Виртуальные частные сети. Технология VPN-MPLS.

ЗАКЛЮЧЕНИЕ
Идея развертывания собственных виртуальных сетей актуальна в том случае, когда соединять несколько локальных сетей в различных организациях дорого или долго, однако необходимо обеспечить защиту передаваемой информации. Конечно, можно обеспечивать защиту только для связей между отдельными устройствами из различных сегментов, но если политика корпорации требует обеспечить безопасность большей части данных, то защищать отдельный канал становится достаточно неэффективно. Проблема заключается в том, что у клиента, как правило, нет достаточной подготовки для поддержания системы защиты информации, а администратор сети не может физически контролировать все компьютеры организации.
Кроме того, во время обеспечения защиты отдельных каналов инфраструктура сети остается полностью прозрачно ...

СОДЕРЖАНИЕ

ВВЕДЕНИЕ 3
1. ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ. 3
1.1. Принципы построения VPN. 3
1.2. Протоколы, используемые в VPN 3
1.3. Достоинства и недостатки VPN 3
1.4. Модели VPN 3
1.4.1. Оверлейная модель VPN 3
1.4.2. Одноранговая модель 3
1.5. Варианты построения VPN 3
2. ТЕХНОЛОГИЯ MPLS-VPN 3
2.1. Компоненты MPLS-VPN 3
2.2. Маршрут пакета в сети MPLS-VPN 3
2.3. Стандарты MPLS-VPN 3
2.4. Преимущества MPLS-VPN 3
2.5. Безопасность в сетях MPLS-VPN 3
ЗАКЛЮЧЕНИЕ 3
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 3

ВВЕДЕНИЕ
Стремительное развитие телекоммуникаций и информационных технологий открывает широкие возможности для современного бизнеса, да и для обычных пользователей сети. Вместе с потребностями в качестве и мультисервисности услуг связи растут требования к защите передаваемых конфиденциальных данных.
В данной работе рассматривается одно из решений данной проблемы, а именно – использование технологии MPLS (MultiProtocol Label Switching) для предоставления услуги VPN (Virtual Private Network – виртуальная частная сеть). MPLS-VPN позволяет достаточно экономично реализовать масштабируемые услуги VPN в сети IP. Функции протокола MPLS, предусматривающие работу без установления соединений, предоставляют огромные возможности для наращивания VPN без ущерба для производительности.

Также алгоритмы маршрутизации очень плохо масштабируются при увеличении количества связей между маршрутизаторами.Одноранговая модельДля развертывания VPN корпорации совсем не нужно разрабатывать собственную магистральную сеть. Эту задачу может выполнить и сервис-провайдер. Одноранговая модель VPN требует только подключения маршрутизатора клиента к одному из маршрутизаторов поставщика услуг.В одноранговой частно сети маршрутизаторы считаются одноранговыми, когда они размещаются на одном сайте. Поэтому маршрутизатор, принадлежащий заказчику не имеет однорангового взаимодействия с маршрутизатором, который принадлежит тому же клиенту, но размещенному на другом сайте. На каждом сайте клиента имеется хотя бы один корпоративный маршрутизатор (СЕ-маршрутизатор), связанный одноранговыми отношениями хотя бы с одним маршрутизатором сервис-провайдера (РЕ-маршрутизатор). СЕ-маршрутизаторы не отдают друг с другу информацию о маршрутах. Необходимость в обмене данными между СЕ-маршрутизаторами вообще отсутствует. Данные перемещаются от входящего СЕ-маршрутизатора через РЕ-маршрутизатор поставщика услуг и проходят через один или несколько магистральных РЕ-маршрутизаторов. Далее они поступают на исходящий РЕ-маршрутизатор поставщика услуг и попадают на исходящий СЕ-маршрутизатор корпорации. В результате, схема маршрутизации становится оптимальной. Корпорации не нужно иметь собственную магистраль, так как СЕ-маршрутизаторы не обмениваются друг с другом информацией о маршрутах. Преимущества одноранговой модели VPN: В одноранговой модели VPN количество работы, которую должен выполнить поставщик услуг для технического обеспечения VPN, напрямую зависит от количества сайтов клиента, подключенных к VPN. А в оверлейной модели техническое обеспечение обходится на порядок дороже. Одноранговая модель VPN использует оптимальную маршрутизацию трафика пользователя по магистрали поставщика услуг, так как в этой модели отсутствует необходимость в транзитных СЕ-маршрутизаторах. Корпоративному клиенту не нужно поддерживать собственную магистральную подсистему. Ему нужно только подключить СЕ-устройство на каждом своем сайте, подключенном к VPN.Таким образом, одноранговая модель выгодна и поставщику услуг, и корпоративному клиенту. Используя эту модель, провайдер сокращает объем работ, а корпоративный заказчик получает гибкую систему VPN по той же цене. Хотя одноранговая модель имеет явные преимущества по сравнению с оверлейной моделью, на пути ее реализации на практике также стоит ряд проблем:Перегрузка РЕ-маршрутизаторов данными о маршрутах. Одной из основных проблем масштабных IP-магистралей является необходимость в огромном количестве ресурсов (процессорных мощностей, памяти, полосы пропускания каналов связи), которые необходимы для хранения информации о маршрутизации. Использование IP-магистрали для передачи данных о маршрутах всех корпоративных сетей приведет к ее перегрузке.Несогласованные адресные пространства. Обычно поставщики услуг Интернета стараются назначать адреса осмысленно и адекватно. Это значит, что адрес должен явно указывать на место, в котором система подключается к сети интернет-провайдера. Однако многие корпоративные сети имеют схемы адресации, которые очень трудно соединить с магистральной топологией любого поставщика услуг. В этих схемах адреса сайтов назначаются без какого-либо учета точки, в которой система подключается к сети провайдера. Это сокращает возможности управления маршрутами и увеличивает объем информации о маршрутах, которые передаются по РЕ-сети.Частная адресация в СЕ-сетях. Часто адреса во многих корпоративных сетях не являются уникальными. Адрес является уникальным только внутри одной фирмы, но теряет уникальность при взаимодействии между корпорациями. Если IP-магистраль провайдера услуг используется как общая магистраль для двух разных сетей и если адреса в этих сетях не являются уникальными, РЕ-маршрутизаторы не смогут дать гарантию о доставке пакетов в пункт назначения.Подслушивание. Для защиты информации необходимо разворачивать шифрованные туннели «точка—точка» между каждой парой СЕ-маршрутизаторов согласно протокола IPSec. Такое решение однозначно подходит для оверлейной модели, поскольку она и уже использует туннель «точка—точка» между парами СЕ-маршрутизаторов. Для одноранговой модели это решение не подходит, так как СЕ-маршрутизатор не в состоянии определить место, куда будет передаваться следующий информационный пакет.Варианты построения VPNВ настоящее время существует четыре варианта развертывания сети VPN: Вариант "Intranet VPN". Позволяет интегрировать в единую защищенную сеть VPN несколько разрозненных филиалов одной организации, связывающихся по открытым каналам связи. Схема "Intranet VPN" широко распространена во всем мире, и компании-разработчики рекомендуют своим клиентам в первую очередь именно его. Вариант "Remote Access VPN". Вариант реализует защищенное взаимодействие между различными сегментами корпоративной сети (например, центральным офисом и филиалами) и сотрудником (пользователем), который подключается к ресурсам компании из дома. Этот вариант отличается от первого тем, что пользователь не имеет статического адреса, и он подключается к защищаемому ресурсу напрямую со своего собственного компьютера, на котором устанавливается программное обеспечение, реализующее функции VPN. Компонент VPN для удаленного пользователя может быть выполнен как в программном, так и в аппаратно-программно виде. Программное обеспечение VPN может быть как встроенным в операционную систему, так и разработанным специально. Для реализации на базе аппаратных средств используются устройства класса SOHO (Small Office\Home Office), которые не требуют серьезной настройки и без проблем используются технически неподготовленными кадрами. Вариант "Client/Server VPN". Это вариант реализует защиту передаваемой информации между двумя узлами одной корпоративной сети. Его особенность заключается в том, что VPN строится между абонентами, находящимися, в пределах одного сегмента сети. Такая потребность очень часто возникает в случаях, когда необходимо создать несколько логических сетей в одной физической сети, например, если возникает потребность в отделении трафика, передаваемого между финансовым департаментом и отделом кадров, но которые взаимодействуют с серверами, находящимся в одном физическом сегменте сети.Вариант "Extranet VPN" (рисунок 1.3). Основное назначение – обеспечение услугой VPN сетей, к которым подключаются пользователи, не являющиеся сотрудниками компании (заказчики, партнеры, клиенты). Естественно, что уровень доступа у таких пользователей намного ниже, чем к штатным специалистам. 36576024130Рис. 1.3 Вариант построения VPN "Extranet VPN"Классификация разработана фирмой «Check Point Software Technologies», которая по праву считается законодателем стандартов в области VPN. По мнению независимых экспертов, в настоящее время компании «Check Point» принадлежит более 50% мирового рынка VPN-решений.ТЕХНОЛОГИЯ MPLS-VPNКомпоненты MPLS-VPNНа рисунке 2.1. представлена структура сети MPLS VPN. Сеть делится на два сегмента: клиентская сеть и внутренняя (магистральная) сеть поставщика услуг, которая интегрирует сети клиентов.Рисунок 2.1. Компоненты сети MPLS VPNКаждый клиент может владеть несколькими сетями IP, которые могут быть территориально обособлены. Каждая из сетей может включать несколько подсетей, взаимодействующих через маршрутизаторы. Такие территориально отделенные подсети корпоративной сети называются сайтами. Относящиеся одному заказчику сайты обмениваются пакетами IP, используя сеть провайдера, и формируют виртуальную частную сеть этого заказчика. Например, сеть, в которой подсеть главного офиса взаимодействует с тремя удаленными подразделениями, состоит из четырех сайтов. Для обмена информацией о маршрутизации в пределах сайта узлы сети пользуются одним из протоколов маршрутизации внутренней сети (Interior Gateway Protocol, IGP), сфера действия которого распространяется только на автономную систему: RIP, OSPF или IS-IS.Маршрутизатор, с помощью которого сайт заказчика подключается к магистрали поставщика услуг, называется пограничным маршрутизатором (Customer Edge router, CE). Так как СЕ-маршрутизатор принадлежит сети клиента, то ему не доступна информация о существовании VPN. Также он может взаимодействовать с магистральной сетью поставщика услуг по нескольким каналам.Магистральная сеть поставщика услуг является сетью MPLS, где пакеты IP передаются не на основе IP-адресов, а с помощью локальных меток. Сеть MPLS состоит из маршрутизаторов с коммутацией меток (Label Switch Router, LSR), которые передают трафик по предварительно сформированным путям с коммутацией меток (Label Switching Path, LSP) согласно информации, заложенной в метках. Маршрутизатор LSR представляет собой гибрид IP-маршрутизатора и коммутатора, совмещая их возможности: способность понимать топологию сети согласно протоколов маршрутизации и устанавливать оптимальные пути следования трафика, а также рационально использовать технику передачи пакетов с помощью локальных таблиц коммутации и меток. Устройства LSR часто называют просто маршрутизаторами, и в этом есть своя причина: при отключении функции MPLS у них остается возможность ретранслировать пакеты на основе IP-адреса.В сети поставщика услуг среди устройств LSR отдельно выделяют пограничные маршрутизаторы (Provider Edge router, PE), к которым через CE-маршрутизаторы подключаются сайты заказчиков и внутренние маршрутизаторы магистральной сети поставщика услуг (Provider router, P). Маршрутизаторы CE и PE взаимодействуют непосредственно по физическим каналам по протоколам FR, PPP, Ethernet или ATM. Взаимодействие между CE и PE производится на основе протоколов стека TCP/ IP. Таким образом поддержка MPLS нужна только для внутренних интерфейсов PE, а также для всех P-маршрутизаторов. В магистральной сети поставщика услуг только пограничные PE-маршрутизаторы конфигурируются для поддержки VPN сети. Маршрутизаторы поставщика услуг P непосредственно не взаимодействуют с маршрутизаторами клиента CE, а просто находятся вдоль туннеля между входным и выходным PE-маршрутизаторами.PE-маршрутизаторы являются более сложными функционально. На них возлагаются основные задачи по поддержке VPN, а именно разграничение потоков маршрутов и информации, передаваемых разными заказчиками. PE-маршрутизаторы служат также финальными точками путей LSP между сайтами клиентов, и именно PE-маршрутизатор назначает метку IP-пакету для его транзита через внутреннюю сеть P-маршрутизаторов .LSP-пути могут быть сформированы двумя способами: с помощью протоколов LDP на основе технологии ускоренной маршрутизации (IGP);с помощью протоколов RSVP или CR-LDP с использованием технологии Traffic Engineering. Прокладка пути LSP подразумевает создание таблиц коммутации меток на всех PE- и P-маршрутизаторах, формирующих данный LSP. В совокупности эти таблицы формируют больщое количество путей для разных видов потоков данных заказчиков. Маршрут пакета в сети MPLS-VPNСхема маршрутизации пакетов в сети MPLS-VPN представлена на рисунке 2.2. Пакет отправляется из сайта 1 подсети VPN A. Его передает узел с адресом 10.2.1.1/16 узлу сайта 2 этой же VPN, имеющему адрес 10.1.0.3/16. Рисунок 2.2. Маршрут пакета между сайтами VPNОбычными транспортными средствами пакет передается на пограничный маршрутизатор сайта CE1A, в таблице которого для номера сети 10.1.0.0 в качестве следующего узла указан PE1. На маршрутизатор PE1 пакет приходит с интерфейса int2, поэтому для определения дальнейшего адреса назначения пакета он обращается к таблице VRF1а. Согласно таблицы VRF1A адресу 10.1.0.0 соответствует запись протокола BGP, которая указывает, что следующим узлом для пакета является маршрутизатор PE2. Дополнительное поле записи содержит значение метки Lvpn=7, задающей интерфейс выходного PE-маршрутизатора, которое должно быть присвоено пакету для того, чтобы он попал в нужную сеть VPN. Здесь также фиксируется, что запись была создана протоколом BGP.