Технологія віртуальних каналів

Тема 15. Захищені віртуальні канали. Стек протоколів IPSec

Література

1. INTUIT.ru: Курс: Руководство по безопасности в Lotus Notes: Лекция № 5: Прокси-серверы

Техніка віртуальних каналів, яка використовується у всіх територіальних мережах з комутацією пакетів, крім TCP/IP, полягає в наступному.

Перш ніж пакет буде переданий через мережу, необхідно встановити віртуальне з'єднання між абонентами мережі – терміналами, маршрутизаторами чи комп'ютерами. Існують два типи віртуальних з'єднань – віртуальний канал, що комутується (Switched Virtual Circuit, SVC) і постійний віртуальний канал (Permanent Virtual Circuit, РVС). При створенні віртуального каналу, що комутується, комутатори мережі настроюються на передачу пакетів динамічно, по запиті абонента, а створення постійного віртуального каналу відбувається заздалегідь, причому комутатори настроюються вручну адміністратором мережі, можливо, із залученням централізованої системи керування мережею.

Зміст створення віртуального каналу полягає в тому, що маршрутизація пакетів між комутаторами мережі на основі таблиць маршрутизації відбувається тільки один раз – при створенні віртуального каналу (мається на увазі створення віртуального каналу, що комутується, оскільки створення постійного віртуального каналу здійснюється вручну і не вимагає передачі пакетів по мережі). Після створення віртуального каналу передача пакетів комутаторами відбувається на основі так званих номерів чи ідентифікаторів віртуальних каналів (Virtual Channel Identifier, VCI). Кожному віртуальному каналу присвоюється значення VCI на етапі створення віртуального каналу, причому це значення має не глобальний характер, як адреса абонента, а локальний – кожен комутатор самостійно нумерує новий віртуальний канал. Крім нумерації віртуального каналу, кожен комутатор при створенні цього каналу автоматично настроює так звані таблиці комутації портів – ці таблиці описують, на який порт потрібно передати пакет, що прийшов, якщо він має визначений номер VCI. Так що після прокладки віртуального каналу через мережу комутатори більше не використовують для пакетів цього з'єднання таблицю маршрутизації, а передають пакети на основі номерів VCI невеликої розрядності. Самі таблиці комутації портів також включають звичайно менше записів, чим таблиці маршрутизації, тому що зберігають дані тільки про діючі на даний момент з'єднання, що проходять через даний порт.

Робота мережі по маршрутизації пакетів прискорюється за рахунок двох факторів. Перший полягає в тому, що рішення про передачу пакета приймається швидше через менший розмір таблиці комутації. Другим фактором є зменшення частки службової інформації в пакетах. Адреси кінцевих вузлів у глобальних мережах зазвичай мають досить велику довжину – 14-15 десяткових цифр, що займають до 8 байт (у технології АТМ – 20 байт) у службовому полі пакета. Номер віртуального каналу зазвичай займає 10-12 біт, так що накладні витрати на адресну частину істотно скорочуються, а виходить, корисна швидкість передачі даних зростає.

Режим PVC є особливістю технології маршрутизації пакетів у глобальних мережах, у мережах TCP/IP такого режиму роботи немає. Робота в режимі PVC є найбільш ефективною за критерієм продуктивності мережі. Половину роботи з маршрутизації пакетів адміністратор мережі уже виконав, тому комутатори швидко займаються передаванням кадрів на основі готових таблиць комутації портів. Постійний віртуальний канал подібний виділеному каналу в тому, що не потрібно встановлювати з'єднання чи роз'єднання. Обмін пакетами по PVC може відбуватися в будь-який момент часу. Відмінність PVC у мережах Х.25 від виділеної лінії типу 64 Кбіт/с полягає в тому, що користувач не має ніяких гарантій щодо дійсної пропускної здатності PVC. Використання PVC звичайно набагато дешевше, ніж оренда виділеної лінії, тому що користувач поділяє пропускну здатність мережі з іншими користувачами.

Режим просування пакетів на основі готової таблиці комутації портів звичайно називають не маршрутизацією, а комутацією і відносять не до третього, а до другого (канальному) рівня стека протоколів.

Принцип маршрутизації пакетів на основі віртуальних каналів пояснюється на рисунку 15.1. При встановленні з'єднання між кінцевими вузлами використовується спеціальний тип пакета – запит на встановлення з'єднання (зазвичай називається Call Request), що містить багаторозрядну (у прикладі семирозрядну) адресу вузла призначення.

Рисунок 15.1 – Комутація в мережах з віртуальними з'єднаннями

Нехай кінцевий вузол з адресою 1581120 починає установлювати віртуальне з'єднання з вузлом з адресою 1581130. Одночасно з адресою призначення в пакеті Call Request вказується і номер віртуального з'єднання VCI. Цей номер має локальне значення для порту комп'ютера, через який установлюється з'єднання. Через один порт можна встановити досить велику кількість віртуальних з'єднань, тому програмне забезпечення протоколу глобальної мережі в комп'ютері просто вибирає вільний у даний момент для даного порту номер. Якщо через порт уже прокладено 3 віртуальні з'єднання, то для нового з'єднання буде обраний номер 4, по якому завжди можна буде відрізнити пакети даного з'єднання від пакетів інших з'єднань, що приходять на цей порт.

Далі пакет типу Call Request з адресою призначення 1581130, номером VCI 4 і адресою джерела 1581120 відправляється в порт 1 комутатора К1 мережі. Адреса призначення використовується для маршрутизації пакета на основі таблиць маршрутизації, аналогічних таблицям маршрутизації протоколу IP, але з більш простою структурою кожного запису. Запис складається з адреси призначення і номера порту, на який потрібно переслати пакет. Адреса наступного комутатора не потрібна, тому що всі зв'язки між комутаторами є зв'язками типу «крапка-крапка», множинних з'єднань між портами немає. Стандарти глобальних мереж звичайно не описують який-небудь протокол обміну маршрутною інформацією, подібний RIP чи OSPF, що дозволяє комутаторам мережі автоматично будувати таблиці маршрутизації. Тому в таких мережах адміністратор звичайно вручну складає подібну таблицю, вказуючи для забезпечення відказостійкості основний і резервний шляхи для кожної адреси призначення. Виключенням є мережі АТМ, для яких розроблений протокол маршрутизації PNNI, заснований на алгоритмі стану зв'язків.

У приведеному прикладі відповідно до таблиці маршрутизації виявилося необхідним передати пакет Call Request з порту 1 на порт 3. Одночасно з передачею пакета маршрутизатор змінює номер віртуального з'єднання пакета – він привласнює пакету перший вільний номер віртуального каналу для вихідного порту даного комутатора. Кожен кінцевий вузол і кожен комутатор веде свій список зайнятих і вільних номерів віртуальних з'єднань для усіх своїх портів. Зміна номера віртуального каналу робиться для того, щоб при просуванні пакетів у зворотному напрямку (а віртуальні канали працюють у дуплексному режимі), можна було відрізнити пакети даного віртуального каналу від пакетів інших віртуальних каналів, уже прокладених через порт 3. У прикладі через порт 3 уже проходить кілька віртуальних каналів, причому самий старший зайнятий номер – це номер 9. Тому комутатор змінює номер віртуального каналу, що прокладається, з 4 на 10.

Крім таблиці маршрутизації для кожного порту складається таблиця комутації. У таблиці комутації вхідного порту 1 маршрутизатор відзначає, що в подальшому пакети, що прибули на цей порт із номером VCI рівним 4 повинні передаватися на порт 3, причому номер віртуального каналу повинен бути змінений на 10. Одночасно робиться і відповідний запис у таблиці комутації порту 3 – пакети, що прийшли по віртуальному каналі 10 у зворотному напрямку потрібно передавати на порт із номером 1, змінюючи номер віртуального каналу на 4. Таким чином, при одержанні пакетів у зворотному напрямку комп'ютер-відправник одержує пакети з тим же номером VCI, з яким він відправляв їх у мережу.

У результаті дії такої схеми пакети даних вже не несуть довгі адреси кінцевих вузлів, а мають у службовому полі тільки номер віртуального каналу, на підставі якого і виробляється маршрутизація всіх пакетів, крім пакета запиту на встановлення з'єднання. У мережі прокладається віртуальний канал, що не змінюється протягом усього часу існування з'єднання. Його номер міняється від комутатора до комутатора, але для кінцевих вузлів він залишається постійним.

За зменшення службового заголовку приходиться платити неможливістю балансу трафіку всередині віртуального з'єднання. При відмові якого-небудь каналу з'єднання приходиться також установлювати заново.

Власне кажучи, технологія віртуальних каналів дозволяє реалізувати два режими просування пакетів – стандартний режим маршрутизації пакета на підставі адреси призначення і режим комутації пакетів на підставі номера віртуального каналу. Ці режими застосовуються поетапно, причому перший етап складається в маршрутизації всього одного пакета – запиту на встановлення з'єднання.

Технологія віртуальних каналів має свої переваги і недоліки відносно технології IP- чи IPX-маршрутизації. Маршрутизація кожного пакета без попереднього встановлення з'єднання (ні IP, ні IPX не працюють із встановленням з'єднання) ефективна для короткочасних потоків даних. Крім того, можливо розпаралелювання трафіка для підвищення продуктивності мережі при наявності рівнобіжних шляхів у мережі. Швидше обробляється відмова маршрутизатора чи каналу зв'язку, тому що наступні пакети просто підуть по новому шляху (тут, щоправда, потрібно врахувати час встановлення нової конфігурації в таблицях маршрутизації). При використанні віртуальних каналів дуже ефективно передаються через мережу довгострокові потоки, але для короткочасних цей режим не дуже підходить, тому що на встановлення з'єднання звичайно іде багато часу – навіть комутатори технології АТМ, що працюють на дуже високих швидкостях, витрачають на встановлення з'єднання по 5-10 мс кожний. Через цю обставину компанія Ipsilon розробила кілька років назад технологію IP-switching, яка вводила в мережі АТМ, які працюють по описаному принципі віртуальних каналів, режим передачі ячейок без попереднього встановлення з'єднання. Ця технологія дійсно прискорювала передачу через мережу короткочасних потоків IP-пакетів, тому вона стала досить популярною, хоча і не придбала статус стандарту.