Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южный Федеральный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Part_4.doc
Скачиваний:
20
Добавлен:
24.11.2019
Размер:
3.12 Mб
Скачать
►Содержание►

Vpn на базі робочих станцій

Коли TCP/IP-стек робочої станції модифікований для поєднання з протокольним модулем PPP для шифрування, інкапсуляції та маршрутування пакетів до власного шлюзу, то вхід до корпоративного тунелю може розміщатися де завгідно. Робоча станція, яка здійснює тунелювання від себе, може спілкуватися з довільним власним шлюзом організації, який забезпечує узгодження тунелювання від себе так само просто, як для комунікації з будь-якими Internet-ресурсами, і кожна з проблем, які виникали при впровадженні моделей, описаних вище, буде подолана. Це NTS-підхід – зашифрований тунель від робочої станції до корпоративної мережі, незалежний від будь-яких посередників.

Р ис. . VPN на базі робочих станцій.

Розглянемо характеристики VPN, базованої на робочих станціях, в тих аспектах, які порушувалися вище. VPN на базі робочих станцій не залежить від марки раутера пункту. Функції раутера можуть залежати від конкретного типу тунелювання, який очікується від власного шлюзу, однак якщо організація уніфікує власні шлюзи шляхом їх придбання від конкретного виробника, то вона стандартизує також програмне забезпечення робочих станцій. З іншого боку, програмні пакети робочої станції, які обслуговують багато різних стратегій тунелювання, можуть зменшити потреби організації до стандартизації будь-якого конкретного власного шлюзу, бо він здатний комунікуватися з усіма.

VPN на базі робочих станцій не залежить від конкретної марки сервера доступу або від будь-якого часкового перегляду функціональності тунелювання. Сервер повинен мати здатність комунікуватися через PPP, але всі Internet-сервери здійснюють це. VPN на базі робочих станцій не залежить від того, чи сервер доступу сприймає IPX, AppleTalk, NetBEUI або інший тип не-IP-протоколу, бо ці протоколи тунелюються до робочої станції перед висиланням через телефон до ISP. Власний шлюз може розуміти їх, однак Internet’у між ними не може бути. Компетенції ISP не можуть допускати внесення змін при NTS-розв’язаннях. VPN на базі робочих станцій не залежить від секретних телефонних номерів, які відомі тільки службовцям компанії.

Використання VPN на базі робочих станцій може коштувати не більше, ніж доступ до мережі Internet та робота в ній. Організація не потребує мати спеціальних договорів з Internet-провайдерами, а службовці можуть використовувати будь-які потрібні послуги. Тимчасова реєстрація в чужих ISP може бути потрібна для тих, хто подорожує до віддалених країн; як тільки ця проблема вирішена для всіх, хто бажає доступу до Internet, то вона вирішена також для службовців даної організації.

VPN на базі робочих станцій не дає шансів гакерам для подолання захисту ISP таким чином, що приймає на себе заходи ідентифікації службовців. Гакери повинні б мати програмне забезпечення організації, її ключі шифрування та адреси власних шлюзів, щоб проникнути до LAN організації. Оскільки організація контролює тунель на обидвох кінцях, то вона може впроваджувати довільні правила автентифікації користувачів. Вона також може співпрацювати із програмним забезпеченням робочих станцій для фіксації телефонних номерів, що викликаються інтервентом, та реєстрацій (account), вживатих для доступу до ISP, при діяльності, схожій на трасування телефонних викликів. VPN на базі робочих станцій не вимагає також, щоб база даних організації, яка вживається для автентифікації, була доступна для ISP. Службовці мають тільки звичайну користувацьку реєстрацію із використанням їх власних імен і паролів. Нарешті, VPN на базі робочих станцій не обмежують користувачів до одного режиму операцій (“робота” або “дозвілля”) у часі. Пакети, призначені для роботи, тунелюються, а пакети, які вживаються для дозвілля, пересилаються відкрито. До речі, TCP робочої станції мусить повністю та одночасно підтримувати різні особливості. Тоді як всі пакети, які висилаються користувачем, і всі пакети, вислані до користувача мусять вживати його IP-адресу, призначену ISP, пакети організації, сформовані TCP-стеком, мають адреси, призначені організацією. Пакети організації інкапсулюються всередині звичайних IP-пакетів і висилаються до шлюзу із зворотньою IP-адресою, призначеною ISP. Коли вони транспортуються від нього до Internet, відповіді скеровуються назад до організації, до власного шлюзу, звідки вони знову тунелюються до користувача всередині пакетів, призначених на його адресу, виділені ISP.

Віртуальна приватна мережа (Virtual Private Network – VPN) з’єднує компоненти і ресурси одної мережі через іншу мережу. Віртуальні приватні мережі здійснюють це, надаючи користувачу тунель через Internet або іншу публічну мережу таким чином, що створюють учасникам тунелю можливість мати ті самі характеристики і захист інформації, які раніше були доступні тільки у приватних мережах (рис. 1).

Р ис. 1. Віртуальна приватна мережа.

Віртуальні приватні мережі дозволяють віддаленим комп’ютерам, віддаленим службовцям або навіть віддаленим офісам захищеним чином з’єднуватися з корпоративним сервером, розташованим в корпоративній локальній мережі, використовуючи інфраструктуру раутінгу, наявну в публічній мережі (такій, як Internet). З точки зору користувача VPN – це сполучення “пункт-пункт” між комп’ютером користувача і корпоративним сервером. Характер проміжної мережі байдужий для користувача, оскільки вона створює враження, що дані пересилаються через виділене приватне сполучення. Технологія VPN також дозволяє корпораціям з’єднувати свої віддалені офіси або під’єднувати їх до інших компаній (Extranet) через публічні мережі, якщо надаються захищені комунікації. VPN-сполучення через Internet логічно діє як сполучення WAN між цими пунктами. В обидвох цих випадках захищене сполучення через об’єднання мереж виглядає для користувача як комунікація через приватну мережу, звідси витікає назва - віртуальна приватна мережа.

Щоб забезпечити своїм службовцям можливість під’єднання до корпоративних інформаційних та обчилювальних ресурсів незалежно від їх розташування, корпорація повинна використати надійне і масштабоване розв’язання для віддаленого доступу. Звичайно корпорації використовують:

  • розв’язання, керовані департаментом MIS, коли внутрішній департамент інформаційних систем відповідає за придбання, встановлення і обслуговування корпоративного модемного пулу та інфраструктури приватної мережі;

  • розв’язання (Value-Added Network – VAN), коли корпорація оплачує зовнішній компанії за придбання, встановлення і обслуговування корпоративного модемного пулу та інфраструктури приватної мережі.

Жодне із цих розв’язань не забезпечує оптимальних надійності або масштабованості у сенсі вартості, надійності гнучкого адміністрування і управління, а також вимог щодо сполучень. Тому має сенс знайти посередню основу, коли організація доповнює або замінює свої поточні інвестиції в модемні пули і інфраструктуру приватної мережі на менш витратні розв’язання, базовані на Internet-технології. Наявність Internet-розв’язань дає можливість мати небагато під’єднань до Internet (через надавачів послуг – ISP) і розгорнути на окремих краях мережі VPN-сервери для обслуговування віддалених мережевих потреб багатьох сотень, а навіть тисяч віддалених клієнтів та офісів.

Поширені застосування VPN

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности