Виртуальные частные сети

Услуга виртуальных частных сетей является одной из основных услуг, которую предоставляют сети FR и ATM. Вооруженные знанием основных принципов работы технологий FR и ATM, мы теперь можем более подробно рассмотреть и классифицировать эти услуги. Любая систематизация знаний полезна сама по себе, кроме того, она нам понадобится при изучении технологий MPLS и Carrier Ethernet, которые формировались во многом для реализации услуг VPN.

Из самого названия — виртуальная частная сеть — следует, что она каким-то образом воспроизводит свойства реальной частной сети. Без всяких натяжек назвать сеть частной можно только в том случае, если предприятие единолично владеет и управляет всей сетевой инфраструктурой — кабелями, кроссовым оборудованием, каналообразующей аппаратурой, коммутаторами, маршрутизаторами и другим коммуникационным оборудованием.

Главным отличием частной сети от общедоступной сети или сети, совместно используемой несколькими предприятиями, является ее изолированность.

Перечислим, в чем выражается эта изолированность.

□ Независимый выбор сетевых технологий. Выбор ограничивается только возможностями производителей оборудования.

□ Независимая система адресации. В частных сетях нет ограничений на выбор адресов — они могут быть любыми.

□ Предсказуемая производительность. Собственные линии связи гарантируют заранее известную пропускную способность между узлами предприятия (для глобальных соединений) или коммуникационными устройствами (для локальных соединений).

□ Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает сеть от атак извне и существенно снижает вероятность «прослушивания» трафика по пути следования.

Однако частная сеть — решение крайне неэкономичное! Такие сети, особенно в национальном или международном масштабах, могут себе позволить только очень крупные и богатые предприятия. Создание частной сети — привилегия тех, кто имеет производственные предпосылки для разработки собственной сетевой инфраструктуры. Например, нефтяные или газовые компании способны с относительно невысокими издержками прокладывать собственные технологические кабели связи вдоль трубопроводов. Частные сети были популярны в относительно далеком прошлом, когда общедоступные сети передачи данных были развиты очень слабо. Сегодня же их почти повсеместно вытеснили сети VPN, которые представляют собой компромисс между качеством услуг и их стоимостью. В зависимости от того, кто реализует сети VPN, они подразделяются на два вида.

□ Поддерживаемая клиентом виртуальная частная сеть (Customer Provided Virtual Private Network, CPVPN) отражает тот факт, что все тяготы по поддержке сети VPN ложатся на плечи потребителя. Поставщик предоставляет только «простые» тради­ционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими.

□ В случае поддерживаемой поставщиком виртуальной частной сети (Provider Provisioned Virtual Private Network, PPVPN) поставщик услуг на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных. Такой способ организации VPN сравнительно нов и не столь широко распространен, как первый.

В последние год-два популярность сетей PPVPN растет — заботы по созданию и управлению VPN довольно обременительны и специфичны, поэтому многие предприятия предпочитают переложить их на плечи надежного поставщика. Реализация услуг VPN позволяет поставщику оказывать и ряд дополнительных услуг, включая контроль за работой клиентской сети, веб-хостинг и хостинг почтовых служб, хостинг специализированных приложений клиентов.

Помимо деления сетей VPN на CPVPN и PPVPN существует еще и другая классификация — в зависимости от места расположения устройств, выполняющих функции VPN. Виртуальная частная сеть может строиться:

□ на базе оборудования, установленного на территории потребителя (Customer Premises Equipment based VPN, CPE-based VPN, или Customer Edge based VPN, CE-based VPN);

□ на базе собственной инфраструктуры поставщика (Network-based VPN, или Provider Edge based VPN, PE-based VPN).

В любом случае основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети — либо потребителя, либо поставщика. Сети, поддерживаемые поставщиком, могут строиться как на базе инфраструктуры постав­щика, так и на базе оборудования, установленного на территории потребителя. Первый ва­риант наиболее понятен: поставщик управляет расположенным в его сети оборудованием. Во втором случае оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.

Когда VPN поддерживается клиентом (CPVPN), оборудование всегда находится в его сети, то есть VPN строится на базе устройств клиента (CE-based).

Сеть VPN, как и любая имитирующая система¹, характеризуется, во-первых, тем, какие свойства объекта имитируются, во-вторых, степенью приближенности к оригиналу, в-третьих, используемыми средствами имитации.

Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в VPN.

Практически все сети VPN имитируют собственные каналы в сетевой инфраструктуре поставщика, предназначенной для обслуживания множества клиентов.

В том случае, когда имитируется инфраструктура каналов одного предприятия, то услуги VPN называют также услугами интранет (intranet), или внутренней сети, а в том случае, когда к таким каналам добавляются также каналы, соединяющие предприятие с его предприятиями-партнерами, с которыми также необходимо обмениваться информацией в защищенном режиме, — услугами экстранет (extranet), или внешней сети.

Термин «виртуальная частная сеть» применяется только тогда, когда «собственные» физические каналы имитируются средствами пакетных технологий: ATM, Frame Relay, IP, IP/MPLS или Carrier Ethernet. Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при их реальном соединении собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, поэтому определение «виртуальная» становится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, ATM или Frame Relay), а при использовании IP — и сетевого. Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть VPN, способная поддерживать IP-трафик клиента с созданием эффекта изолированной IP-сети. В этом случае VPN производит некоторые дополнительные сетевые операции над клиентским трафиком — сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция VPN) и т. п. Имитация сервисов прикладного уровня встречается в VPN гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные при­ложения управления предприятием.

Другим критерием, используемым при сравнении VPN, является степень приближенности сервисов, предлагаемых VPN, к свойствам сервисов частной сети.

Во-первых, важнейшим свойством сервисов частной сети является безопасность. Безопасность VPN подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сетей потребителя и поставщика от внешних атак. Степень безопасности VPN варьируется в широких пределах в зависимости от применяемых средств защиты: шифрования трафика, аутентификации пользователей и устройств изоляции адресных пространств (например, на основе техники NAT), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонирован­ной обороны.

Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сети по качеству обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добав­ляться и другие параметры QoS — максимальные задержки и процент потерянных данных. В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неизбежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки параметров QoS. В ATM, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в IP-сетях они только начинают внедряться. Поэтому далеко не каждая сеть VPN пытается воссоздать эти особенности частной сети. Считается, что безопасность — обязательное свойство VPN, а качество транспортного обслуживания — только желательное.

В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для клиента независимость адресного пространства. Это дает клиенту одновременно и удобство конфигурирования, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль поставщика имела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных действий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN. Существенное влияние на свойства виртуальных частных сетей оказывают технологии, с помощью которых эти сети строятся. Все технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных:

□ технологии разграничения трафика;

□ технологии шифрования.

Сети VPN на основе техники шифрования рассматриваются в главе 24. В технологиях разграничения трафика используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. К этому типу технологий относятся:

□ ATM VPN;

□ Frame Relay VPN;

□ MPLS VPN;

□ Carrier Ethernet VPN.

Двухточечные виртуальные каналы этих технологий имитируют сервис выделенных каналов, проходя от пограничного устройства (Client Edge, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.

ВНИМАНИЕ

Под термином «сайт» здесь понимается территориально обособленный фрагмент сети клиента. Например, о корпоративной сети, в которой сеть центрального отделения связывается с тремя удаленными филиалами, можно сказать, что она состоит из четырех сайтов.

Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. Свойство защищенности трафика является естественным свойством техники виртуальных каналов, поэтому сервисы ATM VPN и Frame Relay VPN являются на самом деле не чем иным, как обычными сервисами PVC сетей ATM или Frame Relay. Любой пользователь ATM или Frame Relay, использующий инфраструктуру PVC для связи своих локальных сетей, потребляет услугу VPN даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополнительных средств VPN пользователь оказывается не защищенным от атак любого другого пользователя сети.

Так как в технологиях ATM и Frame Relay при передаче данных используются только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также сетями VPN уровня 2 (Layer 2 VPN, L2VPN). Наличие в технологиях ATM и Frame Relay механизмов поддержания параметров QoS позволяет ATM VPN и Frame Relay VPN достаточно хорошо приближаться к частным сетям на выделенных каналах.

Информация третьего уровня никогда не анализируется и не меняется в этих сетях — это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может передавать по такому виртуальному каналу трафик любых протоколов, а не только IP. Кроме того, IP-адреса клиентов и поставщика услуг изолированы и независимы друг от друга — они могут выбираться произвольным образом, так как не используются при передаче трафика через магистраль поставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода состоит в том, что поставщик не оперирует IP-трафиком клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это сегодня очень перспективное направление бизнеса поставщиков услуг.

Главным недостатком сети L2VPN является ее сложность и достаточно высокая стоимость. При организации полносвязной топологии сайтов клиента зависимость операций конфигурирования от числа сайтов имеет квадратичный характер (рис. 19.13, а).

Рис. 19.13. Масштабируемость сети L2VPN

Действительно, для соединения N сайтов необходимо создать N * (N - 1)/2 двунаправленных виртуальных каналов или N * (N- 1) однонаправленных. В частности, при значении N, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администрирования, ручной труд и вероятность ошибки все равно сохраняются. При поддержке только услуг интранет общее количество конфигурируемых соединений прямо пропорционально количеству клиентов — и это хорошо! Но оказание услуг экстранет ухудшает ситуацию, так как подразумевает необходимость обеспечить связь сайтов разных клиентов. Масштабируемость сети ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» через один или несколько выделенных транзитных сайтов (рис. 19.13, б). Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо — поставщики услуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».

Клиенты сети ATM/FR VPN не могут нанести ущерб друг другу, а также атаковать IP-сеть поставщика. Сегодня поставщик услуг всегда располагает IP-сетью, даже если он оказывает только услуги ATM/FR VPN. Без IP-сети и ее сервисов администрирования он просто не сможет управлять своей сетью ATM/FR. IP-сеть является оверлейной (наложенной) по отношению к сетям ATM или FR, поэтому клиенты ATM/FR ничего не знают о ее структуре и даже о ее наличии (рис. 19.14).

Рис. 19.14. Оверлейная (а) и одноранговая (б) модели VPN

Сети MPLS VPN могут строиться как по схеме L2VPN, так и по другой схеме, использующей протоколы трех уровней. Такие сети называют сетями VPN уровня 3 (Layer 3 VPN, L3VPN). В технологии L3VPN также применяется техника LSP для разграничения трафика клиентов внутри сети поставщика услуг, поддерживающей технологию MPLS. Сеть L3VPN взаимодействует с сетями клиентов на основе IP-адресов, a L2VPN — на основе адресной информации второго уровня, например МАС-адресов или идентификаторов виртуальных каналов Frame Relay.