Виртуальные частные сети на базе технологии РРТР

 

Традиционные средства удаленного доступа позволяют обеспечить связь на любых расстояниях, однако их применение не всегда целесообразно по двум причинам.

Во-первых, пропускная опособность линий передачи данных может оказаться недостаточной (телефонная линия позволяет передавать данные со скоростью, не превышающей нескольких десятков килобит в секунду). Хотя существуют решения, позволяющие объединять в группу несколько линий передачи данных (например Multilink РРР – многозвенный РРР, ISDN Channel Bonding – связка каналов ISDN), им свойственны существенные ограничения.

Во-вторых, затраты на организацию связи на больших расстояниях в большинстве случаев яв­ляются чрезмерными, так как приходится оплачивать связь по тарифам международных телефонных звонков.

Как правило, в этой ситуации используются три возможных решения, рассмотренных ниже.

Собственная (частная) территориальная сеть передачи данных (Wide Area Network – WAN), то есть сети передачи данных, охватывающую значительное географическое пространство (регион, страну, несколько стран). Для этого организация создает, покупает или берет в аренду линии передачи данных. Эти линии связывают между собой точки присутствия (point-of-presence – POP), в кото оых размещается оборудование передачи данных. К этому оборудованию подключаются локальные сети и компьютеры, которые находятся в этих сетях и они получают доступ к территориальной сети. Удаленные компьютеры, которые находятся неподалеку (обычно в пределах нескольких километров), связываются с сервером удаленного доступа в точке присутствия и также получают доступ к территоной сети. Преимуществом такого подхода является то, что организация получает возможность самостоятельно спроектировать сеть, отвечающую ее нуждам, использовать в этой сети любое оборудование передачи данных, любые протоколы и соглашения. К сожалению, расходы по организации и эксплуатации линий передачи данных оказываются неприемлемыми для большинства организаций.

Подключение к существующей территориальной сети передачи данных общего пользования, то есть к сети передачи данных, принадлежащей компании-оператору (поставщику услуг). Эта кампания предоставляет услуги по подключению к сети других организаций, которые становятся ее абонентами. Сеть общего пользования обеспечивает транспортировку данных между устройствами абонентов сети. Как правило, компьютеры абонентов с помощью стандартных средств удаленного доступа связываются с сервером удаленного доступа, расположенного в точке присутствия компании, предоставляющей услуги по подключению. Такой подход позволяет избежать расходов, связанных с организацией и эксплуатацией линий передачи данных, но зато в расходы включается абонентская плата оператору. Кроме того, для передачи данных через сеть общего пользования организация-абонент вынуждена использовать единые для всей сети протоколы, а также придерживаться общих соглашений по адресации, именованию и т.д. Так как линии передачи данных не контролируются абонентом, а в сети находятся и другие абоненты, то возникают дополнительные проблемы, связанные с безопасностью информации. Самой крупной сетью передачи данных общего пользования является Internet. Компании, предоставляющие доступ к этой сети, называются провайдерами Internet (Internet Service Provider – ISP).

Виртуальная частная сеть (Virtual Private Network – VPN) представляет собой комплекс программных и технических средств, предначенных для установления потребованию (то есть на период времени, когда требуется передавать данные) соединения пограничного устройства локальной сети с удаленным компьютером (или с пограничным устройством удаленной локальной сети) по маршруту, называемому также туннелем, проложенному по линиям передачи данных сети общего пользования. Это третий подход к решению проблемы, применяемый в последние годы. Пограничное устройство (называемое также конечной точкой, или сервером, виртуальной частной сети) выполняет функции шлюза, обеспечивая стыковку локальной сети с туннелем виртуальной частной сети. При передаче данных через туннель применяются стандартные для сети общего пользования протоколы и соглашения. Как правило, применяется технология инкапсуляции (передача пакета сетевого уровня или кадра в поле данных пакета сети общего пользования). При этом протокол удаленного доступа, например PPP, используется не только для связи с сервером удаленного доступа, через который организуется вход в сеть передачи данных общего пользования, но и для взаимодействия с сервером виртуальной туннель. Одним из пограничных устройств туннеля является сервер, виртуальной частной сети, другим – либо сервер удаленного доступа провайдера, либо сам удаленный узел. В первом случае удаленный узел связывается с сервером удаленного доступа провайдера, который, приняв вызов, обращается к серверу виртуальной частной сети и сообщает ему данные для аутентификации удаленного пользователя. Если аутентификация завершилась успешно, то сервер удаленно провайдера и сервер виртуальной частной сети образуют туннель. По установленному туннелю удаленный и узел и сервер виртуальной частной сети проводят завершающие стадии установки сеанса связи, например, выбор и настройку протоколов, в том числе присвоение сетевого адреса. Во втором случае удаленный узел сначала устанавливает связь с сервером провайдера, проходит идентификацию, согласование и настройку протоколов. Затем он по только что установленному соединению организует туннель до сервера виртуальной частной сети, указывая его сетевой адрес. Через туннель данные переносятся с помощью стандартного протокола удаленного доступа (чаще всего, PPP). Для того, чтобы обеспечить безопасность передаваемых данных, они шифруются (либо средствами протокола удаленного доступа РРР, либо предусмотренными в самой технологии виртуальной частной сети средствами) и затем передаются через сеть. Для организации виртуальных коммутируемых частных сетей чаще всего используются технологии РРТР (Point-to-Point Tunneling Protocol – туннельный протокол точка-точка) и L2F (Layer 2 Forwarding – пересылка второго уровня).

Виртуальные частные сети обеспечивают следующие возможности и преимущества:

 использование принятых в локальных сетях организации протоколов сетевого уровня и прикладных служб;

 использование принятых в локальных сетях организации соглашений, например, по адресации и именованию узлов;

 применение средств безопасности, включающих в себя аутентификацию пользователей или узла и шифрование данных.