Carrier ethernet что такое

Обновлено: 15.01.2025

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Бенета Э.В., Канаев А.К.

Сегодня активно растет информатизация общества и, как следствие, увеличивается объем передаваемых данных. Пакетная технология Ethernet какое-то время полностью соответствовала требованиям ведущих операторов связи по качеству и скорости передачи информации. Однако несмотря на все достоинства Ethernet, ее использование на более высоком уровне в сетях операторского класса было затруднено. Специфика Ethernet заключается в несинхронности передачи данных. И если технологии SDH/PDH (Synchronous Digital Hierarchy/Plesiochronous Digital Hierarchy)позволяют обмениваться информацией с требуемой достоверностью и своевременностью, то при использовании классической Ethernet требуются дополнительные механизмы для достижения аналогичных показателей. Для устранения этих недостатков были разработаны технологии MPLS-TP (Multiprotocol Label Switching Transport Profile) и Carrier Ethernet (СЕ), или Ethernet операторского класса. В статье представлен анализ основных особенностей технологии СЕ, области ее применения и возможности прийти на смену SDH/PDH в технологических сетях связи.

Advanced next generation telecommunication network on the basis of Carrier Ethernet technology

Today there is strong growth in informatization of the society and, thus, the amount of data transmitted increases. Packet Ethernet technology for some time absolutely complies with the requirements of leading operators on the quality and speed of data transfer. However, despite of all the advantages of Ethernet, its using at a higher level of carrier-class networks was prevented by some difficulties. The Ethernet special nature is a non-synchronous data transfer. And if PDH/SDH (Synchronous Digital Hierarchy/Plesiochronous Digital Hierarchy) technology allows to exchange information with the required reliability and timeliness, then for using the classical Ethernet additional mechanisms to achieve similar performances are required. To eliminate these deficiencies the MPLS-TP (Multiprotocol label switching transport profile) and CarrierEthernet (CE) or carrier-class Ethernet technologies have been developed. The article provides the analysis of the main features of the CE technology, its scope and the possibility to replace the SDH/PDH technology in service communication networks.

Текст научной работы на тему «Перспективная телекоммуникационная сеть следующего поколения на основе технологии carrier Ethernet»

СОВРЕМЕННЫЕ ТЕХНОЛОГИИ -ТРАНСПОРТУ

Э. В. Бенета, А. К. Канаев

Императора Александра I

ПЕРСПЕКТИВНАЯ ТЕЛЕКОММУНИКАЦИОННАЯ СЕТЬ СЛЕДУЮЩЕГО ПОКОЛЕНИЯ НА ОСНОВЕ ТЕХНОЛОГИИ

В статье представлен анализ основных особенностей технологии СЕ, области ее применения и возможности прийти на смену SDH/PDH в технологических сетях связи.

Carrier Ethernet, MPLS, MPLS-TP, архитектура сети, уровень обслуживания, протокол управления, транспортный уровень, P-OTN, пакетные сети, маршрутизация.

Долгое время технологии синхронной цифровой иерархии (SDH) и плезиохронной цифровой иерархии (PDH) служили фундаментом теле-

коммуникационных сетей. Постепенно по мере информатизации общества появилась потребность в организации обмена большого объема передаваемых данных. В связи с этим стала использоваться пакетная технология Ethernet, закрепленная в 1983 г. в рамках международного стандарта IEEE 802.3. Однако классические Ethemet-решения обладали рядом недостатков, которые не позволяли использовать эту технологию в сетях операторского класса. Необходимость гарантированной и своевременной доставки пакетов данных послужила основанием для усовершенствования технологии Ethernet. В рамках стандарта IEEE 802.3 создана технология Carrier Ethernet (СЕ). Основным импульсом стала идея общей интеграции транспортной инфраструктуры в Ethernet-транспорт за счет, прежде всего, его невысокой стоимости и легкой масштабируемости.

Основа технология СЕ создана международной организацией Metro Ethernet Forum (MEF) для продвижения Ethernet в городские сети. В 2001 г. появился Альянс Ethernet на первой миле (Ethernet in the First Mile Alliance, EFMA), задачей которого было продвижение Ethernet в сети доступа. Набор решений этой задачи составил стандарт Ethernet IEEE 802.3ah (сейчас IEEE 802.3-2008). В 2005 г. EFMA вошел в состав MEF. Целью объединенной организации было развитие технологии Ethernet для применения в сетях общего пользования всех уровней: доступа, городских, глобальных. MEF определяет CE как универсальную стандартизирующую службу и сеть операторского класса, характеризующуюся пятью атрибутами: стандартизированными услугами, масштабируемостью, надежностью, качеством обслуживания и управлением услугами.

1 Два поколения CE

Существует два поколения СЕ. Первая версия СЕ 1.0 стандартизировала сети и сервисы, предоставляя тем самым услуги Ethernet сетью одного оператора. Сети и сервисы на основе стандартов второго поколения СЕ, выпущенного в 2012 г., поддерживают различные классы обслуживания и обеспечивают управление нескольких связанных операторских сетей.

В основе второго поколения CE 2.0 лежат шесть новых спецификаций MEF. В отличие от первого поколения СЕ, CE 2.0 имеет три новые важнейшие особенности:

• несколько классов обслуживания (Multi-CoS);

Поддержка нескольких классов обслуживания сама по себе не является чем-то новым. Самое главное, что теперь для каждого класса определены требования к параметрам качества обслуживания и передачи пакетов.

Взаимосвязанность означает стандартизацию интерфейса для обмена трафиком между операторами. Это особенно важно для сетей доступа, обеспечивающих новый тип услуг E-Access (Ethernet Access, межоператорская служба доступа), появившийся в CE 2.0. В основе лежат спецификации для внешнего межсетевого интерфейса ENNI (External Network-to-Network Interface - межоператорский межсетевой интерфейс). Все это позволит операторам обеспечивать для пользователей сквозное обслуживание из конца в конец в нескольких взаимосвязанных сетях с единым соглашением об уровне обслуживания (Service Level Agreement, SLA).

Управляемость означает возможность осуществлять сквозное управление устранением неисправностей (Fault Management) и мониторинг параметров работы (Performance Monitoring) в нескольких взаимосвязанных сетях. В частности, обеспечивается возможность локализации неисправностей.

Технология СЕ ориентирована на соединения. Это вполне естественно, так как только этим путем можно обеспечить качество, необходимое для сетей операторского класса. Виртуальное соединение Ethernet (Ethernet Virtual Connection, EVC) определяется как ассоциация двух или более UNI. EVC выполняет три основные функции: обеспечивает предопределенные тракты, резервирует ресурсы и управляет доступом; управляет трафиком для соединений.

Выделяют три возможные топологии EVC: точка-точка (E-Line), многоточка-многоточка (E-LAN) и точка-многоточка (E-Tree) (рис. 1). В последнем случае речь идет о сети с топологией дерева в составе обычных и корневых узлов. Корневой узел может рассылать трафик по всем остальным узлам сети, а между собой эти узлы могут обмениваться трафиком только через корневой узел.

На основе EVC в спецификации MEF 6.1 определяют шесть видов услуг Ethernet [1]. Они классифицируются по двум признакам: топологии виртуальных соединений (три указанных выше варианта) и тем, как происходит идентификация - физически на основе порта или логически на основе виртуальной сети (Virtual LAN, VLAN). Благодаря VLAN в пользовательском оборудовании достаточно одного физического порта для нескольких виртуальных соединений.

В CE 2.0 в дополнение к EVC появилось новое понятие - операторское виртуальное соединение (Operator Virtual Connection, OVC), которое определяется как ассоциация UNI и ENNI. На основе OVC новая спецификация MEF 33 определяет службу E-Access [2]. Она предлагается поставщиком доступа (оператором сети доступа) как часть обеспечения EVC для пользователя услуг из конца в конец (рис. 2). Таким образом, в CE 2.0 определены восемь видов услуг (см. таблицу).

Рис. 1. Возможность топологи EVC: а) точка-точка (E-Line); б) многоточка-многоточка (E-LAN); в) точка-многоточка (E-Tree)

2 Применение CE

Если CE 1.0 на практике был реализован в городских, максимум - в региональных сетях, то новые возможности CE 2.0 позволяют распространить его до сетей национального и глобального масштабов. Корпоративные клиенты получают стандартизированные и предсказуемые услуги, а операторы связи - возможность расширить круг своих клиентов и более четко организовать взаимодействие с партнерами. Служба E-Access стандартизирует покупку, продажу и интеграцию услуг Ethernet.

Особо стоит остановиться на использовании CE в сетях подвижной связи. CE 1.0 применялся для организации транспорта в сетях радиодоступа (backhaul) при развертывании мобильных сетей 3G. CE 2.0 призван поддер-

Службы и топологии Carrier Ethernet

Типы служб (виртуальное соединение и топология) Идентис жкация

На основе порта На основе VLAN

E-Line (EVC точка-точка) Частная линия Ethernet (EPL) Виртуальная частная линия Ethernet (EVPL)

E-LAN (EVC многоточка-многоточка) Частная LAN Ethernet (EP-LAN) Виртуальная частная LAN Ethernet (EVP-LAN)

E-Tree (EVC точка-многоточка) Частное дерево Ethernet (EP-Tree) Виртуальное частное дерево Ethernet (EVP-Tree)

E-Access (OVC точка-точка) Частная линия доступа Ethernet (Access EPL) Виртуальная частная линия доступа Ethernet (Access EVPL)

жать миграцию к сетям 4G/LTE. Наличие нескольких классов обслуживания обеспечивает возможности пропуска мультисервисного трафика этих сетей, а поддержка SLA - взаимоотношения между операторами сетей подвижной связи и операторами сетей доступа. По оценкам MEF, операторы сетей подвижной связи смогут сократить свои расходы на 25 %, а операторы сетей доступа увеличить доходы от своей инфраструктуры в 2-3 раза. Среди документов MEF есть специальный пакет, предназначенный для поддержки использования CE 2.0 в сетях 4G/LTE [3].

Важный аспект применения Ethernet в сетях подвижной связи - поддержка синхронизации, поскольку базовым станциям всех стандартов связи требуется синхронизации по частоте, а для режима дуплексного разделения, используемого, в частности, в технологиях UMTS и LTE, - и по времени. Разработаны решения по синхронизации в сетях Ethernet: синхронный Ethernet (Synchronous Ethernet) и протокол точного времени (Precision Time Protocol, PTP) по стандарту IEEE 1588.

Еще одна перспективная область - облачные услуги. CE 2.0 может успешно использоваться для организации связи пользователей с центром обработки данных поставщиков облачных услуг.

Сегодня доминирующее большинство локальных сетей в зданиях, офисах, служебно-технических помещениях построены на основе технологии Ethernet, поэтому при модернизации транспортных сетей SDH/PDH в направлении увеличения скорости передачи данных, качества обслуживания целесообразно использовать технологию СЕ как родственную классу технологии Ethernet, что позволит снизить расходы на сетевое оборудование, в итоге значительно повысится надежность.

При этом долгое время операторы технологической связи отказывались от внедрения технологий Ethernet, MPLS, IP на магистральном уровне, так как отсутствовало достаточное количество механизмов обеспечения QoS (Quality of Service, качество управления).

Таким образом, можно констатировать, что СЕ 2.0 снимает большинство действующих ограничений как по поддержке качества внутри сети, так и при межсетевом обмене, а также имеет мощные и развитые средства сетевого управления и обеспечения процесса эксплуатации. Кроме того, технология CE используется в мобильных сетях с поддержкой синхронизации. Еще одной особенностью такой технологии является доставка облачных услуг через сеть с контрактами SLA и с подключением к частным облакам.

1. MEF 6.1 Ethernet Services Definitions - Phase 2. - The Metro Ethernet Forum,

2. MEF 33 Ethernet Access Services Definitions - Phase 2. - The Metro Ethernet Forum,

В свете стремительного роста объемов IP-трафика некогда безальтернативная технология SDH превратилась в слабое звено оптической инфраструктуры. Организация передачи видео и данных с ее помощью требовала слишком значительных инвестиций, не укладывающихся принцип разумной достаточности. [4]

Интенсивное развитие и коммерческий успех Metro Ethernet стал движущей силой создания Metro Ethernet Forum. Основным импульсом стала идея общей конвергенции транспортной инфраструктуры в Ethernet транспорт за счет, прежде всего, его невысокой стоимости и легкой масштабируемости. Однако решения на базе классических Ethernet сервисов имеют ряд недостатков, которые не позволяют его использование на сетях операторского класса:

- Отсутствие или слабая реализация QoS;

- Методы восстановления, имеющие большое время сходимости, что не позволяет их использование на опорных сетях операторского класса;

- Отсутствие или слабая реализация управления Ethernet трафиком.

Для решения этих проблем были разработаны ряд технологий поверх Ethernet, такие как IP/MPLS. Использование IP/MPLS позволяет достигнуть требуемого QoS и надежности решения, однако стоимость ее реализации чрезвычайно высока, что ограничивает или делает практически нецелесообразным ее применение в Metro Ethernet сетях.[4]
Понимая это, участники Metro Ethernet Forum поставили перед собой задачу – разработать и реализовать стандарты и модели, которые описывают дополнительные функциональные возможности, интегрируемые в классические Ethernet сервисы, и устраняющие перечисленные выше недостатки, оставляя при этом экономичность и простоту классического Ethernet.[8]
Ethernet с такими функциональными расширениями получил название Carrier Ethernet – что означает Ethernet операторского класса.
Таким образом, Carrier Ethernet представляет собой набор необходимых стандартизированных сервисов операторского класса и определяется следующими пятью основными атрибутами, отличающими его от обычного Ethernet LAN на рисунке 2.6:

- Надежность операторского класса;

- Качество обслуживания (QoS)

Рисунок 2.6 Пять атрибутов Сarrier Ethernet

Стандартизованныесервисы.

Carrier Ethernet предоставляет следующие три типа стандартизированных сервисов:

- E-Line сервис, эмулирующий виртуальное выделенное соединение точка – точка через сеть Carrier Ethernet (рисунок 2.7);

- E– LAN: сервис, эмулирующий пользовательское LAN соединение через Carrier Ethernet сеть (рисунок 2.8);

- E– Tree: сервис, эмулирующий передачу мультикастингового трафика (рисунок 2.9).

Рисунок 2.7 E – Line сервис

Рисунок 2.8 E – LAN сервис

Рисунок 2.9 E – Tree сервис

Каждый сервис предоставляется локально или глобально через стандартизированное оборудование. Тип сервиса может ассоциироваться либо с Ethernet портом устройства, либо с VLAN тегом этого порта.
Одним из основных требований является сохранение существующей инфраструктуры пользовательского LAN оборудования и сетей.[4]
Масштабируемость.
Под масштабируемостью понимается возможность для миллионов пользователей получать от сети Carrier Ethernet требуемые сервисы. При этом каждый сервис должен иметь возможность масштабирования скоростей передачи от нескольких кбит/с до 10 Гбит/с и выше с заданной гранулярностью.[9]
Решение должно иметь возможность покрытия сетей от уровней доступа и Metro до национальных и глобальных сетей за счет широкого набора физических инфраструктур сервис – провайдеров.
Надежность операторского класса.
Под этим понимаются следующие функциональные возможности:

- Обнаружение, локализация и исправление аварии без участия конечных пользователей;

- Удовлетворение требованиям качества и доступности;

- Быстрое время восстановления сервиса (< 50 мс)

Реализация QoS подразумевает под собой следующее:

- Наборы и грануляность полосы пропускания и опций;

- SLA для голоса, видео и передачи данных;

- SLA на базе CIR, EBR, потерянных фреймов, задержки передачи и ее вариации;

Традиционно, в классическом Ethernet управление сервисами было одним из слабых мест. В этой области наиболее передовые решения были реализованы в SONET/SDH сетях, отличающихся самой продвинутой OAM реализации. В большинстве своем функции OAM были перенесены с SDH на Carrier Ethernet. Эти функции включают в себя следующее:

- Мониторинг, диагностика и централизованное управление сетью;

- Использование стандартизированных алгоритмов;

- ОAM Carrier класса;

- Быстрое предоставление сервисов

После появления Carrier Ethernet операторы связи продолжили эксплуатировать уже существующую SDH-инфраструктуру, но при строительстве новых сетей они стали все чаще отдавать предпочтение технологии Ethernet. Оказалось, что если закрыть глаза на качество, в котором Carrier Ethernet все же уступает SDH, то на базе этой технологии можно быстро и недорого реализовать любые телекоммуникационные услуги. К тому же у операторов связи возникло вполне естественное желание прийти к какому-то инфраструктурному единообразию, чтобы упростить и удешевить сети. Поэтому решения SDH стали вытесняться в те ниши, для которых в первую очередь важно гарантированное качество передачи данных. В частности, представители нефтегазодобывающей промышленности в основной массе предпочитают строить корпоративные сети голосовой связи именно на базе SDH.[5]

По прогнозу аналитиков, годовой объем IP-трафика в мире к 2020 г. вырастет более чем в 5 раз, что будет способствовать увеличению уровня пиковых нагрузок в сетях операторов связи. При этом рост трафика опережает по темпам рост доходов операторов, которые сталкиваются с необходимостью вкладывать значительные средства в модернизацию сетевой инфраструктуры. Именно поэтому решения Ethernet операторского класса за счет экономичности и универсальности все более востребованы рынком. Дальнейшие перспективы распространения этой технологии связаны с принятием в середине 2010 г. стандарта 100 Gigabit Ethernet (IEEE 802.3ba), поднявшего планку пропускной способности Ethernet-сетей до недостижимой для SDH отметки в 100 Гбит/с.[5]

Одно из основных преимуществ сетей Carrier Ethernet состоит в возможности передавать различные сервисы при помощи одного соединения. Рассмотрим пример офисного здания, где пользователи различных сервисов имеют выход в одну общественную сеть для обмена информацией с другими объектами.Если в соединении используется IP телефония,то главное требования к каналу – относительно небольшая вариация задержки пакетов (джиттер). Если требуется передать информацию с жесткими временными параметрами–основным фактором является задержка пакетов. И, в конечном счёте, весь трафик сети Интернет не должен влиять на эти критические приложения.Устройства класса Carrier Ethernet располагают средствами для создания отдельных профилей для каждого потока данных каждого виртуального соединения в составе одного физического канала.

DWDM

Плотное спектральное мультиплексирование – DWDM (Dense Wavelength Division Multiplexing) – позволяет одновременно передавать по одному оптическому волокну до 160 независимых информационных каналов на различных оптических несущих рисунке 2.10 (длинах волн).[6]

Рисунок 2.10 Окно прозрачности

Частотный план для DWDM систем определяется стандартом ITU G.694.1. Согласно рекомендациям ITU в DWDM системах используются ”C” (1525…1565нм) и ”L” (1570…1610нм) окна прозрачности. В каждый диапазон попадают по 80 каналов с шагом 0.8нм (100ГГц). Обычно используется только ”C” диапазон, поскольку количество каналов, которые можно организовать в этом диапазоне итак хватает с избытком, к тому же затухание в волокне стандарта G.652 в С-диапазоне несколько ниже, чем в L-диапазоне.

DWDM системы предъявляют более высокие требования к компонентам, чем CWDM (ширина спектра источника излучения, узкополосные оптические фильтры), из-за чего стоимость DWDM-систем несколько больше, чем у CWDM-систем (стоимость 10Гбит/с оптических трансиверов практически одинакова).
Таким образом, используя только С-диапазон, можно организовать до 40 каналов по одному оптическому волокну на рисунке 2.11.[7]

Рисунок 2.11 Топология «точка-точка»

DWDM можно использовать и тогда, когда пропускной способности CWDM системы уже не хватает. В CWDM-окно 1550/1530нм попадает 16 несущих DWDM. Таким образом, появляется возможность поверх CWDM организовать от 1 до 8 DWDM каналов по одному волокну.[7]

Рисунок 2.12 Использование DWDM в CWDM

Помимо того, что на DWDM можно организовать большее число каналов, еще одно преимущество перед CWDM заключается в том, что в C и L диапазонах возможно усиление сигнала при помощи недорогих и эффективных эрбиевых усилителей (Erbium Doped Fiber Amplifier, EDFA), тем самым можно организовать протяженные оптические линии с большой пропускной способностью без использования промежуточной электрической регенерации (рисунок 2.12).

В G.652 стандарте оптического волокна в диапазоне 1550нм хроматическая дисперсия составляет 17пс/(нм*км). Это является главным ограничением для организации 10Гбит/с каналов на большие расстояния, так как с ростом скорости передачи данных дисперсия в большей степени влияет на фронт импульса. Для восстановления фронта импульсов используют компенсаторы дисперсии (Dispersion compensation module, DCM) (рисунок 2.13), позволяющие восстановить фронт импульсов, искаженных из-за дисперсии. При изготовлении таких устройств используется технология производства оптических волокон с отрицательным значением хроматической дисперсии.[10]

Рисунок 2.13 Организация протяженной линии с использованием EDFA и DCM

Выводы и предложения

При прохождении практики я изучил структуру предприятия, основные направления, объемы реализации и деятельность предприятия. Я выяснил, что предприятие специализируется по обеспечению высокоскоростного интернета и удобной телефонии. Благодаря высокой производительностью и дешевизной услуг, можно считать АО “Казахтелеком” успешным предприятием и отличным местом для получение знания и навыком по специальности “Радиотехника, электроника и телекоммуникация”.

В период четырех недель проходила производственная практика. В это время было рассмотрена структура предприятия. Также были рассмотрены принципы построения и устройства сети в масштабах города, основные методы предоставления услуг связи, были получены знания в области настройки и администрирования сети. Во время работы в службе технической поддержки были приобретены следующие навыки:

- работа в коллективе;

- изучение эталонной модели OSI;

- изучение стека протоколов TCP/IP;

- конфигурирование маршрутизаторов и коммутаторов;

- провождение лекции персоналу по изученными темами;

- выявление и устранение проблем в роутере.

Остальные шесть недель проходила преддипломная практика. В это время мной было рассмотрено несколько моделей построения магистральной сети. В конечном итоге лучшим выбором сети, в моей дипломной работе стала DWDM и Carrier Ethernet.

Выбрана DWDM и Carrier Ethernet для построения магистральной сети на участке Астана-Кокшетау, так как имеет ряд преимуществ:

Использование коммутации второго уровня на основе технологии Carrier Ethernet может повысить безопасность сетевых сервисов.

Сетевые сервисы, основанные на IP-маршрутизации третьего уровня, обеспечивают немало преимуществ для современных коммуникаций, но в то же время остаются уязвимыми для целого ряда сетевых угроз. В этой статье объясняется, как использование средств коммутации второго уровня на основе технологии Carrier Ethernet может повысить безопасность сетевых сервисов и снизить риск несанкционированного доступа к информации.

Стандартизованная технология Carrier Ethernet появилась в сетях операторов связи несколько лет назад. С ее помощью они намеревались более эффективно использовать имеющуюся полосу пропускания и предоставлять заказчикам адаптированные к их требованиям сервисы с гарантированными характеристиками. Те же качества, которые делают Carrier Ethernet привлекательной в коммерческой сфере, можно использовать для повышения безопасности, что особенно важно для государственных и военных структур.

Оптические сети на основе технологии IP стали стандартом для многих организаций, в том числе для таких серьезных, как Министерство обороны США. К сожалению, технологии IP, составляющие основу современных телекоммуникаций, привлекают и злоумышленников, которые пытаются использовать любые уязвимости Интернета. Изощренные атаки, нацеленные на получение и раскрытие информации, нарушение доступа к ней или ее уничтожение, разрабатываются государственными службами, преступными сообществами и отдельными «искателями приключений». Они мотивируются политической идеологией, экономической выгодой или просто стремлением нарушить работу учреждений.

В качестве инфраструктуры передачи конфиденциальных данных часто используются шифруемые туннели. Хотя такое решение обеспечивает адекватную защиту конфиденциальных данных, его применение означает также, что оператор сети не контролирует инфраструктуру, по которой осуществляется доставка данных. Эта схема обеспечивает хорошую защиту против прямых атак, но доступ к данным может быть скомпрометирован в результате атаки, нацеленной на отдельные элементы сети.

ПРИНЦИПЫ БЕЗОПАСНОСТИ СЕТИ

Чтобы обосновать возможность использования Carrier Ethernet для укрепления безопасности сети, следует остановиться на некоторых базовых принципах. Если говорить кратко, сетевая безопасность — это гарантия беспрепятственной доставки вашей информации указанному получателю в неизмененном виде и без ее прочтения посторонними. Стратегия защиты сети превращается во все ускоряющуюся гонку, поскольку новые механизмы защиты должны эффективно развиваться, чтобы соответствовать постоянно растущим угрозам. К сожалению, ни одну сеть нельзя защитить полностью. Ключевые элементы стратегии защиты сети позволяют лишь максимально затруднить нарушение ее работы, ограничить масштаб и область действия любой атаки и обеспечить быстрое восстановление после какого-либо урона.

В дополнение к шифрованию, аутентификации и другим механизмам, нацеленным на защиту границы сети, сетевую безопасность можно усовершенствовать, встроив алгоритмы защиты в саму архитектуру сети. Определенная изоляция обеспечивается несколькими способами, реализуемыми на разных уровнях стека OSI, включая уровень IP. Однако здесь есть две фундаментальные проблемы. Во-первых, очень трудно по-настоящему изолировать сеть, так как в плоскостях управления и контроля неизбежно происходит взаимопроникновение. Во-вторых, изолированные сети по определению ограничивают доступ к информации. Существует и еще одна проблема: средства криптографической и технической изоляции сетей очень дороги.

CARRIER ETHERNET И ЕЕ МЕХАНИЗМЫ

В основе Carrier Ethernet лежат основанные на стандартах расширения традиционных протоколов IEEE 802.3 Ethernet. Они позволяют, в частности, обеспечить надежность операторского класса, то есть уровень доступности в пять или шесть девяток. В дополнение к повышенной надежности масштабируемость сетей Carrier Ethernet на несколько порядков выше по сравнению с масштабируемостью традиционных локальных сетей (LAN).

Благодаря возможности реализации разнообразных сервисов по очень привлекательной цене, решения Carrier Ethernet получили широкое распространение в коммерческих операторских сетях. Сервисы Ethernet, стандартизированные организациями Metro Ethernet Forum (MEF) и Optical Interworking Forum (OIF), определяются как ориентированные на установление соединения услуги второго уровня (L2). Carrier Ethernet дает возможность реализовать виртуальные частные сети (Virtual Private Network, VPN) второго уровня с гарантированной пропускной способностью и поддержкой до восьми градаций качества сервиса (Quality of Service, QoS), что позволяет операторам дифференцировать предлагаемые ими сервисы передачи голоса, видео и данных в сетях IP (см. Рисунок 1).

Рисунок 1. Сравнение архитектур ядра сети, целиком построенной на базе IP, и наложения IP-сети поверх Carrier Ethernet.

МАРШРУТИЗАЦИЯ ИЛИ КОММУТАЦИЯ?

По сути, маршрутизаторы и коммутаторы выполняют одну базовую задачу — обеспечивают пересылку трафика через сеть. Важное отличие состоит в том, что работающие на третьем уровне (L3) маршрутизаторы формируют путь пересылки трафика, «общаясь» с соседними маршрутизаторами и «изучая» топологию сети. Выбор маршрута зависит от используемого протокола, текущего состояния топологии и загрузки сети. Коммутаторы, работающие на втором уровне (L2), «прокладывают» через сеть виртуальные соединения, которые большую часть времени фиксированы. При изменении топологии, например в случае аварии на одной из линий связи, путь соединения может быть изменен, но для этого оно должно быть установлено заново. Детерминированное определение пути коммутируемых соединений позволяет операторам сетей лучше управлять их работой, гарантировать допустимый уровень задержки, а также избегать потенциально проблемных маршрутов.

КАЧЕСТВО СЕРВИСА

Механизмы качества сервиса (QoS) используются операторами для пропуска критичного трафика с наивысшим приоритетом. С точки зрения безопасности сети информация о приоритетах трафика должна быть конфиденциальной. В ядре сети добиться этого непросто: несмотря на шифрование High Assurance Internet Protocol Encryptor (HAIPE) содержимого пакетов (блока данных), заголовок IP оно не затрагивает. Некоторые сетевые устройства используют дополнительную «упаковку» с репликацией в нее контрольных байтов из оригинального заголовка пакета, которые передаются в незашифрованном виде. При этом другие устройства могут игнорировать эти байты, интерпретируя их как неиспользуемые.

Обычно качество обслуживания трафика в сетевом ядре обеспечивается за счет выделения избыточной пропускной способности, так что потенциальная конкуренция за ресурсы сводится к минимуму. Но при увеличении загрузки сети этот подход становится слишком дорогим. К тому же он оказывается непригоден в случае нарушения работы сети, например, при множественных обрывах кабелей в результате аварий, вызванных природными или рукотворными факторами.

При коммутации L2 качество обслуживания можно обеспечить двумя способами с разной степенью конфиденциальности. Во-первых, MEF стандартизировал для Ethernet набор уровней QoS.

Поскольку информацию об источнике (отправителе информации) и данные можно скрыть от атаки типа man-in-the-middle с помощью шифрования, указание уровня приоритета имеет вполне допустимый уровень риска. Во-вторых, качество обслуживания можно обеспечить путем назначения информационным потокам выделенной пропускной способности в L2-VPN. Данный метод аналогичен концепции создания запаса емкости в сети IP, однако не влечет за собой таких же высоких затрат, поскольку делать это можно с высоким уровнем детализации и только для приоритетных потоков.

VPN ДЛЯ ИЗОЛЯЦИИ ПОТОКОВ

Принятые MEF стандарты Ethernet предусматривают алгоритмы для создания VPN на втором уровне, что делается путем присоединения к кадру Ethernet тегов VPN, дифференцирующих виртуальные сети по типу сервиса и приоритету. Этот механизм можно последовательно масштабировать, добавляя новые уровни тегов VPN для создания сетевых VPN, логически изолированных от граничных VPN. Такая организация отличается от алгоритмов формирования VPN третьего уровня, которые создаются в маршрутизаторе с использованием протокола IPsec для изоляции информационных потоков. IPsec может защитить данные, но не предотвратит перебоев, которые возникают из-за других влияющих на маршрутизатор событий.

Алгоритм формирования стека тегов VPN был введен рабочей группой IEEE 802.1ah, чтобы заказчики и операторы могли создавать VPN независимо друг от друга. Он известен под названием Q-in-Q, и его можно использовать как дополнительный элемент безопасности в сети Ethernet. Детали внутренней топологии сети заказчика можно изолировать от инфраструктуры оператора путем создания клиентской VPN и последующего применения технологии Provider Backbone Bridging (PBB).

Рассматриваемый механизм добавляет еще один набор тегов VPN и меняет адресную информацию (см. Рисунок 2). При этом информация с MAC-адресом маршрутизатора PE содержится внутри изолированного туннеля и не используется в процессе коммутации в сети. При необходимости данные, описывающие подробности клиентской сети, можно зашифровать, и тогда передаваемая по сети оператора информация станет еще более закрытой.

Рисунок 2. Пример инкапсуляция IP-пакета в кадры Ethernet с последовательным тегированием VLAN и Q-in-Q.

НОВЫЙ УРОВЕНЬ БЕЗОПАСНОСТИ

Добавление сетевого оборудования L2 с присущими ему уязвимостями может тем не менее повысить общую безопасность сети за счет сегментации отдельных частей сетевой инфраструктуры и изоляции этих сегментов от границы сети. В результате улучшаются все целевые показатели безопасности по сравнению с ситуацией, когда используется обычное ядро IP. С помощью Carrier Ethernet эту сегментацию можно реализовать, не ограничивая повсеместный доступ к информации, который присущ технологии IP. При этом стоимость будет меньше, чем у решения, целиком построенного на базе IP/MPLS.

Итак, маршрутизаторы PE, расположенные на границе сети оператора, соединяют проложенные через нее туннели L2-VPN. Каждому туннелю гарантируется определенная пропускная способность. Оператор может выделять потоки на основе класса сервиса, типа данных, приоритета или любой другой информации. Скажем, трафику VoIP можно назначить туннели с гарантированной пропускной способностью и отделить его от трафика видео и данных. Хотя такая архитектура не защищает конфиденциальный трафик от атаки на уровне самой L2-VPN, она изолирует его от намного более вероятной опасности, связанной с нарушениями в передаче других потоков трафика.

Усовершенствование в части безопасности определяется двумя моментами. Первый наиболее наглядно демонстрирует анализ последовательной упаковки кадра (см. Рисунок 2). На каждом шаге к пакету добавляется новый служебный заголовок, при этом предыдущий заголовок становится частью полезной нагрузки. Разумное применение шифрования (как показывают стрелки на Рисунке 2) полностью скрывает от ядра сети пользовательские данные и информацию о маршрутизации. Вторым моментом, улучшающим безопасность, является то, что все это можно реализовать еще на границе сети заказчика. Когда же поток данных выходит из-под его физического контроля, он оказывается полностью скрытым.

Сети L2-VPN и L3-VPN имеют схожие уязвимости, но с одним исключением: L2-VPN не подвержены атакам типа DDoS, нацеленным на маршрутизатор, или порче таблиц маршрутизации. Выгода использования Carrier Ethernet состоит в том, что, ограничивая туннели L2-VPN ядром сети, их можно сделать невидимыми для границ сети. При соотнесении Ethernet-устройства агрегирования с MAC-адресом маршрутизатора PE инфраструктуру L2 можно скомбинировать с маршрутизацией (L3) и получить более защищенную сеть, чем при раздельном использовании любой из этих технологий.

Добавление шифрования еще более изолирует туннели L2-VPN и дает ряд преимуществ. Прежде всего, если данные являются критичными и требуют двойного шифрования, шифрование на втором уровне оказывается наиболее экономичным способом выполнения данного требования. Однако основная причина шифрования на втором уровне — это криптографическая изоляция туннелей L2-VPN. Кроме того, поскольку шифруется весь пакет IP, биты QoS в его заголовке недоступны для анализа злоумышленником.

ИНСАЙДЕРСКИЕ УГРОЗЫ

Возможность злонамеренных (или просто неблагоразумных) действий доверенного инсайдера в сети — один из самых трудных для оператора сети сценариев. Защититься от этого очень сложно. В таком случае самой сильной составляющей стратегии защиты является сегментация сети. Если ограничить доступ любого пользователя только разрешенными ему ресурсами, то масштаб возможного ущерба можно минимизировать. Чем более детальной и соответствующей выполняемым задачам будет «нарезка» доступных пользователю ресурсов, тем сильнее защита. И это еще один пример того, как использовать Carrier Ethernet (с присущей этой технологии возможностью определять гранулярные потоки) для укрепления безопасности сетей.

Способность выявлять угрозы сети и быстро на них реагировать — это ключевая составляющая стратегии защиты сети, особенно в отношении действий инсайдеров. Неотъемлемая часть технологии Carrier Ethernet — мощный набор средств администрирования и обслуживания в процессе эксплуатации (Operations, Administration, and Maintenance, OAM), с помощью которых операторы могут быстро идентифицировать и диагностировать проблемы в сети. Угрозы в сети можно идентифицировать, установив текущие параметры работы сети для описания ее типичного «поведения» и используя инструменты OAM для выявления аномалий.

ВОССТАНОВЛЕНИЕ СЕТИ

Одна из самых серьезных сетевых опасностей, с которыми приходится сталкиваться Министерству обороны США, это прерывание информационных потоков вследствие атак, нацеленных на масштабные искажения таблиц маршрутизации. Из-за сложности этих таблиц и высокой нагрузки на сеть такая атака с большой вероятностью может привести при их восстановлении к длительным перебоям в работе, которые могут продолжаться часы и даже дни. Коммутируемое ядро L2 дает ряд преимуществ. Во-первых, высока вероятность, что единичная векторная атака не повлияет на уровень коммутации и сетевые пути в ядре сохранятся. Даже если информация в устройствах второго уровня будет искажена, восстановление L2-маршрутов в сети Carrier Ethernet пройдет очень быстро. В любом случае нет никакой необходимости заново распознавать топологию сети со всей связанной с ней нагрузкой на сетевые ресурсы. Останется только восстановить таблицы маршрутизации для граничных сетевых сегментов. Соответственно, каждая такая таблица будет компактнее и восстановление займет меньше времени.

CARRIER ETHERNET И КОГЕРЕНТНЫЙ ПРИЕМ

Ядро Carrier Ethernet обычно реализуется поверх оптической транспортной системы Optical Transport Network (OTN). Современные системы OTN, функционирующие на высоких скоростях (40G и выше), используют когерентную обработку оптического сигнала. В более старых и медленных сетях применялась технология прямого детектирования, при которой измеряется оптическая мощность входящего сигнала. Когерентный приемник измеряет фактическое электрическое поле, поэтому сохраняется вся информация о фазе, поляризации и интенсивности входящего светового импульса. Эти физические атрибуты можно использовать для определения изменений в маршруте передачи. Данный анализ теоретически пригоден и для создания системы обнаружения вторжений, которая будет не дополнительным механизмом, а частью сети.

ЗАКЛЮЧЕНИЕ

В свое время считалось, что сетевая архитектура на базе ядра IP обеспечивает эффективный и экономичный способ поддержания потоков данных с разным уровнем безопасности. Спустя десятилетие после появления этой концепции непрекращающийся шквал кибератак высветил ряд слабых мест в данном подходе, включая невозможность ограничения масштаба и области распространения атак, риск дополнительного ущерба от атак, влияющих на общую сетевую инфраструктуру, и трудности восстановления сети после атаки.

Использование сетевой архитектуры, где применяется коммутация на втором уровне, устраняет эту слабость. Появление стандартов Carrier Ethernet дало операторам возможность ввести сегментацию и обеспечить повышенную безопасность. Кроме того, благодаря такой архитектуре удается изолировать группы пользователей в зависимости от их уровней авторизации, а также обеспечить защиту соседних VPN. Наконец, использование коммутации L2 существенно повышает надежность в случае серьезного прорыва «фронта» защиты или масштабной катастрофы.

Carrier Ethernet является маркетинговым термином, определяющим набор стандартных функций для решений операторского класса. Он родился в недрах некоммерческой организации Metro Ethernet Forum, в состав которой входят крупнейшие операторы связи и производители телекоммуникационного оборудования. Эта организация была сформирована несколько лет назад, когда технология Ethernet начала применяться не только в локальных сетях, но и при создании транспортной инфраструктуры операторов связи. Metro Ethernet Forum разрабатывает рекомендации для оборудования и территориально распределенных сетей, использующих в качестве среды передачи данных Ethernet.

Классические Ethernet-решения обладали рядом недостатков, которые не позволяли применять их в сетях операторского класса. Поэтому участники Metro Ethernet Forum усовершенствовали и масштабировали их до уровня операторских, сохранив при этом экономичность и простоту. Полученные рекомендации для расширения функционала Ethernet-решений были названы Carrier Ethernet, или Ethernet операторского класса. Решения класса Carrier Ethernet характеризуются пятью ключевыми атрибутами, отличающими их от классического Ethernet: стандартизированными сервисами, масштабируемостью, управлением сервисами, надежностью операторского качества и поддержкой Quality of Services (QoS).

Carrier Ethernet позволяет оператору предоставлять клиентам не просто канал передачи данных, а готовые сетевые сервисы. К базовым сервисам Carrier Ethernet относятся E-Line (виртуальное выделенное соединение "точка-точка") и E-LAN (виртуальное многоточечное соединение). В обоих случаях соединения логически терминируются при помощи интерфейса UNI (Universal Network Interface). К одной физической точке терминирования могут быть подключены множество UNI, что позволяет поддерживать множество сервисов Carrier Ethernet на одной линии. Каждый из этих сервисов предоставляется через стандартизированное оборудование. При этом клиенту совсем не надо заботиться о том, как эти сервисы организованы. Для него услуга Carrier Ethernet выглядит как порт Ethernet-коммутатора, к которому он просто подключает сетевое оборудование и выходит на связь.

Одним из слабых мест классических Ethernet-решений по сравнению с SDH/SONET являлось отсутствие управления качеством сервисов. Поэтому на ранних этапах развертывания Ethernet-сетей операторы вынуждены были предоставлять сопутствующие сервисы с негарантированным качеством. Однако клиенты (особенно крупные) более не желают мириться с ненадежностью Ethernet-сервисов. Компании нуждаются в предсказуемом качестве работы сети, которое характеризуется доступной полосой пропускания, небольшой задержкой пакетов и низким уровнем их потерь. Именно поэтому растет спрос на решения Carrier Ethernet, которые предполагают гарантированное качество обслуживания в соответствии с параметрами, определенными в соглашении об уровне сервиса (Service Layer Agreement).

Системный инженер компании Ciena в России и СНГ Дмитрий Шемякин отмечает, что чаще всего при заключении соглашения SLA фиксируются такие параметры, как доступность услуги (то есть максимально допустимое время простоя в день, в месяц и в год) и ее качественные характеристики. В их перечень входят максимально допустимый процент потерь пакетов, а также вариация задержек в какой-либо промежуток времени. При этом данные параметры могут быть различными для трафика разных классов. Например, для трафика передачи данных вариация задержки, как правило, не нормируется вовсе. Параметры качества для голосового, видео- и интерактивного трафика обычно ориентированы на рекомендации ITU Y.1540 и Y.1541. По оценке заместителя руководителя департамента продуктов и решений для сетей передачи данных компании Huawei Андрея Климова, наиболее требовательны к SLA крупные корпоративные клиенты, которые активно пользуются критичными к качеству среды передачи данных услугами (видеовызовы, видеоконференции и т.д.).

По данным компаний IDC, невзирая на мировой финансовый кризис, международный рынок решений класса Carrier Ethernet вырос в 2008 году на 12,4%. Совокупный объем продаж составил $5,365 млрд против $4,471 млрд годом ранее. При этом рост бизнеса отдельно взятых производителей оказался еще больше чем в 2007 году. Основная мотивация операторов при переходе на Carrier Ethernet - повышение доходов от услуг и снижение издержек на эксплуатацию сети. Транспортные Ethernet-сети значительно экономичнее альтернативных технологий как с точки зрения эксплуатации, так и с точки зрения развития и модернизации. По оценкам заместителя генерального директора телекоммуникационной компании "Караван" Андрея Касьяненко, рентабельность инвестиций в случае внедрения Carrier Ethernet на порядок выше, чем при использовании SDH и Frame Relay.

Начиная с 2007 года на рынке решений класса Carrier Ethernet быстрее всего растет сегмент роутеров. По итогам 2008 года сегмент роутеров вырос по сравнению с 2007 годом на 40,9% (с $2,26 млрд до $3,14 млрд). В то же время рост продаж свитчей, обеспечивающих объединение узлов только в рамках одной сети, практически прекратился (по итогам 2008 года он составил менее 1%, продажи выросли с $2,2 млрд до $2,22 млрд). Связано это с тем, что операторы и крупные корпоративные клиенты в большинстве своем уже построили транспортные сети и сосредоточены на объединении отдельных "лоскутных" решений. Поэтому большим спросом на рынке Carrier Ethernet пользуются те устройства, которые могут обеспечивать передачу пакетов трафика между различными сегментами сети, что помогает уменьшить ее загрузку. Фактически это означает тенденцию к объединению различных типов сетей, зачастую несовместимых по архитектуре и протоколам. В условиях кризиса владельцы распределенных сетей предпочитают не перестраивать их по единому шаблону, а управлять сетевым хозяйством с помощью единообразных устройств.

По мнению участников рынка, трансформация, связанная с тотальным переходом операторских сетей на Carrier Ethernet уже началась. При этом регион EMEA, по данным IDC, во многом именно благодаря России занимает второе место в мире по совокупным затратам на внедрение решений Carrier Ethernet.

Читайте также: