Ethan Frome

Komentarze

Transkrypt

Ethan Frome
Prof. dr hab. inż. Czesław Jędrzejek
Instytut Telekomunikacji, ATR Bydgoszcz
Instytut Technik Telekomunikacyjnych i Informatycznych, Poznań
mgr inż. Krzysztof Samp
Instytut Technik Telekomunikacyjnych i Informatycznych, Poznań
mgr inż. Andrzej Szwabe
Instytut Technik Telekomunikacyjnych i Informatycznych, Poznań
Protokół IP w szerokopasmowej sieci
dostępowej - aspekty techniczne i usługowe
STRESZCZENIE
Niniejszy artykuł ma charakter przeglądowy. Zostały w nim zaprezentowane sposoby przenoszenia protokołu IP w
szerokopasmowych sieciach dostępowych zbudowanych w oparciu o technologie: xDSL, HFC i LMDS. Ponadto
zostały omówione aspekty bezpieczeństwa i jakości usług, z których zapewnieniem protokół ten ma największe
problemy. W dalszej cześć został zaprezentowany sposób realizacji dostępu do usług opartych na sieci IP. Na
zakończenie zaprezentowano podsumowanie całego artykułu.
WSTĘP
Popularność Internetu oraz protokołu IP stale rośnie. Mówi się o tzw. „boomie” na pasmo
potrzebne do realizacji usług internetowych. Coraz większa liczba operatorów na świecie oraz w
Polsce (np. TP S.A.) buduje sieci szkieletowe działające w oparciu o protokół IP. Już obecnie
twierdzi się, że w wielu krajach ruch danych przekroczył w sensie wielkości ruch głosowy. Według
prognoz OVUM w Europie Zachodniej w roku 2005 ruch w sieci szkieletowej będzie wynosił 1700
Gb/s, z czego ruch głosowy będzie stanowić mniej niż 50 Gb/s [1]. Jeśli prognozy spełnią się,
operatorom może się nie opłacać utrzymywanie osobnej infrastruktury szkieletowej do
przenoszenia głosu. Stąd wynika pojawiające się zapotrzebowanie na sieci konwergentne
umożliwiające przenoszenie głosu i danych w jednej infrastrukturze.
Uzupełnieniem konwergentnych sieci szkieletowych będą z całą pewnością szerokopasmowe
sieci dostępowe. Zdaniem wielu ekspertów dochody z dostępu szerokopasmowego będą w
najbliższych latach stale rosnąć. Wydaje się, że dominującą technologią w zakresie dostępu
szerokopasmowego do sieci IP będą technologie: ADSL oraz dostęp przez modem kablowy.
Ponadto klientom biznesowym oferowany będzie dostęp na bazie technologii LMDS. Prognozę
przychodów z usługi dostępu szerokopasmowego z podziałem na poszczególne technologie
przedstawia Rys.1.
Dochód [mld USD]
14
12
10
Inne
8
DSL
6
Modem kablowy
Dial-up
4
2
0
1999
2000
2001
2002
2003
Rys.1. Dochód z dostępu szerokopasmowego [Źródło: Jupiter Communications]
W związku z tym, że dominującym protokołem w sieci szkieletowej jest (lub w najbliższym
czasie będzie) protokół IP, powstaje pytanie o sposób, w jaki można transmitować pakiety IP w
szerokopasmowej sieci dostępowej. W związku z tym, że na bazie protokołu IP będzie można
zaoferować całą gamę nowych usług, istotną kwestią jest sposób realizacji dostępu do tych usług.
Kolejnym problemem stojącym przed operatorem jest sposób zapewnienia bezpieczeństwa i jakości
dla usług realizowanych na bazie protokołu IP. Niniejszy artykuł przedstawia w jaki sposób
problemy te są rozwiązywane obecnie i w którym kierunku mogą ewoluować rozwiązania
producentów.
REALIZACJA PROTOKOŁU IP W SZEROKOPASMOWEJ SIECI
DOSTĘPOWEJ
Technologie takie jak xDSL, HFC, ATM-PON czy LMDS określają warstwę fizyczną sieci
dostępowej. W wyniku rozwoju Internetu znaczenie IP, protokołu warstwy sieci modelu OSI
znacznie wzrosło. Przy wykorzystaniu IP świadczyć można nie tylko usługę dostępu do Internetu,
ale i inne usługi (np. VPN, telefonia IP, wideo).
W szerokopasmowych sieciach dostępowych przesyłanie pakietów IP jest realizowane przy
wykorzystaniu technologii dostępowych: światłowodowych - ATM-PON, xDSL, HFC (modemy
kablowe niestandardowe, zgodne z DOCSIS lub z DVB/DAVIC), LMDS. Istnieje też możliwość
dostępu do Internetu poprzez prywatne sieci lokalne Ethernet (nazywane często sieciami
amatorskimi) połączone bezpośrednio do usługodawcy (tzw. Ethernet do domu - ETTH) poprzez
łącza dzierżawione.
Użytkownicy
Sieć
dostępow a
Punkty
dostępu
do usług
xDSL
DSLAM
ISP
Sieć
regionalna
ATM/IP
HFC
CM TS
ISP
LMDS
ISP
LMDS
BSC
Rys.2. Protokół IP w szerokopasmowej sieci dostępowej (różne realizacje)
Aktualnie największe znaczenie rynkowe mają technologie xDSL, HFC i LMDS (Rys. 2).
Sposób realizacji usług IP w sieciach ATM-PON sprowadza się do zagadnienia realizacji tychże
usług w sieci ATM doprowadzonej do użytkownika końcowego.
Realizacja protokołu IP w sieci xDSL
W sieciach xDSL przenoszących ruch IP (internetowy lub LAN) stosuje się w warstwie łącza
danych protokół PPP (IETF RFC 1661). W skład PPP wchodzi protokół kontroli łącza danych LCP
(ang. Link Control Protocol), który służy nawiązywaniu połączenia oraz jeden lub wiele
protokołów kontroli sieci NCP (ang. Network Control Protocol) służących przenoszeniu ruchu
danego protokołu warstwy sieci. W przypadku przenoszenia pakietów IP nad łączem PPP
protokołem takim jest IPCP (ang. IP Control Protocol) określony dokumentem IETF RFC 1332.
Istnieją różne modele dostarczania usług IP z wykorzystaniem technologii xDSL: model
dostarczania usług IP przy wykorzystaniu ATM, model wykorzystujący DSLAM jako przełącznik
w warstwie łącza danych, model warstwy sieciowej, model SVC-MPLS.
Model sieci ATM obejmującej swym zasięgiem użytkowników z jednej strony i punkty
dostępu do usług z drugiej to tzw. model ATM dostarczania usług IP. Funkcje adaptacyjne ATM
realizowane są w tym przypadku przez modem użytkownika, który połączony jest z multiplekserem
DSLAM połączeniem wykorzystującym warstwę ATM Adaptation Layer 5 (AAL5) i PPP w
warstwie łącza danych, przy pomocy którego przenoszone są pakiety IP. Sesje PPP zestawiane są
pomiędzy modemem użytkownika a serwerem PPP wyposażonym w interfejs ATM i znajdującym
się w punkcie dostępu do usług. Każdemu użytkownikowi przypisany jest odrębne połączenie PVC.
To nakłada duże wymagania na przełączniki ATM realizujące tak liczne połączenia wirtualne. Sieć
zgodna z modelem ATM nie wymaga użycia routerów. Pozwala też na świadczenie usług
bazujących na ATM. W przypadku realizowania gwarancji jakości usług przez sieć IP, z którą
połączona jest opisywana sieć ATM, można świadczyć usługi wymagające takich gwarancji
wykorzystując w tym celu mechanizmy ATM QoS. Istotną wadą opisywanego rozwiązania są
wysokie ceny kart sieciowych ATM oraz fakt, że producenci sprzętu ATM wycofują się z koncepcji
doprowadzenia sieci ATM do użytkownika.
W celu podniesienia efektywności struktury połączeń w sieci ATM stosuje się niekiedy
architekturę agregacji połączeń PVC. Polega ona na multipleksowaniu danych przesyłanych w
wielu połączeniach PVC przynależnym wielu użytkownikom do postaci nowych PVC łączących
punkt agregacji z punktami dostępu do usług (odrębne PVC dla każdego połączenia: punkt
agregacji - punkt dostępu do usługi). Inną koncepcją podniesienia efektywności działania sieci
ATM jest stosowanie techniki SVC pomiędzy użytkownikiem a routerem brzegowym, do którego
połączony jest DSLAM. W dalszej części sieci - łączącej router brzegowy z routerami będącymi
punktami dostępu do usług stosuje się technikę MPLS [2].
Kolejnym modelem sieci xDSL przenoszącej ruch IP jest taki, w którym DSLAM służy jako
przełącznik w warstwie łącza danych. Protokół PPP wykorzystywany jest w takim przypadku w
części sieci łączącej modem xDSL po stronie użytkownika (pełniący funkcję prostego routera) z
multiplekserem DSLAM. DSLAM wymienia dane z modemem i komunikuje się z punktami
dostepu do usług IP poprzez połączenia wirtualne PVC (ATM PVC lub Frame Relay PVC).
DSLAM wykonuje więc np. funkcje adaptacji pakietów IP w komórki ATM. W opisywanym
modelu DSLAM oprócz funkcji koncentracji może również pełnić funkcje warstwy sieciowej monitoruje ruch przepływający poprzez interfejs każdej linii xDSL aby identyfikować użytkownika,
realizować mechanizmy bezpieczeństwa i mechanizmy dynamicznego przyznawania adresów IP
przy pomocy protokołów DHCP. Są to funkcje pożądane w komercyjnych implementacjach.
Przedstawiony model ma m.in. taką zaletę, że sieć tego typu efektywniej używa zasobów sieci
WAN, z którą połączony jest DSLAM. Wymagana jest niewielka liczba połączeń PVC - w pewnym
uproszczeniu jest ona równa liczbie multiplekserów DSLAM pomnożonej przez liczbę punktów
dostępu do usług IP, w tym dostępu do Internetu (w odróżnieniu od modelu ATM dostarczania
usług IP, który wymaga odrębnego PVC dla każdego użytkownika).
W innym modelu - tzw. modelu warstwy sieci, DSLAM nie przełącza pakietów IP lecz
koncentruje je i przekazuje routerowi, który następnie kieruje je do odpowiednich routerów
stanowiących punkty dostępu do usług IP. Router, w którym następuje przekierowanie pakietów
pochodzących od wielu użytkowników może być połączony z routerami dostępu do usług przy
wykorzystaniu dowolnej techniki WAN. W przypadku, gdy jest to sieć ATM lub Frame Relay
liczba połączeń PVC jest znacznie mniejsza niż w modelu ATM dostarczania usług IP. W
najprostszym przypadku pojedynczego routera łączącego DSLAM z siecią WAN jest ona sumą
liczebności multiplekserów DSLAM w sieci oraz punktów dostępu do usług. Oznacza to
efektywniejsze wykorzystanie zasobów sieci WAN niż w modelu warstwy drugiej [3].
Realizacja protokołu IP w sieci telewizji kablowej
Usługi IP w sieciach dostępowych zbudowanych w technologii HFC realizowane są przy
pomocy modemów kablowych zgodnych ze standardem DOCSIS (lub z odmianą Euro-DOCSIS),
standardem DVB/DAVIC (modem zgodny z tą specyfikacją nazywany jest EuroModemem) lub są
niestandardowymi rozwiązaniami firmowymi (coraz rzadziej). Mimo, że technologia modemów
kablowych pozwala na uzyskanie wyższych przepływności niż w przypadku modemów xDSL,
potencjalny zakres stosowania kablowych rozwiązań IP jest mniejszy z racji specyfiki sieci
telewizji kablowej (użytkownikami są zwykle klienci mieszkaniowi). Dostawcami usług IP są
najczęściej sami operatorzy kablowi, a ich zakres rzadko wykracza poza dostęp do Internetu.
Realizacja przenoszenia ruchu internetowego w sieciach CATV zależy od przyjętego standardu
modemu kablowego (standardy nie są kompatybilne ze sobą). W przypadku modemów DOCSIS
warstwą łącza danych bezpośrednio realizującą przenoszenie pakietów warstwy sieciowej IP są: w
kierunku "w dół" - IEEE 802.2, w kierunku "w górę" - DOCSIS Media Access Control (odmiana
DOCSIS ukierunkowana na rynek europejski - EuroDOCSIS różni się od odmiany
północnoamerykańskiej jedynie w zakresie warstwy fizycznej).
DVB/DAVIC wykorzystuje w kierunku "w dół" ramkowanie strumienia transportowego
MPEG-TS. Pola użytkowe ramek MPEG-TS wykorzystywane są przez warstwę ATM, która
przenosi ruch warstwy sieciowej IP za pośrednictwem warstwy adaptacji AAL-5 [4].
Realizacja protokołu IP w szerokopasmowej sieci bezprzewodowej LMDS
Rozwiązania określane mianem LMDS nie doczekały się jeszcze standaryzacji (DAVIC
jedynie ją zapoczątkował [5]), ale wszystkie liczące się rozwiązania firmowe określane mianem
LMDS opierają się na technice ATM - szkielet sieci zbudowany jest przy wykorzystaniu
przełączników ATM a użytkownik dysponuje często interfejsem ATM-25 (opcjonalnie 10BaseT
lub T1/E1). Na technice ATM oparte są rozwiązania: OnDemand firmy Lucent Technologies,
Evolium firmy Alcatel, MINI-LINK BAS firmy Ericsson czy ANS firmy Marconi. Funkcje
zarządzania zasobami radiowymi, szczególnie skomplikowane w przypadku realizacji "pasma na
żądanie" realizowane są przy pomocy specjalnych protokołów zapewniających współpracę warstwy
fizycznej z mechanizmami ATM, takich jak np. protokół CellMAC. W zakresie realizacji usług IP
w systemach LMDS wykorzystuje się standardowe mechanizmy typu IP over ATM jak RFC 1483
[6] .
MECHANIZMY BEZPIECZEŃSTWA W DOSTĘPIE DO SIECI IP
Poważnym problemem w sieci IP jest zapewnienie bezpieczeństwa zarówno w sensie
poufności przesyłanej informacji, jak i kontroli dostępu do poszczególnych zasobów. Aspekty
poufności najczęściej rozwiązuje się poprzez mechanizmy szyfrowania i tunelowania. Najbardziej
popularne standardy, to IPSec, TLS i SSL, PPTP, L2F oraz L2TP. Należy jednak podkreślić, że z
punktu widzenia sieci dostępowej problem poufności występuje jedynie w tych realizacjach, gdzie
zachodzi współdzielenie medium, np. Ethernet. Obecnie mechanizmy szyfrowania i tunelowania są
najczęściej stosowane w sieciach telekomunikacyjnych z dostępem komutowanym, pomiędzy
punktem dostępowym (PoP) a adresem docelowym, a więc praktycznie poza siecią dostępową.
Jeśli chodzi o kontrolę dostępu do zasobów oraz uwierzytelnianie i autoryzację użytkowników,
to najczęściej stosowanym obecnie standardem jest protokół RADIUS.
IPSec
Protokół IPSec został zaprojektowany w celu łączenia sieci lokalnych poprzez Internet oraz dla
użytkowników zdalnie korzystających z zasobów sieci LAN za pomocą szyfrowanych kanałów. W
protokole tym definiuje się dwa rodzaje zarządzania kluczami szyfrującymi: Internet Key Exchange
(IKE) i Simple Key Exchange Internet Protocol (SKIP). Zdefiniowane są też dwie metody
bezpiecznej transmisji: Encapsulating Security Payload (ESP) i Authentication Header (AH). ESP
stosuje tunelowanie (proces szyfrowania polegający na szyfrowaniu całego pakietu i umieszczaniu
go w większym pakiecie w celu przesłania), podczas gdy metoda AH określa sposoby
uwierzytelniania przesyłanych danych. Mimo tego, że tunelowanie dodaje narzut dodatkowych
danych, które należy przesłać, warte jest stosowania, gdyż szyfrowanie znacznie zwiększa
bezpieczeństwo przesyłanych informacji. Rozwój protokołu jest oparty o specyfikację IPv6, ale
podstawowe funkcje zabezpieczające mogą być realizowane z wykorzystaniem obecnie używanego
protokołu IPv4. Formaty protokołów AH i ESP są niezależne dla algorytmów kryptograficznych.
Wymiana kluczy w Internecie (IKE) znana wcześniej jako protokół Internet Security
Association and Key Management zarządza transferem kluczy bezpieczeństwa pomiędzy
nadawcami i odbiorcami.
Standard IPSec został opracowany przez organizację IETF.
TLS i SSL
Protokół Transport Layer Security (TLS) opisany w RFC 2246 pozwala aplikacjom klientserwer komunikować się w sposób zapobiegający podsłuchiwaniu, manipulowaniu i fałszowaniu
wiadomości. Protokół składa się z dwóch warstw: TLS Record Protocol i TLS Handshake Protocol.
Protokół Record Protocol pobiera wiadomości do wysłania, dzieli dane na bloki łatwe do
zarządzania, opcjonalnie kompresuje dane, stosuje Hashed Message Authentication Code (HMAC),
a następnie szyfruje i przesyła wynik. Otrzymane dane są odszyfrowywane, weryfikowane,
dekompresowane, łączone i dostarczane klientom wyższych warstw. Protokół TLS Handshake
Protocol składa się z trzech podprotokołów służących stronom do uzgodnienia parametrów
bezpieczeństwa.
Protokół TLS stanowi ulepszenie Secure Sockets Layer (SSL) i ma go zastąpić w przyszłości.
SSL jest obecnie szeroko używany przez większość z przeglądarek WWW.
Bezpieczeństwo połączeń realizowane za pomocą protokołu TLS posiada trzy podstawowe
cechy:
• połączenie jest prywatne – szyfrowanie jest używane po zapoczątkowaniu transmisji (ang.
initial handshake), w trakcie którego uzgadniany jest klucz szyfrowania; do szyfrowania
danych używany jest klucz symetryczny;
• połączenie może być uwierzytelnione z użyciem kluczy asymetrycznych lub publicznych;
TLS/SSL pozwala na uwierzytelnianie zarówno serwera, jak i klienta;
• połączenie jest niezawodne – mechanizmy transportu wiadomości zawierają algorytmy
sprawdzania spójności za pomocą Message Authentication Code (MAC).
Point-to-Point Tunnelling Protocol (PPTP)
Protokół PPTP będący alternatywą dla IPSec pracuje w oparciu o serwery PPTP łączące
użytkowników w prywatnych sieciach wirtualnych. Protokół PPTP ustanawia bezpieczny kanał
pomiędzy klientem i serwerem za pomocą kapsułkowanych, szyfrowanych wiadomości zapisanych
wewnątrz pakietów TCP/IP. W obecnej chwili protokół ten jest głównie wykorzystywany w
środowiskach Windows.
Layer-2 Forwarding (L2F)
Mechanizm L2F (ang. Layer 2 Forwarding Protocol) jest protokołem warstwy łącza danych
stosowanym do realizowania dostępu do sieci VPN. Protokół ten koncentruje się na zapewnieniu
standardowych mechanizmów tunelowania dla transportu ramek warstwy łącza danych (np. HDLC,
asynchroniczny PPP, SLIP lub PPP ISDN). Dzięki zastosowaniu tego protokołu można oddzielić
lokalizację serwera dostępowego od lokalizacji docelowej danego połączenia oraz miejsca dostępu
do sieci. Protokół ten, wstępnie zaproponowany przez firmę Cisco, został zdefiniowany przez IETF
jako dokument RFC.
Tunele budowane przy pomocy mechanizmu L2F są zestawiane pomiędzy serwerem
dostępowym NAS (ang. Network Access Server) oraz urządzeniem docelowym HGW (ang. Home
Gateway). Serwer NAS znajduje się w sieci publicznej operatora, natomiast urządzenie HGW może
znajdować się w siedzibie firmy, do której użytkownicy zdalnie uzyskują dostęp.
Layer-2 Tunnelling Protocol (L2TP)
Protokół L2TP (ang. Layer 2 Tunelling Protocol) jest rozszerzeniem protokołu PPP. Został on
zestandaryzowany przez organizację IETF (RFC 2661). Jego funkcjonalność łączy cechy dwóch
protokołów: L2F (Cisco) oraz PPTP (Microsoft).
Wykorzystując mechanizm L2TP operator ISP może stworzyć wirtualny tunel w celu
połączenia zdalnych użytkowników z siecią korporacyjną. W tym celu w punkcie dostępowym POP
operatora należy zainstalować koncentrator dostępowy LAC (ang. L2TP Access Concentrator).
LAC jest odpowiednikiem serwera NAS w sieci, w której stosuje się mechanizm L2F. LAC
wymienia wiadomości z oddalonym użytkownikiem poprzez protokół PPP oraz komunikuje się z
serwerem L2TP w sieci korporacyjnej LNS (ang. L2TP Network Server) celem ustanowienia tunelu.
LNS jest odpowiednikiem HGW w sieci z tunelowaniem L2F. L2TP przekazuje pakiety poprzez
wirtualny tunel pomiędzy punktami końcowymi połączenia punkt-punkt. Ramki przychodzące od
zdalnego użytkownika są przyjmowane przez punkt POP operatora ISP, pozbawiane ramkowania i
bitów transparentnych, a następnie pakowane w ramki L2TP i przekazywane do odpowiedniego
tunelu. Węzeł korporacyjny po otrzymaniu tych ramek pozbawia je ramkowania L2TP i przekazuje
na odpowiednie interfejsy.
Protokół RADIUS
RADIUS (ang. Remote Authentication Dial-In User Service) jest protokołem realizacji tzw.
funkcji AAA opartym na modelu klient/server. Funkcje AAA to uwierzytelnianie (ang.
authentication), autoryzacja (ang. authorization) i naliczanie należności za świadczone usługi (ang.
accounting). Serwer RADIUS zawiera zcentralizowaną bazę danych o użytkownikach i usługach im
udostępnianych oraz pełni funkcje AAA dla klientów serwera RADIUS. Rozwiązanie oparte o
serwer RADIUS pozwala na oddzielenie funkcji AAA od funkcji transmisyjnych sieci [7].
RADIUS powstał w wyniku prac prowadzonych przez Lucent Technologies InterNetworking
Systems stanowiących kontynuację działań grupy roboczej IETF Network Access Server Working
Requirements Group. RADIUS został zestandaryzowany przez IETF jako środek zapewnienia
bezpieczeństwa dla dostępu wdzwanianego do sieci IP (RFC 2058).
REALIZACJA DOSTĘPU DO USŁUGI W SIECI IP
Istotnym wyborem dla operatora jest sposób realizacji wyboru usług IP (dostępu do serwerów
dostawców usług): poprzez połączenia PVC, SVC, z wykorzystaniem protokołu PPP lub poprzez
agregację typu PTA (ang. Remote Authentication Dial-In User Service).
Sposoby te mogą być realizowane przy wykorzystaniu bram wyboru usług (ang. Service
Selection Gateway). Zwykle brama wyboru usług może pełnić swe funkcje niezależnie od rodzaju
wykorzystywanej sieci dostępowej (dostęp wdzwaniany, ADSL, sieć kablowa, LMDS, sieć LAN).
Bierze ona udział w zestawianiu i zakończeniu połączeń użytkownika z punktami dostępu do usług
oraz w procesie naliczania należności za korzystanie z usług. W tym celu brama współpracuje z
modułem realizującym interfejs z użytkownikiem (np. dedykowanym serwerem WWW) oraz z
serwerem RADIUS. Rys. 3 przedstawia architekturę sieci, w której abonenci uzyskują dostęp do
usług poprzez bramę wyboru usługi.
Interfejs umożliwiający użytkownikowi wybór usług może mieć postać odpowiednio
skonfigurowanej strony WWW (zamieszczonej na serwerze WWW) współpracującej z bramą
wyboru usługi. W takim przypadku interfejs ten umożliwia użytkownikowi logowanie się, wybór
jednej lub więcej usług i wylogowanie się przy użyciu jedynie przeglądarki internetowej. Serwer
ten może być odrębnym serwerem (np. w przypadku bramy Cisco Service Selection Gateway i
współpracujacego z nią serwera Cisco Service Selection Dashboard) lub być zintegrowany z bramą
wyboru usług (np. w przypadku bramy Alcatel Data Aplication Network Adapter). Zaletą
rozwiązania typu Web Selection jest uniezależnienie mechanizmu wyboru usługi od platformy
systemowej wykorzystywanej
przeglądarek WWW).
przez
użytkownika
(dzięki
uniwersalności
mechanizmów
Użytkownicy
Usługi
Brama
wyboru
usługi
Sieć
dostępowa
U sługa 1
U sługa 1
U sługa 1
RADIUS
Rys.3. Dostęp do usług poprzez bramę wyboru usługi
Wyborowi pożądanej przez użytkownika usługi towarzyszy pobranie od użytkownika przez
moduł komunikujacy się z nim danych potrzebnych serwerowi RADIUS do przeprowadzenia
procedury uwierzytelnienia. Po jej pomyślnym przeprowadzeniu serwer WWW dostarcza
użytkownikowi listę dostępnych mu usług. Lista ta może być hierarchicznie uporządkowana a
towarzyszyć jej mogą inne, spersonifikowane informacje, np. dotyczące usług, które mogą być
dostępne użytkownikowi po odpowiedniej rejestracji.
Zwykle użytkownik dysponuje dostępem do uprzednio wybranej przez niego usługi do
momentu wylogowania się z usługi, wylogowania się z bramy dostepu do usług lub po upłynięciu
określonego w konfiguracji czasu braku aktywności użytkownika (ang. time out). Czas ten zwykle
określony jest w definicji profilu użytkownika lub profilu usług (przechowywanych w bazie danych
serwera RADIUS).
Brama wyboru usług informuje serwer RADIUS o tym, że użytkownik zalogował się lub
wylogował z bramy. Kiedy użytkownik otrzymuje dostęp do usługi brama wyboru usług wysyła do
serwera RADIUS komunikat o rozpoczęciu naliczania należności za korzystanie z niej, a kiedy
wylogowuje się - komunikat o zakończeniu naliczania [9].
Ponadto serwer RADIUS udostępnia funkcje zbierania informacji o wykorzystywanych przez
użytkownika usługach będące podstawą do określenia należności. Możliwe jest tworzenie przez
serwer RADIUS rekordów dotyczących obsługi użytkownika (ang. user account record) oraz
rekordów dotyczących korzystania z danej usługi (ang. service account record).
MECHANIZMY ZAPEWNIANIA JAKOŚCI USŁUG IP
Bardzo poważnym problemem w sieciach IP jest zapewnienie odpowiedniego poziomu jakości
usług. Pod pojęciem tym rozumie się zestaw funkcjonalności, które umożliwiają
zaimplementowanie zróżnicowanych usług dla ruchu sieciowego, tj. pozwalających obsługiwać w
określony sposób wybrany rodzaj ruchu. Np. przy pomocy mechanizmów QoS można zwiększyć
pasmo przeznaczone dla tzw. ruchu krytycznego, ograniczyć pasmo dla innych rodzajów ruchu, itd.
Pozwala to na efektywniejsze wykorzystanie połączeń sieciowych oraz zawieranie umów typu SLA
(ang. Service Level Agreement) z klientami sieci.
Implementacja jakości usług w ujęciu sieciowym generalnie polega na zdefiniowaniu
odpowiednich parametrów QoS na interfejsach poszczególnych urządzeń. Mechanizmy QoS
faktycznie zaczynają działać dopiero w momencie, gdy przenoszony ruch jest większy od
dostępnego pasma w sieci.
Proces zarządzania jakością usług można podzielić na następujące rodzaje działań: klasyfikacja
ruchu, zarządzanie kolejkami, kontrola przeciążeń, unikanie przeciążeń i sygnalizacja.
Klasyfikacja ruchu/Kolorowanie
Klasyfikacja ruchu jest z reguły realizowana w oparciu o tzw. proces kolorowania. Proces ten
jest cechą, która jeśli zostanie zastosowana do danego pakietu, sprawia, że jest on obsługiwany w
określony sposób w poszczególnych węzłach sieci. Mechanizm ten najczęściej opiera się na
wykorzystaniu pola IP Precedence w nagłówku pakietu IP. Takie mechanizmy jak WFQ i WRED
automatycznie rozpoznają wartość pola IP Precedence. Mechanizmy kolejkowania Priority queuing
oraz Custom queuing nie biorą automatycznie pod uwagę IP Precedence, dlatego aby uzyskać efekt
kolorowania należy zdefiniować odpowiednie mechanizmy na interfejsie wyjściowym rozpoznające
dany ruch i umieszczające go w odpowiedniej kolejce oraz zastosować politykę kolorowania na
interfejsie wejściowym.
Zarządzanie kolejkami
Techniki kolejkowania są stosowane na interfejsie wyjściowym danego urządzenia w celu
zarządzania sposobem wysyłania pakietów poprzez ten interfejs. Mechanizmy te są przede
wszystkim stosowane w przypadku przeciążenia ruchu na danym interfejsie. Można dzięki nim
określić priorytet wysyłania pakietów w momencie, gdy nie mogą być one wysłane natychmiast.
Rozróżnia się następujące mechanizmy kolejkowania:
• First In First Out (FIFO) – podstawowy mechanizm „store and forward”
• Priority Queuing (PQ) – podstawowe nadawanie priorytetów
• Custom Queuing (CQ) – zaawansowane nadawanie priorytetów
• Weighted Fair Queuing (WFQ) – inteligentne nadawanie priorytetów
• Class-Based Weighted Fair Queuing (CBWFQ) – zmodyfikowane WFQ
• Weighted Round Robin (WRR) – oparte na mechanizmie Round Robin
Jednym z częściej stosowanych mechanizmów kolejkowania jest WFQ. Jego działanie opiera
się na strumieniach. Mechanizm WFQ wykonuje jednocześnie 2 operacje: z jednej strony przesuwa
ruch interaktywny (czasu rzeczywistego) do początku kolejki, a z drugiej sprawiedliwie (ang. fairly)
dzieli pozostające pasmo pomiędzy strumienie zajmujące duże pasmo. Mechanizm ten potrafi
rozpoznawać pole IP Precedence nagłówka pakietu IP [10].
Modyfikacją WFQ oraz CQ jest mechanizm CBWFQ. Wykorzystuje on przetwarzanie WFQ w
celu nadania większej wagi ruchowi o wyższym priorytecie, ale wagi są opracowywane na
podstawie klas stworzonych dla danego interfejsu. Istnieje możliwość zdefiniowana 64 klas na
jednym interfejsie.
Mechanizmy kształtowania i ograniczania ruchu
Mechanizmy dostosowywania („kształtowania”) i ograniczania ruchu są stosowane w celu
określenia jaka ilość dostępnego pasma na interfejsie powinna być zaalokowana dla danego
strumienia ruchu. Mechanizmy te mogą bazować na różnych parametrach ruchu np. rodzaj, adres
źródłowy, adres docelowy, IP Precedence (kolor ruchu). Proces kształtowania ruchu natomiast
polega na ograniczaniu ruchu w momencie, gdy przekracza on dopuszczalny limit. Router buforuje
nadmiarowy ruch, w momencie przepełnienia buforów, pakiety są usuwane. W przypadku
mechanizmu ograniczania, usuwane są wszystkie pakiety nadmiarowe.
Do głównych mechanizmów kształtowania ruchu stosowanych np. w rozwiązaniach firmy
Cisco, można zaliczyć:
• Generic Traffic Shaping (GTS) – kontrola ruchu na interfejsach innych niż Frame Relay
• Committed Access Rate (CAR) – kontrola ruchu na zadanym poziomie
Pierwszy z tych mechanizmów z reguły odrzuca nadmiarowy ruch lub nadaje mu niższy
priorytet, natomiast w drugim z mechanizmów nadmiarowy ruch jest najczęściej opóźniany przy
użyciu buforów lub mechanizmów kolejkowania, a następnie wysyłany zgodnie z określoną
polityką.
Mechanizm CAR pozwala klasyfikować ruch na danym interfejsie oraz stosować wobec niego
odpowiednią politykę m.in. ograniczania pasma. Dzięki niemu możliwe jest przesłanie ruchu, który
spełnia określone wcześniej parametry oraz odrzucenie lub zmianę priorytetu dla ruchu
przekraczającego dane wymagania.
Funkcja ograniczenia pasma daje następujące możliwości:
• kontrola maksymalnej przepływności wysyłanego lub otrzymywanego ruchu na danym
interfejsie
• definiowanie ograniczeń na pasmo w warstwie 3 modelu OSI oraz określenie sposobu obsługi
ruchu, gdy przekracza on określone granice
Mechanizmy unikania przeciążeń
W urządzeniach sieciowych stosuje się również mechanizmy unikania przeciążeń. Jednym z
nich jest WRED (ang. Weighted Random Early Detection). Polega on na tym, że dla danego
interfejsu ustawia się pewien poziom przepływności (odpowiednio mniejszy od całego dostępnego
pasma). W momencie, gdy ruch przekroczy ten poziom, interfejs zaczyna usuwać pakiety z
wybranych strumieni. Jeśli usuwane są pakiety TCP, ich źródło może ograniczyć pasmo
wysyłanego strumienia. W celu określenia, które pakiety należy usunąć, WRED może brać pod
uwagę następujące fakty:
• strumienie RSVP mają wyższy priorytet niż inne strumienie
• pole IP Precedence nagłówka pakietu IP – pakiety z większą wartością są usuwane z mniejszym
prawdopodobieństwem
• ilość pasma wykorzystywanego przez dany strumień ruchu – pakiety należące do strumienia
zajmującego większe pasmo są usuwane z większym prawdopodobieństwem
• współczynnik wagowy zdefiniowany dla danego interfejsu – decyduje jak często pakiety są
usuwane
Wadą tego mechanizmu jest to, że jedynie sieci działające w oparciu o protokoły TCP/IP mogą
z niego korzystać. Protokoły UDP lub Netware nie potrafią ograniczyć wysyłanego strumienia pod
wpływem informacji o usuwaniu pakietów.
PODSUMOWANIE
Rola protokołu IP w sieciach telekomunikacyjnych stale rośnie. Operatorzy coraz poważniej
podchodzą do koncepcji tworzenia usług z wartością dodaną na podstawie tego protokołu.
Przenoszenie protokołu IP w szerokopasmowych sieciach dostępowych jest już realizowane. Warto
zwrócić jednak uwagę, że zarówno w sieciach zbudowanych w technologii ADSL jak i LMDS,
protokół IP jest przenoszony przy pomocy technologii ATM. Jedynie w sieciach kablowych
zgodnych z DOCSIS pakiety protokołu IP są transportowane bez pośrednictwa ATM, co wynika z
decyzji podjętych przez MCNS w ramach wypracowywania standardu DOCSIS.
Poważnym problemem w sieciach IP jest bezpieczeństwo i jakość usług. Na rynku są już
obecne produkty rozwiązujące te problemy. Z drugiej strony jednak brakuje jednolitych standardów
w tym zakresie. Ponadto, zapewnianie jakości usług jest niemożliwe do zrealizowania w sieciach
heterogenicznych (zarządzanych przez więcej niż jednego operatora).
Jeśli chodzi o sposób realizacji dostępu do usługi (proces wyboru usługi), to przedstawione w
niniejszym artykule rozwiązanie jest jedynie propozycją opracowaną na podstawie różnych
rozwiązań proponowanych przez dostawców. W tej dziedzinie również brakuje ogólnie przyjętych
standardów. Można z całą pewnością powiedzieć, że systemy wyboru usługi znajdują się dopiero w
początkowej fazie swojego rozwoju. Świadczy o tym fakt, że obecnie żaden z większych
operatorów na świecie nie wdrożył tego typu usługi.
Podsumowując, zdaniem autorów protokół IP będzie stanowił podstawę realizacji przyszłych
usług z wartością dodaną. W najbliższym czasie należy spodziewać się, że większość dostawców
zaoferuje systemy umożliwiające dostęp do usług IP, a operatorzy zaczną modyfikować swoje sieci,
tak żeby były zdolne przenosić nowe usługi.
BIBLIOGRAFIA
[1] “The Internet Telephony Report”, OVUM, September 1999
[2] C. Yager, “Cisco ADSL Services Architecture “,
http://www.cisco.com/warp/public/cc/so/neso/dsso/global/adsl_wp.htm, 2000
[3] “The DSL Source Book”, Paradyne, 1999
[4] H. Barton, “DOCSIS MCNS vs DVB/DAVIC DVB-RCC”, Broadcentric Ltd, 1999
[5] “Delivery System Architecture And Interfaces”, DAVIC 1.4 Specification Part 4, 1998
[6] “Multiprotocol Encapsulation over ATM Adaptation Layer 5”, IETF, RFC 1483, 1993
[7] “Remote Authentication Dial In User Service”, IETF RFC 2138, 1997
[8] “Broadband Remote Access Services Using ADSL and DANA Technologies”,
www.alcatel.com/telecom/asd/keytech/adsl/adsl/central/dana/, 2000
[9] “Remote Authentication Dial In User Service Accounting”, IETF RFC 2139, 1997
[10] C. Huitema, “Routing in the Internet”, Prentice-Hall, 2000

Podobne dokumenty