2.2.2 Провайдерская схема
В данном случае виртуальная частная сеть организуется исключительно с помощью средств провайдера, поэтому такая схема и называется провайдерской (см. рисунок 2.2). Провайдер устанавливает в своей сети некоторое количество VPN-шлюзов, образующих защищенные каналы внутри публичной сети для тех своих клиентов, которые пожелали воспользоваться услугами VPN. Это хорошо масштабируемое и экономичное решение, управляемое централизованно администратором сети провайдера.
Для компьютеров корпоративной сети (как объединенных в локальные сети, так и автономных) защищенный канал прозрачен. Программное обеспечение этих конечных узлов остается без изменений, а также отпадает необходимость приобретения, конфигурирования и поддержки собственного VPN-шлюза. Реализация провайдерского варианта VPN по-прежнему требует участия администратора корпоративной сети, хотя и в гораздо меньшем объеме по сравнению с предыдущим вариантом. Как минимум, администратор должен предоставить провайдеру перечень адресов, входящих в состав интрасети и экстрасети предприятия, а возможно, и данные для аутентификации пользователей и оборудования корпоративной сети.
Гибкость этой схемы состоит в легкости подключения новых пользователей к существующим защищенным каналам, независимо от места их расположения. Особенно это полезно при подсоединении к экстрасети — вместо индивидуального конфигурирования VPN-средств на каждом конце канала вносятся изменения только в VPN-шлюзы провайдера данного предприятия и провайдера предприятия-партнера. При этом необходимо, чтобы оба провайдера использовали совместимые средства VPN.
Вариант, когда все заботы по поддержанию защищенного канала берет на себя провайдер публичной сети, оставляет тем не менее сомнения в надежности защиты: во-первых, незащищенными оказываются каналы доступа к публичной сети, во-вторых, потребитель услуг чувствует себя в полной зависимости от добросовестности провайдера. И тем не менее, специалисты прогнозируют, что именно вторая схема в ближайшем будущем станет основной в построении защищенных каналов.
1 - VPN– каналextranet
2 – VPN– каналы удаленного доступа
R –маршрутизатор
-cредстваVPN
Рисунок 2.2 – Организация VPN средствами провайдера
Приведенная на рисунке 2.2 схема требует уточнения, что Internet — это не однородное облако, никому не принадлежащее, а совокупность сетей, находящихся под административным контролем большого количества предприятий и организаций. Если услуги VPN предоставляет провайдер, владеющий некоторой магистральной частью Internet, то схема расположения VPN-оборудования может быть уточнена. На рис. 2.3 показаны IP-сети провайдера А, которые являются неотъемлемыми частями Internet и в то же время полностью контролируются данным провайдером.
В пределах своей сети провайдер обычно гарантирует безопасность передаваемых данных своим клиентам без использования средств VPN, и только в точках соединения своих сетей с публичной частью Internet устанавливает VPN-шлюзы. Поэтому, когда трафик клиентов интрасети и экстрасети проходит только через магистраль одного провайдера, то он обслуживается, как правило, без создания защищенных каналов VPN. И только в том случае, когда необходимо либо соединить сети одного провайдера через публичный Internet, либо создать экстрасеть для предприятий, подключенных к разным провайдерам, используется технология VPN.
Можно отметить следующие достоинства и недостатки провайдерской схемы построения VPN.
Достоинства для пользователя:
не нужно покупать и обслуживать дорогое и сложное VPN-оборудование.
Недостатки для пользователя:
пользователь должен доверить провайдеру секретную информацию (пароли, ключи).
Участок пути между помещением пользователя и оборудованием провайдера, включающий канал доступа к глобальной сети и промежуточные каналы между провайдером доступа и VPN-провайдером, не защищен.
R -маршрутизатор
… - незащищенные каналы в сети провайдера
-cредстваVPN
Рисунок 2.3 – Структура VPN провайдера с собственной
магистралью
Достоинства для провайдера:
провайдеру легче обеспечить высокую готовность VPN, используя оборудование провайдерского класса;
провайдеру легче диагностировать и устранять проблемы, не командируя сотрудников на предприятия заказчика;
провайдер может тесно интегрировать VPN-услуги с его возможностями по поддержанию дифференцированного качества обслуживания для приложений пользователя;
закрепление за собой клиентов из-за недостаточного уровня стандартизации услуг VPN в настоящее время.
Учитывая, что каждая из рассмотренных схем имеет свои достоинства и недостатки, можно ожидать, что в ближайшем будущем станут применяться обе
- Федеральное агентство связи
- 1.2 Качество обслуживания в vpn
- 1.3 Защита данных в vpn
- Организация vpn
- 2.1 Vpn устройства
- Расположение vpn устройств в сети
- Пользовательская схема
- 2.2.2 Провайдерская схема
- Смешанная схема
- 3 Характеристики услуги vpn
- 4 Оценка надёжности услуги vpn
- 5 Оценка безопасности услуги vpn
- 5.1 Экспертная модель
- 5.2 Экономическая модель
- 5.3 Вероятностная модель
- 6 Криптографические протоколы
- 6.1 Классификация криптографических протоколов
- 6.2 Атаки на протоколы
- 6.3 Протоколы vpn
- 7 Постановка задачи
- 8 Требования к выполнению курсового проекта
- Литература
- Приложение б Исходные данные
- Приложение в Решения для проектирования vpn Аппаратно-программный комплекс криптон-ip компании «анкад»
- Решение ViPNet Custom компании«Инфотекс»
- Решения «Микротест» на базе сертифицированных vpn-продуктов компании «Инфотекс»
- Межсетевые экраны Juniper Networks (NetScreen)
- Решение компании Alcatel-Lucent (Lucent Secure vpn)
- Решение компании Cisco Systems