Основы построения виртуальных частных сетей
Учебное пособие для вузов
Покупка
Издательство:
Горячая линия-Телеком
Год издания: 2011
Кол-во страниц: 248
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
Профессиональное образование
ISBN: 978-5-9912-0215-2
Артикул: 406736.03.01
Рассматриваются основы построения виртуальных частных сетей
(VPN). Даются основные определения. Описывается технология тунне-
лирования в сетях. Подробно анализируются стандартные протоколы
построения VPN и управление криптографическими ключами в VPN.
Выделяются особенности различных вариантов и схем создания VPN.
В качестве примеров реализации VPN приводятся различные российские
продукты (по состоянию на момент выхода в свет первого издания книги).
Для студентов высших учебных заведений, обучающихся по специ-
альностям «Компьютерная безопасность» и «Комплексное обеспечение
информационной безопасности автоматизированных систем», и слуша-
телей курсов повышения квалификации по специальности «Комплексное
обеспечение информационной безопасности автоматизированных систем».
Тематика:
ББК:
УДК:
ОКСО:
- 09.00.00: ИНФОРМАТИКА И ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА
- ВО - Бакалавриат
- 09.03.02: Информационные системы и технологии
- ВО - Магистратура
- 09.04.02: Информационные системы и технологии
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
Рекомендовано УМО по образованию в области информационной безопасности в качестве учебного пособия для студентов высших учебных заведений, обучающихся по специальностям «Компьютерная безопасность» и «Комплексное обеспечение информационной безопасности автоматизированных систем» Москва Горячая линия - Телеком 2011 2-е издание, стереотипное
ББК 32.973.2-018.2я73 УДК 004.732.056(075.8) З-31 Запечников С. В., Милославская Н. Г., Толстой А. И. З-31 Основы построения виртуальных частных сетей. Учебное пособие для вузов. – 2-е изд., стереотип. – М.: Горячая линия–Телеком, 2011. – 248 с.: ил. ISBN 978-5-9912-0215-2. Рассматриваются основы построения виртуальных частных сетей (VPN). Даются основные определения. Описывается технология туннелирования в сетях. Подробно анализируются стандартные протоколы построения VPN и управление криптографическими ключами в VPN. Выделяются особенности различных вариантов и схем создания VPN. В качестве примеров реализации VPN приводятся различные российские продукты (по состоянию на момент выхода в свет первого издания книги). Для студентов высших учебных заведений, обучающихся по специальностям «Компьютерная безопасность» и «Комплексное обеспечение информационной безопасности автоматизированных систем», и слушателей курсов повышения квалификации по специальности «Комплексное обеспечение информационной безопасности автоматизированных систем». ББК 32.973.2-018.2я73 Адрес издательства в Интернет WWW.TECHBOOK.RU Учебное издание Запечников Сергей Владимирович, Милославская Наталья Георгиевна, Толстой Александр Иванович ОСНОВЫ ПОСТРОЕНИЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ Учебное пособие 2-е издание, стереотипное Обложка художника В. Г. Ситникова Подписано в печать 15.08.11. Печать офсетная. Формат 60×88/16 Уч.-изд. л. 15,5. Тираж 100 экз. Изд. № 110215 ISBN 978-5-9912-0215-2 © С. В. Запечников, Н. Г. Милославская, А. И. Толстой, 2003, 2011 © Издательство «Горячая линия – Телеком», 2011
УДК 004.732.056(075.8) ББК 32.973.2-018.2я73 Рецензенты: кафедра "Защита информации" МИФИ (заведующий кафедрой канд. тех. наук, доц. А.А.Малюк) член-корреспондент АК РФ А.П.Коваленко д-р воен.наук, проф. В.П.Лось д-р техн. наук, проф. А.Д.Иванников канд. техн. наук, доц. С.Н.Смирнов канд. физ-мат. наук, проф. В.М.Немчинов канд.физ.-мат. наук, доц. И.В.Прокофьев доц. А.М.Никитин Запечинков С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учеб. пособие для вузов. М.: Горячая линия-Телеком, 2003. 249 с. ISBN 5-238-00134-7 В пособии рассматриваются основы построения виртуальных частных сетей (VPN). Даются основные определения. Описывается технология туннелирования в сетях. Подробно анализируются стандартные протоколы построения VPN и управление криптографическими ключами в VPN. Выделяются особенности различных вариантов и схем создания VPN. В качестве примеров реализации VPN приводятся различные российские продукты. Предназначено для студентов высших учебных заведений, обучающихся по специальностям "Компьютерная безопасность" и "Комплексное обеспечение информационной безопасности автоматизированных систем", и слушателей курсов повышения квалификации по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". ББК 32.973.2-018.2я73 ISBN 5-238-00134-7 © С.В. Запечников, Н.Г. Милославская, А.И. Толстой, 2003 © Издательство "Горячая линия — Телеком", 2003 Воспроизведение всей книги или любой ее части запрещается без письменного разрешения издательства Предисловие Основой для учебного пособия послужил опыт преподавания технологий защиты в открытых сетях лично авторов и их коллег, подробные описания, сделанные разработчиками данных технологий и средств защиты, а также многочисленные отечественные и зарубежные публикации по рассматриваемой тематике. В настоящее время специалистов-профессионалов по различным аспектам защиты информации готовит ряд вузов России. Обучение происходит на специализированных факультетах, ознакомительных курсах или курсах повышения квалификации. Но все эти учебные заведения испытывают острую нехватку узкопрофильной учебнометодической литературы, что, в первую очередь, сказывается на качестве обучения. Данное учебное пособие предлагается для обучающихся (студентов, аспирантов и повышающих квалификацию специалистов) по группе специальностей "Информационная безопасность". Поскольку число атак на сети неизменно растет, а создать полностью защищенную информационную среду очень сложно, нужны специализированные средства, предназначенные для осуществления защиты информации, передаваемой по открытым каналам связи сетей передачи данных, и воплощения в жизнь выработанной организацией политики безопасности ее информационных и сетевых ресурсов. Специалист в области информационной безопасности должен владеть определенными теоретическими знаниями и практическими навыками в данной, очень важной области обеспечения информационной безопасности. На сегодняшний день учебной литературы по вопросам построения виртуальных частных сетей, к сожалению, пока не имеется. Основная задача, которую призвано решить учебное пособие, — это представить обучающимся систематизированный подход к проблеме виртуальных частных сетей (VPN), ознакомить их с характерными признаками различных вариантов их построения, а также научить квалифицировано выбирать, применять и самостоятельно разрабатывать реализующие такие возможности средства. В пособии показано, что при условии грамотного использования VPN (совме
стно с другими средствами обеспечения информационной безопасности, такими как средства аутентификации, средства обнаружения вторжений и т.п.) может быть реализована достаточно надежная защита информации от несанкционированного перехвата с различными целями во время ее передачи по открытым каналам связи. Такие знания особенно важны для специалистов-практиков по защите информации в современных сетях. Важно подчеркнуть, что для приступающих к ознакомлению с учебным пособием есть определенные требования по предварительной подготовке. Например, следует знать протоколы и сервисы Internet, сетевые операционные системы, основные принципы безопасности сетей и технологий их защиты, иметь базовые знания по криптографии. Учебное пособие состоит из введения, пяти разделов, заключения и приложений с полезной информацией. Во введении отмечается своевременность рассмотрения заявленной в названии учебного пособия темы и решаемые на основе технологии виртуальных сетей задачи. Первый раздел содержит основные определения, цели и задачи, а также описание специфики построения VPN и основного применяемого подхода — туннелирования. Выделены особенности построения VPN в различных типах сетей и рассмотрены разные схемы VPN. Вводится понятие политики безопасности для VPN и называются другие средства защиты информации, дополняющие VPN и реализующие комплексный подход к защите информации в корпоративных сетях. Во втором разделе детально рассматриваются стандартные протоколы создания виртуальных частных сетей, реализующие функции VPN на различных уровнях модели взаимодействия открытых систем OSI/ISO (с указанием соотнесения их с уровнями стека протоколов TCP/IP) - канальном, сетевом и сеансовом. Третий раздел посвящен управлению криптографическими ключами в VPN. Последовательно изучаются жизненный цикл криптографических ключей, особенности управления ключевой системой асимметричных криптосистем, концепция инфрастуктуры открытых ключей, метод сертификации открытых ключей и модель инфраструктуры открытых ключей PKIX. В четвертом разделе даются основы практического построения VPN, перечисляются и поясняются требования к VPN-продуктам, которые подразделяются на шлюзы и клиенты, рассматриваются варианты реализации VPN и решения для организации VPN на базе сетевой операционной системы, маршрутизаторов, межсетевых экранов, специализированного программного обеспечения и аппаратных средств. Также анализируются четыре основных вида VPN: Intranet VPN, Client/server VPN, Extranet VPN и Remote Access VPN и приводятся полезные рекомендации специалистов по выбору VPNпродуктов. Пятый раздел описывает некоторые реализации VPN на основе таких российских разработок, как аппаратно-программный комплекс защиты информации "Континент-К", программные продукты компании "ЭЛВИС+", VPN-решения компании "Инфотекс", семейство продуктов "Net-PRO" компании "Сигнал-КОМ", продукты МО ПНИЭИ "ШИП" и "Игла-2" и аппаратно-программный комплекс "ФПСУ-IР" компании "Амикон". С целью определения лучших условий применения рассмотренных продуктов приводится их сравнение. В заключение выделены основные проблемы, возникающие при использовании VPN-продуктов, и указаны возможные варианты их усовершенствования. В приложениях представлена полезная информация справочного характера: сравнение зарубежных продуктов для создания VPN и документы, в которых содержится полное описание основных протоколов для VPN. После каждого раздела приведены вопросы для самоконтроля. Авторы признательны коллегам по факультету "Информационная безопасность" МИФИ, а также всем рецензентам. Авторы, естественно, не претендуют на исчерпывающее изложение всех названных в работе аспектов проблемы построения VPN, поэтому с благодарностью внимательно изучат и учтут критические замечания и предложения читателей при дальнейшей работе над учебным пособием. 4 Основы построения виртуальных частных сетей Предисловие 5
стно с другими средствами обеспечения информационной безопасности, такими как средства аутентификации, средства обнаружения вторжений и т.п.) может быть реализована достаточно надежная защита информации от несанкционированного перехвата с различными целями во время ее передачи по открытым каналам связи. Такие знания особенно важны для специалистов-практиков по защите информации в современных сетях. Важно подчеркнуть, что для приступающих к ознакомлению с учебным пособием есть определенные требования по предварительной подготовке. Например, следует знать протоколы и сервисы Internet, сетевые операционные системы, основные принципы безопасности сетей и технологий их защиты, иметь базовые знания по криптографии. Учебное пособие состоит из введения, пяти разделов, заключения и приложений с полезной информацией. Во введении отмечается своевременность рассмотрения заявленной в названии учебного пособия темы и решаемые на основе технологии виртуальных сетей задачи. Первый раздел содержит основные определения, цели и задачи, а также описание специфики построения VPN и основного применяемого подхода — туннелирования. Выделены особенности построения VPN в различных типах сетей и рассмотрены разные схемы VPN. Вводится понятие политики безопасности для VPN и называются другие средства защиты информации, дополняющие VPN и реализующие комплексный подход к защите информации в корпоративных сетях. Во втором разделе детально рассматриваются стандартные протоколы создания виртуальных частных сетей, реализующие функции VPN на различных уровнях модели взаимодействия открытых систем OSI/ISO (с указанием соотнесения их с уровнями стека протоколов TCP/IP) - канальном, сетевом и сеансовом. Третий раздел посвящен управлению криптографическими ключами в VPN. Последовательно изучаются жизненный цикл криптографических ключей, особенности управления ключевой системой асимметричных криптосистем, концепция инфрастуктуры открытых ключей, метод сертификации открытых ключей и модель инфраструктуры открытых ключей PKIX. В четвертом разделе даются основы практического построения VPN, перечисляются и поясняются требования к VPN-продуктам, которые подразделяются на шлюзы и клиенты, рассматриваются варианты реализации VPN и решения для организации VPN на базе сетевой операционной системы, маршрутизаторов, межсетевых экранов, специализированного программного обеспечения и аппаратных средств. Также анализируются четыре основных вида VPN: Intranet VPN, Client/server VPN, Extranet VPN и Remote Access VPN и приводятся полезные рекомендации специалистов по выбору VPNпродуктов. Пятый раздел описывает некоторые реализации VPN на основе таких российских разработок, как аппаратно-программный комплекс защиты информации "Континент-К", программные продукты компании "ЭЛВИС+", VPN-решения компании "Инфотекс", семейство продуктов "Net-PRO" компании "Сигнал-КОМ", продукты МО ПНИЭИ "ШИП" и "Игла-2" и аппаратно-программный комплекс "ФПСУ-IР" компании "Амикон". С целью определения лучших условий применения рассмотренных продуктов приводится их сравнение. В заключение выделены основные проблемы, возникающие при использовании VPN-продуктов, и указаны возможные варианты их усовершенствования. В приложениях представлена полезная информация справочного характера: сравнение зарубежных продуктов для создания VPN и документы, в которых содержится полное описание основных протоколов для VPN. После каждого раздела приведены вопросы для самоконтроля. Авторы признательны коллегам по факультету "Информационная безопасность" МИФИ, а также всем рецензентам. Авторы, естественно, не претендуют на исчерпывающее изложение всех названных в работе аспектов проблемы построения VPN, поэтому с благодарностью внимательно изучат и учтут критические замечания и предложения читателей при дальнейшей работе над учебным пособием. 4 Основы построения виртуальных частных сетей Предисловие 5
Принятые сокращения ИОК ИТ КС ЛВС МЭ НСД ОС ПБ ПО УЦ ЭЦП AH CA CHAP ESP IKE IPSec ISP FR GRE L2F L2TP LDAP MAC NAT РАР PKI PPTP RADIUS RAS SNMP SA SSL TLS VLAN VPN инфраструктура открытых ключей информационная технология корпоративная сеть локальная вычислительная сеть межсетевой экран несанкционированный доступ операционная система политика безопасности программное обеспечение удостоверяющий центр электронная цифровая подпись Authentication Header, протокол аутентифицирующего заголовка Certificate Authority, удостоверяющий центр Challenge Handshake Authentication, протокол аутентификации Encapsulation Security Payload, протокол Internet Key Exchange, протокол обмена ключами Internet Internet Security Protocol Internet Service Provider, сервис-провайдер Internet Frame Relay Generic Routing Encapsulation, общая маршрутная инкапсуляция Layer-2 Forwarding, протокол эстафетной передачи на втором уровне Layer-2 Tunneling Protocol, протокол туннелирования на втором уровне Lightweight Directory Access Protocol, упрощенный протокол доступа к каталогу Message Authentication Code, код аутентификации сообщения Network Address Translation, трансляция сетевых IP-адресов Assword Authentication Protocol, протокол аутентификации по паролю Public Key Infrastructure, инфраструктура открытых ключей Point-to-Point Tunneling Protocol, протокол туннелирования "точкаточка" Remote Authentication Dial-In User Service, сервис аутентификации удаленных пользователей Remote Access Server, сервер удаленного доступа Simple Network Management Protocol, простой протокол управления сетями Security Association, безопасная ассоциация (защищенное соединение, контекст безопасности) Secure Socket Layer Transport Layer Security Virtual Local Area Network, виртуальная локальная сеть Virtual Private Network, виртуальная частная сеть Введение Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например, через глобальную сеть Internet, требует качественного решения двух базовых задач (рис. 1) [3]: • защиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды; • защиты информации в процессе передачи по открытым каналам связи. Защита от несанкционированных действий со стороны внешней среды Защита от несанкционированных действий со стороны внешней среды Защита данных в процессе передачи Локальная сеть Локальная сеть Компьютеры удаленных пользователей Компьютеры удаленных пользователей Открытые каналы связи с внешней средой скоростной передачи информации (каналы телефонной сети, мобильной связи) Открытая внешняя среда скоростной передачи информации (Internet, системы оптоволоконной, спутниковой связи) Рис. 1. Задачи по обеспечению безопасности информационного взаимодействия Решение первой задачи основано на использовании межсетевых экранов (МЭ), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене ин
Принятые сокращения ИОК ИТ КС ЛВС МЭ НСД ОС ПБ ПО УЦ ЭЦП AH CA CHAP ESP IKE IPSec ISP FR GRE L2F L2TP LDAP MAC NAT РАР PKI PPTP RADIUS RAS SNMP SA SSL TLS VLAN VPN инфраструктура открытых ключей информационная технология корпоративная сеть локальная вычислительная сеть межсетевой экран несанкционированный доступ операционная система политика безопасности программное обеспечение удостоверяющий центр электронная цифровая подпись Authentication Header, протокол аутентифицирующего заголовка Certificate Authority, удостоверяющий центр Challenge Handshake Authentication, протокол аутентификации Encapsulation Security Payload, протокол Internet Key Exchange, протокол обмена ключами Internet Internet Security Protocol Internet Service Provider, сервис-провайдер Internet Frame Relay Generic Routing Encapsulation, общая маршрутная инкапсуляция Layer-2 Forwarding, протокол эстафетной передачи на втором уровне Layer-2 Tunneling Protocol, протокол туннелирования на втором уровне Lightweight Directory Access Protocol, упрощенный протокол доступа к каталогу Message Authentication Code, код аутентификации сообщения Network Address Translation, трансляция сетевых IP-адресов Assword Authentication Protocol, протокол аутентификации по паролю Public Key Infrastructure, инфраструктура открытых ключей Point-to-Point Tunneling Protocol, протокол туннелирования "точкаточка" Remote Authentication Dial-In User Service, сервис аутентификации удаленных пользователей Remote Access Server, сервер удаленного доступа Simple Network Management Protocol, простой протокол управления сетями Security Association, безопасная ассоциация (защищенное соединение, контекст безопасности) Secure Socket Layer Transport Layer Security Virtual Local Area Network, виртуальная локальная сеть Virtual Private Network, виртуальная частная сеть Введение Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например, через глобальную сеть Internet, требует качественного решения двух базовых задач (рис. 1) [3]: • защиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды; • защиты информации в процессе передачи по открытым каналам связи. Защита от несанкционированных действий со стороны внешней среды Защита от несанкционированных действий со стороны внешней среды Защита данных в процессе передачи Локальная сеть Локальная сеть Компьютеры удаленных пользователей Компьютеры удаленных пользователей Открытые каналы связи с внешней средой скоростной передачи информации (каналы телефонной сети, мобильной связи) Открытая внешняя среда скоростной передачи информации (Internet, системы оптоволоконной, спутниковой связи) Рис. 1. Задачи по обеспечению безопасности информационного взаимодействия Решение первой задачи основано на использовании межсетевых экранов (МЭ), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене ин
формацией. Для защиты локальных сетей МЭ располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение МЭ устанавливается на этом же компьютере, а сам МЭ в этом случае называют персональным. Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций: • аутентификации (установление подлинности) взаимодействующих сторон; • шифровании передаваемых данных; • подтверждении подлинности и целостности доставленной информации; • защите от повтора, задержки и удаления сообщений; • защите от отрицания фактов отправления и приема сообщений. Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных. Высокая эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. Многие организации имеют несколько локальных вычислительных сетей (ЛВС) и информационных серверов, находящихся в физически удаленных друг от друга местах. Если требуется обеспечить доступ к информации для всех сотрудников организации, то часто используются выделенные линии для соединения ЛВС с глобальными сетями. Этот способ имеет ряд существенных недостатков — не гарантирует надежной защиты коммуникаций, значительно ограничен в применении и требует больших затрат средств и времени. К примеру, как протянуть линию за сотрудником, если он периодически меняет место дислокации или постоянно разъезжает по всей стране? Конечно, существует большое количество открытых коммуникационных каналов, которые можно арендовать у провайдеров связи или Internet. Первый случай – провайдеры связи (рис. 2). Каналы, связывающие центральную сеть предприятия с сетями филиалов, проходят через мультиплексор, объединяющий каналы всех абонентов в маги стральный канал. Несмотря на то, что территориальные каналы в этом случае не относятся к собственности предприятия, корпоративные сети (КС), построенные на арендованных каналах, также называются частными, по крайней мере, по двум причинам. R Сеть центрального офиса предприятия Сеть филиала 1 Сеть филиала 2 Сеть филиала 3 Cети других предприятий М - мультиплексор R - маршрутизатор АК - арендованный канал М М АК1 М АК3 М АК2 АК другого предприятия Коммутатор М Первичная сеть Рис. 2. Провайдеры связи Во-первых, полоса пропускания арендованного канала полностью выделяется предприятию и поэтому является в некотором смысле его "частной собственностью". Это в полной мере относится к арендуемым цифровым каналам, которые поддерживаются провайдером на базе первичной цифровой сети с техникой мультиплексирования TDM. Арендатор такого канала получает в свое полное распоряжение всю его пропускную способность — 64, 128 кбит/с, 2 Мбит/с или выше. В любом случае, пропускную способность канала предприятие-арендатор не делит ни с кем, и это очень важно 8 Основы построения виртуальных частных сетей Введение 9
формацией. Для защиты локальных сетей МЭ располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение МЭ устанавливается на этом же компьютере, а сам МЭ в этом случае называют персональным. Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций: • аутентификации (установление подлинности) взаимодействующих сторон; • шифровании передаваемых данных; • подтверждении подлинности и целостности доставленной информации; • защите от повтора, задержки и удаления сообщений; • защите от отрицания фактов отправления и приема сообщений. Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных. Высокая эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. Многие организации имеют несколько локальных вычислительных сетей (ЛВС) и информационных серверов, находящихся в физически удаленных друг от друга местах. Если требуется обеспечить доступ к информации для всех сотрудников организации, то часто используются выделенные линии для соединения ЛВС с глобальными сетями. Этот способ имеет ряд существенных недостатков — не гарантирует надежной защиты коммуникаций, значительно ограничен в применении и требует больших затрат средств и времени. К примеру, как протянуть линию за сотрудником, если он периодически меняет место дислокации или постоянно разъезжает по всей стране? Конечно, существует большое количество открытых коммуникационных каналов, которые можно арендовать у провайдеров связи или Internet. Первый случай – провайдеры связи (рис. 2). Каналы, связывающие центральную сеть предприятия с сетями филиалов, проходят через мультиплексор, объединяющий каналы всех абонентов в маги стральный канал. Несмотря на то, что территориальные каналы в этом случае не относятся к собственности предприятия, корпоративные сети (КС), построенные на арендованных каналах, также называются частными, по крайней мере, по двум причинам. R Сеть центрального офиса предприятия Сеть филиала 1 Сеть филиала 2 Сеть филиала 3 Cети других предприятий М - мультиплексор R - маршрутизатор АК - арендованный канал М М АК1 М АК3 М АК2 АК другого предприятия Коммутатор М Первичная сеть Рис. 2. Провайдеры связи Во-первых, полоса пропускания арендованного канала полностью выделяется предприятию и поэтому является в некотором смысле его "частной собственностью". Это в полной мере относится к арендуемым цифровым каналам, которые поддерживаются провайдером на базе первичной цифровой сети с техникой мультиплексирования TDM. Арендатор такого канала получает в свое полное распоряжение всю его пропускную способность — 64, 128 кбит/с, 2 Мбит/с или выше. В любом случае, пропускную способность канала предприятие-арендатор не делит ни с кем, и это очень важно 8 Основы построения виртуальных частных сетей Введение 9
для создания КС со стабильными характеристиками. Наличие гарантированной пропускной способности дает возможность администратору сети планировать работу приложений через глобальные каналы связи: распределять имеющуюся пропускную способность канала между приложениями, оценивать возможные задержки сообщений, ограничивать объем генерируемого территориального трафика, определять максимальное количество активных приложений и т.д. Во-вторых, частный характер сетей, построенных на арендованных каналах, подтверждается достаточной конфиденциальностью передачи данных. Корпоративные данные практически недоступны для абонентов, не являющихся пользователями КС или сотрудниками организации-провайдера каналов. Действительно, коммутацию каналов в первичных сетях может выполнить только оператор сети, а рядовому пользователю такая операция недоступна. Это обуславливает большую степень защищенности данных, передаваемых по каналам первичных сетей. Например, здесь невозможна типичная для Internet атака — ответвление и анализ "чужого" трафика другим пользователем. Таким образом, обеспечивается приемлемая безопасность передаваемых данных без использования шифрования и взаимной аутентификации абонентов. Второй случай – провайдеры Internet (рис. 3). Это дает пользователям КС потенциальную возможность получать доступ к ресурсам любого узла Internet, например, к информации Web-узлов или архивов ftp. Так как ЛВС являются продолжением Internet, то пользователи одного филиала предприятия получают возможность обращаться через Internet к ресурсам узлов других филиалов или центрального офиса. Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой может использоваться Internet, а также более медленные общедоступные каналы связи, в качестве которых чаще всего применяются каналы телефонной сети. Наиболее эффективным способом объединения ЛВС и удаленных компьютеров является объединение на основе Internet (рис. 4). В случае отсутствия непосредственного подключения доступ к Internet может осуществляться и через телефонную сеть. Сеть центрального офиса предприятия Сеть филиала 1 Сеть филиала 2 Сеть филиала 3 Internet Cети и отдельные пользователи, подключенные к Internet Рис. 3. Провайдеры Internet Организация виртуальных сетей на основе Internet обладает рядом преимуществ: • гарантирует высокое качество информационного обмена, так как магистральные каналы и маршрутизаторы Internet имеют большую пропускную способность и характеризуются надежностью передачи информации; • обеспечивает масштабируемую поддержку удаленного доступа к ресурсам ЛВС, позволяя мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internet и через них входить в свою КС; 10 Основы построения виртуальных частных сетей Введение 11