Страницы

среда, 14 июля 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 9

В этой части рассмотрены следующие вопросы:
  • Городские вычислительные сети (MAN)
  • Глобальные вычислительные сети (WAN)
  • Эволюция телекоммуникаций
  • Выделенные линии
  • Цифровые телекоммуникационные системы (T-каналы)
  • Технологии WAN
  • CSU/DSU
  • Коммутация
  • Frame Relay
  • Виртуальные каналы
  • X.25
  • ATM
  • Качество обслуживания (QoS)
  • SMDS
  • SDLC
  • HDLC
  • HSSI
  • Многофункциональные технологии доступа
  • Шлюзы H.323
  • SIP
  • Проблемы IP-телефонии
  • Резюме по технологиям WAN


Городская вычислительная сеть (MAN – Metropolitian area network) – это, как правило, магистраль, соединяющая сети LAN друг с другом, сети LAN и WAN между собой, Интернет, телекоммуникационные и кабельные сети. Большинство современных сетей MAN являются Сетями синхронной оптической связи (SONET – Synchronous Optical Network) или кольцами FDDI, представленными провайдерами телекоммуникационных услуг (технологии FDDI обсуждались ранее в этом Домене). Эти кольца охватывают большие площади, компании могут подключаться к кольцам через каналы T1 или T3. На Рисунке 5-42 показаны две компании, сединенные с помощью кольца SONET, а также устройства, которые обычно необходимы для организации такого вида коммуникаций. Это упрощенный пример MAN. В реальности множество компаний подключены к одному кольцу.

Рисунок 5-42. MAN покрывает большую площадь и позволяет компаниям подключаться друг к другу, к Интернету или к другим соединениям WAN

Фактически SONET является стандартом для телекоммуникаций посредством волоконно-оптических кабелей. Операторы и телефонные компании имеют множество сетей SONET в Северной Америке. При этом если они следуют стандартам SONET, их сети могут взаимодействовать друг с другом без существенных трудностей.

SONET является самовосстанавливающейся системой (self-healing), т.е. в случае разрыва канала передачи, он может задействовать дополнительное резервное кольцо для обеспечения непрерывности работы. Все каналы и кольца SONET обладают избыточностью. Избыточные каналы используются в случае, если что-то случается с основным кольцом.

Сети SONET могут передавать голос, видео и данные по оптическим сетям. Низкоскоростные сети SONET часто подключают к более крупным и быстрым сетям SONET, как это показано на Рисунке 5-43. Это позволяет компаниям в разных городах и регионах взаимодействовать друг с другом.

Рисунок 5-43. Небольшие кольца SONET подключаются к более крупным для создания отдельных сетей MAN


Ссылки по теме:

Технологии LAN предоставляют коммуникационные возможности в небольшой географической области, тогда как технологии глобальных вычислительных сетей (WAN – Wide area network) позволяют реализовать связь на больших географических расстояниях. Технологии LAN работают с тем, как компьютер помещает свои данные в сетевой кабель, с правилами и протоколами формирования и передачи этих данных, с процедурами обработки ошибок, порядком извлечения компьютером получателя данных из кабеля. Но если компьютеру в одной сети требуется взаимодействовать с другой сетью, находящейся в другом конце страны или в другой стране, применяются технологии WAN.

Сеть должна иметь какие-либо соединения с другими сетями, обычно это реализуется с помощью маршрутизатора, имеющего подключение к маршрутизаторам провайдера услуг или телефонной компании. В WAN применяется несколько видов различных технологий, точно так же, как и в LAN. Этот раздел рассматривает многие из этих технологий WAN.


Телефонные системы существуют на протяжении уже около 100 лет, они начинались с использования аналоговых систем, основанных на медных проводах. На центральной коммутационной телефонной станции изначально отдельные телефоны соединяли вручную люди (операторы), затем было внедрено электронное коммутационное оборудование. После соединения двух телефонов, они получали сквозное соединение друг с другом. Для нескольких телефонных вызовов использовался один и тот же провод, что называется мультиплексированием. Мультиплексирование (multiplexing) – это метод объединения нескольких каналов данных в едином коммуникационном канале. При этом передача осуществляется достаточно быстро и эффективно, абоненты на разных концах даже не знают, что они разделяют линию со многими другими абонентами. Для них все выглядит так, как будто они имеют собственную выделенную линию.

В середине 1960-х годов, появились цифровые телефонные системы с магистральными линиями (trunk) T1, которые обеспечивали 24 канала голосовой связи всего на двух парах медных проводов. Это позволило достичь скорости передачи в 1,544 Мбит/с, что было не только быстрее, но и давало возможность мультиплексировать больше телефонных вызовов в одном проводе. Если выполняются вызовы между различными коммутационными телефонными станциями (местные телефонные звонки), они мультиплексируются по линиям T1. Если требуется совершить звонок на большее расстояние, то пришедшие по линии T1 вызовы мультиплексируются по линиям T3, которые могут передавать до 28 линий T1. Это показано на Рисунке 5-44.

Рисунок 5-44. Местные вызовы мультиплексируются в линии Т1, а дальние вызовы перемещаются с линий Т1 и мультиплексируются в линиях Т3

Протоколы LAN и WAN. Количество ошибок передачи в среде LAN ниже, чем в среде WAN, что следует учитвать при сравнении сложности этих сред. Трафик WAN может передаваться на сотни и тысячи километров, проходить через различные виды устройств, кабелей и протоколов. Из-за этого различия большинство MAC-протоколов в LAN не устанавливает соединений, а большинство протоколов WAN предварительно устанавливают соединение. Протоколы с предварительным установлением соединения обеспечивают надежную передачу данных, поскольку у них есть возможности для обнаружения и исправления ошибок.
Следующим пополнением телекоммуникационных технологий было оптическое волокно, которое позволило мультиплексировать еще больше вызовов в одной магистральной линии на еще больших расстояниях. Затем появились оптические технологии, такие как SONET, которые передавали оцифрованные голосовые сигналы в пакетах данных. SONET – это стандарт для передачи данных по волоконно-оптическим кабелям. Этот стандарт устанавливает необходимые параметры для передачи цифровой информации посредством оптических систем. Телекоммуникационные операторы использовали эту технологию для мультиплексирования низкоскоростных оптических соединений в высокоскоростные соединения, подобно тому, как более низкоскоростные соединения LAN подключаются к высокоскоростным соединениям WAN в наше время. Рисунок 5-45 показывает пример соединенных вместе колец SONET.

Рисунок 5-45. Технология SONET позволяет взаимодействовать множеству оптических коммуникационных петель

Рисунок 5-45 показывает, каким образом телекоммуникационные операторы могут предоставлять телефонную связь и доступ в Интернет для компаний и частных лиц на больших территориях. Стандарт SONET позволяет взаимодействовать всем операторам.

Следующим эволюционным шагом в истории телекоммуникаций была технология ATM (Asynchronous Transfer Mode - Асинхронный режим передачи). ATM инкапсулирует данные в фиксированные ячейки и может использоваться для передачи данных через сеть SONET. Для описания взаимодействия SONET и ATM, представьте, что SONET – это шоссе, по которому едут автомобили (пакеты ATM).

ATM – это высокоскоростная сетевая технология, которая используется операторами и провайдерами, а также телефонными компаниями в реализациях LAN и WAN. ATM использует фиксированный размер ячейки вместо кадров переменного размера, используемых в более ранних технологиях. Фиксированный размер ячеек обеспечивает более высокую производительность и сокращает накладные расходы на обработку ошибок (более подробно технологию АТМ мы рассмотрим позже в разделе «ATM»).

Ниже указаны основные этапы истории телекоммуникаций:
  • Медные линии передают аналоговые сигналы
  • Линии Т1 передают до 24 разговоров
  • Линии Т3 передают до 28 линий Т1
  • Используются сети SONET и оптоволокно
  • Используется ATM через SONET
SONET был разработан в США для достижения скорости передачи данных около 50 Мбит/с с целью поддержки потока данных от линий T1 (1,544 Мбит/с) и линий T3 (44,736 Мбит/с). Данные перемещаются через эти Т-каналы к границе сети SONET в виде электрических напряжений. Затем напряжения должны быть преобразованы в свет для передачи по волоконно-оптическим линиям, известным как линии оптической передачи (OC – Optical Carrier). Каждый кадр ОС-1 передается на скорости 51,84 Мбит/с с пропускной способностью 44,738 Мбит/с.
ПРИМЕЧАНИЕ. Оптические линии передачи могут обеспечить различные значения пропускной способности: OC-1 = 51,84 Мбит/с, OC-3 = 155.52 Мбит/с, OC-12 = 622,08 Мбит/с и т.д.
В Европе используется иная инфраструктура, там выбрали использование SDH (Synchronous Digital Hierarchy), которая поддерживает линии E1 (2,048 Мбит/с) и E3 (34,368 Мбит/с). SONET является стандартном для Северной Америки, а SDH является стандартом для всего остального мира. SDH и SONET похожи, но несовместимы из-за имеющихся отличий. Для обеспечения взаимодействия SONET и SDH между ними должен быть установлен шлюз, который будет осуществлять трансляцию сигналов.

В настоящее время разрабатываются многие другие технологии, направленные на увеличение объема данных, который может быть эффективно передан в единицу времени.


Выделенные линии (dedicated link) также называют арендованными линиями (leased line) или соединениями «точка-точка» (point-to-point link). Это отдельные линии связи, которые предварительно созданы для организации WAN-коммуникаций между двумя пунктами (абонентами). Они являются выделенными (dedicared), что означает, что только абоненты на обоих концах выделенной линии могут взаимодействовать между собой. Выделенная линия никогда не может совместно использоваться кем-либо другим, кроме абонентов на двух ее концах. Раньше это был основной способ взаимодействия для компаний, потому что не было так много вариантов как сейчас. Создание выделенной линии является хорошим вариантом для соединения двух пунктов (например, двух компаний-партнеров), которые будут часто взаимодействовать друг с другом и которые требуют высокоскоростной передачи данных и определенной полосы пропускания. Однако выделенные линии стоят дорого по сравнению с другими возможными технологиями, которые позволяют нескольким компаниям совместно использовать одну и ту же пропускную способность, а также совместно нести расходы за связь. Конечно, это не означает, что выделенные линии не используются – они обязательно используются, просто нужно учитывать, что имеются и многие другие варианты, в том числе X.25, Frame Relay и технологии АТМ.

Цифровые телекомуникационные системы

Цифровые телекоммуникационные системы (T-carriers, Т-каналы) являются выделенными линиями, которые могут передавать голосовую информацию и данные по магистральным линиям. Они были разработаны AT&T и впервые реализованы в начале 1960-х годов для передачи голоса с использованием импульсно-кодовой модуляции (PCM – Pulse-code modulation). Изначально это использовалось для передачи голоса в цифровом виде по выделенной, двухточечной линии связи c большой пропускной способностью. Наиболее часто используемые T-каналы – это линии T1, которые обеспечивают скорость до 1,544 Мбит/с и линии T3, которые обеспечивают скорость до 45 Мбит/с, о чем говорилось ранее. Оба варианта являются цифровыми, они мультиплексируют несколько отдельных каналов в одном высокоскоростном канале.

Эти линии выполняют мультиплексирование посредством TDM (Time-division multiplexing – Мультиплексирование с разделением по времени). Что это означает? Рассмотрим линию T1, которая может мультиплексировать до 24 каналов. Предположим, компания имеет офисную АТС, подключенную к линии T1, которая, в свою очередь, подключена к коммутационной станции телефонной компании. При этом по линии T1 могут одновременно передаваться на коммутационную станцию телефонной компании 24 вызова. Если бы эта компания не использовала линию T1, ей потребовалось бы 24 отдельных провода витой пары для одновременного выполнения того же количества вызовов.

Как показано на Рисунке 5-46, данные помещаются в эти 24 канала и передаются. Каждый канал получает до восьми бит для вставки в созданный таймслот (time slot). Двадцать четыре таких восьми-битных таймслота составляют кадр Т1. Кажется, что это не большой объем информации, однако следует учесть, что в секунду создается 8000 кадров. Поскольку все это происходит довольно быстро, принимающая сторона не замечает задержек и не знает, что это соединение используется не только ей, но и 23 другими устройствами.

Рисунок 5-46. С помощью мультиплексирования несколько телефонных вызовов или сеансов передачи данных одновременно передаются по одному проводу

Изначально компаниями-операторами использовались линии T1 и T3, но постепенно они были заменены в основном оптическими линиями. Теперь линии T1 и T3 передают данные внутри этих мощных и супербыстрых оптических линий. Линии T1 и T3 сдаются в аренду компаниям и провайдерам, которым требуется высокая пропускная способность. Иногда, каналы T1 совместно используются несколькими компаниями, каждой из которых в отдельности не требуется полная пропускная способность в 1,544 Мбит/с. Это называется частичным T-каналом (fractional T-line). Различные каналы передачи и соответствующие им характеристики указаны в таблице 5-10.

Таблица 5-10. Резюме по иерархии цифровых телекоммуникационных каналов

Как было сказано ранее, выделенные линии имеют свои недостатки. Они стоят дорого и не являются гибкими. Если компания переезжает на другое место, линия T1 не может последовать за ней. Выделенная линия стоит дорого, поскольку компании приходится платить за выделенное соединение с большой пропускной способностью, даже если эта компания не используют всю полосу пропускания. Не многим компаниям требуется такая пропускная способность 24 часа в сутки. Большинство компаний отправляет данные время от времени, но не постоянно.

Стоимость выделенной линии определяется расстоянием между абонентами. Поэтому линия T1 между двумя зданиями, находящимися на расстоянии в 2 километра, гораздо дешевле аналогичной линии длиной в 50 километров.
Повышенное мультиплексирование.Существуют другие виды функциональности мультиплексирования, о которых вам следует знать:

Statistical time-division multiplexing (STDM)
  • Одновременно передается несколько типов данных через один коммуникационный кабель или линию (например, T1 или T3), как показано ниже.
  • STDM анализирует статистические данные, относящиеся к типичной рабочей нагрузке каждого устройства (принтер, факс, компьютер), и в режиме реального времени определяется, как много времени должно быть выделено каждому устройству для передачи данных.
Frequency-division multiplexing
  • Для передачи данных используется имеющийся беспроводный спектр.
  • Каждая частота в спектре используется в качестве канала для передачи данных.

Ссылки по теме:

Технологии WAN применяются, чтобы позволить сетям взаимодействовать на больших расстояниях. Сегодня компаниям доступно несколько разновидностей технологий WAN. При выборе наиболее подходящей технологии WAN компании, как правило, нужно проанализировать информацию о функциональных возможностях, пропускной способности, требованиях соглашения об уровне обслуживания, необходимом оборудовании, стоимости и дополнительных возможностях поставщиков услуг. В следующих разделах мы рассмотрим некоторые из доступных на сегодняшний день технологий WAN.

CSU/DSU

CSU/DSU (Channel Service Unit/Data Service Unit – Устройство обслуживания канала/Устройство обслуживания данных) требуется в случае использования цифрового оборудования для подключения LAN к WAN. Это подключение может осуществляться по линиям T1 или T3, как показано на Рисунке 5-47. Поскольку сигналы и кадры могут различаться в оборудовании LAN и в оборудовании WAN, провайдерам услуг требуется использовать CSU/DSU.

Рисунок 5-47. Устройство CSU/DSU требуется для взаимодействия цифрового оборудования с телекоммуникационными линиями

Устройство DSU преобразует цифровые сигналы от маршрутизаторов, мостов и мультиплексоров в сигналы, которые могут передаваться по цифровым линиям телефонной компании. Устройство DSU обеспечивает правильный уровень напряжения и отсутствие потерь информации при преобразовании сигналов. CSU подключает сеть напрямую к линии телефонной компании. CSU/DSU не обязательно является отдельным устройством, оно может быть реализовано в виде части сетевого устройства.

CSU/DSU предоставляет цифровой интерфейс для DTE (Data Terminal Equipment - Оконечное оборудование данных), например, терминалов, мультиплексоров или маршрутизаторов, а также интерфейс к устройствам DCE (Data Circuit-Terminating Equipment - Оконечное оборудование линии связи), например, коммутатору оператора. CSU/DSU работает в основном в качестве транслятора и, в отдельных случаях, как стабилизатор.

Коммутация

Выделенные каналы имеют единственный маршрут передачи, поэтому не возникает сложностей при определении способа отправки пакетов различным получателям. Между двумя сетями существует лишь две точки. Однако это становится намного сложнее, когда речь идет о тысячах связанных друг с другом сетей, возникает необходимость в коммутации (switching).

Могут использоваться два основных типа коммутации: коммутация каналов (circuit switching) и коммутация пакетов (packet switching). При коммутации каналов устанавливается виртуальное соединение, которое работает как выделенная линия между двумя системами. ISDN и телефонная связь являются примерами коммутации каналов, показанной в нижней половине Рисунка 5-48.

Рисунок 5-48. Коммутация каналов дает один коммуникационный маршрут, тогда как коммутация пакетов дает множество различных маршрутов

Когда система отправителя создает соединение с системой получателя, создается коммуникационный канал. Если две системы являются локальными по отношению друг к другу, требуется меньше устройств для создания этого канала. Чем дальше друг от друга находятся две эти системы, тем больше устройств должны быть вовлечены в создание канала и соединение двух систем.

В качестве примера системы с коммутацией каналов можно привести работу обычного телефона. Когда один человек звонит другому, устанавливается выделенное виртуальное коммуникационное соединение такого же типа. После того как соединение установлено, устройства поддерживают этот коммуникационный канал, чтобы он не переместился динамически на другие устройства. Канал остается настроенным на первоначальные устройства до момента окончания звонка или отключения связи.

Коммутация пакетов не создает выделенного виртуального соединения, пакеты одного соединения могут пройти через целый ряд различных отдельных устройств (см. верхнюю часть Рисунка 5-48), вместо того, чтобы следовать друг за другом через одно и то же устройство. В качестве примеров технологии коммутации пакетов, существующих в Интернете, можно указать X.25 и Frame Relay. Инфраструктура, которая поддерживает эти методы, создается маршрутизаторами и коммутаторами различных типов. Они предоставляют несколько путей к одному и тому же получателю, что обеспечивает высокую степень избыточности.

В сети с коммутацией пакетов данные разбиваются на пакеты, содержащие номер в последовательности для проверки кадра. Эти пакеты проходят через различные устройства, их пути могут быть динамически изменены маршрутизатором или коммутатором, определяющими наилучший маршрут для каждого конкретного пакета. После получения пакетов компьютером получателя, все пакеты пересобираются в соответствии с номерами последовательности, указанными в кадрах, и затем интерпретируются.

ПРИМЕЧАНИЕ. Коммутация пакетов основана на STDM, в которой анализируются статистические данные о различных возможных маршрутах для принятия решения о наилучшем маршруте для пакета.
Поскольку путь, по которому будет направлен пакет в среде с коммутацией пакетов, не установлен жестко, задержка может быть переменной в отличие от технологии с коммутацией каналов. Это не вызывает проблем, т.к. в сетях с коммутацией пакетов, как правило, передаются данные, а не голос. Для передачи голосовой информации больше подходят сети с коммутацией каналов, т.к. передача голосовой информации критична к задержкам. Голосовые звонки, как правило, обеспечивают устойчивый поток информации, тогда как соединения, передающие данные, хаотичны по своему характеру. Когда вы говорите по телефону, сохраняется определенный ритм. Вы и ваш друг не говорите очень быстро, а затем останавливаетесь на несколько минут, создавая полную тишину. Однако, именно таким образом, как правило, работают соединения, передающие данные. Большие объемы данных передаются от одного конца до другого за один раз, а затем тишина продолжается до тех пор, пока не настанет время для передачи следующей порции данных.
ПРИМЕЧАНИЕ. Голос через IP (VoIP – Voice over IP) передает голосовые данные через среды с коммутацией пакетов. Эта технология описывается в разделе «Многофункциональные технологии доступа», далее в этом Домене.
Коммутация каналов vs. Коммутация пакетов. Ниже представлено краткое резюме по различиям между технологиями коммутации каналов и пакетов.

Коммутация каналов:
  • Виртуальные каналы с предварительным установлением соединения
  • Трафик передается предсказуемым и постоянным образом
  • Фиксированные задержки
  • Обычно применяется для передачи голосовых данных
Коммутация пакетов:
  • Пакеты до одного и того же получателя могут передаваться по различным маршрутам, выбираемым динамически
  • Трафик обычно хаотичен по своему характеру
  • Переменная величина задержек
  • Обычно применяется для передачи данных (не голосовых)


Долгое время многие компании для взаимодействия с другими компаниями использовали выделенные линии. Компании А и B имели выделенный канал между собой, обеспечивающий определенную пропускную способность 24 часов в сутки, этот канал не использовался кем-либо другим. Это было прекрасно, поскольку лишь две компании могли использовать канал, поэтому определенный уровень пропускной способности был доступен всегда. Однако это было дорого, к тому же большинство компаний не использовало постоянно пропускную способность в полной мере. Фактически, компании тратили много денег на сервис, который они не использовали постоянно. В настоящее время вместо использования выделенных линий компании часто выбирают сети Frame Relay.

Frame Relay – это WAN-протокол, работающий на канальном уровне. Этот пртокол использует технологию коммутации пакетов, позволяя нескольким компаниям и сетям разделять между собой общую среду WAN. Тогда как стоимость прямых соединений точка-точка зависит от расстояния между конечными точками, стоимость Frame Relay основана на величине используемой полосы пропускания. Поскольку несколько компаний и сетей используют одну и ту же среду и оборудование (маршрутизаторы и коммутаторы), затраты каждой компании в отдельности могут быть значительно сокращены по сравнению с выделенными линиями.

Если компания знает, что для ежедневной работы ей требуется полоса пропускания X, она заплатит определенную плату, чтобы постоянно иметь в своем распоряжении такую полосу пропускания. Если другая компания знает, что ей не нужна большая пропускная способность, она может платить более низкую плату, однако при этом у нее не будет гарантий большой пропускной способности. Эта вторая компания в любом случае будет иметь более высокую пропускную способность, чем она заказывала. Пропускная способность будет минимальна (равна той, которую она заказывала), когда канал занят, но она будет увеличиваться по мере снижения загруженности канала. Компании, которые платят больше для того, чтобы гарантированно получить большую полосу пропускания, получат больший уровень CIR (Committed information rate – Гарантированная полоса пропускания).

В соединениях Frame Relay используются два основных типа оборудования: DTE (Data Terminal Equipment – Терминальное оборудование) и DCE (Data Circuit-Terminating Equipment – Оконечное оборудование передачи данных). Обычно DTE – это принадлежащее клиенту устройство (например, маршрутизатор или коммутатор), которое обеспечивает связь между собственной сетью компании и сетью Frame Relay. DCE – это устройство поставщика услуг или телекоммуникационной компании, которое осуществляет передачу данных и коммутацию в облаке Frame Relay. DTE является «трамплином» компании в сеть Frame Relay, а DCE выполняет работу в самом облаке Frame Relay.

Облако Frame Relay – это набор DCE, которые обеспечивают коммутацию и передачу данных. Такие услуги предоставляют многие провайдеры, некоторые из них используют для этого оборудование других провайдеров – все это может привести к сложностям, поскольку пакет может пройти огромным количеством различных маршрутов. Этот набор был назван облаком (cloud), чтобы отделить его от других типов сетей, а также из-за того, что обычно после попадания пакета в облако, пользователи не знают о маршруте, по которому он будет направлен. При этом кадры передаются через постоянные или коммутируемые виртуальные каналы, определенные в рамках DCE, либо через коммутаторы оператора.

Frame Relay – это сервис связи «любой-с-любым» (any-to-any), совместно используемый множеством пользователей. Как было отмечено ранее, это выгодно, т.к. при этом затраты значительно ниже, чем в случае использования выделенных линий. Поскольку сервис Frame Relay является общим, если один абонент не использует его пропускную способность, она становится доступной другим абонентам. С другой стороны, при увеличении объема трафика, свободная (доступная другим) полоса пропускания уменьшается. Поэтому абонентам, которые хотят на постоянной основе иметь в своем распоряжении определенную полосу пропускания, приходится платить больше тех, которым это не требуется.

Рисунок 5-49 показывает пять площадок (site), соединенных посредством выделенных линий, в сравнении с пятью площадками, соединенными через облако Frame Relay. Первый вариант требует большого количества выделенных линий, которые являются дорогостоящими и не гибкими. Второй вариант дешевле и при этом он дает компании гораздо больше гибкости.

Рисунок 5-49. Соединения с использованием частной сети требуют множества дорогих выделенных линий; Frame Relay позволяет пользователям совместно использовать публичные сети


Frame Relay (и X.25) передает кадры через виртуальные каналы (virtual circuit). Эти каналы могут быть постоянными (permanent) (т.е. запрограммированными заранее) или коммутируемыми (switched) (т.е. быстро создаваемыми по мере необходимости и отключающимися, когда они больше не нужны). Работа постоянного виртуального канала (PVC – Permanent Virtual Circuit) похожа на работу выделенной персонально клиенту линии с согласованной доступной полосой пропускания. Когда клиент заключает договор на получение определенной скорости, PVC программируется персонально для этого клиента, чтобы обеспечить постоянное наличие для него определенной величины полосы пропускания.

В отличие от PVC, коммутируемые виртуальные каналы (SVC – Switched Virtual Circuit) требуют выполнения шагов, похожих на процедуры подключения по Dial-Up. Разница заключается в том, что для PVC создаются постоянные пути, а для SVC они должны создаваться каждый раз при возникновении необходимости. Это похоже на выполнение телефонного звонка через публичную телефонную сеть. При выполнении процедуры установки соединения запрашивается требуемая пропускная способность, создается соединение с компьютером получателя, который должен принять вызов, определяется путь, программируется пересылка информации на каждый коммутатор по всему пути SVC. SVC используются для проведения телеконференций, создания временных подключений к удаленным площадкам, выполнения репликации данных, а также для выполнения голосовых звонков. Когда соединение станет ненужным, оно разрывается и коммутаторы «забывают», что оно когда-то существовало.

PVC обеспечивает гарантированный уровень пропускной способности, однако он не имеет той гибкости, которой обладает SVC. Если клиенту нужно временное подключение по PVC, ему нужно связаться с провайдером, а затем дождаться, когда провайдер создаст его, что может занять несколько часов.


X.25 – это старый WAN-протокол, который определяет, как устройства и сети создают и поддерживают соединения. Как и Frame Relay, X.25 является технологией коммутации, которую используют коммутаторы оператора для предоставления соединений множеству различных сетей. Он также обеспечивает соединения типа «любой-с-любым», т.е. множество пользователей используют один и тот же сервис одновременно. Стоимость услуг для абонентов определяется на основе величины используемой ими полосы пропускания, в отличие от выделенных линий, в которых взимается постоянная плата.

Данные делятся по 128 байт и инкапсулируются в кадры HDLC (High-level Data Link Control). Затем кадры адресуются и пересылаются через коммутаторы оператора. Это похоже на Frame Relay, однако Frame Relay по сравнению с X.25 является гораздо более продвинутым и эффективным, поскольку протокол X.25 был разработан и выпущен в 1970-х годах. В то время большинство подключаемых к сети устройств являлись простыми терминалами и мейнфреймами, сети не обладали встроенной функциональностью и отказоустойчивостью, а Интернет в целом не был таким стабильным и устойчивым к ошибкам, как в наше время. X.25 был предназначен для компенсации этих недостатков и обеспечения нескольких уровней выявления и исправления ошибок, обеспечения отказоустойчивости. Это сделало протокол очень «толстым», что было необходимо в то время, однако сегодня это замедляет передачу данных и обеспечивает более низкую производительность, чем Frame Relay или ATM.


Асинхронный режим передачи (ATM – Asynchronous Transfer Mode) является еще одной технологией коммутации, но он вместо коммутации пакетов использует метод коммутации ячеек (cell-switching). АТМ – это высокоскоростная сетевая технология, используемая для LAN, MAN, WAN и соединений провайдеров услуг. Как и Frame Relay, это технология коммутации с предварительным установлением соединения, она создает и использует фиксированный канал. IP является примером технологии, не использующей предварительное установление соединения. В наборе протоколов TCP/IP, IP не производит предварительного установления соединения, а TCP – производит. Поэтому сегменты IP можно быстро и легко маршрутизировать и коммутировать, не беспокоясь о том, дошли ли фактически данные до получателя – это работа TCP. TCP работает на обеих сторонах (отправителя и получателя), гарантируя доставку данных получателю – в случае возникновения проблемы, не позволившей доставить данные получателю, эти данные отправляются повторно. При использовании АТМ или Frame Relay, устройства между отправителем и получателем должны лучше понимать передаваемые данные и пункт их назначения, в отличие от использования протоколов, не устанавливающих соединения.

АТМ – это технология коммутации ячеек, а не пакетов. Данные сегментированы в ячейках фиксированного размера (по 53 байта), вместо пакетов переменного размера. Это обеспечивает более эффективное и быстрое использование коммуникационных маршрутов. АТМ устанавливает виртуальные каналы, которые работают подобно выделенным маршрутам между отправителем и получателем. Эти виртуальные каналы могут гарантировать определенную полосу пропускания и обеспечивать QoS (Quality of Service - Качество обслуживания). По этим причинам АТМ является хорошим вариантом для передачи звука и видео.

Технология АТМ используется операторами и провайдерами услуг, она является частью ключевых технологий Интернет. В то же время технология АТМ может использоваться и отдельными компаниями в магистральных линиях и каналах связи с сетями провайдеров услуг.


Для подключения к сетям общего пользования компании традиционно используют выделенные линии (Т-линии). Однако, компании переходят к внедрению АТМ-коммутаторов в своей сети для связи с инфраструктурой оператора. При этом используется расчет стоимости услуг на основе выделенной пропускной способности, что может быть значительно ниже платы за постоянный канал связи. Некоторые компании заменили свои магистрали Fast Ethernet и FDDI на АТМ. Для использования АТМ в качестве магистрали компании, устанавливаются АТМ-коммутаторы, которые принимают кадры Ethernet (или любых других используемых канальных технологий) и переводят их в 53-байтовые ячейки АТМ.


Качество обслуживания (QoS – Quality of Service) – это возможность, позволяющая протоколу проводить различие между разными классами сообщений и назначать уровни приоритета. Некоторые приложения, такие, как видеоконференцсвязь, чувствительны ко времени – т.е. задержки при передаче данных приведут к неприемлемой работе приложения. Технология QoS позволяет администратору устанавливать уровень приоритета для чувствительного ко времени трафика. Затем протокол обеспечивает для этого типа трафика определенную или минимально приемлемую скорость передачи.

QoS позволяет провайдеру услуг гарантировать уровень сервиса своим клиентам. Изначально QoS появился в АТМ, а затем был интегрирован в другие технологии и протоколы, обеспечивающие перемещение данных из одного места в другое. Клиентам доступны четыре различных типа сервисов QoS в ATM (они перечислены ниже). Каждый сервис применяется к определенному типу передаваемых данных.
  • Постоянная скорость (CBR – Constant Bit Rate). Канал с предварительным установлением соединения, посредством которого передаются чувствительные ко времени данные, такие как голосовая или видеосвязь. Клиенты при установлении соединения указывают необходимую им полосу пропускания.
  • Переменная скорость (VBR – Variable Bit Rate). Канал с предварительным установлением соединения, который лучше всего использовать для нечувствительных к задержкам приложений, поскольку поток данных является неравномерным. Клиенты при установлении соединения указывают необходимую им пиковую и установившуюся скорость передачи данных.
  • Неопределенная скорость (UBR – Unspecified Bit Rate). Канал без предварительного установления соединения, который не обещает конкретных скоростей передачи данных. Клиент не может управлять скоростью потока трафика (и не нуждается в этом).
  • Доступная скорость (ABR – Available Bit Rate). Канал с предварительным установлением соединения, позволяющий регулировать скорость. Клиенты получают полосу пропускания, которая остается после достижения гарантированной скорости.
АТМ поддерживает различные интерфейсы для обеспечения такой гибкости и использования этих возможностей. Устройство DSU применяется для подключения LAN к общедоступной АТМ-сети. Такая архитектура используется для случая, когда сеть компании подключена к сети АТМ посредством маршрутизатора или моста. Устройство DSU необходимо для обеспечения преобразования цифрового сигнала в сигнал, который понимает сеть АТМ.

АТМ создает фиксированный канал для передачи данных. Фиксированные каналы предварительно программируются в коммутаторах, установленных на маршруте, по которому передаются данные.

АТМ был первым протоколом, в котором был реализован настоящий QoS, но потребности компьютерного сообщества возросли и возникла необходимость отправлять чувствительные ко времени данные через множество различных типов сетей. Поэтому разработчики интегировали QoS и в другие технологии.

QoS имеет три основных уровня (класса):
  • Низкоприоритетный сетевой трафик (Best-effort service). Не гарантирован уровень пропускной способности и задержек, не гарантирована доставка. Трафик, для которого установлена классификация по приоритету, направляется перед трафиком, для которого установлен класс «низкоприоритетный сетевой трафик». Для большей части трафика, передаваемого по сети Интернет, устанавливается именно этот класс.
  • Дифференцированный сервис (Differentiated service). По сравнению с низкоприоритетным трафиком, трафик, для которого установлен этот класс, имеет большую полосу пропускания, меньшие задержки и меньшее количество потерянных кадров.
  • Гарантированный сервис (Guaranteed service). Обеспечивает передачу определенных данных на гарантированной скорости. Для чувствительного ко времени трафика (голос и видео) устанавливается этот класс.
Администраторы могут установить классификацию приоритетов (или использовать специализированный продукт для управления политикой) для различных типов трафика, который передается с помощью соответствующих протоколов и устройств.

SMDS

SMDS (Switched Multimegabit Data Service) – это высокоскоростная технология коммутации пакетов, которая применяется для обеспечения возможности клиентам расширить их сети LAN через сети WAN и MAN. Например, если компания имеет офис в одном штате и ей необходимо взаимодействовать с офисом в другом штате, можно обеспечить взаимодействие двух ее сетей LAN через уже существующие сети общего пользования с помощью протокола SMDS. Этот протокол не производит предварительное установление соединения и может обеспечить требуемую полосу пропускания.

Хотя некоторые компании продолжают использовать эту технологию, она была в значительной степени заменена Frame Relay. Провайдеры услуг, как правило, только поддерживают сети, использующие эту технологию, для уже существующих клиентов, новым клиентам использование таких сетей не предлагается.

SDLC

Протокол SDLC (Synchronous Data Link Control) предназначен для сетей, которые используют выделенные, арендованные линии с постоянными физическими соединениями. Он используется в основном для связи с узлами IBM в рамках SNA (Systems Network Architecture - Системная сетевая архитектура). SDLC разработан IBM в 1970-е годы, он является бит-ориентированным синхронным протоколом, который используется внутри других коммуникационных протоколов, таких как HDLC, LAP (Link Access Procedure) и LAPB (Link Access Procedure-Balanced).

SDLC был разработан для обеспечения возможности взаимодействия мейнфреймов на большом расстоянии друг от друга. В средах, использующих SDLC, как правило, устанавливается первичная система, которая управляет коммуникациями вторичных станций. SDLC реализует технологию последовательного (polling) доступа к среде, позволяющую вторичным станциям взаимодействовать в сети. Рисунок 5-50 показывает, первичные и вторичные станции в сети SDLC.

Рисунок 5-50. SDLC используется в основном в среде мейнфреймов в сети SNA

HDLC

Протокол HDLC (High-level Data Link Control) также является бит-ориентированным протоколом канального уровня, который используется для передачи данных по синхронным линиям. HDLC является расширением SDLC, который используется в основном в среде SNA. HDLC обеспечивает высокую пропускную способность, потому что он поддерживает полнодуплексную передачу, а также использует двухточечные и многоточечные соединения.

Как и в случае SDLC, работа HDLC организована с использованием первичных станций, которые соединены с вторичными станциями для обеспечения передачи данных. Производители используют собственные параметры в своих версиях реализации HDLC, что привело к проблемам совместимости между реализациями HDLC различных производителей.

HSSI

HSSI (High-Speed Serial Interface) – это интерфейс, который используется для соединения мультиплексоров и маршрутизаторов в высокоскоростных сервисах связи, таких как АТМ и Frame Relay. Он поддерживает скорость до 52 Мбит/с, как в WAN-соединениях T3. Как правило, он реализуется в маршрутизаторах и мультиплексирующих устройствах для обеспечения последовательных интерфейсов в WAN.

Эти интерфейсы определяют электрические и физические параметры для использования DTE/DCE устройствами, поэтому HSSI работает на физическом уровне. Данный интерфейс был разработан Cisco и T3plus Networking.

Ссылки по теме:
Многофункциональные технологии доступа

Многофункциональные технологии доступа (Multiservice access technology) объединяют несколько категорий коммуникаций (данные, голос и видео) в одном коммуникационном канале. Это обеспечивает более высокую производительность, сокращает эксплуатационные расходы, повышает гибкость, обеспечивает интеграцию и упрощает управление для администраторов. Обычные телефонные системы, основанные на коммутируемых каналах и ориентированные на передачу голоса, называются PSTN (Public-switched telephone network - Телефонная сеть общего пользования). PSTN использует коммутацию каналов вместо коммутации пакетов. Когда совершается телефонный вызов, он передается на интерфейс PSTN, которым является телефон пользователя. Этот PSTN подключен к местной линии связи (петле) телефонной компании с помощью медных проводов. Когда сигналы этого вызова достигнут центрального офиса телефонной компании (конец местной линии связи), они перейдут в коммутируемые линии телефонной компании. С момента установления соединения между абонентами, в течение всего сеанса взаимодействия, данные будут проходить через одни и те же коммутаторы.

При выполнении телефонного вызова устанавливается соединение, передаваемые в рамках этого соединения сигналы должны контролироваться, а после завершения сеанса связи соединение должно быть разорвано. Это осуществляется посредством протокола SS7 (Signaling System 7). Если применяется VoIP (Voice over IP), он использует SIP (Session Initiation Protocol - Протокол установления сеанса), с помощью которого производится установление и разрыв сеансов связи аналогично тому, как это делает SS7 для не-IP телефонных вызовов. SIP является протоколом прикладного уровня, который может работать через TCP или UDP. SIP дает основу для реализации более сложных возможностей телефонных сетей, аналогичным тем, которые реализуются SS7, например, включение телефонного звонка, набор телефонного номера, воспроизведение сигналов «занято» и т.п.

PSTN заменяется сетями, ориентированными на передачу пакетных данных, которые могут содержать голос, видео и иные данные. Новые сети VoIP используют различные коммутаторы, протоколы и каналы связи. VoIP должен пройти через сложный переходный этап, в течение которого необходимо обеспечить взаимодействие старых систем и инфраструктуры с новыми системами до момента вывода из эксплуатации старых систем.

В технологиях VoIP применяется высококачественнре сжатие, а идентификационными номерами (телефонными номерами) являются IP-адреса. Эта технология позволяет преодолеть некоторые барьеры, присутствующие сегодня в PSTN. Интерфейсные устройства (телефоны) имеют встроенные функции и логику, что усложняет реализацию различных видов сервисов, которые может поддерживать вся сеть в целом. При использовании VoIP, интерфейсом для доступа к сети может быть компьютер, сервер, офисная АТС или другое устройство, на котором работает телефонное приложение. Это предоставляет больше гибкости в процессе добавления новых сервисов, обеспечивает больше возможностей для управления взаимодействием устройств.

Поскольку это технология коммутации пакетов, возможны задержки при передаче данных. Это проявляется в виде задержек при разговоре, незначительной рассинхронизации. Возникновение таких недостатков в процессе телефонного разговора с использованием VoIP может означать, что пакеты задерживаются в очереди отправки на устройстве отправителя или в процессе передачи. Это называется колебаниями задержки (jittering). В настоящее время разработаны протоколы, помогающие минимизировать эти проблемы и обеспечить более непрерывную работу телефонной связи.
ПРИМЕЧАНИЕ. Для передачи данных чувствительных к времени приложений, например, голосовая или видеосвязь, следует использовать изохронную (isochronous) сеть. Изохронная сеть использует протоколы и устройства, которые необходимы для обеспечения гарантированной непрерывной полосы пропускания.
Для работы VoIP необходимы четыре основных компонента: устройство IP-телефонии, менеджер обработки вызовов, система голосовой почты и голосовой шлюз. Устройство IP-телефонии (IP telephony device) – это просто телефон, на котором выполняется необходимое программное обеспечение, позволяющее ему работать в качестве сетевого устройства. В традиционных телефонных системах используется «умная сеть» и «простой телефон». При использовании VoIP, телефон должен быть «умным», на нем должно быть установлено необходимое программное обеспечение, позволяющее ему принимать аналоговые сигналы, оцифровывать их, разбивать их на пакеты, создавать необходимые заголовки и окончания пакетов, чтобы они смогли достичь своих получателей. Система голосовой почты (voicemail system) является местом для хранения сообщений, она предоставляет пользователю функции для поиска в каталоге и переадресации вызовов. Голосовой шлюз (voice gateway) выполняет маршрутизацию пакетов и обеспечивает доступ к унаследованным голосовым системам и резервное копирование передаваемой голосовой информации.

Когда пользователь совершает телефонный звонок, его «умный телефон», отправляет сообщение менеджеру обработки вызовов, указывая на необходимость выполнения вызова. Когда получатель телефонного вызова снимает трубку, это сообщает менеджеру обработки вызовов о том, что вызов был принят. Менеджер обработки вызовов уведомляет телефоны звонящего и принимающего звонок, что канал активен и голосовые данные отправляются туда и обратно через сеть.

Передавать голосовые данные с помощью пакетов сложнее, чем обычные данные. Это связано с тем, что данные, как правило, отправляются с интервалами, а голосовые данные должны передаваться в виде постоянного потока. Задержка при передаче данных не так заметна, как задержка при передаче голоса. Технология VoIP и поддерживающие ее протоколы имеют преимущество, обеспечивающее передачу голосовых данных с повышенной пропускной способностью, что снижает влияние таких проблем, как переменный характер задержек, циклические задержки, а также потери пакетов.

Если компания использует VoIP, она оплачивает и поддерживает только одну сеть, а не две отдельных выделенных сети (одну – для передачи данных, другую – для передачи голоса). Это экономит деньги и снижает нагрузку на администраторов, однако при этом возникают некоторые проблемы безопасности, которые следует понимать и учитывать.
ПРИМЕЧАНИЕ. Шлюз среды (Media Gateway) – это транслирующее устройство между отдельными телекоммуникационными сетями. Шлюз среды VoIP выполняет преобразование между голосом в TDM (Time Division Multiplexing) и VoIP.
Законный перехват. Для многих компаний обязательно выполнять законный перехват передаваемых голосовых данных. Это помогает правоохранительным органам отслеживать и контролировать подозрительную и криминальную деятельность. Законный перехват информации в сетях VoIP не так просто организовать, как в традиционных сетях PSTN. Существуют различные решения для выполнения этой задачи, но для качественной реализации необходимо изначально спроектировать сеть для выполнения эффективного мониторинга передаваемой голосовой информации. Сама система законного перехвата информации должна быть незаметна для пользователей, должна иметь удобный интерфейс для управления и эффективные механизмы безопасности.

ПРИМЕЧАНИЕ. Голосовые данные могут передаваться через IP, Frame Relay и АТМ протоколы.
Шлюзы H.323

Рекомендации ITU-Т (Международный союз электросвязи) охватывают широкий спектр мультимедийных услуг связи. H.323 также входит в эти рекомендации, он является стандартом для передачи видео и аудио пакетов данных в режиме реального времени. H.323 предназначен для передачи данных в условиях, когда множество пользователей могут быть вовлечены в обмен данными. Среда H.323 похожа на терминальную среду, терминалами в ней могут быть телефоны или компьютеры с программным обеспечением телефонии, шлюзы, которые соединяют эту среду с PSTN, многоточечные устройства управления и "привратники" (gatekeeper), управляющие вызовами и функциональностью.

Как и шлюзы других типов, шлюзы H.323 соединяют различные виды систем и устройств, предоставляя им необходимые функции трансляции. Терминалы H.323 подключены к этим шлюзам, которые, в свою очередь, могут быть подключены к PSTN. Эти шлюзы транслируют протоколы между телефонной сетью, основанной на каналах, и сетью VoIP, основанной на пакетах. Также шлюзы транслируют трафик, ориентированный на каналы в ориентированный на пакеты трафик и наоборот.

В настоящее время следует использовать шлюзы, которые позволят новой технологии взаимодействовать со старыми, однако в скором времени старые сети PSTN могут стать историей и все коммуникации смогут работать с пакетами вместо каналов.
Терминология. Термины «IP-телефония» и VoIP взаимозаменяемы:
  • VoIP широко используется для предоставления современных сервисов: Caller ID, QoS, голосовая почта и т.д.
  • Термин «IP телефония» является общим термином для всех приложений реального времени, работающих по IP, в т.ч. приложений для передачи голоса через сервисы мгновенных сообщений (IM – Instant Messaging) и видеоконференции.
Новые технологии предоставляют сервисы, готорые способны на гораздо большее, чем просто передача голоса. Хотя мы рассматривали в основном VoIP, существуют и другие технологии, которые позволяют по одной сети передавать голос и данных, например, передача голоса через ATM (VoATM – Voice over ATM) и Frame Relay (VoFR – Voice over Frame Relay). АТМ и Frame Relay являются протоколами с предварительным установлением соединения, а протокол IP – нет. Поэтому Frame Relay и АТМ обеспечивают лучший QoS и меньший уровень колебаний задержки и латентности.

Чтобы взять лучшее из обоих миров, можно использовать комбинацию IP через АТМ или Frame Relay. Это позволяет коммуникациям, ориентированным на пакеты, работать через сеть, ориентированную на соединения, предоставляя сквозное (end-to-end) соединение. IP находится на сетевом уровне и не зависит от среды – он может работать с различными протоколами и технологиями канального уровня.

Обычно у компании есть собственная офисная АТС, которая является коммутатором между компанией, PSTN и линиями T1 или T3, с помощью который эта АТС подключена к центральному офису телефонной компании, где расположены коммутаторы, являющиеся дверью в PSTN. Если вместо доступа в PSTN через коммутаторы центрального офиса используются технологии WAN, данные передаются через облако Frame Relay или ATM. Пример такой конфигурации показан на Рисунке 5-51.

Рисунок 5-51. При выполнении обычных телефонных вызовов, телефон подключается к PSTN; при передаче голоса через технологии WAN – телефон подключается к WAN

Поскольку Frame Relay и АТМ используют PVC и SVC, оба они имеют возможность использовать SVC для выполнения телефонных вызовов. Помните, что CIR используется в тех случаях, когда компании нужно быть уверенной, что она всегда будет иметь определенную доступную пропускную способность. Оплачивая эту гарантированную пропускную способность, компания платит за PVC, с целью программирования коммутаторов и маршрутизаторов для управления и поддержки соединений. С другой стороны, SVC создаются по требованию и носят временный характер. Они идеально подходят для осуществления телефонных вызовов или передачи видео в процессе видеоконференции.

Ссылки по теме:

Как было сказано ранее, SIP (Session Initiation Protocol - Протокол установления сеанса) – это протокол обмена сигналами, широко используемый для сеансов коммуникаций VoIP. Он используетя в таких приложениях, как видеоконференцсвязь, мультимедия, передача мгновенных сообщений, онлайн-игры. Это аналог протокола SS7, используемого в сетях PSTN, он поддерживает функциональность обычных телефонных систем.

SIP состоит из двух основных компонентов: UAC (User Agent Client) и UAS (User Agent Server). UAC – это приложение, которое создает запросы SIP для инициирования коммуникационного сеанса. UAC является обычным средством передачи сообщений и программным телефоном, который используется для выполнения телефонных звонков по VoIP. UAS – это сервер SIP, который обеспечивает выполнение всех операций по маршрутизации и передаче сигналов, необходимых для осуществления телефонных звонков по VoIP.

SIP использует трехсторонний процесс «рукопожатия» (three-way-handshake process) для инициализации сеанса. Чтобы лучше понять этот процесс, рассмотрим следующий пример. Два человека Билл и Джон пытаются пообщаться посредством VoIP-телефонов. Система Билла начинает с отправки пакета INVITE системе Джона. На данном этапе система Билла не знает, где находится Джон, поэтому пакет INVITE отправляется серверу SIP, который ищет адрес Джона на сервере-регистраторе SIP. Когда местоположение системы Джона определено, пакет INVITE пересылается Джону. В течение всего этого процесса сервер поддерживает соединение со звонящим (Биллом), отправляя ему пакет TRYING, который говорит ему о том, что процесс выполняется. Как только пакет INVITE достигнет системы Джона, программное обеспечение на ней включит телефонный звонок. Пока система Джона звонит и ожидает, когда Джон ответит на звонок, она отправляет системе Билла пакет RINGING, говоря ему, что пакет INVITE был получен системой Джона, и сейчас система Джона ожидает, когда Джон примет звонок. Как только Джон ответит на звонок, системе Билла (через сервер) будет отправлен пакет OK. Система Билла отвечает на этот пакет пакетом ACK для начала процедуры настройки соединения. Здесь важно отметить, что сам по себе SIP не используется для передачи голосового потока, поскольку это просто сигнальный протокол. Реальный голосовой поток передается с помощью специальных протоколов, таких как RTP (Real-time Transport Protocol). Когда Билл и Джон закончат разговор, система, разрывающая соединение, направляет другой системе сообщение BYE. Другая система отвечает ей пакетом OK, подтверждая, что сеанс завершен. Рассмотренный процесс «рукопожатия» показан на Рисунке 5-52.

Рисунок 5-52. «Рукопожатие» SIP

Архитектура SIP состоит из трех различных типов серверов, которые совместно выполняют свои функции в процессе коммуникаций с использованием VoIP. Этими серверами являются: прокси-сервер, сервер-регистратор (registrar) и сервер перенаправления (redirect). Прокси-сервер используется для пересылки пакетов в сети между UAC и UAS. Также он пересылает запросы звонящего на систему вызываемого абонента. Кроме того, прокси-серверы обычно используются для отображения имен, что позволяет им соединять внешние системы SIP с внутренними клиентами SIP.

Сервер-регистратор обеспечивает централизованное хранение записей актуального местоположения всех пользователей сети. Их адреса хранятся на сервере местоположения (location server). Сервер перенаправления позволяет устройствам SIP сохранять за собой свои SIP-идентификаторы, независимо от изменений их географического положения. Это позволяет устройствам оставаться доступными при физической смене своего местоположения и при перемещении между различными сетями. Это называется интраорганизационной конфигурацией (intraorganizational configuration). Интраорганизационная конфигурация позволяет маршрутизировать трафик SIP в сети VoIP без его передачи через PSTN или внешнюю сеть, обеспечивая тем самым защиту коммуникационных сеансов.


Skype является популярной программой Интернет-телефонии, которая использует модель пиринговой (peer-to-peer) связи вместо традиционной для VoIP систем модели клиент/сервер. Сеть Skype не использует централизованные серверы для хранения каталогов ее пользователей. Вместо этого записи о пользователях поддерживаются всей распределенной системой узлов, входящих в ее состав. Поэтому сеть может быстро адаптироваться к резким скачкам активности пользователей без использования дорогой централизованной инфраструктуры и вычислительных ресурсов.

Проблемы IP-телефонии

Интеграция VoIP с протоколом TCP/IP ведет к большим сложностям с обеспечением безопасности, поскольку это позволяет злоумышленникам использовать свой опыт атак на TCP/IP для этой, относительно новой, платформы. Злоумышленники могут воспользоваться уязвимостями, как архитектуры, так и самих систем VoIP. При защите систем VoIP следует учитывать такие традиционные проблемы безопасности, как несанкционированный доступ, эксплуатация уязвимостей коммуникационных протоколов, распространение вредоносного программного кода. Даже основной причиной атак на VoIP по-прежнему является желание хакеров получить скандальную известность. Кроме того, для атакующих очень привлекательна возможность получить возможность бесплатных телефонных звонков. Одним словом, сети VoIP телефонии стоят перед лицом тех же традиционных уязвимостей, что и обычные компьютерные сети.

Более того, устройства VoIP используют архитектуру, похожую на архитектуру обычных компьютеров – у них так же есть операционная система, они осуществляют взаимодействие через протоколы Интернет, они предоставляют комбинацию сервисов и приложений.

Передача сигналов SIP страдает из-за отсутствия шифрования и аутентфикации при передаче управляющих сигналов. Атакующий может подключиться к каналу связи между сервером и клиентом SIP и выполнять перехват сетевых пакетов с помощью сниффера, что позволит ему получить идентификаторы пользователей, пароли (PIN-коды), номера телефонов. Получив такую информацию, атакующий легко может воспользоваться ей для выполнения телефонных звонков за чужой счет. Мошенничество – это наиболее серьезная угроза, перед лицом которой стоят VoIP сети. При реализации VoIP сети необходимо убедиться, что шлюзы между VoIP и PSTN надежно защищены от вторжений, что позволит минимизировать риски мошенничества.

Также атакующие могут скрыть свою реальную идентфикационную информацию путем перенаправления управляющих пакетов SIP от вызывающего абонента фальшивому получателю, чтобы ввести в заблуждение вызывающего абонента, который будет взаимодействовать с иной системой. Как и любая сетевая система, устройства VoIP уязвимы к DoS-атакам. Подобно флудингу серверов TCP с помощью пакетов SYN в сетях TCP/IP, атакующие могут выполнять флудинг серверов RTP, направляя им большое запросов на выполнение вызова, превышающее их возможности обработки. Кроме того, атакующие знают о возможности подключения ноутбуков, эмулирующих IP-телефоны, к используемым IP-телефонами интерфейсам Ethernet. Они могут использоваться для получения несанкционированного доступа или проведения DoS-атак. А если атакующий сможет перехватывать голосовые пакеты, он сможет таким образом подслушивать телефонные разговоры в этой сети. Атакующий может перехватывать пакеты RTP, содержащие потоки голосовых или видео-данных сеанса связи, и вставлять в них иные аудио/видео данные, вызывая раздражение реальных пользователей.

Также атакующий может установить в сети фальшивый сервер и направлять от его имени клиентам VoIP такие команды, как BYE, CHECKSYNC, RESET. Команда BYE, например, заставит устройство VoIP завершить текущее соединение, команда CHECKSYNC может быть использована для перезагрузки терминала VoIP, а по команде RESET сервер сбрасывает и повторно устанавливает соединение, что занимает довольно значительное время.
ПРИМЕЧАНИЕ. Некоторое время назад появился новый вариант спама, для рассылки которого используются сети VoIP. Этот спам называют SPIT (Spam over Internet Telephony – Спам посредством Интернет-телефонии. SPIT приводит к значительным потерям полосы пропускания и к пустой трате времени пользователями атакованной сети. Поскольку SPIT не может быть также просто удален, как обычный спам, жертва вынуждена прослушать все сообщение до конца. SPIT также может стать причиной перегрузки серверов голосовой почты.
Борьба с угрозами безопасности VoIP требует хорошо продуманного плана реализации инфраструктуры. Аналогично традиционным сетям, в сетях VoIP ключевое значение играет соблюдение баланса между безопасностью и свободным прохождением потока трафика. Важным шагом, направленным на снижение уровня возможных угроз злоумышленных и несанкционированных действий в сети, является внедрение механизмов авторизации. Авторизация отдельных IP-терминалов гарантирует, что только предварительно включенные в список устройства смогут получать доступ к сети. Хотя этот метод и не обеспечивает стопроцентной защиты, он является первым уровнем защиты от возможного несанкционированного подключения устройств злоумышленником и переполнения сети вредоносными пакетами. В дополнение к этой мере, целесообразно организовать выполнение аутентификации устройств VoIP при попытке соединения друг с другом. Идентификация устройств при этом может выполняться на основе постоянных аппаратных идентификационных параметров, таких как MAC-адреса, либо на основе программных кодов, которые могут быть присвоены серверам (например, с помощью методов многоуровневого шифрования).

Использование безопасных криптографических протоколов, таких как TLS (Transport Layer Security), гарантирует, что все пакеты SIP будут перемещены внутри зашифрованного безопасного туннеля. Использование TLS может предоставить безопасный канал для клиент-серверных коммуникаций VoIP и предотвратить возможный перехват и подделку пакетов.
Защитные меры для обеспечения безопасности VoIP. Хакеры могут перехватывать входящие и исходящие вызовы, проводить DoS-атаки, выполнять ложные телефонные звонки, а также подслушивать конфиденциальные разговоры. Большинство контрмер для противодействия этим атакам аналогичны контрмерам для традиционных сетей, ориентированных на передачу обычных данных:
  • Своевременно устанавливайте патчи на каждое сетевое устройство, связанное с передачей VoIP:
    • Сервер менеджера вызовов
    • Сервер голосовой почты
    • Сервер-шлюз
  • Отслеживайте появление неизвестных или несанкционированно подключенных телефонных устройств
    • Обеспечьте выполнение аутентификации, позволяющей работать в сети только авторизованным телефонным устройствам
  • Установите и поддерживайте:
  • Заблокируйте неиспользуемые порты на маршрутизаторах, коммутаторах, компьютерах и IP-телефонах
  • Выполняйте мониторинг в режиме реального времени для обнаружения атак, туннелирования и подозрительных образцов (поведения) посредством систем IDS/IPS
  • Выполняйте мониторинг содержимого передаваемых данных
  • Используйте шифрование при передаче данных (голос, факс, видео) через недоверенные сети
    • Используйте двухфакторную аутентификацию
    • Ограничьте количество одновременных вызовов с помощью шлюза среды
    • Закрывайте сеансы связи после их завершения
Резюме по технологиям WAN

В предыдущих разделах мы рассмотрели несколько WAN технологий. В Таблице 5-11 показаны наиболее важные характеристики каждой из них.

Таблица 5-11. Характеристики технологий WAN

3 комментария:

  1. - QoS. Статья 1. Зачем это нужно? http://www.anticisco.ru/blogs/?p=339
    - QoS. Статья 2. Классификация траффика. http://www.anticisco.ru/blogs/?p=369

    ОтветитьУдалить
  2. - Домашняя Cisco VoIP лаборатория на базе эмулятора GNS3. http://habrahabr.ru/blogs/cisconetworks/112098/

    ОтветитьУдалить
  3. - Signaling System #7. http://habrahabr.ru/blogs/telecom/113792/

    ОтветитьУдалить