По типу протокола
Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.
По уровню сетевого протокола
По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.
Примеры vpn
IPSec (IP security) — часто используется поверх IPv4.
PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.
PPPoE (PPP (Point-to-Point Protocol) over Ethernet
L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.
L2TPv3 (Layer 2 Tunnelling Protocol version 3).
OpenVPN SSL VPN с открытым исходным кодом, поддерживает режимы PPP, bridge, point-to-point, multi-client server
Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.
40.Віртуaльні мережі. Вaріaнти реaлізaцій віртуaльних мереж.
Средства построения VPN могут быть реализованы по-разному:
В виде специализированного программно-аппаратного обеспечения, предназначенного именно для решения задач VPN. Основное преимущество таких устройств — их высокая производительность и более высокая по сравнению с другими решениями защищенность. Данные устройства могут применяться в тех случаях, когда необходимо обеспечить защищенный доступ большого числа абонентов. Недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, а это усложняет задачу администрирования инфраструктуры безопасности, особенно при нехватке сотрудников отдела защиты информации. Эта проблема выходит на первое место при построении крупной и территориально-распределенной сети, насчитывающей десятки устройств построения VPN, не считая такого же числа межсетевых экранов, систем обнаружения атак и т.д. Примером такого решения является Cisco 1720 или Cisco 3000.
В виде программного решения, устанавливаемого на обычный компьютер, функционирующий, как правило, под управлением операционной системы UNIX. Для ускорения обработки трафика могут быть использованы специальные аппаратные ускорители, заменяющие функции программного шифрования. В виде программного решения реализуются также абонентские пункты, предназначенные для подключения к защищаемой сети удаленных и мобильных пользователей.
Интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основные преимущества этого решения — централизованное управление всеми компонентами с единой консоли и более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Пожалуй, самым известным примером такого интегрированного решения является VPN-1 от компании Check Point Software, включающее в себя, помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д.
VPN на базе брандмауэров
Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что если уж трафик проходит через брандмауэр, то почему бы его заодно не зашифровать. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком данного метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.
Рисунок 2. VPN на базе брандмауэра
Трафик, приходящий в брандмауэр, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.
VPN на базе маршрутизаторов
Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования.
Ярким примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3(3)T маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec. Помимо простого шифрования проходящей информации Cisco поддерживает и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами.
Рисунок 3. VPN на базе маршрутизаторов
Для построения VPN Cisco использует туннелирование с шифрованием любого IP-потока. При этом туннель может быть установлен, основываясь на адресах источника и приемника, номера порта TCP(UDP) и указанного качества сервиса (QoS).
Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA (Encryption Service Adapter).
Кроме того, компания Cisco System выпустила специализированное устройство для VPN, которое так и называется Cisco 1720 VPN Access Router (Маршрутизатор Доступа к VPN), предназначенное для установки в компаниях малого и среднего размера, а также в в отделениях крупных организаций.
VPN на базе сетевой ОС
Решения на базе сетевой ОС мы рассмотрим на примере системы Windows NT компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows NT. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows NT используется база пользователей NT, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.
43.Стaндaрт IEEE 802.11. Aрхітектурa мережі стaндaрту IEEE 802.11.
Стандарт RadioEthernet IEEE 802.11 - це стандарт організації бездротових комунікацій на обмеженій території в режимі локальної мережі, тобто коли декілька абонентів мають рівноправний доступ до загального каналу передач.
Стандарт RadioEthernet IEEE 802.11 визначає порядок організації бездротових мереж на рівні управління доступом до середовища (MAC-рівні) і фізичному (PHY) рівні. У стандарті визначений один варіант MAC (Medium Access Control) рівня і три типи фізичних каналів.
Подібно до дротяного Ethernet, IEEE 802.11 визначає протокол використання єдиного середовища передачі, що отримав назву carrier sense multiple access collision avoidance (CSMA/CA). Вірогідність колізій бездротових вузлів мінімізується шляхом попереднього посилання короткого повідомлення ready to send (RTS), воно інформує інші вузли про тривалість майбутньої передачі і адресата. Це дозволяє іншим вузлам затримати передачу на якийсь час, рівне оголошеній тривалості повідомлення. Приймальна станція повинна відповісти на RTS посилкою clear to send (CTS). Це дозволяє вузлу, що передає, дізнатися, чи вільне середовище і чи готовий приймальний вузол до прийому. Після отримання пакету даних приймальний вузол повинен передати підтвердження (ACK) факту безпомилкового прийому. Якщо ACK не отримане, спроба передачі пакету даних буде повторена.
У стандарті передбачено забезпечення безпеки даних, яке включає аутентифікацію для перевірки того, що вузол, що входить в мережу, авторизований в ній, а також шифрування для захисту від підслуховування.
На фізичному рівні стандарт передбачає два типи радіоканалів і один інфрачервоного діапазону. У основу стандарту 802.11 покладена стільникова архітектура. Мережа може складатися з однієї або декількох осередків (стільник). Кожна стільника управляється базовою станцією, званою точкою доступу (Access Point, AP). Точка доступу і що знаходяться в межах радіусу її дії робочі станції утворюють базову зону обслуговування (Basic Service Set, BSS). Точки доступу багатостільникової мережі взаємодіють між собою через розподільну систему (Distribution System, DS), що є еквівалентом магістрального сегменту кабельних ЛС. Вся інфраструктура, що включає точки доступу і розподільну систему, утворює розширену зону обслуговування (Extended Service Set). Стандартом передбачений також односотовый варіант бездротової мережі, який може бути реалізований і без точки доступу, при цьому частина її функцій виконується безпосередньо робочими станціями.
44.Бездрoтoві лoкaльні мережі.
Wi-Fi (Wireless Fidelity — «беспроводная точность») — стандарт на оборудование Wireless LAN.
Разработан консорциумом Wi-Fi Alliance на базе стандартов IEEE 802.11
Установка Wireless LAN рекомендовалась там, где развёртывание кабельной системы было невозможно или экономически нецелесообразно. В нынешнее время во многих организациях используется Wi-Fi, так как при определённых условиях скорость работы сети уже превышает 100 Мбит/сек. Пользователи могут перемещаться между точками доступа по территории покрытия сети Wi-Fi.
Мобильные устройства (КПК, смартфоны, PSP и ноутбуки), оснащённые клиентскими Wi-Fi приёмо-передающими устройствами, могут подключаться к локальной сети и получать доступ в Интернет через точки доступа или хот-споты.
Обычно схема Wi-Fi сети содержит не менее одной точки доступа и не менее одного клиента. Также возможно подключение двух клиентов в режиме точка-точка, когда точка доступа не используется, а клиенты соединяются посредством сетевых адаптеров «напрямую». Точка доступа передаёт свой идентификатор сети (SSID) с помощью специальных сигнальных пакетов на скорости 0.1 Мбит/с каждые 100 мс. Поэтому 0.1 Мбит/с — наименьшая скорость передачи данных для Wi-Fi
Преимущества :
Позволяет развернуть сеть без прокладки кабеля, что может уменьшить стоимость развёртывания и/или расширения сети. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями.
Позволяет иметь доступ к сети мобильным устройствам.
Wi-Fi-устройства широко распространены на рынке. А устройства разных производителей могут взаимодействовать на базовом уровне сервисов.
Wi-Fi — это набор глобальных стандартов. В отличие от сотовых телефонов, Wi-Fi оборудование может работать в разных странах по всему миру.
Недостатки Wi-Fi
Частотный диапазон и эксплуатационные ограничения в различных странах неодинаковы.
Высокое по сравнению с другими стандартами потребление энергии, что уменьшает время жизни батарей и повышает температуру устройства.
Самый популярный стандарт шифрования WEP может быть относительно легко взломан[2] даже при правильной конфигурации (из-за слабой стойкости алгоритма).
Wi-Fi имеют ограниченный радиус действия.
Уменьшение производительности сети во время дождя.
Bluetooth
Bluetooth-обеспечивает обмен информацией между такими устройствами как карманные и обычные персональные компьютеры, мобильные телефоны, ноутбуки, принтеры, цифровые фотоаппараты, мышки, клавиатуры, джойстики, наушники, гарнитуры на надёжной, недорогой, повсеместно доступной радиочастоте для ближней связи.Bluetooth позволяет этим устройствам сообщаться, когда они находятся в радиусе до 10-100 метров друг от друга (дальность очень сильно зависит от преград и помех), даже в разных помещениях.
Если рядом работают несколько пар приёмник-передатчик, то они не мешают друг другу. Этот алгоритм является также составной частью системы защиты конфиденциальности передаваемой информации: переход происходит по псевдослучайному алгоритму и определяется отдельно для каждого соединения. При передаче цифровых данных и аудиосигнала (64 кбит/с в обоих направлениях) используются различные схемы кодирования: аудиосигнал не повторяется (как правило), а цифровые данные в случае утери пакета информации будут переданы повторно.
GPRS ( General Packet Radio Service — пакетная радиосвязь общего пользования) — надстройка над технологией мобильной связи GSM, осуществляющая пакетную передачу данных. GPRS позволяет пользователю сети сотовой связи производить обмен данными с другими устройствами в сети GSM и с внешними сетями, в том числе Интернет. GPRS предполагает тарификацию как по объёму переданной/полученной информации, так и по времени, проведённому онлайн.
При использовании GPRS информация собирается в пакеты и передаётся через неиспользуемые в данный момент голосовые каналы, такая технология предполагает более эффективное использование ресурсов сети GSM. При этом, что является приоритетом передачи — голосовой трафик или передача данных — выбирается оператором связи.
Скорость передачи зависит не только от возможностей оборудования, но и от загрузки сети
Применение
Мобильный доступ в Интернет с приемлемой скоростью передачи данных, быстрым соединением и тарификацией по количеству переданных/полученных данных.
Мобильный и безопасный доступ сотрудников к корпоративным сетям, удалённым базам данных, почтовым и информационным серверам предприятий.
Телеметрия. Устройство может оставаться в подключённом состоянии, не занимая при этом отдельный канал. Такая услуга востребована службами охраны (сигнализация), банками и платёжными системами (установка банкоматов, терминалов оплаты услуг), в промышленности (датчики и счётчики различного рода, например по ходу нефте- и газопроводов).
GPS-мониторинг транспорта
45.Стaндaрти лoкaльних мереж. Різнoвиди, aрхітектурa, oснoвні хaрaктеристики.
Ethernet - в якостi фiзичного середовища для даної мережi стандартом IЕЕЕ 802.2 визначенi два типи коаксiального кабеля, вита пара провiдникiв та оптоволоконний кабель. Вiдповiдно, розрiзняють чотири типи специфiкацiї середовища передачi: 10BASE5, 10BASE2, 10BASE-Ti 10BASE-Fмережа призначена для об’єднання робочих станцiй рiзних установ (банкiв, офiсiв i т.п.) в локальну мережу. Мережа характеризується низькою вартiстю, простотою наладки та експлуатацiї. Для даного типу мереж iснує достатньо великий набiр програмних та апаратних засобiв.
Характеристики:
|
10 Base - 5 |
10 Base - 2 |
10 Base - T |
10 Base - F |
Тип кабелю |
Товстий кооксіальний кабель |
Тонкий кооксіальний кабель |
UТР3, UТР4, UТР5 |
Одномодове, багатомодове оптоволокно |
Макс. Число вузлів у сегменті |
100 |
30 |
1024 |
1024 |
Макс. Число вузлів у мережі |
296 |
86 |
1024 |
1024 |
Макс.довжина сегменту, м |
500 |
185 |
100 |
2000 |
Топологія |
шина |
шина |
зірка |
зірка |
Діаметр мережі, м |
2500 |
925 |
500 |
250 |
Для стандарту використовують метод завдання доступу CSMA/CD.
Token Ring – мають кільцеву топологію та використовують маркерний метод доступу до середовища даних. Використовують для мереж концентратор. Використовують екрановану виту пару. Максимальна відстань між вузлами 100 м (пасивні), 730 м (активні). Максимальна довжина кільця більше 4 км.
Особливість: функції керування виконує активний монітор, якщо активний монітор виходить з ладу, продовжує роботу передав свої функції іншій робочій системі.
Мережі FDDI. Ця технологія використовує маркерний метод доступу до середовища даних. Використовують оптоволоконний кабель і є реалізацією на неекранованій витій парі 5-ї категорії.
Основан на 2х оптоволоконних кільцях: первинному, вторинному.
При нормальній роботі данні передаються по первинному кільцю, а вторинне не використовується. Використання цих двох кілець істотно підвищує поломкостійкість.
Швидкість передачі 100 Мбіт/с
Максимальна кількість вузлів 500.
Відстань між вузлами 2 км (багато модальний кабель) при використанні одно модального – до 40 км, максимальний діаметр - 100 км.
Фізичні середовища:
Коаксіальний кабель
товстий (хвильовий опір 50 0м., діаметр в мережі 2 мм., зовнішній діаметр близький 10 мм., маркування RG8, RG11).
тонкий (хвильовий опір 50 0м., діаметр в мережі 0,9 мм., зовнішній діаметр 5 мм., маркування RG58).
Вита пара екринованна.
Технологія Gigabit Ethernet являє собою подальший розвиток стандарту 802.3 для мереж Ethernet. Основна мета Gigabit Ethernet полягає в значному підвищенні швидкості передачі даних зі збереженням сумісності з уже встановленими мережами на базі Ethernet. Необхідно забезпечити можливість пересилання даних між сегментами, що працюють на різних швидкостях.
Характеристики:
|
1000 Base -Lx |
1000 Base -Sx |
1000 Base - T |
1000 Base -Cx |
Тип кабелю |
UTPS, STPA оптоволокно |
оптоволокно |
UТР5 |
Одномодове, багатомодове оптоволокно |
Макс.довжина сегменту, м |
5000/316 |
550/316/275 |
100 |
25 |
Fast Ethernet
Характеристики:
|
100 Base - Tx |
100 Base – T4 |
100 Base - Fx |
100VG-Any LAN |
Тип кабелю |
STP1, UTP5 |
UТР3 |
Багатомодове оптоволокно |
UТР3, UТР4, UТР5, STP1, багатомодове оптоволокно |
Макс. Число вузлів у мережі |
1024 |
1024 |
1024 |
1024 |
Макс.довжина сегменту, м |
100 |
100 |
2000/412 |
225 |
Топологія |
зірка |
зірка |
зірка |
зірка |
Діаметр мережі, м |
205 |
205 |
|
1100 |