logo search
Тулябаев Ф

Использование выделенных линий для построения корпоративной сети

Для связи двух локальных сетей по арендуемому или собственному выделенному каналу обычно используются мосты или маршрутизаторы. Эти устройства нужны для того, чтобы по выделенному каналу пересылались не все кадры, циркулирующие в каждой локальной сети, а только те, которые предназначены для другой локальной сети.

Схема установки моста или маршрутизатора в этом случае однотипна (рис. 6.14). Сначала необходимо решить проблему физического сопряжения выходного порта моста или маршрутизатора с аппаратурой передачи данных, то есть DCE, подключаемой непосредственно к абонентскому окончанию линии. Если канал аналоговый, то это интерфейс с модемом, а если цифровой - то с устройством DSU/CSU. Интерфейс определяется требованиями DCE - это может быть RS-232C для низкоскоростных линий или же RS-449 или V.35 для высокоскоростных каналов типа Т1/Е1. Для канала ТЗ/ЕЗ потребуется наличие интерфейса HSSI.

Рис. 6.14. Соединение сетей с помощью выделенного канала

Некоторые устройства имеют программно настраиваемые последовательные интерфейсы, которые могут работать и как RS-449/V.11, и как RS-449/V.10, и как V.35.

На рис. 6.14 выбрано в качестве примера соединение через цифровой канал Е1, поэтому мост/маршрутизатор использует для подключения к каналу устройство DSU/ CSU с внутренним интерфейсом RS-449 и внешним интерфейсом G.703. Часто крупные маршрутизаторы имеют модули со встроенным интерфейсом G.703, тогда необходимость в устройстве DSU/CSU отпадает. Если же выделенный канал был бы аналоговым, то в качестве DCE был бы необходим модем, поддерживающий режим работы по выделенной линии, причем кроме других различных критериев (скорость, контроль ошибок, компрессия) необходимо учитывать возможность модема работать по предоставленному абонентскому окончанию: 4-проводному или 2-проводному.

После решения проблем физического уровня удаленные мосты готовы к работе. После включения каждый мост начинает передавать все кадры из своей локальной сети в выделенный канал и одновременно (так как практически все выделенные каналы дуплексные) принимать кадры из выделенного канала. На основании проходящего трафика каждый мост строит адресную таблицу и начинает передавать в выделенный канал кадры только тем станциям, которые действительно находятся в другой сети, а также широковещательные кадры и кадры с неизвестными МАС - адресами. Современные удаленные мосты при пересылке кадров локальных сетей упаковывают их в кадры протокола РРР. Переговорная процедура, которую ведут мосты при установлении РРР-соединения, сводится в основном к выбору параметров канального уровня с помощью протокола LPC, а также к взаимной аутентификации (если такая процедура задана в параметрах протокола РРР обоих мостов).

Маршрутизатор после подключения к выделенной линии и локальной сети необходимо конфигурировать. На рис. 6.14 IP-маршрутизаторы связаны по выделенному каналу. Конфигурирование маршрутизаторов в этом случае подобно конфигурированию в локальных сетях. Каждая локальная сеть получает свой IP-адрес с соответствующей маской. Выделенный канал также является отдельной IP-сетью, поэтому можно ему также дать некоторый IP-адрес из диапазона адресов, которым распоряжается администратор корпоративной сети (в данном случае выделенному каналу присвоен адрес сети, состоящей из 2-х узлов, что определяется маской 255.255,255.252). Можно выделенному каналу и не присваивать IP-адрес - такой интерфейс маршрутизатора называется ненумерованным (unnumbered). Маршрутизатор будет нормально работать в обоих случаях. Как и в локальной сети, маршрутизаторам не нужно вручную задавать аппаратные адреса своих непосредственных соседей, так как отсылая пакеты протокола маршрутизации (RIP или OSPF) по выделенному каналу, маршрутизаторы будут их получать без проблем. Протокол ARP на выделенном канале не используется, так как аппаратные адреса на выделенном канале не имеют практического смысла (в кадре РРР есть два адреса - кадр от DCE или от DTE, но маршрутизатор всегда будет получать кадр от DCE).

Как и в локальных сетях, важной характеристикой удаленных мостов/маршрутизаторов является скорость фильтрации и скорость маршрутизации пакетов, которые часто ограничиваются не внутренними возможностями устройства, а скоростью передачи данных по линии. Для устойчивой работы сети скорость маршрутизации устройства должна быть выше, чем средняя скорость межсетевого трафика. При объединении сетей с помощью выделенного канала рекомендуется сначала выяснить характер межсетевого трафика - его среднее значение и пульсацию. Для хорошей передачи пульсаций пропускная способность канала должна быть большей или равной величине пульсаций трафика. Но такой подход приводит к очень нерациональной загрузке канала, так как при коэффициенте пульсаций 50; 1 в среднем будет использоваться только 1/50 пропускной способности канала. Поэтому чаще при выборе канала ориентируются на среднее значение межсетевого трафика. Правда, при этом пульсация будет создавать очередь кадров во внутреннем буфере моста или маршрутизатора, так как канал не может передавать данные с такой высокой скоростью, но очередь обязательно рассосется за конечное время, если среднее значение интенсивности межсетевого трафика меньше средней пропускной способности канала.

Для преодоления ограничений на скорость линии, а также для уменьшения части локального трафика, передаваемого по глобальной линии, в удаленных мостах и маршрутизаторах, работающих на глобальные каналы, используются специальные приемы, отсутствующие в локальных устройствах. Эти приемы не входят в стандарты протоколов, но они реализованы практически во всех устройствах, обслуживающих низкоскоростные каналы, особенно каналы со скоростями в диапазоне от 9600 бит/с до 64 Кбит/с.

К таким приемам относятся технологии сжатия пакетов, спуфинга и сегментации пакетов.

Сжатие пакетов (компрессия). Некоторые производители, используя собственные алгоритмы, обеспечивают коэффициент сжатия до 8:1. Стандартные алгоритмы сжатия, применяемые в модемах, устройствах DSU/CSU, самих мостах и маршрутизаторах, обеспечивают коэффициент сжатия до 4:1. После сжатия данных для передачи требуется существенно меньшая скорость канала.

Спуфинг (spoofing). Эта технология позволяет значительно повысить пропускную способность линий, объединяющих локальные сети, работающие по протоколам с большим количеством широковещательных рассылок. Во многих стеках протоколов для локальных сетей широковещательные рассылки обеспечивают решение задач поиска ресурсов сети. «Спуфинг» означает надувательство, мистификацию. Главной идеей технологии спуфинга является имитация передачи пакета по глобальной сети. Спуфинг используется не только на выделенных каналах, но и на коммутируемых, а также всегда, когда пропускная способность глобальной сети оказывается на границе некоторого минимального уровня.

Рассмотрим технику спуфинга на примере передачи между удаленными сетями пакетов SAP (Service Advertising Protocol - протокол объявления служб) серверами ОС NetWare. Эти пакеты каждый сервер генерирует каждую минуту, чтобы все клиенты сети могли составить правильное представление об имеющихся в сети разделяемых ресурсах - файловых службах, службах печати и т. п. SAP-пакеты распространяются в IPX-пакетах с широковещательным сетевым адресом (ограниченное широковещание). Маршрутизаторы не должны передавать такие пакеты из сети в сеть, но для SAP-пакетов сделано исключение - маршрутизатор, поддерживающий IPX, распространяет его на все порты, кроме того, на который этот пакет поступил (техника, подобная технике split horizon). Это делается для того, чтобы клиенты работали в одинаковых условиях независимо от сети, в которой они находятся. Удаленные мосты передают SAP-пакеты «по долгу службы», так как они имеют широковещательные МАС - адреса.

Таким образом, по выделенной линии может проходить достаточно большое количество SAP-пакетов, которое зависит от количества серверов в каждой из локальных сетей, а также количества служб, о которых объявляет каждый сервер. Если эти пакеты посылаются каким-либо сервером, но не доходят до клиентов, то клиенты не могут воспользоваться службами этого сервера.

Если маршрутизаторы или мосты, объединяющие сети, поддерживают технику спуфинга, то они передают по выделенному каналу не каждый SAP-пакет, а например, только каждый пятый. Интенсивность служебного трафика в выделенном канале при этом уменьшается. Но для того, чтобы клиенты не теряли из списка ресурсов удаленной сети серверы, маршрутизатор/мост имитирует приход этих пакетов по выделенному каналу, посылая SAP-пакеты от своего имени каждую минуту, как это и положено по протоколу. При этом маршрутизатор/мост посылает несколько раз копию реального SAP-пакета, получаемого раз в 5 минут по выделенному каналу. Такую процедуру маршрутизатор/мост осуществляет для каждого сервера удаленной сети, генерирующего SAP-пакеты.

Существует несколько различных реализации техники спуфинга: посылка оригинальных пакетов в глобальный канал происходит по времени или по количеству принятых пакетов, при изменениях в содержимом пакетов. Последний способ достаточно логичен, так как сервер обычно каждый раз повторяет содержимое своего объявления - изменения в составе служб происходят редко. Поэтому, как в алгоритмах маршрутизации типа «изменение связей» достаточно передавать только измененные пакеты, так и для подтверждения нормальной работы достаточно периодически пересылать даже неизмененный пакет (в качестве сообщения HELLO).

Существует достаточно много протоколов, которые пользуются широковещательными рассылками, и пограничный маршрутизатор/мост должен их все учитывать. Только ОС Unix весьма редко работает по этому способу, так как ее основной коммуникационный стек TCP/IP проектировался для низкоскоростных глобальных линий связи. А такие ОС, как NetWare, Windows NT, OS/2, разрабатывались в основном в расчете на локальные сети, поэтому пропускную способность каналов связи не экономили.

В ОС NetWare существуют три основных типа широковещательных межсетевых сообщений - кроме сообщений SAP, необходимо также передавать сообщения протокола маршрутизации RIP, который программные маршрутизаторы, работающие на серверах NetWare, поддерживают по умолчанию, а также специальные сообщения watchdogs (называемые также keep alive), которыми обмениваются сервер и клиент, установившие логическое соединение. Сообщения watchdogs используются в том случае, когда временно в рамках данной логической сессии пользовательские данные не передаются. Чтобы поддержать соединение, клиент каждые 5 минут посылает такие сообщения серверу, говоря, что он «жив». Если сервер не получает таких сообщений в течение 15 минут, то сеанс с данным клиентом прекращается. В интерфейсе NetBIOS (а его используют в качестве программного интерфейса приложения во многих ОС) порождается служебный трафик разрешения имен - запросы NameQuery посылаются (также широковещательным способом) каждые 20 минут, если зарегистрированное ранее имя не проявило себя в течение этого периода времени.

Для реализации анализа технология спуфинга требует пакетов сетевого уровня и выше. Поэтому для мостов реализация спуфинга - не такое обычное дело, как для маршрутизаторов. Мосты, поддерживающие спуфинг, не строят таблицы маршрутизации и не продвигают пакеты на основе сетевых адресов, но разбор заголовков и содержимого пакетов верхних уровней делают. Такие интеллектуальные удаленные мосты выпускает, например, компания Gandalf, хотя недорогие маршрутизаторы постепенно вытесняют мосты и в этой области.

Сегментация пакетов - позволяет разделять большие передаваемые пакеты и передавать их сразу через две телефонные линии. Хотя это и не делает телефонные каналы более эффективными, но все же увеличивает скорость обмена данными почти вдвое.

Выводы