Виртуальные частные сети на базе оптических сетей отличаются повышенной защищенностью благодаря своим техническим особенностям. Каких-то особых затрат оптические VPN не требуют.
Оптические VPN (Optical VPN, OVPN) представляют собой cпециальный вариант виртуальных частных сетей. По сравнению с классическими вариантами на базе IPSec или PPTP они отличаются большей защищенностью и значительной гибкостью, а также меньшими накладными расходами. Кроме того, они могут быть построены с умеренными издержками без привлечения дополнительного аппаратного или программного обеспечения. Помимо этого, OVPN не регламентируются сложными техническими нормами, как, к примеру, протоколы.
OVPN базируются на так называемых интеллектуальных оптических сетях. Речь идет о пока еще молодой сетевой архитектуре на базе современных технологий коммутации. От традиционной оптической сети ее отличает интеграция важных составных частей современных сетей: спектрального уплотнения (Wavelength Division Multiplexing, WDM), мультиплексной передачи с временным уплотнением каналов (Time Division Multiplexing, TDM) и кросс-коммутации (Cross Connect). В комбинации с отлаженным сетевым управлением интеллектуальные оптические сети предлагают новые возможности проектирования сети при полной прозрачности для протоколов, т. е. используемый протокол роли не играет (см. Рисунок 1).
СВОБОДА ОТ ПРОТОКОЛОВ
В оптической сети данные переносятся отдельными световыми волнами. Однако это не означает, что каждое приложение нуждается в собственном оптическом световоде, гораздо чаще несколько приложений делят между собой одно волокно. В этих условиях OVPN может быть построена без значительных издержек: определенному пользователю необходимо лишь выделить канал оптической сети - длину волны. Тем самым VPN физически отделяется от собственно оптической сети и от несанкционированного доступа, поскольку никто больше не сможет воспользоваться этой длиной волны.
Сильной стороной оптической VPN по сравнению с другими решениями VPN является тот факт, что она ведет себя как традиционная оптическая сеть со всеми вытекающими отсюда преимуществами. Скорость, протоколы и услуги представляются пользователю без каких-либо ограничений. Интеллектуальная оптическая сеть работает на транспортном уровне, поэтому OVPN передает данные с максимальной пропускной способностью - от 8 Мбит/с до 2,7 Гбит/с - независимо от протокола. Тем самым обеспечивается и высокое качество услуг (Quality of Service, QoS).
Кроме того, неоспоримым достоинством OVPN можно считать и то, что она поддерживает любые топологии: и традиционные соединения «точка-точка», и многоточечные, и ячеистые сети, т. е. сети, узлы которых соединяются между собой в любой комбинации. Дополнительные филиалы и узлы могут быть подключены с умеренными издержками без прерывания работы, поэтому стоимость инвестиций заметно снижается.
То, как OVPN используется на практике, лучше всего пояснить на примере, в качестве которого рассмотрим, как организована инфраструктура больничного комплекса. На базе интеллектуальной оптической сети строится внутренняя сеть Intranet, посредством которой различные станции связываются с управлением и лабораториями. При помощи сети Extranet медучреждение взаимодействует с несколькими национальными исследовательскими организациями, расположенными в самых разных местах. Одновременно к больничной сети подключено несколько поставщиков, обеспечивающих своевременную поставку стандартного набора расходных материалов. На случай катастрофы вся информация сохраняется в реальном времени по прямому соединению с внешним вычислительным центром.
В соответствии с законом о защите информации, данные о пациентах должны обрабатываться конфиденциально, а сведения, поступающие из лабораторий, и результаты исследований не предназначены для посторонних глаз. Поэтому регистратура и лаборатория должны быть отделены от остальных областей.
ПОДСЕТИ БЕЗ ПРОБЛЕМ
Для задач управления и исследований подразделение ИТ больницы, по причинам безопасности, принимает решение о создании отдельной подсети в виде VPN, куда интегрируются все станции и внешние филиалы.
Кроме того, каждое подразделение получает собственную длину волны и, таким образом, физически отделяется от остальной сети, становясь недоступным для ее пользователей. Единственными слабыми местами остаются точки доступа к OVPN. Однако терминалы могут быть защищены от несанкционированного доступа, в частности при помощи смарт-карт.
Для описываемого случая не было бы чем-то необычным, если бы соединение с вычислительным центром было дополнительно защищено в соответствии с концепцией избыточности, чтобы обеспечить скорейшее восстановление данных, поврежденных или утерянных в результате ошибки либо катастрофы. И в этой ситуации проявляются преимущества интеллектуальной оптической сети: на случай сбоя или отказа строится дополнительное соединение по обособленному маршруту. Предпосылкой для этого служит оптическая кросс-коммутация (называемая также матричным коммутатором). Речь идет о типе переключателя, автоматически соединяющего два канала.
Программное обеспечение сетевого управления позволяет установить различные граничные значения, при превышении или недостижении которых следует принять меры по устранению или предотвращению ошибки. Если, к примеру, мощность излучения оптических элементов для передачи данных падает настолько, что установленное значение не достигается, то системному администратору автоматически отправляется соответствующее предупреждение. Одновременно система инициирует замену поврежденного блока. При окончательном отказе соединения подается управляющий сигнал. В ответ кроссовый коммутатор в течение нескольких миллисекунд переключает отказавший канал данных на запасную линию и тем самым автоматически восстанавливает функционирование (см. Рисунок 2).
Рисунок 2. Автоматический обход: интеллектуальное сетевое управление переводит в случае отказа информационный поток на альтернативный маршрут. |
Этим возможности OVPN вовсе не ограничиваются: интеллектуальные оптические сети позволяют использовать динамические услуги, в результате чего становится возможной реализация абсолютно новых приложений, в том числе построение VPN, зависящей от времени. Например, с шести утра до восьми вечера VPN используется для нужд управления, а в другие часы освободившаяся емкость автоматически высвобождается и задействуется в целях резервного копирования или других задач.
Кроме того, столь же просто VPN этой больницы можно передать на обслуживание провайдеру услуг, который отвечал бы за эксплуатацию сети, следил за ней и, при необходимости, расширял. Таким образом, стоимость содержания техники и персонала становится наглядной и исчисляемой.
Провайдер легко справится с задачей при условии, что обладает интеллектуальной оптической сетью. В результате он просто предоставляет больнице - как это описывалось выше - зарезервированную длину волны для различных подразделений. При этом концепцию избыточности провайдер может использовать как бизнес-преимущество и дополнительно предлагать индивидуальные меры безопасности в виде соглашений об уровне сервиса (Service Level Agreement, SLA) - для повышения надежности и доступности соединения больницы с вычислительным центром за счет предоставления одного или даже нескольких резервных каналов. В качестве услуги можно было бы реализовать и шифрование данных.
Помимо этого, клиенты могут рассчитывать на оказание провайдером динамических услуг. Например, довольно широко распространена так называемая «коммутация дня и ночи», когда в рабочее время управлению больницей предоставляется фиксированная длина волны, а ночью ею же пользуется другой клиент, причем все это делается полностью автоматически благодаря интеллектуальному управлению. Таким образом, сеть провайдера оказывается постоянно загруженной. Расчетами занимается биллинговое программное обеспечение, посредством которого осуществляется мониторинг всех соединений.
ЗАКЛЮЧЕНИЕ
Виртуальная частная сеть на базе интеллектуальной оптической сети предлагает множество преимуществ: прежде всего, благодаря уникальности технических решений, она обеспечивает высокую степень защиты от экономического шпионажа и хакеров, без компромиссов в отношении производительности или функционального охвата. Одновременно реализация концепции избыточности гарантирует защиту от потери данных в случае катастрофы или ошибки. Кроме того, OVPN чрезвычайно гибка, может быть расширена с умеренными издержками и без проблем включается в уже имеющуюся инфраструктуру, что влечет за собой снижение инвестиций. Кроме того, интеллектуальное сетевое управление, которое в совокупности с кроссовой коммутацией автоматизирует множество процессов, способствует достижению невысокой стоимости эксплуатации по сравнению с другими решениями VPN.
Эльке Ян - генеральный директор компании Lightmaze Solutions AG. С ним можно связаться по адресу: wj@lanline.awi.de.