Объединение территориально разрозненных бизнес-единиц компаний уровня SMB и Large enterprise традиционно считалось одной из самых ресурсоемких и технически сложных задач на телекоммуникационном рынке. Банки, страховые компании, торговые и логистические сети и прочие бизнесы с крупной разветвленной структурой филиалов нуждаются в объединении офисов в корпоративную сеть посредством инфраструктуры операторов. В последние годы в этой сфере наметился значительный прогресс, который позволяет территориально распределенным бизнесам сократить издержки на построение и эксплуатацию сетей, а также открывает новые возможности получения прибыли.
Существующие технологии и их перспективы
Распространенные на сегодняшний день решения можно условно разделить на две основные группы — с коммутацией каналов (например, телефонная сеть общего пользования, SDH/PDH сети) и с коммутацией пакетов (Frame Relay, IP/MPLS). Первый вариант сетей передачи данных постепенно теряет актуальность, уступая место на рынке сетям с коммутацией пакетов. Кроме того, первые пакетные сети, основанные на технологии X.25, постепенно отмирают. Большинство банковских сервисов, ранее использовавших эту технологию (в том числе SWIFT, Reuters, Western Union, pos-терминальные сети банкоматов), уже или мигрировали или активно мигрируют на IP-протоколы. Сети Frame Relay, массово строившиеся несколько лет назад, сейчас также приближаются к исчерпанию своего технологического потенциала: операторы все еще продолжают их эксплуатировать, однако активно не развивают.
Сегодня унифицированным способом передачи любых видов данных в мировом масштабе становится протокол IP. Одной из наиболее многообещающих реализаций объединения территориально распределенных структур с помощью протокола IP можно считать технологию MPLS-VPN, которая реализуется в рамках современных мультисервисных сетей IP/MPLS (Multi-Protocol Label Switching — мультипротокольная коммутации по меткам: пакетная сеть передачи данных, организованная на базе первичной волоконно-оптической сети).
Сети VPN и их возможности
В настоящий момент для объединения клиентских структур доступны сети VPN типов Layer 2 и Layer 3. Первый вариант предусматривает объединение фрагментов географически удаленных сетей на уровне Ethernet-пакетов, т.е. организацию на базе мощностей IP/MPLS-оператора глобальной корпоративной локальной сети, охватывающей все территориально-удаленные офисы заказчика в Украине и за ее пределами. Layer 3 VPN предлагает объединение разрозненных сетей в единую систему на IP-уровне. Применение Layer 3 VPN предусматривает согласование с клиентом IP адресного VPN-плана, в результате чего для заказчика объединенная сеть будет выглядеть так, будто все региональные подсети подключены к единому центральному маршрутизатору. В зависимости от запросов заказчика настраивается статическая или динамическая маршрутизация — последний вариант используется в том случае, если компания эксплуатирует большое количество подсетей.
Банки и другие компании, в бизнесе которых вопросы конфиденциальности и безопасности играют первостепенную роль, поначалу относились к технологии VPN с подозрением: зачастую VPN ассоциировался у них с технологией IPsec VPN, широко применяемой для построения корпоративных сетей поверх публичной незащищенной сети интернет. Однако в случае с VPN речь, во-первых, идет о закрытой IP/MPLS-сети оператора, которая не задействована для предоставления услуг доступа в интернет. Во-вторых, это все лишь транспортная услуга (при этом не имеет значения, реализована она на Layer 2 или Layer 3), и оператор не имеет возможности инспектировать содержимое передаваемых пакетов. С этой позиции сети VPN так же безопасны, как и сети Frame Relay — без специализированного дорогостоящего оборудования выполнить анализ содержимого пакетов, передаваемых внутри корпоративной VPN-сети, невозможно. Поскольку любая транспортная услуга не предполагает защиту информации, а обеспечивает базовый уровень целостности сети и информации, операторы гарантируют невозможность получения одним клиентом доступа к VPN-сети другого. Внутри сети оператора каждая клиентская сеть получает свой VPN-идентификатор (VPN ID). Эти идентификаторы применяются для маршрутизации трафика только внутри сети оператора и удаляются при отправлении пакетов конечным маршрутизаторам клиента, поэтому само по себе знание VPN ID не дает возможности получить доступ к смежным VPN-сетям и повлиять на их работоспособность.
Основным достоинством IP-VPN Layer 3 является простота подключения новых точек клиента. Поскольку виртуальная сеть клиента уже налажена и настроена, добавление новой точки сводится к прописыванию ее параметров в VPN-сети. Все порты взаимодействуют друг с другом по принципу “каждый с каждым”, поэтому какие-либо перекосы в инжиниринге трафика исключены. Клиентские данные не проходят принудительно через центральный офис, что актуально для применяемых ранее технологий точка-точка, а маршрутизируются по максимально короткому маршруту. Это дает возможность клиенту сэкономить на канале и существенно повысить надежность сети, устранив единую точку отказа — центральный офис. Одно из неудобств состоит в том, что ИТ-менеджеру необходимо составить и согласовать с оператором адресный план будущей IP-VPN-сети. Однако эта процедура выполняется один раз на этапе проектирования и во многих случаях способствует опитимизации использования ресурсов сети.
Сети Layer 2 VPN отличаются простотой использования. Компании-заказчику нет необходимости содержать отдельную должность сетевого администратора, поскольку добавление новой структуры в VPN-сеть выглядит так, будто еще один компьютер подключается к локальной сети. Негативный аспект такого подключения связан с тем, что оператор не может обезопасить клиента от широковещательных рассылок, которые могут происходить внутри сети: заражение локальной сети вирусом или другим вредоносным ПО, которое начинает массовую рассылку, может вывести из строя всю клиентскую сеть. В то же время IP-VPN L3-сети исключают данный недостаток, так как все подсети (широковещательные домены) локализированы на участке оператор-клиент, и проблемы, возникшие в одном офисе, не будут влиять на работоспособность сети в целом.
Одно из основных преимуществ IP-VPN по сравнению с сетями Frame Relay заключается в более эффективной поддержке голосовых приложений благодаря применяемой приоритезации голосового трафика. В сетях IP-VPN Layer 3 обычно внедряют несколько классов обслуживания клиентского трафика. Например, голосовые и мультимедиа-приложения требуют минимальной неравномерности задержки внутри сети и фиксированной полосы пропускания. Для реализации качества обслуживания оператор организует на маршрутизаторах очереди с наивысшим приоритетом и обслуживает наиболее чувствительный к задержкам высокоприоритетный трафик с использованием отдельного класса обслуживания.
Другой класс обслуживания может использоваться для обслуживания приложений, которые требуют доступа к центральной базе данных в режиме online. Для его реализации требуется фиксированная полоса пропускания для конкретного приложения на удаленный терминал. Третий класс обслуживания может быть разработан для централизованного подключения клиентских машин к интернету, работы почтового сервера и прочих сервисов, не критичных ко времени задержек и полосе пропускания. Общеизвестно, что даже минутная задержка в доставке электронной почты не повлияет на бизнес, но предоставит возможность дополнительной экономии, поскольку низкоприоритетный класс обслуживания обходится дешевле. В каждой точке подключения клиенты могут комбинировать классы обслуживания и назначать приоритеты приложениям, что позволяет гибко управлять передачей различных типов трафика. Чтобы воспользоваться доступными классами обслуживания внутри IP/MPLS сети, клиенту достаточно на своих пограничных устройствах просто “пометить” IP-пакеты требуемым классом обслуживания.
IP-MPLS — фундамент функционирования сервисов
Архитектура сети IP/MPLS четко выделяет два входящих в ее основу уровня: опорную сеть (IP-backbone) и сеть доступа (aggregation layer). Опорная сеть строится, как правило, на базе волоконно-оптических линий связи (ВОЛС) и состоит из P- и PE- маршрутизаторов (P — Provider, PE — Provider Edge), которые поддерживают MPLS-VPN-технологию. PE-маршрутизаторы (их еще называют периферийные маршрутизаторы) ответственны за организацию и поддержку клиентских виртуальных сетей (VPN). P-маршрутизаторы (или магистральные маршрутизаторы) выполняют только транспортные функции — они обеспечивают быструю и качественную передачу пакетов между PE-маршрутизаторами. Для организации услуги в населенном пункте обычно достаточно одного PE-устройства. Для повышения эффективности и отказоустойчивости сети операторы обычно устанавливают несколько таких устройств — в среднем 5-7 опорных маршрутизаторов (P/PE) в городе, соединенных ВОЛС.
Сеть доступа (aggregation layer) менее требовательна к оборудованию. Компании заинтересованы в расширении географии предоставления услуг для возможности их подключения во всех регионах и в районных точках. Если медный или волоконно-оптический кабель проложить невозможно, используют беспроводные технологии, например, радиорелейные линии (РРЛ) связи. Новое радиорелейное оборудование, кроме наличия стандартных возможностей предоставления E1-потоков 2048 Кбит/с в интерфейсе G.703, дополнено новой функциональностью, обеспечивающей скорость подключения до 2-10 Мбит/с в интерфейсе Ethernet. Это позволяет успешно применять его для предоставления транспортных услуг, поскольку отпадает необходимость в специальном сопрягающем устройстве между РРЛ и локальной сетью заказника. Надежную работу голосовых и мультимедийных приложений в радиосетях помогает обеспечить приоритезация. Таким образом, радиорелейный интервал может рассматриваться как еще одна полноценная среда передачи данных для IP-VPN-сетей, позволяющая объединить офисы и производства, расположенные вдали от высокоскоростных интернет-каналов.
Комментарии о перспективах развития сетей IP-VPN дает Юрий Прийма, ведущий менеджер по развитию услуг, компания «Голден Телеком»
 |
Наша компания является полноценным мультисервисным оператором связи. В построении сетей IP-VPN мы используем опыт и компетенцию, приобретенные при строительстве сетей мобильной связи. В частности, компанией накоплен опыт в построении высотных конструкций, которые используются для организации радиорелейных каналов.
Компания самостоятельно строит кабельную инфраструктуру, присутствует в 27 регионах Украины, в местах концентрации крупного бизнеса. Согласно политике компании, каждая точка для обеспечения резервирования подключается как минимум двумя каналами связи. В этом вопросе критически важное значение имеет грамотный и выверенный дизайн сети, предусматривающий компенсацию всплесков нагрузки и правильную отработку клиентских запросов.
Особое внимание уделяется организации технических площадок – компания предъявляет жесткие требования к физическому доступу, электропитанию и т.п.
Арендованные помещения приводятся в соответствие стандартам безопасности. К VPN-помещениям предъявляются те же требования, что и при выборе места для строительства площадок мобильной связи, устанавливается такое же электрическое, кроссовое и сетеобразующее оборудование.
Сейчас в Киеве функционирует более 150 технических площадок. В зависимости от степени важности площадки на техническом объекте применяются автономные системы кондиционирования и электропитания, фальш-полы, производится регламентное обслуживание, контролируется доступ на объекты связи, проводится работа с охранными службами и т.п.
Мировые тенденции свидетельствуют о том, что кардинальных изменений в VPN-технологии в ближайшее время не произойдет. «Голден Телеком» постоянно следует потребностям корпоративного рынка и нацелена на предоставление комплексных решений. Клиенты ожидают от операторов связи комплексных решений по объединению филиалов в закрытую корпоративную мультисервисную сеть. Услуга IP VPN «Голден Телеком» предоставляется на базе современной IP/MPLS-сети. Также компания планирует активно использовать технологию WiMAX, которая позволит предоставлять качественный VPN-доступ по беспроводному каналу.
