Методы организации пользовательского доступа к IT-услугам

ЕЩЕ СО ВРЕМЕН АЛЕКСАНДРА МАКЕДОНСКОГО ПРИНЦИП «РАЗДЕЛЯЙ И ВЛАСТВУЙ» ВСЕГДА ПРИНОСИЛ ДИВИДЕНДЫ СВОИМ ПОСЛЕДОВАТЕЛЯМ. НА СОВРЕМЕННОМ РОССИЙСКОМ РЫНКЕ ПРОВАЙДИНГА С ЯРОСТЬЮ АНТИЧНЫХ ГЛАДИАТОРОВ КОНКУРИРУЮТ ВСЕ БОЛЬШЕ И БОЛЬШЕ КРУПНЫХ ИГРОКОВ. ТАК КАКИЕ ПЛЮСЫ И МИНУСЫ МОЖНО ИЗВЛЕЧЬ, ПРИМЕНЯЯ ПОЛИТИКУ РАЗГРАНИЧЕНИЯ ДОСТУПА?

Введение

Как часто при переезде или при смене провайдеров обычному пользователю приходилось подолгу вникать во все особенности предоставления услуг новым провайдером, а потом тратить время в поисках, например, особого роутера, поддерживающего ту или иную технологию доступа к Сети. Но физическому лицу все-таки легче – смена провайдера происходит на так часто, а вот для корпоративных клиентов различные способы подключения к интернету нередко становятся бедствием, тем более если нужно подключить большое количество точек, территориально удаленных друг от друга. Приходится решать вопрос – либо сразу покупать на все объекты профессиональные и, как правило, очень дорогие роутеры, тем самым унифицируя сеть, либо каждый раз подбирать оптимальное решение под конкретного провайдера, что уменьшает затраты на оборудование, но, как следствие, осложняет обслуживание такой сети.

История развития проблемы

За последние 10 лет на наших глазах произошел невероятный скачок в развитии сферы услуг предоставления цифрового контента. Первыми владельцами локальных сетей были бесстрашные инициативные ребята, получившие начальную сетевую грамотность, протягивая коаксиальный кабель где-нибудь в НИИ. Многие сети в первую очередь были предназначены для объединения людей по интересам, обмена локальными сетевыми ресурсами, при этом получение возможности выхода в интернет было второстепенной целью. Основную прибыль, если ее можно было назвать прибылью, сетевики получали за счет подключения к сети новых абонентов. Как следствие, сети росли мучительно медленно и зачастую состояли из самого дешевого оборудования различных производителей. Особенно если учесть, что порой к уже существующей сети с выходом в интернет присоединялись небольшие сегменты, не имевшие доступа в глобальную Сеть. В сетях первого поколения фактически не было никакого контроля разграничения прав пользователей. Каждый - вне зависимости от месторасположения - мог получить доступ к ресурсам из любого сегмента сети.

Постепенно сети росли, и при достижении критической массы (около 500 абонентов) начиналась первая волна модернизации: неуправляемые свитчи и хабы заменялись дешевыми частично управляемыми свитчами. Вызвано это было, прежде всего, тем, что вирусы, захватившие несколько машин, могли обрушить весь сегмент, построенный на хабах.

Тогда же впервые делалась попытка решить вопрос о разграничении прав пользователей: управляемые свитчи, устанавливаемые, как правило, в узловых точках, давали возможность строго указать, с какого именно MAC-адреса будет разрешен доступ через конкретный порт свича. В свою очередь пользователи столкнулись с первыми проблемами – при смене сетевой карты компьютера нужно было оповестить техническую поддержку сети, чтобы обеспечить доступ в сеть по новому MAC-адресу. Следующая проблема заключалась в том, что теперь, чтобы несколько компьютеров в квартире одновременно выходили в сеть, было недостаточно установить у себя простенький хаб или свич - требовалось приобретать роутер (по возможности, с поддержкой функции подмены MAC-адреса).

Но фактически задача разграничения прав пользователей так и не была решена. Как ни странно, до сих пор встречаются сети, построенные на подобном оборудовании и использующие для доступа пользователей только NAT (Nеtwork Address Translation) – никакого дополнительного контроля. Воровство трафика, неконтролируемая сетевая активность, вызванная вирусами и приводящая к неработоспособности сегментов, а иногда и всей сети, несанкционированное использование сетевых мощностей, например альтернативные точки продажи трафика – вот типичные проблемы, с которыми сталкиваются пользователи сети и которые как раз и предстоит решить путем разделения трафика.

С увеличением количества пользователей, вопрос о проведении мер по строгому разграничению доступа к ресурсам и, прежде всего, выходу в интернет, становился все острее. Как правило, единственным уникальным паспортом пользователя для прохождения авторизации на сервере биллинга была пара, состоящая из MAC- (Media Access Control) и IP-адреса, проверявшаяся непосредственно на AS (Access Server), осуществлявшем биллинг. Нетрудно догадаться, что, подменяя эти адреса, злоумышленник мог легко скачать информацию из сети за чужой счет. Введение безлимитных тарифов косвенно помогло решить проблему повального воровства трафика в сети, однако часто пользователя интересовали тарифы с ограничением на объем скачиваемой из интернета информации, но обеспечивающие высокую скорость. Именно этот этап можно считать начальным в процессе развертывания многоуровневых систем разграничения прав пользователей сетей. Более того, сразу после введения безлимитных тарифов в большинстве сетей из тарифной сетки были удалены тарифы без абонентской платы.

Означало это только одно – из сообщества по интересам домашние сети перешли на другую стадию развития: они стали поставщиками услуги доступа во глобальную Сеть. Как была решена проблема доступа, и какие задачи приходится решать сетевым инженерам в эпоху Triple Play, мы рассмотрим ниже.

Два основных принципа разграничения

Существует два основных принципа разграничения доступа к услугам – программный (за счет туннелей) и аппаратный. Зачастую выбор одной из двух концепций обуславливается, прежде всего, уровнем модернизации оборудования.

Программный способ

Стоимость любого бизнеса, связанного с предоставлением услуг пользователям, будь то доступ в интернет, IP-телефония или сервис поисковых систем, экспоненциально зависит от количества привлеченных абонентов, и в условиях жесткой конкуренции борьба за клиентов накаляется до предела.

Самый известный пример – операторы сотовой связи. Были времена, когда SIM-карта стоила порядка $300. Однако эта цифра была обусловлена не столько затратами на предоставление услуг, сколько эксклюзивностью самого продукта. Похожую картину мы наблюдаем во всех отраслях телекоммуникационного бизнеса, связанного с привлечением клиентов, и бизнес широкополосного доступа (ШПД) - не исключение. Если в начале строительства локальных сетей подключение было платным, то теперь провайдеры стараются привлечь клиентов не только бесплатным подключением, но и так называемыми личными продажами – человек, пригласивший очередного пользователя в систему, получает за это вознаграждение.

В какой-то момент крупный бизнес осознал перспективность развития собственных сетей, и в эту сферу начали поступать заметные денежные вливания, что до предела обострило конкуренцию на рынке. На смену первому поколению владельцев сетей пришло второе, ориентированное на захват как можно большего числа абонентов. Одним из главных путей развития и расширения сетей стало не только строительство собственной инфраструктуры, но и экспансия в новые районы путем поглощения более мелких игроков. Такая политика обуславливается прежде всего тем, что помимо клиентской базы в стоимость любой домашней сети входят затраты на преодоление административного барьера при получении разрешения на проведение работ.

Подытоживая вышесказанное, следует отметить, что сеть второго поколения зачастую имела форму звезды: в центре – ядро, построенное провайдером, а по краям присоединенные сети. Поглощенные сети строились разными людьми на оборудовании различных производителей, и совершенно типичной была следующая ситуация: одни сегменты большой сети поддерживали 802.1x, на других можно было развернуть отдельные VLAN, а были сегменты, построенные на неуправляемых свитчах. Единственное, чем могли руководствоваться сетевые инженеры объединенной сети при решении задач разграничения доступа – работой всех сегментов сети на свитчинг-идеологии передачи пакетов. Как следствие, единственно правильным и унифицированным решением для всех абонентов стало введение так называемой программной аутентификации.

Суть программного подхода проста – для того чтобы получить доступ к сервисам (подключиться к интернету), пользователь инициирует канал с аутентификацией через имя пользователя и пароль с дополнительной возможностью шифрования канала, по которому и передается весь основной трафик. Как следствие, использовать платные ресурсы за чужой счет становится фактически невозможным. Три самых распространенных вида туннельной терминации в сетях Ethernet - PPPoE, PPTP, L2TP. Суть работы каждого из этих протоколов проста – пользователь тем или иным способом посылает запрос на удаленный сервер NAS (Network Access Server) и, в случае успешной аутентификации, создается P2P-соединение для непосредственной передачей данных между клиентом и сервером.

Рассмотрим подробнее три способа программного обеспечения разделения трафика.

PPPoЕ

Протокол PPPoE (Point-to-point protocol over Ethernet) был разработан в 1999 году. Цель протокола – осуществлять инициализации и передачу PPP-сессий через сети Ethernet. Сам протокол PPP, полностью стандартизированный в 1994 году, по сей день является одним из самых популярных протоколов для осуществления передачи информации между клиентом и сервером. Также протокол PPPoE имеет механизм защиты от DoS (Denial of Service) атак.

Принцип инициализации канала протоколом PPPoE прост – при выходе в сеть клиент посылает PPPoE-Discovery запрос на широковещательный адрес второго уровня FF:FF:FF:FF:FF:FF, при получении которого сервер посылает ответ с идентификатором PPP-сессии.

Говоря о преимуществах использования PPPoE, нужно учитывать, что он позволяет клиентам использовать весь функционал протокола PPP – аутентификацию, шифрование, сжатие информации. Немаловажным фактором является еще и то, что существует очень много серверных приложений, направленных непосредственно на работу с протоколом PPP. В частности, большинство сетевых устройств, ориентированных непосредственно на домашнего пользователя (IP-телефоны, сетевые видео-камеры, домашние роутеры) в той или иной мере могут использовать этот протокол для подключения к сети.

PPTP

Разработанный компанией Microsoft совместно с группой крупных производителей оборудования для сетей, протокол PPTP является одним из методов построения VPN (Virtual Private Network). В основном, PPTP ориентирован именно на безопасное соединение, а для туннелирования используется разработанный компанией Cisco протокол GRE (Generic Routing Encapsulation).

Хотя PPTP так и не был стандартизирован одним из самых уважаемых сообществ, занимающихся разработкой и развитием сетевых протоколов – IETF (Internet Engineering Task Force), он является достаточно популярным в первую очередь из-за простоты настройки. Многие связывают популярность этого протокола с повсеместной распространенностью операционной системы Windows, в которую поддержка данного VPN-протокола была включена уже в Windows 95.

Недостатками является то, что в сегменте сетевых устройств для домашнего использования почти нет роутеров, способных полноценно работать как PPTP-клиент. Еще до недавнего времени можно было наблюдать картину, когда в семье был расписан график по часам: кто из домочадцев когда использует интернет. Без роутера, способного работать как PPTP-клиент, одновременно в интернет мог выходить только один компьютер. Также стоит отметить, что, не смотря на поддержку шифрования, этот протокол считается более уязвимым для атак нежели, к примеру, IPSEC VPN.

L2TP

Не самый распространенный, но достойный того, чтобы упомянуть о нем, протокол L2TP является производным от двух протоколов – PPTP и L2F, разработанных компанией Cisco. Считается, что этот протокол (кстати, прошедший сертификацию IETF) унаследовал все положительные качества своих прародителей. В основном его сфера применения - сети ADSL. Последняя, третья версия L2TP вышла совсем недавно – в 2005 году.

Аппаратный способ

Бесспорно, нельзя строго противопоставлять программный и аппаратный способы – они реализуют зачастую различную функциональность, работают на различных уровнях стека OSI и очень часто используются совместно. Под аппаратным методом разграничения мы подразумеваем любой метод, так или иначе реализованный на уровне свитчинга, то есть на L2-уровне.

VLAN

Первый и самый широко используемый способ разделения трафика, который хотелось бы осветить – создание VLAN-сетей (Virtual Local Area Network). Суть технологии проста – если свитч поддерживает технологию VLAN, то программным способом он разделяем на несколько логически независимых свитчей, которые живут в своих «отдельных» виртуальных сетях. Виртуальные сети не зависят друг от друга, и пересылку трафика между ними может осуществлять только роутер. Соответственно, если несколько свитчей соединены между собой, то их логические части могут находиться в одной VLAN. Осуществляется это путем добавления к пакету специальной маркировки (фактически общепризнанным стандартом является 802.1Q), которая позволяет свитчам распознавать, из какой виртуальной сети пришел пакет и в какой сети его можно распространять.

Идею разделения трафика можно объяснить так: пусть разные виртуальные сети (сети, по которым передаются пакеты с одним типом маркировки) раскрашены в разные цвета.

Два изображенных на рисунке пользователя находятся в разных VLAN, хотя физически подключены к одному свитчу, а значит, если не осуществлять роутинг между этими виртуальными сетями, пользователь A никак не сможет помешать работе пользователя B.

Что касается реализации, то если мы рассмотрим сеть для корпоративных клиентов, одним из решений будет задание для каждого клиента отдельной VLAN, например, с терминацией на провайдерском BRAS (Broadband Access Server). В этом случае трафик будет эффективно разделен.

В сетях, ориентированных на домашних пользователей, зачастую применяется метод объединения пользователей в небольшие группы и предоставление такой группе отдельного VLAN, что существенно уменьшает вероятность как угрозы безопасности трафика пользователей, так и вероятность нецелевого использования сети. Остается заметить, что для каждой VLAN должна существовать своя отдельная IP-подсеть.

Недостаток решения с использованием VLAN заключается в том, что для его реализации нужны свитчи более высокого уровня, нежели при реализации чисто программного разделения. Более того, обычно Fast Ethernet-свитчи, располагающиеся в бюджетном сегменте и имеющие функционал, необходимый для транзитного свитча (наличие как минимум двух SFP-портов или хотя бы гигабитных Ethernet-интерфейсов), поддерживают не более 256 различных VLAN, что для больших сетей явно не может решить задачу присвоения каждому пользователю отдельного VLAN.

Разделение по портам

Последнее время становится все более популярным метод изоляции трафика по портам. В силу нехитрой концепции, этот метод фактически не требует стандартизации, и, как следствие, реализованный в свитчах почти всех производителей, он носит разные названия: Private VLAN Edge (Cisco, Linksys), Traffic Segmentation (D-link), и тому подобные.

Суть метода заключается в том, что на свитче выделяются группы, которые не могут связываться между собой, но существует один или несколько портов - uplinks, куда каждая из групп может посылать пакеты.

На рисунке овалами одного цвета обозначены изолированные группы. Все компьютеры, входящие в группу A, могут обмениваться локальным трафиком, но не имеют доступа к ресурсам, расположенным в группах B и C. Члены любой группы могут пересылать трафик по uplink (как локальный, так и интернет–трафик). Соответственно, удачным решением может оказаться выстраивание древовидной структуры, в корне которой находятся серверы общего доступа или роутер. В силу того, что можно задавать группы даже из одного порта, этот способ позволяет фактически полностью изолировать порты абонентов от нежелательного трафика.

Бесспорным преимуществом такого решения является то, что с помощью него можно реализовать абсолютную защиту трафика на уровне L2, особенно если стоит вопрос о разграничении равноправных портов по всей сети. Главным недостатком является то, что решение является недостаточно гибким. Переконфигурирование той жесткой структуры, которую предоставляет метод изоляции трафика по портам, может занять очень много времени. Например, объединение в одну группу портов, расположенных на разных свитчах, подчас является трудоемкой операцией.

Сети третьего поколения

В последнее время наряду с сетями второго поколения начинается активное строительство сетей, основная задача которых - не столько соединение пользователя с интернетом, сколько предоставление полного пакета услуг Triple Play. Как правило, такие сети проектируются в масштабах города, причем для свитчей доступа ставятся самые высокие требования – VLAN, DHCP option 82, MVR и так далее. Наибольшая активность построения сетей третьего поколения наблюдается в регионах – небольшой город легче полностью покрыть оптикой, которая просто необходима для передачи большого объема цифрового контента. Услуги Triple Play делятся на три большие группы:

Данные (высокоскоростной выход в интернет, сетевые диски, и так далее);
Голос (всевозможные сервисы передачи голоса по IP, включая услуги голосовой почты и аудио-конференций, сетевое радио);
Видео (телевещание регулярных телеканалов IPTV и HDTV (High Density TV), видео по требованию VoD (Video on Demand) и платные каналы PPV (Pay Per View), услуги видеонаблюдения и видеоконференцсвязи).

Уже можно с уверенностью сказать, что максимум через 2 года жители почти любого Российского города-миллионника смогут воспользоваться всеми этими услугами. Более того, Triple Play-контент одинаково востребован как домашними пользователями, так и корпоративными заказчиками. В свете впечатляющего разнообразия контента очевидно, что для того чтобы осуществлять доступ и, что самое главное, иметь гибкий подход к включению и отключению предоставляемых услуг, нужен не комплексный подход к реализации сетевой инфраструктуры, но, что может показаться странным, существенное упрощение прохождения процедуры авторизации. Действительно, за последние годы процесс авторизации все более усложнялся, почему же после перехода на другой, несравнимо более высокий, а, значит, сложный уровень предоставления услуг мы должны упростить для пользователя политику доступа?! Разгадка кроется в том, что теперь к сети помимо компьютера необходимо подключать множество различных устройств: телефоны, видеокамеры, устройства для обработки контента цифрового телевидения STB (Set-top box) и другие. Более того, что касается корпоративных заказчиков, то подключение к сети компьютеров скорее отходит на второй план. Легко представить, к примеру, склад, где работают порядка десяти видеокамер, несколько IP-телефонов, телевизор и, быть может, один компьютер.

Даже самый распространенный метод терминации туннелей PPPoE не является стандартом де факто, и, как следствие, порой довольно сложно найти, например, оборудование для IP-телефонии, полноценно работающее с этим протоколом. Что касается видеокамер, то тут поддержка PPPoE - скорее исключение, нежели правило. Решить проблему аутентификации для подобных устройств способна технология Bridget IP, а в нашем конкретном случае - DHCP option 82.

DHCP option 82

Для того чтобы понять, что такое DHCP option 82, необходимо разобраться, как работает смежная функция свичинга - DHCP Relay. Рассмотрим обычную свичинг-сеть: если настройки пользовательской станции или CPE (Customer Premise Equipment) выставлены на получение IP-адреса автоматически при подключении, то свич, получив от пользователя DHCP-запрос, рассылает его всем пользователям в данной VLAN в надежде найти DHCP-сервер. Если DHCP-сервер находится в нужной VLAN, то пользователь получает IP-адрес. В противном же случае происходит остановка сервиса.

В сетях Triple Play действует правило предоставления разных услуг в разных VLAN, более того, с точки зрения безопасности крайне не рекомендуется помещать группы пользователей в одну VLAN с управляющими серверами, да и держать отдельный DHCP-сервер в каждом сегменте сети также более чем не выгодно. Суть проста – существует масса доводов для того, чтобы говорить, что в комплексных сетях обычный протокол DHCP не справляется с поставленными задачами.

Функция DHCP Relay позволяет перенаправлять DHCP-запрос серверу, находящемуся в другой (Management) VLAN. Как дополнение к DHCP Relay, функция DHCP option 82 добавляет в DHCP-запрос помимо MAC-адреса клиента Circuit ID (суть номер порта коммутатора, к которому непосредственно присоединен клиент + номер VLAN, в которой находится клиент) и Remote ID (адрес коммутатора, который непосредственно сгенерировал DHCP Relay запрос). Нетрудно понять, что если коммутатор с поддержкой DHCP option 82 стоит непосредственно на access-уровне, то уникальным «паспортом» для любого устройства клиента (см. рисунок 6) будет идентификатор коммутатора доступа и идентификатор порта, к которому пользователь подключен, то есть реализуется модель «один порт доступа - один клиент».

Осталось заметить, что на основе этого паспорта можно не только выдавать уникальный IP-адрес, но и, например, вести учет сервисов, подключаемых пользователем. Отличным дополнением к функции DHCP option 82 обычно служит реализация функционала IP Source Guard – пользователь сможет выйти в локальную сеть только под IP-адресом, полученным через функцию DHCP Relay, что дает как максимальную защиту от подмены IP-адресов, так и возможность контроля внутрисетевой активности.

Что же касается обычного пользователя, он не видит всей этой работы. Не нужны никакие дополнительные настройки, не нужно вводить никакие пароли. Он просто подключает компьютер, телефон или другое устройство в сеть, и к услугам клиента - максимально защищенное и гибкое соединение со всеми подключенными сервисами.

Рассмотрим, как же может действовать система управления доступом к сервисам на практике (см. рис.). [А4]Подключаясь к сети впервые, пользователь посылает DHCP-запрос, который после добавления свитчем информации о «местоположении» отправителя проходит к специальному устройству провайдера, отвечающему за идентификацию клиентов, разграничение политик сервисов и контроля за сессиями – SG (Service Gateway). После запроса с информацией из Option 82 SG отправляет запрос на сервер аутентификации (например RADIUS). Если пользователей с такими данными не существует, SG выдает клиенту «гостевой» IP-адрес, и при первой же попытке воспользоваться браузером для получения доступа к ресурсам интернета, пользователь будет перенаправлен на Web Server, где ему придется пройти начальную регистрацию и выбрать необходимый пакет предоставляемых услуг. После успешной регистрации создается запись в базе, и уже при следующем посещении сети пользователь моментально получит доступ ко всем интересующим его услугам. Более того, анализируя контент пакетов со второго до application-уровня, SG может незамедлительно интеллектуально перенаправлять клиентские устройства, такие как IP-телефон или STB на серверы, предоставляющие соответствующие услуги.

Заключение

Со временем количество сервисов, предоставляемых абонентам через IP, увеличивается экспоненциально и не может не радовать тот факт, что сложность настройки пользовательских устройств сводится до минимума за счет более детальной проработки непосредственно сети доступа. Благо это бремя ложится на плечи сетевых инженеров.

Можно смело заявлять, что развитие любых технологий, ориентированных на конечных пользователей, после стадии технологического совершенствования неуклонно стремится к универсализации и упрощению интерфейсов. Нетрудно заметить, что совершенствование алгоритмов разграничения уровня доступа для клиентов по сетям Ethernet уже вступило в последнюю стадию, а значит не за горами то время, когда подключить IP-телефон будет не сложнее, чем простой утюг, а увеличить скорость пропускного канала интернета будет так же легко, как сделать посильнее напор воды из водопроводного крана.

Обсуждение статьи

Guest guest@gameland.ru Отправлено: 16.12.2008 13:29:52

RE: Методы организации пользовательского доступа к IP-услугам
!

Guest guest@gameland.ru Отправлено: 13.05.2010 4:48:39

RE: Методы организации пользовательского доступа к IT-услугам
nice site! Best wish for you! replica watches Why A High Quality Brand fake hublot watch buy high quality watch replicas

Guest guest@gameland.ru Отправлено: 11.10.2010 5:15:02