Содержание
Введение. 2
1.Глава 1. VPN – Виртуальныечастные сети. 3
1.1Как все начиналось. 3
1.2Что такое VPN… 4
1.3Принцип работы технологии VPN… 4
1.4Общее описание технологии VPN… 5
1.5Основы туннелирования. 8
1.6Протоколы… 8
1.7Достоинства VPN… 11
1.8Недостатки VPN… 13
1.9Перспективы VPN… 14
2. Глава 2. Обзор технологии VPN… 16
2.1Оверлейная модель. 16
2.2Недостатки оверлейной модели. 17
2.3Одноранговая модель (Peer Model) 18
2.4Преимущества одноранговой модели. 20
2.5Трудности реализации одноранговой модели. 20
2.6Варианты построения. 21
3.Глава 3. Техноогия MPLS-VPN… 24
3.1Компоненты MPLS VPN… 24
3.2Путешествие пакета по сети MPLS VPN… 27
3.3Стандарты MPLS VPN… 30
3.4Терминология. 31
3.5Преимущества организации VPN на базе MPLS. 32
3.6Безопасность в сетях MPLS-VPN… 33
Заключение. 36
Списоклитературы… 37
ВВЕДЕНИЕ
Cовременное развитие информационныхтехнологий и, в частности, сети Internet, приводит к необходимости защитыинформации, передаваемой в рамках распределенной корпоративной сети,использующей сети открытого доступа. При использовании своих собственныхфизических каналов доступа эта проблема так остро не стоит, так как в эту сетьне имеет доступа никто из посторонних. Однако стоимость таких каналов высока,поэтому не каждая компания позволит себе использовать их. В связи с этимInternet является наиболее доступным. Internet является незащищенной сетью,поэтому приходиться изобретать способы защиты конфиденциальных данных,передаваемых по незащищенной сети.
VPN — это технология,которая объединяет доверенные сети, узлы и пользователей через открытые сети,которым нет доверия". На мой взгляд, это наиболее яркий образ технологии,которая получает все большее распространение среди не только техническихспециалистов, но и среди рядовых пользователей, которым также требуетсязащищать свою информацию (например, пользователи Internet-банков илиInternet-порталов).
Специалисты в областитехнологии VPN используют сугубо технические понятия, такие как«используемый алгоритм криптографического преобразования»,«туннелирование», «сервер сертификатов» и т.д. Но дляконечных пользователей эта терминология ничего не скажет. Скорее их интересуетнесколько иная интерпретация вопросов — сколько лет можно не беспокоиться засохранность своей информации и насколько медленнее будет работать сеть,защищенная с помощью VPN-устройства.
ГЛАВА1. VPN – Виртуальные частные сети
Любая организация, будьона производственной, торговой, финансовой компании или государственнымучреждением, обязательно сталкивается с вопросом передачи информации междусвоими филиалами, а также с вопросом защиты этой информации. Не каждая фирмаможет себе позволить иметь собственные физические каналы доступа, и здесьпомогает технология VPN, на основе которой и соединяются все подразделения ифилиалы, что обеспечивает достаточную гибкость и одновременно высокуюбезопасность сети, а также существенную экономию затрат.
Виртуальная частная сеть(VPN — Virtual Private Network) создается на базе общедоступной сети Интернет.И если связь через Интернет имеет свои недостатки, главным из которых являетсято, что она подвержена потенциальным нарушениям защиты и конфиденциальности, тоVPN могут гарантировать, что направляемый через Интернет трафик так же защищен,как и передача внутри локальной сети. В тоже время виртуальные сетиобеспечивают существенную экономию затрат по сравнению с содержаниемсобственной сети глобального масштаба.
/>/>1.1Как все начиналось
История появления VPNтесно связана с услугой Centrex в телефонных сетях. Понятие Centrex появилосьна рубеже шестидесятых годов в США как общее название способа предоставленияуслуг деловой связи абонентам нескольких компаний на основе совместноиспользуемого оборудования одной учрежденческой станции PBX (Private BranchExchange). С началом внедрения в США и Канаде станций с программным управлениемтермин приобрел иной смысл и стал означать способ предоставления деловымабонентам дополнительных услуг телефонной связи, эквивалентных услугам PBX, набазе модифицированных станций сети общего пользования. Основное преимуществоCentrex заключалось в том, что фирмы и компании при создании выделенныхкорпоративных сетей экономили значительные средства, необходимые на покупку,монтаж и эксплуатацию собственных станций. Хотя для связи между собой абонентыCentrex используют ресурсы и оборудование сети общего пользования, сами ониобразуют так называемые замкнутые группы пользователей CUG (Closed Users Group)с ограниченным доступом извне, для которых в станциях сети реализуютсявиртуальные PBX.
В стремлении преодолетьсвойственные Centrex ограничения была выдвинута идея виртуальной частной сетиVPN — как объединение CUG, составляющих одну корпоративную сеть и находящихсяна удалении друг от друга
/>/>1.2Что такое VPN
Что же такое VPN?Существует множество определений, однако главной отличительной чертой даннойтехнологии является использование сети Internet в качестве магистрали дляпередачи корпоративного IP-трафика. Сети VPN предназначены для решения задачподключения конечного пользователя к удаленной сети и соединения несколькихлокальных сетей. Структура VPN включает в себя каналы глобальной сети,защищенные протоколы и маршрутизаторы.
/>/>1.3Принцип работы технологии VPN
VPN-устройстворасполагается между внутренней сетью и Интернет на каждом конце соединения.Когда данные передаются через VPN, они исчезают «с поверхности» в точкеотправки и вновь появляются только в точке назначения. Этот процесс принятоназывать «туннелированием». Это означает создание логического туннеля в сетиИнтернет, который соединяет две крайние точки. Благодаря туннелированию частнаяинформация становится невидимой для других пользователей Интернета. Прежде чемпопасть в интернет-туннель, данные шифруются, что обеспечивает ихдополнительную защиту. Протоколы шифрования бывают разные. Все зависит от того,какой протокол туннелирования поддерживается тем или иным VPN-решением. Ещеодной важной характеристикой VPN-решений является диапазон поддерживаемыхпротоколов аутентификации. Большинство популярных продуктов работают состандартами, основанными на использовании открытого ключа, такими как X.509.Это означает, что, усилив свою виртуальную частную сеть соответствующимпротоколом аутентификации, вы сможете гарантировать, что доступ к вашимзащищенным туннелям получат только известные вам люди.
/>
Рисунок 1. Принцип работытехнологии VPN
/>/>
1.4 Общее описание технологии VPN
Сегодня технология VPN(Virtual Private Network — виртуальная частная сеть) завоевала всеобщеепризнание и любой администратор считает своим долгом организовать VPN-каналыдля сотрудников, работающих вне офиса (рисунок 2).
/>
Рисунок 2. VPN дляудаленных пользователей
VPN (рисунок 3)представляет собой объединение отдельных машин или локальных сетей ввиртуальной сети, которая обеспечивает целостность и безопасность передаваемыхданных. Она обладает свойствами выделенной частной сети и позволяет передаватьданные между двумя компьютерами через промежуточную сеть (internetwork),например Internet.
VPN отличается рядомэкономических преимуществ по сравнению с другими методами удаленного доступа.Во-первых, пользователи могут обращаться к корпоративной сети, не устанавливаяc ней коммутируемое соединение, таким образом, отпадает надобность виспользовании модемов. Во-вторых, можно обойтись без выделенных линий.
/>
Рисунок 3. VPN для двухофисных сетей
Имея доступ в Интернет,любой пользователь может без проблем подключиться к сети офиса своей фирмы.Следует заметить, что общедоступность данных совсем не означает ихнезащищенность. Система безопасности VPN — это броня, которая защищает всюкорпоративную информацию от несанкционированного доступа. Прежде всего,информация передается в зашифрованном виде. Прочитать полученные данные можетлишь обладатель ключа к шифру. Наиболее часто используемым алгоритмомкодирования является Triple DES, который обеспечивает тройное шифрование (168разрядов) с использованием трех разных ключей.
Подтверждение подлинностивключает в себя проверку целостности данных и идентификацию пользователей,задействованных в VPN. Первая гарантирует, что данные дошли до адресата именнов том виде, в каком были посланы. Самые популярные алгоритмы проверкицелостности данных — MD5 и SHA1. Далее система проверяет, не были ли измененыданные во время движения по сетям, по ошибке или злонамеренно. Таким образом,построение VPN предполагает создание защищенных от постороннего доступатуннелей между несколькими локальными сетями или удаленными пользователями.
Для построения VPNнеобходимо иметь на обоих концах линии связи программы шифрования исходящего идешифрования входящего трафиков. Они могут работать как на специализированныхаппаратных устройствах, так и на ПК с такими операционными системами какWindows, Linux или NetWare.
Управление доступом,аутентификация и шифрование — важнейшие элементы защищенного соединения.
/>/>
1.5 Основы туннелирования
Туннелирование(tunneling), или инкапсуляция (encapsulation), — это способ передачи полезнойинформации через промежуточную сеть. Такой информацией могут быть кадры (илипакеты) другого протокола. При инкапсуляции кадр не передается всгенерированном узлом-отправителем виде, а снабжается дополнительнымзаголовком, содержащим информацию о маршруте, позволяющую инкапсулированнымпакетам проходить через промежуточную сеть (Internet). На конце туннеля кадрыдеинкапсулируются и передаются получателю.
Этот процесс (включающийинкапсуляцию и передачу пакетов) и есть туннелирование. Логический путьпередвижения инкапсулированных пакетов в транзитной сети называется туннелем.
/>/>
1.6 Протоколы
Протокол VPN определяет,каким образом система VPN взаимодействует с другими системами в интернете, атакже уровень защищенности трафика. Если рассматриваемая организация используетVPN только для внутреннего информационного обмена, вопрос о взаимодействииможно оставить без внимания. Однако если организация использует VPN длясоединения с другими организациями, собственные протоколы использовать, скореевсего, не удастся. В разговоре об алгоритме шифрования было упомянуто, чтовнешние окружающие факторы могут оказывать большее влияние на безопасностьсистемы, чем алгоритм шифрования. Протокол VPN оказывает влияние на общийуровень безопасности системы. Причиной этому является тот факт, что протоколVPN используется для обмена ключами шифрования между двумя конечными узлами.Если этот обмен не защищен, злоумышленник может перехватить ключи и затемрасшифровать трафик, сведя на нет все преимущества VPN.
Для того чтобы былавозможность создания VPN на базе оборудования и программного обеспечения отразличных производителей необходим некоторый стандартный механизм. Такиммеханизмом построения VPN является протокол Internet Protocol Security (IPSec).IPSec описывает все стандартные методы VPN. Этот протокол определяет методыидентификации при инициализации туннеля, методы шифрования, используемыеконечными точками туннеля и механизмы обмена и управления ключами шифрованиямежду этими точками. Из недостатков этого протокола можно отметить то, что онориентирован на IP.
Другими протоколамипостроения VPN являются протоколы PPTP (Point-to-Point Tunneling Protocol),разработанный компаниями Ascend Communications и 3Com, L2F (Layer-2 Forwarding)- компании Cisco Systems и L2TP (Layer-2 Tunneling Protocol), объединивший обавышеназванных протокола. Однако эти протоколы, в отличие от IPSec, не являютсяполнофункциональными (например, PPTP не определяет метод шифрования)
Говоря об IPSec, нельзязабывать о протоколе IKE (Internet Key Exchange), позволяющем обеспечитьпередачу информации по туннелю, исключая вмешательство извне. Этот протоколрешает задачи безопасного управления и обмена криптографическими ключами междуудаленными устройствами, в то время, как IPSec кодирует и подписывает пакеты.IKE автоматизирует процесс передачи ключей, используя механизм шифрованияоткрытым ключом, для установления безопасного соединения. Помимо этого, IKEпозволяет производить изменение ключа для уже установленного соединения, чтозначительно повышает конфиденциальность передаваемой информации.
Инкапсуляция — обеспечивает мультиплексирование нескольких транспортных протоколов по одномуканалу;
Протокол LCP — PPP задаетгибкий LCP для установки, настройки и проверки канала связи. LCP обеспечиваетсогласование формата инкапсуляции, размера пакета, параметры установки иразрыва соединения, а также параметры аутентификации. В качестве протоколоваутентификации могут использоваться PAP, CHAP и др.;
Протоколы управлениясетью — предоставляют специфические конфигурационные параметры длясоответствующих транспортных протоколов. Например, IPCP протокол управления IP.
Для формирования туннелейVPN используются протоколы PPTP, L2TP, IPsec, IP-IP.
Протокол PPTP — позволяетинкапсулировать IP-, IPX- и NetBEUI-трафик в заголовки IP для передачи поIP-сети, например Internet.
Протокол L2TP — позволяетшифровать и передавать IP-трафик с использованием любых протоколов,поддерживающих режим “точка-точка” доставки дейтаграмм. Например, к нимотносятся протокол IP, ретрансляция кадров и асинхронный режим передачи (АТМ).
Протокол IPsec — позволяет шифровать и инкапсулировать полезную информацию протокола IP взаголовки IP для передачи по IP-сетям.
Протокол IP-IP — IP-дейтаграмма инкапсулируется с помощью дополнительного заголовка IP. Главноеназначение IP-IP — туннелирование многоадресного трафика в частях сети, неподдерживающих многоадресную маршрутизацию.
Для техническойреализации VPN, кроме стандартного сетевого оборудования, понадобится шлюз VPN,выполняющий все функции по формированию туннелей, защите информации, контролютрафика, а нередко и функции централизованного управления.
На сегодняшний день VPN — это экономичное, надежное и общедоступное решение организации удаленногодоступа. Каким бы ни было расстояние, VPN обеспечит соединение с любой точкоймира и сохранность передачи самых важных данных.
/>/>1.7Достоинства VPN
Виртуальные частные сетиимеют несколько преимуществ над традиционными частными сетями. Главные из них — экономичность, гибкость и удобство использования.
Экономичность. С помощьюVPN-сетей предприятиям удается хотя бы частично ограничить рост числа модемов,серверов доступа, коммутируемых линий и других технических средств, которыеорганизации вынуждены внедрять, чтобы обеспечить удаленным пользователям доступк своим корпоративным сетям. Кроме того, виртуальные частные сети даютвозможность удаленным пользователям обращаться к сетевым ресурсам компании непо дорогим арендованным линиям, а через местную телефонную связь.
Особенно выгоднывиртуальные частные сети в тех случаях, когда пользователи удалены на большиерасстояния и поэтому арендованные линии обходятся очень дорого, а также когдатаких пользователей много, в связи с чем и им требуется большое количествоарендованных линий. Однако эти преимущества могут сойти на нет, если объемтрафика в VPN-сети настолько велик, что система не успевает зашифровывать ирасшифровывать пакеты данных. Чтобы избежать возникновения таких узких мест,предприятие вынуждено покупать дополнительное оборудование.
Кроме того, из-заотносительной новизны технологии VPN и сложности используемых средствбезопасности системный администратор для виртуальной сети обходится дороже, чемдля традиционной.
Исследовательскаякомпания Forrester Research опубликовала следующие данные, характеризующиепреимущество применения VPN поверх Internet (из расчета 1000 пользователей) посравнению с созданием центра удаленного доступа (Remote Access Service).
Таблица 1
Преимущество примененияVPN поверх InternetСтатья затрат Удаленный доступ (в млн. долл.) VPN(в млн. долл.) Оплата услуг провайдера связи 1,08 0,54 Расходы на эксплуатацию 0,3 0,3 Капиталовложения 0,1 0,02 Прочие расходы 0,02 0,03 Всего 1,5 0,89
Из таблицы можно видеть,что использование VPN позволяет снизить многие статьи затрат, включая закупкукоммуникационного оборудования, оплату услуг Internet-провайдера и т.д. Эти, атакже другие исследования, позволили Международной Ассоциации КомпьютернойБезопасности (International Computer Security Association, ICSA) причислитьтехнологию VPN к десятке самых известных технологий, которые будут в первуюочередь применяться многими компаниями. Это подтверждает и компания GartnerGroup, которая в одном из своих отчетов предсказала, что средства построенияVPN будут применяться в 2002 г. в 90% компаний. Именно с этим связан прогнозрынка средств VPN, который исчисляется 11,94 миллиардами долларов в 2002 году и18,77 миллиардами в 2004 году (по данным Frost & Sullivan).
Гибкость и удобство. Этидостоинства виртуальных частных сетей объясняются тем, что в отличие оттрадиционных такие сети могут обеспечить удаленный доступ к ресурсам компаниилюбому уполномоченному пользователю, имеющему связь с Internet. Благодаря этомуVPN-сети позволяют партнерам легко получить доступ к сетевым ресурсампредприятия через Internet, что способствует укреплению альянсов и повышениюконкурентоспособности. Этого трудно достичь с помощью традиционных частныхсетей, так как предприятия, желающие совместно использовать сетевые ресурсы,часто имеют несовместимые системы. Особенно остро эта проблема возникает, когдабольшое число организаций, таких как крупное предприятие розничной торговли иего поставщики, хотят работать вместе через сеть.
/>/>
1.8 Недостатки VPN
Проблемы защиты данных,недостаток надежности и производительности, а также отсутствие открытыхстандартов затрудняют широкое распространение виртуальных частных сетей.
Защита. Для большинстватехнологий Internet вопросы обеспечения безопасности при передаче данныхявляются ключевыми. И виртуальные частные сети не исключение. Для них главныепроблемы заключаются в аутентификации пользователей с помощью паролей и защитезашифрованного VPN-канала (тоннеля). Кроме того, сетевые администраторы должнытщательно выбирать методы, которые помогают пользователям получать доступ квиртуальным частным сетям.
Эти проблемы заставилинекоторых потенциальных пользователей усомниться в том, что степень защитыданных будет удовлетворительной, если виртуальной частной сетью управляетпровайдер услуг Internet. Чтобы успокоить недоверчивых пользователей,провайдеры поддерживают широкий набор различных схем шифрования иаутентификации. Например, фирма Aventail, выпускающая ПО для виртуальныхчастных сетей, предлагает пакет программ для аутентификации клиентов ишифрования на уровне сеанса. Компания VPNet Technologies поставляетоборудование, устанавливаемое между маршрутизатором и глобальной сетью, котороевыполняет шифрование, аутентификацию и сжатие данных.
Большинство поставщиковиспользуют методы шифрования с 56-разрядным ключом, соответствующие стандартуDES. По их мнению, такая длина ключа обеспечивает достаточно высокий уровеньбезопасности. Однако многие эксперты и аналитики полагают, что 56-разрядныйключ недостаточно надежен. Некоторые поставщики продуктов для виртуальныхчастных сетей предлагают шифрование со 112-разрядным ключом. Тем не менееследует помнить, что увеличение длины ключа снижает производительность, так какчем сложнее алгоритм шифрования, тем более интенсивной вычислительной обработкион требует.
/>/>
1.9 Перспективы VPN
По мере своего развитияVPN превратятся в системы взаимосвязанных сетей, которые будут соединятьмобильных пользователей, торговых партнеров и поставщиков с критически важнымикорпоративными приложениями, работающими в протоколе IP. VPN станут фундаментомдля новых коммерческих операций и услуг, которые будут стимулировать рынок ипомогать модернизировать производство.
Вероятно, первым изосновных компонентов завтрашних VPN станет сервер каталогов, содержащий профиликонечных пользователей и данные о конфигурации сети. Это отдельная компьети,управляемая провайдером VPN. При наличии сетевых каталогов и обеспечениибезопасности информации и качества обслуживания конечные пользователи смогутпрактически мгновенно устанавливать соединения по VPN.
Вполне возможно, чтобудет использоваться протокол IpV6, работы над которым активно продолжаются.Данный протокол обладает всеми возможностями взаимодействия с VPN, какие толькомогут пожелать сетевые разработчики, в частности, управление полосой пропускания,определение принадлежности IpV6-пакетов к конкретному потоку (например, высшийприоритет будут получать пакеты мультимедийных данных для передачи в реальномвремени).
Главные игроки сетевогорынка уже активно готовятся к грядущему буму VPN. Нынешние вендоры программногообеспечения и оборудования предлагают наборы устройств для создания иэксплуатации VPN.
Выгоду от развертыванияVPN следующего поколения получат не только сетевые разработчики. Не менеезаинтересованы в них и операторы. Фирмы AT&T Level 3 Communications, MCIWorldcom и Sprint создают высокоскоростные IP-каналы в АТМ-сетях для передачивидео, голоса и данных. VPN в настоящее время оказывают едва ли не решающеевлияние на разработку стратегии глобальных операторов, в частности, Unisource(AT&T, Telia, PTT Suisse и PTT Netherlands), Concert (BT/MCI) и Global One(Deutsche Telekom, France Telekom). Чем больше компаний будут предлагатьVPN-услуги, тем заметнее будет расти их качество и падать цены, что, в своюочередь, повлияет на число клиентов.
Каждая революция вбизнесе начиналась с изобретения, которое способствовало активизации частнойинициативы. Например, разделение перевозчиков и компаний, эксплуатирующихгосударственную железную дорогу, привело к резкому росту коммерческих перевозок.То же самое происходит при создании VPN поверх национальных и международныхтелекоммуникационных инфраструктур. Ближайшее время покажет, к каким изменениямэто приведет.
ГЛАВА 2. Обзор технологии VPN
Чтобы составить правильноепредставление о преимуществах сетей MPLS-VPN в плане масштабирования, нужно дляначала рассмотреть различные модели VPN, доступные на современном рынке.Вначале мы рассмотрим ограничения, присущие оверлейной или наложенной модели, азатем посмотрим, какие преимущества по сравнению с ней дает одноранговаямодель.
2.1 Оверлейная модель
Сервис-провайдерпредоставляет корпоративному заказчику технологию соединений между его офисамии отделениями по частной WAN IP-сети. Для этого в каждой точке подключениянужно установить маршрутизатор и связать его по какому-либо IGP-протоко-лумаршрутизации по крайней мере с центральным маршрутизатором. В этом случае мыговорим, что сервис-провайдер предоставляет корпоративному заказчику частнуюсетевую магистраль (private network backbone).
Если транспортная сеть имагистральные коммутаторы действительно принадлежат корпорации, это значит, чтоона имеет настоящую частную сеть. Однако чаще всего транспортная сеть и покрайней мере часть магистральных коммутаторов принадлежат сервис-провайдеру исовместно используются несколькими корпоративными сетями. В этом случае мыговорим, что каждая из этих корпоративных сетей является не настоящей, авиртуальной частной сетью (VPN). В сети VPN с коммутацией каналовмаршрутизаторы, которые находятся в разных отделениях компании, связываютсямежду собой либо по выделенным, либо по коммутируемым линиям. В любом случаероль магистрали будет чаще всего выполнять телефонная сеть общего доступа. СетиFrame Relay и ATM основаны на технологии коммутации каналов. В этом случаемаршрутизаторы, находящиеся в отделениях компании-заказчика, связываются междусобой с помощью виртуальных каналов. Эти виртуальные каналы, подобно реальным,поддерживают соединения типа «точка—точка».
Корпоративныемаршрутизаторы могут поддерживать соединения «точка—точка» и с помощью средств1Р-тун-нелирования, например, IPSec или GRE. В таких частных или виртуальныхчастных сетях задачи дизайна и функционирования магистральной топологии решаетсама корпорация или сервис-провайдер (если в сети предоставляются услуги поуправлению). Маршрутизаторы, установленные в отделениях корпорации, связываютсяс соседними маршрутизаторами по каналам «точка—точка». Обмен данными омаршрутизации происходит напрямую по этим каналам.
С точки зрениямагистральной сети сервис-провайдера, передаваемая маршрутная информацияпредставляет собой обычные данные, которые обрабатываются «прозрачно», то естьтак же, как и все остальные. Со своей стороны, корпоративные маршрутизаторы неимеют ни знаний, ни средств контроля над маршрутизирующими функциямимагистрали. Этот домен относится к сфере, за которую отвечает сервис-провайдер.
Мы говорим, что в этомслучае корпоративная IP-сеть является оверлейной, то есть «накладывается»поверх провайдерской магистрали. При этом корпоративную сеть можнорассматривать как сеть более высокого уровня, а магистраль — как сеть болеенизкого уровня. Обе сети существуют независимо друг от друга. Такой способпостроения сети более высокого уровня поверх сети более низкого уровняназывается оверлейной моделью.
2.2 Недостатки оверлейной модели
Чтобы добитьсяоптимальной маршрутизации в корпоративной сети, надстроенной поверх магистрали,корпоративная сеть должна иметь узловую структуру (meshed network). Этоозначает, что в каждом отделении корпорации должен устанавливатьсямаршрутизатор, соединенный с соседними маршрутизаторами, находящимися в другихотделениях.
Если корпоративная сетьбудет хотя бы частично отклоняться от узловой топологии (meshed), то возникнутслучаи, когда трафик будет передаваться от одного корпоративного маршрутизаторав магистраль провайдера, затем поступать на корпоративный магистральный(центральный) маршрутизатор, затем передаваться обратно в провайдерскуюмагистраль и лишь затем поступать на оконечный (удаленный) маршрутизатор впункте назначения. Поскольку удаленные маршрутизаторы подключаются к общеймагистрали (магистрали сервис-провайдера), вариант, при котором трафик покидаетмагистраль, проходит через второй маршрутизатор и снова попадает в магистраль,нельзя признать эффективным.
Если сеть имеетполносвязную структуру (fully meshed), вышеуказанная ситуация не встречается,однако возникают другие проблемы. Корпорация должна платить за виртуальныеканалы (а провайдер должен подкреплять их соответствующими сетевыми ресурсами),но при увеличении количества корпоративных отделений количество каналоввозрастает в геометрической прогрессии. Помимо высокой стоимости проблемаусугубляется тем, что алгоритмы IP-маршрутизации плохо масштабируются в случаенаращивания количества прямых связей между маршрутизаторами.
2.3 Одноранговая модель (PeerModel)
Для того, чтобыпользоваться услугами VPN, предприятию совсем не нужно проектировать иэксплуатировать собственную магистральную сеть. Сервис-провайдер, который ужеимеет магистральную сетевую инфраструктуру, вполне может взять эту задачу насебя. Одноранговая модель VPN требует только подключения маршрутизаторазаказчика к одному из маршрутизаторов сервис-провайдера.
В одноранговой VPN двамаршрутизатора С считаются одноранговыми только в том случае, когда онинаходятся на одном сайте. Поэтому принадлежащий заказчику маршрутизатор С1 неимеет одноранговых (соседских) отношений с маршрутизатором С2, которыйпринадлежит тому же заказчику, но установлен на другом сайте (в другом месте).Получается, что на каждом сайте заказчика имеется по крайней мере одинкорпоративный маршрутизатор (СЕ), связанный одноранговыми отношениями по крайнеймере с одним маршрутизатором сервис-провайдера (РЕ).
СЕ-маршрутизаторы необмениваются друг с другом данными о маршрутах. Нет вообще никакойнеобходимости в обмене какими-либо данными между СЕ-маршрути-заторами. Данныепередаются от входящего СЕ-маршру-тизатора через входящий РЕ-маршрутизаторсервис-провайдера и проходят через один или несколько магистральныхР-маршрутизаторов. В итоге они достигают исходящего РЕ-маршрутизаторасервис-провайдера и попадают на исходящий корпоративный СЕ-маршрутизатор.Такимобразом маршрутизация становится оптимальной.
ПосколькуСЕ-маршрутизаторы не обмениваются друг с другом данными о маршрутах, корпорациине нужно иметь свою магистраль или управлять ею. Разумеется, корпоративныйзаказчик может пользоваться IP-магистралью так, как будто у него имеется сетьFrame Relay, и создавать своего рода «виртуальные каналы» междуСЕ-маршрутизаторами. Обычно для этого используется одна из формIP-туннелирования. Однако это приводит нас обратно к оверлейной модели со всемиее проблемами. Одноранговая модель таких проблем не имеет.
2.4 Преимущества одноранговоймодели
Одноранговая модель имеетцелый ряд преимуществ:
1) В одноранговой моделиколичество работы, которую должен выполнить сервис-провайдер для техническогообеспечения и управления VPN, прямо пропорционально количеству сайтовзаказчика, подключенных к VPN. В оверлейной модели количество этой работыпропорционально квадрату сайтов заказчика, подключенных к VPN.
2) Одноранговая модельподдерживает оптимальную маршрутизацию пользовательского трафика по магистралисервис-провайдера, так как в этой модели нет необходимости в транзитныхСЕ-устройствах. Корпоративному заказчику не нужно управлять собственноймагистралью. Ему нужно только подключить СЕ-маршрутизатор на каждом сайте.
Таким образом,одноранговая модель выгодна и сервис-провайдеру, и заказчику. Для провайдераона означает сокращение объема работ, а для корпоративного заказчика — болееценные услуги.
2.5Трудности реализации одноранговой модели
Хотя одноранговая модельимеет множество преимуществ по сравнению с оверлейной, на пути ее реализациитакже стоит ряд проблем, которые перечислены ниже:
1) ПерегрузкаР-маршрутизаторов информацией о маршрутах. Одной из основных проблем крупныхIP-магистралей является большое количество ресурсов (памяти, процессорныхмощностей, полосы пропускания), необходимых для хранения данных омаршрутизации. Если взять IP-магистраль и пустить по ней данные о маршрутахвсех корпоративных сетей, Р-маршрутизаторы никогда с ней не справятся.
2) Несогласованные(несмежные) адресные пространства. Обычно Интернет-сервис-провайдеры (ISP)стараются присваивать адреса осмысленно. Это значит, что адрес системы долженуказывать на место, в котором эта система подключается к сети ISP. Однакомногие корпоративные сети имеют адресные схемы, которые трудно совместить смагистральной топологией любого сервис-провайдера. В этих схемах адреса сайтовраспределяются без какого-либо учета точки, в которой осуществляетсяподключение к провайдерской сети. Это сокращает возможности агрегации маршрутови увеличивает объем данных о маршрутах, которые передаются по Р-сети.
3) Частная адресация вС-сетях. Адреса во многих корпоративных сетях не являются уникальными. Этозначит, что тот или иной адрес является уникальным только в пределах одногопредприятия, но теряет уникальность при связи между предприятиями. ЕслиIP-магистраль сервис-провайдера используется как общая магистраль для двухразных корпоративных сетей и если адреса в этих сетях не являются уникальными,Р-маршрутизаторы не смогут гарантировать доставку пакетов по месту назначения.
4) Подслушивание. Длязащиты данных нужно устанавливать шифрованные туннели «точка—точка» междукаждой парой СЕ-маршрутизаторов (модель IPSec). Это решение хорошо подходит дляоверлейной модели, полькольку она и без того использует туннель «точка—точка»между парами «соседних» СЕ-маршрутизаторов. Для одноранговой модели это решениеподходит не столь хорошо, потому что здесь СЕ-маршрутизатор никогда не можетопределить, куда он будет передавать следующий пакет.
2.6 Варианты построения
Можно выделить четыреосновных варианта построения сети VPN, которые используются во всем мире.Данная классификация предлагается компанией Check Point Software Technologies,которая не без основания считается законодателем моды в области VPN. Так,например, по данным независимых консалтинговых и аналитических агентствкомпания Check Point захватила 52% мирового рынка VPN-решений (по даннымDataquest).
Вариант «IntranetVPN», который позволяет объединить в единую защищенную сеть несколькораспределенных филиалов одной организации, взаимодействующих по открытымканалам связи. Именно этот вариант получил широкое распространение во всеммире, и именно его в первую очередь реализуют компании-разработчики.
Вариант «RemoteAccess VPN», который позволяет реализовать защищенное взаимодействие междусегментом корпоративной сети (центральным офисом или филиалом) и одиночнымпользователем, который подключается к корпоративным ресурсам из дома (домашнийпользователь) или через notebook (мобильный пользователь). Данный вариантотличается от первого тем, что удаленный пользователь, как правило, не имеетстатического адреса, и он подключается к защищаемому ресурсу не черезвыделенное устройство VPN, а прямиком со своего собственного компьютера, накотором и устанавливается программное обеспечение, реализующее функции VPN.Компонент VPN для удаленного пользователя может быть выполнен как в программном,так и в программно-аппаратном виде. В первом случае программное обеспечениеможет быть как встроенным в операционную систему (например, в Windows 2000),так и разработанным специально (например, АП «Континент-К»). Вовтором случае для реализации VPN используются небольшие устройства класса SOHO(Small Office\Home Office), которые не требуют серьезной настройки и могут бытьиспользованы даже неквалифицированным персоналом. Такие устройства получаютсейчас широкое распространение за рубежом.
Вариант «Client/ServerVPN», который обеспечивает защиту передаваемых данных между двумя узлами(не сетями) корпоративной сети. Особенность данного варианта в том, что VPNстроится между узлами, находящимися, как правило, в одном сегменте сети,например, между рабочей станцией и сервером. Такая необходимость очень частовозникает в тех случаях, когда в одной физической сети необходимо создатьнесколько логических сетей. Например, когда надо разделить трафик междуфинансовым департаментом и отделом кадров, обращающихся к серверам, находящимсяв одном физическом сегменте.
Последний вариант«Extranet VPN» (Рисунок 4) предназначен для тех сетей, к которымподключаются пользователи «со стороны» (партнеры, заказчики, клиентыи т.д.), уровень доверия к которым намного ниже, чем к своим сотрудникам. Хотяпо статистике чаще всего именно сотрудники являются причиной компьютерныхпреступлений и злоупотреблений. /> />
Рисунок 4. Последний вариант«Extranet VPN»
ГЛАВА3. ТЕХНОЛОГИЯ MPLS-VPN
Виртуальные частные сетина основе MPLS (MPLS VPN) привлекают сегодня всеобщее внимание. Количествоведущих провайдеров услуг, предлагающих своим клиентам воспользоваться новымвидом сервиса для экономичного построения сетей Intranet и Extranet, постояннорастет, делая MPLS VPN доступными для пользователей все большего числа стран ирегионов. От других способов построения виртуальных частных сетей, подобно VPNна базе ATM/FR или IPSec, MPLS VPN выгодно отличает высокая масштабируемость, возможностьавтоматического конфигурирования и естественная интеграция с другими сервисамиIP, которые сегодня входят в обязательное меню любого успешного провайдера:доступом к Internet, Web и почтовыми службами, хостингом.
/>/>
3.1 Компоненты MPLS VPN
Прежде всего, сеть MPLSVPN делится на две области: сети IP клиентов и внутренняя (магистральная) сетьMPLS провайдера, которая необходима для объединения сетей клиентов (см. Рисунок5).
/>
Рисунок 5. Компоненты MPLS VPN
В общем случае у каждогоклиента может быть несколько территориально обособленных сетей IP, каждая изкоторых в свою очередь может включать несколько подсетей, связанныхмаршрутизаторами. Такие территориально изолированные сетевые «островки»корпоративной сети принято называть сайтами. Принадлежащие одному клиенту сайтыобмениваются пакетами IP через сеть провайдера и образуют виртуальную частнуюсеть этого клиента. Например, о корпоративной сети, в которой сеть центральногоотделения связывается с тремя удаленными филиалами, можно сказать, что онасостоит из четырех сайтов. Для обмена маршрутной информацией в пределах сайтаузлы пользуются одним из внутренних протоколов маршрутизации (Interior GatewayProtocol, IGP), область действия которого ограничена автономной системой: RIP,OSPF или IS-IS.
Маршрутизатор, с помощьюкоторого сайт клиента подключается к магистрали провайдера, называетсяпограничным маршрутизатором клиента (Customer Edge router, CE). Будучикомпонентом сети клиента, CE ничего не знает о существовании VPN. Он может бытьсоединен с магистральной сетью провайдера несколькими каналами.
Магистральная сетьпровайдера является сетью MPLS, где пакеты IP продвигаются на основе неIP-адресов, а локальных меток (более подробно о технологиях этого типа можнопрочитать в статье Н. Олифер «Пути-дороги через сеть» в данном номере). СетьMPLS состоит из маршрутизаторов с коммутацией меток (Label Switch Router, LSR),которые направляют трафик по предварительно проложенным путям с коммутациейметок (Label Switching Path, LSP) в соответствии со значениями меток.Устройство LSR — это своеобразный гибрид маршрутизатора IP и коммутатора, приэтом от маршрутизатора IP берется способность определять топологию сети спомощью протоколов маршрутизации и выбирать рациональные пути следованиятрафика, а от коммутатора — техника продвижения пакетов с использованием метоки локальных таблиц коммутации. Устройства LSR для краткости часто называютпросто маршрутизаторами, и в этом есть свой резон — они с таким же успехомспособны продвигать пакеты на основе IP-адреса, если поддержка MPLS отключена.
В сети провайдера средиустройств LSR выделяют пограничные маршрутизаторы (Provider Edge router, PE), ккоторым через маршрутизаторы CE подключаются сайты клиентов и внутренниемаршрутизаторы магистральной сети провайдера (Provider router, P).Маршрутизаторы CE и PE обычно связаны непосредственно физическим каналом, накотором работает какой-либо протокол канального уровня — например, PPP, FR, ATMили Ethernet. Общение между CE и PE идет на основе стандартных протоколов стекаTCP/ IP, поддержка MPLS нужна только для внутренних интерфейсов PE (и всехинтерфейсов P). Иногда полезно различать относительно направления продвижения трафикавходной PE и выходной (удаленный) PE.
В магистральной сетипровайдера только пограничные маршрутизаторы PE должны быть сконфигурированыдля поддержки виртуальных частных сетей, поэтому только они «знают» осуществующих VPN. Если рассматривать сеть с позиций VPN, то маршрутизаторыпровайдера P непосредственно не взаимодействуют с маршрутизаторами заказчикаCE, а просто располагаются вдоль туннеля между входным и выходныммаршрутизаторами PE.
Маршрутизаторы PEявляются функционально более сложными, чем P. На них возлагаются главные задачипо поддержке VPN, а именно разграничение маршрутов и данных, поступающих отразных клиентов. Маршрутизаторы PE служат также оконечными точками путей LSPмежду сайтами заказчиков, и именно PE назначает метку пакету IP для еготранзита через внутреннюю сеть маршрутизаторов P.
Пути LSP могут бытьпроложены двумя способами: либо с применением технологии ускоренноймаршрутизации (IGP) с помощью протоколов LDP, либо на основе технологии TrafficEngineering с помощью протоколов RSVP или CR-LDP. Прокладка LSP означаетсоздание таблиц коммутации меток на всех маршрутизаторах PE и P, образующихданный LSP
В совокупности этитаблицы задают множество путей для разных видов трафика клиентов. В VPNприменяется различная топология связей: полносвязная, «звезда» (частоназываемая в англоязычной литературе hub-and-spoke) или ячеистая.
/>/>
3.2 Путешествие пакета по сети MPLSVPN
Теперь, когда мы обсудилисхему распространения маршрутной информации по сети MPLS VPN, давайтепосмотрим, как перемещаются данные между узлами одной VPN.
Пусть, например, из сайта1 в VPN A узел с адресом 10.2.1.1/16 отправляет пакет узлу сайта 2 этой же VPN,имеющему адрес 10.1.0.3/16 (см. Рисунок 6).
/>
Рисунок 6. Путешествиепакета между сайтами VPN
Стандартнымитранспортными средствами IP пакет доставляется на пограничный маршрутизаторсайта CE1A, в таблице которого для номера сети 10.1.0.0 в качестве следующегомаршрутизатора указан PE1. На маршрутизатор PE1 пакет поступает с интерфейсаint2, поэтому для выбора дальнейшего продвижения пакета он обращается к таблицеVRF1а, связанной с данным интерфейсом.
В таблице VRF1A адресу10.1.0.0 соответствует запись протокола BGP, которая указывает, что очередныммаршрутизатором для пакета определен PE2. Следующее поле записи содержитзначение метки Lvpn=7, определяющей интерфейс выходного маршрутизатора PE,которое должно быть присвоено пакету для того, чтобы он попал в нужную VPN.Здесь также указывается, что запись была сделана протоколом BGP, а не IGP. Наэтом основании маршрутизатор PE «понимает», что очередной маршрутизатор неявляется непосредственным соседом, и путь к нему надо искать в глобальнойтаблице маршрутизации.
В глобальной таблице дляадреса PE2 указывается начальное значение метки L пути LSP, равное 3. Способего прокладки между маршрутизаторами PE1 и PE2 не имеет в данном случаепринципиального значения — главное, чтобы такой путь существовал.
Технология MPLS VPNиспользует иерархические свойства путей MPLS, за счет чего пакет может бытьснабжен несколькими метками, помещаемыми в стек. На входе во внутреннюю сетьпровайдера, образуемую маршрутизаторами P, пакет будет снабжен двумя метками —внутренней Lvpn=7 и внешней L=3. Метка Lvpn интерпретируется как метка нижнегоуровня — оставаясь на дне стека, она не используется, пока пакет путешествуетпо туннелю PE1-PE2. Продвижение пакета происходит на основании метки верхнегоуровня, роль которой отводится метке L. Каждый раз, когда пакет проходиточередной маршрутизатор P вдоль туннеля, метка L анализируется и заменяетсяновым значением. И только после достижения конечной точки туннелямаршрутизатора PE2 из стека извлекается метка Lvpn. В зависимости от ее значенияпакет направляется на тот или иной выходной интерфейс маршрутизатора PE2.
Из таблицы VRF2А,связанной с данным интерфейсом и содержащей маршруты VPNA, извлекается запись омаршруте к узлу назначения, указывающая на CE2 в качестве следующегомаршрутизатора. Заметим, что она была помещена в таблицу VRF2a протоколом IGP.Последний отрезок путешествия пакета от CE2 до узла 10.1.0.3 осуществляетсятрадиционными средствами IP.
Несмотря на достаточногромоздкое описание механизмов MPLS VPN, процесс конфигурирования новой VPN илимодификации существующей достаточно прост, поэтому он хорошо формализуется иавтоматизируется. Для исключения возможных ошибок конфигурирования — например,приписывания сайту ошибочной политики импорта/экспорта маршрутных объявлений,что может привести к присоединению сайта к чужой VPN, — некоторые производителиразработали автоматизированные программные системы конфигурирования MPLS.Примером может служить Cisco VPN Solution Center, который снабжаетадминистратора средствами графического интерфейса для формирования составакаждой VPN, а затем переносит полученные конфигурационные данные вмаршрутизаторы PE.
Повысить степеньзащищенности MPLS VPN можно с помощью традиционных средств: например, применяясредства аутентификации и шифрования IPSec, устанавливаемые в сетях клиентовили в сети провайдера. Услуга MPLS VPN может легко интегрироваться с другимиуслугами IP, например, c предоставлением доступа к Internet для пользователейVPN с защитой их сети средствами межсетевого экрана, установленного в сетипровайдера. Провайдер также может предоставлять пользователям MPLS VPN услуги,базирующиеся на других возможностях MPLS: в частности, услуги c предоставлениемгарантированного качества обслуживания на основе методов MPLS TrafficEngineering. Что же касается сложностей ведения в маршрутизаторах провайдератаблиц маршрутизации пользователей, на которые указывают некоторые аналитики,то они, на наш взгляд, несколько преувеличены, так как таблицы создаютсяавтоматически, с помощью стандартных протоколов маршрутизации, и только напограничных маршрутизаторах PE. Механизм виртуального маршрутизатора полностьюизолирует эти таблицы от глобальных таблиц маршрутизации провайдера, чтообеспечивает необходимые уровни надежности и масштабируемости решений MPLS VPN.Впрочем, реальное качество данной технологии покажет время и, скорее всего,достаточно скоро.
/>/>
3.3 Стандарты MPLS VPN
Что больше всего сбиваетс толку в ситуации с MPLS VPN, так это отсутствие четко определенных и полностьюготовых для реализации стандартов. И это притом, что всего существует более 50стандартов и проектов стандартов MPLS.
Хотя технология MPLS VPNописана в рамках общих стандартов на MPLS, в организации IETF существуютспециальные рабочие группы, занимающиеся проработкой отдельных вопросов MPLSVPN. Например, рабочая группа PPVPN (Provider Provisioned Virtual PrivateNetwork) занята созданием “каркаса” VPN с улучшенными механизмами безопасности,масштабируемости и управляемости.
Три основных типа VPN,над которыми работает группа PPVPN, — это MPLS BGP VPN, MPLS Virtual Routers иMPLS Layer 2 VPN. Группа координирует свою деятельность с другой рабочейгруппой — PWE3 (Pseudo Wire Emulation Edge to Edge), создающей стандарты длятуннельных сквозных соединений через сети ATM и MPLS на первом и второмуровнях.
Виртуальные частные сетивторого уровня (Layer 2 VPN) также определены в проекте, получивший названиеMartini, этот проект находится на рассмотрении рабочей группы IETF PWE3. Идеязаключается в организации туннелей для трафика Ethernet, Frame Relay, ATM и PPPчерез сеть MPLS. Группа PWE3 работает и над другими похожими предложениями, носо стороны сервис-провайдеров наибольший интерес вызвал проект Martini.
/>/>
3.4 Терминология
Каналы MPLS можно назватьVPN”. Это так. Но термин VPN здесь используется несколько в ином значении.Классическая технология VPN обеспечивает передачу информации по зашифрованнымтуннелям поверх протокола третьего (сетевого) уровня. Шифрование делает невозможнымчтение посторонними адреса и содержимого передаваемого пакета. Зашифрованнаяинформация передается по сети и расшифровывается узлом-получателем.
MPLS VPN — это тожечастные виртуальные каналы, подобно IPsec или PPTP (Point-to-Point Tunneling Protocol)VPN, но на этом вся их схожесть и заканчивается. В MPLS VPN нет никакогошифрования. Пакеты “прячутся” от посторонних глаз, поскольку передаются помаршруту меток MPLS. Трафик с определенными метками читают толькомаршрутизаторы LSR (Label Switch Routers), находящиеся на маркированноммаршруте. Обычные способы IP-маршрутизации в сети MPLS не применяются — трафикпередается только вдоль траекторий меток. Подобный уровень безопасностиобеспечивается и в сетях АТМ и Frame Relay, где информация “путешествует” повиртуальным каналам тоже в незашифрованном виде. Но, собственно говоря, никтоне запрещает вам дополнительно шифровать пакеты MPLS
/>/>
3.5 Преимущества организации VPN набазе MPLS
Основными преимуществамиорганизации VPN на базе MPLS можно назвать:
· масштабируемость;
· возможностьпересечения адресных пространств, узлов подключенных в различные VPN;
· изолированиетрафика VPN друг от друга на втором уровне модели OSI.
Масштабируемостьдостигается за счет того, что подключение нового узла в существующий VPNпроизводиться только перенастройкой одного PE, к которому подключается данныйузел.
В различных VPN адресныепространства могут пересекаться, что может быть чрезвычайно полезным, в случаеесли оператору необходимо предоставить VPN нескольким клиентам, использующимодинаковое приватное адресное пространство, например адреса 10.0.0.0/8.
Устройства P (LSR) прикоммутации анализируют только внешнюю метку, определяющую LSP между PE, и неанализируют заголовок IP пакета, то справедливо говорить о том, что Pустройства выполняют функции коммутации на втором уровне модели OSI. УстройстваPE так же разделяют маршрутную информацию, таблицы маршрутизации, интерфейсы,направленные в сторону устройств CE, между VRF. Тем самым процессымаршрутизации разных VPN полностью разделяются, и обеспечивается разделениетрафика от разных VPN на втором уровне модели OSI. На этот предмет компанияMiercom провела исследование, и показала, что технология MPLS/VPN в реализациикомпании Cisco Systems обеспечивает такой же уровень безопасности как сетиFrame Relay и ATM.
/>/>
3.6 Безопасность в сетях MPLS-VPN
Функциональность MPLS-VPNподдерживает уровень безопасности, эквивалентный безопасности оверлейныхвиртуальных каналов в сетях Frame Relay и ATM. Безопасность в сетях MPLS-VPNподдерживается с помощью сочетания протокола BGP и системы разрешенияIP-адресов.
BGP-протокол отвечает зараспространение информации о маршрутах. Он определяет, кто и с кем можетсвязываться с помощью многопротокольных расширений и атрибутов community.Членство в VPN зависит от логических портов, которые объединяются в сеть VPN икоторым BGP присваивает уникальный параметр Route Distinguisher (RD). ПараметрыRD неизвестны конечным пользователям, и поэтому они не могут получить доступ кэтой сети через другой порт и перехватить чужой поток данных. В состав VPNвходят только определенные назначенные порты. В сети VPN с функциями MPLSпротокол BGP распространяет таблицы FIB (Forwarding Information Base) синформацией о VPN только участникам данной VPN, обеспечивая таким образомбезопасность передачи данных с помощью логического разделения трафика.
Именно провайдер, а незаказчик присваивает порты определенной VPN во время ее формирования. В сети провайдеракаждый пакет ассоциирован с RD, и поэтому попытки перехвата пакета или потокатрафика не могут привести к прорыву хакера в VPN. Пользователи могут работать всети интранет или экстранет, только если они связаны с нужным физическим илилогическим портом и имеют нужный параметр RD. Эта схема придает сетям CiscoMPLS-VPN очень высокий уровень защищенности.
В опорной сети информацияо маршрутах передается с помощью стандартного протокола Interior GatewayProtocol (IGP), такого как OSPP или IS-IS. Пограничные устройства РЕ в сетипровайдера устанавливают между собой связи-пути, используя LDP для назначенияметок. Назначения меток для внешних (пользовательских) маршрутовраспространяется между РЕ-маршрутизаторами не через LDP, а черезмногопротокольные расширения BGP. Атрибут Community BGP ограничивает рамкиинформации о доступности сетей и позволяет поддерживать очень крупные сети, неперегружая их информацией об изменениях маршрутной информации. BGP не обновляетинформацию на всех периферийных устройствах РЕ, находящихся в провайдерскойсети, а приводит в соответствие таблицы PIB только тех РЕ, которые принадлежатк конкретной VPN.
Если виртуальные каналысоздаются при оверлейной модели, исходящий интерфейс любого индивидуальногопакета данных является функцией только входящего интерфейса. Это означает, чтоIP-адрес пакета не определяет маршрута его передачи по магистральной сети. Этопозволяет предотвратить попадание несанкционированного трафика в сеть VPN ипередачу несанкционированного трафика из нее.
В сетях MPLS-VPN пакет,поступающий в магистраль, в первую очередь ассоциируется с конкретной сетью VPNна основании того, по какому интерфейсу (подин-терфейсу) пакет поступил наРЕ-маршрутизатор. Затем IP-адрес пакета сверяется с таблицей передачи (forwardingtable) данной VPN. Указанные в таблице маршруты относятся только к VPNпринятого пакета. Таким образом, входящий интерфейс определяет набор возможныхисходящих интерфейсов. Эта процедура также предотвращает как попаданиенесанкционированного трафика в сеть VPN, так и передачу несанкционированноготрафика из нее.
Заключение
Идея построениясобственных виртуальных сетей актуальна в том случае, когда объединятьнесколько локальных сетей в различных зданиях или организациях для созданиясобственной сети дорого или слишком долго, однако необходимо обеспечить защитупередаваемых между сегментами сети данных. Ведь далеко не всегда позволительнопередавать данные по общедоступным сетям в открытом виде. Впрочем, можнозащищать только связи между отдельными компьютерами из различных сегментов, ноесли корпоративная политика требует обеспечить безопасность большей частиинформации, то защищать каждый отдельный канал и компьютер становитсядостаточно сложно. Проблема в том, что у пользователя, как правило, нетдостаточной квалификации для поддержания средств защиты информации, аадминистратор не может эффективно контролировать все компьютеры во всехсегментах организации.
Кроме того, при защитеотдельных каналов инфраструктура корпоративной сети остается прозрачной длявнешнего наблюдателя. Для решения этих и некоторых других проблем применяетсяархитектура VPN, при использовании которой весь поток информации, передаваемыйпо общедоступным сетям, шифруется с помощью так называемых «канальныхшифраторов».
Построение VPN позволяетзащитить виртуальную корпоративную сеть так же надежно, как и собственную сеть(а иногда даже и лучше). Данная технология сейчас бурно развивается, и в этойобласти уже предлагаются достаточно надежные решения. Как правило, технологияVPN объединяется с межсетевыми экранами (firewall). Собственно, все основныемежсетевые экраны дают возможность создания на их базе виртуальнойкорпоративной сети.
список литературы
Построение виртуальных частныхсетей на базе технологии MPLS Автор: Михаил Захватов Издательство: CiscoSystems
Компьютерные сетипринципы, технологии, протоколы 3-е издание Авторы: Наталья Олифер(обозреватель «Журнала сетевых решений/LAN».); Виктор Олифер (главныйспециалист Корпорации ЮНИ.)
athena.vvsu.ru/docs/tcpip/mpls/ — Введение в архитектуру MPLS
system-administrators.info/?p=1179 — MPLS на службе VPN
www.connect.ru/article.asp?id=5343 — Журнал Connect: технология VPN