- •Практичнее занятие № 9, 10 изучение принципов организации удаленного доступа по средствам vpn
- •1. Понятие и классификация vpn сетей, их построение
- •1.1 Понятие vpn
- •1.2 Классификация vpn сетей
- •1. По типу используемой среды:
- •2. По способу реализации:
- •3. По назначению:
- •1.3. Построение vpn
- •2. Протоколы vpn сетей
- •2.1 Канальный уровень
- •2.2 Сетевой уровень
- •2.3 Транспортный уровень
- •2.4 Реализация vpn: ipSec или ssl/tls?
- •3. Методы реализации vpn сетей
- •3.1 Туннелирование
- •3.2 Аутентификация
2. Протоколы vpn сетей
Сети VPN строятся с использованием протоколов туннелирования данных через сеть связи общего пользования Интернет, причем протоколы туннелирования обеспечивают шифрование данных и осуществляют их сквозную передачу между пользователями. Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:
· Канальный уровень
· Сетевой уровень
· Транспортный уровень.
2.1 Канальный уровень
На канальном уровне могут использоваться протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию.
Протокол GRE (Generic Routing Encapsulation — общая инкапсуляция для маршрутизации). Разработанный Cisco туннельный протокол, обеспечивающий инкапсуляцию многих типов протокольных пакетов в туннели IP, создает виртуальную двухточечную связь с маршрутизаторами Cisco в удаленных точках IP-сети.
Протокол L2F (Layer 2 Forwarding — протокол пересылки уровня 2). Разработанный Cisco туннельный протокол, который позволяет создать сеть VPDN (Virtual Private Dialup Network — виртуальная частная коммутируемая сеть) — систему, обеспечивающую существование коммутируемых сетей, распространяющихся на удаленные домашние офисы, которые кажутся при этом непосредственной частью сети предприятия.
Протокол РРТР (Point-to-Point Tunneling Protocol — протокол туннелирования двухточечного соединения).Разработанный Microsoft сетевой протокол, обеспечивающий защищенную передачу данных от удаленного клиента к частному серверу предприятия с помощью создания сети VPN над IP-сетями. Протокол РРТР поддерживает маршрутизацию по требованию, многопротокольный обмен и виртуальные частные сети в открытых сетях типа Internet.
Для обеспечения работы клиента по протоколу PPTP, необходимо установить IP-соединение с туннельным сервером PPTP. Все передаваемые по этому соединению данные могут быть защищены и сжаты. По туннелю PPTP могут передаваться данные различных протоколоыв сетевого уровня TCP/IP.
Преимущества протокола PPTP:
Использование частного IP-адреса. Пространство IP-адресов частной сети не должно координироваться с пространством глобальных (внешних) адресов.
Поддержка множества протоколов. Можно осуществлять доступ к частным сетям, использующим различные комбинации TCP/IP или IPX.
Безопасность передачи данных. Для предотвращения несанкционированного подключения используются протоколы и политики обеспечения безопасности сервера удаленного доступа.
Возможность использования аутентификации и защиты данных при передачи пакетов через Интернет.
Протокол L2TP (Layer 2 Tunnel Protocol — протокол туннелирования РРР соединения уровня 2). Разработанный Cisco и Microsoft туннельный протокол, позволяющий создавать сети VPDN. Протокол L2TP является расширением протокола РРР (Point-to-Point Protocol — протокол передачи от точки к точке), используемого для сетей VPN, и объединяет лучшие возможности туннельных протоколов РРТР и L2F.
Протокол L2TP использует сообщения двух типов: управляющие и информационные сообщения. Управляющие сообщения используются для установления, поддержания и ликвидации туннелей и вызовов. Для обеспечения доставки ими используется надежный управляющий канал протокола L2TP. Информационные сообщения используются для инкапсулирования кадров PPP, передаваемых по туннелю. При потере пакета он не передается повторно.
Структура протокола описывает передачу кадров PPP и управляющих сообщений по управляющему каналу и каналу данных протокола L2TP. Кадры PPP передаются по ненадежному каналу данных, предварительно дополняясь заголовком L2TP, а затем - по транспорту для передачи пакетов, такому как Frame Relay, ATM и т.п. Управляющие сообщения передаются по надежному кправляющему каналу L2TP с последующей передачей по тому же транспорту для пересылки пакетов.
Все управляющие сообщения должны содержать порядковые номера, используемые для обеспечения надежной доставки по управляющему каналу. Информационные сообщения могут использовать порядковые номера для упорядочивания пакетов и выявления утерянных пакетов.
Преимущества протокола L2TP:
Разнообразие протоколов. Так как используется кадрирование PPP, удаленные пользователи могут использовать для доступа к корпоративому узлу большое количество различных протоколов, таких как IP, IPX и т.д.
Создание туннелей в различных сетях. L2TP может работать как в сетях IP, так и в сетях ATM, Frame Relay и др.
Безопасность передачи данных. При этом, пользователь не должен иметь никакого специального программного обеспечения.
Возможность аутентификации пользователей.
Протокол МРРЕ (Microsoft Point-to-Point Encryption — протокол Microsoft шифрования двухточечного соединения). Средство перевода пакетов РРР в шифрованную форму. Позволяет создать защищенную VPN-связь через коммутируемую или удаленную сеть. Для обеспечения конфиденциальности данных в рамках МРРЕ используется алгоритм шифрования RSA типа RC4.
Протокол MPLS (Multiprotocol Label Switching - мультипротокольная коммутация по меткам) - механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов. MPLS работает на уровне, который можно было бы расположить между канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.
Решения по организации VPN на канальном уровне имеют достаточно ограниченную область действия, как правило, в рамках домена провайдера.