Виртуализация сетей

Специфика построения

Грамотная организация VPN во многом зависит от факторов и условий, в которых сеть будет функционировать. Проще всего, разумеется, использовать специализированное оборудование, хотя существуют и иные способы построения VPN:

1. На базе брандмауэров (межсетевых экранов). Большинство брандмауэров поддерживает туннелирование и шифрование данных. Основным недостатком является зависимость производительности от аппаратного обеспечения, т.е. данное решение подходит для небольших сетей с малым объемом передаваемой информации.
2. На базе маршрутизаторов. Поскольку вся исходящая информация сети проходит через маршрутизатор, целесообразным представляется переложить на маршрутизатор функции шифрования.
3. На базе программного обеспечения. Как видно из названия, особенностью данного метода построения VPN является использование специализированного программного обеспечения, которое устанавливается, как правило, на выделенном компьютере. Данный компьютер может быть расположен за брандмауэром.
4. На базе сетевой операционной системы. Одно из наиболее простых, удобных, а иногда и дешевых решений. VPN строится и управляется средствами операционной системы. В качестве недостатка, можно отметить отсутствие проверки целостности данных и невозможность смены ключей во время соединения.
5. На базе аппаратных средств.

Для организации VPN используется специализированное устройство, поддерживающее шифрование информации, содержащее средства трансляции сетевых адресов, а также платой, выполняющей функции брандмауэра.

Преимущества виртуальных частных сетей

Нами уже были обозначены, как ключевые особенности VPN, так и их основные преимущества использования. Для большей наглядности приведем факторы, почему следует обратить внимание на VPN - технологии, как рядовым пользователям, так и руководителям подразделений и предприятий.

Факторы "привлекательности" VPN, с точки зрения пользователя:

1. Стоимость. Нет затрат связанных с содержанием собственных, или арендуемых каналов связи.
2. Масштабируемость. Проста и не ограничена физической архитектурой сети.
3. Управляемость. Можно легко изменить конфигурацию сети, добавить новые устройства и т.д.
4. Простота. Виртуальная сеть "прозрачна", как для пользователей, так и для приложений.

С точки зрения руководителя:

1. VPN обеспечивает защищенные каналы связи для отдельных приложений, при этом стоимость этих каналов равна стоимости услуг провайдера по обеспечению доступа к глобальной сети;
2. VPN не требует затрат на реорганизацию топологии, переобучение пользователей и т.п.;
3. VPN обеспечивает возможность простого масштабирования.

Протоколы построения виртуальных сетей

В данном разделе под протоколом следует понимать протокол передачи данных.

На сегодняшний день для построения VPN используются протоколы следующих уровней:

• канального;
• сетевого;
• транспортного.

К протоколам канального уровня относятся

1. PPTP (Point to Point Tunneling Protocol) - инкапсулирует IP - пакеты для передачи по сети. Позволяет передавать через туннель пакеты PPP.
2. L2TP (Layer 2 Tunneling Protocol) - позволяет передавать через туннель пакеты SLIP и PPP. Позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.
3. MPLS (Multiprotocol Label Switching) - механизм передачи данных, эмулирующий свойства различных сетей. был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

К протоколам сетевого уровня относятся:

IPSec - согласованный набор открытых стандартов. Ядром IPSec являются три протокола:

1. AH (Authentication Header) - гарантирует целостность и аутентичность данных.
2. ESP (Encapsulating Security Payload) - шифрует передаваемые данные, обеспечивая их конфиденциальность, поддерживает средства аутентификации и обеспечения целостности данных.
3. IKE (Internet Key Exchange) - решает задачу автоматического предоставления конечным пользователям защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования.

К протоколам транспортного уровня относятся:

SSL/TLS (Secure Socket Layer/Transport Layer Security) - реализует шифрование и аутентификацию между транспортными уровнями приемника и передатчика. Применяется для защиты TCP - трафика, не может применяться для UDP.

Термины

VPN (Virtual Private Network) - группа технологий обеспечивающих возможность организации сетевых соединений поверх другой сети.

Туннелирование (инкапсуляция) - способ передачи информации через промежуточную сеть. При этом передаваемые пакеты снабжаются дополнительным заголовком с информацией о маршруте, отправителе и адресате, что позволяет пакетам проходить через промежуточную сеть. На стороне получателя осуществляется деинкапсуляция пакета.

Сетевая модель OSI (ЭМВОС) - абстрактная модель для коммуникации и разработки сетевых протоколов.

Межсетевой экран (брандмауэр) - аппаратно - программный комплекс, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов по заданным правилам.

Протокол передачи данных - набор соглашений интерфейсов логического уровня, определяющих стандарты обмена данными между различными программами.

Краткие итоги

Многие из заключительных выводов предыдущей лекции могут быть, с небольшими ремарками, применимы и здесь. Изложенные в лекции особенности и преимущества виртуальных сетей можно соотнести с возможностями технологии виртуализации, как таковой.

Таким образом, подводя итог и в качестве повторения для закрепления материала, отметим, что VPN - технологии обеспечивают:

• защиту передаваемой по сетям информации;
• защиту внутренних сегментов сети от несанкционированного доступа;
• контроль доступа к сети;
• сокрытие внутренней структуры сети;
• идентификацию и аутентификацию пользователей;
• централизованное управление политикой сетевой безопасности;
• шифрование передаваемых по общественным каналам данных;
• доступ пользователей к ресурсам общественной сети.

В рамках данной лекции было сказано многое о потенциальных возможностях виртуальных сетей, их преимуществах и особенностях. Да, данная технология способна значительно упростить все аспекты взаимодействия с сетевыми ресурсами организации. Хочется лишь предостеречь от восприятия данного подхода, как панацеи. Ошибки на стадии проектирования виртуальной сети способны свести на нет все их неоспоримые преимущества.