Fakulta elektrotechniky a informatiky, VŠB-TU Ostrava
Telekomunikační sítě Internet
Datum: Autor: Kontakt: Předmět:
19.3.2012 Ing. Petr Machník, Ph.D.
[email protected] Telekomunikační sítě
ts_120319_kapitola7
Internet Ing. Petr Machník, Ph.D.
Úvod • Internet není jen unikátní sítí, je také fenoménem současné civilizace, protože nabízí široké spektrum služeb: - Webová služba zásadně změnila způsob prezentace informací kombinací textu, grafiky a zvuku v rámci webových stránek. - Internetová transportní síť – levná a dostupná všem společnostem i jednotlivcům – zásadně zjednodušila budování rozlehlých sítí. • Protokolový model TCP/IP, na kterém je Internet postaven, se stal nejpoužívanějším modelem.
2
Základní vlastnosti Internetu • Internet je nejrozsáhlejší síť na světě, má nejvíce uživatelů, propojuje nejvíce sítí a přenáší nejvíce provozu. • Internet je síť, která nemá jedno řídící centrum, avšak funguje podle jednotných pravidel a nabízí svým uživatelům stejné služby. Internet je vlastně síť sítí, ale každá z těchto sítí je spravována jiným operátorem – poskytovatelem internetové služby (Internet Service Provider - ISP). Určité centrální instituce sice existují, ale starají se jen o jednotnost technických pravidel a standardů a o centralizované přidělování parametrů důležitých pro fungování Internetu, což zahrnuje adresy a doménová jména počítačů a sítí připojených do Internetu. 3
Nicméně nejsou zodpovědné za každodenní údržbu Internetu. • Tento vysoký stupeň decentralizace má své výhody i nevýhody. Jednou z výhod je snadná rozšiřitelnost Internetu. Nevýhodou je složitější proces modernizace internetových technologií a služeb. Významné změny vyžadují koordinovaný postup všech ISP (např. zavedení protokolu IPv6). Kvůli těmto problémům jsou často nové perspektivní technologie používány jen v rámci sítě jednoho ISP. Další nevýhodou je relativně malá spolehlivost internetových služeb. • Internet je levná síť, díky čemuž mohou být levné i jeho služby – např. internetová telefonie (technologie VoIP). 4
• •
Internet umožňuje snadný přístup k velkému množství informací. Internet nabízí mnoho různorodých služeb – webová služba, FTP, E-mail, chatování, sociální sítě, internetové nakupování, internetové bankovnictví atd.
5
Struktura Internetu • V současnosti prakticky všichni telekomunikační operátoři nabízejí svým zákazníkům přístup k Internetu. Současně vznikla řada nových firem, které se zabývají čistě poskytováním internetových služeb. • Různí poskytovatelé internetových služeb se liší oblastí pokrytí a druhy poskytovaných služeb: - Páteřní ISP jsou obvykle mezinárodní telekomunikační operátoři, kteří vlastní rozsáhlé sítě pokrývající určitou zemi, kontinent nebo celý svět. - Regionální ISP poskytují internetové služby v rámci určitého regionu. - Lokální ISP působí obvykle v rámci malého území, například jednoho města. 6
Struktura Internetu
7
• Vztahy mezi ISP jsou založeny na vzájemných obchodních smlouvách o přenosu dat přes jejich sítě. Páteřní ISP mají obvykle takové smlouvy se všemi ostatními páteřními ISP (protože jich není mnoho). Regionální ISP mají tyto smlouvy s jedním páteřním ISP a několika regionálními ISP. • K zjednodušení komunikace mezi regionálními ISP existují v Internetu speciální místa, kde jsou propojeny sítě mnoha ISP. Takové místo je obvykle provozováno ISP vyšší úrovně pro ISP nižší úrovně. Tato centra se označují jako IX (Internet Exchange) nebo NAP (Network Access Point). Existují i speciální obchodní centra - clearing house, která fungují jako burzy pro obchodování s přenosovou kapacitou sítí. ISP připojení k takovému místu nabízí možnost přenášet data přes jejich sítě za určitou cenu. 8
• Jiný způsob klasifikace ISP je rozděluje do čtyř kategorií – Tier 1, Tier 2, Tier 3 a Tier 4. Definice Tier 1, Tier 3 a Tier 4 ISP odpovídá definici páteřního, regionálního a lokálního ISP. Tier 2 ISP poskytuje internetové služby velkému množství koncových uživatelů v celém státě nebo i na celém kontinentu. Poskytuje také velké spektrum informačních a komunikačních služeb. Tier 2 ISP se podobá lokálnímu ISP v tom, že poskytuje služby koncovým uživatelům. Na druhou stranu oproti lokálnímu ISP pokrývá velmi rozsáhlou oblast.
9
Další druhy poskytovatelů • Pokud má ISP své vlastní webové stránky s určitým obsahem, pak se nazývá ICP (Internet Content Provider). • Pokud nějaká společnost poskytuje prostory, síťovou infrastrukturu a servery pro jiné ICP, pak se nazývá hosting provider. • Existují také CDP (Content Distribution Provider), kteří obsah stránek sice nevytváří, ale umisťují ho na různá místa blízko zákazníkům, aby se tak zrychlil jejich přístup k těmto informacím. • ASP (Application Service Provider) poskytují klientům přístup k určitým specializovaným softwarovým produktům, které vyžadují náročnou správu (např. aplikace pro řízení podniků). 10
Intranet • Síť ISP se označuje jako privátní IP síť, pokud jsou v ní poskytovány vedle internetových služeb i jiné služby jako například VPN. Pokud jsou tyto služby poskytovány s využitím technologií, na kterých je postaven Internet (TCP/IP transportní protokoly a webové služby), nazývají se tyto služby intranetové služby.
Extranet • V extranetu má externí uživatel (zákazník, obchodní partner atd.) přístup k některým interním informacím nebo službám. Přístup je realizován prostřednictvím veřejné sítě, je zabezpečený a uživatel musí být autentizován. 11
Internet, intranet a extranet
12
Bezpečné transportní služby • Bezpečné transportní služby umožňují zabezpečený přenos dat přes veřejnou síť, jakou je Internet, s využitím nástrojů pro zajištění autentizace, integrity a důvěrnosti přenášených informací. • Základním nástrojem pro zajištění těchto služeb jsou technologie využívající zabezpečené kanály. Pomocí nich je možné zabezpečit provoz mezi dvěma uživateli veřejné sítě. K tomu slouží mnoho různých metod autentizace uživatelů a šifrování dat. • V IP sítích se používají především dvě takové technologie – SSL (Secure Socket Layer) a IPsec (Internet Protocol Security). Technologie SSL pracuje na prezentační vrstvě OSI modelu a je závislá na zabezpečované aplikaci. 13
Technologie IPsec pracuje na síťové vrstvě a je nezávislá na použité aplikaci. • Komplexnějším řešením zabezpečení provozu jsou virtuální privátní sítě (Virtual Private Network - VPN). VPN představuje službu, která uživatelům veřejné sítě nabízí bezpečnost srovnatelnou s bezpečností privátní sítě. Jde především o ochranu provozu uživatelů privátní sítě před útoky ze strany uživatelů veřejné sítě. Uživatelé VPN sítě mohou také používat privátní adresy a hodnoty parametrů QoS se blíží hodnotám u pronajatých linek.
14
IPsec (Internet Protocol Security) • Úkolem technologie IPsec je zabezpečit datovou komunikaci v IP sítích. IPsec zajišťuje autentizaci, integritu a důvěrnost přenášených dat. K tomuto účelu se používá především šifrování dat. • IPsec vytváří zabezpečený kanál mezi dvěma síťovými zařízeními (počítači nebo směrovači). • IPsec pracuje na síťové vrstvě a je proto nezávislý jak na použité aplikaci, tak na technologii spojové vrstvy.
15
SSL (Secure Socket Layer) • Pokud je zabezpečení komunikace zajištěno protokoly vyšších vrstev OSI modelu, je toto řešení nezávislé na použitých transportních technologiích (IP, IPX, Ethernet, ATM, …). Tato vlastnost je nespornou výhodou. Na druhou stranu jsou pak jednotlivé aplikace závislé na použitém bezpečnostním protokolu. • Tímto způsobem je možné zabezpečit jen jednotlivé aplikace – přenos souborů, webová nebo e-mailová komunikace. Pro každou aplikaci se vytváří samostatná verze zabezpečovacího protokolu.
16
• Protokol SSL (Secure Socket Layer ) zabezpečuje data jednotlivých protokolů aplikační vrstvy nebo aplikací. Tento protokol pracuje na prezentační vrstvě a je proto univerzálnější a použitelný pro mnoho různých aplikací, než kdyby fungoval na aplikační vrstvě. Je ale nutné upravit tyto aplikace, aby s nimi mohl spolupracovat.
17
PPTP (Point-to-Point Tunneling Protocol) • PPTP zabezpečuje rámce protokolu PPP (Point-to-Point Protocol), který pracuje na spojové vrstvě. • PPTP protokol je nezávislý na protokolu síťové vrstvy (IP, IPX, …). Na druhou stranu je použitelný jen pro protokol PPP. • PPP se používá na přístupových linkách, kde ho ale postupně nahrazuje Ethernet.
18
VPN (Virtual Private Network) • Virtuální privátní sítě se snaží dosáhnout vlastností skutečných privátních sítí. Síť je považována za privátní, pokud ji určitá společnost celou vlastní a má nad ní plnou kontrolu. Hlavní vlastností privátní sítě v porovnání s veřejnou sítí je, že je izolovaná od jiných sítí. Budování privátních sítí je ale velmi nákladné. • VPN technologie umožňuje sdílet síťovou infrastrukturu mezi více uživateli, ale zachovat vlastnosti privátních sítí jako je vysoká bezpečnost, dostupnost, předvídatelná propustnost sítě a nezávislost při návrhu adresování.
19
Příklad VPN sítě
20
• VPN sítě se dělí na dva typy, v závislosti na tom, kdo je provozuje: - V customer provided VPN (CPVPN) se o správu sítě stará klient. ISP se stará jen o zajištění přístupu do veřejné sítě. - V provider provisioned VPN (PPVPN) se o vybudování a údržbu zákaznických VPN sítí stará ISP. Jednotlivé VPN různých zákazníků jsou od sebe izolovány. • Jiná klasifikace rozlišuje VPN sítě podle polohy zařízení, které realizují funkce VPN: - customer edge based VPN (CE-based VPN) nebo též customer premises’ equipment based VPN (CPE-based VPN), - provider edge based VPN (PE-based VPN) nebo též network based VPN. 21
• VPN sítě jsou postaveny na technologiích, které lze rozdělit do dvou skupin: - Technologie používající šifrování dat – využívají zabezpečené kanály pro propojení klientských sítí, nejen dvou koncových zařízení. Příklad: IPsec VPN, SSL VPN. - Technologie používající oddělení provozu – využívají techniku permanentních virtuálních kanálů, což zajišťuje spolehlivé oddělení provozu různých klientů. Tyto VPN sítě nepoužívají šifrování dat, protože virtuální kanály eliminují možnost vnějšího útoku ze strany jiného klienta používajícího jiný virtuální kanál. Příklady: ATM VPN, Frame Relay VPN a především MPLS VPN. • VPN sítě používají různé topologie – např. hub-and-spoke nebo mesh. 22
MPLS VPN • MPLS VPN je velmi výhodné řešení, protože je tato síť snadno rozšířitelná, umožňuje snadnou konfiguraci a snadnou integraci s jinými IP službami nabízenými ISP. • Jedním ze základních principů fungování IP sítí je možnost jejich automatického propojení. Toho je dosaženo výměnou směrovacích informací mezi všemi sítěmi pomocí směrovacích protokolů. Tímto způsobem se na každém směrovači automaticky vytvoří směrovací tabulky, které určují cestu paketů mezi sítěmi. • V MPLS VPN je zajištěna izolace jednotlivých VPN sítí při zachování konektivity přes sdílenou veřejnou síť pomocí filtrace směrovacích informací a pomocí MPLS tunelů pro přenos zákaznického provozu přes interní síť poskytovatele této služby. 23
Směrovací informace z klientské sítě „přeskočí“ interní síť poskytovatele pomocí upraveného směrovacího protokolu BGP (Border Gateway Protocol). V důsledku toho nemají směrovače různých zákazníků směrovací informace o sobě navzájem. Proto si nemohou navzájem vyměňovat pakety a tím je zajištěna požadovaná izolace provozu.
24
Síť MPLS VPN
25
VoIP (Voice over Internet Protocol) • IP telefonie je perspektivní komunikační technologie vzniklá ze snahy o konvergenci datových a telefonních sítí. V minulosti byly sítě přenášející hlas a sítě přenášející data oddělené. Hlas byl přenášen v sítích s přepínáním kanálů, kde byla během hovoru vytvořena pevná cesta pro provoz. Kapacita sítě byla po dobu hovoru rezervovaná, což vedlo k účtování podle délky hovoru. Tyto sítě jsou velmi spolehlivé. • Datové sítě jsou naopak postaveny na principu přepínání paketů. Přenášené zprávy jsou rozděleny na malé pakety, každý paket je vybaven záhlavím obsahujícím cílovou adresu a je samostatně přenášen sítí. Různé pakety mohou být přenášeny po různých cestách. 26
Pakety nemusí do cíle dorazit ve stejném pořadí, v jakém byly vyslány ze zdroje a některé z nich se mohou po cestě ztratit. Síťová kapacita je sdílená, což vede k jejímu efektivnímu využívání. Přístup do paketové sítě je obvykle zpoplatněn fixní částkou v závislosti na přenosové rychlosti. Někdy je ale zpoplatněno množství přenesených bytů. • Cílem konvergence sítí je přenášet data i hlas v jedné síti v paketové podobě. Technologie s přepínáním kanálů jsou postupně nahrazovány technologiemi s přepínáním paketů. • Tyto změny vyplývají z neefektivity technologií s přepínáním kanálů. Bylo zjištěno, že jen asi 10 až 25 procent doby hovoru je opravdu využito k přenosu hlasu. Zbytek představují pauzy v konverzaci, kdy lidé poslouchají druhou stranu, přemýšlí o odpovědi nebo se nadechují mezi slovy. 27
• Při přenosu hlasu v paketové podobě může být použita komprese hlasu a tím se zmenší potřebná přenosová rychlost. Použití techniky přepínání paketů také umožňuje prokládání hlasových a datových paketů v době, kdy není potřeba přenášet tolik hlasových paketů. V cílovém zařízení jsou jednotlivé hlasové pakety poskládány do podoby původního hlasového signálu. • Díky těmto vlastnostem je tato technologie levnějším a tím i stále oblíbenějším řešením přenosu hlasu v prostředí Internetu.
28
Základní činnost VoIP • Prvním krokem v procesu činnosti VoIP je digitalizace hlasu. • Dalším krokem je potlačení nežádoucích signálů a komprese hlasového signálu. To má dvě fáze. V první fázi se prozkoumá digitalizovaný zvuk, rozhodne se, zda jednotlivé vzorky obsahují hlasový signál nebo jen okolní hluk, a odstraní se všechny pakety, které neobsahují hovor. V druhé fázi se použijí komplexní algoritmy k redukci množství dat, která mají být poslána druhé straně. Sofistikované kodeky dokáží jak potlačit nežádoucí rušení, tak zkomprimovat hlas. Příkladem kompresních algoritmů jsou G.723, G.728 nebo G.729. • Po kompresi musí být hlas paketizován a jsou přidána záhlaví VoIP protokolů. 29
• Během procesu shromažďování hlasových vzorků se musí určitou dobu počkat, než bude množství hlasových dat dostatečné k vytvoření paketu a k jeho přenosu sítí. • Jsou také přidána záhlaví protokolů potřebných k přenosu hlasu sítí (RTP, UDP a IP). Protože IP je protokol navržený pro propojování různorodých sítí, je potřeba mnohem více činností spojených se zpracováváním IP paketů než v malých sítích. Adresování sítí může být někdy velmi složité, může být vyžadováno zapouzdření jednoho paketu do druhého a tím i několik repaketizací, readresací a znovu skládání dat. • Když pakety dorazí do cíle, musí být seřazeny ve správném pořadí. 30
• Je použit dekompresní algoritmus k obnově dat v jejich původní podobě a jsou také obnoveny správné časové intervaly mezi jednotlivými hlasovými vzorky. Protože jednotlivé pakety jsou přenášeny sítí po různých cestách, nemusí dorazit do cíle ve správném pořadí a je proto nutné některé pakety uchovat po určitou dobu ve vyrovnávací paměti, dokud nedorazí opožděné pakety. • V IP sítích se může část paketů ztratit nebo může být výrazně opožděna, zvláště v době zahlcení sítě. Některé pakety jsou také odstraněny kvůli chybám vzniklým během přenosu. Ztracené, zpožděné a poškozené pakety výrazně zhoršují kvalitu hlasu. Protože je přenos hlasu citlivý na přenosové zpoždění, není možné čekat na znovu posílání ztracených nebo poškozených paketů a je nutné použít sofistikované metody detekce a korekce přenosových chyb s cílem vytvořit hlasové vzorky k zaplnění vzniklých mezer v hlase. 31
Během tohoto procesu je uchován kousek došlého hlasového signálu a pomocí složitých algoritmů je aproximován obsah chybějících paketů, čímž jsou vytvořeny chybějící hlasové vzorky. Z tohoto důvodu není hlas, který slyší posluchač ve sluchátku úplně stejný jako ten, co byl vysloven mluvčím.
32
Signalizační protokoly • Proces vytváření hovorového spojení pomocí VoIP technologie je podobný procesu vytváření hovoru pomocí přepínání kanálů v telefonní síti PSTN (Public Switched Telephone Network). • Pokud se volající strana a volaná strana dohodnou na způsobu komunikace, vytvoří se spojení, přes které je pakety přenášen hlas. Signalizace má za úkol vytvořit virtuální kanál sítí pro přenos hlasových dat. Signalizace trvá po dobu hovoru. Přenos signalizačních zpráv je nezávislý na hovorových datech. • V současnosti se ve VoIP používají dva typy signalizačních protokolů – H.323 a SIP (Session Initiation Protocol). 33
•
Použitá literatura: OLIFER, Natalia, OLIFER, Victor. Computer Networks: Principles, Technologies and Protocols for Network Design. Chichester : John Wiley & Sons, 2006. 973 s. ISBN 0470869828. BLUNÁR, Karol, DIVIŠ, Zdeněk. Telekomunikační sítě, 1.díl. Ostrava: VŠB-TU Ostrava, 2003. ISBN 80-2480391-7. BATES, Regis "Bud" J. Broadband Telecommunications Handbook. McGraw-Hill Professional, 2002. 803 s. ISBN 0071398511.
34
