Методология построения корпоративных сетей

Технологии , применяемые в корпоративных сетях на предприятиях.

Перед тем как излагать основы методологии построения корпоративных сетей, необходимо дать сравнительный анализ технологий, которые могут быть использованы в корпоративных сетях.

Современные технологии передачи данных могут быть классифицированы по методам передачи данных. В общем случае, можно выделить три основных метода передачи данных:

коммутация каналов;

коммутация сообщений;

коммутация пакетов.

Все другие методы взаимодействия являются как бы их эволюционным развитием. Например, если представить технологии передачи данных в виде дерева, то ветвь коммутации пакетов разделится на коммутацию кадров и коммутацию ячеек. Напомним, что технология коммутации пакетов была разработана более 30 лет назад для снижения накладных расходов и повышения производительности существующих систем передачи данных. Первые технологии коммутации пакетов - X.25 и IP были спроектированы с учетом возможности работы с каналами связи плохого качества. При улучшении качества стало возможным использовать для передачи информации такой протокол, как HDLC, который нашел свое место в сетях Frame Relay. Стремление достичь большей производительности и технической гибкости послужило толчком разработки технологии SMDS, возможности которой затем были расширены стандартизацией ATM. Одним из параметров, по которому можно проводить сравнение технологий, является гарантия доставки информации. Так, технологии X.25 и ATM гарантируют надежную доставку пакетов (последняя с помощью протокола SSCOP), а Frame Relay и SMDS работают в режиме, когда доставка не гарантирована. Далее, технология может гарантировать, что данные будут поступать их получателю в последовательности отправления. В противном случае порядок должен восстанавливаться на принимающей стороне. Сети с коммутацией пакетов могут ориентироваться на предварительное установление соединения или просто передавать данные в сеть. В первом случае могут поддерживаться как постоянные, так и коммутируемые виртуальные соединения. Важными параметрами также являются наличие механизмов контроля потока данных, системы управления трафиком, механизмов обнаружения и предотвращения перегрузок и т. д.

Сравнение технологий можно также проводить по таким критериям, как эффективность схемы адресации или методов маршрутизации. Например, используемая адресация может быть ориентирована на географическое расположение (телефонный план нумерации), на использование в распределенных сетях или на аппаратное обеспечение. Так, протокол IP использует логический адрес, состоящий из 32бит, который присваивается сетям и подсетям. Схема адресации E.164 может служить примером схемы, ориентированной на географическое расположение, а MAC-адрес является примером аппаратного адреса. Технология X.25 использует номер логического канала (Logical Channel Number - LCN), а коммутируемое виртуальное соединение в этой технологии применяет схему адресации X.121. В технологии Frame Relay в один канал может "встраиваться" несколько виртуальных каналов, при этом отдельный виртуальный канал определяется идентификатором DLCI (Data-Link Connection Identifier). Этот идентификатор указывается в каждом передаваемом кадре. DLCI имеет только локальное значение; иначе говоря, у отправителя виртуальный канал может идентифицироваться одним номером, а у получателя - совсем другим. Коммутируемые виртуальные соединения в этой технологии опираются на схему нумерации E.164. В заголовки ячеек ATM заносятся уникальные идентификаторы VCI/VPI, которые изменяются при прохождении ячеек через промежуточные коммутирующие системы. Коммутируемые виртуальные соединения в технологии ATM могут использовать схему адресации E.164 или AESA.

Маршрутизация пакетов в сети может выполняться статически или динамически и быть либо стандартизованным механизмом для определенной технологии, либо выступать в качестве технической основы. Примерами стандартизованных решений могут служить протоколы динамической маршрутизации OSPF или RIP для протокола IP. Применительно к технологии ATM Форум ATM определил протокол маршрутизации запросов на установление коммутируемых виртуальных соединений PNNI, отличительной особенностью которого является учет информации о качестве обслуживания.

Идеальным вариантом для частной сети было бы создание каналов связи только на тех участках, где это необходимо, и передача по ним любых сетевых протоколов, которых требуют работающие приложения. На первый взгляд, это возврат к арендованным линиям связи, однако существуют технологии построения сетей передачи данных, позволяющие организовать внутри них каналы, возникающие только в нужное время и в нужном месте. Такие каналы называются виртуальными. Систему, объединяющую удаленные ресурсы с помощью виртуальных каналов, естественно назвать виртуальной сетью. На сегодня существуют две основных технологии виртуальных сетей - сети с коммутацией каналов и сети с коммутацией пакетов. К первым относятся обычная телефонная сеть, ISDN и ряд других, более экзотических технологий. Сети с коммутацией пакетов представлены технологиями X.25, Frame Relay и - в последнее время - ATM. Говорить об использовании ATM в территориально распределенных сетях пока рано. Остальные типы виртуальных (в различных сочетаниях) сетей широко используются при построении корпоративных информационных систем.

Сети Frame Relay

Технология Frame Relay появилась как средство, позволяющее реализовать преимущества пакетной коммутации на скоростных линиях связи. Основное отличие сетей Frame Relay от X.25 состоит в том, что в них исключена коррекция ошибок между узлами сети. Задачи восстановления потока информации возлагаются на оконечное оборудование и программное обеспечение пользователей. Естественно, это требует использования достаточно качественных каналов связи. Считается, что для успешной работы с Frame Relay вероятность ошибки в канале должна быть не хуже 10-6 - 10-7, т.е. не более одного сбойного бита на несколько миллионов. Качество, обеспечиваемое обычными аналоговыми линиями, обычно на один - три порядка ниже. Вторым отличием сетей Frame Relay является то, что на сегодня практически во всех них реализован только механизм постоянных виртуальных соединений (PVC). Это означает, что подключаясь к порту Frame Relay, вы должны заранее определить, к каким именно удаленным ресурсам будете иметь доступ. Принцип пакетной коммутации - множество независимых виртуальных соединений в одном канале связи - здесь остается, однако вы не можете выбрать адрес любого абонента сети. Все доступные вам ресурсы определяются при настройке порта. Таким образом, на базе технологии Frame Relay удобно строить замкнутые виртуальные сети, используемые для передачи других протоколов, средствами которых осуществляется маршрутизация. "Замкнутость" виртуальной сети означает, что она полностью недоступна для других пользователей, работающих в той же сети Frame Relay. Например, в США сети Frame Relay широко применяются в качестве опорных для работы Internet. Однако ваша частная сеть может использовать виртуальные каналы Frame Relay в тех же линиях, что и трафик Inernet - и быть абсолютно от него изолированной. Как и сети X.25, Frame Relay предоставляет универсальную среду передачи для практически любых приложений. Основной областью применения Frame Relay на сегодня является объединение удаленных LAN. При этом коррекция ошибок и восстановление нформации производится на уровне транспортных протоколов LAN - TCP, SPX и т.п. Потери на инкапсуляцию трафика LAN во Frame Relay не превышают двух-трех процентов. Способы инкапсуляции протоколов LAN во Frame Relay описаны в спецификациях RFC 1294 и RFC 1490. RFC 1490 определяет также передачу по Frame Relay трафика SNA. Спецификация Annex G стандарта ANSI T1.617 описывает использование X.25 поверх сетей Frame Relay. При этом используются все функции адресации, коррекции и восстановления X.25 - но только между конечными узлами, реализующими Annex G. Постоянное соединение через сеть Frame Relay в этом случае выглядит как "прямой провод", по которому передается трафик X.25. Параметры X.25 (размер пакета и окна) могут быть выбраны таким образом, чтобы получить минимально возможные задержки распространения и потери скорости при инкапсуляции протоколов LAN. Отсутствие коррекции ошибок и сложных механизмов коммутации пакетов, характерных для X.25, позволяют передавать информацию по Frame Relay с минимальными задержками. Дополнительно возможно включение механизма приоретизации, позволяющего пользователю иметь гарантированную минимальную скорость передачи информации для виртуального канала. Такая возможность позволяет использовать Frame Relay для передачи критичной к задержкам информации, например голоса и видео в реальном времени. Эта сравнительно новая возможность приобретает все большую популярность и часто является основным аргументом при выборе Frame Relay как основы корпоративной сети. Следует помнить, что сегодня услуги сетей Frame Relay доступны в нашей стране не более чем в полутора десятках городов, в то время, как X.25 - примерно в двухстах. Есть все основания считать, что по мере развития каналов связи технология Frame Relay будет становится все более распространенной - прежде всего там, где сейчас существуют сети X.25. К сожалению, не существует единого стандарта, описывающего взаимодействие различных сетей Frame Relay, поэтому пользователи оказываются привязаны к одному поставщику услуг. При необходимости расширить географию возможно подключение в одной точке к сетям разных поставщиков - с соответствующим увеличением расходов. Cуществуют также частные сети Frame Relay, работающие в переделах одного города или использующие междугородние - как правило, спутниковые - выделенные каналы. Построение частных сетей на базе Frame Relay позволяет сократить количество арендуемых линий и интегрировать передачу голоса и данных.

Структура корпоративной сети. Аппаратное обеспечение.

При построении территориально распределенной сети могут использоваться все описанные выше технологии. Для подключения удаленных пользователей самым простым и доступным вариантом является использование телефонной связи. Там, где это возможно, могут использоваться сети ISDN. Для объединения узлов сети в большинстве случаев используются глобальные сети передачи данных. Даже там, где возможна прокладка выделенных линий (например, в пределах одного города) использование технологий пакетной коммутации позволяет уменьшить количество необходимых каналов связи и - что немаловажно - обеспечить совместимость системы с существующими глобальными сетями. Подключение корпоративной сети к Internet оправдано, если вам нужен доступ к соответствующим услугам. Использовать Internet как среду передачи данных стоит только тогда, когда другие способы недоступны и финансовые соображения перевешивают требования надежности и безопасности. Если вы будете использовать Internet только в качестве источника информации, лучше пользоваться технологией "соединение по запросу" (dial-on-demand), т.е. таким способом подключения, когда соединение с узлом Internet устанавливается только по вашей инициативе и на нужное вам время. Это резко снижает риск несанкционированного проникновения в вашу сеть извне. Простейший способ обеспечить такое подключение - использовать дозвон до узла Internet по телефонной линии или, если возможно, через ISDN. Другой, более надежный способ обеспечить соединение по запросу - использовать выделенную линию и протокол X.25 или - что гораздо предпочтительнее - Frame Relay. В этом случае маршрутизатор с вашей стороны должен быть настроен так, чтобы разрывать виртуальное соединение при отсутствии данных в течении определенного времени и вновь устанавливать его только тогда, когда данные появляются с вашей стороны. Широко распространенные способы подключения с использованием PPP или HDLC такой возможности не дают. Если же вы хотите предоставлять свою информацию в Internet - например, установить WWW или FTP сервер, соединение по запросу оказывается неприменимым. В этом случае следует не только использовать ограничение доступа с помощью Firewall, но и максимально изолировать сервер Internet от остальных ресурсов. Хорошим решением является использование единственной точки подключения к Internet для всей территориально распределенной сети, узлы которой связаны друг с другом с помощью виртуальных каналов X.25 или Frame Relay. В этом случае доступ из Internet возможен к единственному узлу, пользователи же в остальных узлах могут попасть в Internet с помощью соединения по запросу.

Для передачи данных внутри корпоративной сети также стоит использовать виртуальные каналы сетей пакетной коммутации. Основные достоинства такого подхода - универсальность, гибкость, безопасность - были подробно рассмотрены выше. В качестве виртуальной сети при построении корпоративной информационной системы может использоваться как X.25, так и Frame Relay. Выбор между ними определяется качеством каналов связи, доступностью услуг в точках подключения и - не в последнюю очередь - финансовыми соображениями. На сегодня затраты при использовании Frame Relay для междугородной связи оказываются в несколько раз выше, чем для сетей X.25. С другой стороны, более высокая скорость передачи информации и возможность одновременно передавать данные и голос могут оказаться решающими аргументами в пользу Frame Relay. На тех участках корпоративной сети, где доступны арендованные линии, более предпочтительной является технология Frame Relay. В этом случае возможно как объединение локальных сетей и подключение к Internet, так и использование тех приложений, которые традиционно требуют X.25. Кроме того, по этой же сети возможна телефонная связь между узлами. Для Frame Relay лучше использовать цифровые каналы связи, однако даже на физических линиях или каналах тональной частоты можно создать вполне эффективную сеть, установив соответствующее канальное оборудование. Хорошие результаты дает применение модемов Motorola 326x SDC, имеющих уникальные возможности коррекции и компрессии данных в синхронном режиме. Благодаря этому удается - ценой внесения небольших задержек - значительно поднять качество канала связи и достичь эффективной скорости до 80 кбит/сек и выше. На физических линиях небольшой протяженности могут использоваться также short-range модемы, обеспечивающие достаточно высокие скорости. Однако здесь необходимо высокое качество линии, поскольку short-range модемы никакой коррекции ошибок не поддерживают. Широко известны short-range модемы RAD, а также оборудование PairGain, позволяющее достичь скорости 2 Мбит/с на физических линиях длиной около 10 км. Для подключения удаленных пользователей к корпоративной сети могут использоваться узлы доступа сетей X.25, а также собственные коммуникационные узлы. В последнем случае требуется выделение нужного количества телефонных номеров (или каналов ISDN), что может оказаться слишком дорого. Если нужно обеспечить подключение большого количества пользователей одновременно, то более дешевым вариантом может оказаться использование узлов доступа сети X.25, даже внутри одного города.

Корпоративная сеть - это достаточно сложная структура, использующая различные типы связи, коммуникационные протоколы и способы подключения ресурсов. С точки зрения удобства построения и управляемости сети следуют ориентироваться на однотипное оборудование одного производителя. Однако практика показывает, что поставщиков, предлагающих максимально эффективные решения для всех возникающих задач, не существует. Работающая сеть всегда является результатом компромисса - либо это однородная система, неоптимальная с точки зрения цены и возможностей, либо более сложное в установке и управлении сочетание продуктов различных производителей. Далее мы рассмотрим средства построения сетей нескольких ведущих производителей и дадим некоторые рекомендации по их использованию.

Все оборудование сетей передачи данных можно условно разделить на два больших класса –

1. периферийное, которое используется для подключения к сети оконечных узлов, и
2. магистральное или опорное, реализующее основные функции сети (коммутацию каналов, маршрутизацию и т.д).

Четкой границы между этими типами нет - одни и те же устройства могут использоваться в разном качестве или совмещать те и другие функции. Следует отметить, что к магистральному оборудованию обычно предъявляются повышенные требования в части надежности, производительности, количества портов и дальнейшей расширяемости.

Периферийное оборудование является необходимым компонентом всякой корпоративной сети. Функции же магистральных узлов может брать на себя глобальная сеть передачи данных, к которой подключаются ресурсы. Как правило, магистральные узлы в составе корпоративной сети появляются только в тех случаях, когда используются арендованные каналы связи или создаются собственные узлы доступа. Периферийное оборудование корпоративных сетей с точки зрения выполняемых функций также можно разделить на два класса.

Во-первых, это маршрутизаторы (routers), служащие для объединения однородных LAN (как правило, IP или IPX) через глобальные сети передачи данных. В сетях, использующих IP или IPX в качестве основного протокола - в частности, в той же Internet - маршрутизаторы используются и как магистральное оборудование, обеспечивающее стыковку различных каналов и протоколов связи. Маршрутизаторы могут быть выполнены как в виде автономных устройств, так и программными средствами на базе компьютеров и специальных коммуникационных адаптеров.

Второй широко используемый тип периферийного оборудования - шлюзы gateways), реализующие взаимодействие приложений, работающих в разных типах сетей. В корпоративных сетях используются в основном шлюзы OSI, обеспечивающие взаимодействие локальных сетей с ресурсами X.25 и шлюзы SNA, обеспечивающие подключение к сетям IBM. Полнофункциональный шлюз всегда представляет собой программно-аппаратный комплекс, поскольку должен обеспечивать необходимые для приложений программные интерфейсы. Маршрутизаторы Cisco Systems Среди маршрутизаторов наиболее, пожалуй, известны продукты компании Cisco Systems, реализующие широкий набор средств и протоколов, используемых при взаимодействии локальных сетей. Оборудование Cisco поддерживает разнообразные способы подключения, в том числе X.25, Frame Relay и ISDN, позволяя создавать достаточно сложные системы. Кроме того, среди семейства маршрутизаторов Cisco существуют прекрасные серверы удаленного доступа к локальным сетям, а в некоторых конфигурациях частично реализованы функции шлюзов (то, что в терминах Cisco называется Protocol Translation).

Основная область применения маршрутизаторов Cisco - сложные сети, использующие в качестве основного протокола IP или, реже, IPX. В частности, оборудование Cisco широко используется в опорных узлах Internet. Если ваша корпоративная сеть предназначена прежде всего для объединения удаленных LAN и требует сложной маршрутизации IP или IPX через разнородные каналы связи и сети передачи данных, то использование оборудования Cisco будет, скорее всего, оптимальным выбором. Средства же работы с Frame Relay и X.25 реализованы в маршрутизаторах Cisco только в том объеме, который нужен для объединения локальных сетей и доступа к ним. Если вы хотите строить свою систему на базе сетей с коммутацией пакетов, то маршрутизаторы Cisco могут работать в ней только как чисто периферийное оборудование, причем многие из функций маршрутизации оказываются при этом излишними, а цена, соответственно, слишком высокой. Наиболее интересными для использования в корпоративных сетях оказываются серверы доступа Cisco 2509, Cisco 2511 и новые устройства серии Cisco 2520. Основная область их примения - доступ удаленных пользователей к локальным сетям по телефонным линиям или ISDN с динамическим назначением IP-адресов (DHCP). Оборудование Motorola ISG Среди оборудования, предназначенного для работы с X.25 и Frame Relay, наибольший интерес предсталяют продукты, производимые группой информационных систем корпорации Motorola (Motorola ISG). В отличие от магистральных устройств, используемых в глобальных сетях передачи данных (Northern Telecom, Sprint, Alcatel и др.), оборудование Motorola способно работать полностью автономно, без специального центра управления сетью. Набор же возможностей, важных для использования в корпоративных сетях, у оборудования Motorola гораздо шире. Особо следует отметить развитые средства аппаратной и программной модернизации, позволяющие легко приспосабливать оборудование к конкретным условиям. Все продукты Motorola ISG могут работать как коммутаторы X.25/Frame Relay, многопротокольные устройства доступа (PAD, FRAD, SLIP, PPP и пр.), поддерживают Annex G (X.25 поверх Frame Relay), обеспечивают преобразование протоколов SNA (SDLC/QLLC/RFC1490). Оборудование Motorola ISG можно разделить на три группы, отличающиеся набором аппаратных средств и областью применения.

Первую группу, предназначенную для работы в качестве периферийных устройств, составляет серия Vanguard. В нее входят узлы последовательного доступа Vanguard 100 (2-3 порта) и Vanguard 200 (6 портов), а также маршрутизаторы Vanguard 300/305 (1-3 последовательных порта и порт Ethetrnet/Token Ring) и ISDN-маршрутизаторы Vanguard 310. Маршрутизаторы Vanguard, кроме набора коммуникационных возможностей, включают передачу протоколов IP, IPX и Appletalk через X.25, Frame Relay и PPP. Естественно, при этом поддержан необходимый для всякого современного маршрутизатора джентельменский набор - протоколы RIP и OSPF, средства фильтрации и ограничения доступа, комрессия данных и т.д.