При создания соединений через виртуальную частную сеть (ВЧС, VPN, Virtual Private Network), основной протокол работы сети передачи данных используется лишь как транспортная основа, поверх которой создаются соединения "точка-точка". Иначе говоря, создаются туннели, которые представляет собой логические сетевые соединения, установленные между двумя оконечными устройствами, и позволяющее включать данные одного протокола в пакеты другого.
В качестве транспортного может быть использован либо сетевой уровень (например IP, по модели OSI, для протокола L2TP), либо канальный (Ethernet для протокола PPPoE). В обоих случаях, связь между узлами устанавливается через поле данных кадра (дейтаграммы) транспортного протокола.
Как кадры достигают места назначения в этом случае не важно - в сети могут использоваться как простейшие концентраторы, так и дорогие коммутаторы. Более того, абонент может быть включен в сеть (получить доступ к внешним ресурсам) из любой точки сети по своим учетным данным - имени и паролю. В общем случае даже скорость не является принципиальным фактором.
Не удивительно, что такие способы создания виртуальных соединений (несмотря на относительно недавнее появление) уже широко используется в крупных офисах, и у Ethernet-провадеров.
Виды виртуальных частных сетей
Прежде всего, не следует понимать термин ВЧС как что-то однотипное. По назначению можно выделить следующие типы систем:
В техническом плане можно выделить несколько протоколов, которые получили наибольшее распространение. Это PPP, L2TP, L2F, PPPoE и MPLS.
Исторически протокол РРР (Point-to-Point Protocol, RFS 1661) появился весьма давно, еще в начале 90-х годов. И использовался в основном для работы через выделенную коммутируемую линию. В качестве протокола более высокого уровня использовалась технология High-Level Data-Link Control (HDLC), которая включала поддержку IP и некоторые другие протоколы.
Спустя несколько лет был разработан более масштабируемый и технологичный PPTP (Point-to-Point Tunneling Protocol), который был поддержан большинством разработчиков. Очевидно, что в протоколе PPTP не оговариваются конкретные методы аутентификации и шифрования - это задача для более высоких уровней (по модели OSI). Но обычно их использование не вызывает трудностей, например в MS Windows включена схема шифрования DES компании RSA Data Security (Microsoft Point-to-Point Encryption - MPPE)
Следующим шагом (в 1999 году) стал L2TP (Layer-Two Tunneling Protocol, RFC 2661). Этот протокол позволяет передавать кадры второго уровня (РРР) по маршрутизируемой сети IP в виде пакетов UDP. При использовании L2TP вызовы пользователей направляются через концентратор доступа (Access Concentrator LAC) на центральный сервер (Network Server LNS), который являются конечной точкой для всех сеансов связи РРР.
Рис. 6.4. Схема сети коммутируемого доступа с использованием L2TP
Такая схема удобна для мультисервисных сетей передачи данных, так как не зависит от особенностей ее реализации. На одном туннеле L2TP могут совместно использоваться ATM, Ethernet, Frame Relay - но это ничего не изменит в логической схеме туннеля. Достаточно выполнения одного условия - связи на уровне IP. Соответственно, не нужно осуществлять конфигурацию адресов и выполнять аутентификацию - эти вопросы решаются на уровне IP.
Надо отметить, что как L2TP, так и PPPTP может использоваться совместно с широко распространенным средством шифрования IPSec, которое резко повышает безопасность передаваемых данных. IPSec (IP Security Protocol) обеспечивает шифрование дейтаграмм IP на третьем уровне по модели OSI. При этом определены стандартные методы аутентификации пользователей (или компьютеров) при инициации тоннеля, способы шифрования данных конечными узлами, формирования и проверки цифровой подписи, а также стандартные методы обмена и управления криптографическими ключами.
С другой стороны, надежные методы шифрования имеет свою обратную сторону - высокие требования к производительности терминирующего роутера, а значит его невысокую производительность и большую стоимость. На практике, модуль шифрации IPSec начального уровня для Cisco, рассчитанный на поток данных в 5 мегабит, стоит более тысячи долларов.
Однако, для локальной сети значительно более удобен (и имеет меньшие накладные расходы) протокол PPPoE (PPP other Ethernet, RFC 2516). Название говорит само за себя. Технология эта относительно новая, стандарт выпущен а феврале 1999 года, но уже успела стать популярной.
Актуальность РРРоЕ для домашних (территориальных) сетей и Ethernet-провайдеров весьма высока. Получается, что через ЛВС можно работать по хорошо изученному алгоритму классического коммутируемого доступа. Можно поддерживать аутентификация пользователей по протоколам PAP и CHAP, динамическое выделение IP-адресов пользователям (по DHCP), назначение адреса шлюза, DNS-сервера и другие полезные возможности. Более того, остается старая и отработанная система биллинга (на основе TACACS или RADIUS), управления, и технической поддержки.
Так как именно технология построения сетей на основе Ethernet является основной целью данной книги, рассмотрим использование протокола PPPoE более подробно.
Логика работы следующая - два узла должны сообщить друг другу свои адреса и установить начальное соединение, а затем запустить сессию PPP.
Рис. 6.5. Схема сети, ориентированной на PPPoE
В начале узел-клиент посылает широковещательный запрос Ethernet (PPPoE Active Discovery Initiation, PADI), в котором адрес назначения кадра является broadcast address, на поиск сервера со службой PPPoE. Ответ от концентратора доступа (PPPoE Active Discovery Offer, PADO) посылается клиенту (если в сети есть много устройств со службой PPPoE, то клиент получит много пакетов PADO).
Программное обеспечение клиента выбирает необходимый ему концентратор доступа и посылает ему пакет (PPPoE Active Discovery Request, PADR) с информацией о требуемой службе (класс обслуживания, имя провайдера и т.п.). После получения запроса, концентратор доступа подготавливается к началу PPP сессии и посылает клиенту пакет PADS (PPPoE Active Discovery Session-confirmation).
Если службы, запрашиваемые клиентом, доступны, в состав пакета PADS входит уникальный номер сессии, присвоенный концентратором, и этап работы по установленной сессии РРР. В противном случае клиент получает пакет PADS с указанием ошибки в запросе услуги.
В заключение рассказа о PPPoE отметим его основной недостаток - технология работает только в сети Ethernet, т.е. применение транзитных маршрутизаторов (работающих на уровне IP) недопустимо (или требует от них специального программного обеспечения). Это сильно сужает возможности PPPoE, и, скорее всего, так и не даст этому методу завоевать рынок.
Кроме перечисленных выше, нужно отметить протокол L2F (Layer 2 Forwarding), являющийся еже одним развитием РРТР. В отличие от него, L2F может использовать для создания туннеле не только IP, но и другие протоколы сетевого уровня. Кроме этого, для удаленного доступа может быть использован не только PPP, но и другие протоколы, например, SLIP.
Можно добавить, что L2F является одним из компонентов базовой для большинства провайдеров операционной системы IOS (Internetwork Operating System) компании Cisco Systems. Но, даже не смотря на это, большого распространения (по крайней мере в России) он не получил.
Еще один одним способом создания ВЧС является технология многопротокольной коммутации с заменой меток (Multiprotocol Label Switching, MPLS). Это решение наиболее новое из перечисленных, и создает туннель уже не на 2-ом (канальном) уровне, а на 3-ем (сетевом). Если говорить упрощенно в терминологии данной главы, то это некий гибрид между локальным и телекоммуникационным способом.
Возможности технологии велики, и весьма интересны. Так, допустимо на одном физическом маршрутизаторе создать несколько виртуальных, каждый из которых будет работать по собственному набору правил.
Однако технология MPLS еще не получила статуса IEEE, и является корпоративным стандартом некоторых вендоров (в особенности Cisco). К тому же это решение на сегодня является весьма дорогим, и поэтому недоступным для небольших сетей.
В заключение, надо отметить, что развитие средств создания ВЧС сейчас переживает период бурного развития, появляются новые технологии, и производители… Поэтому нужно понимать, что кроме рассмотренных способов построения ВЧС есть много частных решений от различных компаний. Их диапазон весьма велик - от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов.