5.2.4. Использование сетей кабельного телевидения и кабельных модемов для скоростного доступа к сети провайдера

Идея использования имеющейся инфраструктуры связей конечных пользователей с поставщиками телекоммуникационных услуг для доступа в Internet овладела не только телефонными компаниями. Существует и другой сорт компаний, кабели которых протянулись практически в каждую квартиру - это компании, занимающиеся кабельным телевидением. Они тоже хотят предоставлять всем своим абонентам высокоскоростной доступ в Internet и для этих целей уже разработан специальный вид модемов - кабельные модемы. В кабельных модемах используется имеющийся коаксиальный 75-омный телевизионный кабель для передачи данных из сети в компьютер со скоростью до 30 Мб/с, а из компьютера в сеть - со скоростью до 10 Мб/с. При этом качество передаваемых сигналов очень высокое. Кабельные модемы пока не стандартизованы, а стоимость первых образцов составляет около $1000. Арендная плата такой линии оценивается в сумму $500 в месяц.

5.2.5. Интегрированные серверы удаленного доступа

В последнее время практически все компании, выпускающие средства удаленного доступа, выпустили на рынок одну или даже несколько моделей так называемых интегрированных серверов удаленного доступа.

Интегрированный сервер удаленного доступа предназначен для крупных организаций или провайдеров, которым нужно одновременно принимать звонки от нескольких десятков или сотен пользователей. Такой сервер подключается с помощью высокоскоростного цифрового интерфейса - канала T1/E1 или ISDNPRI - к городской телефонной цифровой станции. Высокоскоростных интерфейсов может быть и несколько.

Через один интерфейс сервер может поддерживать от 23 до 30 одновременных соединений с удаленными пользователями, в зависимости от типа интерфейса. При использовании каналов T1/E1 сервер может принимать звонки от "аналоговых" пользователей, то есть обычных пользователей, подключенных к телефонной сети с помощью модема и канала тональной частоты.

При использовании интерфейса ISDNPRI сервер может одновременно обслуживать как "аналоговых", так и "цифровых" пользователей, то есть пользователей, подключенных к сети ISDN непосредственно, через интерфейс ISDNBRI и терминальный адаптер.

132

Интерфейс PRI передает при вызове параметр, указывающий, от какого типа абонента поступил звонок - "аналогового" или "цифрового".

При соединении с "цифровым" абонентом его данные передается в локальную сеть без демодуляции, а данные "аналогового" абонента пропускаются через модем. Для демодуляции используются как обычные наборы модемных микросхем, так и программируемые сигнальные процессоры - DSP. При использовании обычных модемных микросхем поступающие данные приходится преобразовывать в два этапа, так как они действительно были подвергнуты двукратному преобразованию - сначала модемом пользователя, а затем ИКМ-преобразователем цифровой АТС. Сигнальные процессоры программируются таким образом, чтобы преобразовать поступающие данные за один этап - тем самым уменьшаются вносимые преобразованиями каждого этапа искажения.

Обычно интегрированные серверы имеют модульное исполнение на основе шасси. Модули делятся на интерфейсные (T1/E1 или ISDNPRI), маршрутизирующие, модемные (обычно по 12 или 24 модема в модуле) и модули интерфейсов локальных сетей.

Наличие многоканальных модулей делает интегрированный сервер высоко масштабируемым - новый модуль WAN-интерфейса добавляет 23 или 30 "портов".

В отличие от традиционных серверов, подключающихся к локальной сети почти всегда с помощью одного локального интерфейса, интегрированные серверы часто имеют несколько LAN-интерфейсов. За счет этого можно достичь двух целей: повысить пропускную способность сервера, защитить данные, выделив один локальный сегмент в качестве "демилитаризованной" зоны и установив на сервер программное обеспечение firewall'a (так сделано в сервере MAX TNT компании Ascend).

Небольшое число WAN-интерфейсов существенно упрощает кабельную систему сервера, и облегчает его эксплуатацию и управление.

В качестве типичного примера такого сервера рассмотрим интегрированный сервер AccessBuilder 5000 компании 3Com. Большинство компаний - лидеров этого сектора рынка - уже выпустили аналогичные серверы на рынок: BayNetworks - Annex 6800, Ascend - MAXTNT, Cisco - AS5200 и т.д.

Структурная схема интегрированного сервера AccessBuilder 5000, представленная на рисунке 5.7 является достаточно типичной для серверов этого типа. Сервер поддерживает до 4 портов T1/E1 или ISDNPRI.

Сервер маршрутизирует протоколы IP, IPX, AppleTalk или BanyanVINES и направляет поступающие пакеты в один из LAN модулей, установленных в сервере. Всего сервер позволяет организовать до 8 независимых сетей Ethernet и до 10 независимых сетей TokenRing за счет наличия соответствующих внутренних шин на шасси.

133

Рис. 5.7. Сервер удаленного доступа AccessBuilder 5000

Для демодуляции данных "аналоговых" абонентов в сервер устанавливаются модули цифровых модемов V.34 (каждый модуль имеет 12 или 24 модема).

Наличие нескольких сегментов локальной сети позволяет серверу работать в качестве firewall'а, если все общедоступные серверы сосредоточены на одной сети.

Сервер AccessBuilder 5000 может поддерживать и внешний пул модемов, как и традиционные серверы, что важно для случая, когда сервис ISDN недоступен.

Наличие в шасси 17 слотов и разнообразие модулей для установки в эти слоты делают сервер AccessBuilder 5000 гибким и настраиваемым средством, поддерживающим до 256 соединений через небольшое количество высокоскоростных каналов.

5.3. Туннелирование и виртуальные частные сети VPN

5.3.1. Что такое "виртуальная частная сеть"?

Термин "виртуальная частная сеть" - VPN (Virtual Private Network) - используется для обозначения разных технологий. Однако во всех этих технологиях есть нечто общее и детали, отличающие их друг от друга.

Общим является следующее.

134

Под виртуальной частной сетью понимают потоки данных одного предприятия, которые существуют в публичной сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других пользователей этой публичной сети.

Другими словами, виртуальная частная сеть - это некоторая имитация сети, построенной на выделенных каналах. Если публичная сеть предоставляет такой сервис, то в ней одновременно сосуществуют несколько виртуальных корпоративных сетей, разделяющих общие комму- таторы и физические каналы связи.

Потоки данных отдельного предприятия образуют виртуальные каналы частной сети.

А вот защищенность от потоков данных других предприятий трактуется по-разному.

Обычно ее понимают в двух отношениях - в отношении параметров пропускной способности и в отношении конфиденциальности данных.

Пропускная способность VPN

Конечно, каждое предприятие хотело бы, чтобы виртуальные каналы как можно больше были похожи на реальные выделенные линии, пропускная способность которых всегда в распоряжении пользователей предприятия. Отсюда вытекают следующие требования к VPN:

•

пользователям должны предоставляться некоторые гарантии качества обслуживания в виртуальных каналах VPN - средняя пропускная способность, максимально допустимый уровень пульсации, уровни задержек кадров;

•

пользователи должны иметь инструменты для контроля действительных параметров пропускной способности виртуальных каналов.

Сегодня для различных типов сетей с коммутацией пакетов существуют различные возможности получения гарантий качества обслуживания.

Конфиденциальность

Возможность несанкционированного доступа к данным, передающимся по публичной сети очень волнует сетевых администраторов, привыкшим к использованию выделенных каналов или телефонных сетей для передачи корпоративных данных. Наличие огромного числа хакеров в Internet действительно представляет постоянную угрозу для корпоративных серверов, к данным которых можно хотя бы попробовать подступиться из любого домашнего компьютера, оставаясь при этом анонимным.

В то же время угрозы перехвата пакетов по пути следования по публичной сети передачи данных многие специалисты считают преувеличенными. Действительно, пакеты идут только через коммутаторы и маршрутизаторы провайдеров публичных сетей, а в сети посторонних организаций и частных лиц не заходят. И провайдерами публичных сетей с коммутацией пакетов выступают чаще всего те же организации, которые предоставляют традиционные виды телекоммуникационных сервисов - выделенные каналы и телефонные сети. Таким образом, угроза по перехвату пакетов по пути следования исходит скорее от самих провайдеров, сотрудников которых могут подкупить конкуренты.

От двух типов угроз - входа во внутренние серверы предприятия и перехвата данных по пути - существуют соответствующие средства защиты, описанные в разделе 4 - firewall'ы 135

и proxy-серверы для отражения угроз первого вида, и средства образования защищенного канала для второго.

5.3.2. Виртуальные частные сети в публичных сетях framerelay, АТМ, Internet

Виртуальные частные сети можно организовывать в сетях с коммутацией пакетов любого типа Х.25, framerelay, АТМ и TCP/IP - Internet.

Наличие в сетях Х.25 техники виртуальных каналов создает предпосылки для образования в них VPN. Однако, в технологии Х.25 отсутствует важный элемент, который необходим для образования VPN - поддержка качества обслуживания. Пропускная способность виртуального канала VPN неизвестна. В настоящее время работы по совершенствованию технологии Х.25 в этом направлении не ведутся, поэтому виртуальные каналы в сетях Х.25 трудно отнести к полноценным VPN.

Сети framerelay часто упоминаются при описании сервиса VPN. Действительно, техника заказа качества обслуживания виртуального канала встроена в технологию framerelay. Кроме того, сети framerelay обычно мало доступны для индивидуальных пользователей из-за своих цен и отсутствия в них информационных сервисов типа службы Web, поэтому хакерские атаки в них маловероятны. Многие провайдеры сетей framerelay рекламируют свои сервисы как сервисы VPN.

Сети АТМ - идеальное средство для образования VPN, так как они предлагают самые тонкие процедуры поддержания параметров качества обслуживания. Однако, их небольшая распространенность как публичных сетей пока не позволяет широко использовать их для построения VPN.

Сети TCP/IP и Internet до недавнего времени не фигурировали в качестве возможной среды для образования в них VPN. Основная причина - та же, что и в случае сетей Х.25 - в протоколах TCP/IP нет гарантий качества обслуживания. Однако, в последнее время ситуация изменилась. Сам термин VPN многие стали употреблять исключительно в связи с созданием частной сети предприятия в Internet.

Безусловно, это связано с стремительно возросшей популярностью Internet, его быстро растущей доступностью и дешевизной. Из-за этого многие администраторы мирятся с неизвестной пропускной способностью каналов, проложенных через Internet.

Тем не менее, VPN в сетях TCP/IP начинают приобретать свойства "настоящих" VPN. Этому способствуют два обстоятельства.

Во-первых, провайдеры, сети которых образуют магистрали Internet, много работают над улучшением качества обслуживания. магистрали строятся на основе АТМ и SDH, также быстро растет производительность магистральных маршрутизаторов. Это уменьшает задержки в Internet и повышает качество обслуживания.

Во-вторых, стек протоколов TCP/IP модернизируется и в нем появляются протоколы, с помощью которых можно управлять качеством обслуживания - протоколы RSVP, RTP и ряд других.

В-третьих, многие крупные провайдеры предоставляют услуги магистралей TCP/IP, не связанных непосредственно с Internet. На этих магистралях передается трафик только 136

крупных корпоративных пользователей, поэтому защищенность данных и пропускная способность таких сервисов существенно выше.

5.3.3. Услуги провайдеров по построению виртуальных частных сетей

Основная часть предложений по созданию корпоративных VPN относится к провайдерам сетей framerelay, поэтому в этом разделе мы ограничимся рассмотрением этих сетей.

Основой для создания VPN является договор с провайдеров, в котором оговариваются основные параметры VPN - количество точек подключения, скорости портов, а также параметры качества обслуживания - CIR и CBR. В отношении этих пунктов договора все провайдеры framerelay похожи друг на друга, так как качество обслуживания поддерживается самой технологией.

Защиту данных своими средствами провайдеры framerelay не обеспечивают, так как нет и особого спроса на такие услуги - администраторы не видят высокого уровня угроз и считают каналы framerelay достаточно защищенными. Поэтому наиболее осторожные пользователи должны защищать свои данные самостоятельно.

Основные различия между провайдерами наблюдаются в средствах контроля за реальной пропускной способностью виртуальных каналов, которые они предоставляют корпоративным пользователям.

Большинство провайдеров обеспечивает пользователей еженедельными или ежемесячными отчетами о реально используемой пропускной способности виртуальных каналов, а также о более детальной информации о трафике. Иногда информация отчета посылается по электронной почте или доступна на BBS провайдера. Многие операторы берут ежемесячную плату $200 за предоставление отчета. AT&T берет по $5 за каждый порт. Compuserve, Sprint, ICI и некоторые другие предоставляют отчеты бесплатно.

Если по сети framerelay передается трафик реального времени, то администратора интересуют данные о его передаче с периодом в минуты, а не дни. Для этих целей некоторые сервис-провайдеры могут периодически посылать администратору сети SNMP-сообщения. Эти сообщения обычно непосредственно загружаются с интервалом в 15 - 60 минут в консоли управления типа OpenView или Netview от TivoliSysytems. Интервал доставки оговаривается в договоре с провайдером.

Только два провайдера поставляют также программное обеспечение для отображения данных SNMP в виде графиков - Compuserve и ICI. Compuserve берет ежемесячную плату $575 за FrameNetManager, ICI берет $125 за ее EnhancedCustomerView.

Остальные провайдеры поставляют только файлы сырых данных. Только один провайдер, LDDSWorldcom, предлагает доступ к статистике с помощью Web-сервиса. Данные обновляются каждый час, но в будущем интервал будет уменьшен до 15 минут.

В своих отчетах провайдеры дают следующую статистику: коэффициент использования на порт/PVC и процент кадров с пометкой DE (подлежит отбрасыванию). Гораздо более полезной информацией были бы данные о том, сколько кадров были отброшены сетью на самом деле, но провайдеры такой статистики не дают. Однако, есть смысл попытаться получить такую статистику, оговорив ее в договоре.

137

Что действительно интересует администратора, так это коэффициент загрузки сети framerelay в целом. Пока только Ameritech, Cable & Wireless и StentorAlliance дают эти данные.

Статистика, поставляемая с периодом в 15 минут, не может дать правильного представления о кратковременных пульсациях трафика. Только Cable & Wireless соглашается поставлять данные с периодом 5 минут. SprintCompuserve рассчитывают на возможности системы VisualUptime от VisualNetworks. Эта система собирает данные через каждую минуту от агентов, внедренных в CSU/DSU пользователей. Система дает рекомендации по корректировке скорости порта и CIR. Агенты собирают также данные на уровнях 1, 2 и 3.

Sprint и Compuserve уже применяют систему VisualUptime в своих сетях. Они также продают эту систему своим пользователям. Стоимость программного обеспечения составляет от $7000 до $30000, а аппаратных агентов от $1195 до $6700.