Protokół IP w szerokopasmowej sieci dostępowej - aspekty techniczne i usługowe



Podobne dokumenty
Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

BRINET Sp. z o. o.

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Zdalne logowanie do serwerów

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Tworzenie połączeń VPN.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Sieci wirtualne VLAN cz. I

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Dr Michał Tanaś(

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

ZiMSK. VLAN, trunk, intervlan-routing 1

SIECI KOMPUTEROWE Protokoły sieciowe

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

WLAN bezpieczne sieci radiowe 01

ZiMSK. Konsola, TELNET, SSH 1

Obecna definicja sieci szerokopasmowych dotyczy transmisji cyfrowej o szybkości powyżej 2,048 Mb/s (E1) stosowanej w sieciach rozległych.

Protokoły sieciowe - TCP/IP

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

GTS Transmisja Danych

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Bezpieczeństwo Systemów Sieciowych

router wielu sieci pakietów

Konfiguracja aplikacji ZyXEL Remote Security Client:

SSL (Secure Socket Layer)

12. Wirtualne sieci prywatne (VPN)

Konfigurowanie sieci VLAN

Protokół IPsec. Patryk Czarnik

Łącza WAN. Piotr Steć. 28 listopada 2002 roku. Rodzaje Łącz Linie Telefoniczne DSL Modemy kablowe Łącza Satelitarne

Zastosowania PKI dla wirtualnych sieci prywatnych

Przemysłowe Sieci Informatyczne. Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Marcin Szeliga Sieć

Adresy w sieciach komputerowych

Protokoły zdalnego logowania Telnet i SSH

Internet ISDN BRINET Sp. z o. o.

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

160,04 PLN brutto 130,11 PLN netto

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

Rodzaje, budowa i funkcje urządzeń sieciowych

Podstawy MPLS. PLNOG4, 4 Marzec 2010, Warszawa 1

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Bezprzewodowy router/modem ADSL2+, standard N, 300Mb/s, gigabitowe porty Ethernet TD-W8970

Warstwy i funkcje modelu ISO/OSI

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

PORADNIKI. ISDN: Sieć Cyfrowa z Integracją Usług

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Sieci VPN SSL czy IPSec?

Bezpieczne protokoły Materiały pomocnicze do wykładu

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

Laboratorium Ericsson HIS NAE SR-16

Telefonia Internetowa VoIP

Metody zabezpieczania transmisji w sieci Ethernet

Sieci komputerowe i bazy danych

KARTA PRZEDMIOTU. Integracja sieci komputerowych D1_4. The integration of computer networks

SIECI KOMPUTEROWE wykład dla kierunku informatyka semestr 4 i 5

Sieci VPN by Silas Mariusz

Rozdział 1 Usługa IP VPN z Łączem dostępowym Frame Relay lub ATM standard 1499,00 344, , biznes 1799,00 413, ,77

Sieci Komputerowe Modele warstwowe sieci

Business Everywhere- stawiamy na innowacje i konwergencję. Warszawa,28 września, 2005r.

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Infrastruktura PL-LAB2020

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Sieci WAN. Mgr Joanna Baran

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Przesyłania danych przez protokół TCP/IP

Kurs Ethernet przemysłowy konfiguracja i diagnostyka. Spis treści. Dzień 1/2

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

E.13.1 Projektowanie i wykonywanie lokalnej sieci komputerowej / Piotr Malak, Michał Szymczak. Warszawa, Spis treści

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Załącznik nr 1 do SIWZ. Numer sprawy: DO-DZP

Bandwidth on Demand - wyzwania i ograniczenia. Tomasz Szewczyk tomeks@man.poznan.pl

Protokoły sieciowe model ISO-OSI Opracował: Andrzej Nowak

3. Wymagania wstępne w zakresie wiedzy, umiejętności i kompetencji społecznych Wiedza

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Protokoły internetowe

5R]G]LDï %LEOLRJUDğD Skorowidz

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Załącznik nr 1 do zapytania ofertowego. Połączenie lokalizacji ŁOW NFZ wysokowydajną siecią WAN, zapewnienie dostępu do Internetu oraz

Sieci komputerowe. Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet

SIECI KOMPUTEROWE Adresowanie IP

SEKCJA I: Zamawiający

System Kancelaris. Zdalny dostęp do danych

Model OSI. mgr inż. Krzysztof Szałajko

CENNIK USŁUG TELEKOMUNIKACYJNYCH

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

EFEKTYWNA BEZPIECZNA TRANSMISJA DANYCH W SIECIACH WĄSKOPASMOWYCH

Bezpieczeństwo systemów komputerowych

Wykład II. Administrowanie szkolną siecią komputerową. dr Artur Bartoszewski

Technologie WAN transmisja synchroniczna i asynchroniczna

Protokół sieciowy: Zbiór formalnych reguł i konwencji dotyczących formatu i synchronizacji w czasie wymiany komunikatów między procesami

Serwery autentykacji w sieciach komputerowych

Systemy GEPON oraz EoC. Jerzy Szczęsny

Technologie sieciowe

Bezpieczeństwo sieci informatycznych Środki. Dr inż. Małgorzata Langer

Transkrypt:

Prof. dr hab. inż. Czesław Jędrzejek Instytut Telekomunikacji, ATR Bydgoszcz Instytut Technik Telekomunikacyjnych i Informatycznych, Poznań mgr inż. Krzysztof Samp Instytut Technik Telekomunikacyjnych i Informatycznych, Poznań mgr inż. Andrzej Szwabe Instytut Technik Telekomunikacyjnych i Informatycznych, Poznań Protokół IP w szerokopasmowej sieci dostępowej - aspekty techniczne i usługowe STRESZCZENIE Niniejszy artykuł ma charakter przeglądowy. Zostały w nim zaprezentowane sposoby przenoszenia protokołu IP w szerokopasmowych sieciach dostępowych zbudowanych w oparciu o technologie: xdsl, HFC i LMDS. Ponadto zostały omówione aspekty bezpieczeństwa i jakości usług, z których zapewnieniem protokół ten ma największe problemy. W dalszej cześć został zaprezentowany sposób realizacji dostępu do usług opartych na sieci IP. Na zakończenie zaprezentowano podsumowanie całego artykułu. WSTĘP Popularność Internetu oraz protokołu IP stale rośnie. Mówi się o tzw. boomie na pasmo potrzebne do realizacji usług internetowych. Coraz większa liczba operatorów na świecie oraz w Polsce (np. TP S.A.) buduje sieci szkieletowe działające w oparciu o protokół IP. Już obecnie twierdzi się, że w wielu krajach ruch danych przekroczył w sensie wielkości ruch głosowy. Według prognoz OVUM w Europie Zachodniej w roku 2005 ruch w sieci szkieletowej będzie wynosił 1700 Gb/s, z czego ruch głosowy będzie stanowić mniej niż 50 Gb/s [1]. Jeśli prognozy spełnią się, operatorom może się nie opłacać utrzymywanie osobnej infrastruktury szkieletowej do przenoszenia głosu. Stąd wynika pojawiające się zapotrzebowanie na sieci konwergentne umożliwiające przenoszenie głosu i danych w jednej infrastrukturze. Uzupełnieniem konwergentnych sieci szkieletowych będą z całą pewnością szerokopasmowe sieci dostępowe. Zdaniem wielu ekspertów dochody z dostępu szerokopasmowego będą w najbliższych latach stale rosnąć. Wydaje się, że dominującą technologią w zakresie dostępu szerokopasmowego do sieci IP będą technologie: ADSL oraz dostęp przez modem kablowy. Ponadto klientom biznesowym oferowany będzie dostęp na bazie technologii LMDS. Prognozę przychodów z usługi dostępu szerokopasmowego z podziałem na poszczególne technologie przedstawia Rys.1. 14 Dochód [mld USD] 12 10 8 6 4 2 Inne DSL Modem kablowy Dial-up 0 1999 2000 2001 2002 2003 Rys.1. Dochód z dostępu szerokopasmowego [Źródło: Jupiter Communications]

W związku z tym, że dominującym protokołem w sieci szkieletowej jest (lub w najbliższym czasie będzie) protokół IP, powstaje pytanie o sposób, w jaki można transmitować pakiety IP w szerokopasmowej sieci dostępowej. W związku z tym, że na bazie protokołu IP będzie można zaoferować całą gamę nowych usług, istotną kwestią jest sposób realizacji dostępu do tych usług. Kolejnym problemem stojącym przed operatorem jest sposób zapewnienia bezpieczeństwa i jakości dla usług realizowanych na bazie protokołu IP. Niniejszy artykuł przedstawia w jaki sposób problemy te są rozwiązywane obecnie i w którym kierunku mogą ewoluować rozwiązania producentów. REALIZACJA PROTOKOŁU IP W SZEROKOPASMOWEJ SIECI DOSTĘPOWEJ Technologie takie jak xdsl, HFC, ATM-PON czy LMDS określają warstwę fizyczną sieci dostępowej. W wyniku rozwoju Internetu znaczenie IP, protokołu warstwy sieci modelu OSI znacznie wzrosło. Przy wykorzystaniu IP świadczyć można nie tylko usługę dostępu do Internetu, ale i inne usługi (np. VPN, telefonia IP, wideo). W szerokopasmowych sieciach dostępowych przesyłanie pakietów IP jest realizowane przy wykorzystaniu technologii dostępowych: światłowodowych - ATM-PON, xdsl, HFC (modemy kablowe niestandardowe, zgodne z DOCSIS lub z DVB/DAVIC), LMDS. Istnieje też możliwość dostępu do Internetu poprzez prywatne sieci lokalne Ethernet (nazywane często sieciami amatorskimi) połączone bezpośrednio do usługodawcy (tzw. Ethernet do domu - ETTH) poprzez łącza dzierżawione. Użytkownicy Sieć dostępowa Punkty dostępu do usług xdsl DSLAM ISP HFC CMTS Sieć regionalna ATM/IP ISP LMDS ISP LMDS BSC Rys.2. Protokół IP w szerokopasmowej sieci dostępowej (różne realizacje) Aktualnie największe znaczenie rynkowe mają technologie xdsl, HFC i LMDS (Rys. 2). Sposób realizacji usług IP w sieciach ATM-PON sprowadza się do zagadnienia realizacji tychże usług w sieci ATM doprowadzonej do użytkownika końcowego. Realizacja protokołu IP w sieci xdsl W sieciach xdsl przenoszących ruch IP (internetowy lub LAN) stosuje się w warstwie łącza danych protokół PPP (IETF RFC 1661). W skład PPP wchodzi protokół kontroli łącza danych LCP (ang. Link Control Protocol), który służy nawiązywaniu połączenia oraz jeden lub wiele protokołów kontroli sieci NCP (ang. Network Control Protocol) służących przenoszeniu ruchu danego protokołu warstwy sieci. W przypadku przenoszenia pakietów IP nad łączem PPP protokołem takim jest IPCP (ang. IP Control Protocol) określony dokumentem IETF RFC 1332.

Istnieją różne modele dostarczania usług IP z wykorzystaniem technologii xdsl: model dostarczania usług IP przy wykorzystaniu ATM, model wykorzystujący DSLAM jako przełącznik w warstwie łącza danych, model warstwy sieciowej, model SVC-MPLS. Model sieci ATM obejmującej swym zasięgiem użytkowników z jednej strony i punkty dostępu do usług z drugiej to tzw. model ATM dostarczania usług IP. Funkcje adaptacyjne ATM realizowane są w tym przypadku przez modem użytkownika, który połączony jest z multiplekserem DSLAM połączeniem wykorzystującym warstwę ATM Adaptation Layer 5 (AAL5) i PPP w warstwie łącza danych, przy pomocy którego przenoszone są pakiety IP. Sesje PPP zestawiane są pomiędzy modemem użytkownika a serwerem PPP wyposażonym w interfejs ATM i znajdującym się w punkcie dostępu do usług. Każdemu użytkownikowi przypisany jest odrębne połączenie PVC. To nakłada duże wymagania na przełączniki ATM realizujące tak liczne połączenia wirtualne. Sieć zgodna z modelem ATM nie wymaga użycia routerów. Pozwala też na świadczenie usług bazujących na ATM. W przypadku realizowania gwarancji jakości usług przez sieć IP, z którą połączona jest opisywana sieć ATM, można świadczyć usługi wymagające takich gwarancji wykorzystując w tym celu mechanizmy ATM QoS. Istotną wadą opisywanego rozwiązania są wysokie ceny kart sieciowych ATM oraz fakt, że producenci sprzętu ATM wycofują się z koncepcji doprowadzenia sieci ATM do użytkownika. W celu podniesienia efektywności struktury połączeń w sieci ATM stosuje się niekiedy architekturę agregacji połączeń PVC. Polega ona na multipleksowaniu danych przesyłanych w wielu połączeniach PVC przynależnym wielu użytkownikom do postaci nowych PVC łączących punkt agregacji z punktami dostępu do usług (odrębne PVC dla każdego połączenia: punkt agregacji - punkt dostępu do usługi). Inną koncepcją podniesienia efektywności działania sieci ATM jest stosowanie techniki SVC pomiędzy użytkownikiem a routerem brzegowym, do którego połączony jest DSLAM. W dalszej części sieci - łączącej router brzegowy z routerami będącymi punktami dostępu do usług stosuje się technikę MPLS [2]. Kolejnym modelem sieci xdsl przenoszącej ruch IP jest taki, w którym DSLAM służy jako przełącznik w warstwie łącza danych. Protokół PPP wykorzystywany jest w takim przypadku w części sieci łączącej modem xdsl po stronie użytkownika (pełniący funkcję prostego routera) z multiplekserem DSLAM. DSLAM wymienia dane z modemem i komunikuje się z punktami dostepu do usług IP poprzez połączenia wirtualne PVC (ATM PVC lub Frame Relay PVC). DSLAM wykonuje więc np. funkcje adaptacji pakietów IP w komórki ATM. W opisywanym modelu DSLAM oprócz funkcji koncentracji może również pełnić funkcje warstwy sieciowej - monitoruje ruch przepływający poprzez interfejs każdej linii xdsl aby identyfikować użytkownika, realizować mechanizmy bezpieczeństwa i mechanizmy dynamicznego przyznawania adresów IP przy pomocy protokołów DHCP. Są to funkcje pożądane w komercyjnych implementacjach. Przedstawiony model ma m.in. taką zaletę, że sieć tego typu efektywniej używa zasobów sieci WAN, z którą połączony jest DSLAM. Wymagana jest niewielka liczba połączeń PVC - w pewnym uproszczeniu jest ona równa liczbie multiplekserów DSLAM pomnożonej przez liczbę punktów dostępu do usług IP, w tym dostępu do Internetu (w odróżnieniu od modelu ATM dostarczania usług IP, który wymaga odrębnego PVC dla każdego użytkownika). W innym modelu - tzw. modelu warstwy sieci, DSLAM nie przełącza pakietów IP lecz koncentruje je i przekazuje routerowi, który następnie kieruje je do odpowiednich routerów stanowiących punkty dostępu do usług IP. Router, w którym następuje przekierowanie pakietów pochodzących od wielu użytkowników może być połączony z routerami dostępu do usług przy wykorzystaniu dowolnej techniki WAN. W przypadku, gdy jest to sieć ATM lub Frame Relay liczba połączeń PVC jest znacznie mniejsza niż w modelu ATM dostarczania usług IP. W najprostszym przypadku pojedynczego routera łączącego DSLAM z siecią WAN jest ona sumą liczebności multiplekserów DSLAM w sieci oraz punktów dostępu do usług. Oznacza to efektywniejsze wykorzystanie zasobów sieci WAN niż w modelu warstwy drugiej [3].

Realizacja protokołu IP w sieci telewizji kablowej Usługi IP w sieciach dostępowych zbudowanych w technologii HFC realizowane są przy pomocy modemów kablowych zgodnych ze standardem DOCSIS (lub z odmianą Euro-DOCSIS), standardem DVB/DAVIC (modem zgodny z tą specyfikacją nazywany jest EuroModemem) lub są niestandardowymi rozwiązaniami firmowymi (coraz rzadziej). Mimo, że technologia modemów kablowych pozwala na uzyskanie wyższych przepływności niż w przypadku modemów xdsl, potencjalny zakres stosowania kablowych rozwiązań IP jest mniejszy z racji specyfiki sieci telewizji kablowej (użytkownikami są zwykle klienci mieszkaniowi). Dostawcami usług IP są najczęściej sami operatorzy kablowi, a ich zakres rzadko wykracza poza dostęp do Internetu. Realizacja przenoszenia ruchu internetowego w sieciach CATV zależy od przyjętego standardu modemu kablowego (standardy nie są kompatybilne ze sobą). W przypadku modemów DOCSIS warstwą łącza danych bezpośrednio realizującą przenoszenie pakietów warstwy sieciowej IP są: w kierunku "w dół" - IEEE 802.2, w kierunku "w górę" - DOCSIS Media Access Control (odmiana DOCSIS ukierunkowana na rynek europejski - EuroDOCSIS różni się od odmiany północnoamerykańskiej jedynie w zakresie warstwy fizycznej). DVB/DAVIC wykorzystuje w kierunku "w dół" ramkowanie strumienia transportowego MPEG-TS. Pola użytkowe ramek MPEG-TS wykorzystywane są przez warstwę ATM, która przenosi ruch warstwy sieciowej IP za pośrednictwem warstwy adaptacji AAL-5 [4]. Realizacja protokołu IP w szerokopasmowej sieci bezprzewodowej LMDS Rozwiązania określane mianem LMDS nie doczekały się jeszcze standaryzacji (DAVIC jedynie ją zapoczątkował [5]), ale wszystkie liczące się rozwiązania firmowe określane mianem LMDS opierają się na technice ATM - szkielet sieci zbudowany jest przy wykorzystaniu przełączników ATM a użytkownik dysponuje często interfejsem ATM-25 (opcjonalnie 10BaseT lub T1/E1). Na technice ATM oparte są rozwiązania: OnDemand firmy Lucent Technologies, Evolium firmy Alcatel, MINI-LINK BAS firmy Ericsson czy ANS firmy Marconi. Funkcje zarządzania zasobami radiowymi, szczególnie skomplikowane w przypadku realizacji "pasma na żądanie" realizowane są przy pomocy specjalnych protokołów zapewniających współpracę warstwy fizycznej z mechanizmami ATM, takich jak np. protokół CellMAC. W zakresie realizacji usług IP w systemach LMDS wykorzystuje się standardowe mechanizmy typu IP over ATM jak RFC 1483 [6]. MECHANIZMY BEZPIECZEŃSTWA W DOSTĘPIE DO SIECI IP Poważnym problemem w sieci IP jest zapewnienie bezpieczeństwa zarówno w sensie poufności przesyłanej informacji, jak i kontroli dostępu do poszczególnych zasobów. Aspekty poufności najczęściej rozwiązuje się poprzez mechanizmy szyfrowania i tunelowania. Najbardziej popularne standardy, to IPSec, TLS i SSL, PPTP, L2F oraz L2TP. Należy jednak podkreślić, że z punktu widzenia sieci dostępowej problem poufności występuje jedynie w tych realizacjach, gdzie zachodzi współdzielenie medium, np. Ethernet. Obecnie mechanizmy szyfrowania i tunelowania są najczęściej stosowane w sieciach telekomunikacyjnych z dostępem komutowanym, pomiędzy punktem dostępowym (PoP) a adresem docelowym, a więc praktycznie poza siecią dostępową. Jeśli chodzi o kontrolę dostępu do zasobów oraz uwierzytelnianie i autoryzację użytkowników, to najczęściej stosowanym obecnie standardem jest protokół RADIUS. IPSec Protokół IPSec został zaprojektowany w celu łączenia sieci lokalnych poprzez Internet oraz dla użytkowników zdalnie korzystających z zasobów sieci LAN za pomocą szyfrowanych kanałów. W protokole tym definiuje się dwa rodzaje zarządzania kluczami szyfrującymi: Internet Key Exchange (IKE) i Simple Key Exchange Internet Protocol (SKIP). Zdefiniowane są też dwie metody bezpiecznej transmisji: Encapsulating Security Payload (ESP) i Authentication Header (AH). ESP stosuje tunelowanie (proces szyfrowania polegający na szyfrowaniu całego pakietu i umieszczaniu go w większym pakiecie w celu przesłania), podczas gdy metoda AH określa sposoby

uwierzytelniania przesyłanych danych. Mimo tego, że tunelowanie dodaje narzut dodatkowych danych, które należy przesłać, warte jest stosowania, gdyż szyfrowanie znacznie zwiększa bezpieczeństwo przesyłanych informacji. Rozwój protokołu jest oparty o specyfikację IPv6, ale podstawowe funkcje zabezpieczające mogą być realizowane z wykorzystaniem obecnie używanego protokołu IPv4. Formaty protokołów AH i ESP są niezależne dla algorytmów kryptograficznych. Wymiana kluczy w Internecie (IKE) znana wcześniej jako protokół Internet Security Association and Key Management zarządza transferem kluczy bezpieczeństwa pomiędzy nadawcami i odbiorcami. Standard IPSec został opracowany przez organizację IETF. TLS i SSL Protokół Transport Layer Security (TLS) opisany w RFC 2246 pozwala aplikacjom klientserwer komunikować się w sposób zapobiegający podsłuchiwaniu, manipulowaniu i fałszowaniu wiadomości. Protokół składa się z dwóch warstw: TLS Record Protocol i TLS Handshake Protocol. Protokół Record Protocol pobiera wiadomości do wysłania, dzieli dane na bloki łatwe do zarządzania, opcjonalnie kompresuje dane, stosuje Hashed Message Authentication Code (HMAC), a następnie szyfruje i przesyła wynik. Otrzymane dane są odszyfrowywane, weryfikowane, dekompresowane, łączone i dostarczane klientom wyższych warstw. Protokół TLS Handshake Protocol składa się z trzech podprotokołów służących stronom do uzgodnienia parametrów bezpieczeństwa. Protokół TLS stanowi ulepszenie Secure Sockets Layer (SSL) i ma go zastąpić w przyszłości. SSL jest obecnie szeroko używany przez większość z przeglądarek WWW. Bezpieczeństwo połączeń realizowane za pomocą protokołu TLS posiada trzy podstawowe cechy: połączenie jest prywatne szyfrowanie jest używane po zapoczątkowaniu transmisji (ang. initial handshake), w trakcie którego uzgadniany jest klucz szyfrowania; do szyfrowania danych używany jest klucz symetryczny; połączenie może być uwierzytelnione z użyciem kluczy asymetrycznych lub publicznych; TLS/SSL pozwala na uwierzytelnianie zarówno serwera, jak i klienta; połączenie jest niezawodne mechanizmy transportu wiadomości zawierają algorytmy sprawdzania spójności za pomocą Message Authentication Code (MAC). Point-to-Point Tunnelling Protocol (PPTP) Protokół PPTP będący alternatywą dla IPSec pracuje w oparciu o serwery PPTP łączące użytkowników w prywatnych sieciach wirtualnych. Protokół PPTP ustanawia bezpieczny kanał pomiędzy klientem i serwerem za pomocą kapsułkowanych, szyfrowanych wiadomości zapisanych wewnątrz pakietów TCP/IP. W obecnej chwili protokół ten jest głównie wykorzystywany w środowiskach Windows. Layer-2 Forwarding (L2F) Mechanizm L2F (ang. Layer 2 Forwarding Protocol) jest protokołem warstwy łącza danych stosowanym do realizowania dostępu do sieci VPN. Protokół ten koncentruje się na zapewnieniu standardowych mechanizmów tunelowania dla transportu ramek warstwy łącza danych (np. HDLC, asynchroniczny PPP, SLIP lub PPP ISDN). Dzięki zastosowaniu tego protokołu można oddzielić lokalizację serwera dostępowego od lokalizacji docelowej danego połączenia oraz miejsca dostępu do sieci. Protokół ten, wstępnie zaproponowany przez firmę Cisco, został zdefiniowany przez IETF jako dokument RFC. Tunele budowane przy pomocy mechanizmu L2F są zestawiane pomiędzy serwerem dostępowym NAS (ang. Network Access Server) oraz urządzeniem docelowym HGW (ang. Home Gateway). Serwer NAS znajduje się w sieci publicznej operatora, natomiast urządzenie HGW może znajdować się w siedzibie firmy, do której użytkownicy zdalnie uzyskują dostęp.

Layer-2 Tunnelling Protocol (L2TP) Protokół L2TP (ang. Layer 2 Tunelling Protocol) jest rozszerzeniem protokołu PPP. Został on zestandaryzowany przez organizację IETF (RFC 2661). Jego funkcjonalność łączy cechy dwóch protokołów: L2F (Cisco) oraz PPTP (Microsoft). Wykorzystując mechanizm L2TP operator ISP może stworzyć wirtualny tunel w celu połączenia zdalnych użytkowników z siecią korporacyjną. W tym celu w punkcie dostępowym POP operatora należy zainstalować koncentrator dostępowy LAC (ang. L2TP Access Concentrator). LAC jest odpowiednikiem serwera NAS w sieci, w której stosuje się mechanizm L2F. LAC wymienia wiadomości z oddalonym użytkownikiem poprzez protokół PPP oraz komunikuje się z serwerem L2TP w sieci korporacyjnej LNS (ang. L2TP Network Server) celem ustanowienia tunelu. LNS jest odpowiednikiem HGW w sieci z tunelowaniem L2F. L2TP przekazuje pakiety poprzez wirtualny tunel pomiędzy punktami końcowymi połączenia punkt-punkt. Ramki przychodzące od zdalnego użytkownika są przyjmowane przez punkt POP operatora ISP, pozbawiane ramkowania i bitów transparentnych, a następnie pakowane w ramki L2TP i przekazywane do odpowiedniego tunelu. Węzeł korporacyjny po otrzymaniu tych ramek pozbawia je ramkowania L2TP i przekazuje na odpowiednie interfejsy. Protokół RADIUS RADIUS (ang. Remote Authentication Dial-In User Service) jest protokołem realizacji tzw. funkcji AAA opartym na modelu klient/server. Funkcje AAA to uwierzytelnianie (ang. authentication), autoryzacja (ang. authorization) i naliczanie należności za świadczone usługi (ang. accounting). Serwer RADIUS zawiera zcentralizowaną bazę danych o użytkownikach i usługach im udostępnianych oraz pełni funkcje AAA dla klientów serwera RADIUS. Rozwiązanie oparte o serwer RADIUS pozwala na oddzielenie funkcji AAA od funkcji transmisyjnych sieci [7]. RADIUS powstał w wyniku prac prowadzonych przez Lucent Technologies InterNetworking Systems stanowiących kontynuację działań grupy roboczej IETF Network Access Server Working Requirements Group. RADIUS został zestandaryzowany przez IETF jako środek zapewnienia bezpieczeństwa dla dostępu wdzwanianego do sieci IP (RFC 2058). REALIZACJA DOSTĘPU DO USŁUGI W SIECI IP Istotnym wyborem dla operatora jest sposób realizacji wyboru usług IP (dostępu do serwerów dostawców usług): poprzez połączenia PVC, SVC, z wykorzystaniem protokołu PPP lub poprzez agregację typu PTA (ang. Remote Authentication Dial-In User Service). Sposoby te mogą być realizowane przy wykorzystaniu bram wyboru usług (ang. Service Selection Gateway). Zwykle brama wyboru usług może pełnić swe funkcje niezależnie od rodzaju wykorzystywanej sieci dostępowej (dostęp wdzwaniany, ADSL, sieć kablowa, LMDS, sieć LAN). Bierze ona udział w zestawianiu i zakończeniu połączeń użytkownika z punktami dostępu do usług oraz w procesie naliczania należności za korzystanie z usług. W tym celu brama współpracuje z modułem realizującym interfejs z użytkownikiem (np. dedykowanym serwerem WWW) oraz z serwerem RADIUS. Rys. 3 przedstawia architekturę sieci, w której abonenci uzyskują dostęp do usług poprzez bramę wyboru usługi. Interfejs umożliwiający użytkownikowi wybór usług może mieć postać odpowiednio skonfigurowanej strony WWW (zamieszczonej na serwerze WWW) współpracującej z bramą wyboru usługi. W takim przypadku interfejs ten umożliwia użytkownikowi logowanie się, wybór jednej lub więcej usług i wylogowanie się przy użyciu jedynie przeglądarki internetowej. Serwer ten może być odrębnym serwerem (np. w przypadku bramy Cisco Service Selection Gateway i współpracujacego z nią serwera Cisco Service Selection Dashboard) lub być zintegrowany z bramą wyboru usług (np. w przypadku bramy Alcatel Data Aplication Network Adapter). Zaletą rozwiązania typu Web Selection jest uniezależnienie mechanizmu wyboru usługi od platformy

systemowej wykorzystywanej przez użytkownika (dzięki uniwersalności mechanizmów przeglądarek WWW). Użytkownicy Usługi Sieć dostępowa Brama wyboru usługi Usługa 1 Usługa 1 Usługa 1 RADIUS Rys.3. Dostęp do usług poprzez bramę wyboru usługi Wyborowi pożądanej przez użytkownika usługi towarzyszy pobranie od użytkownika przez moduł komunikujacy się z nim danych potrzebnych serwerowi RADIUS do przeprowadzenia procedury uwierzytelnienia. Po jej pomyślnym przeprowadzeniu serwer WWW dostarcza użytkownikowi listę dostępnych mu usług. Lista ta może być hierarchicznie uporządkowana a towarzyszyć jej mogą inne, spersonifikowane informacje, np. dotyczące usług, które mogą być dostępne użytkownikowi po odpowiedniej rejestracji. Zwykle użytkownik dysponuje dostępem do uprzednio wybranej przez niego usługi do momentu wylogowania się z usługi, wylogowania się z bramy dostepu do usług lub po upłynięciu określonego w konfiguracji czasu braku aktywności użytkownika (ang. time out). Czas ten zwykle określony jest w definicji profilu użytkownika lub profilu usług (przechowywanych w bazie danych serwera RADIUS). Brama wyboru usług informuje serwer RADIUS o tym, że użytkownik zalogował się lub wylogował z bramy. Kiedy użytkownik otrzymuje dostęp do usługi brama wyboru usług wysyła do serwera RADIUS komunikat o rozpoczęciu naliczania należności za korzystanie z niej, a kiedy wylogowuje się - komunikat o zakończeniu naliczania [9]. Ponadto serwer RADIUS udostępnia funkcje zbierania informacji o wykorzystywanych przez użytkownika usługach będące podstawą do określenia należności. Możliwe jest tworzenie przez serwer RADIUS rekordów dotyczących obsługi użytkownika (ang. user account record) oraz rekordów dotyczących korzystania z danej usługi (ang. service account record). MECHANIZMY ZAPEWNIANIA JAKOŚCI USŁUG IP Bardzo poważnym problemem w sieciach IP jest zapewnienie odpowiedniego poziomu jakości usług. Pod pojęciem tym rozumie się zestaw funkcjonalności, które umożliwiają zaimplementowanie zróżnicowanych usług dla ruchu sieciowego, tj. pozwalających obsługiwać w określony sposób wybrany rodzaj ruchu. Np. przy pomocy mechanizmów QoS można zwiększyć pasmo przeznaczone dla tzw. ruchu krytycznego, ograniczyć pasmo dla innych rodzajów ruchu, itd. Pozwala to na efektywniejsze wykorzystanie połączeń sieciowych oraz zawieranie umów typu SLA (ang. Service Level Agreement) z klientami sieci. Implementacja jakości usług w ujęciu sieciowym generalnie polega na zdefiniowaniu odpowiednich parametrów QoS na interfejsach poszczególnych urządzeń. Mechanizmy QoS faktycznie zaczynają działać dopiero w momencie, gdy przenoszony ruch jest większy od dostępnego pasma w sieci.

Proces zarządzania jakością usług można podzielić na następujące rodzaje działań: klasyfikacja ruchu, zarządzanie kolejkami, kontrola przeciążeń, unikanie przeciążeń i sygnalizacja. Klasyfikacja ruchu/kolorowanie Klasyfikacja ruchu jest z reguły realizowana w oparciu o tzw. proces kolorowania. Proces ten jest cechą, która jeśli zostanie zastosowana do danego pakietu, sprawia, że jest on obsługiwany w określony sposób w poszczególnych węzłach sieci. Mechanizm ten najczęściej opiera się na wykorzystaniu pola IP Precedence w nagłówku pakietu IP. Takie mechanizmy jak WFQ i WRED automatycznie rozpoznają wartość pola IP Precedence. Mechanizmy kolejkowania Priority queuing oraz Custom queuing nie biorą automatycznie pod uwagę IP Precedence, dlatego aby uzyskać efekt kolorowania należy zdefiniować odpowiednie mechanizmy na interfejsie wyjściowym rozpoznające dany ruch i umieszczające go w odpowiedniej kolejce oraz zastosować politykę kolorowania na interfejsie wejściowym. Zarządzanie kolejkami Techniki kolejkowania są stosowane na interfejsie wyjściowym danego urządzenia w celu zarządzania sposobem wysyłania pakietów poprzez ten interfejs. Mechanizmy te są przede wszystkim stosowane w przypadku przeciążenia ruchu na danym interfejsie. Można dzięki nim określić priorytet wysyłania pakietów w momencie, gdy nie mogą być one wysłane natychmiast. Rozróżnia się następujące mechanizmy kolejkowania: First In First Out (FIFO) podstawowy mechanizm store and forward Priority Queuing (PQ) podstawowe nadawanie priorytetów Custom Queuing (CQ) zaawansowane nadawanie priorytetów Weighted Fair Queuing (WFQ) inteligentne nadawanie priorytetów Class-Based Weighted Fair Queuing (CBWFQ) zmodyfikowane WFQ Weighted Round Robin (WRR) oparte na mechanizmie Round Robin Jednym z częściej stosowanych mechanizmów kolejkowania jest WFQ. Jego działanie opiera się na strumieniach. Mechanizm WFQ wykonuje jednocześnie 2 operacje: z jednej strony przesuwa ruch interaktywny (czasu rzeczywistego) do początku kolejki, a z drugiej sprawiedliwie (ang. fairly) dzieli pozostające pasmo pomiędzy strumienie zajmujące duże pasmo. Mechanizm ten potrafi rozpoznawać pole IP Precedence nagłówka pakietu IP [10]. Modyfikacją WFQ oraz CQ jest mechanizm CBWFQ. Wykorzystuje on przetwarzanie WFQ w celu nadania większej wagi ruchowi o wyższym priorytecie, ale wagi są opracowywane na podstawie klas stworzonych dla danego interfejsu. Istnieje możliwość zdefiniowana 64 klas na jednym interfejsie. Mechanizmy kształtowania i ograniczania ruchu Mechanizmy dostosowywania ( kształtowania ) i ograniczania ruchu są stosowane w celu określenia jaka ilość dostępnego pasma na interfejsie powinna być zaalokowana dla danego strumienia ruchu. Mechanizmy te mogą bazować na różnych parametrach ruchu np. rodzaj, adres źródłowy, adres docelowy, IP Precedence (kolor ruchu). Proces kształtowania ruchu natomiast polega na ograniczaniu ruchu w momencie, gdy przekracza on dopuszczalny limit. Router buforuje nadmiarowy ruch, w momencie przepełnienia buforów, pakiety są usuwane. W przypadku mechanizmu ograniczania, usuwane są wszystkie pakiety nadmiarowe. Do głównych mechanizmów kształtowania ruchu stosowanych np. w rozwiązaniach firmy Cisco, można zaliczyć: Generic Traffic Shaping (GTS) kontrola ruchu na interfejsach innych niż Frame Relay Committed Access Rate (CAR) kontrola ruchu na zadanym poziomie Pierwszy z tych mechanizmów z reguły odrzuca nadmiarowy ruch lub nadaje mu niższy priorytet, natomiast w drugim z mechanizmów nadmiarowy ruch jest najczęściej opóźniany przy użyciu buforów lub mechanizmów kolejkowania, a następnie wysyłany zgodnie z określoną polityką.

Mechanizm CAR pozwala klasyfikować ruch na danym interfejsie oraz stosować wobec niego odpowiednią politykę m.in. ograniczania pasma. Dzięki niemu możliwe jest przesłanie ruchu, który spełnia określone wcześniej parametry oraz odrzucenie lub zmianę priorytetu dla ruchu przekraczającego dane wymagania. Funkcja ograniczenia pasma daje następujące możliwości: kontrola maksymalnej przepływności wysyłanego lub otrzymywanego ruchu na danym interfejsie definiowanie ograniczeń na pasmo w warstwie 3 modelu OSI oraz określenie sposobu obsługi ruchu, gdy przekracza on określone granice Mechanizmy unikania przeciążeń W urządzeniach sieciowych stosuje się również mechanizmy unikania przeciążeń. Jednym z nich jest WRED (ang. Weighted Random Early Detection). Polega on na tym, że dla danego interfejsu ustawia się pewien poziom przepływności (odpowiednio mniejszy od całego dostępnego pasma). W momencie, gdy ruch przekroczy ten poziom, interfejs zaczyna usuwać pakiety z wybranych strumieni. Jeśli usuwane są pakiety TCP, ich źródło może ograniczyć pasmo wysyłanego strumienia. W celu określenia, które pakiety należy usunąć, WRED może brać pod uwagę następujące fakty: strumienie RSVP mają wyższy priorytet niż inne strumienie pole IP Precedence nagłówka pakietu IP pakiety z większą wartością są usuwane z mniejszym prawdopodobieństwem ilość pasma wykorzystywanego przez dany strumień ruchu pakiety należące do strumienia zajmującego większe pasmo są usuwane z większym prawdopodobieństwem współczynnik wagowy zdefiniowany dla danego interfejsu decyduje jak często pakiety są usuwane Wadą tego mechanizmu jest to, że jedynie sieci działające w oparciu o protokoły TCP/IP mogą z niego korzystać. Protokoły UDP lub Netware nie potrafią ograniczyć wysyłanego strumienia pod wpływem informacji o usuwaniu pakietów. PODSUMOWANIE Rola protokołu IP w sieciach telekomunikacyjnych stale rośnie. Operatorzy coraz poważniej podchodzą do koncepcji tworzenia usług z wartością dodaną na podstawie tego protokołu. Przenoszenie protokołu IP w szerokopasmowych sieciach dostępowych jest już realizowane. Warto zwrócić jednak uwagę, że zarówno w sieciach zbudowanych w technologii ADSL jak i LMDS, protokół IP jest przenoszony przy pomocy technologii ATM. Jedynie w sieciach kablowych zgodnych z DOCSIS pakiety protokołu IP są transportowane bez pośrednictwa ATM, co wynika z decyzji podjętych przez MCNS w ramach wypracowywania standardu DOCSIS. Poważnym problemem w sieciach IP jest bezpieczeństwo i jakość usług. Na rynku są już obecne produkty rozwiązujące te problemy. Z drugiej strony jednak brakuje jednolitych standardów w tym zakresie. Ponadto, zapewnianie jakości usług jest niemożliwe do zrealizowania w sieciach heterogenicznych (zarządzanych przez więcej niż jednego operatora). Jeśli chodzi o sposób realizacji dostępu do usługi (proces wyboru usługi), to przedstawione w niniejszym artykule rozwiązanie jest jedynie propozycją opracowaną na podstawie różnych rozwiązań proponowanych przez dostawców. W tej dziedzinie również brakuje ogólnie przyjętych standardów. Można z całą pewnością powiedzieć, że systemy wyboru usługi znajdują się dopiero w początkowej fazie swojego rozwoju. Świadczy o tym fakt, że obecnie żaden z większych operatorów na świecie nie wdrożył tego typu usługi. Podsumowując, zdaniem autorów protokół IP będzie stanowił podstawę realizacji przyszłych usług z wartością dodaną. W najbliższym czasie należy spodziewać się, że większość dostawców zaoferuje systemy umożliwiające dostęp do usług IP, a operatorzy zaczną modyfikować swoje sieci, tak żeby były zdolne przenosić nowe usługi.

BIBLIOGRAFIA [1] The Internet Telephony Report, OVUM, September 1999 [2] C. Yager, Cisco ADSL Services Architecture, http://www.cisco.com/warp/public/cc/so/neso/dsso/global/adsl_wp.htm, 2000 [3] The DSL Source Book, Paradyne, 1999 [4] H. Barton, DOCSIS MCNS vs DVB/DAVIC DVB-RCC, Broadcentric Ltd, 1999 [5] Delivery System Architecture And Interfaces, DAVIC 1.4 Specification Part 4, 1998 [6] Multiprotocol Encapsulation over ATM Adaptation Layer 5, IETF, RFC 1483, 1993 [7] Remote Authentication Dial In User Service, IETF RFC 2138, 1997 [8] Broadband Remote Access Services Using ADSL and DANA Technologies, www.alcatel.com/telecom/asd/keytech/adsl/adsl/central/dana/, 2000 [9] Remote Authentication Dial In User Service Accounting, IETF RFC 2139, 1997 [10] C. Huitema, Routing in the Internet, Prentice-Hall, 2000

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres