Виртуальные частные сети

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 16:07, 6 января 2015.
Данная статья была согласована с её автором Р.А. Бельферым 28 апреля 2012 года.

__NUMBEREDHEADINGS__

Туннелирование MPLS

В технологии MPLS виртуальные частные сети VPN создаются с помощью туннелей. В отличие от VPN IP-сети в MPLS туннели создаются в результате использования стека меток.
Сказанное в предыдущей главе про коммутируемый по меткам тракт LSP уровня m справедливо и по отношению к LSP-туннелю.
В примере на рисунке 5 (глава 15) участок пути между LERl LER2 (LERl- LSR1- LSR2- LER2) является LSP-туннелем для пути пакета IP1 между LERl и LER4, проходящего через семь маршрутизаторов (LERl- LSR1- LSR2- LER2- LER3-LSR3- LER4).
LSP-туннель представляет собой последовательность маршрутизаторов, где первый маршрутизатор является входным, а последний - выходным конечным пунктом. Чтобы направить пакет в LSP-туннель, маршрутизатор входного конечного пункта туннеля помещает метку, назначенную для этого туннеля, наверх существующего в пакете стека меток. Как видно из рисунка 5, предпоследний маршрутизатор (LSR2) может уничтожить верхнюю метку в стеке до передачи пакета к выходному конечному пункту (LER2). В пределах одного LSP может быть создано несколько LSP-туннелей одного уровня с несовпадающими входными и/или выходными конечными пунктами. Например, в домене 2 может быть создано ещё один или несколько туннелей для LSP2 (при условии, что промежуточных LSR для этого тракта будет не один LSR4, а несколько). Внутри любого из LSP-туннелей можно создавать LSP-туннели следующего уровня, что обеспечивает иерархичность организации туннеля. Напомним, что стек меток MPLS организован по принципу последним пришёл - первым вышел LIFO (last-in, first-out), то есть метка, установленная последней, находится наверху стека, и только она обрабатывается при пересылке пакета. Значение бита S=1, установленное в заголовке метки показывает, что эта метка в стеке меток является самой нижней.

Виртуальная частная сеть MPLS третьего уровня (MPLS L3VPN)

В настоящем разделе рассмотрим построение виртуальных частных сетей на базе технологии MPLS (MPLS L3VPN). При этом доставка элемента данных протокола PDU от клиента до граничного маршрутизатора сети MPLS осуществляется с помощью пакета технологии IP (третий уровень согласно модели OSI).

Общая модель MPLS L3VPN

На рисунке 1 приведён пример общей модели MPLS L3VPN, состоящей из трёх виртуальных частных сетей VPN: VPN А, VPN В, VPN С.
Ядро MPLS L3VPN состоит из внутренних маршрутизаторов провайдера P (Provider router) в магистральной сети (Backbone Network) MPLS и граничных маршрутизаторов провайдера PE (Provider Edge router). В общем случае в корпоративной сети может быть несколько территориально обособленных подсетей, которые принято называть сайтами. Например, о корпоративной сети с центральным отделением и тремя удалёнными филиалами можно сказать, что они состоят из четырёх сайтов.
Маршрутизатор, с помощью которого сайт клиента подключается к граничному маршрутизатору провайдера РЕ, называется граничным маршрутизатором клиента CE (Customer Edge router).
На рисунке 1 приведён пример VPN A с двумя сайтами, VPN В с тремя сайтами и VPN С с четырьмя сайтами.

Рис.1. Пример общей модели MPLS L3VPN

Таблицы маршрутизации в VPN

Маршрутизаторы CE и PE связаны обычным физическим каналом по протоколу канального уровня (например, PPP, Ethernet, FR, ATM). Магистральная сеть провайдера MPLS, состоящая из внутренних маршрутизаторов P, обеспечивает продвижение пакета с помощью меток. Граничные маршрутизаторы РЕ содержат VPN-маршрутизаторы для поддерживаемых сайтов VPN, а внутренние маршрутизаторы Р не содержат VPN-маршрутов. На каждом маршрутизаторе РЕ создается два типа таблиц маршрутизации:

  1. глобальная таблица маршрутизации создаётся на основе сообщений из магистральной сети MPLS;
  2. таблица маршрутизации VRF (VPN Routing and Forwarding table) создаётся на основе сообщений маршрутизации, поступающих от граничных маршрутизаторов СЕ и РЕ.

На рисунке 2 приведена общая схема формирования таблиц маршрутизации VPN в граничном маршрутизаторе.

Рис. 2. Общая схема формирования таблиц маршрутизации VPN в граничном маршрутизаторе

Для работы VPN с высокой степенью защиты от несанкционированного доступа необходимо, чтобы сведения о маршрутах не становились известными за пределами этих VPN. Глобальная таблица маршрутизации создаётся с помощью внутренних шлюзовых протоколов IGP (Interior Gateway Protocols) IP-сети, к которым относится протокол OSPF. Таблица маршрутизации создаётся этими протоколами на участке между РЕ и смежными с ним внутренними маршрутизаторами Р. Она включает метку для установки в исходящий информационный пакет из выходного маршрутизатора РЕ во входной маршрутизатор Р тракта LSP конкретной VPN. Эта метка устанавливается в исходящем пакете наверху стека. На рисунке 2 приведены три смежных с РЕ1 внутренних маршрутизатора Р.

Таблица маршрутизации VRF создается протоколами маршрутизации IGP между РЕ и СЕ, а также протоколами BGP между граничными маршрутизаторами РЕ. Как показано на рисунке 1, граничный маршрутизатор РЕ может принадлежать одновременно нескольким VPN. Здесь РЕ2 принадлежит трём VPN (VPN А, VPN В, VPN С). Каждая таблица VRF в маршрутизаторе РЕ содержит необходимые данные маршрутизации для одного сайта (и, соответственно, одного маршрутизатора пользователя СЕ) одной VPN. Это обеспечивает эффективную изоляцию подсетей и позволяет разным предприятиям использовать перекрывающиеся множества частных IP-адресов. В таблице VRF маршрутизатора РЕ1 (рис. 2), подключенного к двум сайтам разных VPN (VPN А и VPN В), содержатся две таблицы – VRF А и VRF В. Если бы эти два сайта принадлежали одной и той же VPN, то число таблиц VRF также было бы две. В каждой VRF имеются следующие поля: префикс подсети сайта, соседний СЕ и другие. Адреса подсетей (префиксы) могут совпадать. РЕ-маршрутизатор преобразует их в уникальные адреса.

Формирование таблицы маршрутизации сообщениями MP-BGP

Помимо указанных в VRF данных маршрутов от подсоединённых сайтов, каждая таблица дополняется маршрутами, получаемыми от других сайтов этой VPN. Механизмом, с помощью которого сайты обмениваются маршрутной информацией, является многопротокольное расширение для протокола BGP (MP-BGP, MultiProtocol extention for BGP). С помощью MP-BGP граничные маршрутизаторы РЕ обмениваются маршрутной информацией из своих таблиц VRF, при этом дополняя их необходимыми для VPN определёнными значениями. К ним относятся метки, обеспечивающие туннелирование в VPN. При этом сообщения MP-BGP отправляются только тем маршрутизаторам РЕ, к которым подключены сайты конкретной VPN. Протокол MP-BGP передаёт из РЕ преобразованный IP-префикс подсети (адрес подсети) в VPN-префикс, добавляя к нему 64 битовый признак маршрута RD (Route Distinguisher). В результате на маршрутизаторе РЕ все адреса, относящиеся к разным VPN, будут отличаться, даже если они имеют одинаковые префиксы IP-сети. Значения RD задаются администратором сети.
Рис. 3. Формирование таблицы маршрутизации сообщениями MP-BGP

На рис. 3 показано формирование таблицы маршрутизации VRF с помощью сообщений протокола MP-BGP. Здесь показана передача сообщений от РЕ1 в РЕ2. К каждому из PE подключен сайт, принадлежащий одной и той же VPN А. В состав этих сообщений включены приведенные на рис. 3 следующие характеристики.

  1. Формируется VPN-профиль в РЕ1 для передачи маршрутизатору РЕ2, включающий префикс IP-сети сайта 2 VPNА и признак маршрута RD.
  2. Указывается адрес выходного внешнего интерфейса РЕ1, через который проходит тракт LSP к адресу назначения.
  3. Назначается метка LVPN, указывающая на таблицу VRF2 А и интерфейс маршрутизатора РЕ2, к которому подключен сайт 2 VPN А.
  4. Задаётся расширенный атрибут сообщества – маршрутная цель RT (Rout Target). Этот атрибут идентифицирует набор сайтов (и соответствующих таблиц VRF), входящих в данную VPN А, которые формируют топологию VPN.

Эти сообщения протокол MP-BGP посылает только своим соседям, которые указаны в атрибуте RT. Когда входной маршрутизатор РЕ2 получает сообщение, он отбрасывает признак маршрута RD, а затем помещает в VRF2 А значения LVPN, префикса IP-сети сайта 2.

Пересылка пакетов в VPN

MPLS-протокол LDP обеспечивает получение всеми РЕ-маршрутизаторами метки, связанные с данным РЕ-маршрутизатором. Сеть MPLS готова к обмену VPN-пакетами в тот момент, когда входной РЕ-марш-рутизатор получает метку для выходного РЕ-маршрутизатора. На рис. 4 показано перемещение пакета данных между узлами разных сайтов одной VPN. Пересылка на основании метки по магистрали провайдера базируется либо на технологии коммутации по меткам, либо на маршрутах перераспределения потоков. При передаче пакета по магистрали пакет данных пользователя содержит два уровня меток. Верхняя метка направляет пакет к требуемому PЕ-маршрутизатору, а вторая метка указывает на таблицу VRF, логически связанную с выходным интерфейсом CЕ-маршрутизатора пункта назначения. Получив IP-пакет через какой-либо интерфейс от СЕ, РЕ-маршрутизатор логически связывает его с комплексом VRF, в результате чего создаётся нижняя метка, логически связанная с выходным РЕ-маршрутизатором (который идентифицирует таблицу VRF адресата маршрута получателя и выходной интерфейс выходного РЕ-маршрутизатора). Из глобальной таблицы пересылки РЕ-маршрутизатор получает верхнюю метку, которая указывает РЕ-маршрутизатор следующего транзитного перехода. РЕ-маршрутизатор помещает обе метки в стек меток MPLS. Этот стек меток присоединяется к VPN-пакету и направляется к следующему транзитному переходу. Р-маршрутизаторы анализируют верхнюю метку и направляют пакет по сети к требуемому узлу. На выходном РЕ-маршрутизаторе верхняя метка удаляется и исследуется нижняя, указывающая таблицу VRF адресата маршрута и выходной интерфейс. После этого нижняя метка также удаляется, а IP-пакет посылается на требуемый СЕ-маршрутизатор.

Пусть, например, с сайта 2 VPN А узел с адресом 10.2.1.1/16 отправляет пакет к узлу сайта 1 этой же сети VPN, имеющему адрес 10.1.0.3./16. Стандартными транспортными средствами IP-пакет доставляется на пограничный маршрутизатор сайта СЕ3, в таблице которого для номера сети 10.1.0.0 в качестве следующего маршрутизатора указан маршрутизатор РЕ2. На маршрутизатор РЕ2 пакет поступает с интерфейса 2, поэтому для дальнейшего продвижения пакета он обращается к таблице VRF2 А, связанной с данным интерфейсом.

В таблице VRF2 А адресу 10.1.0.0 соответствует запись протокола BGP, которая указывает, что следующим маршрутизатором (NH) для пакета определён маршрутизатор РЕ1. Поле метки содержит значение LVPN=7, определяющее интерфейс выходного маршрутизатора РЕ1. Это значение должно быть присвоено пакету для того, чтобы он попал в нужную сеть VPN. Здесь также указывается, что запись была сделана протоколом BGP, а не IGP. На этом основании маршрутизатор РЕ2 «понимает», что очередной маршрутизатор не является непосредственным соседом и путь к нему надо искать в глобальной таблице маршрутизации. В глобальной таблице для адреса РЕ1 указывается начальное значение метки пути LSP, равное 3. Способ прокладки пути между маршрутизаторами PE1 и PE2 – это описано при изучении технологии MPLS в разделе 15.4, глава 15.

В сетях MPLS VPN используются иерархические свойства путей MPLS, за счет чего пакет может быть снабжен несколькими метками, помещаемыми в стек. На входе во внутреннюю сеть поставщика, образуемую маршрутизаторами Р, пакет будет снабжен двумя метками LVPN=7 и L=3. Метка LVPN интерпретируется как метка нижнего уровня – оставаясь на дне стека, она не используется, пока пакет путешествует по туннелю РЕ1-РЕ2. Продвижение пакета происходит на основании метки L верхнего уровня стека. Каждый раз, когда пакет проходит очередной маршрутизатор Р вдоль туннеля, метка L анализируется и заменяется новым значением. И только после достижения конечной точки туннеля – маршрутизатора РЕ1 – из стека извлекается метка LVPN. В зависимости от её значения пакет направляется на тот или иной выходной интерфейс маршрутизатора РЕ1 (на рис. 4 этот интерфейс обозначен Int 7). Из таблицы VRF, извлекается запись о маршруте к узлу назначения, указывающая на СЕ1 в качестве следующего маршрутизатора. Заметим, что запись об этом маршруте была помещена в таблицу VRF1А протоколом IGP. Последний отрезок путешествия пакета от СЕ1 до узла 10.1.0.3 осуществляется традиционными средствами IP.

Рис. 4. Перемещение пакета данных между узлами VPN

Здесь приняты сокращения:

  • NH (next hop) – следующий маршрутизатор;
  • VRF1 А, VRF2 А, VRF3 А – таблицы маршрутизации (соответственно в РЕ1, РЕ2, РЕ3) относящиеся к VPN A;
  • VRF1 В, VRF2 В – таблицы маршрутизации (соответственно в РЕ1, РЕ2), относящиеся к VPN В.

Рассмотрим перенос пакетов двух разных VPN через домен MPLS. Для коммутации IP-пакетов между устройствами PE используются две метки стека. Эти метки назначаются во входном PE IP-пакету, полученному от CE. Одна («внешняя») используется непосредственно для коммутации пакета маршрутизаторами домена MPLS. Внешняя метка определяет путь LSP от одного PE до другого. Вторая метка («внутренняя») идентифицирует VRF на выходном PE, которому принадлежит IP-пакет.

Рассмотрим домен MPLS, к которому подключены два VPN - VPN А и VPN В (рис. 5). VPN А образован сайтами, включающими CE1 и CE2, а VPNВ - CE3 и CE4. Как видно из рисунка, совпадают префиксы IP-адреса узлов CE1, CE3 (10.1.1.0/24), а также префиксы IP-адреса узлов CE2, CE4 (10.2.1.0/24).
На рисунке показано прохождение двух пакетов через домен MPLS.
На рисунке приняты следующие обозначения:
(1.1) – содержание полей IP-пакета, поступившего из CE1 на PE1. Поле d означает IP-адрес пользователя-получателя, а поле s IP-адрес пользователя-отправителя.
(1.5) – содержание полей IP-пакета, поступившего из PE2 в CE2.
Аналогичные содержания полей IP-пакета VPN В (от CE3 до CE4). IP-адреса пакетов обеих VPN совпадают.
Обозначения (1.2), (1.3), (1.4) включают состав полей пакетов VPN А, поступающих на маршрутизаторы Р1, Р2, РЕ2. Аналогично обозначения (2.1), (2.2), (2.3) включают состав полей пакетов VPN В, поступающих на эти же маршрутизаторы. В РЕ1 устанавливается внешняя метка, равная 345. Эта метка позволяет создать LSP-туннель от РЕ1 до РЕ2. Верхняя метка в пакетах VPN позволяет произвести коммутацию в Р1 (смену метки 345 на 600). Поскольку Р2 является предпоследним маршрутизатором LSP-туннеля, в нем производится удаление верхней метки. В результате в пакетах VPN в маршрутизаторе РЕ2 содержатся «внутренние» метки (соответственно для пакета VPN А – 1000, для пакета VPN В – 1020). Эти метки идентифицируют пакет на РЕ2 и указывают конкретный интерфейс к пользователю – Int1 для IP-пакета VPN А и Int2 для IP-пакета VPN В.

Рис. 5 Схема прохождения пакетов VPN через домен MPLS.

Рассмотрим прохождение пакета из VPN А от СЕ1 до СЕ2 через домен MPLS:

  1. РЕ1 получает пакет от СЕ1. По интерфейсу, от которого пришел пакет РЕ1 определяет, что пришедший пакет принадлежит VRF А.
  2. По VRF-таблице РЕ1 определяет, что подсеть 10.2.1.0/24 (которой предназначен пакет) доступна через домен MPLS и пакету необходимо назначить две метки 1000/345. Метки назначаются и пакет пересылается устройству Р1.
  3. Устройства Р1 и Р2 на основании своих таблиц коммутации переправляют пакет устройству РЕ2. Эти таблицы коммутации содержат множества меток и для каждой из них привязку «FEC-метка», что позволяет поддержать заданное качество обслуживания. При этом может быть использована процедура управления трафиком - инжиниринг трафика. Отметим то, что «внешняя» метка 345, назначенная пакету устройством РЕ1, определяет LSP от РЕ1 до РЕ2.
  4. РЕ2 получает пакет только с «внутренней» меткой 1000 и на основании таблицы коммутации определяет выходной интерфейс, через который должен быть переслан пакет (уже без метки).

Прохождения пакета из VPN В от СЕ3 до СЕ4 через домен MPLS происходит аналогично предыдущему примеру. Отличие лишь в значении «внутренней» метки, которая определяет или другой исходящий интерфейс на РЕ2 или другой VRF. Прохождение пакета в обратную сторону, например от СЕ2 до СЕ1 происходит также аналогично приведенному примеру, за исключением значений меток. «Внешняя» метка в этом случае будет определять LSP от РЕ2 до РЕ1, а «внутренняя» метка будет назначаться устройством РЕ1 и обозначать VRF или интерфейсы на устройства РЕ1. Из рассмотренного примера видно, что один и тот же IP-адрес может использоваться в разных VPN, то есть любая VPN может иметь собственное пространство. Для однозначной идентификации адреса пользователя (даже в том случае, когда узел пользователя использует незарегистрированный частный IP-адрес) было специфицировано семейство адресов VPN-IPv4 Adress Family. Адрес VPN-IPv4 имеет длину 12 байтов, первые восемь из которых занимает префикс, называемый различителем маршрутов RD (Route Distinguisher), а оставшиеся 4 байта содержат IPv4 адрес. Таким образом решается задача определения разных маршрутов к устройствам, имеющим один и тот же IP-адрес, но принадлежащий разным VPN.

Формирование топологии VPN

При конфигурировании каждой таблицы VRF задаются два атрибута маршрутной цели RT: один для определения политики экспорта, а другой для определения импорта маршрутов. Сравнение значений атрибутов RT в маршрутном сообщении и в параметрах VRF позволяет решить вопрос о принятии или отклонении предлагаемого маршрута, что позволяет формировать топологию сети VPN.
Пусть изображенный на рисунке 3 маршрутизатор РЕ2 получил сообщение от РЕ1. РЕ2 проверяет значение атрибута RT (политика экспорта-WHITE) в этом сообщении на совпадение с политикой импорта всех своих таблиц VRF (VRF2 А и VRF2 В). Атрибут RT WHITE совпадает с таблицей импорта VRF2 А, но не совпадает с таблицей импорта VRF2 В (GREY). Поэтому пакеты сайта 1 VPN А будут приниматься только клиентами сайта 2 VPN А и не приниматься клиентами сайта 2 VPN В. Такая топология, когда значения политики экспорта и импорта определенной VPN (на примере рис. 4 VPNА) одни и те же, называется полносвязной, то есть каждый сайт может посылать пакеты непосредственно тому сайту, в котором находится сеть назначения.
Существуют и другие варианты топологий VPN. Например, можно создать топологию звезда, когда все сайты общаются друг с другом только через центральный сайт. Для этого политика импорта центрального сайта должна совпадать только с политикой экспорта остальных сайтов, а политика экспорта центрального сайта совпадать с политикой импорта остальных сайтов.

Сравнение VPN-технологий

Настоящий раздел посвящён сравнению VPN-сетей, построенных на технологиях сетей – ATM (VPN- ATM); IP(VPN-IP); MPLS (L3VPN-MPLS). В таблице 1 приведено сравнение этих VPN по следующим показателям: уровень сложности при установке и управлении, уровень безопасности, масштабируемость, QоS, стоимость установки. Здесь же приведено пояснение (комментарии) по этим показателям.

Таблица 1. Сравнение VPN-технологий
Показатель Комментарий VPN-ATM VPN- IP L3VPN-MPLS
Уровень сложности при установке и управлении Возможности мониторинга и анализа потоков данных для быстрого создания новых служб, повышения уровня ИБ, QоS и SLA. Низкий Средний Высокий
Уровень ИБ Возможности обеспечивать различные уровни ИБ, включая аутентификацию, шифрование. Высокий Высокий Высокий
Масштабируемость Возможности расширения служб VPN малых и средних предприятий до сетей крупных предприятий. Средняя Средняя Высокая
Качество обслуживания Возможности обеспечивать требования пользователей к показателям QоS. Высокое Никакое Высокое
Стоимость установки VPN Прямые и косвенные расходы на установку VPN. Высокая Средняя Низкая

Приведём более подробно следующие преимущества VPN-сетей MPLS в части:

  • обеспечения качества обслуживания;
  • масштабируемости;
  • информационной безопасности;
  • гибкости создания сети;
  • гибкости адресации;
  • объединения различных типов данных;
  • инжиниринг трафика (перераспределение потоков);
  • сложности проектирования.

Обеспечение качества обслуживания

Механизмы MPLS-VPN обеспечивают пользователям необходимое качество соединения на всем протяжении маршрута, а провайдерам позволяют гарантировать выполнение условий соглашения об уровне обслуживания (SLA).
Технология MPLS реализует модель дифференцированного обслуживания DiffServ, позволяющая обеспечить QoS путем разделения трафика соединений на небольшое число классов. Каждому классу предусмотрено назначение приоритета обслуживания блоков данных. Выделение сетевых ресурсов производится для каждого такого класса, а не каждого соединения, как в сети АТМ, по определённому набору требуемых пользователями показателей качества и трафика.

Масштабируемость

Использование технологии MPLS позволяет создавать в одной и той же сети десятки тысяч VPN-структур. MPLS не требуют установления соединения «точка-точка» для создания VPN-сетей. Сайт пользователя имеет одноранговую связь только с одним граничным маршрутизатором РЕ, а не со всеми маршрутизаторами СЕ, которые принадлежат к VPN-сети.

Информационная безопасность

VPN-сети MPLS обеспечивают такой же уровень защиты от несанкционированного доступа, как и VPN-сети ATM. Следует отметить, что MPLS-VPN не обеспечивает целостность и конфиденциальность передаваемых данных в отличие от VPN на базе IPSec. В случае необходимости технология MPLS-VPN допускает применение IPSec для обеспечения мер информационной безопасности. Пакеты одной VPN не могут попасть в другую VPN. Безопасность обеспечивается на границе инфраструктуры провайдера, где пакеты пользователя направляются в каждую VPN. Получить доступ к граничному маршрутизатору практически невозможно, поскольку IP-пакеты однозначно идентифицируются по меткам.

Гибкость создания сети

При построении узел пользователя может находится в нескольких VPN- -сетях, что предоставляет максимальную гибкость при построении инфраструктуры. Функция MPLS выполняется в сети провайдера, а в конфигурировании оборудования пользователем либо вообще нет необходимости, либо требуется лишь незначительное. Среда MPLS прозрачна для маршрутизаторов СРЕ, т.е. СРЕ–устройствам пользователя установка MPLS не требуется.

Гибкая адресация

Пользователи используют собственные адресные пространства и не требуется преобразования открытых IP-адресов.

Объединение различных типов данных

Объединение в одном потоке различных типов данных, речи и видео.

Инжиниринг трафика

Технология MPLS позволяет перераспределять потоки, перемещая нагрузку с чрезмерно используемых частей сети в недостаточно используемые. Маршрутизация с перераспределением потоков и резервированием ресурсов позволяет провайдерам в максимальной степени использовать сетевые ресурсы, обеспечить высокое качество обслуживания QoS и добиться оптимальной работы сети. Маршрутизация в MPLS позволяет оператору применять явно заданные маршруты и принудительно направлять по ним потоки данных, что заменяет традиционные методы IP-маршрутизации и предоставляет пользователю быстрое восстановление работы сети в случае отказа канала связи или устройств. При этом достигается оптимизация недостаточно загруженных каналов и более эффективная маршрутизация.

Сложность проектирования

Недостатком VPN на базе АТМ является необходимость создания большого числа постоянных виртуальных каналов (число сочетаний числа сайтов по два). При этом сохраняется некоторая часть ручного труда и вероятность ошибочных действий администрации.