Un exemplu de echipament pentru construirea VPN pe routere este echipamentul de la Cisco Systems. Începând cu versiunea software IOS 11.3, routerele Cisco acceptă atât protocoalele L2TP, cât și IPSec. Pe lângă simpla criptare a traficului în tranzit, Cisco acceptă și alte funcții VPN, cum ar fi autentificarea tunelului și schimbul de chei.

Un modul de criptare ESA opțional poate fi utilizat pentru a îmbunătăți performanța routerului. În plus, Cisco System a lansat un dispozitiv VPN dedicat, numit Cisco 1720 VPN Access Router, pentru instalare în întreprinderile mici și mijlocii și filialele mari.

· VPN bazat pe software

Următoarea abordare a construirii unui VPN este pur bazată pe software. La implementarea unei astfel de soluții se folosește software specializat care rulează pe un computer dedicat și, în cele mai multe cazuri, acționează ca un server proxy. Computerul care rulează acest software poate fi situat în spatele unui firewall.

Un exemplu de astfel de soluție este software-ul Digital AltaVista Tunnel 97. Când folosește acest software, clientul se conectează la serverul Tunnel 97, se autentifică cu acesta și schimbă cheile. Criptarea se bazează pe chei de 56 sau 128 de biți obținute în timpul stabilirii conexiunii. Apoi, pachetele criptate sunt încapsulate în alte pachete IP, care la rândul lor sunt trimise către server. În plus, acest software generează chei noi la fiecare 30 de minute, ceea ce mărește foarte mult securitatea conexiunii.

Calitățile pozitive ale AltaVista Tunnel 97 sunt ușurința de instalare și ușurința de gestionare. Dezavantajele acestui sistem pot fi considerate o arhitectură non-standard (algoritm propriu de schimb de chei) și performanță scăzută.

· VPN bazat pe sistemul de operare de rețea

Vom lua în considerare soluțiile bazate pe sistemul de operare de rețea folosind exemplul sistemului Microsoft Windows NT. Pentru a crea un VPN, Microsoft folosește protocolul PPTP, care este integrat în sistemul Windows NT. Această soluție este foarte atractivă pentru organizațiile care folosesc Windows ca sistem de operare corporativ. Trebuie remarcat faptul că costul unei astfel de soluții este mult mai mic decât costul altor soluții. VPN-urile bazate pe Windows NT utilizează baza de utilizatori NT stocată pe Controlerul de domeniu primar (PDC). Când se conectează la un server PPTP, utilizatorul este autentificat utilizând protocoalele PAP, CHAP sau MS-CHAP. Pachetele transmise sunt încapsulate în pachete GRE/PPTP. Pentru a cripta pachetele, se folosește un protocol non-standard de la Microsoft Point-to-Point Encryption cu o cheie de 40 sau 128 de biți obținută în momentul stabilirii conexiunii. Dezavantajele acestui sistem sunt lipsa verificărilor integrității datelor și imposibilitatea schimbării cheilor în timpul conexiunii. Aspectele pozitive sunt ușurința de integrare cu Windows și costul redus.

· VPN bazat pe hardware

Opțiunea de a construi un VPN pe dispozitive speciale poate fi utilizată în rețelele care necesită performanțe ridicate. Un exemplu de astfel de soluție este produsul IPro-VPN de la Radguard. Acest produs folosește criptarea bazată pe hardware a informațiilor transmise, capabilă să transmită un flux de 100 Mbps. IPro-VPN acceptă protocolul IPSec și mecanismul de gestionare a cheilor ISAKMP/Oakley. Printre altele, acest dispozitiv acceptă traducerea adreselor de rețea și poate fi completat cu o placă specială care adaugă funcții de firewall

2. Protocoale ale rețelelor VPN

Rețelele VPN sunt construite folosind protocoale de tunelizare de date prin rețeaua publică de comunicații pe Internet, cu protocoale de tunel care criptează datele și le transmit între utilizatori. De regulă, astăzi sunt utilizate următoarele protocoale pentru a construi rețele VPN:

Strat de legătură

2.1 Stratul de legătură

La nivelul de legătură de date, pot fi utilizate protocoalele de tunel de date L2TP și PPTP, care utilizează autorizarea și autentificarea.

În prezent, cel mai comun protocol VPN este Point-to-Point Tunneling Protocol - PPTP. A fost dezvoltat de 3Com și Microsoft pentru a oferi acces securizat de la distanță la rețelele corporative prin Internet. PPTP utilizează standardele deschise TCP/IP existente și se bazează în mare măsură pe protocolul PPP punct la punct vechi. În practică, PPP rămâne protocolul de comunicare al unei sesiuni de conexiune PPP. PPTP creează un tunel prin rețea către serverul NT al destinatarului și trimite pachetele PPP ale utilizatorului de la distanță prin acesta. Serverul și stația de lucru folosesc o rețea privată virtuală și nu le pasă cât de sigură sau accesibilă este rețeaua globală dintre ele. Terminarea unei sesiuni de conexiune inițiată de server, spre deosebire de serverele specializate de acces la distanță, permite administratorilor de rețele locale să nu permită utilizatorilor la distanță să treacă prin sistemul de securitate Windows NT Server.

Deși PPTP este limitat la dispozitivele care rulează Windows, oferă companiilor posibilitatea de a interopera cu infrastructurile de rețea existente fără a-și compromite propria securitate. Astfel, un utilizator de la distanță se poate conecta la Internet folosind un ISP local printr-o linie telefonică analogică sau un canal ISDN și poate stabili o conexiune la serverul NT. În același timp, compania nu trebuie să cheltuiască sume mari pentru organizarea și întreținerea unui pool de modemuri care oferă servicii de acces la distanță.

Lucrările RRTR sunt discutate în continuare. PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP folosesc portul de destinație pentru a crea o conexiune de control tunel. Acest proces are loc la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii. Pe lângă conexiunea de control PPTP care menține legătura vie, este creată o conexiune pentru a redirecționa tunelul de date. Datele sunt încapsulate înainte de a fi trimise prin tunel într-un mod ușor diferit decât în ​​timpul transmisiei normale. Încapsularea datelor înainte de a le trimite în tunel implică doi pași:

1. În primul rând, este creată o parte de informații PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură.

2. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Astfel, în timpul celei de-a doua treceri, datele ajung în stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de al doilea strat asociate în mod normal cu PPP, adică. adaugă un antet PPP și se termină la un pachet PPTP. Aceasta completează crearea cadrului stratului de legătură.

Apoi, PPTP încapsulează cadrul PPP într-un pachet GenericRoutingEncapsulation (GRE) care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IPX, AppleTalk, DECnet, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, GRE nu are capacitatea de a stabili sesiuni și de a oferi protecție a datelor împotriva intrușilor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP doar la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, acesta este încapsulat într-un cadru cu antet IP. Antetul IP conține adresele expeditorului și destinatarului pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final. Anexa 3 arată structura datelor pentru redirecționarea printr-un tunel PPTP. [Anexa 3]

Sistemul de trimitere trimite date prin tunel. Sistemul de recepție elimină toate anteturile de servicii, lăsând doar datele PPP.

În viitorul apropiat, este de așteptat o creștere a numărului de VPN-uri implementate pe baza noului protocol de tunel layer 2 Layer2 TunnelingProtocol - L2TP.

L2TP a apărut ca urmare a fuziunii protocoalelor PPTP și L2F (Layer 2 Forwarding). PPTP permite ca pachetele PPP să fie transmise prin tunel și pachetele SLIP și PPP L2F. Pentru a evita confuzia și problemele de interoperabilitate pe piața telecomunicațiilor, Internet Engineering TaskForce (IETF) a recomandat Cisco Systems să fuzioneze PPTP și L2F. Din toate punctele de vedere, protocolul L2TP a încorporat cele mai bune caracteristici ale PPTP și L2F. Principalul avantaj al L2TP este că acest protocol vă permite să creați un tunel nu numai în rețelele IP, ci și în rețele precum ATM, X.25 și Frame Relay. Din păcate, implementarea Windows 2000 a L2TP acceptă doar IP.

L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru gestionarea tunelului, cât și pentru redirecționarea datelor. Implementarea L2TP de către Microsoft utilizează pachete UDP care conțin pachete PPP criptate ca mesaje de control. Fiabilitatea livrării este garantată de controlul secvenței pachetelor.

Funcționalitatea PPTP și L2TP este diferită. L2TP poate fi folosit nu numai în rețelele IP, mesajele de serviciu pentru crearea unui tunel și trimiterea datelor prin intermediul acestuia folosesc același format și protocoale. PPTP poate fi utilizat numai prin rețele IP și necesită o conexiune TCP separată pentru a crea și utiliza tunelul. L2TP prin IPSec oferă mai multe straturi de securitate decât PPTP și poate garanta securitatea aproape de 100% a datelor critice pentru afaceri. Caracteristicile L2TP îl fac un protocol foarte promițător pentru construirea de rețele virtuale.

Rețelele VPN sunt construite folosind protocoale de tunel de date prin rețeaua publică de comunicații pe Internet, cu protocoale de tunel care asigură criptarea datelor și transmisie end-to-end între utilizatori. De regulă, astăzi sunt utilizate următoarele protocoale pentru a construi rețele VPN:

• Strat de legătură
• stratul de rețea
• strat de transport.

1.1 Stratul de legătură

La nivelul de legătură de date, pot fi utilizate protocoalele de tunel de date L2TP și PPTP, care utilizează autorizarea și autentificarea.

Protocol VPN - protocol de tunel punct la punct sau Protocol de tunel punct la punct - PPTP. A fost dezvoltat de 3Com și Microsoft pentru a oferi acces securizat de la distanță la rețelele corporative prin Internet. PPTP utilizează standardele deschise TCP/IP existente și se bazează în mare măsură pe protocolul PPP punct la punct vechi.

În practică, PPP rămâne protocolul de comunicare al unei sesiuni de conexiune PPP. PPTP creează un tunel prin rețea către serverul destinatarului și transmite prin acesta pachetele PPP ale utilizatorului de la distanță.

Serverul și stația de lucru folosesc o rețea privată virtuală și nu le pasă cât de sigură sau accesibilă este rețeaua globală dintre ele. Terminarea unei sesiuni de conexiune inițiată de server, spre deosebire de serverele specializate de acces la distanță, permite administratorilor de rețele locale să nu permită utilizatorilor la distanță să treacă prin sistemul de securitate Windows Server.

Deși PPTP este limitat la dispozitivele care rulează Windows, oferă companiilor posibilitatea de a interopera cu infrastructurile de rețea existente fără a-și compromite propria securitate.

Lucru RRTR.

PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP folosesc portul de destinație pentru a crea o conexiune de control tunel. Acest proces are loc la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii. Pe lângă conexiunea de control PPTP care menține legătura vie, este creată o conexiune pentru a redirecționa tunelul de date. Datele sunt încapsulate înainte de a fi trimise prin tunel într-un mod ușor diferit decât în ​​timpul transmisiei normale. Încapsularea datelor înainte de a le trimite în tunel implică doi pași:

1. În primul rând, este creată partea de informații PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură.
2. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Astfel, în timpul celei de-a doua treceri, datele ajung în stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de al doilea strat asociate în mod normal cu PPP, adică. adaugă un antet PPP și se termină la un pachet PPTP. Aceasta completează crearea cadrului stratului de legătură.

Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE) care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IPX, AppleTalk, DECnet, pentru a le permite să fie transportate prin rețele IP. Cu toate acestea, GRE nu are capacitatea de a stabili sesiuni și de a oferi protecție a datelor împotriva intrușilor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP doar la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, acesta este încapsulat într-un cadru cu antet IP. Antetul IP conține adresele expeditorului și destinatarului pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

Sistemul de trimitere trimite date prin tunel. Sistemul de recepție elimină toate anteturile de servicii, lăsând doar datele PPP.

L2TP a apărut ca urmare a fuziunii protocoalelor PPTP și L2F (Layer 2 Forwarding). PPTP permite ca pachetele PPP să fie transmise prin tunel și pachetele SLIP și PPP L2F. Pentru a evita confuzia și problemele de interoperabilitate pe piața telecomunicațiilor, comitetul Internet Engineering Task Force (IETF) a recomandat ca Cisco Systems să combine PPTP și L2F. Din toate punctele de vedere, protocolul L2TP a încorporat cele mai bune caracteristici ale PPTP și L2F.

Principalul avantaj al L2TP este că acest protocol vă permite să creați un tunel nu numai în rețelele IP, ci și în rețele precum ATM, X.25 și Frame Relay. Din păcate, implementarea Windows 2000 a L2TP acceptă doar IP.

L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru gestionarea tunelului, cât și pentru redirecționarea datelor. Implementarea L2TP de către Microsoft utilizează pachete UDP care conțin pachete PPP criptate ca mesaje de control. Fiabilitatea livrării este garantată de controlul secvenței pachetelor.

Funcționalitatea PPTP și L2TP este diferită. L2TP poate fi folosit nu numai în rețelele IP, mesajele de serviciu pentru crearea unui tunel și trimiterea datelor prin intermediul acestuia folosesc același format și protocoale. PPTP poate fi utilizat numai prin rețele IP și necesită o conexiune TCP separată pentru a crea și utiliza tunelul. L2TP prin IPSec oferă mai multe straturi de securitate decât PPTP și poate garanta securitatea aproape de 100% a datelor critice pentru afaceri. Caracteristicile L2TP îl fac un protocol foarte promițător pentru construirea de rețele virtuale.

Protocoalele L2TP și PPTP diferă de protocoalele de tunel de nivel 3 în mai multe moduri:

1. Oferind corporațiilor posibilitatea de a alege modul în care utilizatorii își autentifică și verifică acreditările - pe propriul „teritoriu” sau cu un furnizor de servicii de internet. Prin procesarea pachetelor PPP tunelizate, serverele de rețea corporative obțin toate informațiile de care au nevoie pentru a identifica utilizatorii.
2. Suport pentru comutarea tunelului - terminarea unui tunel și inițierea altuia la unul dintre multele terminatoare potențiale. Comutarea tunelurilor permite, parcă, extinderea conexiunii PPP la punctul final necesar.
3. Permite administratorilor de sisteme de rețea corporative să implementeze strategii de atribuire a drepturilor de acces utilizatorilor direct pe firewall-ul și serverele interne.

Deoarece terminatorii de tunel primesc pachete PPP care conțin informații despre utilizator, aceștia sunt capabili să aplice politici de securitate definite de administrator pentru traficul utilizatorului individual. (Tunelingul de strat 3 nu vă permite să faceți distincția între pachetele care provin de la furnizor, așa că filtrele de politică de securitate trebuie aplicate la stațiile de lucru și dispozitivele de rețea finale.) În plus, dacă este utilizat un comutator de tunel, devine posibilă organizarea unui „ continuarea” tunelului de al doilea strat pentru a difuza direct traficul utilizatorilor individuali către serverele interne respective. Astfel de servere pot fi însărcinate cu filtrarea suplimentară a pachetelor.

Tot la nivelul de legătură, tehnologia MPLS poate fi folosită pentru a organiza tuneluri.

Din engleză Multiprotocol Label Switching - comutare multiprotocol label - un mecanism de transfer de date care emulează diferite proprietăți ale rețelelor cu comutare de circuite peste rețelele cu comutare de pachete. MPLS operează la un strat care ar putea fi plasat între stratul de legătură de date și al treilea strat de rețea al modelului OSI și, prin urmare, este denumit în mod obișnuit un protocol de nivel de legătură de rețea. A fost conceput pentru a oferi un serviciu de date versatil atât pentru clienții rețelei cu comutare de circuite, cât și pentru cei cu comutare de pachete. Cu MPLS, puteți transporta o mare varietate de trafic, cum ar fi pachete IP, ATM, SONET și cadre Ethernet.

Soluțiile VPN la nivel de legătură au un domeniu destul de limitat, de obicei în domeniul furnizorului.

1.2 Stratul de rețea

Stratul de rețea (stratul IP). Este utilizat protocolul IPSec, care implementează criptarea și confidențialitatea datelor, precum și autentificarea abonaților. Utilizarea protocolului IPSec vă permite să implementați acces complet echivalent cu o conexiune fizică la o rețea corporativă. Pentru a stabili un VPN, fiecare participant trebuie să configureze anumiți parametri IPSec, de ex. fiecare client trebuie să aibă software care implementează IPSec.

IPSec
Desigur, nicio companie nu ar dori să partajeze deschis informații financiare sau alte informații confidențiale pe Internet. Canalele VPN sunt protejate de algoritmi de criptare puternici încorporați în standardele de protocol de securitate IPsec. IPSec sau Internet Protocol Security - standardul ales de comunitatea internațională, grupul IETF - Internet Engineering Task Force, creează baza de securitate pentru Internet Protocol (protocolul IP / IPSec asigură protecție la nivel de rețea și necesită suport doar pentru standardul IPSec de la dispozitivele care comunică între ele pe ambele toate celelalte dispozitive între ele furnizează pur și simplu trafic de pachete IP.

Metoda de interacțiune între persoane care utilizează tehnologia IPSec este de obicei definită prin termenul de „asociere sigură” – Asociația de securitate (SA). O asociere sigură funcționează pe baza unui acord încheiat de părțile care utilizează IPSec pentru a proteja informațiile transmise reciproc. Acest acord reglementează mai mulți parametri: adrese IP ale expeditorului și destinatarului, algoritmul criptografic, ordinea de schimb de chei, dimensiunile cheilor, durata de viață a cheii, algoritmul de autentificare.

IPSec este un set consensual de standarde deschise care are un nucleu care poate fi extins cu ușurință cu noi caracteristici și protocoale. Nucleul IPSec este format din trei protocoale:

• AH sau Authentication Header - antet de autentificare - garantează integritatea și autenticitatea datelor. Scopul principal al protocolului AH este de a permite părții destinatare să verifice că:
  • pachetul a fost trimis de o parte cu care s-a stabilit o asociere sigură;
  • conținutul pachetului nu a fost distorsionat în timpul transmiterii acestuia prin rețea;
    pachetul nu este un duplicat al unui pachet deja primit.

Primele două funcții sunt obligatorii pentru protocolul AH, iar ultima este opțională la stabilirea unei asocieri. Pentru a îndeplini aceste funcții, protocolul AH utilizează un antet special.

Structura sa este considerată după cum urmează:

1. Următorul câmp de antet indică codul protocolului de nivel superior, adică protocolul al cărui mesaj este plasat în câmpul de date al pachetului IP.
2. Câmpul pentru lungimea sarcinii utile conține lungimea antetului AH.
3. Indexul parametrilor de securitate (SPI) este utilizat pentru a asocia un pachet cu asocierea sa sigură intenționată.
4. Câmpul Număr de secvență (SN) indică numărul de secvență al pachetului și este utilizat pentru a proteja împotriva falsificării (atunci când o terță parte încearcă să refolosească pachetele securizate interceptate trimise de un expeditor cu adevărat autentificat).
5. Câmpul de date de autentificare, care conține așa-numita valoare de verificare a integrității (ICV), este utilizat pentru a autentifica și verifica integritatea pachetului. Această valoare, numită și digest, este calculată folosind una dintre cele două funcții ireversibile MD5 sau SAH-1 din punct de vedere computațional cerute de protocolul AH, dar poate fi utilizată orice altă funcție.

ESP sau Încapsulating Security Payload– încapsularea datelor criptate – criptează datele transmise, oferind confidențialitate, poate suporta și autentificarea și integritatea datelor;

Protocolul ESP rezolvă două grupuri de probleme.

1. Prima include sarcini similare cu sarcinile protocolului AH - aceasta este furnizarea de autentificare și integritate a datelor pe baza rezumatului.
2. Al doilea este protecția datelor transmise prin criptarea acestora împotriva vizualizării neautorizate.

Antetul este împărțit în două părți separate printr-un câmp de date.

1. Prima parte, numită antetul ESP în sine, este formată din două câmpuri (SPI și SN), al căror scop este similar câmpurilor cu același nume din protocolul AH și este plasat înaintea câmpului de date.
2. Câmpurile de serviciu rămase ale protocolului ESP, numite remorcă ESP, sunt situate la sfârșitul pachetului.

Cele două câmpuri ale trailerului - următorul antet și datele de autentificare - sunt similare cu câmpurile antetului AH. Câmpul Date de autentificare este omis dacă s-a luat decizia de a nu folosi capacitățile de integritate ale protocolului ESP la stabilirea unei asocieri sigure. Pe lângă aceste câmpuri, remorca conține două câmpuri suplimentare - umplere și lungime de umplere.

Protocoalele AH și ESP pot proteja datele în două moduri:

1. în transport - transmisia se realizează cu anteturi IP originale;
2. într-un tunel, pachetul original este plasat într-un nou pachet IP și transmisia se realizează cu anteturi noi.

Utilizarea unui mod sau altuia depinde de cerințele pentru protecția datelor, precum și de rolul jucat în rețea de nodul care încheie canalul securizat. Astfel, un nod poate fi o gazdă (nod final) sau o poartă (nod intermediar).

În consecință, există trei scheme pentru utilizarea protocolului IPSec:

1. gazdă gazdă;
2. gateway-gateway;
3. poarta gazdă.

Capacitățile protocoalelor AH și ESP se suprapun parțial: protocolul AH este responsabil doar pentru asigurarea integrității și autentificarea datelor, protocolul ESP poate cripta datele și, în plus, poate îndeplini funcțiile protocolului AH (într-o formă trunchiată) . ESP poate suporta funcții de criptare și autentificare/integritate în orice combinație, adică fie întregul grup de funcții, fie numai autentificare/integritate, fie numai criptare.

IKE sau Internet Key Exchange– Schimb de chei pe Internet – rezolvă problema auxiliară a furnizării automate a punctelor finale de canal securizate cu chei secrete necesare pentru funcționarea protocoalelor de autentificare și criptare a datelor.

1.3 Stratul de transport

Stratul de transport folosește protocolul SSL/TLS sau Secure Socket Layer/Transport Layer Security, care implementează criptarea și autentificarea între straturile de transport ale receptorului și ale transmițătorului. SSL/TLS poate fi folosit pentru a securiza traficul TCP, nu poate fi folosit pentru a securiza traficul UDP. Nu este nevoie să implementați software special pentru ca VPN SSL/TLS să funcționeze, deoarece fiecare browser și client de e-mail este echipat cu aceste protocoale. Datorită faptului că SSL/TLS este implementat la nivelul transportului, se stabilește o conexiune securizată end-to-end.

Protocolul TLS se bazează pe protocolul Netscape SSL versiunea 3.0 și constă din două părți - Protocolul de înregistrare TLS și Protocolul TLS Handshake. Diferența dintre SSL 3.0 și TLS 1.0 este minoră.

SSL/TLS include trei faze principale:

1. iDialog între părți, al cărui scop este alegerea unui algoritm de criptare;
2. Schimb de chei bazat pe criptosisteme cu chei publice sau autentificare bazată pe certificat;
3. Transfer de date criptate folosind algoritmi de criptare simetrică.

1.4 Implementarea VPN: IPSec sau SSL/TLS?

Adesea, șefii departamentelor IT se confruntă cu întrebarea: care dintre protocoale să alegeți pentru construirea unei rețele VPN corporative? Răspunsul nu este evident, deoarece fiecare abordare are atât argumente pro, cât și dezavantaje. Vom încerca să analizăm și să identificăm când este necesar să folosim IPSec și când SSL/TLS. După cum se poate observa din analiza caracteristicilor acestor protocoale, acestea nu sunt interschimbabile și pot funcționa atât separat, cât și în paralel, definind caracteristicile funcționale ale fiecăruia dintre VPN-urile implementate.

Alegerea protocolului pentru construirea unei rețele VPN corporative poate fi efectuată în conformitate cu următoarele criterii:

Tipul de acces necesar pentru utilizatorii VPN.

1. Conexiune permanentă complet funcțională la rețeaua corporativă. Alegerea recomandată este IPSec.
2. O conexiune temporară, cum ar fi un utilizator mobil sau un utilizator care utilizează un computer public, pentru a obține acces la anumite servicii, cum ar fi e-mailul sau o bază de date. Alegerea recomandată este protocolul SSL/TLS, care vă permite să organizați un VPN pentru fiecare serviciu individual.

Dacă utilizatorul este un angajat al companiei.

1. Dacă utilizatorul este un angajat al companiei, dispozitivul pe care îl utilizează pentru a accesa rețeaua corporativă prin VPN IPSec poate fi configurat într-un mod specific.
2. Dacă utilizatorul nu este angajat al companiei a cărei rețea corporativă este accesată, se recomandă utilizarea SSL/TLS. Acest lucru va restricționa accesul oaspeților numai la anumite servicii.

Care este nivelul de securitate al rețelei corporative.

1. Înalt. Alegerea recomandată este IPSec. Într-adevăr, nivelul de securitate oferit de IPSec este mult mai mare decât nivelul de securitate oferit de protocolul SSL/TLS datorită utilizării software-ului configurabil pe partea utilizatorului și a unui gateway de securitate pe partea rețelei corporative.
2. In medie. Alegerea recomandată este protocolul SSL/TLS care permite accesul de pe orice terminal.

Nivelul de securitate al datelor transmise de utilizator.

1. Înalt, de exemplu, managementul companiei. Alegerea recomandată este IPSec.
2. Mediu, de exemplu, partener. Alegerea recomandată este protocolul SSL/TLS.
   In functie de serviciu - de la mediu la mare. Alegerea recomandată este o combinație de IPSec (pentru serviciile care necesită un nivel ridicat de securitate) și SSL/TLS (pentru serviciile care necesită un nivel mediu de securitate).

Ceea ce este mai important, implementarea rapidă a VPN sau scalabilitatea viitoare a soluției.

1. Implementați rapid o rețea VPN la costuri minime. Alegerea recomandată este protocolul SSL/TLS. În acest caz, nu este nevoie să implementați software special din partea utilizatorului, ca în cazul IPSec.
2. Scalabilitatea rețelei VPN - adăugarea accesului la diverse servicii. Alegerea recomandată este protocolul IPSec care permite accesul la toate serviciile și resursele rețelei corporative.
3. Implementare rapidă și scalabilitate. Alegerea recomandată este o combinație de IPSec și SSL/TLS: utilizați SSL/TLS în prima fază pentru a accesa serviciile necesare, urmată de implementarea IPSec.

2. Metode de implementare a rețelelor VPN

O rețea privată virtuală se bazează pe trei metode de implementare:

• tunelare;
• Criptare;
• Autentificare.

2.1 Tunele

Tunnelarea asigură transferul de date între două puncte - capetele tunelului - în așa fel încât întreaga infrastructură de rețea aflată între ele să fie ascunsă de sursa și destinația datelor.

Mijlocul de transport în tunel, ca un feribot, preia pachetele din protocolul de rețea folosit la intrarea în tunel și le livrează neschimbate la ieșire. Construirea unui tunel este suficientă pentru a conecta două noduri de rețea, astfel încât, din punctul de vedere al software-ului care rulează pe acestea, acestea să pară conectate la aceeași rețea (locală). Totuși, nu trebuie să uităm că de fapt „fericul” cu date trece prin multe noduri intermediare (routere) ale unei rețele publice deschise.

Această stare de fapt are două probleme. Prima este că informațiile transmise prin tunel pot fi interceptate de intruși. Dacă este confidențial (numere de card bancar, situații financiare, informații personale), atunci amenințarea compromiterii sale este destul de reală, ceea ce este neplăcut în sine.

Mai rău, atacatorii au capacitatea de a modifica datele transmise prin tunel, astfel încât destinatarul să nu le poată verifica autenticitatea. Consecințele pot fi cele mai deplorabile. Având în vedere cele de mai sus, ajungem la concluzia că tunelul în forma sa pură este potrivit doar pentru anumite tipuri de jocuri pe computer în rețea și nu poate pretinde că este mai serios. Ambele probleme sunt rezolvate prin mijloace moderne de protecție a informațiilor criptografice.

Pentru a preveni modificările neautorizate ale pachetului de date în drumul său prin tunel, se utilizează metoda semnăturii digitale electronice (EDS). Esența metodei este că fiecare pachet transmis este furnizat cu un bloc suplimentar de informații, care este generat în conformitate cu un algoritm criptografic asimetric și este unic pentru conținutul pachetului și cheia secretă a EDS-ului expeditorului. Acest bloc de informații este EDS-ul pachetului și vă permite să efectuați autentificarea datelor de către destinatar, care cunoaște cheia publică a EDS-ului expeditorului. Protecția datelor transmise prin tunel împotriva vizualizării neautorizate se realizează prin utilizarea unor algoritmi puternici de criptare.

2.2 Autentificare

Securitatea este funcția principală a unui VPN. Toate datele de la computerele client trec prin Internet către serverul VPN. Un astfel de server poate fi situat la o distanță mare de computerul client, iar datele de pe drumul către rețeaua organizației trec prin echipamentele multor furnizori. Cum să vă asigurați că datele nu au fost citite sau modificate? Pentru a face acest lucru, sunt utilizate diferite metode de autentificare și criptare.

PPTP poate folosi oricare dintre protocoalele utilizate pentru PPP pentru a autentifica utilizatorii.

• EAP sau Extensible Authentication Protocol;
• Protocolul de autentificare MSCHAP sau Microsoft Challenge Handshake (versiunile 1 și 2);
• CHAP sau Protocolul de autentificare prin strângere de mână Challenge;
• Protocolul de autentificare prin parolă SPAP sau Shiva;
• PAP sau Protocolul de autentificare cu parolă.

MSCHAP versiunea 2 și Transport Layer Security (EAP-TLS) sunt considerate cele mai bune, deoarece oferă autentificare reciprocă, de exemplu. Serverul VPN și clientul se identifică reciproc. În toate celelalte protocoale, doar serverul autentifică clienții.

Deși PPTP oferă un grad suficient de securitate, L2TP prin IPSec este încă mai fiabil. L2TP prin IPSec oferă autentificare la nivel de utilizator și computer, precum și autentificare și criptare a datelor.

Autentificarea se realizează fie printr-un test deschis (parolă text clar), fie printr-o schemă de cerere/răspuns (provocare/răspuns). Cu textul direct, totul este clar. Clientul trimite parola către server. Serverul compară acest lucru cu benchmark-ul și fie refuză accesul, fie spune „bun venit”. Autentificarea deschisă este practic inexistentă.

Schema cerere/răspuns este mult mai avansată. În general, arată astfel:

• clientul trimite o cerere către server pentru autentificare;
• serverul returnează un răspuns aleator (provocare);
• clientul elimină un hash din parola sa (un hash este rezultatul unei funcții hash care convertește o matrice de date de intrare de lungime arbitrară într-un șir de biți de ieșire de lungime fixă), criptează răspunsul cu acesta și îl trimite către server;
• serverul face același lucru, comparând rezultatul cu răspunsul clientului;
• dacă răspunsul criptat se potrivește, autentificarea este considerată reușită;

În primul pas de autentificare a clienților și serverelor VPN, L2TP prin IPSec utilizează certificate locale obținute de la o autoritate de certificare. Clientul și serverul schimbă certificate și creează o conexiune ESP SA (asociere de securitate) securizată. După ce L2TP (peste IPSec) finalizează procesul de autentificare a computerului, se realizează autentificarea la nivel de utilizator. Pentru autentificare poate fi folosit orice protocol, chiar și PAP, care transmite numele de utilizator și parola în text clar. Acest lucru este destul de sigur deoarece L2TP prin IPSec criptează întreaga sesiune. Cu toate acestea, autentificarea utilizatorului cu MSCHAP, care utilizează diferite chei de criptare pentru a autentifica computerul și utilizatorul, poate crește securitatea.

2.3. Criptare

Criptarea cu PPTP asigură că nimeni nu poate accesa datele în timp ce acestea sunt trimise prin Internet. În prezent sunt acceptate două metode de criptare:

• MPPE sau Microsoft Point-to-Point Encryption este compatibil doar cu MSCHAP (versiunile 1 și 2);
• EAP-TLS și este capabil să aleagă automat lungimea cheii de criptare atunci când negociază parametrii între client și server.

MPPE acceptă chei pe 40, 56 sau 128 de biți. Sistemele de operare Windows mai vechi acceptă doar criptarea cu o lungime a cheii de 40 de biți, așa că într-un mediu Windows mixt, alegeți lungimea minimă a cheii.

PPTP modifică valoarea cheii de criptare după fiecare pachet primit. Protocolul MMPE a fost conceput pentru legături punct-la-punct în care pachetele sunt transmise secvenţial și există foarte puţine pierderi de date. În această situație, valoarea cheii pentru următorul pachet depinde de rezultatele decriptării pachetului anterior. Atunci când se construiesc rețele virtuale prin rețele publice, aceste condiții nu pot fi îndeplinite, deoarece pachetele de date ajung adesea la destinatar în ordinea greșită în care au fost trimise. Prin urmare, PPTP utilizează numere de secvență de pachete pentru a schimba cheia de criptare. Acest lucru permite decriptarea să fie efectuată independent de pachetele primite anterioare.

Ambele protocoale sunt implementate atât în ​​Microsoft Windows, cât și în afara acestuia (de exemplu, în BSD), algoritmii de operare VPN pot diferi semnificativ. Pe NT (și sistemele derivate din acesta). Informațiile de bază sunt date în tabel.

Astfel, pachetul „tunnel + autentificare + criptare” vă permite să transferați date între două puncte printr-o rețea publică, simulând funcționarea unei rețele private (locale). Cu alte cuvinte, instrumentele luate în considerare vă permit să construiți o rețea privată virtuală.

Un efect suplimentar plăcut al unei conexiuni VPN este capacitatea (și chiar nevoia) de a utiliza sistemul de adresare adoptat în rețeaua locală.

Implementarea unei rețele private virtuale în practică este după cum urmează. Un server VPN este instalat în rețeaua locală de calculatoare a biroului companiei. Utilizatorul de la distanță (sau routerul, dacă sunt conectate două birouri) care utilizează software-ul client VPN inițiază procedura de conectare cu serverul. Are loc autentificarea utilizatorului - prima fază a stabilirii unei conexiuni VPN. În cazul confirmării autorizării, începe a doua fază - între client și server se negociază detaliile securizării conexiunii. După aceea, se organizează o conexiune VPN, care asigură schimbul de informații între client și server sub forma în care fiecare pachet de date trece prin procedurile de criptare/decriptare și verificare a integrității - autentificarea datelor.

Principala problemă a rețelelor VPN este lipsa standardelor stabilite pentru autentificare și schimbul de informații criptate. Aceste standarde sunt încă în curs de dezvoltare și, prin urmare, produsele de la diferiți producători nu pot stabili conexiuni VPN și nu pot schimba automat cheile. Această problemă implică o încetinire a răspândirii VPN-urilor, deoarece este dificil să forțați diferite companii să folosească produsele unui producător și, prin urmare, procesul de combinare a rețelelor companiilor partenere în așa-numitele rețele extranet este dificil.

VPN (Virtual Private Network) este o rețea privată virtuală sau o rețea logică care este creată prin rețele nesecurizate (rețelele unui operator de telecomunicații sau ale unui furnizor de servicii Internet). Un VPN este o tehnologie care securizează datele în timp ce acestea sunt în tranzit prin rețele nesigure. O rețea privată virtuală vă permite să stabiliți un tunel în rețele nesigure (între două puncte de rețea), cum ar fi rețele ATM, FR sau IP.

Cu VPN, puteți realiza conexiuni: de la rețea la rețea, de la nod la rețea sau de la nod la nod. Astfel de proprietăți ale tehnologiei VPN fac posibilă combinarea rețelelor locale de birouri ale companiei care sunt îndepărtate geografic unele de altele într-o singură rețea de informații corporative. De menționat că rețelele de calculatoare corporative (CCN) pot fi organizate și pe baza unor canale de comunicare dedicate (private sau închiriate). Astfel de instrumente de organizare sunt folosite pentru micile KVS (întreprinderi cu birouri situate compact) cu trafic care nu se modifică în timp.

Sunt cunoscute principalele tipuri de VPN-uri și combinațiile lor:

• Intranet VPN (VPN intern corporativ);
• Extranet VPN (VPN inter-corporate);
• Remote Access VPN (VPN cu acces de la distanță);
• VPN client/server (VPN între două noduri ale rețelei corporative).

În prezent, următoarele tehnologii sunt utilizate pentru a construi rețele corporative distribuite geografic în infrastructura partajată a furnizorilor de servicii și a operatorilor de telecomunicații:

• tuneluri IP folosind tehnologii GRE sau IPSec VPN;
• SSL, care include OpenVPN și SSL VPN (SSL/TLS VPN) pentru organizarea canalelor de comunicații securizate;
• MPLS în rețeaua operatorului (L3 VPN) sau VPN în rețeaua BGP/MPLS;
• Metro Ethernet VPN în rețeaua operatorului (L2 VPN). Cea mai promițătoare tehnologie folosită în Metro Ethernet VPN este VPN bazată pe MPLS (MPLS L2 VPN) sau VPLS.

În ceea ce privește utilizarea liniilor închiriate și a tehnologiilor Frame Relay, ATM pentru organizarea rețelelor corporative distribuite geografic, acestea practic nu sunt utilizate în aceste scopuri. Astăzi, de regulă, KVS sunt construite pe baza rețelelor suprapuse (rețele client-server și peer-to-peer), care funcționează într-o infrastructură partajată de operatori și sunt „suplimente” peste protocoalele de rețea clasice.

Pentru a organiza rețele corporative distribuite geografic, furnizorii oferă clienților următoarele modele VPN de bază în mediul Internet:

• Model IP VPN (GRE, IPSec VPN, OpenVPN) printr-o rețea WAN în care configurația VPN este furnizată de client;
• model L 3 VPN sau MPLS L3 VPN prin rețea WAN, în care configurația VPN este furnizată de furnizorul de servicii sau operatorul de telecomunicații;
• Model VPN L2 prin rețeaua MAN, în care configurația VPN este furnizată de furnizor sau operator de telecomunicații:
  • punct la punct (AToM, 802.1Q, L2TPv3);
  • multipunct (VPLS și H-VPLS).

Tehnologiile VPN pot fi, de asemenea, clasificate în funcție de modul în care sunt implementate folosind protocoale: autentificare, tunelare și criptare a pachetelor IP. De exemplu, VPN-urile (IPSec, OpenVPN, PPTP) se bazează pe criptarea datelor clienților, VPN-urile (L2TP și MPLS) se bazează pe partajarea fluxurilor de date între clienții VPN, iar SSL VPN se bazează pe criptare și autentificarea traficului. Dar, de regulă, VPN-urile folosesc opțiuni mixte atunci când tehnologiile sunt combinate: autentificare, tunel și criptare. Practic, organizarea rețelelor VPN se bazează pe protocoalele straturilor de legătură și de rețea ale modelului OSI.

Trebuie remarcat faptul că tehnologia SSL VPN (Secure Socket Layer) a fost dezvoltată pentru utilizatorii de la distanță mobilă, care se bazează pe un principiu diferit al transferului de date private (date de utilizator) prin Internet. VPN SSL folosește protocolul de nivel de aplicație HTTPS. Pentru HTTPS se folosește portul 443, pe care se stabilește o conexiune folosind TLS (Transport Layer Security - transport layer security).

TLS și SSL (protocoale TLS și SSL Layer 6 ale modelului OSI) sunt protocoale criptografice care oferă o protecție puternică a datelor din stratul de aplicație, deoarece folosesc criptografia asimetrică, criptarea simetrică și codurile de autentificare a mesajelor. Dar din moment ce există 4 straturi definite în stiva TCP/IP, adică. Deoarece nu există straturi de sesiune și prezentare, aceste protocoale funcționează pe stratul de transport din stiva TCP/IP, asigurând securitatea transferului de date între nodurile de Internet.

Model IP VPN în care configurația VPN este furnizată de client

Modelul IP VPN poate fi implementat pe baza standardului IPSec sau a altor protocoale VPN (PPTP, L2TP, OpenVPN). În acest model, interacțiunea dintre routerele clientului este stabilită prin intermediul rețelei WAN a furnizorului de servicii. În acest caz, furnizorul nu participă la configurarea VPN-ului, ci oferă doar rețelele sale nesecurizate pentru transmiterea traficului clientului. Rețelele furnizorilor sunt destinate numai pentru conexiuni VPN încapsulate sau suprapuse (transparente) între birourile clienților.

VPN-ul este configurat folosind facilitățile de telecomunicații ale clientului, de ex. clientul gestionează singur rutarea traficului. Conexiunea VPN este o conexiune printr-o rețea punct-la-punct nesecurizată: „VPN gateway - VPN gateway” pentru conectarea rețelelor locale la distanță de birouri, „VPN user - VPN gateway” pentru conectarea angajaților la distanță la biroul central.

Pentru organizarea unei rețele VPN, în fiecare birou al companiei este instalat un router, care asigură interacțiunea rețelei de birouri cu rețeaua VPN. Software-ul pentru construirea de VPN-uri securizate este instalat pe routere, de exemplu, pachetul gratuit OpenVPN (în acest caz, pachetul OpenVPN trebuie configurat să funcționeze în modul de rutare). Tehnologia OpenVPN se bazează pe standardul SSL pentru comunicații securizate prin Internet.

OpenVPN oferă conexiuni sigure bazate pe straturile OSI 2 și 3. Dacă OpenVPN este configurat să funcționeze în modul bridge, oferă conexiuni sigure bazate pe nivelul 2 OSI, dacă este în modul de rutare, oferă conexiuni securizate bazate pe stratul 3. OpenVPN, spre deosebire de SSL VPN, nu acceptă acces VPN printr-un browser web. OpenVPN necesită o aplicație suplimentară (client VPN).

Routerul de la sediul central al companiei este configurat ca un server VPN, iar routerele de la biroul de la distanță ca clienți VPN. Routere Serverul VPN și clienții VPN se conectează la Internet prin rețele ISP. În plus, computerul unui utilizator de la distanță poate fi conectat la biroul principal prin configurarea programului client VPN pe computer. Ca rezultat, obținem modelul IP VPN (captura de ecran este prezentată în Fig. 1).

Orez. 1. Model de rețea IP VPN (Intranet VPN + Remote Access VPN)

MPLS L3 VPN sau L3 VPN model în care configurarea VPN este furnizată de furnizorul de servicii sau operatorul (furnizorul de servicii)

Luați în considerare procesul de configurare a unei rețele VPN pentru trei rețele locale la distanță de birouri ale clienților de servicii (de exemplu, SC-3 Corporation) situate în orașe diferite, utilizând rețeaua principală MPLS VPN a unui furnizor de servicii, construită pe baza tehnologiei MPLS L3 VPN. În plus, PC-ul stației de lucru de la distanță și laptopul utilizatorului mobil sunt conectate la rețeaua corporației SC-3. În modelul MPLS L3 VPN, echipamentul furnizorului participă la rutarea traficului clientului prin WAN.

În acest caz, livrarea traficului clienților din rețelele locale ale birourilor clientului serviciului către rețeaua principală MPLS VPN a furnizorului de servicii se realizează folosind tehnologia IP. Pentru a organiza o rețea VPN, în fiecare birou al companiei este instalat un router CE periferic sau de frontieră (Customer Edge router) care este conectat printr-un canal fizic la unul dintre routerele PE de frontieră (router Edge Provider) ale furnizorului (operator). ) Rețeaua MPLS. În același timp, unul dintre protocoalele stratului de legătură (PPP, Ethernet, FDDI, FR, ATM etc.) poate funcționa pe canalul fizic care conectează routerele CE și PE.

Rețeaua furnizorului de servicii (furnizorul de servicii sau operatorul de telecomunicații) constă din routere periferice PE și o rețea de bază (nucleu de rețea) cu routere dorsale cu comutare de etichete P (router furnizor). Astfel, MPLS L3 VPN este format din rețelele IP locale ale biroului clientului și rețeaua principală MPLS a furnizorului (domeniul MPLS), care combină rețelele locale distribuite ale birourilor clientului într-o singură rețea.

Rețelele locale la distanță ale birourilor clientului schimbă pachete IP prin rețeaua MPLS a furnizorului, în care se formează tuneluri MPLS pentru a transmite traficul clientului prin rețeaua principală a furnizorului. O captură de ecran a modelului de rețea MPLS L3 VPN (Intranet VPN + Remote Access VPN) este prezentată în fig. 2. Pentru a simplifica diagrama rețelei, sunt acceptate următoarele condiții inițiale: toate rețelele LAN de birou aparțin unui singur VPN, iar rețeaua de bază (backbone) este un domeniu MPLS, care se află sub controlul unificat al furnizorului național de servicii (comunicații). operator).

Trebuie remarcat faptul că MPLS L3 VPN poate fi organizat folosind mai multe domenii MPLS ale diferiților furnizori de servicii. Figura 2 prezintă o topologie VPN complet mesh.

Orez. 2. Model de rețea MPLS L3 VPN (Intranet VPN + Remote Access VPN)

Funcționarea routerelor PE

Routerele periferice CE și PE (client și furnizor) schimbă informații de rutare între ele folosind unul dintre protocoalele interne de rutare IGP (RIP, OSPF sau IS-IS). Ca urmare a schimbului de informații de rutare, fiecare router PE își creează propriul tabel de rutare VRF (extern) separat (VPN Routing and Forwarding) pentru rețeaua locală a biroului clientului conectat la acesta prin routerul CE. Astfel, informațiile de rutare primite de la CE sunt fixate în tabelul VRF al PE.

Tabelul VRF se numește tabel virtual de rutare și redirecționare. Doar routerele PE sunt conștienți de faptul că a fost configurat un VPN pentru client în rețeaua MPLS. Din modelul de rețea MPLS L3 VPN rezultă că informațiile de rutare nu sunt schimbate între routerele CE ale clientului, astfel încât clientul nu participă la rutarea traficului prin coloana vertebrală MPLS, VPN-ul (routere PE și routere P) este configurat de furnizor ( operator).

Mai multe rețele VPN ale diferiților clienți pot fi conectate la routerul PE (Fig. 3). În acest caz, un protocol de rutare separat este instalat pe fiecare interfață (int1, int2 etc.) a routerului PE la care este conectată rețeaua locală a biroului clientului. Pentru fiecare interfață de router PE, unul dintre protocoalele IGP creează un tabel de rutare VRF, iar fiecare tabel de rutare VRF corespunde rutelor VPN pentru fiecare client.

De exemplu, pentru clientul SC-3 și rețeaua sa LAN0 (sediu principal) conectată prin CE0 la PE0, un tabel VRF1 SC-3 va fi creat pe PE0, pentru LAN1 al clientului SC-3, VRF2 SC-3 va fi creat pe PE1 , pentru LAN2 pe PE2 - VRF3 SC-3 etc. și aparțin aceluiași VPN SC3. Tabelul VRF1 SC-3 este comun pentru informațiile de rutare CE0 și CE4. Trebuie remarcat faptul că tabelele VRF sunt actualizate cu informații despre adresele rețelelor locale ale tuturor celorlalte birouri ale acestui client folosind protocolul MP-BGP (multiprotocol BGP). MP-BGP este folosit pentru a schimba rute direct între routerele PE și poate transporta adrese VPN-IPv4 în informațiile de rutare.

Adresele VPN-IPv4 constau din adrese IPv4 sursă și un prefix RD (Route Distinguisher) sau soluție de rută care identifică o anumită VPN. Ca rezultat, pe routerele PE vor fi create tabele VRF cu rute identice pentru o rețea VPN. Numai acele routere PE care participă la organizarea rețelei VPN a aceluiași client schimbă informații de rutare între ele folosind protocolul MP-BGP. Prefixul RD este configurat pentru fiecare tabel VRF.

Informații de rutare schimbate între routerele PE prin MP-BGP printr-o interfață globală sau internă:

• Adresa rețelei de destinație (VPN-IPv4);
• Adresa următorului router pentru protocol (next hop);
• Label Lvpn - determinată de numărul de interfață (int) al routerului PE, la care este conectat unul dintre LAN-urile biroului clientului;
• Atributul mesajului RT (rută-țintă) este un atribut VPN care identifică toate rețelele LAN de birou care aparțin aceleiași rețele corporative sau VPN.

Orez. 3. Router PE

În plus, fiecare router PE schimbă informații de rutare cu ruterele P-backbone cu unul dintre protocoalele interne de rutare (OSPF sau IS-IS) și, de asemenea, creează o tabelă de rutare globală (GTL) separată (internă) pentru rețeaua principală MPLS. Tabelul extern (VRF) și tabelul de rutare global intern (GTM) în routerele PE sunt izolate unul de celălalt. Routerele P schimbă informații de rutare între ele și routerele PE utilizând protocoale tradiționale de rutare IP (IGP) precum OSPF sau IS-IS și își creează propriile tabele de rutare.

Pe baza tabelelor de rutare care utilizează protocoale de distribuție a etichetelor LDP sau protocoale RSVP bazate pe tehnologia Traffic Engineering, tabelele de comutare a etichetelor sunt construite pe toate routerele P (FTN-urile sunt create pe PE) care formează o anumită rută LSP (Label Switched Paths). Rezultatul sunt rutele comutate cu etichete LSP care transmit pachete IP pe baza valorilor etichetei antetului MPLS și a tabelelor de comutare locale, mai degrabă decât a adreselor IP și a tabelelor de rutare.

Antetul MPLS este adăugat la fiecare pachet IP care intră în routerul PE de intrare și este eliminat de routerul PE de ieșire atunci când pachetele părăsesc rețeaua MPLS. Antetul MPLS nu folosește o etichetă, ci un teanc de două etichete, de ex. PE de intrare atribuie pachetului două etichete. Unul dintre ele este L extern, celălalt Lvpn intern. Eticheta exterioară sau de nivel superior a stivei este utilizată direct pentru a comuta pachetul prin LSP de la PE de intrare la PE de ieșire.

Trebuie remarcat faptul că PE direcționează traficul de intrare către o anumită cale virtuală LSP pe baza FEC (Forwarding Equivalence Class). FEC este un grup de pachete la condiții, al căror transport este supus acelorași cerințe. Pachetele aparținând aceluiași FEC călătoresc pe același LSP. Clasificarea FEC se poate face în diferite moduri, de exemplu: după adresa IP de destinație (prefixul rețelei), tipul de trafic, cerințele de inginerie etc.

Dacă utilizați o clasificare bazată pe adresa IP a rețelei de destinație, atunci se creează o clasă separată pentru fiecare prefix al rețelei de destinație. În acest caz, protocolul LDP automatizează complet procesul de creare a claselor și de atribuire a valorilor etichetelor acestora (Tabelul 1). Fiecărui pachet de intrare care este rutat de routerul PE către o anumită adresă IP a rețelei de birou i se atribuie o etichetă specifică pe baza tabelului FTN.

Tabelul 1. FTN (FEC To Next Hop) pe routerul PE1

Tabelul 1 arată că valoarea etichetei exterioare este atribuită de routerul de intrare PE1 pe baza adresei IP LAN de birou. Eticheta internă sau eticheta nivelului inferior al stivei nu participă la procesul de comutare a pachetelor prin LSP de la intrare la PE de ieșire, dar determină VRF sau interfața pe PE de ieșire la care este atașat LAN-ul biroului clientului. .

Schimb de informații despre ruta VPN prin MP-BGP

Informații de rutare (informații despre rutele VPN) pe care routerul PE1 le trimite către routerul PE2 prin BGP (linii roșii):

• Adresă VPN-IPv4: 46.115.25.1:106:192.168.1.0;
• Următorul hop = 46.115.25.1;
• Lvpn=3;
• RT=SC-3.

Discriminatorul de rută RD=46.115.25.1:106 este adăugat la adresa IPv4 LAN1 a biroului regional 1. Unde 46.115.25.1 este adresa IP a interfeței globale a router-ului PE1 prin care PE1 comunică cu routerele P. Pentru o anumită rută VPN SC-3, administratorul de rețea ISP din routerul PE1 sau PE1 atribuie o etichetă (număr), cum ar fi 106.

Când PE2 primește adresa de rețea de destinație VPN-IPv4 de la PE1, elimină delimitatorul de rută RD, plasează 192.168.1.0 în tabelul VRF3 al SC-3 și notează că intrarea a fost făcută de BGP. De asemenea, face publicitate acestei rute către routerul său client conectat CE2 pentru acest VPN SC-3.

Tabelul VRF3 SC-3 este, de asemenea, actualizat cu protocolul MP-BGP - despre adresele rețelelor altor rețele LAN ale birourilor acestui VPN SC-3. Routerul PE1 trimite, de asemenea, informații de rutare prin MP-BGP către alte routere: PE0 și PE3. Ca urmare, toate rutele din tabelele VRF ale routerelor (PE0, PE1, PE2 și PE3) conțin adresele tuturor rețelelor LAN ale birourilor clientului în format IPv4.

Orez. 4. Tabelele VRF pentru router (PE0, PE1, PE2 și PE3)

Informații de rutare pe care routerul PE2 le trimite către routerul PE1 prin protocolul MP-BGP (linii roșii):

• Adresă VPN-IPv4: 46.115.25.2:116:192.168.2.0;
• Următorul hop = 46.115.25.2;
• Lvpn=5;
• RT=SC-3.

Transfer de date între PC-uri într-o rețea corporativă organizată pe baza tehnologiei MPLS L3 VPN

Luați în considerare modul în care sunt schimbate datele între PC-ul 2 (IP: 192.168.1.2) al rețelei LAN1 și PC-ul 1 (IP: 192.168.3.1) al rețelei LAN. Pentru a accesa fișierele situate în directoare sau unități logice ale PC-ului 1 (LAN) cu acces partajat, trebuie să introduceți \\192.168.3.1 pe PC 2 (LAN1) în linia „Găsiți programe și fișiere” (pentru sistemul de operare Win 7) și apăsați tasta Enter. Aceasta va afișa directoarele partajate („partajate”) sau folderele găzduite pe PC-ul 1 pe ecranul PC-ului 2. Cum funcționează acest lucru?

La apăsarea tastei Enter în PC 2 (LAN1), a fost generat un pachet la nivelul rețelei cu adresa IP de destinație 192.168.3.1. În primul rând, pachetul ajunge la routerul CE1 (Fig. 5), care îl redirecționează, în conformitate cu tabelul de rutare, către interfața int3 a routerului PE1, deoarece este următorul router care accesează rețeaua 192.168.3.0 /24, în care se află PC-ul 1 ( LAN GO) cu adresa IP 192.168.3.1. Tabelul de rutare VRF2 SC-3 este asociat cu interfața int3, astfel încât pachetul este transmis în continuare pe baza parametrilor săi.

După cum se arată în VRF2 SC-3, următorul router care redirecționează pachetul către rețeaua 192.168.3/24 este PE0 și această intrare a fost făcută de BGP. În plus, tabelul arată valoarea etichetei Lvpn=2, care definește interfața ruterului de ieșire PE0. Rezultă din aceasta că redirecționarea ulterioară a pachetului către rețeaua 192.168.3/24 este determinată de parametrii tabelului global de rutare GTM PE1.

Orez. 5. Transfer de date între PC2 (192.168.1.2) și PC1 (192.168.3.1) ale rețelelor LAN1 și LAN ale sediului principal al CS SC-3

În tabelul global (PE1 GTM), adresa următorului router (NH - Next Hop) PE0 corespunde valorii inițiale a etichetei externe L=105, care determină calea LSP către PE0. Pachetul este promovat de-a lungul LSP pe baza etichetei L a nivelului superior al stivei (L=105). Pe măsură ce pachetul trece prin routerul P3 și apoi prin routerul P1, eticheta L este analizată și înlocuită cu noi valori. După ce pachetul ajunge la punctul final LSP, PE0 elimină eticheta exterioară L din stiva MPLS.

Routerul PE0 scoate apoi eticheta de stivă low Lvpn=2 din stivă, care identifică interfața int2 la care este atașat routerul LAN CE0 al clientului. Apoi, dintr-un tabel (VRF1 SC-3) care conține toate rutele VPN SC3, PE0 preia o intrare pentru valoarea etichetei Lvpn=2 și ruta asociată către rețeaua 192.168.3/24 care indică CE0 ca următorul router. Din tabel rezultă că înregistrarea rutei a fost plasată în tabelul VRF1 SC-3 prin protocolul IGP, astfel încât calea pachetului de la PE0 la CE0 este efectuată prin protocolul IP.

Mișcarea ulterioară a pachetului de la CE0 la PC-ul 1 cu adresa IP 192.168.3.1 este efectuată de adresa MAC, deoarece CE0 și PC-ul 1 (192.168.3.1) sunt în aceeași LAN. După primirea pachetului de solicitare de la PC-ul 2, sistemul de operare al PC-ului 1 va trimite copii ale directoarelor sale partajate către PC-ul 2. Sistemul de operare al PC-ului 2, după ce a primit copii ale directoarelor partajate de la PC-ul 1, le afișează pe ecranul monitorului. Astfel, datele sunt schimbate între două PC-uri aparținând unor rețele LAN diferite ale birourilor aceluiași client prin rețelele publice MPLS ale furnizorului prin canale virtuale LSP.

În ceea ce privește conectarea unui utilizator mobil de la distanță la resursele unei rețele corporative distribuite geografic, aceasta poate fi implementată folosind una dintre tehnologiile Remote Access VPN (Remote Access IPSec VPN și SSL VPN). Trebuie remarcat faptul că tehnologia SSL VPN acceptă două tipuri de acces: acces complet la rețea și fără client. Tehnologia VPN SSL fără client oferă acces la rețea de la distanță printr-un browser web standard, dar în acest caz, sunt disponibile numai aplicațiile de rețea bazate pe web. Tehnologia SSL VPN cu acces complet la rețea, după instalarea unei aplicații suplimentare (client VPN) pe un computer, oferă acces la toate resursele unei rețele corporative distribuite geografic.

De obicei, conexiunea unui utilizator de la distanță la un VPN MPLS L3 se realizează printr-un server de acces la distanță (RAS) care se conectează la unul dintre routerele PE din rețeaua MPLS. În cazul nostru, utilizatorul mobil este conectat prin rețeaua de acces (Internet) folosind Remote Access IPSec VPN la RAS, care este conectat la routerul PE0. Astfel, un utilizator mobil se conectează prin VPN IPSec la rețeaua sa corporativă (corporația SC-3), organizată pe baza VPN MPLS L3.

Model VPN MPLS L2 în care configurarea VPN este furnizată de furnizor sau operator (furnizor de servicii)

Este posibil să se organizeze un singur spațiu informațional în trei birouri (de exemplu, corporația SC-3) situate în același oraș pe baza unei rețele Metro Ethernet de bandă largă a unui operator de telecomunicații (L2 VPN). Unul dintre serviciile rețelelor Metro Ethernet este organizarea rețelelor corporative prin rețelele principale ale MAN (rețelele operatorului de comunicații în interiorul orașului). Pentru organizarea Metro Ethernet VPN (L2 VPN) sunt folosite diverse tehnologii, cum ar fi AToM (în principal EoMPLS), 802.1Q, L2TPv3 și așa mai departe, dar cea mai promițătoare tehnologie este MPLS L2 VPN sau VPLS. În acest caz, livrarea traficului clienților din rețelele locale ale birourilor clientului serviciului către rețeaua principală MPLS VPN a furnizorului de servicii se realizează folosind tehnologia de al doilea strat (Ethernet, Frame Relay sau ATM).

Operatorii de telecomunicații oferă două tipuri de servicii de rețea Ethernet pentru organizarea rețelelor private virtuale la al doilea nivel al modelului OSI, care sunt formate pe baza tehnologiei MPLS - acestea sunt VPWS (Virtual Private Wire Services) și VPLS (Virtual Private LAN Services). . Aceste VPN-uri se bazează pe pseudo-canale (pseudowire) care conectează routerele PE edge ale rețelei furnizorului (domeniul MPLS). Tunelurile LSP sau canalele logice sunt create folosind etichete, în cadrul cărora sunt așezate pseudo-canale (VC-uri emulate) și pachetele MPLS sunt transmise peste aceste pseudo-canale. VPWS se bazează pe Ethernet peste MPLS (EoMPLS). Dar în VPLS, spre deosebire de rețelele punct-la-punct (P2P) VPWS, organizarea pseudo-canalelor se realizează folosind conexiuni multipunct (P2M).

Într-un VPLS, există două moduri de a stabili pseudo-canale între oricare două PE care fac parte dintr-un VPLS dat (folosind BGP și LDP). Protocolul BGP extins (MP-BGP) oferă definiții automate ale PE-urilor care interacționează la construirea unui LAN distribuit geografic bazat pe un serviciu VPLS și etichete de semnalizare (vc-labels) ale circuitelor virtuale. LDP extins poate fi folosit și pentru semnalizarea vc-labels. În acest caz, descoperirea tuturor routerelor PE care fac parte din acest VPLS se realizează în modul de configurare manuală.

De asemenea, puteți utiliza sisteme de management care automatizează căutarea și configurarea dispozitivelor PE pentru organizarea serviciilor VPLS. Utilizează o stivă de etichete pentru a transmite cadre, eticheta de sus este pentru tunelurile LSP, care este folosită pentru a ajunge la PE de ieșire. Eticheta de jos este eticheta VC care este utilizată pentru a demultiplexa circuitele virtuale (pseudofire) transportate în același tunel. Un singur tunel poate conține mai multe pseudo-canale pentru diferite instanțe VPLS.

Se creează comutatoare virtuale VSI separate pentru fiecare instanță VPLS de pe PE. Switch-urile VSI învață adrese MAC și construiesc tabele înainte pentru pachetele MPLS. Pe baza datelor din tabelul de redirecționare, comutatoarele VSI, având cadre primite încapsulate în pachete MPLS, le transmit către pseudo-canale care conduc la PE-uri de margine, la care sunt conectate comutatoarele CE de margine ale segmentelor LAN ale birourilor clientului.

Bazat pe VPWS (point-to-point), este posibil să combinați două subrețele de birouri corporative într-o singură rețea, cu o singură adresare IP end-to-end. VPLS este o tehnologie care oferă conexiuni multipunct printr-o infrastructură de rețea de pachete IP/MPLS. VPLS vă permite să combinați mai multe rețele locale distribuite geografic de birouri corporative într-o singură rețea locală. În acest caz, rețeaua principală MPLS a furnizorului de servicii este un comutator Ethernet virtual (comutator L2) care transmite cadre Ethernet între segmentele LAN ale birourilor individuale ale clienților. Diagrama unei rețele locale distribuite geografic (în interiorul orașului) a unei corporații este prezentată în fig. 6.

Orez. 6. Schema unei rețele locale distribuite geografic (în interiorul orașului) a unei corporații

Esența conceptului VPLS constă în transmiterea transparentă a cadrelor Ethernet ale PC-urilor din rețelele locale de birouri (segmente ale rețelelor de birouri ale clientului) ale clientului prin rețeaua principală MPLS a furnizorului. Dispozitivele de margine de pe partea clientului a VPLS 1 sunt comutatoarele CE0, CE1, CE2, care sunt conectate la dispozitivele PE0, PE1, PE2. Routerele PE comunică între ele pentru a descoperi toate PE-urile conectate la VPLS 1. PE-urile și P-urile construiesc tabele de rutare din care sunt create LSP-uri și pseudo-canale.

Atât BGP, cât și LDP pot fi utilizate ca protocoale de semnalizare. Comutatoarele virtuale VSI 1 ale dispozitivelor PE0, PE1, PE2 construiesc tabele înainte pentru pachetele MPLS. De exemplu, VSI 1 al dispozitivului PE0 generează tabelul de comutare prezentat în fig. 6. Când un cadru Ethernet ajunge de la unul dintre PC-urile LAN de la biroul principal la intrarea dispozitivului PE0, acesta încapsulează cadrul Ethernet într-un pachet MPLS și, folosind tabelul de comutare, îl trimite în tunel, prin care pachetul ajunge la dispozitivul de ieșire PE1.

Pentru a redirecționa un pachet prin rețeaua MPLS (prin pseudo-canale în tunelurile LSP), se utilizează o stivă de etichete, care constă dintr-o etichetă de tunel LSP și o etichetă de pseudo-canal VC Label, de exemplu, 15. La dispozitivul de ieșire PE1 , pachetele MPLS sunt convertite în cadre Ethernet și trimise la comutatorul C1, la care este conectat computerul de destinație cu adresa MAC 90:5C:E7:C8:56:93. RFC 4761 și RFC 4762 detaliază metodele de semnalizare BGP și LDP pentru rețele LAN organizate cu servicii VPLS.

Lista surselor de informare:

1. Rețele de calculatoare. Principii, tehnologii, protocoale: un manual pentru universități. a 4-a ed. / V.G. Olifer, N.A. Olifer - Sankt Petersburg. Peter, 2010. - 944 p.

2. Olwein, Vivek. Structura și implementarea tehnologiei moderne MPLS.: Per. din engleza. - M. : Editura Williams, 2004. - 480 p.

Posibilitatea de a conecta birourile de la distanță ale unei companii între ele prin canale de comunicații securizate este una dintre cele mai comune sarcini în construirea unei infrastructuri de rețea distribuite pentru companii de orice dimensiune. Există mai multe soluții la această problemă:

Închirierea de canale de la un furnizor: o opțiune comună și de încredere. Furnizorul închiriază canale de comunicare fizice sau logice dedicate. Astfel de canale sunt adesea denumite „punct la punct”

Avantaje:

1. Ușurință în conectare și utilizare - întreținerea echipamentelor și canalelor este în întregime responsabilitatea furnizorului;
2. Lățimea canalului garantată - rata de transfer de date corespunde întotdeauna cu cea declarată de furnizor;

Dezavantaje:

1. Securitate și control - compania nu poate controla echipamentele din partea furnizorului.

Construirea propriilor coloane de comunicare (fizice): o soluție fiabilă și costisitoare, deoarece construirea unui canal de comunicare fizică este în întregime responsabilitatea companiei. Cu această soluție, compania controlează și menține pe deplin canalele construite

Avantaje:

1. Flexibilitate - capacitatea de a implementa canale care îndeplinesc toate cerințele necesare;
2. Securitate și control - control deplin al canalului, deoarece aparține companiei;

Dezavantaje:

1. Implementare - construirea unor astfel de canale private este o soluție costisitoare și consumatoare de timp. Așezarea kilometrilor de optică de-a lungul stâlpilor poate costa o sumă rotundă. Chiar dacă nu iei în calcul obținerea permiselor de la toate statele. instanțe;
2. Întreținerea – întreținerea canalului este în întregime responsabilitatea companiei, prin urmare, specialiști înalt calificați trebuie să fie în personal pentru a asigura performanța acestuia;
3. Toleranță scăzută la erori - liniile de comunicații optice externe sunt adesea supuse deteriorărilor neintenționate (echipamente de construcții, utilități etc.). Poate dura câteva săptămâni pentru ca o legătură optică să fie descoperită și corectată.
4. Limitat la o singură locație - așezarea liniilor de comunicații optice externe este relevantă numai dacă obiectele sunt situate la câteva zeci de kilometri. Tragerea unei conexiuni cu un alt oraș pe sute și mii de kilometri nu este posibilă din motive de bun simț.

Construirea unui canal securizat prin Internet (VPN): Această soluție este relativ bugetară și flexibilă. Pentru a uni birourile la distanță, tot ce aveți nevoie este o conexiune la Internet și un echipament de rețea cu posibilitatea de a crea conexiuni VPN

Avantaje:

1. Cost redus - compania plătește doar pentru acces la Internet;
2. Scalabilitate - pentru a conecta un nou birou, aveți nevoie de internet și de un router;

Dezavantaje:

1. Lățimea de bandă a canalului - rata de transfer de date poate varia (fără lățime de bandă garantată);

Acest articol va arunca o privire mai atentă asupra ultimului punct, și anume, ce beneficii oferă tehnologia VPN întreprinderilor.
Virtual Private Network (VPN) - un set de tehnologii care asigură o conexiune sigură (tunnel) a două sau mai multe rețele locale la distanță printr-o rețea publică (aprox. Internet).

Avantajele unice ale VPN-urilor Wide Area

Protecția traficului transmis: este sigur să transmiteți traficul prin tunelul VPN folosind protocoale puternice de criptare (3DES, AES). Pe lângă criptare, sunt asigurate integritatea datelor și autentificarea expeditorului, eliminând posibilitatea de falsificare a informațiilor și conectarea unui atacator.

Fiabilitatea conexiunii: cei mai importanți producători de hardware îmbunătățesc tehnologiile de conectare VPN, oferind restaurarea automată a tunelurilor VPN în cazul unei eșecuri pe termen scurt a unei conexiuni la o rețea publică.
Mobilitate și ușurință de conectare: vă puteți conecta la rețeaua locală a companiei de oriunde în lume și de pe aproape orice dispozitiv modern (smartphone, tabletă, laptop), în timp ce conexiunea va fi sigură. Majoritatea producătorilor de dispozitive multimedia au adăugat suport VPN la produsele lor.

Redundanță și echilibrare a încărcăturii: dacă utilizați doi furnizori atunci când vă conectați la Internet (pentru echilibrare / failover), atunci este posibil să echilibrați traficul tunel VPN între furnizori. În cazul eșecului unuia dintre furnizori, tunelul va folosi conexiunea de rezervă.

Prioritizarea traficului: capacitatea de a controla traficul folosind QoS - prioritizarea traficului de voce, video în caz de încărcare mare a tunelului.

VPN-uri în afaceri

Rețea unificată

Consolidarea rețelelor locale distribuite geografic ale companiei într-o singură rețea (conectarea sucursalelor la sediul principal) simplifică foarte mult interacțiunea și schimbul de date în cadrul companiei, reducând costurile de întreținere. Orice sistem corporativ necesită un singur spațiu de rețea pentru ca angajații să lucreze. Poate fi telefonie IP, sisteme de contabilitate și contabilitate financiară, CRM, videoconferințe etc.

Acces mobil

Indiferent de locația angajatului, dacă există o conexiune la Internet și un laptop/smartphone/tabletă, angajatul se poate conecta la resursele interne ale companiei. Datorită acestui avantaj, angajații au posibilitatea de a lucra și de a rezolva rapid problemele în afara biroului.

Consolidarea rețelelor diferitelor companii

De multe ori este necesară unirea rețelelor de parteneri de afaceri, iar o astfel de asociație poate fi organizată atât cu, cât și fără restricții de acces la resursele interne ale fiecărei companii. Această asociere simplifică interacțiunea dintre companii.

Gestionarea de la distanță a infrastructurii IT

Datorită accesului securizat de la distanță la echipamentele infrastructurii IT a companiei, administratorul este capabil să rezolve rapid sarcinile și să răspundă la problemele apărute.

Calitatea serviciului

Conferințele video, telefonia IP și alte aplicații necesită o lățime de bandă garantată. Datorită utilizării QoS în tunelurile VPN, de exemplu, este posibilă combinarea telefoniei IP între rețeaua locală a unei companii și un birou la distanță.

Sfere de aplicare ale rețelelor VPN distribuite și ale rețelelor corporative de transmisie a datelor (CDTN)

După ce am analizat cerințele și sarcinile organizațiilor de diferite dimensiuni, am compilat o imagine de ansamblu a soluțiilor pentru fiecare dintre ele. Mai jos este o descriere a implementărilor tipice ale tehnologiei VPN în infrastructura de rețea a unei companii.

Soluții pentru afaceri mici. Adesea cerințele pentru o astfel de soluție sunt capacitatea de a conecta utilizatori la distanță (până la 10) la o rețea internă și/sau de a combina rețelele mai multor birouri. Astfel de soluții sunt simple și rapide de implementat. Pentru o astfel de rețea, este recomandat să aveți un canal de rezervă cu o viteză mai mică sau aceeași cu cea a celui principal. Canalul de rezervă este pasiv și este utilizat numai dacă cel principal este dezactivat (tunelul VPN este construit automat peste canalul de rezervă). Rezervarea echipamentelor de vârf pentru astfel de soluții este rar utilizată și adesea nerezonabilă.

Traficul transmis prin tunel este traficul aplicațiilor interne (mail, web, documente), trafic vocal.

Este necesară rezervarea canalului: medie

Nevoia de redundanță a echipamentelor: scăzută

Soluții pentru afaceri medii. Odată cu conectarea angajaților la distanță (până la 100), infrastructura de rețea trebuie să asigure conectarea mai multor birouri la distanță. Pentru astfel de soluții, rezervarea canalului de internet este obligatorie, în timp ce debitul canalului de rezervă trebuie să fie comparabil cu viteza canalului principal. În multe cazuri, canalul de rezervă este activ (echilibrarea sarcinii se realizează între canale). Se recomandă rezervarea echipamentelor nodurilor critice ale rețelei (aprox. router de frontieră a biroului central). Topologia rețelei VPN este o stea sau o rețea parțială.

Necesitatea redundanței echipamentelor: medie

Soluții pentru afaceri mari, o rețea distribuită de sucursale. Astfel de rețele la scară suficient de mare sunt dificil de implementat și întreținut. Topologia unei astfel de rețele în ceea ce privește organizarea tunelurilor VPN poate fi: stea, plasă parțială, plasă completă (opțiunea plasă completă este prezentată în diagramă). Redundanța canalului este obligatorie (sunt posibili mai mult de 2 furnizori), precum și redundanța echipamentelor pentru nodurile critice ale rețelei. Toate sau mai multe canale sunt active. În rețelele de acest nivel, sunt adesea folosite canale fizice închiriate (linii închiriate) sau VPN furnizate de furnizori. Într-o astfel de rețea, este necesar să se asigure o fiabilitate maximă și toleranță la erori pentru a minimiza timpul de nefuncționare a afacerii. Echipamentul pentru astfel de rețele este linia emblematică a clasei enterprise sau a echipamentelor furnizorului.

Traficul transmis prin tunel este traficul aplicațiilor interne (mail, web, documente), trafic vocal, trafic video conferințe.

Nevoia de rezervare a canalului: mare

Nevoia de redundanță a echipamentelor: mare

Institutii de invatamant. Este obișnuit ca instituțiile de învățământ să se conecteze la un centru de control al rețelei. De obicei, volumul de trafic nu este mare. Cerințele de rezervare sunt stabilite în cazuri rare.

Institutii medicale. Pentru instituțiile medicale, există o problemă acută de fiabilitate și toleranță ridicată la erori a canalelor și echipamentelor de comunicare. Toate ramurile rețelei extinse utilizează echipamente redundante de formare a canalelor și mai mulți furnizori.

Soluții pentru retail (lanțuri de magazine). Lanțurile de magazine se disting prin locații în masă (pot fi mii de magazine) și trafic relativ scăzut către biroul principal (DPC). Rezervarea echipamentului în magazine nu este de cele mai multe ori recomandabilă. Este suficient să rezervi o conexiune la furnizor (în formatul „al doilea furnizor la cârlig”). Cu toate acestea, cerințele pentru echipamentul care se află în centrul de date (sediul central) sunt mari. Din moment ce acest punct termină mii de tuneluri VPN. Sunt necesare monitorizarea constantă a canalelor, sistemelor de raportare, respectarea politicilor de securitate etc.

Implementarea rețelelor VPN distribuite și a rețelelor de date corporative (CDTN)

Alegerea echipamentului necesar și implementarea corectă a serviciului este o sarcină complexă care necesită expertiză ridicată din partea antreprenorului. LanKey implementează cele mai complexe proiecte de mulți ani și are o vastă experiență în astfel de proiecte.

Exemple de proiecte pentru implementarea KSPD și VPN implementate de LanKey

Client	Descrierea lucrărilor efectuate
	Producator echipament: Juniper Soluție: șase sucursale la distanță ale companiei au fost conectate la sediul principal folosind o topologie stea prin canale de comunicații securizate.
Soluție: conectat la Internet și construit tuneluri VPN în birourile situate în Moscova și Geneva.
	Producător hardware: Cisco Soluție: Birourile la distanță sunt unite printr-un canal securizat cu toleranță la erori de către furnizori.