優しい笑顔で、2000年に人類が世界の終わりを切望して待っていたのを今思い出します。 その後、これは起こりませんでしたが、一方で、まったく異なるイベントが発生し、非常に重要です。
歴史的に、その時、世界は真のコンピューター革命に突入しましたv。 3.0 -分散ストレージとデータ処理のためのクラウド技術の始まり。 さらに、以前の「第2の革命」が80年代のクライアント/サーバーテクノロジーへの大規模な移行であった場合、最初のものは、いわゆる接続された個別の端末を使用する同時ユーザーの始まりと考えることができます。 「メインフレーム」(前世紀の60年代)。 これらの革新的な変更は、ユーザーに対して平和的かつ目に見えない形で行われましたが、情報技術とともにビジネスの世界全体に影響を及ぼしました。
ITインフラストラクチャをクラウドプラットフォームとリモートデータセンター(データセンター)に移行する場合、重要な問題は、クライアントからデータセンターへの信頼できる通信チャネルの編成にすぐになります。 Webでは、「物理的な専用回線、ファイバー」、「L2チャネル」、「VPN」などのプロバイダーのオファーがよく見られます。実際にこの背後にあるものを把握してみましょう。
通信チャネル-物理および仮想
1.組織「物理回線」または「第2レベルのチャネルL2」は、専用ケーブル(銅またはファイバー)をプロバイダーに提供するサービス、またはオフィスとデータセンターの機器が展開されているサイト間の無線チャネルと呼ばれます。 このサービスを注文すると、実際には、ほとんどの場合、専用の光ファイバーチャネルがレンタルされます。 このソリューションは、プロバイダーが信頼性の高い通信を担当しているため魅力的です(ケーブルが破損した場合、チャネルのパフォーマンスを個別に復元します)。 ただし、実際には、ケーブル全体が不可欠ではありません。相互に接続(溶接)された多くのフラグメントで構成されているため、信頼性が多少低下します。 光ファイバーケーブルを敷設する途中で、プロバイダーはエンドポイントでアンプ、スプリッター、およびモデムを使用する必要があります。
マーケティング資料では、このソリューションはOSIまたはTCP / IPネットワークモデルのL2(データリンク)レイヤーと条件付きで呼ばれます。次のネットワークIPレベルでのパケットルーティングの多くの問題を心配することなく、LANのイーサネットフレームスイッチングのレベルで作業することができます。 たとえば、登録された一意のパブリックアドレスの代わりに、クライアント仮想ネットワークでいわゆる「プライベート」IPアドレスを使用し続けることができます。 ローカルネットワークでプライベートIPアドレスを使用することは非常に便利なため、メインのアドレス指定クラスからの特別な範囲がユーザーに割り当てられました。
- クラスAの10.0.0.0-10.255.255.255(マスクを記録するための代替形式で255.0.0.0または/ 8のマスクを使用);
- クラスAの100.64.0.0-100.127.255.255(255.192.0.0または/ 10のマスク);
- 172.16.0.0-クラスBの172.31.255.255(マスク255.240.0.0または/ 12を使用);
- 192.168.0.0-クラスCの192.168.255.255(マスク255.255.0.0または/ 16を使用)。
このようなアドレスは、「内部使用」のためにユーザーが個別に選択し、数千のクライアントネットワークで同時に繰り返すことができるため、ヘッダーにプライベートアドレスが含まれるデータパケットはインターネット上でルーティングされません。 インターネットにアクセスするには、クライアント側でNAT(または別のソリューション)を使用する必要があります。
注:NAT-ネットワークアドレス変換(TCP / IPネットワークの通過パケットのネットワークアドレスを置換するメカニズム。クライアントのローカルネットワークから他のネットワーク/インターネットへ、およびクライアントのLAN内の反対方向で宛先にパケットをルーティングするために使用されます)このアプローチ(および専用チャネルについて話している)には明らかな欠点があります。クライアントのオフィスを移動する場合、新しい場所に接続するのが非常に難しく、プロバイダーを変更する必要があるかもしれません。
そのようなチャネルがはるかに安全であるという主張は、悪意のある攻撃からよりよく保護されており、熟練した技術者のミスは、綿密な調査により、神話であることが判明しました。 実際には、人的要因の関与により、クライアント側で直接セキュリティ問題がしばしば発生します(またはハッカーによって故意に作成されます)。
2.それらの上に構築された仮想チャネルとVPN(仮想プライベートネットワーク)は広く普及しており、ほとんどのクライアントタスクを解決できます。
L2 VPNプロバイダーの提供には、「第2レベル」L2のいくつかの可能なサービスの選択が含まれます。
VLAN-クライアントは、オフィスとブランチ間の仮想ネットワークを受信します(実際には、クライアントのトラフィックはプロバイダーのアクティブな機器を通過するため、速度が制限されます)。
PWE3ポイントツーポイント接続 (つまり、パケット交換ネットワークでのエンドツーエンドの疑似回線エミュレーション)により、ケーブルで直接接続されているかのように2つのノード間でイーサネットフレームを送信できます。 このような技術のクライアントでは、すべての送信フレームが変更なしでリモートポイントに配信されることが不可欠です。 同じことが逆方向にも起こります。 これは、プロバイダーのルーターに到着するクライアントのフレームが、より高いレベルのデータブロック(MPLSパケット)にさらにカプセル化(追加)され、エンドポイントで取得されるために可能です。
注:PWE3-疑似ワイヤエミュレーションエッジツーエッジ(ユーザーの観点から、専用接続を受信するメカニズム)。VPLSは、マルチポイント接続を備えたLANシミュレーションテクノロジーです。 この場合、プロバイダーのネットワークは、ネットワークデバイスのMACアドレスのテーブルを保存する1つのスイッチと同様に、クライアント側で検索します。 このような仮想「スイッチ」は、クライアントのネットワークから送信されたイーサネットフレームを目的に応じて配信します。このため、フレームはMPLSパケットにカプセル化されてから取得されます。
MPLS-マルチプロトコルラベルスイッチング(パケットにトランスポート/サービスラベルが割り当てられ、ネットワーク内のデータパケットの伝送経路は、プロトコルを使用して、伝送媒体に関係なく、ラベルの値によってのみ決定されます。ルーティング中に、新しいラベルを追加できます(必要に応じて)または機能が完了したときに削除されます。パッケージの内容は分析または変更されません)。
注:VPLS-仮想プライベートLANサービス(ユーザーの観点から、地理的に離れたネットワークが仮想L2接続によって接続されるメカニズム)。
MAC-メディアアクセス制御(メディアへのアクセスを制御する方法は、イーサネットネットワークのネットワークデバイス(またはそのインターフェイス)の一意の6バイトアドレス識別子です)。
3. 「L3 VPN」展開の場合、クライアントから見たプロバイダーネットワークは、複数のインターフェイスを持つ単一のルーターのように見えます。 したがって、クライアントのローカルエリアネットワークとプロバイダーのネットワークの接続は、OSIまたはTCP / IPネットワークモデルのL3レベルで行われます。
ネットワークインターフェイスのパブリックIPアドレスは、プロバイダーとの合意によって決定できます(クライアントに属するか、プロバイダーから取得します)。 IPアドレスは両側のルーターでクライアントによって構成されます(ローカルネットワークの側からプライベート、プロバイダーの側からパブリック)、プロバイダーはデータパケットのさらなるルーティングを提供します。 技術的には、MPLSを使用してこのようなソリューション(上記参照)を実装し、GREおよびIPSecテクノロジーを実装しています。
注:GRE-汎用ルーティングカプセル化(トンネリング用のプロトコル、2つのエンドポイント間に安全な論理接続を確立できるネットワークパケットのパッキング-L3ネットワークレベルでのプロトコルカプセル化を使用)。最新のネットワークインフラストラクチャは、クライアントが契約で定義されている部分のみを見るように構築されていることを理解することが重要です。 割り当てられたリソース(仮想サーバー、ルーター、オンラインデータ、バックアップストレージ)、および実行中のプログラムとメモリの内容は、他のユーザーから完全に隔離されています。 複数の物理サーバーは、1台のクライアントに対して協調して同時に動作できます。その観点からは、1台の強力なサーバープールのように見えます。 逆に、同じ物理サーバー上に多くの仮想マシンを作成できます(それぞれがユーザーのオペレーティングシステムを備えた別個のコンピューターのように見えます)。 標準に加えて、顧客データの処理と保存のセキュリティに関して受け入れられている要件も満たす個別のソリューションが提供されます。
IPSec-IPセキュリティ(IPを使用して送信されるデータ保護プロトコルのセット。認証、暗号化、およびパケットの整合性が使用されます)。
同時に、クラウドに展開されたL3レベルのネットワークの構成により、ほぼ無制限のサイズに拡張できます(インターネットと大規模なデータセンターはこの原則に基づいて構築されました)。 OSPFなどのL3クラウドネットワークの動的ルーティングプロトコルを使用すると、データパケットのルーティングに最短パスを選択し、最適な負荷を得るためにいくつかの方法でパケットを同時に送信し、チャネル帯域幅を拡張できます。
同時に、「L2レベル」で仮想ネットワークを展開することもできます。これは、小規模なデータセンターや時代遅れの(または特定性の低い)クライアントアプリケーションに一般的です。 このような場合には、L2 over L3テクノロジーを使用して、ネットワークの互換性とアプリケーションの健全性を確保します。
まとめると
これまで、ほとんどの場合、ユーザー/クライアントのタスクは、セキュリティのためにGREおよびIPSecテクノロジーを使用して仮想プライベートVPNネットワークを編成することで効果的に解決できます。
ネットワークで信頼できる通信を構築するための最適なソリューションであるL2チャネルを万能薬と考えるのが無意味であるのと同様に、L2とL3を対比することはほとんど意味がありません。 プロバイダーの最新の通信チャネルと機器を使用すると、膨大な量の情報をスキップできます。実際、ユーザーがレンタルする専用チャネルの多くは負荷が低くなっています。 L2を使用するのは、タスクの詳細がそれを必要とする特殊な場合にのみ使用し、そのようなネットワークの将来の拡張の可能性の制限を考慮し、専門家に相談するのが合理的です。 一方、Ceteris paribusという仮想ネットワークL3 VPNは、より汎用性が高く、操作が簡単です。
このレビューでは、ローカルITインフラストラクチャをリモートデータセンターに移動するときに使用される最新の標準ソリューションを簡単にリストします。 それぞれに独自の消費者、長所と短所があり、ソリューションの正しい選択は特定のタスクに依存します。
実際には、L2およびL3ネットワークモデルの両方のレベルが連携して動作し、それぞれがそのタスクを担当し、広告とは対照的に、プロバイダーは公然とcしています。