Recent, în lumea telecomunicațiilor a existat un interes crescut pentru așa-numitele rețele private virtuale (VPN). Acest lucru se datorează necesității de a reduce costurile de întreținere a rețelelor corporative prin conexiuni mai ieftine la birouri la distanță și utilizatori la distanță prin Internet.
În acest articol vom încerca să înțelegem ce este un VPN, care sunt avantajele și dezavantajele acestei tehnologii și ce opțiuni de implementare VPN există.

Într-adevăr, când comparăm costul serviciilor pentru conectarea mai multor rețele prin Internet, de exemplu, cu rețele Frame Relay, puteți observa o diferență semnificativă de cost. Cu toate acestea, trebuie menționat că la conectarea rețelelor prin Internet se pune imediat problema securității transmisiei de date, așa că a devenit necesară crearea unor mecanisme care să asigure confidențialitatea și integritatea informațiilor transmise. Rețelele construite pe baza unor astfel de mecanisme se numesc VPN.

În acest articol vom încerca să înțelegem ce este un VPN, care sunt avantajele și dezavantajele acestei tehnologii și ce opțiuni de implementare VPN există.

Ce este VPN

Ce este un VPN? Există multe definiții, dar principala trăsătură distinctivă a acestei tehnologii este utilizarea Internetului ca coloană vertebrală pentru transmiterea traficului IP corporativ. Rețelele VPN sunt concepute pentru a rezolva problemele de conectare a utilizatorului final la o rețea de la distanță și conectarea mai multor rețele locale. Structura VPN include legături globale de rețea, protocoale securizate și routere.

Cum funcționează o rețea privată virtuală?

Pentru a combina rețelele locale la distanță într-o rețea virtuală corporativă, sunt utilizate așa-numitele canale virtuale dedicate. Pentru a crea astfel de conexiuni, se folosește un mecanism de tunel. Inițiatorul de tunel încapsulează pachetele de rețea locală (inclusiv pachetele de protocol nerutabil) în noi pachete IP care conțin în antetul lor adresa acestui inițiator de tunel și adresa terminatorului de tunel. La capătul opus, terminatorul tunelului efectuează procesul invers de extragere a pachetului original.

După cum s-a menționat mai sus, atunci când se efectuează un astfel de transfer, este necesar să se țină cont de aspectele de confidențialitate și integritate a datelor care nu pot fi asigurate prin simpla tunelizare. Pentru a obține confidențialitatea informațiilor corporative transmise, este necesar să folosiți un algoritm de criptare, care este același la ambele capete ale tunelului.

Pentru a putea crea un VPN bazat pe hardware și software de la diferiți producători, este necesar un mecanism standard. Un astfel de mecanism pentru construirea unui VPN este Internet Protocol Security (IPSec). IPSec descrie toate metodele VPN standard. Acest protocol definește metodele de autentificare utilizate pentru a inițializa un tunel, metodele de criptare utilizate de punctele finale de tunel și mecanismele de schimb și de gestionare a cheilor de criptare între acele puncte finale. Unul dintre dezavantajele acestui protocol este că este orientat către IP.

Alte protocoale VPN sunt PPTP (Point-to-Point Tunneling Protocol), dezvoltat de Ascend Communications și 3Com, L2F (Layer-2 Forwarding) - Cisco Systems și L2TP (Layer-2 Tunneling Protocol), care combină ambele protocoale de mai sus. . Cu toate acestea, aceste protocoale, spre deosebire de IPSec, nu sunt complete (de exemplu, PPTP nu specifică o metodă de criptare), așa că ne vom concentra în principal pe IPSec.

Vorbind despre IPSec, nu trebuie să uităm de protocolul IKE (Internet Key Exchange), care permite transferul de informații prin tunel, excluzând interferențele din exterior. Acest protocol rezolvă problema gestionării și schimbului în siguranță a cheilor criptografice între dispozitivele de la distanță, în timp ce IPSec criptează și semnează pachetele. IKE automatizează procesul de transfer al cheilor utilizând un mecanism de criptare a cheii publice pentru a stabili o conexiune sigură. În plus, IKE vă permite să schimbați cheia pentru o conexiune deja stabilită, ceea ce crește semnificativ confidențialitatea informațiilor transmise.

Cum să construiți un VPN

Există diferite opțiuni pentru construirea unui VPN. Atunci când alegeți o soluție, trebuie să luați în considerare factorii de performanță a instrumentului VPN. De exemplu, dacă un router rulează deja la limita puterii procesorului său, atunci adăugarea de tuneluri VPN și aplicarea criptării/decriptării informațiilor poate opri întreaga rețea din cauza faptului că acest router nu va putea face față unui trafic simplu, darămite un VPN.

Experiența arată că cel mai bine este să folosiți echipamente specializate pentru a construi un VPN,
cu toate acestea, dacă există o limitare a fondurilor, atunci puteți acorda atenție unei soluții pur software.

Să ne uităm la câteva opțiuni pentru construirea unui VPN.

Majoritatea furnizorilor de firewall acceptă tunelarea și criptarea datelor. Toate astfel de produse se bazează pe ideea că, dacă traficul trece printr-un firewall, atunci de ce să nu îl criptați în același timp. Un modul de criptare este adăugat la software-ul firewall în sine. Dezavantajul acestei metode este că performanța depinde de hardware-ul pe care rulează firewall-ul. Când utilizați firewall-uri bazate pe PC, trebuie să vă amintiți că o astfel de soluție poate fi utilizată numai pentru rețele mici cu o cantitate mică de informații transmise.

Un exemplu de soluție de firewall este FireWall-1 de la Check Point Software Technologies. FairWall-1 folosește o abordare standard bazată pe IPSec pentru a construi un VPN. Traficul care intră în firewall este decriptat și se aplică regulile standard de control al accesului. FireWall-1 rulează sub sistemele de operare Solaris și Windows NT 4.0.

O altă modalitate de a construi un VPN este utilizarea routerelor pentru a crea canale securizate. Deoarece toate informațiile care provin din rețeaua locală trec prin router, este recomandabil să atribuiți sarcini de criptare acestui router.

Un exemplu izbitor de echipament pentru construirea VPN pe routere este echipamentul de la Cisco Systems. Începând cu versiunea software IOS 11.3(3)T, routerele Cisco acceptă protocoalele L2TP și IPSec. Pe lângă criptarea simplă a traficului, Cisco acceptă alte caracteristici VPN, cum ar fi autentificarea în timpul conexiunii la tunel și schimbul de chei.

Pentru a construi un VPN, Cisco folosește tunelul cu criptarea oricărui flux IP. În acest caz, tunelul poate fi stabilit pe baza adreselor sursă și destinație, a numărului de port TCP (UDP) și a calității de serviciu (QoS) specificată.

Pentru a îmbunătăți performanța routerului, poate fi utilizat un modul suplimentar de criptare ESA (Adaptor de servicii de criptare).

În plus, Cisco System a lansat un dispozitiv specializat pentru VPN, care se numește Cisco 1720 VPN Access Router, destinat instalării în companiile mici și mijlocii, precum și în sucursalele organizațiilor mari.

Următoarea abordare a construirii unui VPN este doar soluții software. La implementarea unei astfel de soluții se folosește software specializat care rulează pe un computer dedicat și în majoritatea cazurilor acționează ca un server proxy. Computerul care rulează acest software poate fi situat în spatele unui firewall.

Un exemplu de astfel de soluție este software-ul AltaVista Tunnel 97 de la Digital. Când folosește acest software, clientul se conectează la serverul Tunnel 97, se autentifică pe acesta și schimbă cheile. Criptarea se bazează pe chei Rivest-Cipher 4 pe 56 sau 128 de biți obținute în timpul procesului de stabilire a conexiunii. Apoi, pachetele criptate sunt încapsulate în alte pachete IP, care la rândul lor sunt trimise către server. În timpul funcționării, Tunnel 97 verifică integritatea datelor folosind algoritmul MD5. În plus, acest software generează chei noi la fiecare 30 de minute, ceea ce crește semnificativ securitatea conexiunii.

Calitățile pozitive ale AltaVista Tunnel 97 sunt ușurința de instalare și ușurința de gestionare. Dezavantajele acestui sistem includ arhitectura sa non-standard (algoritmul propriu de schimb de chei) și performanța scăzută.

Vom analiza soluții bazate pe un sistem de operare de rețea folosind exemplul sistemului Microsoft Windows NT. Pentru a crea un VPN, Microsoft folosește protocolul PPTP, care este integrat în sistemul Windows NT. Această soluție este foarte atractivă pentru organizațiile care folosesc Windows ca sistem de operare corporativ. Trebuie remarcat faptul că costul unei astfel de soluții este semnificativ mai mic decât costul altor soluții. VPN bazat pe Windows NT utilizează baza de utilizatori NT stocată pe Controlerul de domeniu primar (PDC). La conectarea la un server PPTP, utilizatorul este autentificat folosind protocoalele PAP, CHAP sau MS-CHAP. Pachetele transmise sunt încapsulate în pachete GRE/PPTP. Pentru a cripta pachetele, se folosește un protocol non-standard de la Microsoft Point-to-Point Encryption cu o cheie de 40 sau 128 de biți primită în momentul stabilirii conexiunii. Dezavantajele acestui sistem sunt lipsa verificării integrității datelor și incapacitatea de a schimba cheile în timpul conexiunii. Aspectele pozitive sunt ușurința de integrare cu Windows și costul redus.

Opțiunea de a construi un VPN pe dispozitive speciale poate fi utilizată în rețelele care necesită performanțe ridicate. Un exemplu de astfel de soluție este produsul cIPro-VPN de la Radguard

Acest produs folosește criptarea hardware a informațiilor transmise, capabilă să transmită un flux de 100 Mbit/s. cIPro-VPN acceptă protocolul IPSec și mecanismul de gestionare a cheilor ISAKMP/Oakley. Printre altele, acest dispozitiv acceptă instrumente de traducere a adreselor de rețea și poate fi completat cu un card special care adaugă funcții de firewall

Probleme VPN

Principala problemă a rețelelor VPN este lipsa unor standarde stabilite pentru autentificare și schimb de informații criptate.
Aceste standarde sunt încă în curs de dezvoltare și, prin urmare, produsele de la diferiți producători nu pot stabili conexiuni VPN și nu pot schimba automat cheile. Această problemă implică o încetinire a răspândirii VPN-urilor, deoarece este dificil să forțați diferite companii să folosească produsele unui producător și, prin urmare, procesul de combinare a rețelelor companiilor partenere în așa-numitele rețele extranet este dificil.

După cum se vede din cele de mai sus, produsele pentru construirea VPN pot fi un blocaj în rețea.
Acest lucru se datorează faptului că suportarea conexiunilor multiple și criptarea informațiilor transmise prin acele conexiuni necesită hardware (și/sau software) de înaltă performanță. Acesta este un alt punct problematic în construirea unui VPN.

O altă vulnerabilitate VPN Lipsa unor modalități uniforme și fiabile de a gestiona astfel de rețele poate fi considerată un coșmar pentru administratorii de rețea.

Și, în sfârșit, absența (sau dezvoltarea slabă) a mecanismelor pentru asigurarea calității serviciului pe Internet este o problemă în construirea rețelelor VPN,
Unele aplicații necesită livrarea garantată a informațiilor într-un timp limitat.

La ce să te aștepți în viitor

La ce ne putem aștepta în ceea ce privește dezvoltarea tehnologiei VPN în viitor? Fără îndoială, va fi dezvoltat și aprobat un standard unificat pentru construirea unor astfel de rețele. Cel mai probabil, baza acestui standard va fi protocolul IPSec deja dovedit. În continuare, producătorii se vor concentra pe îmbunătățirea performanței produselor lor și pe crearea unor instrumente de management VPN ușor de utilizat.

Cel mai probabil, dezvoltarea instrumentelor de construire VPN va merge în direcția VPN-urilor bazate pe router, deoarece această soluție combină performanțe destul de ridicate, integrarea VPN și rutare într-un singur dispozitiv. Cu toate acestea, se vor dezvolta și soluții low-cost bazate pe sisteme de operare de rețea pentru organizațiile mici.

În concluzie, trebuie spus că, în ciuda faptului că tehnologia VPN este încă foarte tânără, are un viitor mare în față.

O rețea locală virtuală (VLAN) este un grup de noduri de rețea al căror trafic, inclusiv traficul de difuzare, este complet izolat la nivelul legăturii de traficul altor noduri de rețea.

Orez. 14.10. Rețele locale virtuale.

Aceasta înseamnă că cadrele nu pot fi transmise între diferite rețele virtuale pe baza unei adrese de nivel de legătură, indiferent de tipul de adresă (unica, multicast sau broadcast). În același timp, în cadrul rețelei virtuale, cadrele sunt transmise folosind tehnologia de comutare, apoi numai către portul care este asociat cu adresa de destinație a cadrului.

VLAN-urile se pot suprapune dacă unul sau mai multe computere fac parte din mai multe VLAN. În fig. 14.10 serverul de e-mail face parte din rețelele virtuale 3 și 4. Aceasta înseamnă că cadrele sale sunt transmise prin comutatoare către toate computerele incluse în aceste rețele. Dacă un computer face parte doar din rețeaua virtuală 3, atunci cadrele sale nu vor ajunge la rețeaua 4, dar poate interacționa cu computerele din rețeaua 4 printr-un server de e-mail comun. Această schemă nu protejează complet rețelele virtuale unele de altele, de exemplu, o furtună de difuzare care are loc pe un server de e-mail va inunda atât rețeaua 3, cât și rețeaua 4.

Se spune că o rețea virtuală formează un domeniu de trafic de difuzare, similar domeniului de coliziune format de repetitoarele Ethernet.

Scopul rețelelor virtuale

După cum am văzut în exemplul din secțiunea anterioară, folosind filtre personalizate puteți interfera cu funcționarea normală a comutatoarelor și puteți limita interacțiunea nodurilor rețelei locale în conformitate cu regulile de acces necesare. Cu toate acestea, mecanismul personalizat de filtrare a comutatorului are mai multe dezavantaje:

Este necesar să se stabilească condiții separate pentru fiecare nod de rețea, folosind adrese MAC greoaie. Ar fi mult mai ușor să grupați nodurile și să descrieți simultan condițiile de interacțiune pentru grupuri.

Nu este posibil să blocați traficul de difuzare.

Traficul de difuzare poate cauza indisponibilitatea rețelei dacă unul dintre nodurile sale generează în mod intenționat sau neintenționat cadre de difuzare cu o intensitate mare.

Tehnica rețelelor locale virtuale rezolvă problema limitării interacțiunii nodurilor de rețea într-un mod diferit.

Scopul principal al tehnologiei VLAN este de a facilita crearea de rețele izolate, care sunt apoi conectate între ele folosind routere. Acest design de rețea creează bariere puternice în calea traficului nedorit de la o rețea la alta. Astăzi se consideră evident că orice rețea mare trebuie să includă routere, altfel fluxurile de cadre eronate, cum ar fi transmisiile, vor „inunda” periodic întreaga rețea prin comutatoare transparente pentru ele, făcând-o inoperabilă.

Înainte de apariția tehnologiei VLAN, fie segmente izolate fizic de cablu coaxial, fie segmente neconectate construite pe repetoare și punți erau folosite pentru a crea o rețea separată. Aceste rețele au fost apoi conectate de către routere într-o singură rețea compusă (Fig. 14.11).

Schimbarea compoziției segmentelor (utilizatorul se deplasează într-o altă rețea, împărțirea segmentelor mari) cu această abordare implică reconectarea fizică a conectorilor de pe panourile frontale ale repetoarelor sau panourilor crossover, ceea ce nu este foarte convenabil în rețelele mari - multă muncă fizică și există o mare probabilitate de eroare.

Orez. 14.11. Rețea compozită constând din rețele construite pe baza de repetoare

Conectarea rețelelor virtuale într-o rețea comună necesită implicarea instrumentelor la nivel de rețea. Poate fi implementat într-un router separat sau ca parte a software-ului unui comutator, care devine apoi un dispozitiv combinat - așa-numitul comutator layer 3.

Tehnologia rețelelor virtuale nu a fost standardizată de mult timp, deși a fost implementată într-o gamă foarte largă de modele de comutatoare de la diferiți producători. Situația s-a schimbat odată cu adoptarea standardului IEEE 802.1Q în 1998, care definește regulile de bază pentru construirea rețelelor locale virtuale, independent de protocolul de nivel de legătură suportat de comutator.

Crearea de rețele virtuale bazate pe un comutator

Atunci când se creează rețele virtuale bazate pe un singur comutator, se utilizează de obicei mecanismul de grupare a porturilor de comutare (Fig. 14.12). În acest caz, fiecare port este alocat uneia sau alteia rețele virtuale. Un cadru care vine dintr-un port care aparține, de exemplu, rețelei virtuale 1 nu va fi niciodată transmis către un port care nu aparține acestei rețele virtuale. Un port poate fi atribuit mai multor rețele virtuale, deși în practică acest lucru se face rar - efectul izolării complete a rețelelor dispare.

Crearea de rețele virtuale prin gruparea de porturi nu necesită o cantitate mare de muncă manuală din partea administratorului - este suficient să atribuiți fiecare port uneia dintre mai multe rețele virtuale pre-numite. De obicei, această operație este efectuată folosind un program special furnizat împreună cu comutatorul.

A doua metodă de creare a rețelelor virtuale se bazează pe gruparea adreselor MAC. Fiecare adresă MAC învățată de comutator este atribuită unei anumite rețele virtuale. Dacă există multe noduri în rețea, această metodă necesită o cantitate mare de muncă manuală din partea administratorului. Cu toate acestea, atunci când construiți rețele virtuale bazate pe mai multe switch-uri, se dovedește a fi mai flexibil decât gruparea de porturi.

Orez. 14.12. Rețele virtuale construite pe un singur comutator

Crearea de rețele virtuale bazate pe mai multe comutatoare

Figura 14.13 ilustrează problema care apare la crearea rețelelor virtuale bazate pe mai multe comutatoare care acceptă tehnici de trunking porturi.

Orez. 14.13. Construirea de rețele virtuale pe mai multe switch-uri cu grupare de porturi

Dacă nodurile unei rețele virtuale sunt conectate la diferite switch-uri, atunci trebuie alocată o pereche specială de porturi pe switch-uri pentru a conecta fiecare astfel de rețea. Astfel, comutatoarele de trunking de porturi necesită la fel de multe porturi pentru conexiunea lor, cât numărul de rețele virtuale pe care le suportă. Porturile și cablurile sunt folosite foarte risipitor în acest caz. În plus, atunci când se conectează rețele virtuale printr-un router, pentru fiecare rețea virtuală sunt alocate un cablu separat și un port separat pentru router, ceea ce duce, de asemenea, la costuri generale mari.

Gruparea adreselor MAC într-o rețea virtuală pe fiecare comutator elimină nevoia de a le asocia pe mai multe porturi, deoarece adresa MAC devine apoi eticheta rețelei virtuale. Cu toate acestea, această metodă necesită multă muncă manuală pentru a marca adresele MAC pe fiecare comutator din rețea.

Cele două abordări descrise se bazează doar pe adăugarea de informații suplimentare la tabelele de adrese ale comutatorului și nu au capacitatea de a încorpora informații despre apartenența cadrului de rețea virtuală în cadrul transmis. În alte abordări, câmpurile de cadru existente sau suplimentare sunt folosite pentru a salva informații despre apartenența cadrului la o anumită rețea locală virtuală atunci când aceasta se deplasează între comutatoarele de rețea. În acest caz, nu este nevoie să ne amintim în fiecare comutator că toate adresele MAC ale rețelei compuse aparțin rețelelor virtuale.

Câmpul suplimentar marcat cu numărul rețelei virtuale este utilizat numai atunci când cadrul este transferat de la comutator la comutator, iar când cadrul este transferat la nodul final, acesta este de obicei eliminat. În acest caz, protocolul de interacțiune switch-to-switch este modificat, dar software-ul și hardware-ul nodurilor finale rămân neschimbate.

Ethernet introduce un antet suplimentar numit etichetă VLAN.

Eticheta VLAN este opțională pentru cadrele Ethernet. Un cadru care are un astfel de antet se numește cadru etichetat. Comutatoarele pot gestiona ambele cadre etichetate și neetichetate simultan. Datorită adăugării etichetei VLAN, lungimea maximă a câmpului de date a fost redusă cu 4 octeți.

Pentru ca echipamentele de rețea locală să distingă și să înțeleagă cadrele etichetate, este introdusă o valoare specială a câmpului EtherType de 0x8100 pentru acestea. Această valoare indică faptul că este urmată de un câmp TCI mai degrabă decât de un câmp de date standard. Rețineți că într-un cadru etichetat, câmpurile de etichetă VLAN sunt urmate de un alt câmp EtherType care indică tipul de protocol ale cărui date sunt transportate de câmpul de date cadru.

Câmpul TCI conține un câmp de număr (identificator) VLAN pe 12 biți numit VID. Lățimea câmpului VID permite comutatoarelor să creeze până la 4096 de rețele virtuale.

Folosind valoarea VID în cadre etichetate, comutatoarele de rețea efectuează filtrarea traficului de grup, împărțind rețeaua în segmente virtuale, adică în VLAN-uri. Pentru a suporta acest mod, fiecare port de comutare este alocat uneia sau mai multor rețele locale virtuale, adică se realizează gruparea portului.

Pentru a simplifica configurarea rețelei, standardul 802.1Q introduce conceptele de linie de acces și trunchi.

O linie de acces conectează un port de comutare (numit port de acces în acest caz) la un computer care aparține unei rețele locale virtuale.

Un trunk este o linie de comunicație care conectează porturile a două switch-uri, în general, traficul din mai multe rețele virtuale este transmis printr-un trunk.

Pentru a crea o rețea locală virtuală în rețeaua sursă, trebuie mai întâi să selectați pentru aceasta o altă valoare VID decât 1, apoi, folosind comenzile de configurare a comutatorului, să atribuiți acestei rețele acele porturi la care sunt conectate computerele incluse în ea. . Un port de acces poate fi atribuit doar unui singur VLAN.

Porturile de acces primesc cadre neetichetate de la gazdele finale și le etichetează cu o etichetă VLAN care conține valoarea VID atribuită acelui port. La transmiterea cadrelor etichetate către nodul final, portul de acces elimină eticheta VLAN.

Pentru o descriere mai clară, să revenim la exemplul de rețea discutat mai devreme. Smochin. Figura 14.15 arată cum se rezolvă problema accesului selectiv la servere pe baza tehnicii VLAN.

Orez. 14.15. Împărțirea rețelei în două rețele locale virtuale

Pentru a rezolva această problemă, puteți organiza două rețele locale virtuale în rețea, VLAN2 și VLAN3 (amintim că VLAN1 există deja implicit - aceasta este rețeaua noastră originală), un set de computere și servere este atribuit VLAN2, iar celălalt este atribuit la KVLAN3.

Pentru a atribui nodurile terminale unui anumit VLAN, porturile corespunzătoare sunt declarate ca porturi de acces ale acelei rețele, atribuindu-le VID-ul corespunzător. De exemplu, portul 1 al SW1 ar trebui declarat ca port de acces al VLAN2 prin atribuirea lui VID2, același lucru ar trebui făcut cu portul 5 al SW1, portul 1 al SW2 și portul 1 al SW3. Porturilor de acces VLAN3 trebuie să li se aloce VID3.

În rețeaua dvs., trebuie să organizați și trunchiuri - acele linii de comunicație care conectează porturile comutatoare între ele. Porturile conectate la trunchiuri nu adaugă sau elimină etichete, pur și simplu transmit cadre neschimbate. În exemplul nostru, astfel de porturi ar trebui să fie porturile 6 ale comutatoarelor SW1 și SW2, precum și porturile 3 și 4 ale comutatorului ShchZ. Porturile din exemplul nostru trebuie să accepte VLAN2 și VLAN3 (și VLAN1, dacă există noduri în rețea care nu sunt atribuite în mod explicit vreunui VLAN).

Comutatoarele care acceptă tehnologia VLAN oferă o filtrare suplimentară a traficului. Dacă tabelul de redirecționare al comutatorului spune că cadrul de intrare trebuie transmis către un anumit port, înainte de transmitere, comutatorul verifică dacă valoarea VTD din eticheta VL AN a cadrului corespunde rețelei locale virtuale care este alocată acestui port. Dacă există o potrivire, cadrul este transmis, dacă nu se potrivește, este aruncat. Cadrele neetichetate sunt procesate în același mod, dar folosind VLAN1 condiționat. Adresele MAC sunt învățate de comutatoarele de rețea separat, dar pentru fiecare VLAN.

Tehnica VLAN se dovedește a fi foarte eficientă pentru limitarea accesului la servere. Configurarea unei rețele locale virtuale nu necesită cunoașterea adreselor MAC ale nodurilor în plus, orice modificare a rețelei, de exemplu conectarea unui computer la un alt comutator, necesită configurarea doar a portului acestui comutator și a tuturor celorlalte comutatoare; rețeaua continuă să funcționeze fără a aduce modificări configurației lor.

Conceptul de rețele virtuale private, prescurtat ca VPN (din engleză, a apărut în tehnologia informatică relativ recent. Crearea unei conexiuni de acest tip a făcut posibilă combinarea terminalelor de computer și a dispozitivelor mobile în rețele virtuale fără firele obișnuite, indiferent de locația unui anumit terminal. Acum să luăm în considerare problema Cum funcționează o conexiune VPN și, în același timp, vom oferi câteva recomandări pentru configurarea unor astfel de rețele și programe client aferente.

Ce este un VPN?

După cum este deja clar, un VPN este o rețea privată virtuală cu mai multe dispozitive conectate la ea. Nu ar trebui să vă amăgiți - conectarea a două sau trei duzini de terminale de computer care funcționează simultan (cum se poate face într-o zonă locală) de obicei nu funcționează. Acest lucru are limitările sale în configurarea rețelei sau chiar pur și simplu în lățimea de bandă a routerului responsabil pentru alocarea adreselor IP și

Cu toate acestea, ideea inerentă inițial tehnologiei de conectare nu este nouă. Au încercat mult timp să o fundamenteze. Și mulți utilizatori moderni ai rețelelor de calculatoare nici măcar nu își imaginează că au știut despre asta toată viața, dar pur și simplu nu au încercat să înțeleagă esența problemei.

Cum funcționează o conexiune VPN: principii și tehnologii de bază

Pentru o mai bună înțelegere, vom da cel mai simplu exemplu cunoscut oricărei persoane moderne. Luați radioul, de exemplu. La urma urmei, în esență, este un dispozitiv de transmisie (translator), o unitate intermediară (repetator) responsabilă de transmiterea și distribuția semnalului și un dispozitiv de recepție (receptor).

Un alt lucru este că semnalul este difuzat către absolut toți consumatorii, iar rețeaua virtuală funcționează selectiv, unind doar anumite dispozitive într-o singură rețea. Vă rugăm să rețineți că nici în primul și nici în al doilea caz nu sunt necesare fire pentru a conecta dispozitivele de transmisie și recepție care fac schimb de date între ele.

Dar există și câteva subtilități aici. Cert este că inițial semnalul radio a fost neprotejat, adică poate fi recepționat de orice radioamator cu un dispozitiv funcțional la frecvența corespunzătoare. Cum funcționează un VPN? Da, exact la fel. Numai în acest caz, rolul repetitorului este jucat de un router (router sau modem ADSL), iar rolul receptorului este jucat de un terminal staționar de computer, laptop sau dispozitiv mobil echipat cu un modul special de conexiune wireless (Wi- Fi).

Cu toate acestea, datele care provin de la sursă sunt inițial criptate și abia apoi, folosind un decriptor special, sunt reproduse pe un anumit dispozitiv. Acest principiu de comunicare prin VPN se numește tunel. Și acest principiu este cel mai în concordanță cu comunicațiile mobile, atunci când redirecționarea are loc către un anumit abonat.

Tunnel de rețea virtuală locală

Să înțelegem cum funcționează VPN-ul în modul de tunel. În esență, presupune crearea unei anumite linii drepte, să zicem, de la punctul „A” la punctul „B”, atunci când, la transmiterea datelor de la o sursă centrală (un router cu conexiune la server), toate dispozitivele de rețea sunt identificate automat în funcție de la o configurație predeterminată.

Cu alte cuvinte, un tunel este creat cu codificare la trimiterea datelor și decodare la primire. Se pare că niciun alt utilizator care încearcă să intercepteze acest tip de date în timpul transmiterii nu va putea să le decripteze.

Mijloace de implementare

Unul dintre cele mai puternice instrumente pentru acest tip de conexiuni și, în același timp, asigurarea securității sunt sistemele Cisco. Adevărat, unii administratori fără experiență au o întrebare despre motivul pentru care echipamentul VPN-Cisco nu funcționează.

Acest lucru se datorează în primul rând configurării incorecte și driverelor instalate ale routerelor precum D-Link sau ZyXEL, care necesită reglare fină doar pentru că sunt echipate cu firewall-uri încorporate.

În plus, ar trebui să acordați atenție schemelor de conectare. Pot fi două dintre ele: de la rută la rută sau de la distanță. În primul caz, vorbim despre combinarea mai multor dispozitive de distribuție, iar în al doilea, vorbim despre gestionarea conexiunii sau a transferului de date prin acces la distanță.

Protocoale de acces

În ceea ce privește protocoalele, instrumentele de configurare sunt utilizate în principal astăzi la nivel PCP/IP, deși protocoalele interne pentru VPN-uri pot varia.

VPN a încetat să funcționeze? Există câteva opțiuni ascunse de văzut. De exemplu, protocoalele suplimentare PPP și PPTP, bazate pe tehnologia TCP, aparțin în continuare stivelor de protocoale TCP/IP, dar pentru a vă conecta, de exemplu, atunci când utilizați PPTP, trebuie să utilizați două adrese IP în loc de cea necesară. Cu toate acestea, în orice caz, tunelarea implică transferul de date incluse în protocoale interne, cum ar fi IPX sau NetBEUI, toate acestea fiind echipate cu anteturi speciale bazate pe PPP pentru a transfera fără probleme date către driverul de rețea corespunzător.

Dispozitive hardware

Acum să ne uităm la o situație în care apare întrebarea de ce VPN-ul nu funcționează. Este clar că problema poate fi legată de configurația incorectă a echipamentului. Dar poate apărea și o altă situație.

Merită să acordați atenție ruterelor în sine, care monitorizează conexiunea. După cum am menționat mai sus, ar trebui să utilizați numai dispozitive care îndeplinesc parametrii de conexiune.

De exemplu, routere precum DI-808HV sau DI-804HV sunt capabile să conecteze până la patruzeci de dispozitive simultan. În ceea ce privește echipamentul ZyXEL, în multe cazuri poate rula chiar prin sistemul de operare în rețea ZyNOS încorporat, dar numai folosind modul linie de comandă prin protocolul Telnet. Această abordare vă permite să configurați orice dispozitiv cu transmisie de date pe trei rețele într-un mediu Ethernet comun cu transmitere a traficului IP, precum și să utilizați tehnologia unică Any-IP concepută pentru a utiliza un tabel standard de routere cu trafic redirecționat ca gateway pentru sisteme care au fost inițial configurate să funcționeze în alte subrețele.

Ce să faci dacă VPN nu funcționează (Windows 10 și mai jos)?

Prima și cea mai importantă condiție este corespondența tastelor de ieșire și de intrare (Pre-shared Keys). Ele trebuie să fie aceleași la ambele capete ale tunelului. De asemenea, merită să acordați atenție algoritmilor de criptare criptografică (IKE sau Manual) cu sau fără funcție de autentificare.

De exemplu, același protocol AH (în engleză - Authentication Header) poate oferi doar autorizare fără posibilitatea utilizării criptării.

Clienții VPN și configurația acestora

În ceea ce privește clienții VPN, nici aici nu totul este simplu. Majoritatea programelor bazate pe astfel de tehnologii folosesc metode standard de configurare. Cu toate acestea, aici există capcane.

Problema este că, indiferent de modul în care instalați clientul, dacă serviciul este oprit în sistemul de operare în sine, nu va ieși nimic bun din el. De aceea, trebuie mai întâi să activați aceste setări în Windows, apoi să le activați pe router (router) și abia apoi să începeți configurarea clientului în sine.

Va trebui să creați o nouă conexiune în sistemul în sine, în loc să utilizați una existentă. Nu ne vom opri asupra acestui lucru, deoarece procedura este standard, dar pe router în sine va trebui să mergeți la setări suplimentare (cel mai adesea acestea se află în meniul Tip conexiune WLAN) și să activați tot ce are legătură cu serverul VPN.

De asemenea, merită remarcat faptul că va trebui să fie instalat în sistem ca program însoțitor. Dar apoi poate fi folosit chiar și fără configurare manuală, pur și simplu selectând cea mai apropiată locație.

Unul dintre cele mai populare și mai ușor de utilizat este un client-server VPN numit SecurityKISS. Programul este instalat, dar apoi nici măcar nu trebuie să intri în setări pentru a asigura o comunicare normală pentru toate dispozitivele conectate la distribuitor.

Se întâmplă că pachetul destul de cunoscut și popular Kerio VPN Client nu funcționează. Aici va trebui să acordați atenție nu numai sistemului de operare în sine, ci și parametrilor programului client. De regulă, introducerea parametrilor corecti vă permite să scăpați de problemă. În ultimă instanță, va trebui să verificați setările conexiunii principale și protocoalele TCP/IP utilizate (v4/v6).

Care este rezultatul?

Ne-am uitat la modul în care funcționează un VPN. În principiu, nu este nimic complicat în a conecta sau a crea rețele de acest tip. Principalele dificultăți constă în configurarea unor echipamente specifice și setarea parametrilor acestuia, pe care, din păcate, mulți utilizatori îi trec cu vederea, bazându-se pe faptul că întregul proces se va reduce la automatizare.

Pe de altă parte, acum eram mai preocupați de problemele legate de tehnicile de operare ale rețelelor virtuale VPN în sine, așa că configurarea echipamentelor, instalarea driverelor de dispozitiv etc. va trebui făcută folosind instrucțiuni și recomandări separate.

Pe lângă scopul său principal - creșterea debitului de conexiuni în rețea - comutatorul vă permite să localizați fluxurile de informații, precum și să controlați și să gestionați aceste fluxuri folosind un mecanism de filtrare personalizat. Cu toate acestea, un filtru personalizat poate împiedica transmiterea cadrelor numai către anumite adrese, în timp ce transmite traficul de difuzare către toate segmentele de rețea. Acesta este principiul de funcționare al algoritmului de punte implementat în comutator, motiv pentru care rețelele create pe baza de poduri și comutatoare sunt uneori numite plate - din cauza absenței barierelor în traficul de difuzare.

Tehnologia rețelelor locale virtuale (Virtual LAN, VLAN), care a apărut în urmă cu câțiva ani, permite depășirea acestei limitări. O rețea virtuală este un grup de noduri de rețea al căror trafic, inclusiv traficul de difuzare, este complet izolat de alte noduri la nivelul legăturii de date (vezi Figura 1). Aceasta înseamnă că transmiterea directă a cadrelor între diferite rețele virtuale este imposibilă, indiferent de tipul de adresă - unică, multicast sau broadcast. În același timp, într-o rețea virtuală, cadrele sunt transmise în conformitate cu tehnologia de comutare, adică numai către portul căruia îi este atribuită adresa de destinație a cadrului.

Rețelele virtuale se pot suprapune dacă unul sau mai multe computere sunt incluse în mai multe rețele virtuale. În Figura 1, serverul de e-mail face parte din rețelele virtuale 3 și 4 și, prin urmare, cadrele sale sunt transmise prin comutatoare către toate computerele din aceste rețele. Dacă un computer este atribuit doar rețelei virtuale 3, atunci cadrele sale nu vor ajunge la rețeaua 4, dar poate interacționa cu computerele din rețeaua 4 printr-un server de e-mail comun. Această schemă nu izolează complet rețelele virtuale unele de altele - de exemplu, o furtună de difuzare inițiată de serverul de e-mail va copleși atât rețeaua 3, cât și rețeaua 4.

Se spune că o rețea virtuală formează un domeniu de trafic de difuzare, similar domeniului de coliziune format de repetitoarele Ethernet.

ATRIBUIRE VLAN

Tehnologia VLAN facilitează crearea de rețele izolate care sunt conectate folosind routere care acceptă un protocol de nivel de rețea, cum ar fi IP. Această soluție creează bariere mult mai puternice în calea traficului eronat de la o rețea la alta. Astăzi se crede că orice rețea mare trebuie să includă routere, altfel fluxurile de cadre eronate, în special cele difuzate, prin comutatoare transparente pentru acestea, o vor „inunda” periodic în întregime, făcând-o inoperabilă.

Tehnologia rețelei virtuale oferă o bază flexibilă pentru construirea unei rețele mari conectate prin routere, deoarece comutatoarele vă permit să creați segmente complet izolate în mod programatic, fără a recurge la comutare fizică.

Înainte de apariția tehnologiei VLAN, implementarea unei rețele separate folosea fie secțiuni izolate fizic de cablu coaxial, fie segmente neconectate bazate pe repetoare și punți. Rețelele au fost apoi conectate prin routere într-o singură rețea compusă (vezi Figura 2).

Schimbarea compoziției segmentelor (utilizatorul care se mută într-o altă rețea, împărțirea secțiunilor mari) cu această abordare a implicat reconectarea fizică a conectorilor de pe panourile frontale ale repetoarelor sau în panourile crossover, ceea ce nu este foarte convenabil în rețelele mari - aceasta este o muncă foarte mare. -munca intensiva, iar probabilitatea de eroare este foarte mare. Prin urmare, pentru a elimina necesitatea re-comutației fizice a nodurilor, au început să fie utilizate concentratoare multi-segment, astfel încât compoziția segmentului partajat să poată fi reprogramată fără re-comutație fizică.

Cu toate acestea, modificarea compoziției segmentelor folosind hub-uri impune restricții mari asupra structurii rețelei - numărul de segmente ale unui astfel de repetor este de obicei mic și este nerealist să aloci fiecărui nod propriul său, așa cum se poate face folosind un comutator. În plus, cu această abordare, toată munca de transfer de date între segmente cade pe routere, iar comutatoarele cu performanța lor ridicată rămân „nefuncționale”. Astfel, rețelele bazate pe repetitor cu comutare de configurare implică încă partajarea mediului de transmisie a datelor între un număr mare de noduri și, prin urmare, au performanțe mult mai scăzute în comparație cu rețelele bazate pe comutatoare.

Când tehnologia rețelei virtuale este utilizată în comutatoare, două probleme sunt rezolvate simultan:

• performanță crescută în fiecare dintre rețelele virtuale, deoarece comutatorul transmite cadre numai către nodul destinație;
• Izolarea rețelelor unele de altele pentru a gestiona drepturile de acces ale utilizatorilor și pentru a crea bariere de protecție împotriva furtunilor de difuzare.

Integrarea rețelelor virtuale într-o rețea comună se realizează la nivel de rețea, tranziția către care este posibilă folosind un router separat sau un software de comutare. Acesta din urmă în acest caz devine un dispozitiv combinat - așa-numitul comutator de nivel al treilea.

Tehnologia de formare și operare a rețelelor virtuale folosind comutatoare nu a fost standardizată de mult timp, deși a fost implementată într-o gamă foarte largă de modele de comutatoare de la diferiți producători. Situația s-a schimbat după adoptarea standardului IEEE 802.1Q în 1998, care definește regulile de bază pentru construirea rețelelor locale virtuale, indiferent de protocolul de nivel de legătură suportat de comutator.

Datorită absenței îndelungate a unui standard VLAN, fiecare companie majoră care produce switch-uri și-a dezvoltat propria tehnologie de rețea virtuală, care, de regulă, este incompatibilă cu tehnologiile de la alți producători. Prin urmare, în ciuda apariției unui standard, nu este atât de rar să întâlniți o situație în care rețelele virtuale create pe baza comutatoarelor de la un furnizor nu sunt recunoscute și, în consecință, nu sunt acceptate de comutatoare de la altul.

CREAȚI UN VLAN BAZAT PE UN SINGUR COMUTATOR

Când se creează rețele virtuale bazate pe un singur comutator, se utilizează de obicei un mecanism de grupare a porturilor de comutare într-o rețea (vezi Figura 3). Mai mult, fiecare dintre ele este atribuit uneia sau alteia rețele virtuale. Un cadru care vine dintr-un port aparținând, de exemplu, rețelei virtuale 1 nu va fi niciodată transmis către un port care nu face parte din acesta. Un port poate fi atribuit mai multor rețele virtuale, deși în practică acest lucru se face rar - efectul izolării complete a rețelelor dispare.

Gruparea porturilor unui comutator este cel mai logic mod de a forma un VLAN, deoarece în acest caz nu pot exista mai multe rețele virtuale decât porturi. Dacă un repetor este conectat la un anumit port, atunci nu are sens să includeți nodurile segmentului corespunzător în diferite rețele virtuale - traficul lor va fi în continuare comun.

Această abordare nu necesită o cantitate mare de muncă manuală din partea administratorului - este suficient să atribuiți fiecare port uneia dintre mai multe rețele virtuale pre-numite. De obicei, această operație este efectuată folosind un program special inclus cu comutatorul. Administratorul creează rețele virtuale trăgând simbolurile portului pe simbolurile rețelei.

O altă modalitate de a forma rețele virtuale se bazează pe gruparea adreselor MAC. Fiecare adresă MAC cunoscută de comutator este atribuită unei anumite rețele virtuale. Dacă există multe noduri în rețea, administratorul va trebui să efectueze o mulțime de operațiuni manuale. Cu toate acestea, atunci când se construiesc rețele virtuale bazate pe mai multe switch-uri, această metodă este mai flexibilă decât gruparea de porturi.

CREAȚI UN VLAN PE BAZĂ PE MAI MULTE COMUTĂTORI

Figura 4 ilustrează situația care apare atunci când se creează rețele virtuale bazate pe mai multe switch-uri prin gruparea de porturi. Dacă nodurile unei rețele virtuale sunt conectate la diferite switch-uri, atunci trebuie alocată o pereche separată de porturi pentru a conecta switch-urile fiecărei astfel de rețele. În caz contrar, informațiile despre proprietatea unui cadru către o anumită rețea virtuală se vor pierde atunci când sunt transmise de la comutator la comutator. Astfel, metoda de trunking de porturi necesită atât de multe porturi pentru a conecta comutatoare câte rețele virtuale le suportă, ceea ce duce la o utilizare foarte irosită a porturilor și cablurilor. În plus, pentru a organiza interacțiunea rețelelor virtuale printr-un router, fiecare rețea necesită un cablu separat și un port de router separat, ceea ce duce, de asemenea, la costuri generale mari.

Gruparea adreselor MAC într-o rețea virtuală pe fiecare comutator elimină nevoia de a le conecta prin mai multe porturi, deoarece eticheta rețelei virtuale este atunci adresa MAC. Cu toate acestea, această metodă necesită o mulțime de marcare manuală a adresei MAC pe fiecare comutator din rețea.

Cele două abordări descrise se bazează doar pe adăugarea de informații la tabelele de adrese de punte și nu includ informații despre apartenența cadrului la o rețea virtuală în cadrul transmis. Alte abordări folosesc câmpuri de cadre existente sau suplimentare pentru a înregistra informațiile de proprietate asupra cadrului pe măsură ce se deplasează între comutatoarele de rețea. În plus, nu este nevoie să ne amintim pe fiecare comutator ce rețele virtuale dețin adresele MAC ale rețelei de internet.

Câmpul suplimentar marcat cu numărul rețelei virtuale este utilizat numai atunci când cadrul este transferat de la comutator la comutator, iar când cadrul este transferat la nodul final, acesta este de obicei eliminat. În acest caz, protocolul de interacțiune switch-to-switch este modificat, în timp ce software-ul și hardware-ul nodurilor finale rămân neschimbate. Există multe exemple de astfel de protocoale proprietare, dar au un dezavantaj comun - nu sunt acceptate de alți producători. Cisco a propus antetul protocolului 802.10 ca o completare standard la cadrele oricăror protocoale de rețea locală, al cărui scop este să susțină funcțiile de securitate ale rețelelor de calculatoare. Compania însăși recurge la această metodă în cazurile în care comutatoarele sunt interconectate folosind protocolul FDDI. Cu toate acestea, această inițiativă nu a fost susținută de alți producători de top de comutatoare.

Pentru a stoca numărul rețelei virtuale, standardul IEEE 802.1Q oferă un antet suplimentar de doi octeți, care este utilizat împreună cu protocolul 802.1p. Pe lângă cei trei biți pentru stocarea valorii de prioritate a cadrului, așa cum este descris de standardul 802.1p, există 12 biți în acest antet pentru a stoca numărul rețelei virtuale căreia îi aparține cadrul. Aceste informații suplimentare se numesc etichetă de rețea virtuală (VLAN TAG) și permite comutatoarelor de la diferiți producători să creeze până la 4096 de rețele virtuale partajate. Un astfel de cadru se numește „etichetat”. Lungimea cadrului Ethernet etichetat crește cu 4 octeți, deoarece pe lângă cei doi octeți ai etichetei în sine, se adaugă încă doi octeți. Structura unui cadru Ethernet etichetat este prezentată în Figura 5. Prin adăugarea antetului 802.1p/Q, câmpul de date este redus cu doi octeți.

Figura 5. Structura unui cadru Ethernet marcat.

Apariția standardului 802.1Q a făcut posibilă depășirea diferențelor în implementările VLAN proprietare și realizarea compatibilității la construirea rețelelor locale virtuale. Tehnica VLAN este acceptată de producătorii atât de switch-uri, cât și de adaptoare de rețea. În acest din urmă caz, adaptorul de rețea poate genera și primi cadre Ethernet etichetate care conțin un câmp VLAN TAG. Dacă adaptorul de rețea generează cadre marcate, atunci determină apartenența acestora la o anumită rețea locală virtuală, astfel încât comutatorul trebuie să le proceseze în consecință, adică să transmită sau să nu transmită către portul de ieșire în funcție de apartenența portului. Driverul adaptorului de rețea primește numărul rețelei sale locale virtuale (sau a acesteia) de la administratorul de rețea (prin configurarea manuală) sau de la o aplicație care rulează pe acest nod. O astfel de aplicație poate funcționa central pe unul dintre serverele de rețea și poate gestiona structura întregii rețele.

Cu suportul VLAN pe adaptoarele de rețea, puteți evita configurarea statică prin alocarea unui port unei anumite rețele virtuale. Cu toate acestea, configurația VLAN statică rămâne populară, deoarece vă permite să creați o rețea structurată fără a necesita software pentru nodul final.

Natalya Olifer este editorialist pentru Journal of Network Solutions/LAN. Ea poate fi contactată la: