Компьютерные сети
Н. ОлиферПомимо деления сетей VPN на CPVPN и PPVPN существует еще и другая классификация — в зависимости от места расположения устройств, выполняющих функции VPN. Виртуальная частная сеть может строиться:
□ на базе оборудования, установленного на территории потребителя (Customer Premises Equipment based VPN, CPE-based VPN, или Customer Edge based VPN, CE-based VPN);
□ на базе собственной инфраструктуры поставщика (Network-based VPN, или Provider Edge based VPN, PE-based VPN).
В любом случае основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети — либо потребителя, либо поставщика.
Сети, поддерживаемые поставщиком, могут строиться как на базе инфраструктуры поставщика, так и на базе оборудования, установленного на территории потребителя. Первый вариант наиболее понятен: поставщик управляет расположенным в его сети оборудованием. Во втором случае оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.
Когда VPN поддерживается клиентом (CPVPN), оборудование всегда находится в его сети, то есть VPN строится на базе устройств клиента (CE-based).
Сеть VPN, как и любая гшитпирующая система*, характеризуется, во-первых, тем, какие свойства объекта имитируются, во-вторых, степенью приближенности к оригиналу, в-третьих, используемыми средствами имитации.
Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в VPN.
Практически все сети VPN имитируют собственные каналы в сетевой инфраструктуре поставщика, предназначенной для обслуживания множества клиентов.
В том случае, когда имитируется инфраструктура каналов одного предприятия, то услуги VPN называют также услугами интранет (intranet), или внутренней сети, а в том случае, когда к таким каналам добавляются также каналы, соединяющие предприятие с его предприятиями-партнерами, с которыми также необходимо обмениваться информацией в защищенном режиме, — услугами экстранет (extranet), или внешней сети.
Термин «виртуальная частная сеть» применяется только тогда, когда «собственные» физические каналы имитируются средствами пакетных технологий: ATM, Frame Relay, IP, IP/MPLS или Carrier Ethernet. Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при их реальном соединении собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, поэтому определение «виртуальная» становится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, АТМ или Frame Relay), а при использовании IP — и сетевого.
Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть VPN, способная поддерживать IP-трафик клиента с созданием эффекта изолированной IP-сети. В этом случае VPN производит некоторые дополнительные сетевые операции над клиентским трафиком — сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция VPN) и т. п.
Имитация сервисов прикладного уровня встречается в VPN гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные приложения управления предприятием.
Другим критерием, используемым при сравнении VPN, является степень приближенности сервисов, предлагаемых VPN, к свойствам сервисов частной сети.
Во-первых, важнейшим свойством сервисов частной сети является безопасность. Безопасность VPN подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сетей потребителя и поставщика от внешних атак. Степень безопасности VPN варьируется в широких пределах в зависимости от применяемых средств защиты: шифрования трафика, аутентификации пользователей и устройств изоляции адресных пространств (например, на основе техники NAT), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним
68
несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонированной обороны.
Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сети по качеству обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добавляться и другие параметры QoS — максимальные задержки и процент потерянных данных. В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неизбежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки параметров QoS. В ATM, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в IP-сетях они только начинают внедряться. Поэтому далеко не каждая сеть VPN пытается воссоздать эти особенности частной сети. Считается, что безопасность — обязательное свойство VPN, а качество транспортного обслуживания — только желательное.
В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для клиента независимость адресного пространства. Это дает клиенту одновременно и удобство конфигурирования, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль поставщика имела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных действий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.
Существенное влияние на свойства виртуальных частных сетей оказывают технологии, с помощью которых эти сети строятся. Все технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных:
□ технологии разграничения трафика;
□ технологии шифрования.
Сети VPN на основе техники шифрования рассматриваются в главе 24.
В технологиях разграничения трафика используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. К этому типу технологий относятся:
□ ATMVPN;
□ Frame Relay VPN;
□ MPLS VPN;
□ Carrier Ethernet VPN.
Двухточечные виртуальные каналы этих технологий имитируют сервис выделенных каналов, проходя от пограничного устройства (Client Edge, СЕ) одного сайта клиента через поставщика к СЕ другого сайта клиента.
ВНИМАНИЕ-
Под термином «сайт» здесь понимается территориально обособленный фрагмент сети клиента. Например, о корпоративной сети, в которой сеть центрального отделения связывается с тремя удаленными филиалами, можно сказать, что она состоит из четырех сайтов.
Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. Свойство защищенности трафика является естественным свойством техники виртуальных каналов, поэтому сервисы ATM VPN и Frame Relay VPN являются на самом деле не чем иным, как обычными сервисами PVC сетей АТМ или Frame Relay. Любой пользователь АТМ или Frame Relay, использующий инфраструктуру PVC для связи своих локальных сетей, потребляет услугу VPN даже в том случае, когда он это явно не осознает. Это одно из «родовых» преимуществ техники виртуальных каналов по сравнению с дейтаграммной техникой, так как при применении последней без дополнительных средств VPN пользователь оказывается не защищенным от атак любого другого пользователя сети.
Так как в технологиях АТМ и Frame Relay при передаче данных используются только два уровня стека протоколов, варианты VPN, построенные на их основе, называют также сетями VPN уровня 2 (Layer 2 VPN, L2VPN). Наличие в технологиях АТМ и Frame Relay механизмов поддержания параметров QoS позволяет ATM VPN и Frame Relay VPN достаточно хорошо приближаться к частным сетям на выделенных каналах.
Информация третьего уровня никогда не анализируется и не меняется в этих сетях — это одновременно и достоинство, и недостаток. Преимущество в том, что клиент может передавать по такому виртуальному каналу трафик любых протоколов, а не только IP. Кроме того, IP-адреса клиентов и поставщика услуг изолированы и независимы друг от друга — они могут выбираться произвольным образом, так как не используются при передаче трафика через магистраль поставщика. Никаких других знаний о сети поставщика услуг, помимо значений меток виртуальных каналов, клиенту не требуется. Недостаток этого подхода состоит в том, что поставщик не оперирует IP-трафиком клиента и, следовательно, не может оказывать дополнительные услуги, связанные с сервисами IP, а это сегодня очень перспективное направление бизнеса поставщиков услуг.
Главным недостатком сети L2VPN является ее сложность и достаточно высокая стоимость. При организации полносвязной топологии сайтов клиента зависимость операций конфигурирования от числа сайтов имеет квадратичный характер (рис. 19.13, а).
Действительно, для соединения V сайтов необходимо создать N* (N- 1)/2 двунаправленных виртуальных каналов или N* (N- 1) однонаправленных. В частности, при значении N, равном 100, потребуется 5000 операций конфигурирования. И хотя они и выполняются с помощью автоматизированных систем администрирования, ручной труд и вероятность ошибки все равно сохраняются. При поддержке только услуг интранет общее количество конфигурируемых соединений прямо пропорционально количеству клиентов — и это хорошо! Но оказание услуг экстранет ухудшает ситуацию, так как подразумевает необходимость обеспечить связь сайтов разных клиентов. Масштабируемость сети ATM/FR VPN можно улучшить, если клиент откажется от полносвязной топологии и организует связи типа «звезда» через один или несколько выделенных транзитных сайтов (рис. 19.13, 6). Конечно, производительность сети клиента при этом снизится, так как увеличится число транзитных передач информации. Однако экономия средств будет налицо — поставщики услуг взимают деньги за свои виртуальные каналы, как правило, «поштучно».
Сайты клиента
Рис. 19.13. Масштабируемость сети L2VPN
Клиенты сети ATM/FR VPN не могут нанести ущерб друг другу, а также атаковать IP-сеть поставщика. Сегодня поставщик услуг всегда располагает IP-сетью, даже если он оказывает только услуги ATM/FR VPN. Без IP-сети и ее сервисов администрирования он просто не сможет управлять своей сетью ATM/FR. IP-сеть является оверлейной (наложенной) по отношению к сетям АТМ или FR, поэтому клиенты ATM/FR ничего не знают о ее структуре и даже о ее наличии (рис. 19.14).
Сети клиента
Рис. 19.14. Оверлейная (а) и одноранговая (б) модели VPN
Сети MPLS VPN могут строиться как по схеме L2VPN, так и по другой схеме, использующей протоколы трех уровней. Такие сети называют сетями VPN уровня 3 (Layer 3 VPN, L3VPN). В технологии L3VPN также применяется техника LSP для разграничения трафика клиентов внутри сети поставщика услуг, поддерживающей технологию MPLS.
Сеть L3VPN взаимодействует с сетями клиентов на основе IP-адресов, a L2VPN — на основе адресной информации второго уровня, например МАС-адресов или идентификаторов виртуальных каналов Frame Relay.
IP в глобальных сетях
Чистая IP-сеть
В зависимости от того, как устроены слои глобальной сети, находящиеся под уровнем IP, можно говорить о «чистых» IP-сетях и об IP «поверх» (over) какой-нибудь технологии, например АТМ. Название «чистая» IP-сеть говорит о том, что под уровнем IP не находится никакого другого уровня, выполняющего коммутацию пакетов (кадров или ячеек).
В такой сети цифровые каналы по-прежнему образуются инфраструктурой двух нижних уровней, а этими каналами непосредственно пользуются интерфейсы 1Р-маршрутизаторов без какого-либо промежуточного уровня. В том случае, когда IP-маршрутизатор использует каналы, образованные в сети SDH/SONET, вариант IP-сети получил название пакетной сети, работающей поверх SONET
69
(Packet Over SONET, POS). Для случая, когда IP пользуется каналами DWDM, употребляется название IP поверх DWDM.
Чистая IP-сеть может успешно применяться для передачи чувствительного к задержкам трафика современных приложений в двух случаях:
□ если IP-сеть работает в режиме низкой нагрузки, поэтому сервисы всех типов не страдают от эффекта очередей, так что сеть не требует поддержания параметров QoS;
□ если слой IP обеспечивает поддержку параметров QoS собственными средствами за счет применения механизмов IntServ или DiffServ.
Для того чтобы маршрутизаторы в модели чистой IP-сети могли использовать цифровые каналы, на этих каналах должен работать какой-либо протокол канального уровня. Существует несколько протоколов канального уровня, специально разработанных для двухточечных соединений глобальных сетей. В эти протоколы встроены процедуры, полезные при работе в глобальных сетях:
□ взаимная аутентификация удаленных устройств часто требуется для защиты сети от «ложного» маршрутизатора, перехватывающего и перанаправляющего трафик с целью его прослушивания;
□ согласование параметров обмена данными на канальном и сетевом уровнях применяется при удаленном взаимодействии, когда два устройства расположены в разных городах, перед началом обмена часто необходимо автоматически согласовывать такие, например, параметры, как MTU.
Из набора существующих двухточечных протоколов протокол IP сегодня использует два: HDLC и РРР. Существует также устаревший протокол SLIP (Serial Line Internet Protocol — межсетевой протокол для последовательного канала), который долгое время был основным протоколом удаленного доступа индивидуальных клиентов к IP-сети через телефонную сеть. Однако сегодня он уже не применяется.
Помимо уже упомянутых протоколов, в глобальных сетях на выделенных каналах IP-маршрутизаторы нередко используют какой-либо из высокоскоростных вариантов Ethernet: Fast Ethernet, Gigabit Ethernet или 10G Ethernet. Усовершенствования, сделанные в технологии Carrier Ethernet и направленные на повышение эксплуатационных свойств классического варианта Ethernet, отражают потребности применения этой технологии в глобальных сетях.
Протокол HDLC
Data Unk Control -7 высокоуровневое управление линией связи), пред-
канального уровня.
Первое, что мы отметим по поводу протокола HDLC, — его функциональное разнообразие. Он может работать в нескольких весьма отличающихся друг от друга режимах, поддерживает не только двухточечные соединения, но и соединения с одним источником и несколькими приемниками, он также предусматривает различные функциональные роли взаимодействующих станций. Сложность HDLC объясняется тем, что это очень «старый» протокол, разработанный еще в 70-е годы для ненадежных каналов связи. Поэтому в одном из режимов протокол HDLC подобно протоколу TCP поддерживает процедуру установления логического соединения и процедуры контроля передачи кадров, а также восстанавливает утерянные или поврежденные кадры. Существует и дейтаграммный режим работы HDLC, в котором логическое соединение не устанавливается, а кадры не восстанавливаются.
В IP-маршрутизаторах чаще всего используется версия протокола HDLC, разработанная компанией Cisco. Несмотря на то что эта версия является фирменным протоколом, она стала стандартом де-факто для IP-маршрутизаторов большинства производителей. Версия Cisco HDLC работает только в дейтаграммном режиме, что соответствует современной ситуации с незашумленными надежными каналами связи. По сравнению со стандартным протоколом версия Cisco HDLC включает несколько расширений,, главным из которых является многопротокольная поддержка. Это означает, что в заголовок кадра Cisco HDLC добавлено поле типа протокола, подобное полю EtherType. Это поле содержит код протокола, данные которого переносит кадр Cisco HDLC. В стандартной версии HDLC такое поле отсутствует.
Протокол РРР
Протокол РРР (Point-to-Point Protocol — протокол двухточечной связи) является стандартным протоколом Интернета. Протокол РРР, так же как и HDLC, представляет собой целое семейство протоколов, в которое, в частности, входят:
□ протокол управления линией связи (Link Control Protocol, LCP);
□ протокол управления сетью (Network Control Protocol, NCP);
□ многоканальный протокол РРР (Multi Link РРР, MLPPP);
□ протокол аутентификации по паролю (Password Authentication Protocol, PAP);
□ протокол аутентификации по квитированию вызова (Challenge Handshake Authentication Protocol, CHAP).
ПРИМЕЧАНИЕ-
При разработке протокола РРР за основу был взят формат кадров HDLC и дополнен несколькими полями. Эти дополнительные поля протокола РРР вложены в поле данных кадра HDJjC. Позже были разработаны стандарты, описывающие вложение кадра РРР в кадры Frame Relay и других протоколов глобальных сетей. Хотя протокол РРР и работает с кадром HDLC, он не поддерживает, подобно стандартной версии протокола HDLC, процедуры надежной передачи кадров и управления их потоком.■;0соОеннОстыо СП
В корпоративной сети конечные системы часто отличаются размерами буферов для временного хранения пакетов, ограничениями на размер пакета, списком поддерживаемых протоколов сетевого уровня. Физическая линия, связывающая конечные устройства, может варьироваться от низкоскоростной аналоговой до высокоскоростной цифровой линии с различными уровнями качества обслуживания.
Протокол, в соответствии с которым принимаются параметры соединения, называется протоколом управления линией связи (LCP). Чтобы справиться со всеми возможными ситуациями, в протоколе РРР имеется набор стандартных параметров, действующих по умолчанию и учитывающих все стандартные конфигурации. При установлении соединения два взаимодействующих устройства для нахождения взаимопонимания пытаются сначала использовать эти параметры. Каждый конечный узел описывает свои возможности и требования. Затем на основании этой информации принимаются параметры соединения, устраивающие обе стороны. Переговорная процедура протоколов может и не завершиться соглашением о каком-нибудь параметре. Если, например, один узел предлагает в качестве MTU значение 1000 байт, а другой отвергает это предложение и в свою очередь предлагает значение 1500 байт, которое отвергается первым узлом, то по истечении тайм-аута переговорная процедура может закончиться безрезультатно.
Одним из важных параметров соединения РРР является режим аутентификации. Для целей аутентификации РРР предлагает по умолчанию протокол аутентификации по паролю (РАР), передающий пароль по линии связи в открытом виде, или протокол аутентификации по квитированию вызова (CHAP), не передающий пароль по линии связи и поэтому обеспечивающий более высокий уровень безопасности сети. Пользователям также разрешается добавлять новые алгоритмы аутентификации. Кроме того, пользователи могут влиять на выбор алгоритмов сжатия заголовка и данных.
Многопротокольная поддержка — способность протокола РРР поддерживать несколько протоколов сетевого уровня — обусловила распространение РРР как стандарта де-факто. Внутри одного соединения РРР могут передаваться потоки данных различных сетевых протоколов, включая IP, Novell IPX и многих других, сегодня уже не употребляющихся, а также данные протоколов канального уровня локальной сети.
Каждый протокол сетевого уровня конфигурируется отдельно с помощью соответствующего протокола управления сетью (NCP). Под конфигурированием понимается, во-первых, констатация того факта, что данный протокол будет использоваться в текущем сеансе РРР, а во-вторых, переговорное согласование некоторых параметров протокола. Больше всего параметров устанавливается для протокола IP, включая IP-адреса взаимодействующих узлов, IP-адреса DNS-серверов, признак компрессии заголовка IP-пакета и т. д. Для каждого протокола конфигурирования протокола верхнего уровня, помимо общего названия NCP, употребляется особое название, построенное путем добавления аббревиатуры СР (Control Protocol — протокол управления) к имени конфигурируемого протокола, например для IP — это протокол IPCP, для IPX — IPXCP и т. п.
Все материалы, размещенные в боте и канале, получены из открытых источников сети Интернет, либо присланы пользователями бота. Все права на тексты книг принадлежат их авторам и владельцам. Тексты книг предоставлены исключительно для ознакомления. Администрация бота не несет ответственности за материалы, расположенные здесь