Разработка алгоритмов и средств создания самоорганизующихся виртуальных частных сетей

Размещено на http://www.allbest.ru/

6

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Оренбургский государственный университет»

РАЗРАБОТКА АЛГОРИТМОВ И СРЕДСТВ СОЗДАНИЯ САМООРГАНИЗУЮЩИХСЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

Коннов А.Л.,

канд. техн. наук, доцент

Работа направлена на создание алгоритмов, методов и программных компонентов комплексной системы для развертывания VPN сетей по облачному принципу без дополнительной настройки.

Целью работы является разработка теоретической основы создания самоорганизующихся VPN сетей с адаптивной маршрутизацией разных типов трафика и облачным принципом развертывания. Разработанные алгоритмы реализованы в виде программных модулей к распространенным сетевым устройствам начального уровня.

Было установлено, что разработка методов виртуализации VPN в среде распределенных вычислительных систем имеет направление развития в форме паравиртуализации и использования маломощных аппаратных устройств шифрования, получения прогноза будущего состояния сети при помощи различных методик. Было установлено фактическое отсутствие на рынке программных решений для виртуализации распределенных облачных VPN систем, а также систем интеграции с оборудованием различных производителей. Наблюдается стремительный рост спроса на системы, реализующие такие VPN, который отражает потребности бизнеса в надежных защищенных каналах связи, уже использующихся в различных бизнес-процессах. Данный факт позволяет сделать вывод об актуальности и представленной работы, направленной на повышение эффективности и производительности распределенных систем VPN, снижение затрат на их создание, на ускорение их экономической окупаемости.

В работе были применены методы теории вероятностей, теории массового обслуживания, теории марковских процессов, численного решения уравнений в частных производных, теория сетей ЭВМ и телекоммуникаций, теория муравьиных и генетических алгоритмов. Для анализа и расчета маршрутов трафика с динамической топологией сети использовался метод исследования вариантов с помощью муравьиных алгоритмов. Параметры производительности сети при динамической топологии сети для расчета характеристик сетевых моделей использовали методы двумерной диффузионной аппроксимации интервалов времени между пакетами.

В результате были получены следующие важнейшие результаты.

1. Алгоритм самонастройки устройств в рамках единой логической сети пользователя на основе облачного единого центра управления. [4]
При запросе входящего соединения трафик коммутируется на первичный сервис VPN для определения принадлежности канала. Каждое удаленное устройство имеет собственный пароль и логин и связано с конкретным клиентом. После того как происходит первичная идентификация абонента генерируется OpenFlow правило для перенаправления на соответствующий сервер поддерживающий запрашиваемый сервис. При вторичной аутентификации выполняется проверка того, какому клиенту принадлежит устройство. При наличии ошибки FreeRadius сервер аутентификации при помощи скрипта посылает команду OpenFlow контроллеру для перекоммутации абонента. В случае L2TP/IPSEC соединения, каждый абонент после подключения получает виртуальный интерфейс pppN, где N - соответствующий номер абонента. Этот интерфейс должен динамически добавляться в правила iproute2 для реализации VRF. На клиентских устройствах установлена реализация алгоритма самонастройки в виде скрипта инициализации первичного соединения, по которому будет получена информация об адресе сервера для соединения и сертификат для соединения (он генерируется при первом запросе от клиента). Скрипт запускается при соединении к сети Интернет и проверяет доступность главного сервера. Затем загружает и анализирует файл конфигурации для пользователя и сохраняет на диск файл сертификата. После анализа настроек скрипт настраивает новое соединение уже для конкретного пользователя. При работе, раз в 5 минут скрипт проверяет наличие обновления для конфигурационного файла. Реализация и алгоритм описаны в [4]. Новизна алгоритма заключается в методе автонастройки VPN канала со стороны сервера по запросу с помощью двойной генерируемой динамически аутентификации и файлов конфигурации.

2. Алгоритм автоматического исследования топологии VPN сети с учетом логической топологии обеспечивающих сетей провайдера, группировки центров прохождения трафика по принципу псевдоавтономных систем в пределах сегмента сети провайдера.

Исследование топологии начинается с поиска соседей по маршрутизации и коммутации с помощью протоколов LLDP, CDP и ARP таблиц. После определения первого радиуса соседей начинается трассировка маршрутов до серверов VPN с измерением характеристик производительности канала, таких как: среднее время отклика, средняя задержка передачи и приема, джиттер. Далее сервер использует реестр в виде XML базы для распространения информации о всех устройствах в пределах виртуальной сети клиента, как описано в [5]. После этого происходит кластеризация по принципу автономной системы устройств, которые имеют двустороннюю связь по IP-адресам в группу полной связности, устройств со связью «только ответ» (при использовании NAT провайдером) создают топологию дерева [1]. При этом значительно повышается производительность в пределах одной группы устройств при помощи динамических настроек, которые были разработаны в работе [5]. Также были проведены экспериментальные и теоретические исследования задержек в сети [5] и была построена имитационная модель мультисервисной сети VPN [5], которая позволяет проводить исследования различных алгоритмов сетевой маршрутизации. Новизна алгоритма состоит в том, что используется кластеризации маршрутов при автоматическом исследовании топологии.

3. Алгоритм анализа данных в центре управления сетью для определения оптимальных топологий, асинхронного управления каналами VPN и резервных каналов связи.

При использовании кластеризации устройств в сети одного провайдера, имеют место случаи, когда некоторые устройства имеют запасной канал через другого провайдера (например ADSL или 4G). Данный канал был определен клиентом как неудовлетворительный по качеству, либо находится под запретом в качестве основного исходя из его стоимости. Однако при обрыве или сильном ухудшении производительности основного канала устройство перейдет на данный запасной канал. Созданный алгоритм [3] позволяет использовать такие устройства в качестве резервного шлюза остальных устройств в пределах одной автономной системы. Это позволяет существенно повысить гибкость и надежность всей системы в целом. Новизна же алгоритма заключается в использовании принципов топологии Mesh при реализации VPN каналов.

4. Алгоритм раздельной адаптивной маршрутизации различных типов трафика на основе муравьиных алгоритмов. [5].

Разработан алгоритм на основе методов муравьиной колонии раздельной адаптивной маршрутизации различных типов трафика, для которого получены параметры качества обслуживания QoS. Он решает задачу обеспечения параметров QoS для потоков данных одновременно с определением путей их передачи. При выборе путей алгоритм руководствуется топологией и текущим состоянием сети, включая пропускные способности и задержки для каждой сетевой связи. Этот алгоритм подробно описан в [3]. Он основан на алгоритме муравьиной колонии [4], разработанном ранее. Адаптация под VPN каналы позволила реализовать непрерывную адаптацию к трафику. Алгоритм прошел апробацию на имитационной модели VPN [5]. Новизна заключается в использовании алгоритмов функционирования муравьиной колонии при решении задач поиска оптимального маршрута по мультикритериальным признакам.

5. Разработка программной реализации созданных алгоритмов для устройств на базе OpenWrt, RouterOS и подобных.

Описание работы реализованных алгоритмов приведено в [3,4]. Для моделирования большого числа соединений были использованы маломощные дешевые виртуальные машины в облаке с установленными RouterOS x86 v6.27 и OpenWRT. x86 v12.09. Как видно по результатам тестов наилучшую производительность показал протокол OpenVPN с шифрованием AES128. Самый распространенный протокол шифрования IPSEC с шифрованием 3DES в связке с L2TP показал наименьшую производительность. Средний период простоя процессора колебался от 0,05 до 0.07, что довольно неплохо для высоконагруженного сетевого сервера. Это позволяет сократить затраты на оплату виртуальных ресурсов до 20%.

маршрутизация трафик программный модуль облако

Список литературы

1. Полежаев П.Н. Разработка системы управления программными сервисами в облачных системах с использованием технологии контейнеризации // X Всероссийская научно-практическая конференция (с международным участием) AS'2015 «Системы автоматизации в образовании, науке и производстве». - г. Новокузнецк, 2015. - С.53-57.

2. Полежаев П.Н. Модель вычислительных сервисов облачной системы с поддержкой программно-конфигурируемых сетей и контейнеров // Материалы III Международной научно-практической конференции «Шестой технологический уклад: механизмы и перспективы развития», 13-14 ноября. - Ч.1. - г. Ханты-Мансийск, 2015. - С. 45-46.

3. Ушаков Ю.А., Полежаев П.Н., Шухман А.Е. Создание мультисервисной многоточечной VPN сети с динамической автонастройкой. // Вестник Оренбургского государственного университета. - 2015. - № 9. - С. 170-178.

4. Polezhaev P., Shukhman A., Ushakov Yu. Implementation of dynamically autoconfigured multiservice multipoint VPN. // Proceedings of 9th International Conference on Application of Information and Communication Technologies (AICT),14-16 October 2015, Rostov-on-Don, Russia. - pp. 211-215.

5. Ушаков Ю.А., Коннов А.Л., Полежаев П.Н., Шухман А.Е. Имитационная модель самоорганизующейся виртуальной частной сети. // Вестник Оренбургского государственного университета - 2015 - №12. - C. 216-221.

Размещено на Allbest.ru