Критерии оценки и сравнения VPN

Сеть VPN, как и любая имитирующая система\ характеризуется, во-первых, тем, какие свойства объекта имитируются, во-вторых, степенью приближенности к ори­гиналу и, в-третьих, используемыми средствами имитации.

Рассмотрим, какие элементы частной сети являются предметом «виртуализации» в VPN.

Практически все сети VPN имитируют собственные каналы в сетевой инфраструк­туре поставщика, предназначенной для обслуживания множества клиентов.

В том случае, когда имитируется инфраструктура каналов одного предприятия, услуги VPN называют также услугами intranet (интранет, или внутренней се­ти), а в том случае, когда к таким каналам добавляются также каналы, соеди­няющие предприятие с его предприятиями-партнерами, с которыми также необ­ходимо обмениваться информацией в защищенном режиме, — услугами extranet (экстранет, или внешней сети).

¹ В данном случае VPN рассматривается как имитация частной сети предприятия.

ПРИМЕЧАНИЕ -----------------------------------------------------------------------------------------------------------------------------------------

Здесь возможна небольшая терминологическая путаница — имитация собственных кана­лов в среде сети оператора средствами временного мультиплексирования (телефонного, PDH или SDH) традиционно не считается виртуальной частной сетью. Сети, построенные на собственном сетевом оборудовании, но на арендованных физических каналах, обычно относят к действительно частным. Это связано с тем, что используемая в этих сетях син­хронная технология TDM позволяет гарантированно изолировать информационные пото­ки пользователей друг от друга и обеспечить в разделяемой среде для каждого потока фиксированную пропускную способность, а также задержки и другие параметры QoS на уровне неразделяемой среды. Недаром такие каналы называют также выделенными — они предоставляются клиенту в единичное владение, и их ресурсами другие клиенты восполь­зоваться не смогут. Именно таким образом — не на собственных, а на арендованных кана­лах — работает подавляющее число частных сетей.

Термин «виртуальная частная сеть» применяется только тогда, когда «собствен­ные» физические каналы имитируются средствами пакетных технологий: ATM, Frame Relay, Х.25, IP или IP/MPLS. Качество связи между узлами клиентов в этом случае уже вполне ощутимо отличается от того, которое было бы при связи их действительно собственным физическим каналом. В частности, появляется неопределенность пропускной способности и других характеристик связи, по­этому определение «виртуальная» становится здесь уместным. При применении пакетных сетей для построения VPN клиентам предоставляются не только фи­зические каналы, но и определенная технология канального уровня (например, ATM или Frame Relay), а при использовании IP — и сетевого.

Виртуальная частная сеть может имитировать не только физические каналы, но и более высокоуровневые свойства сети. Так, может быть спроектирована сеть VPN, способная поддерживать IP-трафик клиента с созданием эффекта изоли­рованной IP-сети. В этом случае VPN производит некоторые дополнительные сетевые операции над клиентским трафиком — сбор разнообразной статистики, фильтрацию и экранирование взаимодействий между пользователями и подраз­делениями одного и того же предприятия (не нужно путать с экранированием от внешних пользователей — это основная функция VPN) и т. п. Имитация сервисов прикладного уровня встречается в VPN гораздо реже, чем имитация собственно транспортных функций, но также возможна. Например, поставщик в состоянии поддерживать для клиента веб-сайты, почтовую систему или специализированные приложения управления предприятием.

Другим критерием, используемым при сравнении VPN, является степень при­ближенности сервисов, предлагаемых VPN, к свойствам сервисов частной сети.

Во-первых, важнейшим свойством сервисов частной сети является безопасность. Безопасность VPN подразумевает весь набор атрибутов защищенной сети — конфиденциальность, целостность и доступность информации при передаче че­рез общедоступную сеть, а также защищенность внутренних ресурсов сетей по­требителя и поставщика от внешних атак. Степень безопасности VPN варьируется в широких пределах, в зависимости от применяемых средств защиты — шифро­вания трафика, аутентификации пользователей и устройств, изоляции адресных пространств (например, на основе техники NAT), использования виртуальных каналов и двухточечных туннелей, затрудняющих подключение к ним несанк­ционированных пользователей. Так как ни один способ защиты не дает абсолютных гарантий, то средства безопасности могут комбинироваться для создания эшело­нированной обороны.

Во-вторых, желательно, чтобы сервисы VPN приближались к сервисам частной сети по качеству обслуживания. Качество транспортного обслуживания подразу­мевает, в первую очередь, гарантии пропускной способности для трафика клиен­та, к которым могут добавляться и другие параметры QoS — максимальные за­держки и процент потерянных данных. В пакетных сетях пульсации трафика, переменные задержки и потери пакетов — неизбежное зло, поэтому степень при­ближения виртуальных каналов к каналам TDM всегда неполная и вероятност­ная (в среднем, но никаких гарантий для отдельно взятого пакета). Разные па­кетные технологии отличаются различным уровнем поддержки параметров QoS. В ATM, например, механизмы качества обслуживания наиболее совершенны и отработаны, а в IP-сетях они только начинают внедряться. Поэтому далеко не каждая сеть VPN пытается воссоздать эти особенности частной сети. Считается, что безопасность — обязательное свойство VPN, а качество транспортного об­служивания — только желательное.

В-третьих, сеть VPN приближается к реальной частной сети, если она обеспечивает для клиента независимость адресного пространства. Это дает клиенту одновре­менно и удобство конфигурирования, и способ поддержания безопасности. При­чем желательно, чтобы не только клиенты ничего не знали об адресных простран­ствах друг друга, но и магистраль поставщика имела собственное адресное про­странство, неизвестное пользователям. В этом случае сеть поставщика услуг будет надежнее защищена от умышленных атак или неумышленных действий своих клиентов, а значит, более высоким будет качество предоставляемых услуг VPN.

Существенное влияние на свойства виртуальных частных сетей оказывают тех­нологии, с помощью которых эти сети строятся. Все технологии VPN можно раз­делить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных:

□ технологии разграничения трафика;

□ технологии шифрования.