Виртуальные части сети

Автор: Пользователь скрыл имя, 23 Февраля 2012 в 10:49, статья

Описание работы

VPN (Virtual Private Network). Виртуальные частные сети, или как мы их ещё называем корпоративные сети – это защищенные соединения между локальными сетями, расположенными в различных точках, зачастую на большом расстоянии друг от друга. Эта услуга позволяет Вам связать все Ваши офисы в общую локальную сеть.

Работа содержит 1 файл

Виртуальные частные сети.doc

— 75.50 Кб (Скачать)

 

 

Для формирования туннелей VPN используются протоколы PPTP, L2TP, IPSec, IP-IP.

Протокол PPTP позволяет инкапсулировать IP-, IPX- и NetBEUI-трафик в пакеты IP для передачи по IP-сети, например по Интернету.

 

Протокол L2TP позволяет шифровать и передавать IP-трафик с использованием любых протоколов, поддерживающих режим «точка-точка» доставки дейтаграмм. Например, к ним относятся протоколы IP, ретрансляции кадров и АТМ (асинхронный режим передачи).

 

Протокол IPSec позволяет шифровать и инкапсулировать пакеты IP для передачи по IP-сетям.

Протокол IP-IP обеспечивает инкапсуляцию IP-дейтаграммы с помощью дополнительного заголовка IP. Главное назначение IP-IP — туннелирование многоадресного трафика в частях сети, не поддерживающих многоадресную маршрутизацию.

 

Как уже было сказано ранее, VPN, в принципе, могут использовать различные протоколы. Тем не менее, разработчики и значительная часть заказчиков все чаще используют IPSec, поскольку он был создан специально для обеспечения безопасности в базовых протоколах семейства TCP/IP.

В настоящее время инфраструктура VPN может создаваться на базе различных архитектур — IP-туннелей с использованием технологий GRE или IPSec, виртуальных каналов Frame Relay/ATM, MPLS на магистралях IP+ATM или Frame Relay/ATM и др.

 

Понятно, что создание и эксплуатация VPN потребуют определенных затрат. Необходимо будет закупить оборудование (как минимум, по одному VPN-шлюзу для каждой локальной сети) и соответствующее ПО, часть которого, впрочем, может быть инсталлирована вендорами бесплатно. Кроме того, вырастет интернет-трафик. Однако эти затраты, как правило, оказываются в разы, а иногда и на порядки меньше тех, что требуются на развертывание и работу традиционных частных сетей.

Сегодня и завтра

 

В области VPN существуют, разумеется, и некоторые общие для современных телекоммуникационных технологий проблемы. Например, стыковка различного оборудования по-прежнему остается головной болью для многих заказчиков. И строительство VPN, особенно в тех случаях, когда у организации уже созданы отдельные фрагменты телекоммуникационной инфраструктуры, с этой точки зрения подчас становится непростой задачей.

 

Поэтому следует сказать несколько слов о развитии протокола SIP. В значительной степени именно благодаря его возникновению многие вендоры стали уделять внимание мультимедийным системам. Будучи не столь «тяжелым», как H.323, SIP сумел доказать свою перспективность за очень короткое время. Причины этого понятны — свою роль сыграли его «мультимедийность», простота, удобство внедрения, а также возможность избежать ряда проблем при организации взаимодействия между системами различных производителей.

 

В то же время есть и некоторые специфические для нашей страны проблемы, препятствующие развитию VPN. Если с магистральными каналами ситуация, в целом, за последние годы улучшилась — во всяком случае, если говорить о технической стороне вопроса, поскольку тарифы на их использование по-прежнему чрезвычайно высоки — то с «последней милей», особенно в регионах, дела обстоят неважно. Ясно, что пока эти проблемы не будут решены, создание VPN будет не по средствам очень многим организациям.

 

Однако эксперты, с которыми удалось обсудить последние тенденции в отрасли ИКТ, все же высказывают осторожный оптимизм. Телекоммуникационная инфраструктура нашей страны в ближайшее время должна претерпеть серьезные изменения. Можно предположить, что, например, DSL уже в наступившем году получит широкое распространение на всей территории России.

Понятно, что внедрение мультимедийных приложений без соответствующей инфраструктуры практически бессмысленно. Добиться существенного сокращения расходов за счет перехода на IP-телефонию организации могут, даже располагая самым «посредственным» каналом Интернет, однако для полноценной VPN этого совершенно недостаточно.

 

Так что в каком-то смысле наступивший год будет во многом определяющим, поскольку именно сейчас от решений, которые будут приниматься, и проектов, реализацией которых займутся ведущие игроки рынка, будет зависеть место России на телекоммуникационной карте мира, и, в частности, станет понятно, готова ли наша страна к переходу на современные стандарты построения корпоративных сетей связи.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

КОПЕЙКА РУБЛЬ БЕРЕЖЕТ

 

Если речь идет об использовании виртуальных сетей для удаленного доступа, потенциальная экономия средств может перевесить соображения производительности и безопасности. Огромное преимущество VPN в том, что за коммутируемое соединение вы платите, как за местный телефонный звонок. Любой сетевой гуру, кто хочет воспользоваться этим обстоятельством, должен, однако, иметь в виду, что потребность в удаленном доступе возникла, в первую очередь, в связи с необходимостью подключения удаленных пользователей к центральной сети. Удаленный пользователь как бы находится прямо в главном офисе. При обычном повседневном сценарии это происходит автоматически: пользователь звонит на подключенный напрямую к внутренней сети модемный банк корпоративного узла и непосредственно участвует в сетевом трафике.

Обычно звонящий пользователь взаимодействует с модемным банком одним из двух способов. Первый способ: удаленный пользователь осуществляет управление рабочей станцией в сети центрального узла с помощью программы удаленного управления - как будто некий призрак сидит за клавиатурой в офисе. В этом случае через модемы на обоих концах передаются не сетевые пакеты, а только команды управления удаленным компьютером. Второй способ заключается в том, что все соответствующие сетевые пакеты перенаправляются из локальной сети по телефонному проводу, как если бы телефонное соединение было еще одним сегментом локальной сети. Удаленный компьютер видит те же самые пакеты, что он видел бы, находясь в сети, просто процесс этот медленнее.

До сих пор мы говорили только об удаленных вычислениях, теперь настала пора поговорить о виртуальных сетях. Иначе говоря, мы хотим переставить модем из центрального узла на узел оператора Internet ближе к удаленному пользователю.

Для этого мы должны создать новое соединение между модемом и центральным узлом, причем сделать это с помощью Internet. Таким образом, соединение стоит ровно столько же, сколько и доступ к Internet, но что касается цены, расстояние между центральным офисом и удаленным пользователем не имеет в этом случае значения.

Гипотетически, если локальная сеть центрального узла представляет собой сеть IP, то на этом наша работа завершена. Клиентское приложение пользователя "говорит" на IP с серверами сети, и трафик, предназначенный удаленному пользователю, отбирается маршрутизатором для отправки по сети на IP-адрес, который пользователь получил от оператора Internet.

На самом деле мы сталкиваемся с различного рода проблемами. Для начала наша внутренняя сеть оказывается открыта для атак извне, поэтому необходимо установить надежный брандмауэр, причем порты должны оставаться открытыми для законных пользователей. Однако даже если порты не атакуются, пакеты между центральными серверами и удаленными пользователями передаются через Internet незащищенными. Для решения этой проблемы надо включить шифрование пакетов, а чтобы отвадить взломщиков следует предусмотреть схему идентификации. В этом случае трафик через брандмауэр можно пересылать только с тех IP-адресов, пользователи которых идентифицированы.

Даже если поставщик возьмет на себя часть вышеперечисленных проблем, это еще не все. Мы начали с предположения, основанного на том, что внутренняя сеть - это IP-сеть. Вобщем-то, корпоративная сеть не обязательно использует IP. Таким образом, вы должны обеспечить работу центральной сети с IP.

Несмотря на все эти проблемы стимул по применению VPN для организации удаленного доступа все же довольно силен. Как говорит Кунс из Dataquest: "Удаленный доступ очень тяжело и дорого поддерживать, особенно когда это надо делать круглосуточно по междугородним линиям. Internet - это дешевая и всеохватывающая среда передачи".



Информация о работе Виртуальные части сети