сетевом уровне, IPsec, как и другие рассмотренные выше технологии, не требует какой-либо модификации процедур вышележащих уровней и приложений. В сетях IPsec VPN можно дополнительно задействовать различные механизмы защиты (например, для аутентификации, проверки целостности, дополнительного шифрования и пр.), что придает данному решению высокую степень гибкости.
Однако при всех своих преимуществах, IPsec не свободен и от недостатков. Для шифрования/дешифрования трафика требуется немалая процессорная мощность на конечных точках (шлюзах). Большое число конфигурационных опций не только делают IPsec очень гибким, но и повышают сложность развертывания и обслуживания соответствующих систем. Возможны проблемы с прохождением трафиком IPsec межсетевых экранов, которые могут блокировать используемые этим механизмом протокольные порты UDP. В отличие от технологии SSL, о которой речь пойдет дальше, для формирования туннеля IPsec на компьютере должен быть установлен соответствующий программный клиент, что повышает стоимость решения и усложняет процедуры администрирования.
Как уже отмечалось, при использовании IPsec компаниям достаточно только подключения к Интернету — никаких дополнительных услуг от оператора не требуется. Однако в мире существует немало примеров, когда оператор помогает заказчикам строить сети IPsec, беря на себя заботу по инсталляции и настройке конечных шлюзов IPsec, получению лицензий на использование шифрования, подключению по IPsec узлов к имеющейся корпоративной сети VPN (например, MPLS) и пр. В России подобные услуги под названием Internet VPN с марта 2013 года начала предоставлять компания Orange Business Services.
Основной вариант предоставления услуги подразумевает подключение по закрытому каналу через Интернет до специальных шлюзов, установленных в ЦОД компании Orange, через которые (шлюзы) осуществляется выход в корпоративную сеть VPN. Использование технологии DMVPN позволяет также устанавливать прямые VPN-соединения в обход этих шлюзов (см. Рисунок 2). Поскольку для пользования услугой достаточно любого подключения к Интернету, специалисты Orange рекомендуют использовать ее только для передачи данных. Хотя очевидно, что при наличии широкого канала доступа ничто не мешает «гонять» по нему также голос и видео.
.png "Рисунок 2. Примеры подключения офисов с использованием услуги Internet VPN.") |
| Рисунок 2. Примеры подключения офисов с использованием услуги Internet VPN. |
Как рассказывают представители компании, ей пришлось пройти непростой путь получения лицензии на инсталляцию шифровального оборудования, необходимого для предоставления услуги Internet VPN. В настоящий момент услуга предусматривает установку у заказчика устройства Cisco 881 или 1941, но уже в скором будущем планируется расширить функциональность услуги и сделать возможным подключение не только удаленных офисов, но и отдельных пользователей, в том числе с помощью смартфонов и планшетов популярных платформ Apple, Android и Microsoft. В качестве типовых примеров применения услуги Internet VPN представители Orange называют подключение небольших офисов в тех случаях, когда затраты на «последнюю милю» не позволяют задействовать услугу Business VPN, организацию временного решения на срок строительства «последней мили» или резервное подключение офиса.
SSL: КОГДА КЛИЕНТ НЕ НУЖЕН
В качестве основной альтернативы IPsec при построении собственных сетей VPN — без обращения к специальным механизмам провайдеров — служит протокол защищенных сокетов (Secure Sockets Layer, SSL). Его первая версия — от Netscape — появилась еще в 1994 году. Спустя два года вышел усовершенствованный вариант SSL 3.0, ставший основой протокола Transport Layer Security (TLS, IETF RFC 2246, 1999 год). SSL VPN позволяет работать через защищенное соединение с помощью обычного браузера, а механизм безопасного транспорта SSL/HTTPS — стандартный компонент популярных браузеров (подробнее про SSL см. статью Сергея Орлова «Виртуальные частные сети: от IPSec к SSL» в мартовском номере «Журнала сетевых решений/LAN» за 2008 год).
Технология SSL VPN предусматривает различные модели доступа: как без клиентского ПО, так и с применением клиента в виде загружаемого после аутентификации апплета Java/ActiveX. Возможность работы без установки клиента делает ее оптимальным вариантом для безопасного доступа с самых разнообразных устройств: ноутбуков, планшетов, смартфонов и пр.
Помимо этого, у SSL есть еще масса преимуществ. Как отмечают специалисты компании Stonesoft, разработчика комплексного решения SSL, сертифицированного ФСБ и ФСТЭК России, — даже при использовании специального клиента SSL, как правило, потребность в каких-то его настройках не требуется. Кроме того, при применении SSL не возникает проблем с системами NAT и межсетевыми экранами: протокольный порт для SSL, 443, как правило, везде открыт. Доступ можно организовать через портал: после аутентификации пользователь попадает на страницу корпоративного портала и работает с разрешенными приложениями в соответствии со своими правами, что позволяет реализовать строгую политику безопасности при максимальном удобстве для пользователя.
НОВОЕ СЛОВО: ПРОГРАММНО ОПРЕДЕЛЯЕМЫЕ VPN
Одним из важных шагов в деле развития технологий и услуг VPN может стать использование преимуществ концепции так называемых программно определяемых сетей SDN (подробнее про SDN см. статью автора «SDN: кому и зачем это надо?» в декабрьском номере «Журнала сетевых решений/LAN» за 2012 год). По крайней мере одна компания, Nuage Networks (принадлежит Alcatel-Lucent), уже разработала и реализует идею Software Defined VPN (SD-VPN), обещая представить соответствующие коммерческие продукты в ближайшее время.
Согласно концепции SD-VPN (см. Рисунок 3), конечная точка предоставления сервиса переносится с пограничного маршрутизатора провайдера (Provider Edge, PE) на виртуализированное устройство CPE с простыми функциями по пересылке трафика. Оба элемента программируются внешним контроллером сетевых сервисов, который взаимодействует с другими контроллерами для формирования масштабируемой федерации VPN. Чтобы гарантировать предоставление сервисов из конца в конец (end-to-end), будет обеспечена бесшовная связность между традиционными сетями MPLS VPN и сетями SD-VPN.
.png "Рисунок 3. Сравнение традиционных (MPLS VPN) и программно определяемых сетей VPN (SD-VPN).") |
| Рисунок 3. Сравнение традиционных (MPLS VPN) и программно определяемых сетей VPN (SD-VPN). |
Как отмечают специалисты Nuage Networks, сервис-провайдеры могут поддерживать высокопроизводительные соединения MPLS VPN между региональными офисами и ЦОД, а для оперативного подключения новых офисов в режиме по требованию — задействовать соединения SD-VPN (особенно там, где во главу угла ставятся простота эксплуатации и невысокая стоимость). При этом можно будет использовать массово выпускаемые и простые (значит, недорогие) устройства CPE, а использование основанных на политиках триггерных механизмов значительно сократит время внедрения VPN, равно как и эксплуатационные расходы. Кроме того, сервис-провайдеры смогут быстро повысить доход от продажи дополнительных сервисов путем оперативного добавления «продвинутых» функций к имеющимся сетевым сервисам. При этом для дополнительных сервисов будут использоваться вычислительные платформы общего назначения, а не дорогостоящие специализированные устройства.
Технология SD-VPN даст преимущества и в том случае, когда предприятие предпочитает строить собственные сети VPN, а не приобретать сервисы VPN у операторов. При использовании традиционных подходов, например на базе IPsec, чтобы обеспечить связность «каждый с каждым», сетевые отделы предприятий вынуждены вручную организовывать туннели между узлами. При добавлении нового узла необходимо проложить туннели ко всем другим узлам. Все это сложные процедуры, на которые требуется много времени. В случае использования SD-VPN организация дополнительных туннелей происходит автоматически. Полная связность — между всеми узлами, а также для доступа к публичным, частным и гибридным облакам — обеспечивается изначально. При добавлении в корпоративную сеть новых узлов связи динамически обновляются (см. Рисунок 4).
.png "Рисунок 4. Сравнение традиционных VPN и SDVPN при использовании предприятиями в режиме самообслуживания (DIY).") |
| Рисунок 4. Сравнение традиционных VPN и SDVPN при использовании предприятиями в режиме самообслуживания (DIY). |
Как видим, мир технологий и реализаций VPN весьма многообразен. Единого решения, оптимального для всех ситуаций, конечно, нет — более того, сочетание нескольких технологий часто становится наилучшим вариантом. Для обеспечения безопасности при доступе с мобильных устройств удобен SSL, а для «инфраструктурных проектов», когда необходимо обеспечить взаимодействие между офисами, всегда можно подобрать вариант L2 или L3 VPN. Если разработчики выполнят свои обещания, SD-VPN позволит повысить гибкость и автоматизировать процессы развертывания и обслуживания VPN. Будем ждать появления коммерческих продуктов и их внедрения.
Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: ab@lanmag.ru.