Суть виртуальных частных сетей (Virtual Private Network, VPN) проста: реализация некоторого аналога частной сети (выделенный ресурс) в сети общего пользования (разделяемый ресурс), причем в качестве последней может выступать как Интернет, так и инфраструктура конкретного оператора. Подобный подход применяется давно, еще со времен сетей X.25 и Frame Relay. Новые технологии, в частности MPLS, лишь расширили возможности служб VPN, которые сегодня способны эмулировать, например, распределенный коммутатор Ethernet (L2 VPN) или маршрутизируемую сеть IP (L3 VPN).
Что касается традиционных подходов к построению территориально распределенных сетей (с использованием выделенных каналов и технологии Frame Relay), они почти все ушли в прошлое. По данным, которые приводит Андрей Перкунов, руководитель направления информационной безопасности компании «Стэп Лоджик», сегодня доля этих решений в корпоративных сетях составляет единицы процентов; в основном они используются для низкоскоростных приложений, телеметрии, а также в системах спутниковой связи в тех районах, где отсутствуют альтернативные каналы связи.
НАЛОЖЕННАЯ МОДЕЛЬ, ИЛИ ЗАЧЕМ НУЖНЫ ОПЕРАТОРЫ
Различные технологии VPN подразумевают разную «глубину» отношений с оператором связи. Например, в небольших российских компаниях связь между удаленными офисами очень часто реализуется путем организации туннелей через Интернет с использованием протокола IPSec. В этом случае взаимодействие с оператором минимально: от него требуется обеспечить подключение к Интернету по каналу с необходимой пропускной способностью, а задачи по построению VPN решаются силами специалистов компании или ее партнера-интегратора.
Главные достоинства такого подхода заключаются в его низкой стоимости, а также в возможности быстрой организации VPN в любом месте — нет необходимости обращаться за помощью к конкретному оператору, чтобы подключиться к определенным сервисам, а доступ в Интернет сегодня есть практически везде. Закрытые туннели IPSec можно организовать не только между офисами, но также между офисом и компьютером сотрудника, работающего дома, находящегося на выезде у заказчика или в командировке. Для этих целей могут использоваться и другие протоколы VPN, функционирующие по схеме «пользователь — шлюз»: SSL/TLS, PPTP, L2TP.
По мнению Ивана Дудорова, инженера-системотехника компании Netgear, в сегменте предприятий малого и среднего бизнеса использование сервисов L2/L3 VPN может оказаться обременительным в связи с высокой стоимостью как общего решения, так и его обслуживания. Популярность же IPSec VPN во многом объясняется доступностью соответствующих устройств. В качестве примера он приводит новинку своей компании — межсетевой экран ProSafe FVS318G с гигабитными портами и поддержкой аппаратного шифрования. Цена этого продукта, рассчитанного на установку в офисе, где работают 10 сотрудников, всего 5600 руб. Мобильным пользователям специалист Netgear рекомендует обратить внимание на набирающий популярность доступ SSL VPN, поскольку с его помощью можно подключиться к внутренней корпоративной сети посредством обычного браузера Web.
При всех своих преимуществах технология IPSec VPN имеет массу недостатков. Если соединение осуществляется через Интернет, получить гарантии качества обслуживания невозможно, а корпоративный трафик может пострадать от перегрузок и аварий в Сети или от различных хакерских атак, приводящих, например, к отказу в обслуживании сетевого оборудования. По этим причинам, как считает Вячеслав Чесновский, менеджер проектов компании «Крок», криптотуннели через Интернет обычно создаются для передачи некритичной к задержкам информации либо для организации резервных каналов связи в случае отказа основного канала.
Игорь Забиякин, главный специалист отдела сетей передачи данных «Корпорации ЮНИ», утверждает, что такой недостаток IPSec VPN, как отсутствие гарантии эксплуатационных параметров соединений между удаленными подразделениями предприятия, дает лишь иллюзию независимости от операторов связи. По его мнению, подобное решение будет актуально для компании только до тех пор, «пока требования бизнес-приложений не начнут диктовать необходимость круглосуточной доступности информационных систем, а их простой в течение суток не будет угрожать позиции, занимаемой компанией на рынке».
IPSec VPN — классический пример виртуальной частной сети, построенной по так называемой наложенной модели (Overlay), когда оборудование сервис-провайдера не задействуется в процессе маршрутизации клиентского трафика, а его сеть предоставляет лишь «прозрачное» соединение между площадками предприятия. Как считает Василий Солдатов, технический специалист компании Brocade, эта модель позволяет обеспечить высокую безопасность сети без дополнительных средств и затрат со стороны административно-технического персонала оператора. Но при организации VPN с применением «наложенной модели» топология, используемая для связи клиентского оборудования, должна быть близка к полносвязной. В результате может потребоваться большое количество каналов, а значит, стоимость подключения будет расти пропорционально числу офисов компании. В Brocade отмечают, что «наложенная модель» может быть реализована с применением самых разных технологий первого (TDM, SDH), второго (ATM, Frame Relay, MPLS) или третьего уровня (IPSec, GRE) модели OSI — конкретная технология является лишь инструментом, позволяющим реализовать требования заказчика.
Другая модель организации VPN — одноранговая (Peer) — подразумевает взаимодействие устройств (маршрутизаторов/коммутаторов) клиента с оборудованием сервис-провайдера, которое задействуется для маршрутизации клиентского трафика. «В идеале клиенту предоставляется отдельный выделенный маршрутизатор — в настоящее время это, как правило, виртуальный маршрутизатор с поддержкой IP/MPLS. Сетевая безопасность при этом обеспечивается дополнительными административно-техническими методами, такими как фильтрация пакетов и маршрутов», — поясняет Василий Солдатов.
ВЫХОДИМ НА УРОВЕНЬ 3
Основной вариант реализации «одноранговой модели» — организация L3 VPN на основе технологии MPLS. При этом важно четко понимать, что «уровень» VPN и «уровень» технологии, применяемой для ее построения, совсем не одно и то же. Технология MPLS была разработана в первую очередь для ускорения процесса передачи трафика IP путем отказа от полноценной маршрутизации и использования вместо нее коммутации меток — процесса, типичного для технологий канального (L2) уровня. При этом для получения информации о доступных маршрутах, резервирования пропускной способности и выполнения ряда других функций задействуется «интеллект» протоколов сетевого (L3) уровня. Таким образом, MPLS сложно отнести к какому-то определенному уровню модели OSI, скорее это технология L2,5. При этом она применяется для построения как VPN L3, так и VPN L2 (см. Таблицу 1), уровень которых определяется их «потребительскими свойствами»: если сеть оператора маршрутизирует клиентский трафик, значит, он соответствует L3, если эмулирует соединения канального уровня (или функции коммутатора Ethernet) — то L2.
Хотя услуги L3 VPN предлагаются и в рамках городских сетей, их главное предназначение — подключение площадок, находящихся в разных городах, на большом удалении друг от друга. Как отмечает Вячеслав Чесновский, эти услуги, как правило, характеризуются большей стоимостью подключения (поскольку задействуется маршрутизатор, а не коммутатор), высокой арендной платой и небольшой пропускной способностью (обычно до 2 Мбит/с). Цена может значительно возрастать в зависимости от расстояния между точками подключения.
Важным преимуществом L3 VPN, которое во многом определяется возможностями технологии MPLS, является предоставление функций QoS и инжиниринга трафика, что позволяет использовать сервисы IP-телефонии и видео-конференц-связи с гарантией их качества. Помимо этого, Андрей Бушов, специалист компании Extreme Networks, к достоинствам решений L3 VPN относит простоту настройки и удобство эксплуатации пространства IP-адресов корпоративной сети. В числе недостатков — отсутствие прозрачности для услуг Ethernet, невозможность поддержки кадров Ethernet увеличенного размера (jumbo frame), а также более высокая стоимость по сравнению с сервисами Metro Ethernet.
По мнению Василия Солдатова, в случае «одноранговой модели» сервис-провайдер может столкнуться с проблемами при эксплуатации оборудования, которое он использует для подключения клиентов: переполнение информацией о маршрутах, поступающих от оборудования различных клиентов; высокая вероятность дублирования адресов и т. п. В настоящее время сервис-провайдеры, применяющие технологию MPLS, научились успешно решать подобные проблемы, но в результате вырастают требования к квалификации обслуживающего технического персонала и увеличивается сложность реализации транспортного оборудования, что ведет к росту эксплуатационных затрат.
L2 VPN И METRO ETHERNET
В категорию L2 VPN входит широкий набор сервисов: от эмуляции выделенных каналов точка-точка (E-Line) до организации многоточечных соединений и эмуляции функций коммутатора Ethernet (E-LAN). Такие сервисы могут быть реализованы с применением как MPLS (VPLS), так и иных технологий (см. Таблицу 2).
Сервисы L2 VPN обычно используют для построения корпоративных сетей в рамках одного города (или города и ближайших окрестностей), поэтому часто это понятие воспринимается почти как синоним термина Metro Ethernet. Как утверждает Вячеслав Чесновский, такие сервисы характеризуются большой скоростью канала и сравнительной простотой организации услуги при меньшей (по сравнению с L3 VPN) стоимости соединения и абонентской плате. По словам Андрея Перкунова из компании «Стэп Лоджик», в отдельных случаях L2 VPN применяют для построения отказоустойчивых территориально распределенных ЦОД или кластеров, когда для функционирования кластерных приложений требуется прямое подключение между узлами кластера на уровне L2. По его данным, в крупных городах пропускная способность услуги L2 VPN составляет до 100 Мбит/с, а в некоторых случаях — до 1 Гбит/с.
Достоинствами L2 VPN Андрей Бушов считает возможность использования внутри сети любых протоколов третьего уровня (IPv4, IPv6, SNA и т. д.) и поддержку кадров увеличенного размера, а также относительную простоту и дешевизну оборудования клиента, устанавливаемого на границе с провайдером (L2). Важно и то, что сервисы L2 VPN прекрасно сочетаются с другими полезными технологиями второго уровня, например обеспечивающими быструю сходимость сети.
Впрочем, необходимость поддержки экзотических протоколов возникает не так часто. По словам Игоря Забиякина, сегодня на территории СНГ редко можно найти приложения, которые для обмена данными используют немаршрутизируемые протоколы, из-за которых у оператора приходится заказывать услуги L2. Выбор между L3 VPN и L2 VPN, по его мнению, чаще обусловлен географическими масштабами развертываемой сети: технологическая база предоставления VPN на базе инфраструктуры Metro Ethernet позволяет операторам обеспечивать наиболее высокие эксплуатационные показатели при минимальной стоимости в пределах города; в то же время для строительства корпоративных сетей передачи данных межрегионального масштаба — не говоря уже о международном уровне — используются MPLS L3 VPN.
ВСЕ ВМЕСТЕ
Очевидно, что оператору связи нужна возможность предоставления в своей сети различных видов сервисов VPN. Поэтому главный вопрос заключается в том, как оптимизировать архитектуру сети с точки зрения сокращения капитальных затрат (CAPEX) и текущих расходов (OPEX). Например, эксперты Orckit Corrigent предлагают размещать более дешевое оборудование L2 VPN в «густонаселенных» местах городской (metro) сети, а дорогостоящие маршрутизаторы устанавливать только в ее ядре (центре). По мнению Павла Полака, который отвечает в этой компании за техническую поддержку продаж, такая сетевая архитектура наиболее эффективна, поскольку позволяет реализовать различные варианты VPN: в частности, она обеспечивает сервисы L2 в рамках городской сети и туннели L3 по направлению к опорным маршрутизаторам.
Корпоративные заказчики тоже не всегда могут обойтись единственным вариантом VPN. Как отмечает Кирилл Случанко, ведущий инженер отдела системной интеграции компании «Поликом Про», даже при использовании каналов MPLS или Metro Ethernet может возникнуть необходимость сокрытия передаваемой информации с помощью IPSec или других реализаций алгоритмов шифрования — например, для передачи данных, обработка которых регулируется федеральным законом № 152-ФЗ «О персональных данных», или для транспортировки конфиденциальной информации. Кроме того, каналы IPSec, реализуемые поверх открытых сетей, могут использоваться в качестве резервных для каналов MPLS или Metro Ethernet, если требуется высокий уровень доступности каналов передачи данных и невозможно (или экономически нецелесообразно) предоставление резервных каналов MPLS или Metro Ethernet.
О подобной практике упоминает и Игорь Забиякин. Он выделяет в отдельную группу решения, потребность в которых возникает, когда необходимо гарантировать конфиденциальность данных, коммерческую тайну и другие факторы, чем обуславливается применение средств криптозащиты. В этом случае — вне зависимости от степени защищенности, декларируемой оператором, — предприятия развертывают поверх предоставленных им сетей VPN собственные защищенные, шифруемые каналы.
ВПЕРЕД В ПРОШЛОЕ?
В течение последнего десятилетия в телекоммуникациях наблюдается тенденция к объединению различных сервисов в рамках единой сетевой инфраструктуры, тем более что текущий уровень развития технологий позволяет осуществлять передачу данных, голоса и видео (как на уровне L2, так и на L3) с детерминированным уровнем качества. Означает ли это окончательное решение проблемы построения мультисервисных глобальных сетей?
«Отнюдь нет, — считает Александр Куракин, эксперт Центра сетевых решений компании “Инфосистемы Джет”. — “Беда” пришла оттуда, откуда ее не ждали: из мира систем хранения данных (СХД). В нашей практике мы все чаще сталкиваемся с требованиями передачи не только традиционных видов сервисов, но и трафика СХД — Fibre Channel, iSCSI, FCIP и FCoE в рамках единого канала связи. При этом каналом связи может выступать как сеть L3 IP (обычно MPLS VPN), так и каналы уровня L2: контейнеры SDH, сеть DWDM или Ethernet».
Очевидно, при передаче столь критичного к потерям и задержкам трафика, как трафик СХД, необходимы принципиально иные механизмы QoS, в отличие от тех, которые традиционно применяются для пакетной передачи голоса и данных. Один из вариантов решения (его предлагает компания «Инфосистемы Джет») основан на продуктах Enterprise Services Optimization Module (ESOM), которые выпускает Ciena. По словам Александра Куракина, реализация QoS в модуле ESOM позволяет обеспечить детерминированную доставку трафика СХД, при этом могут использоваться различные сетевые технологии, например, DWDM в пределах города и каналы IP для удаленных объектов.
А вот Игорь Забиякин из «Корпорации ЮНИ» полагает, что если компания, развивающая свою корпоративную сеть передачи данных, намерена соединить воедино собственные ЦОД, то обойтись без выделенных цифровых каналов для объединения серверных ферм не представляется возможным.
Идет ли речь о возврате в прошлое? На самом деле это диалектическое развитие по спирали. Полагаю, в ближайшие год-два тема объединения удаленных ЦОД и построения территориально распределенных ЦОД приобретет чрезвычайную актуальность. Постараемся держать вас в курсе событий.
Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: ab@lanmag.ru.
Таблица 2. Некоторые технологии, используемые для организации L2 VPN.