NAT: строим сети нового поколения

Технология NAT (Network Address Translation), одобренная группой IETF, которая обеспечивает контроль за технологиями, применяемыми в интернет, позволяет сэкономить IP-адреса. С помощью этой технологии транслируется несколько "серых" IP-адресов и связанных с ними номеров портов (протокол TCP) внутренней (локальной) сети в один "белый" IP-адрес и связанные с ним номера портов внешней сети, т.е. интернета. В таком случае безопасность интернета увеличивается из-за уменьшения (а, в перспективе, и исключения) возможности прямого доступа к нему с ПК и ликвидации статуса анонимных пользователей.

В комплексе эти вопросы могут быть решены путем создания по всему миру локальных сетей нового поколения (Next Generation LAN, NGL) на базе протокола Ethernet, которые будут объединяться через интернет по технологии NAT (по мере готовности) в новую глобальную сеть - InterEthernet. При этом интернет кроме роли публичного ресурса глобального масштаба будет выполнять новую роль - глобальной опорной (backbone) сети.

Построение NGL

Первоначально локальные сети выполнялись как одноранговые сети с разделяемой средой передачи, а обмен информацией в современных локальных сетях на основе коммутаторов выполняется по схеме "клиент-сервер", в которых ПК может выполнять роль универсального средства связи (Triple Play PC), а сервер не только реализует все существующие информационные технологии (ИТ) в рамках локальной сети, но и также обеспечивает широкополосный доступ в интернет.

NGL могут стать основой для построения "интеллектуальных" зданий

При этом сервер в зависимости от назначения локальной сети может выполнять функции контроля и управления доступом в интернет, защиты пользователей и сети, динамического назначение клиентам IP-адресов через службу DHCP. Сервер может являться межсетевым экраном с поддержкой NAT, организовывать службы DNS, предоставлять антивирусную защиту и контентную фильтрацию трафика. Также он может организовывать видеосвязь и видео-конференц связь, службу Video-on-Demand, виртуальные частные сети (VPN), доступ в сеть беспроводных абонентов.

В коммутируемых локальных сетях порт коммутатора, соединенного с сервером, становится "узким местом" из-за угрозы его переполнения и возможности потери информации, поэтому был введен специальный протокол 802.3х, в котором генерируются две команды (на физическом уровне): "Прекратить передачу" и "Разрешить передачу", что в итоге снижает эффективность работы всей сети.

Поэтому для организации эффективной работы локальной сети по схеме "клиент-сервер" необходимо обеспечить прямой и равноправный доступ каждого клиента к серверу, т.е. необходимо перейти от распределенной локальной сети на базе существующих коммутаторов к централизованной сети при сохранении в абонентских ПК существующих сетевых карт (NIC), реализующих протокол Ethernet со скоростями 1/10/100Мбит/с.

Это возможно сделать на базе использования нового класса устройств - коммутирующих мультиплексоров, которые, с целью достижения масштабируемости локальной сети нового поколения (NGL), образуют иерархическую структуру.

Cетевым картам ПК в соответствии с процедурой LAA (Locally Administered Address) назначаются новые иерархические гибридные МАС-адреса: младшие 3 тетрады (1-12 биты) используются для коммутации в локальной сети; 13-44 биты используются для размещения IPv4-адреса сервера, который в данном случае является групповым адресом для всех ПК локальной сети, а 45-48 биты являются служебными.

Тем не менее, МАС-адреса всех ПК будут уникальными в глобальном смысле.

Коммутирующие мультиплексоры (SWItching multiPLEX, SWIPLEX, SX) включают семейство устройств - младшего SX1, среднего SX2 и старшего SX3 уровней, обеспечивающих мультиплексирование 10 каналов Ethernet X Мбит/с в 1 канал Ethernet10XМбит/с (X = 1, 10, 100) для восходящего трафика "клиент-сервер" по дисциплине "первым вошел - первым вышел" (FIFO).

Коммутирование кадров, поступающих по одному каналу Ethernet10СМбит/с, в 10 каналов EthernetСМбит/с для нисходящего трафика "сервер-клиенты", производится простой операцией преобразования двоичного 4-х разрядного кода соответствующей тетрады иерархического МАС-адреса назначения поступившего кадра Ethernet в десятичный: 1-я тетрада в SX1, 2-я тетрада в SX2, 3-я тетрада в SX3.

Аппаратная реализация функций мультиплексирования и коммутации основана на использовании интегральных схем с программируемой логикой (FPGA), содержащих несколько миллионов "эквивалентных вентилей", которые позволяют создавать логические и функциональные схемы любой сложности.

Это позволит исключить создание и обработку таблиц МАС-адресов в каждом порту, осуществляемых высокопроизводительными микропроцессорами в существующих коммутаторах, что позволит выполнить коммутирующие мультиплексоры по технологии Plug&Play, что резко снизит их стоимость и упростит эксплуатацию.

Каскадирование данных устройств позволит строить масштабируемые сети NGL от 10 до 1000 пользователей, причем каждому из абонентских ПК будет предоставлен дуплексный канал Ethernet1/10/100Мбит/с для связи с сервером, что исключит необходимость управления потоком в сети (протокол 802.3х).

Прямой доступ ПК к серверу позволяет выполнить их в виде "тонких клиентов" (Thin Client, TC), что позволяет исключить из их состава жесткие диски и выполнить их виде одноплатных компьютеров.

"Тонкие клиенты" позволяют уйти от автономной (и рассчитанной на все случаи жизни) громоздкой фирменной ОС и перейти на свободное ПО.

ПО "тонкого клиента" включает лишь ядро ОС, необходимое для обеспечения функционирования самого клиента, а другие необходимые программы может предоставить сервер.

Увеличить К серверу также могут быть подключены традиционные сети Ethernet802.3

Все ПК благодаря протоколу Ethernet802.2 (LLC-SNAP) имеют возможность как непосредственное использовать мультимедийные протоколы прикладного уровня (SIP, SDP и др.), так и подключать стек протоколов TCP/IP, хотя при этом протокол IP не будет выполнять главных своих функций - маршрутизации и формировании адреса нового кадра, а будет служить лишь для подключения портов протокола TCP, необходимых для реализации технологии NAT.

Беспроводные сети

На базе технологии NAT возможно построение и беспроводных сетей. NGL является гомогенной сетью, т.е. беспроводная сеть (WLAN) является ее составной частью, так как ее ПК (notebook, laptop) использует тот же протокол Ethernet802.3, что и ПК стационарной сети.

"Радиосеть Ethernet с доступом по требованию" использует новые технические решения в построении беспроводных сетей и включает, прежде всего, комбинированный метод доступа: частотный (FDMA), когда весь диапазон выделенных частот F (2ГГц, 5ГГц, ... 60ГГц) делится на поддиапазоны ( F1, F 2, ... Fn ) в каждом из которых обеспечивается групповая скорость 11Мбит/с с временным разделением (TDMA) между 11 дуплексными каналами.

Каждому поддиапазону соответствует своя "точка доступа" (Access Point), в качестве которой используется беспроводной SX1 (WSX1), обеспечивающий подключение 10-ти абонентских ПК (notebook, laptop) по требованию, которые передают запросы к серверу доступа по протоколу 802.3 (CSMA/CD) по 11-ому каналу, играющему роль канала управления.

Требования на подключение передаются на сервер доступа с использованием существующего МАС-адреса, назначенного производителем сетевого адаптера в соответствии с процедурой UAA (Universally Administered Address) и после его анализа сервер доступа передает на абонентский ПК по 11-му каналу новый МАС-адрес, у которого в первой тетраде будет записан номер выделенного временного канала (1-10).

Кроме того, 11-й канал используется для управления доступом к различным поддиапазонам: по каждому из них непрерывно (в целях обеспечения синхронизации) передаются две команды (на физическом уровне): "Начать передачу" (при наличии хотя бы одного свободного канала в поддиапазоне), с приемом которой ПК начинают конкуренцию на доступ в сеть, и "Прекратить передачу" (при отсутствии свободных каналов в данном поддиапазоне), по которой ПК начинают поиск свободного поддиапазона из всех существующих.

Предлагаемая беспроводная сеть имеет явные преимущества перед существующей сетью Wi-Fi (802.11). Она обладает масштабируемостью: сеть формируется по единому принципу независимо от ее размеров и выбранного диапазона. У такой сети скорость передачи, выделяемая каждому абоненту, стабильна: дуплексный канал Ethernet1Мбит/с (или 10Мбит/с при монопольном режиме в выделенном поддиапазоне); для фиксированных и беспроводных сетей используется единый протокол Ethernet802.3. Такая сеть более эффективно использует полосу пропускания (свыше 90%). В сети имеется управляющий (11-й) канал, имеющий постоянный доступ к любому ПК, находящемуся в сети, что позволяет использовать все существующие программные средства (продукты) для достижения необходимого уровня безопасности как при входе в сеть (в частности, по технологии 802.1x), так и в процессе ее функционирования.

К серверу также могут быть подключены через SX2 традиционные сети Ethernet802.3, соединяющие различные технические устройства (системы), управление которыми может быть как автоматическим (через сервер), так и через абонентские ПК.

NGL также могут стать основой для построения "интеллектуальных" зданий и широко применяться во всех предприятиях и учреждениях и, прежде всего, в сфере образования (школах и университетах).

Сергей Закурдаев / CNews