- •Частная сеть
- •Процесс инкапсуляции
- •Туннелирование на уровне 2
- •Туннелирование на уровне 3
- •Что дает использование vpn
- •Vpn и коммутируемые сети: преимущества и недостатки
- •Сценарии vpn
- •Vpn удаленного доступа
- •Виртуальные частные экстрасети
- •Xml (Extensible Markup Language — расширенный язык разметки) и cXml (Commerce xml — коммерческий xml). Как и html, этот язык обеспечивает совместимость разных платформ.
- •Соединения vpn между офисами
- •Vpn, создаваемые в ssh2, называются vpn на уровне каналов. Существует также клиентское программное обеспечение ssh для Windows.
- •Аппаратные реализации vpn
- •Конфигурирование соединения vpn
- •5. Итак, вы прошли по этапам мастера и ответили на все его вопросы. Теперь на последней странице мастера необходимо ввести имя соединения (рис. 16.10).
Процесс инкапсуляции
Туннелирование скрывает исходный пакет данных внутри другого пакета. Для маршрутизации по туннелю в заголовке внешнего (нового) пакета, называемого заголовком инкапсуляции, размещается адрес конца туннеля. При этом конечный адрес принимающего компьютера расположен внутри, в заголовке исходного пакета. Когда пакет достигает конца туннеля, заголовок инкапсуляции удаляется. Теперь исходный пакет может быть передан на принимающий компьютер. Таким образом, процесс туннелирования представляет собой инкапсуляцию, маршрутизацию по туннелю и излечение исходного пакета данных.
Туннели могут устанавливаться на разных уровнях сетевой модели OSI: на уровне 2 (канальный уровень модели OSI) и на уровне 3 (сетевой уровень модели OS1).
Туннелирование на уровне 2
Чаще всего в VPN используются протоколы туннелирования, работающие на канальном уровне (уровне 2). С помощью этих протоколов создаются виртуальные каналы между двумя точками. На канальном уровне работает протокол РРТР (Point-to-Joint Tunneling Protocol).
Другой протокол канального уровня — L2F (Layer 2 Forwarding) — способен обеспечивать туннелирование по каналам ATM и Frame Relay, поскольку он не зависит от Р. В отличие от РРТР, туннель L2F может поддерживать более одного соединения. Технология L2F, разработанная компанией Cisco Systems, поддерживается операционной системой IOS (Internetwork Operating System), используемой в маршрутизаторах Disco. Кроме того, L2F поддерживается программами Nortel и Shiva.
Новейший протокол туннелирования — L2TP (Layer 2 Tunneling Protocol) — объединяет элементы РРТР и L2F.
Туннелирование на уровне 3
Туннели могут создаваться и на сетевом уровне. В таком случае устанавливается виртуальное соединение на основе IP. Эти соединения работают путем передачи пакетов IP, инкапсулированных в оболочки, определяемые спецификациями IETF (Internet Engineerng Task Force). При обработке оболочек используются средства: IPSec (IP Security), IKE (lnternet Key Exchange) и методы шифрования и аутентификации: MD5 (Message Digest 5), DES (Data Encryption Standard) и SHA (Secure Hash Algorithm).
Протокол IPSec может использоваться совместно с L2TP: процедуры протокола L2ТР создают туннель, a IPSec шифруют данные. В этом случае процедуры IPSec работают в транспортном режиме. Процедуры IPSec могут также работать в режиме туннелирования, в котором они создают туннель.
Туннелирование IPSec уровня 3 используется в ситуациях, когда применение L2TP но каким-либо причинам нежелательно. Далее в главе рассматривается шифрование в протоколе IPSec.
Туннелирование IPSec
Необходимо понимать отпичие между виртуальными сетями, в которых протокол L2TP испопьэуется для туннелирования, a IPSec — для шифрования, и сетями, в которых IPSec используется в режиме туннелирования.
Одно из существенных отличий состоит в том, что IPSec может инкапсулировать толь¬ко пакеты IP В то же время L2TP может инкапсулировать пакеты как IPX, так и других протоколов для передачи их по сетям IP.
Некоторые шлюзы не поддерживают виртуальные сети на основе L2TP или РРТР. В этом случае для создания туннеля можно использовать IPSec. Обычно туннели IPSec работают от шлюза к шлюзу.
Поддержка VPN операционными системами
Современные операционные системы содержат встроенные средства поддержки виртуальных частных сетей. Это позволяет создавать соединения с сервером VPN так же просто, как и устанавливать коммутируемое соединение.
С помощью своих встроенных компонентов операционные системы Windows могут работать как клиенты VPN. В Windows поддерживается использование РРТР или L2TP.
В состав Windows включен мастер, который помогает пользователю пройти по этапам установки соединения VPN (рис. 16.3).
В Linux поддерживается использование IPSec и РРТР. Кроме того, можно создавать "псевдотуннели" с помощью РРР и SSH. При этом для аутентификации и обеспечения безопасности соединения используется шифр с открытыми/закрытыми ключами RSA.
Виртуальные частные сети могут применяться практически в любых операционных системах, при этом может использоваться программное обеспечение и оборудование других поставщиков. Компьютеры, входящие в VPN, могут работать на разных платформах, как и компьютеры в системах удаленного доступа.