Как выглядит типичная территориальная Ethernet-сеть? Ответить на этот вопрос сложнее, чем кажется на первый взгляд, ибо «типичных» сетей очень много, и все они довольно разные. Если начать разбираться, окажется, что различия эти продиктованы, в первую очередь, экономическими причинами.
Павел Нагибин в свое время предложил основывать описательную классификацию по календарному принципу, то бишь, год постройки автоматически означает и принадлежность сети к той или иной категории, не без возможности последующей модернизации, конечно, но со всеми родовыми пятнами.
Дескать, 1997-й это тонкий коаксиал RG-58; 1999-й кабель П-296, свершивший, по мнению Павла, революцию в деле сетестроительства; 2001-й витая пара, хабы на доступе и неуправляемые коммутаторы на магистралях, а также ПК-маршрутизаторы под Линуксом. 2003-й появление оптоволокна и четкое размежевание между опорной сетью и линиями доступа, а заодно и начало использования управляемых коммутаторов. Про 2005-й год Павел на момент сегодня уже давний написания своей статьи сказать еще ничего не мог, ну да ладно, неважно. У нас и без того найдется немало претензий к его хронологической классификации.
Для начала, следует указать, что она попросту не очень-то точна хронологически в силу достаточно большой «размазанности» сетей разного типа по срокам их создания. С одной стороны, и в 99-м уже тянули оптику, первые трассы пилотной сети «ТОР Инфо» в московском районе Орехово-Борисово Северное прокладывались именно тогда. С другой, и сегодня на необъятных просторах нашей отчизны можно найти немало героев, самоотверженно тянущих пресловутый П-296, а работающие на нем сегменты в изобилии встречаются и в Москве.
Второй недостаток подобной классификации куда как серьезнее. Речь идет о чрезмерной, на мой вкус, ее привязке к физической среде передачи данных. Сетевые технологии и сегодня развиваются весьма стремительно, а в 90-х новые решения, доступные по цене и подходящие по характеристикам, появлялись на рынке то и дело. При этом, однако, по большому счёту, мало что менялось. Замена тонкого коаксиала на витую пару с хабами, да, повышала надежность и упрощала диагностику неисправностей, но 10 Мбит/с оставались 10-ю Мбит/с, а широковещательная среда широковещательной средой. И даже скорость передачи данных вряд ли сойдет за критический показатель, ведь для решения любых реальных интернет-задач этих самых 10-ти Мбит/с пользователю, руку на сердце положа, достаточно и сегодня, а потребность в пропускной способности бекбона зависит не столько от эпохи постройки сети или «поколения» (что бы это слово ни означало), а от числа обслуживаемых юзеров. А это уже параметр не технический, а, скорее, коммерческий.
Чтобы внести хоть какую-то ясность в столь запутанный вопрос, танцевать следует не от года постройки, а совсем от другой печки, от целеполагания, реальных потребностей и банальной экономики. Это, заодно, поможет нам найти и ответ на вопрос, почему и сегодня, в 2007-м году, на рынке одновременно уживаются самые разнообразные решения, пришедшие, казалось бы, из разных исторических эпох.
Первые территориальные Ethernet-сети были любительскими клубными образованиями, объединявшими, в основном, специалистов и компьютерных энтузиастов. Количество участников в такой сети было невелико, от силы, несколько десятков, все друг друга знали и имели общие цели и увлечения, так что какая-то подстава со стороны кого-то из «своих» была в таких сетях редким гостем, а если и случалась, «крыса» выявлялась без особого труда. Соответственно, отдельные меры безопасности представлялись излишними, так что вполне годилась и широковещательная среда без авторизации и какой-либо защиты. Это мог быть коаксиал, это могли быть хабы и витая пара на скорости 10 или 100 Мбит/с, для прохода больших дистанций могла использоваться оптика с медиаконвертерами или же пресловутый П-296, в данном случае все это абсолютно неважно. Такие сети сохранились, а порою и строятся до сих пор, даже в Москве, там, где речь идет об узком круге хорошо знакомых между собой единомышленников. Это сети первого поколения.
Если при сравнительно небольшом еще размере сети речь заходила не только о том, чтобы вскладчину получить удовольствие, но и хотя бы заработать себе на банку-другую пива, привлекая какое-то количество коммерческих клиентов, совсем уж игнорировать вопросы безопасности было уже невозможно. Пользователь, не являющийся членом клуба, а платящий за услугу деньги, заинтересован в том, чтобы за свои деньги получить как можно больше. Тут не исключены уже и случаи воровства трафика (на тарифах с помегабайтной оплатой) или попытки, например, разослать спам с чужого IP-адреса. В этой ситуации разумным решением будет проверять соответствие IP-адреса и MAC-адреса, а сеть разбивать на сегменты, что позволило бы более или менее легко локализовать источник проблемы. Большинство «людей с улицы» менять MAC-адрес до сих пор не научились, а если такие умники и будут проявляться, то не слишком уж часто, и в этих случаях инженеру не грех и прогуляться с ноутбуком по чердаку, да отловить злоумышленника вручную. С другой стороны, попытка технически обеспечить более высокий уровень безопасности в подобных сетях себя элементарно не окупила бы. Слишком дорого обошлось бы необходимое для этого железо, и слишком больших трудозатрат потребовали бы его настройка и сопровождение, доходы от нескольких сот абонентов попросту не отбили бы таких вложений. Оптимальным решением для такой сети, действительно, оказывается проверка связки между IP- и MAC-адресом и обзаведение минимальной техподдержкой, способной, например, настроить соединение на стороне провайдера, когда пользователь желает подключить новый компьютер. Таких сетей второго поколения не много, а очень много.
Провайдер, обслуживающий несколько тысяч абонентов, подобным решением удовлетвориться уже не сможет. Количество «паршивых овец» в стаде, по закону больших чисел, уже приведет к тому, что нечастые инциденты превратятся в постоянную головную боль. Методы подстановки произвольного MAC-адреса мало того, что хорошо известны и давно описаны, в свободном или условно-бесплатном доступе существует масса программ, позволяющих легко это сделать даже самому дремучему чайнику. Вдобавок, приток пользователей в такую сеть будет достаточно большим и стабильным, чтобы подключение новых юзеров превратилось для инженеров в рутинную служебную обязанность, отрываться от которой для ловли очередного кулхацкера было бы делом крайне досадным. Тут уже экономически оправданным становятся затраты на повышение уровня безопасности внедрение защищенной авторизации по паролю, закупку и настройку VPN-серверов, возню с этими серверами, когда их производительности не хватает для нормального обслуживания всех пользователей, и натаскивание техподдержки на тему настройки тупым юзером VPN-соединения. Не особо погрешив против истины, можно сказать, что все сегодняшние крупные территориальные сети относятся к этому третьему поколению.
Как будет выглядеть следующее, четвертое поколение сетей? Ответ на этот вопрос несложно получить, если проанализировать организационные и экономические проблемы, возникающие при дальнейшем росте, от нескольких тысяч к нескольким десяткам тысяч абонентов.
По мере укрупнения масштабов, технический ресурс становится для оператора все более дешевым, а вот человеческий все более дорогим. Дело тут даже не столько в необходимости платить зарплаты большему количеству персонала, сколько в снижении эффективности управления при росте его численности, а также дефиците квалифицированных кадров. В сети на несколько сот абонентов инженеру несложно между новыми подключениями выкроить время на ручной отлов недобросовестного пользователя, подставившего себе чужой MAC-адрес. При нескольких тысячах юзеров для этой процедуры пришлось бы содержать отдельного человека, а то и специальную службу, если, конечно, мы не хотим, чтобы потенциальные клиенты разбегались из-за того, что их не могут вовремя подключить. Нетривиальная настройка PPTP для клиента с *NIX-машиной становится рутинной процедурой, если мы начинаем обслуживать несколько десятков тысяч квартир, и тут же требует наличия в техподдержке специалистов соответствующей квалификации в любое время суток. Как только VPN-сервера в стойках начинают плодиться, как кролики в Арканзасе, управление ими превращается в постоянную и безнадежную головную боль. Вся система начинает требовать реорганизации, в противном случае неизбежно растет число пользователей, проблемы которых решаются запоздало и/или некачественно, а попутно увеличивается и текучесть абонентской базы, неминуемо влияющая на финансовый результат.
Сеть четвертого поколения, качественно и эффективно обслуживающая десятки тысяч абонентов, должна, в первую очередь, позволять подключать пользователей без сколько-нибудь существенных затрат мозга при минимальном техническом сопровождении. Чтобы со стороны провайдера настроить один раз, а со стороны юзера просто воткнуть кабель, и оно бы работало без необходимости совершать какие-то телодвижения и что-то там еще трогать, и чтобы притом обеспечивался необходимый уровень безопасности и управляемости сети.
Соответственно, главным признаком сети четвертого поколения будет отказ от всяческих VPN-ов, порождающих перманентную головную боль у админов и саппортов, в пользу управляемых коммутаторов достаточно высокого уровня на участке абонентского доступа. Да, безусловно, это влетит в копеечку. Но компании с подобной абонентской базой обладают достаточными финансовыми ресурсами, чтобы себе это позволить, а вот отказ от модернизации чреват стремительным падением надежности и качества обслуживания. Здесь же следует вспомнить IPTV и прочий «трипл-плей», не к ночи будь помянут, актуальность промышленных, а не наколенных решений такого рода также стремительно растет с ростом абонентской базы.
Появление подобных сетей четвертого поколения неизбежно станет катализатором процесса консолидации рынка. Если посмотреть на сегодняшнюю Москву, то многочисленные малые и средние сети на несколько сот или тысяч пользователей вполне успешно соседствуют с крупными корпорациями. Да, нормативы рентабельности у них по сравнению с гигантами существенно ниже, но, коль скоро при равных тарифах получается обеспечивать операционную прибыльность при сравнимом качестве и надежности, ожидать серьезного перетока абонентов не приходится.
В ситуации же, когда недобросовестному пользователю доступ блокируется парой нажатий клавиш, вместо того, чтобы бегать с ноутбуком по чердакам и «слушать» порты; когда при подключении нет необходимости надиктовывать по телефону MAC-адрес и путаться в настройках VPN, а можно просто воткнуть сетевой кабель в разъем и пользоваться услугой; когда call-центр освобожден от очереди из множества лишних звонков, а инженеру, производящему подключение, не приходится задерживаться у клиента на пару лишних часов, и он заведомо успевает вовремя на следующий вызов
Вот тут различия окажутся уже достаточно существенными для того, чтобы пользователь проголосовал за провайдера рублем и ногами.