Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
85
Добавлен:
23.02.2015
Размер:
8.31 Mб
Скачать

1.3.2. Схемы взаимодействия “сеть–сеть”

Применение коммутируемых телефонных каналов (рис. 5).

Рис. 5. Соединение частей корпоративной сети по телефонным каналам

В этой симметричной схеме инициировать соединение может пользователь любой сети. Пусть, например, пользователь централь-ного офиса указывает на объект сети филиала. По своей таблице маршрутизации RAS1 определяет, что получатель пакета находится в сети филиала, и звонит на Модем2. После установления соединения RAS1 маршрутизирует трафик пользователя в сеть филиала. При этом RAS1 выполняет функцию RAS-клиента сервера RAS2.

Данный способ передачи трафика по коммутируемому соедине-нию называется маршрутизацией с вызовом по требованию (Demand-Dial Routing, DDR).

Достоинства соединения по каналам ТСОП:

● высокая безопасность соединения, обеспечиваемая средствами протокола РРР;

● широкая доступность телефонных каналов.

Недостатки:

● очень низкая скорость передачи (не более 33,6 кбит/с);

● большие расходы для междугородных и международных соеди- нений при интенсивном трафике.

Применение выделенных каналов сети Internet. Локальные сети (рис. 6), связанные каналами Internet и использующие технологии Internet, получили название экстрасетей (Extranets).

Рис. 6. Соединение частей корпоративной сети каналами Internet

Достоинства соединения через Internet:

● большая скорость передачи (более 1 Мбит/с), надежность кана- лов и их постоянная готовность к передаче;

● доступность и сравнительно невысокая стоимость Internet-сое- динения.

Недостаток:

● неудовлетворительная безопасность передачи данных по от- крытой общественной сети Internet. Недостаток может быть преодолен созданием защищенных виртуальных частных соеди- нений (см. следующие разделы).

1.4. Туннелирование и криптография – базовые принципы организации виртуальных частных сетей

Как следует из предыдущего материала, скоростной удаленный доступ эффективно делать на широкодоступных каналах глобальной сети Internet (см. рис. 4, 6). Существенным препятствием для этого является плохая безопасность передачи данных: в публичной откры-той сети корпоративный трафик где угодно может быть перехвачен, прочитан, изменен и т.п.

Локальные сети, использующие для передачи данных публичные сети с коммутацией пакетов, называют виртуальными сетями (см. рис. 4, 6).

Для решения проблемы безопасности при передаче трафика через любые открытые сети разработана специальная технология виртуальных частных сетей (Virtual Private Networks, VPN). Слово частные подчеркивает тот факт, что эти сети имеют собственные встроенные средства обеспечения безопасности и воспользоваться VPN могут только уполномоченные лица.

Основу VPN образуют прямые 2-точечные защищенные сетевые виртуальные соединения, которыми связываются взаимодействую-щие объекты, как бы далеко друг от друга при этом они ни находи-лись. VPN-соединение физически проходит по открытым сетям с любой телекоммуникационной инфраструктурой. Нормальный дос-туп к соединению возможен только со стороны его концов. Для надежной защиты трафика VPN-соединения применяются методы криптографии [2, 6 – 10].

Защищенные виртуальные соединения создаются с помощью механизмов инкапсуляции и туннелирования протокольных единиц данных.

Инкапсуляция – это, как известно, помещение протокольной еди-ницы данных (сегмента, пакета, кадра) протокола некоторого уровня в поле данных протокольной единицы смежного более низкого уровня (эталонная модель OSI взаимодействия открытых систем).

Туннелирование – это помещение протокольной единицы данных протокола некоторого уровня в поле данных протокольной единицы более высокого или такого же уровня. На рис. 7 показано туннели-рование на уровне 22 кадров протокола РРР (вместе с дополнитель-ным заголовком GRE) в IP-пакеты уровня 3 (дублирование цифр здесь служит только для различения уровней).

Уровень 4 TCP Данные Сегмент ТСР

Уровень 33 IP Пакет IP

PPPЗакрытые данныеКадр РРР

Уровень 22

GRE Пакет GRE

Уровень 3 IPПакет IP

MAC FCS

Уровень 2 Кадры РРР, SLIP, Ethernet, Token Ring и др.

Уровень 1 Передача кадров по физической линии

Рис. 7. Инкапсуляция и туннелирование протокольных единиц данных

Операцию туннелирования технически выполняют специальные протоколы – РРТР, L2TP, IPSec и др. В настоящей работе применяет-ся распространенный протокол туннелирования РРТР (Point-to-Point Tunneling Protocol), использующий большие возможности протокола РРР. Работа протокола РРТР поддерживается протоколами РРР, GRE и ТСР.

Из рис. 7 следует, что подготовленный отправителем на уровне 33 IP-пакет инкапсулируется в кадр РРР, который туннелируется на уровне 3 снова в некоторый IP-пакет. Последний маршрутизируется в удаленную систему по составной IP-сети обычным образом. Здесь из пакета на уровне 3 извлекается РРР-кадр, а из кадра – IP-пакет отправителя. Заголовок этого пакета содержит IP-адрес конечного получателя пакета, которому пакет и будет далее доставлен также обычным образом.

В результате на участке IP-сети между отправителем и удаленной системой данные переносятся с помощью РРР-кадров, т.е. этот учас-ток сети для партнеров по связи представляется как прямое виртуаль-ное 2-точечное соединение – VPN-соединение или VPN-туннель. Кон-цами туннеля являются уровни 22 взаимодействующих систем. Тун-нель обычно изображается условно в виде трубы, внутри которой проходит VPN-соединение (рис. 8). Труба символизирует обособлен-ность соединения и его защищенность. Сторона-инициатор туннеля называется VPN-клиентом, а удаленная система, поддерживающая этот вызов, – VPN-сервером. Программное обеспечение компьютеров VPN-клиента и VPN-сервера должно располагать соответствующими протоколами туннелирования. VPN-сервер обычно совмещается с маршрутизатором, с помощью которого принятые по туннелю IP-пакеты направляются в корпоративную сеть и обратно.

На рис. 8 показаны стеки протоколов при туннелировании для доступа удаленного клиента к корпоративной сети по VPN-соедине-нию через ТСОП и Internet.

Порт

Взаимодействие “удаленный клиент - сеть” ●1723

TCP TCP

TCP Управление туннелем PPTP TCP

Соседние файлы в папке Сетевые технологии