A VPN (Virtual Private Network) egy virtuális magánhálózat vagy logikai hálózat, amelyet nem biztonságos hálózatokon (távközlési szolgáltató vagy internetszolgáltató hálózatain) hoznak létre. A VPN olyan technológia, amely megvédi az adatokat a nem biztonságos hálózatokon történő továbbítás során. A virtuális magánhálózat lehetővé teszi alagút létrehozását nem biztonságos hálózatokban (két hálózati pont között), például ATM-, FR- vagy IP-hálózatokban.

A VPN segítségével kapcsolatokat hozhat létre: hálózat-hálózat, csomópont-hálózat vagy csomópont-csomópont. A VPN technológia ilyen tulajdonságai lehetőséget adnak arra, hogy az egymástól földrajzilag távol eső vállalati irodák helyi hálózatait egyetlen vállalati hálózatba vonják össze. információs hálózat. Megjegyzendő, hogy a vállalati számítógépes hálózatok (CCN) dedikált (magán vagy bérelt) kommunikációs csatornák alapján is szervezhetők. Az ilyen szervezési eszközöket olyan kis KVS-eknél (kompaktan elhelyezkedő irodákkal rendelkező vállalkozásoknál) használják, amelyek forgalma nem változik az idő múlásával.

A VPN-ek fő típusai és kombinációik ismertek:

• Intranet VPN (belső vállalati VPN);
• Extranet VPN (vállalatközi VPN);
• Remote Access VPN (VPN távoli hozzáféréssel);
• Kliens/Szerver VPN (VPN két vállalati hálózati csomópont között).

Jelenleg a következő technológiákat használják vállalati földrajzilag elosztott hálózatok kiépítésére a szolgáltatók és távközlési szolgáltatók megosztott infrastruktúrájában:

• GRE vagy IPSec VPN technológiát használó IP alagutak;
• SSL, amely magában foglalja az OpenVPN-t és az SSL VPN-t (SSL/TLS VPN) a biztonságos kommunikációs csatornák szervezésére;
• MPLS a szolgáltató hálózatában (L3 VPN) vagy VPN a BGP/MPLS hálózatban;
• Metro Ethernet VPN az üzemeltető hálózatában (L2 VPN). A Metro Ethernet VPN-ben használt legígéretesebb technológia az MPLS alapú VPN (MPLS L2 VPN) vagy VPLS.

Ami a bérelt vonalak és a Frame Relay, a vállalati földrajzilag elosztott hálózatok szervezésére szolgáló ATM-technológiák használatát illeti, ezeket gyakorlatilag nem használják erre a célra. Manapság a KVS rendszerint overlay hálózatokra (kliens-szerver és peer-to-peer hálózatok) épül, amelyek az operátorok megosztott infrastruktúrájában működnek, és a klasszikus hálózati protokollok "kiegészítői".

Földrajzilag elosztott rendszerezés vállalati hálózatok A szolgáltatók a következő alapvető VPN-modelleket biztosítják az ügyfeleknek az internetes környezetben:

• IP VPN modell (GRE, IPSec VPN, OpenVPN) WAN hálózaton keresztül, amelyben VPN beállítása az ügyfél által biztosított;
• modell L 3 VPN vagy MPLS L3 VPN WAN hálózaton keresztül, amelyben a VPN konfigurációt a szolgáltató vagy a távközlési szolgáltató biztosítja;
• L2 VPN modell MAN hálózaton keresztül, amelyben a VPN konfigurációt a szolgáltató vagy a távközlési szolgáltató biztosítja:
  • pont-pont (AToM, 802.1Q, L2TPv3);
  • többpontos (VPLS és H-VPLS).

A VPN-technológiák aszerint is osztályozhatók, hogyan valósítják meg őket protokollok használatával: hitelesítés, alagútkezelés és IP-csomagok titkosítása. Például a VPN-ek (IPSec, OpenVPN, PPTP) az ügyféladatok titkosításán, a VPN-ek (L2TP és MPLS) a VPN-ügyfelek közötti adatfolyamok megosztásán, az SSL VPN pedig kriptográfián és forgalom-hitelesítésen alapul. A VPN-ek azonban általában vegyes opciókat használnak, amikor a technológiákat kombinálják: hitelesítés, alagút és titkosítás. A VPN hálózatok szervezése alapvetően az OSI modell kapcsolati és hálózati rétegeinek protokolljain alapul.

Megjegyzendő, hogy az SSL VPN (Secure Socket Layer) technológiát mobil távoli felhasználók számára fejlesztették ki, amely a privát adatok (felhasználói adatok) interneten keresztüli átvitelének más elvén alapul. Az SSL VPN a HTTPS alkalmazásréteg protokollt használja. A HTTPS-hez a 443-as portot használják, amelyen a kapcsolat TLS (Transport Layer Security - szállítási réteg biztonság) használatával jön létre.

A TLS és az SSL (az OSI modell TLS és SSL Layer 6 protokollja) olyan kriptográfiai protokollok, amelyek megbízható védelem alkalmazási réteg adatait, mivel aszimmetrikus kriptográfiát, szimmetrikus titkosítást és üzenet-hitelesítési kódokat használnak. De mivel a TCP/IP veremben 4 réteg van definiálva, pl. Mivel nincsenek munkamenet- és prezentációs rétegek, ezek a protokollok a TCP / IP-veremben lévő szállítási rétegen működnek, biztosítva az adatátvitel biztonságát az internetes csomópontok között.

IP VPN modell, amelyben a VPN konfigurációt az ügyfél biztosítja

Az IP VPN modell megvalósítható az IPSec szabvány vagy más VPN protokollok (PPTP, L2TP, OpenVPN) alapján. Ebben a modellben az ügyfél routerei közötti interakció a szolgáltató WAN hálózatán keresztül jön létre. Ebben az esetben a szolgáltató nem vesz részt a VPN felállításában, csak a nem biztonságos hálózatait biztosítja az ügyfél forgalmának továbbítására. A szolgáltatói hálózatok kizárólag az ügyfélirodák közötti tokozott vagy átlátszó (átlátszó) VPN-kapcsolatokra szolgálnak.

A VPN konfigurálása az ügyfél telekommunikációs lehetőségeinek felhasználásával történik, pl. az ügyfél maga kezeli a forgalomirányítást. A VPN-kapcsolat egy nem biztonságos pont-pont hálózaton keresztüli kapcsolat: „VPN-átjáró – VPN-átjáró” az irodák távoli helyi hálózatainak összekapcsolására, „VPN-felhasználó – VPN-átjáró” a távoli alkalmazottak központi irodával való összekapcsolására.

A VPN-hálózat megszervezéséhez a vállalat minden irodájában egy útválasztót telepítenek, amely biztosítja az irodai hálózat és a VPN-hálózat interakcióját. Az útválasztókra telepítve van a biztonságos VPN-ek létrehozására szolgáló szoftver, például az ingyenes, népszerű OpenVPN-csomag (ebben az esetben az OpenVPN-csomagot úgy kell konfigurálni, hogy útválasztási módban működjön). Az OpenVPN technológia az SSL-szabványon alapul az interneten keresztüli biztonságos kommunikációhoz.

Az OpenVPN a 2. és 3. OSI rétegen alapuló biztonságos kapcsolatokat biztosít. Ha az OpenVPN úgy van beállítva, hogy híd módban működjön, akkor biztonságos kapcsolatokat biztosít az OSI 2. rétege alapján, ha útválasztási módban, akkor a 3. rétegen alapuló biztonságos kapcsolatokat. Az OpenVPN az SSL VPN-től eltérően nem támogatja a VPN-hozzáférést webböngészőn keresztül. Az OpenVPN további alkalmazást (VPN-klienst) igényel.

A vállalat központi irodai útválasztója VPN-kiszolgálóként, a távoli irodai útválasztók pedig VPN-kliensként vannak konfigurálva. Útválasztók VPN-kiszolgáló és VPN-kliensek ISP-hálózatokon keresztül csatlakoznak az internethez. Ezenkívül egy távoli felhasználó számítógépe csatlakoztatható a központi irodához a VPN-kliens program PC-n történő konfigurálásával. Ennek eredményeként megkapjuk az IP VPN modellt (a képernyőképet az 1. ábra mutatja).

Rizs. 1. IP VPN hálózati modell (Intranet VPN + Remote Access VPN)

MPLS L3 VPN vagy L3 VPN modell, amelyben a VPN beállítást a szolgáltató vagy a szolgáltató (szolgáltató) biztosítja

Fontolja meg a VPN-hálózat felállításának folyamatát a különböző városokban található szolgáltatói ügyfélirodák három távoli helyi hálózatához (például SC-3 Corporation), egy szolgáltató MPLS L3 VPN technológia alapján épített gerinchálózatának felhasználásával. Ezenkívül a távoli munkaállomás PC és a mobil felhasználó laptopja csatlakozik az SC-3 vállalat hálózatához. Az MPLS L3 VPN modellben a szolgáltató berendezése részt vesz az ügyfélforgalom WAN-on keresztül történő irányításában.

Ebben az esetben az ügyfélforgalom továbbítása a szolgáltató ügyfél irodáinak helyi hálózataiból a szolgáltató gerinchálózatába az MPLS VPN hálózatba IP technológiával történik. A VPN hálózat megszervezéséhez a cég minden irodájában egy perifériás vagy border CE router (Customer Edge router) van felszerelve, amely fizikai csatornán keresztül kapcsolódik a szolgáltató (üzemeltető) egyik border PE routeréhez (Provider Edge router). ) MPLS hálózat. Ugyanakkor a CE és PE ​​routereket összekötő fizikai csatornán a link réteg protokollok egyike (PPP, Ethernet, FDDI, FR, ATM stb.) működhet.

A szolgáltató (szolgáltató vagy távközlési szolgáltató) hálózata perifériás PE-routerekből és egy maghálózatból (hálózati mag) P címkekapcsolós gerincútválasztókkal (Provider router) áll. Így az MPLS L3 VPN az ügyfél irodai helyi IP hálózataiból és a szolgáltató MPLS gerinchálózatából (MPLS tartomány) áll, amely az ügyfél irodáinak elosztott helyi hálózatait egyesíti egyetlen hálózat.

Az ügyfél irodáinak távoli helyi hálózatai IP-csomagokat cserélnek a szolgáltató MPLS hálózatán keresztül, amelyben MPLS alagutak vannak kialakítva az ügyfélforgalom továbbítására a szolgáltató gerinchálózatán. Az MPLS L3 VPN hálózati modelljének képernyőképe (Intranet VPN + Remote Access VPN) látható a 2. ábrán. 2. A hálózati diagram egyszerűsítése érdekében a következő kezdeti feltételeket fogadjuk el: minden irodai LAN egy VPN-hez tartozik, a mag (gerinc) hálózat pedig MPLS tartomány, amely a nemzeti szolgáltató egységes irányítása alatt áll (kommunikáció). operátor).

Megjegyzendő, hogy az MPLS L3 VPN különböző szolgáltatók több MPLS tartományának felhasználásával is megszervezhető. A 2. ábra egy teljesen hálós VPN topológiát mutat.

Rizs. 2. MPLS L3 VPN hálózati modell (Intranet VPN + Remote Access VPN)

PE routerek működése

A CE és PE ​​(ügyfél és szolgáltató) perifériás útválasztók a belső IGP útválasztási protokollok (RIP, OSPF vagy IS-IS) egyikével cserélnek útválasztási információkat egymással. Az útválasztási információk cseréjének eredményeként minden PE-router külön (külső) VRF (VPN Routing and Forwarding) útválasztási táblát hoz létre. helyi hálózat az ügyfél irodája CE routeren keresztül csatlakozik hozzá. Így a CE-től kapott útválasztási információ rögzítve van a PE VRF táblájában.

A VRF táblát ún virtuális asztalútválasztás és promóció. Csak a PE-routerek tudják, hogy az MPLS-hálózatban ügyfél VPN-t állítottak be. Az MPLS L3 VPN hálózati modellből az következik, hogy az ügyfél CE routerei között nem cserélődnek útválasztási információk, így az ügyfél nem vesz részt az MPLS gerinchálózaton keresztüli forgalomirányításban, a VPN-t (PE routerek és P routerek) a szolgáltató konfigurálja ( operátor).

A PE routerhez különböző ügyfelek több VPN hálózata is csatlakoztatható (3. ábra). Ebben az esetben a PE router minden interfészére (int1, int2 stb.) külön útválasztási protokoll kerül telepítésre, amelyre az ügyfél irodájának helyi hálózata csatlakozik. Minden PE-útválasztó interfészhez az egyik IGP-protokoll létrehoz egy VRF-útválasztó táblát, és minden VRF-útválasztó tábla megfelel az egyes ügyfelek VPN-útvonalainak.

Például az SC-3 ügyfél és a CE0-n keresztül a PE0-hoz csatlakoztatott LAN0 (főiroda) hálózata esetén egy VRF1 SC-3 tábla jön létre a PE0-n, az SC-3 ügyfél LAN1-én, a VRF2 SC-3 a PE1-en. , LAN2-hez a PE2-n - VRF3 SC-3 stb., és ugyanahhoz a VPN SC3-hoz tartoznak. A VRF1 SC-3 táblázat közös a CE0 és CE4 útválasztási információkban. Meg kell jegyezni, hogy a VRF táblák frissítésre kerülnek az ügyfél összes többi irodájának helyi hálózatának címével kapcsolatos információkkal, amelyek az MP-BGP protokollt (multiprotocol BGP) használják. Az MP-BGP az útvonalak közvetlen cseréjére szolgál a PE útválasztók között, és VPN-IPv4 címeket hordozhat az útválasztási információkban.

A VPN-IPv4-címek forrás IPv4-címekből és egy adott VPN-t azonosító RD (Route Distinguisher) előtagból vagy útvonalfeloldóból állnak. Ennek eredményeként egy VPN-hálózathoz azonos útvonalú VRF-táblázatok jönnek létre a PE-routereken. Csak azok a PE routerek cserélnek útválasztási információkat egymással MP-BGP protokoll segítségével, amelyek ugyanazon ügyfél VPN hálózatának szervezésében vesznek részt. Az RD előtag minden VRF-táblához be van állítva.

Az MP-BGP-t használó PE-routerek közötti forgalomirányítási információ globális vagy belső interfész:

• Cél hálózati cím (VPN-IPv4);
• A következő útválasztó címe a protokollhoz (következő ugrás);
• Label Lvpn - a PE router interfész száma (int) határozza meg, amelyhez az ügyfél irodájának egyik LAN-ja csatlakozik;
• Az RT (route-target) üzenetattribútum egy VPN-attribútum, amely azonosítja az összes irodai LAN-t, amely ugyanahhoz az ügyfél-vállalati hálózathoz vagy VPN-hez tartozik.

Rizs. 3. PE router

Ezen túlmenően minden egyes PE-router útválasztási információkat cserél a gerinc P-routerekkel az egyik belső útválasztási protokollal (OSPF vagy IS-IS), és külön (belső) globális útválasztási táblát (GTL) hoz létre az MPLS gerinchálózathoz. A külső (VRF) tábla és a belső (GTM) globális útválasztási tábla a PE útválasztókban el van szigetelve egymástól. A P útválasztók a hagyományos belső IP-útválasztási protokollok (IGP-k), például OSPF vagy IS-IS használatával cserélnek útválasztási információkat egymás és a PE-routerek között, és saját útválasztási táblákat hoznak létre.

Az LDP címkeelosztási protokollokat vagy a Traffic Engineering technológián alapuló RSVP protokollokat használó útválasztási táblák alapján a címkekapcsoló táblázatok minden P útválasztóra épülnek (az FTN-ek PE-n jönnek létre), amelyek egy bizonyos LSP útvonalat (Label Switched Paths) alkotnak. Az eredmény LSP címkekapcsolt útvonalak, amelyek IP-címek és útválasztási táblázatok helyett MPLS-fejléccímke-értékek és helyi kapcsolási táblák alapján továbbítják az IP-csomagokat.

Az MPLS fejléc minden IP-csomaghoz hozzáadódik, amely belép a PE-útválasztóba, és a kimenő PE-útválasztó eltávolítja, amikor a csomagok elhagyják az MPLS-hálózatot. Az MPLS fejléc nem címkét, hanem két címkéből álló köteget használ, pl. az ingress PE két címkét rendel a csomaghoz. Az egyik külső L, a másik belső Lvpn. Külső címke vagy címke felső szint A verem közvetlenül az LSP-n keresztüli csomag átváltására szolgál a bemeneti PE-ről a kimeneti PE-re.

Meg kell jegyezni, hogy a PE a bejövő forgalmat egy adott LSP virtuális útvonalra irányítja a FEC (továbbítási egyenértékűségi osztály) alapján. A FEC olyan feltételekhez kötött csomagok csoportja, amelyek szállítására ugyanazok a követelmények vonatkoznak. Az azonos FEC-hez tartozó csomagok ugyanazon az LSP-n utaznak. A FEC besorolás többféleképpen is elvégezhető, például: cél IP-cím (hálózati előtag), forgalom típusa, műszaki követelmények stb. szerint.

Ha a célhálózat IP-címén alapuló besorolást használ, akkor minden célhálózati előtaghoz külön osztály jön létre. Ebben az esetben az LDP protokoll teljesen automatizálja az osztályok létrehozásának és a címkeértékek hozzárendelésének folyamatát (1. táblázat). Minden bejövő csomag, amelyet a PE útválasztó egy adott irodai hálózati IP-címre irányít, egy adott címkét kap az FTN-tábla alapján.

1. táblázat: FTN (FEC to Next Hop) a PE1 routeren

Az 1. táblázat azt mutatja, hogy a külső címke értékét a PE1 bemeneti útválasztó rendeli hozzá az irodai LAN IP-címe alapján. A verem alsó szintjének belső címke vagy címkéje nem vesz részt az LSP-n keresztüli csomagváltás folyamatában a bemenetről a kimeneti PE-re, de meghatározza a kimeneti PE-n a VRF-et vagy interfészt, amelyhez az ügyfél irodai LAN-ja csatlakozik. .

VPN útvonal információcsere MP-BGP-n keresztül

Útválasztási információk (információk a VPN-útvonalakról), amelyeket a PE1 útválasztó BGP-n keresztül küld a PE2 útválasztónak (piros vonalak):

• VPN-IPv4 cím: 46.115.25.1:106:192.168.1.0;
• Következő ugrás = 46.115.25.1;
• Lvpn=3;
• RT=SC-3.

Az RD=46.115.25.1:106 útvonal megkülönböztető hozzáadásra kerül az 1. regionális iroda LAN1 IPv4-címéhez. Ahol 46.115.25.1 a PE1 útválasztó globális interfészének IP-címe, amelyen keresztül a PE1 kommunikál a P útválasztókkal. Egy adott SC-3 VPN útvonalhoz az ISP hálózati rendszergazdája a PE1 vagy PE1 útválasztóban hozzárendel egy címkét (számot), például 106-ot.

Amikor a PE2 megkapja a VPN-IPv4 célhálózati címét a PE1-től, elveti az RD útvonalhatárolót, a 192.168.1.0 értéket helyezi el az SC-3 VRF3 táblázatában, és megjegyzi, hogy a bejegyzést a BGP tette. Ezt az útvonalat hirdeti a csatlakoztatott CE2 ügyfélútválasztónak is ehhez a VPN SC-3-hoz.

A VRF3 SC-3 táblázat az MP-BGP protokollal is frissítve van - a VPN SC-3 irodáinak más LAN-jainak hálózatainak címeiről. A PE1 router az MP-BGP-n keresztül más útválasztóknak is küld útválasztási információkat: PE0 és PE3. Ennek eredményeként az útválasztók VRF tábláiban lévő összes útvonal (PE0, PE1, PE2 és PE3) tartalmazza az összes útvonal címét. LAN hálózatok az ügyfél irodái IPv4 formátumban.

Rizs. 4. Router VRF táblái (PE0, PE1, PE2 és PE3)

Útválasztási információk, amelyeket a PE2 router küld a PE1 útválasztónak MP-BGP protokollon keresztül (piros vonalak):

• VPN-IPv4 cím: 46.115.25.2:116:192.168.2.0;
• Következő ugrás = 46.115.25.2;
• Lvpn=5;
• RT=SC-3.

PC-k közötti adatátvitel MPLS L3 VPN technológia alapján szervezett vállalati hálózatban

Fontolja meg, hogyan történik adatcsere a LAN1 hálózat PC 2 (IP: 192.168.1.2) és a LAN hálózat PC 1 (IP: 192.168.3.1) között. A könyvtárakban található fájlok eléréséhez ill logikai meghajtók PC 1 (LAN) megosztott hozzáféréssel, be kell írnia a \\192.168.3.1 PC 2-n (LAN1) a "Programok és fájlok keresése" sorba (Win 7 OS esetén), majd nyomja meg az Enter billentyűt. Ez megjeleníti a PC 1-en tárolt megosztott könyvtárakat ("megosztott" könyvtárakat vagy mappákat) a PC 2 képernyőjén. Hogyan működik?

Amikor a PC 2-ben (LAN1) megnyomja az Enter billentyűt, a hálózati rétegen egy csomag jött létre 192.168.3.1 cél IP-címmel. Először is a csomag megérkezik a CE1 routerhez (5. ábra), amely az útválasztási táblázatnak megfelelően továbbítja azt a PE1 router int3 interfészére, mivel ez a következő router, amely eléri a 192.168.3.0 hálózatot. /24, amelyben a PC 1 található ( LAN GO) 192.168.3.1 IP-címmel. A VRF2 SC-3 útválasztó tábla az int3 interfészhez van társítva, így a csomag paraméterei alapján továbbküldésre kerül.

Amint a VRF2 SC-3 mutatja, a következő útválasztó, amely továbbítja a csomagot a 192.168.3/24 hálózatba, a PE0, és ezt a bejegyzést a BGP tette. Ezenkívül a táblázatban látható az Lvpn=2 címke értéke, amely a PE0 kimeneti útválasztó interfészét határozza meg. Ebből következik, hogy a csomag további továbbítását a 192.168.3/24 hálózatba a GTM PE1 globális útválasztási tábla paraméterei határozzák meg.

Rizs. 5. Adatátvitel a LAN1 PC2 (192.168.1.2) és PC1 (192.168.3.1) és a CS SC-3 központi irodájának LAN hálózatai között

A globális táblázatban (PE1 GTM) a következő útválasztó (NH - Next Hop) PE0 címe megfelel az L=105 külső címke kezdeti értékének, amely meghatározza a PE0 LSP útvonalát. A csomag az LSP mentén kerül előléptetésre a verem legfelső szintjének L-tagja alapján (L=105). Ahogy a csomag áthalad a P3 útválasztón, majd a P1 útválasztón, az L címkét elemzi, és új értékekkel helyettesíti. Miután a csomag elérte az LSP végpontot, a PE0 eltávolítja a külső L címkét az MPLS veremből.

A PE0 router ezután kiemeli a veremből az Lvpn=2 alacsony veremcímkét, amely azonosítja azt az int2 interfészt, amelyhez az ügyfél CE0 LAN-útválasztója csatlakozik. Ezután az összes VPN SC3 útvonalat tartalmazó táblázatból (VRF1 SC-3) a PE0 beolvassa az Lvpn=2 címkeérték bejegyzését és a hozzá tartozó útvonalat a 192.168.3/24 hálózathoz, amely a CE0-ra mutat, mint következő útválasztóra. A táblázatból az következik, hogy az útvonalrekord az IGP protokoll segítségével került a VRF1 SC-3 táblába, így a csomag útvonala PE0-tól CE0-ig az IP protokollon keresztül történik.

A csomag további mozgását a CE0-ról a 192.168.3.1 IP-című PC 1-re a MAC-cím végzi, mivel a CE0 és a PC 1 (192.168.3.1) ugyanabban a LAN-ban van. Miután megkapta a kéréscsomagot a PC 2-től, a PC 1 operációs rendszere elküldi megosztott könyvtárainak másolatait a PC 2-nek. A PC 2 operációs rendszere, miután megkapta a megosztott könyvtárak másolatait a PC 1-től, megjeleníti azokat a monitor képernyőjén. Így az adatcsere ugyanazon ügyfél irodájának két különböző LAN-jához tartozó PC között történik a szolgáltató nyilvános MPLS hálózatain, LSP virtuális csatornákon keresztül.

Ami egy távoli mobil felhasználó csatlakoztatását illeti egy földrajzilag elosztott vállalati hálózat erőforrásaihoz, az a Remote Access VPN technológia (Remote Access IPSec VPN és SSL VPN) segítségével valósítható meg. Meg kell jegyezni, hogy az SSL VPN technológia kétféle hozzáférést támogat: teljes hálózati hozzáférést és kliens nélküli hozzáférést. Az ügyfél nélküli SSL VPN technológia szabványos webböngészőn keresztül távoli hozzáférést biztosít a hálózathoz, de csak ebben az esetben hálózati alkalmazások webes felülettel. SSL VPN technológia teljes hálózati hozzáféréssel, számítógépre telepítés után kiegészítő alkalmazás(VPN-kliens) hozzáférést biztosít a földrajzilag elosztott vállalati hálózat összes erőforrásához.

A távoli felhasználó MPLS L3 VPN-hez való csatlakozása általában egy távelérési kiszolgálón (RAS) keresztül jön létre, amely az MPLS hálózat egyik PE útválasztójához csatlakozik. Esetünkben a mobil felhasználó a hozzáférési hálózaton (Internet) keresztül csatlakozik a Remote Access IPSec VPN segítségével a RAS-hoz, amely a PE0 útválasztóhoz csatlakozik. Így a mobil felhasználó IPSec VPN-en keresztül csatlakozik vállalati hálózatához (SC-3 vállalat), amely az MPLS L3 VPN alapján szerveződik.

MPLS L2 VPN modell, ahol a VPN beállítást a szolgáltató vagy a szolgáltató (szolgáltató) biztosítja

Egy távközlési szolgáltató szélessávú Metro Ethernet hálózata (L2 VPN) alapján, ugyanazon a városban található három irodában (például SC-3 vállalatnál) lehet egyetlen információs teret megszervezni. A Metro Ethernet hálózatok egyik szolgáltatása a vállalati hálózatok szervezése az MAN (városon belüli kommunikációs szolgáltató hálózatai) gerinchálózatain keresztül. A Metro Ethernet VPN (L2 VPN) szervezésére különféle technológiákat használnak, mint például az AToM (főleg EoMPLS), 802.1Q, L2TPv3 stb., de a legígéretesebb technológia az MPLS L2 VPN vagy a VPLS. Ebben az esetben az ügyfélforgalom továbbítása a szolgáltató ügyfél irodáinak helyi hálózataiból a szolgáltató gerinchálózatába MPLS VPN hálózatba a második réteg technológiájával (Ethernet, Frame Relay vagy ATM) történik.

A távközlési szolgáltatók kétféle Ethernet hálózati szolgáltatást biztosítanak a virtuális magánhálózatok szervezésére az OSI modell második szintjén, amelyek MPLS technológia alapján jönnek létre - ezek a VPWS (Virtual Private Wire Services) és a VPLS (Virtual Private LAN Services). . Ezek a VPN-ek pszeudocsatornákon (pszeudowire) alapulnak, amelyek összekötik a szolgáltató hálózatának (MPLS-tartomány) szélső PE-útválasztóit. LSP-alagutak vagy logikai csatornák címkék segítségével jönnek létre, amelyeken belül pszeudocsatornákat (emulált VC-ket) helyeznek el, és MPLS-csomagokat továbbítanak ezeken a pszeudocsatornákon. A VPWS az Ethernet over MPLS-en (EoMPLS) alapul. De a VPLS-ben, ellentétben a VPWS pont-pont (P2P) hálózatokkal, az álcsatornák szervezése többpontos kapcsolatok (P2M) segítségével történik.

A VPLS-ben kétféleképpen lehet pszeudocsatornákat létrehozni bármely két PE között, amelyek egy adott VPLS részét képezik (BGP és LDP használatával). Az Extended BGP Protocol (MP-BGP) automatikusan meghatározza azokat a PE-ket, amelyek kölcsönhatásba lépnek egy VPLS-szolgáltatáson alapuló, földrajzilag elosztott LAN felépítésekor, valamint a virtuális áramkörök jelzőcímkéit (vc-címkéit). A kiterjesztett LDP a vc-címkék jelzésére is használható. Ebben az esetben a VPLS részét képező összes PE-router felderítése kézi konfigurációs módban történik.

A VPLS-szolgáltatások szervezéséhez olyan felügyeleti rendszereket is használhat, amelyek automatizálják a PE-eszközök keresését és konfigurálását. Címkevermet használ a keretek továbbítására, a felső címke az LSP alagutakhoz való, ami a kimenő PE eléréséhez szolgál. Az alsó címke a VC Label, amely az ugyanabban az alagútban lévő virtuális áramkörök (pszeudowires) demultiplexelésére szolgál. Egyetlen alagút több pszeudocsatornát is tartalmazhat a különböző VPLS-példányokhoz.

A PE-n minden VPLS-példányhoz külön VSI virtuális kapcsolók jönnek létre. A VSI-kapcsolók megtanulják a MAC-címeket, és továbbítási táblázatokat készítenek az MPLS-csomagokhoz. A továbbítási táblázat adatai alapján a VSI switchek az MPLS csomagokba burkolt kereteket fogadva azokat a perem PE-khez vezető pszeudocsatornákra továbbítják, amelyekre az ügyfél irodáinak LAN szegmenseinek élkapcsolói csatlakoznak.

A VPWS (point-to-point) alapján lehetséges a vállalati irodák két alhálózatának egy hálózatba kapcsolása egyetlen végponttól végpontig terjedő IP-címzéssel. A VPLS egy olyan technológia, amely többpontos kapcsolatokat biztosít IP/MPLS csomaghálózati infrastruktúrán keresztül. A VPLS lehetővé teszi, hogy a vállalati irodák több földrajzilag elosztott helyi hálózatát egyetlen helyi hálózatba egyesítse. Ebben az esetben a szolgáltató gerinchálózata MPLS hálózata egy virtuális Ethernet switch (L2 switch), amely Ethernet kereteket továbbít az egyes ügyfélirodák LAN szegmensei között. Egy vállalat földrajzilag elosztott (városon belüli) helyi hálózatának diagramja az 1. ábrán látható. 6.

Rizs. 6. Egy vállalat földrajzilag elosztott (városon belüli) helyi hálózatának vázlata

A VPLS koncepció lényege az irodák lokális hálózatainak (az ügyfél irodai hálózatainak szegmenseinek) PC-k Ethernet kereteinek átlátható továbbítása a szolgáltató gerinchálózatán keresztül. A VPLS 1 ügyféloldali élkészülékei a CE0, CE1, CE2 kapcsolók, amelyek a PE0, PE1, PE2 eszközökhöz csatlakoznak. A PE-útválasztók kommunikálnak egymással, hogy felfedezzék a VPLS 1-hez kapcsolódó összes PE-t. A PE-k és P-k útválasztási táblákat készítenek, amelyekből LSP-ket és pszeudocsatornákat hoznak létre.

A BGP és az LDP egyaránt használható jelzési protokollként. A PE0, PE1, PE2 eszközök VSI 1 virtuális kapcsolói továbbítási táblázatokat építenek fel az MPLS csomagokhoz. Például a PE0 eszköz VSI 1 generálja az 1. ábrán látható kapcsolási táblázatot. 6. Amikor Ethernet keret érkezik az egyik központi irodai LAN PC-ről a PE0 eszköz bemenetére, az Ethernet keretet egy MPLS csomagba kapszulázza, és a kapcsolótábla segítségével az alagútba irányítja, amelyen keresztül a csomag megérkezik a PE1 kimeneti eszköz.

A csomag MPLS hálózaton keresztül történő továbbításához (pszeudocsatornákon keresztül LSP alagutakban) egy címkevermet használnak, amely egy LSP alagútcímkéből és egy pszeudocsatorna címkéből áll, például VC Label, 15. A PE1 kimeneti eszközön , az MPLS-csomagokat Ethernet keretekké alakítják, és a C1 kapcsolóra küldik, amelyhez a 90:5C:E7:C8:56:93 MAC-című célszámítógép csatlakozik. Az RFC 4761 és RFC 4762 részletezi a BGP és LDP jelzési módszereket a VPLS szolgáltatásokkal szervezett LAN-ok számára.

Információforrások listája:

1. Számítógépes hálózatok. Alapelvek, technológiák, protokollok: Tankönyv egyetemek számára. 4. kiadás / V.G. Olifer, N.A. Olifer – Szentpétervár. Péter, 2010. - 944 p.

2. Olwein, Vivek. Felépítés és megvalósítás modern technológia MPLS.: Per. angolról. - M. : Williams Publishing House, 2004. - 480 p.

Az utóbbi időben a távközlés világában megnövekedett érdeklődés mutatkozik a virtuális magánhálózatok (Virtual Private Network – VPN) iránt. Ez annak köszönhető, hogy csökkenteni kell a vállalati hálózatok fenntartási költségeit a távoli irodák és a távoli felhasználók olcsóbb összekapcsolása miatt. Internet. Valójában, ha összehasonlítjuk a több hálózat interneten keresztüli összekapcsolásának szolgáltatásainak költségeit, például a Frame Relay hálózatokkal, jelentős költségkülönbség észlelhető. Megjegyzendő azonban, hogy a hálózatok interneten keresztül történő összekapcsolásakor azonnal felmerül az adatátvitel biztonságának kérdése, ezért szükségessé vált a továbbított információk titkosságát és integritását biztosító mechanizmusok kialakítása. Az ilyen mechanizmusok alapján felépített hálózatokat VPN-eknek nevezzük.

Emellett nagyon gyakran egy modern embernek, aki vállalkozását fejleszti, sokat kell utaznia. Ez lehet kirándulás hazánk távoli zugaiba vagy külföldre. Nem ritka, hogy az embereknek hozzá kell férniük az otthoni vagy céges számítógépükön tárolt információikhoz. Ez a probléma megoldható, ha modem és vonal segítségével távoli hozzáférést biztosít hozzá. A telefonvonal használatának megvannak a maga sajátosságai. Ennek a megoldásnak az a hátránya, hogy egy másik országból érkező hívás sok pénzbe kerül. Van egy másik megoldás, a VPN. A VPN technológia előnye, hogy a távoli hozzáférés megszervezése nem telefonvonalon, hanem az Interneten keresztül történik, ami sokkal olcsóbb és jobb. Véleményem szerint a technológia. A VPN-t az egész világon széles körben elterjedhetik.

1. A VPN hálózatok fogalma, osztályozása, felépítésük

1.1 Mi az a VPN?

VPN(Eng. Virtual Private Network – virtuális magánhálózat) – egy másik hálózat, például az internet tetején létrehozott logikai hálózat. Annak ellenére, hogy a kommunikáció nyilvános hálózatokon, nem biztonságos protokollok használatával történik, a titkosítás kívülállók elől elzárt információcsere-csatornákat hoz létre. A VPN lehetővé teszi, hogy például egy szervezet több irodáját egyetlen hálózatba vonja össze, ellenőrizetlen csatornák segítségével a köztük lévő kommunikációhoz.

A VPN lényegében a bérelt vonal számos tulajdonságával rendelkezik, de nyilvános hálózaton belül van telepítve, például . A tunneling technikával az adatcsomagokat úgy sugározzák a nyilvános hálózaton, mintha normál pont-pont kapcsolat lennének. Az egyes "adatküldő-vevő" párok között egyfajta alagút jön létre - egy biztonságos logikai kapcsolat, amely lehetővé teszi az egyik protokoll adatainak egy másik csomagjaiba való beágyazását. Az alagút fő elemei a következők:

• kezdeményező;
• irányított hálózat;
• alagútkapcsoló;
• egy vagy több alagútlezáró.

Önmagában a VPN működési elve nem mond ellent a fő elvnek hálózati technológiákés protokollok. Például telefonos kapcsolat létesítésekor az ügyfél szabványos PPP-csomagok folyamát küldi a szervernek. A helyi hálózatok közötti virtuális bérelt vonalak szervezése esetén routereik PPP-csomagokat is cserélnek. Alapvetően új szempont azonban a csomagok továbbítása a nyilvános hálózaton belül szervezett biztonságos alagúton keresztül.

Az alagút lehetővé teszi egy csomag átvitelének megszervezését protokollt egy másik protokollt használó logikai környezetben. Ennek eredményeként lehetővé válik a különböző típusú hálózatok közötti interakció problémáinak megoldása, kezdve a továbbított adatok integritásának és bizalmasságának biztosításával és a külső protokollok vagy címzési sémák következetlenségeinek leküzdésével.

A vállalat meglévő hálózati infrastruktúrája VPN-használatra biztosítható akár szoftveren, akár hardver. A virtuális magánhálózat megszervezése a kábel globális hálózaton keresztül történő lefektetéséhez hasonlítható. Általában a PPP protokoll használatával közvetlen kapcsolat jön létre egy távoli felhasználó és egy alagútvégi eszköz között.

A VPN-alagutak létrehozásának legáltalánosabb módszere a hálózati protokollok (IP, IPX, AppleTalk stb.) PPP-be ágyazása, majd a generált csomagok alagútkezelési protokollba való beágyazása. Általában az utóbbi IP vagy (sokkal ritkábban) ATM és Frame Relay. Ezt a megközelítést 2. rétegbeli alagútnak nevezik, mert az „utas” itt a 2. réteg protokollja.

Egy alternatív megközelítést – a hálózati protokoll csomagok közvetlenül alagút protokollba (pl. VTP) történő beágyazását 3. rétegű alagútnak nevezik.

Nem számít, milyen protokollokat használnak, vagy milyen célokat szolgálnak az alagút szervezésében üldözve marad az alaptechnikagyakorlatilag változatlan. Általában az egyik protokollt a távoli gazdagéppel való kapcsolat létrehozására használják, a másikat pedig az adatok és szolgáltatási információk beágyazására használják az alagúton keresztül történő továbbításhoz.

1.2 VPN hálózatok osztályozása

A VPN-megoldások több fő paraméter szerint osztályozhatók:

1. A használt médium típusa szerint:

• Védett VPN hálózatok. A privát magánhálózatok leggyakoribb változata. Segítségével megbízható és biztonságos alhálózatot lehet létrehozni egy megbízhatatlan hálózaton, általában az interneten. Példák a biztonságos VPN-ekre: IPSec, OpenVPN és PPTP.
• Megbízható VPN hálózatok. Olyan esetekben használják őket, amikor az átviteli közeg megbízhatónak tekinthető, és csak egy nagyobb hálózaton belüli virtuális alhálózat létrehozásának problémáját kell megoldani. A biztonsági kérdések lényegtelenné válnak. Példák az ilyen VPN-megoldásokra: MPLS és L2TP. Helyesebb azt mondani, hogy ezek a protokollok áthelyezik a biztonság nyújtásának feladatát másokra, például az L2TP-t általában az IPSec-cel párhuzamosan használják.

2. A megvalósítás módja szerint:

• VPN hálózatok speciális szoftver és hardver formájában. A VPN-hálózat megvalósítása speciális szoftver- és hardverkészlettel történik. Ez a megvalósítás nagy teljesítményt és általában magas fokú biztonságot nyújt.
• VPN-hálózatok szoftvermegoldásként. használat Személyi számítógép VPN funkciót biztosító speciális szoftverrel.
• VPN hálózatok integrált megoldással. A VPN funkcionalitást a szűrési feladatokat is megoldó komplexum biztosítja hálózati forgalom, tűzfal szervezése és a szolgáltatás minőségének biztosítása.

3. Megbeszélés szerint:

• Intranet VPN. Egy szervezet több elosztott ágának egyetlen biztonságos hálózatba való egyesítésére szolgálnak, nyílt kommunikációs csatornákon keresztül cserélve az adatokat.
• Távoli hozzáférés VPN. Biztonságos csatorna létrehozására szolgál egy vállalati hálózati szegmens (központi iroda vagy fiókiroda) és egyetlen felhasználó között, aki otthoni munkavégzése közben csatlakozik a vállalati erőforrásokhoz. otthoni számítógép vagy üzleti út során laptop segítségével csatlakozik a vállalati erőforrásokhoz.
• Extranet VPN. Olyan hálózatokhoz használják, amelyekhez "külső" felhasználók (például ügyfelek vagy ügyfelek) csatlakoznak. A beléjük vetett bizalom szintje jóval alacsonyabb, mint a vállalati alkalmazottaké, ezért olyan speciális védelmi „határokat” kell biztosítani, amelyek megakadályozzák vagy korlátozzák a különösen értékes, bizalmas információkhoz való hozzáférést.

4. A protokoll típusa szerint:

• Vannak virtuális magánhálózatok megvalósítása TCP/IP, IPX és AppleTalk alatt. De manapság van egy tendencia a TCP / IP protokollra való általános átállás felé, és a VPN-megoldások túlnyomó többsége támogatja ezt.

5. Hálózati protokollszint szerint:

• Hálózati protokollszint szerint a referenciaszintekkel való összehasonlítás alapján hálózati modell ISO/OSI.

1.3. VPN építése

Számos lehetőség van a VPN felépítésére. A megoldás kiválasztásakor figyelembe kell vennie a VPN-készítők teljesítménytényezőit. Például, ha egy útválasztó már a kapacitáskorlátozásán működik, akkor VPN-alagutak hozzáadása és az információk titkosítása / visszafejtése leállíthatja a teljes hálózat működését, mivel ez az útválasztó nem lesz képes megbirkózni az egyszerű forgalommal, nem hogy a VPN-t említsem. A tapasztalatok azt mutatják, hogy a VPN felépítéséhez a legjobb speciális hardvert használni, de ha korlátozottak a források, akkor érdemes tisztán szoftveres megoldásra is figyelni. Tekintsen néhány lehetőséget a VPN felépítésére.

• Tűzfal alapú VPN. A legtöbb tűzfalgyártó támogatja az alagútkezelést és az adattitkosítást. Minden ilyen termék azon a tényen alapul, hogy a tűzfalon áthaladó forgalom titkosított. Magához a tűzfalszoftverhez egy titkosító modul is hozzáadódik. Ennek a módszernek a hátránya, hogy a teljesítmény attól a hardvertől függ, amelyen a tűzfal fut. A PC-alapú tűzfalak használatakor ne feledje, hogy egy ilyen megoldás csak kis hálózatok esetén használható kis mennyiségű továbbított információval.
• Router alapú VPN. A VPN felépítésének másik módja az útválasztók használata biztonságos csatornák létrehozására. Mivel a helyi hálózatról érkező összes információ áthalad a routeren, ezért célszerű ehhez a routerhez is titkosítási feladatokat rendelni.A VPN útválasztókon való felépítésére szolgáló berendezések példája a Cisco Systems berendezése. Az IOS 11.3-as kiadásától kezdve a Cisco útválasztók támogatják az L2TP és az IPSec protokollokat is. Az átvitel közbeni forgalom egyszerű titkosítása mellett a Cisco más VPN-szolgáltatásokat is támogat, mint például a hitelesítés az alagút létrehozásánál és a kulcscsere.A router teljesítményének javítása érdekében használható kiegészítő modul ESA titkosítás. Ezenkívül a Cisco System kiadott egy dedikált VPN-eszközt, a Cisco 1720 VPN Access Routert, amely kis- és középvállalkozásokba és nagy fiókirodákba telepíthető.
• Szoftver alapú VPN. A VPN felépítésének következő megközelítése tisztán szoftver alapú. Egy ilyen megoldás megvalósítása során speciális szoftvert használnak, amely dedikált számítógépen fut, és a legtöbb esetben proxyszerverként működik. A szoftvert futtató számítógép esetleg tűzfal mögött található.
• VPN alapú hálózati operációs rendszer.Megvizsgáljuk a hálózati operációs rendszeren alapuló megoldásokat a Microsoft Windows operációs rendszerének példáján. A VPN létrehozásához a Microsoft a PPTP protokollt használja, amely integrálva van a Windows rendszerbe. Ez a megoldás nagyon vonzó a Windowst vállalati operációs rendszerként használó szervezetek számára. Meg kell jegyezni, hogy egy ilyen megoldás költsége sokkal alacsonyabb, mint más megoldások költsége. VPN működik Windows alap az elsődleges tartományvezérlőn (PDC) tárolt felhasználói bázis kerül felhasználásra. Amikor PPTP-kiszolgálóhoz csatlakozik, a felhasználó hitelesítése a PAP, CHAP vagy MS-CHAP protokollok használatával történik. A továbbított csomagok GRE/PPTP csomagokba vannak tokozva. A csomagok titkosításához a Microsoft Point-to-Point Encryption nem szabványos protokollját használják a kapcsolat létrehozásakor kapott 40 vagy 128 bites kulccsal. Ennek a rendszernek a hátránya az adatintegritás-ellenőrzés hiánya és az, hogy a kapcsolat során nem lehet kulcsot cserélni. A pozitív oldal a Windows-szal való egyszerű integráció és az alacsony költség.
• Hardver alapú VPN. A VPN speciális eszközökön történő felépítésének lehetősége olyan hálózatokban használható, amelyek nagy teljesítményt igényelnek. Ilyen megoldás például a Radguard IPro-VPN terméke. Ez a termék a továbbított információk hardveres titkosítását használja, amely 100 Mbps-os adatfolyamot képes átadni. Az IPro-VPN támogatja az IPSec protokollt és az ISAKMP/Oakley kulcskezelési mechanizmust. Ez az eszköz többek között támogatja a hálózati cím fordítását, és kiegészíthető egy speciális kártyával, amely tűzfal funkciókat ad hozzá

2. VPN hálózatok protokolljai

A VPN-hálózatok a nyilvános internetes kommunikációs hálózaton keresztüli adatcsatorna-protokollok felhasználásával épülnek fel, az alagútkezelési protokollok titkosítják az adatokat, és végpontok között továbbítják azokat a felhasználók között. Manapság általában a következő protokollokat használják a VPN-hálózatok felépítésére:

• Link réteg
• hálózati réteg
• szállítóréteg.

2.1 Hivatkozási réteg

Az adatkapcsolati rétegben az L2TP és PPTP adatalagút protokollok használhatók, amelyek engedélyezést és hitelesítést használnak.

PPTP.

Jelenleg a leggyakoribb VPN-protokoll a Point-to-Point Tunneling Protocol – PPTP. A 3Com és a Microsoft fejlesztette ki, hogy biztonságos távoli hozzáférést biztosítson a vállalati hálózatokhoz az interneten keresztül. A PPTP a meglévő nyílt TCP/IP szabványokat használja, és nagymértékben támaszkodik az örökölt pont-pont PPP protokollra. A gyakorlatban a PPP a PPP kapcsolati munkamenet kommunikációs protokollja marad. A PPTP a hálózaton keresztül alagutat hoz létre a címzett NT-kiszolgálójához, és azon keresztül küldi el a távoli felhasználó PPP-csomagjait. A szerver és a munkaállomás virtuális magánhálózatot használ, és nem érdekli, mennyire biztonságos vagy elérhető a köztük lévő globális hálózat. A kiszolgáló által kezdeményezett kapcsolati munkamenet megszakítása, ellentétben a speciális távelérési kiszolgálókkal, lehetővé teszi a helyi hálózati rendszergazdák számára, hogy ne hagyják távoli felhasználókat elhagyni a rendszert. Windows biztonság szerver.

Bár a PPTP protokoll hatálya csak a alatt működő eszközökre terjed ki Windows vezérlés, lehetővé teszi a vállalatok számára, hogy saját biztonságuk veszélyeztetése nélkül együttműködjenek a meglévő hálózati infrastruktúrákkal. Így egy távoli felhasználó csatlakozhat az internethez a helyi internetszolgáltató segítségével egy analóg telefonvonalon vagy ISDN-csatornán keresztül, és kapcsolatot létesíthet az NT-kiszolgálóval. A cégnek ugyanakkor nem kell nagy összegeket költenie a távelérési szolgáltatásokat nyújtó modem pool megszervezésére és karbantartására.

A következőkben az RRTR munkáját tárgyaljuk. A PPTP beágyazza az IP-csomagokat az IP-hálózaton keresztüli továbbításhoz. A PPTP-kliensek a célportot használják alagútvezérlő kapcsolat létrehozására. Ez a folyamat az OSI modell szállítási rétegében megy végbe. Az alagút létrehozása után az ügyfélszámítógép és a kiszolgáló megkezdi a szolgáltatáscsomagok cseréjét. A kapcsolatot életben tartó PPTP vezérlőkapcsolaton kívül létrejön egy kapcsolat az adatalagút továbbítására. Az alagúton való átküldés előtt az adatokat a normál átvitelhez képest kissé eltérő módon kapszulázzák. Az adatok beágyazása az alagútba küldés előtt két lépésből áll:

1. Először létre információs rész PPP. Az adatok fentről lefelé haladnak, az OSI-alkalmazási rétegtől a kapcsolati rétegig.
2. A kapott adatokat ezután felküldik az OSI-modellbe, és felső rétegbeli protokollokba zárják be.

Így a második lépés során az adatok eljutnak a szállítási réteghez. Az információ azonban nem küldhető el a rendeltetési helyére, mivel ezért az OSI kapcsolati réteg a felelős. Ezért a PPTP titkosítja a csomag hasznos mezőjét, és átveszi a PPP-hez általában társított második rétegbeli funkciókat, azaz. PPP-fejlécet és végződést ad hozzá a PPTP-csomaghoz. Ezzel befejeződik a hivatkozási réteg keretének létrehozása.

Ezután a PPTP a PPP-keretet egy általános útválasztási beágyazási (GRE) csomagba foglalja, amely a hálózati réteghez tartozik. A GRE olyan hálózati rétegbeli protokollokat foglal magában, mint az IPX, AppleTalk, DECnet, hogy lehetővé tegye azok IP-hálózatokon történő átvitelét. A GRE azonban nem képes munkameneteket létrehozni és adatvédelmet biztosítani a behatolókkal szemben. Ez a PPTP azon képességét használja fel, hogy alagútvezérlő kapcsolatot hozzon létre. A GRE beágyazási módszerként való használata csak az IP-hálózatokra korlátozza a PPTP hatókörét.

Miután a PPP-keret egy GRE-fejléccel rendelkező keretbe került, egy IP-fejléccel rendelkező keretbe kerül. Az IP-fejléc tartalmazza a csomag küldőjének és címzettjének címét. Végül a PPTP hozzáad egy PPP fejlécet és végződést.

A küldő rendszer az alagúton keresztül küld adatokat. A fogadó rendszer eltávolítja az összes szolgáltatásfejlécet, és csak a PPP-adatokat hagyja meg.

L2TP

A közeljövőben az új Layer 2 Tunneling Protocol - L2TP -n alapuló VPN-ek számának növekedése várható.

Az L2TP a PPTP és az L2F (Layer 2 Forwarding) protokollok egyesítésének eredményeként jelent meg. A PPTP lehetővé teszi a PPP csomagok továbbítását az alagúton, valamint a SLIP és PPP L2F csomagokat. A telekommunikációs piacon tapasztalható zavarok és együttműködési problémák elkerülése érdekében az Internet Engineering Task Force (IETF) bizottság azt javasolta, hogy a Cisco Systems egyesítse a PPTP-t és az L2F-et. Minden tekintetben az L2TP protokoll magában foglalja a PPTP és az L2F legjobb tulajdonságait. Az L2TP fő előnye, hogy ez a protokoll lehetővé teszi alagút létrehozását nemcsak IP-hálózatokban, hanem olyan hálózatokban is, mint az ATM, X.25 és Frame Relay. Sajnos az L2TP Windows 2000 implementációja csak az IP-t támogatja.

Az L2TP UDP-t használ átvitelként, és ugyanazt az üzenetformátumot használja mind az alagútkezeléshez, mind az adattovábbításhoz. A Microsoft L2TP megvalósítása titkosított PPP-csomagokat tartalmazó UDP-csomagokat használ vezérlőüzenetként. A kézbesítés megbízhatóságát a csomagok sorrendjének ellenőrzése garantálja.

A PPTP és az L2TP funkcionalitása eltérő. Az L2TP nem csak IP hálózatokban használható, az alagút létrehozásához és az azon keresztül történő adatküldéshez ugyanazt a formátumot és protokollt használják szolgáltatási üzenetek. A PPTP csak IP-hálózatokon használható, és külön kell használni TCP kapcsolat az alagút létrehozásához és használatához. Az L2TP over IPSec több biztonsági réteget kínál, mint a PPTP, és közel 100%-os biztonságot garantálhat az üzleti szempontból kritikus adatok számára. Az L2TP szolgáltatásai nagyon ígéretes protokollt kínálnak a virtuális hálózatok építéséhez.

Az L2TP és PPTP protokollok számos szempontból különböznek a 3. rétegbeli alagútkezelési protokolloktól:

1. Lehetővé teszi a vállalatok számára, hogy megválasszák, hogyan hitelesítsék és ellenőrizzék hitelesítési adataikat – saját „területükön” vagy egy internetszolgáltatónál. Alagutazott PPP-csomagok feldolgozásával a vállalati hálózati szerverek minden olyan információt megkapnak, amelyre szükségük van a felhasználók azonosításához.
2. Alagútváltás támogatása - egy alagút lezárása és egy másik elindítása a sok lehetséges lezáró egyikéhez. Az alagutak kapcsolása lehetővé teszi a PPP-kapcsolat kiterjesztését a kívánt végpontig.
3. Gondoskodás rendszergazdák vállalati hálózat, a felhasználókhoz való hozzáférési jogok közvetlen tűzfalon és belső szervereken történő kiosztására vonatkozó stratégiák megvalósításának képessége. Mivel az alagútlezárók felhasználói információkat tartalmazó PPP-csomagokat kapnak, képesek a rendszergazda által meghatározott biztonsági házirendeket alkalmazni az egyes felhasználói forgalomra. (A 3. rétegbeli alagút nem tesz különbséget az internetszolgáltatótól érkező csomagok között, ezért biztonsági házirend-szűrőket kell alkalmazni a végmunkaállomásokon és hálózati eszközök.) Ezen túlmenően alagútkapcsoló használata esetén lehetővé válik az alagút "folytatásának" megszervezése a második szint az egyén forgalmának közvetlen fordításárafelhasználókat a megfelelő belső szerverekre. Az ilyen szervereket további csomagszűréssel lehet ellátni.

MPLS

A kapcsolati rétegben is az MPLS technológia használható alagutak szervezésére ( Az angol nyelvből Multiprotocol Label Switching - többprotokollos címkeváltás - adatátviteli mechanizmus, amely az áramkörkapcsolt hálózatok különféle tulajdonságait emulálja csomagkapcsolt hálózatokon keresztül). Az MPLS olyan rétegben működik, amely az adatkapcsolati réteg és az OSI modell harmadik hálózati rétege közé helyezhető, ezért általában hálózati kapcsolati réteg protokollnak nevezik. Úgy tervezték, hogy sokoldalú adatszolgáltatást nyújtson mind az áramkörkapcsolt, mind a csomagkapcsolt hálózati ügyfelek számára. Az MPLS segítségével a forgalom széles skáláját szállíthatja, például IP-csomagokat, ATM-et, SONET-et és Ethernet-kereteket.

A link szintű VPN megoldások hatóköre meglehetősen korlátozott, általában a szolgáltató tartományán belül.

2.2 Hálózati réteg

Hálózati réteg (IP réteg). Az IPSec protokollt használják, amely megvalósítja az adatok titkosítását és bizalmas kezelését, valamint az előfizetői hitelesítést. Az IPSec protokoll használata lehetővé teszi a vállalati hálózathoz való fizikai csatlakozással egyenértékű teljes értékű hozzáférés megvalósítását. A VPN létrehozásához minden résztvevőnek be kell állítania bizonyos IPSec paramétereket, pl. minden ügyfélnek rendelkeznie kell az IPSec-et megvalósító szoftverrel.

IPSec

Természetesen egyetlen cég sem akarna nyíltan átruházni Internetes pénzügyi vagy egyéb bizalmas információk. VPN-csatornák az IPsec biztonsági protokoll szabványokba ágyazott hatékony titkosítási algoritmusok védik. Az IPSec vagy Internet Protocol Security – a nemzetközi közösség, az IETF – Internet Engineering Task Force által választott szabvány, megteremti az Internet Protokoll biztonsági alapjait (az IP / IPSec protokoll hálózati szintű védelmet nyújt, és csak az IPSec szabvány támogatását igényli A két eszközön egymással kommunikáló eszközök egyszerűen IP-csomagforgalmat biztosítanak.

Az IPSec technológiát használó személyek közötti interakció módszerét általában a "biztonságos társulás" - Security Association (SA) kifejezés határozza meg. A biztonságos társulás az egymásnak továbbított információk védelmére IPSec-et használó felek által kötött megállapodás alapján működik. Ez a megállapodás számos paramétert szabályoz: a küldő és a címzett IP-címe, kriptográfiai algoritmus, kulcscsere sorrend, kulcsméretek, kulcs élettartama, hitelesítési algoritmus.

Az IPSec nyílt szabványok konszenzusos halmaza, amelynek magja könnyen bővíthető új funkciókkal és protokollokkal. Az IPSec magja három protokollból áll:

· AN vagy Authentication Header - hitelesítési fejléc - garantálja az adatok sértetlenségét és hitelességét. Az AH protokoll fő célja, hogy lehetővé tegye a fogadó oldal számára, hogy megbizonyosodjon arról, hogy:

• a csomagot olyan fél küldte, amellyel biztonságos kapcsolat jött létre;
• a csomag tartalma nem torzult el a hálózaton keresztüli átvitel során;
• a csomag nem egy már átvett csomag másolata.

Az első két funkció kötelező az AH protokollhoz, az utolsó pedig nem kötelező az asszociáció létrehozásakor. Ezen funkciók végrehajtásához az AH protokoll egy speciális fejlécet használ. Felépítését a következőképpen tekintjük:

1. A következő fejléc a magasabb szintű protokoll kódját jelöli, vagyis azt a protokollt, amelynek üzenete az IP-csomag adatmezőjébe kerül.
2. A hasznos teher hossza mező tartalmazza az AH fejléc hosszát.
3. A biztonsági paraméterek indexe (SPI) a csomagok rendeltetésszerű biztonságos társítására szolgál.
4. A Sorozatszám (SN) mező a csomag sorszámát jelzi, és a hamisítás elleni védelemre szolgál (amikor egy harmadik fél megpróbálja újra felhasználni a valóban hitelesített feladó által küldött elfogott biztonságos csomagokat).
5. A hitelesítési adatmező, amely az úgynevezett Integrity Check Value (ICV) értéket tartalmazza, a csomag hitelesítésére és integritásának ellenőrzésére szolgál. Ezt az értéket, amelyet kivonatnak is neveznek, az AH protokoll által megkövetelt két számításilag visszafordíthatatlan MD5 vagy SAH-1 függvény egyikével számítják ki, de bármely más függvény is használható.

· ESP vagy Encapsulating Security Payload- titkosított adatok tokozása - titkosítja a továbbított adatokat, biztosítva a titkosságot, meg tudja őrizni a hitelesítést és az adatsértetlenséget is;

Az ESP protokoll két problémacsoportot old meg.

1. Az első az AH protokollhoz hasonló feladatokat tartalmaz - ez a hitelesítés és az adatintegritás biztosítása a kivonat alapján,
2. A másodikhoz - az adatok továbbítása a jogosulatlan megtekintéstől való titkosítással.

A fejléc két részre van osztva, amelyeket adatmező választ el.

1. Az első, magát az ESP-fejlécet magába foglaló részt két mező alkotja (SPI és SN), amelyek célja hasonló az AH protokoll azonos nevű mezőihez, és az adatmező elé kerül.
2. Az ESP protokoll többi szolgáltatásmezője, az úgynevezett ESP trailer, a csomag végén található.

Az előzetes két mezője - a következő fejléc és a hitelesítési adatok - hasonló az AH fejléc mezőihez. A Hitelesítési adatok mező kimarad, ha úgy döntöttek, hogy nem használják az ESP protokoll integritási képességeit biztonságos társítás létrehozásakor. Ezeken a mezőken kívül a pótkocsi két további mezőt is tartalmaz - a töltőanyagot és a töltőanyag hosszát.

Az AH és ESP protokollok két módban védhetik az adatokat:

1. szállításban - az átvitel az eredeti IP-fejlécekkel történik;
2. alagútban - az eredeti csomag egy új IP-csomagba kerül, és az átvitel új fejlécekkel történik.

Az egyik vagy másik mód használata függ az adatvédelmi követelményektől, valamint attól, hogy a biztonságos csatornát lezáró csomópont milyen szerepet játszik a hálózatban. Így egy csomópont lehet gazdagép (végcsomópont) vagy átjáró (köztes csomópont).

Ennek megfelelően három séma létezik az IPSec protokoll használatára:

1. host host;
2. átjáró-átjáró;
3. gazdagép átjáró.

Az AH és az ESP protokollok képességei részben átfedik egymást: az AH protokoll csak az adatok integritásának és hitelesítésének biztosításáért felel, az ESP protokoll képes titkosítani az adatokat, és ezen felül ellátja az AH protokoll funkcióit (csonka formában) . Az ESP bármilyen kombinációban támogatja a titkosítási és hitelesítési/integritási funkciókat, azaz akár a funkciók teljes csoportját, akár csak a hitelesítést/integritást, vagy csak a titkosítást.

· IKE vagy Internet Key Exchange - Internet kulcscsere - megoldja azt a segédfeladatot, hogy a biztonságos csatorna végpontjait automatikusan ellátja a hitelesítési és adattitkosítási protokollok működéséhez szükséges titkos kulcsokkal.

2.3 Szállítási réteg

A szállítási réteg az SSL/TLS vagy Secure Socket Layer/Transport Layer Security protokollt használja, amely titkosítást és hitelesítést valósít meg a vevő és az adó szállítási rétegei között. Az SSL/TLS a TCP forgalom biztosítására használható, az UDP forgalom nem. Az SSL/TLS VPN működéséhez nincs szükség speciális szoftver bevezetésére, mivel minden böngésző ill levelező kliens fel van szerelve ezekkel a protokollokkal. Annak a ténynek köszönhetően, hogy az SSL/TLS a szállítási rétegen van megvalósítva, biztonságos kapcsolat jön létre végpontok között.

A TLS protokoll a Netscape SSL protokoll 3.0-s verzióján alapul, és két részből áll: TLS Record Protocol és TLS Handshake Protocol. Az SSL 3.0 és a TLS 1.0 közötti különbség csekély.

Az SSL/TLS három fő fázisból áll:

1. Párbeszéd a felek között, melynek célja a titkosítási algoritmus kiválasztása;
2. Kulcscsere nyilvános kulcsú kriptorendszereken vagy tanúsítvány alapú hitelesítésen;
3. Szimmetrikus titkosítási algoritmusokkal titkosított adatok átvitele.

2.4 VPN megvalósítás: IPSec vagy SSL/TLS?

Az informatikai osztályok vezetői gyakran szembesülnek azzal a kérdéssel: melyik protokollt válasszák a vállalati VPN-hálózat kiépítéséhez? A válasz nem egyértelmű, mivel minden megközelítésnek vannak előnyei és hátrányai is. Megpróbáljuk lefolytatni és azonosítani, mikor szükséges az IPSec, és mikor az SSL / TLS használata. Amint az ezen protokollok jellemzőinek elemzéséből látható, ezek nem cserélhetők fel, és külön-külön és párhuzamosan is működhetnek, meghatározva az egyes megvalósított VPN-ek funkcionális jellemzőit.

A vállalati VPN-hálózat felépítéséhez szükséges protokoll kiválasztása a következő kritériumok szerint történhet:

· A VPN-felhasználók számára szükséges hozzáférés típusa.

1. Teljesen működőképes állandó csatlakozás a vállalati hálózathoz. Az ajánlott választás az IPSec.
2. Ideiglenes kapcsolat, például mobilfelhasználó vagy nyilvános számítógépet használó felhasználó bizonyos szolgáltatásokhoz, például e-mailekhez vagy adatbázisokhoz való hozzáférés érdekében. Az ajánlott választás az SSL/TLS protokoll, amely lehetővé teszi, hogy minden egyes szolgáltatáshoz VPN-t szervezzen.

· A felhasználó a vállalat alkalmazottja-e.

1. Ha a felhasználó vállalati alkalmazott, az általa használt eszköz, amellyel IPSec VPN-en keresztül hozzáfér a vállalati hálózathoz, valamilyen meghatározott módon konfigurálható.
2. Ha a felhasználó nem annak a vállalatnak az alkalmazottja, amelynek vállalati hálózatát elérik, akkor javasolt az SSL/TLS használata. Ez csak bizonyos szolgáltatásokhoz korlátozza a vendégek hozzáférését.

· Milyen biztonsági szinttel rendelkezik a vállalati hálózat.

1. Magas. Az ajánlott választás az IPSec. Valójában az IPSec által kínált biztonsági szint sokkal magasabb, mint az SSL / TLS protokoll által kínált biztonsági szint a felhasználói oldalon konfigurálható szoftver és a vállalati hálózat oldalán található biztonsági átjáró használatának köszönhetően.
2. Átlagos. Az ajánlott választás az SSL/TLS protokoll, amely lehetővé teszi a hozzáférést bármely terminálról.

· A felhasználó által továbbított adatok biztonsági szintje.

1. Magas, például a cégvezetés. Az ajánlott választás az IPSec.
2. Közepes például partner. Az ajánlott választás az SSL/TLS protokoll.

A szolgáltatástól függően - közepestől a magasig. Az ajánlott választás az IPSec (magas szintű biztonságot igénylő szolgáltatásokhoz) és az SSL/TLS (közepes szintű biztonságot igénylő szolgáltatásokhoz) kombinációja.

· Mi a fontosabb, a VPN gyors telepítése vagy a megoldás jövőbeni méretezhetősége.

1. Gyorsan telepíthet VPN-hálózatot minimális költséggel. Az ajánlott választás az SSL/TLS protokoll. Ebben az esetben nincs szükség speciális szoftver implementálására a felhasználói oldalon, mint az IPSec esetében.
2. VPN hálózat skálázhatósága – hozzáférést biztosít a különböző szolgáltatásokhoz. Az ajánlott választás az IPSec protokoll, amely hozzáférést biztosít a vállalati hálózat összes szolgáltatásához és erőforrásához.
3. Gyors telepítés és skálázhatóság. Az ajánlott választás az IPSec és az SSL/TLS kombinációja: az SSL/TLS használata az első fázisban a szükséges szolgáltatások eléréséhez, majd az IPSec megvalósítása.

3. VPN hálózatok megvalósításának módszerei

A virtuális magánhálózat három megvalósítási módszeren alapul:

· Alagútépítés;

· Titkosítás;

· Hitelesítés.

3.1 Alagútépítés

Az alagút két pont – az alagút vége – közötti adatátvitelt biztosítja oly módon, hogy a közöttük lévő teljes hálózati infrastruktúra el van rejtve az adatok forrása és rendeltetési helye számára.

Az alagút szállító közege, mint egy komp, felveszi az alagút bejáratánál használt hálózati protokoll csomagjait, és változatlan formában eljuttatja azokat a kijárathoz. Alagút építése elegendő két hálózati csomópont összekapcsolására, hogy a rajtuk futó szoftverek szempontjából ugyanazon (helyi) hálózathoz kapcsolódjanak. Nem szabad azonban megfeledkezni arról, hogy az adatokat tartalmazó „komp” egy nyílt nyilvános hálózat sok köztes csomópontján (routerén) halad át.

Ennek az állapotnak két problémája van. Az első az, hogy az alagúton keresztül továbbított információkat a behatolók elfoghatják. Ha bizalmas (bankkártyaszámok, pénzügyi jelentések, személyes adatok), akkor a kompromittálás veszélye egészen valós, ami már önmagában is kellemetlen. Ami még rosszabb, a támadók módosíthatják az alagúton továbbított adatokat, hogy a címzett ne tudja ellenőrizni azok hitelességét. A következmények a legszánalmasabbak lehetnek. A fentiek alapján arra a következtetésre jutunk, hogy az alagút tiszta formájában csak bizonyos típusú hálózati számítógépes játékokhoz alkalmas, és nem állíthatja, hogy komolyabb. Mindkét probléma megoldódik modern eszközökkel információk kriptográfiai védelme. Az alagút mentén az adatcsomag jogosulatlan megváltoztatásának megakadályozására egy elektronikus digitális aláírás(). Az eljárás lényege, hogy minden továbbított csomaghoz egy további információblokk kerül, amely egy aszimmetrikus kriptográfiai algoritmus szerint generálódik, és egyedi a csomag tartalmára, ill. titkos kulcs A feladó EDS-je. Ez az információs blokk a csomag EDS-e, és lehetővé teszi az adathitelesítést a címzett által, aki ismeri a küldő EDS nyilvános kulcsát. Az alagúton keresztül továbbított adatok védelme az illetéktelen megtekintés ellen erős titkosítási algoritmusok használatával érhető el.

3.2 Hitelesítés

A biztonság a VPN fő funkciója. Az ügyfélszámítógépekről származó összes adat az interneten keresztül jut el a VPN-kiszolgálóhoz. Egy ilyen szerver nagy távolságra is elhelyezhető az ügyfélszámítógéptől, és a szervezet hálózatához vezető úton sok szolgáltató berendezésén haladnak át az adatok. Hogyan lehet megbizonyosodni arról, hogy az adatok nem kerültek beolvasásra vagy módosításra? Ehhez különféle hitelesítési és titkosítási módszereket alkalmaznak.

A PPTP a PPP-hez használt protokollok bármelyikét használhatja a felhasználók hitelesítésére.

• EAP vagy Extensible Authentication Protocol;
• MSCHAP vagy Microsoft Challenge Handshake Authentication Protocol (1. és 2. verzió);
• CHAP vagy Challenge Handshake Authentication Protocol;
• SPAP vagy Shiva jelszó-hitelesítési protokoll;
• PAP vagy Password Authentication Protocol.

Az MSCHAP 2-es verzióját és a Transport Layer Security-t (EAP-TLS) tartják a legjobbnak, mert kölcsönös hitelesítést biztosítanak, pl. A VPN-kiszolgáló és a kliens azonosítja egymást. Minden más protokollban csak a szerver hitelesíti az ügyfeleket.

Bár a PPTP megfelelő fokú biztonságot nyújt, az IPSec feletti L2TP még mindig megbízhatóbb. Az L2TP over IPSec felhasználói és számítógépes szintű hitelesítést, valamint hitelesítést és adattitkosítást biztosít.

A hitelesítés nyílt teszttel (tiszta szöveges jelszó) vagy kérés/válasz séma (kihívás/válasz) segítségével történik. A közvetlen szöveggel minden világos. A kliens elküldi a jelszót a szervernek. A szerver ezt a benchmarkhoz hasonlítja, és vagy megtagadja a hozzáférést, vagy azt mondja, hogy "üdvözöljük". Nyílt hitelesítés gyakorlatilag nem létezik.

A kérés/válasz séma sokkal fejlettebb. BAN BEN Általános nézet ez így néz ki:

• a kliens hitelesítési kérelmet küld a szervernek;
• a szerver véletlenszerű választ ad vissza (kihívás);
• a kliens eltávolít egy hash-t a jelszavából (a hash egy olyan hash függvény eredménye, amely egy tetszőleges hosszúságú bemeneti adattömböt fix hosszúságú kimeneti bitsorozattá alakít), titkosítja vele a választ és elküldi a szervernek;
• a szerver ugyanezt teszi, összehasonlítva az eredményt a kliens válaszával;
• ha a titkosított válasz egyezik, a hitelesítés sikeresnek minősül;

A VPN-kliensek és -kiszolgálók hitelesítésének első lépésében az L2TP over IPSec a tanúsító hatóságtól kapott helyi tanúsítványokat használja. Az ügyfél és a kiszolgáló tanúsítványokat cserél, és biztonságos ESP SA (biztonsági társulás) kapcsolatot hoz létre. Miután az L2TP (IPSec felett) befejezte a számítógép-hitelesítési folyamatot, a rendszer felhasználói szintű hitelesítést hajt végre. A hitelesítéshez bármilyen protokoll használható, még a PAP is, amely tiszta szövegben továbbítja a felhasználónevet és a jelszót. Ez meglehetősen biztonságos, mivel az L2TP over IPSec titkosítja a teljes munkamenetet. A felhasználó hitelesítése azonban az MSCHAP segítségével, amely különböző titkosítási kulcsokat használ a számítógép és a felhasználó hitelesítésére, növelheti a biztonságot.

3.3. Titkosítás

A PPTP titkosítás biztosítja, hogy senki ne férhessen hozzá az adatokhoz, miközben azokat az interneten keresztül küldik. Jelenleg két titkosítási módszer támogatott:

• Az MPPE vagy a Microsoft Point-to-Point Encryption csak az MSCHAP-pal (1. és 2. verzió) kompatibilis;
• Az EAP-TLS, és képes automatikusan megválasztani a titkosítási kulcs hosszát, amikor a paraméterekről egyeztet a kliens és a szerver között.

Az MPPE 40, 56 vagy 128 bites kulcsokat támogat. régi OS A Windows csak 40 bites kulcshosszúságú titkosítást támogatja, tehát vegyesen Windows környezet meg kell választani a minimális kulcshosszt.

A PPTP minden egyes fogadott csomag után megváltoztatja a titkosítási kulcs értékét. Az MMPE protokollt pont-pont összeköttetésekre tervezték, ahol a csomagok egymás után kerülnek továbbításra, és nagyon kevés adatvesztés történik. Ebben a helyzetben a következő csomag kulcsértéke az előző csomag visszafejtésének eredményétől függ. Hálózatokon átívelő virtuális hálózatok építésekor nyilvános hozzáférés ezek a feltételek nem teljesíthetők, mivel az adatcsomagok gyakran rossz sorrendben érkeznek a címzetthez, ahogyan azokat elküldték. Ezért a PPTP csomagsorszámokat használ a titkosítási kulcs megváltoztatásához. Ez lehetővé teszi, hogy a visszafejtést az előzőleg fogadott csomagoktól függetlenül hajtsák végre.

Mindkét protokoll implementálva van Microsoft Windows, és azon kívül (például BSD-ben) a VPN működési algoritmusai jelentősen eltérhetnek egymástól.

Így az „alagút + hitelesítés + titkosítás” csomag lehetővé teszi két pont közötti adatátvitelt nyilvános hálózaton keresztül, szimulálva egy privát (helyi) hálózat működését. Más szóval, a figyelembe vett eszközök lehetővé teszik egy virtuális magánhálózat felépítését.

A VPN-kapcsolat további szép hatása a helyi hálózatban elfogadott címzési rendszer használatának képessége (sőt annak szükségessége).

A virtuális magánhálózat megvalósítása a gyakorlatban a következő. Helyben számítógép hálózat a cég irodája be van állítva VPN szerver. A VPN kliens szoftvert használó távoli felhasználó (vagy router, ha két iroda csatlakozik) kezdeményezi a csatlakozási eljárást a szerverrel. Megtörténik a felhasználói hitelesítés - a VPN-kapcsolat létrehozásának első fázisa. A jogosultság megerősítése esetén megkezdődik a második fázis - a kliens és a szerver között megbeszélik a kapcsolat biztonságának biztosításának részleteit. Ezt követően VPN-kapcsolatot szerveznek, amely biztosítja az információcserét az ügyfél és a szerver között abban a formában, amikor minden adatcsomag átmegy a titkosítási / visszafejtési és integritás-ellenőrzési eljárásokon - adathitelesítés.

A VPN-hálózatok fő problémája a hitelesítésre és a titkosított információk cseréjére vonatkozó megalapozott szabványok hiánya. Ezek a szabványok még fejlesztés alatt állnak, ezért a különböző gyártók termékei nem tudnak VPN-kapcsolatot létrehozni és automatikusan kulcsokat cserélni. Ez a probléma A VPN-ek elterjedésének lassulásával jár, mivel nehéz a különböző cégeket egy gyártó termékeinek használatára kényszeríteni, így a partnercégek hálózatainak úgynevezett extranet hálózatokká való egyesítése is nehézkes.

A VPN technológia előnye, hogy a távoli hozzáférés megszervezése nem telefonvonalon, hanem az Interneten keresztül történik, ami sokkal olcsóbb és jobb. A VPN technológia hátránya, hogy a VPN-ek létrehozásának eszközei nem teljes értékű eszközök a támadások észlelésére és blokkolására. Megakadályozhatnak számos jogosulatlan tevékenységet, de nem minden lehetőséget, amellyel a vállalati hálózatba behatolhat. De mindezek ellenére a VPN-technológiának további fejlődési kilátásai vannak.

Mire számíthatunk a jövőben a VPN-technológiák fejlesztése terén? Kétségtelenül egységes szabványt dolgoznak ki és hagynak jóvá az ilyen hálózatok kiépítésére. Valószínűleg ennek a szabványnak az alapja a már bevált IPSec protokoll lesz. Ezután a gyártók termékeik teljesítményének javítására és kényelmes VPN-vezérlők létrehozására összpontosítanak. Valószínűleg a VPN-építő eszközök fejlesztése a routereken alapuló VPN irányába fog elmozdulni, mivel ez a megoldás egy eszközben ötvözi a meglehetősen nagy teljesítményt, a VPN-integrációt és az útválasztást. A kisebb szervezetek számára azonban olcsó megoldásokat is kidolgoznak. Összegzésként azt kell mondani, hogy annak ellenére, hogy a VPN technológia még nagyon fiatal, nagy jövő áll előtte.

Hagyja meg észrevételét!

A VPN-hálózatok a nyilvános internetes kommunikációs hálózaton keresztüli adatcsatorna-protokollok felhasználásával épülnek fel, az alagútkezelési protokollok pedig adattitkosítást és végpontok közötti átvitelt biztosítanak a felhasználók között. Manapság általában a következő protokollokat használják a VPN-hálózatok felépítésére:

• Link réteg
• hálózati réteg
• szállítóréteg.

1.1 Link réteg

Az adatkapcsolati rétegben az L2TP és PPTP adatalagút protokollok használhatók, amelyek engedélyezést és hitelesítést használnak.

VPN-protokoll – pont-pont alagútkezelési protokoll vagy pont-pont alagútkezelési protokoll – PPTP. A 3Com és a Microsoft fejlesztette ki, hogy biztonságos távoli hozzáférést biztosítson a vállalati hálózatokhoz az interneten keresztül. A PPTP a meglévő nyílt TCP/IP szabványokat használja, és nagymértékben támaszkodik az örökölt pont-pont PPP protokollra.

A gyakorlatban a PPP a PPP kapcsolati munkamenet kommunikációs protokollja marad. A PPTP alagutat hoz létre a hálózaton keresztül a címzett szerveréhez, és ezen keresztül továbbítja a távoli felhasználó PPP-csomagjait.

A szerver és a munkaállomás virtuális magánhálózatot használ, és nem érdekli, mennyire biztonságos vagy elérhető a köztük lévő globális hálózat. A kapcsolati munkamenet kiszolgáló által kezdeményezett megszakítása a speciális távelérési kiszolgálókkal ellentétben lehetővé teszi a helyi hálózati rendszergazdák számára, hogy ne engedjék meg a távoli felhasználóknak, hogy elhagyják a Windows Server biztonsági rendszerét.

Míg a PPTP a Windows operációs rendszert futtató eszközökre korlátozódik, lehetővé teszi a vállalatok számára, hogy saját biztonságuk veszélyeztetése nélkül együttműködjenek a meglévő hálózati infrastruktúrákkal.

RRTR munka.

A PPTP beágyazza az IP-csomagokat az IP-hálózaton keresztüli továbbításhoz. A PPTP-kliensek a célportot használják alagútvezérlő kapcsolat létrehozására. Ez a folyamat az OSI modell szállítási rétegében megy végbe. Az alagút létrehozása után az ügyfélszámítógép és a kiszolgáló megkezdi a szolgáltatáscsomagok cseréjét. A kapcsolatot életben tartó PPTP vezérlőkapcsolaton kívül létrejön egy kapcsolat az adatalagút továbbítására. Az alagúton való átküldés előtt az adatokat a normál átvitelhez képest kissé eltérő módon kapszulázzák. Az adatok beágyazása az alagútba küldés előtt két lépésből áll:

1. Először a PPP információs rész jön létre. Az adatok fentről lefelé haladnak, az OSI-alkalmazási rétegtől a kapcsolati rétegig.
2. A kapott adatokat ezután felküldik az OSI-modellbe, és felső rétegbeli protokollokba zárják be.

Így a második lépés során az adatok eljutnak a szállítási réteghez. Az információ azonban nem küldhető el a rendeltetési helyére, mivel ezért az OSI kapcsolati réteg a felelős. Ezért a PPTP titkosítja a csomag hasznos mezőjét, és átveszi a PPP-hez általában társított második rétegbeli funkciókat, azaz. PPP-fejlécet és végződést ad hozzá a PPTP-csomaghoz. Ezzel befejeződik a hivatkozási réteg keretének létrehozása.

Ezután a PPTP a PPP-keretet egy általános útválasztási beágyazási (GRE) csomagba foglalja, amely a hálózati réteghez tartozik. A GRE olyan hálózati rétegbeli protokollokat foglal magában, mint az IPX, AppleTalk, DECnet, hogy lehetővé tegye azok IP-hálózatokon történő átvitelét. A GRE azonban nem képes munkameneteket létrehozni és adatvédelmet biztosítani a behatolókkal szemben. Ez a PPTP azon képességét használja fel, hogy alagútvezérlő kapcsolatot hozzon létre. A GRE beágyazási módszerként való használata csak az IP-hálózatokra korlátozza a PPTP hatókörét.

Miután a PPP-keret egy GRE-fejléccel rendelkező keretbe került, egy IP-fejléccel rendelkező keretbe kerül. Az IP-fejléc tartalmazza a csomag küldőjének és címzettjének címét. Végül a PPTP hozzáad egy PPP fejlécet és végződést.

A küldő rendszer az alagúton keresztül küld adatokat. A fogadó rendszer eltávolítja az összes szolgáltatásfejlécet, és csak a PPP-adatokat hagyja meg.

Az L2TP a PPTP és az L2F (Layer 2 Forwarding) protokollok egyesítésének eredményeként jelent meg. A PPTP lehetővé teszi a PPP csomagok továbbítását az alagúton, valamint a SLIP és PPP L2F csomagokat. A telekommunikációs piacon tapasztalható zavarok és együttműködési problémák elkerülése érdekében az Internet Engineering Task Force (IETF) bizottság azt javasolta, hogy a Cisco Systems egyesítse a PPTP-t és az L2F-et. Minden tekintetben az L2TP protokoll magában foglalja a PPTP és az L2F legjobb tulajdonságait.

Az L2TP fő előnye, hogy ez a protokoll lehetővé teszi alagút létrehozását nemcsak IP-hálózatokban, hanem olyan hálózatokban is, mint az ATM, X.25 és Frame Relay. Sajnos az L2TP Windows 2000 implementációja csak az IP-t támogatja.

Az L2TP UDP-t használ átvitelként, és ugyanazt az üzenetformátumot használja mind az alagútkezeléshez, mind az adattovábbításhoz. A Microsoft L2TP megvalósítása titkosított PPP-csomagokat tartalmazó UDP-csomagokat használ vezérlőüzenetként. A kézbesítés megbízhatóságát a csomagok sorrendjének ellenőrzése garantálja.

A PPTP és az L2TP funkcionalitása eltérő. Az L2TP nem csak IP hálózatokban használható, az alagút létrehozásához és az azon keresztül történő adatküldéshez ugyanazt a formátumot és protokollt használják szolgáltatási üzenetek. A PPTP csak IP-hálózatokon keresztül használható, és külön TCP-kapcsolatra van szüksége az alagút létrehozásához és használatához. Az L2TP over IPSec több biztonsági réteget kínál, mint a PPTP, és közel 100%-os biztonságot garantálhat az üzleti szempontból kritikus adatok számára. Az L2TP szolgáltatásai nagyon ígéretes protokollt kínálnak a virtuális hálózatok építéséhez.

Az L2TP és PPTP protokollok számos szempontból különböznek a 3. rétegbeli alagútkezelési protokolloktól:

1. Lehetővé teszi a vállalatok számára, hogy megválasszák, hogyan hitelesítsék és ellenőrizzék hitelesítési adataikat – saját „területükön” vagy egy internetszolgáltatónál. Alagutazott PPP-csomagok feldolgozásával a vállalati hálózati szerverek minden olyan információt megkapnak, amelyre szükségük van a felhasználók azonosításához.
2. Alagutak váltásának támogatása - egy alagút lezárása és egy másik elindítása a sok lehetséges lezáró egyikéhez. Az alagutak kapcsolása lehetővé teszi a PPP-kapcsolat kiterjesztését a kívánt végpontig.
3. Lehetővé teszi a vállalati hálózati rendszergazdák számára, hogy stratégiákat valósítsanak meg hozzáférési jogok hozzárendelésére a felhasználókhoz közvetlenül a tűzfalon és a belső szervereken.

Mivel az alagútlezárók felhasználói információkat tartalmazó PPP-csomagokat kapnak, képesek a rendszergazda által meghatározott biztonsági házirendeket alkalmazni az egyes felhasználói forgalomra. (A 3. rétegbeli alagút nem teszi lehetővé a szolgáltatótól érkező csomagok megkülönböztetését, ezért biztonsági házirend-szűrőket kell alkalmazni a végmunkaállomásokon és a hálózati eszközökön.) Ezen túlmenően, ha alagútkapcsolót használunk, lehetővé válik egy " a második réteg alagút folytatása, hogy az egyes felhasználók forgalmát közvetlenül a megfelelő belső szerverekre sugározzák. Az ilyen szervereket további csomagszűréssel lehet ellátni.

A kapcsolati rétegben is az MPLS technológia használható alagutak szervezésére.

Magyar nyelvből Multiprotocol Label Switching – többprotokollú címkeváltás – adatátviteli mechanizmus, amely az áramkörkapcsolt hálózatok különféle tulajdonságait emulálja csomagkapcsolt hálózatokon keresztül. Az MPLS olyan rétegben működik, amely az adatkapcsolati réteg és az OSI modell harmadik hálózati rétege közé helyezhető, ezért általában hálózati kapcsolati réteg protokollnak nevezik. Úgy tervezték, hogy sokoldalú adatszolgáltatást nyújtson mind az áramkörkapcsolt, mind a csomagkapcsolt hálózati ügyfelek számára. Az MPLS segítségével a forgalom széles skáláját szállíthatja, például IP-csomagokat, ATM-et, SONET-et és Ethernet-kereteket.

A link szintű VPN megoldások hatóköre meglehetősen korlátozott, általában a szolgáltató tartományán belül.

1.2 Hálózati réteg

Hálózati réteg (IP réteg). Az IPSec protokollt használják, amely megvalósítja az adatok titkosítását és bizalmas kezelését, valamint az előfizetői hitelesítést. Az IPSec protokoll használata lehetővé teszi a vállalati hálózathoz való fizikai csatlakozással egyenértékű teljes értékű hozzáférés megvalósítását. A VPN létrehozásához minden résztvevőnek be kell állítania bizonyos IPSec paramétereket, pl. minden ügyfélnek rendelkeznie kell az IPSec-et megvalósító szoftverrel.

IPSec
Természetesen egyetlen vállalat sem akarna nyíltan megosztani pénzügyi vagy egyéb bizalmas információkat az interneten. A VPN-csatornákat az IPsec biztonsági protokoll szabványokba ágyazott hatékony titkosítási algoritmusok védik. Az IPSec vagy Internet Protocol Security – a nemzetközi közösség, az IETF csoport – Internet Engineering Task Force által választott szabvány, megteremti az Internet Protokoll biztonsági alapjait (az IP / IPSec protokoll hálózati szintű védelmet nyújt, és csak az IPSec szabvány támogatását igényli a két eszközön egymással kommunikáló eszközökről az összes többi eszköz egyszerűen IP-csomagforgalmat biztosít.

Az IPSec technológiát használó személyek közötti interakció módszerét általában a "biztonságos társulás" - Security Association (SA) kifejezés határozza meg. A biztonságos társulás az egymásnak továbbított információk védelmére IPSec-et használó felek által kötött megállapodás alapján működik. Ez a megállapodás számos paramétert szabályoz: a küldő és a címzett IP-címe, kriptográfiai algoritmus, kulcscsere sorrend, kulcsméretek, kulcs élettartama, hitelesítési algoritmus.

Az IPSec nyílt szabványok konszenzusos halmaza, amelynek magja könnyen bővíthető új funkciókkal és protokollokkal. Az IPSec magja három protokollból áll:

• Az AH vagy Authentication Header – hitelesítési fejléc – garantálja az adatok sértetlenségét és hitelességét. Az AH protokoll fő célja, hogy lehetővé tegye a fogadó fél számára, hogy ellenőrizze, hogy:
  • a csomagot olyan fél küldte, amellyel biztonságos kapcsolat jött létre;
  • a csomag tartalma nem torzult el a hálózaton keresztüli átvitel során;
    a csomag nem egy már átvett csomag másolata.

Az első két funkció kötelező az AH protokollhoz, az utolsó pedig nem kötelező az asszociáció létrehozásakor. Ezen funkciók végrehajtásához az AH protokoll egy speciális fejlécet használ.

Felépítését a következőképpen tekintjük:

1. A következő fejléc a magasabb szintű protokoll kódját jelöli, vagyis azt a protokollt, amelynek üzenete az IP-csomag adatmezőjébe kerül.
2. A hasznos teher hossza mező tartalmazza az AH fejléc hosszát.
3. A biztonsági paraméterek indexe (SPI) a csomagok rendeltetésszerű biztonságos társítására szolgál.
4. A Sorozatszám (SN) mező a csomag sorszámát jelzi, és a hamisítás elleni védelemre szolgál (amikor egy harmadik fél megpróbálja újra felhasználni a valóban hitelesített feladó által küldött elfogott biztonságos csomagokat).
5. A hitelesítési adatmező, amely az úgynevezett Integrity Check Value (ICV) értéket tartalmazza, a csomag hitelesítésére és integritásának ellenőrzésére szolgál. Ezt az értéket, amelyet kivonatnak is neveznek, az AH protokoll által megkövetelt két számításilag visszafordíthatatlan MD5 vagy SAH-1 függvény egyikével számítják ki, de bármely más függvény is használható.

ESP vagy Encapsulating Security Payload– titkosított adatbeágyazás – titkosítja a továbbított adatokat, biztosítva a titkosságot, támogatja a hitelesítést és az adatintegritást is;

Az ESP protokoll két problémacsoportot old meg.

1. Az első az AH protokollhoz hasonló feladatokat tartalmaz – ez a kivonat alapján történő hitelesítés és adatintegritás biztosítása.
2. A második a továbbított adatok védelme az illetéktelen megtekintéstől való titkosítással.

A fejléc két részre van osztva, amelyeket adatmező választ el.

1. Az első, magát az ESP-fejlécet magába foglaló részt két mező alkotja (SPI és SN), amelyek célja hasonló az AH protokoll azonos nevű mezőihez, és az adatmező elé kerül.
2. Az ESP protokoll többi szolgáltatásmezője, az úgynevezett ESP trailer, a csomag végén található.

Az előzetes két mezője - a következő fejléc és a hitelesítési adatok - hasonló az AH fejléc mezőihez. A Hitelesítési adatok mező kimarad, ha úgy döntöttek, hogy nem használják az ESP protokoll integritási képességeit biztonságos társítás létrehozásakor. Ezeken a mezőken kívül a pótkocsi két további mezőt is tartalmaz - a töltőanyagot és a töltőanyag hosszát.

Az AH és ESP protokollok két módban védhetik az adatokat:

1. szállításban - az átvitel az eredeti IP-fejlécekkel történik;
2. alagútban az eredeti csomag egy új IP-csomagba kerül, és az átvitel új fejlécekkel történik.

Az egyik vagy másik mód használata függ az adatvédelmi követelményektől, valamint attól, hogy a biztonságos csatornát lezáró csomópont milyen szerepet játszik a hálózatban. Így egy csomópont lehet gazdagép (végcsomópont) vagy átjáró (köztes csomópont).

Ennek megfelelően három séma létezik az IPSec protokoll használatára:

1. host host;
2. átjáró-átjáró;
3. gazdagép átjáró.

Az AH és az ESP protokollok képességei részben átfedik egymást: az AH protokoll csak az adatok integritásának és hitelesítésének biztosításáért felel, az ESP protokoll képes titkosítani az adatokat, és ezen felül ellátja az AH protokoll funkcióit (csonka formában) . Az ESP bármilyen kombinációban támogatja a titkosítási és hitelesítési/integritási funkciókat, azaz akár a funkciók teljes csoportját, akár csak a hitelesítést/integritást, vagy csak a titkosítást.

IKE vagy internetes kulcscsere– Internetes kulcscsere – megoldja azt a segédproblémát, hogy a biztonságos csatorna végpontjait automatikusan ellátják a hitelesítési és adattitkosítási protokollok működéséhez szükséges titkos kulcsokkal.

1.3 Szállítási réteg

A szállítási réteg az SSL/TLS vagy Secure Socket Layer/Transport Layer Security protokollt használja, amely titkosítást és hitelesítést valósít meg a vevő és az adó szállítási rétegei között. Az SSL/TLS a TCP forgalom biztosítására használható, az UDP forgalom nem. Az SSL/TLS VPN működéséhez nincs szükség speciális szoftver bevezetésére, mivel minden böngésző és e-mail kliens rendelkezik ezekkel a protokollokkal. Annak a ténynek köszönhetően, hogy az SSL/TLS a szállítási rétegen van megvalósítva, biztonságos kapcsolat jön létre végpontok között.

A TLS protokoll a Netscape SSL protokoll 3.0-s verzióján alapul, és két részből áll: TLS Record Protocol és TLS Handshake Protocol. Az SSL 3.0 és a TLS 1.0 közötti különbség csekély.

Az SSL/TLS három fő fázisból áll:

1. iPárbeszéd a felek között, melynek célja a titkosítási algoritmus kiválasztása;
2. Kulcscsere nyilvános kulcsú kriptorendszereken vagy tanúsítvány alapú hitelesítésen;
3. Szimmetrikus titkosítási algoritmusokkal titkosított adatok átvitele.

1.4 VPN megvalósítás: IPSec vagy SSL/TLS?

Az informatikai osztályok vezetői gyakran szembesülnek azzal a kérdéssel: melyik protokollt válasszák a vállalati VPN-hálózat kiépítéséhez? A válasz nem egyértelmű, mivel minden megközelítésnek vannak előnyei és hátrányai is. Megpróbáljuk elemezni és azonosítani, mikor szükséges az IPSec, és mikor az SSL / TLS használata. Amint az ezen protokollok jellemzőinek elemzéséből látható, ezek nem cserélhetők fel, és külön-külön és párhuzamosan is működhetnek, meghatározva az egyes megvalósított VPN-ek funkcionális jellemzőit.

A vállalati VPN-hálózat felépítéséhez szükséges protokoll kiválasztása a következő kritériumok szerint történhet:

A VPN-felhasználók számára szükséges hozzáférés típusa.

1. Teljesen működőképes állandó csatlakozás a vállalati hálózathoz. Az ajánlott választás az IPSec.
2. Ideiglenes kapcsolat, például mobilfelhasználó vagy nyilvános számítógépet használó felhasználó bizonyos szolgáltatásokhoz, például e-mailekhez vagy adatbázisokhoz való hozzáférés érdekében. Az ajánlott választás az SSL/TLS protokoll, amely lehetővé teszi, hogy minden egyes szolgáltatáshoz VPN-t szervezzen.

Hogy a felhasználó a vállalat alkalmazottja-e.

1. Ha a felhasználó vállalati alkalmazott, az általa használt eszköz, amellyel IPSec VPN-en keresztül hozzáfér a vállalati hálózathoz, valamilyen meghatározott módon konfigurálható.
2. Ha a felhasználó nem annak a vállalatnak az alkalmazottja, amelynek vállalati hálózatát elérik, akkor javasolt az SSL/TLS használata. Ez csak bizonyos szolgáltatásokhoz korlátozza a vendégek hozzáférését.

Milyen a vállalati hálózat biztonsági szintje.

1. Magas. Az ajánlott választás az IPSec. Valójában az IPSec által kínált biztonsági szint sokkal magasabb, mint az SSL / TLS protokoll által kínált biztonsági szint a felhasználói oldalon konfigurálható szoftver és a vállalati hálózat oldalán található biztonsági átjáró használatának köszönhetően.
2. Átlagos. Az ajánlott választás az SSL/TLS protokoll, amely lehetővé teszi a hozzáférést bármely terminálról.

A felhasználó által továbbított adatok biztonsági szintje.

1. Magas, például a cégvezetés. Az ajánlott választás az IPSec.
2. Közepes például partner. Az ajánlott választás az SSL/TLS protokoll.
   A szolgáltatástól függően - közepestől a magasig. Az ajánlott választás az IPSec (magas szintű biztonságot igénylő szolgáltatásokhoz) és az SSL/TLS (közepes szintű biztonságot igénylő szolgáltatásokhoz) kombinációja.

Ami még fontosabb, a VPN gyors telepítése vagy a megoldás jövőbeni méretezhetősége.

1. Gyorsan telepíthet VPN-hálózatot minimális költséggel. Az ajánlott választás az SSL/TLS protokoll. Ebben az esetben nincs szükség speciális szoftver implementálására a felhasználói oldalon, mint az IPSec esetében.
2. VPN hálózat skálázhatósága – hozzáférést biztosít a különböző szolgáltatásokhoz. Az ajánlott választás az IPSec protokoll, amely hozzáférést biztosít a vállalati hálózat összes szolgáltatásához és erőforrásához.
3. Gyors telepítés és skálázhatóság. Az ajánlott választás az IPSec és az SSL/TLS kombinációja: az SSL/TLS használata az első fázisban a szükséges szolgáltatások eléréséhez, majd az IPSec megvalósítása.

2. VPN hálózatok megvalósításának módszerei

A virtuális magánhálózat három megvalósítási módszeren alapul:

• alagútépítés;
• Titkosítás;
• Hitelesítés.

2.1 Alagútépítés

Az alagút két pont – az alagút vége – közötti adatátvitelt biztosítja oly módon, hogy a közöttük elhelyezkedő teljes hálózati infrastruktúra el van rejtve az adatok forrásától és célállomásától.

Az alagút szállító közege, mint egy komp, felveszi az alagút bejáratánál használt hálózati protokoll csomagjait, és változatlan formában eljuttatja azokat a kijárathoz. Alagút építése elegendő két hálózati csomópont összekapcsolására, hogy a rajtuk futó szoftverek szempontjából ugyanazon (helyi) hálózathoz kapcsolódjanak. Nem szabad azonban megfeledkezni arról, hogy az adatokat tartalmazó „komp” egy nyílt nyilvános hálózat sok köztes csomópontján (routerén) halad át.

Ennek az állapotnak két problémája van. Az első az, hogy az alagúton keresztül továbbított információkat a behatolók elfoghatják. Ha bizalmas (bankkártyaszámok, pénzügyi jelentések, személyes adatok), akkor a kompromittálás veszélye egészen valós, ami már önmagában is kellemetlen.

Ami még rosszabb, a támadók módosíthatják az alagúton továbbított adatokat, hogy a címzett ne tudja ellenőrizni azok hitelességét. A következmények a legszánalmasabbak lehetnek. A fentiek alapján arra a következtetésre jutunk, hogy az alagút tiszta formájában csak bizonyos típusú hálózati számítógépes játékokhoz alkalmas, és nem állíthatja, hogy komolyabb. Mindkét problémát a kriptográfiai információvédelem modern eszközei oldják meg.

Az alagúton áthaladó adatcsomag illetéktelen módosításának megakadályozására az elektronikus digitális aláírás (EDS) módszerét alkalmazzák. Az eljárás lényege, hogy minden továbbított csomaghoz egy további információblokk kerül, amely egy aszimmetrikus kriptográfiai algoritmus szerint jön létre, és egyedi a csomag tartalmára és a küldő EDS titkos kulcsára vonatkozóan. Ez az információs blokk a csomag EDS-e, és lehetővé teszi az adathitelesítést a címzett által, aki ismeri a küldő EDS nyilvános kulcsát. Az alagúton keresztül továbbított adatok védelme az illetéktelen megtekintés ellen erős titkosítási algoritmusok használatával érhető el.

2.2 Hitelesítés

A biztonság a VPN fő funkciója. Az ügyfélszámítógépekről származó összes adat az interneten keresztül jut el a VPN-kiszolgálóhoz. Egy ilyen szerver nagy távolságra is elhelyezhető az ügyfélszámítógéptől, és a szervezet hálózatához vezető úton sok szolgáltató berendezésén haladnak át az adatok. Hogyan lehet megbizonyosodni arról, hogy az adatok nem kerültek beolvasásra vagy módosításra? Ehhez különféle hitelesítési és titkosítási módszereket alkalmaznak.

A PPTP a PPP-hez használt protokollok bármelyikét használhatja a felhasználók hitelesítésére.

• EAP vagy Extensible Authentication Protocol;
• MSCHAP vagy Microsoft Challenge Handshake Authentication Protocol (1. és 2. verzió);
• CHAP vagy Challenge Handshake Authentication Protocol;
• SPAP vagy Shiva jelszó-hitelesítési protokoll;
• PAP vagy Password Authentication Protocol.

Az MSCHAP 2-es verzióját és a Transport Layer Security-t (EAP-TLS) tartják a legjobbnak, mert kölcsönös hitelesítést biztosítanak, pl. A VPN-kiszolgáló és a kliens azonosítja egymást. Minden más protokollban csak a szerver hitelesíti az ügyfeleket.

Bár a PPTP megfelelő fokú biztonságot nyújt, az IPSec feletti L2TP még mindig megbízhatóbb. Az L2TP over IPSec felhasználói és számítógépes szintű hitelesítést, valamint hitelesítést és adattitkosítást biztosít.

A hitelesítés nyílt teszttel (tiszta szöveges jelszó) vagy kérés/válasz séma (kihívás/válasz) segítségével történik. A közvetlen szöveggel minden világos. A kliens elküldi a jelszót a szervernek. A szerver ezt a benchmarkhoz hasonlítja, és vagy megtagadja a hozzáférést, vagy azt mondja, hogy "üdvözöljük". Nyílt hitelesítés gyakorlatilag nem létezik.

A kérés/válasz séma sokkal fejlettebb. Általában így néz ki:

• a kliens hitelesítési kérelmet küld a szervernek;
• a szerver véletlenszerű választ ad vissza (kihívás);
• a kliens eltávolít egy hash-t a jelszavából (a hash egy olyan hash függvény eredménye, amely egy tetszőleges hosszúságú bemeneti adattömböt fix hosszúságú kimeneti bitsorozattá alakít), titkosítja vele a választ és elküldi a szervernek;
• a szerver ugyanezt teszi, összehasonlítva az eredményt a kliens válaszával;
• ha a titkosított válasz egyezik, a hitelesítés sikeresnek minősül;

A VPN-kliensek és -kiszolgálók hitelesítésének első lépésében az L2TP over IPSec a tanúsító hatóságtól kapott helyi tanúsítványokat használja. Az ügyfél és a kiszolgáló tanúsítványokat cserél, és biztonságos ESP SA (biztonsági társulás) kapcsolatot hoz létre. Miután az L2TP (IPSec felett) befejezte a számítógép-hitelesítési folyamatot, a rendszer felhasználói szintű hitelesítést hajt végre. A hitelesítéshez bármilyen protokoll használható, még a PAP is, amely tiszta szövegben továbbítja a felhasználónevet és a jelszót. Ez meglehetősen biztonságos, mivel az L2TP over IPSec titkosítja a teljes munkamenetet. A felhasználó hitelesítése azonban az MSCHAP segítségével, amely különböző titkosítási kulcsokat használ a számítógép és a felhasználó hitelesítésére, növelheti a biztonságot.

2.3. Titkosítás

A PPTP titkosítás biztosítja, hogy senki ne férhessen hozzá az adatokhoz, miközben azokat az interneten keresztül küldik. Jelenleg két titkosítási módszer támogatott:

• Az MPPE vagy a Microsoft Point-to-Point Encryption csak az MSCHAP-pal (1. és 2. verzió) kompatibilis;
• Az EAP-TLS, és képes automatikusan megválasztani a titkosítási kulcs hosszát, amikor a paraméterekről egyeztet a kliens és a szerver között.

Az MPPE 40, 56 vagy 128 bites kulcsokat támogat. A régebbi Windows operációs rendszerek csak 40 bites kulcshosszúságú titkosítást támogatnak, ezért vegyes Windows környezetben válassza ki a minimális kulcshosszt.

A PPTP minden egyes fogadott csomag után megváltoztatja a titkosítási kulcs értékét. Az MMPE protokollt pont-pont összeköttetésekre tervezték, ahol a csomagok egymás után kerülnek továbbításra, és nagyon kevés adatvesztés történik. Ebben a helyzetben a következő csomag kulcsértéke az előző csomag visszafejtésének eredményétől függ. A virtuális hálózatok nyilvános hálózatokon keresztül történő építésénél ezek a feltételek nem teljesülnek, mivel az adatcsomagok gyakran rossz sorrendben érkeznek a címzetthez, ahogyan azokat elküldték. Ezért a PPTP csomagsorszámokat használ a titkosítási kulcs megváltoztatásához. Ez lehetővé teszi, hogy a visszafejtést az előzőleg fogadott csomagoktól függetlenül hajtsák végre.

Mindkét protokoll Microsoft Windowsban és azon kívül (például BSD-ben) is megvalósul, a VPN működési algoritmusai jelentősen eltérhetnek egymástól. NT-n (és az abból származó rendszereken). Az alapvető információkat a táblázat tartalmazza.

Így az „alagút + hitelesítés + titkosítás” csomag lehetővé teszi két pont közötti adatátvitelt nyilvános hálózaton keresztül, szimulálva egy privát (helyi) hálózat működését. Más szóval, a figyelembe vett eszközök lehetővé teszik egy virtuális magánhálózat felépítését.

A VPN-kapcsolat további szép hatása a helyi hálózatban elfogadott címzési rendszer használatának képessége (sőt annak szükségessége).

A virtuális magánhálózat megvalósítása a gyakorlatban a következő. A VPN szerver a vállalat irodájának helyi számítógépes hálózatába van telepítve. A VPN kliens szoftvert használó távoli felhasználó (vagy router, ha két iroda csatlakozik) kezdeményezi a csatlakozási eljárást a szerverrel. Megtörténik a felhasználói hitelesítés - a VPN-kapcsolat létrehozásának első fázisa. A jogosultság megerősítése esetén megkezdődik a második fázis - a kliens és a szerver között megbeszélik a kapcsolat biztosításának részleteit. Ezt követően VPN kapcsolat jön létre, amely biztosítja az információcserét a kliens és a szerver között abban a formában, amikor minden adatcsomag átmegy a titkosítási / visszafejtési és integritás-ellenőrzési eljárásokon - adathitelesítés.

A VPN-hálózatok fő problémája a hitelesítésre és a titkosított információk cseréjére vonatkozó megalapozott szabványok hiánya. Ezek a szabványok még fejlesztés alatt állnak, ezért a különböző gyártók termékei nem tudnak VPN-kapcsolatot létrehozni és automatikusan kulcsokat cserélni. Ez a probléma a VPN-ek elterjedésének lassulásával jár, mivel nehéz a különböző cégeket rákényszeríteni egy gyártó termékeinek használatára, így a partnercégek hálózatainak úgynevezett extranet hálózatokká való egyesítése is nehézkes.

Hogyan hozzunk létre egyetlen privát hálózatot minden mobil munkatárs és távoli fiók számára

Mi az a VPN?

Tegyük fel, hogy két irodánk van különböző pontokat városokban, vagy különböző városokban vagy országokban, és mindegyik csatlakozik az internethez. Ahhoz, hogy mondjuk az 1C egyetlen vállalati rendszerként működjön, egyetlen helyi hálózatba kell integrálnunk őket. (Annak ellenére, hogy az 1C-hez megoldásokat kínálunk elosztott adatbázisok formájában. Néha egyszerűbb egyetlen hálózatot létrehozni és csatlakozni közvetlenül az 1C szerverre mintha a szerver az Ön telephelyén lenne)

Természetesen vásárolhat személyes vonalat két város között, de ez a megoldás nagy valószínűséggel szuper drága lesz.
A virtuális magánhálózaton (VPN - Virtual Private Network) keresztüli megoldás lehetővé teszi számunkra, hogy ezt a bérelt vonalat titkosított alagút létrehozásával szervezzük meg az interneten keresztül. .
A fogyasztó szemszögéből a VPN egy olyan technológia, amellyel nyílt internetes csatornákon keresztül megszervezhető a szerverek, adatbázisok és a vállalati hálózat bármely erőforrása távoli biztonságos elérése. Tegyük fel, hogy egy könyvelő A városban egyszerűen ki tud nyomtatni egy számlát egy B város titkárának nyomtatóján, akihez az ügyfél jött. A laptopjukról VPN-en keresztül csatlakoztatott távoli alkalmazottak is dolgozhatnak majd a hálózaton, mintha az irodájuk fizikai hálózatában lennének.

A távoli asztal használatakor a pénztárgépek *fékeivel* szembesülő ügyfelek gyakran VPN telepítésének szükségességébe kerülnek. Ez lehetővé teszi, hogy megszabaduljon a pénztárgép adatainak oda-vissza küldésétől a szerver felé virtuális COM segítségével az interneten keresztül, és lehetővé teszi egy vékony kliens telepítését bármely ponton, amely közvetlenül kommunikál a pénztárgéppel, és csak a szükséges adatokat küldi el. zárt csatornán keresztül jut el a szerverhez. Az RDP interfész közvetlen internetre történő sugárzása pedig nagyon nagy kockázatoknak teszi ki vállalatát.

Csatlakozási módok

A VPN szervezési módszerei a legcélszerűbb a következő 2 fő módszert megkülönböztetni:

• (Ügyfél – Hálózat ) Egyéni alkalmazottak távoli hozzáférése a szervezet vállalati hálózatához modemen vagy nyilvános hálózaton keresztül.
• (Hálózat – Hálózat) Két vagy több iroda egyesítése egyetlen biztonságos virtuális hálózatba az interneten keresztül

A legtöbb kézikönyv, különösen a Windows esetében, az első séma szerint írja le a kapcsolatot. Ugyanakkor meg kell értenie, hogy ez a kapcsolat nem egy alagút, hanem csak a VPN hálózathoz való csatlakozást teszi lehetővé, ezeknek az alagutaknak a rendszerezéséhez csak 1 fehér IP-re van szükségünk, és nem a távoli irodák száma szerint. tévesen hinni.

Az ábra mindkét lehetőséget mutatja az A központi irodához való csatlakozáshoz.

Az A és B iroda között egy csatorna szerveződik, amely biztosítja az irodák egységes hálózatba integrálását. Ez biztosítja, hogy mindkét iroda átlátható legyen az egyikben elhelyezett bármely eszköz számára, ami sok problémát megold. Például egyetlen számozási kapacitás megszervezése egy IP telefonokkal rendelkező alközponton belül.

Az A iroda összes szolgáltatása elérhető a mobil kliensek számára, és amikor a B iroda egyetlen helyen található virtuális hálózatés szolgáltatásai.

Ugyanakkor a csatlakozási mód mobil kliensekáltalában a PPTP (Point-to-Point Tunneling Protocol) pont-pont tunneling protokoll és egy második IPsec vagy OpenVPN segítségével valósítják meg

PPTP

(Point-to-Point Tunneling Protocol bumagin-lohg) egy pont-pont alagút protokoll, a Microsoft ötlete, és a PPP (Point-to-Point Protocol) kiterjesztése, ezért annak hitelesítését, tömörítését és titkosítását használja. mechanizmusok. A PPTP protokoll a távoli kliensbe van beépítve Windows hozzáférés xp. Ennek a protokollnak a szokásos választása esetén a Microsoft az MPPE (Microsoft Point-to-Point Encryption) titkosítási módszer használatát javasolja. Titkosítás nélkül is átvihet adatokat. A PPTP-adatok beágyazása úgy történik, hogy a PPP protokoll által feldolgozott adatokhoz egy GRE (Generic Routing Encapsulation) fejlécet és egy IP-fejlécet adnak.

Jelentős biztonsági aggályok miatt nincs ok arra, hogy a PPTP-t válasszuk más protokollokkal szemben, kivéve, ha az eszköz nem kompatibilis más VPN-protokollokkal. Ha eszköze támogatja az L2TP/IPsec vagy az OpenVPN protokollt, akkor jobb, ha ezek közül a protokollok közül választ egyet.

Meg kell jegyezni, hogy szinte minden eszközön, beleértve a mobilokat is, van beépített kliens az operációs rendszerbe (Windows, iOS, Android), amely lehetővé teszi a kapcsolat azonnali beállítását.

L2TP

(Layer Two Tunneling Protocol) egy fejlettebb protokoll, amely a PPTP (a Microsofttól) és az L2F (a Cisco) protokollok kombinációja eredményeként született meg, és magában foglalja e két protokoll legjavát. Biztonságosabb kapcsolatot biztosít, mint az első opció, a titkosítás az IPSec protokoll (IP-security) használatával történik. A Windows XP távoli elérésű kliensbe az L2TP is be van építve, ráadásul a kapcsolat típusának automatikus észlelésekor a kliens először ezzel a biztonsági szempontból előnyösebb protokollal próbál csatlakozni a szerverhez.

Ugyanakkor az IPsec-protokollnak van egy olyan problémája, mint a szükséges paraméterek egyeztetése.Míg sok gyártó konfigurálási lehetőség nélkül állítja be alapértelmezett paramétereit, addig a protokollt használó hardverek nem kompatibilisek.

openvpn

Fejlett nyílt VPN-megoldás, amelyet az „OpenVPN technológiák” hoztak létre, amely ma már a VPN-technológiák de facto szabványa. A megoldás SSL/TLS titkosítási protokollokat használ. Az OpenVPN az OpenSSL könyvtárat használja a titkosításhoz. OpenSSL támogatás nagyszámú különféle kriptográfiai algoritmusok, például 3DES, AES, RC5, Blowfish. Az IPSechez hasonlóan a CheapVPN is rendkívül magas szintű titkosítást tartalmaz – AES algoritmust 256 bites kulcshosszal.
OpenVPN – Az egyetlen megoldás, amely lehetővé teszi azoknak a szolgáltatóknak a megkerülését, amelyek a WEB-től eltérő további protokollok megnyitásáért vágnak vagy díjat számolnak fel. Ez lehetővé teszi olyan csatornák szervezését, amelyek elvileg lehetetlen nyomon követniÉs vannak ilyen megoldásaink

Most már van némi elképzelése arról, hogy mi a VPN és hogyan működik. Ha Ön vezető – gondoljon bele, talán pontosan ezt kereste

Példa egy OpenVPN-kiszolgáló beállítására a pfSense platformon

Hozzon létre egy szervert

• felület: HALVÁNY(internethez csatlakoztatott szerver hálózati interfész)
• Jegyzőkönyv: UDP
• Helyi kikötő: 1194
• Leírás: pfSenseOVPN(bármilyen kényelmes név)
• Alagúthálózat: 10.0.1.0/24
• Átirányítási átjárók: Bekapcsol(Kapcsolja ki ezt az opciót, ha nem szeretné, hogy a kliens összes internetes forgalma a VPN-kiszolgálón keresztül kerüljön átirányításra.)
• helyi hálózat: Hagyja üresen(Ha azt szeretné, hogy a pfSense szerver mögötti helyi hálózat elérhető legyen a távoli VPN-kliensek számára, itt adja meg a hálózat címterét. Tegyük fel, hogy 192.168.1.0/24)
• Párhuzamos kapcsolatok: 2 (Ha további OpenVPN Remote Access Server licencet vásárolt, adja meg a megvásárolt licencek számának megfelelő számot)
• Ügyfelek közötti kommunikáció: Bekapcsol(Ha nem szeretné, hogy a VPN-kliensek lássák egymást, kapcsolja ki ezt az opciót)
• DNS-kiszolgáló 1 (2 stb.): adja meg a pfSense gazdagép DNS-kiszolgálóit.(A címüket a rovatban találja Rendszer > Általános beállítások > DNS-kiszolgálók)

majd klienseket hozunk létre, és a kliensprogramok konfigurációs eljárásainak egyszerűsítésére a pfSense egy további eszközt biztosít - „OpenVPN Client Export Utility”. Ez az eszköz automatikusan előkészíti telepítőcsomagokés fájlok az ügyfelek számára, ami elkerüli az OpenVPN-ügyfél kézi beállítását.

Az irodák közötti VPN-kapcsolat lefedi az olyan üzleti biztonsági követelményeket, mint:

• Központosított hozzáférési lehetőség az információkhoz az irodákból, valamint a központi irodából
• Egységes vállalat Tájékoztatási rendszer
• Vállalati adatbázisok egyetlen belépési ponttal
• Vállalati e-mail egyetlen belépési ponttal
• Az irodák között továbbított információk bizalmas kezelése

Ha nehézségei vannak a beállítással, vagy még nem döntött a VPN technológia mellett - hívjon minket!

Egy vállalat távoli irodáinak biztonságos kommunikációs csatornákon keresztül történő összekapcsolásának lehetősége az egyik leggyakoribb feladat az elosztott hálózati infrastruktúra kiépítésében bármilyen méretű vállalat számára. Számos megoldás létezik erre a problémára:

Csatornák bérlése szolgáltatótól: Általános és megbízható lehetőség. A szolgáltató dedikált fizikai vagy logikai kommunikációs csatornákat bérel. Az ilyen csatornákat gyakran "pont-pont"-nak nevezik.

Előnyök:

1. A könnyű csatlakoztatás és használat - a berendezések és csatornák karbantartása teljes mértékben a szolgáltató felelőssége;
2. Garantált csatornaszélesség - az adatátviteli sebesség mindig megegyezik a szolgáltató által megadott sebességgel;

Hibák:

1. Biztonság és ellenőrzés - a vállalat nem tudja ellenőrizni a szolgáltató oldalán lévő berendezéseket.

Saját (fizikai) kommunikációs gerinchálózat kiépítése: Megbízható és költséges megoldás, hiszen a fizikai kommunikációs csatorna kiépítése teljes mértékben a vállalat felelőssége. Ezzel a megoldással a cég teljes mértékben ellenőrzi és karbantartja a kiépített csatornákat

Előnyök:

1. Rugalmasság - az összes szükséges követelménynek megfelelő csatornák telepítésének képessége;
2. Biztonság és ellenőrzés - a csatorna teljes ellenőrzése, mivel az a vállalathoz tartozik;

Hibák:

1. Telepítés – az ilyen privát csatornák kiépítése időigényes és költséges megoldás. Kilométernyi optika elhelyezése az oszlopok mentén kerek összegbe kerülhet. Még akkor is, ha nem veszi figyelembe az összes állam engedélyeinek megszerzését. példányok;
2. Karbantartás – a csatorna karbantartása teljes mértékben a vállalat felelőssége, ezért magasan képzett szakembereknek kell állniuk a szolgálatban, hogy biztosítsák a működését;
3. Alacsony hibatűrés – a külső optikai kommunikációs vonalak gyakran véletlenül megsérülnek (építőipari berendezések, közművek stb.). Több hétbe is telhet az optikai kapcsolat felfedezése és kijavítása.
4. Egy helyre korlátozva - a külső optikai kommunikációs vonalak lefektetése csak akkor releváns, ha az objektumok néhány tíz kilométeren belül találhatók. Egy másik városhoz több száz és ezer kilométerre húzni a kapcsolatot józan ész miatt nem lehetséges.

Biztonságos csatorna építése az interneten (VPN): Ez a megoldás viszonylag költséghatékony és rugalmas. A távoli irodák egyesítéséhez csak internetkapcsolatra és VPN-kapcsolatok létrehozására alkalmas hálózati berendezésre van szüksége

Előnyök:

1. Alacsony költség - a cég csak az internet-hozzáférésért fizet;
2. Skálázhatóság - új iroda csatlakoztatásához internetre és útválasztóra van szüksége;

Hibák:

1. Csatorna sávszélessége – az adatátviteli sebesség változhat (nincs garantált sávszélesség);

Ez a cikk közelebbről megvizsgálja az utolsó pontot, nevezetesen, hogy a VPN-technológia milyen előnyökkel jár a vállalkozások számára.
Virtuális magánhálózat (VPN) - olyan technológiák összessége, amelyek biztonságos kapcsolatot (alagút) biztosítanak két vagy több távoli helyi hálózathoz nyilvános hálózaton (kb. Interneten) keresztül.

A nagy kiterjedésű VPN-ek egyedülálló előnyei

Az átvitt forgalom védelme: biztonságos a VPN alagúton keresztül továbbítani a forgalmat erős titkosítási protokollok (3DES, AES) használatával. A titkosítás mellett biztosított az adatok sértetlensége és a feladó hitelesítése, kiküszöbölve az információhamisítás és a támadó összekapcsolásának lehetőségét.

Csatlakozás megbízhatósága: A vezető hardvergyártók fejlesztik a VPN-kapcsolati technológiát, biztosítva a VPN-alagutak automatikus helyreállítását a nyilvános hálózathoz való csatlakozás rövid távú meghibásodása esetén.
Mobilitás és egyszerű csatlakozás: a világ bármely pontjáról és szinte bármilyen modern eszközről (okostelefon, Tablet PC, laptop), és a kapcsolat biztonságos lesz. A legtöbb multimédiás eszközgyártó VPN-támogatást adott termékeihez.

Redundancia és terheléselosztás: ha két szolgáltatót használ az internethez való csatlakozáskor (egyensúlyozáshoz / feladatátvételhez), akkor lehetséges az egyensúlyozás VPN forgalom alagutak a szolgáltatók között. Ha valamelyik szolgáltató meghibásodik, az alagút a tartalék kapcsolatot használja.

Forgalom prioritása: a forgalom QoS segítségével történő irányításának képessége - a hang-, videóforgalom prioritása az alagút nagy terhelése esetén.

VPN-ek az üzleti életben

Egységes hálózat

A vállalat földrajzilag elosztott helyi hálózatainak egyetlen hálózatba tömörítése (fiókok összekötése a központi irodával) nagymértékben leegyszerűsíti a vállalaton belüli interakciót és adatcserét, csökkentve a karbantartási költségeket. Bármi vállalati rendszerek egyetlen hálózati területet igényelnek az alkalmazottak munkájához. Ez lehet IP telefonálás, számviteli és pénzügyi számviteli rendszerek, CRM, videokonferencia stb.

Mobil hozzáférés

A munkavállaló tartózkodási helyétől függetlenül, ha van internet kapcsolat és laptop/okostelefon/táblagép, akkor a munkavállaló csatlakozhat a cég belső erőforrásaihoz. Ennek az előnynek köszönhetően a dolgozóknak lehetőségük van a munkavégzésre és a problémák gyors megoldására az irodától távol.

Különböző cégek hálózatainak összevonása

Gyakran szükséges az üzleti partnerek hálózatának összefogása, és egy ilyen társulás létrejöhet az egyes vállalatok belső erőforrásaihoz való hozzáférés korlátozásával és korlátozása nélkül is. Ez a társulás leegyszerűsíti a vállalatok közötti interakciót.

Informatikai infrastruktúra távfelügyelete

Hála a védettnek távoli hozzáférés a cég informatikai infrastruktúrájának felszereltségére az adminisztrátor képes gyorsan megoldani a feladatokat, reagálni a felmerült problémákra.

Szolgáltatás minősége

A videokonferencia, az IP-telefonálás és néhány egyéb alkalmazás garantált sávszélességet igényel. A QoS VPN-alagutakban való használatának köszönhetően például lehetséges az IP-telefonálás kombinálása a vállalat helyi hálózata és egy távoli iroda között.

Az elosztott VPN hálózatok és a vállalati adatátviteli hálózatok (CDTN) alkalmazási körei

A különböző méretű szervezetek követelményeinek és feladatainak elemzése után ezekre vonatkozóan összeállítottunk egy átfogó képet a megoldásokról. Az alábbiakban a VPN technológia tipikus megvalósításait ismertetjük egy vállalat hálózati infrastruktúrájában.

Megoldások kisvállalkozások számára. Gyakran az ilyen megoldások követelménye az, hogy távoli felhasználókat (legfeljebb 10-et) kapcsolódjanak belső hálózatés/vagy több iroda hálózatának összevonása. Az ilyen megoldások egyszerűen és gyorsan telepíthetők. Egy ilyen hálózathoz ajánlott egy tartalék csatorna, amelynek sebessége kisebb vagy azzal megegyezik a fő hálózatéval. A tartalék csatorna passzív, és csak akkor használatos, ha a fő le van tiltva (a VPN alagút automatikusan a tartalék csatorna fölé épül). Ritkán alkalmazzák és gyakran indokolatlan az élberendezések fenntartása az ilyen megoldásokhoz.

Az alagúton keresztül továbbított forgalom a belső alkalmazások forgalma (levél, web, dokumentumok), hangforgalom.

Csatornafoglalás szükséges: Közepes

Berendezés redundancia szükségessége: alacsony

Megoldások középvállalkozások számára. A távoli alkalmazottak (maximum 100) összekapcsolásával együtt a hálózati infrastruktúrának több távoli iroda összekapcsolását is biztosítania kell. Az ilyen megoldásokhoz az internetes csatorna lefoglalása kötelező, míg áteresztőképesség a tartalék csatorna sebességének összehasonlíthatónak kell lennie a fő csatorna sebességével. Sok esetben a tartalék csatorna aktív (terheléselosztás történik a csatornák között). A kritikus hálózati csomópontok felszerelését (kb. border router) ajánlatos lefoglalni központi iroda). A VPN hálózat topológiája csillag vagy részleges háló.

Berendezés redundancia szükségessége: közepes

Megoldások nagyvállalatok számára, elosztott fiókhálózat. Az ilyen kellően nagy léptékű hálózatokat nehéz kiépíteni és fenntartani. Egy ilyen hálózat topológiája a VPN alagutak szervezése szempontjából a következő lehet: csillag, részleges háló, teljes háló (a teljes háló opció az ábrán látható). A csatornaredundancia kötelező (több mint 2 szolgáltató lehetséges), valamint a kritikus hálózati csomópontok berendezésredundanciája. Az összes vagy több csatorna aktív. Az ilyen szintű hálózatokban gyakran használják a szolgáltatók által biztosított bérelt fizikai csatornákat (bérelt vonalakat) vagy VPN-t. Egy ilyen hálózatban maximális megbízhatóságot és hibatűrést kell biztosítani az üzleti leállások minimalizálása érdekében. Az ilyen hálózatok berendezései a vállalati osztály vagy a szolgáltató berendezések zászlóshajója.

Az alagúton keresztül továbbított forgalom a belső alkalmazások forgalma (levél, web, dokumentumok), hangforgalom, videokonferencia forgalom.

Csatornafoglalás szükségessége: magas

Berendezés redundancia szükségessége: magas

Oktatási intézmények. Gyakori, hogy az oktatási intézmények hálózati vezérlőközponthoz csatlakoznak. A forgalom általában nem nagy. A foglalási követelményeket ritka esetekben határozzák meg.

Egészségügyi intézmények. Az egészségügyi intézmények számára akut probléma a kommunikációs csatornák és berendezések megbízhatósága és magas hibatűrése. A nagy kiterjedésű hálózat minden ága redundáns csatornaképző berendezéseket és több szolgáltatót használ.

Megoldások kiskereskedelmi (üzletláncok) számára. Az áruházláncokat a tömeges elhelyezkedés (lehet több ezer üzlet) és a központi iroda (DPC) viszonylag alacsony forgalma jellemzi. A felszereléseket az üzletekben lefoglalni leggyakrabban nem tanácsos. Elegendő kapcsolatot lefoglalni a szolgáltatónál (a "második szolgáltató a horgony" formátumban). Az adatközpontban (központi irodában) található berendezésekkel szemben azonban magasak a követelmények. Mivel ez a pont VPN-alagutak ezreit zárja le. Szükséges a csatornák, a jelentési rendszerek folyamatos figyelése, a biztonsági szabályzatok betartása stb.

Elosztott VPN hálózatok és vállalati adathálózatok (CDTN) megvalósítása

A szükséges felszerelés kiválasztása és a szolgáltatás helyes megvalósítása az nehéz feladat magas szakértelmet igényel az előadótól. A LanKey évek óta a legösszetettebb projekteket valósítja meg, és hatalmas tapasztalattal rendelkezik ezekben a projektekben.

Példák néhány projektre a LanKey által megvalósított KSPD és VPN megvalósítására

Vevő	Az elvégzett munka leírása
	Berendezés gyártó: Juniper Megoldás: a cég hat távoli fiókja biztonságos kommunikációs csatornákon keresztül, csillag topológiával csatlakozott a központi irodához.
Megoldás: csatlakozik az internethez, és VPN-alagutak építése a moszkvai és genfi ​​irodákban.
	Hardvergyártó: Cisco Megoldás: A távoli irodákat biztonságos csatornán egyesítik a szolgáltatók hibatűrése mellett.