|
Основы классификации трафика Ethernet
Технология классификации трафика компании MRV реализует концепцию виртуальных каналов и предоставления качества услуг, характерную для таких технологий, как ATM, в сетях Ethernet. Обычные коммутаторы Ethernet для локальных сетей разработаны для быстрого продвижения пакетов данных, однако они неспособны определять принадлежность этих кадров к определенной их последовательности, то есть к определенному потоку информации. Коммутаторы, поддерживающие технологию классификации, распознают такие потоки (которые можно сравнить с виртуальными каналами) и могут применять к ним заданные правила.
Система классификации трафика коммутаторов OptiSwitch на аппаратном уровне производит управление скоростями доступа и приоритезацию для каждого абонента и каждого потока информации в сети. Кроме того, важной особенностью этих систем является возможность определять потоки информации, которые не могут быть перехвачены или изменены другими абонентами. Функции защиты информации и QoS важны как для операторов связи, так и для крупных корпоративных заказчиков.
Кто использует технологию классификации трафика Ethernet?
Данная технология может быть использована как в сетях доступа операторов связи, так и в крупных корпоративных сетях.
Операторы связи получают возможность предоставлять как традиционные услуги связи, так и новые, ориентированные на протокол IP и технологию Ethernet. Иными словами, технология классификации трафика предоставляет операторам все возможности, характерные для традиционных магистральных технологий, по цене обычного Ethernet, что значительно снижает затраты на инсталляцию и поддержку такой сети и повышает прибыль от предоставляемых абонентам услуг.
Оператор может предлагать заказчикам соглашения об уровне сервиса (SLA) также, как это делается в SONET или ATM, но по цене Ethernet. Функция управления предоставляемой абонентам полосой пропускания позволяет ограничить реальную скорость, с которой работает то или иное приложение или пользователь. Например, в случае доступа по каналу Fast Ethernet, скорость работы с Internet может быть ограничена 128 Кбит/с, для объединения локальных сетей выделена полоса в 5 Мбит/с, а приложения аудио- и видеоконференций могут получать полосу пропускания по требованию. Вводя различные тарифные планы для каждой из подобных услуг, операторы могут более эффективно использовать имеющиеся ресурсы и значительно увеличить прибыль, сократив накладные расходы.
Кроме того, задача оператора связи состоит в обеспечении надежной защиты абонентов от возможности злонамеренного перехвата информации и несанкционированного доступа со стороны других абонентов. Эта задача становится особенно важной при использовании технологии с разделяемой средой передачи, которой является Ethernet. Технология классификации трафика решает эту проблему путем создания отдельных VLAN между каждым абонентом и маршрутизатором. Каждому абоненту присваивается уникальный идентификатор VLAN, который учитывается всеми коммутаторами сети на всем пути пакетов к маршрутизатору, и таким образом создается физический барьер между всеми абонентами сети доступа. Использование такой архитектуры надежно предотвращает возможность несанкционированного доступа, ведь прямая передача информации между абонентами, находящимися в разных VLAN невозможна, а все потоки информации проходят через центральный маршрутизатор, который осуществляет дополнительную проверку и фильтрацию.
Предприятиям использование технологии классификации дает возможность пользоваться услугами аутсорсинга, предлагаемых провайдерами ASP. В локальной сети, коммутаторы которой поддерживают классификацию, легко распределить требуемые услуги и довести их до каждого рабочего места. Коммутаторы OptiSwitch могут определить, к какому типу и классу обслуживания принадлежит тот или иной ПК. Такая концепция дает корпоративным пользователям возможность более гибкого использования услуг, предоставляемых оператором связи. Например, в корпоративной сети можно установить различные скорости доступа и качество обслуживания для каждого пользователя и каждого сервиса. Это дает возможность сэкономить на оплате доступа в Internet, оптимизировать загрузку канала доступа, а также повысить производительность работы своих сотрудников.
В корпоративной сети администратор может разделять трафик разных рабочих групп для обеспечения большей безопасности. Эта же схема может быть использована как часть общей схемы защиты в Internet для создания полномасштабной системы безопасности. Используя различные потоки информации, можно отделить чувствительные к задержкам приложения и критически важные сервисы от обычного доступа пользователей в Internet.
Как используется технология классификации трафика Ethernet?
Вся линейка коммутаторов OptiSwitch компании MRV поддерживает технологию классификации трафика. Любое из устройств семейств OptiSwitch, OptiSwitch-M, или OptiSwitch-Z могут быть использованы для конфигурирования защиты информации в сети и ограничения скорости на их портах в соответствии с информацией, содержащейся в заголовках IP-пакетов. При использовании продуктов линейки OptiSwitch может быть целиком построена сеть доступа Ethernet с поддержкой QoS, управлением полосой пропускания и функциями защиты информации, работающая на всем пути от абонента к магистрали сети оператора связи.
Классификация трафика в сети с помощью коммутаторов OptiSwitch осуществляется во всей сети, начиная с порта доступа абонента. Именно возможность отлеживать весь трафик, начиная с точки, в которой абонент подключен к сети, позволяет гарантировать реальное качество услуг в сети Ethernet, поскольку она дает возможность отсеять несанкционированный и неоплаченный трафик еще до его попадания в сеть оператора. Это позволяет более эффективно использовать ресурсы сети и значительно повысить ее общую производительность.
Система классификации трафика коммутаторов OptiSwitch на аппаратном уровне производит управление скоростями доступа и приоритезацию для каждого абонента и каждого потока информации в сети. Она реализует комбинацию таких алгоритмов как "Token Bucket", используемого для приведения скорости потока в соответствие с заданной величиной, и схемы обработки очередей с прямыми приоритетами, когда пакет, имеющий наивысший приоритет, будет гарантированно и без задержек передан на следующий узел сети или непосредственно по адресу назначения. Пакеты, которые не удовлетворяют заданным правилам, могут быть отброшены при появлении заторов в сети, а чаще всего отбрасываются немедленно.
Каждый поток кадров Ethernet может быть определен на основе комбинации множества параметров Уровней 1 - 5, таких как номер физического порта коммутатора, IP-адрес, порты TCP или UDP. После того, как поток определен, к нему применяются правила и действия, заданные в хранящейся в коммутаторе базе потоков. К таким действиям относятся маркировка различных полей в заголовках пакетов и снятие этой маркировки, проверка на соответствие соглашению об уровне сервиса (SLA), фильтрация и дальнейшее продвижение, обеспечение качества услуг (QoS) для потока, сбор статистики и биллинг.
В отличие от мира традиционной связи, предоставление услуг в Ethernet не требует конфигурирования и модернизации аппаратного обеспечения. Например, повышение скорости канала от 2 Мбит/с (что соответствует E1) до
45 Мбит/с (DS3) производится с помощью программного обеспечения с консоли администратора без какого бы то ни было ручного конфигурирования оборудования. Это преимущество коммутаторов OptiSwitch становится особенно ярким на фоне традиционных технологий доступа, для которых время предоставления услуг измеряется днями или даже месяцами, оно дает возможность моментальной или даже самостоятельной активации заказанных абонентом услуг. Использование данной технологии не только в сети доступа, но и на магистрали позволяет значительно снизить стоимость поддержки, уменьшить затраты труда технического персонала и уберечь от необходимости постоянно приобретать новое дорогостоящее оборудование.
Средства защиты, предлагаемые технологией классификации трафика Ethernet, обеспечивают также и средства предотвращения атак с помощью подмены адресов. Этот тип атаки на систему защиты сети заключается в использовании злоумышленником чужого IP-адреса для несанкционированного подключения к сети и использования ее услуг, предназначенных авторизованному пользователю. Наличие возможности для подобных действий ведет к нарушению соглашений об уровне сервиса (SLA) других абонентов и даже к атакам на другие сети и компьютеры, лишая администратора возможности установить их истинного инициатора. Подобные ситуации легко предотвращаются путем жесткой привязки IP-адресов к номерам физических портов, к которым подключены абоненты. Поскольку весь входящий трафик IP проходит проверку на портах доступа, пакеты, у которых IP-адрес не совпадает с тем, который назначен данному порту, будут немедленно отброшены и не попадут в сеть. Таким образом, оператор легко отсекает все возможности "пиратского" подключения к сети и неавторизованного доступа к ее ресурсам.
Ссылки по теме
|
www.mrv.com
