Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Инжиниринг трафика. Виртуальные частные сети



Рассмотрены инжиниринг трафика (ТЕ), виртуальные частные сети, способы построения.

При любом числе пользователей сети ССП требуется решение задач по управлению трафиком. По своему замыслу данная сеть предполагает одновременное существование множества разнотипных потоков. Каждый из таких потоков требует безусловного соблюдения одних параметров передачи и допускает некоторые уступки по другим. Поэтому в периоды возникновения перегрузок сеть может для одного потока урезать полосу пропускания, для другого – увеличить время доставки, а для третьего, например, пренебречь целостностью передаваемых данных. Мультисервисная сеть должна обладать более сложной системой управления по сравнению с системами управления традиционными сетями. Она должна обеспечивать одновременное предоставление множества разнообразных сетевых услуг и передачу по сети разнотипного трафика. Для эффективного управления трафиком необходимо располагать соответствующими аппаратными и программными средствами, позволяющими быстро и гибко предоставлять пользователю любую услугу.

 

Traffic Engineering

Под термином Traffic Engineering понимают методы и механизмы сбалансированной загрузки всех ресурсов сети за счет рационального выбора пути прохождения трафика через сеть. Механизм управления трафиком предоставляет возможность устанавливать явный путь, по которому будут передаваться потоки данных.

При традиционной маршрутизации IP-трафик маршрутизируется посредством его передачи от одной точки назначения к другой и следует до пункта назначения по пути, имеющему наименьшую суммарную метрику сетевого уровня.

Следует заметить, что при наличии в сети нескольких равноценных альтернативных маршрутов трафик делится между ними, и нагрузка на маршрутизаторы и каналы связи распределяется более сбалансированно. Но если маршруты не являются полностью равноценными, распределение трафика между ними не происходит.

Еще один существенный недостаток традиционных методов маршрутизации трафика в сетях IP заключается в том, что пути выбираются без учета текущей загрузки ресурсов сети. Если кратчайший путь уже перегружен, то пакеты все равно будут посылаться по этому пути. Налицо явная ущербность методов распределения ресурсов сети – одни из них работают с перегрузкой, а другие не используются вовсе. Никакие методы QoS данную проблему решить не могут: нужны качественно иные механизмы. Технология управления трафиком – достаточно эффективный механизм использования ресурсов сети.

Основным инструментом выбора и установления путей в ССП сегодня является технология MPLS. Она применяет и развивает концепцию виртуальных каналов в сетях X.25, Frame Relay и ATM, объединяя ее с техникой выбора путей на основе информации о топологии и текущей загрузке сети, получаемой с помощью протоколов маршрутизации сетей IP.

 

MPLS TE

Для решения задачи TE технология MPLS использует расширения протоколов маршрутизации, работающих на основе алгоритма состояния связей. Сегодня такие расширения стандартизованы для протоколов OSPF и IS-IS. Данные протоколы, в отличие от дистанционно-векторных протоколов, к которым относится, например, RIP, дают маршрутизатору полную топологическую информацию о сети. Их объявления содержат информацию о маршрутизаторах и сетях, а также о физических связях между ними. Каждая связь характеризуется текущим состоянием работоспособности и метрикой, в качестве которой используется величина, обратная пропускной способности канала.

Для решения задачи TE в протоколы OSPF и IS-IS включены новые типы объявлений для распространения по сети информации о номинальной и незарезервированной (доступной для потоков TE) пропускной способности каждой связи. Таким образом, ребра результирующего графа сети, создаваемого в топологической базе каждого маршрутизатора, будут маркированы этими двумя дополнительными параметрами (см. рис. 5.2).

Рис. 5.2. Граф сети

Располагая таким графом, а также параметрами потоков, для которых нужно определить пути TE, маршрутизатор может найти рациональное решение, удовлетворяющее, например, одному из сформулированных выше ограничений на коэффициенты использования ресурсов сети, обеспечив тем самым ее сбалансированную загрузку. Для упрощения задачи оптимизации выбор путей для некоторого набора потоков может осуществляется по очереди, при этом в качестве ограничения выступает суммарная загрузка каждого ресурса сети. Обычно считается, что внутренней производительности маршрутизатора достаточно (в среднем) для обслуживания любого трафика, который способны принять интерфейсы маршрутизатора. Поэтому в качестве ограничений выступают только максимально допустимые значения коэффициентов загрузки каналов связи, устанавливаемые индивидуально или же имеющее общее значение. Решение задачи определения маршрута с учетом ограничений получило название Constrained-based Routing, а протокол OSPF с соответствующими расш ирениями – Constrained SPF, или CSPF.

Понятно, что поиск путей TE по очереди снижает качество решения – при одновременном рассмотрении всех потоков можно найти более рациональную загрузку ресурсов. В примере, показанном на рис. 5.3, ограничением является максимально допустимое значение коэффициента использования ресурсов, равное 0, 65.

В варианте 1 решение было найдено при очередности рассмотрения потоков 1 –> 2 –> 3. Для первого потока был выбран путь A-B-C, так как в этом случае он, с одной стороны, удовлетворяет ограничению (все ресурсы вдоль пути – каналы A-B, A-C и соответствующие интерфейсы маршрутизаторов оказываются загруженными на 0, 5/1, 5 = 0, 33), а с другой – обладает минимальной метрикой (65 + 65 = 130). Для второго потока также был выбран путь A-B-C, так как и в этом случае ограничение удовлетворяется – результирующий коэффициент использования оказывается равным (0, 5 + 0, 4)/1, 5 = 0, 6. Третий поток направляется по пути A-D-E-C и загружает ресурсы каналов A-D, D-E и E-C на 0, 3 (метод расчета метрик канала был описан в предыдущей лекции).

Рис. 5.3. Варианты загрузки ресурсов

Решение 1 можно назвать удовлетворительным, так как коэффициент использования любого ресурса в сети не превышает 0, 6.

Однако существует лучший способ, представленный в варианте 2. Здесь по верхнему пути A-B-C были направлены потоки 2 и 3, а поток 1 – по нижнему пути A-D-E-C. Ресурсы верхнего пути оказываются загружены на 0, 46, а нижнего – на 0, 5, т. е. налицо более равномерная загрузка ресурсов, а максимальный коэффициент использования по всем ресурсам сети не превышает 0, 5. Этот вариант может быть получен при одновременном рассмотрении всех трех потоков с учетом ограничения min (max Ki) или же при рассмотрении потоков по очереди в последовательности 2 –> 3 –> 1.

Тем не менее в производимом сегодня оборудовании применяется вариант MPLS TE с последовательным рассмотрением потоков. Он проще в реализации и ближе к стандартным для протоколов OSPF и IS-IS процедурам нахождения кратчайшего пути для одной сети назначения.

В технологии MPLS TE информация о найденном рациональном пути используется полностью – т. е. запоминается не только первый транзитный узел, как в основном режиме маршрутизации IP, а все промежуточные узлы пути вместе с начальным и конечным, т. е. маршрутизация производится от источника. Поэтому достаточно, чтобы поиском путей занимались только пограничные LSR сети, а внутренние – лишь поставляли им информацию о текущем состоянии сети, которая необходима для принятия решений. Такой подход обладает несколькими преимуществами по сравнению с распределенной моделью поиска пути, лежащей в основе стандартных протоколов маршрутизации IP:

он позволяет использовать " внешние" решения, когда пути находятся какой-либо системой оптимизации сети в автономном режиме, а потом прокладываются в сети;

каждый из пограничных LSR может работать по собственной версии алгоритма, в то время как при распределенном поиске на всех LSR необходим идентичный алгоритм, что усложняет построение сети с оборудованием разных производителей;

такой подход разгружает внутренние LSR от работы по поиску путей.

После нахождения пути, независимо от того, найден он был пограничным LSR или внешней системой, его необходимо установить. Для этого в MPLS TE используется специальный протокол сигнализации, который умеет распространять по сети информацию о явном (explicit) маршруте. Сегодня в MPLS TE определено два таких протокола: RSVP с расширениями TE и CR-LDP (таблица 5.1).

 

Таблица 5.1. Сравнение протоколов CR-LDP, RSVP-TE
  CR-LDP RSVP-TE
Используемый транспортный протокол TCP Исходный IP
Надежность операторского класса Нет Да
Поддержка трафика " много точек – точка" Да Да
Поддержка вещательной рассылки Нет Нет
Поддержка слияния LSP Да Да
Явная маршрутизация Со строгими и нестрогими участками маршрута Со строгими и нестрогими участками маршрута
Ремаршрутизация LSP Да Да, путем записи маршрута
Вытеснение потоков в LSP Да, на основе приоритета Да, на основе приоритета
Средства безопасности Да Да
Защита LSP Да Да
Состояние LSP Жесткое Нежесткое
Регенерация состояния LSP Не требуется Периодическая, по участкам
Резервирование совместно используемых ресурсов Нет Да
Обмен параметрами трафика Да Да
Управление трафиком В прямом направлении В обратном направлении
Авторизация пользователей Неявная Явная
Индикация протокола уровня 3 Нет Да
Ограничения в зависимости от класса ресурса Да Нет

 

При установлении нового пути в сообщении сигнализации наряду с последовательностью адресов пути указывается также и резервируемая пропускная способность. Каждый LSR, получив такое сообщение, вычитает запрашиваемую пропускную способность из пула свободной пропускной способности соответствующего интерфейса, а затем объявляет остаток в сообщениях протокола маршрутизации.

 

MPLS VPN

 

Технология MPLS в настоящее время является одной из наиболее перспективных технологий создания VPN.

Использование MPLS для построения VPN позволяет сервис-провайдерам быстро и экономично создавать защищенные виртуальные частные сети любого размера в единой инфраструктуре.

Сеть MPLS VPN делится на две области: IP-сети клиентов и внутренняя (магистральная) сеть провайдера, которая служит для объединения клиентских сетей. В общем случае у каждого клиента может быть несколько территориально обособленных сетей IP, каждая из которых в свою очередь может включать несколько подсетей, связанных маршрутизаторами. Такие территориально изолированные сетевые элементы корпоративной сети принято называть сайтами. Принадлежащие одному клиенту сайты обмениваются IP-пакетами через сеть провайдера MPLS и образуют виртуальную частную сеть этого клиента. Обмен маршрутной информацией в пределах сайта осуществляется по одному из внутренних протоколов маршрутизации IGP. Структура MPLS VPN предполагает наличие трех основных компонентов сети:

· Customer Edge Router, CE – пограничный маршрутизатор клиента (Edge LSR в терминологии MPLS );

· Provider Router, P – внутренний маршрутизатор магистральной сети провайдера (LSR в терминологии MPLS );

· Provider Edge Router, PE – пограничный маршрутизатор сети провайдера.

Рис. 5.4. MPLS VPN

Пограничные маршрутизаторы клиента служат для подключения сайта клиента к магистральной сети провайдера. Эти маршрутизаторы принадлежат сети клиента и ничего не знают о существовании VPN. CE-маршрутизаторы различных сайтов не обмениваются маршрутной информацией непосредственно и даже могут не знать друг о друге. Адресные пространства подсетей, входящих в состав VPN, могут перекрываться, т.е. уникальность адресов должна соблюдаться только в пределах конкретной подсети. Этого удалось добиться преобразованием IP-адреса в VPN -IP-адрес и использованием протокола MP-BGP для работы с этими адресами. Считается, что CE-маршрутизатор относится к одному сайту, но сайт может принадлежать к нескольким VPN.

К PE-маршрутизатору может быть подключено несколько CE-маршрутизаторов, находящихся в разных сайтах и даже относящихся к разным VPN. Маршрутизаторы CE не обязаны поддерживать технологию многопротокольной коммутации, поддержка MPLS нужна только для внутренних интерфейсов PE маршрутизаторов и, конечно, для всех интерфейсов маршрутизаторов P. По функциональному построению более сложными являются пограничные маршрутизаторы сети провайдера. На них возлагается функция поддержки VPN, а именно, разграничение маршрутов и данных, поступающих от разных клиентов. Кроме того, эти маршрутизаторы служат оконечными точками путей LSP между сайтами заказчика.

Каждый PE-маршрутизатор должен поддерживать столько таблиц маршрутизации, сколько сайтов пользователей к нему подсоединено, то есть на одном физическом маршрутизаторе организуется несколько виртуальных. Причем маршрутная информация, касающаяся конкретной VPN, содержится только в PE маршрутизаторах, к которым подсоединены сайты данной VPN. Таким образом решается проблема масштабирования, неизбежно возникающая в случае наличия этой информации во всех маршрутизаторах сети оператора. Под каждый новый сайт клиента РЕ создает отдельную ассоциированную таблицу маршрутизации. Каждой ассоциированной таблице маршрутизации в маршрутизаторе PE присваивается один или несколько атрибутов RT, которые определяют набор сайтов, входящих в конкретную VPN. Помимо этого, маршрут может быть ассоциирован с атрибутом VPN of Origin, который однозначно идентифицирует группу сайтов и соответствующий маршрут, объявленный одним из маршрутизаторов этих сайтах; и с атрибутом Site of Origin, идентифицирующим сайт, от которого маршрутизатор РЕ получил информацию о данном маршруте. Через маршрутизаторы PE проходит невидимая граница между зоной клиентских сайтов и зоной ядра провайдера. По одну сторону располагаются интерфейсы, через которые PE взаимодействует с маршрутизаторами P, а по другую – интерфейсы, к которым подключаются сайты клиентов. С одной стороны на PE поступают объявления о маршрутах магистральной сети, с другой стороны – объявления о маршрутах в сетях клиентов.

Ограничение области распространения маршрутной информации пределами отдельных VPN изолирует адресные пространства каждой VPN, позволяя применять в ее пределах как публичные адреса Интернет, так и частные (private) адреса.

Всем адресам адресного пространства одной VPN добавляется префикс, называемый различителем маршрутов (Route Distinguisher, RD), который уникально идентифицирует эту VPN. В результате на маршрутизаторе PE все адреса, относящиеся к разным VPN, обязательно будут отличаться друг от друга, даже если они имеют совпадающую часть – адрес IP.

Обмен маршрутной информацией между сайтами каждой отдельной VPN выполняется под управлением протокола MP-BGP (Multiprotocol BGP).

MPLS не обеспечивает безопасность за счет шифрования и аутентификации, как это делает IPSec, но допускает применение данных технологий как дополнительных мер защиты. Провайдер MPLS может предлагать клиентам услуги гарантированного качества обслуживания при использовании методов Traffic Engineering или DiffServ.

Виртуальные сети VPN MPLS ориентированы на построение защищенной корпоративной сети клиента на базе частной сетевой инфраструктуры одной компании. Данный вариант организации сочетает в себе преимущества применения протокола IP с безопасностью частных сетей и предоставляемым качеством обслуживания, которые дает технология MPLS. Сети MPLS VPN больше всего подходят для создания корпоративного пространства для электронной коммерции, обеспечивающего единую сетевую среду для подразделений корпорации и организацию экстрасетей. Они также могут стать основой для электронной коммерческой деятельности предприятия.

 

Применение туннелей для VPN

Протоколы защищенного канала, как правило, используют в своей работе механизм туннелирования. С помощью данной методики пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой " отправитель – получатель данных" устанавливается своеобразный туннель – безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.

Технология туннелирования позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Такой зашифрованный пакет помещается в другой пакет с открытым заголовком. Этот заголовок используют для транспортировки данных на участке общей сети. В граничной точке защищенного канала извлекается зашифрованный заголовок, который будет использоваться для дальнейшей передачи пакета. Как правило, туннель создается только на участке сети общего пользования, где существует угроза нарушения конфиденциальности и целостности данных. Помимо защиты передаваемой информации, механизм туннелирования используют для обеспечения целостности и аутентичности. При этом защита потока реализуется более полно.

Туннелирование применяется также и для согласования разных транспортных технологий, если данные одного протокола транспортного уровня необходимо передать через транзитную сеть с другим транспортным протоколом. Следует отметить, что процесс туннелирования не зависит от того, с какой целью он применяется. Сам по себе механизм туннелирования не защищает данные от несанкционированного доступа или от искажений, он лишь создает предпосылки для защиты всех полей исходного пакета. Для обеспечения секретности передаваемых данных пакеты на транспортном уровне шифруются и передаются по транзитной сети.

 


Поделиться:



Популярное:

  1. II. Организация локальной вычислительной сети.
  2. II. Разделы социологии: частные социальные науки
  3. IV. Каков процент ваших друзей в соцсети - это люди, с которыми вы никогда не общались в реальности?
  4. А теперь предлагаю вам вернуться к главе 3 – к списку других видов посреднической деятельности. Думаю, вас посетит множество новых идей.
  5. Анализ мотивации трудовой деятельности в УП «Новороссийские горэлектросети»
  6. Архитектура базовой сети SAE
  7. Архитектура многослойной сети прямого распространения.
  8. Архитектура сотовых сетей связи и сети абонентского доступа
  9. Белки является способность образовывать более высокого порядка структуры, такие как разветвленные сети.
  10. В этом аудите сделаны основные акценты на самые важные моменты для усиление конверсии и заинтересованности посетителей (то есть аудит НЕ является окончательно полным).
  11. Влияние оконечного оборудования и сети на показатели качества речи
  12. Выбор номинальных напряжений электрической сети


Последнее изменение этой страницы: 2017-03-11; Просмотров: 991; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.028 с.)
Главная | Случайная страница | Обратная связь