...
...
...

Широкополосные IP-сети: стандарт DiffServ на примере OptiSwitch Classifier

Задачи, стоящие перед оператором связи, предоставляющим услуги широкополосного доступа к сети, заключаются в первую очередь в обеспечении требуемой абонентом полосы пропускания, а также гарантированной доставки той информации, которая чувствительна к задержкам в сети (это, например, относится к передаче голоса или видео). Со своей стороны, оператор должен иметь возможность осуществлять сбор статистики о том какими услугами и в каких объемах пользуются его абоненты для осуществления полноценного биллинга. Именно приведенные выше требования до недавнего времени удерживали операторов от построения своих сетей доступа на базе технологии Ethernet. А ведь использование Ethernet, как стандартной технологии, успевшей за десятилетия своего существования доказать свою живучесть, имеет массу преимуществ.

Во-первых, Ethernet оказался хорошо масштабируемой технологией, быстро пройдя путь от 10 Мбит/с до гигабитных скоростей. Сегодня идет разработка стандарта на 10-гигабитный Ethernet, который уже в ближайшем будущем найдет свое применение в качестве магистральной технологии. 
Во-вторых, абонентское оборудование Ethernet крайне дешево (сетевая плата 10/100 Мбит/с сегодня стоит менее 10 долларов). 
И в-третьих, предоставление абонентам канала Ethernet вместо модемной линии или подключения xDSL дает возможность уже сегодня представлять доступ к сетевым ресурсам на скоростях до 100 Мбит/с, а это обеспечивает запас пропускной способности на достаточно длительный промежуток времени (ведь на сегодня скорость в 1 Мбит/с для индивидуального абонента сети кажется огромной, если не чрезмерной). 
Таким образом, проблема развертывания сетей доступа на базе Ethernet сдерживалась лишь отсутствием механизма обеспечения качества услуг и управления полосой пропускания для абонентов. Появление новых разработок и стандартов в этой области позволило снять данную проблему. Компания Optical Access, реализовав в своем семействе коммутаторов OptiSwitch поддержку стандарта DiffServ, предложила решение OptiSwitch Classifier, обеспечивающие все необходимые функции и услуги операторского уровня. Концепция OptiSwitch Classifier полностью соответствует стандарту DiffServ, более подробное описание которого можно найти по адресу http://www.ietf.org/html.charters/diffserv-charter.html 

топология сети

Типичная топология сети, в которой реализованы функции управления трафиком и предоставления услуг, включает в себя несколько сегментов, называемых доменами DiffServ, которые подключены к глобальной сети или кольцу городской сети с помощью маршрутизатора. Каждый домен DiffServ — это одна сеть доступа масштаба города или района и именно в рамках этого домена осуществляется управление трафиком, классификация потоков данных и резервирование полосы пропускания для каждого потока. 
Внутри каждый домен DiffServ выглядит следующим образом (см. Рисунок). Абоненты сети подключены к портам доступа. Внутри сети коммутаторы подключены друг к другу портами, называемыми внутренними. К внешнему миру домен DiffServ подключается с помощью маршрутизатора через его внешний порт. Соединения внутри домена DiffServ представляют собой оптические или медные каналы Ethernet 10/100/1000 Мбит/с. Внешний порт может иметь любой интерфейс.


основные определения

В рамках концепции управления потоками информации основную роль играет определение потока. Потоком в OptiSwitch Classifier называются пакеты, движущиеся из источника А по назначению Б, которые могут быть однозначно идентифицированы по любой 16-байтовой комбинации из первых 64 байт заголовка. Это означает, что поток может определяться на основании не только полей заголовков Уровней 2 и 3, но также и Уровней 4 и 5. В результате поток может быть задан по очень широким критериям. Например, так: "все пакеты трафика Telnet, прибывающие с порта 3, с адресом источника 192.90.136.2 и направляющиеся в подсеть 188.89.98.х (с маской подсети 255.255.255.0)". Таким образом, на каждый порт доступа может определяться несколько потоков, описывающих различные сервисы, которыми пользуется абонент. Например, один поток описывает трафик данных Internet, другой — IP-телефонии, а третий — доступа к видеосерверу. При заказе пользователем новой услуги, администратор просто добавляет новый поток, определяя его на соответствующем порту доступа. Общее число потоков в домене DiffServ может достигать 128 000. При этом, если для обычных портов доступа достаточно определить три-четыре потока, описывающие все требуемые абоненту сервисы, то для портов, к которым подключены сетевые серверы, обслуживающие многих абонентов, может потребоваться создать несколько тысяч потоков. Архитектура OptiSwitch Classifier поддерживает различные приложения и поддерживает до 10000 потоков на каждый коммутатор сети.
Следующей важной задачей является обработка данных потоков в типом трафика и существующими соглашениями об уровне сервиса.

классы услуг

Возможны два подхода к реализации соглашений об уровне сервиса (SLA) в сети. Первый предполагает обеспечение полноценного качества услуг (QoS) для каждого потока информации. При этом все промежуточные устройства сети, через которые проходят пакеты данного потока, должны знать все его параметры, и иметь возможность зарезервировать ресурсы, необходимые именно для этого потока. Этот подход является идеальным, однако на сегодня он является практически нереализуемым. Число таких потоков в современных сетях может измеряться сотнями тысяч, и для введения информации о них в каждое сетевое устройство могут потребоваться крайне сложные средства управления, а также огромные затраты труда технического персонала. Другой подход реализовать значительно проще. Он заключается в объединении потоков в несколько различных классов. В этом случае промежуточные устройства сети, находящиеся на пути пакетов, принадлежащих к различным потокам, должны знать лишь о том, к какому классу принадлежит тот или иной пакет, и обрабатывать его в соответствии с правилами, определенными для всего класса. Такой подход описывает концепцию классов услуг (CoS) и именно он реализован в решении OptiSwitch Classifier.

очереди и их обработка

Концепция классов услуг (CoS) в коммутируемых сетях может быть реализована с помощью организации нескольких очередей для обработки пакетов с разными приоритетами на каждом порту коммутатора. Каждая очередь связывается с одним из классов услуг.
В рамках решения OptiSwitch Classifier каждый порт коммутатора OptiSwitch, работающего в сети, имеет четыре очереди с разными приоритетами. Кроме того, для каждой очереди вводится индикатор возможности отбрасывания пакетов. Если пакет помечен этим индикатором, он может быть отброшен при переполнении очереди. Таким образом, наличие 4-х очередей и 2-х значений индикатора отбрасывания пакетов позволяет ввести 8 уровней обслуживания для каждого потока.
Обработка этих очередей в OptiSwitch Classifier может осуществляться с помощью различных алгоритмов.
Первый подход реализует простую схему приоритетов. Пакеты из очереди с наивысшим приоритетом всегда обрабатываются первыми. Вслед за ними — пакеты с меньшим приоритетом. Недостатком этой схемы является отсутствие каких-либо гарантий для пакетов с низшим приоритетом. При постоянном поступлении пакетов с высокими приоритетами, очередь с низшими приоритетами обрабатываться просто не будет.
Другой подход позволяет присваивать каждой очереди свои веса, в соответствии с которыми они обрабатываются. Тогда каждый раз будет, например, обрабатываться 4 пакета высшего приоритета, 3 следующего и т.д. В этом случае очередь с низшим приоритетом всегда получит гарантированное обслуживание.
Возможны и смешанные схемы, когда очереди с двумя наивысшими приоритетами обрабатываются по первой схеме, а две оставшиеся — по второй, а также любые другие комбинации двух схем.
Следует отметить, что простая схема легче всего реализуется и не требует дополнительной конфигурации на промежуточных узлах сети, в то время как использование схемы с весовыми коэффициентами потребует наличия высококвалифицированного персонала, управляющего сетью. 

ограничение скорости для потока

Еще одной важной функцией, необходимой для управления потоками в сети доступа, является возможность ограничения скорости для каждого потока. Ведь при подключении, к примеру, 2000 пользователей к магистрали Gigabit Ethernet, каждый из них при равном распределении полосы пропускания, может гарантированно получить лишь 0,5 Мбит/с. Попытка доступа к такой сети со скоростью 10 Мбит/с и более вызовет в ней заторы, что сведет на нет работу системы классификации трафика. Кроме того, оператор должен иметь возможность предоставлять абоненту любую полосу пропускания, за которую тот готов платить, и соответственно иметь возможность контролировать использование ресурсов сети.
Для решения этой задачи, на портах доступа коммутаторов OptiSwitch реализуется схема обработки трафика, предусмотренная стандартом DiffServ, которая базируется на алгоритме "token bucket". Данный алгоритм позволяет ограничить скорость потока, идущего от абонента, и привести его в соответствие с максимальным значением, установленным для данного потока. Таким образом, администратор может устанавливать ограничение скорости потока величиной от 56 Кбит/с и выше при определении данного потока. 

обработка трафика в OptiSwitch Classifier

В этом разделе мы подробно опишем работу устройств сети при реализации концепции классов услуг с помощью оборудования OptiSwitch.
·Абонент заказывает у оператора услугу, например доступ к Internet с определенной скоростью (допустим 1 Мбит/с) или услугу IP-телефонии (что подразумевает гарантированную полосу пропускания для этого типа трафика). 
·Администратор определяет для пользовательского порта поток, который характеризуется следующими величинами: идентификатором потока (IP-адресом источника, портом источника, используемым протоколом и т.п.), уровнем обслуживания (от 1 до 8) и максимальной скоростью для данного потока. Информация о потоке заносится в таблицу потоков. 
·Абонент начинает пользоваться заказанной услугой и на порт доступа поступает пакет, принадлежащий к новому потоку. 
·Порт доступа исследует пакет на предмет принадлежности к потоку. Для этого исследуются все необходимые поля из первых 64 байт заголовка. При соответствии пакета одному из потоков, начинается его обработка, в противном случае он отбрасывается.
·После того, как пакет идентифицирован с точки зрения принадлежности к потоку, применяется алгоритм "token bucket" для приведения максимальной скорости потока в соответствие с величиной, указанной в таблице потоков.
·Пакет ставится в одну из четырех очередей и обрабатывается в соответствии с установленным приоритетом (числом от 1 до 8). Пакет помечается, чтобы определить его принадлежность к тому или иному классу и применять к нему соответствующие соглашения об уровне сервиса. Для этого обычно используется поле Type of Sevice (TOS) заголовка пакета IР. Первые шесть бит этого поля определяют в стандарте DiffServ величину DSCP (DiffServ Code Point), которая используется для указания последующим на пути следования пакета коммутаторам, к какому классу обслуживания он относится. Впрочем, возможны и другие способы маркировки пакетов, принадлежащих к разным классам.
·Пакет передается дальше по сети. Каждый промежуточный коммутатор проверяет только байты DSCP поля TOS и не просматривает все 64 байт заголовка, как порт доступа. На основании значения DSCP пакет обрабатывается в соответствии с требуемым уровнем сервиса (ставится в очередь с соответствующим приоритетом и т.д.)
·Дойдя до маршрутизатора, пакет либо уходит во внешнюю сеть, либо перенаправляется на адрес внутри домена DiffServ, например, на шлюз IP-телефонии.
·Схема обратного потока, т.е. из внешней сети по направлению к абоненту, точно такая же. Внешний порт маршрутизатора осуществляет те же функции, что и порт доступа. Он также проверяет пакет на принадлежность к потоку, ограничивает скорость для потока, маркирует пакет байтами DSCP. После этого пакет повторяет тот же описанный выше путь через промежуточные узлы, только в обратном направлении к абоненту. 

биллинг

Еще одной важной задачей, как уже говорилось, является сбор статистики по передаваемой в сети информации для осуществления биллинга абонентов. OptiSwitch Classifier позволяет собирать статистику по каждому потоку, включая общее число переданных и полученных байт и пакетов. Это дает возможность оператору строить сложные биллинговые схемы, как на основе объема трафика, так и с фиксированной оплатой за предоставление гарантированной полосы пропускания.

защита информации

Говоря о возможных уязвимых местах в системе защиты сети доступа, следует остановиться на трех основных моментах.
В первую очередь необходимо предотвратить возможность получения абонентами сети информации от других абонентов, подключенных к тому же коммутатору или сегменту сети. Это достигается путем создания виртуальных каналов между каждым пользователем и маршрутизатором. Каждый абонент помещается в свою собственную виртуальную сеть (VLAN), в которой кроме него находится только маршрутизатор. Таким образом, создается физический барьер между всеми абонентами, не давая им возможность "подслушивать" друг друга, а также посылать трафик непосредственно от абонента к абоненту. Поскольку в такой конфигурации весь трафик проходит через маршрутизатор, становятся невозможными атаки широковещательными сообщениями типа Denial оf Service (DoS). Такую атаку всегда будет легко обнаружить и нейтрализовать. Архитектура OptiSwitch Classifier поддерживает до 2000 VLAN на домен DiffServ.
Другой возможной опасностью является ситуация, когда абонент пытается воспользоваться ресурсами, предназначенными для других пользователей, с помощью подмены IP-адреса. При использовании решения OptiSwitch Classifier эта проблема легко решается. При определении потока администратор просто указывает физический порт и соответствующий ему IP-адрес источника. Все пакеты, не соответствующие этому правилу будут просто отброшены при дальнейшей обработке и классификации трафика! Третьей проблемой является защита непосредственно сетевых устройств, коммутаторов в сети. Первым уровнем защиты здесь является барьер VLAN, которым ограничен каждый абонент. При этом трафик, исходящий из порта доступа, никаким образом не может преодолеть этот барьер и достичь процессора коммутатора. Тем не менее, есть и следующий уровень защиты, заключающийся в поддержке OptiSwitch Classifier аутентификации и авторизации пользователей на основе RADIUS. Еще более высокий уровень защиты может быть при желании реализован с помощью использования стандартов IPSec для шифрования всего трафика идущего к или от процессора коммутатора.

виртуальные частные сети

Построение сети доступа на основе приведенной выше концепции помещения каждого абонента в собственную VLAN имеет и еще одно преимущество. Это позволяет строить виртуальные частные сети (VPN) для организаций, которые имеют множество отделений и хотят, чтобы они все работали в единой сети. Для этого не требуется никакой дополнительной конфигурации. Естественно, все маршрутизаторы в городской сети должны поддерживать VPN и пропускать весь не-IР трафик через туннель. Под вопросом при этом остается только ситуация, когда организация уже использует VLAN для сегментирования своей локальной сети в отделениях. При этом необходимо согласовывать назначение идентификаторов VLAN, что может оказаться довольно сложно. Однако эта проблема легко решается с помощью используемой в OptiSwitch Classifier технологии VoM (VLAN over MAN). Эта технология позволяет инкапсулировать заголовок VLAN, используемый в локальной сети в еще один заголовок, который описывает VLAN, назначенный данной организации оператором в сети доступа. Такая инкапсуляция позволяет операторам подключать абонентов к услугам других поставщиков, например ISP или ASP.

По матераилам компании VimCom.


© Сетевые решения