Организация обслуживания VPN сетей

При динамичном развитии информационных технологий создание виртуальных частных сетей имеет свои неоспоримые преимущества. Но прежде, чем перейти к услуге «обслуживание сетей», стоит рассмотреть способы организации виртуальных частных сетей.

Что же входит в понятие – виртуальная частная сеть (Virtual Private Network).

Определений VPN множество, однако, главным отличием данной технологии является передача корпоративного IP-трафика при использовании Интернет в качестве магистрали. Виртуальную частную сеть применяют для подключения конечного пользователя к удалённой сети, при этом соединяя ещё несколько локальных сетей. Составляющими VPN являются каналы глобальной сети, маршрутизаторы и защищенные протоколы.

В качественное обслуживание сетей входит эффективное построение VPN.

На сегодняшний день существует несколько способов построения виртуальной частной сети. При выборе метода следует принимать во внимание факторы производительности оснащения построения VPN. К примеру, на ход работы маршрутизатора, функционирующего на пределе мощности процессора, могут значительно повлиять дополнительные туннели VPN и использование шифрования/дешифрования информации.

Как показывает практика, при построении VPN желательно применять специализированное оборудование, при ограничении средств, следует учитывать только программное решение, что и выполняется при обслуживании сетей.

При профессиональном обслуживании сетей на предприятии применяются следующие варианты построения VPN.

• Построение виртуальной частной сети на базе брандмауэров

Большинство производителей разрабатывают брандмауэры, которые способны поддерживать туннелирование и шифрование данных. Так как через брандмауэр проходит трафик, то к программному обеспечению просто добавляется модуль шифрования.

Минусом данного способа построения VPN считается зависимость производительности от аппаратного обеспечения, на котором используется брандмауэр. На базе ПК применение брандмауэров возможно лишь при использовании небольших сетей с передачей незначительного объёма информации. Поэтому в этом случае следует обратиться к профессионалам, которые занимаются грамотным обслуживанием сетей.

Для примера можно взять FireWall-1, который применяет для построения виртуальной частной сети стандартный подход на базе IPSec. В этом случае трафик первоначально дешифруется, а затем к нему применяют обычные правила управления доступом. FireWall-1 может быть использован для систем Solaris и Windows NT 4.0.

• Обслуживание сетей предусматривает построение VPN на базе маршрутизаторов

Защищённые каналы маршрутизатора также позволяют безопасное построение VPN. Из локальной сети исходящая информация проходит через маршрутизатор, при этом задачи шифрования возложены именно на него.

Любая компания по обслуживанию сетей приведёт самый распространённый пример оборудования для построения виртуальной частной сети с использованием маршрутизатора — оборудование компании Cisco Systems. Маршрутизаторы Cisco способны поддерживать протоколы L2TP и IPSec. Cisco кроме стандартного шифрования может выполнять и другие функции, например, идентифицировать установление туннельного соединения и обмен ключами.

Сегодня есть возможность приобрести специализированное устройство для VPN — Cisco 1720 VPN Access Router, которое разработано для установки, как в малых, так и крупных организациях.

• Обслуживание сетей предусматривает построение VPN на базе программного обеспечения

Способ построения VPN может базироваться только на программных решениях. Однако в этом случае следует использовать специализированное программное обеспечение, которое подсоединено к выделенной компьютерной линии и исполняет роль proxy-сервера. Возможно расположение такого компьютера и за брандмауэром.

Программное обеспечение AltaVista Tunnel 97 компании Digital – яркий пример такого решения подключения VPN. Данное программное оборудование располагает подключение пользователя к серверу Tunnel 97, аутентификация клиента и обмену ключами.

При обслуживании сетей учитываются основные преимущества AltaVista Tunnel 97 – простота установки и удобство использования: ПО каждые полчаса генерирует новые ключи, что позволяет создать максимальную безопасность соединения. К недостаткам системы можно отнести своеобразную архитектуру и низкую производительность.

• Обслуживание сетей предусматривает построение виртуальной частной сети на базе сетевой операционной системы (ОС)

Для примера рассмотрения создания VPN на базе сетевой операционной системы (ОС) обратим внимание на систему Windows NT компании Microsoft, где используется протокол PPTP, интегрированный в систему Windows NT.

Первое, что следует отметить – это небольшая стоимость данной системы, в отличие от уже перечисленных, и легкость интеграции. Компании, которые применяют Windows в качестве корпоративной операционной системы, будут заинтересованы именно в этом способе подключения VPN, при этом воспользовавшись качественным обслуживанием сетей лишних проблем не возникнет.

Минусы построения VPN на базе сетевой ОС — невозможность проверки данных в общем виде и во время соединения нельзя сменять ключи.

• Обслуживание сетей предусматривает построение VPN на базе аппаратных средств

Данный способ построения VPN очень выгоден там, где требуется высокая производительность сетей. Для примера можно рассмотреть специализированные устройства cIPro-VPN с применением аппаратного шифрования на потоке в 100 Мбит/с. Данный продукт работает с протоколом IPSec и устройством управления ключами ISAKMP/Oakley. cIPro-VPN, оснащённое особой платой, позволяет добавить функции брандмауэра.

Без специального обслуживания сетей могут возникнуть проблемы с построением виртуальной частной сети. Самой распространённой проблемой считается несоответствие аутентификации и обмена зашифрованной информацией. Замедлению распространения VPN способствует невозможность установки VPN-соединения, используя продукты разных производителей. Поэтому организация, так называемых extranet-сетей, ещё в будущем.