Основное протоколы построения сетей VPN

Для построения VPN используются протоколы следующих уровней:

- канального;

- сетевого;

- транспортного.

К протоколам канального уровня относятся

- PPTP (Point to Point Tunneling Protocol) - инкапсулирует IP - пакеты для передачи по сети. Позволяет передавать через туннель пакеты PPP.

- L2TP (Layer 2 Tunneling Protocol) - позволяет передавать через туннель пакеты SLIP и PPP. Позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

- MPLS (Multiprotocol Label Switching) - механизм передачи данных, эмулирующий свойства различных сетей. был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

К протоколам сетевого уровня относятся:

- IPSec - согласованный набор открытых стандартов. Ядром IPSec являются три протокола:

· AH (Authentication Header) - гарантирует целостность и аутентичность данных.

· ESP (Encapsulating Security Payload) - шифрует передаваемые данные, обеспечивая их конфиденциальность, поддерживает средства аутентификации и обеспечения целостности данных.

· IKE (Internet Key Exchange) - решает задачу автоматического предоставления конечным пользователям защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования.

К протоколам транспортного уровня относятся:

- SSL/TLS (Secure Socket Layer/Transport Layer Security) - реализует шифрование и аутентификацию между транспортными уровнями приемника и передатчика. Применяется для защиты TCP - трафика, не может применяться для UDP.

44. Основные схемы организации VPN-соединений

VPN с удаленным доступомпозволяют значительно сократить ежемесячные расходы на использование коммутируемых и выделенных линий. Принцип их работы прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети, после чего их вызовы туннелируются через Интернет, что избавляет от платы за междугородную и международную связь или выставления счетов владельцам бесплатных междугородных номеров; затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети.

Преимущества перехода от частно управляемых dial networks к Remote Access VPN:
• возможность использования местных dial-in numbers вместо междугородних позволяет значительно снизить затраты на междугородние телекоммуникации;
• эффективная система установления подлинности удаленных и мобильных пользователей обеспечивает надежное проведение процедуры аутентификации;
• высокая масштабируемость и простота развертывания для новых пользователей, добавляемых к сети;
• сосредоточение внимания компании на основных корпоративных бизнес-целях вместо отвлечения на проблемы обеспечения работы сети.

Внутрикорпоративные сети VPN строятся с использованием Internet или разделяемых сетевых инфраструктур, предоставляемых сервис-провайдерами.

Достоинства Intranet VPN:
• применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации;
• надежность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и системы управления базами данных;
• гибкость управления эффективным размещением быстро возрастающего числа новых пользователей, новых офисов и новых программных приложений.

Межкорпоративная сеть VPN — это сетевая технология, которая обеспечивает прямой доступ из сети одной компании к сети другой компании и, таким образом, способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества.

Сети Extranet VPN в целом похожи на внутрикорпоративные виртуальные частные сети с той лишь разницей, что проблема защиты информации является для них более острой. Для Extranet VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях.

Когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнеры имели доступ только к определенной информации. При этом конфиденциальная информация должна быть надежно защищена от несанкционированного использования. Именно поэтому в межкорпоративных сетях большое значение придается контролю доступа из открытой сети посредством МЭ. Важна и аутентификация пользователей, призванная гарантировать, что доступ к информации получают только те, кому он действительно разрешен. Вместе с тем, развернутая система защиты от несанкционированного доступа не должна привлекать к себе внимания.

Соединения Extranet VPN развертываются, используя те же архитектуру и протоколы, которые применяются при реализации Intranet VPN и Remote AccessVPN. Основное различие заключается в том, что разрешение доступа, которое дается пользователям Extranet VPN, связано с сетью их партнера.