Файловый архив студентов. Файловый архив студентов.
1276 вузов, 4831 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Львовский национальный университет им. И. Франко
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
cpc.doc
Скачиваний:
11
Добавлен:
21.11.2019
Размер:
2.61 Mб
Скачать
►Содержание►

Тема 4.2 Віртуальні приватні мережі з доступом через комутовані канали

План лекції

  1. Тунелювання

  2. Шифрування на Мережевому рівні

  3. Віртуальні приватні мережі Канального рівня

1. Тунелювання

Існують окремі технології (із використанням власних механізмів виготівників, так і механізмів, базованих на стандартах), наявні для побудови віртуальних приватних мереж з доступом через комутовані канали (Virtual Private Dial NetworkVPDN). Зокрема, два принципові методи впровадження VPDN, популярність яких зростає – це тунелі L2TP і PPTP. З історичної перспективи L2TP є технічним об’єднанням специфікації більш раннього протоколу L2F і протоколу PPTP. Оскільки PPTP включений до операційних систем більшості персональних комп’ютерів, то він стає більш популярним.

Із цієї точки зору слід відзначити різницю між тунелями, ініційованими клієнтом, і ініційованими сервером мережевого доступу (Network Access ServerNAS). Перший раніше називали “добровільним” тунелем, тоді як другий –“вимушеним” тунелем. Добровільний тунель називається так тому, що тунель створюється на запит користувача для спеціального призначення; вимушений тунель створюється без жодної дії з боку користувача і не дозволяючи йому жодних змін по суті.

L2TP як модель із вимушеним тунелюванням – це механізм “вивантаження” абонента комутованих каналів до іншого пункту мережі або до іншої мережі. У цьому сценарії абонент викликає мережевий сервер доступу (Network Access ServerNAS), базуючись на локально сконфігурованому профілі або на узгодженнях NAS із сервером політики захисту та ефективній автентифікації. Тунель L2TP динамічно встановлюється до наперед визначеного кінцевого пункту, у якому закінчується сесія PPP (рис. ).

Р исунок 4.1. Механізм тунелювання з використанням L2TP

PPTP як модель з добровільним тунелюванням дозволяє робочій станції конфігурувати і встановлювати індивідуальні тунелі “пункт-пункт” до довільно розташованих PPTP-серверів без проміжної участі NAS в узгодженнях і встановленні тунелю. У цьому сценарії абонент комутованих каналів здійснює виклик до NAS, однак PPP-сесія завершується в NAS як у традиційній моделі PPP. Наступна PPTP-сесія тоді встановлюється між кінцевою системою клієнта і довільним вихідним PPTP-сервером, із яким клієнт бажає встановити з’єднання і який може бути досяжний через традиційну раутінгову інформацію. Після цього користувач надає певні повноваження PPTP-серверу (рис.4.2 ).

Р исунок 4.2 Механізм тунелювання з використанням PPTP

2. Шифрування на Мережевому рівні

Технології шифрування надзвичайно ефективні для забезпечення сегментації та віртуалізації, необхідних для VPN, і можуть бути впроваджені майже на кожному рівні стеку протоколів. Розвиненим стандартом для шифрування на Мережевому рівні в Internet є IPSec (IP Security).

3. Віртуальні приватні мережі Канального рівня

Однам із найбільш прогресивних методів побудови VPN є використання передавальних систем і мережевих платформ для сполучності на Фізичному і Канальному рівнях. VPN Канального рівня є майже повним функційним аналогом звичайних приватних мереж.

Організації, приміщення яких розташовані у різних місцях, можуть з’єднувати їх через окрему логічну мережу за допомогою раутерів та технологій WAN. Якщо використовується мережа з комутацією кіл, наприклад, телефонна мережа, то послуги постійних або комутованих кіл використовуються через емуляцію фізичного сполучення двох пунктів для бміну пакетами між раутерами. Незважаючи на те, що WAN-технології майже завжди використовують спільні “публічні” телекомунікаційні засоби, мережа, побудована таким чином, звичайно розглядається як “приватна”.

Р исунок 4.3. Глобальна мережа, базована на телефонній мережі або на Internet

Якщо мережа з комутацією пакетів, така як Internet, вживається як WAN для сполучення певних пунктів, то приватна природа комунікації раутер-раутер є під загрозою, оскільки мережа не гарантує захисту доручення пакетів. Раутери, які взаємодіють один з одним через логічні кола Internet, можуть виявляти, що пакети уведяться або вилучаються із цих кіл без обмежень. Щоб зберегти “приватність” таких кіл, пакети повинні бути зашифровані, так щоб раутер міг розпізнати і видалити уведені пакети, а вилучені пакети не могли бути використані неуповноваженим приймачем. Такі приватні зв’язки між раутерами називають “тунелями”. Для надійності операцій через цей тип “віртуальних” приватних мереж компоненти раутерів звичайно повинні походити від одного виготівника.

Пересилання пакетів між раутерами могло би бути нормою для комунікації між “постійними” багатокористувацькими пунктами (sites) організацій, але виникає проблема, коли індивідуальні користувачі потребують мати доступ до LAN організації від інших зовнішніх пунктів. Коли користувач з’єднується через комутовані канали із своєї квартири або готелю, то він не має у своєму розпорядженні відповідного раутера. Сполучення може бути здійснене через телефон безпосередньо до організації або через Internet і пакети висилаються до організації через зовнішню мережу. У попередньому випадку із захистом інформації не було проблем, бо мережа розглядалася як повністю “приватна”. В останньому випадку захист інформації створює багато проблем, як це показано нижче.

Р исунок 4.4 Віддалений доступ до мережі організації через

комутовані телефонні канали

Недавня тенденція великих організацій до забезпечення власної “повністю приватної” мережі з комутованими каналами (із модемними банками, серверами доступу і технічними персоналом, розташованими у кожній резиденції організації) тепер змінюється внаслідок повсюдної наявності пунктів доступу до Internet, що робить привабливим використання ресурсів надавачів послуг Internet (Internet Service Provider – ISP). Користувач може зв’язатися через комутовані телефонні канали із сервером доступу у найближчому пункті ISP і висилати пакети через місцеву LAN до раутера для їх доручення через Internet до мережі своєї організації (рис. ). Щоб зберегти захищеність комунікацій через комутовані канали, необхідно створити тунель для пересилання пакетів організації. Однак сьогодні виготівники раутерів поставлені у невигідне положення із розв’язаннями, які вони можуть запропонувати, бо їх модель тунелів працює між раутерами, а раутер з боку користувача відсутній. Для створення VPN вони можуть застосувати одну із таких моделей:

  1. Передоручення (outsource) приватного пункту (Private Site).

  2. Спільне використання передорученого пункту.

  3. Передоручення приватного сервера доступу.

  4. Спільне використання сервера доступу.

  5. Обхід ISP.

Контрольні питання

1. Що означає абревіатура VPDN ?

2. Які два основні тунелі використовують для впровадження VPDN та які

функції вони виконують?

3. Які функцію виконує IPSec ?

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности