5.2.2. Цифровые абонентские линии технологий *DSL - новый метод высокоскоростного доступа по обычным медным парам
Сегодня многие телекоммуникационные компании Америки и развитых стран Европы собираются начать активное внедрение различных вариантов цифровых абонентских линий (DSL). В последнее время наибольшее внимание специалистов привлекла технология асимметричной цифровой абонентской линии (AsymmetricDigitalSubscriberLine, ADSL), но помимо нее пользователям будут предложены также службы симметричной цифровой абонентской линии (SDSL), цифровой абонентской линии с переменной скоростью (RateAdaptiveDSL, RADSL) и сверхбыстрой цифровой абонентской линии (Veryhigh-speedDSL, VDSL). Еще один вариант этой технологии - быстрая цифровая абонентская линия (High-speedDSL, HDSL) - уже используется сегодня в информационных каналах типа Т-1 и Е-1, но ее создатели сейчас работают над тем, чтобы превратить ее в технологию сетевого доступа.
Все эти технологии рассчитаны на высокоскоростную передачу данных на коротком отрезке витой пары, соединяющей абонента с ближайшей телефонной АТС, то есть на решение проблемы "последней мили", отделяющей потребителя от провайдера услуг. В то время как обычные модемы (V.34, V.34+) рассчитаны на работу с полосой пропускания в 3100 Гц, модемы *DSL могут получить в свое распоряжение полосу порядка 1 МГц - эта величина зависит от расстояния до АТС и сечения используемых проводов. Отличия условий работы *DSL-модемов от обычных модемов показаны на рисунке 5.6 на примере ADSL-модемов.
Рис. 5.6. Отличия условий работы ADSL-модемов от обычных модемов
ADSL-модемы, подключаемые к обоим концам короткой линии между абонентом и АТС, образуют три канала: быстрый канал передачи данных из сети в компьютер, менее быстрый дуплексный канал передачи данных из компьютера в сеть и простой канал телефонной связи, по которому и передаются обычные телефонные разговоры. Передача данных в каналах с высокой пропускной способностью происходит со скоростью от 1,5 до 8 Мбит/с, в дуплексных же каналах данные передаются со скоростью от 16 Кбит/с до 1 Мбит/с. В обоих случаях конкретная величина скорости передачи зависит от длины и качества линии.
Одно из главных преимуществ технологии ADSL по сравнению с аналоговыми модемами и протоколами ISDN и HDSL - то, что поддержка голоса никак не отражается на параллельной передаче данных по двум быстрым каналам. Причина подобного эффекта состоит в том, что ADSL основана на принципах разделения частот, благодаря чему голосовой канал надежно отделяется от двух других каналов передачи данных. Такой метод передачи гарантирует надежную работу канала POTS даже при нарушении питания ADSL-модема. Никакие конкурирующие системы передачи данных не обеспечивают столь же надежно работу обычного телефонного канала. Хотя технологии ISDN и HDSL и поддерживают режим обычной телефонной связи, для ее установления они требуют организации специального канала с пропускной способностью 64 Кбит/с
Вся суть технологии ADSL и ей подобных заключается в том, что оборудование провайдера услуг Internet или любой другой сети с коммутацией пакетов находится в том же здании, что и АТС. Высокоскоростные каналы абонента отделяются в модеме ADSL, установленном в АТС, от телефонной сети и направляются через маршрутизатор провайдера в Internet. Если центральная сеть предприятия подключена к Internet через выделенный высокоскоростной канал, то все удаленные пользователи, у которых установлены модемы ADSL, получают высокоскоростной доступ к сети своего предприятия на тех же телефонных каналах, которые всегда соединяли их с городской АТС.
Технологии *DSL - очень новые технологии, и их применение только начинается. Широкое распространение этих технологий должно сопровождаться некоторой перестройкой работы Internet-провайдеров и провайдеров телефонных сетей, так как их оборудование должно теперь работать совместно. Такая работа во многих телекоммуникационных компания Соединенных Штатов уже идет, и это не удивительно, так как рынок высокоскоростного доступа к Internet сулит очень высокие доходы.
Стандарт на ADSL-модемы уже принят. Правда он узаконил только один из используемых в этой технологии видов кодирования - DMT, в то время как более дешевое CAP-кодирование, используемое некоторыми разработчиками этой технологии, пока не является стандартным.
Пока стоимость первых промышленных образцов ADSL-модемов достаточно высокая - $2000 - $3000, но ожидается, что она сможет снизиться до стоимости обычных модемов. Предполагаемая арендная плата за линию ADSL - около $50 в месяц.
5.2.3. Модемы 56К - дешевый и быстрый способ соединения пользователей через цифровые телефонные сети
Еще одной новой технологией, направленной на обеспечение недорогого и быстрого способа доступа пользователей к сетям провайдеров, является технология асимметричных модемов, рассчитанных на работу со скоростью 56 Кб/с из сети, и со скоростью 30-40 Кб/с в сеть.
Основная идея технологии асимметричных модемов состоит в следующем. В современных телефонных сетях единственным аналоговым звеном в соединении с сервером удаленного доступа является телефонная пара, соединяющая модем компьютера с коммутатором телефонной станции. Этот канал оптимизирован для передачи речевых сигналов: максимальная скорость передачи данных здесь определяется из предельно допустимого соотношения между шумами физической линии передачи и погрешностью дискретизации звукового сигнала при его оцифровывании. Эта величина задается стандартом V.34 и равна 33,6 Кбит/с.
Однако все выше приведенные соображения справедливы только для одного направления передачи данных - от аналогового модема к телефонной станции. Именно на этом участке выполняется аналого-цифровое преобразование, которое вносит погрешность квантования. Эта погрешность добавляется к другим помехам линии и ограничивает скорость передачи 33,6 Кбит/с. Обратное же, цифро-аналоговое преобразование не вносит дополнительного шума, что делает возможным увеличение скорости передачи от телефонной станции к модему пользователя до 56 Кбит/с.
Достоинством новой технологии является то, что для ее внедрения не требуется вносить какие-либо изменения в оборудование телефонной станции - нужно лишь изменить программу в цифровых модемах, которые установлены в стойках у поставщика услуг, а также загрузить в пользовательский модем новую программу, либо заменить микросхему памяти в зависимости от модели и производителя.
Технологии асимметричных модемов нацелены на тех, кто с помощью телефонных линий через поставщика услуг получает доступ к корпоративным интрасетям или Internet. В таком случае нетрудно идентифицировать тип оборудования, установленного на другом, "цифровом" конце соединения. К тому же пользователи Internet не так уж часто меняют поставщика услуг.
Существуют несколько основных проектов стандарта технологии асимметричных модемов:
- Технология под названием х2 предложена компанией U.S. Robotics. Поскольку последние модели ее модемов построены на DSP-микросхемах, выпускаемых промышленностью в массовом масштабе, а программы помещены в перепрограммируемые ПЗУ, то фирма надеется быстро и просто модернизировать большую часть парка модемов. Нетрудно перепрограммировать под новую технологию и модемные стойки удаленного доступа, установленные у поставщиков услуг и в корпорациях.
- К56Plus - технология, предложенная компанией Rockwell, которая в частности известна своими специализированными микросхемами для модемов.
- V.flex2 - технология, предложенная компанией LucentTechnologies.
- K56flex - совместный вариант фирм Rockwell и Lucent, возникший в результате соглашения объединить свои усилия.
Ни один из предложенных проектов еще не принят в качестве стандарта. Несмотря на это, модемы, работающие по технологиям 56Кбит/с, уже предлагаются конечному потребителю (стоимость около $200), а компании Cisco и BayNetworks объявили о поддержке технологии К56flex в своих серверах удаленного доступа. Недавно стало известно, что сеть IBMGlobalNetwork начала предоставлять доступ в Internet и к корпоративным сетям по технологии х2 в 18 городах США. В ближайшее время число таких городов увеличится до 500.
По крайнем мере один российский узел доступа к Internet, а именно RiNet, принадлежащий компаниям PlusCommunications и Cronix+, в начале мая начал предоставлять своим клиентам доступ по протоколу х2. По некоторым данным уже сейчас более трети московских номеров способны обеспечить скорость передачи от поставщика услуг более 33,6 Кбит/с.
В то время, когда технологии х2 и K56flex только "начинают набирать обороты", появляются сообщения о намерениях некоторых производителей модемов начать выпуск устройств, способных передавать данные со скоростью до 100 Кбит/с по двум обычным телефонным линиям. Имена фирм-первопроходцев никого не удивят - это U.S. Robotics и Hayes. В отличие от технологии ISDN, когда по одной телефонной паре (при наличии у оператора специальной аппаратуры) достижима скорость 128 Кбит/с, для внедрения новой технологии от телефонной компании не потребуется никакого обновления аппаратуры. И уж совсем необычным кажется намерение фирмы RampNetworks запустить устройство WebRampM3, которое позволит по трем телефонным линиям достичь скорости передачи данных 168 Кбит/с.
5.2.4. Использование сетей кабельного телевидения и кабельных модемов для скоростного доступа к сети провайдера
Идея использования имеющейся инфраструктуры связей конечных пользователей с поставщиками телекоммуникационных услуг для доступа в Internet овладела не только телефонными компаниями. Существует и другой сорт компаний, кабели которых протянулись практически в каждую квартиру - это компании, занимающиеся кабельным телевидением. Они тоже хотят предоставлять всем своим абонентам высокоскоростной доступ в Internet и для этих целей уже разработан специальный вид модемов - кабельные модемы. В кабельных модемах используется имеющийся коаксиальный 75-омный телевизионный кабель для передачи данных из сети в компьютер со скоростью до 30 Мб/с, а из компьютера в сеть - со скоростью до 10 Мб/с. При этом качество передаваемых сигналов очень высокое. Кабельные модемы пока не стандартизованы, а стоимость первых образцов составляет около $1000. Арендная плата такой линии оценивается в сумму $500 в месяц.
5.2.5. Интегрированные серверы удаленного доступа
В последнее время практически все компании, выпускающие средства удаленного доступа, выпустили на рынок одну или даже несколько моделей так называемых интегрированных серверов удаленного доступа.
Интегрированный сервер удаленного доступа предназначен для крупных организаций или провайдеров, которым нужно одновременно принимать звонки от нескольких десятков или сотен пользователей. Такой сервер подключается с помощью высокоскоростного цифрового интерфейса - канала T1/E1 или ISDNPRI - к городской телефонной цифровой станции. Высокоскоростных интерфейсов может быть и несколько.
Через один интерфейс сервер может поддерживать от 23 до 30 одновременных соединений с удаленными пользователями, в зависимости от типа интерфейса. При использовании каналов T1/E1 сервер может принимать звонки от "аналоговых" пользователей, то есть обычных пользователей, подключенных к телефонной сети с помощью модема и канала тональной частоты.
При использовании интерфейса ISDNPRI сервер может одновременно обслуживать как "аналоговых", так и "цифровых" пользователей, то есть пользователей, подключенных к сети ISDN непосредственно, через интерфейс ISDNBRI и терминальный адаптер. Интерфейс PRI передает при вызове параметр, указывающий, от какого типа абонента поступил звонок - "аналогового" или "цифрового".
При соединении с "цифровым" абонентом его данные передается в локальную сеть без демодуляции, а данные "аналогового" абонента пропускаются через модем. Для демодуляции используются как обычные наборы модемных микросхем, так и программируемые сигнальные процессоры - DSP. При использовании обычных модемных микросхем поступающие данные приходится преобразовывать в два этапа, так как они действительно были подвергнуты двукратному преобразованию - сначала модемом пользователя, а затем ИКМ-преобразователем цифровой АТС. Сигнальные процессоры программируются таким образом, чтобы преобразовать поступающие данные за один этап - тем самым уменьшаются вносимые преобразованиями каждого этапа искажения.
Обычно интегрированные серверы имеют модульное исполнение на основе шасси. Модули делятся на интерфейсные (T1/E1 или ISDNPRI), маршрутизирующие, модемные (обычно по 12 или 24 модема в модуле) и модули интерфейсов локальных сетей.
Наличие многоканальных модулей делает интегрированный сервер высоко масштабируемым - новый модуль WAN-интерфейса добавляет 23 или 30 "портов".
В отличие от традиционных серверов, подключающихся к локальной сети почти всегда с помощью одного локального интерфейса, интегрированные серверы часто имеют несколько LAN-интерфейсов. За счет этого можно достичь двух целей: повысить пропускную способность сервера, защитить данные, выделив один локальный сегмент в качестве "демилитаризованной" зоны и установив на сервер программное обеспечение firewall'a (так сделано в сервере MAX TNT компании Ascend).
Небольшое число WAN-интерфейсов существенно упрощает кабельную систему сервера, и облегчает его эксплуатацию и управление.
В качестве типичного примера такого сервера рассмотрим интегрированный сервер AccessBuilder 5000 компании 3Com. Большинство компаний - лидеров этого сектора рынка - уже выпустили аналогичные серверы на рынок: BayNetworks - Annex 6800, Ascend - MAXTNT, Cisco - AS5200 и т.д.
Структурная схема интегрированного сервера AccessBuilder 5000, представленная на рисунке 5.7 является достаточно типичной для серверов этого типа. Сервер поддерживает до 4 портов T1/E1 или ISDNPRI.
Сервер маршрутизирует протоколы IP, IPX, AppleTalk или BanyanVINES и направляет поступающие пакеты в один из LAN модулей, установленных в сервере. Всего сервер позволяет организовать до 8 независимых сетей Ethernet и до 10 независимых сетей TokenRing за счет наличия соответствующих внутренних шин на шасси.
Рис. 5.7. Сервер удаленного доступа AccessBuilder 5000
Для демодуляции данных "аналоговых" абонентов в сервер устанавливаются модули цифровых модемов V.34 (каждый модуль имеет 12 или 24 модема).
Наличие нескольких сегментов локальной сети позволяет серверу работать в качестве firewall'а, если все общедоступные серверы сосредоточены на одной сети.
Сервер AccessBuilder 5000 может поддерживать и внешний пул модемов, как и традиционные серверы, что важно для случая, когда сервис ISDN недоступен.
Наличие в шасси 17 слотов и разнообразие модулей для установки в эти слоты делают сервер AccessBuilder 5000 гибким и настраиваемым средством, поддерживающим до 256 соединений через небольшое количество высокоскоростных каналов.
5.3. Туннелирование и виртуальные частные сети VPN
5.3.1. Что такое "виртуальная частная сеть"?
Термин "виртуальная частная сеть" - VPN (Virtual Private Network) - используется для обозначения разных технологий. Однако во всех этих технологиях есть нечто общее и детали, отличающие их друг от друга.
Общим является следующее.
Под виртуальной частной сетью понимают потоки данных одного предприятия, которые существуют в публичной сети с коммутацией пакетов и в достаточной степени защищены от влияния потоков данных других пользователей этой публичной сети.
Другими словами, виртуальная частная сеть - это некоторая имитация сети, построенной на выделенных каналах. Если публичная сеть предоставляет такой сервис, то в ней одновременно сосуществуют несколько виртуальных корпоративных сетей, разделяющих общие комму- таторы и физические каналы связи.
Потоки данных отдельного предприятия образуют виртуальные каналы частной сети.
А вот защищенность от потоков данных других предприятий трактуется по-разному.
Обычно ее понимают в двух отношениях - в отношении параметров пропускной способности и в отношении конфиденциальности данных.
Пропускная способность VPN
Конечно, каждое предприятие хотело бы, чтобы виртуальные каналы как можно больше были похожи на реальные выделенные линии, пропускная способность которых всегда в распоряжении пользователей предприятия. Отсюда вытекают следующие требования к VPN:
- пользователям должны предоставляться некоторые гарантии качества обслуживания в виртуальных каналах VPN - средняя пропускная способность, максимально допустимый уровень пульсации, уровни задержек кадров;
- пользователи должны иметь инструменты для контроля действительных параметров пропускной способности виртуальных каналов.
Сегодня для различных типов сетей с коммутацией пакетов существуют различные возможности получения гарантий качества обслуживания.
Конфиденциальность
Возможность несанкционированного доступа к данным, передающимся по публичной сети очень волнует сетевых администраторов, привыкшим к использованию выделенных каналов или телефонных сетей для передачи корпоративных данных. Наличие огромного числа хакеров в Internet действительно представляет постоянную угрозу для корпоративных серверов, к данным которых можно хотя бы попробовать подступиться из любого домашнего компьютера, оставаясь при этом анонимным.
В то же время угрозы перехвата пакетов по пути следования по публичной сети передачи данных многие специалисты считают преувеличенными. Действительно, пакеты идут только через коммутаторы и маршрутизаторы провайдеров публичных сетей, а в сети посторонних организаций и частных лиц не заходят. И провайдерами публичных сетей с коммутацией пакетов выступают чаще всего те же организации, которые предоставляют традиционные виды телекоммуникационных сервисов - выделенные каналы и телефонные сети. Таким образом, угроза по перехвату пакетов по пути следования исходит скорее от самих провайдеров, сотрудников которых могут подкупить конкуренты.
От двух типов угроз - входа во внутренние серверы предприятия и перехвата данных по пути - существуют соответствующие средства защиты, описанные в разделе 4 - firewall'ы и proxy-серверы для отражения угроз первого вида, и средства образования защищенного канала для второго.
5.3.2. Виртуальные частные сети в публичных сетях framerelay, АТМ, Internet
Виртуальные частные сети можно организовывать в сетях с коммутацией пакетов любого типа Х.25, framerelay, АТМ и TCP/IP - Internet.
Наличие в сетях Х.25 техники виртуальных каналов создает предпосылки для образования в них VPN. Однако, в технологии Х.25 отсутствует важный элемент, который необходим для образования VPN - поддержка качества обслуживания. Пропускная способность виртуального канала VPN неизвестна. В настоящее время работы по совершенствованию технологии Х.25 в этом направлении не ведутся, поэтому виртуальные каналы в сетях Х.25 трудно отнести к полноценным VPN.
Сети framerelay часто упоминаются при описании сервиса VPN. Действительно, техника заказа качества обслуживания виртуального канала встроена в технологию framerelay. Кроме того, сети framerelay обычно мало доступны для индивидуальных пользователей из-за своих цен и отсутствия в них информационных сервисов типа службы Web, поэтому хакерские атаки в них маловероятны. Многие провайдеры сетей framerelay рекламируют свои сервисы как сервисы VPN.
Сети АТМ - идеальное средство для образования VPN, так как они предлагают самые тонкие процедуры поддержания параметров качества обслуживания. Однако, их небольшая распространенность как публичных сетей пока не позволяет широко использовать их для построения VPN.
Сети TCP/IP и Internet до недавнего времени не фигурировали в качестве возможной среды для образования в них VPN. Основная причина - та же, что и в случае сетей Х.25 - в протоколах TCP/IP нет гарантий качества обслуживания. Однако, в последнее время ситуация изменилась. Сам термин VPN многие стали употреблять исключительно в связи с созданием частной сети предприятия в Internet.
Безусловно, это связано с стремительно возросшей популярностью Internet, его быстро растущей доступностью и дешевизной. Из-за этого многие администраторы мирятся с неизвестной пропускной способностью каналов, проложенных через Internet.
Тем не менее, VPN в сетях TCP/IP начинают приобретать свойства "настоящих" VPN. Этому способствуют два обстоятельства.
Во-первых, провайдеры, сети которых образуют магистрали Internet, много работают над улучшением качества обслуживания. магистрали строятся на основе АТМ и SDH, также быстро растет производительность магистральных маршрутизаторов. Это уменьшает задержки в Internet и повышает качество обслуживания.
Во-вторых, стек протоколов TCP/IP модернизируется и в нем появляются протоколы, с помощью которых можно управлять качеством обслуживания - протоколы RSVP, RTP и ряд других.
В-третьих, многие крупные провайдеры предоставляют услуги магистралей TCP/IP, не связанных непосредственно с Internet. На этих магистралях передается трафик только крупных корпоративных пользователей, поэтому защищенность данных и пропускная способность таких сервисов существенно выше.
5.3.3. Услуги провайдеров по построению виртуальных частных сетей
Основная часть предложений по созданию корпоративных VPN относится к провайдерам сетей framerelay, поэтому в этом разделе мы ограничимся рассмотрением этих сетей.
Основой для создания VPN является договор с провайдеров, в котором оговариваются основные параметры VPN - количество точек подключения, скорости портов, а также параметры качества обслуживания - CIR и CBR. В отношении этих пунктов договора все провайдеры framerelay похожи друг на друга, так как качество обслуживания поддерживается самой технологией.
Защиту данных своими средствами провайдеры framerelay не обеспечивают, так как нет и особого спроса на такие услуги - администраторы не видят высокого уровня угроз и считают каналы framerelay достаточно защищенными. Поэтому наиболее осторожные пользователи должны защищать свои данные самостоятельно.
Основные различия между провайдерами наблюдаются в средствах контроля за реальной пропускной способностью виртуальных каналов, которые они предоставляют корпоративным пользователям.
Большинство провайдеров обеспечивает пользователей еженедельными или ежемесячными отчетами о реально используемой пропускной способности виртуальных каналов, а также о более детальной информации о трафике. Иногда информация отчета посылается по электронной почте или доступна на BBS провайдера. Многие операторы берут ежемесячную плату $200 за предоставление отчета. AT&T берет по $5 за каждый порт. Compuserve, Sprint, ICI и некоторые другие предоставляют отчеты бесплатно.
Если по сети framerelay передается трафик реального времени, то администратора интересуют данные о его передаче с периодом в минуты, а не дни. Для этих целей некоторые сервис-провайдеры могут периодически посылать администратору сети SNMP-сообщения. Эти сообщения обычно непосредственно загружаются с интервалом в 15 - 60 минут в консоли управления типа OpenView или Netview от TivoliSysytems. Интервал доставки оговаривается в договоре с провайдером.
Только два провайдера поставляют также программное обеспечение для отображения данных SNMP в виде графиков - Compuserve и ICI. Compuserve берет ежемесячную плату $575 за FrameNetManager, ICI берет $125 за ее EnhancedCustomerView.
Остальные провайдеры поставляют только файлы сырых данных. Только один провайдер, LDDSWorldcom, предлагает доступ к статистике с помощью Web-сервиса. Данные обновляются каждый час, но в будущем интервал будет уменьшен до 15 минут.
В своих отчетах провайдеры дают следующую статистику: коэффициент использования на порт/PVC и процент кадров с пометкой DE (подлежит отбрасыванию). Гораздо более полезной информацией были бы данные о том, сколько кадров были отброшены сетью на самом деле, но провайдеры такой статистики не дают. Однако, есть смысл попытаться получить такую статистику, оговорив ее в договоре.
Что действительно интересует администратора, так это коэффициент загрузки сети framerelay в целом. Пока только Ameritech, Cable & Wireless и StentorAlliance дают эти данные.
Статистика, поставляемая с периодом в 15 минут, не может дать правильного представления о кратковременных пульсациях трафика. Только Cable & Wireless соглашается поставлять данные с периодом 5 минут. SprintCompuserve рассчитывают на возможности системы VisualUptime от VisualNetworks. Эта система собирает данные через каждую минуту от агентов, внедренных в CSU/DSU пользователей. Система дает рекомендации по корректировке скорости порта и CIR. Агенты собирают также данные на уровнях 1, 2 и 3.
Sprint и Compuserve уже применяют систему VisualUptime в своих сетях. Они также продают эту систему своим пользователям. Стоимость программного обеспечения составляет от $7000 до $30000, а аппаратных агентов от $1195 до $6700.
Назад |
Содержание |
Вперед