|
Основными
компонентами туннеля являются:
-
инициатор туннеля;
-
маршрутизируемая сеть;
-
туннельный коммутатор (опционально);
-
один или более туннельных терминаторов.
Туннелирование должно выполняться на обоих концах сквозного
канала. Туннель должен начинаться туннельным инициатором и
завершаться туннельным терминатором. Инициализация и завершение
туннельных операций может выполняться различными сетевыми
устройствами и программным обеспечением. Например, туннель может
быть инициирован компьютером удаленного пользователя, на котором
установлены модем и необходимое для
VPN программное
обеспечение, фронтальным маршрутизатором филиала корпорации или
концентратором доступа к сети у сервис-провайдера.
Для передачи по
Internet
пакетов, отличных от
IP
сетевых протоколов, они со стороны источника инкапсулируются в
IP–пакеты.
Наиболее часто применяемый метод создания
VPN–туннелей
заключается в инкапсуляции не
IP–пакета
в пакет
PPP (Point-to-Point
Protocol)
с последующей инкапсуляцией в
IP–пакет.
Напомним, что
PPP–протокол
используется для соединения типа точка-точка, например, для
связи клиента с сервером. Процесс
IP–инкапсуляции
включает добавление стандартного
IP–заголовка
к оригинальному пакету, который затем рассматривается как
полезная информация. Соответствующий процесс на другом конце
туннеля удаляет
IP–заголовок,
оставляя неизменным оригинальный пакет. Протокол
PPP
обеспечивает сервис на уровне 2 эталонной модели
OSI,
поэтому такой подход называется туннелирование на уровне 2 (L2
Tunneling
Protocol
– L2TP).
Широкое распространение получил протокол
Point-to-Point
Tunneling
Protocol,
разработанный компаниями 3Com
и
Microsoft, который
поставляется вместе с операционными системами
Windows.
Поскольку технология туннелирования достаточно проста, она
является и наиболее приемлемой в отношении стоимости.
Безопасность.
Обеспечение необходимого уровня безопасности часто является
основным пунктом при рассмотрении корпорацией возможности
использования
Internet–базированных
VPN. Многие
IT–менеджеры
привыкли к изначально присущей частным сетям защите
конфиденциальной информации и рассматривают
Internet
как слишком «общедоступную» для использования ее в качестве
частной сети. Однако при условии принятия необходимых мер
Internet–базированные
виртуальные частные сети могут стать более безопасными, чем
VPN, базирующиеся на
PSTN. Если пользоваться английской терминологией, то существуют три «Р»,
реализация которых в совокупности обеспечивает полную защиту
информации. Это:
Protection
- защита ресурсов с помощью брандмауэров (firewall);
Proof
- проверка идентичности (целостности) пакета и аутентификация
отправителя (подтверждение права на доступ);
Privacy
- защита конфиденциальной информации с помощью шифрования.
(продолжение)
|
