Предисловие:
Продолжаю тему пассивных сетей поднятую в этом посте.
В этом посте поговорим о типах cервисах, понятии VLAN и о том как можно доставить сервисы до абонента.
Рассмотрим принцип организации доступа абонентов к услугам.
Помимо классического разделения услуг на голос, видео и данные, сервисы условно можно также разделить на два транспортных класса: Unicast-сервисы и Multicast-сервисы.
Под Unicast-сервисами понимается набор различных односторонних (unicast) потоков:
1) Internet-трафик (HSI – High Speed Internet);
2) IP-телефония (VoIP);
3) VoD-сервисы (VoD);
4)служебные транзакции между Middleware и STB;
5) рассылка ключей шифрования системы условного доступа (CAS).
К Multicast-сервисам (сервисы групповых потоков) относятся:
1) широковещательное телевидение (BTV);
2) музыкальные каналы и др.
Предполагается, что транспортировкой всех перечисленных сервисов будут заниматься два основных сетевых сегмента: магистральная сеть и сеть доступа.
Магистральная сеть – это участок городской опорной сети.
В качестве сети доступа и агрегации может выступать участок районной оптической сети доступа.
На сегодняшний день существуют две основные модели доступа к услугам на "последней миле":
1) модель Multiple Service VLANs (VLAN per service);
2)модель Single Public VLAN (VLAN per subscriber).
Первая модель предполагает передачу трафика каждого из сервисов в отдельном виртуальном канале (VLAN), вторая – выделение под все сервисы, к которым имеет доступ абонент, одного абонентского VLAN.
VLAN (Virtual Local Area Network, виртуальная локальная сеть) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии.
Если смотреть на VLAN, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети.
Метка содержит номер VLAN (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, метка может нумероваться от 0 до 4095.
Первый и последний номера зарезервированы, их использовать нельзя.
На портах коммутаторов указывается в каком VLAN эти поры находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN.
Любой трафик на котором имеется данная метка называется тагированным. Таким образом каждый порт имеет PVID (port vlan identifier).
Тагированный трафик может в проходить через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.
Существует два типа портов:
1. Access port — порт доступа — к нему подключаются, как правило, конечные узлы. Трафик между этим портом и устройством нетегированный. За каждым access-портом закреплён определённый VLAN, иногда этот параметр называют PVID. Весь трафик, приходящий на этот порт от конечного устройства, получает метку этого влана, а исходящий уходит без метки.
2. Trunk port. У этого порта два основных применения — линия между двумя коммутаторами или от коммутатора к маршрутизатору. Внутри такой линии, называемой в народе, что логично, транком, передаётся трафик нескольких вланов. Разумеется, тут трафик уже идёт с тегами, чтобы принимающая сторона могла отличить кадр.За транковым портом закрепляется целый диапазон вланов.
Организация модели доставки сервисов VLAN per service
На рисунке ниже показан вариант, в основе которого лежит модель, при которой для каждого из сервисов выделяется свой собственный виртуальный канал.
Очевидно, что для организации такой архитектуры необходимо обеспечить разделение сервисов непосредственно на уровне абонентского оборудования, а именно: на Residential Gateway (RG).
RG коммутирует трафик от каждого подсоединенного устройства (приставка, IP-телефон, компьютер) в квартире абонента в соответствующий сервисный VLAN и подключается к оборудованию оператора - коммутатору доступа.
В свою очередь, коммутатор доступа должен обеспечивать первую линию безопасности: на нем реализованы основные функции по защите трафика от перехвата, от подмены IP-адресов, от broadcast-штормов и пр. Помимо этого данное устройство осуществляет маркировку пакетов согласно политикам QoS и обрабатывает Multi-cast-трафик.
Для снижения количества VLAN, используемых в сети доступа, можно обеспечить трансляцию всех сервисов одного типа от разных абонентов в одном VLAN на коммутаторе доступа.
К примеру, 50 каналов телевидения будут занимать полосу в 200 Мбит/с, таким образом, трансляция TV-каналов в пяти VoD-VLAN для пяти абонентов может заполнить гигабитный канал. Технология MVR (Multicast VLAN Registration) решает проблему неэффективного использования каналов передачи, но для этого мультикастовые сервисы должны быть выведены в отдельный VLAN – так называемый Multicast VLAN .
При осуществлении подписки абонента на телевизионный канал коммутатор доступа, получив контрольное сообщение IGMP (протокол управления групповой (multicast) передачей), обеспечивает перетекание муль-тикастового трафика в VoD-VLAN, к которому подключен STB.
В связи с тем что модель VLAN per Service обеспечивает полное разделение сервисного трафика на сети доступа, существенно облегчаются задачи ввода/вывода и транспортировки трафика.
Транспортировка Internet-трафика в данной модели доставки сервисов несколько отличается от транспортировки голоса и видео. Для обеспечения централизованного контроля над абонентскими сессиями предлагается с помощью туннелей терминировать Internet-трафик на BRAS (Broadband Remote Access Server), причем современные BRAS могут работать как с PPPoE-сессиями, так и с IPoE-сессиями. Такой подход позволяет обеспечивать единую точку контроля над Internet-трафиком всей сети, а учитывая, что таких районных сетей доступа может быть несколько, нет необходимости устанавливать свой BRAS в каждую сеть доступа.
Организация модели доставки сервисов VLAN per subscriber
При данной модели сервисы передаются в одном абонентском VLAN. Основное преимущество данной модели в том, что в качестве RG может выступать обычный недорогой коммутатор, к которому не предъявляются требования по поддержке стандарта 802.1Q.
Организация сети доступа отличается более простым дизайном. Количество используемых VLAN равно m плюс один Multicast VLAN. К коммутаторам доступа выдвигаются те же требования по контролю над абонентским трафиком и работе с мультикастом.
Задачей разделения сервисов должен заниматься узел агрегации. Он может совмещать в себе функции BRAS. Данный узел обеспечивает селективное распределение трафика разных сервисов в различные контексты VRF при движении трафика от абонента и осуществляет обратную задачу для встречного трафика (существуют варианты дизайна, в которых обратная пересылка трафика – к абоненту -может не использовать сервисный VPN).
VRF – технология, позволяющая реализовывать на базе одного физического маршрутизатора иметь несколько виртуальных – каждого со своей независимой таблицей маршрутизации.
Преимуществом виртуальной маршрутизации является полная изоляция маршрутов как между двумя виртуальными маршрутизаторами, так и между виртуальным и реальным.
Трафик Internet терминируется непосредственно на границе сети доступа. Все остальные сервисы транспортируются через сеть схожим с предыдущим вариантом способом.
Возможен подход, при котором в одной точке сети обеспечивается контроль над трафиком всех сервисов: устанавливается единый BRAS (как в первом варианте), а Unicast-сервисы с помощью туннелей транспортируются через магистраль и терминируются на BRAS. В небольших сетях такой подход может быть оправдан, но в случае крупных сетей, с большим объемом "тяжелого" трафика, встает вопрос масштабируемости и отказоустойчивости такого решения.