3. Организация прозрачного транзита трафика ведомственных НОТС через магистральное ядро НОТС ЮФО

Задача организации прозрачного подключения сетей научно-образовательных организаций ЮФО (далее - клиентских сетей) к соответствующим российским НОТС (RBNet, RUNNet, RASNet, FREENet и др.) через магистральную сеть РГУ (включающую магистральное ядро НОТС ЮФО) заключается в том, что необходимо организовать передачу трафика клиентов в соответствии с двумя следующими требованиями. Во-первых, клиенты, подключенные к сети РГУ, должны работать так, как они работали, если бы были подключены непосредственно к соответствующей ведомственной НОТС (включая гарантированное использование доли оплаченной ведомственной НОТС емкости внешнего канала). А во-вторых, обмен данными сетей различных клиентов сети РГУ с сетями других клиентов, самой сетью РГУ, а также с сетями операторов, с которыми у РГУ имеется договоренность о локальном обмене трафиком, должен осуществляться через сеть РГУ, а не через внешние сети.

При организации подключения к сети РГУ сетей клиентов необходимо учитывать, что эти сети могут быть достаточно крупными и иметь собственную автономную систему (AS) и резервные каналы. Ввиду этого можно говорить, что задача такого подключения клиентов фактически состоит из двух частей. Во-первых, необходимо организовать передачу пакетов в соответствии с указанными выше правилами, а во-вторых, необходимо обеспечить корректную передачу информации различных протоколов управления маршрутизацией, таких как BGP, OSPF и др., опять же, в соответствии с описанными требованиями.

Фактически, можно говорить о том, что требуется некая виртуализация сети РГУ с организацией обмена некоторыми видами трафика между различными виртуальными сетями. При разработке протокола IP такая виртуализация никогда не принималась во внимание, поэтому полностью адекватные требуемой задаче возможности непосредственно в протоколе IP просто отсутствуют.

В настоящее время в РГУ для решения задачи подключения клиентов с соблюдением указанных выше требований проведено успешное исследование и тестирование технологии BGP/MPLS VPN [7]. Полученные результаты позволяют говорить о том, что задача в, описанной постановке, может быть полностью решена средствами данной технологии. Как известно, в технологии MPLS каждому IP пакету приписывается одна или несколько меток. Если к одному пакету приписано несколько меток, то они образуют стек. Маршрутизаторы, работающие с помеченными пакетами, принимают решение о том, что делать с пакетом не на основе анализа IP заголовка, что применяется в обычной IP маршрутизации, а на основе поиска в таблице меток записи, соответствующей самой верхней метке пакета. Такой подход, помимо ускорения процесса маршрутизации пакетов, позволяет полностью виртуализировать процесс пересылки пакетов по MPLS сети. Действительно, путь следования пакетов через сеть определяется меткой и не зависит от содержимого классических таблиц маршрутизации и заголовков пакета. При этом правило назначения метки клиентской сети задается только в точке подключения этой сети к сети РГУ (на соответствующем внешнем маршрутизаторе).

В случае применения классической IP маршрутизации для обеспечения аналогичного способа пересылки пакетов необходимо настраивать на маршрутизаторах средства так называемого policy-routing'a. При использовании policy-routing'а маршрут выбирается не по адресу получателя пакета, а по адресу его отправителя. Ключевым отличием данного подхода от подхода, предлагаемого в технологии MPLS, является тот факт, что правила policy-routing'а необходимо прописывать на всех маршрутизаторах, которые могут встретиться на пути пакетов. Помимо высокой трудоемкости это может приводить к появлению трудно обнаружимых ошибок и повышает нагрузку на маршрутизаторы. Таким образом, применение технологии MPLS позволяет легко и элегантно решить первую часть поставленной задачи, а именно, обеспечить передачу пакетов в соответствии с первым требованием.

Решение второй части поставленной задачи с помощью BGP/MPLS VPN также оказалось возможным, так как, в соответствии с данной технологией, в пограничных маршрутизаторах существует не одна, а сразу несколько таблиц маршрутизации. Под пограничными маршрутизаторами, в рамках рассматриваемой задачи, понимаются те устройства, к которым подключено оборудование клиентов или оборудование внешних сетей. Заметим, что внутренним маршрутизаторам сети РГУ не нужна информация протоколов маршрутизации, пересылаемая между научно-образовательной сетью и клиентами, подключенными к сети РГУ. В то же время, пограничные маршрутизаторы должны обмениваться этой информацией, чтобы обеспечить ее пересылку между сетями клиентов и научно-образовательными сетями и чтобы определять на какой именно пограничный маршрутизатор сети нужно отправлять поступающие пакеты. Однако в различных таблицах маршрутизации могут содержаться различные маршруты для одинаковых сетей. Для того чтобы различать маршруты, относящиеся к различным таблицам маршрутизации, с каждой таблицей связывается уникальный в пределах всей сети идентификатор - 8-ми байтовый Route Distinguisher (RD). В соответствии с технологией BGP/MPLS VPN между пограничными маршрутизаторами сети запускается обмен маршрутизационной информацией по протоколу BGP, с использованием многопротокольных расширений BGP [8]. Данные расширения протокола BGP позволяют передавать маршруты, относящиеся к различным "семействам адресов". Технология BGP/MPLS VPN вводит понятие семейства адресов VPN-IPv4. Адрес в данном семействе состоит из 12 байт, при этом в первых 8 байтах хранится RD, а оставшиеся 4 байта содержат собственно IP адрес. В результате, даже одинаковые адреса, относящиеся к различным RD, перестают совпадать, что позволяет передавать их между маршрутизаторами с использованием протокола BGP. Таким образом, на пограничных устройствах может существовать несколько независимых таблиц маршрутизации, которыми пограничные устройства могут обмениваться между собой. Так как на одном пограничном устройстве существует нескольких таблиц маршрутизации, то необходим некоторый механизм, который позволит определить, к какой из них относятся поступающие на маршрутизатор пакеты. Для пакетов, поступающих со стороны клиентов или со стороны научно-образовательных сетей, такое соответствие задается в конфигурации устройств, так как одному подключению может соответствовать только одна таблица, что является вполне естественным требованием. Однако, пакеты, поступающие со стороны MPLS сети, могут относиться к различным таблицам. Для решения этой проблемы каждая запись в таблицах маршрутизации, распространяемых между пограничными устройствами, дополняется специальным атрибутом "Target VPN". В данный атрибут записывается идентификатор таблицы маршрутизации, к которой относится маршрут. Когда пакет поступает в MPLS сеть от клиента или от научно-образовательной сети пограничное устройство выполняет поиск маршрута в соответствующей таблице маршрутизации и размещает атрибут "Target VPN" в MPLS метке. Затем в стек меток записывается еще одна метка, определяющая путь пакета через MPLS сеть к точке его выхода из нее. Верхняя метка используется внутренними маршрутизаторами для пересылки пакета, а нижняя как раз и позволяет пограничному устройству на точке выхода определить таблицу маршрутизации, к которой относится поступивший со стороны MPLS сети пакет.

Как можно видеть, применение технология BGP/MPLS VPN в магистральном коммуникационном ядре НОТС ЮФО действительно позволяет обеспечить создание на его базе виртуальных магистральных участков различных ведомственных НОТС, что позволяет добиться существенной экономии затрат на создание региональных сегментов таких НОТС.

Следует отметить, что применение технологии BGP/MPLS VPN предъявляет определенные требования к применяемым коммуникационным устройствам. В частности требуется, чтобы обеспечивалась передача пакетов с увеличенной по отношении к стандартной (1500 байт) максимальной длиной пакета (MTU - maximal transfer unit) до 1530 байт. При этом дополнительные байты используются для передачи меток протокола MPLS. Основное коммуникационное оборудование, применяемое в основных магистральных узлах коммуникационного ядра НОТС ЮФО (маршрутизаторы серий Cisco 3640, 3660 и 3745 и коммутаторы серий Cisco Catalyst 2924 и 3550-24) обеспечивает передачу пакетов требуемой длины. Следует, однако, отметить, что применяемые в некоторых коммуникационных узлах коммутаторы Cisco Catalyst серии 2950-24 обеспечивают лишь MTU равный 1522 байт. Поэтому для обеспечения прохождения через эти узлы виртуальных магистральных каналов тех или иных ведомственных НОТС указанные коммутаторы должны быть заменены на коммутаторы других серий, обеспечивающих выполнение указанного выше требования. Поскольку технологии, рассмотренные в настоящем разделе, работают на уровне сетевого протокола IP, предложенные решения могут быть использованы для ядра межведомственной сети, построенного с применением различных технологий физического уровня, используемых для организации конкретных каналов, соединяющих различные коммуникационные узлы ядра. Это означает, что размеры этого ядра в общем случае нисколько не ограничены границами городской сети; в общем случае ядро может быть междугородним.