Narzędzia osobiste
Integrator Integrator  > Archiwum  > Archiwum Wydania Online  > Wydanie 1999  > Nr 11-12/1999 (38)  > Kierunki rozwoju wirtualnych sieci prywatnych
Integrator nrI/2017(137)
 
 

Kierunki rozwoju wirtualnych sieci prywatnych

Coraz wyraźniej technologie VPN stają się kierunkiem, do którego dążą obecnie komputerowe sieci rozległe. Spowodowane jest to z pewnością aspektami ekonomicznymi - wykorzystanie publicznie dostępnej infrastruktury sieciowej jest rozwiązaniem tańszym niż tradycyjne podejście do tworzenia sieci WAN bazujące na liniach dzierżawionych, czy też połączeniach PVC typu point-to-point. Do wzrostu konkurencyjności wirtualnych sieci prywatnych w porównaniu z tradycyjnymi sieciami rozległymi przyczynił się również rozwój technologii VPN, pozwalających na zachowanie prywatności i bezpieczeństwa przesyłanych przez sieci publiczne danych.

 

 

Koncepcja sieci VPN

Wirtualne sieci prywatne można określić jako odrębne (rozdzielne) podsieci wykorzystywane przez konkretnych klientów, zdefiniowane w ramach większej, publicznie dostępnej infrastruktury sieciowej. W koncepcji sieci VPN opartych na sieciach IP (IP-VPN) siecią, w obrębie której tworzymy sieć wirtualną może być np. sieć Internet. Klasyczne rozwiązania korporacyjnych sieci rozległych, budowanych np. na liniach dzierżawionych lub łączach PVC typu point-to-point, ze swojej definicji zachowują bezpieczeństwo i poufność przesyłanych danych (prywatność połączeń gwarantowana jest przez dostawcę usługi, chociaż prawie zawsze istnieje - w mniejszym lub większym stopniu - współdzielenie zasobów pomiędzy różnymi klientami jednego usługodawcy). W rozwiązaniach takich są zazwyczaj konkretnie określone pasma przepustowości, z jakimi do sieci dołączone są poszczególne jej węzły, co umożliwia zastosowanie odpowiedniej polityki kształtowania ruchu i zapewnia zachowanie pożądanej jakości połączeń. Jednakże wraz z dynamicznym rozwojem korporacyjnych sieci rozległych wiążą się koszty (zarówno jeśli chodzi o urządzenia, jak i koszty dzierżawy łączy), oraz potencjalne problemy z uzyskaniem odpowiedniego łącza pomiędzy lokalizacjami. Korzyściami płynącymi ze stosowania sieci IP VPN jest, oprócz niezależności od fizycznej realizacji połączeń i dostępności (realizując sieć wirtualną w oparciu o sieć Internet mamy do dyspozycji najbardziej powszechną i największą infrastrukturę, w której oprócz ewentualnych ograniczeń związanych z prędkością transmisji nie ma w zasadzie problemów z łącznością pomiędzy lokalizacjami dołączonymi do różnych dostawców Internetu), są niewątpliwie relatywnie niskie koszty dzierżawy łączy (użytkownik płaci tylko za łącze dostępowe). Aby jednak rozwiązanie takie mogło być zaakceptowane przez użytkowników jako alternatywa dla technologii klasycznych, musi spełniać pewne podstawowe wymagania, m. in. gwarantować prywatność przesyłanych danych, zapewniać żądaną jakość usług oraz pozwalać na komunikację przy użyciu protokołów innych niż tylko IP (np. IPX, AppleTalk). Rozwiązania w zakresie technologii VPN oferowane przez Cisco Systems spełniają te wymagania, zapewniając równocześnie ciągły rozwój i doskonalenie tych technologii, poszerzając zakres jej stosowania.

Technologie związane z sieciami VPN

Podstawą budowy sieci VPN w sensie transportowym są tunele. W przypadku wirtualnych sieci dostępowych standardowym protokołem jest obecnie L2TP (Layer 2 Tunneling Protocol), który połączył protokół PPTP (Point to Point Tunelling Protocol firmy Microsoft) z rozwiązaniem Cisco Systems - L2F (Layer 2 Forwarding). Tunel taki może być inicjowany zarówno przez komputer osoby wdzwaniającej się poprzez najbliższego ISP do "macierzystej" sieci wirtualnej jak też serwer dostępowy dostawcy Internetu. Tunel dla protokołu PPP umożliwia zarówno autentykację użytkownika we własnej sieci korporacyjnej, szyfrowanie transmitowanych pakietów, a także komunikację poprzez dowolny protokół działający ponad PPP. Dla sieci Intranet i Extranet tworzonych w oparciu o VPN-y tunele, widziane jako "przezroczyste" połączenia typu point-to-point, stosowanymi protokołami są IPSec i GRE. Protokół IPSec zapewnia autentykację, integralność i poufność przesyłanych danych (szyfrowanie danych możliwe jest przy pomocy algorytmów DES lub 3DES - to ostatnie rozwiązanie dostępne jest dla urządzeń Cisco od wersji oprogramowania IOS 12.0T). W połączeniu z silną autentykacją oraz sprawnym systemem zarządzania nią (np. CiscoSecure) daje to możliwość tworzenia w pełni bezpiecznej wirtualnej sieci WAN wykorzystując połączenia poprzez publicznie dostępną i co za tym idzie mało wiarygodną sieć Internet.

Jakość w sieciach VPN

Istotnym zagadnieniem jest jakość połączeń w sieciach VPN, w szczególności dotyczy to sieci budowanych na bazie Internetu.
Dostawcy Internetu w Polsce nie dają zwykle gwarancji na jakość świadczonych przez nich usług, chociaż istnieją obecnie technologie i rozwiązania pozwalające na definiowane jakości usług na poziomie rdzenia sieci IP, i w niedalekiej przyszłości rynek wymusi na dostawcach ich stosowanie. Celem stosowania mechanizmów kontroli jakości QoS (Quality of Service) jest optymalizacja wykorzystania łączy w sieci VPN oraz zapewnienie wymaganego przez krytyczne aplikacje pasma przepustowości. W sieciach VPN stosowane są mechanizmy QoS takie jak: klasyfikacja pakietów (Packet Classification), Traffic Policing, Traffic Shaping, kontrolowanie i unikanie zatorów w sieci (Congestion Management - WFQ, Congestion Avoidance - RED, WRED). W chwili obecnej IETF pracuje nad standardem mechanizmu Diff-Serv, polegającego na wykorzystaniu bajtu ToS (Type-of-Service), który miałby określać jaka klasa QoS ma być zapewniona dla danego pakietu (bajt ten określono jako DS - Diff-Serv).
Mechanizm ten ma zapewnić podstawy standardowych rozwiązań typu end-to-end gwarancji jakości (QoS) w sieciach VPN. Dopóki jednak dostawcy Internetu nie będą stosować w rdzeniach swoich sieci rozwiązań QoS i dawać użytkownikom gwaracje jakości połączeń, routery Cisco wykorzystywane jako urządzenia brzegowe w sieciach VPN mogą korzystać także z własnych mechanizmów kontroli przepływu takich jak priorytetyzacja ruchu lub inteligentne gubienie mniej istotnych pakietów w celu zachowania najbardziej krytycznych połączeń nawet przy znacznym przeciążeniu sieci.

38-07-01
 

 

VPN a urządzenia Cisco

Jakkolwiek przedstawione wyżej rozwiązania są implementowane w urządzeniach Cisco Systems w sposób softwareowy, istnieje grupa urządzeń dedykowanych do zastosowań w sieciach VPN. Jest to związane głównie z tym, że wszelkie mechanizmy zapewniające bezpieczeństwo i poufność przesyłanych danych wymagają większych mocy obliczeniowych, jak również z faktem dynamicznego rozwoju technologii integracji usług (VoIP, IPTV). Urządzenia klasy VPN posiadają hardware o zwiększonej wydajności i z optymalizacją procesów wykorzystywanych w technologii VPN (m.in. szybka i efektywna obsługa tunelowania i szyfrowania, czasami realizowana przez dodatkowy, przeznaczony do tego celu hardware). Rodzina urządzeń Cisco optymalizowanych dla sieci VPN obejmuje routery przeznaczone dla małych i średnich lokalizacji: serie Cisco 800 oraz Cisco 1720, urządzenia dla większych węzłów: serie Cisco 2600 i Cisco 3600, oraz routery dla punktów centralnych dużych sieci korporacyjnych lub dużych centrów regionalnych: serie Cisco 7100, Cisco 7200 i Cisco 7500, a także PIX Firewall.

Co dalej?

Z pewnością przyszłość rozwoju sieci VPN związana jest z wdrażaniem nowych technologii, w szczególności związanych z QoS, przez dostawców i operatorów sieci Internet. Rozwiązanie oferowane przez Cisco, MPLS (Multi Protocol Label Switching) wraz z systemem zarządzania CSM (Cisco Service Management System) pozwala dostawcom na oferowanie bezpiecznych i skalowalnych sieci VPN z gwarantowaną jakością połączeń (IP QoS). Sieci VPN tworzone na bazie MPLS obsługiwane są przez rodzinę urządzeń rdzeniowych Cisco (switche ATM i routery), mających zaimplementowane w oprogramowaniu IOS zaawansowane mechanizmy QoS (Quality of Service) oraz zarządzania ruchem. Urządzenia Cisco obsługują także szeroki wachlarz rozwiązań dostępowych, m. in. połączenia wdzwaniane, xDSL (Digital Subscriber Line), frame relay, ATM i sieci kablowe. W sieciach budowanych w oparciu o MPLS możliwe jest oczywiście wykorzystanie pozostałych rozwiązań Cisco związanych z technologią VPN takich jak: Internet Protocol Security (IPSec), tunelowanie GRE (Generic Routing Encapsulation), L2TP (Layer 2 Tunelling Protocol). Obserwując dynamiczny rozwój technologii VPN, jak też biorąc pod uwagę przewidywania dotyczące wzrostu udziału rozwiązań bazujących na tej technologii w tworzeniu sieci WAN, można być pewnym, że dostawcy usług sieciowych zaczną w niedługim czasie wdrażanie technologii w rodzaju MPLS. Oferta tańszych i gwarantujących

Akcje Dokumentu

Nasze cookies są bezpieczne! Korzystamy z nich w minimalnym zakresie tak, aby nasz serwis był jak najlepiej dopasowany do potrzeb Użytkowników. Warunki przechowywania oraz dostępu do plików cookies, można zmienić w ustawieniach przeglądarki. Domyślne ustawienia popularnych przeglądarek pozwalają na zapisywanie cookies. Więcej informacji w naszej polityce cookies.

[X] Zaakceptuj, by informacja więcej się nie pojawiała