Корпоративная сеть передачи данных (КСПД) – это телекоммуникационная сеть, объединяющая в единое информационное пространство все структурные подразделения компании. Корпоративная сеть обеспечивает одновременную передачу голоса, видео и данных, взаимодействие системных приложений, расположенных в различных узлах, и доступ к ним пользователей.
КСПД представляет собой единую информационную систему предприятия, позволяющую совместно использовать сетевые ресурсы компании – серверы, компьютеры и другие устройства, подключаемые к сети (такие как принтеры, плоттеры, модемы и т. д), а также обеспечивать работу необходимых для компании бизнес-приложений, таких как сетевые базы данных, файловый обмен, электронная почта, IP-телефония, системы взаимоотношений с клиентами (CRM), системы управления (ERP-системы) и т.д. КСПД предприятия может выглядеть следующим образом:
Наиболее эффективное решение по построению корпоративных сетей передачи данных предложено компанией Cisco Systems, оно представляет собой модульный подход к построению структуры сети и базируется на композитной сетевой модели предприятия. Это решение позволяет строить как небольшие сети, объединяющие несколько офисов, так и крупные, включающие сотни узлов. При этом обеспечивается предсказуемость качественных характеристик сети при ее развитии путем добавления новых модулей или узлов, и требуется минимальное время для поиска и устранения неисправностей.
Композитная модель базируется на принципе разделения сети на отдельные модули, каждый из которых имеет присущие только ему функции и особенности реализации. Для каждого узла системы передачи данных основными такими модулями являются: модуль внешних сервисов;
При построении корпоративной сети предприятия в зависимости от функций, предъявляемых к сети, могут быть организованы следующие подсистемы КСПД: подсистема подключения к сети общего пользования Internet, подсистема доступа к корпоративной сети, подсистема беспроводного доступа к корпоративной сети, подсистема бесперебойного питания, подсистема мониторинга параметров окружающей среды, подсистема доступа удаленных сотрудников к ресурсам предприятия:
Для каждого заказчика набор подсистем индивидуален и обеспечивает оптимальное соотношение цены и качества.
Рассказываем про государственные защищенные сервисы и сети
Знаете ли вы, что многим компаниям для публикации банальных новостей на своём сайте надо подключаться к специальной защищённой сети, и только через неё постить котят в соцсетях размещать актуальную информацию. Это касается, в первую очередь, государственных организаций. В качестве примера приведём МЧС или администрацию любого города. Любая новость на их ресурсе публикуется через защищённые каналы связи. Точнее, должна публиковаться, поскольку ещё не все успели к ним подключиться. И всё это курируется ФСО. Выглядит это примерно так:
В России существует несколько тысяч таких защищённых каналов. Описывать каждый мы не будем, просто коротко опишем наиболее интересные государственные сети. Также напомним, что Cloud4Y выполняет подключение клиентов к таким защищённым сетям, в том числе сетям электронного правительства. Также возможно использование криптошлюзов ViPNet, «Континент» и других. Подробнее о решениях компании вы можете узнать у наших менеджеров.
Российский государственный сегмент сети Интернет — RSNet
Функционирует на базе телекоммуникационных сетей и систем российской части интернета, находящихся в ведении Федеральной службы охраны РФ (ФСО России). ФСО России определяет порядок использования и функционирования сети RSNet, а также регистрацию и выдачу участникам сети RSNet доменов третьего уровня домена GOV.RU и RSNET.RU.
Через сеть RSNet пользователи общедоступной сети Интернет получают доступ только к официальным материалам, относящимся к деятельности органов государственной власти РФ. Участником сети RSNet может являться орган государственной власти РФ, подведомственное подразделение или отдельное должностное лицо.
Для подключения участников к сети RSNet используются российские сертифицированные криптошлюзы на базе технологии ViPNet.
Приказ ФСО Российской Федерации от 07.09.2016 № 443 «Об утверждении Положения о российском государственном сегменте информационно-телекоммуникационной сети Интернет»
Закрытый сегмент передачи данных ЗСПД (военный интернет)
Военная коммуникационная система, не соединенная с глобальным интернетом. Все рабочие станции, подключенные к сети, работают исключительно с отечественным ПО, защищены от несанкционированного доступа и имеют соответствующие аттестаты безопасности.
ЗСПД функционирует на инфраструктуре, арендованной у Ростелеком и на распределённой инфраструктуре, принадлежащей Минобороны. К сети подключены территориально распределенные катастрофоустойчивые центры обработки данных ТрКЦОД, представляющие собой сегменты сети с собственной охраной, электроснабжением, системами охлаждения и пожарной безопасности. Вся передаваемая в сети и хранимая на серверах информация шифруется отечественными алгоритмами и оборудованием.
В ЗСПД функционируют различные сервисы, включая электронную почту с возможностью передачи секретной информации вплоть до грифа секретности «Особой важности». Основной информационный ресурс в СЗПД доступен по адресу mil.zs, под которым функционирует множество доменов третьего уровня. Смотреть эти сайты можно через компьютеры (работают на операционной системе МСВС — мобильной системе Вооруженных сил), которые сертифицированы службой защиты государственной тайны, также известной как Восьмое управление Генштаба. Подключение к этим компьютерам сторонних несертифицированных устройств (флеш-накопителей, принтеров, сканеров и т.д.) невозможно, при этом каждая попытка подключить купленную в магазине флешку контролируется специальным программным обеспечением и фиксируется
Для мониторинга и перенаправления потоками данных в режиме реального времени в ЗСПД функционирует единая система управления «Единый контур информационной безопасности»
Защищенная сеть передачи данных ЗСПД
В настоящий момент множество государственных учреждений создают собственные защищенные сети, функционирующие поверх общедоступного интернета. Для защиты и шифрования трафика используются сертифицированные криптошлюзы — обязательное требование для государственных информационных систем (ГИС) и критической информационной инфраструктуры (КИИ). Самые распространенные отечественные технологии в этом секторе — это линейка продуктов ViPNet компании Infotecs, комплексы шифрования «Континент» от компании «Код безопасности», шлюзы КриптоПро, шлюзы безопасности С-Терра и ряд других. Полный перечень сертифицированного криптооборудования можно посмотреть здесь.
Примерами таких СЗПД являются:
Защищенная сеть передачи данных электронного правительства
Оператором ЗСПД является ОАО Ростелеком, на него возложены функции поддержки и развития сети. Криптографическая защита каналов связи осуществляется с использованием криптооборудования ViPNet, Континент или C-Терра. Соответственно и подключение к ЗСПД возможно только с использованием этих криптошлюзов.
В этой ЗСПД участникам доступны множество сервисов и систем, входящих в инфраструктуру электронного правительства:
Единая система межведомственного электронного взаимодействия СМЭВ
Позволяет участникам сети осуществлять государственные и муниципальные услуг и функции в электронном виде. Участниками являются органы исполнительной власти, государственные фонды, многофункциональные центры, кредитные и иные организации. В сети участникам доступны так называемые виды сведений – структурированная информация об услугах и результатах оказания услуг, справочные сведения, реестры, классификаторы, и другие сведения.
Также через СМЭВ передаются документы и сведения о ходе выполнения запросов и результатах предоставления услуг на единый портал государственных услуг ЕПГУ (Госуслуги).
Оператором защищенной сети передачи данных ЗСПД, в которой функционирует СМЭВ, является Ростелеком. Обеспечение функционирования сети и качественное взаимодействие информационных систем, входящих в СМЭВ, возложено на Ситуационный центр.
Единая система идентификации и аутентификации ЕСИА
Федеральная государственная информационная система, предназначена для упрощенной идентификации пользователей-получателей электронных государственных и муниципальных услуг, услуг кредитных и иных организаций. Функционирует в защищенной сети передачи данных, поддерживаемой Ростелеком.
Единая биометрическая система ЕБС
Предназначена для удаленной идентификации граждан по биометрическим образцам для получения электронных услуг. Система работает совместно с системой ЕСИА и использует для идентификации лицо и голос гражданина. Разработкой и поддержкой системы занимается Ростелеком.
Единая государственная информационная система в сфере здравоохранения ЕГИСЗ
Предназначена для объединения медицинских организаций, территориальных органов управления здравоохранения и фондов ОМС и страхования в единую корпоративную сеть. Сеть имеет в своем составе подсистему защищенной сети передачи данных ЗСПД. Оператором системы и ЗСПД также является ПАО Ростелеком. В системе доступно множество сервисов: электронная медицинская карта пациента, электронная регистратура, специализированные регистры пациентов и медработников, телемедицинские консультации и другие.
Также существует множество других защищенных сетей, менее популярных и более специализированных. Если вам интересно, в будущем можем рассказать что-нибудь и про них. Список сайтов, которые используют защищённые сети и про которые знает Гугл, вы можете посмотреть здесь. Спасибо за внимание!
Что ещё интересного есть в блогеCloud4Y
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу
Сети передачи данных
Сеть передачи данных — совокупность оконечных устройств (терминалов) связи, объединённых каналами передачи данных и коммутирующими устройствами (узлами сети), обеспечивающими обмен сообщениями между всеми оконечными устройствами.
Существуют следующие виды сетей передачи данных:
По принципу коммутации сети делятся на:
См. также
Ссылки
Это заготовка статьи о компьютерах. Вы можете помочь проекту, исправив и дополнив её. Это примечание по возможности следует заменить более точным.
Полезное
Смотреть что такое «Сети передачи данных» в других словарях:
Предоставление доступа к сети передачи данных — совокупность действий оператора связи сети передачи данных по формированию абонентской линии и подключению с ее помощью пользовательского (оконечного) оборудования к узлу связи сети передачи данных или обеспечению возможности подключения к сети… … Официальная терминология
предоставление доступа к сети передачи данных — 170 предоставление доступа к сети передачи данных: Совокупность действий оператора связи сети передачи данных по формированию абонентской линии и подключению с ее помощью пользовательского оборудования к узлу связи сети передачи данных или… … Словарь-справочник терминов нормативно-технической документации
Предоставление доступа к сети передачи данных — 1. Совокупность действий оператора связи по формированию абонентской линии, подключению с ее помощью пользовательского (оконечного) оборудования к узлу связи сети передачи данных либо по обеспечению возможности подключения к сети передачи данных… … Телекоммуникационный словарь
Структура сети передачи данных — 172. Структура сети передачи данных Структура сети ПД Е. Structure of data transmission network Взаимное расположение и связь взаимодействующих устройств сети передачи данных Источник: ГОСТ 17657 79: Передача данных. Термины и определения… … Словарь-справочник терминов нормативно-технической документации
Техническая возможность предоставления доступа к сети передачи данных — одновременное наличие незадействованной монтированной емкости узла связи, в зоне действия которого запрашивается подключение пользовательского (оконечного) оборудования к сети передачи данных, и незадействованных линий связи, позволяющих… … Официальная терминология
техническая возможность предоставления доступа к сети передачи данных — 175 техническая возможность предоставления доступа к сети передачи данных: Одновременное наличие незадействованной монтированной емкости узла связи, в зоне действия которого запрашивается подключение пользовательского оборудования к сети передачи … Словарь-справочник терминов нормативно-технической документации
Пакет информации сети передачи данных — пакет информации сообщение электросвязи, которое передается по сети передачи данных и в составе которого присутствуют данные, необходимые для его коммутации узлом связи;. Источник: Постановление Правительства РФ от 23.01.2006 N 32 (ред. от… … Официальная терминология
Соединение по сети передачи данных (сеанс связи) — установленное в результате вызова или предварительно установленное взаимодействие между средствами связи, позволяющее абоненту и (или) пользователю передавать и (или) принимать голосовую и (или) неголосовую информацию;. Источник: Постановление… … Официальная терминология
Узел связи сети передачи данных — средства связи, выполняющие функции систем коммутации. Источник: Постановление Правительства РФ от 23.01.2006 N 32 (ред. от 16.02.2008) Об утверждении Правил оказания услуг связи по передаче данных … Официальная терминология
Структура сети передачи данных — 1. Взаимное расположение и связь взаимодействующих устройств сети передачи данных Употребляется в документе: ГОСТ 17657 79 Передача данных. Термины и определения … Телекоммуникационный словарь
Сети передачи данных
Сети передачи данных представляют собой группу устройств связи, которые объединены между собой при помощи каналов передачи данных. Также сюда входят и различные коммуникационные устройства, гарантирующие обмен сообщениями между конечными устройствами.
Дистанционная передача данных на базе компьютерных сетей и современных технических средств связи является телекоммуникацией. Информация тут может поступать в самых различных видах: звуки, цифровые сигналы, изображения и печатные слова. Это динамически развивающая индустрия средств связи. Самой распространённой телекоммуникационной сетью является интернет.
Виды сетей передачи данных
Сети передачи информации (данных) могут быть следующих видов:
Какие имеются узлы сети передачи данных?
Построение корпоративной сети для обмена данными
Сети передачи данных являются одним из самых важных инструментов для развития бизнеса. В нынешнее время они играют весомую роль в обеспечении взаимодействия всех сотрудников внутри самой компании, офисов, которые расположены не только лишь вблизи, но и на удалённом расстоянии.
Цифровые сети передачи данных представляют собой организацию соединения по протоколу IP между серверами и всеми станциями, находящимися в работе. Сам же протокол является стандартом для сети передачи данных, которая образуется из совокупности узлов связи, располагаемых на территории офисов и на прочих точках предприятия.
В основе самой композитной модели находится метод разделения сети на отдельные блоки:
Каждый из них обладает особыми функциями и предназначением.
В некоторых случаях для передачи данных можно использовать и интернет, если его пропускная способность является довольно высокой. Но если вам необходимо передавать закрытую информацию, от которой напрямую зависит безопасность и эффективность вашего бизнеса, то необходимо, чтобы такая сеть была стабильной, защищённой и надёжной. Поэтому многие крупные компании прокладывают собственные промышленные сети передачи данных. Они адаптированы под род деятельности самого предприятия.
Беспроводные сети передачи данных
В нынешнее время очень проблематично себе представить любую компанию, которая не использовала бы беспроводные технологии. Обусловлено это преимуществами, которыми обладает данная беспроводная сеть. Используют такие сети передачи данных в торговом центре. Это может быть: Wi-Fi, Bluetooth и WiMAX. Все они работают на радиоволнах, при помощи радиоканалов определённой частоты. Отличаются они между собой частотой и широтой самих волн. Ну и конечно же скоростью передачи информации.
С помощью данных технологий удаётся сформировать компьютерные группы, где нет кабелей. Сети передачи данных на железнодорожном транспорте также могут быть беспроводными. Это очень удобно, оперативно, экономно (не нужно прокладывать кабель) и эффективно.
Конвергентные сети передачи данных
Они представляют собой вычислительные сети, в которых объединена передача голосовой информации и самих данных.
Всё это обеспечивает следующее:
Сам термин конвергенция очень часто можно услышать на телекоммуникационных семинарах, конференциях и даже выставках.
Сети передачи данных на выставке
Выставка «Связь» не является исключением. Каждый посетитель сможет более детально узнать о том, что такое сети передачи данных, их разновидности, какие сегодня имеются достижения, передовые технологии и разработки в данной сфере деятельности и многое другое. Это место встречи настоящих профессионалов с профессионалами.
Услуги операторов связи для создания корпоративных сетей передачи данных
СОДЕРЖАНИЕ
Введение
Любая корпоративная сеть имеет свои особенности, тем не менее у них есть много общего. В общем виде схема корпоративной сети представлена на Рис. 1.
Рис. 1. Общая структура корпоративной сети передачи данных
Распределенная сеть состоит из следующих блоков:
Другие статьи автора
Статьи по теме
Поделиться
Количество тех или иных модулей в разных компаниях может быть различным, некоторые из них могут вообще отсутствовать или объединяться с другими модулями. Иногда имеет смысл выделить дополнительные блоки, например модуль взаимодействия с сетями партнеров.
ЛВС – локальная вычислительная сеть СПД – сеть передачи данных КCПД – корпоративная сеть передачи данных VLAN – виртуальная локальная сеть (широковещательный домен) MPLS – Multiprotocol Label Switching – мультипротокольная коммутация по меткам OSI – эталонная модель взаимодействия открытых систем VLAN – виртуальная локальная сеть (широковещательный домен) IP – Internet Protocol VPN – Virtual Private Network – виртуальная частная сеть – логическая сеть, создаваемая поверх другой сети (например, Интернет). Данные, передаваемые по такой сети, обычно шифруются GPRS – General Packet Radio Service – пакетная радиосвязь общего пользования) – надстройка над технологией мобильной связи GSM, осуществляющая пакетную передачу данных.
В настоящее время типовая ЛВС представляет собой сеть Ethernet, основной тип сетевого трафика – IP. При этом по сети передаются самые разные данные – от веб-страниц, полученных из Интернета, до телефонного трафика и сеансов видеоконференцсвязи.
Для построения распределенных корпоративных сетей передачи данных обычно используются услуги, предоставляемые операторами сетей передачи данных. Конкретная услуга, заказанная у оператора, зависит от ряда требований, включая доступность услуги в нужной точке.
В данной статье рассматривается типовой спектр услуг операторов связи, предлагаемых для построения КСПД, их особенности, возможности их использования в корпоративной сети передачи данных.
Коммутируемый доступ
Коммутируемый доступ является, вероятно, одним из первых общедоступных способов удаленного подключения к сетям передачи данных.
Классическая схема организации такого доступа довольно проста – компания покупает один или несколько телефонных номеров и необходимое количество соединительных линий (аналоговых или в цифровом потоке E1) у оператора классической телефонной связи, устанавливает модемный пул, настраивает сервер доступа и может подключать пользователей.
В настоящее время данный способ доступа в сеть практически потерял свою привлекательность из-за низкой устойчивости соединений и скорости доступа и высоких затрат на выделенные телефонные номера, покупку входящего телефонного трафика и т.п. Вместо него все чаще используется подключение через Интернет по защищенному VPN-туннелю, поскольку сегодня подключение к Интернету порой найти проще, чем аналоговый городской телефон.
До сих пор используется некоторыми компаниями для подключения своих мобильных сотрудников к корпоративной сети передачи данных, а в некоторых случаях таким способом подключаются небольшие офисы.
К основным плюсам данного подключения следует отнести возможность мобильного подключения пользователей из любой географической точки, возможность контролировать доступ в сеть и «непередача» корпоративной информации по сетям передачи данных общего пользования. Хотя данные, передаваемые по телефонной сети общего пользования, обычно также нуждаются в дополнительной защите.
Сейчас услугу коммутируемого доступа в корпоративную сеть предлагают многие операторы связи. При этом все пользователи используют единый телефонный номер для доступа в свои корпоративные сети, а определение их принадлежности к той или иной компании осуществляется на основе уникального имени и пароля. Управление именем и паролем может быть делегировано оператором в компанию-заказчик услуги.
Пройдя авторизацию, пользователь через транспортную сеть оператора попадает в свою корпоративную сеть. По уровню безопасности такой доступ, с одной стороны, мало чем отличается от доступа в корпоративную сеть через Интернет, с другой стороны, в том, что сотрудники компании не соприкасаются с Интернетом, тоже есть немалое преимущество.
Таким же образом может осуществляться подключение небольших филиалов, которым требуется только периодический доступ к корпоративным ресурсам.
Для мобильных пользователей, а также для организации доступа из мест, где нет фиксированной телефонной связи и доступа в Интернет, возможна схема подключения к корпоративной сети с использованием GPRS. В этом случае пользователь подключается по GPRS к Интернету, а затем с помощью VPN-клиента подключается к корпоративной сети.
Рис. 2. Варианты организации коммутируемого доступа к КСПД
Основной недостаток коммутируемого доступа – низкая скорость передачи данных. Это зачастую делает некомфортной или даже невозможной работу с корпоративными приложениями. Лишает возможности удаленной работы с большими объемами данных. При необходимости доступа к приложениям на низких скоростях, такую функцию обычно закладывают заранее, используя специально написанные «тонкие» клиенты. В случае необходимости удаленной работы с приложениями, требующими больших объемов передачи данных, прибегают к использованию терминальных серверов (сейчас для этих целей в основном используется Citrix MetaFrame или Microsoft Terminal Server). В таких случаях удаленный пользователь сначала устанавливает соединение с терминальным сервером, а уже с него работает с необходимыми приложениями. При этом все данные приложения передается по высокоскоростным каналам между сервером приложений и терминальным сервером, а пользователь получает только копии экрана терминального сервера. Кстати говоря, использование терминальных серверов дает сетевым администраторам дополнительную единую точку контроля удаленного доступа к корпоративным приложениям.
Схемы с вариантами подключения приведены на Рис. 2.
Физическая выделенная линия связи
Для связи офисов всегда использовались выделенные линии связи. Изначально выделялась прямая медная двух- или четырехпроводная линия связи, на окончаниях которой устанавливалось каналообразующее оборудование, обычно – аналоговый модем. Существенным ограничением для организации таких линий связи служат два фактора – длина линии связи (обусловлена максимальным допустимым сопротивлением линии) и наличие свободных пар в здании. Физические характеристики могут отличаться у двух медных пар, идущих в одном кабеле, а они существенно влияют на скорость связи и количество ошибок, возникающих при передаче данных.
Скорости, обеспечиваемые на таких каналах, колебались от 9,6 кбит/с до 128 кбит/с (т.е. сравнимы со скоростью коммутируемого доступа) и позднее до 2 Мбит/с и выше (при появлении xDSL-технологий). Этого вполне достаточно для предоставления доступа в Интернет небольшого офиса или отдельного пользователя, но зачастую не хватает для объединения локальных сетей офисов.
В настоящее время такой способ организации связи между офисами компаний используется довольно редко. Основными причинами этого стали недостаточная скорость предачи данных, низкое качество связи, организованное на таких каналах, и очень жесткие требования к качеству линий, которое может меняться со временем и сильно зависит от погодных условий и состояния канализации, по которой проложена трасса. При параллельной передаче данных по нескольким медным парам, идущим в одном кабеле, возможно возникновение дополнительных помех из-за взаимного влияния сигнала в одной паре на сигнал в соседней. Это также увеличивает количество ошибок и вынуждает снижать скорость передачи данных. Также для объединения локальных сетей часто бывает недостаточной скорость передачи данных, которая обеспечивается на таких каналах.
Сейчас медные прямые пары используются в основном DSL-операторами для организации «последней мили» при обеспечении доступа в Интернет.
В настоящее время для организации связи по выделенной линии все чаще используются волоконно-оптические линии, доступность которых стала намного выше. Скорости передачи данных на таких каналах достигают 10 Гбит/с, а максимальная дальность – до 70 км и больше (на скорости 1 Гбит/с). Волоконно-оптическая пара может быть арендована у оператора предоставления каналов передачи данных или принадлежать организации. В последнем случае придется также самостоятельно арендовать канализацию, по которой проложен кабель. Также на организацию ляжет необходимость диагностировать неисправности ВОЛС и заботиться о восстановлении кабеля при его обрывах. Эти задачи обычно передают на аутсорсинг или создают собственные службы поддержки.
При всех преимуществах использования волоконно-оптических линий связи основными его недостатками являются те же, что и для медных пар – это в первую очередь необходимость прокладки или аренды кабеля, а также длительная процедура восстановления работы канала при авариях (операторы гарантируют восстановление связи в течение 24 или 48 часов с момента аварии). Такие длительные простои заставляют организовывать резервные линии связи с обязательным разнесением маршрутов пролегания кабелей, организацией резервных вводов в здание и т.п. Это не всегда возможно, да и стоимость строительства или аренды ВОЛС в настоящее время относительно высока.
Тем не менее при необходимости объединить ЛВС нескольких офисов в пределах города на скорости 1Гбит/с и выше альтернативы использования выделенных ВОЛС сейчас нет.
К плюсам этих решений также относится и то, что ВОЛС может быть использована для таких протоколов, как Fibre Channel. При недостатке физических волоконно-оптических пар между двумя объектами есть возможность применить такие технологии уплотнения, как CWDM или DWDM.
В этом случае компания получит от 8 до 64 независимых каналов передачи данных в одной оптоволоконной паре.
Сегодня именно волоконно-оптические линии связи используются при необходимости объединения центральных офисов клиентов с выделенными центрами обработки данных, связи основного и резервного ЦОД. По ВОЛС можно передавать данные любых протоколов на скоростях, равных или превосходящих скорости в ЛВС, построенной в пределах одного здания. При этом канал связи перестает быть узким местом корпоративной сети передачи данных.
Если необходимо использовать только протоколы IP и/или Ethernet, то получить аналогичные услуги можно у операторов городских сетей передачи данных (MAN), стоимость услуг которых в настоящее время падает. На сети MAN оператором самостоятельно реализуются решения по отказоустойчивости и автоматическому переводу маршрутов передачи данных с основных каналов на резервные. Обычно эти переключения должны происходить в автоматическом режиме и незаметно для пользователей услуги. У оператора имеются круглосуточные дежурные смены, системы мониторинга каналов, регламенты действий в аварийных ситуациях. Поскольку оператор использует единое решение для всех своих клиентов, то это обычно обходится дешевле, чем создание заказчиком собственных схем резервирования и служб мониторинга и поддержки.
Компания должна позаботиться о резервировании «последней мили» – т.е. участка от подключаемого офиса до ближайшей точки присутствия оператора связи. Обычно это проще и дешевле, чем самостоятельно резервировать весь канал связи от одного офиса до другого. Поскольку по физически выделенным каналам передачи данных идет только трафик клиента, каналообразующее оборудование также принадлежит клиенту, то для организации несанкционированного доступа к передаваемой информации требуются специальные действия по снятию информации с медных или оптических пар. Однако, поскольку заказчик далеко не всегда контролирует всю территорию, по которой проходит кабель, часто применяется дополнительная защита передаваемых данных, например путем их шифрования.
Цифровая выделенная линия (синхронный канал) в сети оператора связи («clear channel»)
Для постоянной надежной связи удаленных офисов часто используются выделенные цифровые каналы передачи данных. В этом случае оборудование заказчика подключается синхронными портами (V.35, X.21, E1) к оборудованию провайдера связи, а провайдер организует передачу данных по своей сети (обычно TDM-сеть). При этом на канальном уровне модели ISO OSI оборудование заказчика на одном конце канала «видит» оборудование, установленное на другом конце канала, из-за чего такой канал и называют чистым.
Данный способ объединения ЛВС офисов удобен пользователям, поскольку практически не зависит от расстояния между офисами, отличается крайне малыми задержками (обычно в пределах сотни микросекунд, т.е. на 2-3 порядка меньше, чем в пакетных сетях передачи данных). При предоставлении интерфейса E1 заказчик получает возможность разделить канал на несколько независимых каналов (установкой своего мультиплексора).
Однако, согласно современным требованиям, скорость передачи данных по таким каналам относительно низка (обычно в пределах 2 Мбит/с, хотя возможно арендовать канал E3, T3 или STM-1). При увеличении скорости передачи данных резко возрастает и стоимость данного канала, она значительно выше стоимости аренды L3 VPN-каналов той же скорости.
Организация связи через выделенные каналы «точка-точка» требует использования для каждого такого канала отдельного порта, что уменьшает гибкость и масштабируемость решения в случае объединения большого количества удаленных объектов (Рис. 3). Следует также иметь в виду, что стоимость синхронного порта передачи данных на скорости ниже 2 Мбит/с превосходит стоимость 100-мегабитного порта Ethernet, и рост стоимости порта происходит быстрее его скорости.
Рис. 3. Организация СПД на основе выделенных каналов связи
В настоящее время применение таких каналов может быть обусловлено в первую очередь необходимостью передачи голосового трафика по TDM-каналам в «чистом виде», и, возможно, какими-то специфическими приложениями. Их целесообразно использовать и в случаях, когда компания в состоянии обеспечить постоянную загрузку канала на скорости, близкой к максимальной.
Перспектив использования таких каналов для корпоративной передачи данных скорее всего не будет. На существующих сетях операторов связи они еще предоставляются, но активно развиваются уже другие технологии (такие как MPLS VPN).
Организация передачи данных в каналах, основанных на мультиплексировании сигнала с разделением по времени, не позволяет информации одного клиента попадать в сети другого клиента без нарушения исходной связи. Однако надо иметь в виду, что передаваемые данные всегда доступны операторам, предоставляющим канал. Поэтому многие компании склонны защищать любой внутрикорпоративный трафик, который передается по внешним (арендованным физическим или виртуальным) каналам.
Основное преимущество цифровой выделенной линии: заказчик получает «чистый» канал, который может использоваться по его усмотрению. Могут передаваться данные любых канальных протоколов. Дальность подобного канала фактически неограниченна. Задержки на таких каналах измеряются десятками микросекунд.
Недостатки: относительно низкая скорость передачи данных, более высокая стоимость канала по сравнению с L3 VPN той же пропускной способности.
Канал в пакетной сети оператора (Frame Relay, ATM)
Объединение офисов через операторские сети Frame Relay и ATM была самой распространенной в недалеком прошлом. В общем случае для корпоративного заказчика схема подключения выгладит следующим образом (Рис. 4): каждый офис подключается одним (или несколькими) портами к сети передачи данных заказчика. После этого в пределах сети заказчика организуются виртуальные каналы, которые связывают его офисы.
Виртуальные каналы настраиваются программно и для каждого устанавливается собственная гарантированная скорость передачи данных, а офис достаточно подключить к сети оператора одним портом нужной пропускной способности. Программная настройка виртуальных соединений позволяет создавать новые соединения между офисами и легко менять параметры существующих соединений без изменения физической топологии сети.
По сравнению с сетью, построенной на выделенных каналах, где для каждого выделенного канала необходим физический порт на каждой стороне соединения, существенно уменьшается количество необходимых физических портов. За счет этого в каждом офисе возможно использовать более простое оборудование или обходиться меньшим количеством устройств.
Повышается и надежность данного вида соединения. Поскольку внутри сети оператора обычно уже используются собственные механизмы повышения отказоустойчивости, то заказчику достаточно зарезервировать только собственное оборудование доступа и «последнюю милю» от своего оборудования до сети оператора связи.
Стоимость такого решения для заказчика также обычно ниже, чем при использовании выделенных синхронных/асинхронных каналов благодаря следующим факторам:
Тем не менее в настоящее время такие подключения следует делать только если используются какие-либо специфические приложения или при подключении новых офисов к корпоративной сети, которая уже объединена по данной технологии, поскольку по многим потребительским параметрам такие сети уступают сетям IP VPN.
Типовые скорости каналов Frame Relay – до 2 Мбит/с. Часто этих скоростей уже недостаточно для современных приложений. ATM – от 2 до 155 Мбит/с, однако такие подключения распространены относительно мало, а стоимость порта и канала ATM превышает стоимости IP/MPLS-каналов аналогичной скорости.
По уровню безопасности виртуальные FR/ATM каналы несколько уступают выделенным линиям. Трафик одного клиента, передаваемый по сети Frame Relay, отделен от трафика другого клиента и не может попасть в его сеть. Однако данное разделение – программное и может быть нарушено незаметно для пользователя, например из-за ошибки оператора.
L3 VPN канал
В настоящее время это наиболее активно развивающийся сервис, который предоставляют операторы передачи данных. Сети MPLS продолжили логическое развитие сетей VPN на базе FR и ATM каналов. Сеть MPLS имеет внутреннюю логику сетей IP – MPLS-маршрутизаторы используют IP-адресацию, внутри сети MPLS используются специально адаптированные протоколы IP-маршрутизации.
Подключение к сети MPLS для клиента выглядит как подключение к обычной IP-сети. При этом провайдер может обеспечивать клиенту ряд возможностей, которые, будучи собраны вместе, делают сети MPLS более привлекательными, чем подключение через Frame Relay и ATM сети, это в первую очередь:
Рассмотрим каждую из этих услуг.
Сквозная поддержка нескольких классов обслуживания. Сейчас в корпоративных сетях происходит активный переход к так называемым конвергентным сетям передачи данных. Это означает, что клиенты хотят передавать по единой сети все свои данные – начиная от трафика, получаемого через Интернет и интранет, и заканчивая голосовым и видеотрафиком. К каждому трафику предъявляются свои особенные технические требования – по скорости, задержкам, вариации задержки, допустимым потерям пакетов и прочим параметрам. Если внутри ЛВС каждого офиса заказчик в состоянии самостоятельно контролировать данные параметры, то при передаче данных через глобальную сеть у него нет такой возможности. Данная проблема не возникает при использовании «чистых каналов», в которых передача пакетов происходит последовательно, важно только отправлять пакеты в нужном порядке.
В случае же с пакетной сетью передачи данных заказчик хочет быть уверенным, что приоритетный для него трафик будет обслужен провайдером в первую очередь и с необходимым качеством. В настоящее время все провайдеры сетей MPLS поддерживают, по крайней мере, три класса обслуживания. Называться они могут по-разному, но основные классы следующие:
Некоторые провайдеры поддерживают дополнительные классы обслуживания, например класс для передачи данных с приоритетом ниже, чем класс по умолчанию.
Описанная возможность позволяет пользователю организовать передачу данных между офисами с необходимым качеством обслуживания. Обычно пользователь должен самостоятельно отнести данные к тому или иному классу обслуживания перед их передачей в сеть оператора связи. Это делается путем маркировки IP-пакетов тем или иным согласованным с оператором значением поля DSCP в заголовке IP-пакета. Поддержка классов обслуживания в сетях Frame Relay также присутствует, но там по умолчанию имеется только высоко- и низкоприоритетный трафик, который определяет, какие пакеты могут быть отброшены в первую очередь при возникновении перегрузки в канале. Если возникнет необходимость обеспечить большее количество классов обслуживания, то потребуется организовать несколько виртуальных каналов между всеми узлами и самостоятельно распределять по ним трафик разного приоритета.
Возможность сохранения собственной IP-адресации. Данная возможность важна для компаний, которые уже имеют собственные ЛВС и используют собственные, немаршрутизируемые в Интернет адреса (а таких компаний в настоящий момент абсолютное большинство). Эта проблема вообще не возникает при использовании выделенных (физических или цифровых) каналов.
Поддержка маршрутизации трафика между офисами заключается в том, что сеть провайдера может представляться заказчику в виде некоторого «распределенного виртуального маршрутизатора», который «знает» об используемых внутри сети адресах и осуществляет маршрутизацию трафика между ними. Сети заказчика могут использовать статическую или динамическую маршрутизацию для связи с сетью провайдера. При этом провайдер обычно позволяет заказчику настроить взаимодействие с его сетью с помощью динамических протоколов маршрутизации и содержит таблицу маршрутизации для каждого заказчика отдельно. Динамическая маршрутизация обеспечивает организацию отказоустойчивого соединения сетей офисов заказчика с автоматической перемаршрутизацией трафика при выходе из строя части каналов или оборудования. Обычно в качестве протокола взаимодействия используется протокол BGP. В сети же заказчика используются другие протоколы динамической маршрутизации OSPF, EIGRP или RIP, или статическая маршрутизация. В этом случае заказчик должен организовать передачу информации о доступных маршрутах из одного протокола маршрутизации в другой.
Рис. 4. Использование пакетной сети передачи данных оператора связи для построения КСПД
Организация доступа в Интернет также может служить дополнительным стимулом для подключения к MPLS-сети одного оператора, поскольку позволяет получить все необходимые услуги из одних рук.
В классическом виде он приспособлен для передачи IP-данных пользователей, но имеется ряд протоколов AToM (Any Transport over MPLS), позволяющий передавать по сетям MPLS трафик канального уровня (обычно Ethernet).
Таким образом, следует сделать заключение, что MPLSVPN сети в настоящее время наиболее полно обеспечивают корпоративного заказчика необходимыми услугами для создания распределенной корпоративной сети передачи данных.
В качестве особенностей данного подключения следует отметить два момента:
По уровню безопасности VPN-соединения, организованные через сеть MPLS, приравниваются к Frame Relay каналам, т.е. считается, что трафик одного клиента не может быть доступен другим клиентам.
L2 VPN канал (обычно Metro Ethernet)
Для объединения корпоративных сетей на уровне Ethernet наиболее подходящим решением будет использование либо высокоскоростных арендованных каналов, либо услуг L2 VPN.
Для заказчика подключение к L2 VPN каналам обычно представляется в виде подключения к порту Ethernet (на скорости 10 или 100Мбит/с). При этом сеть оператора связи выступает в роли «виртуального коммутатора», пересылающего пакеты между ЛВС отдельных офисов. Количество офисов при этом теоретически не ограничено. Возможна организация соединения между офисами Ethernet-транками (стандарт IEEE 802.1q).
У провайдера в таком случае применяется технология инкапсуляции пользовательских VLAN в один свой VLAN по технологии Q-in-Q.
Однако при таком подключении зачастую сложно организовать резервные каналы из-за того, что провайдер может не пропускать по своей сети BPDU-пакеты заказчика и есть угроза возникновения петель в его Ethernet-сети.
К плюсам таких решений для корпоративного пользователя относится низкая, по сравнению с аналогичными решениями на базе MPLS сети, стоимость канала, простота настройки оборудования и его стоимость, возможность передачи трафика, отличного от IP.
Относительно низкая стоимость организации высокоскоростных Ethernet-каналов позволяет рассматривать данный способ подключения и для соединения сетей заказчика на уровне IP с установкой на окончании канала маршрутизаторов, на которые часто возлагается задача шифрования передаваемого трафика.
Разделение данных между клиентами в операторских MetroEthernet сетях основано на использовании меток VLAN-ID в сетях провайдера. Если по сети передаются конфиденциальные данные, то обычно предпринимаются дополнительные меры по обеспечению их безопасности.
Решение для шифрования Ethernet-трафика на высоких скоростях не распространено. Поэтому при необходимости шифрования Ethernet-трафика применяются специальные решения.
В частности, применяется инкапсуляция Ethernet-фреймов в IP-пакеты, которые затем шифруются перед передачей в каналы сети Metro Ethernet. Данное решение требует установки дополнительного высокопроизводительного сетевого оборудования. Зачастую проще и дешевле произвести изначальное планирование сети передачи данных так, чтобы соединение между офисами производилось на сетевом (IP) уровне или чтобы данные, требующие дополнительной защиты, шифровались до передачи в сеть на уровне приложений.
Доступ в Интернет
Организация связи ЛВС через Интернет получает все большее распространение вместе с доступностью самой сети.
Каждый офис компании в настоящее время имеет (или может легко получить) собственное подключение к Интернету по выделенному каналу. После этого между ЛВС офисов организуется зашифрованный канал VPN, по которому передаются данные (Рис. 5).
Сейчас качество предоставления доступа в Интернет в крупных городах достаточно высоко для передачи между офисами компании данных, не чувствительных к задержкам.
Рис. 5. Организация КСПД через VPN’каналы в Интернет
Основным минусом подключения через Интернет, с корпоративной точки зрения, является отсутствие каких либо гарантий относительно полосы пропускания, задержек и потерь пакетов.
Плюсы данного подключения следующие:
Как следствие этих факторов, подключение через Интернет можно применить в следующих случаях:
Особое внимание при использовании интернет-подключений следует уделять вопросам безопасности, поскольку существует вероятность как перехвата передаваемых данных, так и проникновения в корпоративную сеть через Интернет. Поэтому обязательно использование межсетевых экранов. В некоторых случаях даже при подключении офисов через Интернет применяется модель корпоративной СПД с централизованным доступом в Интернет. В этом случае весь интернет-трафик удаленного офиса проходит через прокси-сервер, установленный в центральном офисе.
Рекомендации по выбору решения
Если вернуться к общей схеме корпоративной сети (Рис. 1), то можно увидеть, что разные подсистемы могут объединяться разными, наиболее подходящими, каналами связи. Выбирать метод подключения следует исходя из требований, предъявляемых к сети передачи данных со стороны используемых в компании приложений. Наиболее типичные решения для каждого подключения показаны на Рис. 6.
Рис. 6. Типовые методы объединения отдельных сетей офисов в единую КСПД
При необходимости объединения основных и резервных дата-центров следует использовать выделенные оптоволоконные линии связи, по которым можно предавать не только IP- или Ethernet-трафик, но и организовать взаимодействие между хранилищами данных, например по протоколу Fibre Channel. Для соединения крупных офисов и их подключения к дата-центру в пределах одного города имеет смысл использовать собственные или арендованные оптоволоконные линии связи либо высокоскоростные каналы (от 100Мбит/с и выше), предлагаемые местными операторами связи (обычно это решения на базе Metro Ethernet сети провайдера).
Для подключения географически удаленных офисов можно использовать услуги L3 VPN, а при их недоступности рассмотреть возможности подключения по сети FrameRelay или ATM (правда, последние сегодня предлагаются реже, чем первые).
Для подключения мобильных пользователей организуется подключение по защищенному VPN-каналу через Интернет. Этот же тип подключения может использоваться для небольших офисов, которым нужно передавать только малые объемы данных, некритичных к задержкам и потерям пакетов. Использование выделенных цифровых каналов на сегодня может быть обусловлено или специфическим требованиями приложений или отсутствием в определенном регионе описанных выше услуг связи.
Заключение
Подводя итог, можно сказать, что на сегодняшний момент для организации распределенной корпоративной сети передачи данных имеется довольно широкий спектр решений, способных удовлетворить все современные требования.
Вероятно, самым универсальным и доступным по цене видом связи является использование L3 MPLS/VPN решений для объединения сетей на уровне IP или L2 MPLS/VPN решений для объединения сетей на канальном (обычно Ethernet) уровне.
При необходимости организации высокоскоростной связи между сетями, расположенными на небольших расстояниях (в пределах одного города), следует рассмотреть возможности подключения через cеть Metro Ethernet местных операторов передачи данных или аренды оптоволоконных линий связи.
Для подключения небольших офисов без необходимости передачи больших объемов трафика следует рассмотреть возможности организации VPN-каналов через Интернет.
Для развития существующих распределенных сетей возможно еще подключение через VPN-каналы Frame Relay или ATM, но администраторам этих сетей следует внимательно отнестись и к новым возможностям организации связи, поскольку данные каналы сейчас предлагаются все меньше, а стоимость их использования зачастую выше того же MPLS/VPN канала.
В любом случае, прежде чем принимать то или иное решение, следует проанализировать требования к используемым сетевым приложениям и сформулировать требования к сети передачи данных, провести аудит существующей сети.
Зачастую на выбор решения также оказывает влияние доступность необходимого сетевого сервиса в нужной точке. Могут, например, возникать проблемы с организацией «последней мили», т.е с организацией канала от точки присутствия оператора услуг до офиса заказчика. Проблемы могут быть самые разные – от физической невозможности организовать «последнюю милю» до адмистративных проблем, связанных с договоренностями с администрацией здания (если заказчик арендует помещение) или с уже присутствующими в здании операторами услуг связи.
В таких случаях приходится использовать имеющиеся у оператора связи возможности и вырабатывать решение, в котором взаимоувязаны разные средства связи и технологии доступа.
Все это делает объединение отдельных ЛВС заказчика в единую сеть передачи данных достаточно уникальной задачей, в ходе решения которой необходимо учитывать технические требования к организуемой СПД и финансовые возможности заказчика и увязывать их со спектром услуг, которые операторы связи могут оказать в нужных заказчику точках.
Следует иметь в виду, что объединение сетей, существующих раздельно, в единую сеть передачи данных требует тщательного планирования, поскольку может повлечь за собой существенные изменения внутри каждой отдельной сети.
Вместе с тем плюсы от создания единой сети зачастую могут сделать настолько более удобной работу отдельных филиалов, что через некоторое время изолированная деятельность подразделений уже не представляется возможной.
