Повысить степень защищенности MPLS VPN можно с помощью традиционных средств, например, применяя средства аутентификации и шифрования протокола IPSec, устанавливаемые в сетях клиентов или в сети поставщика. Услуга MPLS VPN может легко интегрироваться с другими услугами IP, например с предоставлением доступа к Интернету пользователям VPN с защитой их сети средствами межсетевого экрана, установленного в сети поставщика. Поставщик также может предоставлять пользователям MPLS VPN услуги, базирующиеся на других возможностях MPLS, в частности гарантированное качество обслуживания на основе методов инжиниринга трафика MPLS. Что же касается сложностей ведения в маршрутизаторах поставщика услуг таблиц маршрутизации пользователей, на которые указывают некоторые специалисты, то они, на наш взгляд, несколько преувеличены, так как таблицы создаются автоматически с помощью стандартных протоколов маршрутизации и только на пограничных маршрутизаторах (РЕ). Механизм виртуального маршрутизатора полностью изолирует эти таблицы от глобальных таблиц маршрутизации поставщика услуг, что обеспечивает необходимые уровни надежности и масштабируемости решений MPLS VPN. Впрочем, реальное качество данной технологии покажет время и, скорее всего, достаточно скоро.
|
|
Технология MPLS VPN не обеспечивает безопасности за счет шифрования и аутентификации, как это делают технологии IPSec и РРТР, но допускает применение данных технологий как дополнительных мер защиты в случае необходимости.
Перед MPLS VPN не ставится задача поддержки качества обслуживания, но в случае необходимости поставщик может использовать методы дифференцированного обслуживания и инжиниринга трафика.
Выводы
Сервисы защиты передаваемой информации позволяют клиентам через публичную сеть, например Интернет, безопасно передавать информацию, обеспечивая ее аутентичность, целостность и конфиденциальность.
Сервисы защиты передаваемой информации можно построить с помощью системных средств, реализованных на разных уровнях модели OSI. К числу наиболее популярных сервисов подобного рода можно отнести протоколы защищенного канала SSL, IPSec. РРТР, а также сервисы VPN.
IPSec — это согласованный набор открытых стандартов, имеющий сегодня вполне очерченное ядро, включающее три протокола: протокол АН гарантирует целостность и аутентичность данных, протокол ESP шифрует передаваемые данные, обеспечивая их конфиденциальность, а также аутентификацию и целостность, протокол IKE устанавливает логическое соединение и распределяет секретные ключи.
При установлении однонаправленного логического соединения, называемого в IPSec безопасной ассоциацией, стороны принимают ряд соглашений, регламентирующих процесс передачи потока данных между ними: тип и режим работы протокола защиты (АН или ESP), методы шифрования, секретные ключи и др. Наборы текущих параметров, определяющих все активные ассоциации, хранятся на обоих оконечных узлах защищенного канала в виде баз данных SAD Каждая сторона поддерживает также другой тип базы данных — SPD, которая задает соответствие между признаками IP-пакетов и установленными для них правилами обработки.
|
|
Использование баз SPD и SAD для защиты трафика позволяет достаточно гибко сочетать механизм логических соединений с дейтаграммным характером трафика протокола IP.
Технология VPN позволяет с помощью разделяемой несколькими предприятиями сетевой инфраструктуры реализовать сервисы, приближающиеся к сервисам частной сети по качеству (безопасность, доступность, предсказуемая пропускная способность, независимость в выборе адресов).
Сеть VPN может быть реализована как самим предприятием (CPVPN), так и поставщиком услуг (PPVPN). Она может строиться на базе оборудования, установленного на территории как потребителя, так и поставщика услуг.
Технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных: технологии разграничения трафика (ATM VPN, Frame Relay VPN, MPLS VPN) и технологии на основе шифрования (IPSec VPN).
От других виртуальных частных сетей, таких как ATM/FR VPN или IPSec VPN, сеть MPLS VPN выгодно отличает хорошая масштабируемость, возможность автоматического конфигурирования и естественная интеграция с другими сервисами IP.
Механизмом, с помощью которого сайты, принадлежащие к одной и той же сети VPN, обмениваются маршрутной информацией, является многопротокольное расширение для протокола BGP (MP-BGP).
Политика экспорта/импорта маршрутных объявлений — мощный инструмент для создания сетей MPLS VPN разных топологий.