Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

234
Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС
передать на противоположную сторону). Другими словами, обработка пришедших на L2–Eth-интерфейс IP- датаграмм заканчивается их обработкой службами (DHCP, DNS, SNTP и пр.) или сервисами (PING, ARP и т.д.)
БВМ изделия.
Особенности работы физических L2- и L3-интерфейсов изделия
Представленная на Рис. В.2 схема иллюстрирует особенности работы сетевых физических интерфейсов типа
L2–Eth и Ethernet, знать которые полезно при планировании применения изделий в составе ЗСПД.
Службы (сервисы)
L2-Eth
Внутренний интерфейс
L3
L2
Маршрутизатор внутренний
Локальное изделие
L3
L3
Ethernet
L2-TNL
TNL
L2
Да/L3
Нет/Сброс
L2
Вход
Ethernet
Выход
Выход
Вход
В канал связи
К ЛВС
IP?
ARP?
Маршрутизатор наружный
Выход
Вход
К ЛВС
Шифратор
Решение?
Рис. В.2 Схема обработки трафиков сетевыми физическими интерфейсами типа L2–Eth и Ethernet
L2–Eth-интерфейс. При настройке L2–Eth-интерфейса может быть включена функция частичной поддержки обмена IP-датаграммами на L3-уровне (см. раздел 2.3.2, с. 33), работу которой поясняет схема на Рис. В.2.
Примечание. Напомним, что заголовок Ethernet-кадра содержит поле Тип данных, содержимое которого определяет
тип транспортируемых этим
Ethernet-кадром инкапсулируемых в кадр данных. Если поле Тип данных содержит значение 0x0806, то
Ethernet-кадр транспортирует данные, обрабатываемые с помощью ARP-протокола. Если поле
Тип данных содержит значение 0x0800, то Ethernet-кадр транспортирует данные, обрабатываемые с помощью IP-протокола – IP-датаграммы.
Принимаемый L2–Eth-интерфейсом из защищаемой ЛВС Пользователя входящий трафик Ethernet-кадров проверяется интерфейсом на корректность формата и отсутствие искажений при передаче по каналу ЛВС.
Далее программой управления работой L2–Eth-интерфейса принимается решение (см. Рис. В.2) о дальнейшем использовании принятого Ethernet-кадра:
1. Если MAC-адрес получателя (см. раздел 2.4.1, с. 36) у принятого Ethernet-кадра представляет собой специальный широковещательный адрес (MAC-адрес равен значению: ff:ff:ff:ff:ff:ff), то:
 если Ethernet-кадр не транспортирует пакет, обрабатываемый с помощью ARP-протокола (поле Тип данных не содержит значение 0x0806), Ethernet-кадр направляется в связанный с L2–Eth-интерфейсом соответствующий L2–TNL-интерфейс и обработка кадра продолжается на L2-уровне;
 если Ethernet-кадр транспортирует пакет, обрабатываемый с помощью ARP-протокола (поле Тип данных содержит значение 0x0806), то:
- если MAC-адрес получателя принятого Ethernet-кадра не совпадает с MAC-адресом
L2–Eth-интерфейса (т.е. имеет место случай транзита кадра), Ethernet-кадр направляется в связанный с L2–Eth-интерфейсом соответствующий L2–TNL-интерфейс и обработка кадра продолжается на L2-уровне;
- если MAC-адрес получателя принятого Ethernet-кадра совпадает с MAC-адресом
L2–Eth-интерфейса (т.е. имеет место случай, когда кадр уже доставлен по сети получателю), то транспортируемый Ethernet-кадром ARP-запрос извлекаются из него и направляются на обработку блоком внутренней маршрутизации (БВМ) изделия на L3- уровне; БВМ через внутренний интерфейс маршрутизатора отправляет ARP-запрос на обработку собственным сервисам; результаты обработки (например, пакеты Eho-
replay в ответ на запросы Eho-request) маршрутизируются БВМ назад в тот L2–
Eth-интерфейс, по которому пришел запрос на обслуживание.
2. Если MAC-адрес получателя принятого Ethernet-кадра не представляет собой unicast-адрес, то:

Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС 235
 если MAC-адрес получателя принятого Ethernet-кадра не совпадает с MAC-адресом L2–Eth-интерфейса
(т.е. имеет место случай транзита кадра), Ethernet-кадр направляется в связанный с L2–Eth-интерфейсом соответствующий L2–TNL-интерфейс и обработка кадра продолжается на L2-уровне;
 если MAC-адрес получателя принятого Ethernet-кадра совпадает с MAC-адресом L2–Eth-интерфейса (т.е. кадр доставлен по сети получателю), содержимое Ethernet-кадра извлекаются из него и направляются на обработку блоком внутренней маршрутизации (БВМ) изделия на L3-уровне.
3. Если MAC-адрес получателя принятого Ethernet-кадра представляет собой unicast-адрес, то:
 если MAC-адрес получателя принятого Ethernet-кадра не совпадает с MAC-адресом L2–Eth-интерфейса
(т.е. имеет место случай транзита кадра), Ethernet-кадр направляется в связанный с L2–Eth-интерфейсом соответствующий L2–TNL-интерфейс и обработка кадра продолжается на L2-уровне;
 если MAC-адрес получателя принятого Ethernet-кадра совпадает с MAC-адресом L2–Eth-интерфейса (т.е. кадр доставлен по сети получателю), содержимое Ethernet-кадра извлекаются из него и направляются на обработку блоком внутренней маршрутизации (БВМ) изделия на L3-уровне.
Попавшие из принятого L2–Eth-интерфейсом на обработку L3-уровнем извлеченные из Ethernet-кадров IP- датаграммы попадают в БВМ изделия, который через внутренний интерфейс маршрутизатора отправляет их на обработку собственным службам или сервисам. Результаты обработки (например, пакеты Eho-replay в ответ на запросы Eho-request) маршрутизируются БВМ назад в тот L2–Eth-интерфейс, по которому пришел запрос на обслуживание. L2–Eth-интерфейс инкапсулирует сформированные службами (сервисами) ответные
IP-датаграммы в соответствующие Ethernet-кадры и передает в ЛВС Пользователя для рабочей станции- получателя, выдавшей запрос на обслуживание. Подчеркнем, что эта ветвь алгоритма обработки работает только в том случае, когда включена частичная поддержка L2–Eth-интерфейсом обмена IP-датаграммами на L3- уровне. Частичной поддержка обработки на L3-уровне L2–Eth-интерфейсом является потому, что IP- датаграммы, пришедшие на обработку из этого интерфейса, не могут быть переданы (промаршрутизированы) на удаленную сторону, поддержка L3-уровня ограничивается обработкой IP-датаграмм службами или сервисами БВМ изделия.
Таким образом, в силу того, что L2–Eth-интерфейс может поддерживать частичный обмен IP-датаграммами на
L3-уровне, абонентам ЛВС Пользователя на L2-уровне становятся доступны возможности, предоставляемые службами и сервисами БВМ изделия.
Каждый из Ethernet-кадров, поступивший из ЛВС Пользователя на L2–Eth-интерфейс и направленный программой управления в связанный при настройке с данным L2–Eth-интерфейсом L2–TNL-интерфейс подвергается стандартным для криптотуннелей описанным ранее преобразованиям в шифраторе изделия. Далее он поступает на БНМ изделия, где маршрутизируется в нужный Ethernet-интерфейс, упаковывается в транспортную IP-датаграмму и отправляется адресату через сеть общего пользования.
Примечание. Приведенный порядок обработки трафика L2–Eth-интерфейсом справедлив для одиночных Ethernet-кадров. При реализации алгоритма аппаратного фрагментирования- слияния Ethernet-кадров картина выглядит несколько иначе, но общий порядок обработки трафика сохраняется.
Ethernet-интерфейс. Ethernet-интерфейсы изделия обеспечивают полнофункциональную обработку IP-
датаграмм на L3-уровне, порядок которой поясняет схема на Рис. В.2.
Принимаемый Ethernet-интерфейсом из защищаемой ЛВС Пользователя трафик Ethernet-кадров проверяется интерфейсом на корректность формата и отсутствие искажений при передаче по каналу ЛВС. У принятых интерфейсом прошедших контроль Ethernet-кадров отбрасываются выполнившие свою транспортную функцию заголовки и контрольные суммы из состава фрейма L2-уровня.
Далее анализируется поле Тип данных Ethernet-кадра: если значение поля равно 0x0806 (Ethernet-кадр транспортирует ARP-пакет) или 0x0800 (Ethernet-кадр транспортирует IP-пакет), то выполняется дальнейшая обработка Ethernet-кадра; при прочих значениях поля Тип данных Ethernet-кадр считается ошибочным, он бракуется и его обработка Ethernet-интерфейсом изделия прекращается.
Если Ethernet-кадр транспортирует IP-пакет или ARP-пакет, пакет извлекается из выполнившего транспортную функцию Ethernet-кадра и отправляется на маршрутизацию в маршрутизатор изделия, к которому относится принявший кадр Ethernet-интерфейс (на схеме Рис. В.2 – БВМ). ARP-пакет через внутренний интерфейс соответствующего маршрутизатора попадает на обработку соответствующим сервисом маршрутизатора.
После маршрутизации подлежащая передаче удаленному получателю IP-датаграмма, подвергаясь необходимым преобразованиям шифратором, упаковывается в криптотуннель, инкапсулируется в транспортную IP- датаграмму и передается в соответствующий Ethernet-интерфейс маршрутизатора изделия для отправки в сеть.
Исключение составляют только IP-датаграммы, перенаправляемые маршрутизатором через собственный
внутренний интерфейс соответствующим службам (сервисам) маршрутизатора.
Таким образом, особенностью обработки IP-датаграмм является то, что из всего потока информации, поступившей из сети на Ethernet-интерфейс изделия, на обработку маршрутизатором, выполняемую на L3- уровне, попадают только IP-пакеты или ARP-пакеты. Ethernet-кадры, поступившие на вход физического

236
Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС
Ethernet-интерфейса изделия, транспортирующие информацию, не являющуюся датаграммой, обрабатываемой протоколами IP или ARP, изделием игнорируются.
Фрагментирование-слияние Ethernet-кадров при обмене на L2-уровне. При обработке трафика, поступающего на вход сетевых физических интерфейсов изделия, работающих по технологии Ethernet, необходимо учитывать следующее:
- на обработку и коротких, и длинных Ethernet-кадров, поступающих из сети, изделием затрачивается примерно одинаковое время, поэтому при обработке трафика коротких Ethernet-кадров эффективная пропускная способность интерфейсов изделия заметно снижается;
- работающие по технологии Ethernet сетевых физические интерфейсы изделия не могут работать ни на прием, ни на передачу с Ethernet-кадрами, длина которых превышает 2 Кбайта.
При этом Пользователю необходимы характеристики изделия, обеспечивающие при обмене на L2-уровне высокую эффективную пропускную способность как при обработке длинных, так и при обработке коротких
Ethernet-кадров. Кроме того, изделия должны обрабатывать джамбо-фреймы (jumbo frame) – Ethernet-кадры, длина которых существенно превышает определяемые ограничениями Ethernet-технологии пороговые 2 Кбайта.
Указанные требования обработки трафика Ethernet-кадров могут быть обеспечены изделием в двух вариантах – на программном и на аппаратном уровнях.
На программном уровне принятое из сети L2–Eth-интерфейсом множество коротких Ethernet-кадров, прежде чем быть переданными в тракт дальнейшей обработки изделием (зашифрование, маршрутизация, инкапсуляция и пр.), упаковываются в один, называемый контейнером. Далее контейнер обрабатывается локальным изделием как один Ethernet-кадр, через сети общего пользования передается на удаленное изделие, где проходит необходимую обработку, распаковывается, и из него извлекается множество исходных коротких
Ethernet-кадров, которые передаются получателям в ЛВС Пользователя. В результате производительность тракта передачи данных возрастает в разы.
Отметим, что на программном уровне реализуется только одна из функций алгоритма – слияние.
Для реализации алгоритма фрагментирования-слияния Ethernet-кадров на программном уровне следует при настройке физического L2–Eth-интерфейса (см. раздел 2.3.2, с. 33, Рис. 2.15) параметру Слияние (см. Рис.
2.15, с. 33) присвоить значение ПРОГР.
На аппаратном уровне выполняются обе функции алгоритма фрагментирования-слияния Ethernet-кадров.
Причем их реализация осуществляется до передачи адаптером полученного из сети обработанного трафика в шину УВП БВМ, что дополнительно сокращает время обработки очередной порции сетевого трафика как на локальном изделии, так и на удаленном.
Аппаратурой Ethernet-адаптера выполняется следующее:
- если на вход L2–Eth-интерфейса из сети поступают короткие Ethernet-кадры, они накапливаются и упаковываются в контейнер, который по заполнении передается адаптером в шину УВП БВМ;
Примечание. Длина Ethernet-кадра, по сравнению с которой пришедший из сети кадр считается программой управления коротким, регулируется при настройке L2–Eth-интерфейса (см. раздел 2.3.2, с. 33, Рис. 2.15).
- если на вход L2–Eth-интерфейса из сети поступает Ethernet-кадр, длина которого превышает значение установленного для интерфейса MTU (Maximum-Transmission-Unit) – jumbo-фрейм – аппаратура Ethernet- адаптера нарезает этот гигантский кадр на фрагменты, помещаемые в контейнер, длина которого не превышает значения MTU интерфейса, после чего контейнеры передаются на шину УВП БВМ.
Пройдя необходимые стадии обработки на локальном изделии, контейнеры, наполненные короткими Ethernet- кадрами или фрагментами jumbo-фреймов передаются на удаленное изделие, где в результате необходимых обратных преобразований из контейнеров будут извлечены и направлены получателям исходные короткие
Ethernet-кадры или фрагменты, из которых будет восстановлен исходный jumbo-фрейм.
Для реализации алгоритма фрагментирования-слияния Ethernet-кадров на аппаратном уровне следует при настройке физического L2–Eth-интерфейса (см. раздел 2.3.2, с. 33, Рис. 2.15) параметру Слияние (см. Рис.
2.15, с. 33) присвоить значение

Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС 237
потоком Ethernet-кадров: изделие сообщает в сеть как о своей перегруженности по приему, так и реагирует на сигналы о перегруженности из сети при передаче трафика.
Собственно функционирование механизма управления потоком реализуется аппаратными средствами Ethernet- адаптера соответствующего физического интерфейса изделия, программа управления лишь подает команды на включение или выключение работы этого механизма. При включенном механизме в случае, когда изделие, принимая трафик, не справляется с обработкой поступающего из сети потока, Ethernet-адаптером его физического интерфейса отправляется в сеть широковещательный Ethernet-кадр, содержащий сигнал о необходимости приостановки передачи трафика в свой адрес на определенное время. Этот сигнал принимается всеми устройствами сети, включая то устройство, которое корректирует (снижает) интенсивность передаваемого им трафика на указанный в сигнале период времени. Таким образом осуществляется регулирование интенсивности потока Ethernet-кадров между устройствами сети в условиях дефицита пропускной способности.
L3-уровень. Для организации работы механизма управления потоком при обмене на L3-уровне следует для
Ethernet-интерфейса включить работу механизма, установив значение ДА для дополнительного параметра
Управление потоком (см. раздел 2.3.1, Рис. 2.9, с. 29).
L2-уровень. Для организации работы механизма управления потоком при обмене на L2-уровне следует для
L2–Eth-интерфейса включить работу механизма, установив значение ДА для дополнительного параметра
Управление потоком
. Также следует указать пороговое значение скорости принимаемого интерфейсом трафика для дополнительного параметра Скорость приема (см. раздел 2.3.2, Рис. 2.16, с. 34).
При этом механизм управления потоком при обмене на L2-уровне будет работать следующим образом. Если скорость принимаемого из сети потока превышает пороговое значение, программа управления прекращает обработку принимаемых Ethernet-адаптером кадров на определенное время. Если при этом включен механизм управления потоком, то происходит процесс регулирования интенсивности потока генерируемого передающей стороной трафика, в результате чего удается избежать потерь Ethernet-кадров при обмене.

Приложение Г. Обработка IP-датаграмм с учетом их приоритета
Общие сведения
Качество обслуживания в сетях (QoS). В настоящее время наряду с постоянным наращиванием скоростей передачи данных как у пользователей СПД вообще, так и у пользователей ЗСПД в частности наблюдается ускорение роста потребности в услугах мультисервисных сетей – универсальной многоцелевой среды
одновременной передачи речи, изображения и данных с использованием IP-технологий, что подразумевает увеличение доли пульсирующего интерактивного (с обратной связью) трафика и трафика реального времени, порой крайне чувствительных к параметрам среды транспортировки. Поэтому задача обеспечения сквозного
(на протяжении всего маршрута) качества обслуживания (Quality of Service или QoS) трафика в таких сетях становится все более актуальной.
Понятие качества обслуживания в IP-сетях (QoS) в целом – это комплекс самого разнообразного и широкого набора понятий, параметров, механизмов, технологий, алгоритмов и пр., многие из которых являются предметом отдельных математических дисциплин, таких как теория вероятностей, теория массового обслуживания, теория очередей.
Из широкого круга механизмов и алгоритмов, имеющих отношение к понятию QoS, изделиями, исполненными в двухсегментной архитектуре технологии DioNIS®, поддерживаются механизмы и алгоритмы, обеспечивающие обработку проходящего через изделие трафика
IP-датаграмм с учетом их приоритета – приоритетную обработку.
Подходы к управлению перегрузками трафика в сетях. Перегрузка трафика в сетях передачи данных возникает в случае переполнения выходных буферов интерфейса сетевого устройства, передающего трафик.
Основными причинами возникновения перегрузок является объединение (агрегирование) трафиков, когда общая скорость входящего в устройство трафика превышает скорость обработки исходящего, а также несогласованность скоростей на интерфейсах. Управление пропускной способностью устройства в случае возникновения перегрузок осуществляется с помощью механизма очередей, когда поступающие на обработку в устройство данные помещаются в очереди, которые упорядоченно обрабатываются по определенному алгоритму.
По существу, управление перегрузками трафика – это установление порядка, в котором данные выбираются из очереди интерфейса на основе приоритета данных. Если нет перегрузок, очереди не работают – в них просто нет необходимости.
Чтобы данные, п ередаваемые по сети, обрабатывались с учетом их приоритета сетевыми устройствами, встречающимися на протяжении их сквозного маршрута движения от отправителя к получателю, эти данные должны нести в себе сведения о своем приоритете. Далеко не все источники, генерирующие сетевой трафик, наделяют его сведениями о приоритете обработки.
Только после полной идентификации трафика – классификации и его маркировки – к нему можно применять
QoS-правила (policies). Для применения любого из правил QoS следует, прежде всего, трафик, предъявляющий особые требования к своей обработке, промаркировать каким-либо способом, отнеся таким образом соответствующие передаваемые по сети данные (пакеты, фреймы) к какому-либо классу. Причем сделать это следует как можно ближе к источнику генерации трафика.
Инструмент классификации помечает IP-датаграмму или Ethernet-кадр (фрейм) определенным значением.
Эти значения меток позволяют разграничить общий поток данных на разные типы трафика и применить затем к этим типам разные правила обработки в случае, если пропускная способность транзитного сетевого устройства недостаточна, возникает перегрузка и для сглаживания пульсирующей пиковой нагрузки необходимо пропустить трафик через систему буферирующих очередей этого устройства.
Механизмы классификации и маркировки потоков данных в IP-технологиях различными производителями сетевых устройств нередко выполняются по индивидуальным технологиям. Наиболее часто встречаются способы классификации и маркировки потоков данных, основанные на анализе следующих параметров, используемых устройствами на разных уровнях модели OSI:
- на L2-уровне – биты класса услуг стандарта IEEE 802.1Q [поле Class of Service (CoS)] заголовка
Ethernet-кадра; значение экспериментальных бит MPLS;
- на L3-уровне – биты поля приоритета [поле IP Precedence (IPP)] в поле типа сервиса
[поле Type of Service (ToS)] IP-заголовка датаграммы; кодовые точки механизма дифференцированных услуг [поле Differentiated Service Code Points (DSCP)] IP-заголовка датаграммы; IP-адреса отправителя и получателя IP-датаграмм;
- на L4-уровне – значения портов: TCP или UDP;
- на L7-уровне – значения подписей приложений.