Степень защищенности

Повысить степень защищенности MPLS VPN можно с помощью традиционных средств, например, применяя средства аутентификации и шифрования прото­кола IPSec, устанавливаемые в сетях клиентов или в сети поставщика. Услуга MPLS VPN может легко интегрироваться с другими услугами IP, например с предоставлением доступа к Интернету пользователям VPN с защитой их сети средствами межсетевого экрана, установленного в сети поставщика. Поставщик также может предоставлять пользователям MPLS VPN услуги, базирующиеся на других возможностях MPLS, в частности гарантированное качество обслужи­вания на основе методов инжиниринга трафика MPLS. Что же касается сложностей ведения в маршрутизаторах поставщика услуг таблиц маршрутизации пользова­телей, на которые указывают некоторые специалисты, то они, на наш взгляд, не­сколько преувеличены, так как таблицы создаются автоматически с помощью стандартных протоколов маршрутизации и только на пограничных маршрутиза­торах (РЕ). Механизм виртуального маршрутизатора полностью изолирует эти таблицы от глобальных таблиц маршрутизации поставщика услуг, что обеспечи­вает необходимые уровни надежности и масштабируемости решений MPLS VPN. Впрочем, реальное качество данной технологии покажет время и, скорее всего, достаточно скоро.

Технология MPLS VPN не обеспечивает безопасности за счет шифрования и аутен­тификации, как это делают технологии IPSec и РРТР, но допускает применение данных технологий как дополнительных мер защиты в случае необходимости.

Перед MPLS VPN не ставится задача поддержки качества обслуживания, но в случае необходимости поставщик может использовать методы дифференциро­ванного обслуживания и инжиниринга трафика.

Выводы

Сервисы защиты передаваемой информации позволяют клиентам через публичную сеть, на­пример Интернет, безопасно передавать информацию, обеспечивая ее аутентичность, цело­стность и конфиденциальность.

Сервисы защиты передаваемой информации можно построить с помощью системных средств, реализованных на разных уровнях модели OSI. К числу наиболее популярных сервисов подоб­ного рода можно отнести протоколы защищенного канала SSL, IPSec. РРТР, а также сервисы VPN.

IPSec — это согласованный набор открытых стандартов, имеющий сегодня вполне очерченное ядро, включающее три протокола: протокол АН гарантирует целостность и аутентичность дан­ных, протокол ESP шифрует передаваемые данные, обеспечивая их конфиденциальность, а также аутентификацию и целостность, протокол IKE устанавливает логическое соединение и распределяет секретные ключи.

При установлении однонаправленного логического соединения, называемого в IPSec безопас­ной ассоциацией, стороны принимают ряд соглашений, регламентирующих процесс передачи потока данных между ними: тип и режим работы протокола защиты (АН или ESP), методы шиф­рования, секретные ключи и др. Наборы текущих параметров, определяющих все активные ас­социации, хранятся на обоих оконечных узлах защищенного канала в виде баз данных SAD Каждая сторона поддерживает также другой тип базы данных — SPD, которая задает соответ­ствие между признаками IP-пакетов и установленными для них правилами обработки.

Использование баз SPD и SAD для защиты трафика позволяет достаточно гибко сочетать ме­ханизм логических соединений с дейтаграммным характером трафика протокола IP.

Технология VPN позволяет с помощью разделяемой несколькими предприятиями сетевой ин­фраструктуры реализовать сервисы, приближающиеся к сервисам частной сети по качеству (безопасность, доступность, предсказуемая пропускная способность, независимость в выбо­ре адресов).

Сеть VPN может быть реализована как самим предприятием (CPVPN), так и поставщиком услуг (PPVPN). Она может строиться на базе оборудования, установленного на территории как по­требителя, так и поставщика услуг.

Технологии VPN можно разделить на два класса в зависимости от того, каким образом они обеспечивают безопасность передачи данных: технологии разграничения трафика (ATM VPN, Frame Relay VPN, MPLS VPN) и технологии на основе шифрования (IPSec VPN).

От других виртуальных частных сетей, таких как ATM/FR VPN или IPSec VPN, сеть MPLS VPN выгодно отличает хорошая масштабируемость, возможность автоматического конфигуриро­вания и естественная интеграция с другими сервисами IP.

Механизмом, с помощью которого сайты, принадлежащие к одной и той же сети VPN, обмени­ваются маршрутной информацией, является многопротокольное расширение для протокола BGP (MP-BGP).

Политика экспорта/импорта маршрутных объявлений — мощный инструмент для создания се­тей MPLS VPN разных топологий.