Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Федеральное агентство железнодорожного транспорта

Омский государственный университет путей сообщения

Кафедра «Автоматика и системы управления»

Корпоративная мультисервисная сеть на базе технологии FTTH

Пояснительная записка к дипломному проекту

ИНМВ. 109268.000 ПЗ

Согласовано

Консультант по экономике

доцент кафедры ЭЖТиУК

А.Н. Шендалев

Студент гр. 24 К А.А. Пронин

Консультант по безопасности

и экологичности - старший преподаватель кафедры

БЖиЭ А.А. Кообар

Руководитель - доцент кафедры АиСУ А.Г. Малютин

Омск 2009г.



Реферат

Технология fiber to the home (FTTH), корпоративная информационная сеть, протокол Ethernet, волоконно-оптическая линия связи, virtual private network, технология multiprotocol label switching.

Объектом разработки является корпоративная мультисервисная сеть, реализуемая на базе технологии FTTH.

В ходе дипломного проектирования была разработана корпоративная мультисервисная сеть организации, выбрано активное сетевое оборудование, рассчитана стоимость материалов и оборудования для создания сети, произведена настройка активного оборудования. Так же выполнено проектирование структуры корпоративной сети.

Результаты дипломного проектирования могут быть применены для модернизации сети Управления Федеральной налоговой службы города Омска

Пояснительная записка оформлена в текстовом редакторе Microsoft Word 2007. При оформлении пояснительной записки использовался программный продукт пакета Microsoft Office - Microsoft Visio 2007.



Введение

Появление мультисервисных сетей оказывает решающее влияние на развитие индустрии телекоммуникаций и передачи данных. Доставка по единой сетевой инфраструктуре, базирующейся на коммутации пакетов или ячеек, такого разнородного трафика, как данные, голос и видео, является перспективным решением для корпораций и сервис-провайдеров. Исторически корпоративные сети передачи данных, голоса и видео строились независимо, базировались на разных инфраструктурах и технологиях. Обычно в качестве каналов связи использовались выделенные линии, а технологиями передачи данных служили Frame Relay и ATM. Очевидно, что эксплуатация и сопровождение разнородных структур весьма неэффективны, в большей мере нуждам бизнеса соответствуют сети следующего поколения, имеющие возможность передавать все типы пользовательских трафиков на базе сетей с коммутацией пакетов (ячеек), таких, как Frame Relay, ATM или IP.

Современные телекоммуникационные сети используют технологию коммутации каналов и TDM (Time Division Multiplexing) в качестве схемы мультиплексирования. Они проектировались для передачи голосовых потоков и не могут эффективно поддерживать нерегулярный трафик данных. В то же время сегодня темпы роста трафика данных несоизмеримо выше голосового, и операторы столкнулись с проблемой замены неэффективной TDM-инфраструктуры с сохранением необходимого качества передачи голоса, решением которой стала постепенная замена TDM-сетей с коммутацией каналов на инфраструктуру пакетных сетей.

Для создания корпоративной территориально распределенной коммуникационной инфраструктуры необходима современная технологическая сеть предприятия, предназначенная для трансляции разнородных видов трафика - данных, IP-телефонии, видео, сигналов телеметрии и телеуправления. Требования по пропускной способности каналов передачи данных и возможности предоставления услуг с необходимым уровнем качества обслуживания QoS (Quality of Service) являются наиболее важными в такой сети.

Выбор физической среды передачи данных во многом определяет функциональные возможности всей корпоративной сети предприятия. Для создания масштабируемой, надежной сети необходимо произвести анализ существующих вариантов реализации сетей, а так же оценить перспективные пути развития и заложить во вновь создаваемую структуру сети пути для ее модернизации.

Волоконно-оптическая линия связи на сегодняшний день стала практически единственной средой передачи данных, отвечающей всем требованиям, предъявляемым к современным вычислительным сетям. Возросшие скорости передачи, объемы данных, количество интегрируемых услуг, транспортом для которых стала волоконно-оптическая сеть, все это в совокупности с надежностью, отказоустойчивостью снижением стоимости реализации самой волоконно-оптической сети диктует очевидный вариант организации КИС с использованием волоконно-оптической средой передачи данных.

Целью дипломного проекта является разработка мультисервисной корпоративной сети на базе технологии FTTH для управления Федеральной налоговой службы города Омска. Разрабатываемая сеть может быть использована в качестве замены существующей вычислительной сети данной организации. Разработка мультисервисной сети включает в себя:

- разработку сетевой топологии;

- выбор варианта реализации технологии FTTH;

- выбор активного оборудования сети;

- настройку активного оборудования сети.



1. Технологии построения оптических сетей

С каждым годом появляются новые технологии, направленные на повышение эффективности и производительности распределенных телекоммуникационных систем. Наиболее перспективным направлением развития таких систем является концепция глубокого проникновения оптики.

В рамках этой концепции существуют несколько вариантов ее реализации: Fiber To The Carb (FTTC), Fiber To The Building (FTTB), Fiber To The Home (FTTH) (рисунок 1.1).

Рисунок 1.1 - Структурная схема сетей FTTH, FTTC, FTTB, HFC

1.1 Описание технологии FTTH

Под FTTH понимаются сети, в которых оптический узел (или оптический приемник) является последним активным элементом. Выход оптического узла (ОУ) непосредственно (без дополнительных усилителей) связан с телевизором или абонентским терминалом, например STB (Set-Top-Box).

Архитектура FTTH позволяет сервис-провайдеру гарантировать каждому абоненту необходимую пропускную способность и создавать в сети профили полосы пропускания для каждого клиента индивидуально. Каждый частный или корпоративный пользователь в любой момент может получить симметричную полосу пропускания любой необходимой ему ширины.

Построение вычислительной сети по технологии FTTH позволяет реализовать ряд преимуществ данной технологии.

Сравнительно высокая надежность технологии FTTH. Большинство мультисервисных сетей передачи данных и видеосигнала, построенных только с использованием оптических активных компонентов, как правило, обладают очень высокой надежностью. Если в топологии сети предусмотреть резервные оптические волокна (ОВ) в волоконно-оптическом кабеле (ВОК), появляется возможность реализации ручного или автоматического резервирования как по направлениям (кольцевое резервирование), так и по жилам с минимальными затратами;

Простота переконфигурации сети FTTH. Переконфигурация осуществляется за счет установки в основных узлах распределения оптических кроссовых шкафов. Перекоммутация осуществляется за счет простейшей переустановки патчкордов по соответствующим направлениям;

Простота построения параллельных сетей FTTH. ВОЛС представляет собой идеальную многоканальную (на физическом уровне) транспортную сеть с рядом особенностей: сверхширокополосность, помехозащищенность от всех видов электромагнитных наводок, малые погонные потери, низкая чувствительность к температурным воздействиям, высокая защита от несанкционированного подключения.

Возможность отказа от реверсного канала в традиционных гибридных оптико-коаксиальных сетей (HFC - Hybrid Fiber Coax). Такая возможность появляется при наличии параллельных Ethernet сетей, которые изначально являются двунаправленными.

1.1.1 Реализация FTTH Ethernet

Наиболее перспективное направление реализации FTTH доступа получила архитектура Ethernet типа «звезда» (рисунок 1.2). Она предполагает наличие выделенных оптоволоконных линий от каждого оконечного устройства к точке присутствия, где происходит их подключение к коммутатору. Оконечные устройства могут находиться в отдельных зданиях, офисах или офисных центрах, на цокольных этажах которых располагаются коммутаторы, доводящие линии по всем офисам.

Немаловажным преимуществом Ethernet FTTH является большой радиус действия. В типовых конфигурациях сетей доступа Ethernet FTTH применяются недорогие одноволоконные линии, использующие технологию 100ВХ или 1000ВХ, с заданным максимальным радиусом действия 10 км. Для работы на больших расстояниях имеются оптические модули, позволяющие увеличить мощность оптического сигнала. В малонаселенных районах могут использоваться различные типы подключения Ethernet FTTH, которые не влияют на других абонентов на том же коммутаторе Ethernet. Есть также возможность для гибкого роста. В случае появления новых абонентов можно добавить дополнительные линейные карты Ethernet с высокой степенью модульности. При использовании архитектуры на базе PON подключение первого абонента к оптическому дереву требует наличия наиболее дорогостоящего порта OLT, а при добавлении абонентов к тому же дереву PON стоимость подключения каждого абонента только увеличивается за счет приобретения ONT. К тому же, поскольку одномодовые оптоволоконные линии не зависят от используемой технологии и скорости передачи данных, можно легко увеличить скорость для одного абонента, не влияя на работу других.



Рисунок 1.2 - Архитектура Ethernet FTTH с топологией «звезда»

Абонентские лини в данной реализации отделены друг от друга. Несомненным является тот факт, что на сегодняшний день выделенная оптоволоконная линия является самой защищенной средой на физическом уровне, особенно в сравнении с общими передающими средами. Более того, коммутаторы Ethernet, использующиеся в средах сервис-провайдеров, призваны обеспечить разделение физического уровня портов и логического уровня абонентов и имеют множество надежных функций защиты, которые в состоянии предотвратить практически все попытки вторжений. Очевидно также и то, что затраты на эксплуатацию сетей Ethernet FTTH в топологии «точка-точка» ниже, чем сетей с архитектурой пассивной оптической сети -PON FTTH.

1.2 Основы мультисервисной (Triple Play) сети

1.2.1 Общие концепции построения сети Metro Ethernet

Типовая сеть Metro Ethernet строится по трехуровневой иерархической схеме и включает ядро, уровень агрегации и уровень доступа. Ядро сети строится на высокопроизводительных маршрутизаторах и обеспечивает высокоскоростную передачу трафика. Уровень агрегации также создается на маршрутизаторах и обеспечивает агрегацию подключений уровня доступа, реализацию сервисов и сбор статистики. Структура организации мультисервисной сети на основе технологии Metro Ethernet представлена на рисунке 1.3.

Рисунок 1.3 - Triple Play в структуре сети Metro Ethernet

В зависимости от масштаба сети ядро и уровень агрегации могут быть объединены. В ядре сети и на уровне агрегации используется технология MPLS (Multiprotocol Label Switching). Каналы между маршрутизаторами могут строиться на основе различных высокоскоростных технологий, чаще всего SDH/SONET, RPR(DPT) или Gigabit Ethernet, в последнее время для сетей с большим трафиком используют 10-Gigabit Ethernet. При этом необходимо учитывать требования по восстановлению сети при сбое и структуру построения ядра. В ядре и на уровне агрегации необходимо обеспечить резервирование компонентов маршрутизаторов, а также топологическое резервирование, что позволяет продолжать предоставление услуг при одиночных сбоях каналов и узлов. Существенного сокращения времени на восстановление можно добиться только за счет применения технологии канального уровня. Уровень доступа строится по кольцевой или звездообразной схеме на коммутаторах Metro Ethernet для подключения корпоративных клиентов, офисных зданий, а также домашних и SOHO (small office home office) клиентов.

На уровне доступа реализуется полный комплекс мер безопасности, обеспечивающих идентификацию и изоляцию клиентов, защиту инфраструктуры оператора. Использование технологии MPLS в связке с Metro Ethernet позволяет реализовать сквозные механизмы качества обслуживания и при необходимости обеспечить прозрачное туннелирование клиентской QoS маркировки трафика. На всех уровнях сети может поддерживаться многоадресная рассылка, что важно при реализации таких услуг, как телевидение поверх IP. При выборе оборудования необходимо заранее определить весь список дополнительных сервисов, которые может поддерживать оборудование. Часто для крупных клиентов важна поддержка прозрачной передачи меток VLAN (virtual local area network), обеспечиваемая протоколом VPLS (virtual private LAN service). При ориентировании оператора на предоставление услуг NGN (next generation network) или Triple Play необходимо очень тщательно изучить, какой функционал для обеспечения качества обслуживания предоставляет оборудование, насколько широк диапазон настроек. Хотя оборудование Ethernet и совместимо между собой, следует сразу определиться и с оборудованием CPE, поскольку оно должно быть увязано системой управления, иметь возможность автоконфигурирования при подключении к сети и отвечать пожеланиям клиентов. Лучше всего подобрать несколько моделей для различных групп клиентов.

1.2.2 Основные сервисы Metro Ethernet

Один из ключевых атрибутов Ethernet-сервисов - виртуальное соединение Ethernet (Ethernet Virtual Connection, EVC). Оно определяется как связь двух или более UNI (User-Network Interface), где UNI - интерфейс Ethernet, который служит точкой разделения между CPE абонента и сетью провайдера услуг. Упрощенно EVC можно сравнить с PVC в ATM или Frame Relay.

Чтобы четко определить Ethernet-сервисы, MEF разработал базовую структуру Ethernet Services Framework. Цель стандартизации состоит в том, чтобы установить типы Ethernet-сервисов (EST) и дать им названия, а также определить атрибуты и связанные с ними параметры, используемые для каждого из сервисов. В настоящее время MEF различает два типа EST - Ethernet Line (E-Line) и Ethernet (E-LAN).

Сервис E-Line представляет собой соединение типа «точка - точка» с фиксированной пропускной способностью между двумя клиентскими интерфейсами (Customer Premises Equipment, CPE). В качестве протокола передачи между CPE и устройством доступа к сети (Customer Located Equipment, CLE) используется Ethernet. Клиентский интерфейс называется также интерфейсом «пользователь - сеть» (User Network Interface, UNI). В простейшем случае сервис предоставляет симметричную в обоих направлениях полосу пропускания без использования на нем параметров качества обслуживания, и его можно сравнить с обычной выделенной линией. Но если потребитель запрашивает дополнительные услуги, то на нем можно обеспечить такие параметры, как CIR, PIR, кроме того, гарантированные задержку, колебание задержки, особенно важную для голосового трафика, и потери производительности при соединении двух UNI, работающих с разными скоростями передачи данных. Поддерживается и мультиплексирование EVC, т. е. к одному физическому порту UNI может подключаться несколько EVC.

В качестве примера применения E-line можно привести соединение двух офисов по выделенному каналу или подключение пользователя к Интернету. Если абонент хочет использовать свое подключение для нескольких целей, то в этом случае используется мультиплексирование EVC.

Сервис E-LAN обеспечивает многоточечные соединения, т.е. он может соединять несколько UNI, обеспечивая тем самым для пользователей создание прозрачного «облака». В случае соединения двух UNI посредством многоточечного EVC допускается, в отличие от типа E-Line, подключение дополнительных UNI. Каждый UNI подсоединяется к многоточечному EVC, и по мере добавления новых абонентов они могут подключаться к тому же EVC. Данные абонента, отправленные от одного UNI, могут быть получены одним или несколькими UNI. Что касается качества обслуживания, то для каждого из UNI могут быть заданы те же параметры, что и в сервисе E-line.

Большим компаниям, имеющим много подразделений (сети розничных магазинов или страховые компании), как правило, требуется объединить их в одну сеть, чтобы пользователи всех филиалов имели возможность использовать системы электронного документооборота и других бизнес-приложений. Именно для этого можно использовать E-LAN.

1.2.3 Методы обеспечения безопасности в Metro Ethernet

Одновременно с возрастанием количества попыток получить неправомочный доступ к сетям и их компонентам все более сложными и комплексными становятся противостоящие им технологии. Неправомочный доступ к данным клиента или системам в результате недостаточного обеспечения безопасности сети может привести к потере клиентов, нарушению производительности сети или более тяжелым последствиям. Поэтому оператор сети Metro Ethernet должен еще при строительстве и развертывании сети максимально задействовать все средства защиты.

В современных устройствах для этого могут быть использованы следующие механизмы:

– Remote Authentication Dial-In User Service (RADIUS) и Terminal Access Controller Access Control System (TACACS+);

– 802.1x аутентификация пользователей;

– различные списки доступа;

– функция Dynamic Host Configuration Protocol (DHCP) snooping;

– различные методы предотвращения подделки MAC-адресов;

– другие механизмы безопасности, разработанные производителями (расширения 802.1x компании Cisco Systems).

Рекомендуется не ограничиваться одним из способов защиты, а использовать их комплексно, так как комплексное использование способов защиты резко повышает уровень защищенности. В целом сети Metro Ethernet обладают дстаточным уровнем защиты передаваемой информации.

1.2.4 Управление и мониторинг уровня обслуживания

Внедрение и управление качеством обслуживания в сети Metro Ethernet без использования автоматизации - достаточно сложная и трудоемкая технология, поэтому еще на этапе построения сети крупные операторы закладывают в нее комплексные системы управления. Современная система OSS для управления качеством обслуживания в Metro Ethernet должна содержать следующие основные компоненты:

– управление каталогом классов обслуживания;

– управление клиентскими данными и уровнем обслуживания (SLA);

– управление реестром сетевых компонент и их конфигурацию;

– предоставление и активация классов обслуживания;

– мониторинг качества предоставления классов обслуживания;

– системное администрирование и функции обеспечения безопасности.

Сетевой оператор определяет услугу на основе сервисных параметров и дополнительных эксплуатационных пограничных значений, в частности, ее готовность, среднее время ремонта, среднее время между отказами. Параметры обслуживания клиента устанавливаются сетевым оператором в соответствии с договором об уровне обслуживания. Пользователи могут контролировать оператора через получение ими сведений о состоянии каналов через Интернет в режиме реального времени.

После активизации услуги перед оператором встает задача мониторинга параметров SLA. Для сбора данных с устройств и последующего их сравнения с заданными параметрами необходимы следующие интерфейсы и протоколы:

– Simple Network Management Protocol (SNMP) - простой протокол управления сетью;

– протоколы для измерения трафика Sflow (стандарт RFC 3176) или Netflow (Cisco);

– стандартизированный интерфейс (TMF 814a) между двумя OSS.

При превышении предельных значений система управления должна иметь заранее определенный алгоритм действий по реагированию на каждую из возможных ошибок, а дежурные - оперативно приступить к устранению неисправности. Если система обладает функциями прогнозирования и автоматического нахождения ошибок, то это позволит непрерывно обеспечивать предоставление услуги с гарантируемым качеством более длительный период.

1.3 Характеристики волоконно-оптических кабелей

Оптические волокна производятся разными способами, обеспечивают передачу оптического излучения на нескольких длинах волн, имеют различные характеристики и выполняют многообразные задачи.

Оптические волокна делятся на две основные группы: многомодовые и одномодовые. Наиболее широко используются следующие стандарты волокон: многомодовое градиентное волокно MMF 50/125 (локально-вычислительные сети Ethernet, Fast/Gigabit Ethernet. FDDI, ATM); многомодовое градиентное волокно MMF 62,5/125 (локально-вычислительные сети Ethernet Fast/Gigabit Ethernet, FDDI, ATM); одномодовое ступенчатое волокно с несмещенной дисперсией NDSF или стандартное волокно SF 10/125 (протяженные сети СКТ, Ethernet, Fast/Gigabit Ethernet FDDI, ATM, магистрали SDH); одномодовое волокно со смещенной дисперсией DSF 10/125 (сверхпротяженные сети, субмагистрали SDH, ATM); одномодовое волокно с ненулевой смещенной дисперсией NZDSF (сверхпротяженные сети, супермагистрали SDH, ATM).

Каждое волокно состоит из сердцевины и оболочки с разными показателями преломления. Сердцевина, по которой происходит распространение светового сигнала, изготавливается из оптически более плотного материала. В обозначении волокна через дробь указываются значения диаметров сердцевины и оболочки волокна. Волокна различаются диаметром сердцевины и оболочки, а также профилем показателя преломления сердцевины. В стандартных многомодовых градиентных волокнах (MMF 50/125, 62,5/125) используют диаметры светонесущей жилы 50 и 62,5 мкм, что на порядок выше длины передачи. Благодаря этому по сердцевине световода одновременно распространяется множество электромагнитных волн различной модификации, которые называются модами. Входящие в световод под разными углами моды, многократно отражаясь от внутренней поверхности оболочки, проходят по сердцевине неодинаковый путь, вследствие чего достигают приемного конца линии в разное время. Происходит рассеяние мод во времени - дисперсия, в результате которой искажается первоначальная длина импульсов. Это нежелательное явление ограничивает пропускаемую полосу частот, которая обратно пропорциональна дисперсии. Коэффициент широкополосности многомодовых волокон (полоса пропускания, отнесенная к одному километру) различных типов волокон составляет до нескольких сотен мегагерц.

В ступенчатом одномодовом волокне (SF) диаметр светонесущей жилы составляет 10 мкм и сравним с длиной световой волны. В таком волокне в окнах прозрачности 1310 и 1550 нм распространяется только одна мода. Это устраняет межмодовую дисперсию и обеспечивает высокую пропускную способность одномодового волокна в этих окнах прозрачности. С точки зрения дисперсии наилучший режим распространения достигается на длине волны 1310 нм, когда хроматическая дисперсия имеет минимальное значение. При этом потери при распространении составляют от 0,3 до 0,4 дБ/км. Наименьшее затухание от 0,2 ло 0,25 дБ/км достигается в окне прозрачности 1550 нм. В одномодовом волокне со смещенной дисперсией (DSF) длина волны, на которой результирующая дисперсия обращается в нуль, смещена в окно 1550 нм. Этот тип волокна не нашел широкого применения из-за возникновения эффекта четырехволнового смещения. Волокно SF, используется для передачи на длине волны 1310 нм.

Одномодовое волокно с ненулевой смещенной дисперсией NZDSF. в отличие от DSF. оптимизировано для передачи не одной длины волны, а сразу нескольких длин волн (мультиплексного волнового сигнала) и используется при построении магистралей «полностью оптических сетей» - сетей, на узлах которых не происходит оптоэлектронного преобразования при распространении оптического сигнала.

Основные характеристики оптического волокна, применяемого в ВОК приведены в таблице 1.1.

Таблица 1.1 - Основные характеристики оптического волокна

Характеристики	Одномодовое ОВ	Многомодовое ОВ
	8/125	10/125	50/125	62,5/125
Затухание, дБ/км
На длине волны 850 нм	-	-	2.5	3,0
На длине волны 1300 нм	-	-	0.7	0.8
На длине волны 1310 нм	-	0.35	-	-
На длине волны 1550 нм	0.22	0.22	-	-
Хроматическая дисперсия, пс/нм*км
На длине волны 1310 нм	-	3.5	-	-
На длине волны 1550 нм	2,7	18	-	-
Полоса пропускания, МГц * км
На длине волны 850 нм	-	-	400	160
На длине волны 1300 нм	-	-	600	500

Из-за узкополосности и наличия дисперсии для передачи широкополосных сигналов многомодовое волокно в СКТ практически не применяется. Наиболее широкое распространение получило стандартное волокно SF. Недостаток таких волокон - большое значение дисперсии в окне 1550 нм - чаще всего компенсируется уменьшением спектральной ширины излучаемого сигнала (например, использованием передатчиков на основе DFB-лазеров).

Классификацию ВОК подразделяют по:

- назначению;

- условиям применения;

- способу прокладки;

- конструктивным и технологическим особенностям;

- числу ОВ и электрических жил.

Волоконно-оптические кабели подразделяются по назначению на:

- магистральные (международные, междугородние);

- внутризоновые (соединительные, междугородние);

- местные (соединительные, распределительные, абонентские);

- внутриобъектовые (станционные, абонентские).

Согласно классификации МСЭ-Т, оптические кабели можно разделить на кабели для внешней и внутренней прокладки.

Волоконно-оптические кабели подразделяются по типу прокладки на:

– внешние кабели междугородние, межстанционные соединительные и распределительные (воздушный, проложенный в грунте, проложенный в канализации, проложенный в туннеле, подводный);

– внутренние кабели у абонента и на станции (внутри здания).

Самые распространенные способы прокладки оптических кабелей при строительстве - подземный и воздушный.

Выбор кабеля для внешней прокладки в наибольшей степени зависит от условий, в которых планируется осуществляться его эксплуатация, от характера и силы внешних воздействий. Для внешних кабелей необходимо учитывать воздействие следующих факторов: температуры (усадка оболочки с вытягиванием сердечника, увеличение затухания под воздействием перепадов температуры, хрупкость, ломкость оболочки под воздействием низкой температуры); соленой воды (коррозия несущего троса или брони); дождя или горячего источника (коррозия несущего кабеля и внешней оболочки); постоянного тока (электролитическая коррозия); огня (пожароопасность); ветра, снега и льда (повреждение под давлением и раскачиванием ветра, под тяжестью снега и льда); водорода (увеличение потерь): а также возможность повреждения внешней оболочки кабеля грызунами, птицами и насекомыми.

Для кабелей внутренней прокладки наиболее важным фактором при выборе типа кабеля является его гибкость при прокладке по различным конструкциям здания и пожаробезопасность.

1.4 Технология Multiprotocol Label Switching (MPLS)

Multiprotocol Label Switching - мультипротокольная коммутация по меткам. Данная технология представляет собой механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов.

MPLS представляет собой технологию использования метода передачи по меткам. С помощью меток определяются и маршруты, и атрибуты услуг. На периферии сети, в точке входа, происходит обработка входящих пакетов.

Здесь же выбираются и присваиваются метки. Опорная сеть считывает метки, соответствующим образом обрабатывает пакеты и передает их далее в соответствии с метками. Действия, требующие больших процессорных мощностей (анализ, классификация и фильтрация), выполняются только один раз, в точке входа. После этого пакеты с метками передаются по опорной сети. Устройства опорной сети сервис-провайдера передают пакеты только основе меток и не анализируют заголовки IP-пакетов. В точке выхода метки удаляются, и пакеты передаются в пункт назначения.

MPLS работает на уровне, который можно было бы расположить между вторым (канальным) и третьим (сетевым) уровнями модели OSI, и поэтому его обычно называют протоколом второго с половиной уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

В традиционной IP сети пакеты передаются от одного маршрутизатора другому, и каждый маршрутизатор читая заголовок пакета (адрес назначения) принимает решение о том, по какому маршруту отправить пакет дальше. В протоколе MPLS никакого последующего анализа заголовков в маршрутизаторах по пути следования не производится, а переадресация управляется исключительно на основе меток. Это имеет много преимуществ перед традиционной маршрутизацией на сетевом уровне.

1.4.1 Архитектура MPLS

В традиционных сетях IP, в общем случае, маршрутизация пакетов осуществляется на основе IP адреса назначения (destination IP address). Каждый маршрутизатор в сети обладает информацией о том, через какой интерфейс и какому соседу необходимо перенаправить пришедший IP-пакет.

Мультипротокольная коммутация по меткам предлагает несколько другой подход. Каждому IP-пакету назначается некая метка. Маршрутизаторы принимают решение о передаче пакета следующему устройству на основании значения метки. Метка добавляется в составе MPLS заголовка, который добавляется между заголовком кадра (второй уровень OSI) и заголовком пакета (третий уровень модели OSI) рисунок 1.4.

Рисунок 1.4 - Место MPLS заголовка в кадре

Формат заголовка приведен на рисунке 1.5.

Рисунок 1.5 - Формат MPLS метки

В MPLS метке присутствуют следующие поля:

- поле «метка», представляет собой метку, по которой осуществляется коммутация;

- CoS - поле описывающее класс обслуживания пакета (аналог IP precedence);

- TTL - поле жизни метки (time to life), аналог IP TTL;

- S - одному пакету может быть назначено несколько меток («стек» меток). S - это поле-флаг, обозначающий последнюю метку в «стеке» (рисунок 1.6).

Рисунок 1.6 - Пример назначения стека меток

1.4.2 Функционирование MPLS

Функционирование сети MPLS можно рассмотреть на примере передачи пакета по сети сервис-провайдера, в которой реализована эта технология, рассмотрим рисунок 1.7.

Рисунок 1.4 - Функционирование MPLS

Этап 1. Сеть автоматически формирует таблицы маршрутизации. В этом процессе участвуют маршрутизаторы или коммутаторы IP+ATM, установленные в сети сервис провайдера. При этом используются внутренние протоколы маршрутизации, такие как OSPF или IS-IS.

Этап 2. Протокол распределения меток (Label Distribution Protocol - LDP) использует отраженную в таблицах топологию маршрутизации для определения значений меток, указывающих на соседние устройства. В результате этой операции формируются маршруты с коммутацией по меткам (Label Switched Paths - LSP) или переконфигурированный путь мапирования меток между исходной точкой и точкой назначения. Автоматическое присвоение меток MPLS выгодно отличает эту технологию от технологии частных виртуальных каналов ATM PVC, требующих ручного присвоения VCI/VPI.

Этап 3. Входящий пакет поступает на пограничный Label Switch Router (LSR), который определяет, какие услуги 3 уровня необходимы этому пакету (например, QoS или управление полосой пропускания). На основе учета всех требований маршрутизации и правил высокого уровня (policies), пограничный LSR выбирает и присваивает метку, которая записывается в заголовок пакета, после чего пакет передается дальше.

Этап 4. Устройство LSR, находящееся в опорной сети, считывает метки каждого пакета, заменяет старые метки новыми (новые метки определяются по локальной таблице) и передает пакет дальше. Эта операция повторяется в каждой точке передачи пакета по опорной сети.

Этап 5. На выходе пакет попадает в пограничный LSR, который удаляет метку, считывает заголовок пакета и передает его по месту назначения.

В магистральных LSR метка MPLS сравнивается с заранее рассчитанными таблицами коммутации и содержит информацию 3-го уровня. Это позволяет каждому устройству LSR автоматически оказывать каждому пакету необходимые IP-услуги. Таблицы рассчитываются заранее, что снимает необходимость повторной обработки пакетов в каждой точке передачи. Такая схема не только позволяет разделить разные типы трафика (например, отделить неприоритетный трафик от критически важного); она делает решения MPLS хорошо масштабируемыми. Поскольку для присвоения меток технология MPLS использует разные наборы правил (policy mechanisms), она отделяет передачу пакетов от содержания заголовков IP. Метки имеют только локальное значение и многократно переиспользуются в крупных сетях, поэтому исчерпать запас меток практически невозможно. В рамках предоставления корпоративных IP-услуг самое главное преимущество MPLS заключается в способности присваивать метки, имеющие специальное значение. Наборы меток определяют не только место назначения, но и тип приложения и класс обслуживания.

Для того чтобы лучше понять возможности масштабирования MPLS, обратимся к рисунку 1.7, а так же к таблицам 1.2, 1.3, 1.4, где показан пример таблиц передачи (MPLS forwarding tables).

Таблица 1.2 - Пример таблицы передачи MPLS (MPLS forwarding tables)

In Lbl	Address Prefix	Out Int	Out Lbl
-	129.89	1	4
-	171.69	1	5

Таблица 1.3 - Пример таблицы передачи MPLS (MPLS forwarding tables)

In Lbl	IN I/F	Address Prefix	Out Int	Out Lbl
4	2	129.89	0	9
8	1	129.89	0	10
5	2	171.69	1	7

Таблица 1.4 - Пример таблицы передачи MPLS (MPLS forwarding tables)

In Lbl	In I/F	Address Prefix	Out Int	Out Lbl
9	1	129.89	0	-
In Lbl	In I/F	Address Prefix	Out Int	Out Lbl
10	1	129.89	0	-

Рисунок 1.7 - Пример функционирования таблицы передачи MPLS

Этап 1. Входящий пакет поступает на периферийное устройство LSR, которое считывает префикс назначения, 128.89. Затем устройство LSR обращается к таблице коммутации и вставляет необходимую метку 4, а затем передает пакет на интерфейс 1.

Этап 2. Устройство LSR в опорной сети считывает метку, находит для нее соответствие в своей таблице коммутации, заменяет метку 4 на метку 9 и передает пакет на интерфейс 0.

Этап 3. Маршрутизатор в точке выхода считывает метку и находит соответствие метке 9 в своей таблице, где говорится, что эту метку нужно удалить и направить пакет на интерфейс 0. Заметим при этом, что в опорной сети маршрутная информация IP используется только для построения таблиц коммутации меток и не связана на прямую с процессом передачи.

1.4.3 Архитектура устройств E-LSR/LSR

LSR выполняет два процесса: маршрутизации и коммутации по меткам. Процесс маршрутизации функционирует на базе внутреннего протокола маршрутизации (например, OSPF). Процесс маршрутизации получает маршрутную информацию от соседей и формирует таблицу маршрутизации. Таблица маршрутизации используется для маршрутизации обыкновенных IP-пакетов.

Процесс коммутации функционирует на базе протокола обмена метками между соседями (Label Distribution Protocol). Протокол обмена метками согласует конкретные значения меток для создания целостных маршрутов коммутации по меткам (LSP). Процесс коммутации по меткам при составлении таблиц коммутации использует так же таблицу IP-маршрутизации.

Взаимосвязь процессов коммутации по меткам и IP-маршрутизации приведена на рисунке 1.8.

Рисунок 1.8 - Взаимосвязь процессов MPLS-коммутации и

IP - маршрутизации на LSR/E-LSR

Приведем описание основных функций выполняемых E-LSR/LSR в таблице 1.5.

Таблица 1.5 - Основные функции выполняемые устройствами LSR/E-LSR

Функция	Англоязычное название	Описание
Традиционная маршрутизация IP-пакетов	IP routing	Входящие IP-пакеты маршрутизируются на основе таблицы маршрутизации.
Назначение метки	label imposing	Если устройство функционирует в качестве E-LSR, то для входящего IP-пакета на базе таблицы IP-маршрутизации определяется метка, которая должна быть назначена, и выходной интерфейс, через который должен быть переслан пакет (1)
Коммутация по метке	label swapping	Входящие IP-пакеты с метками обрабатываются процессом коммутации по меткам, который на основании таблицы коммутации по меткам определяет, какое из действий будет выполнено.
Снятие метки	label poping
Снятие метки (PHP)	label poping with PHP

1.4.4 Описание MPLS/VPN сети

Для того чтобы экономично выделить технические ресурсы, необходимые для поддержки сетей IP VPN с богатыми функциями, сервис-провайдерам нужны средства, способные распознавать разные типы приложений, чтобы провайдер мог гарантировать определенное качество услуг (QoS) и обеспечивать безопасность данных, причем делать это нужно в сетях, которые будут менее сложными, чем оверлейные IP-туннели и узловые сети с виртуальными каналами (VC-meshed networks). Оверлейные решения VPN, надстроенные поверх IP, требуют туннелирования или шифрования. Кроме того, поскольку IP-трафик передается по виртуальным каналам, оверлейная сеть VPN не знает, какой трафик по ней передается. Оверлейное решение сосредоточено на соединениях и не очень хорошо поддается масштабированию. Более того, оно конфликтует с бизнес-приложениями IP, которые не зависят от соединений и ориентированы на протокол TCP/IP.

Сеть VPN должна распознавать, к какому типу приложений относится трафик (голос, SNA, видеопотоки или электронная почта). Она должна уметь быстро отделять трафик одного приложения от другого. Далее, сеть должна быть VPN-осведомленной (VPN-aware), чтобы сервис-провайдер мог легко группировать пользователей и услуги, в сетях интранет и экстранет. MPLS - это та технология, которая придает коммутирующим и маршрутизирующим сетям VPN-осведомленность. Она дает возможность сервис-провайдерам быстро и экономично создавать защищенные сети VPN любого размера - в единой инфраструктуре.

В отличие от оверлейных решений, сеть MPLS может разделять трафик и обеспечивать его защиту без шифрования и туннелирования. Технология MPLS поддерживает безопасность в каждой отдельной сети, точно так же, как сети Frame Relay и ATM поддерживают ее для каждого отдельного соединения. Если традиционная сеть VPN предоставляет базовые услуги сетевого транспорта, то сеть с технологией MPLS - это масштабируемые услуги VPN, допускающие поддержку IP-приложений с добавленной ценностью поверх базовой транспортной сети VPN. Этот сценарий отражает переход сервис-провайдеров от транспортно-ориентированной модели бизнеса к модели, ориентированной на услуги.

MPLS-VPN - это одноранговая VPN, которая разделяет трафик на третьем уровне (Layer 3 модели OSI) с помощью раздельных IP VPN таблиц передачи. MPLS-VPN может отделить трафик одного заказчика от другого, потому что каждой сети VPN каждого заказчика присваивается уникальный идентификатор (VPN ID). Это создает такие же условия безопасности, как в сетях ATM и Frame Relay, потому что пользователь сети VPN не может видеть трафик, передающийся за пределами этой сети.

Сетей MIPLS-VPN характеризуются рядом параметров. Используются многопротокольных расширений BGP для преобразования префиксов адреса IPv4 в уникальные VPN-IPv4 NLRI. С каждым маршрутом заказчика связана определенная метка MPLS. Ее присваивает РЕ-маршрутизатор, стоящий в начале маршрута. Эта метка используется для того, чтобы направить пакет данных к нужному оконечному РЕ-маршрутизатору. В процессе передачи пакета данных по магистрали используются две метки. Верхняя метка направляет пакет к нужному оконечному РЕ-маршрутизатору. Вторая метка показывает, куда этот РЕ-маршрутизатор должен направить пакет. В каналах связи между РЕ-маршрутизаторами и СЕ-маршрутизаторами используются стандартные схемы передачи (IP forwarding). РЕ связывает каждый СЕ с таблицей передачи (forwarding table), в которой хранятся только те маршруты, которые доступны данному СЕ-маршрутизатору.

На рисунке 1.9 представлен типичный пример одноранговой сети MPLS VPN.

Рисунок 1.9 - Топология сети MPLS VPN

Функционирование маршрутизаторов PE.

Для обслуживания клиентов разных VPN на устройстве PE (к которому эти клиенты присоединены) создается несколько виртуальных объектов (по одной на каждый VPN). Называются такие объекты - VPN Routing and Forwarding (VRF). VRF образовываются:

– отдельной таблицей IP-маршрутизации, использующейся для маршрутизации пакетов VPN (далее VRF-таблица);

– множеством интерфейсов устройства PE, по которым подключены устройства CE, принадлежащие одной VPN.

Таким образом, интерфейс на устройстве PE, к которому подключен узел, входящий в VPN Х, принадлежит VRF Х.

Между устройствами CE и PE необходима настройка статической маршрутизации или протокола динамической маршрутизации. В качестве протокола динамической маршрутизации может быть использован RIP, OSPF или BGP. Маршрутная информация, полученная от устройства CE устанавливается в соответствующую VRF-таблицу.

1.4.5 Обзор протокола LDP

Архитектура MPLS определяет протокол рассылки меток как набор процедур, с помощью которых один LSR (Label Switched Router) информирует другого о значении меток, используемых для переадресации трафика между ними и через них.

Архитектура MPLS не предполагает наличия одного протокола рассылки меток. В действительности, стандартизовано несколько различных протоколов. Некоторые существующие протоколы были расширены так, чтобы позволить рассылку меток.

Протокол рассылки меток LDP (Label Distribution Protocol), является новым протоколом для рассылки меток. Это набор процедур и сообщений, с помощью которых LSR формирует сетевой LSP (Label Switched Path) путем установления соответствия между маршрутной информацией и каналами передачи данных. Эти LSP могут иметь оконечные точки непосредственно у партнера (сопоставимо с IP переадресацией шаг-за-шагом), или могут иметь оконечную точку в выходном узле сети, позволяя коммутацию через все промежуточные узлы.

LDP ставит в соответствие FEC (Forwarding Equivalence Class) каждому LSP, который он создает. FEC ассоциированный с LSP определяет, какие пакеты должны следовать по этому LSP. LSP прокладываются через сеть так, что каждый LSR обеспечивает стыковку входной метки для FEC с выходной меткой, соответствующей следующему шагу для данного FEC.

Обмен сообщениями LDP.

Существует четыре категории сообщений LDP:

– cообщения выявления (Discovery), используются для объявления и поддержания присутствия LSR в сети;

– сообщения сессий, используются для установления, поддержки и завершения сессий между LDP партнерами;

– сообщения анонсирования (Advertisement), используются для формирования, изменения и ликвидации соответствия между меткой и FEC;

– сообщения уведомления (Notification), используются для предоставления рекомендаций и уведомления об ошибках.

Сообщения выявления предоставляют механизм, посредством которого LSR оповещает о своем присутствии в сети посредством периодической посылки сообщения Hello. Оно посылается в виде UDP-пакета на вход LDP-порта всем маршрутизаторам субсети через групповой мультикастинг-адрес. Когда LSR решает установить сессию с другим LSR, опознанным с помощью сообщения Hello, он использует процедуру инициализации LDP с привлечением протокола TCP. При успешном завершении процедуры инициализации, два LSR становятся LDP-партнерами, и могут обмениваться сообщениями анонсирования.

Момент запроса или анонсирования метки партнеру, определяется локальными соображениями LSR. Вообще, LSR запрашивает метку у соседнего LSR, когда она ему нужна, и анонсирует метку соседнему LSR, когда он хочет, чтобы сосед использовал эту метку.

Корректная работа LDP требует надежной и упорядоченной доставки сообщений. Чтобы удовлетворить этим требованиям LDP использует в качестве транспортного протокола TCP для сообщений сессий, предупреждений и анонсирования; т.e., для любых обменов кроме механизмов выявления, базирующихся на UDP.

Структура сообщений LDP.

Все сообщения LDP имеют общую структуру, которая использует схему кодирования TLV (Type-Length-Value) тип-длина-значение. Значение является объектом, кодируемым по схеме TLV, и может содержать одно или более TLV.

Работа LDP.

Необходимо точно определить, какие пакеты могут быть поставлены в соответствие каждому LSP. Это делается с помощью FEC-спецификации для каждого LSP FEC идентифицирует набор пакетов, которые могут быть ассоциированы с данным LSP.

Каждый FEC специфицируется как набор из одного или более элементов FEC. Каждый FEC-элемент определяет набор пакетов, которые могут быть ассоциированы с соответствующим LSP. Когда LSP пользуется несколькими элементами FEC, такой LSP завершается в узле (или раньше), где элементы FEC не могут более следовать одним путем.

Ниже определяются типы элементов FEC:

– адресный префикс, этот элемент является адресным префиксом произвольной длины от 0 до полного адреса включительно;

– адрес ЭВМ, этот элемент является полным адресом ЭВМ.

Определенный адрес согласуется с заданным адресным префиксом, если и только если адрес начинается с этого префикса. Мы также говорим, что определенный пакет соответствует заданному LSP, если и только если LSP имеет адресный префикс FEC элемента, который согласуется с адресом места назначения пакета.

Процедура установления соответствия конкретного пакета с заданным LSP использует следующие правила. Каждое правило применяется последовательно до тех пор, пока пакет не сможет быть отнесен к заданному LSP.

Если имеется только один LSP, который содержит FEC элемент адреса ЭВМ, идентичный адресу места назначения пакета, тогда пакет ассоциируется с данным LSP.

Если имеется несколько LSP, содержащих FEC элемент адреса ЭВМ, который идентичен адресу назначения пакета, тогда пакет ассоциируется с одним из этих LSP. Процедура выбора одного из этих LSP в данном документе не рассматривается.

Если пакет в точности соответствует одному LSP, пакет ассоциируется с этим LSP.

Если пакет соответствует нескольким LSP, он ассоциируется с LSP, чей префикс длиннее. Если более длинного префикса выявить не удается, пакет ассоциируется с одним из LSP, чей префикс длиннее других. Процедура выбора одного из этих LSP в данном документе не рассматривается.

Если известно, что пакет должен пройти через определенный выходной маршрутизатор, и имеется LSP, который имеет элемент FEC адресного префикса, являющийся адресом этого маршрутизатора, тогда пакет ассоциируется с этим LSP.

Отметим несколько следствий этих правил:

– пакет может быть послан по LSP, чей адресный префикс элемента FEC является адресом выходного маршрутизатора, только если нет LSP, согласующихся с адресом места назначения пакета;

– пакет может соответствовать двум LSP, одному с FEC элементом адреса ЭВМ, а другому с FEC элементом префикса адреса. В этом случае пакеты ассоциируются всегда со вторым из этих LSP;

– пакет, который не соответствует определенному FEC-элементу адреса ЭВМ, не может быть послан по соответствующему LSP, даже если FEC элемент адреса ЭВМ идентифицирует выходной маршрутизатор для данного пакета.

1.4.6 Безопасность в сетях MPLS/VPN

Функциональность MPLS-VPN поддерживает уровень безопасности, эквивалентный безопасности оверлейных виртуальных каналов в сетях Frame Relay и ATM. Безопасность в сетях MPLS-VPN поддерживается с помощью сочетания протокола BGP и системы разрешения IP-адресов.

BGP-протокол отвечает за распространение информации о маршрутах. Он определяет, кто и с кем может связываться с помощью многопротокольных расширений и атрибутов community. Членство в VPN зависит от логических портов, которые объединяются в сеть VPN и которым BGP присваивает уникальный параметр Route Distinguisher (RD). Параметры RD неизвестны конечным пользователям, и поэтому они не могут получить доступ к этой сети через другой порт и перехватить чужой поток данных. В состав VPN входят только определенные назначенные порты. В сети VPN с функциями MPLS протокол BGP распространяет таблицы FIB (Forwarding Information Base) с информацией о VPN только участникам данной VPN, обеспечивая таким образом безопасность передачи данных с помощью логического разделения трафика.

Именно провайдер, а не заказчик присваивает порты определенной VPN во время ее формирования. В сети провайдера каждый пакет ассоциирован с RD, и поэтому попытки перехвата пакета или потока трафика не могут привести к прорыву хакера в VPN. Пользователи могут работать в сети интранет или экстранет, только если они связаны с нужным физическим или логическим портом и имеют нужный параметр RD. Эта схема придает сетям Cisco MPLS-VPN очень высокий уровень защищенности.

В опорной сети информация о маршрутах передается с помощью стандартного протокола Interior Gateway Protocol (IGP), такого как OSPF или IS-IS. Пограничные устройства РЕ в сети провайдера устанавливают между собой связи-пути, используя LDP для назначения меток. Назначения меток для внешних (пользовательских) маршрутов распространяется между РЕ-маршрутизаторами не через LDP, а через многопротокольные расширения BGP. Атрибут Community BGP ограничивает рамки информации о доступности сетей и позволяет поддерживать очень крупные сети, не перегружая их информацией об изменениях маршрутной информации. Протокол BGP не обновляет информацию на всех периферийных устройствах РЕ, находящихся в провайдерской сети, а приводит в соответствие таблицы FIB только тех РЕ, которые принадлежат к конкретной VPN.

Если виртуальные каналы создаются при оверлейной модели, исходящий интерфейс любого индивидуального пакета данных является функцией только входящего интерфейса. Это означает, что IP-адрес пакета не определяет маршрута его передачи по магистральной сети. Это позволяет предотвратить попадание несанкционированного трафика в сеть VPN и передачу несанкционированного трафика из нее.

В сетях MPLS-VPN пакет, поступающий в магистраль, в первую очередь ассоциируется с конкретной сетью VPN на основании того, по какому интерфейсу (подынтерфейсу) пакет поступил на РЕ-маршругизатор. Затем IP-адрес пакета сверяется с таблицей передачи (forwarding table) данной VPN. Указанные в таблице маршруты относятся только к VPN принятого пакета. Таким образом, входящий интерфейс определяет набор возможных исходящих интерфейсов. Эта процедура также предотвращает как попадание несанкционированного трафика в сеть VPN, так и передачу несанкционированного трафика из нее.

metro ethernet кабель оптический



2. Разработка корпоративной сети организации

Проектирование компьютерной сетей является сложной задачей. Для облегчения решения эту задачу принято разбивать на части. В соответствии с предложенным фирмой Cisco Systems подходом компьютерные сети удобно представлять в виде модели, которая включает в себя три уровня иерархии:

- ядра;

- распределения;

- доступа.

Уровень ядра (core) отвечает за высокоскоростную передачу сетевого трафика. Первичное предназначение устройств уровня ядра - коммутация пакетов. В соответствии с указанными принципами на устройствах уровня ядра запрещается вводить различные технологии, такие, как, например, списки доступа или маршрутизация по правилам, мешающие быстрой коммутации пакетов.

На уровне распределения происходит суммирование маршрутов и агрегация трафика. Под суммированием маршрутов понимается представление нескольких сетей в виде одной большой сети с короткой маской. Это позволяет уменьшить таблицу маршрутизации в устройствах уровня ядра, а также изолировать изменения, которые происходят внутри большой сети.