Наблюдая за развитием некоторых сегментов телекоммуникационной отрасли, невольно вспоминаешь те непреложные истины, которыми нас пичкали еще на школьной скамье. Например, что новое — это хорошо забытое старое. Действительно, при выходе на качественно новые технологические рубежи отрасль все чаще использует, казалось бы, устаревшие решения.
Чуда не будет
Не так давно главной темой многочисленных публикаций и выступлений на конференциях было изменение принципов построения телекоммуникационной инфраструктуры. Очень часто дискуссии выливались в противопоставление решений на основе коммутации каналов и коммутации пакетов. Отголоски ожесточенных споров слышны и по сей день. Тем не менее пакетные технологии, особенно на основе стека протоколов TCP/IP, прочно вошли в повседневную практику. Они используются практически во всех видах связи, и область их применения постоянно расширяется.
Однако, несмотря на очевидные достоинства пакетной коммутации, чуда не произошло: она не стала универсальным средством удовлетворения всех современных телекоммуникационных потребностей. Как часто бывает, наряду с разрешением одних проблем тут же всплывают другие, обусловленные «небезразмерными» возможностями технологий нового поколения.
Как известно, создание стека протоколов TCP/IP началось еще в 60-е годы прошлого столетия. Главной целью разработки этого семейства стандартов было обеспечение живучести сети передачи данных, используемой в интересах Министерства обороны США. Тогда никто не мог предположить, что протокол IP не только станет основой Internet, но и получит широчайшее распространение в корпоративных сетях.
Требования к среде передачи данных значительно отличаются от предъявляемых к инфраструктуре обмена видео- и аудиосигналами. Изначально никто и не думал закладывать в протокол IP механизмы, обеспечивающие продвижение трафика в режиме реального времени. Не были предусмотрены правила упорядочивания транспортировки информации по сети. Наоборот, разработчики намеренно уходили от этого, так как введение подобной регламентации снижало живучесть сети.
Другим недостатком протокола IP, несмотря на его изначальную ориентацию на военные нужды, является легкость перехвата информации. Если для пользователей, задействующих Internet в познавательных и развлекательных целях, этот фактор некритичен, то на корпоративное применение и ведение бизнеса в Сети он накладывает существенные ограничения.
Поэтому, когда IP-сети начали использовать для передачи мультисервисного трафика в интересах бизнеса, потребовалась разработка протоколов, способных эффективно решать данную задачу. Результатом многолетних поисков стало решение, против которого в свое время активно боролись приверженцы пакетной коммутации. Суть его — в организации каналов поверх уровня IP-маршрутизации.
Таким образом, в очередной раз подтвердился постулат о спиральном развитии мира. Отрасль вновь обратилась к проверенным технологиям, но уже на качественно ином уровне. Получился своеобразный слоеный пирог: пакетная транспортная среда IP (или, как ее называют, облако IP) формируется на основе канальной инфраструктуры, объединяющей маршрутизаторы, а затем в этом облаке снова организовывают каналы. И в такой модели нет никакого противоречия, ибо виртуальные каналы позволяют решать связные задачи более эффективно, чем системы, основанные только на коммутации каналов или пакетов.
Три уровня виртуальных каналов
В общем случае организация виртуальных каналов подчиняется следующему алгоритму. В IP-сети определяются два конечных пункта, между которыми должен быть установлен канал связи. С точки зрения технологии пакетной маршрутизации, эти точки задают единственный маршрут между конечными узлами.
Виртуальный канал может организовываться как динамически, так и статически. В первом случае в сеть поступает запрос на установление сквозного соединения, а в ответ выделяются определенные сетевые ресурсы (в частности, полоса пропускания). Такая схема оптимальна при непродолжительных по времени сеансах связи. Для постоянно действующего канала больше подходит статический способ организации, при котором необходимые ресурсы закрепляются за ним «вручную» оператором сети.
Сегодня можно выделить несколько областей применения виртуальных каналов. В первую очередь, это так называемые виртуальные частные сети (Virtual Private Network, VPN), которые служат для организации прямого безопасного соединения между конечными узлами через общедоступные сети. Основным достоинством «туннелей» VPN, как часто называют эти соединения, является высокая степень защищенности передаваемой информации — несмотря на использование общедоступной инфраструктуры.
Технология VPN служит для объединения территориально разнесенных локальных сетей и подключения удаленных пользователей к корпоративным ресурсам. Поскольку основным видом трафика в таких сетях остаются данные, нет необходимости гарантировать качество сервиса (QoS) и каким-то образом закреплять за виртуальным каналом сетевые ресурсы. Этот подход позволяет существенно удешевить организацию VPN, сосредоточив все механизмы реализации данной технологии в конечных узлах. Существует широкая гамма устройств различных производителей, позволяющих организовывать туннели VPN и обрабатывать потоки данных в разных диапазонах скоростей.
Технологии VPN можно условно разделить на три подгруппы, тесно связанные с иерархией уровней классической модели OSI. К протоколам VPN второго уровня следует отнести Layer 2 Forwarding (L2F), Point-to-Point Tunneling Protocol (PPTP) и Layer 2 Tunneling Protocol (L2TP). Они инкапсулируют трафик протоколов верхних уровней, что обеспечивает его независимость от физической структуры корпоративных сетей. Считается, что указанные протоколы ориентированы на поддержку удаленного доступа к корпоративной сети и в меньшей степени подходят для объединения разнесенных локальных сетей.
Протокол PPTP является развитием хорошо зарекомендовавшего себя протокола PPP (Point-to-Point Protocol). При этом в нем не определяются механизмы шифрования данных и идентификации пользователей. Протокол L2F является составной частью операционной системы IOS компании Cisco Systems и позволяет использовать для удаленного доступа к Internet не только PPP, но и другие стандарты, например SLIP. Наконец, L2TP собрал в себе лучшие черты двух своих предшественников и сегодня его поддерживает сетевое оборудование многих производителей.
Для объединения сегментов корпоративных сетей чаще всего применяют решения третьего уровня OSI. Основным стандартом здесь стал IP Security (IPSec) — протокол аутентификации, туннелирования и шифрования IP-пакетов, утвержденный IETF. При построении корпоративных VPN он позволяет выбирать требуемый уровень безопасности, использовать различные механизмы аутентификации и алгоритмы шифрования.
На четвертом уровне OSI довольно редко организуются VPN, так как защита данных на данном уровне привязывается к определенному приложению. Чаще всего такие решения используются в комплексе с другими механизмами. В качестве примеров можно назвать удаленный доступ через Web-браузеры (режим Secure Socket Layer, SSL) или организацию защищенной электронной почты.
IPSec и шифрование
Учитывая широкую распространенность протокола IPSec, рассмотрим его более детально. По сути, это целое семейство стандартов, описывающих разные подходы к аутентификации пользователей, шифрованию данных и обеспечению их целостности и конфиденциальности. Кроме того, большое значение придается управлению ключевой информацией, необходимой для надежного шифрования.
В общем случае протокол IPSec добавляет свой заголовок к пакетам IP, которые передаются по соединениям VPN, и инкапсулирует их в новые пакеты. Данный заголовок состоит из двух компонентов — аутентификационного заголовка и заголовка инкапсуляции шифрованных данных. Первый служит для обнаружения попыток злоумышленников изменить передаваемые данные. Он генерируется путем вычисления хеш-функции от содержимого пакета. Второй компонент зависит от применяемого алгоритма шифрования. Он используется для восстановления на приемной стороне исходной информации и позволяет выстраивать приходящие пакеты в требуемой последовательности.
Протокол IPSec может работать в двух режимах — транспортном и туннельном. В первом случае шифруется лишь информационная часть исходного IP-пакета — без модификации служебных полей. Данный режим не обеспечивает полной защищенности корпоративного обмена трафиком. Туннельный режим поддерживает криптографическую защиту пакета в целом и является основным при построении VPN.
Выбор алгоритма шифрования при использовании IPSec весьма важен как для сетевого администратора, так и для руководителя компании. Одна из проблем заключается в обеспечении достаточной стойкости шифрования. Раньше заслуженным признанием среди специалистов по VPN пользовался алгоритм Data Encryption Standard (DES), в котором применяется ключ разрядностью 56 бит. Но сегодня зашифрованные с его помощью сообщения могут восстанавливаться в режиме реального времени не только спецслужбами, но и хакерами. Достаточно «стойкими» являются алгоритмы, в которых задействуются ключи шифрования длиной не менее 128 бит (такие, как Triple DES и ГОСТ 28147-89).
Согласно действующему в России законодательству, устройства VPN реализуются с применением криптографических алгоритмов и обязательно должны проходить процедуру сертификации. Без этого их использование является незаконным. Данный вопрос имеет длинную и запутанную историю, поэтому не будем на нем подробно останавливаться. Отметим лишь, что многие поставщики аппаратных и программных решений VPN сумели получить требуемые лицензии или разрешения, с известной степенью натяжки позволяющие легально строить VPN.
Безопасность и качество
Организация виртуальных каналов, обеспечивающих высокий уровень безопасности и заданные параметры скорости передачи, немыслима без участия операторов сетей общего пользования. В свою очередь, для этого им необходимо задействовать разнообразные механизмы QoS. Требования к уровню качества определяются видом передаваемого по сети трафика. Обычно нормируются и контролируются такие параметры, как пропускная способность канала, время задержки пакетов при передаче и надежность, определяемая числом потерянных или искаженных пакетов.
Рассмотрим основные протоколы QoS, используемые для создания виртуальных каналов. В свое время распространение получила технология дифференцированного обслуживания Differential Services (DiffServ). Идея достаточно проста и состоит в разделении сетевого трафика на несколько крупных классов. К ним, например, могут относиться видеосигналы, голосовая информация, данные от серверов и банковских терминалов и т. п.
На границе сети, поддерживающей такой механизм, входящий трафик классифицируется, и каждому пакету присваивается специальный маркер DiffServ Code Point (DSCP). Он размещается в поле заголовка IP-пакета, называемом Type of Service (ToS). На промежуточных узлах сети первым делом анализируется значение маркера, после чего пакет направляется на обработку в соответствующую очередь. Каждой из очередей можно выделить определенную долю пропускной способности сети, обеспечив приоритет продвижения трафика того или иного вида. Косвенным эффектом применения технологии DiffServ является сглаживание пульсаций потока, что особенно важно при передаче изохронного трафика.
Создать виртуальный канал в сети с пакетной инфраструктурой можно с помощью протокола resource ReSerVation Protocol (RSVP), который описан в RFC2205. Суть данного механизма заключается в резервировании сетевых ресурсов (полосы пропускания) для передачи того или иного трафика. По сети посылается запрос, на основе которого определяется маршрут и выделяются необходимые ресурсы. К сожалению, в чистом виде этот протокол не получил достаточного развития, хотя наряду с протоколом RTP он рассматривался в качестве основного для организации видеоприложений. Главная причина — несовместимость реализаций RSVP в оборудовании разных производителей.
В последнее время при организации виртуальных каналов ставка делается на технологию Multi Protocol Label Switching (MPLS), обеспечивающую «сквозное» качество обслуживания в операторских сетях. Основа MPLS — механизм коммутации по меткам Tag Switching, разработанный Cisco. С помощью меток определяются маршруты передачи пакетов и критерии их обработки.
Все гениальное просто
Алгоритм функционирования MPLS достаточно прост. На входе в сеть происходят обработка пакетов (с учетом типа переносимых данных), их классификация и фильтрация. Затем каждому пакету присваивается определенная метка, и дальнейшее продвижение данных осуществляется на основе ее значения — без анализа заголовка IP. Таким образом вся интеллектуальная обработка, требующая большой вычислительной мощности, выполняется только один раз. Это позволяет значительно ускорить маршрутизацию, практически сведя ее к использованию технологии коммутации пакетов.
Как видим, MPLS схожа с технологией DiffServ, но она обладает рядом важных отличий. Во-первых, DiffServ использует для классификации трафика три бита в поле «Тип обслуживания» IP-заголовка, а MPLS добавляет к пакету метку размером 32 бита. Во-вторых, значение в поле ToS не меняется при продвижении по сети, а метка в MPLS-сети изменяется на каждом маршрутизаторе. В-третьих, DiffServ определяет лишь уровень качества обслуживания пакетов на промежуточных узлах, а MPLS — все правила маршрутизации.
Реализацию в сети механизмов MPLS можно разбить на пять этапов. Сначала заполняются таблицы маршрутизации с использованием протокола IS-IS или OSPF. Затем с помощью протокола распределения меток Label Distribution Protocol (LDP) по данным таблиц маршрутизации формируются маршруты с коммутацией по меткам Label Switched Paths (LSP). Далее исходный IP-пакет поступает на пограничный маршрутизатор Label Switch Router (LSR). На основе анализа его заголовка и интерфейса, по которому он поступил, пакету присваивается определенная метка, однозначно определяющая политику QoS в отношении данного пакета и его узел назначения. Магистральные маршрутизаторы LSR считывают метку, на основании собственной таблицы вычисляют следующий маршрутизатор на пути к точке назначения и заменяют старую метку на новую. Пограничный LSR точки назначения удаляет метку и отправляет пакет на выходной интерфейс с заголовком обычного формата.
На базе MPLS легко создавать виртуальные частные сети, обладающие определенными достоинствами по сравнению с VPN, организуемыми по обычной IP-сети. В отличие от IP-VPN решение на основе MPLS может разделять трафик по типам и обеспечивать защиту данных во время передачи без применения механизмов шифрования и туннелирования. В этом отношении службы MPLS схожи с сервисами АТМ и Frame Relay, в которых соединения поверх пакетной инфраструктуры являются «прозрачными» и поддерживаются независимо друг от друга.
С каждой виртуальной сетью MPLS-VPN ассоциируются две метки. Верхняя определяет направление трафика к пограничному LSR, а нижняя — принадлежность пакета к конкретной виртуальной сети. Отличительной особенностью MPLS-VPN является то, что маршрутизаторы в территориально разнесенных подразделениях корпоративной сети не только не обмениваются информацией, но и вообще могут «не подозревать» о существовании друг друга. Как результат, крупные сети VPN поддерживаются без организации полносвязанной схемы туннелей, благодаря чему существенно упрощается настройка маршрутизаторов.
Экзотические «гибриды»
Учитывая интерес потребителей к использованию IP-инфраструктуры как единой мультисервисной среды передачи, компания RAD Data Communications предложила решение по эмуляции каналов Е1 поверх IP-сети. Появление технологии TDM-over-IP связано с рядом факторов, вполне естественных при переходе от одного типа сетевой инфраструктуры к другому.
Дело в том, что многие операторы и корпоративные клиенты не склонны отказываться от вполне работоспособных и достаточно новых телефонных станций. Вместе с тем они не прочь сократить расходы на организацию соединительных линий. Решение TDMoIP позволяет прозрачно передавать различный трафик по сетям с коммутацией пакетов (таким как IP, MPLS или Gigabit Ethernet) с надежностью и качеством, присущим сетям с коммутацией каналов. Причем обеспечивается полная совместимость решения с существующим телефонным оборудованием и полноценная поддержка всех сервисных функций.
Эмуляция виртуальных каналов Е1 поверх IP-сети имеет свои особенности. В первую очередь они обусловлены структурой потока TDM: каналы объединяются в циклы и сверхциклы по 32 временным интервалам, каждый из которых обеспечивает скорость передачи 64 Кбит/с. Для транспортировки речевой информации в потоке E1 используются только 30 каналов, а оставшиеся два применяются для передачи команд синхронизации и сигнализации.
Пакетная «упаковка» потока Е1 может происходить двумя способами. В первом случае каждый цикл преобразуется в IP-пакет и передается по сети; при этом резко увеличивается объем служебной информации. Во втором в IP-пакет преобразуются несколько циклов потока Е1, что более приемлемо с точки зрения размера заголовка. В новейшем оборудовании RAD данные от двух потоков Е1 объединяются в одном пакете IP. Учитывая особенности речевого сигнала, для передачи используют протокол RTP, позволяющий избегать перезапросов при потере или искажении пакетов.
Наш обзор основных технологий и протоколов формирования виртуальных каналов в сетях общего пользования позволяет уловить две очевидные тенденции. С одной стороны, пакетные транспортные сети, особенно использующие протокол IP, получают все большее распространение в области критичных приложений. С другой — резко возрастает потребность в обособлении трафика разных пользователей при снижении стоимости его передачи. Эти, на первый взгляд взаимоисключающие, факторы еще долго будут оставаться движущей силой развития технологий VPN.
Рис. 1. Схема организации виртуальных каналов при использовании технологии туннелирования |
Рис. 2. Схема организации виртуальных каналов в сети MPLS-VPN |