570 likes | 1.05k Views
Виртуализация в NGN. Лекция 14. Виртуальные каналы и виртуальные пути (туннелирование), как временные, так и постоянные ( SVC и PVC ). VLAN : использование для предоставления мультикастинговых услуг и обеспечение защиты сети.
E N D
Виртуализацияв NGN Лекция 14
Виртуальные каналы и виртуальные пути (туннелирование), как временные, так и постоянные (SVC и PVC). • VLAN:использование для предоставления мультикастинговых услуг и обеспечение защиты сети. • VPN на различных уровнях модели TCP/IP (наследники SVC и PVC) • MPLS: возможность туннелирования и замены маршрутизации на коммутацию для IP-пакетов. • Cloud Computing – «облачные вычисления»: возможность предоставления хранения информации в сети, совместное использование инструментов.
1.MPLS (Multi-Protocol Label Switching) Разрабатывается IETF RFC 2702, RFC 2283,RFC 2547 Цель: отделение процесса маршрутизации пакета от необходимости анализа IP-адресов в его заголовке, что существенно уменьшает время пребывания пакетов в маршрутизаторе и обеспечивает требуемые показатели QoS для трафика реального времени. Недостатки: ориентирован на топологию Основной механизм: коммутация по меткам, туннелирование
Появление MPLS обусловлено недостатками IP-маршрутизации: отсутствие балансировки нагрузки (кроме специальных настроек OSPF). Т.о. некоторые пути не используются, постоянное переназначение метрик приводит к нестабильности сети, управление трафиком посредством IGP слишком медленное, маршрутизация зависит только от топологии. 3 1 B D E A C 1 2 Пример: Используется путь А-C-D-E, путь A-B-D оказывается не загружен
Цель: ускорить процесс маршрутизации IP-пакетов, расширить возможности обработки трафика в зависимости от типа приложения. • Идея: коммутация меток. Каждый пакет снабжается меткой, которая несет в себе информацию о следующем узле сети. Метка добавляется к пакету (т.е. между 2 и 3 уровнем). Т.О. каждый пакет ассоциируется к определенным потоком. • Преимущества: высокая скорость передачи пакетов за счет обработки метки короткого фиксированного размера (20 бит), анализ заголовка IP-пакета только на входе в MPLS-облако, эффективное управление трафиком, поддержка балансировки нагрузки, создание виртуальных каналов.
Физическая сеть Логическая сеть
Метка MPLS Метка CoS S TTL 19 0 23 31 Метка: 20 бит CoS (класс обслуживания): 3 бита S (признак дна стека меток): 1 бит TTL: 8 бит eth метка IP-пакет eth В IP-cетях метка вставляется между заголовками канального и сетевого уровней
Специальные метки • Диапазон значений меток 0-15. • Зарезервированы: • 0: явный ноль IPv4 – пакет должен быть освобожден от метки; • 1: метка предупреждения маршрута – пакет должен быть доставлен данному маршрутизатору; • 2:явный ноль IPv6 – пакет должен быть освобожден от метки; • 3: необходимость снятия метки, используется протоколами управления; • 4-15: свободны для использования.
Способы назначения меток • Нисходящее назначение: в направлении, обратном к потоку данных. Назначает исходящие метки. • Нисходящее назначение по требованию: в направлении, обратном к потоку данных. Назначает исходящие метки по требованию предыдущего маршрутизатора. • Восходящее назначение: по направлению потока данных. Назначает входящие метки.
Пример назначения меток Hello/UDP А В Hello/UDP TCP Open А В Инициализация IP запрос метки В А Связывание метки
Алгоритм обработки меток • Каждый узел содержит базу меток TIB (Tag Information Base) – т.е. таблицу перенаправлений, содержащую соответствие между полученной и исходящей меткой. • Узел, получающий пакет, анализирует метку, ищет запись в TIB, изменяет метку на соответствующую и направляет на исходящий порт. • Возможен мультикастинг: назначение на одну входящую метку несколько исходящих.
Особенности назначения меток • Назначаются каждым узлом, имеют локальное значения в пределах узла. • Если метка не определена: • Сброс пакета • Узел не читает заголовок пакета • Узел не генерирует квитанцию • Пакет может содержать несколько меток – стек. В этом случае решение о коммутации принимается на основе значения последней метки. Метод анализа стека меток LIFO PPP MPLS4 MPLS3 MPLS2 MPLS1 IP- заголовок Данные PPP Анализируется последней Анализируется первой
Пример MPLS-сети Транзитные LSR Исходящий LSR Поток данных LAN источника LAN получателя Входящий LSR Распределение Запросы меток меток LSR (Label Switching Router) – маршрутизатор коммутации по меткам. Последовательность маршрутизаторов (LSR1, LSR2,..., LSRn), через которые проходят пакеты, принадлежащие одному потоку, образует виртуальный путь LSP, коммутируемый по меткам (Label Switching Path).
Передача пакета по LSP • Входящий узел: • Получает IP-пакет с адресом получателя, например 192.168.1.5; • Определяет подсеть 192.168.1.0; • Добавляет метку к пакету, например, 203; • Отправляет пакет к следующему узлу • Транзитный узел: • Получает пакет с меткой, просматривает таблицу коммутации; • Осуществляет смену меток, например, 203 на 527; • Передает пакет следующему узлу
Все остальные транзитные узлы производят аналогичные процедуры. • Предпоследний узел: • Получает пакет с меткой, просматривает таблицу коммутации; • Снимает метку (последний узел запрашивает метку 3); • Отправляет пакет к последнему узлу. • Последний узел отправляет IP-пакет получателю. IP 192.168.1.5 203 527 3 LSP
2. Виртуальные частные сети - VPN VPN – Virtual Private Network – имитируют возможности частной сети в рамках общедоступной, используя существующую инфраструктуру. ОсобенностьVPN – формирование логических связей не зависимо от типа физической среды. Позволяют обойтись без использования выделенных каналов. Задача: обеспечение в общедоступной сети гарантированного качества обслуживания, а также их защита от возможного несанкционированного доступа или повреждения.
1998 год – разработка приложений VPN, позволяющих осуществлять централизованный контроль со стороны пользователей. • 1999 год – модель аутентификации, дополнительные средства для конфигурирования клиентов • 2000 год – включение средств VPN в Windows2000 • В настоящее время технология вошла в фазу расцвета. Используются различные технологии и архитектуры с учетом потребностей конкретной сети. • Использование общедоступной IP-сети для предоставления удаленного доступа к информации может (!) являться безопасным.
Классификация VPN По уровню модели OSI По архитектуре технического решения По способу технической реализации VPN канального уровня: PPTP, L2TP MPLS На основе удаленного доступа На основе сетевой операционной системы На основе межсетевого экрана VPN сетевого уровня: IPSec Внутрикорпоративные VPN На основе маршрутизаторов VPN транспортного уровня: SSL/TLC Межкорпоративные VPN На основе программных решений На основе аппаратных решений
Базовые архитектуры VPN • Шлюз-шлюз • Шлюз-хост • Хост-хост • Комбинированная – через промежуточный шлюз (IPSG) LAN IPSG VPN-шлюз IP-сеть IP-сеть
Основные компоненты VPN • VPN-шлюз – сетевое устройство, подключенное к нескольким сетям, выполняет функции шифрования, идентификации, аутентификации, авторизации и туннелирования. Может быть решен как программно, так и аппаратно. • VPN-клиент (хост) решается программно. Выполняет функции шифрования и аутентификации. Сеть может быть построена без использования VPN-клиентов.
Туннель – логическая связь между клиентом и сервером. В процессе реализации туннеля используются методы защиты информации. • Граничный сервер – это сервер, являющийся внешним для корпоративной сети. В качестве такого сервера может выступать, например, брендмауэр или система NAT. • Обеспечение безопасности информации VPN – ряд мероприятий по защите трафика корпоративной сети при прохождении по туннелю от внешних и внутренних угроз.
Схемы взаимодействия провайдера и клиента • Пользовательская схема – оборудование размещается на территории клиента, методы защиты информации и обеспечения QoS организуются самостоятельно. • Провайдерская схема – средства VPN размещаются в сети провайдера, методы защиты информации и обеспечения QoS организуются провайдером. • Смешанная схема – используется при взаимодействии клиента с несколькими провайдерами.
Защита данных в VPN Требования к защищенному каналу: • Конфиденциальность • Целостность • Доступность легальным пользователям (аутентификация) Методы организации защищенного канала: • Шифрование. • Аутентификация – позволяет организовать доступ к сети только легальных пользователей. • Авторизация – контролирует доступ легальных пользователей к ресурсам в объемах, соответствующих предоставленными им правами. • Туннелирование – позволяет зашифровать пакет вместе со служебной информацией.
Поддержка VPN на различных уровнях модели OSI • Канальный уровень: • L2TP, PPTP и др. (авторизация и аутентификация) • Технология MPLS (установление туннеля) • Сетевой уровень: • IPSec (архитектура «хост-шлюз» и «шлюз-шлюз», поддержка шифрования, авторизации и аутентификации, проблемы с реализацией NAT) • Транспортный уровень: • SSL/TLS (архитектура «хост-хост» соединение из конца в конец, поддержка шифрования и аутентификации, реализован только для поддержки TCP-трафика)
Протоколы канального уровня: • PPTP (Point-to-Point-Tunneling Protocol). Шифрует кадры РРР и инкапсулирует их в IP пакеты (1996 год, разработка Microsoft, Ascend, 3Con и US Robotics) • L2F (Layer to Forwarding). Прототип L2TP (1996 год, разработка Cisco) • L2TP(Layer to Tunneling Protocol). Инкапсулирует кадры РРР в протокол сетевого уровня, предварительно проведя аутентификацию пользователя (1997 год, разработка Cisco и IETF)
Инкапсуляция кадров РРР в IP PPP Заголовок IP Данные PPP Уровень 2 Новый заголовок IP PPP Заголовок IP Данные PPP Уровень 3 PPP Новый заголовок IP PPP Заголовок IP Данные PPP PPP Уровень 2
Организация VPN/MPLS VPN/MPLS – хорошо масштабируемое решение. Рекомендация RFC 2547bis (модель IETF): • Р узлы: должны поддерживать маршруты к другим Р и РЕ узлам, а не VPN-маршруты • РЕ узлы: поддерживают только непосредственно подсоединенные VPN-маршруты • VPN могут иметь перекрывающиеся адреса
Модель взаимодействия с сетью VPN1 VPN2 Узлы провайдера Пограничный узел провайдера Пограничный узел провайдера РЕ узел Р узел Р узел РЕ узел VPN21 VPN2 Пограничный узел пользователя Пограничный узел пользователя
Адресация VPN Внутренняя адресация должна быть уникальна для провайдера! 10.2/16 10.1/16 Маршрутизатор 1 Маршрутизатор 4 Сеть провайдера Принимать только желтых! Маршрутизатор 2 Маршрутизатор 3 10.1/16 10.2/16 RD1:10.1/16 зеленый маршрут RD1: 10.2/16зеленый маршрут RD2: 10.1/16желтый маршрут RD2: 10.2/16желтый маршрут
RD – Route Distinguisher – признак маршрута. Используется для определения конкретных маршрутов. Это новый тип адреса. • Основная идея – сделать неуникальные адреса уникальными, заменив группы IP-адресов на RD. • Способ: совмещение IP-адреса и некоторого уникального идентификатора. Таким образом, для каждого маршрута в рамках одной VPN будут разные RD. • Комьюнити – сообщества – используются для фильтрации трафика.Обозначаются «цветом». • Трансляция комьюнити происходит только в узлах PE. • Комьюнити используются только в сети провайдера и только для управления и трансляции.
метка IP-адрес Определение VPN 10.1/16 10.2/16 Маршрутизатор 4 Маршрутизатор 2 PE1 PE2 Маршрутизатор 3 10.1/16 10.2/16 Маршрутизатор 1
Использование метки VPN 10.1/16 10.2/16 Маршрутизатор 4 Маршрутизатор 2 PE1 PE2 Метка LSP Маршрутизатор 3 Метка VPN 10.1/16 10.2/16 Маршрутизатор 1
Протоколы сетевого уровня • IPSec (IP Security) – набор протоколов. Организует аутентификацию, шифрование и автоматическое снабжение конечных точек канала секретными ключами (1997 год, разработка IETF). Определен для IPv4 и IPv6. • Поддерживает два режима: • Транспортный (защита данных в пакете) • Туннельный (защита всего пакета, включая заголовок) • Каждый из участников соединения должен иметь соответствующее программное обеспечение и сконфигурировать параметры туннеля.
Стек протоколов IPSec Internet Key Management - Управление ключами пользователя на прикладном уровне Прикладной IKE Транспортный IPSec Сетевой (IP) Два протокола: АН: аутентификация, гарантия целостности данных ESP: аутентификация и шифрование Канальный Физический В случае использования IPSec в заголовке IP в поле «протокол верхнего уровня» (IPv4) или «следующий заголовок» (IPv6) помечается «IPSec»
Ассоциация IPSec –SA (Security Association) • Параметры SA: • Индекс параметра безопасности SPI • Адрес приемника • Идентификатор протокола безопасности (АН или ESP) • Используемый алгоритм обеспечения безопасности • Метод обмена ключами • Метод аутентификации • Метод шифрования • Время активности SA • Режим протокола (транспортный или туннельный) • Время жизни туннеля • И.т.п.
Определение SA SA2 SA1 Internet шлюз шлюз Из конца в конец От станции к файерволлу
Режимы IPSec • Туннельный режим: • Добавляется новый IP-заголовок • Исходный IP-заголовок инкапсулируется (предварительно шифруется). • Адрес приемника и передатчика может изменяться на адрес граничного шлюза • Инкапсуляция может производиться оконечной станцией или шлюзом VPN • Транспортный режим: • Использует исходный IP-заголовок • Адреса оконечных устройств остаются без изменения • Инкапсуляция производится оконечными устройствами
Инкапсуляция IPSec для туннельного режима IP ТСР Данные Сетевой уровень IPSec IP ТСР Данные Уровень IPSec Зашифровано Сетевой уровень Новый IP IPSec IP ТСР Данные Зашифровано Канальный уровень PPP Новый IP IPSec IP ТСР Данные PPP Зашифровано
Инкапсуляция IPSecдля транспортного режима ТСР Данные Транспортный уровень IPSec ТСР Данные Уровень IPSec Зашифровано IP IPSec ТСР Данные Сетевой уровень Зашифровано Канальный уровень PPP IP IPSec ТСР Данные PPP Зашифровано
Инкапсуляция с аутентификацией (ESP) IP ТСР Данные Транспортный режим (АН аутентификация): IP ESP ТСР Данные Трейлер ESP Аутентиф. ESP Зашифровано Аутентифицировано Туннельный режим (АН аутентификация): Новый заг. IP ESP IP ТСР Данные Трейлер ESP Аутентиф. ESP Зашифровано Аутентифицировано
Управление ключом IKE • Функции IKE: • Установление SA(Security Association) • Определение параметров безопасности • Обмен ключами (UDP, порт 500) • Фазы работы IKE: • Фаза I: • Аутентификация (из конца в конец, из конца к файерволлу) • Определение параметров безопасности для Фазы II • Фаза II: • Установление параметров безопасности для соединения • Выбор аутентификации(HMAC-MD5, HMAC-SHA) • Выбор алгоритма шифрования (DES, RC5, IDEA, Blowfish, CAST-128)
Общая процедура IPSec • Фаза I для узла А, аутентификация • Фаза II для узлов A и В, обмен ключами • Установление туннеля • Контроль состояния туннеля минимум каждые 10 с. Интернет В А туннель
Правила безопасности • Правила безопасности определяют способы защиты, пропуска и сброса трафика. • Основным условием работы правил безопасности является зеркальность трафика в соединении • В случае ошибочного прописывания правил безопасности могут возникать конфликты, приводящие к потере трафика: • Скрывание • Конфликт в типе туннелей • Зацикливание • Асимметрия
Пример реализации правил безопасности ТСР 1.1.*.*: any 2.2.*.*: any protect ТСР 1.1.1.1: any 2.2.2.2: any AH transport ТСР 1.1.*.*: any 2.2.*.*: any protect ТСР 1.1.1.*: any 2.2.2.*: any ESP tunnel 6.6.6.6 1.1.1.1 2.2.2.2 5.5.5.5 6.6.6.6 ТСР 2.2.*.*: any 1.1.*.*: any protect ТСР 2.2.2.*: any 1.1.1.*: any ESP tunnel 5.5.5.5 ТСР 2.2.*.*: any 1.1.*.*: any protect ТСР 2.2.2.2: any 1.1.1.1: any AH transport
Протоколы транспортного уровня • SSL – Secure Sockets Layer.SSLv3, 1996 год. • TLS – Transport Layer Security. Стандарт IETF, RFC 2246. В настоящее время объединены в общий стек протоколов SSL/TLS Стек протоколов SSL/TLS SSL Handshake Protocol SSL Change Cipher Protocol SSL Alert Protocol FTP HTTP И др. протоколы прикладного уровня SSL Record Protocol TCP IP
Все браузеры поддерживают SSL/TLC. • SSL/TLS реализован поверх TCP (надежность доставки, квитирование), между транспортным и прикладным уровнем. Не поддерживает приложения UDP (отсутствует квитирование) • Стек протоколов SSL/TLS: • SSL Record Protocol: защита передаваемых данных • SSL Handshake Protocol: установление сессии (соглашение о используемых алгоритмах, параметры безопасности) • SSL Change Cipher Protocol (смена шифра) • SSL Alert Protocol (сообщения об ошибках)
Протоколы транспортного уровня • SSL – Secure Sockets Layer.SSLv3, 1996 год. • TLS – Transport Layer Security. Стандарт IETF, RFC 2246. В настоящее время объединены в общий стек протоколов SSL/TLS Стек протоколов SSL/TLS SSL Handshake Protocol SSL Change Cipher Protocol SSL Alert Protocol FTP HTTP И др. протоколы прикладного уровня SSL Record Protocol TCP IP
Все браузеры поддерживают SSL/TLC. • SSL/TLS реализован поверх TCP (надежность доставки, квитирование), между транспортным и прикладным уровнем. Не поддерживает приложения UDP (отсутствует квитирование) • Стек протоколов SSL/TLS: • SSL Record Protocol: защита передаваемых данных • SSL Handshake Protocol: установление сессии (соглашение о используемых алгоритмах, параметры безопасности) • SSL Change Cipher Protocol (смена шифра) • SSL Alert Protocol (сообщения об ошибках)
3. Cloud Computing –Облачные вычисления • Две идеи: • 1 (Netskape) – пользователь хранит данные в сети, действия над ними производит удаленно. • 2 (Microsoft) – пользователь хранит данные на своем терминале, действия производит локально, пересылает только результат. • Типы виртуализации: • Виртуализация каналов – появление PVC и SVC, VLAN, VPN. • Виртуализация хранения данных – FTP-серверы, ЦОДы, р2р-сети обмена данными. • Виртуализация операторов: появление виртуальных операторов IP-телефонии • Виртуализация услуг – интернет-банкинг, web e-mail и т.п.
Изменение принципов взаимодействия участников телекоммуникационного рынка с переходом на NGN С точки зрения модели NGN происходит расслоение операторов на два типа – операторов доступа (провайдеров и первичных сетей) и операторов услуг (контент-провайдеров, виртуальных операторов, владельцев интернет-порталов).