Разработка проекта компьютерной сети, центра информации и обучающих технологий ссуза c использованием технологии виртуальных частных се

 

1.7 Перспективы VPN

 

По мере своего развития VPN превратятся в системы взаимосвязанных сетей, которые будут соединять мобильных пользователей, торговых партнеров и поставщиков с критически важными корпоративными приложениями, работающими в протоколе IP. VPN станут фундаментом для новых коммерческих операций и услуг, которые будут стимулировать рынок и помогать модернизировать производство.

Вероятно, первым из основных компонентов завтрашних VPN станет сервер каталогов, содержащий профили конечных пользователей и данные о конфигурации сети. Это отдельная компьети, управляемая провайдером VPN. При наличии сетевых каталогов и обеспечении безопасности информации и качества обслуживания конечные пользователи смогут практически мгновенно устанавливать соединения по VPN.

 

Вполне возможно, что будет использоваться протокол IpV6, работы над которым активно продолжаются. Данный протокол обладает всеми возможностями взаимодействия с VPN, какие только могут пожелать сетевые разработчики, в частности, управление полосой пропускания, определение принадлежности IpV6-пакетов к конкретному потоку (например, высший приоритет будут получать пакеты мультимедийных данных для передачи в реальном времени).

Главные игроки сетевого рынка уже активно готовятся к грядущему буму VPN. Нынешние вендоры программного обеспечения и оборудования предлагают наборы устройств для создания и эксплуатации VPN.

Выгоду от развертывания VPN следующего поколения получат не только сетевые разработчики. Не менее заинтересованы в них и операторы. Фирмы AT&T Level 3 Communications, MCI Worldcom и Sprint создают высокоскоростные IP-каналы в АТМ-сетях для передачи видео, голоса и данных. VPN в настоящее время оказывают едва ли не решающее влияние на разработку стратегии глобальных операторов, в частности, Unisource (AT&T, Telia, PTT Suisse и PTT Netherlands), Concert (BT/MCI) и Global One (Deutsche Telekom, France Telekom). Чем больше компаний будут предлагать VPN-услуги, тем заметнее будет расти их качество и падать цены, что, в свою очередь, повлияет на число клиентов.

Каждая революция в бизнесе начиналась с изобретения, которое способствовало активизации частной инициативы. Например, разделение перевозчиков и компаний, эксплуатирующих государственную железную дорогу, привело к резкому росту коммерческих перевозок. То же самое происходит при создании VPN поверх национальных и международных телекоммуникационных инфраструктур. Ближайшее время покажет, к каким изменениям это приведет.

 

 

2. Обзор и анализ технологии VPN

 

Чтобы составить правильное представление о преимуществах сетей MPLS-VPN в плане масштабирования, нужно для начала рассмотреть различные модели VPN, доступные на современном рынке. Вначале мы рассмотрим ограничения, присущие оверлейной или наложенной модели, а затем посмотрим, какие преимущества по сравнению с ней дает одноранговая модель.

 

2.1 Оверлейная модель

 

Сервис-провайдер предоставляет корпоративному заказчику технологию соединений между его офисами и отделениями по частной WAN IP-сети. Для этого в каждой точке подключения нужно установить маршрутизатор и связать его по какому-либо IGP-протоколу маршрутизации по крайней мере с центральным маршрутизатором. В этом случае мы говорим, что сервис-провайдер предоставляет корпоративному заказчику частную сетевую магистраль (private network backbone).

Если транспортная сеть и магистральные коммутаторы действительно принадлежат корпорации, это значит, что она имеет настоящую частную сеть. Однако чаще всего транспортная сеть и по крайней мере часть магистральных коммутаторов принадлежат сервис-провайдеру и совместно используются несколькими корпоративными сетями. В этом случае мы говорим, что каждая из этих корпоративных сетей является не настоящей, а виртуальной частной сетью (VPN). В сети VPN с коммутацией каналов маршрутизаторы, которые находятся в разных отделениях компании, связываются между собой либо по выделенным, либо по коммутируемым линиям. В любом случае роль магистрали будет чаще всего выполнять телефонная сеть общего доступа. Сети Frame Relay и ATM основаны на технологии коммутации каналов. В этом случае маршрутизаторы, находящиеся в отделениях компании-заказчика, связываются между собой с помощью виртуальных каналов. Эти виртуальные каналы, подобно реальным, поддерживают соединения типа «точка—точка».

Корпоративные маршрутизаторы могут поддерживать соединения «точка—точка» и с помощью средств 1Р-тун-нелирования, например, IPSec или GRE. В таких частных или виртуальных частных сетях задачи дизайна и функционирования магистральной топологии решает сама корпорация или сервис-провайдер (если в сети предоставляются услуги по управлению). Маршрутизаторы, установленные в отделениях корпорации, связываются с соседними маршрутизаторами по каналам «точка—точка». Обмен данными о маршрутизации происходит напрямую по этим каналам.

С точки зрения магистральной сети сервис-провайдера, передаваемая маршрутная информация представляет собой обычные данные, которые обрабатываются «прозрачно», то есть так же, как и все остальные. Со своей стороны, корпоративные маршрутизаторы не имеют ни знаний, ни средств контроля над маршрутизирующими функциями магистрали. Этот домен относится к сфере, за которую отвечает сервис-провайдер.

Мы говорим, что в этом случае корпоративная IP-сеть является оверлейной, то есть «накладывается» поверх провайдерской магистрали. При этом корпоративную сеть можно рассматривать как сеть более высокого уровня, а магистраль — как сеть более низкого уровня. Обе сети существуют независимо друг от друга. Такой способ построения сети более высокого уровня поверх сети более низкого уровня называется оверлейной моделью.

 

2.2 Недостатки оверлейной  модели

 

Чтобы добиться оптимальной маршрутизации в корпоративной сети, надстроенной поверх магистрали, корпоративная сеть должна иметь узловую структуру (meshed network). Это означает, что в каждом отделении корпорации должен устанавливаться маршрутизатор, соединенный с соседними маршрутизаторами, находящимися в других отделениях.

Если корпоративная сеть будет хотя бы частично отклоняться от узловой топологии (meshed), то возникнут случаи, когда трафик будет передаваться от одного корпоративного маршрутизатора в магистраль провайдера, затем поступать на корпоративный магистральный (центральный) маршрутизатор, затем передаваться обратно в провайдерскую магистраль и лишь затем поступать на оконечный (удаленный) маршрутизатор в пункте назначения. Поскольку удаленные маршрутизаторы подключаются к общей магистрали (магистрали сервис-провайдера), вариант, при котором трафик покидает магистраль, проходит через второй маршрутизатор и снова попадает в магистраль, нельзя признать эффективным.

Если сеть имеет полносвязную структуру (fully meshed), вышеуказанная ситуация не встречается, однако возникают другие проблемы. Корпорация должна платить за виртуальные каналы (а провайдер должен подкреплять их соответствующими сетевыми ресурсами), но при увеличении количества корпоративных отделений количество каналов возрастает в геометрической прогрессии. Помимо высокой стоимости проблема усугубляется тем, что алгоритмы IP-маршрутизации плохо масштабируются в случае наращивания количества прямых связей между маршрутизаторами.

 

2.3 Одноранговая модель (Peer Model)

 

Для того, чтобы пользоваться услугами VPN, предприятию совсем не нужно проектировать и эксплуатировать собственную магистральную сеть. Сервис-провайдер, который уже имеет магистральную сетевую инфраструктуру, вполне может взять эту задачу на себя. Одноранговая модель VPN требует только подключения маршрутизатора заказчика к одному из маршрутизаторов сервис-провайдера.

В одноранговой VPN два маршрутизатора С считаются одноранговыми только в том случае, когда они находятся на одном сайте. Поэтому принадлежащий заказчику маршрутизатор С1 не имеет одноранговых (соседских) отношений с маршрутизатором С2, который принадлежит тому же заказчику, но установлен на другом сайте (в другом месте). Получается, что на каждом сайте заказчика имеется по крайней мере один корпоративный маршрутизатор (СЕ), связанный одноранговыми отношениями по крайней мере с одним маршрутизатором сервис-провайдера (РЕ).

СЕ-маршрутизаторы не обмениваются друг с другом данными о маршрутах. Нет вообще никакой необходимости в обмене какими-либо данными между СЕ-маршрутизаторами. Данные передаются от входящего СЕ-маршрутизатора через входящий РЕ-маршрутизатор сервис-провайдера и проходят через один или несколько магистральных Р-маршрутизаторов. В итоге они достигают исходящего РЕ-маршрутизатора сервис-провайдера и попадают на исходящий корпоративный СЕ-маршрутизатор. Таким образом маршрутизация становится оптимальной.

Поскольку СЕ-маршрутизаторы не обмениваются друг с другом данными о маршрутах, корпорации не нужно иметь свою магистраль или управлять ею. Разумеется, корпоративный заказчик может пользоваться IP-магистралью так, как будто у него имеется сеть Frame Relay, и создавать своего рода «виртуальные каналы» между СЕ-маршрутизаторами. Обычно для этого используется одна из форм IP-туннелирования. Однако это приводит нас обратно к оверлейной модели со всеми ее проблемами. Одноранговая модель таких проблем не имеет.

 

2.4 Преимущества одноранговой  модели

 

Одноранговая модель имеет целый ряд преимуществ:

1) В одноранговой модели количество  работы, которую должен выполнить  сервис-провайдер для технического  обеспечения и управления VPN, прямо  пропорционально количеству сайтов  заказчика, подключенных к VPN. В оверлейной  модели количество этой работы пропорционально квадрату сайтов заказчика, подключенных к VPN.

2) Одноранговая модель поддерживает  оптимальную маршрутизацию пользовательского  трафика по магистрали сервис-провайдера, так как в этой модели нет  необходимости в транзитных СЕ-устройствах. Корпоративному заказчику не нужно управлять собственной магистралью. Ему нужно только подключить СЕ-маршрутизатор на каждом сайте.

Таким образом, одноранговая модель выгодна и сервис-провайдеру, и заказчику. Для провайдера она означает сокращение объема работ, а для корпоративного заказчика — более ценные услуги.

 

2.5 Трудности реализации  одноранговой модели

 

Хотя одноранговая модель имеет множество преимуществ по сравнению с оверлейной, на пути ее реализации также стоит ряд проблем, которые перечислены ниже:

1) Перегрузка Р-маршрутизаторов  информацией о маршрутах. Одной  из основных проблем крупных IP-магистралей  является большое количество  ресурсов (памяти, процессорных мощностей, полосы пропускания), необходимых  для хранения данных о маршрутизации. Если взять IP-магистраль и пустить по ней данные о маршрутах всех корпоративных сетей, Р-маршрутизаторы никогда с ней не справятся.

 

2) Несогласованные (несмежные) адресные  пространства. Обычно Интернет-сервис-провайдеры (ISP) стараются присваивать адреса осмысленно. Это значит, что адрес системы должен указывать на место, в котором эта система подключается к сети ISP. Однако многие корпоративные сети имеют адресные схемы, которые трудно совместить с магистральной топологией любого сервис-провайдера. В этих схемах адреса сайтов распределяются без какого-либо учета точки, в которой осуществляется подключение к провайдерской сети. Это сокращает возможности агрегации маршрутов и увеличивает объем данных о маршрутах, которые передаются по Р-сети.

3) Частная адресация в С-сетях. Адреса во многих корпоративных  сетях не являются уникальными. Это значит, что тот или иной  адрес является уникальным только  в пределах одного предприятия, но теряет уникальность при  связи между предприятиями. Если IP-магистраль сервис-провайдера используется как общая магистраль для двух разных корпоративных сетей и если адреса в этих сетях не являются уникальными, Р-маршрутизаторы не смогут гарантировать доставку пакетов по месту назначения.

4) Подслушивание. Для защиты данных нужно устанавливать шифрованные туннели «точка—точка» между каждой парой СЕ-маршрутизаторов (модель IPSec). Это решение хорошо подходит для оверлейной модели, поскольку она и без того использует туннель «точка—точка» между парами «соседних» СЕ-маршрутизаторов. Для одноранговой модели это решение подходит не столь хорошо, потому что здесь СЕ-маршрутизатор никогда не может определить, куда он будет передавать следующий пакет.

 

2.6 Варианты построения

 

Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире. Данная классификация предлагается компанией Check Point Software Technologies, которая не без основания считается законодателем моды в области VPN. Так, например, по данным независимых консалтинговых и аналитических агентств компания Check Point захватила 52% мирового рынка VPN-решений (по данным Dataquest).

Вариант "Intranet VPN", который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.

Вариант "Remote Access VPN", который позволяет реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса, и он подключается к защищаемому ресурсу не через выделенное устройство VPN, а прямиком со своего собственного компьютера, на котором и устанавливается программное обеспечение, реализующее функции VPN. Компонент VPN для удаленного пользователя может быть выполнен как в программном, так и в программно-аппаратном виде. В первом случае программное обеспечение может быть как встроенным в операционную систему (например, в Windows 2000), так и разработанным специально (например, АП "Континент-К"). Во втором случае для реализации VPN используются небольшие устройства класса SOHO (Small Office\Home Office), которые не требуют серьезной настройки и могут быть использованы даже неквалифицированным персоналом. Такие устройства получают сейчас широкое распространение за рубежом.