logo
Программа Сетевой академии Cisco CCNA 3 и 4 (Вс

Выделение адресов

При использовании традиционной службы удаленного доступа к Internet пользо­ватель соглашается с тем, что IP-адрес выделяется ему динамически из набора дос­тупных адресов провайдера службы. Эта модель часто означает, что удаленные поль­зователи имеют ограниченный доступ к ресурсам своей корпоративной сети, или вообще его не имеют, поскольку брандмауэры и политики безопасности запрещают доступ с внешних IP-адресов к корпоративной сети.

При использовании службы виртуального удаленного доступа корпоративный шлюз может существовать вне корпоративного шлюза и выделять адреса, которые являются внутренними адресами корпоративной сети (и могут фактически быть ад­ресами, описанным и в RFC 1597, зарезервированными для частных сетей или не быть IP-адресами). Поскольку туннели протокола L2TP оперируют исключительно на уровне фреймов, реальные политики такого управления адресами are irrelevant для корректировки службы виртуального удаленного доступа; для всех целей обра­ботки протокола РРР пользователь удаленного доступа выглядит как подсоединен­ный непосредственно к корпоративному шлюзу.

Учет

Требование того, чтобы как сервер NAS, так и корпоративны шлюз обеспечивали данные учета, может означать что они могут подсчитывать количество пактов, окте­тов и количество установок и отключений соединений.

Поскольку виртуальный удаленный доступ является службой доступа, учет попыток доступа (в частности, неудачных попыток) представляет значительный интерес. Корпо­ративный шлюз может отвергнуть попытки установки новых соединений на основе ин­формации аутентификации, собранной Internet-провайдером, с внесением соответст­вующих записей в файл учета. Возможны случаи, когда корпоративный шлюз принимает соединение и продолжает аутентификацию, однако впоследствии отсоединяет клиента. В таких сценариях сообщение об отсоединении, направляемое в обратном направле­нии — lntemet-провайдеру, может также включать в себя указание причины отсоедине­ния. Поскольку корпоративный шлюз может отказать в установке соединения, основы­ваясь на информации, собранной Internet-провайдером, такой учет позволяет легко от­личить серию неудачных попыток установки соединения от серии коротких успешных соединений. Без этого корпоративному шлюзу приходится всегда принимать запросы на соединения и обмениваться многочисленными PPP-пакетами с удаленной системой.

Резюме

Что представляет собой виртуальная частная сеть VPN? Как уже стало известно читателю, VPN-сети могут выступать в различных формах. Такие сети могут сущест­вовать между конечными системами или между двумя или более сетями. VPN-сеть может быть построена с использованием туннелей, шифрования или с помощью ме­тодов виртуального маршрутизатора. VPN-сеть может состоять из нескольких сетей, подсоединенных к сети провайдера службы выделенными линиями, каналами Frame Relay или ATM. Виртуальные сети могут также быть образованы подписчиками уда­ленного доступа, соединенными с централизованными службами или с другим под­писчиками удаленного доступа.

VPN-сеть представляет собой довольно quixotic объект — поскольку отсутствует единый определенный для всех продукт; нет даже общего согласия между различ­ными производителями относительно того, что должна включать в себя VPN-сеть. По этой причине имеет место ситуация. В которой все знают, что такое виртуальная частная сеть, однако дать ей единое определение оказывается достаточно сложно.

Каждой организации приходится решать свои собственные проблемы и каждое из средств, описанных в настоящей главе, может быть использовано для создания определенного типа VPN-сети, которая будет выполнять требуемые в конкретной ситуации функции. Для решения этих проблем существует несколько способов и се­тевые инженеры должны осознавать тот факт, что VPN-сети представляют собой об­ласть, в которой этот термин многими используется в общем смысле — это общая проблема, допускающая несколько различных решений. Каждое из этих решений имеет свои сильные и слабые стороны, а также свои уязвимые аспекты. Не сущест­вует единого механизма VPN-сетей, который удовлетворил бы всех на ближайшие месяцы и годы. Напротив, постоянно возникают новые технологические подходы к проблеме создания и поддержки виртуальных частных сетей.