38. Виртуальные частные сети как механизм туннелирования траффика, технологии pptp и l2tp, особенности применения и отличительные особенности.

Из шпоргалки [2] п. 39 см. также Классификация VPN и Билет №39

Основы технологий виртуальных частных сетей VPN. Сети VPN создаются для организации взаимодействия индивидуальных пользователей с удаленной сетью через Internet и для связи нескольких ЛВС. Также с помощью VPN может быть реализовано и такое приложение как Extranet, позволяющее через Internet связывать с сетью компании сети ее заказчиков, поставщиков и партнеров. Главное преимущество виртуальных частных сетей - невысокая стоимость их создания и эксплуатации.

Структура виртуальной сети состоит из каналов глобальной сети, защищенных протоколов и маршрутизатороов. Для объединения удаленных ЛВС в виртуальную сеть используются так называемые виртуальные выделенные каналы. Для организации подобных соединений применяется механизм туннелирования. (см. [4] 4.4.1.2 IP-туннели.doc и 4.4.1.3 Протокол туннелей на сетевом уровне L2 (L2TP).doc в разделе 4.4.1.0_IP-протокол.doc ) Инициатор туннеля инкапсулирует пакеты локальной сети в IP-пакеты, содержащие в заголовке адреса инициатора и терминатора туннеля. Терминатор туннеля извлекает исходный пакет. Конфиденциальность передаваемой корпоративной информации достигается шифрованием.

Основная проблема сетей VPN - отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией. Эти стандарты все еще находятся в процессе разработки и не всегда реализуются в продуктах различных изготовителей. Возможность построения VPN на оборудовании и ПО различных производителей достигается внедрением некоторого стандартного механизма.

Таким механизмом выступает протокол Internet Protocol Security (IPSec), он описывает все стандартные методы VPN. Этот протокол определяет методы идентификации при инициализации туннеля, методы шифрования в конечных точках туннеля и механизмы обмена и управления ключами шифрования между этими точками. В числе других механизмов построения VPN можно назвать: протокол PPTP (Point-to-Point Tunneling Protocol), разработанный компаниями Ascend Communications и 3Com, протокол L2F (Layer-2 Forwarding) компании Cisco Systems, протокол L2TP (Layer-2 Tunneling Protocol), объединивший оба вышеназванных протокола.

Вариант «Intranet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики. Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет «статического» адреса и подключается к защищаемому ресурсу не через выделенное устройство VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального. Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам. [2]

Материал из Википедии [3] L2TP-wiki.doc

L2TP (англ. Layer 2 Tunneling Protocol) — сетевой протокол туннелирования канального уровня, сочетающий в себе протокол L2F (Layer 2 Forwarding Protocol), разработанный компанией Cisco, и протокол PPTP корпорации Microsoft. Стандарт IETF. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств шифрования и механизмов аутентификации (для создания защищённой VPN его используют совместно с IPSec)

Материал из Википедии [3] PPTP-wiki.doc

PPTP (англ. Point-to-point tunneling protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Спецификация

Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий. [3]

Протокол PPP служит и для создания межсетевых туннелей (протокол PPTP - Point to Point Tunneling Protocol). Протокол PPTP использует MTU=1532, номер порта 5678 и номер версии 0x0100, пакеты данных здесь транспортируются с использованием протокола инкапсуляции GRE V2 (см. сноску в начале раздела). 3.5 Протокол PP.doc

Семёнов(очень сложно) [4] 4.4.1.3 Протокол туннелей на сетевом уровне L2 (L2TP).doc

Протокол PPP [RFC1661] определяет механизм инкапсуляции для транс пировки мультипротокольных пакетов для соединений точка-точка сетевого уровня L2.

Протокол L2TP расширяет модель PPP, позволяя размещение терминальных точек L2 и PPP в различных физических устройствах, подключенных к сети с коммутацией пакетов. В L2TP, пользователь имеет соединение L2 с концентратором доступа (например, модемным пулом, ADSL DSLAM, и т.д.), а концентратор в свою очередь туннелирует индивидуальные PPP-кадры в NAS.

На диаграмме (рис. 1.) показана схема работы протокола L2TP. Целью здесь является туннелирование кадров PPP между удаленной системой или клиентом LAC и LNS, размещенной в LAN.

Рис. 1. Схема работы протокола L2TP

Удаленная система инициирует PPP-соединение с LAC через коммутируемую телефонную сеть PSTN. LAC затем прокладывает туннель для PPP-соединения через Интернет, Frame Relay или ATM к LNS, посредством чего осуществляется доступ к исходной LAN (Home LAN). Адреса удаленной системе предоставляются исходной LAN через согласование с PPP NCP. Аутентификация, авторизация и аккоунтинг могут быть предоставлены областью управления LAN, как если бы пользователь был непосредственно соединен с сервером сетевого доступа NAS

L2TP использует два вида пакетов,

• управляющие

• и информационные сообщения.

Управляющие сообщения используются при установлении, поддержании и аннулировании туннелей и вызовов. Информационные сообщения используются для инкапсуляции PPP-кадров пересылаемых по туннелю. Управляющие сообщения используют надежный контрольный канал в пределах L2TP, чтобы гарантировать

PPP кадры
L2TP Информационные сообщения		L2TP Управляющие сообщения
L2TP Информационный канал (ненадежный)		L2TP Канал управления (надежный)
Транспортировка пакетов (UDP, FR, ATM, etc.)

Рис. 2.0. Структура протокола L2TP

???? Всё описано у Семёнова[4] но очень сложно