Последовательная виртуализация сетей — некоторые производители ведут речь о «полной виртуализации сетей» (Total Network Virtualization) — может помочь предприятиям сократить инвестиционные и эксплуатационные расходы.
По сути, понятие «виртуализация» обозначает отделение приложений ИТ от используемого аппаратного обеспечения. В случае виртуализации сетей соответствующие службы отделяются от сетевой инфраструктуры. В локальной сети виртуализация реализуется с помощью интеллектуальных управляемых коммутаторов, функциональность которых позволяет создавать так называемые виртуальные локальные сети (Virtual Local Area Network, VLAN). В области беспроводных локальных сетей тоже имеются возможности для виртуализации, известные как Multi-Service-WLAN или Multi-SSID.
При последовательной виртуализации сетей и применении подходящего аппаратного обеспечения виртуализация может распространяться и на глобальную сеть, то есть охватывать маршрутизаторы, подключенные к Интернету. Технология расширенной маршрутизации и продвижения (Advanced Routing and Forwarding, ARF), которую компания Lancom предложила несколько лет назад, позволяет осуществлять такую виртуализацию (см. Рисунок 1). С ее помощью из одного маршрутизатора можно создать до 64 логических — виртуальных — машин.
Причины для выбора в пользу виртуализации могут быть самыми разнообразными. Если в случае с серверами основное значение придается их централизованному обслуживанию, то виртуализированные сети открывают совершенно новые возможности, недоступные в обычных сетях. Обе области объединяет одно: виртуализация позволяет предприятиям экономить дорогостоящие ресурсы, что в долгосрочной перспективе благоприятно сказывается как на инвестициях в новое оборудование, так и на текущих эксплуатационных расходах.
Но каким образом достигается экономия? Главная выгода от виртуализации сетей заключается в возможности многократного использования сетевой инфраструктуры. Иными словами, на основе физической сети создается несколько логических сетей, которые используют общую аппаратную инфраструктуру, но в остальном они полностью изолированы. Такое многократное использование может касаться отдельных служб (в качестве примера часто приводится возможность предоставления клиентам гостевого доступа в корпоративную беспроводную сеть) или эксплуатации одной и той же сети несколькими компаниями — к примеру, в офисном центре.
Таким образом, благодаря виртуализации, одной физической сети, состоящей из коммутаторов, проводов, точек доступа и маршрутизаторов, оказывается достаточно для нескольких логических сетей. Потенциал экономии за счет сокращения количества оборудования огромен, значительно снижаются и текущие затраты — к примеру, на оплату электроэнергии.
Виртуализация сетей реализуется с применением двух различных методов. В случае виртуальных локальных сетей и Multi-SSID виртуализация затрагивает среду передачи, которая преобразуется в «совместно используемую среду» (Shared Medium). Точка доступа с несколькими SSID, к примеру, просто создает несколько параллельно функционирующих изолированных ячеек. Иначе говоря, виртуальные локальные сети и технология Multi-SSID реализуются на физическом уровне, втором уровне модели OSI. Такой вид виртуализации ограничивается кабельной или беспроводной локальной сетью предприятия.
Однако взаимодействие на базе IP все чаще выходит за пределы одной организации, а значит, и ее локальной сети, и постепенно перемещается в глобальную сеть. Кроме того, оно все в большей степени ориентируется на задачи, стоящие перед сотрудниками и другими участниками коммуникационного процесса. Самый простой пример выхода за пределы локальной сети — гостевой доступ к сети из помещений ее владельца. В сложных сценариях внешние поставщики услуг получают через Интернет доступ к определенным приложениям в локальной сети, и тогда одной лишь статичной виртуализации, реализуемой в сетях VLAN и Multi-SSID на втором уровне, оказывается недостаточно.
Таким образом, следующий шаг в развитии виртуализации сетей — динамическая виртуализация на третьем уровне, то есть отделение приложения от физических сред передачи: создание сетей IP и организация маршрутизации пакетов данных между этими сетями IP. При этом, как и в случае виртуализации серверов, используется аппаратное устройство — маршрутизатор, позволяющий создать множество виртуальных маршрутизаторов. Каждое виртуальное устройство может настраиваться только для своей сети.
Более высокий уровень виртуализации позволяет параллельно реализовать в имеющейся инфраструктуре разные приложения с собственными настройками для маршрутизации и правами доступа. Такие сложные сценарии виртуализации возможны благодаря ранее упомянутому механизму ARF.
Ключевая особенность этой технологии — возможность создавать для каждого приложения собственную сеть IP и делать это при помощи центрального физического маршрутизатора. Базовые параметры, такие как брандмауэр или сервер DHCP, можно настраивать отдельно для любой сети. Однако особенную важность приобретает возможность соотнесения записей в таблице маршрутизации с соответствующей сетью IP с использованием специального тега. В результате на одном физическом устройстве создается множество виртуальных маршрутизаторов, и для каждого задаются настройки в соответствии с требованиями конкретной сети IP. Теги для распознавания пакетов присваиваются на основе различных критериев.
При организации гостевого доступа к беспроводной сети проводится аутентификация, на основании которой посетителям предоставляются ограниченные права (к примеру, доступ только в Интернет или к сетевому принтеру). Помимо сотрудников предприятия в виртуальную сеть могут допускаться и внешние участники коммуникативного процесса. Скажем, если поставщику услуг предоставляется доступ VPN для контроля за системой отопления, то этот доступ можно целенаправленно соотнести с отдельной сетью IP.
Для достижения такой формы виртуализации маршрутизаторы должны поддерживать технологию ARF и соотнесение сетей IP с интерфейсами локальной или глобальной сети, что более точно задается с помощью идентификаторов VLAN-ID. Для правильного обращения с тегами, позволяющими различать сети IP, все коммутаторы и точки доступа в локальной сети должны быть совместимы с технологиями VLAN или Multi-SSID.
Если требуется раздельная передача трафика перекрывающихся сетей IP через соединение глобальной сети, в ход идет дополнительный протокол туннелирования — Point-to-Point Tunneling Protocol (PPTP). В результате даже при передаче данных из локальной сети через Интернет полностью сохраняется разделение сетей посредством VLAN или Multi-SSID. Максимальную степень защиты обеспечивает шифрование с помощью туннеля IPSec VPN (см. Рисунок 2).
ПРАКТИЧЕСКИЙ ПРИМЕР: СООБЩЕСТВО ОФИСОВ ИЛИ ЧАСТНЫХ ПРАКТИК
Даже для малых предприятий виртуализированные сетевые структуры имеют очевидные преимущества. Современные врачебные кабинеты или инженерные бюро сегодня не обойдутся без сетевых соединений со своими деловыми партнерами. Однако имеющихся в здании кабельных соединений зачастую оказывается недостаточно для того, чтобы каждый арендатор офисных помещений мог полностью организовать свою собственную сеть. В этом случае для медицинского кабинета или инженерного бюро можно создать индивидуальные виртуальные сети IP на основе одной общей физической сети. Обе сети полностью изолированы, что исключает несанкционированный доступ к сведениям о пациентах или к чертежам (см. Рисунок 3). Инженерная компания может дополнительно предоставить гостевой доступ к беспроводной сети, чтобы посетители могли подключиться к Интернету.
Совместное использование оборудования позволит и врачам, и инженерам многократно сэкономить: от 30 до 40% вложений в аппаратное обеспечение (точки доступа, коммутаторы и маршрутизаторы — в зависимости от особенностей помещений), 50% затрат на доступе в Интернет (стоимость подключения), 30–50% на потреблении энергии, а также на кабельной проводке и ее прокладке (в зависимости от размеров комнат).
ПРАКТИЧЕСКИЙ ПРИМЕР: СУПЕРМАРКЕТ
В первом примере основной задачей было разделение внутренних потоков данных. Однако существенное преимущество виртуализации сетей заключается в возможности интеграции приложений, доступных внешним пользователям, в корпоративную сеть, для чего не нужны инвестиции в дополнительную инфраструктуру.
Знакомство с работой современного филиала супермаркета показывает, какой огромный потенциал экономии открывается благодаря «полной виртуализации сетей» посредством VLAN, ARF и PPTP. Филиал магазина связан с центральным офисом торговой сети посредством VPN. ПК филиала напрямую подключен к централизованной системе ERP с целью оптимизации управления товарными потоками. Еще одно соединение VPN, организованное между филиалом и кредитным учреждением, защищает электронный платежный оборот, чтобы покупатели могли безопасно и удобно оплачивать свои покупки с помощью дебетовой карты путем введения PIN-кода. В самом супермаркете вся инвентаризация осуществляется посредством ручных сканеров с поддержкой WLAN, затем данные автоматически передаются в систему ERP в режиме реального времени, и по результатам их анализа инициируются дополнительные заказы товаров.
Кроме того, к сети супермаркета должны иметь доступ многочисленные поставщики услуг, ведь многие торговые сети уже переложили значительную долю работ на внешние компании, которые сегодня уже контролируют и обслуживают кассовые системы, холодильные установки и автоматы по приему стеклотары посредством IP-соединений. Рекламное агентство передает информацию непосредственно на трансляционные экраны через соединение с Интернетом. Система управления отоплением получает прогнозы с погодного сервера. Телефоны VoIP используют внешние телефонные станции на базе протокола SIP. Если в первом примере речь велась только о разделении потоков данных, то в супермаркете взаимоотношения во много раз сложнее. Помимо разделения различных потоков данных, каждому из многочисленных поставщиков услуг необходимо обеспечить доступ исключительно к тем приложениям и ресурсам, за которые он отвечает.
Экономически выгодная реализация такой структуры возможна лишь посредством последовательной динамической виртуализации всей сети, включая соединения с глобальной сетью в филиалах. Иначе из соображений безопасности пришлось бы создавать множество сетей и эксплуатировать большое количество соединений с Интернетом. Стоимость оборудования, их обслуживания, энергопотребления и проводки оказалась бы в результате неподъемной.
В нашем случае в рамках виртуализации сети супермаркета для каждого приложения и каждого поставщика услуг создана собственная виртуальная cеть IP, для которой были заданы индивидуальный диапазон IP-адресов и собственные настройки маршрутизации. К примеру, в сегменте сети, выделенном для кассовых расчетов, можно настроить IP-адреса, которые провайдер использует в своей структуре VPN. Во внутрикорпоративной локальной IP-сети дополнительно маркируются тегами VLAN и разделяются с помощью коммутатора, оснащенного поддержкой VLAN. Все остальные участники лишены доступа к этой сети.
Потенциал экономии огромен, но из-за разнообразия возможных сценариев более точные показатели можно определить только для каждого конкретного случая: передача трудоемких процессов на аутсорсинг внешним поставщикам; минимизация аппаратного оснащения (точки доступа, коммутаторы, маршрутизаторы); сокращение расходов на подключение за счет многократного использования интернет-соединения для расчетов по дебетовым карточкам, логистики товарных потоков и предоставления доступа внешним поставщикам услуг; снижение затрат на кабельные тракты благодаря коммуникации по сетям IP (одна сеть для всех задач); а также значительная экономия электроэнергии.
Приведенные примеры можно распространить и на другие сферы. Квалифицированные специалисты в области продажи решений для ИТК, разработчики программного обеспечения и интеграторы рассматривают виртуализацию как отличную возможность увеличения оборота, особенно когда речь идет о повышении конкурентоспособности благодаря профессиональной компетентности — даже по сравнению с более выгодными, на первый взгляд, интернет-магазинами.
Предприятия и различные учреждения, в свою очередь, тоже выигрывают от последовательной виртуализации сетей. С одной стороны, они значительно сокращают затраты на аппаратное обеспечение, установку, эксплуатацию и побочные расходы, с другой — им открываются новые возможности взаимодействия с внешними партнерами (клиентами или поставщиками) и гораздо более высокий уровень безопасности.
Использование широко распространенных концепций виртуализации, таких как VPN, VLAN и Multi-SSID, в сочетании с виртуализацией сетей IP и маршрутизаторов посредством технологии ARF, а также распространение раздельной передачи на глобальную сеть при помощи PPTP можно назвать предпосылками достижения такого успеха. Современные коммуникационные компоненты включают эти функции по умолчанию, поэтому для виртуализации, нацеленной на экономию, не потребуется никаких дополнительных программных решений.
Памела Кроста-Хартл — директор по корпоративному маркетингу компании Lancom.
Рисунок 2. Протокол PPTP широко используется для различных коммутируемых подключений к Интернету. Аналогично технологии VLAN в локальной сети, для каждой виртуальной сети создается туннель PPTP, поэтому соответствующие виртуальные локальные сети в различных офисах и помещениях объединяются посредством IPSec в единую сеть.