Часть 2. Глава 6 | «« Назад|Оглавление|Вперед »»
"Телекоммуникационные" способы создания виртуальных соединений.
При создания соединений через виртуальную частную сеть (ВЧС, VPN, Virtual Private Network), основной протокол работы сети передачи данных используется лишь как транспортная основа, поверх которой создаются соединения "точка-точка". Иначе говоря, создаются туннели, которые представляет собой логические сетевые соединения, установленные между двумя оконечными устройствами, и позволяющее включать данные одного протокола в пакеты другого.
|
|
В качестве транспортного может быть использован либо сетевой уровень (например IP, по модели OSI, для протокола L2TP), либо канальный (Ethernet для протокола PPPoE). В обоих случаях, связь между узлами устанавливается через поле данных кадра (дейтаграммы) транспортного протокола.
Как кадры достигают места назначения в этом случае не важно - в сети могут использоваться как простейшие концентраторы, так и дорогие коммутаторы. Более того, абонент может быть включен в сеть (получить доступ к внешним ресурсам) из любой точки сети по своим учетным данным - имени и паролю. В общем случае даже скорость не является принципиальным фактором.
Не удивительно, что такие способы создания виртуальных соединений (несмотря на относительно недавнее появление) уже широко используется в крупных офисах, и у Ethernet-провадеров.
Виды виртуальных частных сетей
Прежде всего, не следует понимать термин ВЧС как что-то однотипное. По назначению можно выделить следующие типы систем:
Клиентские (Intranet VPN). Используются для подключения отдельных узлов (рабочих станций) к центральному серверу посредством туннелированного протокола (как правило РРР). Изначально эта схема предназначалась для доступа сотрудников внутри корпорации, но быстро получила признание провайдеров и в настоящее время широко используется в домашних (территориальных, кампусных) сетях;
Корпоративные (Extranet VPN). Служат для соединения удаленных офисов (с большим количеством пользователей) через частные туннели (РРР) поверх публичной сети Интернет, или путем шифрования пакетных данных с помощью IPSec. Таким образом могут быть построены сети очень значительно (мирового) масштаба;
Маркетинговые схемы. В этом случае термин ВЧС может означать любую удобную оператору общность узлов в СПД, если существуют правила, позволяющие разграничить доступ между различными сетями по какому-либо признаку. К технологиям этот вид имеет отношение достаточно отдаленное, однако применяется весьма часто.
В техническом плане можно выделить несколько протоколов, которые получили наибольшее распространение. Это PPP, L2TP, L2F, PPPoE и MPLS.
Исторически протокол РРР (Point-to-Point Protocol, RFS 1661) появился весьма давно, еще в начале 90-х годов. И использовался в основном для работы через выделенную коммутируемую линию. В качестве протокола более высокого уровня использовалась технология High-Level Data-Link Control (HDLC), которая включала поддержку IP и некоторые другие протоколы.
Спустя несколько лет был разработан более масштабируемый и технологичный PPTP (Point-to-Point Tunneling Protocol), который был поддержан большинством разработчиков. Очевидно, что в протоколе PPTP не оговариваются конкретные методы аутентификации и шифрования - это задача для более высоких уровней (по модели OSI). Но обычно их использование не вызывает трудностей, например в MS Windows включена схема шифрования DES компании RSA Data Security (Microsoft Point-to-Point Encryption - MPPE)
Следующим шагом (в 1999 году) стал L2TP (Layer-Two Tunneling Protocol, RFC 2661). Этот протокол позволяет передавать кадры второго уровня (РРР) по маршрутизируемой сети IP в виде пакетов UDP. При использовании L2TP вызовы пользователей направляются через концентратор доступа (Access Concentrator LAC) на центральный сервер (Network Server LNS), который являются конечной точкой для всех сеансов связи РРР.
Рис. 6.4. Схема сети коммутируемого доступа с использованием L2TP
Такая схема удобна для мультисервисных сетей передачи данных, так как не зависит от особенностей ее реализации. На одном туннеле L2TP могут совместно использоваться ATM, Ethernet, Frame Relay - но это ничего не изменит в логической схеме туннеля. Достаточно выполнения одного условия - связи на уровне IP. Соответственно, не нужно осуществлять конфигурацию адресов и выполнять аутентификацию - эти вопросы решаются на уровне IP.
Надо отметить, что как L2TP, так и PPPTP может использоваться совместно с широко распространенным средством шифрования IPSec, которое резко повышает безопасность передаваемых данных. IPSec (IP Security Protocol) обеспечивает шифрование дейтаграмм IP на третьем уровне по модели OSI. При этом определены стандартные методы аутентификации пользователей (или компьютеров) при инициации тоннеля, способы шифрования данных конечными узлами, формирования и проверки цифровой подписи, а также стандартные методы обмена и управления криптографическими ключами.
С другой стороны, надежные методы шифрования имеет свою обратную сторону - высокие требования к производительности терминирующего роутера, а значит его невысокую производительность и большую стоимость. На практике, модуль шифрации IPSec начального уровня для Cisco, рассчитанный на поток данных в 5 мегабит, стоит более тысячи долларов.
Однако, для локальной сети значительно более удобен (и имеет меньшие накладные расходы) протокол PPPoE (PPP other Ethernet, RFC 2516). Название говорит само за себя. Технология эта относительно новая, стандарт выпущен а феврале 1999 года, но уже успела стать популярной.
Актуальность РРРоЕ для домашних (территориальных) сетей и Ethernet-провайдеров весьма высока. Получается, что через ЛВС можно работать по хорошо изученному алгоритму классического коммутируемого доступа. Можно поддерживать аутентификация пользователей по протоколам PAP и CHAP, динамическое выделение IP-адресов пользователям (по DHCP), назначение адреса шлюза, DNS-сервера и другие полезные возможности. Более того, остается старая и отработанная система биллинга (на основе TACACS или RADIUS), управления, и технической поддержки.
Так как именно технология построения сетей на основе Ethernet является основной целью данной книги, рассмотрим использование протокола PPPoE более подробно.
Логика работы следующая - два узла должны сообщить друг другу свои адреса и установить начальное соединение, а затем запустить сессию PPP.
Рис. 6.5. Схема сети, ориентированной на PPPoE
В начале узел-клиент посылает широковещательный запрос Ethernet (PPPoE Active Discovery Initiation, PADI), в котором адрес назначения кадра является broadcast address, на поиск сервера со службой PPPoE. Ответ от концентратора доступа (PPPoE Active Discovery Offer, PADO) посылается клиенту (если в сети есть много устройств со службой PPPoE, то клиент получит много пакетов PADO).
Программное обеспечение клиента выбирает необходимый ему концентратор доступа и посылает ему пакет (PPPoE Active Discovery Request, PADR) с информацией о требуемой службе (класс обслуживания, имя провайдера и т.п.). После получения запроса, концентратор доступа подготавливается к началу PPP сессии и посылает клиенту пакет PADS (PPPoE Active Discovery Session-confirmation).
Если службы, запрашиваемые клиентом, доступны, в состав пакета PADS входит уникальный номер сессии, присвоенный концентратором, и этап работы по установленной сессии РРР. В противном случае клиент получает пакет PADS с указанием ошибки в запросе услуги.
В заключение рассказа о PPPoE отметим его основной недостаток - технология работает только в сети Ethernet, т.е. применение транзитных маршрутизаторов (работающих на уровне IP) недопустимо (или требует от них специального программного обеспечения). Это сильно сужает возможности PPPoE, и, скорее всего, так и не даст этому методу завоевать рынок.
Кроме перечисленных выше, нужно отметить протокол L2F (Layer 2 Forwarding), являющийся еже одним развитием РРТР. В отличие от него, L2F может использовать для создания туннеле не только IP, но и другие протоколы сетевого уровня. Кроме этого, для удаленного доступа может быть использован не только PPP, но и другие протоколы, например, SLIP.
Можно добавить, что L2F является одним из компонентов базовой для большинства провайдеров операционной системы IOS (Internetwork Operating System) компании Cisco Systems. Но, даже не смотря на это, большого распространения (по крайней мере в России) он не получил.
Еще один одним способом создания ВЧС является технология многопротокольной коммутации с заменой меток (Multiprotocol Label Switching, MPLS). Это решение наиболее новое из перечисленных, и создает туннель уже не на 2-ом (канальном) уровне, а на 3-ем (сетевом). Если говорить упрощенно в терминологии данной главы, то это некий гибрид между локальным и телекоммуникационным способом.
Возможности технологии велики, и весьма интересны. Так, допустимо на одном физическом маршрутизаторе создать несколько виртуальных, каждый из которых будет работать по собственному набору правил.
Однако технология MPLS еще не получила статуса IEEE, и является корпоративным стандартом некоторых вендоров (в особенности Cisco). К тому же это решение на сегодня является весьма дорогим, и поэтому недоступным для небольших сетей.
В заключение, надо отметить, что развитие средств создания ВЧС сейчас переживает период бурного развития, появляются новые технологии, и производители… Поэтому нужно понимать, что кроме рассмотренных способов построения ВЧС есть много частных решений от различных компаний. Их диапазон весьма велик - от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов.
Сравнение "локального" и "телекоммуникационного" метода.
Вообще говоря, оба метода могут применяться совместно. От этого безопасность работы в сети, защита от подделки учетных данных, и надежность только возрастут, поэтому противопоставлять их друг-другу не совсем правильно. Однако главным критерием в данном случае является стоимость установки и обслуживания сети, и в этом ключе имеет смысл рассмотреть основные достоинства и недостатки обоих методов.
|
|
Основная слабость телекоммуникационного способа в том, что он не дает средств контроля абонентов внутри сети Ethernet. Т.е. несколько узлов вполне могут обмениваться любой информацией, и по любому протоколу - это скорее всего будет даже не замечено провайдером. На первый взгляд это не слишком страшно - доступ к внешнему трафику защищен, данные абонентов шифруются…
Но у пользователей остается возможность использовать сеть в своих нуждах - например обмениваться большим объемом данных (по сути бесплатно загружая сеть), или вообще сделать "пиратское" подключение к другому провайдеру и продавать трафик другим абонентам. На этом фоне взлом недостаточно защищенных компьютеров изнутри сети покажется совсем нестрашным…
Добавляет проблем и то, что сеть остается обычным Ethernet'ом, со всеми его недостатками. Так, кадр канального уровня может быть простыми методами перехвачен соседним узлом ("прослушивание" при некоммутироемой сети, либо несколько более сложные процедуры на сети, построенной на неуправляемых коммутаторах). Поэтому, нешифрованный туннель не спасает положение. Сложность "подделки" учетных данных несколько увеличивается, но "прослушивание" заметно не усложняется. Разумеется, шифрование снимает проблему, однако требует существенных вычислительных ресурсов от сервера провайдера.
Следующий практический минус - при сложной топологии сети провайдера (например, при передаче данных между сегментами сети через коммуникации стороннего оператора) появляется возможность построения несанкционированных каналов связи уже на уровне "чужих" IP адресов (без шифрации).
В то же время к несомненным плюсам данной технологии можно отнести простоту внедрения и эксплуатации, удобный биллинг (отработанный еще для коммутируемого доступа), экономию IP адресов (их можно выдавать последовательно из одного большого блока). Авторизация по паролю так же дает несколько непривычные возможности, например доступ до ресурсов сети с удаленного узла (из другого города), или dial-up в случае сбоя сети Ethernet с теми же учетными данными.
В целом, можно сказать, что на сегодня телекоммуникационный метод является необходимым минимумом, который должен обеспечить серьезный Ethernet-провайдер.
"Локальная" технология требует больших капитальных затрат - для нее (как минимум) необходимы дорогие управляемые коммутаторы. Это, пожалуй, главный и единственный минус данного пути развития.
Однако взамен технология позволяет обеспечить полную защиту (изоляцию) пользователя, и возможность четко идентифицировать узел прямо "на порту" - что позволяет полностью контролировать сеть полностью с центральной площадки оператора. Т.е. "видеть все действия" и "управлять" каждым пользователем в отдельности.
Плюс ко всему можно использовать такие дополнительные возможности оборудования, как резервирование линий (STP), подсчет трафика на порту абонента (SNMP). А в перспективе - простой переход к обеспечению разделения по качеству сервиса (QoS). Что вполне может вывести услугу на более высокий качественный (мультисервисный) уровень.
Можно сказать, что стоимость управляемых коммутаторов постоянно и быстро снижается. На сегодня уже можно приобрести модели китайских производителей в районе $200-400, в дальнейшем можно прогнозировать частичное вытеснение неуправляемых моделей в пользу таких же по стоимости "интеллектуальных" устройств, и стирание ценовой границы между ними.
Таким образом, в долговременной перспективе "локальная" технология выглядит несколько более предпочтительно. Но окончательный вывод делать пока преждевременно - слишком быстро все меняется на этом динамичном рынке.