Канали зв'язку L2 і L3 VPN - Відмінності фізичних і віртуальних каналів різного рівня
З доброю посмішкою тепер згадується, як людство з тривогою очікувало 2000 року кінця світу. Тоді цього не сталося, але зате відбулося зовсім інша подія і теж дуже значуще.
Історично, в той час світ увійшов в справжню комп'ютерну революцію v. 3.0. - старт хмарних технологій розподіленого зберігання і обробки даних. Причому, якщо попередній «другою революцією» був масовий перехід до технологій «клієнт-сервер» в 80-х роках, то першою можна вважати початок одночасної роботи користувачів з використанням окремих терміналів, підключених до т.зв. «Мейнфреймам» (в 60-х минулого століття). Ці революційні зміни відбулися мирно і непомітно для користувачів, але зачепили весь світ бізнесу разом з інформаційними технологіями.
При перенесенні IT-інфраструктури на хмарні платформи і віддалені ЦОД (центри обробки даних) ключовим питанням відразу ж стає організація надійних каналів зв'язку від клієнта до дата-центрам . У Мережі нерідко зустрічаються пропозиції провайдерів: «фізична виділена лінія, оптоволокно», «канал L2», «VPN» і так далі ... Спробуємо розібратися, що за цим стоїть на практиці.
Канали зв'язку - фізичні та віртуальні
1. Організацією «фізичної лінії» або «каналу другого рівня, L2» прийнято називати послугу надання провайдером виділеного кабелю (мідного або оптоволоконного), або радіоканалу між офісами та тими майданчиками, де розгорнуто обладнання дата-центрів. Замовляючи цю послугу, на практиці швидше за все ви отримаєте в оренду виділений оптоволоконний канал. Це рішення привабливо тим, що за надійний зв'язок відповідає провайдер (а в разі пошкодження кабелю самостійно відновлює працездатність каналу). Однак, в реальному житті кабель на всьому протязі не буває цільним - він складається з безлічі з'єднаних (зварених) між собою фрагментів, що трохи знижує його надійність. На шляху прокладки оптоволоконного кабелю провайдера доводиться застосовувати підсилювачі, розгалужувачі, а на кінцевих точках - модеми.
У маркетингових матеріалах до рівня L2 (Data-Link) мережевий моделі OSI або TCP / IP це рішення відносять умовно - воно дозволяє працювати як би на рівні комутації фреймів Ethernet в LAN, не піклуючись про багато проблем маршрутизації пакетів на наступному, мережевому рівні IP. Є, наприклад, можливість продовжувати використовувати в клієнтських віртуальних мережах свої, так звані «приватні», IP-адреси замість зареєстрованих унікальних публічних адрес. Оскільки використовувати приватні IP-адреси в локальних мережах дуже зручно, користувачам були виділені спеціальні діапазони з основних класів адресації:
- 10.0.0.0 - 10.255.255.255 в класі A (з маскою 255.0.0.0 або / 8 в альтернативному форматі запису маски);
- 100.64.0.0 - 100.127.255.255 в класі A (з маскою 255.192.0.0 або / 10);
- 172.16.0.0 - 172.31.255.255 в класі B (з маскою 255.240.0.0 або / 12);
- 192.168.0.0 - 192.168.255.255 в класі C (з маскою 255.255.0.0 або / 16).
Такі адреси вибираються користувачами самостійно для «внутрішнього використання» і можуть повторюватися одночасно в тисячах клієнтських мереж, тому пакети даних з приватними адресами в заголовку НЕ маршрутизируются в Інтернеті - щоб уникнути плутанини. Для виходу в Інтернет доводиться застосовувати NAT (або інше рішення) на стороні клієнта.
Примітка: NAT - Network Address Translation (механізм заміни мережевих адрес транзитних пакетів в мережах TCP / IP, застосовується для маршрутизації пакетів з локальної мережі клієнта в інші мережі / Інтернет і в зворотному напрямку - усередину LAN клієнта, до адресата).
У цього підходу (а ми говоримо про виділений каналі) є і очевидний недолік - в разі переїзду офісу клієнта, можуть бути серйозні складності з підключенням на новому місці і можлива потреба в зміні провайдера.
Твердження, що такий канал значно безпечніше, краще захищений від атак зловмисників і помилок низькокваліфікованої технічного персоналу при близькому розгляді виявляється міфом. На практиці проблеми безпеки частіше виникають (або створюються хакером навмисне) прямо на стороні клієнта, за участю людського фактора.
2. Віртуальні канали та побудовані на них приватні мережі VPN (Virtual Private Network) поширені широко і дозволяють вирішити більшість завдань клієнта.
Надання провайдером «L2 VPN» передбачає вибір з кількох можливих послуг «другого рівня», L2:
VLAN - клієнт отримує віртуальну мережу між своїми офісами, філіями (в дійсності, трафік клієнта йде через активне обладнання провайдера, що обмежує швидкість);
З'єднання «точка-точка» PWE3 (іншими словами, «емуляція наскрізного псевдопровода» в мережах з комутацією пакетів) дозволяє передавати фрейми Ethernet між двома вузлами так, як якщо б вони були з'єднані кабелем безпосередньо. Для клієнта в такій технології істотно, що всі передані фрейми доставляються до віддаленої точки без змін. Те ж саме відбувається і в зворотному напрямку. Це можливо завдяки тому, що фрейм клієнта приходячи на маршрутизатор провайдера далі инкапсулируется (додається) в блок даних вищого рівня (пакет MPLS), а в кінцевій точці витягується;
Примітка: PWE3 - Pseudo-Wire Emulation Edge to Edge (механізм, при якому з точки зору користувача, він отримує виділене з'єднання).
MPLS - MultiProtocol Label Switching (технологія передачі даних, при якій пакетам присвоюються транспортні / сервісні мітки і шлях передачі пакетів даних в мережах визначається тільки на підставі значення міток, незалежно від середовища передачі, використовуючи будь-який протокол. Під час маршрутизації нові мітки можуть додаватися (при необхідності) або віддалятися, коли їх функція завершилася. Вміст пакетів при цьому не аналізується і не змінюється).
VPLS - технологія симуляції локальної мережі з багатоточковими сполуками. У цьому випадку мережа провайдера виглядає з боку клієнта подібної одному комутатора, що зберігає таблицю MAC-адрес мережевих пристроїв. Такий віртуальний «комутатор» розподіляє фрейм Ethernet прийшов з мережі клієнта, за призначенням - для цього фрейм инкапсулируется в пакет MPLS, а після витягується.
Примітка: VPLS - Virtual Private LAN Service (механізм, при якому з точки зору користувача, його рознесені географічно мережі з'єднані віртуальними L2 сполуками).
MAC - Media Access Control (спосіб управління доступом до середовища - унікальний 6-байтовий адреса-ідентифікатор мережевого пристрою (або його інтерфейсів) в мережах Ethernet).
3. У разі розгортання «L3 VPN» мережу провайдера в очах клієнта виглядає подібно до одного маршрутизатора з декількома інтерфейсами. Тому, стик локальної мережі клієнта з мережею провайдера відбувається на рівні L3 мережевий моделі OSI або TCP / IP.
Публічні IP-адреси для точок стику мереж можуть визначатися за погодженням з провайдером (належати клієнту або бути отриманими від провайдера). IP-адреси налаштовуються клієнтом на своїх маршрутизаторах з обох сторін (приватні - з боку своєї локальної мережі, публічні - з боку провайдера), подальшу маршрутизацію пакетів даних забезпечує провайдер. Технічно, для реалізації такого рішення використовується MPLS (див. Вище), а також технології GRE і IPSec.
Примітка: GRE - Generic Routing Encapsulation (протокол тунеллірованія, упаковки мережевих пакетів, який дозволяє встановити захищене логічне з'єднання між двома кінцевими точками - за допомогою інкапсуляції протоколів на мережевому рівні L3).
IPSec - IP Security (набір протоколів захисту даних, які передаються за допомогою IP. Використовується підтвердження автентичності, шифрування і перевірка цілісності пакетів).
Важливо розуміти, що сучасна мережева інфраструктура побудована так, що клієнт бачить тільки ту її частину, яка визначена договором. Виділені ресурси (віртуальні сервери, маршрутизатори, сховища оперативних даних і резервного копіювання), а також працюючі програми і вміст пам'яті повністю ізольовані від інших користувачів. Кілька фізичних серверів можуть узгоджено і одночасно працювати для одного клієнта, з точки зору якого вони будуть виглядати одним потужним серверним пулом. І навпаки, на одному фізичному сервері можуть бути одночасно створені безліч віртуальних машин (кожна буде виглядати для користувача подібно окремого комп'ютера з операційною системою). Крім стандартних, пропонуються індивідуальні рішення, які також відповідає прийнятим вимогам щодо безпеки обробки і зберігання даних клієнта.
При цьому, конфігурація розгорнутої в хмарі мережі «рівня L3» дозволяє масштабування до практично необмежених розмірів (за таким принципом побудований Інтернет і великі дата-центри). Протоколи динамічної маршрутизації, наприклад OSPF, і інші в хмарних мережах L3, дозволяють вибрати найкоротші шляхи маршрутизації пакетів даних, відправляти пакети одночасно кількома шляхами для найкращої завантаження і розширення пропускної здатності каналів.
У той же час, є можливість розгорнути віртуальну мережу і на «рівні L2», що типово для невеликих дата-центрів і застарілих (або вузько-специфічних) додатків клієнта. У деяких таких випадках, застосовують навіть технологію «L2 over L3», щоб забезпечити сумісність мереж і працездатність додатків.
Підведемо підсумки
На сьогоднішній день завдання користувача / клієнта в більшості випадків можуть бути ефективно вирішені шляхом організації віртуальних приватних мереж VPN c використанням технологій GRE і IPSec для безпеки.
Немає особливого сенсу протиставляти L2 і L3, так само як немає сенсу вважати пропозицію каналу L2 кращим рішенням для побудови надійної комунікації в своїй мережі, панацеєю. Сучасні канали зв'язку і обладнання провайдерів дозволяють пропускати величезну кількість інформації, а багато виділені канали, орендовані користувачами, насправді - навіть недовантажені. Розумно використовувати L2 тільки в особливих випадках, коли цього вимагає специфіка завдання, враховувати обмеження можливості майбутнього розширення такої мережі і проконсультуватися з фахівцем. З іншого боку, віртуальні мережі L3 VPN, при інших рівних умовах, більш універсальні і прості в експлуатації.
У цьому огляді коротко перераховані сучасні типові рішення, які використовують при переносі локальної IT-інфраструктури в віддалені центри обробки даних. Кожне з них має свого споживача, переваги і недоліки, правильність вибору рішення залежить від конкретного завдання.
У реальному житті, обидва рівня мережевої моделі L2 і L3 працюють разом, кожен відповідає за свою задачу і протиставляючи їх в рекламі, провайдери відверто лукавлять.
Автор: Станіслав Комухаев