Протоколы виртуальных частных сетей

Безопасность передачи IP-пакетов через Интернет в VPN реализуется с помощью туннелирования. Туннелирование (tunneling) - это процесс включения IP-пакетов в пакеты другого формата, позволяющий передавать зашифрованные данные через открытые сети.

В Windows Server 2003 поддерживаются следующие протоколы туннелирования:

□ РРТР (Point-to-Point Tunneling Protocol) - протокол туннелирования соединений «точка-точка», основан на протоколе РРР (описан в RFC 2637). Поддерживает все возможности, предоставляемые РРР, в частности аутентификацию по протоколам PAP, CHAP, MS-CHAP, MS-CHAP v2, ЕАР. Шифрование данных обеспечивается методом МРРЕ (Microsoft Point-to-Point Encryption), который применяет алгоритм RSA/RC4. Сжатие данных происходит по протоколу МРРС (Microsoft Point-to-Point Compression), описанному в RFC 2118.

Недостатком протокола является относительно низкая скорость передачи данных.

□ L2TP (Layer 2 Tunneling Protocol - туннельный протокол канального уровня) - протокол туннелирования, основанный на протоколе L2F (Layer 2 Forwarding), разработанном компанией Cisco, и протоколе РРТР. Описан в RFC 2661. Поддерживает те же протоколы аутентификации, что и РРР. Для шифрования данных используется протокол IPsec. Также поддерживает сжатие данных. Имеет более высокую скорость передачи данных, чем РРТР.

Протокол РРТР остается единственным протоколом, который поддерживают старые версии Windows (Windows NT 4.0, Windows 98, Windows Me). Однако существует бесплатный VPN-клиент Microsoft L2TP/IPsec, который позволяет старым операционным системам Windows устанавливать соединение VPN по протоколу L2TP.

Информация для аутентификации об именах пользователей и их паролях, так же как при удаленном доступе, извлекается либо из каталога Active Directory, либо из базы данных RADIUS-сервера.

 

Протокол RADIUS

Протокол RADIUS (Remote Authentication Dial-In User Service - служба аутентификации пользователей удаленного доступа) предназначен для аутентификации, авторизации и учета удаленных пользователей и обеспечивает единый интерфейс для систем на разных платформах (Windows, UNIX и т. д.). Протокол описан в RFC 2865 и 2866.

Протокол RADIUS работает по модели «клиент-сервер». RADIUS- сервер хранит данные о пользователях, RADIUS-клиенты обращаются к серверу за информацией.

В Windows Server 2003 протокол RADIUS входит в состав двух служб: служба Интернет-аутентификации IAS (Internet Authentication Service) реализует RADIUS-сервер, а при помощи службы маршрутизации и удаленного доступа RRAS можно настроить RADIUS-клиент.

Схема сети с применением RADIUS-сервера показана на рис. 20.3. В этой схеме RADIUS-сервер установлен на контроллер домена и интегрирован со службой каталога Active Directory.

Рис. 20.3. Схема применения протокола RADIUS

 

Контрольные вопросы

□ Каким образом сети VPN обеспечивают безопасную передачу пакетов?

□ Назовите виды VPN-соединений.

□ Перечислите достоинства и недостатки протоколов РРТР и L2TP.

□ Что такое RADIUS?

Лекция №21. Технология MPLS. Ethernet операторского класса.

План:

1. Технология MPLS

2. LSR и таблица продвижения данных

3. Пути коммутации по меткам

4. Заголовок MPLS и технологии канального уровня

5. Контрольные вопросы

 

Технология MPLS

Технология многопротокольной коммутации с помощью меток (Multi-Protocol Label Switching, MPLS) считается сегодня многими специалистами одной из самых перспективных транспортных технологий. Эта технология объединяет преимущества техники виртуальных каналов с функциональностью стека TCP/IP.

Объединение происходит за счет того, что одно и то же сетевое устройство, называемое коммутирующим по меткам маршрутизатором (Label Switch Router, LSR), выполняет функции как IP-маршрутизатора, так и коммутатора виртуальных каналов. Причем это не механическое объединение двух устройств, а тесная интеграция, когда функции каждого устройства дополняют друг друга и используются совместно.

 

Впервые идея объединения маршрутизации и коммутации в одном устройстве была реализована в середине 90-х годов, когда на рынке появились комбинированные устройства IP/ATM. В этих устройствах была реализована новая технология IP-коммутации (IP switching), которая решала проблему ускорения продвижения IP-пакетов через сеть совместными усилиями протоколов стеков IP и ATM. Однако у данного способа был недостаток — он плохо работал для кратковременных потоков, так как время установления динамического соединения ATM для них было соизмеримо со временем передачи данных этого потока или превышало его.

Объединение функций IP и ATM в одном устройстве позволило решить эту проблему и к тому же устранить дублирование протоколов маршрутизации, так как топология сети для обоих стеков (то есть IP и ATM) была одинаковой.

На основе нескольких вариантов фирменных технологий рабочая группа IETF, состоящая из специалистов различных компаний, создала в конце 90-х годов технологию MPLS.

 

21.2 LSR и таблица продвижения данных

Протоколы маршрутизации используются для определения топологии сети, а для продвижения данных внутри границ сети одного провайдера применяется техника виртуальных каналов.

Принцип объединения протоколов различных технологий иллюстрируют рис. 21.1 и 21.2. На первом из них показана упрощенная архитектура стандартного IP-маршрутизатора, на втором - архитектура комбинированного устройства LSR, поддерживающего технологию MPLS.

Рис. 21.1. Архитектура IP-маршрутизатора

Рис. 21.2. Архитектура LSR

Так как устройство LSR выполняет все функции IP-маршрутизатора, оно содержит все блоки последнего, а для поддержки функций MPLS в LSR включен ряд дополнительных блоков, относящихся как к управлению, так и к продвижению данных.

В качестве примера можно указать на блок продвижения по меткам, который передает IP-пакет не на основе IP-адреса назначения, а на основе поля метки. При принятии решения о выборе следующего хопа блок продвижения по меткам использует таблицу коммутации, которая в стандарте MPLS носит название таблицы продвижения. Таблица продвижения в технологии MPLS похожа на аналогичные таблицы других технологий, основанных на технику виртуальных каналов (табл. 21.1).

Таблица 21.1. Пример таблицы продвижения в технологии MPLS

Входной интерфейс	Метка	Следующий хоп	Действия
S0		S1
S0		S2
…	…	…	…

 

Таблицы продвижения для каждого устройства LSR формируются сигнальным протоколом, который в MPLS имеет название протокол распределения меток (Label Distribution Protocol, LDP).

Протокол LDP прокладывает через сеть виртуальные каналы, которые в технологии MPLS называют путями коммутации по меткам (Label Switching Path, LSP).

 

Пути коммутации по меткам

На рис. 21.3 показана сеть MPLS, взаимодействующая с несколькими сетями IP.

Пограничные устройства LSR в технологии MPLS имеют специальное название — пограничные коммутирующие по меткам маршрутизаторы (Label switch Edge Routers, LER).

Устройство LER, являясь функционально более сложным, принимает трафик от других сетей в форме стандартных IP-пакетов, а затем добавляет к нему метку и направляет вдоль соответствующего пути к выходному устройству LER через несколько промежуточных устройств LSR. При этом пакет продвигается не на основе IP-адреса назначения, а на основе метки.

LER выполняет отображение IP-адреса на один из существующих в сети путей LSP на основе так называемой информации о классе эквивалентного продвижения (Forwarding Equivalence Class, FEC).

FEC может соответствовать какой-либо подсети IP или же набору IP-подсетей. Принципиально возможно использовать в качестве признаков FEC и отличную от IP-адресов информацию, например, номер интерфейса, на который пришел пакет, или номер VLAN, если пакет инкапсулирован в кадр Ethernet.

Как и в других технологиях, использующих технику виртуальных каналов, метка имеет локальное значение в пределах каждого устройства LER и LSR, то есть при передаче пакета с входного интерфейса на выходной выполняется смена значения метки.

Рис. 21.3. Сеть MPLS

Пути LSP прокладываются в MPLS предварительно в соответствии с топологией сети. Существует несколько подходов к прокладке пути, различающихся критериями его выбора и способом нахождения. В качестве двух наиболее популярных критериев выбора пути используются:

□ традиционная метрика, учитывающая номинальную пропускную способность линий связи,

□ метрика, учитывающая процесс резервирования пропускной способности для потоков данных, проходящих через LSP.

LSP представляет собой однонаправленный виртуальный канал, поэтому для передачи трафика между двумя устройствами LER нужно установить по крайней мере два пути коммутации по меткам — по одному в каждом направлении. На рис. 21.3 показаны две пары путей коммутации по меткам, соединяющие устройства LER2 и LER3, а также LER1 и LER4. Очевидно, что для обеспечения связи между всеми сетями этого недостаточно. Обычно устройства LER с помощью путей коммутации по меткам должны образовывать полносвязную структуру, которая имеет место в реальных сетях MPLS. Эта структура на рисунке не показана только ввиду громоздкости ее графического представления.

Выходное устройство LER, удалив метку, передает пакет в следующую сеть уже в стандартной для сети IP форме. Таким образом, технология MPLS остается прозрачной для остальных сетей IP.

 

⇐ Предыдущая17181920212223242526Следующая ⇒

Поделиться:

Популярное:

1. А по методике построения сетей они бывают распределенными, многоуровневыми и локальными.
2. Аппаратные и программные средства реализации компьютерных сетей
3. Архитектура транкинговых сетей
4. Астральное предчувствие, или как прийти из сетей в сеть
5. Виды коммутации и технологии глобальных сетей
6. Возврат в частную собственность государственной собственности, возникшей в результате произведение ранее скупки предприятий, земли, банков, акций и т.д. у частных собственников.
7. ВОПРОС 23. Глобальная сеть Интернет: сетевое взаимодействие, архитектура, протоколы.
8. Вопрос 41. Как выполняется разводка временных электросетей напряжением до 1 000 В, используемых при электроснабжении объектов строительства?
9. Выбор и описание системы транспорта тепловых сетей
10. Выбор схемы присоединения абонентский установок тепловых сетей по пьезометрическому графику.
11. Выполнение сетей шинопроводом
12. Выполнение электрических осветительных сетей.