Учебник для вузов в. Олифер Н. Олифер Компьютерные Принципы, технологии, протоколы

Виртуальные частные сети
683
□ Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает сеть от атак извне и существенно снижает вероятность «прослушивания» трафика по пути следования.
Однако частная сеть — решение крайне неэкономичное! Такие сети, особенно в националь­
ном или международном масштабах, могут себе позволить только очень крупные и бога­
тые предприятия. Создание частной сети — привилегия тех, кто имеет производственные предпосылки для разработки собственной сетевой инфраструктуры. Например, нефтяные или газовые компании способны с относительно невысокими издержками прокладывать собственные технологические кабели связи вдоль трубопроводов. Частные сети были по­
пулярны в относительно далеком прошлом, когда общедоступные сети передачи данных были развиты очень слабо. Сегодня же их почти повсеместно вытеснили сети VPN, которые представляют собой компромисс между качеством услуг и их стоимостью.
В зависимости от того, кто реализует сети VPN, они подразделяются на два вида.
□ Поддерживаемая клиентом виртуальная частная сеть (Customer Provided Virtual
Private Network, CP VPN) отражает тот факт, что все тяготы по поддержке сети VPN ложатся на плечи потребителя. Поставщик предоставляет только «простые» тради­
ционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими.
□ В случае поддерживаемой поставщиком виртуальной частной сети (Provider
Provisioned Virtual Private Network, PPVPN) поставщик услуг на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных. Такой способ организации VPN сравнительно нов и не столь широко распространен, как первый.
В последние год-два популярность сетей PPVPN растет — заботы по созданию и управ­
лению VPN довольно обременительны и специфичны, поэтому многие предприятия предпочитают переложить их на плечи надежного поставщика. Реализация услуг VPN по­
зволяет поставщику оказывать и ряд дополнительных услуг, включая контроль за работой клиентской сети, веб-хостинг и хостинг почтовых служб, хостинг специализированных приложений клиентов.
Помимо деления сетей VPN на CPVPN и PPVPN существует еще и другая классифика­
ция — в зависимости от места расположения устройств, выполняющих функции VPN.
Виртуальная частная сеть может строиться:
□ на базе оборудования, установленного на территории потребителя (Customer Premises
Equipment based VPN, CPE-based VPN, или Customer Edge based VPN, CE-based
VPN);
□ на базе собственной инфраструктуры поставщика (Network-based VPN, или Provider
Edge based VPN, PE-based VPN).
В любом случае основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети — либо потребителя, либо поставщика.
Сети, поддерживаемые поставщиком, могут строиться как на базе инфраструктуры постав­
щика, так и на базе оборудования, установленного на территории потребителя. Первый ва­
риант наиболее понятен: поставщик управляет расположенным в его сети оборудованием.
Во втором случае оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.

684
Глава 19. Транспортные услуги и технологии глобальных сетей
Когда VPN поддерживается клиентом (CPVPN), оборудование всегда находится в его сети, то есть VPN строится на базе устройств клиента (CE-based).
Сеть VPN, как и любая гшитпирующая система*, характеризуется, во-первых, тем, ка­
кие свойства объекта имитируются, во-вторых, степенью приближенности к оригиналу, в-третьих, используемыми средствами имитации.
Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в VPN.
Практически все сети VPN имитируют собственные каналы в сетевой инфраструктуре поставщика, предназначенной для обслуживания множества клиентов.
В том случае, когда имитируется инфраструктура каналов одного предприятия, то услуги
VPN называют также услугами интранет (intranet), или внутренней сети, а в том слу­
чае, когда к таким каналам добавляются также каналы, соединяющие предприятие с его предприятиями-партнерами, с которыми также необходимо обмениваться информацией в защищенном режиме, — услугами экстранет (extranet), или внешней сети.
Термин «виртуальная частная сеть» применяется только тогда, когда «собственные» физические каналы имитируются средствами пакетных технологий: ATM, Frame Relay,
IP, IP/MPLS или Carrier Ethernet. Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при их реальном соединении собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, поэтому определение «виртуальная» стано­
вится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, ATM или Frame Relay), а при использовании IP — и сетевого.
Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть VPN, способная поддерживать IP-трафик клиента с созданием эффекта изолированной IP-сети. В этом случае VPN производит некоторые дополнительные сетевые операции над клиентским тра­
фиком — сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция VPN) и т. п.
Имитация сервисов прикладного уровня встречается в VPN гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные при­
ложения управления предприятием.
Другим критерием, используемым при сравнении VPN, является степень приближенности
сервисов, предлагаемых VPN, к свойствам сервисов частной сети.
Во-первых, важнейшим свойством сервисов частной сети является безопасность. Безопас­
ность VPN подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сетей потребителя и поставщика от внешних атак.
Степень безопасности VPN варьируется в широких пределах в зависимости от применяе­
мых средств защиты: шифрования трафика, аутентификации пользователей и устройств изоляции адресных пространств (например, на основе техники NAT), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним
1 В данном случае VPN рассматривается как имитация частной сети предприятия.

Виртуальные частные сети
685
несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонирован­
ной обороны.
Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сети по
качеству обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добав­
ляться и другие параметры QoS — максимальные задержки и процент потерянных данных.
В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неиз­
бежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета).
Разные пакетные технологии отличаются различным уровнем поддержки параметров QoS.
В ATM, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в IP-сетях они только начинают внедряться. Поэтому далеко не каждая сеть VPN пытает­
ся воссоздать эти особенности частной сети. Считается, что безопасность — обязательное свойство VPN, а качество транспортного обслуживания — только желательное.
В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для кли­
ента независимость адресного пространства. Это дает клиенту одновременно и удобство кон­
фигурирования, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль поставщи­
ка имела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных дей­
ствий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.
Существенное влияние на свойства виртуальных частных сетей оказывают технологии, с помощью которых эти сети строятся. Все технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных:
□ технологии разграничения трафика;
□ технологии шифрования.
Сети VPN на основе техники шифрования рассматриваются в главе 24.
В технологиях разграничения трафика используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. К этому типу технологий относятся:
□ ATM VPN;
□ Frame Relay VPN;
□ MPLS VPN;
□ Carrier Ethernet VPN.
Двухточечные виртуальные каналы этих технологий имитируют сервис выделенных ка­
налов, проходя от пограничного устройства (Client Edge, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.
ВН И М А Н И Е -------------------------------------------------------------------------------------------------------------------
П о д т е р м и н о м «сайт» здесь понимается территориально о б о с о б л е н н ы й ф р а г м е н т сети клиента. Н а ­
пример, о корпоративной сети, в которой сеть центрального отделения связывается с тремя удален­
н ы м и филиалам и, м о ж н о сказать, что она состоит из четырех сайтов.

686
Глава 19. Транспортные услуги и технологии глобальных сетей
Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. Свойство защищенности трафика является естественным свойством техники виртуальных каналов, поэтому сервисы ATM VPN и Frame Relay VPN являются на самом деле не чем иным, как обычными сервисами PVC сетей ATM или Frame Relay.
Любой пользователь ATM или Frame Relay, использующий инфраструктуру PVC для связи своих локальных сетей, потребляет услугу VPN даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополни­
тельных средств VPN пользователь оказывается не защищенным от атак любого другого пользователя сети.
Так как в технологиях ATM и Frame Relay при передаче данных используются только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также сетями VPN уровня 2 (Layer 2 VPN, L2VPN). Наличие в технологиях ATM и Frame Relay механизмов поддержания параметров QoS позволяет ATM VPN и Frame Relay VPN до- статочно хорошо приближаться к частным сетям на выделенных каналах.
Информация третьего уровня никогда не анализируется и не меняется в этих сетях — это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может переда­
вать по такому виртуальному каналу трафик любых протоколов, а не только IP. Кроме того,
IP-адреса клиентов и поставщика услуг изолированы и независимы друг от друга — они могут выбираться произвольным образом, так как не используются при передаче трафика через магистраль поставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода состоит в том, что поставщик не оперирует IP-трафиком клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это сегодня очень перспективное направление бизнеса поставщиков услуг.
Главным недостатком сети L2VPN является ее сложность и достаточно высокая стоимость.
При организации полносвязной топологии сайтов клиента зависимость операций конфи­
гурирования от числа сайтов имеет квадратичный характер (рис. 19.13, а).
Действительно, для соединения N сайтов необходимо создать N * (N - 1)/2 двунаправлен­
ных виртуальных каналов или N * ( N - 1) однонаправленных. В частности, при значении N, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администрирования, ручной труд и вероятность ошибки все равно сохраняются. При поддержке только услуг интранет общее количество конфигурируемых соединений прямо пропорционально количеству клиентов — и это хорошо! Но оказание услуг экстранет ухудшает ситуацию, так как подразумевает необхо­
димость обеспечить связь сайтов разных клиентов. Масштабируемость сети ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» через один или несколько выделенных транзитных сайтов (рис. 19.13, 6).
Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо — поставщики услуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».

Виртуальные частные сети
687
Сайты клиента
Рис. 19.13. Масштабируемость сети L2VPN
Клиенты сети ATM/FR VPN не могут нанести ущерб друг другу, а также атаковать 1Р-сеть поставщика. Сегодня поставщик услуг всегда располагает I P-сетью, даже если он оказывает только услуги ATM/FR VPN. Без IP-сети и ее сервисов администрирования он просто не сможет управлять своей сетью ATM/FR. IP-сеть является оверлейной (наложенной) по отношению к сетям ATM или FR, поэтому клиенты ATM/FR ничего не знают о ее струк­
туре и даже о ее наличии (рис. 19.14).

688
Глава 19. Транспортные услуги и технологии глобальных сетей
Сети клиента
Рис. 19.14. Оверлейная (а) и одноранговая (б) модели VPN
Сети MPLS VPN могут строиться как по схеме L2VPN, так и по другой схеме, исполь­
зующей протоколы трех уровней. Такие сети называют сетями VPN уровня 3 (Layer 3
VPN, L3VPN). В технологии L3VPN также применяется техника LSP для разграничения трафика клиентов внутри сети поставщика услуг, поддерживающей технологию MPLS.
Сеть L3VPN взаимодействует с сетями клиентов на основе ІР-адресов, a L2VPN — на осно­
ве адресной информации второго уровня, например МАС-адресов или идентификаторов виртуальных каналов Frame Relay.

IP в глобальных сетях
689
IP в глобальных сетях
Чистая 1Р-сеть
В зависимости от того, как устроены слои глобальной сети, находящиеся под уровнем IP, можно говорить о «чистых» IP-сетях и об IP «поверх» (over) какой-нибудь технологии, например ATM. Название «чистая» IP-сеть говорит о том, что под уровнем IP не находится никакого другого уровня, выполняющего коммутацию пакетов (кадров или ячеек).
В такой сети цифровые каналы по-прежнему образуются инфраструктурой двух нижних уровней, а этими каналами непосредственно пользуются интерфейсы 1Р-маршрутизаторов без какого-либо промежуточного уровня. В том случае, когда IP-маршрутизатор использует каналы, образованные в сети SDH/SONET, вариант IP-сети получил название пакетной сети, работающей поверх SONET1 (Packet Over SONET, POS). Для случая, когда IP пользуется каналами DWDM, употребляется название IP поверх DWDM.
Чистая IP-сеть может успешно применяться для передачи чувствительного к задержкам трафика современных приложений в двух случаях:
□ если IP-сеть работает в режиме низкой нагрузки, поэтому сервисы всех типов не стра­
дают от эффекта очередей, так что сеть не требует поддержания параметров QoS;
□ если слой IP обеспечивает поддержку параметров QoS собственными средствами за счет применения механизмов IntServ или DiffServ.
Для того чтобы маршрутизаторы в модели чистой IP-сети могли использовать цифровые каналы, на этих каналах должен работать какой-либо протокол канального уровня. Суще­
ствует несколько протоколов канального уровня, специально разработанных для двух­
точечных соединений глобальных сетей. В эти протоколы встроены процедуры, полезные при работе в глобальных сетях:
□ взаимная аутентификация удаленных устройств часто требуется для защиты сети от
«ложного» маршрутизатора, перехватывающего и перанаправляющего трафик с целью его прослушивания;
□ согласование параметров обмена данными на канальном и сетевом уровнях применяется при удаленном взаимодействии, когда два устройства расположены в разных городах, перед началом обмена часто необходимо автоматически согласовывать такие, напри­
мер, параметры, как MTU.
Из набора существующих двухточечных протоколов протокол IP сегодня использует два:
HDLC и РРР. Существует также устаревший протокол SLIP (Serial Line Internet Protocol — межсетевой протокол для последовательного канала), который долгое время был основным протоколом удаленного доступа индивидуальных клиентов к IP-сети через телефонную сеть. Однако сегодня он уже не применяется.
1 Название международной версии SDH было опущено разработчиками технологии POS.

690
Глава 19. Транспортные услуги и технологии глобальных сетей
Помимо уже упомянутых протоколов, в глобальных сетях на выделенных каналах IP- маршрутизаторы нередко используют какой-либо из высокоскоростных вариантов
Ethernet: Fast Ethernet, Gigabit Ethernet или 10G Ethernet. Усовершенствования, сделанные в технологии Carrier Ethernet и направленные на повышение эксплуатационных свойств классического варианта Ethernet, отражают потребности применения этой технологии в глобальных сетях.
Протокол HDLC
Data Link Control -г высокоуровневое управление линией связи), пред-
ре$шиз>^щихфу^^ канального уровня.
Первое, что мы отметим по поводу протокола HDLC, — его функциональное разнообразие.
Он может работать в нескольких весьма отличающихся друг от друга режимах, поддер­
живает не только двухточечные соединения, но и соединения с одним источником и не­
сколькими приемниками, он также предусматривает различные функциональные роли взаимодействующих станций. Сложность HDLC объясняется тем, что это очень «ста­
рый» протокол, разработанный еще в 70-е годы для ненадежных каналов связи. Поэтому в одном из режимов протокол HDLC подобно протоколу TCP поддерживает процедуру установления логического соединения и процедуры контроля передачи кадров, а также восстанавливает утерянные или поврежденные кадры. Существует и дейтаграммный режим работы HDLC, в котором логическое соединение не устанавливается, а кадры не восстанавливаются.
В IP-маршрутизаторах чаще всего используется версия протокола HDLC, разработанная компанией Cisco. Несмотря на то что эта версия является фирменным протоколом, она стала стандартом де-факто для IP-маршрутизаторов большинства производителей. Версия
Cisco HDLC работает только в дейтаграммном режиме, что соответствует современной ситуации с незашумленными надежными каналами связи. По сравнению со стандартным протоколом версия Cisco HDLC включает несколько расширений,, главным из которых является многопротокольная поддержка. Это означает, что в заголовок кадра Cisco HDLC добавлено поле типа протокола, подобное полю EtherType. Это поле содержит код про­
токола, данные которого переносит кадр Cisco HDLC. В стандартной версии HDLC такое поле отсутствует.
Протокол РРР
Протокол РРР (Point-to-Point Protocol — протокол двухточечной связи) является стан­
дартным протоколом Интернета. Протокол РРР, так же как и HDLC, представляет собой целое семейство протоколов, в которое, в частности, входят:
□ протокол управления линией связи (Link Control Protocol, LCP);
□ протокол управления сетью (Network Control Protocol, NCP);
□ многоканальный протокол РРР (Multi Link РРР, MLPPP);
□ протокол аутентификации по паролю (Password Authentication Protocol, PAP);
□ протокол аутентификации по квитированию вызова (Challenge Handshake Authen­
tication Protocol, CHAP).

IP в глобальных сетях
691
ПРИМЕЧАНИЕ--------------------------------------------------------------------------------------------------
При разработке протокола РРР за основу был взят формат кадров HDLC и дополнен несколькими
полями. Эти дополнительные поля протокола РРР вложены в поле данных кадра HDLC. Позже были
разработаны стандарты, описывающие вложение кадра РРР в кадры Frame Relay и других протоколов
глобальных сетей. Хотя протокол РРР и работает с кадром HDLC, он не поддерживает, подобно стан­
дартной версии протокола HDLC, процедуры надежной передачи кадров и управления их потоком.
■;0соОенностыо
В корпоративной сети конечные системы часто отличаются размерами буферов для вре­
менного хранения пакетов, ограничениями на размер пакета, списком поддерживаемых протоколов сетевого уровня. Физическая линия, связывающая конечные устройства, может варьироваться от низкоскоростной аналоговой до высокоскоростной цифровой линии с различными уровнями качества обслуживания.
Протокол, в соответствии с которым принимаются параметры соединения, называется
протоколом управления линией связи (LCP). Чтобы справиться со всеми возможными ситуациями, в протоколе РРР имеется набор стандартных параметров, действующих по умолчанию и учитывающих все стандартные конфигурации. При установлении соеди­
нения два взаимодействующих устройства для нахождения взаимопонимания пытаются сначала использовать эти параметры. Каждый конечный узел описывает свои возможности и требования. Затем на основании этой информации принимаются параметры соединения, устраивающие обе стороны. Переговорная процедура протоколов может и не завершиться соглашением о каком-нибудь параметре. Если, например, один узел предлагает в качестве
MTU значение 1000 байт, а другой отвергает это предложение и в свою очередь предлагает значение 1500 байт, которое отвергается первым узлом, то по истечении тайм-аута пере­
говорная процедура может закончиться безрезультатно.
Одним из важных параметров соединения РРР является режим аутентификации. Для целей аутентификации РРР предлагает по умолчанию протокол аутентификации по
паролю (РАР), передающий пароль по линии связи в открытом виде, или протокол
аутентификации по квитированию вызова (CHAP), не передающий пароль по линии свя­
зи и поэтому обеспечивающий более высокий уровень безопасности сети. Пользователям также разрешается добавлять новые алгоритмы аутентификации. Кроме того, пользователи могут влиять на выбор алгоритмов сжатия заголовка и данных.
Многопротокольная поддержка — способность протокола РРР поддерживать несколько протоколов сетевого уровня — обусловила распространение РРР как стандарта де-факто.
Внутри одного соединения РРР могут передаваться потоки данных различных сетевых протоколов, включая IP, Novell IPX и многих других, сегодня уже не употребляющихся, а также данные протоколов канального уровня локальной сети.
Каждый протокол сетевого уровня конфигурируется отдельно с помощью соответствующе­
го протокола управления сетью (NCP). Под конфигурированием понимается, во-первых, констатация того факта, что данный протокол будет использоваться в текущем сеансе РРР, а во-вторых, переговорное согласование некоторых параметров протокола. Больше всего параметров устанавливается для протокола IP, включая IP-адреса взаимодействующих

692
Глава 19. Транспортные услуги и технологии глобальных сетей узлов, 1Р-адреса DNS-серверов, признак компрессии заголовка IP-пакета и т. д. Для каж­
дого протокола конфигурирования протокола верхнего уровня, помимо общего названия
NCP, употребляется особое название, построенное путем добавления аббревиатуры СР
(Control Protocol — протокол управления) к имени конфигурируемого протокола, напри­
мер для IP — это протокол IPCP, для IPX — IPXCP и т. п.
Расширяемость протокола. Под этим свойством РРР понимается как возможность включе­
ния новых протоколов в стек РРР, так и возможность применения собственных протоколов пользователей вместо рекомендуемых в РРР по умолчанию. Это позволяет наилучшим образом настроить РРР для каждой конкретной ситуации.
Одной из привлекательных способностей протокола РРР является способность использо­
вания нескольких физических линий связи для образования одного логического канала, то есть агрегирование каналов (об агрегировании линий связи см. также в главе 14). Эту возможность реализует многоканальный протокол PPP(M LPPP).
Использование выделенных линий
1Р-маршрутизаторами
Схема использования выделенной линии маршрутизатором показана на рис. 19.15. Для соединения порта маршрутизатора с выделенной линией необходимо устройство DCE соответствующего типа. Это устройство призвано обеспечить согласование физического интерфейса маршрутизатора с интерфейсом физического уровня, используемого выделен­
ной линией, например V.35 с Т1.
Интерфейс G.703
Рис. 19.15.
Соединение ІР-сетей с помощью выделенной линии
Если выделенная линия является аналоговой, то устройством DCE будет модем, а если цифровой — то устройство DSU/CSU.
Порт маршрутизатора может включать встроенное устройство DCE. Например, маршру­
тизатор, рассчитанный на работу с каналом SDH, обычно имеет встроенный порт с интер­
фейсом SDH определенной скорости STM-N.
Встроенные порты PDH/SDH могут как поддерживать, так и не поддерживать внутрен­
нюю структуру кадров этих технологий. В том случае, когда порт различает подкадры, из которых состоит кадр, например отдельные тайм-слоты кадра Е1 или отдельные виртуаль-

IP в глобальных сетях
693
ные контейнеры VC-12 (2 Мбит/с), входящие в кадр STM-1, иЪорт может использовать их как отдельные физические подканалы, то говорят, что это порт с разделением каналов.
Каждому такому каналу присваивается отдельный ІР-адрес. В противном случае порт целиком рассматривается как один физический канал с одним 1Р-адресом.
В качестве примера на рис. 19.15 выбрано соединение двух маршрутизаторов через цифро­
вой канал Е1, установленный в сети PDH. Маршрутизатор использует для подключения к каналу устройство DSU/CSU с внутренним интерфейсом RS-449 и внешним интерфей­
сом G.703, который определен в качестве интерфейса доступа к каналам PDH.
Маршрутизаторы после подключения к выделенной линии и локальной сети необходимо конфигурировать. Выделенный канал является отдельной IP-под сетью, как и локальные подсети 1 и 2, которые он соединяет. Этой подсети можно также дать некоторый 1Р-адрес из диапазона адресов, которым распоряжается администратор составной сети. В приве­
денном примере выделенному каналу присвоен адрес подсети 201.20.23.64, состоящей из двух узлов, что определяется маской 255.255.255.252.
Интерфейсам маршрутизаторов, связанных выделенной линией, можно и не присваивать
IP-адрес — такой интерфейс маршрутизатора называется ненумерованным. Действитель­
но, отсылая пакеты протокола маршрутизации (RIP или OSPF) по выделенному каналу, маршрутизаторы непременно их получат. Протокол ARP на выделенном канале не исполь­
зуется, так как аппаратные адреса на таком канале не имеют практического смысла.
Работа IP-сети поверх сети ATM
Рассмотрим взаимодействие слоя IP со слоем ATM на примере сети, представленной на рис. 19.16.
В сети ATM проложено шесть постоянных виртуальных каналов, соединяющих порты
IP-маршрутизаторов. Каждый порт маршрутизатора в качестве конечного узла должен поддерживать технологию ATM. После того как виртуальные каналы установлены, марш­
рутизаторы могут пользоваться ими как физическими, посылая данные порту соседнего
(по отношению к виртуальному каналу) маршрутизатора.
В сети ATM образуется сеть виртуальных каналов с собственной топологией. Топология виртуальных каналов, соответствующая сети, представленной на рис. 19.16, показана на рис. 19.17. Сеть ATM прозрачна для IP-маршрутизаторов, они ничего не знают о физиче­
ских связях между портами коммутаторов ATM. ІР-сеть является наложенной (оверлей­
ной) по отношению к сети ATM.
Для того чтобы протокол IP мог корректно работать, ему необходимо знать соответствие между ІР-адресами соседей и адресами виртуальных каналов ATM, с помощью которых достижим соответствующий ІР-адрес. То есть нужно уметь отображать сетевые адреса на аппаратные, роль которых в данном случае играют адреса виртуальных каналов ATM.
Другими словами, протоколу IP необходим некий вариант протокола ARP. Поскольку сеть
ATM не поддерживает широковещательных запросов, таблица соответствия адресов не может быть создана автоматически. Администратор IP-сети должен вручную выполнить конфигурирование каждого интерфейса маршрутизатора, задав таблицу соответствия для всех номеров виртуальных каналов, исходящих из этого интерфейса и входящих в него.
При этом физический интерфейс может быть представлен в виде набора логических ин­
терфейсов (или подинтерфейсов), имеющих 1Р-адреса.

694
Глава 19. Транспортные услуги и технологии глобальных сетей
/ б-------
=
■ІЬ'
чл-
Рис. 19.17. Топология связей между маршрутизаторами

Выводы
695
Например, в маршрутизаторах компании Cisco Systems команды конфигурирования логи­
ческого интерфейса, соответствующего виртуальному каналу с адресом VPI/VCI, равным
0/36, выглядят следующим образом:
p v c 0 / 3 6
p r o t o c o l i p 1 0 . 2 . 1 . 1
После выполнения этих команд маршрутизатор будет знать, что для пересылки пакета по адресу 10.2.1.1 ему потребуется разбить пакет на последовательность ячеек ATM (с помо­
щью функции SAR интерфейса ATM) и отправить их все по постоянному виртуальному каналу с адресом 0/36.
Если многослойная сеть IP/ATM предназначается для передачи трафика различных классов с соблюдением параметров QoS для каждого класса, то соседние маршрутизаторы должны быть связаны несколькими виртуальными каналами, по одному для каждого клас­
са. Маршрутизатору должна быть задана политика классификации пакетов, позволяющая отнести передаваемый пакет к определенному классу Пакеты каждого класса направляются на соответствующий виртуальный канал, который обеспечивает трафику требуемые пара­
метры QoS. Однако предварительно необходимо провести инжиниринг трафика для сети
ATM, определив оптимальные пути прохождения трафика и соответствующим образом проложив виртуальные каналы. Результатом такой работы будет соблюдение требований к средним скоростям потоков, а коэффициент загрузки каждого интерфейса коммутаторов
ATM не превысит определенной пороговой величины, гарантирующей каждому классу трафика приемлемый уровень задержек.
Выводы
Основными типами транспортных услуг глобальных компьютерных сетей являются услуги выделенных
линий, доступа в Интернет и виртуальных частных сетей (VPN).
Сервис виртуальных частных сетей может быть реализован различными способами и с различной
степенью приближения к сервису частных сетей на выделенных каналах, который он эмулирует.
Большинство современных глобальных сетей являются составными IP-сетями, а отличия между ними
заключаются в технологиях, лежащих подуровнем IP.
Крупные глобальные сети часто строятся по четырехуровневой схеме, где два нижних уровня — это
уровни первичной сети, образуемые технологиями DWDM и OTN/SDH. На основе первичной сети
оператор сети строит каналы наложенной (оверлейной) сети — пакетной или телефонной. 1Р-сеть
образует верхний уровень.
Каждый слой такой сети может выполнять две функции:
□ предоставление услуг конечным пользователям;
□ поддержка функций вышележащих уровней сети оператора.
Техника виртуальных каналов дает оператору сети большую степень контроля над путями прохожде­
ния данных, чем техника дейтаграммной передачи данных, применяемая в таких технологиях, как IP
и Ethernet. По этой причине в большинстве технологий канального уровня, разработанных специально
для глобальных сетей, таких как Frame Relay и ATM, используется техника виртуальных каналов.
Сети Frame Relay работают на основе постоянных виртуальных каналов. Эти сети создавались
специально для передачи пульсирующего компьютерного трафика, поэтому при резервировании
пропускной способности указывается средняя скорость передачи (CIR) и согласованный объем
пульсаций (Вс).

696
Глава 19. Транспортные услуги и технологии глобальных сетей
Технология ATM является дальнейшим развитием идей предварительного резервирования про­
пускной способности виртуального канала, реализованных в технологии Frame Relay. Технология
ATM поддерживает основные виды трафика для абонентов разного типа: трафик CBR, характерный
для телефонных сетей и сетей передачи изображения, трафик VBR, характерный для компьютерных
сетей, а также для передачи компрессированных голоса и изображения.
«Чистая» ІР-сеть отличается от многослойной тем, что подуровнем IP нет другой сети с коммутацией
пакетов, такой как ATM или Frame Relay, и IP-маршругизаторы связываются между собой выделен­
ными каналами (физическими или соединениями PDK/SDH/DWDM).
Из набора существующих двухточечных протоколов протокол IP сегодня использует два: HDLC и РРР.
Каждый из них представляет целое семейство протоколов, работающих на канальном уровне.
Сеть VPN может быть реализована как самим предприятием, так и поставщиком услуг. Она может
строиться на базе оборудования, установленного на территории и потребителя, и поставщика
услуг.
Технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспе­
чивают безопасность передачи данных: технологии разграничения трафика (ATM VPN, Frame Relay
VPN, MPLS VPN) и технологии на основе шифрования (IPSec VPN).
Вопросы и задания
1. В чем заключаются преимущества услуг виртуальных частных сетей по сравнению с услугами выделенных каналов с точки зрения поставщика этих услуг? Варианты от­
ветов:
а) их легче конфигурировать;
б) можно обслужить большее число клиентов, имея ту же инфраструктуру физических каналов связи;
в) легче контролировать соглашения SLA.
2. В чем заключаются недостатки услуг виртуальных частных сетей по сравнению с услу­
гами выделенных каналов с точки зрения клиентов? Варианты ответов:
а) возможны задержки и потери пакетов;
б) не всегда есть гарантии пропускной способности соединений;
в) высокая стоимость услуг.
3. Причинами популярности техники виртуальных каналов в глобальных сетях являются следующие их свойства:
а) высокая надежность;
б) контроль над путями прохождения трафика;
в) эффективность при оказании услуг VPN;
г) эффективность работы по схеме «каждый с каждым».
4. В каких из приведенных примеров применяется туннелирование? Варианты ответов:
а) передача ІР-пакетов через сеть Frame Relay;
б) передача кадров Ethernet с сохранением МАС-адресов через 1Р-сеть;
в) передача зашифрованных ІР-пакетов через Интернет.
5. Какой протокол чаще всего исполняет роль несущего протокола при туннелиро­
вании?

Вопросы и задания
697
6. Уникальность метки DLCI должна быть обеспечена в пределах:
а) сети Framew Relay данного провайдера;
б) порта отдельного коммутатора сети; ц) отдельного коммутатора сети.
7. В соглашении SLA между клиентом и поставщиком услуг Frame Relay оговаривается значение CIR = 512 Кбит/с на периоде 100 мс, при этом при подсчете скорости учи­
тывается только поле данных кадров Frame Relay. На очередном периоде 100 мс по­
граничный коммутатор клиента послал в сеть 7 кадров с размерами поля данных 1000,
1500,1200,1500,1000,1300 и 1500 байт соответственно. Были ли эти кадры помечены пограничным коммутатором провайдера признаком DE = 1, а если да, то какие?
8. Какую категорию услуг целесообразно выбрать для передачи голоса через сеть ATM?
Варианты ответов:
a) CBR; б) rtVBR; б) ABR.
9. Задержка пакетизации это:
а) время передачи пакета в линию связи;
б) время между помещением в пакет первого и последнего замеров голоса;
в) время ожидания пакета в очереди к выходному интерфейсу.
10. Избыточность служебных данных для ячеек ATM составляет: а) 8 %; б) 16 % в) 10%.
11. Что отличает виртуальные каналы ATM от виртуальных каналов Frame Relay? Вари­
анты ответов:
а) двухуровневая иерархия;
б) протокол маршрутизации PNNI;
в) поддержка режима SVC.
12. Какие свойства частной сети имитирует услуга виртуальных частных сетей, предостав­
ляемая провайдером? Варианты ответов:
а) независимость адресных пространств;
б) высокое качество обслуживания;
в) защищенность передаваемых данных;
г) независимость администрирования.
13. Чем отличаются услуги L2VPN и L3VPN? Варианты ответов:
а) при оказании услуг L2VPN в сети провайдера связи используется технология вто­
рого уровня, а при оказании услуг L3VPN — третьего;
б) при оказании услуг L2VPN провайдер соединяет сайты клиента на основе адресной информации второго уровня, а при оказании услуг L3VPN — третьего.