Сопряжение трафика на транспортном уровне в виртуальных частных сетях предприятий
Знакомство с организацией защищенного прямого соединения между удаленными структурными подразделениями, локальными сетями и работниками. Рассмотрение особенностей сопряжения трафика на транспортном уровне в виртуальных частных сетях предприятий.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 22.08.2020 |
Размер файла | 236,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Сопряжение трафика на транспортном уровне в виртуальных частных сетях предприятий
В современных условиях глобализации экономики, развития международных связей многие предприятия и организации укрупняются, расширяют сферу своей деятельности, ищут новые рынки сбыта. В результате создается некая корпоративная структура с головным управляющим офисом в одном городе и рядом структурных подразделений в других городах или странах. Такая структура характерна для промышленных предприятий, предприятий топливно-энергетического комплекса, для крупных банков, торговых сетей, государственных структур и т.д. Руководство подобного предприятия для организации эффективного управления, повышения производительности труда, безусловно, заинтересовано в создании единого документооборота между своими удаленными офисами, единого информационного пространства. Организация защищенного прямого соединения между удаленными структурными подразделениями, локальными сетями, работниками может быть обеспечена посредством построения виртуальной частной сети (VPN, Virtual Private Network) [1].
Далеко не все могут ответить на вопрос: "Что такое виртуальная частная сеть"? Виртуальная частная сеть - территориально-распределенная корпоративная сеть передачи данных, состоящая из IP-подсетей, связанных между собой через общедоступную сеть, например, Интернет, с помощью защищенных протоколов (например, РРТР - Point-to-Point Tunelling Protokol [RFC 2637]).
Удачно спроектированная VPN позволяет:
- расширить географию доступа сотрудников к корпоративной сети организации;
- повысить безопасность передачи информации;
- уменьшить эксплуатационные затраты;
- сократить время передачи информации и снизить командировочные расходы;
- упростить топологию сети.
В состав VPN (рис.1) могут входить следующие категории сетей: магистральные (WAN, MAN) и локальные (LAN) [2].
трафик виртуальный сеть
К локальным сетям (LAN - Local Area Networks, традиционное русское сокращение - ЛВС, локальная вычислительная сеть) относят коммуникационную систему, сосредоточенную на небольшой территории (не более 1-2 км). В общем случае ЛВС представляет собой сеть, расположенную в одном здании, помещении. Из-за коротких расстояний имеется возможность использования относительно дорогих высококачественных линий связи, которые позволяют достигать высоких скоростей обмена данными порядка 100 Мбит/с.
Городские сети (MAN, Metropolitan Area Networks) появились сравнительно недавно для обслуживания территории крупного города (мегаполиса) и предназначены для связи ЛВС в масштабах города и соединения ЛВС с WAN. При достаточно больших расстояниях между узлами (от десятков до сотен километров) они обладают качественными линиями связи (часто оптоволоконными) и высокими скоростями обмена (десятки М/бит).
Глобальные сети (WAN, Wide Area Networks) объединяют территориально рассредоточенных (на тысячи километров) абонентов. В WAN часто используются уже существующие не очень качественные линии связи (например, телефонные и телеграфные каналов общего назначения) и, как следствие этого, низкие скорости передачи данных (десятки килобит в секунду).
Таким образом, в VPN возникает проблема транспортировки данных по сетям, предоставляющим разноскоростные каналы связи. Основные задачи здесь - обеспечение надежности (чтобы передаваемые данные не терялись и не искажались) и производительности (чтобы обмен данными происходил с приемлемыми задержками).
Существуют реализации VPN под протоколы TCP/IP, IPX и AppleTalk. На сегодняшний день наблюдается тенденция к всеобщему переходу на стек протоколов TCP/IP и большинство VPN поддерживает именно его. Учитывая это, а также тот факт, что в управлении скоростью работы сетей немаловажную роль играют транспортные протоколы, остановимся на некоторых аспектах работы протокола ТСР (Transport Transmission Protocol [RFC 793]).
Протокол TCP является надежным средством передачи данных, так как перед передачей устанавливается логическое соединение - виртуальный канал, который ликвидируется сразу же после завершения передачи. Последовательность передачи сегментов не нарушается. Виртуальный канал физически может изменяться и динамически перенаправляться в ходе одного соединения (сеанса) передачи данных.
В рамках сеанса правильность передачи каждого сегмента должна подтверждаться квитанцией получателя. Квитирование - один из традиционных методов обеспечения надежной связи, который состоит в следующем. Для того чтобы можно было организовать повторную передачу искаженных данных, отправитель номерует в поле «Номер в последовательности» (рис. 2) отправляемые единицы передаваемых данных (ТСР-сегменты).
Для каждого сегмента отправитель ожидает от приемника так называемую положительную квитанцию (служебное сообщение), извещающее о том, что исходный сегмент был получен и данные в нем оказались корректными. Это же сообщение должно содержать порядковый номер следующего сегмента, который необходимо послать получателю. Время ожидания получения квитанции ограничено - при отправке каждого ТСР-сегмента передатчик запускает таймер, и в случае, если по его истечению положительная квитанция не получена, сегмент считается утерянным. При передаче каждого нового сегмента старый таймер сбрасывается и запускается новый. Квитанции являются кумулятивными, т. е. сегмент, в котором установлен бит АСК (флаг) и который содержит последовательный номер , подтверждает прием сегментов с последовательными номерами вплоть до . Если передаваемый сегмент был утерян, получатель будет продолжать передавать сегменты с установленным битом АСК и последовательным номером утерянного сегмента.
Для управления скоростью передачи данных протоколом TCP используется метод скользящего окна (sliding window). Размер окна определяет число ТСР-сегментов, которое может быть отправлено без получения подтверждения (квитанции).
Существует несколько версий ТСР-протоколов, в которых реализованы различные алгоритмы регулировки размера окна. Рассмотрим следующие: TCP-OldTahoe, ТСР-Tahoe, TCP-Reno, TCP- NewReno.
TCP-OldTahoe. Один из первых алгоритмов, который был разработан и предложен Ван Якобсоном (Van Jacobson) в 1988 г. [3]. Идея заключается в следующем. Процесс передачи разбивается на два этапа: медленный старт (slow start) и стадия предотвращения перегрузок канала передачи данных (congestion avoidance). В любой момент времени узел сети, передающий информацию, должен хранить для каждого соединения следующие значения:
- нижняя граница окна. Это значение показывает, что все передаваемые ТСР-сегменты с номерами до были переданы и для них была получена квитанция об успешной посылке данных. - неубывающая функция, т. е. прием сегмента с установленным битом АСК и с последовательным номером приведет к изменению значения , а именно ;
- размер окна. Узел, передающий информацию, способен передавать ТСР-сегменты с номерами , где ;
- пороговая величина, разделяющая стадии медленного старта и предотвращающая перегрузку канала передачи данных. Это значение позволяет контролировать увеличение размера окна.
Алгоритм данной версии протокола выполняется следующим образом:
1) если (1-й этап), то при каждом получении положительной квитанции размер окна увеличивается на 1;
2) если (2-й этап), то при получении положительных квитанций, число которых равно значению , размер окна увеличивается на 1;
3) если при передаче информации произошла утеря сегментов, то при отправке последнего сегмента с порядковым номером запускается таймер. По истечении времени, установленного на таймере, пороговая величина становится равной , а размер окна будет соответствовать одному сегменту. После этого происходит повторная передача утерянного сегмента.
TCP-Tahoe. Данный алгоритм [3] является усовершенствованием алгоритма TCP-OldTahoe, обеспечивает ускоренную повторную передачу данных (fast retransmit). Алгоритм этой версии протокола использует дополнительный параметр , представляющий собой целое число, которое обычно равно 3. Если узел сети, передающий информацию, получил идентичных сегментов, требующих ретрансляцию сегмента с одним и тем же номером, то в этом случае происходит передача этого сегмента и изменяются значения и по той же схеме, что и в TCP-OldTahoe, как если бы истекло время таймера.
TCP-Reno. Алгоритм этого варианта протокола помимо ускоренной повторной передачи данных обеспечивает еще и быстрое возвращение к исходным параметрам передачи данных (fast recovery) [4]. Он базируется на алгоритме TCP-Tahoe, но отличается от него методом установки размера окна. Пусть в момент времени узел получил идентичных сегментов, т. е. сегментов, указывающих на передачу одного и того же ТСР-сегмента. В этом случае устанавливаются следующие значения: , . Добавлением параметра учитывается тот факт, что было успешно передано сегментов, так как пришло запросов на повторную передачу ТСР-сегмента. Таким образом, главное отличие TCP-Reno от предыдущего варианта протокола TCP заключается в том, что протокол TCP-Reno сразу переходит ко второму этапу, минуя этап медленного старта.
Рассмотрим работу этого варианта протокола с реализованным механизмом выборочного подтверждения (Selective Acknowledgement) на примере.
Пусть , текущий порядковый номер , размер окна . Допустим, что передаче предназначены сегменты с номерами (SN) 15, 16, 17, 18, ..., 30. Предположим, что сегменты 15 и 20 утеряны.
Узел, получающий данные, будет в этом случае посылать сегменты с запросом передать утерянный сегмент с номером 15. После получения сегмента с номером 18 (третий идентичный сегмент) размер окна , а пороговая величина . После этого, в соответствии с алгоритмом выборочного подтверждения, осуществляется повторная передача 15-го сегмента. Затем приходят положительные квитанции для сегментов с номерами: 19, 21, ..., 30 и размер окна становится . Поскольку , а размер окна , то узлу, передающему информацию, разрешается передавать сегменты с порядковыми номерами 15-36. В конечном итоге (так как все сегменты вплоть до 20 были успешно переданы получателю). Если сегменты с номерами 31-36 будут успешно переданы, то после получения трех дублирующих сегментов с запросами на повторную передачу 20-го сегмента этот сегмент будет ретранслирован.
TCP-NewReno. TCP-NewReno повторяет порядок работы предыдущего алгоритма и вместе с тем предусматривает возможность динамического изменения значения параметра . Это, в свою очередь, позволяет сократить время ожидания ретрансляции утерянного сегмента [4]. Как и в предыдущем случае, рассмотрим работу этого алгоритма на примере.
Пусть номер текущего сегмента , а размер окна . Передаются сегменты с номерами 7, 8, ..., 14. Предположим, что сегменты 7 и 8 утеряны.
Узел, передающий сегменты, получает три идентичных сегмента с номерами 9, 10 и 12, запрашивающие ретрансляцию сегмента с номером 7. В соответствии с алгоритмом, описанным для TCP-Reno, имеем: , . Осуществляется повторная посылка сегмента с порядковым номером 7. После получения подтверждения о приеме сегментов с номерами 13 и 14 размер окна становится . Если ретрансляция сегмента 7 происходит успешно, то нижняя граница окна принимает значение .
Затем осуществляется передача сегментов с номерами 15 и 16. После этого TCP-NewReno ретранслирует сегмент с номером 8. В этих же условиях, при реализации алгоритма TCP-Reno, имело бы место ожидание третьего идентичного сегмента. Только после этого осуществлялась бы ретрансляция сегмента с номером 8 (так как было получено только два идентичных сегмента - с номерами 13 и 14). Это позволяет сделать вывод о том, что TCP-NewReno обладает большей производительностью, чем все вышеописанные алгоритмы регулировки размера окна.
Исследования показали [5], что отсутствие этапа медленного старта в версии TCP-NewReno может приводить к существенно завышенной оценке скорости передачи и, как следствие этого - к перегрузке сети. Учитывая это, важными представляются исследования, связанные с совершенствованием протокола ТСР, как протокола, нашедшего широкое применение, в том числе и в VPN.
Рыночные аналитики рисуют неплохую перспективу для дальнейшего развития и совершенствования услуг VPN в корпоративном секторе, важным преимуществом которой является возможность применения практически в любой точке земного шара: достаточно организовать доступ к глобальной сети Интернет. Таким образом, надежный и своевременный процесс передачи данных является залогом успешной деятельности предприятий и учреждений.
Литература
трафик виртуальный сеть
1.Загнетко, А. Виртуальная частная сеть на современном предприятии: бизнес под защитой [Текст] / А. Загнетко // Сhief Information Officer. 2006. - № 2
2.Кульгин, М. Технологии корпоративных сетей. Энциклопедия [Текст] / М. Кульгин. - СПб.: Питер, 2000. - 704 с.
3.Kumar Anurang. Comparativ Performance Analysis of Versions of TCP in a local Network with a Lossy Link / Kumar Anurang // IEEE/ACM transactions on networking. - 1998. - Vol. 6, № 4.
4.Wang Xin-miao. Performance analysis of TCP-Reno and TCP-Sack in the case of a single source / Wang Xin-miao // Wuhan University Journal of Natural Science. - 2000. - Vol. 5, № 1.
5.Еременко, В.Т. Математическая модель адаптивного управления скоростью передачи в стеке протоколов ТСР/IP [Текст] / В.Т. Еременко, П.А. Сысоев, В.Г. Мамонов // Известия тульского государственного университета. Серия "Технологическая системотехника". Вып. 11. ТулГУ, 2006. - С.153-164.
Размещено на Allbest.ru
...Подобные документы
Методы защиты автоматизированных систем. Анализ сетевых уровней на предмет организации виртуальных частных сетей. Варианты построения виртуальных защищенных каналов. Безопасность периметра сети и обнаружение вторжений. Управление безопасностью сети.
курсовая работа [817,8 K], добавлен 22.06.2011Характеристика протоколов и методов реализации частных виртуальных сетей. Организация защищенного канала между несколькими локальными сетями через Интернет и мобильными пользователями. Туннель на однокарточных координаторах. Классификация VPN сетей.
курсовая работа [199,6 K], добавлен 01.07.2011Анализ принципов построения виртуальных сетей. Определение некоторых методов защиты в VPN сетях. Классификация основных методов построения таких сетей. Характеристика основных угроз и рисков в виртуальных сетях. Особенности возможных атак на VPN.
дипломная работа [1,2 M], добавлен 22.09.2011Проблематика построения виртуальных частных сетей (VPN), их классификация. Анализ угроз информационной безопасности. Понятия и функции сети. Способы создания защищенных виртуальных каналов. Анализ протоколов VPN сетей. Туннелирование на канальном уровне.
дипломная работа [2,6 M], добавлен 20.07.2014Основы безопасности виртуальных частных сетей (ВЧС). ВЧС на основе туннельного протокола PPTP. Шифрование и фильтрация ВЧС. Туннелирование по протоколу L2TP. Создание виртуального частного подключения в Windows. Использование программы Sniffer Pro.
дипломная работа [2,0 M], добавлен 24.11.2010Альтернативное определение и субъективная оценка QoS. Качество обслуживания в IP-сетях. Дифференцированное обслуживание разнотипного трафика – DiffServ. Интегро-дифференцированное обслуживание трафика IntServ. Протокол резервирования ресурсов – RSVP.
контрольная работа [346,6 K], добавлен 25.05.2015Анализ структуры незащищенной сети и выявление потенциальных угроз информационной безопасности. Исследование функции туннелирования открытого трафика локальной сети. Характеристика защиты Cisco IP-телефонии между двумя офисами и мобильными компьютерами.
курсовая работа [851,1 K], добавлен 22.06.2011Исследование основ метода движения трафика в сети. Ознакомление с IP адресацией и IP пакетами, протоколами. Определение понятия и функций сокета. Создание программного приложения мониторинга трафика (поступления и отправки пакетов между абонентами).
курсовая работа [474,7 K], добавлен 20.04.2015Понятие виртуального магазина. Преимущества и недостатки виртуальных магазинов. Классификация виртуальных магазинов. Организация деятельности виртуальных магазинов. Создание виртуальных магазинов. Способы оплаты в Интернет. Процессинговая система.
курсовая работа [72,0 K], добавлен 30.09.2007Понятия выставки, экспозиции и виртуальности. Их представительства в сети. Виртуальные выставки на службе экспобизнеса. Особенности их организаций. Техническая реализация виртуальных экспозиций. Примеры существующих виртуальных музеев в Интернет.
реферат [60,1 K], добавлен 25.11.2009Анализ угроз информационной безопасности. Понятия и функции сети VPN. Способы создания защищенных виртуальных каналов. Построение защищенных сетей на сеансовом уровне. Туннелирование на канальном уровне. Идентификация и аутентификация пользователей.
дипломная работа [3,6 M], добавлен 17.08.2014Разработка модулей для автоматического развертывания виртуальных сред и технология их резервного копирования. Схемы сетевого взаимодействия виртуальных сред и их состав (настройка гостевых операционных систем и служб) для каждого из специалистов.
дипломная работа [3,7 M], добавлен 06.03.2013Понятие и основные характеристики локальной вычислительной сети. Описание типологии "Шина", "Кольцо", "Звезда". Изучение этапов проектирования сети. Анализ трафика, создание виртуальных локальных компьютерных сетей. Оценка общих экономических затрат.
дипломная работа [990,2 K], добавлен 01.07.2015Описание основных технических средств защиты ЛВС. Определение понятия "маршрутизатор" как пограничного сетевого устройства, выполняющего функции шлюза между локальной сетью и Интернетом. Использование брандмауэра для анализа трафика между двумя сетями.
курсовая работа [32,6 K], добавлен 19.12.2011Методы защиты автоматизированных систем и технологии построения виртуальных частных сетей. Использование технологий VРN во взаимодействии распределённых территориальных офисов, сдаче отчетности в контролирующие органы, клиент-банковские технологии.
курсовая работа [823,3 K], добавлен 02.07.2011Понятие и сущность виртуальных частных сетей (VPN) и история их появления. Принцип работы и общее описание технологии VPN, основы туннелирования. Протоколы управления, их виды и использование. Достоинства, недостатки и перспективы развития сетей VPN.
курсовая работа [986,9 K], добавлен 26.08.2010Основные сведения о корпоративных сетях. Организация VPN. Внедрение технологий VPN в корпоративную сеть и их сравнительная оценка. Создание комплекса мониторинга корпоративной сети. Слежение за состоянием серверов и сетевого оборудования. Учет трафика.
дипломная работа [4,2 M], добавлен 26.06.2013Цели создания виртуальных частных сетей, их классификация. Принцип работы, преимущества и недостатки данной технологии. Процесс обмена данными. Архитектура локальной сети, защита ее сегментов. Структура интегрированной виртуальной защищенной среды.
курсовая работа [2,8 M], добавлен 28.03.2014Сведения о беспроводных сетях. Технические параметры стандарта Wi-Fi. Цели и задачи разработки и внедрения ЛВС. Расчет характеристик разработанной сети для предоставления услуг VoIP по Ethernet. Расчет параметров трафика передачи данных, зоны покрытия.
курсовая работа [1,2 M], добавлен 11.05.2019Общие сведения о глобальных сетях с коммутацией пакетов, построение и возможности сетей, принцип коммутации пакетов с использованием техники виртуальных каналов. Характеристики и возможности коммутаторов сетей, протоколы канального и сетевого уровней.
курсовая работа [2,0 M], добавлен 26.08.2010