VPN - ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ

Виртуальная частная сеть (VPN, Virtual Private Network) - семейство технологий, позволяющих строить логическую сеть, объединяющую удаленно размещенные физические сети филиалов, или даже отдельных удаленных пользователей поверх другой, общей сети (в общем случае - через Интернет)

Благодаря технологиям аутентификации, шифрования и прочим криптографическим технологиям защищенность (уровень доверия) VPN не зависит от уровня доверия для "базовой" сети, по которой производится передача (чаще всего Интернет). В общем случае уровень доверия к сети Интернет невысокий, так как в него входят в том числе публичные сети, передача данных по которым производится в открытом виде.

В зависимости от используемого типа подключения могут быть объединены отдельные узлы, целые сети, и объединения смешанного типа.

В состав VPN входят внутренние и внешние сети. К внешней относится сеть передачи данных (в общем случае интернет). К внутренней относят подконтрольные сети и отдельные узлы, объединяемые в логическую защищенную сеть. Подключение отдельного удаленного компьютера к VPN-сети возможно, и производится путем подключения к серверу доступа. Сервер доступа подключен как ко внутренней, так и ко внешней сети, и обеспечивает контролируемое прохождение трафика внутрь сети VPN от входящих в нее узлов и сетей. При этом сервер доступа может быть также и клиентом. Например, если несколько региональных сетей объединены друг с другом, а также подключены к центральной сети.

Согласно семиуровневой модели OSI: VPN может разворачиваться на уровнях от канального до транспортного, однако чаще всего реализация производится на уровне не выше сетевого. Это позволяет, несмотря на применение криптографии, не затрагивать (оставлять неизменными) транспортные протоколы (например, TCP, UDP).

Чаще всего встречаются такие реализации VPN, как PPTP (Point-to-Point Tunneling Protocol), в котором используется инкапсуляция протокола PPP (Point-to-Point Protocol) в пакеты IP, и PPPoE, работающий на канальном уровне, где кадры PPP передаются через соединения Ethernet. PPTP использует дополнительное TCP-соединение для обслуживания протокола. Для PPPoE характерно наличие дополнительных возможностей - аутентификация, сжатие данных, шифрование. Существуют и другие (в том и незащищенные) реализации VPN-соединений.

 

Обеспечение доступа в Интернет - учёт и ограничение трафика (Windows, UNIX).

Подсчет трафика может быть реализован двумя способами, каждый из которых имеет свои плюсы и минусы: с помощью шлюза, через который проходит весь трафик, и путем перехвата сетевых пакетов (sniffing). Первая технология известна всем и в представлении не нуждается: именно на ее основе построены proxy-серверы и межсетевые экраны. Неоспоримым достоинством такой схемы является гарантированный учет каждого байта информации вне зависимости от скорости и загрузки сети. Из наиболее существенных недостатков можно отметить необходимость перенастройки всех клиентских компьютеров на использование нового шлюза и прекращение доступа в Internet в случае аварии на proxy-сервере.

Перехват и анализ пакетов — это современная и гибкая технология (именно она используется в BillingOne), однако она не так надежна, как технология шлюза. Скорость работы и уровень загрузки сети значительно влияют на производительность системы учета, а при превышении некоторых значений нагрузки может происходить потеря пакетов. Все это, разумеется, приводит к погрешности при учете трафика и расчете стоимости услуг. С другой стороны, высокая точность показаний системы при организации внутрикорпоративного биллинга часто и не требуется. По некоторым данным, в сети, работающей на скорости 100 Мбит/с со среднесуточной загрузкой не более 70%, погрешность расчета рассматриваемой системы не превышает одного процента в месяц.

Поскольку система перехватывает все проходящие по сети пакеты, сразу возникает вопрос: как отделять собственно Internet-трафик от внутреннего трафика сети? Разумеется, внутренний трафик учитываться не должен, за редким исключением, поэтому настройка BillingOne предполагает наличие некоторого пула IP-адресов, которые относятся к внутренней сети. Учитывается лишь тот трафик, который проходит между внутренним (т. е. указанным администратором) и внешним (т. е. тем компьютером, IP-адрес которого отсутствует в настройках программы) компьютерами. Пул локальных IP-адресов задается привычным для администраторов способом: указанием IP-адреса и маски подсети. Некоторые проблемы создает применение в локальной сети proxy-сервера или иного шлюза — ведь в этом случае с точки зрения BillingOne все подключения оказываются локальными и учету не подлежат. Здесь нужно использовать дополнительную настройку: придать локальному хосту, на котором установлен proxy-сервер, статус внешнего.

В этом случае все подключения к proxy-серверу будут расцениваться программой как подключения к внешним серверам.

Накладываем ограничение

Получать достоверную информацию о том, какой объем трафика был передан тем или иным пользователем, — безусловно, важно, однако не менее популярна функция запрета доступа при выработке заданного лимита. BillingOne позволяет задавать ограничения на количество мегабайтов, загруженных в один из двух отчетных периодов: суточный и месячный. Таким образом, администратор может ограничивать объем загружаемой информации в сутки или в месяц. BillingOne также дает возможность установки ограничений по трафику для групп пользователей. В случае превышения лимита доступа

к Internet лишается вся группа, вне зависимости от того, какой объем данных был загружен каждым пользователем. Групповые лимиты могут комбинироваться с индивидуальными; при этом пользователь отключается от Internet после превышения одного из лимитов .

Ограничение времени работы в Internet, в отличие от ограничения по трафику, уменьшает не прямые, а косвенные издержки, возникающие в результате неоправданного расхода рабочего времени на Internet-серфинг. Подсчитывать время в Internet, как это делают провайдеры доступа по коммутируемым линиям, в локальных сетях компаний чаще всего невозможно. Нередко программное обеспечение для мониторинга трафика в Internet использует методику оценки времени работы в Internet на основе статистики подключений к удаленным серверам. Т. е. просто анализируется промежуток времени между двумя «соседними» подключениями и, если он не превышает определенного значения, считается, что все это время пользователь работал в Internet. Недостаток этой методики очевиден: неточность подсчета, вытекающая из того, что все пользователи работают по-разному. Темп загрузки страниц сильно влияет на результаты, выдаваемые программным обеспечением, поэтому вряд ли данная технология может всерьез рассматриваться в качестве базовой для внутрикорпоративного биллинга.

BillingOne подсчитывает время работы в Internet несколько иначе: во главу угла ставится точность представления информации, хотя при этом не так удобно работать с системой. Для того чтобы выдаваемые результаты соответствовали реальности и не слишком зависели от субъективных факторов, на компьютеры пользователей устанавливается компактная утилита, которая берет на себя не только подсчет проведенного в Internet времени, но и ограничение доступа после выработки заданного администратором лимита. В данной утилите и кроется основной недостаток схемы расчета времени, примененной в BillingOne: не всегда возможно установить на все пользовательские компьютеры дополнительные утилиты. Кроме того, вся система мониторинга при использовании клиентских утилит становится в каком-то смысле неповоротливой, поскольку ряд изменений на сервере (например, смена IP-адреса) приводит к необходимости произвести перенастройку каждого из клиентов.

В клиентском приложении BillingOne применена технология, позволяющая оценивать временные затраты с максимальной точностью. Суть ее сводится к тому, что использование Internet не ограничивается формальным процессом загрузки данных. Просмотр сохраненных Web-страниц в автономном режиме может занимать значительное время и после введения каких-либо ограничений на доступ в Internet. Корпоративные пользователи, начав работать с Internet как по тарифу с почасовой оплатой, могут свести на нет все усилия по получению достоверных статистических данных. Клиентская программа BillingOne предлагает администраторам жесткий, но действенный метод, позволяющий исключить подобные «подтасовки» со стороны пользователей. Утилита попросту отказывает в просмотре каких-либо Web-страниц, в том числе и сохраненных локально, без подключения к Internet и, соответственно, учета реальных затрат. Защита от выгрузки утилиты также реализована не совсем стандартно: собственно, выгрузить BillingOne Client, пользуясь той же панелью управления Windows 2000, не составляет труда. Однако первая же попытка обратиться к Internet-узлу из любого приложения (будь то Web-браузер, FTP-клиент или telnet-терминал) приведет к загрузке клиента в память и восстановлению контроля над использованием Internet-ресурсов.

Тарификация

BillingOne не могла бы называться системой для внутрикорпоративного биллинга, если бы в ней не было функций тарификации и оценки стоимости предоставленных Internet-услуг. Конечно, финансовый блок программы, предназначенной для работы не с коммерческими клиентами, а с сотрудниками предприятия, не столь функционально богат, как биллинговые системы для Internet-провайдеров, однако осуществлять поддержку денежных счетов сотрудников BillingOne умеет. Кроме того, для каждого из пользователей можно применять глобальные и индивидуальные тарифы за трафик и время работы. Также достоин упоминания принцип работы со счетами пользователей, согласно которому на каждый счет начисляется сумма, позволяющая начать работу в Internet. Когда сумма израсходована, пользователь отключается от Internet, а администратор впоследствии может пополнить счет, с сохранением в базе данных информации о выполненной операции .

 

 

⇐ Предыдущая123Следующая ⇒

Поделиться: