ОРГАНИЗАЦИЯ ОТКАЗОУСТОЙЧИВОГО СОЕДИНЕНИЯ КАНАЛЬНОГО УРОВНЯ МОДЕЛИ OSI ПОВЕРХ ГЛОБАЛЬНЫХ ЛИНИЙ СВЯЗИ
<andrey. *****@***ru>,
кафедра ИКТ, МИЭМ.
Ни для кого не секрет, что информационные технологии уже насквозь пропитали собой все сферы деятельности современного предприятия, и чем дальше движется прогресс, тем ярче это выражается. Этот факт рождает строгие требования к технической оснащенности предприятия — применение информационных технологий невозможно без грамотно спроектированной и стабильно работающей сетевой инфраструктуры.
Добиться должной оперативности в деле поддержки и развития сетевого ресурса современному администратору помогает целый спектр технологий, использующих свое программно-аппаратное обеспечение и протоколы на всех уровнях модели OSI. На момент, когда предприятие территориально располагается в одном месте, внедрение и применение подобных технологий не вызывает проблем, ведь все коммуникации зачастую проложены с использованием витой пары и оптоволоконных линий, поверх которых можно с легкостью обмениваться трафиком любого уровня. Но как быть, если подразделения предприятия разнесены по разным частям города, страны или мира? Как сохранить стройную структуру сетевой инфраструктуры в условиях географической разрозненности предприятия?
В данной статье представлено решение проблемы организации надежного соединения второго уровня модели OSI между территориально разрозненными частями сетевой инфраструктуры. В первую очередь выделим основные требования к соединению:
· Поддержка канального уровня. Спектр поддерживаемых протоколов не должен ограничиваться лишь сетевым уровнем. Соединение должно поддерживать обмен данными по любому протоколу, уровнем выше физического, чтобы обеспечить максимальную гибкость и свободу выбора технологий для применения внутри сети.
· Прозрачность. Соединение должно быть удобным в эксплуатации. Это означает, что выбранный метод должен предоставлять достаточную степень абстракции, чтобы создать для оборудования и обслуживающего персонала иллюзию подключения по прямому проводу.
· Надежность. Это стандартное требование к любому компоненту любой информационной системы, но в данной задаче ему уделяется особое внимание. В статье представлены методы достижения разной степени надежности.
· Пропускная способность. В отличие от приведенных выше требований, требование к скорости соединения может варьироваться в зависимости от решаемых предприятием задач, поэтому при исследовании методов организации соединения будем опираться на первые три требования, а окончательный итог подведем с учетом данного требования.
Идеальным решением, в полном объеме отвечающим этим требованиям, является прямое оптоволоконное соединение, но реалии таковы, что организация такой линии связи либо невозможна, либо финансово не оправдана. Поэтому, решение данной задачи следует производить поверх уже имеющихся глобальных линий связи, а именно через Интернет. Рассмотрим возможные варианты:
Классическое VPN соединение. Существует достаточно программных решений для организации соединения VPN уровня L2 (например, OpenVPN или Vtun). Мы лишь сделаем соединение прозрачным с помощью отдельных x86-совместимых серверов с двумя сетевыми картами под управлением GNU/Linux и технологии Bridging, объединив в виртуальный коммутатор интерфейсы VPN-тоннеля и второго сетевого адаптера. Таким образом мы получаем виртуальное соединение с двумя физическими «розетками» на концах. Единственное преимущество данного метода — в простоте.
При такой организации страдает надежность соединения, поскольку при выходе из строя одного из серверов, данная схема автоматически становится неработоспособной. Также, если применяется маломощное оборудование, ощутимо страдает пропускная способность. Назовем эту схему минимальной.
VPN соединение с резервированием. Логическим продолжением минимальной схемы является схема с резервированием. Предлагается организовать массив виртуальных тоннелей, как в первом варианте, но в каждый момент времени использовать только один. Автоматическое переключение между тоннелями в случае отказа одного из узлов организуется с помощью протокола STP.
Преимущество данного метода в максимально возможной надежности. Если в системе работоспособно с каждой стороны хотя бы по одному VPN-серверу, то связь остается нерушимой. Как и в первом случае, возможны проблемы со скоростью соединения.
Резервирование и агрегация VPN соединений. Суть данного метода заключается в агрегации нескольких параллельных VPN соединений, по одной из технологий агрегации, например LACP.
Такой подход позволяет увеличить пропускную способность итогового соединения в случае, если для организации серверов VPN применяется маломощное оборудование. Данная схема увеличивает надежность соединения в целом, так как будет оставаться работоспособной при единственном рабочем тоннеле, но надежность при такой организации ниже, чем у предыдущего варианта, так как при выходе из строя одного из серверов, его «партнер» с другой стороны окажется бесполезным.
Итак, выбор метода организации VPN соединения зависит от требования предприятия. Если необходимо простое соединение, по которому не будут обмениваться данными критически важные сервисы, то подойдет классическое соединение, если акцент делается на отказоустойчивость, то идеальный вариант — схема с резервированием, в случае, если необходима высокая пропускная способность при базовой надежности, рекомендуется агрегировать несколько тоннелей.
