`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Виртуальные частные сети на уровне 2

0 
 

Виртуальные частные сети (Virtual Private Networks -- VPN), позволяющие передавать конфиденциальную информацию по сетям общего пользования, возникли как альтернатива дорогостоящим частным сетям, базировавшимся на выделенных каналах связи. В последнее время благодаря развитию электронных форм ведения бизнеса, его глобализации и увеличению числа мобильных и удаленных пользователей, которым необходим безопасный доступ к корпоративной сети, интерес к ним возрос. А самой обсуждаемой технологией сегодня являются так называемые Layer 2 VPN.

Больше всего его поражало, что все это происходило на втором уровне...
Виктор Пелевин. Принц Госплана

Надо сказать, что точного определения VPN не существует, а множественность трактовок этого понятия дает каждой компании возможность с полным правом заявлять, что именно ее продукты реализуют настоящие VPN. Однако для заказчика не важно, какой дефиницией пользоваться. Ему нужна соответствующая функциональность. Тем не менее из имеющихся определений можно выбрать наиболее общее. Сущность виртуальных частных сетей заключается в использовании публичной телекоммуникационной инфраструктуры для обеспечения безопасного доступа удаленных филиалов и пользователей к основной сети организации (Remote Access VPN) или для объединения географически удаленных локальных сетей (LAN-to-LAN VPN).

Наиболее универсальным способом построения VPN является использование технологии туннелирования, или инкапсуляции. Эта технология позволяет передавать пакеты одной сети (первичной) по каналам связи другой (вторичной). Для этого пакет первичной сети (данные и протоколы) инкапсулируется в пакет вторичной сети и становится виден, как данные. Вообще говоря, инкапсуляция не предусматривает кодирования. Если для повышения уровня безопасности оно необходимо, то должно выполняться средствами частной сети до процедуры инкапсуляции.

Туннель можно представить как сквозной виртуальный канал, имеющий начальную точку (инициатор туннеля) и одну или более конечных (терминаторов туннеля). Этими точками могут быть компьютер удаленного пользователя, работающий как VPN-клиент, маршрутизатор, шлюз или сервер доступа к сети (Network Access Server -- NAS). На обоих концах необходимо установить аппаратное и программное обеспечение (включая шифрование/дешифрование, если оно присутствует), работающее в соответствии с теми протоколами, посредством которых был образован туннель. Хотя термин "туннель" ассоциируется с фиксированным путем, на самом деле для сетей с коммутацией пакетов (Internet в частности) это не так. Зашифрованные и инкапсулированные пакеты могут использовать различные маршруты между конечными точками. Основное назначение туннеля -- обеспечить конфиденциальность сессии. Это значит, что никто, кроме получателя, не расшифрует (в идеале) пакет, и чужие пакеты не могут попасть в туннель, поскольку маршрутная информация для VPN хранится отдельно от общей.

Традиционно VPN (туннелирование и/или шифрование) организуют на нижних уровнях коммуникационного стека протоколов -- канальном (Layer 2) и сетевом (Layer 3). В соответствии с этим различают виртуальные частные сети на уровне 2 (Layer 2 VPN) и на уровне 3 (Layer 3 VPN).

Для построения туннелей на различных уровнях существуют несколько протоколов. Типичным протоколом для Layer 2 VPN является L2F (Layer 2 Forwarding), предложенный Cisco, который инкапсулирует пакеты во фреймы Frame Relay или в ячейки ATM. Для Layer 3 VPN наиболее распространенным является протокол IPSec. Его сессию можно представить следующими этапами. Компьютер инициирует туннель, связываясь с другим компьютером и посылая ему свой сертификат. В ответ инициатор получает сертификат удаленного компьютера. Затем машины начинают обмен данными, используя публичный и частный ключи для их шифрования и дешифрования, равно как и другую информацию, необходимую для успешной и безопасной передачи. Еще одним популярным протоколом этого уровня является Point-to-Point Tunneling Protocol (PPTP), разработанный компанией Microsoft и рядом других. Он построен на вершине протокола PPP (Point-to-Point Protocol), который широко использовался для доступа к Internet по телефонным коммутируемым каналам (dial-up). PPTP создает туннель, инкапсулируя пакеты PPP в IP-пакеты.

Начиная с 1996 г. протоколы L2F и PPTP конкурировали между собой. В конце 1997 г. компании Cisco и Microsoft договорились о разработке нового протокола, объединяющего достоинства обоих. Это предложение получило поддержку IETF, а протокол стал называться L2TP (Layer 2 Tunneling Protocol). Основное различие между L2TP и PPTP заключается в том, что первый объединяет данные и управляющую информацию и работает через UDP, а не TCP. UDP является более быстрым протоколом и с меньшими накладными расходами (и менее надежным), поскольку он не передает повторно потерянные пакеты, как это предусматривается TCP. В противоположность этому PPTP разъединяет управляющую информацию и данные. Первая передается по протоколу TCP, тогда как поток данных -- по протоколу GRE (Generic Routing Encapsulation) -- менее распространенному стандарту для создания туннеля.

Рассмотрим вкратце, как работает протокол L2TP. Как упоминалось выше, L2TP является надстройкой над PPP. Последний определяет механизм инкапсуляции для передачи мультипротокольных пакетов по каналу уровня 2 (L2) точка--точка. В типичном случае пользователь подсоединяется по такому каналу (например, по телефонной сети, ISDN, ADSL и т. п.) к серверу доступа к сети, и затем по этому соединению начинает работать протокол PPP. В такой конфигурации терминальная точка канала L2 и конечная точка (endpoint) сессии PPP находятся на том же физическом устройстве (в данном случае NAS). L2TP расширяет модель PPP, позволяя конечным точкам канала L2 и PPP располагаться на различных устройствах, которые связаны между собой сетью с коммутацией пакетов. В соответствии с L2TP пользователь по каналу L2 подсоединяется к концентратору доступа (например, к модемному пулу или мультиплексору доступа DSL), который затем по туннелю передает индивидуальные пакеты NAS. Это позволяет не выполнять фактическую обработку PPP-пакетов в терминальной точке канала L2. Одно из очевидных достоинств такого разделения состоит в том, что канал L2 может иметь терминальную точку на локальном концентраторе, а не на удаленном NAS, что обошлось бы существенно дороже.

Виртуальные частные сети на уровне 2 Для создания L2TP-туннеля служат два устройства: концентратор доступа L2TP (L2TP Access Concentrator -- LAC) и сетевой сервер L2TP (L2TP Network Server -- LNS). LAC является одной из конечных точек L2TP-туннеля. Он располагается между удаленной системой (пользователем или филиалом) и LNS. LAC принимает вызовы от удаленных систем и инкапсулирует PPP-фреймы в пакеты L2TP. Затем он направляет их по L2TP-туннелю на один или несколько LNS по сети с коммутацией пакетов (Internet, Frame Relay, ATM). LNS -- вторая конечная точка туннеля, на этот раз со стороны корпоративной сети. Он является логической конечной точкой PPP-сессии. LNS деинкапсулирует L2TP-пакеты, обрабатывает PPP-фреймы и направляет их в корпоративную сеть (см. рисунок).

Возможности виртуальных частных сетей на уровне 2 значительно расширяются с помощью технологии мультипротокольной коммутации меток (MPLS). Она позволяет инкапсулировать с помощью меток непосредственно трафик уровня 2 (ATM, Frame Relay SONET и Ethernet) и передавать его по IP-сети. Этим достигается использование единой инфраструктуры для сетей L2 VPN и L3 VPN.

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT