Сеть VPN, как и любая имитирующая система\ характеризуется, во-первых, тем, какие свойства объекта имитируются, во-вторых, степенью приближенности к оригиналу и, в-третьих, используемыми средствами имитации.
Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в VPN.
Практически все сети VPN имитируют собственные каналы в сетевой инфраструктуре поставщика, предназначенной для обслуживания множества клиентов.
В том случае, когда имитируется инфраструктура каналов одного предприятия, услуги VPN называют также услугами intranet (интранет, или внутренней сети), а в том случае, когда к таким каналам добавляются также каналы, соединяющие предприятие с его предприятиями-партнерами, с которыми также необходимо обмениваться информацией в защищенном режиме, — услугами extranet (экстранет, или внешней сети).
1 В данном случае VPN рассматривается как имитация частной сети предприятия.
ПРИМЕЧАНИЕ -----------------------------------------------------------------------------------------------------------------------------------------
|
|
Здесь возможна небольшая терминологическая путаница — имитация собственных каналов в среде сети оператора средствами временного мультиплексирования (телефонного, PDH или SDH) традиционно не считается виртуальной частной сетью. Сети, построенные на собственном сетевом оборудовании, но на арендованных физических каналах, обычно относят к действительно частным. Это связано с тем, что используемая в этих сетях синхронная технология TDM позволяет гарантированно изолировать информационные потоки пользователей друг от друга и обеспечить в разделяемой среде для каждого потока фиксированную пропускную способность, а также задержки и другие параметры QoS на уровне неразделяемой среды. Недаром такие каналы называют также выделенными — они предоставляются клиенту в единичное владение, и их ресурсами другие клиенты воспользоваться не смогут. Именно таким образом — не на собственных, а на арендованных каналах — работает подавляющее число частных сетей.
Термин «виртуальная частная сеть» применяется только тогда, когда «собственные» физические каналы имитируются средствами пакетных технологий: ATM, Frame Relay, Х.25, IP или IP/MPLS. Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при связи их действительно собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, поэтому определение «виртуальная» становится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только физические каналы, но и определенная технология канального уровня (например, ATM или Frame Relay), а при использовании IP — и сетевого.
|
|
Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть VPN, способная поддерживать IP-трафик клиента с созданием эффекта изолированной IP-сети. В этом случае VPN производит некоторые дополнительные сетевые операции над клиентским трафиком — сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подразделениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция VPN) и т. п. Имитация сервисов прикладного уровня встречается в VPN гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные приложения управления предприятием.
Другим критерием, используемым при сравнении VPN, является степень приближенности сервисов, предлагаемых VPN, к свойствам сервисов частной сети.
Во-первых, важнейшим свойством сервисов частной сети является безопасность. Безопасность VPN подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче через общедоступную сеть, а также защищенность внутренних ресурсов сетей потребителя и поставщика от внешних атак. Степень безопасности VPN варьируется в широких пределах, в зависимости от применяемых средств защиты — шифрования трафика, аутентификации пользователей и устройств, изоляции адресных пространств (например, на основе техники NAT), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним несанкционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшелонированной обороны.
Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сети по качеству обслуживания. Качество транспортного обслуживания подразумевает, в первую очередь, гарантии пропускной способности для трафика клиента, к которым могут добавляться и другие параметры QoS — максимальные задержки и процент потерянных данных. В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неизбежное зло, поэтому степень приближения виртуальных каналов к каналам TDM всегда неполная и вероятностная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные пакетные технологии отличаются различным уровнем поддержки параметров QoS. В ATM, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в IP-сетях они только начинают внедряться. Поэтому далеко не каждая сеть VPN пытается воссоздать эти особенности частной сети. Считается, что безопасность — обязательное свойство VPN, а качество транспортного обслуживания — только желательное.
В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для клиента независимость адресного пространства. Это дает клиенту одновременно и удобство конфигурирования, и способ поддержания безопасности. Причем желательно, чтобы не только клиенты ничего не знали об адресных пространствах друг друга, но и магистраль поставщика имела собственное адресное пространство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных действий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.
Существенное влияние на свойства виртуальных частных сетей оказывают технологии, с помощью которых эти сети строятся. Все технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных:
□ технологии разграничения трафика;
□ технологии шифрования.