В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Алексей Токарев
Эксперт отдела системных решений, руководитель проектов
мультисервисных сетей, департамент продаж компании "Телекор"
Значительные изменения произошли в последнее время в модели
построения современной сети передачи данных операторов. Выбор модели сети непосредственно
влияет на:
• оптимизацию затрат;
• защиту инвестиций;
• лояльность пользователей;
• повышение доходности;
• обеспечение технологического преимущества на территории развертывания.
Наблюдается естественное противоречие между стремлением следовать апробированным годами решениям и выбором современных технологических схем. Показателен пример: известная компания начала прокладывать оптику в каждый дом и устанавливать управляемые коммутаторы доступа в то время, когда данная схема сети была в России далеко не массовой. Эталоном считался вариант применения витой пары или использование радиомостов на уровне доступа с установкой самых дешевых неуправляемых коммутаторов. В ядре сети, конечно, позиционировалось дорогое оборудование мирового лидера.
Компании, выбравшие устаревшую модель сети, в итоге
проиграли: они либо покинули рынок, либо были вынуждены полученные доходы
тратить на модернизацию. Рекомендации построения успешного бизнеса: не бояться
уйти от принятого местного "эталона" связи, а взять на вооружение
современную модель построения сети и соответствующие технологические решения.
Основные отличия современной концепции отражены в таблице.
Рассмотрим подробнее приведенные параметры.
Таблица. Модели
мультисервисной MetroEthernet-сети
Сети предшествующего поколения были рассчитаны на одну
услугу и одну категорию пользователей. Имевшееся в наличии оборудование просто
не позволяло обеспечить конфиденциальность передаваемых данных и гарантировать
доставку различных сервисов.
Бюджетные коммутаторы поддержи вали малое количество VLAN
(виланов), что не позволяло организовать "вилан на пользователя" или
построить виртуальную частную сеть (VPN) с трансляцией клиентских VLAN через
сеть провайдера.
Вследствие этого возникла логическая схема, которую можно
назвать "вилан на квартал", когда группа пользователей объединялась в
одном VLAN. Данной схеме присущи следующие недостатки:
• ARP spoofing – возможность для злоумышленника перехватывать электронную почту, пересылаемые файлы и иную конфиденциальную информацию других пользователей сети. В этом случае абонент A сканирует свой сегмент сети, выясняет IP- и MAC-адреса абонентов, посылая им широковещательный запрос (ARP-request) c их IP-адресом. Затем злоумышленник направляет им ARP-request с указанием своего адреса как адреса шлюза или, например, почтового сервера. Компьютер жертвы заносит эту информацию в свою адресную таблицу. В итоге абоненты C и B, находящиеся в одной VLAN, будут направлять весь свой трафик через компьютер хакера, который является прозрачным мостом для всех отправляемых и получаемых ими пакетов. Причем жертва подобной атаки может длительное время не знать об утечке информации.
• Юникаст-шторм – злоумышленник или вирус способен увеличить нагрузку на все коммутаторы в сети, рассылая запросы ARP с неизвестными MAC-адресами и вызывая Unicast Storm, по эффекту равный шторму бродкаста (широковещательной рассылки).
• Подмена
биллинговой информации – единственным средством учета и контроля пользователей
в общем домене является проверка логина/пароля. Если другой пользователь их
узнает, то для установления злоумышленника остается лишь поиск по архиву событий
данного МАС-адреса. Однако смена МАС-адреса на современных компьютерах
производится с помощью "мышки" и занимает несколько секунд.
Жесткая привязка к МАС-адресу создает неудобства для
пользователя, который будет не в состоянии самостоятельно подключить к сети
другой компьютер или иное сетевое устройство – например, переносной компьютер с
работы или точку доступа.
• Низкий ARPU (усредненный доход оператора на одного пользователя) – при наличии общего домена пользователи могут свободно обмениваться видеофильмами, музыкой, играть в сетевые игры, общаться на внутренних серверах сети. Они никак не заинтересованы в смене тарифного плана.
• Негарантированная доставка – в рамках общего домена невозможно точно планировать реальную загрузку линий связи, что может привести к перегрузкам и потере информации.
Многие решения, даже хорошо себя зарекомендовавшие в компактных сетях, оказываются плохо масштабируемыми и вызывающими чрезмерные расходы.
Типичным примером является программная реализация BRAS. В малом масштабе сети BRAS можно построить на основе персонального компьютера. Однако при росте масштаба сети требуются десятки таких компьютеров, порты и коммутационное оборудование для подключения их к сети, возникают сложности с внесением изменений и балансировкой нагрузки.
Первым вариантом было использование локальных правил доступа, содержащихся в списках доступа и выполняемых локальным коммутатором. Данная схема создавала большую нагрузку на бюджетное оборудование, не обладающее к тому же полным функционалом по контролю трафика, и исключала возможность тотального контроля состояния сети. Изменения приходилось вносить вручную или с помощью специальных скриптов, выполнение которых не гарантировано.
Вследствие этого формировалась плохо управляемая, непрозрачная система контроля пользователей, допускавшая наличие в сети сотен или даже тысяч неучтенных пользователей или пользователей с неверными условиями подключения – вследствие ошибок при ручном управлении или невыполнения скриптов на изменение листов доступа.
Только аппаратно-реализованный специализированный BRAS предоставляет полный набор функциональных возможностей для анализа трафика и создания гибких условий, задаваемых сразу на группы пользователей из единой точки управления и контроля. BRAS также позволяет создать динамический портал, дающий пользователям право самостоятельно выбирать и расширять набор получаемых услуг без нагрузки на абонентские службы провайдера. В результате доступ к сервисам стал значительно легче, что способствует росту пользователей новых услуг.
Сегодня листы доступа (acl) применяются не для создания правил доступа абонента в сеть, а для формирования сервисных виланов (QinQ Selective) и обеспечения высокого качества обслуживания (QoS).
Прежняя модель предполагала широкое использование IP-маршрутизации. Начиная с уровня распределения доставка пакетов велась на основе IP-протокола, ключевым параметром пользователя был его IP-адрес.
Сейчас наметилась тенденция к минимальному использованию IP-протокола. Развитие функционала коммутаторов позволяет использовать Ethernet-коммутацию на всех уровнях сети, что при меньших затратах делает сеть более производительной. Выше ядра информация доставляется средствами MPLS-технологий. Главным критерием пользователя является его порт входа в сеть провайдера.
РРТР был первым протоколом, созданным для подключения конечных пользователей на основе IP-маршрутизации. На сегодняшний день он считается устаревшим – вследствие стремления к отказу от IP-маршрутизации внутри сети и перехода к более производительной и менее затратной Ethernet-коммутации. В новой модели сети применяются PPPoE или Clips (DHCP op.82, DHCP snooping, IP Source Guard). С распространением централизованной схемы учета и контроля пользователей на оборудовании BRAS наибольшую популярность приобрел протокол PPPoE. Сочетание PPPoE и технологий QinQ позволяет сделать привязку пользователя к порту входа в сеть провайдера, а проверка логина/пароля остается для подтверждения контракта пользователя.
802.1x-технология создана и особенно хороша для корпоративной локальной сети, она защищает сеть от несанкционированного доступа, подключает компьютер к определенным ресурсам данной сети, но неудобна для Metro Ethernet.
Причины:
• Авторизацию, по сути, проходит конкретный компьютер клиента – в корпоративной LAN так и надо. А домашний пользователь имеет право принести компьютер с работы, купить новый, установить точку доступа. В доме может быть не один, а два компьютера.
• Привязка к МАС делает сервис некомфортным, пользователь платит не за компьютер, а за доступ, при этом он не привык обращаться, например, в телефонную компанию за разрешением подключить другой телефонный аппарат.
• Блокировка доступа в сеть пользователя, самостоятельно назначившего себе адреса, необходима и выполняется также в схемах Clips (DHCP op.82, DHCP snooping, IP Source Guard) и PPPoE. Порт коммутатора пропускает только запрос DHCP и открывает доступ после назначения адреса сверху. Аналогично коммутатор пропускает исключительно запросы на PPP и блокирует иной трафик.
Очевидна тенденция к центральному контролю под управлением
BRAS. При переходе к модели Ethernet-коммутации на всей сети и "вилану на
пользователя" РРРоЕ – это самый удобный и нересурсоемкий механизм.
Недостатком PPPoE была возможность подмены биллинговой информации в сети
"вилан на квартал".
РРРоЕ + QinQ – эта формула означает полный контроль и
удобные условия пользования для домашних (неслужебных) абонентов.
QinQ Selective – новый уровень качества сервисов.
Вследствие отсутствия BRAS на сетях первого поколения Россия оказалась едва ли не единственной в мире страной, где средства технической диагностики NetFlow долгое время применялись для сбора предбиллинговой информации. Обработка заголовков каждого пакета создает большую нагрузку на оборудование и не гарантирует сбора всей информации в часы наивысшей нагрузки, так как существует риск потерять часть вспомогательной информации при пропуске больших объемов трафика.
Сейчас биллинг приходит в соответствие с общемировой моделью, построенной на протоколе Radius. Накопление информации производится в SQL-базах данных на основе данных, поступающих от BRAS по расширенным наборам атрибутов Radius. BRAS не только передает информацию о пользовательских сессиях, но и принимает команды изменения пользовательских настроек от системы биллинга и портала пользователей для динамического изменения набора услуг и завершения сессий при исчерпании лимитов.
Вначале использовались простые схемы:
• "звезда"– прямое подключение каждого коммутатора доступа к вышестоящему коммутатору агрегации. Данная схема требует прокладки оптических кабелей большой емкости и отдельного порта для подключения каждого коммутатора доступа на уровне агрегации и, как следствие, – ведет к большой избыточности по оборудованию агрегации. Например, для подключения 250 коммутаторов доступа по схеме "кольцо" требуется один коммутатор агрегации с 48 портами, а при схеме "звезда" – 250 портов агрегации, что почти на порядок дороже. При подключении коммутаторов гирляндой сбой электропитания на одном ведет к остановке сервисов на всех следующих коммутаторах.
• "кольцо"– данная схема прежде воспринималась буквально: как прокладка отдельных кольцевых кабелей. Сейчас наиболее распространена схема "плоского кольца": кабель прокладывается один, последовательно соединяя несколько десятков коммутаторов. На основе разных ниток волокна формируется несколько логических колец.
Включение 10–12 коммутаторов доступа в кольце достигается их последовательным включением на одной нитке волокна с закольцовкой данной нитки волокна на нитку обратной направленности на последнем коммутаторе данного кольца. Таким образом, на одном кабеле формируется несколько логических колец, использующих разные пары волокна. Сбой электропитания на одном из коммутаторов не приводит к остановке сервисов других коммутаторов, поскольку каждый имеет два направления выхода к ядру сети.
Даже множественный разрыв логического кольца приведет к остановке
сервисов лишь на нескольких коммутаторах, в то время как другие коммутаторы
будут продолжать работать. Применение протокола MSTP позволяет сделать кольцо
не блокируемым, а использующим оба плеча для пересылки информации.
Распространение сервисов "реального времени" требует новых решений
для обеспечения быстрой сходимости кольца в случае аварии.
Одним из таких протоколов является ERRP (Ethernet Ring
Redundancy Protocol) с временем сходимости менее 200 миллисекунд.
Физический обрыв кабеля является критическим как для топологии "кольцо", так и для схемы "звезда" – в последней обычно используется один кабель для подключения ряда коммутаторов. При наличии службы оперативной технической поддержки устранение обрыва кабеля обычно занимает до 6 часов.
Топология Dual Homing – привязка к двум вышестоящим устройствам, поддерживающим протоколы VRRP и ERRP, -позволяет создавать надежные безобрывные соединения, которые гарантируют постоянную доступность (рис. 1).
Рис. 1. Структурная
схема высоконадежной корпоративной сети
Защита от штормов и несанкционированных действий со стороны
пользователей остается одной из первоочередных задач операторов.
В кольцевых топологиях большое значение имеют механизмы
защиты от штормов, причем на сегодня подразделяют три вида шторма – затопления
сети большим количеством служебных пакетов, приводящего к остановке сервисов
вследствие исчерпания всей полосы пропускания и ресурсов коммутаторов под
пересылку большого объема бесполезного трафика.
Вот их перечень:
- шторм бродкаста(широковещательной рассылки). Ethernet-протокол работает на основе рассылки широковещательных запросов для определения местоположения искомого ресурса. Если образуется петля в топологии сети, например, со стороны портов клиентов, то происходит лавинообразное нарастание загрузки линков все большим количеством широковещательных запросов -до полной остановки работы сегмента сети. Первым протоколом защиты был STP, блокирующий порт при обнаружении петли. Однако использование любого динамического протокола на порту заказчика является угрозой безопасности сети. Если действиями злоумышленника или вируса будет создан поток служебной информации, то это способно привести к многочисленному пересчету и изменению топологии сети всеми коммутаторами сегмента, что чревато остановкой сервисов;
- шторм мультикастааналогичен шторму бродкаста. Признаком мульти-кастовых пакетов является МАС-адрес, соответствующий мультикастовому IP-адресу. По данному признаку включается механизм подавления шторма;
- шторм юникаста– самый новый тип шторма. Злоумышленник или вирус направляет на порт провайдера поток обычных пакетов, чья единственная особенность – адрес назначения неизвестен коммутатору. По протоколу Ethernet II в данном случае коммутатор рассылает служебный DLF-запрос к другим коммутаторам сети. На него должен ответить коммутатор, имеющий информацию о данном адресе. Поток пакетов с неизвестными адресами может привести к лавинообразному затоплению сети служебными DLF-запросами, что по эффекту будет аналогично шторму бродкаста. Подавление данного типа шторма основано на установлении порогового значения количества DLF-за-просов, разрешенного для отправки коммутатором.
Сегодня предусмотрен целый ряд функциональных возможностей для обеспечения защиты от штормов и несанкционированных действий со стороны пользователей. Например, Remote loop detection. Он определяет наличие петли, но не принимает к обработке топологические изменения в сеть провайдера. Есть два механизма действий на обнаружение петли:
• Порт может быть блокирован на заданное время, а затем открыт, при обнаружении петли порт будет вновь закрыт.
• Порт не блокируется, производится подавление шторма – на порту допускается прохождение заданного порогового количества широковещательных запросов. После превышения порогового количества пакетов коммутатор не принимает более пакеты данного типа, пропуская другие пакеты. Широковещательный трафик определяется по специфическому МАС-адресу (состоящему из всех F).
Переход от блокировки порта к подавлению штормов позволяет обеспечить постоянное, безотказное предоставление сервисов заказчику. При этом коммутатор оповещает систему сетевого управления (NMS) средствами SMTP-протокола для оперативного контроля ситуации службой технической поддержки.
Важно отметить, что широковещательные запросы необходимы для работы Ethernet-сети, но их нормальное количество будет разным для порта, за которым находится один компьютер, или для варианта, где компьютеров много. Поэтому пороговое значение задается на каждый порт отдельно.
Помимо подавления всех типов штормов и обнаружения петель современные коммутаторы оснащены средствами DHCP-snooping и IP Source Guard, запрещающими пользователю самому назначить себе адрес для работы в сети. Только после назначения пользователю адреса от сервера сети, с проверкой ряда параметров, коммутатор начнет пропускать другие пакеты на данном порту.
Есть средства Ethernet Security, которые:
• позволяют ограничить количество единовременно подключаемых к порту устройств (лимит МАС-адресов);
• обеспечивают привязку МАС-адреса и порта (только заданный компьютер может быть подключен к данному порту);
• запрещают работу определенным адресам (например, пораженному вирусом компьютеру).
Кольцевые структуры сети наиболее эффективны, но при доставке сервисов "реального времени" важно свести к минимуму влияние аварии на одном из узлов на предоставление сервисов другими узлами кольца. Протоколы предшествующей поры (OSPF, STP) обеспечивали время сходимости, измеряемое в секундах. И это было достаточно для Интернета, но совершенно неприемлемо для сервисов "реального времени", таких как телефония, телевидение, конференции, где предполагается время сходимости менее 200 миллисекунд. Большинство ведущих производителей коммутаторов сейчас разработали новые протоколы для обеспечения возросших требований.
Например, протокол ERRP (Ethernet Ring Redundancy Protocol), который во многом основан на механизме MSTP-протокола. Тем не менее топология кольца после аварии известна заранее, конфигурируется мастер кольца, один из портов которого в нормальном режиме блокирован и открывается при возникновении разрыва кольца. На других коммутаторах назначаются primary- и secondary-порты данного кольца. Аналогично MSTP-протокол ERRP поддерживает на каждом устройстве до 16 различных доменов, что позволяет эффективно использовать данный метод в сложных ячеистых топологиях с взаимным пересечением колец.
Сети первого поколения предназначались только для одной
услуги доступа в Интернет, и обеспечение качества обслуживания сводилось к
простому Best Effort, то есть негарантированная доставка без специальных
условий.
Развитие концепции сети пакетной коммутации как единого
транспортного решения для всех типов сервисов диктует обеспечение качества
обслуживания в соответствии с требованиями каждого отдельного типа сервиса.
В сетях домашних пользователей переход к услугам "Три в одном" требует специальных технологий обеспечения мультикастовых рассылок (IPTV) и обеспечения приоритезации пакетной телефонии (VoIP).
В сетях корпоративных заказчиков класс сервисов "Три в одном" еще более актуален, чем в домашних сетях. Корпоративная телефония, организация аудио- и видеоконференций, совместная работа с базами данных и управление процессами "в реальном времени" – все это подразумевает обеспечение условий качества обслуживания каждого сервиса.
Предоставление сервисов VPN становится массовой услугой. На уровне ядра и магистралей крупной сети применяются технологии MPLS, позволяющие создавать масштабные VPN.
Наиболее эффективным способом организации виртуальной выделенной линии (VLL), соединяющей сайт заказчика, подключенный на уровне доступа с ядром сети, работающим по технологиям MPLS, является логический туннель на основе QinQ-техно-логии, выполняющей присвоение второго, транспортного, тега вилана с трансляцией всей внутренней нумерации виланов и адресов заказчика.
Применение QinQ Port Based упаковывает весь трафик заказчика в один транспортный туннель, что делает невозможным эффективную приоритезацию по типам сервисов и выделение мультикаста для предотвращения дублирования потоков.
Существует технология QinQ Selective, призванная на основе аппаратно-поддерживаемых листов доступа классифицировать трафик на порту входа в сеть провайдера и обеспечить "вилан на сервис" на уровне транспортной сети. Каждому сервису будет гарантирован свой транспортный туннель с приоритезацией, назначенной провайдером, и с различными путями прохождения через сеть.
Применение QinQ Selective на уровне доступа позволяет принять весь трафик заказчика на один порт и обеспечить классификацию по типу сервисов в соответствии с правилами провайдера (рис. 2).
Рис. 2. Triple Play наоснове QinQ selective
В случае крупного заказчика деление на виланы соответствует его административной структуре, в каждом вилане присутствует трафик различных сервисов. Распространенный в прежней модели сети способ предоставления нескольких портов под разные типы сервисов не решает в данном случае задачи или требует наличия у заказчика дополнительного оборудования. Слепое принятие приоритезации, выставленной заказчиком, и исполнение приоритезации заказчика на сети провайдера не позволит эффективно управлять сетью и обеспечивать гарантированное качество для других заказчиков. К тому же маркировка заказчика может не соответствовать принятой провайдером на уровне MPLS-магистрали.
С помощью QinQ Selective удобно не только классифицировать трафик в соответствии с правилами провайдера, но и применять "трафик-инжиниринг" (интеллектуальное управление информационными потоками) на уровне Ethernet-сети. В этом случае транспортные виланы низкоприоритетного трафика могут быть направлены обходным маршрутом, имеющим, однако, запас по полосе пропускания, а кратчайший маршрут могут использовать для пропуска высокоприоритетного трафика.
На PE-маршрутизаторах, связывающих сеть доступа с магистральной сетью, производится трансляция приоритезации из 802.1p в метки MPLS и обратно в соответствии с правилами провайдера.
Современная сеть способна служить одновременно для всех категорий пользователей, гарантируя конфиденциальность передаваемой информации и обеспечение качества обслуживания различных типов сервисов.
На уровне домашних пользователей QinQ Selective позволяет реализовать "вилан на пользователя" на уровне доступа с привязкой PPPoE-сессии к порту входа в сеть, а также "вилан на сервис" – на уровне транспортной сети, формируя вилан на Интернет и вилан VoIP с приоритезацией. Мультикаст доставляется технологией MVR с назначением uplink- и downlink-портов, защищающих от несанкционированных рассылок со стороны пользователей.
На основе QinQ Selective можно построить "вилан на пользователя" в масштабных сетях и снизить число виланов в транспортной сети до числа сервисов, что упрощает управление и снижает нагрузку на оборудование, особенно на маршрутизаторы.
Применение современных схем и технологий призвано создавать сеть для качественного предоставления всех современных видов услуг, не требующую модернизации при масштабировании, возрастании загрузки и готовую к переходу на концепцию IMS (IP Multimedia Subsystem) как единую сеть для всех категорий абонентов.
Опубликовано: Каталог "Системы абонентского доступа"-2008
Посещений: 22345
Статьи по теме
Автор
| |||
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций