Из самого названия — виртуальная частная сеть (Virtual Private Network, VPN) — следует, что она каким-то образом воспроизводит свойства реальной частной сети. Без всяких натяжек назвать сеть частной можно только в том случае, если предприятие единолично владеет и управляет всей сетевой инфраструктурой — кабелями, кроссовым оборудованием, каналообразующей аппаратурой, коммутаторами, маршрутизаторами и другим коммуникационным оборудованием.
Главным отличием частной сети от общедоступной или совместно используемой нескольким ми предприятиями сети является ее изолированность.
Перечислим, в чем выражается эта изолированность.
□ Независимый выбор сетевых технологий. Выбор ограничивается только возможностями производителей оборудования.
□ Независимая система адресации. В частных сетях нет ограничений на выбор адресов — они могут быть любыми.
□ Предсказуемая производительность. Собственные линии связи гарантируют заранее известную пропускную способность между узлами предприятия (для глобальных соединений) или коммуникационными устройствами (для локальных соединений).
□ Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает сеть от атак извне и существенно снижает вероятность «прослушивания» трафика по пути следования.
Однако частная сеть — решение крайне неэкономичное! Такие сети, особенно в национальном или международном масштабах, могут себе позволить только очень крупные и богатые предприятия. Роскошь создания частной сети — привилегия тех, кто имеет производственные предпосылки для создания собственной сетевой инфраструктуры. Например, нефтяные или газовые компании способны с относительно невысокими издержками прокладывать собственные технологические кабели связи вдоль трубопроводов. Частные сети были популярны в относительно далеком прошлом, когда общедоступные сети передачи данных были развиты очень слабо. Сегодня же их почти повсеместно вытеснили сети VPN, которые предлагают компромисс между качеством услуг и их стоимостью.
Технология vpn позволяет с помощью разделяемой несколькими предприятиями сетевой инфраструктуры реализовать сервисы, приближающиеся к сервисам частной сетиДо качеству (безопасность, доступность, предсказуемая пропускная способность, независимость в выборе адресов). • '"■•'•' • "
В зависимости от того, кто реализует сети VPN, они подразделяются на два вида.
□ Поддерживаемая клиентом виртуальная частная сеть (Customer Provided VPN, CPVPN) отражает тот факт, что все тяготы поддержки сети VPN ложатся на плечи потребителя. Поставщик предоставляет только «простые» традиционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими.
□ В случае поддерживаемой поставщиком виртуальной частной сети (Provider Provisioned VPN, PPVPN) поставщик услуг на основе собственной сети воспроизводит частную сеть для каждого своего клиента, изолируя и защищая ее от остальных. Такой способ организации VPN сравнительно нов и не столь широко распространен, как первый.
В последние год-два популярность сетей PPVPN растет — заботы по созданию и управлению VPN довольно обременительны и специфичны, поэтому многие предприятия предпочитают переложить их на плечи надежного поставщика. Реализация услуг VPN позволяет поставщику оказывать и ряд дополнительных услуг, включая контроль за работой клиентской сети, веб-хостинг и хостинг почтовых служб, хостинг специализированных приложений клиентов.
Помимо деления сетей VPN на CPVPN и PPVPN существует еще и другая классификация — в зависимости от места расположения устройств, выполняющих функции VPN. Виртуальная частная сеть может строиться:
□ на базе оборудования, установленного на территории потребителя (Custo шег Premises Equipment based VPN, CPE-based VPN, или Customer Edge based VPN, CE-based VPN);
□ на базе собственной инфраструктуры поставщика (Network-based VPN пли Provider Edge based VPN, PE-based VPN).
В любом случае основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети — либо потребителя, либо поставщика.
Сети, поддерживаемые поставщиком, могут строиться как на базе инфраструктуры поставщика, так и на базе оборудования, установленного на территории потребителя. Первый вариант наиболее понятен: поставщик управляет расположенным в его сети оборудованием. Во втором случае оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.
Когда VPN поддерживается клиентом (CPVPN), оборудование всегда находится в его сети, то есть VPN строится на базе устройств клиента (CE-based).