Віртуальні приватні мережі
Віртуальні приватні мережі (VPN) привертають увагу як провайдерів мережевих послуг і Internet-провайдерів, так і корпоративних користувачів. Компанія Infonetics Research прогнозує, що ринок VPN зростатиме більш ніж на 100% щорічно до 2003 р., і його обсяг досягне 12 млрд. дол.
Далі, приватні мережі не в змозі забезпечити такі ж можливості для комерційної діяльності, які надає Internet та IP-базовані додатки, наприклад, просування продукції, підтримка замовників або постійний зв'язок із постачальниками. Така взаємодія в режимі on-line вимагає об'єднання приватних мереж, які зазвичай використовують різні протоколи та додатки, різні системи управління мережею та різних постачальників послуг зв'язку.
Таким чином, висока вартість, статичність і труднощі, що виникають при необхідності об'єднати приватні мережі, що базуються на різних технологіях, вступають у суперечність з бізнесом, що динамічно розвивається, його прагненням до децентралізації і тенденцією до злиття компаній, що проявляється останнім часом.
У той же час паралельно існують позбавлені цих недоліків мережі передачі даних загального користування та Internet, що буквально огорнула своєю «павутиною» всю земну кулю. Щоправда, вони позбавлені й найважливішої гідності приватних мереж — надійного захисту корпоративної інформації. Технологія віртуальних приватних мереж дозволяє об'єднати гнучкість, масштабованість, низьку вартість і доступність буквально в режимі «anytime anywhere» Internet і мереж загального користування з безпекою, характерною для приватних мереж. За своєю суттю VPN є приватними мережами, які передачі трафіку використовують глобальні мережі загального доступу (Internet, Frame Relay, ATM). Віртуальність виявляється в тому,що для корпоративного користувача вони є виділеними приватними мережами.
Іншим способом зробити приватну мережу сумісною з Internet є встановлення IP-шлюзу. Шлюз транслює не IP-протоколи в IP-протоколи і навпаки. Більшість мережевих операційних систем, що використовують нативні протоколи, мають програмне забезпечення для IP-шлюзу.
Для передачі по Internet пакетів, відмінних від IP мережевих протоколів, із боку джерела інкапсулюються в IP-пакеты. Найчастіше застосовуваний метод створення VPN-тунелів полягає в інкапсуляції IP-пакету в пакет PPP (Point-to-Point Protocol) з подальшою інкапсуляцією в IP-пакет. Нагадаю, що протокол PPP використовується для з'єднання типу точка-точка, наприклад, для зв'язку клієнта з сервером. Процес IP-інкапсуляції включає додавання стандартного IP-заголовка до оригінального пакету, який потім розглядається як корисна інформація. Відповідний процес на іншому кінці тунелю видаляє IP-заголовок, залишаючи незмінним оригінальний пакет. Оскільки технологія тунелювання досить проста, вона є найбільш прийнятною щодо вартості.
БЕЗПЕКАЗабезпечення необхідного рівня безпеки часто є основним пунктом при розгляді корпорацією можливості використання Internet-базованих VPN. Багато IT-менеджерів звикли до захисту приватної інформації, що спочатку притаманна приватним мережам, і розглядають Internet як занадто «загальнодоступний» для використання її як приватна мережа. Якщо користуватися англійською термінологією, то є три «Р», реалізація яких у сукупності забезпечує повний захист інформації. Це: Protection - захист ресурсів за допомогою брандмауерів (firewall); Proof - перевірка ідентичності (цілісності)пакета та автентифікація відправника (підтвердження права на доступ); Privacy — захист конфіденційної інформації за допомогою шифрування. Всі три «Р» однаково значимі для будь-якої корпоративної мережі, включаючи і VPN. У суто приватних мережах для захисту ресурсів та конфіденційності інформації достатньо використання досить простих паролів. Але як тільки приватна мережа підключається до загальнодоступної, жодна з трьох «Р» не може забезпечити необхідний захист. Тому для будь-якої VPN у всіх точках її взаємодії з мережею загального користування повинні бути встановлені брандмауери, а пакети повинні шифруватися та виконувати їх аутентифікацію.
Брандмауери є істотним компонентом будь-якої VPN. Вони пропускають лише санкціонований трафік для довірених користувачів та блокують решту. Інакше кажучи, перетинаються спроби доступу невідомих чи недовірених користувачів. Ця форма захисту має бути забезпечена для кожного сайту та користувача, оскільки відсутність її в будь-якому місці означає відсутність скрізь. Для безпеки віртуальних приватних мереж застосовуються спеціальні протоколи. Ці протоколи дозволяють хостам «домовитися» про техніку шифрування та цифрового підпису, що використовується, що дозволяє зберегти конфіденційність і цілісність даних і виконати аутентифікацію користувача.
Протокол Microsoft Point-to-Point Encryption (MPPE) шифрує PPP-пакети на машині клієнта перед тим, як направити їх у тунель. Сесія шифрування ініціалізується під час встановлення зв'язку з тунельним термінатором за протоколом PPP.
Засоби забезпечення безпеки не обмежуються наведеними прикладами. Багато виробників маршрутизаторів та брандмауерів пропонують свої рішення. Серед них - Ascend, CheckPoint таCisco.
ДОСТУПНІСТЬДоступність включає три однаково важливі складові: час надання послуг, пропускну спроможність і час затримки. Час надання послуг є предметом договору з сервіс-провайдером, а решта двох складових відноситься до елементів якості послуг (Quality of Service — QoS). Сучасні технології транспорту дають змогу побудувати VPN, що задовольняють вимогам практично всіх існуючих додатків.
Адміністратори мереж завжди хочуть мати можливість здійснювати наскрізне, з кінця в кінець, управління корпоративною мережею, включаючи ту частину, що відноситься до телекомунікаційної компанії. Виявляється, що VPN надають у цьому плані більше можливостей, ніж звичайні приватні мережі. Типові приватні мережі адмініструються від кордону до кордону, тобто. сервіс-провайдер управляє мережею до фронтальних маршрутизаторів корпоративної мережі, тоді як абонент управляє власне корпоративною мережею до пристроїв доступу до WAN. Технологія VPN дозволяє уникнути цього своєрідного поділу «сфер впливів», надаючи і провайдеру, і абоненту єдину систему управління мережею в цілому як її корпоративною частиною, так і мережевою інфраструктурою загальнодоступної мережі. Адміністратор мережі підприємства має можливість виконувати моніторинг та реконфігурацію мережі, керувати передніми пристроями доступу, визначати стан мережі в режимі реального часу.
Існують три моделі архітектури віртуальних приватних мереж: залежна, незалежна та гібридна як комбінація перших двох альтернатив. Приналежність до тієї чи іншої моделі визначається тим, де реалізуються чотири основні вимоги до VPN. Якщо провайдер глобальних мережних послуг надає повне рішення для VPN, тобто.забезпечує тунелювання, безпеку, продуктивність та управління, то це робить архітектуру залежною від нього. У цьому випадку всі процеси VPN для користувача прозорі, і він бачить тільки свій нативний трафік - IP-, IPX- або NetBEUI-пакети. Перевага залежної архітектури для абонента полягає в тому, що він може використовувати існуючу мережну інфраструктуру «як вона є», додаючи лише брандмауер між VPN та приватною WAN/LAN.
Незалежна архітектура реалізується у разі, коли організація забезпечує всі технологічні вимоги своєму обладнанні, делегуючи сервіс-провайдеру лише транспортні функції. Така архітектура коштує дорожче, проте надає користувачеві можливість повного контролю над усіма операціями.
Гібридна архітектура включає залежні та незалежні від організації (відповідно, від сервіс-провайдера) сайти.
Які ж пряники обіцяють VPN для корпоративних користувачів? Насамперед, за оцінками індустріальних аналітиків, це зниження витрат за всі види телекомунікацій від 30 до 80 %. А також це практично повсюдний доступ до мереж корпорації чи інших організацій; це реалізація безпечних комунікацій з постачальниками та замовниками; це покращений та розширений сервіс, недосяжний у мережах PSTN, та багато іншого. Фахівці розглядають віртуальні приватні мережі як нову генерацію мережевих комунікацій, а багато аналітиків вважають, що VPN незабаром замінять більшість приватних мереж, що базуються на лініях, що орендуються.