Основні варіанти архітектури VPN

↑

▷ Содержание

⇐ ПредыдущаяСтр 2 из 8Следующая ⇒

Нині технології побудови віртуальних захищених приватних мереж (VPN) привертають все більше уваги з боку великих компаній (банків, відомств, великих державних структур і т. д.). Причина такого інтересу полягає в тому, що VPN- технології дійсно дають

можливість не лише істотно скоротити витрати на утримування виділених каналів зв'язку з видаленими підрозділами (філіями), але і підвищити конфіденційність обміну інформацією.

Класифікація мереж VPN

Завдяки технології VPN багато компаній починають будувати свою стратегію з урахуванням використання Інтернету як головного засобу передачі інформації, причому навіть тій, яка є уразливою або життєво важливою.

Існують різні ознаки класифікації VPN. Найчастіше використовуються:

- "робочий" рівень моделі OSI;

- архітектура технічного рішення VPN;

- спосіб технічної реалізації VPN.

Класифікація VPN по "робочому" рівню моделі OSI представляє значний інтерес, оскільки від вибраного рівня OSI багато в чому залежить функціональність VPN.

За ознакою "робочого" рівня моделі OSI розрізняють наступні групи VPN :

- VPN канального рівня;

- VPN мережевого рівня;

- VPN сеансового рівня.

VPN канального рівня. Засоби VPN, використовувані на канальному рівні моделі OSI, дозволяють забезпечити інкапсуляцію різних видів трафіку третього рівня (і вище) і побудову віртуальних тунелів типу "точка-точка" (від маршрутизатора до маршрутизатора або від персонального комп'ютера до шлюзу ЛВС). До цієї групи відносяться VPN- продукти, які використовують протоколи L2F (Layer 2 Forwarding) і РРТР (Point - to - PointTunneling Protocol), а також стандарт L2TP (Layer 2 Tunneling Protocol), розроблений спільно фірмами Cisco Systems і Microsoft.

VPN мережевого рівня. VPN- продукти мережевого рівня виконують інкапсуляцію IP в IP. Одним з широко відомих протоколів на цьому рівні є протокол IPSec (IP Security), призначеним для аутентифікації, туннелирования і шифрування IP- пакетів. Стандартизований консорціумом InternetEngineering Task Force (IETF) протокол IPSec увібрав в себе усі кращі рішення по шифруванню пакетів і повинен увійти в якості обов'язкового компонента в протокол IPv6.

З протоколом IPSec пов'язаний протокол IKE (Internet Key Exchange), вирішальний завдання безпечного управління і обміну криптографічними ключами між видаленими пристроями. Протокол IKE автоматизує обмін ключами і встановлює захищене з'єднання, тоді як IPSec кодує і "підписує" пакети. Крім того, IKE дозволяє змінювати ключ для вже встановленого з'єднання, що підвищує конфіденційність переданої інформації.

VPN сеансового рівня. Деякі VPN використовують інший підхід під назвою "посередники каналів" (circuit proxy). Цей метод функціонує над транспортним рівнем і ретранслює трафік із захищеної мережі в загальнодоступну мережу Internet для кожного сокета окремо. (Сокет IP ідентифікується комбінацією TCP- з'єднання і конкретного порту або заданим портом UDP. Стек TCP/IP не має п'ятого - сеансового - рівня, проте орієнтовані на сокети операції часто називають операціями сеансового рівня.)

Класифікація VPN за архітектурою технічного рішення

По архітектурі технічного рішення прийнято виділяти три основні види віртуальних приватних мереж :

- внутрішньокорпоративні VPN (Intranet VPN);

- VPN з видаленим доступом (Remote Access VPN);

- міжкорпоративні VPN (Extranet VPN).

Внутрішньокорпоративні мережі VPN призначені для забезпечення захищеної взаємодії між підрозділами усередині підприємства або між групою підприємств, об'єднаних корпоративними мережами зв'язку, включаючи виділені лінії.

VPN з видаленим доступом призначені для забезпечення захищеного видаленого доступу до корпоративних інформаційних ресурсів мобільним і/або видаленим (home - office) співробітникам компанії.

Міжкорпоративні мережі VPN призначені для забезпечення захищеного обміну інформацією із стратегічними партнерами по бізнесу, постачальниками, великими замовниками, користувачами, клієнтами і т. д. Extranet VPN забезпечує прямий доступ з мережі однієї компанії до мережі іншої компанії і тим самим сприяє підвищенню надійності зв'язку, підтримуваного в ході ділової співпраці.

Класифікація VPN за способом технічної реалізації

Конфігурація і характеристики віртуальної приватної мережі багато в чому визначаються типом вживаних VPN- пристроїв.

За способом технічної реалізації розрізняють VPN на основі:

- маршрутизаторів;

- між мережевих екранів;

- програмних рішень;

- спеціалізованих апаратних засобів зі вбудованими шифро процесорами.

VPN на основі маршрутизаторів. Цей спосіб побудови VPN припускає застосування маршрутизаторів для створення захищених каналів. Оскільки уся інформація, що виходить з локальної мережі, проходить через маршрутизатор, то цілком природно покласти на нього і завдання шифрування. Приклад устаткування для VPN на маршрутизаторах - облаштування компанії Cisco Systems.

VPN на основі міжмережевих екранів. МЭ більшості виробників підтримують функції туннелирования і шифрування даних, наприклад продукт Fire Wall - 1 компанії Check Point Software Technologies. При використанні МЭ на базі ПК треба пам'ятати, що подібне рішення підходить тільки для невеликих мереж з невеликим об'ємом переданої інформації. Недоліками цього методу є висока вартість рішення в перерахунку на одно робоче місце і залежність продуктивності від апаратного забезпечення, на якому працює МЭ.

VPN на основі програмного забезпечення. VPN- продукти, реалізовані програмним способом, з точки зору продуктивності поступаються спеціалізованим пристроям, проте мають достатню потужність для реалізації VPN- мереж. Слід зазначити, що у разі видаленого доступу вимоги до необхідної смуги пропускання невеликі. Тому чисто програмні продукти легко забезпечують продуктивність, достатню для видаленого доступу. Безперечною гідністю програмних продуктів є гнучкість і зручність в застосуванні, а також відносно невисока вартість.

VPN на основі спеціалізованих апаратних засобів. Головна перевага таких VPN - висока продуктивність, оскільки швидкодія обумовлена тим, що шифрування в них здійснюється спеціалізованими мікросхемами. Спеціалізовані VPN- пристрої забезпечують високий рівень безпеки, проте вони дорогі.

Прийнято виділяти три основні види віртуальних приватних мереж : VPN з видаленим доступом (Remote Access VPN), внутрішньокорпоративні VPN (Intranet VPN) і міжкорпоративні VPN (Extranet VPN).

VPN з видаленим доступом (мал. 10.6) дозволяють значно скоротити щомісячні витрати на використання комутованих і виділених ліній. Принцип їх роботи простий: користувачі встановлюють з'єднання з місцевою точкою доступу до глобальної мережі, після чого їх виклики тунелюють через Інтернет, що позбавляє від плати за міжміський і міжнародний зв'язок або виставляння рахунків власникам безкоштовних міжміських номерів; потім усі виклики концентруються на відповідних вузлах і передаються в корпоративні мережі.

Рис. 10.6. Виртуальная частная сеть с удаленным доступом

Внутрішньокорпоративні мережі VPN (мал. 10.7) будуються з використанням Internet або мережевих інфраструктур, що розділяються, сервіс-провайдерами, що надаються. Компанії досить відмовитися від використання дорогих виділених ліній, замінивши їх дешевшим зв'язком через Internet. Це істотно скорочує витрати на використання смуги пропускання, оскільки в Internet відстань ніяк не впливає на вартість з'єднання.

Рис. 10.7. Соединение узлов сети с помощью технологии Intranet VPN

Достоїнства Intranet VPN :

- застосування потужних криптографічних протоколів шифрування даних для захисту конфіденційної інформації;

- надійність функціонування при виконанні таких критичних застосувань, як системи автоматизованого продажу і системи управління базами даних;

- гнучкість управління ефективним розміщенням швидко зростаючого числа нових користувачів, нових офісів і нових програмних застосувань.

Міжкорпоративна мережа VPN (мал. 10.8) - це мережева технологія, яка забезпечує прямий доступ з мережі однієї компанії до мережі іншої компанії і, таким чином, сприяє підвищенню надійності зв'язку, підтримуваного в ході ділової співпраці.

Мережі Extranet VPN в цілому схожі на внутрішньокорпоративні віртуальні приватні мережі з тією лише різницею, що проблема захисту інформації є для них гострішою. Для Extranet VPN характерне використання стандартизованих VPN- продуктів, що арантують здатність до взаємодії з різними VPN-рішеннями, які ділові партнери могли б застосовувати у своїх мережах.

Познавательные статьи:



Формы дистанционного обучения

Передача мяча двумя руками снизу

Значение правильной осанки для жизнедеятельности человека

Основные ошибки при выполнении передач мяча на месте