Протоколы для организации VPN
Поскольку данные в виртуальных частных сетях передаются через общедоступную сеть, следовательно, они должны быть надежно защищены от посторонних глаз. Для реализации защиты передаваемой информации существует множество протоколов, которые защищают VPN, но все они подразделяются на два вида и работают в паре:
1) протоколы, инкапсулирующие данные и формирующие VPN соединение;
2) протоколы, шифрующие данные внутри созданного туннеля.
Первый тип протоколов устанавливает туннелированное соединение, а второй тип отвечает непосредственно за шифрование данных.
К первому типу протоколов относятся, например, протоколы: PPTP и L2TP.
PPTP (Point-to-Point Tunneling Protocol) – туннельный протокол «точка-точка является расширением PPP (Point-to-Point Protocol), следовательно, использует его механизмы подлинности, сжатия и шифрования. Протокол PPTP является встроенным в клиент удаленного доступа Windows. При стандартном выборе данного протокола предлагается использовать метод шифрования MPPE (Microsoft Point-to-Point Encryption). Можно передавать данные без шифрования в открытом виде.
Инкапсуляция данных в протоколе PPTP происходит путем добавления туннельного заголовка GRE и заголовка IP к данным, обработанным протоколом PPP.
На рисунке 6.8 показана структура PPTP-пакета, включающая следующие поля:
Рисунок 6.8 – Структура PPTP-пакета
-
IP-дейтаграмма – исходный пакет локальной сети, содержащий пользовательские данные и IP-заголовок локальной адресации;
- PPP-заголовок и - GRE-заголовок - данные, необходимые для создания и поддержания VPN-туннеля;
- IP-заголовок – реальный IP-адрес VPN-шлюза назначения и другие данные для передачи пакета через Интернет между входами туннеля.
Примечание
PPP (англ. Point-to-Point Protocol) – протокол канального уровня сетевой модели OSI, используемый в разных типах физических сетей для создания канала связи между двумя узлами с обеспечением аутентификации, шифрования и сжатия данных.
GRE (англ. Generic Routing Encapsulation) – протокол туннелирования, выполняющий инкапсуляцию пакетов сетевого уровня одной сети в IP-пакеты другой сети.
L2TP (Layer Two Tunneling Protocol) – более совершенный протокол. Предоставляет более защищенное соединение, нежели PPTP, шифрование происходит средствами протокола IPSec (IP-security). L2TP является также встроенным в клиент удаленного доступа Windows.
Инкапсуляция данных происходит путем добавления заголовков L2TP и IPSec к данным обработанным протоколом PPP. IPSec (IP Security Protocol) - это современный набор протоколов обеспечивающих создание VPN-соединения, аутентификацию, доступ и контроль. IPSec функционирует на сетевом уровне эталонной модели взаимодействия, позволяет создавать кодированные туннели VPN или кодировать трафик между двумя узлами. В состав службы IPSec входят протоколы: AH (Autentication Header) – аутентификация источника и проверка целостности сообщений, ESP (Encapsulating Security Payload) – шифрование сообщений.
MPLS VPN
В настоящее время технология VPN в большинстве случаев работает на базе технологии MPLS и носит название MPLS VPN.
Классическая технология VPN обеспечивает передачу информации по зашифрованным туннелям. В MPLS VPN нет никакого шифрования. Пакеты «прячутся» от посторонних глаз, поскольку передаются по маршруту меток MPLS. Трафик с определенными метками читают только маршрутизаторы LSR (Label Switch Routers), находящиеся на маркированном маршруте. Обычные способы IP-маршрутизации в сети MPLS не применяются — трафик передается только вдоль траекторий меток. Никто не запрещает дополнительно шифровать пакеты MPLS, если это необходимо.
MPLS VPN инфраструктура предполагает обеспечение изоляции распределенных клиентских IP сетей в рамках VPN. То есть обеспечивается обмен пакетами только между IP сетями одной VPN.
Рисунок 6.9 – Сеть MPLSVPN
В терминах MPLS VPN отдельное CE подключение называется сайтом. Каждый сайт представляет собой отдельную клиентскую подсеть, входящую в ту или иную VPN структуру.
Основополагающим требованием к VPN-сетям является невозможность неконтролируемого выхода трафика клиента за пределы сети VPN и смешивания его с потоками данных других сетей, и в этом смысле технология MPLS VPN полностью отвечает этим требованиям.
Преимуществом этой технологии является более высокая скорость продвижения IP-пакетов по сети за счет сокращения времени обработки маршрутной информации. Полное обособление друг от друга виртуальных корпоративных сетей. На базе этой сети возможны оказание услуг IP-телефонии, трансляция видеопрограмм, наружное видеонаблюдение, дистанционное обучение, работа виртуальных справочных систем, видеоконференции, заказ и бронирование железнодорожных и авиабилетов, дистанционный контроль потребления воды и тепла в офисах предприятия и многое другое.
MPLS VPN сеть делится на две области: IP сети клиентов и магистраль провайдера. Классическая конструкция MPLS VPN состоит из следующих компонентов: граничные маршрутизаторы провайдера LER, (Label Edge Routers), обращенные к клиентскому оборудованию CE. В пределах облака MPLS маршрутизаторы провайдера, называемые коммутирующими маршрутизаторами меток (Label Switching Routers) - LSR последовательно коммутируют трафик, основываясь на метках MPLS. Прежде чем направить трафик в сеть MPLS, маршрутизаторы LER сначала организуют LSP (коммутируемый маршрут по меткам)через сеть MPLS до удаленных LER.
Для выделения трафика VPN используются специальные таблицы меток VRF (VPN Routing and Forwarding Table), которые указывают на принадлежность пакетов различным VPN. Метки VPN прикрепляются на роутерах CE и используются для маршрутизации роутерами LER. В результате формируется канал передачи данных по маршруту (LSP) в сети MPLS .
Принцип работы сети MPLS VPN можно понять, обратившись к рисунку 6.10.
Рисунок 6.10 – Схема передачи данных в сети MPLSVPN
Слева и справа показаны два сайта одной и той же VPN1. Компьютер в правом сайте пересылает данные компьютеру той же VPN1, расположенному в левом сайте. Соответствующий IP-адрес указывается в дейтаграмме. Дейтаграмма принимается маршрутизатором LER, который идентифицирует, что соответствующий адрес относится к VPN1 и устанавливает соответствующую внутреннюю меткуVRF.
В метке указывается не только номер VRF (метка 15), но также информация о том, что информация должна быть передана по направлению LSP = 1001. Так формируется канал передачи до роутера LER, где находится приёмный компьютер. Передача осуществляется по LSP MPLS, так что дейтаграмма получит две метки – от сети MPLS и от сети VPN соответственно. На узле LER слева метка VRF удаляется, после чего данные поступают в виде обычной дейтаграммы с заголовком VPN и адресом IPv4.
Таким образом, технология VPN в современных транспортных сетях использует всё ту же философию вложенных заголовков, которая свойственна вообще всей технологии IP.
Дата добавления: 2016-02-09; просмотров: 2907;