Преглед виртуелних приватних мрежа које пружа пружалац услуга (ППВПН)

Виртуелне приватне мреже обезбеђене од пружаоца услуга (ВПВПН-ови) су ВПН-ови на нивоу предузећа који се углавном користе од стране предузећа да би особама омогућили удаљени приступ својој корпоративној мрежи. ППВПН се такође користе за сигурно повезивање физички одвојених локација и мрежа међусобно путем Интернета.


На тај се начин различите веб локације пружају корисницима као цјеловита интегрирана јединствена мрежа. Компанија која жели да води корпоративни ВПН може да изгради и управља сопственим наменским ВПН-ом. Алтернативно, може да закупи ППВПН услугу од телеком оператера или даватеља интернетских услуга који послује са пословним сектором.

Предност ВПН пружалаца услуга има предност у једноставности имплементације и руковања. ВПН мрежа је обично транспарентна за кориснике без потребне посебне провере идентитета корисника. У зависности од протокола и ВПН архитектуре, једном конфигурисано, матичним машинама крајњег корисника на обе стране ВПН-а можда неће бити потребан посебан ВПН софтвер инсталиран за употребу ВПН-а који је заштићен од стране добављача..

кв1кв1

У овом чланку

Како раде ППВПН-ови

ППВПН-ови користе виртуалне саобраћајне везе преко Интернета. познати као "тунели" који су створени помоћу протокола као што су ГРЕ, МПЛС, ППТП, Л2ТП и Ипсец. Ови протоколи омогућавају приватном корпоративном промету да пређе јавни Интернет без повезивања или података.

За ВПН-ове са даљинским приступом који повезују једног корисника с корпоративном мрежом путем бирања, ДЛС рутера или бежичног ЛАН-а, протоколи који се користе обично ће бити ППТП или Л2ТП. За ВПН-ове који повезују две или више мрежних мрежа међусобно, протоколи ће обично бити ГРЕ, ИПсец или МПЛС.

ВПН тунел се успоставља између мрежних пролаза ВПН мреже на свакој локацији, која се назива “Едге Едге” и “Цустомер Едге” уређаји. ВПН тунели раде на једном или два од Кумикацијски слојеви дефинисани ОСИ-јем.

То је обично или ОСИ Лаиер 2 или Лаиер 3. Слојеви 2 тунели користе ППТП и Л2ТП. Ово је Фраме Лаиер у којем се једноставни Етхернет оквири преносе путем ВПН-а. Ово такође омогућава емитираним пакетима да пролазе кроз ВПН. МПЛС ВПН-ови такође раде на овом слоју.

Примјери тунела нивоа 3 су Општа енкапсулација руте (ГРЕ), запослен је да капсулира не-ИП саобраћај за транспорт путем Интернета без шифрирања. Слој 3 такође користи ИПсец протокол који укључује и тунелирање и функцију шифровања.

ВПН топологије

Постоје две главне могуће топологије за постављање ВПН-а. - На мрежи, где сваки скуп крајњих уређаја директно комуницира један са другим, без потребе да пролази кроз централну тачку. То омогућава боље могућности усмеравања, али такође значи и да је потребно више тунела.

Са концентрацијом и говорима, где сваки скуп крајњих уређаја комуницира један са другим путем централне тачке. Ова конфигурација смањује сложеност и број тунела, али поставља и веће захтеве за поузданошћу и резултира тежим прометом изнад централне тачке. То такође значи да се у систем уводи једна тачка квара.

Тип изабране топологије зависиће од природе мреже која је укључена, броја локација које треба повезати и њихових појединачних потреба за повезивањем. За детаљну расправу о топологијама и архитектурама које користе ВПН, погледајте чланак Анализа виртуелних решења приватних мрежа објавио је Универзитет Новог Јужног Велса.

Аспекти сигурности ВПН-а

Сигурност ВПН захтева ауторизацију корисника, функције за потврђивање идентитета и шифровање података. ВПН тунели сами по себи не пружају увек одговарајућу сигурност. Зависи од конкретног протокола који се користи. Неки протоколи за транспорт садрже функцију шифрирања. Други не.

Чак и ако је заштићен, подаци који пролазе кроз ВПН и даље ће бити заштићени само између два уређаја ивица пролаза. То значи да подаци који путују између домаћина и ивице гатеваи-а на сваком крају ВПН-а нису заштићени.

ВПН протоколи за транспорт

Будући да ВПН-ови раде путем јавног интернета, кориштени транспортни протоколи су пресудни када је у питању сигурност података и везе. Следе тренутни тренутно најчешћи ВПН протоколи који се користе за ППВПН.

Инкапсулација генеричких рута (ГРЕ) ГРЕ се користи за енкапсулацију било ког протокола у ИП. Новија верзија ГРЕ позната као Појачано ГРЕ омогућава ефикаснији пренос. ГРЕ се користи заједно са ППТП за стварање ВПН тунела.

Протокол тунелирања од тачке до тачке (ППТП) ППТП је протокол нивоа 2 који се користи за повезивање тачка-тачка. Традиционално су то били диал-уп или ИСДН који су користили тај Протокол од тачке до тачке (ППП). ППТП је био даљњи развој ППП-а и користи Мицрософтов власнички механизам заштите ЦХАП (Цхалленге Хандсхаке Аутхентицатион Протоцол) за аутентификацију ППТП пружа ВПН тунел између ППТП крајњег клијента, попут рачунара или лаптопа, и послужитеља који подржава ППТП.

Сваки уређај који жели користити ППТП мора имати инсталиран и конфигуриран ППТП клијентски софтвер. ППТП заузврат користи ГРЕ за капсулирање ППП оквира у ИП пакете. Имајте на уму да многи уређаји заштитног зида за филтрирање пакета подразумевано блокирају ППТП порт, па ће им можда требати реконфигурирање да прођу ППТП саобраћај. Други проблем са ППТП-ом је тај што је протокол већ одавно доказан да је интринзично несигуран.

Генерално гледано, не желите да користите ППТП са ВПН-ом који је провајдер. Протокол тунелирања нивоа 2 (Л2ТП) Л2ТП је замена за ППТП. Као и код ППТП-а, Л2ТП пружа комуникацију између Л2ТП клијента и сервера који подржава Л2ТП. Захтијева да се клијентски софтвер Л2ТП инсталира и конфигурише на сваки систем.

Међутим, за разлику од ППТП-а, који користи ГРЕ за тунелисање података, Л2ТП има свој протокол за тунелирање који ради на УДП порталу 1701. То олакшава Л2ТП да несметано пролази кроз уређаје за филтрирање пакета него што је то случај с ППТП-ом. Л2ТП тунел опонаша ППП везу и сваки Л2ТП тунел садржи два канала: контролни канал који управља сесијом комуникације и канал података који садржи стварне пакете података у ППП формату. Изгубљене контролне поруке увек се шаљу.

Међутим, као и код ППТП-а, осим почетне провере засноване на изазову помоћу ЦХАП-а на почетку сесије, Л2ТП не пружа никакву сигурност и тако Л2ТП не треба сам да користи за ВПН. Један уобичајени начин додавања сигурности Л2ТП-у је његово повезивање са ИПсец-ом ради обезбеђивања шифрирања кроз Л2ТП тунел.

Безбедност Интернет протокола (ИПсец) ИПсец је утврђени и доказан скуп протокола који се састоји од три примарне компоненте: заглавље идентитета (АХ), сигурносни терет за енкапсулирање (ЕСП) и интернетска размена кључева (ИКЕ) која се брине за шифровање података за ИПсец. ИПсец пружа сигурност на слоју ИП пакета.

ИПсец је протокол на нивоу мреже који се може уградити у сервере, клијенте и друге уређаје, на пример у рутер, наменски ВПН концентратор или ватрозид. Све верзије оперативног система Виндовс од 2000 / КСП и Мац ОСКС 10.3+ и већина мобилних оперативних система долазе са изворном подршком за Л2ТП и ИПсец. ИПсец осигурава сваки ИП пакет без обзира да ли се ради о ТЦП, УДП или другом типу пакета. ИПсец се генерално сматра најсигурнијим и најефикаснијим протоколом за пренос ВПН-а, али има и одређена ограничења.

Заглавље идентитета (АХ) АХ пружа аутентификацију корисника као и заштиту интегритета за заглавље и податке пакета. Међутим, АХ не врши ниједно шифровање пакета. Из тог разлога, АХ и ЕСП обично су били повезани заједно. Откад су ЕСП-у додате могућности за аутентификацију, АХ је постао мање значајан и неки ИПсец системи више не укључују.

Међутим, АХ је и даље корисна функција јер омогућава повратну компатибилност са уређајима и софтвером на који се и даље ослањају. Важно је напоменути да АХ има два начина: транспорт и тунел. У режиму тунела, АХ креира ново ИП заглавље за сваки пакет података. У режиму превоза, који се обично користи за директне везе домаћин-домаћин (на пример ПЦ-сервер-сервер или сервер-сервер), АХ не мења оригинално ИП заглавље нити ствара ново ИП заглавље. То значи да ако користите гатеваи до гатеваи или хост-то-гатеваи ВПН, тада морате осигурати да су ваши уређаји постављени за реконфигурирање изворне или одредишне ИП адресе за пакете који упућују на ИП адресе гатеваи-а. У супротном пакети неће стићи на одредиште.

Инкапсулација безбедносног оптерећења (ЕСП) У почетку је ЕСП пружио само енкрипцију за пакетне податке са заштитом интегритета о коме се брине АХ протокол. У каснијим верзијама ИПсец-а, ЕСП сада може заједно да врши енкрипцију, заштиту интегритета или енкрипцију и заштиту интегритета. Као и код АХ, ЕСП има и начин транспорта и тунела. За већину ВПН-а користи се режим тунела. У овом случају ЕСП додаје ново ИП заглавље за сваки пакет који садржи адресе крајње тачке тунела.

Потенцијални проблеми са ИПсец-ом

Употреба ИПсец-а са НАТ (Нетворк Аддресс Транслатион) пролазима може бити проблематична. АХ треба користити у режиму тунела само ако саобраћај жели да пређе НАТ капија, јер АХ начин преноса није НАТ-компатибилан. Други проблем је што АХ потврђује целокупан ИПсец пакет, укључујући ИП заглавље, док НАТ-ови морају да могу да мењају ИП адресе пакета.

Као резултат тога, провера идентитета ИПсец у режиму тунела можда неће радити са одређеним прометом протокола апликације као што су ФТП, СИП / ВОИП или ИРЦ који се ослањају на уграђене ИП адресе како би правилно функционисале. Једно решење за то је извођење НАТ функције пре примене ИПсец-а. То се може учинити коришћењем ИПсец гатеваи-а који такође обавља НАТ.

Друга алтернатива је примјена УДП енкапсулације ЕСП пакета додавањем УДП заглавља у сваки пакет, који пружа ИП адресу и УДП порт који могу користити НАТ. ИПсец је посебно користан за крајње спољне крајеве где је шифрирање изричито потребно када се повезујете са корисничким рачунарима и лаптопима. ИПсец је такође једини протокол који нуди сигуран ВПН приступ за удаљене хостове за пријаву. Национални институт за стандарде и технологију (НИСТ) објавио је детаље Водич за Ипсец ВПН-ове што вреди прочитати ако озбиљно размишљате о имплементацији ВПН-а заснованог на ИПсец-у.

Мултипротоцол пребацивање налепница (МПЛС)

До раних 2000-их ИПсец је био задани протокол добављача ВПН услуга који су предузећима нудили телекоми и ИСП-ови. Али од тада је МПЛС почео да постаје све популарнији. МПЛС се често описује као уклапање између ОСИ слојева 2 и 3. То је зато што МПЛС разуме како ИП рутирање на 3. слоју, тако и функцију пребацивања пакета другог нивоа. МПЛС, као “Мултипротоцол” име имплицира, могу да носе пакете из различитих распона различитих мрежних протокола. МПЛС сада нуде многе мреже провајдера сервиса, као и постављање ради властитих интернетских окосница.

МПЛС прослеђује пакете на слоју 2 (преклопни слој). Избјегава се потреба за усмјеравањем ИП-а у овој фази јер се сваки пакет означава при уласку у мрежу даватеља услуга долазним или „улазним“ усмјеривачем рубова наљепница или ЛЕР-ом. Сви наредни МПЛС-ови усмеравајући рутери за пребацивање налепница (ЛСРс) извршавају прослеђивање пакета само у складу са овим налепницама, без икаквог позивања на адресу у ИП заглављу.

Најзад, одлазећи или „излазећи“ ЛЕР рутер уклања МПЛС налепницу и прослеђује ИП пакет на крајње одредиште. МПЛС ВПН-ове добављачи услуга понекад називају виртуалном приватном ЛАН мрежом (ВПЛС) или виртуелном приватном усмереном мрежом (ВПРН). МПЛС нуди низ предности у односу на ИПсец.

Прво, умјесто да се ослања на низ претраживања таблице рутера за сваки пакет, МПЛС користи своје унапријед одређене стазе назване Лабел-Свитцхед Патхс да унапријед одаберу оптималну руту за све пакете. Ово знатно убрзава пренос података.

МПЛС такође има одличне могућности за квалитет услуге (КоС). МПЛС подржава дефиницију више нивоа услуга користећи сопствене руте протокола за пребацивање наљепница (ЛСП) како би се задовољили одређени споразуми о нивоу услуге на основу карактеристика саобраћаја, кашњења, губитка пакета и прекида рада. На пример, мрежа може да дефинише три нивоа услуге - један за ВОИП саобраћај, један за саобраћај осетљив на време и други за стандардни саобраћај података. ЕЕТимес је објавио детаљни чланак о часопису имплементација ППВПН решења заснованих на МПЛС-у.

Који је протокол најбољи за ППВПН?

ИПсец има тенденцију да фаворизују мала предузећа за ВПН-ове на ОСИ-овом нивоу 3, а нарочито за хост-ове удаљеног приступа. У овим случајевима преферирани протоколи ће бити ИПсец са Л2ТП или ИПсец са ГРЕ. Предност ППТП-а је у томе што је лаган за имплементацију јер је доступан као уграђени МС-Виндовс и многи други системи.

Међутим, због сигурносних недостатака, коришћење ППТП-а није препоручљиво за сигуран ВПН. Имајте на уму да ИПсец и ГРЕ не подржавају КоС функционалност сами. ИПСец се рјеђе сусреће међу средњим и великим предузећима због сложености њихових захтјева за повезивањем у мрежу.

За кориснике мобилних уређаја и пријаве са даљинског приступа МПЛС није опција. МПЛС се зауставља на „купцу“ или ЦЕ уређају (обично рутер). МПЛС је најприкладнији за употребу за ВПН-ове са локације на локацију између рубова рутера мрежних локација и за већа предузећа, а посебно за мреже са већим обимом саобраћаја и различитим врстама промета који имају користи од КоС сегрегације. Ако тражите одговарајућег МПЛС ВПН провајдера, погледајте овај Списак добављача комерцијалних услуга за ВПН Велике Британије и Глобал МПЛС одржава Мрежна унија.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me