Prezentare generală a rețelelor virtuale private furnizate de furnizor (PPVPN)

Rețelele private virtuale furnizate de furnizor (PPVPN) sunt VPN-uri la nivel de întreprindere utilizate în principal de companii pentru a permite personalului să asigure accesul la distanță la rețeaua lor corporativă. PPVPN-urile sunt, de asemenea, utilizate pentru a conecta în siguranță site-uri și rețele separate fizic între ele pe Internet.


În acest fel, diferitele site-uri apar utilizatorilor ca o rețea unică complet integrată. O companie care dorește să conducă o VPN corporativă își poate construi și opera propriul VPN dedicat. În mod alternativ, acesta poate închiria un serviciu PPVPN de la un furnizor de telecomunicații sau un ISP care deservesc activitatea către sectorul de afaceri.

VPN-urile furnizate de furnizor au avantajul ușurinței de implementare și operare. Rețeaua VPN este de obicei transparentă pentru utilizatori, fără a fi necesară autentificarea separată a utilizatorului. În funcție de protocoale și arhitectură VPN, odată configurate, mașinile gazdă ale utilizatorului final participant de o parte și de alta a VPN poate să nu aibă nevoie de niciun software special VPN instalat pentru a utiliza un VPN furnizat de furnizor..

kW1kW1

În acest articol

Cum funcționează PPVPN-urile

PPVPN folosesc legături de trafic virtuale pe Internet. cunoscute sub denumirea de „tunele” care sunt create folosind protocoale cum ar fi GRE, MPLS, PPTP, L2TP și Ipsec. Aceste protocoale permit traficului corporativ privat să traverseze Internetul public fără ca conexiunea sau datele să fie compromise.

Pentru VPN-urile cu acces la distanță care conectează un singur utilizator la o rețea corporativă prin dial-in, router DLS sau LAN wireless, protocoalele utilizate vor fi de obicei PPTP sau L2TP. Pentru VPN-urile care conectează două sau mai multe rețele de site unul cu celălalt, protocoalele vor fi în mod normal GRE, IPsec sau MPLS.

Tunelul VPN este stabilit între gateway-urile de rețea VPN ale fiecărui site, denumit “Edge furnizor” și “Client Edge” dispozitive. Tunelurile VPN funcționează la unul sau două dintre acestea Straturi definite de OSI definite.

Acesta este, de obicei, OSI Layer 2 sau Layer 3. Straturile 2 tuneluri folosesc PPTP și L2TP. Acesta este stratul de cadru în care sunt transportate cadre simple Ethernet prin VPN. Aceasta permite, de asemenea, pachetele de difuzare să treacă prin VPN. VPN-urile MPLS funcționează, de asemenea, la acest strat.

Exemple de tuneluri de nivel 3 sunt Încapsulare generică a traseului (GRE), angajat pentru a încapsula traficul non-IP pentru transport prin Internet fără criptare. Stratul 3 este de asemenea utilizat de protocolul IPsec care încorporează atât funcționalitatea de tunelare cât și criptarea.

Topologii VPN

Există două topologii principale posibile pentru configurarea unui VPN. - Mesh-based, unde fiecare set de dispozitive finale comunică între ele direct, fără a fi nevoie să treacă printr-un punct central. Acest lucru face pentru o mai bună capacitate de rutare, dar înseamnă, de asemenea, că sunt necesare mai multe tuneluri.

Hub și vorbire, unde fiecare set de dispozitive finale comunică între ele printr-un punct central. Această configurație reduce complexitatea și numărul de tuneluri, dar creează, de asemenea, cerințe mai mari de fiabilitate și duce la un trafic mai mare din aer în punctul central. Înseamnă, de asemenea, un singur punct de eșec este introdus în sistem.

Tipul de topologie ales va depinde de natura rețelelor implicate, de numărul de site-uri care vor fi legate și de cerințele de conectivitate ale acestora. Pentru o discuție aprofundată a topologiilor și arhitecturilor utilizate de VPN-uri, consultați lucrarea O analiză a soluțiilor virtuale de rețea privată publicat de The University of New South Wales.

Aspecte de securitate VPN

Securitatea VPN necesită funcționalități de autorizare, autentificare și criptare a datelor. Tunelurile VPN nu asigură întotdeauna o securitate adecvată. Depinde de protocolul specific folosit. Unele protocoale de transport conțin funcționalitate de criptare. Alții nu.

Chiar dacă sunt securizate, datele care trec prin VPN vor fi protejate în mod normal numai între cele două dispozitive de margine. Aceasta înseamnă că datele care călătoresc între gazde și marginea gateway-ului la fiecare capăt al VPN nu sunt protejate.

Protocoale de transport VPN

Deoarece VPN-urile funcționează prin internetul public, protocoalele de transport utilizate sunt cruciale atunci când vine vorba de securitatea datelor și a conexiunilor. Următoarele sunt cele mai frecvent întâlnite protocoale VPN utilizate pentru PPVPN.

Încapsulare generică de rutare (GRE) GRE este utilizat pentru a încapsula orice protocol în IP. O versiune mai nouă de GRE cunoscut sub numele de Îmbunătățit GRE permite o transmisie mai eficientă. GRE este utilizat împreună cu PPTP pentru a crea tuneluri VPN.

Protocol de tunelare punct la punct (PPTP) PPTP este un protocol Layer 2 utilizat pentru conexiunile punct la punct. În mod tradițional, acestea au fost dial-up sau ISDN care au folosit Protocol la punct la punct (PPP). PPTP a fost o dezvoltare suplimentară a PPP și folosește mecanismul de securitate proprietar Microsoft CHAP (Protocolul de autentificare a provocării de mână) pentru autentificare. PPTP furnizează un tunel VPN între un client final PPTP, cum ar fi PC sau laptop și un server PPTP activat.

Fiecare dispozitiv care dorește să utilizeze PPTP trebuie să aibă instalat și configurat software-ul client PPTP. PPTP, la rândul său, folosește GRE pentru încapsularea cadrelor PPP în pachete IP. Rețineți că multe dispozitive firewall cu filtrare de pachete blochează implicit portul PPTP, astfel încât este posibil să fie nevoie de reconfigurare pentru a permite trecerea traficului PPTP. O altă problemă cu PPTP este că protocolul a fost mult timp dovedit a fi intrinsec nesigur.

În general, nu doriți să utilizați PPTP cu un VPN furnizat de furnizor. Protocolul de tunelare strat 2 (L2TP) L2TP este un înlocuitor pentru PPTP. Ca și în cazul PPTP, L2TP asigură comunicarea între un client L2TP și un server activat L2TP. Este necesar ca software-ul client L2TP să fie instalat și configurat pe fiecare sistem.

Cu toate acestea, spre deosebire de PPTP, care folosește GRE pentru datele tunelului, L2TP are propriul protocol de tunelare care rulează pe portul UDP 1701. Acest lucru face mai ușor pentru L2TP să treacă fără obstacole prin dispozitivele de filtrare a pachetelor decât este cazul PPTP. Un tunel L2TP emulează o conexiune PPP și fiecare tunel L2TP cuprinde două canale: un canal de control care gestionează sesiunea de comunicare și canalul de date care transportă pachetele de date reale în format PPP. Mesajele de control pierdute sunt întotdeauna trimise.

Cu toate acestea, ca și în cazul PPTP, în afară de autentificarea inițială bazată pe provocări, folosind CHAP la începutul sesiunii, L2TP nu oferă nicio securitate și, prin urmare, L2TP nu ar trebui să fie utilizat de unul singur pentru o VPN. Un mod obișnuit de a adăuga securitate la L2TP este să-l integrezi cu IPsec pentru a oferi criptare prin tunelul L2TP.

Securitate protocol Internet (IPsec) IPsec este un set stabilit și dovedit de protocoale constând din trei componente principale: antetul de autentificare (AH), încărcarea de securitate încapsulantă (ESP) și schimbul de chei de Internet (IKE) care are grijă de criptarea datelor pentru IPsec. IPsec oferă securitate la stratul de pachete IP.

IPsec este un protocol la nivel de rețea care poate fi încorporat în servere, clienți și alte dispozitive, de exemplu într-un router, un concentrator VPN dedicat sau un firewall. Toate versiunile Windows din 2000 / XP și Mac OSX 10.3+ și cele mai multe sisteme de operare mobile vin cu suport nativ atât pentru L2TP cât și pentru IPsec. IPsec securizează fiecare pachet IP indiferent dacă este un TCP, UDP sau un alt tip de pachet. IPsec este considerat, în general, cel mai sigur și mai eficient protocol de transport VPN, dar are și unele limitări.

Antetul de autentificare (AH) AH asigură autentificarea utilizatorului, precum și protecția integrității pentru antetele de pachete și date. Cu toate acestea, AH nu realizează nicio criptare de pachete. Din acest motiv, AH și ESP tindeau să fie grupate împreună. De când s-au adăugat funcții de autentificare la ESP, AH a devenit mai puțin semnificativă și unele sisteme IPsec nu o mai includ.

Cu toate acestea, AH este încă o caracteristică utilă, deoarece oferă compatibilitate înapoi cu dispozitivele și software-ul care încă se bazează pe acesta. Este important să rețineți că AH are două moduri: transport și tunel. În modul tunel, AH creează un nou antet IP pentru fiecare pachet de date. În modul de transport, care este utilizat în general pentru conexiuni directe gazdă-gazdă (de exemplu, PC-la-server sau server-la-server), AH nu modifică antetul IP inițial și nici nu creează un antet IP nou. Acest lucru înseamnă că dacă utilizați o VPN gateway-to-gateway sau gazdă-la-gateway, atunci trebuie să vă asigurați că dispozitivele dvs. sunt configurate pentru a reconfigura adresele IP sursă sau destinație pentru pachete să indice adresele IP ale gateway-ului. În caz contrar, pachetele nu vor ajunge la destinație.

Încapsularea sarcinii de securitate (ESP) Inițial, ESP a furnizat doar criptarea datelor de pachete cu protecție de integritate îngrijită de protocolul AH. În versiunile ulterioare ale IPsec, ESP poate efectua acum criptarea, protecția integrității sau criptarea și protecția integrității împreună. Ca și în cazul AH, ESP are moduri de transport și tunel. Pentru majoritatea VPN-urilor, se utilizează modul tunel. În acest caz, ESP adaugă un nou antet IP pentru fiecare pachet care conține adresele finale ale tunelului.

Probleme potențiale cu IPsec

Utilizarea IPsec cu NAT (Network Address Translation) poate fi problematică. AH trebuie utilizat în modul tunel numai dacă traficul este de a traversa gateway-urile NAT, deoarece modul de transport AH nu este compatibil cu NAT. O altă problemă este că AH autentifică întregul pachet IPsec, inclusiv antetul IP, în timp ce NAT-urile trebuie să poată modifica adresele IP ale pachetelor..

Ca urmare, autentificarea IPsec în modul tunel poate să nu funcționeze cu anumite trafic de protocol de aplicație, cum ar fi FTP, SIP / VOIP sau IRC, care se bazează pe adrese IP încorporate pentru a funcționa corect. O soluție pentru acest lucru este de a efectua funcționalitatea NAT înainte de aplicarea IPsec. Acest lucru se poate face folosind un gateway IPsec care efectuează și NAT.

O altă alternativă este aplicarea încapsulării UDP a pachetelor ESP prin adăugarea unui antet UDP fiecărui pachet, care furnizează o adresă IP și un port UDP care poate fi utilizat de NAT. IPsec este deosebit de util pentru capetele exterioare finale unde criptarea este dorită în mod explicit atunci când vă conectați la computerele și laptopurile utilizatorilor. IPsec este, de asemenea, singurul protocol care oferă acces securizat la VPN pentru gazdele de conectare la distanță. Institutul Național de Standarde și Tehnologie (NIST) a publicat un detaliu Ghid pentru VPN-urile Ipsec ceea ce merită citit dacă aveți în vedere serios implementarea unei VPN bazate pe IPsec.

Comutarea etichetei multiprotocol (MPLS)

Până la începutul anilor 2000, IPsec a fost protocolul prestator prestator de servicii VPN oferit întreprinderilor de telecomunicații și ISP-uri. Dar de atunci, MPLS a început să devină mai popular. MPLS este adesea descris ca fiind potrivit între straturile OSI 2 și 3. Acest lucru se datorează faptului că MPLS înțelege atât rutarea IP la nivelul 3, cât și funcționalitatea de comutare a pachetelor de nivel 2. MPLS, ca “multiprotocol” numele implică, poate transporta pachete dintr-o gamă diversă de protocoale de rețea diferite. MPLS este acum oferit de numeroase rețele de furnizori de servicii, precum și de a fi implementat pentru propriile dispozitive de internet.

MPLS transmite pachete la nivelul 2 (stratul de comutare). Nevoia de rutare IP în această etapă este evitată, deoarece fiecare pachet este etichetat la intrarea în rețeaua furnizorului de servicii de către Routerul Label Edge sau LER care intră sau „intră”. Toate routerele de comutare a etichetelor (LSR) participante la MPLS, efectuează redirecționarea pachetelor în conformitate cu aceste etichete, fără nicio referire la adresa din antetul IP..

În cele din urmă, routerul LER de ieșire sau „ieșire” scoate eticheta MPLS și transmite pachetul IP către destinația finală. VPN-urile MPLS sunt uneori menționate de furnizorii de servicii ca un serviciu LAN virtual virtual (VPLS) sau o rețea virtuală rutată privată (VPRN). MPLS oferă o serie de avantaje față de IPsec.

În primul rând, mai degrabă decât să se bazeze pe o serie de căutări în tabelul de router de-a lungul drumului pentru fiecare pachet, MPLS folosește propriile căi predeterminate numite Label-Switch-Paths pentru a selecta ruta optimă în avans pentru toate pachetele. Acest lucru grăbește foarte mult transferul de date.

MPLS are, de asemenea, o calitate excelentă a calității serviciilor (QoS). MPLS acceptă definirea mai multor niveluri de servicii prin utilizarea propriilor rute Label Switching Protocol (LSP) pentru a îndeplini acorduri specifice de nivel de serviciu bazate pe caracteristici de trafic, latență, pierderi de pachete și probleme de oprire. De exemplu, o rețea ar putea defini trei niveluri de servicii - unul pentru traficul VOIP, unul pentru trafic sensibil la timp și altul pentru trafic de date standard. EETimes a publicat un articol aprofundat cu privire la implementarea soluțiilor PPVPN bazate pe MPLS.

Deci, ce protocol este cel mai potrivit pentru un PPVPN?

IPsec tinde să fie favorizat de întreprinderile mici pentru VPN-urile din stratul OSI 3 și în special pentru gazdele cu acces la distanță. În aceste cazuri, IPsec cu L2TP sau IPsec cu GRE vor fi protocoalele preferate. PPTP are avantajul de a fi ușor de implementat, deoarece este disponibil ca încorporat cu MS-Windows și cu multe alte sisteme.

Cu toate acestea, din cauza dezavantajelor de securitate, utilizarea PPTP nu este recomandată pentru o VPN sigură. Rețineți că IPsec și GRE nu acceptă singure funcționalitatea QoS. IPSec este mai rar întâlnit între întreprinderile la scară medie și mare din cauza complexității cerințelor de conectivitate a rețelei.

Pentru utilizatorii de telefonie mobilă și loginele de acces la distanță, MPLS nu este o opțiune. MPLS se oprește la „marginea clientului” sau la dispozitivul CE (de obicei un router). MPLS este cel mai potrivit pentru implementarea VPN-urilor site-to-site între marginile routerului site-urilor de rețea și pentru întreprinderile mai mari, în special pentru rețelele cu volume de trafic mai mari și trafic de diferite tipuri care beneficiază de segregarea QoS. Dacă sunteți în căutarea unui furnizor VPN MPLS adecvat, consultați Lista furnizorilor de servicii comerciale VPL din Marea Britanie și Global MPLS VPN întreținut de The Network Union.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me