• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Канали зв'язку L2 і L3 VPN - Відмінності фізичних і віртуальних каналів різного рівня

    1. Канали зв'язку - фізичні та віртуальні
    2. Підведемо підсумки

    З доброю посмішкою тепер згадується, як людство з тривогою очікувало 2000 року кінця світу


    З доброю посмішкою тепер згадується, як людство з тривогою очікувало 2000 року кінця світу. Тоді цього не сталося, але зате відбулося зовсім інша подія і теж дуже значуще.


    Історично, в той час світ увійшов в справжню комп'ютерну революцію v. 3.0. - старт хмарних технологій розподіленого зберігання і обробки даних. Причому, якщо попередній «другою революцією» був масовий перехід до технологій «клієнт-сервер» в 80-х роках, то першою можна вважати початок одночасної роботи користувачів з використанням окремих терміналів, підключених до т.зв. «Мейнфреймам» (в 60-х минулого століття). Ці революційні зміни відбулися мирно і непомітно для користувачів, але зачепили весь світ бізнесу разом з інформаційними технологіями.


    При перенесенні IT-інфраструктури на хмарні платформи і віддалені ЦОД (центри обробки даних) ключовим питанням відразу ж стає організація надійних каналів зв'язку від клієнта до дата-центрам . У Мережі нерідко зустрічаються пропозиції провайдерів: «фізична виділена лінія, оптоволокно», «канал L2», «VPN» і так далі ... Спробуємо розібратися, що за цим стоїть на практиці.

    Канали зв'язку - фізичні та віртуальні

    1 1. Організацією «фізичної лінії» або «каналу другого рівня, L2» прийнято називати послугу надання провайдером виділеного кабелю (мідного або оптоволоконного), або радіоканалу між офісами та тими майданчиками, де розгорнуто обладнання дата-центрів. Замовляючи цю послугу, на практиці швидше за все ви отримаєте в оренду виділений оптоволоконний канал. Це рішення привабливо тим, що за надійний зв'язок відповідає провайдер (а в разі пошкодження кабелю самостійно відновлює працездатність каналу). Однак, в реальному житті кабель на всьому протязі не буває цільним - він складається з безлічі з'єднаних (зварених) між собою фрагментів, що трохи знижує його надійність. На шляху прокладки оптоволоконного кабелю провайдера доводиться застосовувати підсилювачі, розгалужувачі, а на кінцевих точках - модеми.


    У маркетингових матеріалах до рівня L2 (Data-Link) мережевий моделі OSI або TCP / IP це рішення відносять умовно - воно дозволяє працювати як би на рівні комутації фреймів Ethernet в LAN, не піклуючись про багато проблем маршрутизації пакетів на наступному, мережевому рівні IP. Є, наприклад, можливість продовжувати використовувати в клієнтських віртуальних мережах свої, так звані «приватні», IP-адреси замість зареєстрованих унікальних публічних адрес. Оскільки використовувати приватні IP-адреси в локальних мережах дуже зручно, користувачам були виділені спеціальні діапазони з основних класів адресації:

    • 10.0.0.0 - 10.255.255.255 в класі A (з маскою 255.0.0.0 або / 8 в альтернативному форматі запису маски);
    • 100.64.0.0 - 100.127.255.255 в класі A (з маскою 255.192.0.0 або / 10);
    • 172.16.0.0 - 172.31.255.255 в класі B (з маскою 255.240.0.0 або / 12);
    • 192.168.0.0 - 192.168.255.255 в класі C (з маскою 255.255.0.0 або / 16).


    Такі адреси вибираються користувачами самостійно для «внутрішнього використання» і можуть повторюватися одночасно в тисячах клієнтських мереж, тому пакети даних з приватними адресами в заголовку НЕ маршрутизируются в Інтернеті - щоб уникнути плутанини. Для виходу в Інтернет доводиться застосовувати NAT (або інше рішення) на стороні клієнта.


    Примітка: NAT - Network Address Translation (механізм заміни мережевих адрес транзитних пакетів в мережах TCP / IP, застосовується для маршрутизації пакетів з локальної мережі клієнта в інші мережі / Інтернет і в зворотному напрямку - усередину LAN клієнта, до адресата).


    У цього підходу (а ми говоримо про виділений каналі) є і очевидний недолік - в разі переїзду офісу клієнта, можуть бути серйозні складності з підключенням на новому місці і можлива потреба в зміні провайдера.


    Твердження, що такий канал значно безпечніше, краще захищений від атак зловмисників і помилок низькокваліфікованої технічного персоналу при близькому розгляді виявляється міфом. На практиці проблеми безпеки частіше виникають (або створюються хакером навмисне) прямо на стороні клієнта, за участю людського фактора.

    2 2. Віртуальні канали та побудовані на них приватні мережі VPN (Virtual Private Network) поширені широко і дозволяють вирішити більшість завдань клієнта.


    Надання провайдером «L2 VPN» передбачає вибір з кількох можливих послуг «другого рівня», L2:

    VLAN - клієнт отримує віртуальну мережу між своїми офісами, філіями (в дійсності, трафік клієнта йде через активне обладнання провайдера, що обмежує швидкість);


    З'єднання «точка-точка» PWE3 (іншими словами, «емуляція наскрізного псевдопровода» в мережах з комутацією пакетів) дозволяє передавати фрейми Ethernet між двома вузлами так, як якщо б вони були з'єднані кабелем безпосередньо. Для клієнта в такій технології істотно, що всі передані фрейми доставляються до віддаленої точки без змін. Те ж саме відбувається і в зворотному напрямку. Це можливо завдяки тому, що фрейм клієнта приходячи на маршрутизатор провайдера далі инкапсулируется (додається) в блок даних вищого рівня (пакет MPLS), а в кінцевій точці витягується;


    Примітка: PWE3 - Pseudo-Wire Emulation Edge to Edge (механізм, при якому з точки зору користувача, він отримує виділене з'єднання).


    MPLS - MultiProtocol Label Switching (технологія передачі даних, при якій пакетам присвоюються транспортні / сервісні мітки і шлях передачі пакетів даних в мережах визначається тільки на підставі значення міток, незалежно від середовища передачі, використовуючи будь-який протокол. Під час маршрутизації нові мітки можуть додаватися (при необхідності) або віддалятися, коли їх функція завершилася. Вміст пакетів при цьому не аналізується і не змінюється).


    VPLS - технологія симуляції локальної мережі з багатоточковими сполуками. У цьому випадку мережа провайдера виглядає з боку клієнта подібної одному комутатора, що зберігає таблицю MAC-адрес мережевих пристроїв. Такий віртуальний «комутатор» розподіляє фрейм Ethernet прийшов з мережі клієнта, за призначенням - для цього фрейм инкапсулируется в пакет MPLS, а після витягується.


    Примітка: VPLS - Virtual Private LAN Service (механізм, при якому з точки зору користувача, його рознесені географічно мережі з'єднані віртуальними L2 сполуками).


    MAC - Media Access Control (спосіб управління доступом до середовища - унікальний 6-байтовий адреса-ідентифікатор мережевого пристрою (або його інтерфейсів) в мережах Ethernet).


    3 3. У разі розгортання «L3 VPN» мережу провайдера в очах клієнта виглядає подібно до одного маршрутизатора з декількома інтерфейсами. Тому, стик локальної мережі клієнта з мережею провайдера відбувається на рівні L3 мережевий моделі OSI або TCP / IP.


    Публічні IP-адреси для точок стику мереж можуть визначатися за погодженням з провайдером (належати клієнту або бути отриманими від провайдера). IP-адреси налаштовуються клієнтом на своїх маршрутизаторах з обох сторін (приватні - з боку своєї локальної мережі, публічні - з боку провайдера), подальшу маршрутизацію пакетів даних забезпечує провайдер. Технічно, для реалізації такого рішення використовується MPLS (див. Вище), а також технології GRE і IPSec.


    Примітка: GRE - Generic Routing Encapsulation (протокол тунеллірованія, упаковки мережевих пакетів, який дозволяє встановити захищене логічне з'єднання між двома кінцевими точками - за допомогою інкапсуляції протоколів на мережевому рівні L3).


    IPSec - IP Security (набір протоколів захисту даних, які передаються за допомогою IP. Використовується підтвердження автентичності, шифрування і перевірка цілісності пакетів).


    Важливо розуміти, що сучасна мережева інфраструктура побудована так, що клієнт бачить тільки ту її частину, яка визначена договором. Виділені ресурси (віртуальні сервери, маршрутизатори, сховища оперативних даних і резервного копіювання), а також працюючі програми і вміст пам'яті повністю ізольовані від інших користувачів. Кілька фізичних серверів можуть узгоджено і одночасно працювати для одного клієнта, з точки зору якого вони будуть виглядати одним потужним серверним пулом. І навпаки, на одному фізичному сервері можуть бути одночасно створені безліч віртуальних машин (кожна буде виглядати для користувача подібно окремого комп'ютера з операційною системою). Крім стандартних, пропонуються індивідуальні рішення, які також відповідає прийнятим вимогам щодо безпеки обробки і зберігання даних клієнта.


    При цьому, конфігурація розгорнутої в хмарі мережі «рівня L3» дозволяє масштабування до практично необмежених розмірів (за таким принципом побудований Інтернет і великі дата-центри). Протоколи динамічної маршрутизації, наприклад OSPF, і інші в хмарних мережах L3, дозволяють вибрати найкоротші шляхи маршрутизації пакетів даних, відправляти пакети одночасно кількома шляхами для найкращої завантаження і розширення пропускної здатності каналів.


    У той же час, є можливість розгорнути віртуальну мережу і на «рівні L2», що типово для невеликих дата-центрів і застарілих (або вузько-специфічних) додатків клієнта. У деяких таких випадках, застосовують навіть технологію «L2 over L3», щоб забезпечити сумісність мереж і працездатність додатків.

    Підведемо підсумки

    На сьогоднішній день завдання користувача / клієнта в більшості випадків можуть бути ефективно вирішені шляхом організації віртуальних приватних мереж VPN c використанням технологій GRE і IPSec для безпеки.


    Немає особливого сенсу протиставляти L2 і L3, так само як немає сенсу вважати пропозицію каналу L2 кращим рішенням для побудови надійної комунікації в своїй мережі, панацеєю. Сучасні канали зв'язку і обладнання провайдерів дозволяють пропускати величезну кількість інформації, а багато виділені канали, орендовані користувачами, насправді - навіть недовантажені. Розумно використовувати L2 тільки в особливих випадках, коли цього вимагає специфіка завдання, враховувати обмеження можливості майбутнього розширення такої мережі і проконсультуватися з фахівцем. З іншого боку, віртуальні мережі L3 VPN, при інших рівних умовах, більш універсальні і прості в експлуатації.


    У цьому огляді коротко перераховані сучасні типові рішення, які використовують при переносі локальної IT-інфраструктури в віддалені центри обробки даних. Кожне з них має свого споживача, переваги і недоліки, правильність вибору рішення залежить від конкретного завдання.


    У реальному житті, обидва рівня мережевої моделі L2 і L3 працюють разом, кожен відповідає за свою задачу і протиставляючи їх в рекламі, провайдери відверто лукавлять.


    Автор: Станіслав Комухаев

    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua