Чем отличается vpn l2 от vpn l3

Чем отличается vpn l2 от vpn l3

L2VPN

Многие задавались вопросом, что такое L2-VPN, как он работает и зачем он нужен. L2-VPN это сервис виртуальной частной сети (англ. Virtual Private Network — виртуальная частная сеть), предоставляемый операторами связи по типу точка-точка. Сеть провайдера для клиента в данной услуге абсолютно прозрачна.

Где это может понадобиться?

Допустим, вы частный предприниматель, у вас есть офис в г. Урюпинск и г. Воронеж. Вы хотите объединить 2 сети в 1 большую локальную сеть. С точки зрения вас (клиента) данная услуга будет выглядеть так, как показано на рисунке 1.

Т.е. как подключение к одному большому L2-коммутатору. В случае необходимости вы можете самостоятельно устанавливать в своем vpn канале дополнительные сервисы сетевой защиты, шифрования, аутентификации, например IPSec-туннель и т.д.

Как это выглядит с точки зрения провайдера ?

Данную услугу провайдеры предоставляют на основе своей сети IP/MPLS. Стоимость данной услуги, провайдер рассчитывает исходя от расстояния, емкости канала, совокупных затрат на содержание и эксплуатацию оборудования, амортизационных отчислений и тд. Однако, при всем при этом цена является в несколько раз завышена для клиента.

Заключение

Данная услуга является одной из самых популярных среди клиентов провайдеров Она очень проста и не требует настроек на оборудовании клиента.

Преимущества:

  • ускоренный обмен файлами и сообщениями внутри сети
  • высокая безопасность передачи информации
  • совместная работа над документами и базами данных
  • доступ к корпоративным информационным http #8212 серверам
  • организация между офисами высококачественной видеоконференцсвязи и видео трансляций

Однако есть и недостатки. Т.к. услуга является L2, то операторам связи очень сложно отслеживать проблемы на данной услуге и практически всегда они узнают о проблеме от клиента. По сути, клиент сам берет на себя всю диагностику и работу с провайдером, поэтому если существуют какие-то проблемы то их решение очень затягивается.

Существует и более интересная услуга, позволяющая организовывать соединения точка-многоточка на уровне L2 модели OSI #8212 это VPLS подробнее про нее можно прочитать перейдя по ссылке .

Говорим WAN, подразумеваем VPN

Сегодня, когда выделенные линии, Frame Relay и другие традиционные технологии для глобальных сетей уходят в прошлое, основным подходом к организации корпоративных территориально распределенных сетей стала реализация VPN на базе сетей IP.

Суть виртуальных частных сетей (Virtual Private Network, VPN) проста: реализация некоторого аналога частной сети (выделенный ресурс) в сети общего пользования (разделяемый ресурс), причем в качестве последней может выступать как Интернет, так и инфраструктура конкретного оператора. Подобный подход применяется давно, еще со времен сетей X.25 и Frame Relay. Новые технологии, в частности MPLS, лишь расширили возможности служб VPN, которые сегодня способны эмулировать, например, распределенный коммутатор Ethernet (L2 VPN) или маршрутизируемую сеть IP (L3 VPN).

Что касается традиционных подходов к построению территориально распределенных сетей (с использованием выделенных каналов и технологии Frame Relay), они почти все ушли в прошлое. По данным, которые приводит Андрей Перкунов, руководитель направления информационной безопасности компании Стэп Лоджик , сегодня доля этих решений в корпоративных сетях составляет единицы процентов в основном они используются для низкоскоростных приложений, телеметрии, а также в системах спутниковой связи в тех районах, где отсутствуют альтернативные каналы связи.

НАЛОЖЕННАЯ МОДЕЛЬ, ИЛИ ЗАЧЕМ НУЖНЫ ОПЕРАТОРЫ

Различные технологии VPN подразумевают разную глубину отношений с оператором связи. Например, в небольших российских компаниях связь между удаленными офисами очень часто реализуется путем организации туннелей через Интернет с использованием протокола IPSec. В этом случае взаимодействие с оператором минимально: от него требуется обеспечить подключение к Интернету по каналу с необходимой пропускной способностью, а задачи по построению VPN решаются силами специалистов компании или ее партнера-интегратора.

Главные достоинства такого подхода заключаются в его низкой стоимости, а также в возможности быстрой организации VPN в любом месте — нет необходимости обращаться за помощью к конкретному оператору, чтобы подключиться к определенным сервисам, а доступ в Интернет сегодня есть практически везде. Закрытые туннели IPSec можно организовать не только между офисами, но также между офисом и компьютером сотрудника, работающего дома, находящегося на выезде у заказчика или в командировке. Для этих целей могут использоваться и другие протоколы VPN, функционирующие по схеме пользователь — шлюз : SSL/TLS, PPTP, L2TP.

По мнению Ивана Дудорова, инженера-системотехника компании Netgear, в сегменте предприятий малого и среднего бизнеса использование сервисов L2/L3 VPN может оказаться обременительным в связи с высокой стоимостью как общего решения, так и его обслуживания. Популярность же IPSec VPN во многом объясняется доступностью соответствующих устройств. В качестве примера он приводит новинку своей компании — межсетевой экран ProSafe FVS318G с гигабитными портами и поддержкой аппаратного шифрования. Цена этого продукта, рассчитанного на установку в офисе, где работают 10 сотрудников, всего 5600 руб. Мобильным пользователям специалист Netgear рекомендует обратить внимание на набирающий популярность доступ SSL VPN, поскольку с его помощью можно подключиться к внутренней корпоративной сети посредством обычного браузера Web.

При всех своих преимуществах технология IPSec VPN имеет массу недостатков. Если соединение осуществляется через Интернет, получить гарантии качества обслуживания невозможно, а корпоративный трафик может пострадать от перегрузок и аварий в Сети или от различных хакерских атак, приводящих, например, к отказу в обслуживании сетевого оборудования. По этим причинам, как считает Вячеслав Чесновский, менеджер проектов компании Крок , криптотуннели через Интернет обычно создаются для передачи некритичной к задержкам информации либо для организации резервных каналов связи в случае отказа основного канала.

Игорь Забиякин, главный специалист отдела сетей передачи данных Корпорации ЮНИ , утверждает, что такой недостаток IPSec VPN, как отсутствие гарантии эксплуатационных параметров соединений между удаленными подразделениями предприятия, дает лишь иллюзию независимости от операторов связи. По его мнению, подобное решение будет актуально для компании только до тех пор, пока требования бизнес-приложений не начнут диктовать необходимость круглосуточной доступности информационных систем, а их простой в течение суток не будет угрожать позиции, занимаемой компанией на рынке .

IPSec VPN — классический пример виртуальной частной сети, построенной по так называемой наложенной модели (Overlay), когда оборудование сервис-провайдера не задействуется в процессе маршрутизации клиентского трафика, а его сеть предоставляет лишь прозрачное соединение между площадками предприятия. Как считает Василий Солдатов, технический специалист компании Brocade, эта модель позволяет обеспечить высокую безопасность сети без дополнительных средств и затрат со стороны административно-технического персонала оператора. Но при организации VPN с применением наложенной модели топология, используемая для связи клиентского оборудования, должна быть близка к полносвязной. В результате может потребоваться большое количество каналов, а значит, стоимость подключения будет расти пропорционально числу офисов компании. В Brocade отмечают, что наложенная модель может быть реализована с применением самых разных технологий первого (TDM, SDH), второго (ATM, Frame Relay, MPLS) или третьего уровня (IPSec, GRE) модели OSI — конкретная технология является лишь инструментом, позволяющим реализовать требования заказчика.

Читайте также:  Диагностика автомобиля прибор для телефона

Другая модель организации VPN — одноранговая (Peer) — подразумевает взаимодействие устройств (маршрутизаторов/коммутаторов) клиента с оборудованием сервис-провайдера, которое задействуется для маршрутизации клиентского трафика. В идеале клиенту предоставляется отдельный выделенный маршрутизатор — в настоящее время это, как правило, виртуальный маршрутизатор с поддержкой IP/MPLS. Сетевая безопасность при этом обеспечивается дополнительными административно-техническими методами, такими как фильтрация пакетов и маршрутов , — поясняет Василий Солдатов.

ВЫХОДИМ НА УРОВЕНЬ 3

Основной вариант реализации одноранговой модели — организация L3 VPN на основе технологии MPLS. При этом важно четко понимать, что уровень VPN и уровень технологии, применяемой для ее построения, совсем не одно и то же. Технология MPLS была разработана в первую очередь для ускорения процесса передачи трафика IP путем отказа от полноценной маршрутизации и использования вместо нее коммутации меток — процесса, типичного для технологий канального (L2) уровня. При этом для получения информации о доступных маршрутах, резервирования пропускной способности и выполнения ряда других функций задействуется интеллект протоколов сетевого (L3) уровня. Таким образом, MPLS сложно отнести к какому-то определенному уровню модели OSI, скорее это технология L2,5. При этом она применяется для построения как VPN L3, так и VPN L2 (см. Таблицу 1 ), уровень которых определяется их потребительскими свойствами : если сеть оператора маршрутизирует клиентский трафик, значит, он соответствует L3, если эмулирует соединения канального уровня (или функции коммутатора Ethernet) — то L2.

Хотя услуги L3 VPN предлагаются и в рамках городских сетей, их главное предназначение — подключение площадок, находящихся в разных городах, на большом удалении друг от друга. Как отмечает Вячеслав Чесновский, эти услуги, как правило, характеризуются большей стоимостью подключения (поскольку задействуется маршрутизатор, а не коммутатор), высокой арендной платой и небольшой пропускной способностью (обычно до 2 Мбит/с). Цена может значительно возрастать в зависимости от расстояния между точками подключения.

Важным преимуществом L3 VPN, которое во многом определяется возможностями технологии MPLS, является предоставление функций QoS и инжиниринга трафика, что позволяет использовать сервисы IP-телефонии и видео-конференц-связи с гарантией их качества. Помимо этого, Андрей Бушов, специалист компании Extreme Networks, к достоинствам решений L3 VPN относит простоту настройки и удобство эксплуатации пространства IP-адресов корпоративной сети. В числе недостатков — отсутствие прозрачности для услуг Ethernet, невозможность поддержки кадров Ethernet увеличенного размера (jumbo frame), а также более высокая стоимость по сравнению с сервисами Metro Ethernet.

По мнению Василия Солдатова, в случае одноранговой модели сервис-провайдер может столкнуться с проблемами при эксплуатации оборудования, которое он использует для подключения клиентов: переполнение информацией о маршрутах, поступающих от оборудования различных клиентов высокая вероятность дублирования адресов и т. п. В настоящее время сервис-провайдеры, применяющие технологию MPLS, научились успешно решать подобные проблемы, но в результате вырастают требования к квалификации обслуживающего технического персонала и увеличивается сложность реализации транспортного оборудования, что ведет к росту эксплуатационных затрат.

L2 VPN И METRO ETHERNET

В категорию L2 VPN входит широкий набор сервисов: от эмуляции выделенных каналов точка-точка (E-Line) до организации многоточечных соединений и эмуляции функций коммутатора Ethernet (E-LAN). Такие сервисы могут быть реализованы с применением как MPLS (VPLS), так и иных технологий (см. Таблицу 2 ).

Сервисы L2 VPN обычно используют для построения корпоративных сетей в рамках одного города (или города и ближайших окрестностей), поэтому часто это понятие воспринимается почти как синоним термина Metro Ethernet. Как утверждает Вячеслав Чесновский, такие сервисы характеризуются большой скоростью канала и сравнительной простотой организации услуги при меньшей (по сравнению с L3 VPN) стоимости соединения и абонентской плате. По словам Андрея Перкунова из компании Стэп Лоджик , в отдельных случаях L2 VPN применяют для построения отказоустойчивых территориально распределенных ЦОД или кластеров, когда для функционирования кластерных приложений требуется прямое подключение между узлами кластера на уровне L2. По его данным, в крупных городах пропускная способность услуги L2 VPN составляет до 100 Мбит/с, а в некоторых случаях — до 1 Гбит/с.

Достоинствами L2 VPN Андрей Бушов считает возможность использования внутри сети любых протоколов третьего уровня (IPv4, IPv6, SNA и т. д.) и поддержку кадров увеличенного размера, а также относительную простоту и дешевизну оборудования клиента, устанавливаемого на границе с провайдером (L2). Важно и то, что сервисы L2 VPN прекрасно сочетаются с другими полезными технологиями второго уровня, например обеспечивающими быструю сходимость сети.

Впрочем, необходимость поддержки экзотических протоколов возникает не так часто. По словам Игоря Забиякина, сегодня на территории СНГ редко можно найти приложения, которые для обмена данными используют немаршрутизируемые протоколы, из-за которых у оператора приходится заказывать услуги L2. Выбор между L3 VPN и L2 VPN, по его мнению, чаще обусловлен географическими масштабами развертываемой сети: технологическая база предоставления VPN на базе инфраструктуры Metro Ethernet позволяет операторам обеспечивать наиболее высокие эксплуатационные показатели при минимальной стоимости в пределах города в то же время для строительства корпоративных сетей передачи данных межрегионального масштаба — не говоря уже о международном уровне — используются MPLS L3 VPN.

ВСЕ ВМЕСТЕ

Очевидно, что оператору связи нужна возможность предоставления в своей сети различных видов сервисов VPN. Поэтому главный вопрос заключается в том, как оптимизировать архитектуру сети с точки зрения сокращения капитальных затрат (CAPEX) и текущих расходов (OPEX). Например, эксперты Orckit Corrigent предлагают размещать более дешевое оборудование L2 VPN в густонаселенных местах городской (metro) сети, а дорогостоящие маршрутизаторы устанавливать только в ее ядре (центре). По мнению Павла Полака, который отвечает в этой компании за техническую поддержку продаж, такая сетевая архитектура наиболее эффективна, поскольку позволяет реализовать различные варианты VPN: в частности, она обеспечивает сервисы L2 в рамках городской сети и туннели L3 по направлению к опорным маршрутизаторам.

Корпоративные заказчики тоже не всегда могут обойтись единственным вариантом VPN. Как отмечает Кирилл Случанко, ведущий инженер отдела системной интеграции компании Поликом Про , даже при использовании каналов MPLS или Metro Ethernet может возникнуть необходимость сокрытия передаваемой информации с помощью IPSec или других реализаций алгоритмов шифрования — например, для передачи данных, обработка которых регулируется федеральным законом № 152-ФЗ О персональных данных , или для транспортировки конфиденциальной информации. Кроме того, каналы IPSec, реализуемые поверх открытых сетей, могут использоваться в качестве резервных для каналов MPLS или Metro Ethernet, если требуется высокий уровень доступности каналов передачи данных и невозможно (или экономически нецелесообразно) предоставление резервных каналов MPLS или Metro Ethernet.

Читайте также:  Боты в вк которые дарят стикеры

О подобной практике упоминает и Игорь Забиякин. Он выделяет в отдельную группу решения, потребность в которых возникает, когда необходимо гарантировать конфиденциальность данных, коммерческую тайну и другие факторы, чем обуславливается применение средств криптозащиты. В этом случае — вне зависимости от степени защищенности, декларируемой оператором, — предприятия развертывают поверх предоставленных им сетей VPN собственные защищенные, шифруемые каналы.

ВПЕРЕД В ПРОШЛОЕ?

В течение последнего десятилетия в телекоммуникациях наблюдается тенденция к объединению различных сервисов в рамках единой сетевой инфраструктуры, тем более что текущий уровень развития технологий позволяет осуществлять передачу данных, голоса и видео (как на уровне L2, так и на L3) с детерминированным уровнем качества. Означает ли это окончательное решение проблемы построения мультисервисных глобальных сетей?

Отнюдь нет, — считает Александр Куракин, эксперт Центра сетевых решений компании Инфосистемы Джет . — Беда пришла оттуда, откуда ее не ждали: из мира систем хранения данных (СХД). В нашей практике мы все чаще сталкиваемся с требованиями передачи не только традиционных видов сервисов, но и трафика СХД — Fibre Channel, iSCSI, FCIP и FCoE в рамках единого канала связи. При этом каналом связи может выступать как сеть L3 IP (обычно MPLS VPN), так и каналы уровня L2: контейнеры SDH, сеть DWDM или Ethernet .

Очевидно, при передаче столь критичного к потерям и задержкам трафика, как трафик СХД, необходимы принципиально иные механизмы QoS, в отличие от тех, которые традиционно применяются для пакетной передачи голоса и данных. Один из вариантов решения (его предлагает компания Инфосистемы Джет ) основан на продуктах Enterprise Services Optimization Module (ESOM), которые выпускает Ciena. По словам Александра Куракина, реализация QoS в модуле ESOM позволяет обеспечить детерминированную доставку трафика СХД, при этом могут использоваться различные сетевые технологии, например, DWDM в пределах города и каналы IP для удаленных объектов.

А вот Игорь Забиякин из Корпорации ЮНИ полагает, что если компания, развивающая свою корпоративную сеть передачи данных, намерена соединить воедино собственные ЦОД, то обойтись без выделенных цифровых каналов для объединения серверных ферм не представляется возможным.

Идет ли речь о возврате в прошлое? На самом деле это диалектическое развитие по спирали. Полагаю, в ближайшие год-два тема объединения удаленных ЦОД и построения территориально распределенных ЦОД приобретет чрезвычайную актуальность. Постараемся держать вас в курсе событий.

Александр Барсков — ведущий редактор Журнала сетевых решений/LAN . С ним можно связаться по адресу: ab@lanmag.ru .

Источники: http://netwild.ru/l2vpn/, http://www.osp.ru/lan/2010/06/13002982/

Как Сделать Музыку Без Слов

как сделать музыку без словДанный сервис позволяет быстро убрать вокал из песни (сделать задавку) без установки каких-либо программ.Если ничего .

На вебинаре были рассмотрены преимущества и недостатки организации VPN на втором и третьем уровнях модели OSI, а также реализация этих методов с помощью АПКШ "Континент"

115230, Россия, Москва,
1-й Нагатинский проезд, д. 10, стр. 1

2008-2020 © «Код Безопасности». Российский разработчик программных и аппаратных средств защиты информации. Наша продукция охватывает все уровни инфраструктурной безопасности.

С доброй улыбкой теперь вспоминается, как человечество с тревогой ожидало в 2000 году конца света. Тогда этого не случилось, но зато произошло совсем другое событие и тоже очень значимое.

Исторически, в то время мир вошел в настоящую компьютерную революцию v. 3.0. – старт облачных технологий распределенного хранения и обработки данных. Причем, если предыдущей «второй революцией» был массовый переход к технологиям «клиент-сервер» в 80-х годах, то первой можно считать начало одновременной работы пользователей с использованием отдельных терминалов, подключенных к т.н. «мейнфреймам» (в 60-х прошлого столетия). Эти революционные перемены произошли мирно и незаметно для пользователей, но затронули весь мир бизнеса вместе с информационными технологиями.

При переносе IT-инфраструктуры на облачные платформы и удаленные ЦОД (центры обработки данных) ключевым вопросом сразу же становится организация надежных каналов связи от клиента к дата-центрам. В Сети нередко встречаются предложения провайдеров: «физическая выделенная линия, оптоволокно», «канал L2», «VPN» и так далее… Попробуем разобраться, что за этим стоит на практике.

Каналы связи – физические и виртуальные

1. Организацией «физической линии» или «канала второго уровня, L2» принято называть услугу предоставления провайдером выделенного кабеля (медного или оптоволоконного), либо радиоканала между офисами и теми площадками, где развернуто оборудование дата-центров. Заказывая эту услугу, на практике скорее всего вы получите в аренду выделенный оптоволоконный канал. Это решение привлекательно тем, что за надежную связь отвечает провайдер (а в случае повреждения кабеля самостоятельно восстанавливает работоспособность канала). Однако, в реальной жизни кабель на всем протяжении не бывает цельным – он состоит из множества соединенных (сваренных) между собой фрагментов, что несколько снижает его надежность. На пути прокладки оптоволоконного кабеля провайдеру приходится применять усилители, разветвители, а на оконечных точках – модемы.

В маркетинговых материалах к уровню L2 (Data-Link) сетевой модели OSI или TCP/IP это решение относят условно – оно позволяет работать как бы на уровне коммутации фреймов Ethernet в LAN, не заботясь о многих проблемах маршрутизации пакетов на следующем, сетевом уровне IP. Есть, например, возможность продолжать использовать в клиентских виртуальных сетях свои, так называемые «частные», IP-адреса вместо зарегистрированных уникальных публичных адресов. Поскольку использовать частные IP-адреса в локальных сетях очень удобно, пользователям были выделены специальные диапазоны из основных классов адресации:

  • 10.0.0.0 – 10.255.255.255 в классе A (с маской 255.0.0.0 или /8 в альтернативном формате записи маски);
  • 100.64.0.0 – 100.127.255.255 в классе A (с маской 255.192.0.0 или /10);
  • 172.16.0.0 – 172.31.255.255 в классе B (с маской 255.240.0.0 или /12);
  • 192.168.0.0 – 192.168.255.255 в классе C (с маской 255.255.0.0 или /16).

Такие адреса выбираются пользователями самостоятельно для «внутреннего использования» и могут повторяться одновременно в тысячах клиентских сетей, поэтому пакеты данных с частными адресами в заголовке не маршрутизируются в Интернете – чтобы избежать путаницы. Для выхода в Интернет приходится применять NAT (или другое решение) на стороне клиента.

Примечание: NAT – Network Address Translation (механизм замены сетевых адресов транзитных пакетов в сетях TCP/IP, применяется для маршрутизации пакетов из локальной сети клиента в другие сети/Интернет и в обратном направлении – вовнутрь LAN клиента, к адресату).

У этого подхода (а мы говорим о выделенном канале) есть и очевидный недостаток – в случае переезда офиса клиента, могут быть серьезные сложности с подключением на новом месте и возможна потребность в смене провайдера.

Читайте также:  Программа для рисования схем водоснабжения

Утверждение, что такой канал значительно безопаснее, лучше защищен от атак злоумышленников и ошибок низкоквалифицированного технического персонала при близком рассмотрении оказывается мифом. На практике проблемы безопасности чаще возникают (или создаются хакером умышленно) прямо на стороне клиента, при участии человеческого фактора.

2. Виртуальные каналы и построенные на них частные сети VPN (Virtual Private Network) распространены широко и позволяют решить большинство задач клиента.

Предоставление провайдером «L2 VPN» предполагает выбор из нескольких возможных услуг «второго уровня», L2:

VLAN – клиент получает виртуальную сеть между своими офисами, филиалами (в действительности, трафик клиента идет через активное оборудование провайдера, что ограничивает скорость);

Соединение «точка-точка» PWE3 (другими словами, «эмуляция сквозного псевдопровода» в сетях с коммутацией пакетов) позволяет передавать фреймы Ethernet между двумя узлами так, как если бы они были соединены кабелем напрямую. Для клиента в такой технологии существенно, что все переданные фреймы доставляются до удалённой точки без изменений. То же самое происходит и в обратном направлении. Это возможно благодаря тому, что фрейм клиента приходя на маршрутизатор провайдера далее инкапсулируется (добавляется) в блок данных вышестоящего уровня (пакет MPLS), а в конечной точке извлекается;

Примечание: PWE3 – Pseudo-Wire Emulation Edge to Edge (механизм, при котором с точки зрения пользователя, он получает выделенное соединение).

MPLS – MultiProtocol Label Switching (технология передачи данных, при которой пакетам присваиваются транспортные/сервисные метки и путь передачи пакетов данных в сетях определяется только на основании значения меток, независимо от среды передачи, используя любой протокол. Во время маршрутизации новые метки могут добавляться (при необходимости) либо удаляться, когда их функция завершилась. Содержимое пакетов при этом не анализируется и не изменяется).

Примечание: VPLS – Virtual Private LAN Service (механизм, при котором с точки зрения пользователя, его разнесенные географически сети соединены виртуальными L2 соединениями).

MAC – Media Access Control (способ управления доступом к среде – уникальный 6-байтовый адрес-идентификатор сетевого устройства (или его интерфейсов) в сетях Ethernet).

3. В случае развертывания «L3 VPN» сеть провайдера в глазах клиента выглядит подобно одному маршрутизатору с несколькими интерфейсами. Поэтому, стык локальной сети клиента с сетью провайдера происходит на уровне L3 сетевой модели OSI или TCP/IP.

Публичные IP-адреса для точек стыка сетей могут определяться по согласованию с провайдером (принадлежать клиенту либо быть полученными от провайдера). IP-адреса настраиваются клиентом на своих маршрутизаторах с обеих сторон (частные – со стороны своей локальной сети, публичные – со стороны провайдера), дальнейшую маршрутизацию пакетов данных обеспечивает провайдер. Технически, для реализации такого решения используется MPLS (см. выше), а также технологии GRE и IPSec.

Примечание: GRE – Generic Routing Encapsulation (протокол тунеллирования, упаковки сетевых пакетов, который позволяет установить защищенное логическое соединение между двумя конечными точками – с помощью инкапсуляции протоколов на сетевом уровне L3).

IPSec – IP Security (набор протоколов защиты данных, которые передаются с помощью IP. Используется подтверждение подлинности, шифрование и проверка целостности пакетов).

Важно понимать, что современная сетевая инфраструктура построена так, что клиент видит только ту ее часть, которая определена договором. Выделенные ресурсы (виртуальные серверы, маршрутизаторы, хранилища оперативных данных и резервного копирования), а также работающие программы и содержимое памяти полностью изолированы от других пользователей. Несколько физических серверов могут согласованно и одновременно работать для одного клиента, с точки зрения которого они будут выглядеть одним мощным серверным пулом. И наоборот, на одном физическом сервере могут быть одновременно созданы множество виртуальных машин (каждая будет выглядеть для пользователя подобно отдельному компьютеру с операционной системой). Кроме стандартных, предлагаются индивидуальные решения, которые также соответствует принятым требованиям относительно безопасности обработки и хранения данных клиента.

При этом, конфигурация развернутой в облаке сети «уровня L3» позволяет масштабирование до практически неограниченных размеров (по такому принципу построен Интернет и крупные дата-центры). Протоколы динамической маршрутизации, например OSPF, и другие в облачных сетях L3, позволяют выбрать кратчайшие пути маршрутизации пакетов данных, отправлять пакеты одновременно несколькими путями для наилучшей загрузки и расширения пропускной способности каналов.

В то же время, есть возможность развернуть виртуальную сеть и на «уровне L2», что типично для небольших дата-центров и устаревших (либо узко-специфических) приложений клиента. В некоторых таких случаях, применяют даже технологию «L2 over L3», чтобы обеспечить совместимость сетей и работоспособность приложений.

Подведем итоги

На сегодняшний день задачи пользователя/клиента в большинстве случаев могут быть эффективно решены путём организации виртуальных частных сетей VPN c использованием технологий GRE и IPSec для безопасности.

Нет особого смысла противопоставлять L2 и L3, равно как нет смысла считать предложение канала L2 лучшим решением для построения надёжной коммуникации в своей сети, панацеей. Современные каналы связи и оборудование провайдеров позволяют пропускать громадное количество информации, а многие выделенные каналы, арендуемые пользователями, на самом деле – даже недогружены. Разумно использовать L2 только в особенных случаях, когда этого требует специфика задачи, учитывать ограничения возможности будущего расширения такой сети и проконсультироваться со специалистом. С другой стороны, виртуальные сети L3 VPN, при прочих равных условиях, более универсальны и просты в эксплуатации.

В этом обзоре кратко перечислены современные типовые решения, которые используют при переносе локальной IT-инфраструктуры в удаленные центры обработки данных. Каждое из них имеет своего потребителя, достоинства и недостатки, правильность выбора решения зависит от конкретной задачи.

В реальной жизни, оба уровня сетевой модели L2 и L3 работают вместе, каждый отвечает за свою задачу и противопоставляя их в рекламе, провайдеры откровенно лукавят.

Ссылка на основную публикацию
Adblock detector