Zpravy

L2 a L3 VPN komunikační kanály – rozdíly mezi fyzickými a virtuálními kanály různých úrovní / Habr

S laskavým úsměvem si nyní připomínáme, jak lidstvo s napětím očekávalo konec světa v roce 2000. To se tehdy nestalo, ale stalo se něco úplně jiného a také velmi významného.

Historicky v té době svět vstoupil do skutečné počítačové revoluce v. 3.0. – spuštění cloudových technologií pro distribuované úložiště a zpracování dat. Pokud navíc předchozí „druhou revolucí“ byl masový přechod na technologie „klient-server“ v 80. letech, pak tu první lze považovat za začátek souběžné práce uživatelů využívajících samostatné terminály připojené k tzv. „sálových počítačů“ (v 60. letech minulého století). Tyto revoluční změny proběhly pokojně a bez povšimnutí uživatelů, ale ovlivnily celý svět podnikání spolu s informačními technologiemi.

Při převodu IT infrastruktury na cloudové platformy a vzdálená datová centra se klíčovou otázkou okamžitě stává organizace spolehlivých komunikačních kanálů od klienta k datovým centrům. Na internetu můžete často najít nabídky od poskytovatelů: „fyzická vyhrazená linka, optická vlákna“, „kanál L2“, „VPN“ a tak dále. Pokusme se přijít na to, co to znamená v praxi.

Komunikační kanály – fyzické a virtuální

1. Organizace „fyzické linky“ nebo „kanálu druhé úrovně, L2“ se obvykle nazývá služba poskytování vyhrazeného kabelu (měděného nebo optického vlákna) nebo rádiového kanálu mezi kancelářemi a místy, kde je nasazeno zařízení datového centra. Při objednání této služby v praxi s největší pravděpodobností dostanete k pronájmu vyhrazený optický kanál. Toto řešení je atraktivní, protože poskytovatel odpovídá za spolehlivou komunikaci (a v případě poškození kabelu samostatně obnovuje funkčnost kanálu). Ve skutečnosti však kabel není pevný po celé své délce – skládá se z mnoha úlomků spojených (svařených), což poněkud snižuje jeho spolehlivost. Na trase pokládky optického kabelu musí poskytovatel použít zesilovače, rozbočovače a modemy na koncových bodech.

V marketingových materiálech je toto řešení podmíněně spjato s úrovní L2 (Data-Link) modelu sítě OSI nebo TCP/IP – umožňuje pracovat jakoby na úrovni přepínání ethernetových rámců v LAN, bez obav z řady problémů se směrováním paketů na další, IP úrovni sítě. V klientských virtuálních sítích je například možné nadále používat své vlastní, tzv. „soukromé“ IP adresy namísto registrovaných unikátních veřejných adres. Protože je velmi výhodné používat privátní IP adresy v lokálních sítích, byly uživatelům přiděleny speciální rozsahy z hlavních tříd adres:

  • 10.0.0.0 – 10.255.255.255 ve třídě A (s maskou 255.0.0.0 nebo /8 v alternativním formátu masky);
  • 100.64.0.0 – 100.127.255.255 ve třídě A (s maskou 255.192.0.0 nebo /10);
  • 172.16.0.0 – 172.31.255.255 ve třídě B (s maskou 255.240.0.0 nebo /12);
  • 192.168.0.0 – 192.168.255.255 ve třídě C (s maskou 255.255.0.0 nebo /16).

Poznámka: NAT – Network Address Translation (mechanismus pro nahrazování síťových adres tranzitních paketů v sítích TCP/IP, používaný pro směrování paketů z lokální sítě klienta do jiných sítí/internetu a opačným směrem – uvnitř klientské LAN k příjemci).

Tento přístup (a mluvíme o vyhrazeném kanálu) má zřejmou nevýhodu – pokud se klientova kancelář přestěhuje, mohou nastat vážné potíže s připojením na nové místo a může být potřeba změnit poskytovatele.

Přečtěte si více
Kavalírova hvězda. Pěstování mučenky

Tvrzení, že takový kanál je výrazně bezpečnější, lépe chráněný před útoky vetřelců a chybami nekvalifikovaného technického personálu, se při bližším zkoumání ukazuje jako mýtus. Bezpečnostní problémy v praxi často vznikají (nebo jsou vytvářeny hackerem záměrně) přímo na straně klienta za účasti lidského faktoru.

2. Virtuální kanály a privátní sítě VPN (Virtual Private Network) na nich postavené jsou široce používané a umožňují řešení většiny problémů klientů.

Poskytování „L2 VPN“ poskytovatelem znamená výběr z několika možných služeb „druhé úrovně“, L2:

VLAN – klient obdrží virtuální síť mezi svými kancelářemi a pobočkami (ve skutečnosti prochází klientský provoz přes aktivní zařízení poskytovatele, což omezuje rychlost);

Připojení PWE3 Point-to-Point (jinými slovy, „emulovat přerušovaný pseudodrát“ v sítích s přepojováním paketů) umožňuje přenos ethernetových rámců mezi dvěma uzly, jako by byly přímo propojeny kabelem. Pro klienta je u takové technologie zásadní, aby všechny přenášené rámce byly doručeny do vzdáleného bodu beze změn. Totéž se děje v opačném směru. To je možné díky skutečnosti, že rámec klienta, který přichází do routeru poskytovatele, je poté zapouzdřen (přidán) do bloku dat vyšší úrovně (paket MPLS) a je extrahován v koncovém bodě;

Poznámka: PWE3 – Pseudo-Wire Emulation Edge to Edge (mechanismus, kterým z pohledu uživatele obdrží vyhrazené připojení).

MPLS – MultiProtocol Label Switching (technologie přenosu dat, ve které jsou paketům přidělovány transportní/servisní štítky a cesta přenosu datových paketů v sítích je určena pouze na základě hodnoty štítku, bez ohledu na přenosové médium, pomocí libovolného protokolu. Během směrování lze přidávat nové štítky (v případě potřeby) nebo odebírat po ukončení jejich funkce. Obsah paketů není analyzován ani měněn).

VPLS – technologie pro simulaci lokální sítě s vícebodovým připojením. Síť poskytovatele v tomto případě vypadá ze strany klienta jako jeden přepínač, který ukládá tabulku MAC adres síťových zařízení. Takový virtuální „přepínač“ distribuuje ethernetový rámec přijatý z klientské sítě na místo určení – za tímto účelem je rámec zapouzdřen do MPLS paketu a následně extrahován.

Poznámka: VPLS – Virtual Private LAN Service (mechanismus, kdy jsou z pohledu uživatele jeho geograficky rozptýlené sítě propojeny virtuálními L2 spojeními).

MAC – Media Access Control (způsob řízení přístupu k médiu – jedinečnému 6bajtovému identifikátoru adresy síťového zařízení (nebo jeho rozhraní) v sítích Ethernet).

3. V případě nasazení „L3 VPN“ vypadá síť poskytovatele jako jeden router s více rozhraními pro klienta. Ke spojení mezi lokální sítí klienta a sítí poskytovatele tedy dochází na úrovni L3 modelu sítě OSI nebo TCP/IP.

Veřejné IP adresy pro síťové přípojné body lze určit po dohodě s poskytovatelem (patří klientovi nebo získat od poskytovatele). IP adresy si klient konfiguruje na svých routerech na obou stranách (soukromé – na straně své lokální sítě, veřejné – na straně poskytovatele) a poskytovatel zajišťuje další směrování datových paketů. Technicky se k implementaci takového řešení používá MPLS (viz výše), stejně jako technologie GRE a IPSec.

Poznámka: GRE – Generic Routing Encapsulation (tunelovací protokol, balení síťových paketů, který umožňuje vytvoření bezpečného logického spojení mezi dvěma koncovými body – pomocí zapouzdření protokolu na síťové vrstvě L3).

IPSec – IP Security (soubor protokolů pro ochranu dat přenášených přes IP. Využívá autentizaci, šifrování a kontrolu integrity paketů).

Přečtěte si více
Rozbor vody ze studny a vrtu

Je důležité pochopit, že moderní síťová infrastruktura je postavena tak, že klient vidí pouze tu část, která je definována smlouvou. Dedikované zdroje (virtuální servery, routery, úložiště a zálohování provozních dat), stejně jako spuštěné programy a obsah paměti jsou zcela izolovány od ostatních uživatelů. Několik fyzických serverů může pracovat společně a současně pro jednoho klienta, z jehož pohledu se budou jevit jako jeden výkonný serverový fond. Naopak na jednom fyzickém serveru lze současně vytvořit více virtuálních strojů (každý se uživateli bude jevit jako samostatný počítač s operačním systémem). Kromě standardních řešení nabízíme individuální řešení, která splňují i ​​přijaté požadavky na bezpečnost zpracování a uchovávání zákaznických dat.

Konfigurace sítě „L3 level“ nasazené v cloudu zároveň umožňuje škálování na prakticky neomezené velikosti (na tomto principu je postaven internet a velká datová centra). Dynamické směrovací protokoly jako OSPF a další v cloudových sítích L3 vám umožňují vybrat nejkratší cesty pro směrování datových paketů, posílat pakety současně několika cestami pro nejlepší zatížení a rozšíření kapacity kanálu.

Zároveň je možné nasadit virtuální síť na „úrovni L2“, která je typická pro malá datová centra a starší (nebo vysoce specifické) klientské aplikace. V některých z těchto případů se k zajištění síťové kompatibility a provozuschopnosti aplikací používá dokonce technologie L2 oproti L3.

Shrnout

Úlohy uživatele/klienta lze dnes ve většině případů efektivně vyřešit organizací virtuálních privátních sítí VPN pomocí technologií GRE a IPSec pro zabezpečení.

Kontrast L2 a L3 nemá žádný zvláštní smysl, stejně jako nemá smysl považovat návrh kanálu L2 za nejlepší řešení pro vybudování spolehlivé komunikace ve vaší síti, všelék. Moderní komunikační kanály a vybavení poskytovatelů umožňují přenos velkého množství informací a mnoho vyhrazených kanálů pronajatých uživateli je ve skutečnosti nedostatečně zatíženo. L2 je rozumné používat pouze ve zvláštních případech, kdy to vyžadují specifika úkolu, vzít v úvahu omezení možnosti budoucího rozšíření takové sítě a poradit se s odborníkem. Na druhou stranu jsou virtuální sítě L3 VPN, pokud jsou všechny ostatní věci stejné, všestrannější a snadněji se obsluhují.

Tento přehled stručně uvádí moderní standardní řešení, která se používají při migraci místní IT infrastruktury do vzdálených center zpracování dat. Každý z nich má svého spotřebitele, výhody a nevýhody, správný výběr řešení závisí na konkrétním úkolu.

V reálném životě obě úrovně síťového modelu L2 a L3 spolupracují, každá je zodpovědná za svůj vlastní úkol a tím, že je poskytovatelé staví do kontrastu v reklamě, jsou vyloženě nečestní.

  • IT infrastruktura
  • Virtualizace
  • Vysoký výkon
  • IT terminologie
  • hosting

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Back to top button