l_472_12078122

передавати кадри у віддалений сегмент чи ні. Якщо звичайні мости сьогодні майже не застосовують, то віддалені – досить часто. Їх не потрібно конфігурувати, і ця властивість стає дуже корисною у віддалених офісах, де немає кваліфікованого обслуговуючого персоналу.

На рисунку 12.11 наведено схему віддаленого доступу двох локальних мереж з використанням віддалених мостів.

Рисунок 12.11. Схема віддаленого доступу «мережа-мережа»

Взаємодію двох і більше віддалених локальних мереж можна організувати за допомогою телекомунікаційніх сегментів типу «хмара», використовуючи транспортні ресурси мереж операторів зв'язку.

Прикладом організації такої взаємодії є побудова корпоративної мережі з територіально віддаленими мережами філій і центральною штаб-квартирою.

Якщо віддалення локальних мереж є значним, наприклад, коли вони розташовані на різних континентах, схема організації транспорту ускладнюється: долучаються мережі операторів декількох рівнів (див. рис. 12.12).

541

пропускання. Однак, Інтернет-мережа спочатку створювалася як відкрита загальнодоступна система, а тому не забезпечує захист переданих даних, а також не запобігає несанкціонованому доступу до інформаційних ресурсів корпорацій.

Зазначену проблему вирішують, застосовуючи спеціальні технології, які отримали назву VPN-технологій

(Virtual Private Networks, VPN). Ці технології перетворюють зв'язок через мережі загального користування у віртуально наявні та абсолютно захищені канали. У зв'язку з цим набув поширення термін «віртуальна приватна мережа», якій охоплює досить широке коло технологій. Це технології забезпечення захищеного та якісного зв'язоку для контрольованої групи користувачів, котрі взаємодіють через Інтернет. Для цього, організовуючи взаємодію мереж філій корпорації та віддалених користувачів з мережею центрального офісу, необхідно лише під’єднати їх до мереж місцевих сервіс-провайдерів. Локальні мережі корпорації в такій ситуації стають природним продовження Інтернету. Абонентська плата за послуги Інтернету є значно нижчою щомісячних витрат на орендовані у мережних операторів лінії. Крім того, під’єднання нових вузлів у зв’язку з розширенням підприємства є набагато простішим як організаційно, так і технічно.

Застосування VPN-технологій в Інтернеті пов'язують із поняттями «інтрамережі» (intаrnet – сукупність зв'язків усередині корпорації) та «екстрамережі» (extranet – взаємодія з підприємствами-партрнерамі в бізнесі або з постійними клієнтами) (рис. 12.13).

543

•сучасні методи шифрування, які дають змогу створити криптостійкі системи захисту інформації;

•автентифікація користувачів – процедура підтвердження ідентичності особи, яка є легальним користувачем мережі, заснована на використанні паролів, фізичних ключів, електронних магнітних карт, а також власних біохарактеристик (відбитків пальців, райдужної оболонки очей);

•автентифікація даних, яка підтверджує цілісність даних і їх легальність на основі алгоритмів формування електронного підпису;

•авторизація – процедура надання кожному легальному користувачеві, який успішно пройшов автентифікацію, тих видів доступу й до тих ресурсів, які для нього визначає адміністратор мережі;

•тунелювання – розміщення пакета з даними користувача в «зовнішній оболонкі» для транспортування у відкритій мережі, що дає змогу повністю зашифрувати пакет, включаючи його заголовок;

•аудит – процедура фіксації в системному журналі всіх подій, пов'язаних з доступом до захищених ресурсів корпоративної інформації. Записи аудиту використовують у разі виявлення дій зловмисника, щоб вилучати пошкоджені місця в системі захисту та запобігати повторним вломам.

Використання VPN-технологій для організації транспортування даних через публічну мережу заощаджує

545

підприємству 40% коштів на зв'язках типу «мережа-мережа» й до 80% – у разі під’єднання віддалених користувачів. Ці технології є найбільш перспективними технологіями, які використовують різні компанії в багатьох країнах світу. Їх перспективність доведено також у зв’язку з назрілою необхідністю переходу від Інтернету до публічної мережі наступного покоління (New Public Network, NPN), яка уможливить користувачам роботу в реальному масштабі часу та віртуальну присутность у будь-якій точці земної кулі.

12.4. Еволюція сервісів Carrier Ethernet

Очевидні переваги технології Ethernet, високий рівень масштабування за рахунок ієрархії швидкостей і широкого спектру протоколів взаємодії, висувають її на передній план еволюційного розвитку транспортних мережевих технологій у період переходу до NGN. Значну роль у цьому відіграють щораз вибагливіші потреби корпоративних клієнтів у недорогому, широкосмуговому й якісному транспортуванні інформаційних потоків. Як відомо, понад 90% трафіку корпоративних клієнтів складає саме трафік Ethernet.

Ідея розширення технології Ethernet до масштабів MAN і WAN породила поняття Carrier Ethernet (переносник Ethernet) і є досить простою у реалізації.

Технологія Carrier Ethernet дає змогу ефективно передавати кадрами Ethernet усі основні види трафіку (голос, відео, дані) й створювати в транспортних мережах METRO

транкові з'єднання будь-якої пропускної здатності (до

80 Гбіт/с).

546

Сполучування корпоративних мереж Ethernet з транспортними мережами не є надскладним, оскільки використовується єдиний формат даних на основі кадрів Ethernet. Крім того, обладнання транспортних мереж забезпечує інтерфейси Ethernet різного рівня ієрархії й підтримку механізмів QoS, таких, як диференційоване обслуговування та MPLS. Наявність оптичних інтерфейсів (GE, 10GE) дає змогу організувати роботу на відносно великі відстані (понад 90 км).

Використання GE, 10GE для побудови транспортних мереж METRO є, до того ж, найбільш економічно доцільним рішенням, оскільки дає можливість відмовитися від спеціального каналоутворювального устатковання та застосовувати маршрутизувальні комутатори Ethernet магістрального рівня як обладнання опорних і транзитних вузлів.

Типова інфраструктура Carrier Ethernet має ієрархічну схему й містить рівень доступу, розподілення та ядра (див. розділ 3.3). Ядро мережі побудовано на високошвидкісних маршрутизувальних комутаторах, що забезпечує високу швидкість передавання трафіку. Рівень розподілення – на комутаторах меншої продуктивності, цей рівень забезпечує агрегацію потоків під’єднань рівня доступу, реалізацію сервісів та збір статистики. Залежно від масштабу мережі, ядро й рівень розподілення можуть об'єднуватися. Рівень доступу здійснює під’єднання корпоративних клієнтів, офісних будівель, домашніх мереж (SOHO) та інших клієнтів.

Наступним етапом розвитку технології Carrier Ethernet стали стандарти IEEE 802.1ad (провайдеровский міст), IEEE

547

802.1ah (провайдерський магістральний міст), який можливо буде інтегровано у стандарт IEEE 802.1Qay (провайдерський магістральний міст з обхідними напрямками).

Дана технологія також використовує стандарт IEEE 802.1Q (віртуальних локальних мереж), технологію MPLS та їх комбінації. Вибір комбінації специфікацій у кожному конкретному випадку обумовлюється типом трафіку, який передається, та масштабом мережі.

Carrier Ethernet використовують для організації «мостів» між провайдерами або сегментами VLAN різних локальних мереж, а також сегментами MPLS.

Технологія VPLS

Технологія сервіса віртуальних ЛОМ (Virtual Privete LAN Service, VPLS) забезпечує формування VPN у процесі з'єднання двох віртуальних локальних мереж Ethernet (VLAN) через «хмару» MPLS (див. рис. 12.14). При цьому кадри Ethernet, які несуть інформацію про внутрішні VLAN, з однієї локальної мережі без яких-небудь змін транспортуються через мережу оператора в іншу локальну мережу. Такої прозорості можна досягти, інкапсулюючи кадри Ethernet та використовуючи технологію MPLS. Іншими словами, технологія MPLS забезпечує створення тунелів у мережі оператора, які є незалежними від трафіку локальних мереж. Недопущення перевантажень й забезпечення необхідної якості обслуговування покладають на засоби технології MPLS.

548

Рисунок 12.14. Зразок організації VPLS

Основна перевага технології VPLS – це її простота. Замовникам не потрібно під’єднуватися до IP-мереж і налаштовувати складні протоколи маршрутизації, вони лише використовують прості з'єднання Ethernet.

Віртуальну мережу (VPN), сформовану на основі стандартів Ethernet і MPLS, називають VPN другого рівня. Оскільки для забезпечення якості в VPLS у мережі MPLS формується VLAN, то дані, які надходять на LER, доповнюються заголовком стандарту IEEE 802.1Q (VLAN2). Таким чином, якщо в транспортованому трафіку вже використано VLAN (VLAN1), то утворюються дві вкладені

VLAN.

Незалежно від конфігурації мережі оператора, на виході з мережі кадри локальної мережі відновлюються до початкового типу, зокрема з наявністю мітки VLAN1. Це гарантує замовникові цілковиту незалежність від конфігурації мережі оператора, що є найважливішою функцією будь-якої послуги зі створення віртуальних приватних мереж (VPN).

У результаті розвиту технології VPLS виникла так звана технологія Q-n-Q, яка дає змогу використовувати простий і зручний механізм VPLS для створення великої кількості віртуальних з'єднань між користувачами різного рівня.

549

Контрольні питання

1.У чому полягає основне призначення мереж підприємств? Яка їхня відмінна особливість?

2.Охарактеризуйте термінальне обладнання мереж підприємств.

3.Чому технологія Ethernet є провідною серед технологій локальних сегментів?

4.Перерахуйте «інтелектуальні» функції комутаторів

Ethernet.

5.Що таке домен широкомовного трафіку?

6.Які переваги використання технології VLAN?

7.Охарактеризуйте способи організації VLAN.

8.Що розуміють під структурованою кабельною системою (СКС)?

9.Перерахуйте чинні стандарти СКС.

10.Яким принципам згідно зі стандартами повинна відповідати СКС?

11.Охарактеризуйте схему структуризації СКС.

12.Що називається застосованнями СКС?

13.Що являють собою класи застосовань за стандартом

ISO/IEC 11801?

14.Чим визначаються категорії кабелів і роз'ємів?

15.Охарактеризуйте основні підсистеми та обмеження в кабельній підсистемі, передбачені стандартами СКС.

16.Назвіть ситуації, в яких виникає необхідність організовувати віддалений доступ.

17.Перерахуйте фізичні інтерфейси сполучування апаратури класів DTE-DCE.

550