Построение виртуальных частных сетей на основе технологии MPLS
РЕФЕРАТ
Текстовая часть дипломной работы 74 с., 31 рис., 3 табл., 9 посыл.
Цель работы – исследование и построение виртуальной частной сети на базе технологии MPLS.
Целью данной работы есть исследование да анализ методов установка защищенное соединение, построенное на базе технологии MPLS, и модификация процедур соединения, устанавливаемого между конечными станциями, за счет использование меток.
Объектом исследование есть виртуальная частная сеть
Предметом исследования являются виртуальные частные сети, построенные на основе технологии MPLS
Виртуальная частная граница VPN, MPLS, канал связи, INTERNET, CEPВEP, КОММУТАТОР, МАРШРУТИЗАТОР, QOS, IP-МЕРЕЖА
Содержание
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ 7
ВВЕДЕНИЕ 8
ВЫВОДЫ 72
ПЕРЕЧЕНЬ Ссылок 74
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
VPN – Virtual Private Network;
MPLS – Multiprotocol Label Switching; IP – Internet Protocol;
РРТР – Point-to-Point Tunneling Protocol; L2TP – Layer 2 Tunneling Protocol; IPSec – IP Security;
ISDN – Integrated Services Digital Network
OSI – The Open Systems Interconnection model; UDP – User Datagram Protocol;
SA – Security Association; AH – Autentication Header;
ESP – Encapsulating Security Payload; IKE – Internet Key Exchange;
HTTP – Hуper Text Transfer Protocol; LSR – Label Switching Routers;
СЕ – Customer Edge Router; Р – Provider Router;
РЕ – Provider Edge Router; QoS – Quality of service;
FEC – Forwarding Equivalency Class; LSR – Label Switching Router;
LSP – Label Switching Path;
LDP – Label Distribution Protocol; OSPF – Open Shortest Path First; BGP – Border Gateway Protocol; ПО – программное обеспечение.
ВВЕДЕНИЕ
Актуальность темы. На сегодняшний день с развитием информационных технологий, в частности сети Internet, произошел качественный скачок в передаче и доступности информации.
Компании имеют большую количество подразделений да филиалов, географически распределенных по значительный территории, поэтому создание корпоративной сети становится более сложным задачам. Это формирует потребность в необходимости создание надежной защиты данных, передаваемых в пределах корпоративной сети, от сетевых атак да для безопасного использование в бизнесе открытых сетей.
В начале 1990-х. зарождается концепция построения таких сетей с помощью технологии VPN, предоставляющей ряд сервисов безопасности и доступности информации. VPN применяют для локальных сетей, устройства которой соединены между собой, в тех случаях, когда нужно использовать внешнюю сеть Интернет. Технология стремительно развивается в течение нескольких десятилетий. На первых этапах она использовалась для решения задач обеспечения целостности да конфиденциальности данных в правительственных учреждениях, научных центрах, крупных предприятиях, обладающих важной информацией и не могут допустить его возможную потерю при подключении к сети Internet. Да впоследствии стало понятно, что появление технологии VPN несет в себе преимущества и индивидуальных пользователей сети Интернет. Применение протоколов туннелирование, создавая зашифрованное соединение, гарантирует, что даже при потере данных никто нет сможет их использовать.
В основе идеи этой технологии лежит объединение доверенных сетей между собой через открытые сети, которые несут определенную опасность для конфиденциальности пользовательских данных. На мой взгляд, это наиболее яркий образ технологии, которая непрерывно приобретает все большее распространение в мире не только для предприятий, но и для рядовых пользователей, с помощью которой передача данных становится более безопасной.
Кроме того, не следует забывать, что на сегодняшний день сеть Internet не только средство передачи данных, но и невероятно большой потребительский рынок да служит платформой для товарной да валютной биржи. Каждый день в сети заключаются сделки на невероятные суммы, пользователи используют ресурсы для получения банковских услуг, заработка, открывается доступ к развлечениям и т.д. Сегодня Internet – это без преувеличения виртуальная вселенная. Спрос на эти потребности побуждает постоянный развитие рынка предоставления услуг на основе технологии VPN. Также спрос на технологию растет через то, что увеличивается количество ограничений в разных странах. все чаще правительства стран по всему мира пытаются контролировать информацию, к которой имеют доступ их граждане.
Спрос корпоративных клиентов на услуги VPN растет в геометрической прогрессии. Это можно объяснить управлением мультисервисного трафика, а также связью между корпоративными сайтами. VPN обеспечивает безопасность end-to-end соединение через сетевую инфраструктуру и сообщает администрацию о обнаружены уязвимые места. Таким образом, предприятие имеет возможность эффективно распоряжаться своими ресурсами.
Согласно данных GM Insights, ежегодный прирост VPN на базе MPLS (multiprotocol label switching) составляет 10%. Крупные корпорации внедряют такие решения прежде всего для хранения и передачи данных. Потребность бизнеса в extranet растет благодаря гибкости VPN: он обеспечивает доступ к нескольким баз данных, совместно используемых в локальной инфраструктуре. Кроме того, предприятие получает возможность экономить финансы: необходимость в дополнительной сетевой инфраструктуре исчезает.
Спрос на VPN растет с разных сторон. Частные пользователи ищут в нем помощь для анонимности при использовании сети Internet и возможность доступа к заблокированной информации, бизнес ищет усовершенствования собственной кибербезопасности. В любому случае, пользователи различают сервисы VPN по качеству предоставления услуг и выбирают более качественный продукт. А самим сервисам приходится постоянно совершенствовать свой продукт в борьбе, в ходе которой скорость, безопасность и уровень конфиденциальности состоянии играть решающую роль.
Вышеприведенные аргументы обуславливают актуальность темы построения виртуальных частных сетей на основе технологии MPLS.
Объект исследование – виртуальная частная сеть.
Предметом исследования являются виртуальные частные сети, построенные на основе технологии MPLS.
Цель работы. Исследование и анализ методов установления защищенного соединение, построенное на базе технологии MPLS, и модификация процедур соединение, что устанавливается между конечными станциями, за счет назначение IP-адресам меток да их дальнейшим кодировкой.
В работе поставлены следующие Задача:
1 VPN – ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ
на сегодня существует множество вариантов что Да есть VPN, однако главной отличной чертой этой технологии есть использование открытой сети для передачи корпоративного IP-трафика Сети VPN предназначены прежде всего для обеспечение подключение конечного пользователя к удаленной сети и соединение некоторого количества локальных сетей. Структура VPN состоит из каналов глобальной сети, маршрутизаторов да защищенных протоколов передачи данных. [1]
VPN (Virtual Private Network) – это виртуальная частная сеть или логическая сеть, которая создает защищенную связь, иначе говоря туннель, одном конце которого находится ПК конечного пользователя, а на другом – VPN сервер. Этот тоннель проходит этаж незащищенной сети интернет связи или провайдера Internet и шифрует все проходящие через него данные, таким образом никто не будет иметь к ним доступ кроме пользователя и частного сети, с которой установлено соединение. Говоря просто VPN – это технология, какая обеспечивает конфиденциальность да целостность данных, что проходят по открытым сетям. [2]
Виртуальная сеть – это выделенная сеть на базе общедоступных каналов связи сети Internet, обеспечивающий конфиденциальность информации, какая передается, за счет использование туннелирование да протоколов шифрование.
Рисунок 1.1 - Принцип работы VPN
Туннелированием принято называть процесс, основная идея которого состоит в потому, что передаваемые данные исчезают «с поверхности» в точке отправления да снова появляются только в точке назначение. Если говорить более конкретно, то это значит создание логического тоннеля, какой соединяет две точки между собой в сети Интернет. Благодаря этом процесса частная информация становится недоступной другим пользователям Internet. Перед тем, как попасть к тоннеля, данные шифруются, что создает дополнительную безопасность. Протоколы шифрования бывают разные, но о них более подробно впоследствии. Выбор зависит от того, какой протокол шифрования данных поддерживается другим Решением VPN. Также, не менее важной характеристикой VPN- решений есть диапазон поддерживаемых протоколов аутентификации. [1]
Следует заметить, что не важно, какое именно ПО используется для установка связи за помощью VPN, оно все работает по следующим общим принципам. Каждый из узлов связи, перед созданием тоннеля, идентифицирует один одного, чтобы убедиться, что зашифрованы данные будут отправлены на необходимый узел. Необходимо заранее выбрать и настроить политику, за какой будут использованы необходимы протоколы для шифрование да сохранение данных. Узлы сверяют политики, чтобы убедиться в идентичности примененных протоколов, если эта процедура не успешна, то тоннель не устанавливается.
В основе же самой идеи VPN лежит Задача обеспечить доступ к корпоративной сети для пользователей удаленного доступа.
Сетевой нейтралитет - это принцип, согласно которому поставщики услуг Internet обязаны работать с всеми данным все равно, без дискриминации и учета личных предпочтений пользователей. В декабре 2017 году Федеральная комиссия по связи США упростила сетевой нейтралитет. Также стоит заметить, что большинство технологических компаний имеют прямой или косвенная связь с рынком США, на который, безусловно, повлияло решение Комиссии. Простыми словами это говорит о следующее – что можно столкнуться с любыми условиями или предвзятостью в зависимости от ваших действий в Интернете.
Первым шагом к этого была отмена правила, согласно котором поставщики услуг интернет должны были получить согласие от клиента, перед тем, как передать или продать его личные данные. Теперь провайдеры имеют возможность продавать номер социального страхование, информацию о место расположение пользователя, состояние здоровья, историю поиска в Интернет и любые другие сведения о пользователе, которые они собирают. Сеть VPN защищает ваши конфиденциальные данные даже от вашего поставщика Интернет. Чтобы никто нет смог отследить да собрать ваши данные.
Еще одной веской причиной для использования технологии VPN является тот происходящий фактор постоянный рост современных открытых точек доступа, которые являются излюбленным местом для киберпреступников. Такие сети находятся в кафе, ресторанах, торговых центрах, метро, тому подобное. И если уже возникла потребность подключиться к такой сети, нужно использовать сеть VPN, которая защитит от любого вмешательства в вашу жизнь мошенников. Также проводя оплату да вводя данные карты в таких сетях, клиенты очень сильно подвергают себя на опасность.
Виртуальная частная сеть дает гарантии, что направленный трафик через открытый интернет, так же защищенный, как данные, передаваемые внутри локальной сети, при этом сохраняя все финансовые преимущества, полученные от использование Internet.
Если провести, то сравнение между частными да виртуальными частными сетями, след выделить ряд преимуществ технологии VPN.
Первым преимуществом, и на мой взгляд очень важным именно для бизнеса, является тот фактор, что затраты на содержание работоспособности сети VPN значительно более низкие. Пользователь платит только за аренду канала связи. Следует добавить, что такая аренда не является задачей с трудом, поскольку сеть Internet достаточно широкомасштабная.
Вторым преимуществом является удобство и легкость построения и реорганизации в структуре виртуальной частной сети.
Учитывая, что требования клиентов к обеспечению безопасности данных, сложности маршрутизации, числа сайтов, объема данных и моделей бывают очень разные, поэтому рынок должен был разрастаться для удовольствие всех потребностей пользователей. Это привело к тому, что все сети VPN можно разделить а три основные виды:
Рисунок 1.2 - Виды VPN сетей
Intranet VPN — самый простой вариант виртуальной частной сети. Он объединяю между собой в единую защищенную сеть несколько филиалов, что взаимодействуют через открытую сеть. Для организации этой схемы соединение необходимо обеспечить количество VPN серверов такое же, как количество связанных между собой офисов.
Следующий вариант Extranet VPN используется для того, чтобы обеспечить доступ с корпоративной сети одной компании к ресурсов сети другой. Поэтому, когда компании почитают сотрудничать, им необходимо проконтролировать, чтобы новые партнеры имели доступ только к определенной информации. При этом вся конфиденциальная информация должна быть надежно защищена от постороннего несанкционированного доступа. Совокупность этих факторов указывает на то, что нужно уделять внимание контролю доступа за помощью брандмауэров (Firewalling). Нет стоит забывать и о аутентификацию пользователей при построении такой сети, ведь она будет гарантировать, что к информации получат доступ только те люди, которым он действительно разрешен.
И, наконец, рассмотрим принцип работы VPN с удаленным доступом. Он состоит в установке соединение пользователя с местной точкой доступа к глобальной сети (РОР), образуя тоннель через открытую сеть Интернет. Затем все пакеты концентрируются на соответствующих узлах да передаются в корпоративные сети. При использовании Internet в качестве магистрали для трафика важными становятся механизмы защиты информации данной технологии.
С работой такой сети я подробно ознакомился на предприятии, где проходил преддипломную практику. Обычно удаленный пользователь не имеет статического IP-адреса и подключается к защищенной корпоративной сети за помощью специально установленного программного обеспечение на его системный устройство.
Кроме вышеупомянутой классификации VPN можно отличать все варианты создание виртуальной частной сети за двумя категориями :
Аппаратные решения состоят из компьютера, операционной системы и специального программного обеспечение, а программные решение – это уже полностью готов программный продукт, какой устанавливается для обзора ПК.
Виртуальные частные сети это без преувеличение есть полноценным способом передачи информации, что гарантирует безопасность, целостность да другие параметры производительности данных.
Прежде нож начать настройка VPN, нужно ознакомиться с терминологией и особенностями конфигураций данной технологии. Прежде всего начнем с того, что VPN-соединение осуществляется за помощью канала типа
«точка-точка», или как его еще называют – туннель. Как нам известно, тоннель создается да прокладывается через незащищенную сеть, например, в в большинстве случаев сеть Internet. Под термином туннелирования понимается процесс установка защищенного соединение между двумя компьютерами, которые получили название peers или узлы. Каждый да званый узел отвечает за шифрование пакета данных к того, как он попадет к тоннеля, да за дешифровку этого пакета после того, как он покидает тоннель.
Но стоит заметить, что тоннель устанавливается между двумя точками, каждый узел может осуществлять установка дополнительного соединение с другими узлами. Приведем простой пример, когда к удаленной корпоративной сети необходимо подключиться к трем рабочим станциям. Для каждой станции будет создан отдельный тоннель, но для каждого из них узел для доступа к корпоративной сети будет одинаковым. Это обусловлено тем, что этот узел способен шифровать и дешифровать пакеты данных для всей сети.
В таких случаях VPN-узел принято назвать VPN-шлюз, а сеть, какая находится за им, получила название – домен шифрование (Encryption domain). Преимущества в использовании шлюзов достаточно очевидны. В первую очередь, пользователи, которые устанавливают соединение с защищенной сетью, имеют пройти через один устройство, что облегчает Задача настройка политик безопасности и контроля данных, входящих и исходящих из сети. Также преимуществом является то, что над тоннелями можно потерять контроль при прямом подключены без шлюза, да как тоннель – это соединение за принципом "точка-точка". Поэтому при использовании шлюза, пользователь сначала должен присоединиться к нему и только потом получить доступ к доменной сети.
Стоит обратить внимание, что внутри домена шифрование данных нет происходит. Это обуславливается тем, что такая сеть считается безопасной да контролируемой в отличие от Интернет.
Рассмотрим пример соединения двух офисов с помощью VPN-шлюза за следующей схемой:
Рисунок 1.4 - Защищенная сеть
Сеть A считается доменом шифрования для VPN-шлюза А, сеть В аналогично к шлюза В. Когда пользователь осуществляет передачу данных с сети А к сети В, то VPN-шлюз А шифрует их и отправляет в В через туннель. VPN-шлюз В свою очередь дешифрует эти данные и направляет их в пользователя сети В.
Иначе говоря, каждый раз когда объединены сети находят два VPN- шлюзы, они создают между ними защищенный туннель. В процессе происходит шифрование всего пакета IP, в результате чего ему предоставляется новый IP заголовок, какой в свою очередь получает IP-адреса двух VPN-шлюзы. Соответственно получить данные о компьютере отправителя в первом домене и компьютер получателя в другому домены.
Чтобы рассмотреть выше принцип соединения удаленных пользователей с корпоративной сетью работал, его необходимо реализовать. Одним с факторами реализации является программное обеспечение – VPN-клиент. Он обеспечивает создание VPN-тоннеля к удаленного VPN-шлюз.
Несмотря на тот фактор, какое именно программное обеспечение было выбрано для реализации, можно выделить ряд принципов за какими работает VPN:
Также следует отметить, что механизм туннелирования не зависит от цели, ради которой оно создается. Простыми словами туннелирования применяют нет только для обеспечение конфиденциальности, целостности да доступности информации, но и для осуществления перехода между сетями, использующими разные протоколы. Это решает вопрос взаимодействия между разнотипными сетями, что используют разные протоколы в своих логических средах
За реализацию этого механизма отвечают такие протоколы как:
Для того чтобы реализовать виртуальную частную сеть на большом предприятию необходимы VPN-клиенты, VPN-серверы и VPN-шлюзы. Шлюзы используются для обеспечения защиты локальных сетей от внешних угроз, а клиенты и серверы обеспечивают защищенное соединение удаленных пользователей с частной сетью за помощью открытого Интернет.
Совокупность правил для создания VPN-тоннелей определяется политикой безопасности. Эти правила вносятся в настройки VPN-агентов. Для того чтоб отправить пакет данных к тоннеля, сначала проверяются следующие параметры:
возводится к размещение протокола низшего уровня внутри поля данных пакета с использованием протокола такого же или высшего уровня.
Благодаря инкапсуляции обеспечивается возможность криптографического защиты инкапсулирующих пакетов. Конфиденциальность этих пакетов достигается за помощью криптографического закрытие, а целостность и доступность за помощью формирование цифрового подписи. [3]
В первую очередь сети VPN строятся за помощью протоколов туннелирование пакетов данных, что передаются через открытую сеть. Или протоколы обеспечивают шифрование и сквозную передачу информации между пользователями. В сегодняшних реалиях, для построения виртуальных частных сетей используются протоколы за следующими уровнями:
На нем используются протоколы шифрование данных такие, как L2TP и РРТР, использующие аутентификацию и авторизацию. Теперь наиболее распространенным протоколом для виртуальных частных сетей является РРТР (Point-to-Point Tunnelling Protocol). Он был разработан компаниями
3Com и Microsoft для обеспечения защищенного соединения удаленных пользователей с частной сетью через Интернет.
Протокол использует стандарты TCP/IP да много в почему полагается на протокол двухточечный связи РРР, что есть уже достаточно устаревшим. PPTP создает туннель через сеть на NT-сервер получателя и отправляет через него пакет данных PPP удаленного пользователя. Сервер и рабочая станция не обращают внимания, насколько безопасной и доступной. глобальная сеть между ими, а работают только в пределах виртуальной частной сети.
РРТР. Протокол РРТР применяется только на устройствах под управлением ОС Windows, но нет ввиду на это, он обеспечивает для компаний возможность работать со уже существующей сетевой инфраструктурой, не подвергая собственную систему безопасности внешним угрозам. Есть удаленный пользователь может подключиться к NT-сервера, используя местного провайдера по канала ISDN или аналоговой телефонной линии. При этом компании не нужно тратить собственные ресурсы. для обслуживание модемов, что предоставляют услуги удаленного доступа.
Рассмотрим принцип работы РРТР. Пакеты ИР инкапсулируются для передачи по сети. Для создание управляемого туннелированного соединение клиентами РРТР используются порты назначения. Это происходит на транспортном уровни модели OSI. После успешного создание тоннеля начинается обмен пакетами между сервером и компьютером. Кроме управляющего соединение РРТР, что поддерживает жизнедеятельность канала, создается дополнительно соединение для отправки данных через туннель. Процесс инкапсуляции для передачи по туннелю несколько отличается от инкапсуляции при обычном транспортировке данных и включает в себя следующие этапы:
Поскольку за доставку информации за местом назначение отвечает канальный уровень модели OSI, а при другому проходе данные достигают транспортного уровня, то РРТР берется за шифрование пакетного поля полезного нагрузка и берет на себя функции второго уровня, за какой обычно отвечает РРР. Иначе говоря, добавляет к РРТР-пакета РРР- заголовок да окончание. Таким образом создается кадр канального уровня.
L2TP . L2TP – это протокол, являющийся результатом объединения РРТР и L2F (Layer 2 Forwarding). Считается, что он соединил в себе лучшие стороны РРТР и L2F. Основной отличной чертой протокола есть возможность создать с его помощью туннель не только в сетях IP, но и в таких, как АТМ, Х.25 да Frame Relay.
L2TP использует протокол UDP в качестве транспорта и применяет один формат сообщений для передачи данных да управление туннелем. Для Windows в качестве контрольных сообщений используются пакеты UDP. содержащие в себе шифрованные пакеты РРР. А за надежность доставки отвечает контроль последовательности пакетов.
Также стоит заметить, что L2TP предлагает большую количество уровней безопасности, в отличие от РРТР, что в свою очередь гарантирует чуть ли не стопроцентную безопасность для данных, что передаются через виртуальную частную сеть. Протокол L2TP считается очень перспективным для построения таких сетей. через ряд особенностей, что ему присущи.
L2TP и РРТР отличаются от протоколов третьего уровня некоторыми особенностями:
MPLS . Для создание тоннелей на канальном уровни также может использоваться технология MPLS (Multiprotocol Label Switching – многопротокольная коммутация по меткам). Также MPLS называют протоколом канально-сетевого уровня, поскольку его применение
происходит на уровне, который можно было бы разместить между канальным и третьим сетевым уровнями в модели OSI
Целью разработки данного протокола было обеспечение совместной службы передачи данных для сетей с коммутацией пакетов да клиентов сетей с коммутацией каналов Простыми словами, благодаря MPLS стало Возможно транспортировать трафик данных любой природы создания, например АТМ, IP-пакеты, кадры Ethernet и SONET.
Решение на канальном уровни по организации виртуальных частных сетей имеют определенные ограничения, обычно это реализуется в пределах домена провайдера.
Сетевой уровень.
Сетевой уровень, или как его еще называют уровень IP. На этом уровне используют протокол IPSec, реализующий конфиденциальность, шифрование да целостность данных, а также использует аутентификацию пользователей. Благодаря IPSec достигается полнофункциональный доступ к корпоративной. сети, который можно считать эквивалентным физическому подключению. Для реализации виртуальной частной сети на базе этого протокола необходимо обеспечить каждую рабочую станцию необходимым программным обеспечением.
IPSec (Internet Protocol Security). В его протоколах безопасности заложены мощные алгоритмы шифрования, защищающие VPN каналы. Поэтому компания может быть уверена, что конфиденциальная информация таковой и останется, сохранит свою целостность и доступность. ИРSec считают стандартом, что выбрала мировая сообщество в отрасли VPN.
Протокол обеспечивает защита сетевого уровня да требует, чтобы все устройства что устанавливают соединение, поддерживали стандарты ИРSec по обе стороны. Все остальные устройства, задействованные в транспортировке, служат только для передачи IP-трафика. Взаимодействие между двумя устройствами, что используют ИРSec, называется обще принятым определением
«Защищенная ассоциация» – Security Association (SA). Функционирует такое соединение на основе сделки, что укладывается между двумя сторонами, которые пользуются технологией IPSec. Настоящее соглашение регулирует некоторые следующие параметры: IP адреса пользователей, криптографический алгоритм, обмен ключами безопасности, их размер да срок годности, алгоритмы проверки подлинности.
ИРSec можно представить как совокупность открытых согласованных стандартов, что имеет ядро внутри. Это ядро складывается с трех протоколов:
AH (authentication Header) или иначе говоря заголовок аутентификации. Задача протокола состоит в поэтому, чтобы обеспечить целостность да подлинность данных. Кроме этого, протокол разрешает убедиться в следующих параметрах для принимающей стороны:
ESP (Encapsulating Security Payload). Этот протокол также может заниматься сохранением целостности данных, но кроме этого его основным Задача есть шифрование данных да сохранение их конфиденциальности. И называют его инкапсуляцией зашифрованных данных.
Протокол ESP имеет решать две основные группы задач:
1 Защита данных, что передаются, от несанкционированного доступа к
них;
2 Обеспечение целостности да доступности данных.
Также стоит заметить, что протоколы AH да ESP защищают данные
одновременно в двух режимах – транспортном и туннельном.
IKE (Internet Key Exchange). Обеспечивает работу протоколов шифрования и аутентификации, решая задачи по автоматическому предоставлению секретных ключей конечным точкам защищенного соединение.
Транспортный уровень.
Транспортный уровень использует SSL/TLS или Secure Socket Layer/ Transport Layer Security. Защита уровня, что реализует аутентификацию да шифрование между транспортными уровнями передатчика и приемника. SSL / TLS
нет можно использовать для защиты UDP –трафика, используется только для защиты TCP-трафика. Для VPN на базе SSL / TLS нет существует необходимости внедрение специального программного обеспечение, поскольку каждый почтовый клиент и браузер оснащен этими протоколами. Из-за того, что SSL/TLS реализован на транспортном уровне, установлено надежное сквозное соединение.
Протокол TLS базируется на протоколы Netscape SSL версии 3.0 и состоит из двух частей – TLS Record Protocol и TLS Handshake Protocol. Различия между SSL 3.0 и TLS 1.0 небольшие.
SSL / TLS содержит в себе три общие фазы:
под время организации да реализации виртуальной частной сети необходимо учитывать большую количество факторов, которые влияют на функциональные возможности такой сети. Рассмотрим, которые технологии в современном мире используются для постройки. Среди таких технологий можно выделить такие как: VPN на основе технологий туннелирования PPTP, L2TP, IPSec VPN, MPLS VPN.
До наиболее распространенной технологии относится IPSec VPN. IPSec в в основном используется для VPN-тоннелей. В этом случае протоколы ESP и AH работают в туннельном режиме. Протокол также можно использовать для создание брандмауэр, специально настроив политики сохранности. Смысл брандмауэра заключается в том, что он контролирует и фильтрует пакеты, что проходят через него, соответственно к определенных правил. Установлен ряд правил, и на экране отображаются все пакеты проходят. Если пакеты, что передают, подпадают под действие этих правил, брандмауэр соответственно обрабатывает их. Например, он может отклонять определенные пакеты и тем самим разрывать опасные соединение. Если соответственно настроить свою политику безопасности, можно запретить веб-трафик. Для этого достаточно запретить отправку пакетов, содержащих сообщения протоколы HTTP и HTTPS. IPSec также можно использовать для защиты серверов, отбрасывая все пакеты, кроме тех, которые необходимы для надлежащей работы серверных функций. Например, для веб-сервера можно заблокировать весь трафик, кроме подключений через TCP-порт 80 или через TCP-порт 443, используя HTTPS. Здесь IPsec предлагает безопасный доступ пользователей к сервера. При использовании протокола ESP все запросы к сервера да ответы на него шифруются. Однако открытые сообщения отправляются за шлюзом VPN (в домене шифрования). Дальнейшие примеры использования IPsec:
Недостатком этой технологии есть тот фактор, что с всех свойств виртуальной сети технология IPSec реализует только безопасность да изоляцию адресного пространства Он не поддерживает пропускную способность и другие параметры качества обслуживание. Кроме того, недостатком IPSec есть его ориентация исключительно на протокол IP.
IPSec получила неоднозначные отзывы от экспертов. С одной стороны, следует указать, что протокол IPSec есть лучшим среди других протоколов для защиты данных, переданных через раньше разработанную сеть (включая разработанную Microsoft PPTP). Кроме того, в протоколе чрезмерная сложность и избыточность. Например, в своей "Криптографический оценке IPsec" Нильс Фергюсон и Брюс Шнайер заявляют, что они обнаружили весомые проблемы безопасности едва ли не во всех основных компонентах IPsec. Они также отмечают, что набор его протоколов требует много работы, чтобы поддерживать необходимый уровень безопасности. В статьи описан ряд атак, которые используютмслабые места в общий схеме обработки данных, а также слабые стороны криптографических алгоритмов [5]
PPTP поддерживает шифрование да инкапсуляцию многопротокольного трафика за помощью заголовка IP для отправка через сеть IP или общедоступную сеть IP, да у как Интернет. PPTP может использоваться для коммутируемых соединений и VPN-соединений между сайтами типа «сеть-сеть». При использовании Интернета как общедоступной сети для соединений VPN, PPTP-сервер – это VPN-сервер, поддерживающий PPTP, с одним интерфейсом в Интернете и другим в интросети.
PPTP инкапсулирует кадры PPP в IP-дейтаграммах для транспортировки по сети. PPTP использует соединение TCP для управление тоннелем да модифицированную версию GRE для инкапсуляции кадров PPP для данных в туннеле. Полезное нагрузка инкапсулированных кадров PPP может быть зашифрованным, сжатым или одновременно и тем, и другим.
Кадр PPP (дейтаграмма IP, IPX или Appletalk) заключен с названием GRE (общая инкапсуляция маршрутизации) и название IP. В заголовке IP- адреса отправителя да назначение отвечают сервера VPN да клиенту VPN.
PPTP является наиболее широко используемым протоколом VPN в течение. многих лет. С рассуждений безопасности он полагается на разные методы аутентификации (как правило, MS-CHAP v.2). Это стандартный протокол почти для всех устройств и операционных систем, поддерживающих VPN. Главная преимущество этого протокола состоит в поэтому, что нужно меньше вычислительных ресурсов и поэтому имеет высокую рабочую скорость. [5]
К минусам в работе протоколов PPTP и L2TP можно добавить отсутствие встроенных алгоритмов шифрование.
В последнее время очень большую популярность набирает технология MPLS. VPN. Считается, что эта технология есть одной с самых перспективных для создание VPN сети. Рассмотрим причины такого успеха на фон других технологий.
В обычных сетях IP маршрутизация пакетов базируется на IP-адресе назначение. Каждый маршрутизатор сети имеет информацию о том, в какой интерфейс и по какому направлению следует отправлять IP-пакет. В этом случае метка присваивается каждому IP-пакету в сетях MPLS. Маршрутизаторы решают переслать пакет на следующее устройство на основе значения метки. Этот процесс занимает намного меньше времени, нож сравнение IP-адреса с самым высоким префиксом адреса отправителя в таблицы маршрутизации, что используется в традиционный маршрутизации С этой причины одной с преимуществ сетей MPLS есть высокая пропускная способность.
Технология MPLS способна работать на другому (канальном) и третьем (сетевом) уровнях OSI. Это обеспечивает дополнительную гибкость при сочетании локальных сетей.
Структурно строение MPLS предполагает в своему составе три основные компонента:
LSR есть гибридом IP-маршрутизатора и коммутатора, при этом IP- маршрутизатор может определять топологию сети с помощью протоколов маршрутизации и выбирать эффективные пути трафика данных, а коммутатор может продвигать пакеты с помощью меток и таблиц локальной коммутации. LSR для краткости часто называют просто маршрутизаторами, и по уважительной причине они столь же успешны в продвижении IP-пакетов, если поддержка MPLS отключена.
В сети провайдера под устройствами LSR находятся предельные маршрутизаторы (конечный маршрутизатор провайдера, PE), с которыми маршрутизаторы CE соединяются точки клиентов и внутренние маршрутизаторы магистральной сети провайдера (маршрутизатор провайдера, P).
Маршрутизаторы CE и PE обычно подключаются непосредственно к физическому. канала, где работает любой из протоколов канального уровня, например FR, PPP, Ethernet или ATM. Связь между CE и PE основанный на стандартных протоколах стека TCP / IP. Поддержка MPLS требуется только для внутренних интерфейсов PE (также для всех интерфейсов P). Иногда полезно различать входной PE и выходной (удаленный) PE в зависимости от направления передачи трафика
В магистральной сети Интернет-провайдера исключительно предельные маршрутизаторы PE должны быть настроены для поддержки VPN, чтобы только они «знали» об имеющихся VPN. Если рассмотреть сеть с точки зрения VPN, маршрутизаторы P провайдера нет взаимодействуют непосредственно с маршрутизаторами клиентского CE, а просто расположены по длине тоннеля между входящим и выходным маршрутизаторами PE.
Функционально более сложные, нож маршрутизаторы P есть маршрутизаторы ПЭ. Они отвечают за основные задачи поддержки VPN, а именно за разграничение маршрутов и данных от разных клиентов. Маршрутизатор PE также служит конечной точкой путей LSP между сайтами. клиентов, и именно PE назначает метку IP-пакета для его передачи через внутреннюю сеть маршрутизаторы P.
Пути LSP могут быть установлены двумя способами: или с использованием IGP (технологии ускоренной маршрутизации) с использованием протоколов LDP, или на основе технологии управление трафиком с использованием протоколов RSVP или CR-LDP. Создание LSP значит заполнение таблиц коммутации меток на всех маршрутизаторы PE и P, что составляют этот LSP.
VPN (Virtual Private Network) – это виртуальная частная сеть или логическая сеть, какая создает защищенный связь, иначе говоря тоннель, нам одном конце которого находится ПК конечного пользователя, а на другом – VPN сервер. Этот тоннель проходит этаж незащищенной сети интернет связи или провайдера Internet и шифрует все проходящие через него данные, таким образом никто не будет иметь к ним доступ кроме пользователя и частного сети, с которой установлено соединение. Говоря просто VPN – это технология, какая обеспечивает защита да целостность данных, что проходят по открытым сетям.
Для постройки виртуальных частных сетей на данный время используют следующие технологии туннелирования: PPTP, L2TP, IPSec VPN, MPLS VPN. И наиболее перспективной среди них считается технология MPLS VPN .
2 ТЕХНОЛОГИЯ MPLS VPN
MPLS (Multiprotocol Label Switching) – современная, очень многообещающая технология передачи данных с гарантированной качеством обслуживание QoS, эффективное управление трафиком данных, высокая масштабируемость и интеграция в IP-сервисы. Но существуют некоторые проблемы в развития технологий передачи данных, например, как защитить компьютерные сети и программные приложения от неавторизованного доступа.
Технология многопротокольной коммутации с помощью меток MPLS – есть результатом слияния некоторых подобных технологий, изобретенных в середине 1990- х гг. Самая известная из них называется IP Switching. Ранее Toshiba описала подобный механизм: Cell Switching Router (CSR) , и вскоре была опубликована информация о несколько других технологий, включая Tag Switching (Cisco Systems) и ARIS (IBM). Эти механизмы имеют некоторые общие характеристики. Все они используют простой метод замены меток для пересылка пакетов, структура управления, разработанная для Интернет. Иначе говоря IP-адреса и стандартные протоколы маршрутизации такие, как OSPF и BGR. Кратко обсудим или технологии в следующем пункты.
Растущий спрос к MPLS привел к созданию специальной рабочей группы IETF с целью разработки общего стандарта на основе вышеперечисленных механизмов. IETF нет хотел давать группе имя, какое отвечало б продукта компании, и выбрал нейтральное (если немного неуклюжее) название: смена этикетки с несколькими протоколами.
Предлагаю рассмотреть основные элементы многопротокольной технологии коммутации за помощью меток. Выделяют три главные элементы:
FEC – Forwarding Equivalency Class – класс эквивалентности пересылки;
LSR – Label Switching Router – маршрутизатор коммутации с помощью меток;
LSP – Label Switching Path – тракт коммутируемый за помощью меток.
Таблица 2.1 - Элементы технологии MPLS
FEC - Forwarding Equivalence Class | Серия пакетов, которые пересылаются все равно, например, для обеспечения определенного качества обслуживание. |
Label - метка | Краткое обозначение с фиксированной длиной, которое указывает, или принадлежит пакет к определенного FEC. |
Label swapping замена метки | Замена метки пакета, полученного от сетевого узла MPLS, новой меткой, ассоциированной с тем же FEC, когда этот пакет пересылается на низший узел. |
LER - MPLS edge router | Узел границы сети MPLS, подключающий домен MPLS к узла поза этим доменом. |
loop detection | Метод распознавания того, что пакет прошел через узел больше нож один раз. |
loop prevention | Метод обнаружение да устранение обратных маршрутов |
LSP — Label Switched Path | Транспортировка через один или несколько путей LSR пакетами с того самого FEC. |
ER-LSP - explicitly routed LSP | LSP, какой организованный иначе, нож обычная маршрутизация пакетов IP. |
LSR - Label Switching Router | Маршрутизатор, пересылающий пакеты по технологии MPLS. |
MPLS domain | Набор узлов MPLS с непрерывными LSP между ими. |
MPLS egress node | Последний узел MPLS в тракте LSP, который переадресовывает выходной пакет к точки назначение поза сетью MPLS. |
MPLS ingress node | Первый узел MPLS у LSP, получаемый оригинальный пакет и размещает на нем метку MPLS. |
FEC – это совокупность отправляемых общим пакетов третьего уровня методом по одному маршруту и обрабатываются одинаковым образом. Когда пакета присвоено определенный класс эквивалентности FEC, маршрутизатор может отображать IP-заголовок пакета да использовать другую информацию, в частности, номер интерфейса, на который был отправлен пакет. Класс FEC способен выполнять более тонкую или грубую классификацию пакетов в зависимости от объема информации, какая учитывается при присвоение пакета его класса эквивалентности.
MPLS-маршрутизаторы могут назначать разные классы FEC для пакетов, что поступают на разные порты. Эта функция есть основой для настройка виртуальной частной сети MPLS (виртуальные частные сети). При обычной переадресации пакетов может быть учтена только информация, которая передается с пакетом в заголовка уровня 3.
При коммутации меток MPLS пакет назначается определенному классу FEC когда он попадает в сеть и делается это только один раз. Этому FEC присваивается метка, идентификатор фиксированной длины, который посылается вместе с пакетом при его переадресации на следующий маршрутизатор. С этой причины других маршрутизаторов не анализируют заголовок сетевого уровня. метка, установлена предельным маршрутизатором, когда пакет попадает в сеть MPLS, используется, как указатель на таблицу входа, что определяет следующий маршрутизатор, на который будет переадресован пакет, и как новый метка для FEC, к которой принадлежит пакет.
Исходя из этого, класс эквивалентности переадресации FEC является формой представление группы пакетов с одинаковыми требованиями по направлению их передачи. Есть пакеты такой группы обрабатываются одинаковым образом в маршрутизаторы и идут за этим самим по маршруту к места назначение.
Маршрутизаторы MPLS создают таблицу, что определяет метод переадресации пакетов. Эта таблица называется информационная база меток LIB и содержит в себе всю количество меток, что используются. Теги которые использует маршрутизатор LSR можно разделить на две следующие категории:
LSR – маршрутизатор, что реализует коммутацию за помощью меток, это устройство , выполняющее функции управления и передачи с помощью коммутации MPLS. LSR пересылает пакет на основе значения метки, инкапсулированное в пакет. LSR также может пересылать обычные пакеты уровня 3. LSR могут быть маршрутизаторами или коммутаторами, которые поддерживают MPLS. Пакетные LSR можно легко создать, загрузив образ IOS с набором функций MPLS , установленный на обычный маршрутизатор. Основой для коммутации меток есть устройство LSR для координации своих действий с метками для передачи данных. Это согласование осуществляется за помощью протокола распределения меток или протоколов BGP, RSVP или CR-
LDP.
Таблица 2.2 - Взаимодействие с метками
Вид взаимодействия | Описание |
Агрегирование | Удаляет верхнюю метку стека и выполняет Поиск информации 3-го уровня |
Вытеснение | Удаляет верхнюю метку стека и передает полезное нагрузка пакета в виде IP-пакета с меткой или без нее |
Вставка | Заменяет верхнюю метку стека набором меток |
Замена | Заменяет верхнюю метку стека другим значением |
Удаление тега | Удаляет верхнюю метку стека и направляет IP-пакет за указанной адресую следующего IP-перехода |
Когда маршрутизатор определяет, что он предпоследний LSR в тракте, он удаляет весь стек и отправляет пакет в последний LSR. Это минимизирует объем обработки, какой должен выполнить окончательный LSR.
LSP (Label-Switched Path) – коммутируемый тракт с помощью меток, это путь по котором передвигается трафик в сети MPLS да определяется установленным для этого потока FEC в входном LSR. Идентифицируется за помощью последовательности меток в LSR, находящиеся вдоль потока на пути от отправителя к получателю.
LSP устанавливаются перед передачей данных (с программным контролем), или после обнаружение необходимого потока данных (с контролем данных).
В LSP метки назначаются с помощью протокола распределения меток (LDP). Основная роль назначения меток заключается в организации и поддержке LSP, включая определение каждой привязки меток FEC в каждом LSR для LSP тракта.
При создании LSP в промежуточных маршрутизаторах некоторые потоки данных можно объединить в общий пакетный поток, получающий общий FEC в этой точке слияния.
Важнейшими шагами, необходимыми для обеспечение прохождение пакетом данных домена MLPS, есть:
Использование меток это главный механизм транспортировка трафика через сеть MPLS. Теги присваиваются к пакетов, когда они попадают в сеть MPLS, потом заменяются новыми метками при перемещении пакетов с одного узла на другой и удаляются из этой сети, когда пакеты оставляют эту сеть.
Рассмотрим понятие структуры метки в MPLS. Вообще метка представляет собой определенный элемент фиксированной длины, применяемый для местной идентификации FEC. За помощью метки определяется принадлежность к конкретного FEC в каждому узла тракта, по котором передается пакет.
Структура метки состоит из заглавия и значения. Длина составляет 32 бита или 4 байта. Заголовок включает в себя три составляющие: трех битовое поле Exp, обозначающий класс обслуживания, восьми битового поля TTL (Time-to- Live) да S-бита, что служит признаком «нижней точки» для стека.
20-битное поле содержит значение метки MPLS, которое может быть любым числом в диапазоне от 0 до , за исключением зарезервированных значений (0, 1, 2, 3 тому подобное), которые использует рабочая группа MPLS.
Поле экспериментальных битов (EXP) складывается с трех битов, которые зарезервированы для дальнейших исследований да экспериментов Продолжается работа над установкой общего стандарта использование этих битов для поддержки дифференцированного обслуживание для смешанного трафика да идентификации классов обслуживание. Поле сначала называлось "Класс обслуживание" (CoS), и это имя все еще можно найти в литературе. Предоставляя сетевые услуги MPLS, это поле может идентифицировать конкретный класс обслуживание, близкий к классов DiffServ. Чтобы обеспечить необходимую качество услуг IP на границы сети MPLS, вы можете скопировать поле приоритета IP в поле CoS, учитывая, что поле CoS в заголовке MPLS состоит только из трех битов и может передавать только трех битовое поле IP с приоритетом, а не 6-битное поле Differentiated Service Code Point (DSCP). За потребности информация CoS может транспортироваться в виде одной с меток стека MPLS, поскольку поле маркировки в длину всего 20 битов и может вмещать как поле приоритета IP, да и поле DSCP.
S-бит поддерживает иерархическую структуру стека MPLS-тегов. В заголовке последней метки биты S = 1, а у других метках в стек бит S = O.
Поле TTL (Time to Live) в заголовке MPLS имеет схожий принцип работы с полем TTL в IP-пакете. Это поле – это механизм предотвращения нескончаемой циркуляции пакетов по сети через образование маршрутов обратной связи Байт TTL находится в концы заголовка метки и занимает биты от 24 до 31
Для MPLS существует три операции, которые можно выполнять с меткой: делать замену метки, удалять метку из стека и помещать метку к стеку. Эти операцию применяются для слияния информационного потока или его разделения. Push operation – операция какая помещает новую метку к стека этаж предыдущей метки. А операция Pop operation удаляет верхнюю метку.
Функциональность стек MPLS обеспечивает возможность объединить несколько LSP. Общая метка добавляется к стек меток каждого с этих LSP, чтобы сформировать агрегированный путь MPLS. В концы такого пути он разветвляется на свои отдельные LSP. Таким образом можно объединить маршруты, что имеют общую часть маршрута. Как результат, MPLS способен обеспечить иерархическую маршрутизацию, которая может быть важной и необходимой функциональностью. Он нет должен содержать глобальной информации о маршрутизацию, что делает сеть MPLS более стабильной да масштабируемой, нож традиционная сеть маршрутизации [7]
Основным задачей протокола LDP (Label Distribution Protocol) определение распределения меток на всех LSR в сети MPLS.
LDP идентифицирует два типа элементов, которые можно использовать для определение FEC:
Решение относительно тегирование могут базироваться на таких критериях, как одно-адресная маршрутизация к места назначение, оптимизация трафика, многоадресная передача, механизмы VPN, QoS и т.д. Спецификация LDP определяет правила сравнение между входящим пакетом да его LSP.
Вы можете распространять метки разными способами:
Присвоение метки, привязки к конкретному FEC, выполняется LSR5, который является граничным маршрутизатором на выходе пакетов из этого FEC. Такой LSR называется downstream LSR, есть нижний.
Метки всегда назначаются снизу, то есть в противоположном направлении. направлении движения.
Нижний LSR информирует соседний верхний LSR, какие метки он назначил каждому FEC входных пакетов. Этот процесс известный как распределение меток и обеспечивается протоколом распределения этикеток (LDP).
Протокол распространения меток LDP состоит из ряда процедур и сообщений, которые LSR используют для организации маршрутов коммутации по помощью меток, обмена информацией о распределении меток FEC с соседними LSR, управление и прекращение сеансов LDP.
Разговор между коммуникационными LSR, являющимися узлами одного ранга LDP, в которых каждый общающийся LSR узнает, что метка была назначена FEC в другому LSR, известная как сессия LDP.
Итак, конечной точкой LSP, которая создана с помощью протокола LDP, соседний LSR, который имеет прямую связь с этим LSR, или исходный LSR, к которого этот LSR может получить доступ через множество транзитных LSR. Процессы обнаружения конечных точек этих двух типов называются соответственно базовым и расширенным обнаружением.
Распределение меток за способом реализации бывает независимым или структурированным. В первом случае LSR может сообщить верхнему LSR о привязку тега к FEC к получению информации о привязке от нижнего LSR. В другому случае отправка сообщение «наверх» может быть реализована только за условия получение соответствующих указаний "снизу".
Когда LSR обмениваются информацией между собой, используется следующие 4 категории LDP сообщений:
Сообщение LDP содержит шесть полей: U-бит, тип, длина, идентификатор, необходимые параметры и дополнительные параметры.[7]
Таблица 2.3 - Список сообщений LDP
Сообщение протокола LDP | Message Туре | Описание |
Notification (Уведомление) | 0001 | Информирует маршрутизаторы, которые берут учат в сеанс об ошибке функционирования или ошибке в обработке сообщений LDP |
Hello (Приветствие) | 0100 | Используется как часть механизма обнаружение узла да периодического обмена приветствиями во время сеанса LDP |
Initialization (инициализация) | 0200 | Инициирует организацию сессии LDP да обеспечивает согласование общих параметров этой сессии |
Keep Alive (поддержка) | 0201 | Используется для поддержка сеанса LDP в текущем (рабочему) состоянии |
Address (Адрес) | 0300 | Сообщает транспортные адреса интерфейсов маршрутизатора |
Продолжение таблицы 2.3
Address Withdraw (отмена адреса) | 0301 | Сообщает маршрутизаторам, что транспортные адреса больше не доступны |
Label Mapping (назначение метки) | 0400 | В ответ на запрос он передает значение метки своему LSR |
Label Request (запрос метки) | 0401 | Приглашать метку в нижестоящего LSR |
Label Withdraw (отмена привязки метки) | 0402 | Используется для отмена раньше объявленного привязки |
Label Release (Удаление метки) | 0403 | Сообщает LSR, что привязка "тега FEC" для этого тегу больше не нужна |
Label Abort Request (отмена запроса метки) | 0404 | Используется для прерывание (отмена) текущего сообщение с запросом на тег |
Vendor-private (Резерв производителя) | 3E00- 3EFF | Сообщение, указанные производителем оборудование |
Experimental (экспериментал ные) | 3F00- 3FFF | Экспериментальные отчеты |
OSPF (Open Shortest Path First) - это IGP (протокол динамической маршрутизации), какой был разработан в 1989 году рабочей группой Инженерных сетей (IETF) для IP-сетей (версия 1, RFC 1131). Открытый протокол, основанный на алгоритме поиска кратчайшего пути, описан в RFC 2328 (версия 2 OSPF). Этот протокол является протоколом маршрутизации состояния связи. Протокол назначен для использование в автономных системах (AS).
Autonomous System (AS) (автономная система) – группа маршрутизаторов под одним администрированием, которые осуществляют обмен информацией о маршрутизацию на основе единого протокола.
OSPF может принимать маршруты из одних AS и отправлять маршруты в других AS. Все маршрутизаторы OSPF управляют идентичными базами данных топологии AS. Согласно данным о состоянии канала рассчитывается путь методом создание деревья кратчайшего пути к каждого узла (алгоритм SPF) Алгоритм SPF иногда называют алгоритмом Dijkstra в честь автора, который его разработал.
Если топология изменяется, OSPF перечисляет маршруты быстро и не генерирует значительный трафик при обновлении информации о маршрутизации. OSPF предлагает балансировку нагрузки - многоканальную поддержку с одинаковыми издержками. Маршрутизация определенных областей (area routing) поддерживается для обеспечения дополнительного уровня защиты маршрутизации и уменьшение накладных расходов на обмен информацией о маршрутизацию. Кроме того, информация о маршрутизации обменивается с помощью средств аутентификации.
OSPF относится к группе протоколов, обеспечивающих иерархическую маршрутизацию.
Применение иерархической маршрутизации решает задачу повышения эффективности использование каналов передачи данных за счет уменьшение доли сервисного трафика, что передается через них.
Это делается благодаря функциональном разделения ОС на отдельные участки.
Обмен информацией, какой осуществляется маршрутизаторами для определение пути передачи данных в зоне, что продемонстрирован на рисунка
2.2 зелеными стрелки. Топология местности невидимая для объектов, что находятся вне этой области. Маршрутизация и обмен информацией между зонами осуществляются через специальную центральную зону - ЗОНУ 0. Использование такой логической схемы проектирование сети может значительно уменьшить объем неинформативного трафика, какой передается через каналы передачи данных между зонами В частности, в этом случае информация о сетях с чисто местным значением не передается по используемым каналам.
Основная часть OSPF – зона №0 – выполняет роль магистрали и отвечает за распределение информации о маршрутизацию между остальными зон.
Она включает все маршрутизаторы на края зоны, сети, которые нет полностью принадлежат к одной с зон, и маршрутизаторы, подключены к них.
Зону можно определить так, чтобы зона №0 не прилегала к ней. В этом случае связь с зоны №0 должен быть восстановлен за помощью виртуального соединение. Виртуальные связи устанавливаются между всеми маршрутизаторами зоны №0, которые совместно используют каждое соединение с одной из непрофильных зон. Виртуальные связи работают как прямые связи. Зона, какая соединяет зону №0 с зоной, какая нет связана непосредственно с основной зоной, есть транзитной.
Каждая зона запускает отдельную копию базового алгоритма маршрутизации OSPF. Маршрутизаторы с интерфейсами к разных зон поддерживают подходящую количество копий алгоритма маршрутизации
Когда маршрутизатор активирован, он сначала инициализирует структуры данных протокола. После инициализации маршрутизатор ждет указания на активность интерфейса с протоколов низшего уровня. Дальше маршрутизатор ищет соседние за помощью протокола OSPF Hello. Для этого Hello присылаются соседям, а также Hello должны поступить в ответ. В широковещательных и точечных сетях маршрутизаторы динамически распознают соседей, отправляя Hello по групповому адресу передачи. В сетях, которые не поддерживают широковещательный эфир, может понадобиться конфигурации маршрутизатор. В широковещательных и NBMA (Non Broadcast Multi Access) сетях протокол Hello также определяет выделен маршрутизатор (DR).
Маршрутизатор попробует создать соединение с некоторыми новыми соседями. Пары между соседними маршрутизаторами синхронизируют таблицу топологии ссылок. В широковещательных да NBMA сетях специальный маршрутизатор DR определяет, какие маршрутизаторы должны быть рядом.
Маршрутизатор регулярно сообщает о своем статусе, также известен как статус ссылки. Когда меняется статус маршрутизатора, изменяется и статус подключения. Окрестности маршрутизаторов отображаются в содержании LSA. Взаимосвязь между этими зонами да состояниями связи разрешает протокола быстро идентифицировать нефункционирующие маршрутизаторы.
Объявления LSA присылаются в район где применяется метод. Алгоритм лавинной маршрутизации надежный и обеспечивает распространение одной копии базы данных каналов на всей территории. Обновления отправляются каждые 30 минут по групповому адресу 224.0.0.5. Адрес 224.0.0.5 назначен для доступа к всех маршрутизаторов, которые поддерживают этот протокол. Адрес
BGP (Border Gateway Protocol) - протокол предельного шлюза, это протокол маршрутизации между автономными системами (AS). на случае используют уже четвертую версию этого протокола BGP-4. Основная задача этого протокола состоит в поэтому, чтобы передать информацию между BGP маршрутизаторами о существующих автономных системах, формируя таким образом иерархическую схему маршрутизации
Версия BGP-4 отличается от предыдущих версий реализации BGP и на самом деле содержит два отдельные протоколы: EBGP, протокол внешнего предельного шлюза, используется для маршрутизации автономных системам, а IBGP, протокол предельного внутреннего шлюза, используется для маршрутизации непосредственно в автономной системе.
BGP каждые 30 секунд присылает TCP-сообщение соседям, подтверждая активность того или иного узла. Если два маршрутизатора BGP пытаются взаимодействовать между собой одновременно, такие соединения могут быть реализованы. Так ситуация называется столкновением, одно со соединений нужно исключить.
Ввиду на то, что разные AS могут использовать разные метрики для измерение длины маршрута, что может привести к проблем с внешними маршрутизаторами BGP при интерпретации одинаковых числовых значений. Поэтому механизм векторной маршрутизации нет использует метрик маршрута. Исходя из этого маршрутизаторы обмениваются информацией о AS, к которых и через которые они имеют доступ.
BGP использует TCP-порт 179 для создание сеансов связи.
Поскольку разные маршрутизаторы BGP могут иметь разную политику маршрутизации, решая изменить маршрут с одного варианту на другой, маршрутизатор должен заранее Сообщить о это соседние маршрутизаторы, но не переключаться на новый маршрут, пока соседи не получат информацию для получения своих намерений. Для этого вам нужно установить соответствующие переменные.
Может случиться так, что следует отменить переход на новый маршрут, поскольку это приводит к осцилляции маршрута. Когда маршруты колеблются, их установка в маршрутизаторе не происходит одновременно, и некоторое количество пакетов нет доставляется в места назначение.
Насчитывается три типа маршрутизаторов BGP: спикеры, граничные шлюзы да одноранговые маршрутизаторы BGP.
Все маршрутизаторы автономной системы BGP - это спикеры BGP. под время настройки администратор должен назначить им номер AS, какой они принадлежат. Если IP спикера BGP не соответствует номеру AS, то такой динамик не будет работать в этой автономной системе. Кроме того, спикеры BGP, адреса IP- подсети которых относятся к этой автономной системе, но путь к ним ведет через спикер находящийся в другой AS, не могут получать данные по этой автономной системы
Спикер BGP, соединяющий две или более автономных систем, известны как предельные шлюзы.
Они нужны автономным системам, только если AS используется протокол EBGP для связи с другими автономными системами в сети MPLS/IP. Верно и противоположное: каждая AS может иметь несколько предельных шлюзов. Это происходит, когда автономную систему подключают к одной или нескольких внешних систем AS через несколько спикеров BGP. Задачей предельного шлюза есть информирование о внутренние маршруты автономной системы каждого внешнего спикера BGP, к которому подключен этот шлюз. Соответственно к принципов сетевой маршрутизации, спикер BGP под время связи обменивается информацией о топологию да метрические свойства соответствующих участков сети. Этот обмен происходит между равноправными
маршрутизаторами BGP автономной системы.
Равноправные маршрутизаторы BGP нет нужно подключать непосредственно один к одного; но для того, чтобы они смогли начать сеанс связи, всегда должен существовать стандартный способ подключения между двумя спикерами BGP. Когда BGP устанавливает связь между двумя равноправными маршрутизаторами, которые нет подключены непосредственно, соединение называется EPGP. С помощью внешних соединений с помощью протокола EBGP – спикер BGP может начать разговор с другими спикерами, находящиеся на расстояния определенного количества пересылок.
Во время равноправного соединения спикеры BGP обмениваются между собой полными копиями таблиц маршрутизации, включая перезагрузку, под время первого двустороннего сеанса. каждого раза, когда маршрутизатор перезагружается, он предоставляет полные копии таблиц маршрутизации всем равноправным маршрутизаторам, поэтому этот процесс может несколько затянуться.[7]
2.4 Вывод раздела 2
MPLS (Multiprotocol Label Switching) – современная, очень многообещающая технология передачи данных с гарантированной качеством обслуживание QoS, эффективное управление трафиком данных, высокая масштабируемость и интеграция в IP-сервисы. Но существуют некоторые проблемы в развития технологий передачи данных, например как защитить компьютерные сети и программные приложения от неавторизованного доступа.
Преимущества использование технологии MPLS:
VPN имеют общие функции: масштабируемость, средства управление защитой и способностью разрабатывать частные адреса. Масштабируемость - очень полезная свойство VPN, поскольку этим сетям часто приходится развиваться Дальше в меру рост бизнеса. VPN-сети должны быть управляемыми для должного настройка, мониторинга да контроля. Управление счетами за услуги, предоставляемые с целью классификации, также может быть важным. Безопасность - это свойство, какая оправдывает P (конфиденциальность) в VPN и становится ключевым компонентом корпоративных сетевых коммуникаций в условиях кражи информации да атак на интеллектуальную собственность. Поскольку сегодня большинство сетей VPN ориентированные на IP, способность обрабатывать частные адреса также важна для обеспечение уникальности IP-адреса.
Концепция тоннеля LSP, оговорена в предыдущем разделе это важный аспект MPLS VPN, поскольку имя прилагательное "частный" в MPLS относится к физическому разделению трафика между туннелями LSP. Это очень похоже на то, как вы настраиваете виртуальные подключения для программ ATM и FR. На сегодняшний день существует две основные отрасли MPLS-VPN: BGP / MPLS-VPN и VPN с виртуальными маршрутизаторами (VR). Оба направления отвечают общей показанной модели MPLS VPN:
Рисунок 3.1 - Общая модель MPLS-VPN
Ядро сети реализуется на типичных маршрутизаторы MPLS, да называемых внутренних маршрутизаторы поставщика услуг P, и нет взаимодействуют непосредственно с пользователем VPN, а через связь между краевым маршрутизатором клиента (CE) да предельным маршрутизатором провайдера (PE). Устройства CE могут статически подключаться к PE через фиксированные каналы или использовать коммутируемые линии. Любой тип канала может быть использован для соединения CE с PE, например ATM, FR, Ethernet, PPP, а также механизмы туннелирования, такие как вышеупомянутые IPSec, L2TP или GRE (Generic Route Encapsulation).
Что касается функциональных возможностей VPN – оба варианта организации MPLS VPN подобны. Фактическая реализация этих двух методов будет совершенно разной, и поставщик услуг VPN выберет метод с учетом аппаратных возможностей, ситуации сетевой взаимодействия да других факторов Создана новая рабочая группа IETF под названием VPN, что поставляются поставщиками (PPVPN), чтобы разработать структуру да соответствующие спецификации для этих двух типов VPN.
MPLS / BGP VPN
Модель MPLS / BGP VPN базируется на расширениях протокола маршрутизации внешних шлюзов BGP, известных как расширение протоколов BGP, которые ссылаются на конкретные расширены адреса. Или адреса используются только с целью обмена информацией о доступность между
PE-маршрутизаторы в той же VPN. Каждый PE-маршрутизатор в MPLS / BGP-VPN поддерживает отдельную таблицу маршрутизации и переадресации VRF (VPN Routing and Forwarding table). Каждый VRF содержит все маршруты для пользователя VPN, что обеспечивает эффективную изоляцию сети. Эта модель разрешает корпорациям использовать наборы частных IP-адресов.
Основной целью реализации MPLS VPN есть предоставление провайдеру возможности создать конфигурацию VPN, необходимую клиенту. Таким клиентом может быть компания, группа компаний, что нуждаются EXTRANET, другой поставщик услуг или даже другой поставщик услуг VPN, который может использовать это приложение MPLS для создания VPN для собственных клиентов. Эта модель VPN обеспечивает возможность клиентам пользоваться сетью масштабно и гибко, а поставщику – упрощение администрирования, защиты и обслуживание VPN. Спецификация MPLS / BGP VPN сначала была оп у б л и к о в а на я к R F C 2 5 4 7 ― B G P / MP L S V P N ‖, а с годом _ _ _ бу л а пересмотр и _ _ _ и усовершенствованная рабочей группой.
Следующий популярная модель MPLS VPN предполагает использование VR маршрутизаторов. Маршрутизатор VR – это результат разделения физического. маршрутизатора на несколько виртуальных маршрутизаторы. Каждый VR поддерживает свою независимую таблицу для каждого VPN. При такой реализации для поддержки обмена информацией о наличие VR-маршрутизатор нет нужно использовать протокол BGP.
Каждый VR использует доступны механизмы да инструменты для конфигурации или обслуживание. Маршрутизаторы VR могут или обмениваться физическими ресурсами маршрутизации, или использовать отдельные объекты, чтобы каждый VR имел собственную сущность маршрутизации для распространение информации о доступность VPN среди VR, что берут участие в этой VPN. В тот же время VPN может использовать любой протокол маршрутизации и для того, чтобы получить необходимую доступность VPN особого расширения этого протокола не требуется. Эта конфигурация VPN может быть очень гибкой, поскольку VR-маршрутизаторы в базовой сети могут быть подключены разными способами. Эта архитектура позволяет реализовать разные сценарии развертывания магистральной сети: поставщик MPLS VPN может владеть магистральной системой или получать магистральные услуги от одного или нескольких других поставщиков MPLS.
В клиента в общем случае может быть несколько территориально обособленных IP-сетей, каждая из которых, в свою очередь, может включать в себя несколько подсетей, связанных между собой маршрутизаторами. Такой территориально изолированные элементы корпоративной сети принято называть сайтами. Сайты, принадлежащие одному клиенту, реализуют обмен IP-пакетами. через сеть провайдера и образуют VPN этого клиента. Каждый сайт имеет один или несколько предельных пользовательских маршрутизаторов СЭ, соединенных с одним или более граничными маршрутизаторами провайдера PE с помощью каналов PPR ATM, Ethernet, Frame Relay и и т.д.
СЕ-маршрутизаторы разных сайтов не осуществляют обмен маршрутной информации напрямую и даже могут друг о друге не знать. Адресные пространства подсетей, которые входят к состав VPN могут перекрываться, то есть уникальность адресов должна соблюдаться только в рамках одной подсети. Этого удается достичь за помощью превращение IP- адреса в VPN-IP-адрес работы с этими адресами протокола MP-BGP.
Каждый РЕ-маршрутизатор должен поддерживать да у количество таблиц маршрутизации, сколько сайтов пользователей с ним соединено, другими словами в одному физическом маршрутизаторы создается несколько виртуальных. При этом маршрутно информация содержится только в РЕ- маршрутизаторы, к которым подключены сайты этой VPN. Таким образом исчезает проблема масштабирования, что возникает в случае, если маршрутная информация должны хранить все маршрутизаторы, подключенные к сети оператора. Считается, что СЭ-маршрутизатор относится к одному сайту, но сам сайт может принадлежать нескольким VPN. К РЕ-маршрутизатору можно подключить несколько СЕ-маршрутизаторов, что находятся в разных сайтах и даже относятся к разных VPN.[8]
Давайте возьмем роль поставщика услуг. У нас есть группа маршрутизаторов, расположенных в определенной зоне и между которыми устанавливается сетевое взаимодействие. К нам подошли два клиента и попросили установить и наладить связь между их подразделениями, которые находятся на определенный расстояния один от одного. Кроме того, оказалось, что или клиенты уже настроили IP-адрес, без которой они нет хотят обойтись и какая также перекрывается.
Для решения этой проблемы простые методы не будут слишком действенными. Здесь нам помогают технологии VRF да MPLS (конечно, вы можете использовать другие методы, такие как IPsec VPN, но это темы работы нет касается). В общем, технология VRF очень близка к концепции VPN. Но VPN - это принцип сочетание клиентских узлов под единственным административным подчинением оператору общедоступной сети, а VRF - это, скорее, выглядит как описание VPN в пределах устройства, какой имеет атрибуты да правила распределения информации о маршрутизацию, отдельную таблицу маршрутизации и так далее. Простыми словами, VRF делит физический маршрутизатор на несколько виртуальных маршрутизаторов, которые работают независимо друг от друга. Выходит, что сколько было запланировано нами сетей VPN на устройства, столько нужно создать VRF.
Когда я собрался с мыслями и подумал, как решить такую проблему, было решение, которое предлагаю вам реализовать сегодня.
Рисунок 3.2 - MPLS домашний
на схеме мы видим следующее:
Клиент №1 имеет сети с адресацией с диапазонов: 172.16.1.0/24 да 192.168.2.0/24. Клиент №2 имеет сети с адресацией из диапазонов: 172.16.1.0/24 да 192.168.2.0/24. Для клиентских сетей мы будем использовать подинтерфейсы на маршрутизаторы CE. Клиент №1 относится к VRF_A, клиент №
2 относится к VRF_B. Стандартные маршруты в направлении ELSR регистрируются на маршрутизаторы CE (статические маршруты в направлении,
противоположном к клиентских сетей, регистрируются на маршрутизаторы ELSR).
Протокол маршрутизации OSPF используется для организации доступности сети в домене MPLS. Протокол MP-BGP используется для обмена информацией о маршрутизации VRF между ELSR.
Зачем вам MPLS? И он нам понадобится для передачи данных BGP между ELSR. Рассмотрим следующую ситуацию. Нам нужно перейти от сети 192.168.1.0/24 к сети 172.16.1.0/24 (клиентская сеть №1, VRF_A). Соответственно к статического маршрута на Router_1, пакет достигает Router_2, который, в следующую очередь, пересылает его на Router_4 согласно протоколу BGP. Используя внутренний протокол маршрутизации (OSPF), Router_2 знает, что его сосед BGP Router_4 стоит за Router_3. И тогда случается Да есть: Получивший пакет Router_3 просто отклонит его, поскольку он ничего не знает о сети 172.16.1.0/24. Это происходит потому, что Router_3 не берет участие в процессе BGP. Чтобы этого нет произошло, вам также нужно включить на нем этот протокол. Это не часть наших планов (это только здесь, у нас есть один маршрутизатор, но в реальной сети их может быть много, и как-то вы не хотите включать BGP на каждом маршрутизаторе).
Здесь в игру вступает MPLS. Организуя домен MPLS, мы можем обеспечить скорую маршрутизацию информации BGP между нужными точками, нет включая сам протокол на всех маршрутизаторы.
Как этот пример работает после настройки MPLS? Как только Router_2 (ELSR) получил пакет, он признает, что он принадлежит VRF_A, обозначает его двумя метками и отправляет дальше. Первая метка используется для передачи этого пакета при передаче через домен MPLS. Вторая метка используется или для идентификации необходимого VRF, или для определения интерфейса, на какой пакет должен пересылаться на последнем ELSR(Router_4). Когда PHP настроен (Penultimate Hop Popping), первая метка удаляется из пакета на последнему маршрутизаторы перед ELSR (у нашему случае Router_3). Таким образом, Router_4 уже получает обозначен пакет, какой помогает ему
определить, куда отправить пакет. Это значит, что пакет надежно поступает к получателю. Надеемся, мы немного прояснили. Переходим сразу к настроек. Как всегда, начнем с организации регулярной доступности сети. Начнем с СЕ маршрутизаторов Router_1 и Router_5:
Рисунок 3.3 – Настройка маршрутизатора Router_1
Рисунок 3.4 - Настройка маршрутизатора Router_5
Теперь можно перейти к маршрутизаторам, которые в конечном итоге будут соединены. с MPLS доменом:
Рисунок 3.5 - Настройка маршрутизатора Router_2
Рисунок 3.6 - Настройка маршрутизатора Router_2
Рисунок 3.7 Настройка маршрутизатора Router_4
Видим, что OSPF работает да налицо сетевая доступность. Сеть 172.16.1.0/24 временно недоступна.
Проверим куда может добраться Host_1:
Рисунок 3.9 - Проверка работы хоста
Шлюз в пределах доступности (1), IP адрес направлен в сторону Router_3 в наличия, сеть 172.16.1.0/24 временно недоступно.
Движемся дальше учитывая, что VRF настраиваются локально на устройства, их нужно настроить только на маршрутизаторах Router_2 и Router_4.
VRF настроен и теперь для выполнения команды ping из этих маршрутизаторов нам необходимо добавить параметры VRF. Выглядит это следующим образом: ping vrf VRF_A 192.168.1.1.
Дальше настроим BGP соседство между этими маршрутизаторами и определим сети, которыми они должны обмениваться. Если со статическими маршрутами все понятно, следует создать карту маршрутов для непосредственно подключенных сетей 192.168.2.0/24 (Router_2) да 17216.1.0 / 24 VRF_A (Router_4), согласно которой только они получают в BGP (например, потому что кроме них существуют да другие непосредственно связанные сети). Мы также настраиваем пакет BGP и VRF в этом устройства.
Предлагаю оценить ситуацию, какая сложилось на данный момент. Зайдем в Router_2:
Рисунок 3.16 – Проверка работы сети
Как видно с изображения, маршрутизатор имеет две разные таблицы маршрутизации для соответствующих VRF. Вам нужен соседний BGP. Но на приложение к этих двух таблиц существует еще третья общая таблица (какая нет касается ни одной из VRF). Он генерируется по протоколу OSPF и показывает, как добраться к Router_4 (40.40.40.40):
Рисунок 3.17 – Таблица маршрутизации на Router_2
Мы видим, что путь к Router_4 проходит через Router_3. Теоретически все должно работать, но если вы попытаетесь пинговать Host_1 на удаленную сетевую адрес 172.16.1.1/24:
Рисунок 3.18 – Проверка работы сети
то вы не получите ответа(2). Напомню, что это связано с тем, что Router_2 ничего не знает о сети 172.16.1.0/24 (а также о других сетях). Иллюстрация также показывает, как работает VRF. IP-адрес Router 2 (1), что находится в VRF_A, проверяется, но маршрутизатор отвечает на IP- адрес VRF_B (3), что нет знает о да у сеть ("Указанный хост недоступен"). Сейчас мы подошли к окончательной конфигурации нашей сети. Давайте настроим MPLS на поставщику маршрутизаторы.
Теперь давайте проверим все. Давайте проверим конечные хосты, посмотрим, что происходит на маршрутизаторы, и перехватим несколько пакетов .
Host_1 и Host_2:
Рисунок 3.20 – Проверка работы сети
Вы видите, что Host_2 успешно пингует удаленную сеть (1) (192168.2.0
/24), которая, как и он принадлежит VRF_B. Ошибка пинговки IP-адреса с другой VRF_A (2). Host_1 успешно "достигает" сети 172.16.1.0/24 (3) и нет может попасть в сеть, в которую входит Host_2(4), поскольку это уже другой VRF (хотя IP-адрес в этой сети одинаковая).
Как видите на иллюстрации, все работает. MPLS обозначил необходимы маршруты (у столбцы " Outgoing " вы можете увидеть сети, что принадлежат к VFR, обозначены "V"; параметр "Untaged" означает, что в эту сеть можно добраться через интерфейс, не являющийся MPLS, и адресовать пакет по обычным таблицах маршрутизации (FIB). " Aggregate " значит, что сеть была создана путем перераспределения непосредственно подключенных сетей, видимые таблицы маршрутизации BGP для каждой VRF. Обычные таблицы маршрутизации VRF_A и VRF_B также содержат необходимы маршруты.
Теперь давайте рассмотрим содержимое пакетов. Начнём пакет запросов ICMP с Host_1 в направлении 172.16.1.1 на интерфейсе Router_2 (Int Fa 1/0) с видом на Router_3
Есть две отметины. №17 (1) - метка, используемая для доставки пакета через домен MPLS. №21 (1) - это метка, какая используется для идентификации VRF (или интерфейса, через какой пакет должен быть отправлен). Если вы посмотрите на предыдущее изображение в таблице LFIB Router_4, то увидите, что метка №21 соответствует непосредственно подключенной сети 172.16.1.0/24.
Видно, что отметка №17 уже снята и осталась только отметка №21. Согласно таблице LFIB он имеет параметр "Совокупный", что означает, что эта сеть попала из-за перераспределения непосредственно подключенных сетей в BGP. Router_4 удалит эту метку, определит, что он принадлежит VRF_A, и отправить пакет к места назначения.
Ответ ICMP обрабатывается таким же образом, только в другому направлении. На Router_4 висят две метки (одна для продвижения пакета в домене MPLS, вторая для идентификации VRF с другой стороны тому подобное).
Для сравнение, давайте рассмотрим пакет ответов ICMP от Router_2, что возвращается к запроса ICMP от Host_2 на Router_4 (Int Fa 0/0):
Видно, что метка уже имеет значение №22. Router_4 теперь видит, согласно со своей таблицей LFIB, что пакет отвечает VRF_B и должен быть отправлен через интерфейс Int Fa 1/0 после удаления (следующий переход 4.4.4.2). Всё работает. [9]
Было рассмотрено успешную реализацию технологии MPLS на базе оборудование Cisco.
Основной целью реализации MPLS VPN есть предоставление провайдеру возможности создать конфигурацию VPN, необходимую клиенту. Таким клиентом может быть компания, группа компаний, нуждаются EXTRANET, другой поставщик услуг или даже другой поставщик услуг VPN, который может использовать это приложение MPLS для создания VPN для собственных клиентов. Эта модель VPN обеспечивает возможность клиентам пользоваться сетью масштабно и гибко, а поставщику – упрощение администрирования, защиты и обслуживание VPN.
ВЫВОДЫ
В основе идеи этой технологии лежит объединение доверенных сетей между собой через открытые сети, которые несут определенную опасность для конфиденциальности пользовательских данных. На мой взгляд, это наиболее яркий образ технологии, которая непрерывно приобретает все большее распространение в мире не только для предприятий, но и для рядовых пользователей, с помощью которой передача данных становится более безопасной.
Спрос на VPN растет с разных сторон. Частные пользователи ищут в нем помощь для анонимности при использовании сети Internet и возможность доступа к заблокированной информации, бизнес ищет усовершенствования собственной кибербезопасности. В любому случае, пользователи различают сервисы VPN по качеству предоставления услуг и выбирают более качественный продукт. А самим сервисам приходится постоянно совершенствовать свой продукт в борьбе, в ходе которой скорость, безопасность и уровень конфиденциальности станет играть решающую роль.
Была рассмотрена технология устройства виртуальной частной сети. VPN (Virtual Private Network) - это виртуальная частная сеть или логическая сеть, которая создает защищенную связь, иначе говоря туннель, на одном концы которого находится ПК конечного пользователя, а на другом – наш VPN- сервер. Этот туннель проходит поверх незащищенной сети интернет связи. или провайдера Internet и шифрует все данные, которые через него проходят, таким таким образом никто не будет иметь к ним доступ кроме пользователя и частной сети с которым установлено соединение. Говоря просто VPN – это технология, которая обеспечивает защита да целостность данных, что проходят по открытым сетям.
Для постройки виртуальных частных сетей на данный время используют следующие технологии туннелирования: PPTP, L2TP, IPSec VPN, MPLS VPN. И наиболее перспективной среди них считается технология MPLS VPN .
Преимущества использование технологии MPLS:
Качество обслуживание. Используя возможности MPLS, поставщики услуг могут предлагать пользователям VPN разные классы обслуживание с надежными гарантиями QoS.
Основной целью реализации MPLS VPN есть предоставление провайдеру возможности создать конфигурацию VPN, необходимую клиенту. Таким клиентом может быть компания, группа компаний, нуждаются EXTRANET, другой поставщик услуг или даже другой поставщик услуг VPN, который может использовать это приложение MPLS для создания VPN для собственных клиентов. Эта модель VPN обеспечивает возможность клиентам пользоваться сетью масштабно и гибко, а поставщику – упрощение администрирования, защиты и обслуживание VPN.
на основании выше изложенного считаю что цель дипломной работы достигнута в полный степени.
ПЕРЕЧЕНЬ ЛИТЕРАТУРЫ
― V P N ‖ U R L : h t t p s // r u.b m s tu . _ _ w i k i / V P N _ ( V ir t u a l_ P r i va t e _ N e t w or k )