Rambler's Top100
Статьи ИКС № 11 2005
Татьяна ТЕМКИНА (Тёмкина)  01 ноября 2005

VPN при модернизации телефонных сетей

Разделить трафик В ТфОП обеспечивается существенно более высокий уровень безопасности соединения, чем в Интернете. Это обусловлено невозможностью доступа абонента к сетевой сигнализации ТфОП, а также использованием в ТфОП технологии коммутации каналов, благодаря чему при установлении соединения вся информация будет передаваться только по созданному для этого каналу.

Разделить трафик

В ТфОП обеспечивается существенно более высокий уровень безопасности соединения, чем в Интернете. Это обусловлено невозможностью доступа абонента к сетевой сигнализации ТфОП, а также использованием в ТфОП технологии коммутации каналов, благодаря чему при установлении соединения вся информация будет передаваться только по созданному для этого каналу. В Интернете же используется технология коммутации пакетов и пакеты разных соединений могут оказывать влияние друг на друга.

Объединение инфраструктур ТфОП и Интернета, т.е. перевод голосового трафика ТфОП в одну среду передачи с трафиком данных, ведет к заметному снижению уровня безопасности ТфОП. Чтобы избежать этого, необходимо отделить голосовой трафик от трафика данных. Защита трафика при использовании VPN реализуется посредством функций туннелирования, аутентификации и шифрования.

В сети оператора с помощью туннелирования организуется подсеть VPN. Для передаваемого в ней трафика обеспечивается конфиденциальность (защита информации от несанкционированного чтения или перехвата), целостность (гарантия того, что данные при передаче не были искажены, потеряны или продублированы) и аутентичность (проверка подлинности идентификации пользователя). Причем конфиденциальность и целостность достигаются применением функций шифрования.

Итак, для разделения трафика данных и голосового трафика в сети оператора организуются подсеть VPN для передачи данных и подсеть VPN для передачи голосовой информации – и эти подсети не влияют друг на друга.

Выбор варианта VPN

Существует несколько вариантов организации сетей VPN:
  • Виртуальные выделенные линии (Virtual Leased Lines, VLL) . Соединение VLL используется для организации взаимодействия между двумя присоединяемыми сетями через транзитную сеть. Для этого создается туннель по всему маршруту прохождения трафика, включая граничные узлы присоединяемых сетей. При этом через транзитную сеть трафик передается «прозрачно», без анализа и маршрутизации. Таким образом, функции обеспечения безопасности (туннелирование, шифрование, аутентификацию) реализует оператор присоединяемой сети. Возможность подключения к организованному туннелю другого туннеля не предусмотрена. Этот вариант организации пропуска трафика аналогичен аренде одного канала телефонной сети.
  • Эмуляция сегмента локальной сети в сети с коммутацией пакетов (Virtual Private LAN Segment, VPLS) . VPLS представляет собой сеть туннелей VLL, каждый из которых создается для взаимодействия двух (из нескольких) удаленных присоединяемых сетей одного оператора через транзитную сеть. Сеть туннелей VPLS организуется по принципу «каждый с каждым». Как и в случае VLL, в транзитной сети не производится маршрутизация трафика, передаваемого по туннелям VPLS. Такой вариант организации пропуска трафика аналогичен построению телефонной сети на базе арендованных каналов.
  • Маршрутизируемые VPN (Virtual Private Routed Network, VPRN) . VPRN используются для создания туннелей между узлами транзитной сети, а не между присоединяемыми сетями через транзитную сеть. При этом маршрутизация трафика присоединяемых сетей осуществляется в транзитной сети. По функциональности данный вариант аналогичен транзиту телефонной нагрузки через станции коммутации транзитной сети.
Выбор варианта организации VPN в сети одного оператора зависит от ее архитектуры: использовать VPLS и VPRN целесообразно в разветвленных сетях, а VLL – только в случае, если сеть оператора представляет собой цепочку узлов без ответвлений и подключения к такой сети осуществляются через два ее оконечных узла.

Для оператора присоединяемой сети VLL предпочтительнее при наличии у него только двух сетей для их соединения через транзитную сеть. Для соединения более двух удаленных сетей служат VPLS и VPRN. При использовании VPLS ответственность за безопасность передаваемого трафика несет оператор присоединяемой сети, при использовании VPRN – оператор транзитной сети. Кроме того, в случае VPLS организуются соединения «каждый с каждым» (это может привести к неоптимальному использованию ресурсов сети), а также отсутствует возможность перераспределения нагрузки по другим туннелям того же присоединяемого оператора. Таким образом, на части туннелей может наблюдаться перегрузка, в то время как другие могут быть не загружены. Применение VPRN дает возможность эффективнее распределять трафик по сети в зависимости от нагрузки, так как маршрутизация проводится в узлах транзитной сети.

Обработка пакетов

При передаче по VPN имеет место следующий порядок обработки пакетов.

В зависимости от требуемого уровня защиты на первом граничном узле, от которого проложен туннель VPN, производится:
  • аутентификация и инкапсуляция пакета IP присоединяемой сети в пакет IP транзитной сети для предотвращения вычисления топологии присоединяемой сети;
  • шифрование трафика (также позволяет осуществить аутентификацию);
  • шифрование и инкапсуляция пакета IP присоединяемой сети в пакет IP транзитной сети.
Затем пакет передается по туннелям сети VPN: по VLL и VPLS – «прозрачно», по VPRN – дешифруется и маршрутизируется на каждом узле транзитной сети. На принимающей стороне производится проверка подлинности и целостности пакета по заголовкам шифрования и аутентификации. Если проверка проведена успешно, из защищенного пакета извлекается исходный пакет IP.

Издержки применения VPN

В технологии VPN приемлемый уровень безопасности обеспечивается за счет процедур аутентификации и шифрования, что ведет к увеличению сетевой задержки при обработке пакетов и размера служебных полей, а следовательно, растут требования к пропускной способности каналов сети и производительности узлов сети. Это особенно заметно при взаимодействии VPN разных операторов.

Возможны следующие варианты организации взаимодействия сетей VPN: дешифрование на границе взаимодействующих сетей и повторное туннелирование (рисунок).

Дешифрование предполагает, что на границе между присоединяемой и транзитной сетью осуществляется дешифрование пакетов. Далее производится их повторная обработка по правилам сети VPN оператора транзитной сети. Такое взаимодействие организуется для обеспечения связи между всеми операторами присоединяемых сетей через транзитную сеть. В данном случае существенно увеличивается задержка при обработке пакета и, соответственно, еще более возрастают, по сравнению с VPN одного оператора, требования к производительности узлов сети.

Повторное туннелирование заключается в том, что на границе между операторами, т.е. в граничном узле сети, пакет обрабатывается по правилам сети VPN оператора транзитной сети без анализа и дешифрования. При таком взаимодействии длина служебных полей удваивается и, соответственно, возрастают требования к пропускной способности каналов.

Недостатки технологии VPN в части производительности и пропускной способности особенно негативно сказываются на качестве передачи голосового трафика. Помимо роста сетевой задержки, увеличивается соотношение размеров служебных полей и поля полезной нагрузки (таблица).

Данные для таблицы соответствуют результатам практической проверки с использованием кодека G.711. При использовании, например, кодека G.729 длина поля полезной нагрузки составляет не 160, а 20 байт. При этом объем заголовков пакетов и другой служебной информации начинает превышать объем полезной нагрузки.

Голосовой трафик передается по протоколу RTP, и информация разбивается на маленькие пакеты (где 40 байт занимает заголовок, а от 20 до160 байт – полезная нагрузка). При обработке каждого такого пакета общая пропускная способность, требуемая для одного разговора, увеличивается больше, чем при передаче данных. То есть при организации VPN на имеющейся сети следует иметь в виду, что число одновременно поддерживаемых разговоров может оказаться меньше планируемого.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!