VPN

VPN (Virtual Private Network, виртуальная частная сеть) — технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях, включая Интернет. С ее помощью решается ряд вспомогательных задач, включая защиту внутреннего трафика организации, поддерживающей VPN. Эта технология является конкурирующей по отношению к технологии Virtual LAN. Основным разработчиком технических решений, связанных с VPN-технологией, является фирма Check Point (52% рынка).
Intranet VPN предназначен для объединения в единую защищенную сеть нескольких распределенных филиалов одной организации (наиболее распространен). Remote Access VPN обеспечивает защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) с одиночным пользователем, который подключается к сети с собственного компьютера. Client/Server VPN обеспечивает защиту передаваемых данных между двумя узлами корпоративной сети. Extranet VPN предназначена для использования в сетях, к которым подключаются внешние пользователи, уровень доверия к которым ниже, чем к основным пользователям сети. Для создания VPN-сетей, как правило, используются три протокола: сквозной туннельный протокол (PPTP), протокол Ipsec и туннельный протокол второго уровня (L2TP).
NGN (Next Generation Network, New Generation Network) — концепция построения многофункциональных и многопользовательских сетей с гибкими возможностями управления, а также создания новых услуг за счет унификации сетевых решений. В частности, под такой унификацией подразумевается использование коммутации для передачи речи, аудио- и видеоданных (включая телевидение) на основе использования специальной мультимедийной IP-подсистемы — IMS (IP Multimedia Subsystem), обеспечивающей создание и реализацию охватывающих всю сеть (включая и беспроводную) так называемых «конвергентных услуг».
Стандарт IMS, разработанный организацией 3GPP описывает функции сетевых элементов и интерфейсов между ними. Он поддерживает множество различных серверов приложений: от серверов телефонных приложений до комбинированных серверов обработки данных и голоса, профильных приложений обработки данных (в том числе системы мгновенного обмена сообщениями — Push to Talk), а также других приложений, не входящих в IMS. Сервисная архитектура IMS представляет собой набор логических функций, распределенных по трем уровням сети NGN: транспортному (уровень конечных точек и шлюзов), управления сеансами и приложений.
Транспортный уровень NGN организует сеанс при помощи протокола инициации сеанса — SIP (Session Initiation Protocol). Он обеспечивает транспортные услуги с конвертированием голоса из аналогового или цифрового сигнала в IP-пакеты и включает в себя медиа-шлюзы для преобразования голоса из формата VoIP в формат TDM. Пакеты IP передаются по сети в реальном времени протоколом RTP (Real Time Protocol). Кроме того, он реализует ряд медиауслуг (например: голосовые и видеоконференции, распознавание сигнала и голоса, вывод речи, голосовые почтовые ящики).
Уровень управления сеансами NGN включает функцию — CSCF (Call Session Control Function), управляющую регистрацией оконечных устройств и маршрутизацией сообщений SIP к соответствующим серверам приложений на основе критериев фильтрации, заданных в домашнем сервере подписчика — HSS (Home Subscriber Server) и взаимодействует с транспортным уровне для обеспечения качества приложений.
Уровень управления сеансами NGN составляет база данных HSS, с использованием которой определяется состав и качество услуг. Поскольку основным протоколом для сетей нового поколения остается IP, эти сети также называют IP NGN (IP Next Generation Network). Принципиальной особенностью сетей IP NGN является предоставление пользователям всех типов приложений, интеграция существующих разнородные системы доступа и обеспечение гарантированного качества услуг, соответствующее требованиям IETF — QoS. Технологии и протоколы, используемые в VPN:
MPLS (Multi-Protocol Label Switching, многопротокольная коммутация меток) — пакетная технология передачи данных в виртуальных частных сетях, используемая централизованными службами управления для сквозной передачи потоков IP- пакетов через Интернет без предварительной упаковки в кадры асинхронного режима передачи данных.
VPLS (Virtual Private LAN Service, Transparent LAN Service, TLS), E-LAN service) — технология создания многоточечных соединений и услуг межсоединений локальных сетей, в соответствии с которой каждому пользователю VPLS операторы предоставляют широковещательные домены для связи с узлами разнородных сетей (LAN/Ethernet/WAN/IP). Маршрутизаторы провайдерской сети, обработав многоадресный трафик как широковещательный, дублируют его на все порты, относящиеся к созданной клиентской VPLS-сети. Таким образом, создается впечатление, что все клиенты подключены к единой локальной сети. Если число маршрутизаторов в провайдерской сети (Provider Edge, PE) становится слишком большим (от 40 до 60 и более), возникает необходимость перехода на многоуровневые архитектуры для масштабирования услуг VPN с использованием иерархических VPLS — HVPLS (Hierarchic(al) Virtual Private LAN Service).
SSH (Secure Shell, OpenSSH) — протокол и реализующие его программные средства, предназначенные для повышения безопасности при работе Unix-систем в Интернете. Наибольшее использование SSH получил в банковских и коммерческих приложениях.
SSL (STTPS, Secure Sockets Layer) — сетевой протокол (в числе OpenSSL, SSH), поддерживающий защищенные («секретные») каналы передачи данных. Он обеспечивает секретность и надежность связи между двумя программными приложениями путем реализации конфиденциального соединения за счет шифрования данных. Шифрование производится открытым ключом для подтверждения подлинности передатчика и получателя. Поддержка надежности передачи данных обеспечивается за счет использования корректирующих кодов и безопасных хэш-функций.
EAP (Extensible Authentication Protocol) — открытый протокол аутентификации, в отличие от протокола SSL, который в большинстве случаев ограничивается односторонней аутентификацией (только сервера), EAP на транспортном уровне — EAP TLS (EAP Transport Level Security) производит аутентификацию как сервера, так и клиента. После успешной аутентификации происходит (в зависимости от используемой архитектуры) назначение правил доступа к сети и параметров качества оказываемых услуг (QoS).
Tunneling (туннелирование) — способ взаимодействия двух или более сетевых сред (например ЛВС) через транспортную среду, при котором программными средствами блокируются нежелательные соединения (например, входящие) и/или автоматизированным образом обеспечиваются определенные сервисные возможности соединения. Туннелирование используется для повышения безопасности сети (часто совместно с шифрованием), затруднения использования персоналом организаций запрещенных для него Интернет-сервисов, формирования виртуальных частных сетей, осуществления связи между сетями с разными протоколами, повышения пропускной способности сети при выполнении внешних соединений. В зависимости от используемых для туннелирования средств различают SSH-туннелирование, ACK-туннелирование, SNMP-туннелирование. Одним из специализированных средств туннелирования является свободно распространяемая программа с открытыми исходными текстами — Zebedee.
Статья находится в рубриках
Яндекс.Метрика