Перейти к основному содержимому

2.03. Прочие технологии сети

ОБЯЗАТЕЛЬНОДЛЯ НОВИЧКОВНЕ ДЛЯ НОВИЧКОВВ РАЗРАБОТКЕ
Разработчику Архитектору Инженеру

Прочие технологии сети

Развитие сетевых технологий не ограничивается базовыми протоколами и устройствами. Параллельно с эволюцией фундаментальных стандартов возникали и утверждались специализированные подходы — направленные на конкретные задачи: передачу голоса в реальном времени, распределённый обмен данными между равноправными узлами, беспроводную коммуникацию на больших расстояниях. Эти технологии не заменяют основу сетевой архитектуры, а дополняют её, расширяя функциональность и адаптируя сеть под новые потребности пользователей, бизнеса и общества.

Рассмотрим ключевые из них — те, которые формируют важные сегменты современного цифрового взаимодействия, но при этом не входят в ядро базового стека TCP/IP.

Эволюция HTTP

Протокол HTTP остаётся основным средством передачи гипертекста в Сети. Его ранняя реализация — HTTP/1.0, а потом и HTTP/1.1 — обеспечивала стабильную работу веба на протяжении десятилетий. Однако с ростом объёма, количества и сложности ресурсов (изображения, скрипты, стили, шрифты, анимации) стала очевидной неэффективность исходного подхода: каждый запрос требовал отдельного TCP-соединения, даже при использовании keep-alive, а порядок загрузки определялся последовательным открытием соединений. Это создавало «очереди заголовков», задержки, избыточную нагрузку на серверы.

Появление HTTP/2 в 2015 году стало важным этапом повышения производительности. Его ключевые свойства — мультиплексирование, сжатие заголовков, приоритезация потоков и серверный пуш — коренным образом изменили поведение соединения.

Мультиплексирование означает, что внутри одного TCP-соединения могут одновременно передаваться множество независимых запросов и ответов. Это устраняет блокировку «головы очереди» (head-of-line blocking), характерную для HTTP/1.1, когда один медленный или большой ресурс задерживал загрузку всех последующих. Теперь клиент и сервер обмениваются данными параллельно в рамках одного канала, что снижает латентность и ускоряет отображение страниц.

Сжатие заголовков реализовано через схему HPACK — эффективное кодирование часто повторяющихся полей (например, User-Agent, Accept, Cookie). Это сокращает объём служебной информации, особенно при большом числе запросов, и уменьшает задержки на передачу служебных данных.

Приоритезация позволяет клиенту явно указать, какие ресурсы имеют больший приоритет при загрузке. Например, HTML-документ получает наивысший приоритет, затем — критические стили и скрипты, а изображения и видео — ниже. Сервер учитывает эту иерархию при планировании отправки данных, что ускоряет восприятие готовности страницы пользователем.

Серверный пуш (server push) даёт серверу возможность инициировать отправку ресурсов, которые клиент ещё не запросил, но, вероятно, запросит в ближайшее время — например, CSS-файл, на который ссылается только что отправленный HTML. Это сокращает число циклов «запрос—ответ», особенно на начальных этапах загрузки.

Важное требование HTTP/2 — использование шифрования TLS. Хотя спецификация формально допускает незашифрованный режим (h2c), все основные браузеры поддерживают HTTP/2 только поверх TLS. Это делает шифрование де-факто обязательным компонентом современного веба.

HTTP/3 — следующий шаг, основанный не на TCP, а на протоколе QUIC (Quick UDP Internet Connections), разработанном Google и принятом IETF как стандарт. QUIC работает поверх UDP и встраивает функции надёжной доставки, управления потоками, шифрования и восстановления соединений внутрь самого протокола, а не на уровне TCP и TLS по отдельности. Благодаря этому:

  • Установка соединения происходит за один сетевой обмен (1-RTT), а при повторном обращении — без задержки (0-RTT);
  • Потеря пакетов в одном потоке не блокирует другие потоки (в отличие от TCP, где потеря одного пакета останавливает весь поток до подтверждения);
  • Восстановление соединения при смене IP-адреса (например, при переходе с Wi-Fi на мобильную сеть) происходит мгновенно, без переподключения.

В результате сайты загружаются значительно быстрее даже при одинаковой пропускной способности канала — ускорение достигается за счёт снижения латентности, параллелизма и устойчивости к нестабильности сети. Это делает опыт взаимодействия с вебом более плавным, особенно на мобильных устройствах и в сетях с высокой временной задержкой.

VoIP

Технология VoIP (Voice over IP) реализует передачу речи в цифровой форме через IP-сети. Она возникла как альтернатива традиционной коммутации каналов (PSTN — Public Switched Telephone Network), где каждому разговору выделялся выделенный физический канал на всё время соединения.

VoIP преобразует аналоговый звук в цифровой поток с помощью кодеков (например, G.711, Opus, SILK), разбивает его на пакеты и отправляет их по сети независимо друг от друга. Порядок и целостность восстанавливаются на приёмной стороне, а небольшие задержки компенсируются буферизацией.

Для минимизации задержек VoIP преимущественно использует UDP, а не TCP. TCP гарантирует доставку и порядок пакетов, но при потере пакета ожидает его повторной передачи — это вызывает паузы в речи, что неприемлемо в реальном времени. UDP не гарантирует доставку, но обеспечивает минимальную задержку: пропущенный пакет просто игнорируется, и речь продолжается. Человеческое восприятие лучше переносит кратковременные искажения, чем паузы.

VoIP-системы включают:

  • Клиентские приложения (softphones — например, Zoom, Microsoft Teams, Signal);
  • Аппаратные телефоны, подключённые к локальной сети;
  • Шлюзы, соединяющие VoIP-сеть с традиционной телефонией;
  • Серверы сигнализации, отвечающие за установку и завершение вызовов (например, по протоколу SIP — Session Initiation Protocol).

Качество VoIP зависит от параметров сети: задержки (latency), джиттера (вариации задержки между пакетами), потерь пакетов и пропускной способности. При задержке свыше 150 мс разговор становится неудобным; при джиттере выше 30 мс требуются буферы, которые, в свою очередь, увеличивают задержку. Поэтому VoIP часто разворачивается во внутренних сетях с механизмами приоритезации трафика (QoS — Quality of Service), которые отмечают голосовые пакеты специальными метками (например, DSCP) для их ускоренной обработки маршрутизаторами.

VoIP сделал возможным интеграцию телефонии с другими цифровыми сервисами: видеоконференции, обмен сообщениями, совместное редактирование документов — всё это стало частью единого коммуникационного стека, известного как UC — Unified Communications.

P2P

Технология P2P (peer-to-peer, «равный–равному») описывает архитектуру, в которой участники сети — пиры — взаимодействуют напрямую, без обязательного участия централизованного сервера для хранения или передачи данных. Это не просто способ обмена файлами; это принцип организации вычислительных ресурсов, в котором каждый участник одновременно может быть потребителем и поставщиком.

В клиент-серверной модели роль сервера фиксирована: он хранит данные, обрабатывает запросы, масштабируется за счёт увеличения мощности или количества серверных узлов. В P2P-модели нагрузка распределяется динамически: чем больше участников, тем выше общая доступная пропускная способность и ёмкость системы. Отказ одного пира не нарушает работу остальных — устойчивость достигается за счёт избыточности.

Первые массовые P2P-системы — Napster (1999), затем Gnutella, eDonkey2000 — продемонстрировали эффективность распределённого поиска и обмена. Napster использовал централизованный индекс для поиска, но передачу выполнял напрямую между пользователями. Gnutella отказалась от центрального каталога, сделав поиск децентрализованным: запрос распространялся по «ближайшим» узлам, каждый из которых пересылал его дальше, пока не находился нужный ресурс. Такой подход обеспечивал устойчивость, но страдал от высокой служебной нагрузки (flooding) и медленного поиска.

Современные P2P-сети, в первую очередь BitTorrent, реализуют гибридный подход, сочетающий элементы централизации и децентрализации для баланса между эффективностью и отказоустойчивостью.

BitTorrent

BitTorrent — протокол и экосистема, ориентированные на эффективное распределение крупных файлов. Его ключевая идея — фрагментарная загрузка и одновременная отдача.

Файл, предназначенный для распространения, разбивается на фиксированные по размеру части — чанки (chunks), обычно от 16 КБ до 16 МБ. Каждый чанк имеет уникальный хеш (контрольная сумма), что позволяет проверять целостность при приёме и обнаруживать повреждения без зависимости от источника.

Для начала обмена необходим метафайл.torrent. Он содержит:

  • Информацию о файле или наборе файлов (имена, размеры, структуру каталогов);
  • Хеши всех чанков;
  • Адреса трекеров — серверов, координирующих взаимодействие участников.

Клиент, запустивший загрузку, обращается к трекеру и получает список других участников, уже обладающих файлом (сидеров) или находящихся в процессе загрузки (личеров). Затем клиент устанавливает прямые TCP-соединения с выбранными парами и начинает обмен: запрашивает отсутствующие чанки, одновременно отдавая те, которые уже получил.

Особенность BitTorrent — алгоритм «tit-for-tat» («око за око»). Клиент отдаёт данные преимущественно тем парам, которые активно отдают ему в ответ. Это стимулирует сотрудничество и предотвращает «паразитирование» — скачивание без отдачи. Современные клиенты также поддерживают endgame mode: на завершающей стадии загрузки запрашивают оставшиеся чанки у всех доступных пиров одновременно, чтобы избежать задержек из-за медленного одного источника.

Trackerless-сети и DHT

Зависимость от трекеров — уязвимость: их отключение прекращает поиск новых участников. Чтобы устранить эту точку отказа, BitTorrent внедрил DHT (Distributed Hash Table) — децентрализованную распределённую хеш-таблицу.

В DHT каждый пир хранит часть глобального каталога: соответствие между infohash (уникальным идентификатором раздачи, вычисляемым из содержимого .torrent-файла) и списком пиров, участвующих в этой раздаче. Запрос на поиск пиров для конкретной раздачи передаётся по сети DHT по правилам, основанным на Kademlia — эффективном алгоритме маршрутизации в P2P-сетях. Каждый узел направляет запрос ближайшим по «идентификаторному расстоянию» соседям, и за логарифмическое число шагов запрос достигает узлов, хранящих нужную информацию.

DHT работает независимо от трекеров. Многие клиенты используют оба механизма параллельно: сначала опрашивают трекер, затем — DHT, а также поддерживают PEX (Peer Exchange) — обмен списками пиров напрямую между участниками сессии, что дополнительно ускоряет нахождение источников.

Магнитные ссылки

Для упрощения распространения раздач без необходимости хранить и передавать .torrent-файлы появились магнитные ссылки (magnet:?xt=urn:btih:…). Они содержат только infohash и, опционально, имя раздачи и адреса трекеров/DHT-узлов. Клиент, получив такую ссылку, самостоятельно восстанавливает метаданные через DHT или трекер, а затем начинает загрузку.

Таким образом, BitTorrent демонстрирует зрелую P2P-архитектуру: гибридную координацию, стимулирующие алгоритмы, отказоустойчивость, минимальную зависимость от инфраструктуры. Эта модель легла в основу других систем — например, IPFS (InterPlanetary File System), где вместо файлов адресуются контент по его хешу, а сеть обеспечивает хранение и поиск без центрального реестра.

Радиосвязь

Развитие сетевых технологий невозможно отделить от физического слоя передачи сигнала. До конца XIX века телеграф и телефон требовали проводного соединения — каждая линия связи представляла собой физическую цепь из металлических проводников. Прорыв произошёл после теоретических работ Джеймса Клерка Максвелла и экспериментального подтверждения Генрихом Герцем существования электромагнитных волн.

Открытие показало: колебания электрического и магнитного полей могут распространяться в пространстве со скоростью света, не требуя материальной среды. Это позволило реализовать радиопередачу — модуляцию несущей электромагнитной волны параметрами передаваемого сигнала (амплитудой, частотой или фазой) и её приём на расстоянии с помощью антенн.

Радиосвязь ввела принцип вещательной передачи: один передатчик может обслуживать неограниченное число приёмников в зоне покрытия. Это кардинально отличается от точечного соединения «один к одному», характерного для проводных линий. Именно этот принцип лёг в основу всех современных беспроводных технологий — от радио и телевидения до Wi-Fi, Bluetooth, сотовых сетей и спутниковой связи.

В сетевых протоколах радиоканал рассматривается как общий разделяемый ресурс. Доступ к нему регулируется методами множественного доступа:

  • FDMA (Frequency Division Multiple Access) — разделение по частоте: каждый пользователь получает выделенную полосу;
  • TDMA (Time Division Multiple Access) — разделение по времени: пользователи передают поочерёдно в выделенных временных слотах;
  • CDMA (Code Division Multiple Access) — разделение по коду: все передают одновременно на одной частоте, но с уникальными ортогональными кодами, позволяющими приёмнику выделить нужный сигнал;
  • OFDMA (Orthogonal Frequency Division Multiple Access) — комбинация FDMA и TDMA на основе ортогональных поднесущих, используется в Wi-Fi 6 и 5G.

Беспроводные сети наследуют свойства радиоканала: ограниченная зона покрытия, зависимость качества от расстояния и помех, отражения сигнала (многолучевость), необходимость управления мощностью и согласования антенн. Эти особенности учитываются на всех уровнях стека протоколов — от физического (модуляция, кодирование с исправлением ошибок) до канального (механизмы подтверждения, повторной передачи, управления доступом).

Multicast

В классической модели передачи — unicast — каждый поток данных направляется от отправителя к одному конкретному получателю. При необходимости отправить один и тот же контент множеству адресатов (трансляция видео, обновления ПО, распределённые вычисления) unicast требует дублирования потока на каждом этапе маршрутизации: сервер отправляет N копий, маршрутизаторы реплицируют их, сеть перегружается одинаковыми пакетами.

Multicast решает эту задачу иначе: данные передаются один раз в сеть, а репликация происходит только в точках ветвления дерева доставки — там, где пути к разным получателям расходятся. Получатели явно вступают в группу, используя протокол IGMP (Internet Group Management Protocol) в IPv4 или MLD (Multicast Listener Discovery) в IPv6, сообщая локальному маршрутизатору о желании принимать трафик для конкретного multicast-адреса.

Multicast-адреса выделены в отдельные диапазоны:

  • В IPv4 — класс D: от 224.0.0.0 до 239.255.255.255;
  • В IPv6 — префикс ff00::/8.

Для построения дерева доставки используются протоколы маршрутизации, поддерживающие multicast — например, PIM (Protocol Independent Multicast). Существует два основных режима:

  • PIM-SM (Sparse Mode) — для групп с редкими участниками. Дерево строится «от получателя к источнику»: при вступлении в группу запрос идёт к ближайшему rendezvous point (RP), а затем — к источнику. Эффективен при большом количестве групп и разрежённом покрытии.
  • PIM-DM (Dense Mode) — для групп с плотным покрытием. Данные сначала рассылаются по всей сети (flood), а затем участки, где нет заинтересованных получателей, отсекаются (prune). Подходит для локальных сегментов с высокой концентрацией подписчиков.

Multicast применяется в:

  • IPTV и видеоконференцсвязи (например, в корпоративных трансляциях);
  • Распределённых системах мониторинга (передача метрик от агентов к централизованным коллекторам);
  • Синхронизации времени (PTP — Precision Time Protocol);
  • Обновлениях firmware для парка устройств (например, в умных зданиях или промышленных сетях).

Важное ограничение: multicast плохо совместим с NAT и большинством публичных интернет-провайдеров, которые не проксируют multicast-трафик. Поэтому в глобальном интернете multicast практически не используется — вместо него применяются CDN, WebRTC или unicast-репликация. Однако внутри контролируемых сетей (кампусы, дата-центры, промышленные объекты) multicast остаётся незаменимым инструментом экономии ресурсов.

SDN

Архитектура традиционных сетевых устройств объединяет управление (control plane) и пересылку (data plane) в одном «железе». Маршрутизатор сам принимает решения — какие маршруты использовать, как фильтровать трафик, куда направлять пакеты — на основе локальных протоколов (OSPF, BGP, STP) и конфигурации.

SDN (Software-Defined Networking) разделяет эти плоскости:

  • Data plane остаётся в коммутаторах и маршрутизаторах, но выполняет только простые действия — сопоставление заголовков пакетов с таблицами потоков (flow tables) и применение правил (переслать, отбросить, изменить);
  • Control plane выносится в централизованный или распределённый контроллер, который обладает глобальным представлением о топологии сети и динамически программирует flow tables на устройствах через открытый протокол — чаще всего OpenFlow.

Контроллер получает данные о состоянии сети — загрузке каналов, задержках, отказах — и может принимать решения в реальном времени: перенаправить трафик вокруг перегруженного звена, выделить гарантированную полосу для видеоконференции, изолировать компрометированное устройство. Это превращает сеть из статической инфраструктуры в гибкую, управляемую программно среду.

SDN нашёл применение в:

  • Дата-центрах, где требуется динамическое выделение виртуальных сетей (VXLAN, NVGRE) для изоляции tenant-ов в облаке;
  • Тестировании и моделировании сетей — с помощью контроллеров можно эмулировать сложные топологии без физического оборудования;
  • Безопасности — реализация микросегментации: каждое приложение или даже контейнер получает собственные правила доступа, обновляемые автоматически;
  • Интеграции с оркестраторами (Kubernetes, OpenStack), где сеть настраивается одновременно с развёртыванием сервисов.

Важно: SDN — не конкретный продукт, а архитектурный подход. Он совместим с существующим оборудованием через гибридные режимы и развивается в сторону распределённых контроллеров (для отказоустойчивости) и intent-based networking — управления через декларативные цели («этот сервис должен быть доступен с задержкой <10 мс»), а не через низкоуровневые правила.

QUIC beyond HTTP/3

Хотя QUIC наиболее известен как основа HTTP/3, его потенциал шире. QUIC — это транспортный протокол, реализованный на уровне приложения (поверх UDP), сочетающий функции, традиционно распределённые между TCP, TLS и прикладным уровнем.

Его ключевые свойства:

  • Интегрированное шифрование: все данные, включая заголовки потоков, защищены TLS 1.3. Нет незашифрованного handshake’а, как в TCP+TLS;
  • Мультиплексирование на уровне потоков: потеря пакета в одном потоке не влияет на другие;
  • Подключение по идентификатору соединения (Connection ID), а не по паре IP+порт. Это позволяет сохранять сессию при смене IP-адреса (роуминг между Wi-Fi и сотовой сетью);
  • Расширяемость через кадры (frames): новые функции (например, анонсирование новых потоков, управление приоритетами) добавляются без изменения базовой структуры.

Эти особенности делают QUIC привлекательным для других сценариев:

  • Веб-транспорт (WebTransport) — API в браузерах, позволяющий устанавливать надёжные и ненадёжные потоки поверх QUIC. Открывает путь для low-latency приложений: онлайн-игры, удалённый доступ к рабочему столу, интерактивные стримы;
  • gRPC over QUIC — повышение отказоустойчивости для микросервисных взаимодействий в мобильных и нестабильных сетях;
  • IoT-коммуникация, где важна экономия на handshake и устойчивость к изменениям IP.

Разработка QUIC продолжается: рассматриваются механизмы 0-RTT-реконнекта без риска атак повтора, поддержка multicast-подобных рассылок, интеграция с DSCP для приоритезации в сетях.

Mesh-сети

Mesh-сеть (ячеистая сеть) — это топология, в которой каждый узел может ретранслировать данные для других участников. В отличие от звезды (все через центр) или дерева (иерархия), mesh обеспечивает множественные пути между любыми двумя точками.

Существует два типа:

  • Полносвязная mesh: каждый узел соединён со всеми остальными — теоретически идеально, но не масштабируемо из-за квадратичного роста соединений;
  • Частично связная mesh: узлы соединены только с соседями, но маршруты строятся динамически. Именно этот тип реализуется на практике.

Ключевой компонент — протокол маршрутизации, адаптированный к динамике беспроводной среды. Примеры:

  • OLSR (Optimized Link State Routing) — proactive: каждый узел постоянно хранит карту всей сети;
  • AODV (Ad hoc On-Demand Distance Vector) — reactive: маршрут строится только по запросу;
  • B.A.T.M.A.N. (Better Approach To Mobile Ad-hoc Networking) — используется в проектах Freifunk, оптимизирован для высокой мобильности.

Mesh-сети применяются в:

  • Городских беспроводных сетях (community networks), где жители объединяют точки доступа для покрытия района;
  • Промышленной автоматизации — датчики в цеху образуют сеть без единой точки отказа;
  • Военных и аварийных операциях, где инфраструктура уничтожена, а развернуть сеть нужно за минуты.

Современные стандарты — например, Wi-Fi EasyMesh — стандартизуют взаимодействие mesh-точек от разных производителей, что упрощает развёртывание домашних и корпоративных сетей с единым SSID и автоматическим roaming’ом.

Беспроводные технологии для интернета вещей

Классические Wi-Fi и Bluetooth не всегда подходят для IoT: они энергозатратны, имеют ограниченную дальность или пропускную способность. Для задач «много устройств — мало данных — долго от батареи» разработаны специализированные стандарты.

LoRaWAN

LoRaWAN (Long Range Wide Area Network) — протокол для LPWAN (Low-Power Wide-Area Network). Он использует физический уровень LoRa — модуляцию CSS (Chirp Spread Spectrum), устойчивую к шумам и обеспечивающую дальность до 15 км в сельской местности.

Сеть состоит из:

  • Узлов (сенсоры, счётчики) — работают от батареи 5–10 лет;
  • Шлюзов — принимают данные от узлов и передают их в облако через интернет;
  • Сервера сети — управляет шифрованием, маршрутизацией, дедупликацией.

LoRaWAN поддерживает три класса устройств:

  • Класс A — минимальное энергопотребление: устройство передаёт, затем открывает два коротких окна приёма;
  • Класс B — периодические окна приёма по расписанию (beacon’ы от шлюза);
  • Класс C — почти постоянный приём, для подключённых к сети устройств.

Типичные применения: умные счётчики, мониторинг сельхозугодий, парковочные датчики.

Zigbee

Zigbee — стандарт для короткодистанционных mesh-сетей (до 100 м), работающий в лицензированных частотах 2.4 ГГц (глобально), 868 МГц (Европа), 915 МГц (США). Основан на IEEE 802.15.4.

Особенности:

  • Низкое энергопотребление (месяцы–годы от батареи);
  • Поддержка до 65 000 узлов в одной сети;
  • Mesh-маршрутизация с автоматическим восстановлением при отказах;
  • Встроенное шифрование AES-128.

Zigbee широко используется в системах «умного дома»: освещение, датчики движения, термостаты. Коалиция Connectivity Standards Alliance (бывшая Zigbee Alliance) развивает Matter — надстройку над Zigbee, Thread и Wi-Fi, обеспечивающую кроссплатформенную совместимость устройств от разных производителей.

Delay-Tolerant Networking (DTN)

Стандартные сетевые протоколы — TCP/IP — предполагают наличие сквозного соединения и относительно стабильных условий передачи. Они не подходят для сред, где связь прерывиста, задержки измеряются минутами или часами, а потеря пакетов — норма. Такие условия возникают в:

  • Космической связи (между спутниками, станциями, планетами);
  • Удалённых районах без инфраструктуры (арктические станции, суда в открытом океане);
  • Зонах бедствий, где наземные сети разрушены;
  • Мобильных сценариях с редкими контактами (например, автономные дроны, передающие данные только при возврате на базу).

Для этих случаев разработана архитектура DTN (Delay-Tolerant Networking), стандартизированная IETF в RFC 9171. Её основа — пакетная передача с сохранением и пересылкой (store-and-forward), но с расширенной семантикой.

В отличие от IP, где пакет живёт ограниченное время (TTL), в DTN единицей передачи является bundle — контейнер, содержащий:

  • Данные приложения;
  • Метаданные: идентификаторы отправителя и получателя в формате endpoint ID (EID), не привязанные к IP-адресу;
  • Политики доставки: «доставить как можно быстрее», «ждать до появления канала с пропускной способностью > X», «удалить после времени Y»;
  • Криптографические подписи и шифрование на уровне bundle.

Узлы DTN хранят bundles на локальном носителе, пока не появится подходящая возможность передачи — например, при сближении с другим узлом (в opportunistic networking) или при выходе в зону покрытия спутника. Протокол BP (Bundle Protocol) координирует эти операции, а LTP (Licklider Transmission Protocol) обеспечивает надёжную передачу по высоко-задержечным каналам — например, в миссиях NASA к Марсу.

DTN применяется в:

  • NASA Deep Space Network — управление зондами в межпланетном пространстве;
  • Проектах беспилотной авиации в Арктике;
  • Системах экстренной связи в отдалённых регионах РФ (например, для передачи данных с метеостанций).

Эта парадигма показывает: сеть может быть не непрерывной средой, а последовательностью кратковременных контактов, где данные путешествуют, как почтовые отправления, через цепочку доверенных промежуточных пунктов.

Сетевая виртуализация

Физическая сеть — коммутаторы, кабели, VLAN’ы — ограничена масштабируемостью, сложностью управления и привязкой к географии. Сетевая виртуализация абстрагирует логическую сеть от физической инфраструктуры, позволяя создавать гибкие, изолированные, программно управляемые сетевые домены.

Ключевой механизм — инкапсуляция трафика: оригинальный Ethernet- или IP-пакет помещается внутрь нового пакета с внешним заголовком, содержащим информацию для маршрутизации по физической сети. На приёмной стороне инкапсуляция снимается, и пакет доставляется получателю так, будто он находился в локальной сети.

Наиболее распространённые протоколы инкапсуляции:

  • VXLAN (Virtual eXtensible LAN) — использует UDP-порт 4789 и 24-битный VXLAN Network Identifier (VNI), что даёт 16 миллионов изолированных сегментов (в отличие от 4094 у VLAN). Широко применяется в VMware NSX, OpenStack, Kubernetes (CNI-плагины типа Calico, Flannel).
  • NVGRE (Network Virtualization using Generic Routing Encapsulation) — использует GRE-инкапсуляцию и 24-битный Tenant ID. Поддерживается Microsoft Azure Stack.
  • Geneve (Generic Network Virtualization Encapsulation) — более гибкий стандарт от IETF, предусматривающий расширяемые опции в заголовке. Позиционируется как единый протокол будущего, приходящий на смену VXLAN и NVGRE.

Виртуальная сеть может:

  • Пересекать физические границы дата-центров (multi-site overlay);
  • Иметь собственную модель безопасности — stateful firewall, IDS/IPS на уровне виртуального порта;
  • Интегрироваться с оркестрацией: при создании виртуальной машины или контейнера сеть настраивается автоматически.

Таким образом, сетевая виртуализация превращает сеть из жёсткой инфраструктуры в динамический, декларативно управляемый ресурс, сопоставимый по гибкости с вычислительными и хранилищными пулами.

NFV

Рядом с SDN идёт NFV (Network Functions Virtualization) — инициатива ETSI по замене специализированного сетевого оборудования (firewall’ы, балансировщики, шлюзы) на программные реализации, работающие на стандартных серверах.

Традиционно каждая функция — от маршрутизатора до DPI-анализатора — требовала отдельного «железного» устройства с проприетарной ОС и ASIC-ускорением. NFV выделяет:

  • VNF (Virtualized Network Function) — программный экземпляр функции (например, виртуальный маршрутизатор на базе VyOS или Cisco CSR1000v);
  • NFVI (NFV Infrastructure) — вычислительные, сетевые и хранилищные ресурсы, на которых разворачиваются VNF;
  • MANO (Management and Orchestration) — система управления жизненным циклом: от развёртывания до масштабирования и отказоустойчивости.

Преимущества NFV:

  • Снижение CAPEX и OPEX — использование commodity-оборудования;
  • Гибкость развёртывания — VNF можно развернуть за минуты, а не недели;
  • Автоматизация — интеграция с CI/CD, policy-driven scaling.

NFV особенно эффективен в edge-вычислениях: на базовой станции 5G можно развернуть функции безопасности и шейпинга трафика в виде контейнеров, адаптируясь к локальным требованиям без замены оборудования.