Статті 12/04/2018

Канали зв'язку L2 та L3 VPN – відмінності фізичних та віртуальних каналів різного рівня

Із доброю посмішкою тепер згадується, як людство з тривогою очікувало у 2000 році кінця світу. Тоді цього не сталося, зате відбулася зовсім інша подія і теж дуже значуща.

Історично, тоді світ увійшов у справжню комп'ютерну революцію v. 3.0. – старт хмарних технологій розподіленого зберігання та обробки даних. Причому якщо попередньою «другою революцією» був масовий перехід до технологій «клієнт-сервер» у 80-х роках, то першою можна вважати початок одночасної роботи користувачів із використанням окремих терміналів, підключених до, так званих, «мейнфреймів» (у 60-ті роки минулого століття). Ці революційні зміни відбулися мирно і непомітно для користувачів, але торкнулися всього світу бізнесу разом із інформаційними технологіями.

При перенесенні IT-інфраструктури на хмарні платформи та віддалені ЦОД (центри обробки даних) ключовим питанням одразу стає організація надійних каналів зв'язку від клієнта до дата-центрів. У мережі часто зустрічаються пропозиції провайдерів: «фізична виділена лінія, оптоволокно», «канал L2», «VPN» і так далі… Спробуємо розібратися, що за цим стоїть практично.

Канали зв'язку – фізичні та віртуальні

  1. Організацією «фізичної лінії» або «каналу другого рівня, L2» прийнято називати послугу надання провайдером виділеного кабелю (мідного або оптоволоконного), або радіоканалу між офісами та майдансиками, де розгорнуто обладнання дата-центрів. Замовляючи цю послугу, практично швидше за все ви отримаєте в оренду виділений оптоволоконний канал. Це рішення привабливе тим, що за надійний зв'язок відповідає провайдер (а у разі пошкодження кабелю самостійно відновлює працездатність каналу). Однак, у реальному житті кабель на всьому протязі не буває цілісним – він складається з безлічі з'єднаних (зварених) між собою фрагментів, що дещо знижує його надійність. На шляху прокладання оптоволоконного кабелю провайдеру доводиться застосовувати підсилювачі, розгалужувачі, але в кінцевих точках – модеми.

Різниця між фізичними та віртуальними каналами зв'язку

Примітка: NAT – Network Address Translation (механізм заміни мережевих адрес транзитних пакетів у мережах TCP/IP, застосовується для маршрутизації пакетів з локальної мережі клієнта в інші мережі/Інтернет та у зворотному напрямку – всередину LAN клієнта, до адресата).

У маркетингових матеріалах до рівня L2 (Data-Link) мережевої моделі OSI або TCP/IP це рішення відносять умовно – воно дозволяє працювати ніби на рівні комутації кадрів Ethernet в LAN, не переймаючись багатьма проблемами маршрутизації пакетів на наступному, мережевому рівні IP. Є, наприклад, можливість продовжувати використовувати в клієнтських віртуальних мережах свої так звані «приватні» IP-адреси замість зареєстрованих унікальних публічних адрес. Оскільки використовувати приватні IP-адреси в локальних мережах дуже зручно, користувачам було виділено спеціальні діапазони основних класів адресації:

  • 10.0.0.0 – 10.255.255.255 у класі A (з маскою 255.0.0.0 або /8 в альтернативному форматі запису маски);
  • 100.64.0.0 – 100.127.255.255 у класі A (з маскою 255.192.0.0 або /10);
  • 172.16.0.0 – 172.31.255.255 у класі B (з маскою 255.240.0.0 або /12);
  • 192.168.0.0 – 192.168.255.255 у класі C (з маскою 255.255.0.0 або /16).

Такі адреси вибираються користувачами самостійно для «внутрішнього використання» і можуть повторюватися одночасно в тисячах клієнтських мереж, тому пакети даних із приватними адресами в заголовку не маршрутизуються в Інтернеті, щоб уникнути плутанини. Для виходу до Інтернету доводиться застосовувати NAT (чи інше рішення) за клієнта.

У цього підходу (а ми говоримо про виділений канал) є й очевидний недолік – у разі переїзду офісу клієнта можуть бути серйозні складнощі з підключенням на новому місці та можлива потреба у зміні провайдера.

Твердження, що такий канал є значно безпечнішим, краще захищений від атак зловмисників та помилок низькокваліфікованого технічного персоналу при близькому розгляді виявляється міфом. На практиці проблеми безпеки найчастіше виникають (або створюються хакером навмисне) прямо на стороні клієнта, за участю людського фактора.

Віртуальні канали та VPN (Virtual Private Network)

Примітка: PWE3 – Pseudo-Wire Emulation Edge to Edge (механізм, у якому з погляду користувача, він отримує виділене з'єднання).

MPLS – MultiProtocol Label Switching (технологія передачі даних, при якій пакетам присвоюються транспортні/сервісні мітки та шлях передачі пакетів даних у мережах визначається лише на підставі значення міток, незалежно від середовища передачі, використовуючи будь-який протокол. Під час маршрутизації нові мітки можуть додаватися (при необхідності) або видалятися, коли їх функція завершилася, вміст пакетів при цьому не аналізується і не змінюється).

2. Віртуальні канали та побудовані на них приватні мережі VPN (Virtual Private Network) дуже поширені та дозволяють вирішити більшість завдань клієнта.

Надання провайдером L2 VPN передбачає вибір із декількох можливих послуг другого рівня, L2:

VLAN – Надання провайдером L2 VPN передбачає вибір із декількох можливих послуг другого рівня, L2:

З'єднання «крапка-крапка» PWE3 (іншими словами, «емуляція наскрізного псевдопроводу» в мережах із комутацією пакетів) дозволяє передавати кадри Ethernet між двома вузлами так, якби вони були з'єднані кабелем безпосередньо. Для клієнта в такій технології суттєво, що всі передані кадри доставляються до віддаленої точки без змін. Те саме відбувається й у зворотному напрямку. Це можливо завдяки тому, що кадр клієнта, приходячи на маршрутизатор провайдера, далі інкапсулюється (додається) в блок даних вищого рівня (пакет MPLS), а в кінцевій точці витягується;

VPLS – технологія симуляції локальної мережі з багатоточковими з'єднаннями. У цьому випадку мережа провайдера виглядає з боку клієнта подібною до одного комутатора, що зберігає таблицю MAC-адрес мережевих пристроїв. Такий віртуальний «комутатор» розподіляє кадр Ethernet, що прийшов із мережі клієнта, за призначенням – для цього кадр інкапсулюється в пакет MPLS, а потім витягується.

Примітка: VPLS – Virtual Private LAN Service (механізм, у якому з погляду користувача, його рознесені географічно мережі з'єднані віртуальними L2 з'єднаннями).

MAC – Media Access Control (спосіб керування доступом до середовища – унікальна 6-байтова адреса-ідентифікатор мережевого пристрою (або його інтерфейсів) у мережах Ethernet).

3. У разі розгортання «L3 VPN» мережа провайдера в очах клієнта виглядає подібно до одного маршрутизатора з декількома інтерфейсами. Тому стик локальної мережі клієнта з мережею провайдера відбувається на рівні L3 мережевої моделі OSI або TCP/IP.

Публічні IP-адреси для точок стику мереж можуть визначатися за узгодженням із провайдером (належати клієнту або бути отриманими від провайдера). IP-адреси налаштовуються клієнтом на своїх маршрутизаторах по обидва боки (приватні – з боку своєї локальної мережі, публічні – з боку провайдера), подальшу маршрутизацію пакетів даних забезпечує провайдер. Технічно для реалізації такого рішення використовується MPLS (див. вище), а також технології GRE та IPSec.

Віртуальні канали L3 VPN

Примітка: GRE – Generic Routing Encapsulation (протокол тунелювання, пакування мережевих пакетів, що дозволяє встановити захищене логічне з'єднання між двома кінцевими точками – за допомогою інкапсуляції протоколів на мережевому рівні L3).

IPSec – IP Security (набір протоколів захисту даних, які передаються за допомогою IP. Використовується підтвердження справжності, шифрування та перевірка цілісності пакетів).

Важливо розуміти, що сучасну мережеву інфраструктуру побудовано так, що клієнт бачить тільки ту її частину, яка визначена договором. Виділені ресурси (віртуальні сервери, маршрутизатори, сховища оперативних даних та резервного копіювання), а також працюючі програми та вміст пам'яті повністю ізольовані від інших користувачів. Декілька фізичних серверів можуть узгоджено і одночасно працювати для одного клієнта, з погляду якого вони будуть виглядати одним потужним серверним пулом. І навпаки, на одному фізичному сервері може бути одночасно створено безліч віртуальних машин (кожна буде виглядати для користувача подібно до окремого комп'ютера з операційною системою). Крім стандартних, пропонуються індивідуальні рішення, які також відповідають прийнятим вимогам щодо безпеки обробки та зберігання даних клієнта.

При цьому конфігурація розгорнутої у хмарі мережі «рівня L3» дозволяє масштабування до практично необмежених розмірів (за таким принципом побудований Інтернет та великі дата-центри). Протоколи динамічної маршрутизації, наприклад OSPF, та інші у хмарних мережах L3, дозволяють обрати найкоротші шляхи маршрутизації пакетів даних, відправляти пакети одночасно декількома шляхами для кращого завантаження та розширення пропускної спроможності каналів.

У той же час є можливість розгорнути віртуальну мережу і на «рівні L2», що характерно для невеликих дата-центрів і застарілих (або вузько-специфічних) додатків клієнта. У деяких таких випадках застосовують навіть технологію «L2 over L3», щоб забезпечити сумісність мереж та працездатність додатків.

Підведемо підсумки

На сьогоднішній день завдання користувача/клієнта в більшості випадків можуть бути ефективно вирішені шляхом організації віртуальних приватних мереж VPN з використанням технологій GRE та IPSec для безпеки.

Немає особливого сенсу протиставляти L2 і L3, як немає сенсу вважати пропозицію каналу L2 найкращим рішенням для побудови надійної комунікації у своїй мережі, панацеєю. Сучасні канали зв'язку та обладнання провайдерів дозволяють пропускати величезну кількість інформації, а багато виділених каналів, що орендуються користувачами, насправді навіть недовантажені. Розумно використовувати L2 тільки в особливих випадках, коли цього вимагає специфіка завдання, враховувати обмеження можливості майбутнього розширення такої мережі та проконсультуватися з фахівцем. Із іншого боку, віртуальні мережі L3 VPN за інших рівних умов більш універсальні і прості в експлуатації.

У цьому огляді коротко перераховані сучасні типові рішення, які використовують при перенесенні локальної IT-інфраструктури до віддалених центрів обробки даних. Кожне з них має свого споживача, переваги та недоліки, правильність вибору рішення залежить від конкретного завдання.

У реальному житті, обидва рівні мережевої моделі L2 і L3 працюють разом, кожен відповідає за своє завдання та протиставляючи їх у рекламі, провайдери відверто лукавлять.

Теги:

#сервер

Сподобалася стаття?

Згода на використання файлів cookie

Натискаючи "Я згоден", ви даєте згоду на використання файлів cookie на нашому веб-сайті, щоб надати вам найбільш релевантний досвід, запам'ятовуючи ваші уподобання та повторні відвідування. Однак ви можете відвідати "Керування файлами cookie", щоб надати контрольовану згоду. Детальніше

Налаштування файлів cookie

Функціональні

Необхідні файли cookie мають важливе значення для основних функцій веб-сайту, і без них веб-сайт не буде працювати належним чином.

Аналітичні

Аналітичні файли cookie використовуються для розуміння того, як відвідувачі взаємодіють із веб-сайтом.

Рекламні

Рекламні файли cookie використовуються для надання відвідувачам релевантної реклами та маркетингових кампаній.