<<
>>

Виртуальные частные сети

Многие компании владеют множеством подразделений, расположенных в разных городах, иногда даже в разных странах. До появления общедоступных сетей передачи данных обычным делом было арендовать выделенную телефонную линию для организации связи между некоторыми или всеми парами подразделений.
В некоторых компаниях такой подход применяется до сих пор. Сеть, состоящая из компьютеров, принадлежащих компании, и выделенных телефонных линий, называется частной сетью. Пример частной сети, соединяющей три подразделения, показан на рис. 8.26, а.

Рис. 8.26. Частная сеть на основе выделенной линии (а); виртуальная частная сеть (б)

Частные сети работают хорошо и обладают высокой защищенностью. Если бы были доступны только выделенные линии, то отсутствовала бы проблема утечки трафика, и взломщикам пришлось бы физически подключаться к линиям, чтобы перехватить данные, а это не так просто.

Беда в том, что стоимость аренды одного выделенного канала Т1 составляет тысячи долларов (в месяц!), а аренда линии ТЗ во много раз дороже. Когда появились общедоступные сети передачи данных, у компаний возникло естественное желание воспользоваться ими для передачи данных (а может, и голоса). При этом, правда, не хотелось терять свойства защищенности, присущие частной сети.

Это соображение вскоре привело к изобретению виртуальных частных сетей (VPN — Virtual Private Networks), которые являются оверлейными сетями, работающими поверх обычных общедоступных сетей, но обладающими свойствами частных сетей. Они называются «виртуальными», потому что такие сети — это почти иллюзия; аналогичным образом виртуальные каналы — это не реальные каналы, а виртуальная память — это не реальная память.

Хотя виртуальные частные сети могут строиться на основе АТМ (или сетей с коммутацией кадров — frame relay), все более популярным становится организация VPN прямо в Интернете. При этом обычно каждый офис оборудуется брандмауэром и создаются интернет-туннели между всеми парами офисов, как показано на рис. 8.26, б. Если IPsec работает в режиме туннелирования, можно собрать весь трафик между любыми двумя парами офисов в один надежный поток и установить защищающую связь, обеспечив тем самым контроль целостности, секретности и даже определенный иммунитет против анализа трафика.

При запуске системы каждая пара брандмауэров должна договориться о параметрах защищающей связи, таких как набор услуг, режимов, алгоритмов и ключей. Во многие брандмауэры встроен специальный инструментарий для работы с виртуальными частными сетями, но можно построить систему и на обычных маршрутизаторах. Тем не менее, поскольку брандмауэры — это почти неотъемлемая часть систем сетевой безопасности, вполне естественно начинать и заканчивать туннели именно на брандмауэрах, проводя четкую границу между компанией и Интернетом. Таким образом, наиболее распространенная комбинация подразумевает наличие брандмауэров, виртуальных частных сетей и IPsec с ESP в режиме туннелирования.

После установки защищающей связи начинается передача данных. С точки зрения маршрутизатора, работающего в Интернете, пакет, проходящий по туннелю VPN, — это самый обычный пакет. Единственное, что его отличает от остальных, это наличие заголовка IPsec после заголовка IP. Но поскольку дополнительные заголовки на процесс пересылки никак не влияют, маршрутизаторы не сильно беспокоит заголовок IPsec.

Основное преимущество такой организации виртуальной частной сети состоит в том, что она совершенно прозрачна для всего пользовательского ПО. Установкой и управлением защищающих связей занимаются брандмауэры. Единственный человек, которому есть дело до настройки сети, — это системный администратор, который обязан сконфигурировать и поддерживать брандмауэры. Для всех остальных виртуальная частная сеть мало чем отличается от частной сети на основе выделенной линии. Более подробно про VPN написано в (Brown, 1999; Izzo, 2000).

<< | >>
Источник: Э. ТАНЕНБАУМ. КОМПЬЮТЕРНЫЕ СЕТИ 4-Е ИЗДАНИЕ. 2003

Еще по теме Виртуальные частные сети:

  1. Виртуальное послесловие
  2. ГЛАВА 11 ПРАВОВЫЕ ПРОБЛЕМЫ ВИРТУАЛЬНОЙ СРЕДЫ ИНТЕРНЕТ
  3. Виртуальное сексуальное насилие над детьми
  4. 3.5. Подключение к сети
  5. Социальные сети
  6. 4.4. Подключение к сети
  7. В .А. Галкин, Ю .А. Григорьев. Телекоммуникации и сети, 2003
  8. § 3. Интервью в глобальной сети
  9. 1. Понятие частного права. Право частное и право публичное
  10. 2. Вещи как объекты гражданских прав (правоотношений). Вещи частного права. Виды вещей частного права