Виртуалните мрежи в етап на зрялост

При тарифите за услуги за управление на мрежовите елементи, които бяха в сила до към 2005 г., разгръщането и експлоатацията на собствени решения излизаше по-евтино на компаниите от абонамента за операторски услуги. Днес обаче анализаторите смениха „знака“ на своите разсъждения. Актуалната теза е, че наемането на ресурси от външна операторска VPN мрежа практически винаги е по-ефективно от изграждането на корпоративна мрежа, базирана на Интернет, а още повече при заделени канали за връзка.

Осигуряването на безопасност на мрежовия трафик е задължително, но далеч не единствено предназначение на VPN архитектурите. Технологиите IP VPN се използват преди всичко за интеграция на териториално разпръснатите офиси в единно информационно комуникационно пространство с общ телефонен номерационен план, способи за достъп до корпоративните сървъри, политика за защита и управление правата на потребителите, поддръжка на виртуални работни групи и т.н.

В рамките на аутсорсинг модела за изграждане на VPN мрежи клиентът получава възможност гъвкаво да манипулира пропусквателната способност на WAN каналите в зависимост от текущите потребности на свързания офис. При разширяване на географското присъствие на компанията тя няма да се грижи за преконфигуриране на мрежата и създаване на допълнителни комуникационни канали. Ако доставчик на услуги IP VPN притежава достатъчно обширна мрежова инфраструктура или има добри бизнес отношения с партньори, можете да му поръчате тези задачи.

Доверие към аутсорсинга

И така, основните характеристики на всяка VPN архитектура са прозрачност, управляемост, безопасност и мащабируемост. Всичко това прави аутсорсингът на VPN мрежите по-привлекателен от икономическа гледна точка. Предприятие със значителни финансови възможности може да разгърне виртуална частна мрежа и самостоятелно (върху съществуващи канали за достъп до Интернет), но на съвременния етап от технологичното развитие „частният“ подход едва ли е оправдан, което се признава вече дори от държавни компании. Все повече организации вече не изпитват предубеждения към публичните оператори, доверявайки им предаването на вътрешнокорпоративен трафик по защитени VPN мрежи.

„В отделна графа“ може да се отдели VPN архитектурата, използвана за организиране на защитен отдалечен достъп до корпоративната мрежа. Такова решение функционира на базата на заделен сървър SSL-VPN, който е способен едновременно да поддържа хиляди потребители, обръщащи се към корпоративната поща, базите данни, клиентски системи с Web интерфейси и други приложения. По правило сървърът се инсталира в защитен сегмент от корпоративната мрежа, макар че в редица случаи има смисъл даденият елемент от VPN структурата също да бъде при външния доставчик на услуги.

На Запад аутсорсингът прониква много бързо във всички сфери на ИТ дейности. Вече за никого не е изненада, че операторите сключват договори за обслужване на своите мрежи с производители на оборудване или техни сервизни поделения. Постепенният отказ от решаване на техническите задачи предприятията мотивират с желанието си да се съсредоточат върху обслужването на клиенти.

Преди година анализаторите обявиха, че навлизаме в ерата на управляемите локални мрежи (LAN): годишните темпове на нарастване на тази услуга достигат 35%. Ускореното прехвърляне на функциите по управление на LAN към аутсорсинг организация способстват за увеличаване броя на клиентските портове, усложняване на инструментариума за управление, внедряване на конвергентни приложения за VoIP и поточно видео. Тези процеси обаче тепърва се развиват. За сметка на това пазарът се разширява в три направления: предоставяне на услуги за управляеми VPN, наемане на ресурси за външни телефонни централи (Centrex/IP Centrex) и външно обслужване на WAN инфраструктурата на предприятията.

От IPSec към MPLS

Най-зрял от споменатите сегменти на операторския пазар е аутсорсингът на виртуални частни мрежи. Тласък за създаването и разпространението на технологията VPN дадоха икономически фактори: в края на 90-те години на XX век стана очевидно, че използването на публичен Интернет за изграждане на корпоративни мрежи поевтинява подобни проекти многократно в сравнение с наемането на заделени канали. А икономическите стимули са най-силни. В същото време инженерите от IETF се заеха с разработката на механизми за защита на IP пакетите, предавани през отворена мрежа, от подслушване и изкривявания. Така се появиха протоколите IPSec (IP Security), чийто базов вариант бе утвърден през 1998 г., а допълнената версия - през 2005 г. Съвременната редакция на IPSec е включена като задължителна функция в Интернет протокола от следващо поколение IP v6.

IPSec съдържа няколко протокола, отговарящи за обмена на криптографски ключове и създаване на защитена връзка (IKE) за шифриране на предаваните данни и гарантиране на тяхната цялостност (ESP и AH). Предвидени са два режима на работа IPSec – транспортен и тунелен. В първия случай се шифрира (или подписва) само информационната част от пакета, а неговата заглавна част не се пипа. Във втория пакетът се шифрира изцяло (включително маршрутната информация) и се капсулира в друг пакет, който го пренася през открития участък от мрежата, от единия VPN шлюз до другия. За обединяване на разпръснати офиси или свързване към корпоративните ресурси отдалечените потребители посредством VPN най-често се прилага по-устойчивият към пробиви режим на тунелиране.

Тъй като IPSec спада към протоколите от мрежовия слой, той е подходящ за защита на всякакви приложения, базиращи се на транспортно и по-високо ниво в еталонния модел OSI. Специалистите единодушно са признали тунелния режим IPSec за един от най-надеждните способи за сигурно предаване на трафика, но скоро разбраха, че този протокол е твърде сложен за реализация и изисква значителни изчислителни ресурси. Появиха се някои проблеми при съвместната работа на VPN оборудване на различни производители. Стана ясно, че IPSec е почти идеален за изграждане на виртуални корпоративни мрежи със собствени сили, но няма бъдеще при операторите, стремящи се да предоставят на бизнес клиентите си услуги за създаване и управления на VPN. На помощ на операторите се притече технологията за мултипротоколна комутация на базата на етикети (MPLS), емулираща различни свойства на технологиите TDM върху IP мрежа.

Ерата на MPLS маршрутизацията започна у нас през 2000 г., когато ГУКИС започна да изгражда своята опорна IP мрежа в страната, а Български пощи станаха първият клиент на телекомуникационната компания, който поръча услугата IP базирана частна виртуална мрежа. По-късно националната мрежа на ГУКИС бе поета от Equant, а междувременно свои MPLS мрежи развиха също Мобиком и Орбител, последвани по-късно от всички алтернативни телекоми. Традиционният телеком БТК се включи на по-късен етап, като първоначално MPLS базираните VPN услуги се предоставяха от И'нет компанията на БТК – БТК-НЕТ. По-късно вече частната БТК инвестира сериозно в разширяване и надграждане на тази мрежа и през 2005 г. на базата на тази MPLS инфраструктура бе стартиран проектът за VPN свързаност на 3000 български училища. В момента всички по-големи оператори у нас разчитат именно на MPLS при предоставянето на комуникационна свързаност на корпоративните си клиенти, като най-често това се реализира с маршрутизатори на Cisco или Juniper.

MPLS просто и елегантно решава задачата по защита на предаваната информация като формира в IP мрежата виртуални „тунели“ (псевдонаети линии), достъпни само в пределите на определена VPN. Неотменна част от MPLS са вградените функции за осигуряване качеството на услугите, реализирани също с помощта на етикети. Технологията може да действа и на трето (мрежово), и на второ (канално) ниво на модела OSI, което дава допълнителна гъвкавост при обединяване на локалните мрежи на отдалечени офиси и тяхното свързване с централизираните сървъри за приложения. Абонирайки се за услугата MPLS L2 (Virtual Private LAN Services, VPLS), клиентът получава възможност да стартира собствени алгоритми за шифриране на трафика, различни от предлаганите от оператора.

Днес всички големи български доставчици на управляеми VPN услуги като БТК, Орбител, TPN, Спектър Нет, Транс Телеком, Нетера и др. ги предоставят на базата на собствени IP MPLS (L2/L3) мрежи. Ако става дума за интеграция на офиси на клиента в пределите на града, често се предпочита да се ползва инфраструктурата на операторска мрежа Metro Ethernet.

Географският фактор

Географията на предоставяните VPN услуги зависи от обхвата на самата IP MPLS мрежа на оператора. Например Orange Business Services осигурява глобален обхват на своите услуги, тъй като неговата мрежа се простира в 220 страни. Такъв оператор е силно конкурентен, ако поръчителят има международен бизнес и иска да обедини филиали и представителства, разположени на различни континенти.

Когато става дума за балканския регион, има редица компании, които имат конкурентни оферти за VPN услуги. Сред тях са TPN (вече част от Interoute) и Нетера, а също фирми като Транс Телеком и поделението й ТрансСАТ, осигуряваща VPN услуги през сателитна VSAT мрежа. Булгартел засега предпочита да предоставя физическа свързаност, но в плановете на дружеството също влизат предоставяне на управлявани VPN услуги.

На национално равнище у нас действат всички играчи на пазара на VPN услуги, тъй като MPLS модернизацията на мрежовата инфраструктура е обхванала фактически всички слоеве от телекомуникационния пазар.

Сходства и различия

Тъй като базовите технологии за създаване на VPN при всички играчи на пазара са почти еднакви (както и използваното от тях оборудване от операторски клас), трудно може да се очаква, че списъкът от предлагани услуги силно ще се различава. Болшинството от корпоративните клиенти виждат в управляемите VPN услуги ефективно нескъпо средство за обединяване на офисите в рамките на града, страната, региона или дори целия свят. „Често IP VPN предоставя единствено възможния способ за свързване към мрежата на отдалечени бизнес поделения, работещи на труднодостъпни места“. Териториално-разпределената мрежа помага да се въведе система за единен електронен документооборот, работа на различни бизнес приложения и комуникационни услуги от край до край.

Най-често при изграждане на виртуални корпоративни мрежи се реализира топология „звезда“, в рамките на която централният офис се свързва с филиали по канали „точка-точка“, а филиалите един с друг - през централния офис. В града топологията на мрежата може да бъде по-разнообразен. Оптималният вариант за осигуряване на корпоративна IP телефония е пълносвързана mesh архитектура на L2 VPN мрежа, която позволява да се предава трафик между крайните точки директно, заобикаляйки централния офис.

Има и VPN предложения за услуги, ориентирани към други оператори, които създават върху каналната инфраструктура на оператора „насложени“ мрежи. Към тях е насочена уникалната услуга „Виртуален канал с двойно маркиране“ (на базата на спецификацията за виртуални заделени линии Ethernet, EVLL Q-n-Q). Тя позволява в рамките на една „виртуална линия“ да се поддържат множество изолирани виртуални VLAN, отнасящи се към клиентите на доставчика на „насложената“ мрежа. Този доставчик самостоятелно присвоява етикети VLAN ID и е способен да ограничи пропускателната лента на всеки създаден от тях тунел.

Другата екзотична услуга на базата на технологиите MPLS VPN е Wi-Fi Centrex, която помага на независимите оператори на безжични мрежи да обединяват своите точки за достъп в общонационална Wi-Fi мрежа с единен център за управление. Операторът поема функциите за техническа поддръжка на услугите (оторизация на потребителите, билинг и роуминг) и свързването към Интернет, а операторът клиент се съсредоточава върху разширяване на зоните на обслужване и привличането на абонати.

В условията на широк набор от VPN услуги, предлагани от родните телекомуникационни оператори, корпоративните клиенти започват да обръщат особено внимание на цената и показатели като градация на нивото на обслужване, гарантирана скорост на реакция при прекъсвания, размер на наказателните санкции за неизпълнение на SLA договорите, допустимост на използваните средства за автономен мониторинг. Разбира се, да се сравняват тарифите директно няма смисъл, тъй като в повечето случаи стойността на услугите се определя индивидуално, в зависимост от мащаба на проекта и потребностите на клиента.

В някои мрежи се поддържа режим MultiCos, който минимизира потребностите на клиентите от пропускателната способност на мрежата. При активиране на MultiCos по един виртуален канал може да се предава трафик, съответстващ на всеки от четирите предлагани класа обслужване, без да се вреди на качеството на гласа и критичните към времезакъснението данни.

Други телекоми са убедени, че външната услуга може да бъде икономически оправдана дори при наличие на две точки за свързване (т.е. минималния възможен брой VPN възли). Когато предприятието изгражда собствена корпоративна мрежа на базата на публичната инфраструктура Интернет, то трябва да се справи с проблемите по защитата, качеството и управляемостта на услугите. Друг специалист твърди, че наличието на собствена VPN мрежа е оправдано само в един-единствен случай: при наличие на достатъчен екип от специалисти, наследена инфраструктура и сериозни вложения в крайно оборудване. Но дори в такава ситуация компаниите предпочитат да предадат своята WAN инфраструктура на аутсорсинг организация, за да намалят текущите разходи.

Граници на отговорност

По принцип във всеки договор за обслужване се определя граница на отговорност на оператора. Тя преминава или по порта в маршрутизатора за достъп до мрежата MPLS (PE), обърнат към клиента, или по крайното устройство във VPN мрежата (CPE) — ако операторът е поел и обслужването на „последната миля“. След CPE започва локалната мрежа, а управлението на тази част от мрежовата инфраструктура предприятията не бързат да отдават на външни фирми. Доставчиците на телекомуникационни услуги също не бързат да поемат отговорност за обслужване на LAN елементите.

Управлението на мрежовата инфраструктура е задължителна опция практически във всички проекти за ИТ аутсорсинг, като е възможно предаване на оборудването на телекома. Оценката на инфраструктурата се прави съвместно с клиента и по принцип в сметката се взима остатъчната стойност на оборудването по счетоводни документи. В някои случаи операторите не ползват телекомуникационните устройства на своите клиенти, а инсталират в тяхната мрежа свое собствено оборудване.

За да се съгласят да обслужват мрежовото оборудване на предприятията операторите предявяват доста строги изисквания. Някои телекоми дори се отказват да предоставят услугата аутсорсинг на WAN или LAN инфраструктурата, ако се сблъскат с „необичайно“ или недоговорен тип оборудване. Сред условията може да са: устройствата да са снабдени с последната версия на софтуера, разработена от производителя; ако конкретният модел клиентско оборудване не се поддържа от оператора, той може да препоръча неговата замяна (естествено със средства на клиента).

Според специалисти от бранша клиентите често се стремят да аутсорснат всички маршрутизиращи и комутиращи продукти. Условията за приемане за обслужване на клиентски системи са доста строги. Първо, това могат да бъдат само устройства на определени производители, например Cisco Systems или Juniper, при това неснети от производство. Второ, инсталираното програмно осигуряване трябва да е актуално, а всички необходими надстройки се правят за сметка на клиента. Трето, щателно се проверява съблюдаването на експлоатационните параметри — качество на захранването, заземяване, климатичен режим. За ремонт и модернизация на оборудването също плаща поръчителят.

Обезщетение и застраховка

Отделна проблематика в ИТ аутсорсинга въобще и в аутсорсинга на телекомуникационни ресурси в частност са санкциите за нарушение от операторите на условията по споразумението за ниво на обслужване. Критериите за оценка на качеството на услугите във VPN мрежите са стандартни. Това е достъпност на мрежовите възли, закъснение на пакетите, джитер и процент загубени пакети. При нарушаване на нормативните показатели, характерни за един или друг клас обслужване, сумата за поредното месечно клиентско плащане се намалява. Обикновено операторите обаче не съобщават предварително никакви размери на тези „наказателни такси“, заявявайки, че те са строго индивидуални и са фиксирани в конкретния договор с клиента.

В същото време производителите на информационни и комуникационни решения неспирно повтарят, че спирането на коя да е критично важна за бизнеса система води до директни загуби, изчислявани в десетки, дори стотици хиляди долари. Освен това не трябва да се забравя за репутацията и отлива на клиенти, които по-трудно се преобразуват в паричен еквивалент. Понякога това оказва толкова силно влияние върху компаниите, че им се налага да затворят или препрофилират своя бизнес.

При функционирането на корпоративната мрежа на базата на аутсорсинг услуги прекъсването на телефонната връзка между офисите заради голямо закъснение на сигнала или отказ от достъп до ERP системата заради временна недостъпност на възел трябва да се оценяват като критични инциденти. Американските юристи в областта на корпоративното право навярно биха завели срещу немарливия оператор искове за много милиони долари. Ако предприятието обаче иска да разчита на подобно овъзмездяване, най-добре да се обърне към застрахователна компания. Операторите биха върнали загуби само за сметка на периода, през който услугата не се оказва или се предоставя в нарушение с договорените параметри. Размерът на компенсацията за подобно нарушение обикновено не надхвърля 20% от ежемесечната абонаментна такса.

Фигура 1 Типова схема за използване на WDS за оптимизиране на VPN каналите

Последни новини

• Стартира проектът „ТОП ИКТ Работодател“
• В 29 общини и 24 малки селища ще се изгражда инфраструктура за ШЛ интернет по проект на ЕСМИС
• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ

Активни теми във форума

• » Само за родители и кандидат-родители
• » Питай Малинка - сайт за въпроси и отговори
• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.