By VPN едва ли можно назвать новостью в мире сетевых технологий, однако это тот случай, когда на каждых трех высказывающихся на эту тему приходится четыре или больше представлений о том, что же на самом деле обсуждается.
Историческая справка
Что такое VPN?
Что же такое виртуальные частные сети (virtual private network, VPN), и что на самом деле подразумевается под этим термином?
Наиболее часто специалистами приводятся следующие основные определения виртуальной частной сети:
• Совокупность соединений frame relay или ATM между узлами, изолированная от других пользователей той же самой инфраструктуры frame relay или ATM благодаря механизму виртуальных каналов. Данная разновидность VPN заменяет различные типы арендуемых линий для соединения определенных точек.
• IP-туннели между узлами, реализованные в отдельной IP-инфраструктуре — сети IP, которая не поддерживается ни одним из основных Internet-провайдеров.
• IP-туннели между узлами, реализованные в общей инфраструктуре Internet.
• IP-туннели, которые соединяют поддерживаемые Internet-провайдером концентраторы удаленного доступа по телефонному номеру с корпоративным брандмауэром. При этом всю логику и управление обеспечивает Internet-провайдер.
• IP-туннели между удаленным пользователем и корпоративным брандмауэром с распределением логических и управляющих функций между пользовательским компьютером и брандмауэром.
• IP-туннели между программой клиента, которая выполняется на пользовательском компьютере, и сервером, расположенным в том же самом или в другом узле.
• IP-туннели между провайдером специализированных услуг на базе Internet, — например, пейджинговой компанией — и брандмауэром или сервером узла.
Дополнительную путаницу создает возможность использования в IP-туннелях протоколов, отличных от IP, а также наличие или отсутствие механизмов шифрования.
Между первым из приведенных выше определений и всеми остальными есть четкое различие. По существу, службы VPN на базе ATM или сети с трансляцией кадров — это общепринятые телефонные службы. Они лишь слегка усовершенствованы по сравнению с обычными выделенными линиями. В виртуальных частных сетях этого типа обеспечение всех управляющих и других функций, выходящих за рамки возможностей соединений уровня 2, возлагается на покупателя услуги. Заказчик волен использовать эти каналы по своему усмотрению — от организации корпоративной АТС и видеоконференций до сетей передачи данных.
Во всех остальных определениях упоминается протокол IP, но на этом их сходство и заканчивается.
В одних случаях VPN представляет собой специальную услугу Internet-провайдера. В других это просто нечто подобное обычному IP-соединению в сети.
Образование туннелей на основе протокола IP тоже создает условия для дополнительной путаницы. IP-туннелинг — это инкапсуляция пакета данных в обычный IP-пакет и передача его по IP-сети. Инкапсулированный пакет не обязательно сам должен быть IP-пакетом, кроме того, инкапсуляция может сопровождаться шифрованием для большей безопасности.
Ввиду существования такого разброса мнений попробуем все-таки дать определение, что же такое виртуальная частная сеть на основе протокола IP в ее традиционном понимании: «Виртуальная частная сеть (VPN) — соединение, установленное между двумя или несколькими точками доступа в общедоступную часть Internet и защищенное от «прослушивания» и модификации с помощью средств шифрования. Между узлами VPN, разделенными общедоступной частью Internet, информация передается посредством IP-пакетов, в которых данные зашифрованы. Этот метод передачи данных называется туннелированием».
Основной причиной появления и использования VPN была и остается их относительно низкая стоимость: компаниям дешевле воспользоваться услугами провайдеров по созданию и независимому сопровождению распределенных корпоративных сетей (VPN часто проектируются и поддерживаются Internet-провайдерами), чем тратить деньги на построение собственных глобальных сетей. Структура VPN включает в себя каналы глобальной сети, защищенные протоколы и маршрутизаторы. Виртуальные частные сети в настоящее время применяются главным образом в качестве альтернативы сетям удаленного доступа и международным сетям.
Сеть VPN можно соорудить, используя разные технологии, однако независимо от подхода суть одна — эта система должна обеспечивать безопасную связь внутри контролируемой группы пользователей по открытой инфраструктуре. Специальное устройство на границе корпоративной сети устанавливает «туннель», по которому проходит зашифрованный трафик.
Использование такой системы позволяет создавать безопасные информационные связи через глобальную сеть и за счет использования сети Internet резко снизить затраты. Уже существуют примеры обеспечения доступа с помощью подобных систем всех пользователей корпоративной сети, включая бизнес-партнеров, мобильных пользователей и клиентов компании.
Виртуальные частные сети MPLS
В последнее время появился и широко обсуждается специалистами новый термин: виртуальные частные сети MPLS — MPLS VPN. С точки зрения приведенного ранее определения само по себе это название звучит странно — как можно виртуальные каналы MPLS называть VPN? В конце концов, трафик MPLS VPN не шифруется, он даже не идет через Интернет.
Итак, начнем с того, почему все-таки каналы MPLS можно назвать VPN.
В то время как технология IPsec VPN создает виртуальные каналы через Интернет, MPLS организует такие же каналы через сеть поставщика услуг. Являются ли каналы MPLS менее «закрытыми» оттого, что данные в них не шифруются? Стоит ли предприятиям и организациям игнорировать MPLS VPN только потому, что они проходят через сети сервис-провайдеров? Конечно, нет! Большинству предприятий гораздо выгоднее не развертывать свои собственные сети на базе арендованных линий связи, воспользоваться услугами операторов по организации корпоративных WAN-сетей посредством MPLS. И возможно, в будущем мы станем свидетелями появления самоорганизующихся по требованию WAN-сетей, основанных на технологии MPLS VPN.
Немного теории
В сетях MPLS используется новое адресное пространство, создаваемое метками MPLS. Механизм меток чем-то напоминает сопровождение данных тегами в виртуальных ЛВС Ethernet, но в отличие от последнего позволяет работать с разными протоколами. Технология MPLS представляет интерес, прежде всего, благодаря высокой скорости обработки пакетов и широким возможностям по управлению трафиком; провайдеры используют ее, чтобы, оставив IP в качестве «каркаса» сети, получить контроль над использованием полосы пропускания. Сочетание гибкости IP c возможностями по управлению трафиком — вот в чем главная прелесть MPLS. Метки MPLS формируют траекторию маркированного маршрута (Label Switch Path — LSP). Они определяют направление пересылки на каждом узле сети MPLS. Кроме высокой скорости при обработке трафика, в системах MPLS имеются и другие преимущества: прозрачность сетевых адресов (третьего уровня), высокий уровень конфиденциальности связи, масштабируемость и четко определенные границы управления.
Еще раз о терминологии
Вернемся к словам о том, что «каналы MPLS можно назвать VPN». Это так. Но термин VPN здесь используется несколько в ином значении. Классическая технология VPN обеспечивает передачу информации по зашифрованным туннелям поверх протокола третьего (сетевого) уровня. Шифрование делает невозможным чтение посторонними адреса и содержимого передаваемого пакета. Зашифрованная информация передается по сети и расшифровывается узлом-получателем. MPLS VPN — это тоже частные виртуальные каналы, подобно IPsec или PPTP (Point-to-Point Tunneling Protocol) VPN, но на этом вся их схожесть и заканчивается. В MPLS VPN нет никакого шифрования. Пакеты «прячутся» от посторонних глаз, поскольку передаются по маршруту меток MPLS. Трафик с определенными метками читают только маршрутизаторы LSR (Label Switch Routers), находящиеся на маркированном маршруте. Обычные способы IP-маршрутизации в сети MPLS не применяются — трафик передается только вдоль траекторий меток. Подобный уровень безопасности обеспечивается и в сетях АТМ и Frame Relay, где информация «путешествует» по виртуальным каналам тоже в незашифрованном виде. Но, собственно говоря, никто не запрещает вам дополнительно шифровать пакеты MPLS. Каждый клиент хочет, чтобы провайдер услуг VPN связал между собой его сети, при этом полученная единая сеть должна быть совершенно изолирована от подобных сетей других клиентов. Эту задачу современному провайдеру приходится решать в противоречивых условиях доминирования технологии IP как универсального транспорта. Действительно, один из основных принципов работы составной сети IP заключается в автоматическом связывании всех сетей в одно целое за счет распространения по сети маршрутной информации протоколами маршрутизации — такими, как BGP, OSPF, IS-IS, RIP. С помощью подобного механизма на каждом маршрутизаторе сети создается таблица маршрутизации, в которой указываются пути следования пакетов к каждой из сетей, включенных в составную сеть (пути к отдельным сетям могут агрегироваться, но это не меняет сути рассматриваемого вопроса). Конечно, провайдер может вообще отказаться от протокола IP для объединения сайтов клиента, предложив подключаться к своим сетям по другим протоколам, чаще всего по frame relay и ATM. Но тогда теряется возможность оказывать клиенту услуги IP, что в современных условиях практически обесценивает предоставляемую услугу. Конечно, можно поддерживать различные наборы услуг с помощью разных протоколов (так и поступают многие провайдеры), но и это не самое лучшее решение — и клиенту, и провайдеру смесь протоколов создает массу сложностей. Привлекательность MPLS VPN состоит именно в том, что они относятся к классу услуг IP, причем изолированность сетей достигается без отказа от этого «всепроникающего» протокола. Как же технология MPLS VPN разрешает парадокс обеспечения изолированности при сохранении связности? Достаточно элегантно: за счет автоматической фильтрации маршрутных объявлений и применения туннелей MPLS для передачи клиентского трафика по внутренней сети провайдера. Основополагающим требованием к VPN-сетям является невозможность неконтролируемого выхода трафика клиента за пределы сети VPN и смешения его с потоками данных других сетей, и в этом смысле технология MPLS VPN полностью отвечает этим требованиям. MPLS позволяет снизить затраты на организацию VPN в 2-10 раз по сравнению с традиционными контролируемыми VPN-технологиями, основанными на выделенных линиях — такими, как ATM, Frame Relay, а значит, сделать их более дешевыми для клиента. Технически сети MPLS VPN значительно превосходят указанные технологии, так как представляют собой сети без предварительного установления соединения, что значительно упрощает их реализацию и ускоряет подключение клиентов. Пиринговая модель MPLS VPN не требует от клиента настройки сложной полносвязной топологии между всеми филиалами, входящими в данную сеть VPN. Вместо этого клиент настраивает пиринг лишь с PE-оборудованием провайдера.
MPLS VPN в использовании
Классические сети WAN сервис-провайдеры организуют с помощью технологий физического и канального уровней. Это означает, что предприятие, имеющее в своей структуре несколько офисов, приобретает линии связи, например Е1, от каждого офиса к сети провайдера услуг; а протокол канального уровня (например Frame Relay) используется для передачи трафика между пограничными устройствами через сеть провайдера. При организации сети WAN через инфраструктуру MPLS все происходит почти так же. В каждой точке подключения предприятию потребуется канал доступа, ну, а далее вместо того, чтобы следовать по сети провайдера, построенной, например, по технологии или Frame Relay, трафик пойдет по каналам MPLS VPN, созданным посредством MPLS-меток. Для корпоративных пользователей это означает, что не нужно ничего менять в настройках и способах доступа — надо лишь установить соединения с граничным маршрутизатором провайдера. Для каждого интерфейса на PE-маршрутизаторе формируется своя таблица маршрутизации VRF (VPN Routing and Forwarding). Она является основным элементом MPLS BGP VPN. В ней хранятся данные о маршрутах, информация о которых получена от клиентских маршрутизаторов.
Что дает использование MPLS VPN конечному потребителю?
Традиционные сети WAN обходятся предприятиям очень и очень дорого, и именно использование услуг оператора связи, применяющего для предоставления сервисов технологию MPLS, позволяет реально экономить деньги предприятиям. Попробуем перечислить хотя бы некоторые задачи, требующие использования предприятием корпоративных WAN-сетей и показать, как технология MPLS VPN (а по большому счету операторская сеть, использующая технологии MPLS) позволяет решать их на новом уровне и с меньшими затратами:
Связь между удаленными офисами и с удаленными пользователями. При этом на первый план выходят требования безопасности, скорости и качества обслуживания.
Централизованная обработка данных. Сегодня практически ни одно предприятие не обходится без Data-центра в том или ином виде: от небольшого файл-сервера до распределенных центров хранения и обработки информации с сотнями терабайт дискового пространства и десятками и сотнями серверов.
IP-телефония. Наиболее распространенным сервисом, внедряемым сегодня на многих предприятиях, является IP-телефония (IPT). Многие компании считают внедрение IP-телефонии обязательным условием успешной деятельности.
Видеоконференц-связь и видеотелефония. Согласно исследованиям специалистов в области психологии общения, только 7% информации человек получает из устной речи, 38% информации заключено в интонации голоса и мимике, а 55% — содержится в жестах, иными словами, в невербальных средствах общения. Важно не то, что мы говорим, а то, как мы это говорим.
Видеоконференции повышают эффективность деловых переговоров, способствуют более быстрому принятию решений, экономят время и затраты на деловые поездки сотрудников, могут также решаться задачи дистанционного обучения.
Голосовые услуги VoIP
Голосовые услуги в IP-сетях становятся все более популярными, особенно в enterprise-сегменте. По данным независимых источников, в отдельных отраслях рост составляет до 10% в год. Однако есть важный фактор, который существенно тормозит развитие и продвижение VoIP в корпоративных сетях — отсутствие гарантированного качества сервиса. Без усовершенствования сетевого протокола, который допускает конвергенцию голоса и сетей передачи данных, отдавая соответствующий приоритет голосовым пакетам, развертывание VoIP грозит хроническими проблемами качества и задержками передачи.
Единственный сетевой протокол, способный прийти на помощь VoIP, MPLS. Для корпоративных пользователей, использующих модель VPN, базирующуюся на MPLS, этот протокол уже доказал свою привлекательность и работоспособность. В Узбекистане уже есть положительный опыт развертывания внутренних корпоративных сетей пакетной телефонии поверх MPLS VPN-каналов, предоставляемых операторами связи. Главным ограничением подобных систем является трудность для предприятий организации стыковки внутренней корпоративной телефонной системы VoIP с телефонными сетями общего пользования или существующей внутренней корпоративной телефонной системой на базе традиционных УАТС. Как правило, это влечет за собой покупку дорогостоящего оборудования IP УАТС или программно-аппаратных комплексов типа CISCO CALL MANAGER.
Более экономичным и быстрым способом перехода к использованию технологии пакетной передачи голоса с целью снижения затрат предприятия на междугородную связь в пределах Республики Узбекистан является использование услуг оператора, предоставляющего в промышленном масштабе как услуги MPLS VPN, так и услуги пакетной передачи голоса с использованием собственной транспортной IP MPLS-сети и коммутаторов Soft Switch.
Примером такой сети является первая в Узбекистане NGN-сеть компании East Telecom (NGN Next Generation Network, или сеть нового поколения). При использовании услуг от NGN-оператора предприятие сокращает свои затраты на междугородный телефонный трафик при разовых капиталовложениях, не сравнимых с затратами на приобретение собственных IP УАТС или программных коммутаторов.
Услуги нового мира
телекоммуникаций
Технология MPLS представляет собой своеобразный технологический ключ, открывающий дорогу в новый мир услуг IP VPN. Как уже говорилось ранее, в настоящий момент MPLS является единственной технологией, способной обеспечить качество передачи по IP-сетям, передачу чувствительного к задержкам трафика и тем самым обеспечить фундамент для внедрения в корпоративной сети новых услуг телекоммуникаций — таких, как передача в реальном масштабе времени видеоизображения. Таким образом, в корпоративных сетях, построенных на основе MPLS VPN, становится возможным использование таких сервисов, как видеотелефония, видеоконференц-связь, удаленное видеонаблюдение и т.п.
Стоит сразу оговориться, что, как и в случае с VoIP, есть два варианта решения для развертывания на корпоративной сети сервисов нового мира телекоммуникаций. В первом случае создается собственная система видеоконференц-связи и видеотелефонии предприятия, когда серверы видеотелефонной и видеоконференц-связи устанавливаются непосредственно внутри корпоративной сети. Примерами таких решений является и упоминаемый ранее аппаратно-программный комплекс CISCO CALL MANAGER с подключенными видеотелефонами CISCO SYSTEMS и решения на базе серверов групповых видеоконференций от таких компаний, как, например, Polycom, HUAWEI или CISCO SYSTEMS. Опять же нужно сразу оговаривать, что стоимость владения такими системами чисто для внутрикорпоративного использования очень высока как в части серверного оборудования, так и в части необходимости оплачивать на постоянной основе каналы связи с высокой пропускной способностью.
Как и в случае с VoIP, более экономичным и быстрым способом перехода к использованию новых высокотехнологичных услуг является использование услуг оператора, предоставляющего в промышленном масштабе услуги видеотелефонии и видеоконференц-связи с использованием собственной транспортной IP MPLS-сети и собственных серверов мультимедийных услуг.
Как уже упоминалось ранее, примером оператора, предоставляющего весь перечень услуг, связанных с передачей видеоизображения в Узбекистане, является компания East Telecom, предоставляющая эти услуги в промышленном масштабе на базе собственной транспортной IP MPLS-сети, коммутаторов Soft Switch и серверов групповых видеоконференций.
При использовании услуг от оператора предприятие имеет возможность быстро внедрить самые современные услуги телекоммуникаций — таких, как видеоконференц-связь и видеотелефония при разовых капиталовложениях, не сравнимых с затратами на приобретение собственных систем видеоконференц-связи и программных коммутаторов. Оплата за услуги производится по факту их потребления, а динамическое выделение нужной полосы пропускания для мультимедийных сервисов на стороне оператора снимает с предприятия необходимость постоянно держать за собой и оплачивать каналы связи, пропускная способность которых превышает необходимую для повседневной деятельности и обычной передачи данных.
При этом, конечно же, следует отметить тот немаловажный факт, что данные услуги не будут замкнуты внутри корпоративной сети предприятия — абоненты видеотелефонии предприятия смогут общаться с другими абонентами оператора, а это, как правило, смежные предприятия и ведомства, а сеансы видеоконференц-связи могут проводиться не только между подразделениями предприятия, но и между несколькими предприятиями (министерствами и ведомствами).
Обеспечение работы
корпоративных приложений
Все без исключения предприятия, министерства и ведомства постоянно сталкиваются со все возрастающим объемом информации, требующим обработки. Единственным способом, позволяющим своевременно обеспечивать обработку этой информационной лавины, является внедрение современных корпоративных систем документооборота и прикладных приложений, построенных на архитектуре «Клиент-Сервер». К числу таких приложений относятся системы групповой работы, например Lotus Domino или Microsoft SharePoint, всевозможные ERP и CRM-системы, приложения централизованной обработки баз данных, или так называемые «хранилища» данных. Максимальный эффект от внедрения таких систем проявляется при обеспечении работы с централизованными хранилищами данных в реальном режиме времени (on-line), когда данные сразу же после ввода их с клиентского терминала, независимо от места его расположения, отражаются в централизованном хранилище. Только в этом случае информация в целом по предприятию доступна для обработки и анализа в реальном времени, без ожидания, когда произойдет репликация или доставка локально собранной информации на местах к месту ее централизованной обработки.
Учитывая, что различные системы обработки информации не всегда создаются (или создавались в недавнем прошлом) с учетом особенностей работы в WAN-сетях на основе IP-протокола, именно использование возможностей, предоставляемых технологией MPLS и, в частности, MPLS VPN, является ключевым фактором, позволяющим легко и быстро развернуть эти приложения на всю корпоративную сеть, независимо от ее размера и протяженности.
Технологии MPLS VPN позволяют создавать виртуальные частные сети как на 2-м (MPLS L2 VPN, например с использованием технологии VPLS), так и на 3-м уровне (MPLS L3 VPN) сетевой модели. Это означает, что предприятие уже не ограничено требованиями, предъявляемыми WAN-сетью оператора к используемым для работы приложения протоколам. Если приложение заказчика работает в локальной сети и использует для работы немаршрутизируемые протоколы второго уровня, то оно будет работать без необходимости каких-либо переделок в глобальной WAN-сети на основе MPLS L2 VPN-каналов, предоставляемых оператором.
Упомянутая проблема носит, конечно, более или менее локальный характер, поскольку возникает в первую очередь при использовании так называемых «унаследованных» приложений, то есть приложений, которые были созданы ранее и требуют больших затрат на их модернизацию. Современные системы, конечно же, уже рассчитаны на работу в среде IP-сетей, но даже для них использование MPLS L3 VPN является ключевым фактором обеспечения качества их работы. Дело в том, что использование технологии MPLS предоставляет оператору реальные механизмы обеспечения сквозного качества обслуживания на своей сети и предприятия уже могут требовать заключения с оператором соглашения об уровне обслуживания (SLA Service Level Agreement) для обеспечения качественной работы своих приложений.
Почему IP MPLS VPN и ничего другого?
Качество
MPLS, или многопротокольная коммутация с использованием меток (Multiprotocol Label Switching), поддерживает все виды современной связи — передачу данных, цифровую телефонию, видеоконференц-связь, передачу телевизионного сигнала.
Преимуществом новой технологии является более высокая скорость продвижения IP-пакетов по сети за счет сокращения времени обработки маршрутной информации. Полное обособление друг от друга виртуальных корпоративных сетей. Свободный пропуск трафика протоколов Ethernet, Frame Relay или ATM, что позволяет подключать клиентов, которые еще продолжают их использовать.
На базе этой сети возможны оказание услуг IP-телефонии, трансляция видеопрограмм, наружное видеонаблюдение, дистанционное обучение, работа виртуальных справочных систем, видеоконференции, заказ и бронирование железнодорожных и авиабилетов, дистанционный контроль потребления воды и тепла в офисах предприятия и многое другое.
Отличительная черта MPLS-коммутации — возможность расширения корпоративной сети в будущем без существенных дополнительных затрат на организацию новых каналов связи.
Экономическая эффективность
Использование VPN позволяет предприятиям сократить затраты на создание и содержание корпоративной инфраструктуры. Причем экономическая выгода весьма ощутима. Предприятие избавляется от необходимости заказа дорогостоящих каналов для создания корпоративной сети связи и поддержания расширенного парка телекоммуникационного оборудования.
Пока основными пользователями IP VPN остаются крупные корпорации с территориально распределенной структурой офисов. Однако услугами сетей на базе этой технологии могут воспользоваться не только крупные, но и средние предприятия, небольшие компании, имеющие потребности в передаче разнородного трафика данных (Интернет, голос, видео) между географически удаленными офисами. Заказчиками передачи информации по VPN могут быть банковские сети, сети супермаркетов, учебные заведения, небольшие магазины.
Конкурентоспособность услуг оператора достигается за счет более эффективного использования оператором своей сети, построенной на IP-технологии, экономии на телефонных звонках между географически разнесенными офисами, в целом за счет резкого повышения эффективности управления бизнесом.
Принципиальным отличием подписки на перечисленные услуги от самостоятельного внедрения соответствующего конечного решения является то, что в первом случае получение «со стороны» некой функциональности корпоративной сети позволяет заказчику сосредоточиться на ее использовании для нужд бизнеса. При этом он может не задумываться о поддержке, оптимизации и модернизации технического решения.
Кроме того, при аренде любой сетевой службы или приложения заказчику не нужно вкладывать средства в множество инфраструктурных элементов (серверы, оборудование, ПО), необходимых для получения требуемой функциональности информационной системы. Он не должен тратить деньги на обучение своего персонала — достаточно того, что провайдер услуг располагает штатом высококвалифицированных специалистов. Наконец, ему не приходится вкладывать средства в обеспечение бесперебойной «работоспособности» услуги, поскольку центры сетевого управления крупных операторов — таких, как, например, СП East Telecom, ведут наблюдение за качеством и доступностью сервисов в круглосуточном режиме.
Итак, понятно, что аутсорсинг услуг — не просто привлекательная альтернатива самостоятельно эксплуатируемому решению, а экономически осознанная необходимость.
Разумеется, для крупных клиентов, имеющих территориально распределенную структуру филиалов и офисов, важен и размер самого провайдера услуг. Чем меньше межсетевых стыков и шлюзов, чем меньше центров управления услугами задействуется при организации сквозного сервиса, тем более надежной является сетевая инфраструктура и тем легче определить причину инцидента, если таковой все же случится. В идеале каждого корпоративного клиента должен обслуживать какой-либо один телекоммуникационный провайдер.
Если говорить о нынешней клиентской базе уже упоминавшегося оператора СП East Telecom, то современные услуги MPLS VPN, междугородной телефонии на базе сети NGN, видеотелефонии и видеоконференц-связи уже обрели популярность среди ряда предприятий министерств и ведомств Республики Узбекистан. Этому способствуют постепенное внедрение корпоративными клиентами и госструктурами средств электронного ведения бизнеса и благоприятная экономическая ситуация в стране, побуждающая компании расширять внешние связи.
Comments