Управление трафиком
Изучение сбалансированной загрузки всех ресурсов сети за счет рационального выбора пути прохождения трафика через виртуальную сеть. Обзор технологии VPN обеспечивающих доступ удаленных пользователей к корпоративным сетям. Защита данных локальной сети.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | контрольная работа |
Язык | русский |
Дата добавления | 27.06.2013 |
Размер файла | 654,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Введение
При любом числе пользователей сети ССП требуется решение задач по управлению трафиком. По своему замыслу данная сеть предполагает одновременное существование множества разнотипных потоков. Каждый из таких потоков требует безусловного соблюдения одних параметров передачи и допускает некоторые уступки по другим. Поэтому в периоды возникновения перегрузок сеть может для одного потока урезать полосу пропускания, для другого - увеличить время доставки, а для третьего, например, пренебречь целостностью передаваемых данных. Мультисервисная сеть должна обладать более сложной системой управления по сравнению с системами управления традиционными сетями. Она должна обеспечивать одновременное предоставление множества разнообразных сетевых услуг и передачу по сети разнотипного трафика. Для эффективного управления трафиком необходимо располагать соответствующими аппаратными и программными средствами, позволяющими быстро и гибко предоставлять пользователю любую услугу.
1. Traffic Engineering
Под термином Traffic Eпgiпeeriпg понимают методы и механизмы сбалансированной загрузки всех ресурсов сети за счет рационального выбора пути прохождения трафика через сеть. Механизм управления трафиком предоставляет возможность устанавливать явный путь, по которому будут передаваться потоки данных.
При традиционной маршрутизации IР-трафик маршрутизируется посредством его передачи от одной точки назначения к другой и следует до пункта назначения по пути, имеющему наименьшую суммарную метрику сетевого уровня. Следует заметить, что при наличии в сети нескольких равноценных альтернативных маршрутов трафик делится между ними, и нагрузка на маршрутизаторы и каналы связи распределяется более сбалансированно. Но если маршруты не являются полностью равноценными, распределение трафика между ними не происходит.
Еще один существенный недостаток традиционных методов маршрутизации трафика в сетях IP заключается в том, что пути выбираются без учета текущей загрузки ресурсов сети. Если кратчайший путь уже перегружен, то пакеты все равно будут посылаться по этому пути. Налицо явная ущербность методов распределения ресурсов сети - одни из них работают с перегрузкой, а другие не Используются вовсе. Никакие методы QoS данную проблему решить не могут: нужны качественно иные механизмы. Технология управления трафиком - достаточно эффективный механизм использования ресурсов сети.
Основным инструментом выбора и установления путей в ССП сегодня является технология MPLS. Она применяет и развивает концепцию виртуальных каналов в сетях Х.25, Frame Relay и АТМ, объединяя ее с техникой выбора путей на основе информации о топологии и текущей загрузке сети, получаемой с помощью протоколов маршрутизации сетей IP.
2. MPLS TE
Для решения задачи ТЕ технология MPLS использует расширения протоколов маршрутизации, работающих на основе алгоритма состояния связей. Сегодня такие расширения стандартизованы для протоколов OSPF и IS-IS. Данные протоколы, в отличие от дистанционно-векторных протоколов, к которым относится, например, RIP, дают маршрутизатору полную топологическую информацию о сети. Их объявления содержат информацию о маршрутизаторах и сетях, а также о физических связях между ними. Каждая связь характеризуется текущим состоянием работоспособности и метрикой, в качестве которой используется величина, обратная пропускной способности канала. Для решения задачи ТЕ в протоколы OSPF и IS- IS включены новые типы объявлений для распространения по сети информации о номинальной и незарезервированной пропускной способности каждой связи. Таким образом, ребра результирующего графа сети, создаваемого в топологической базе каждого маршрутизатора, будут маркированы этими двумя дополнительными параметрами. Располагая таким графом, а также параметрами потоков, для которых нужно определить пути ТЕ, маршрутизатор может найти рациональное решение, удовлетворяющее, например, одному из сформулированных выше ограничений на коэффициенты использования сбалансированной загрузки.
Рис. 1. - Граф сети:
Для упрощения задачи оптимизации выбор путей для не которого набора потоков может осуществляется по очереди, при этом в качестве ограничения выступает суммарная загрузка каждого ресурса сети. Обычно считается, что внутренней производительности маршрутизатора достаточно (в среднем) для обслуживания любого трафика, который способны принять интерфейсы маршрутизатора.
Поэтому в качестве ограничений выступают только максимально допустимые значения коэффициентов загрузки каналов связи, устанавливаемые индивидуально или же имеющее общее значение. Решение задачи определения маршрута с учетом ограничений получило название Constrained-based Routing, а протокол OSPF с соответствующими расширениями - Constrained SPF, или CSPF.
Понятно, что поиск путей ТЕ по очереди снижает качество решения при одновременном рассмотрении всех потоков можно найти более рациональную загрузку ресурсов.
В примере, показанном на рис. 2, ограничением является максимально допустимое значение коэффициента использования ресурсов, равное 0,65.
В варианте 1 решение было найдено при очередности рассмотрения потоков 1 -> 2 -> 3.
Для первого потока был выбран путь А- В-С, так как в этом случае он, с одной стороны, удовлетворяет ограничению (все ресурсы вдоль пути - каналы А-В, А-С и соответствующие интерфейсы маршрутизаторов оказываются загруженными на 0,5/1,5 = 0,33), а с другой - обладает минимальной метрикой (65 + 65 = 130). Для второго потока также был выбран путь А- В-С, так как и в этом случае ограничение удовлетворяется - результирующий коэффициент использования оказывaeтcя равным (0,5 + 0,4)/1,5 = 0,6.
Третий поток направляется по пути АD-E-C и загружает ресурсы каналов A-D, D-E и Е-С на 0,3
Рис. 2. - 1 поток, В =0.5 Мбит ic:
Рис. 3. - 2 поток, В =0.4 Мбитiс:
Рис.3. - 3 поток, В=0.3 Мбит ic:
Вариант 1: 1-2-3 Вариант 2: 2-3-1.
Кmах = 0,6 Кmах=0,5.
Решение 1 можно назвать удовлетворительным, так как коэффициент использования любого ресурса в сети не превышает 0,6.
Однако сушествует лучший способ, представленный в варианте 2.
Здесь по верхнему пути А-В-С были направлены потоки 2 и 3, а поток 1 по нижнему пути А-С. Ресурсы верхнего пути оказываются загружены на 0,46, а нижнего - на 0,5, т. е. налицо более равномерная загрузка ресурсов, а максимальный коэффициент использования по всем ресурсам сети не превышает 0,5. Этот вариант может быть получен при одновременном рассмотрении всех трех потоков с учетом ограничения min (тах Ki) или же при рассмотрении потоков по очереди в последовательности 2 -> 3 ->1. Тем не менее в производимом сегодня оборудовании применяется вариант MPLS ТЕ с последовательным рассмотрением потоков. Он проще в реализации и ближе к стандартным для протоколов OSPF и IS-IS процедурам нахождения кратчайшего пути для одной сети назначения.
В технологии MPLS ТЕ информация о найденном рациональном пути используется полностью - т. е. запоминается не только первый транзитный узел, как в основном режиме маршрутизации IP, а все про межуточные узлы пути вместе с начальным и конечным, т. е. маршрутизация ПРоизводится от источника. Поэтому достаточно, чтобы поиском путей занимались только пограничные LSR сети, а внутренние - лишь поставляли им информацию о текущем Состоянии сети, которая необходима для принятия решений. Такой подход общодает несколькими преимуществами по сравнению с распределенной моделью поиска пути, лежащей в основе стандартных протоколов маршрутизации IP:
1) он позволяет использовать «внешние» решения, когда пути находятся какой-либо системой оптимизации сети в автономном режиме, а потом прокладываются в сети;
2) каждый из пограничных LSR может работать по собственной версии алгоритма, в то время как при распределенном поиске на всех LSR необходим идентичный алгоритм, что усложняет построение сети с оборудованием разных производителей;
3) такой подход разгружает внутренние LSR от работы по поиску путей.
После нахождения пути, независимо от того, найден он был пограничным LSR или внешней системой, его необходимо установить. Для этого в MPLS ТЕ используется специальный протокол сигнализации, который умеет распространять по сети информацию о явном (exp1icit) маршруте. Сегодня в MPLS ТЕ определено два таких протокола: RSVP с расширениями ТЕ и CR-LDP.
При установлении нового пути в сообщении сигнализации наряду с последовательностью адресов пути указывается также и резервируемая пропускная способность.
Каждый LSR, получив такое сообщение, вычитает запрашиваемую пропускную способность из пула свободной пропускной способности соответствующего интерфейса, а затем объявляет остаток в сообщениях протокола маршрутизации.
Таблица - Сравнение протоколов CR-LDР, RSVP-TE:
CR-LDР |
RSVP-TE |
||
Используемый транспортный протокол |
ТСР |
ІР |
|
Надежность операторского класса |
Нет |
Да |
|
Поддержка трафика «много точек-точка» |
Да |
Да |
|
Поддержка вещательной рассылки |
Нет |
Нет |
|
Поддержка слияния LSР |
Да |
Да |
|
Явная маршрутизация |
Со строгими и нестрогими участками маршрута |
Со строгими и нестрогими участками маршрута |
|
Ремаршрутизация LSР |
Да |
Да |
|
Закрепление маршрута |
Да |
Да, путем записи маршрута |
|
Вытеснение потоков в LSР |
Да, на основе приоритета |
Да, на основе приоритета |
|
Средства безопасности |
Да |
Да |
|
Защита LSР |
Да |
Да |
|
Состояние LSР |
Жесткое |
Нежесткое |
|
Регенерация состояния LSР |
Не требуется |
Периодическая, по участкам |
|
Резервирование совместно используемых ресурсов |
Нет |
Да |
|
Обмен параметрами трафика |
Д |
Да |
|
Управление трафиком |
В прямом направлении |
В обратном напрвлении |
|
Авторизация пользователей |
Неявная |
Явная |
|
Индикация протокола уровня 3 |
Нет |
Да |
|
Ограничение в зависимости от класса ресурса |
Да |
Нет |
3. Основы VPN
Виртуальная сеть - это вьщеленная сеть на базе общедоступной сети, поддерживаюшяя конфиденциальность передаваемой информации за счет использования туннелирования и других процедур защиты. В основе технологии VPN лежит идея обеспечения доступа удаленных пользователей к корпоративным сетям, содержащим конфиденциальную информацию, через сети общего пользования.
Проводя сравнение между частными и виртуальными частными сетями, следует выделить несомненные преимущества VPN:
- технология VPN позволяет значительно снизить расходы по поддержанию работоспособности сети: пользователь платит только абонентскую плату за аренду канала. Кстати, аренда каналов также не вызывает каких-либо затруднений вследствие широкомасштабности сети Интернет;
- удобство и легкость при организации и перестроении структуры сети.
Разработка единой модели обслуживания виртуальной частной сети могла бы упростить сетевые операции, но такой подход не может удовлетворить различным требованиям клиентов, так как они уникальны. Каждый клиент предъявляет свои требования к безопасности, числу сайтов, сложности маршрутизации, критичным приложениям, моделям и объемам трафика. Все сети VPN условно можно разделить на три основных вида:
- внутрикорпоративные VPN (Intranet VPN);
- межкорпоративные VPN (Extranet VPN);
- VPN с удаленным доступом (Remote Access VPN).
Интрасеть представляет собой наиболее простой вариант VPN, он позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Экстрасеть - вариант построения VPN «экстрасеть», предназначенный для обеспечения доступа из сети одной компании к ресурсам сети другой, уровень доверия к которой намного ниже, чем к своим сотрудникам. Поэтому, когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнеры имели достуц только к определенной информации.
VPN с удаленным доступом. Принцип работы VPN с удаленным доступом прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети (РоР), после чего их вызовы туннелируются через Интернет, что позволяет избежать платы за междугородную и международную связь. Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети.
Важную роль при построении VPN играют отношения предприятия с провайдером, в частности, распределение между ними функций по конфигурированию и эксплуатации VPN-устройств. При создании защищенных каналов VРN-средства могут располагаться как в среде оборудования провайдера, так и в оборудовании предприятия. В зависимости от этого выделяют два варианта построения VPN:
- пользовательская схема (Customer Provided VPN);
- провайдерская схема (Provider Provisioned VPN).
Кроме вышеперечисленной классификации, все варианты создания VPN можно разделить на две категории: программные и аппаратные.
Программные решения представляют собой готовые приложения, которые устанавливаются на подключенном к сети компьютере со стандартным программным обеспечением.
Аппаратные VРN-решения включают в себя компьютер, операционную систему, специальное программное обеспечение. Виртуальные частные сети можно считать полноценным видом транспорта д,ля передачи трафика, только если есть гарантии на пропускную способность и другие параметры производительности, а также на безопасность передаnаемых данных.
4. Функции VPN по защите данных
Подключение любой корпоративной сети к публичной вызывает два типа угроз:
- несанкционированный доступ к ресурсам локальной сети, полученный в результате входа в эту сеть;
- несанкционированный доступ к данным при передаче трафика по публичной сети.
Для создания защищенного канала средства VPN используют процедуры шифрования, аутентификации и авторизации.
Шифрование.
Методов шифрования довольно много, поэтому важно, чтобы на концах туннеля использовался один и тот же алгоритм шифрования. Кроме того, для успешного дешифрования данных источнику и получателю данных необходимо обменяться ключами шифрования.
Следует отметить, что шифрование сообщений необходимо не всегда. Часто оно оказывается довольно дорогостоящей процедурой, требующей дополнительных приставок для маршрутизаторов, без которых они не могут одновременно с шифрованием обеспечивать приемлемый уровень быстродействия.
Аутентификация.
Под аутентификацией пони мается определение пользователя или конечного устройства.
Аутентификация позволяет устанавливать соединения только между легальными пользователями и, соответственно, предотвращает доступ к ресурсам сети несанкционированных пользователей.
В процедуре участвуют две стороны: одна доказывает свою аутентичность, а другая ее проверяет и принимает решение.
Авторизация. Авторизация подразумевает предоставление абонентам различных видов услуг.
Каждому пользователю предоставляются определенные администратором права доступа.
Эта процедура выполняется после процедуры аутентификации и позволяет контролировать доступ санкционированных пользователей к ресурсам сети.
5. Технологии создания виртуальных частных сетей
Среди технологий построения VPN можно назвать такие технологии, как:
- IPSec VPN,
- MPLS VPN,
- VPN на основе технологий туннелирования РРТР и L2TP.
Во всех перечисленных случаях трафик посылается в сеть провайдера по протоколу ІР, что позволяет провайдеру оказывать не только услуги VPN, но и различные дополнительные сервисы (контроль за работой клиентской сети, хостинг Web и почтовых служб, хостинг специализированных приложений клиентов).
6. IPSec VPN
lnternet Protocol Security относится к наиболее распространенным и популярным технологиям VPN.
Стандарт IPSec обеспечивает высокую степень гибкости, позволяя выбирать нужный режим защиты, а также позволяет использовать различные алгоритмы аутентификации и шифрования данных.
Режим инкапсуляции пакетов дает возможность изолировать адресные пространства клиента и провайдера за счет применения двух IP адресов - внешнего и внутреннего.
Рис. 4. - Общий вариант построения виртуальной частной сети:
IPSec, как правило, применяется для создания VPN, поддерживаемых провайдером, - туннели в них строятся на базе устройств клиента, но конфигурируются они удаленно и управляются провайдером. Технология IPSec позволяет решать следующие задачи по установлению и поддержанию защищенного канала:
- аутентификацию пользователей или компьютеров при инициализации канала;
- шифрование и аутентификацию передаваемых данных между конечными точками канала;
- автоматическое снабжение точек секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.
Недостатком данной технологии является тот факт , что из всех свойств виртуальной сети технология IPSec реализует только защищенность и изолированность адресного пространства. Пропускную способность и другие параметры QoS она не поддерживает. Кроме того, минусом IPSec является и его ориентированность исключительно на IР-протокол.
7. VPN на основе туннелирования через IP
Сюда входят все технологии для образования VPN, которые используют туннели через IР-сети. Применение туннеля позволяет изолировать адресное пространство клиента, что в свою очередь дает клиенту возможность переносить незашифрованный трафик (L2TP) или шифровать его (РРТР). Протокол РРТР поддерживает управление потоками данных и многопротокольное туннелирование на базе протокола IP. Удаленным пользователям протокол позволяет получать доступ к корпоративной сети, подключаясь по телефонной линии к местному поставщику услуг Интернет вместо прямого подключения к сети компании. РРТР обеспечивает соединение с нужным сервером, создавая для каждого удаленного клиента виртуальную сеть. Протокол решает многие проблемы сетевых администраторов, вынужденных обеспечивать поддержку множества удаленных пользователей, но желающих избежать создания и обслуживания относительно дорогой сети на выделенных каналах.
Спецификации L2TP разрабатывает IETF. Он ориентирован на поддержку многопротокольного туннелирования, но кроме этого обеспечивает совместимость всех L2ТР-продуктов. К недостаткам протоколов РРТР и L2TP можно отнести отсутствие встроенных алгоритмов шифрования.
8. MPLS VPN
Технология MPLS в настоящее время является одной из наиболее перспективных технологий создания VPN.
Использование MPLS для построения VPN позволяет сервис-провайдерам быстро и экономично создавать защищенные виртуальные частные сети любого размера в единой инфраструктуре. Сеть MPLS VPN делится на две области: IР-сети клиентов и внутренняя (магистральная) сеть провайдера, которая служит для объединения клиентских сетей. В общем случае у каждого клиента может быть несколько территориально обособленных сетей IP, каждая из которых в свою очередь может включать несколько подсетей, связанных маршрутизаторами. Такие территориально изолированные сетевые элементы корпоративной сети принято называть сайтами. Принадлежащие одному клиенту сайты обмениваются IР-пакетами через сеть провайдера MPLS и образуют виртуальную частную сеть этого клиента. Обмен маршрутной информацией в пределах сайта осуществляется по одному из внутренних протоколов маршрутизации IGP. Структура MPLS VPN предполагает наличие трех основных компонентов сети:
- Cиstomer Enge Roиter, СЕ - пограничный маршрутизатор клиента (Edge LSR в терминологии MPLS);
- Provider Roиter, Р - внутренний маршрутизатор магистральной сети провайдера (LSR в терминологии MPLS);
- Provider Enge Roиter, РЕ - пограничный маршрутизатор сети провайдера.
Рис. 5. - MPLS VPN:
Пограничные маршрутизаторы клиента служат для подключения сайта клиента к магистральной сети провайдера. Эти маршрутизаторы принадлежат сети клиента и ничего не знают о существовании VPN. СЕмаршрутизаторы различных сайтов не обмениваются маршрутной информацией непосредственно и даже могут не знать друг о друге. Адресные пространства подсетей, входящих в состав VPN, могут перекрываться, т.е. уникальность адресов должна соблюдаться только в пределах конкретной подсети. Этого удалось добиться преобразованием IP-aдpeca в VPN- IPадрес и использованием протокола МР-ВОР для работы с этими адресами. Считается, что СЕ-маршрутизатор относится к одному сайту, но сайт может принадлежать к нескольким VPN.
К РЕ-маршрутизатору может быть подключено несколько СЕ-маршрутизаторов, находящихся в разных сайтах и даже относящихся к разным VPN. Маршрутизаторы СЕ не обязаны поддерживать технологию многопротокольной коммутации, поддержка MPLS нужна только для внутренних интерфейсов РЕ маршрутизаторов и, конечно, для всех интерфейсов маршрутизаторов ІР. По функциональному построению более сложными являются пограничные маршрутизаторы сети провайдера. На них возлагается функция поддержки VPN, а именно, разграничение маршрутов и данных, поступающих от разных клиентов. Кроме того, эти маршрутизаторы служат оконечными точками путей LSP между сайтами заказчика.
Каждый РЕ-маршрутизатор должен поддерживать столько таблиц маршрутизации, сколько сайтов пользователей к нему подсоединено, то есть на одном физическом маршрутизаторе организуется несколько виртуальных. Причем маршрутная информация, касающаяся конкретной VPN, содержится только в РЕ маршрутизаторах, к которым подсоединены сайты данной VPN. Таким образом решается проблема масштабирования, неизбежно возникающая в случае наличия этой информации во всех маршрутизаторах сети оператора. Под каждый новый сайт клиента РЕ создает отдельную ассоциированную таблицу маршрутизации. Каждой ассоциированной таблице маршрутизации в маршрутизаторе РЕ присваивается один или несколько атрибутов Rт, которые определяют набор сайтов, входящих в конкретную VPN. Помимо этого, маршрут может быть ассоциирован с атрибутом VPN of Origin, который однозначно идентифицирует группу сайтов и соответствующий маршрут, объявленный одним из маршрутизаторов этих сайтах; и с атрибутом Site of Origin, идентифицирующим сайт, от которого маршрутизатор РЕ получил информацию о данном маршруте. Через маршрутизаторы РЕ проходит невидимая граница между зоной клиентских сайтов и зоной ядра провайдера. По одну сторону располагаются интерфейсы, через которые РЕ взаимодействует с маршрутизаторами ІР, а по другую - интерфейсы, к которым подключаются сайты клиентов. С одной стороны на РЕ поступают объявления о маршрутах магистральной сети, с другой стороны - объявления о маршрутах в сетях клиентов.
Ограничение области распространения маршрутной информации пределами отдельных VPN изолирует адресные пространства каждой VPN, позволяя применять в ее пределах как публичные адреса Интернет, так и частные (private) адреса.
Всем адресам адресного пространства одной VPN добавляется префикс, называемый различителем маршрутов (Route Distinguisher, RD), который уникально идентифицирует эту VPN. В результате на маршрутизаторе РЕ все адреса, относящиеся к разным VPN, обязательно будут отличаться друг от друга, даже если они имеют совпадающую часть - адрес IP.
Обмен маршрутной информацией между сайтами каждой отдельной VPN выполняется под управлением протокола MP-BGP (Multiprotocol BGP).
MPLS не обеспечивает безопасность за счет шифрования и аутентификации, как это делает IPSec, но допускает применение данных технологий как дополнительных мер защиты. Провайдер MPLS может предлагать клиентам услуги гарантированного качества обслуживания при использовании методов ТгаШс Engineering или DiffSeгv.
Виртуальные сети VPN MPLS ориентированы на построение защищенной корпоративной сети клиента на базе частной сетевой инфраструктуры одной компании. Данный вариант организации сочетает в себе преимущества применения протокола IP с безопасностью частных сетей и предоставляемым качеством обслуживания, которые дает технология MPLS. Сети MPLS VPN больше всего подходят для создания корпоративного пространства для электронной коммерции, обеспечивающего единую сетевую среду для подразделений корпорации и организацию экстрасетей. Они также могут стать основой для электронной коммерческой деятельности предприятия.
9. Применение туннелей для VPN
Протоколы защищенного канала, как правило, используют в своей работе мехаиuзм туииелuроваиuя. С помощью данной методики пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель - получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.
Технология туннелирования позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Такой зашифрованный пакет помещается в другой пакет с открытым заголовком. Этот заголовок используют для транспортировки данных на участке общей сети.
В граничной точке защищенного канала извлекается зашифрованный заголовок, который будет использоваться для дальнейшей передачи пакета. Как правило, туннель создается только на участке сети общего пользования, где существует угроза нарушения конфиденциальности и целостности данных. Помимо защиты передаваемой информации, механизм туннелирования используют для обеспечения целостности и аутентичности. При этом защита потока реализуется более полно.
Туннелированис применяется также и для согласования разных транспортных технологий, если данные одного протокола транспортного уровня необходимо передать через транзитную сеть с другим транспортным протоколом. Следует отметить, что процесс тун нелирования не зависит от того, с какой целью он применяется. Сам по себе механизм туннелирования не защищает данные от несанкционированного доступа или от искажений, он лишь создает предпосылки для защиты всех полей исходного пакета. Для обеспечения секретности передаваемых данных пакеты на транспортном уровне шифруются и передаются по транзитной сети.
Сравнительный анализ туннелей MPLS и обычных туннелей.
Туннели MPLS позволяют передавать данные любого протокола вышecToящeгo уровня (например IP, IPX, кадры Frame Relay, ячейки АТМ), так как содержимое пакетов вдоль всего пути следования пакета остается неизменным, меняются только метки. В отличие от них, туннели IPSec поддерживают передачу данных только протокола IP, а протоколы РРТР и L2TP позволяют обмениваться данными по протоколам IP, IPX или Net BEUI. Безопасность передачи данных в MPLS обеспечивается за счёт определённой сетевой политики, запрещающей принимать пакеты, снабжённые метками, и маршрутную информацию VPN - IP от непроверенных источников. Она может быть повышена использованием стандартных средств аутентификации и/или шифрования (например шифрование IPSec). Для безопасной передачи данных в протокол IP Security включены определенные процедуры шифрования lP-пакетов, аутентификации, обеспечения защиты и целостности данных при транспортировке, вследствие чего туннели IPSec обеспечивают надежную доставку информационного трафика. Применение меток MPLS позволяет реализовать ускоренное продвижение пакетов по сети провайдера. Транспорт MPLS не считывает заголовки транспортируемых пакетов, поэтому используемая в этих пакетах адресация может носить частный характер. Содержимое пакетов не считывается и при передаче IР-пакетов по протоколам IPSec, РРТР и L2TP. Однако, в отличие от MPLS, традиционные протоколы туннелирования для транспортировки IР-пакетов используют традиционную IР-маршрутизацию. При выборе пути следования пакета в MPLS учитываются различные параметры, оказывающие влияние на выбор маршрута. Совместная работа технологии многопротокольной коммутации и механизмов Traffic Engineering позволяет для каждого туннеля LSP предоставить требуемый уровень качества обслуживания за счет процедуры резервирования ресурсов на каждом маршрутизаторе вдоль пути следования пакета. Помимо этого, появляется возможность отслеживать действительный маршрут, проходящий через сформированный туннель, возможность диагностики и административного контроля туннелей LSP. Различные туннели, в соответствии с необходимым уровнем QoS между двумя точками поддерживает и протокол L2TP.
Технология VPN IPSec не поддерживает параметров качества обслуживания установленного соединения, а протокол РРТР поддерживает единственный туннель между двумя точками. Нельзя не отметить и тот факт, что весь трафик при использовании традиционных IР-туннелей следует до адресата вдоль одного и того и того же пути. Технология MPLS позволяет контролировать потоки, передаваемые по множеству всех имеющихся путей до адресата. сеть виртуальный пользователь
Стоит отметить, что ни одна из рассматриваемых технологий не поддерживает многоадресную рассылку, но дЛЯ MPLS- ТЕ она находится в разработке. MPLS VPN может быть создана для поддержки критически важных приложений на круглосуточной основе. В этом случае провайдер услуг определяет фиксированный путь на срок контракта с пользователем. В случаях сбоя или отсутствия пропускной способности приоритет отдается более важным потокам (с более высоким приоритетом). Одна из функций MPLS - объединение виртуальных каналов, когда несколько туннелей MPLS объединяются для создания единого туннеля. Такая структура распространяет VPN на базе MPLS в сети оператора на сеть внутри офиса и прямо до сервера или клиента. При подобном расширении VPN оператору может быть предоставлена ответственность по управлению для обеспечения непрерывного контроля за CoS из конца в конец.
Размещено на Allbest.ru
Подобные документы
Сущность и принцип действия локальной вычислительной сети, ее виды, преимущества и недостатки. Предпосылки внедрения технологии виртуальной локальной сети в локальных сетях. Требования, предъявляемые к домовым локальным сетям при их модернизации.
дипломная работа [2,9 M], добавлен 26.08.2009Характеристика технико-экономического обоснования разработки вычислительной сети. Изучение вопросов реализации системы документооборота, создания локальной вычислительной сети, позволяющей пользователям получать доступ к сети передачи данных Интернет.
курсовая работа [471,8 K], добавлен 08.12.2011Структура локальной компьютерной сети организации. Расчет стоимости построения локальной сети. Локальная сеть организации, спроектированная по технологии. Построение локальной сети Ethernet организации. Схема локальной сети 10Base-T.
курсовая работа [126,7 K], добавлен 30.06.2007Выбор технологии передачи данных. Выбор топологии сети, головной станции, конфигурации системы видеонаблюдения. Организация доступа к IP-телефонии и Интернету. Расчет передаваемого трафика через сеть и видеонаблюдения. Проектирование кабельной сети.
дипломная работа [1,7 M], добавлен 27.01.2016Локальная вычислительная сеть, узлы коммутации и линии связи, обеспечивающие передачу данных пользователей сети. Канальный уровень модели OSI. Схема расположения компьютеров. Расчет общей длины кабеля. Программное и аппаратное обеспечение локальной сети.
курсовая работа [55,0 K], добавлен 28.06.2014Понятие и основные характеристики локальной вычислительной сети. Описание типологии "Шина", "Кольцо", "Звезда". Изучение этапов проектирования сети. Анализ трафика, создание виртуальных локальных компьютерных сетей. Оценка общих экономических затрат.
дипломная работа [990,2 K], добавлен 01.07.2015Подбор конфигурации рабочих станций, сервера и программного обеспечения для соединения с локальной компьютерной сетью. Организация локальной сети, ее основание на топологии "звезда". Антивирусная защита, браузеры, архиваторы. Особенности настройки сети.
курсовая работа [90,6 K], добавлен 11.07.2015Проект локальной вычислительной сети организации ТРЦ "Синема" под управлением операционной системы Windows 2000 Advanced Server. Проблема окупаемости и рентабельности внедрения корпоративной локальной сети. Управление ресурсами и пользователями сети.
дипломная работа [633,3 K], добавлен 26.02.2017Назначение и классификация компьютерных сетей. Обобщенная структура компьютерной сети и характеристика процесса передачи данных. Управление взаимодействием устройств в сети. Типовые топологии и методы доступа локальных сетей. Работа в локальной сети.
реферат [1,8 M], добавлен 03.02.2009Обоснование модернизации локальной вычислительной сети (ЛВС) предприятия. Оборудование и программное обеспечение ЛВС. Выбор топологии сети, кабеля и коммутатора. Внедрение и настройка Wi-Fi - точки доступа. Обеспечение надежности и безопасности сети.
дипломная работа [2,4 M], добавлен 21.12.2016