Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 172
Текст из файла (страница 172)
Сети, поддерживаемые поставщиком, могут строиться как на базе инфраструктуры постав- шика, так и на базе оборудования, установленного на территории потребителя. Первый вариант наиболее понятен: поставщик управляет расположенным в его сети оборудованием. Во втором случае оборудование ЧРХ расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.
684 Глава 19. Транспортные услуги и технологии глобальных сетей Когда ЧРХ поддерживается клиентом (СРЧРХ), оборудование всегда находится в его сети, то есть ЧРХ строится на базе устройств клиента (СЕ-Ьазег!). Сеть ЧРХ, как и любая имитирующая система', характеризуется, во-первых, тем, какие свойства объекта имитируются, во-вторых, степенью приближенности к оригиналу, в-третьих, используемыми средствами имитации. Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в ЧРХ. Практически все сети ЧРХ имитируют собственные каналы в сетевой инфраструктуре поставщика, предназначенной для обслуживания множества клиентов.
В том случае, когда имитируется инфраструктура каналов одного предприятия, то услуги ЧРХ называют также услугами интранет (!пггапег), или внутренней сети, а в том случае, когда к таким каналам добавляются также каналы, соединяющие предприятие с его предприятиями-партнерами, с которыми также необходимо обмениваться информацией в защищенном режиме, — услугами экстранет (ехсгапес), или внешней сети. Термин «виртуальная частная сеть» применяется только тогда, когда «собственные» физические каналы имитируются средствами пакетных технологий: АТМ, Ргаше Ке!ау, 1Р, 1Р/МР(.Я или Сагг!ег Ег!гегпес, Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при их реальном соединении собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, поэтому определение «виртуальная» становится здесь уместным.
При применении пакетных сетей для построения ЧРХ клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, АТМ или Ргаше Ве!ау), а при использовании 1Р— и сетевого. Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть ЧРХ, способная поддерживать 1Р-график клиента с созданием эффекта изолированной 1Р-сети. В этом случае ЧРХ производит некоторые дополнительные сетевые операции над клиентским графиком — сбор разнообразной статистики, фильтрацию и экранированне взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция ЧРХ) и т.
п. Имитация сервисов прикладного уровня встречается в ЧРХ гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные приложения управления предприятием. Другим критерием, используемым при сравнении ЧРХ, является стпепвнь приближенности сервисов, предлагаемых Ъ'РХ, к свойствам сервисов частной сети. Во-первых, важнейшим свойством сервисов частной сети является безопасность.
Безопасность ЧРХ подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сетей потребителя и поставщика от внешних атак. Степень безопасности ЧРХ варьируется в широких пределах в зависимости от применяемых средств защиты: шифрования трафика, аутентификации пользователей и устройств изоляции адресных пространств (например, на основе техники ХАТ), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним ' В данном случае ЧРХ рассматривается как имитация частной сети предприятия.
Виртуальные частные сети несанкционированных пользователей. Так как ни один способ зашиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонированной обороны. Во-вторых, желательно, чтобы сервисы ЧРХ приближались к сервисам частной сети по хачестлву обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для графика клиента, к которым могут добавляться и другие параметры ЯоЯ вЂ” максимальные задержки и процент потерянных данных. В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неизбежное зло, поэтому степень приближения виртуальных каналов к каналам Т1)М всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки параметров ЯоЯ.
В АТМ, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в 1Р-сетях они только начинают внедряться. Поэтому далеко не каждая сеть ЧРХ пытается воссоздать эти особенности частной сети. Считается, что безопасность — обязательное свойство ЧРХ, а качество транспортного обслуживания — только желательное. В-третьих, сеть ЧРХ приближается к реальной частной сети, если она обеспечивает для клиента независимость адресного щюстл)ьпктлеа. Это дает клиенту одновременно и удобство конфигурирования, и способ поддержания безопасности.
Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но н магистраль поставщика имела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных действий своих клиентов, а значит, более высоким будет качество предоставляемых услуг ЧРХ. Существенное влияние на свойства виртуальных частных сетей оказывают технологии, с помощью которых эти сети строятся.
Все технологии ЧРХ можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных: 0 технологии разграничения графика; 'ь1 технологии шифрования. Сети Ч РХ на основе техники шифрования рассматриваются в главе 24. В технологиях разграничения трафика используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту графика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети.
К этому типу технологий относятся: 0 АТМЧРХ; 0 Ргаше Пе!ауЧРХ; 0 МР15ЧРХ; 0 Сагпег Егпегпег ЧРХ. Двухточечные виртуальные каналы этих технологий имитируют сервис выделенных каналов, проходя от пограничного устройства (Сйепс Ебйе, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.
ВНИМАНИЕ Под термином чсайт» здесь понимается территориально обособленный фрагмент сети клиента. Например, о корпоративной сети, в которой сеть центрального отделения связывается с тремя удаленными филиалами, можно сказать, что она состоит нз четырех сайтов. ввв Глава ! 9. Транспортные услуги и технологии глобальных сетей Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. Свойство защищенности трафика является естественным сеойсщвом техники виртуальных каналов, поэтому сервисы АТМ НРХ и Ргаще Ко!ау ЧРХ являются на самом деле не чем иным, как обычными сервисами РЧС сетей АТМ или Егаше Ве!ау.
Любой пользователь АТМ или Ргаше йе!ау, использующий инфраструктуру РЧС для связи своих локальных сетей, потребляет услугу ЧРХ даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополнительных средств ЧРХ пользователь оказывается не защищенным от атак любого другого пользователя сети. Так как в технологиях АТМ и Ргаше 1«е!ау при передаче данных используются только два уровня стека протоколов, варианты ЧРХ, построенные на их основе, называют также сетями ЧРХ уровня 2 (1ауег 2 ЧРХ, 1.2ЧРХ). Наличие в технологиях АТМ и Ргаще Ке1ау механизмов поддержания параметров ОоЯ позволяет АТМ ЧРХ и Егаше Ке!ау НРХ достаточно хорошо приближаться к частным сетям на выделенных каналах.
Информация третьего уровня никогда не анализируется и не меняется в этих сетях — это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может передавать по такому виртуальному каналу график любых протоколов, а не только 1Р Кроме того, 1Р-адреса клиентов и поставщика услуг изолированы и независимы друг от друга — они могут выбираться произвольным образом, так как не используются при передаче графика через магистраль поставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется.
Недостаток этого подхода состоит в том, что поставщик не оперирует 1Р-графиком клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами 1Р а это сегодня очень перспективное направление бизнеса поставщиков услуг. Главным недостатком сети 12ЧРХ является ее сложность и достаточно высокая стоимость.
При организации полносвязной топологии сайтов клиента зависимость операций конфигурирования от числа сайтов имеет квадратичный характер (рис. 19.13, а). Действительно, для соединения !Чсайтов необходимо создать АГ х (Ф- 1)/2 двунаправленных виртуальных каналов или Х х (Х вЂ” 1) однонаправленных. В частности, при значении М, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администрирования, ручной труд н веронтность ошибки все равно сохраняются.
При поддержке только услуг инглранегл общее количество конфигурируемых соединений прямо пропорционально количеству клиентов — и это хорошо! Но оказание услуг экстранегл ухудшает ситуацию, так как подразумевает необходимость обеспечить связь сайтов разных клиентов. Масштабируемость сети АТМ/ЕК ЧРХ можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» через один или несколько выделенных транзитных сайтов (рис. 19.13, б). Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо — поставщики услуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
