Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекция 16(сети).doc
Скачиваний:
74
Добавлен:
11.06.2015
Размер:
121.86 Кб
Скачать

Лекция 16. Виртуальные частные сети.

Виртуальные частные сети

Виртуальные частные сети (Virtual Private Network — VPN) – еще одно интересное средство установления удаленного доступа. По мере того как поставщики программного обеспечения упрощают их реализацию, а корпорации открывают для себя их преимущества, популярность виртуальных частных сетей быстро растет

Что такое VPN

Каждое из слов термина "виртуальная частная сеть" является основополагающим в концепции VPN. Сеть — это компьютеры, сообщающиеся друг с другом. Понятия виртуальная и частная определяют, чем виртуальная частная сеть отличается от других типов сетей.

Виртуальная сеть

До сих пор рассматривались локальные и глобальные компьютерные сети. Общим для них является то, что они используют некоторый носитель (кабель или беспроводный канал), непосредственно объединяющий компьютеры сети. В виртуальной сети нет такого непосредственного носителя. Для нее создается туннель в публичной сети (обычно в Internet), посредством которого сообщаются компьютеры VPN (рис 16.1).

Данные передаются по публичной сети методом эмуляции соединения от точки к точке, реализуемым путем инкапсуляции данных. VPN создает логическую сеть, независимую от географического расположения компьютеров и непосредственных физических соединений.

Частная сеть

Конфиденциальность передаваемой по VPN информации обеспечивается шифрованием данных, передаваемых по публичной сети. По туннелю (установленному с помощью одного из протоколов туннелирования) можно передавать и незашифрованные данные, однако, строго говоря, таким образом создается только виртуальная сеть, но не виртуальная частная сеть.

Поскольку данные зашифрованы, их конфиденциальность сохраняется даже при передаче по публичной сети. Это очень важно, потому что пакеты, передаваемые по Internet, уязвимы для перехвата при их прохождении через каждый из узлов (серверов) на пути от передающего к принимающему компьютеру. Зашифрованные данные, даже если они перехвачены, бесполезны для злоумышленника (если, конечно, он не знает ключ шифра).

Принцип действия VPN

Виртуальная частная сеть может быть сконфигурирована для работы с помощью коммутируемых соединений или соединений типа "маршрутизатор—маршрутизатор". В последнем случае используются маршрутизаторы и выделенные подключения к Internet, такие, как линии Т-1. Между маршрутизаторами можно создать соединение VPN "по требованию" .В таком типе соединения отвечающему маршрутизатору выделено определенное соединение Internet, а вызывающий маршрутизатор использует коммутируемое соединение Internet.

Создание туннеля

Туннель, созданный для соединения VPN, фактически. Представляет собой лишь логическое соединение от точки к точке, поддерживающее аутентификацию пользователей и шифрование данных при их передаче с одного конца туннеля на другой.

Допустим, офисы компании размещены в двух зданиях, расположенных через дорогу. При выполнении своих ежедневных обязанностей служащим часто приходится переходить из одного здания в другое. Чтобы перейти в другое здание, служащий должен выйти на улицу, перейти дорогу и войти в него. Это напоминает маршрутизацию данных по публичной сети, в которой корпоративные данные проходят по общим соединениям Internet. Файлы корпоративных данных могут передаваться посредством электронной почты Internet или с помощью публичного сервера FTP.

Теперь предположим, что нужно обезопасить служащих от всяких случайностей, подстерегающих их при переходе из одного здания в другое, и, кроме того, сделать эти переходы невидимыми для посторонних глаз. Для этого можно вырыть частный туннель между двумя зданиями. Таким образом создается конструкция, аналогичная виртуальной частной сети.

Посторонние лица не должны входить в туннель и проходить по нему между зданиями, поэтому нужно установить на каждом конце туннеля двери, которые можно открывать только с помощью ключей, выдаваемых уполномоченными служащими. Это напоминает процесс аутентификации пользователя, желающего передать данные по соединению VPN.

К сожалению, если злоумышленник проникнет в туннель, он сможет общаться со служащими, проходящими по туннелю из одного здания в другое. Эту проблему можно решить (хотя это обойдется и дороговато) путем создания одноместных закрытых транспортных средств, которые будут перевозить служащих по туннелю. Теперь это будет напоминать шифрование данных, защищающее их от перехвата и использования по пути следования (рис 16.2).

Теперь рассмотрим процесс инкапсуляции и характеристики двух типов туннелирования уровня 2 и уровня 3.