Современные виртуальные частные сети (VPN)

Современные VPN предоставляют те же услуги, что и раньше, но с некоторыми дополнениями. Новая схема построения такой сети показана на рис. 1.

Такая сеть обладает следующими дополнительными свойствами:

• Пользователь не знает, какими средствами организуется соединение (например, через Интернет).
• Пользователю предоставляются средства безопасности, включая обеспечение конфиденциальности и достоверности информации.
• Сотрудники и клиенты организации могут соединиться с несущей сетью и получить все необходимые настройки автоматически.
• Обычно пользователи дозваниваются до местного сервера и получают через Интернет доступ к удаленным серверам (например, VPN-сервер на рис. 1). Используя Интернет, пользователь может сократить затраты на междугородние звонки.
• РРР (Point-to-Point Protocol — протокол двухточечного соединения), удаленные серверы RADIUS (Remote Authentication Dial-In Service — система удаленной авторизации пользователей по коммутируемым линиям) и IPSec (Internet Security Protocol — протокол безопасности Интернета) становятся важными инструментами поддержания такой структуры (зти вопросы обсуждаются ниже).

Рис. 1. Структура современной VPN

Здесь следует еще раз подчеркнуть, что пользоваться сетью Интернет для безопасной связи между устройствами пользователей значительно дешевле, чем в случае использования выделенных телефонных линий или других способов.

Более подробно топология VPN представлена на рис. 2. Это всего лишь пример, однако он позволит сделать несколько замечаний по поводу построения VPN.

Интернет выступает в роли несущей сети. Пользователь подключается к интернет-провайдеру, который передает данные на маршрутизаторы Интернета (и наоборот). Эти устройства иногда используются как брандмауэры доступа (access firewall), в этом случае их основная функция заключается в проверке IP-адресов входящих сообщений на подлинность. Эти же компьютеры могут использоваться и в качестве серверов VPN. В этом случае они выполняют расшифровку данных, зашифрованных отправителем.

Сервер VPN может также быть расположен за брандмауэром доступа (в данном случае — маршрутизатором Интернета), при этом он будет являться частью локальной сети, как показано на рис. 2. При такой реализации маршрутизатор или сервер должен передать данные на сервер VPN для их последующей расшифровки. Если эти данные — запрос на соединение с системой, то они передаются на соответствующий сервер для проверки данных пользователя. Часто такой сервер выполняет и функции автоматической настройки соединения.

На рис. 2 показаны несколько узлов сети, некоторые из которых принимают участие в работе VPN, а другие — нет. Может оказаться более удобным и эффективным (с точки зрения затрат) совместить функции сервера проверки прав пользователя и VPN-сервера на одном компьютере, так как функции обеспечения конфиденциальности и идентификации могут быть наиболее эффективно реализованы в рамках одной функции (и следовательно, одного компьютера). Таким образом, нет ничего необычного в размещении функций идентификации, кодирования потока данных и настройки на входном шлюзе VPN-сети. Из рис. 2 также видно, что наиболее важные узлы системы дублируются вспомогательными компьютерами.

Рис. 2. Топология виртуальной локальной сети

Где бы ни был расположен VPN-сервер, его основной задачей будет обеспечение безопасности логических соединений (так называемых IPSec-туннелей) через Интернет.

На рис. 2 показано, что пользователи могут быть подключены к системе двумя способами. При нервом способе туннели безопасности устанавливаются один раз и остаются без изменений. Они организуются между сайтами, которые всегда находятся на одном и том же месте (например, между отделением компании и ее штаб-квартирой). Другой способ применяется при работе с отдельными пользователями, которые могут звонить из разных мест: с мобильных телефонов, из номеров в гостинице и т. п.