Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałApolinary Cywka Został zmieniony 10 lat temu
1
Wirtualne sieci prywatne VPN - wprowadzenie -
2
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
VPN można określić jako „tunel”, przez który przesyłany jest ruch w ramach sieci prywatnej, pomiędzy klientami końcowymi za pośrednictwem sieci publicznej.
3
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
Po co VPN? Sieci VPN zapewniają dostęp zdalnym pracownikom do firmowych serwerów i intranetu, łączą oddziały firmy oraz tworzą ekstranety pomiędzy zaufanymi partnerami. Można nimi przesyłać nie tylko dane, ale również głos i wideo, a także wykorzystywać je do świadczenia usług o ograniczonym dostępie, takich jak transakcje bankowe, pobieranie płatnych treści itd. Zastosowanie sieci VPN uniezależnia pracownika od miejsca pracy.
4
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
Węzły publiczne są przezroczyste dla przesyłanych pomiędzy sieciami pakietów. Wirtualna sieć prywatna VPN korzysta z publicznej infrastruktury telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania, szyfrowania i procedur bezpieczeństwa zachowuje poufność danych. Sieć VPN istnieje jako struktura logiczna (wirtualna) w odróżnieniu od sieci „czysto” prywatnej, która powstaje na bazie specjalnie dzierżawionych w tym celu łącz. Stacje końcowe mogą korzystać z VPN dokładnie tak jak gdyby istniało pomiędzy nimi fizyczne łącze prywatne.
5
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
6
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
Wirtualne Sieci Prywatne charakteryzują się dużą efektywnością oraz wysokim poziomem bezpieczeństwa. Rozwiązania komercyjne i open source Produkty sprzętowe i programowe Trzy rodzaje zastosowań: sieci dostępowe - łączą zdalnych użytkowników: czyli pracowników mobilnych, konsultantów, sprzedawców, lokalne filie, z siedzibą firmy; intranet - łączy odległe oddziały tej samej firmy; ekstranet - zapewnia ograniczony dostęp do sieci firmowej zaufanym partnerom biznesowym. Często funkcja VPN jest oferowana jako dodatek do sprzętowej zapory lub bramy sieci WiFi. Praktycznie każdy producent sprzętu sieciowego posiada w ofercie sprzętow Sprzętowe rozwiązania VPN to także mniej usług uruchomionych na serwerze oraz mniej problemów konfiguracyjnych do rozwiązania. Zapora ogniowa zapewni także większą ochronę przed przeciążeniem serwera funkcjami VPN oraz redukuje potencjalne zagrożenie serwera włamaniem, jeżeli usługa VPN została "przechwycona".e zapory ogniowe, które oferują rozwiązanie VPN, realizowane przez różne technologie.
7
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
Uwierzytelnianie: Zanim zostanie zestawiony wirtualny „tunel” VPN, obie strony muszą się wzajemnie uwierzytelnić, aby mieć pewność, że urządzenie po drugiej stronie tunelu jest tym, za kogo się podaje. Trzy metody: Hasło statyczne, klucze współdzielone; Klucze publiczne RSA; Certyfikaty cyfrowe.
8
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
Hasło statyczne W trakcie przygotowywania do pracy urządzenia klucz wpisuje się bezpośrednio do pliku konfiguracyjnego. Metody tej nie poleca się z uwagi na łatwość popełnienia pomyłki w trakcie konfiguracji, możliwość podszycia się trzeciej strony w przypadku „kompromitacji” klucza a także z przyczyn administracyjnych (problematyczne jest zarządzanie połączeniami w obrębie kilku czy kilkunastu urządzeń)
9
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
Klucze publiczne RSA Na każdym z urządzeń biorących udział w połączeniu generowana jest para kluczy: prywatny-publiczny. Klucze publiczne należy następnie wymienić ze wszystkimi uczestnikami połączenia. W procesie tym bierze udział człowiek, który musi „ręcznie” dokonać wymiany kluczy. Rozwiązanie to jest praktycznie nieskalowalne, przy większej liczbie urządzeń konieczne jest dokonanie N*(N-1) wymiany kluczy, co jest czasochłonne. Dodatkowo w przypadku „kompromitacji” jednego z urządzeń należy wykasować stare i wgrać nowe klucze na pozostałych urządzeniach.
10
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
Certyfikaty cyfrowe Ze względu na swoją strukturę stanowią najbardziej zaufany mechanizm uwierzytelniania, możliwe jest zautomatyzowanie procesu ich wymiany w przypadku kompromitacji jednej ze stron. Ta metoda uwierzytelniania cechuje się również skalowalnością. Przy „N” stronach biorących udział w połączeniu konieczne jest „N” uwierzytelnień i „N” certyfikatów.
11
VPN (ang. Virtual Private Network, Wirtualna Sieć Prywatna).
W zależności od konkretnego standardu (zbiory protokołów) wyróżniamy: 1) VPN oparty na protokole IPSec, a) sieci typu site-to-site łączące ze sobą w sposób bezpieczny dwie lub więcej sieci; „tunele” pomiędzy tymi sieciami najczęściej są zakończone na dedykowanych rozwiązanich sprzętowych, takich jak routery z funkcją VPN, firewalle lub koncentratory VPN; nie wymagają instalacji oprogramowania na komputerach; b) sieci typu remote-access lub client-to-site łączące w sposób bezpieczny pojedyncze komputery z sieciami; wymagają instalacji na komputerach specjalnego oprogramowania typu Klient; 2) oparte na protokole SSL, SSH – najczęściej typu remote-access, nie wymagają instalacji specjalnego oprogramowania na komputerze, przeznaczone dla mniej skomplikowanych rozwiązań i mniejszych sieci. 3) oparte na innych protokołach / technologiach, np. PPTP i L2TP (np. VPN stosowany w systemach Microsoft Windows).
12
Tunelowanie z pomocą SSH
SSH (ang. Secure SHell), stworzono w celu zapewnienia bezpieczeństwa podczas połączenia zdalnego z innym komputerem. Szyfrowana jest sesja, mechanizmy uwierzytelniania, a także dodatkowe możliwości w rodzaju bezpiecznego przesyłania plików, przekazywania sesji serwera X, przekazywania portów (ang. port forwarding) i inne. SSH potrafi użyć różnych form szyfrowania przy użyciu od 512 do bitowych i wspiera różne algorytmy. Oczywiście, im większa liczba bitów szyfrowania, dłużej generuje się i używa kluczy, a także dłużej trwa przekazywanie danych przez połączenie. SSH jest doskonałym zamiennikiem wielu nieszyfrowanych protokołów, takich jak Telnet, FTP, RSH.
13
Tunelowanie z pomocą SSH
SSH dostępny jest dla wielu systemów operacyjnych. Dla Widnows występuje w postaci popularnego programu PUTTY:
14
Tunelowanie z pomocą SSH
Z wykorzystaniem SSH można w łatwy sposób tworzyć szyfrowane tunele Aby zestawić tunel należy posiadać konto systemowe na serwerze UNIX/LINUX z możliwością zdalnego logowania.
15
Tunelowanie z pomocą SSH
Przykładowe możliwości tunelowania: 1) Tunel SSH pomiędzy lokalnym portem a portem zdalnym 110: ssh –L 11111: :110 2) Tunel dynamiczny z obsługą proxy socks: ssh –D 8080 Oraz wiele innych: zestawianie sekwencji tuneli, tunelowanie dla UDP…
16
Tunelowanie z pomocą SSH
Przykład: utworzenie proxy w Windows, w przypadku np. gdy zablokowany jest port 80 w naszej sieci (http).
17
Secure Socket Layer – skuteczne rozwiązanie „zastępcze” dla VPN dla niewielkich sieci
Opracowany pierwotnie przez Netscape. Powszechnie stosowany w przypadku aplikacji WWW. Uważany za protokół warstwy aplikacji. Ściśle można go uważać za dodatkową warstwę między warstwami aplikacji a transportową. Dane od warstwy aplikacji są szyfrowane i kierowane do gniazda TCP. SSL nie ogranicza się do aplikacji WWW. Można go stosować do innych aplikacji (np. poczta). Rys:
18
SSL obsługuje następujące funkcje:
Secure Socket Layer – skuteczne rozwiązanie „zastępcze” dla VPN dla niewielkich sieci SSL obsługuje następujące funkcje: Uwierzytelnianie serwera SSL (tożsamość weryfikowana na podstawie zaufanych certyfikatów (urzędów certyfikacji CA) Opcjonalne uwierzytelnianie klienta SSL (sprawdzanie tożsamości klienta za pomocą certyfikatówCA), stosowane rzadziej. Szyfrowana sesja SSL (informacje pomiędzy nadawcą i odbiorcą są szyfrowane za pomocą klucza asymetrycznego, uzgodnionego podczas fazy nawiązywania sesji).
19
Secure Socket Layer – skuteczne rozwiązanie „zastępcze” dla VPN dla niewielkich sieci SSL pozwala na większą precyzję w przydzielaniu praw zdalnego dostępu. Administratorzy sieci mogą zdefiniować zestaw reguł zdalnego dostępu opierających się na takich kryteriach, jak aplikacja, port TCP lub użytkownik. Zaletą jest, że SSL działa poprzez serwery proxy i routery z włączoną translacją adresów (NAT). SSL nie daje bezpośredniego dostępu do plików udostępnionych w sieci. SSL gorzej radzi sobie z obsługą wielu równoczesnych połączeń.
20
SSL VPN Istotną cechą SSL VPN jest to, że nie tworzy się otwartego tunelu do sieci firmowej. Polityka bezpieczeństwa jest wymuszana dla każdego połączenia, umożliwiając dostęp jedynie do określonych zasobów, w zależności od użytkownika, zdalnego urządzenia i jego lokalizacji. Podobnie jak w regułach stosowanych w zaporze ogniowej wszystko jest domyślnie zabronione, chyba że zostało wyraźnie udostępnione przez administratora.
21
SSL VPN
22
SSL VPN – rozwiązania darmowe
Program Stunnel (działa w systemach Unixowych) Pozwala stworzyć własne centrum certyfikacji CA i wygenerować certyfikaty dla serwera i klientów Pozwala tworzyć bezpieczne tunele np. dla pobierania poczty z POP3, dostępu do aplikacji bazodanowych wewnątrz LAN itp.
23
SSL VPN – rozwiązania darmowe
OpenVPN to działający w oparciu o protokół SSL program do zestawiania wirtualnych połączeń prywatnych. Umożliwia tworzenie zaszyfrowanych połączeń między hostami. Używa do tego celu biblioteki OpenSSL oraz protokołów SSLv3/TLSv1. Pakiet ten dostępny jest na platformach Linux, BSD, Mac OS X oraz Windows 2000/XP/Vista. Cały pakiet składa się z jednego kodu binarnego dla klienta i serwera, opcjonalnego pliku konfigurującego oraz z jednego lub więcej plików kluczy w zależności od metody uwierzytelnienia.
24
SSL VPN – OpenVPN Łatwa instalacja i konfiguracja
Działa w „warstwie użytkownika” Dostępny bezpłatnie Posiada wersję dla Windows Działa bez problemów za NAT-em Dynamicznie rozwijany Działa w oparciu o protokół TCP. Tuneluje jednak dane jako jednostki TCP lub UDP (zalecane aby uniknąć tzw. meltdown effect – kłopotów z tunelowaniem TCP w TCP)
25
SSL VPN – OpenVPN Działa w jednym z dwóch trybów:
Tryb routera, zalecany, używany w trybie brama<>brama lub brama<>użytkownicy Tryb mostu (ang. bridge) używany w przypadku łączenia dwóch lub więcej sieci. W tym przypadku pomiędzy sieciami przekazywany jest cały ruch, łącznie z broadcastami.
26
SSL VPN – OpenVPN Dwie możliwości uwieżytelniania:
Przez współdzielony, stały klucz. Przez certyfikaty (SSL X.509, jak w przypadku programu stunel). Można wystawiać certyfikaty dla użytkowników na stałe lub tylko na określony czas oraz unieważniać je.
27
SSL VPN – OpenVPN Proces wdrożenia OpenVPN obejmuje:
Utworzenie urzędu certyfikatów CA Wygenerowanie certyfikatów dla serwera (na podstawie klucza prywatnego CA) Wygenerowanie certyfikatów i kluczy dla klientów Skonfigurowanie dodatkowych opcji kryptograficznych na serwerze dotyczących sesji (szyfrowanej kluczem symetrycznym) Uruchomienie serwera OpenVPN Konfiguracja klientów (najczęściej użytkownicy Windows) Korzystając z biblioteki OpenSSH
28
SSL VPN – OpenVPN Przykładowa konfiguracja klienta:
1) Umieszczenie na komputerze klienta klucza prywatnego oraz certyfikatu urzędu CA (rozsz. .pem) 2) Przygotowanie pliku konfiguracyjnego np. client.ovpn np.: dev tun #interfejs typu router client # tryb kliebta remote ,12 #adres serwera proto udp #protokół transportowy port #port na serwerze nobind #nie otwieraj portu u klienta ca cacert.pem #plik certyfikatu CA key user.key #klucz prywatny użytkownika Comp –lzo #rodzaj stosowanej kompresji verb 3 #rodzaj komunikatów
29
SSL VPN – OpenVPN Przykładowa konfiguracja klienta cd.:
3) Instalacja programu OpenVPN-GUI 4) Wybranie opcji CONNECT w menu kontekstowym pliku konfiguracyjnego 5) Wpisanie hasła klucza prywatnego
30
SSL VPN – OpenVPN Przykładowa konfiguracja klienta cd.:
6) Weryfikacja poprawności połączenia
31
SSL VPN – OpenVPN Dodatkowe zabezpieczenia można zrealizować określając dokładnie dostęp dla użytkowników na firewallu (w tym celu każdy użytkownik zdalny powinien mieć przydzielany zawsze tan sam IP). Działaność administratora obejmuje także monitorowanie (przeglądanie zdarzeń – logowań do sieci) oraz zarządzanie użytkownikami (szczególni certyfikatami).
32
SSL VPN – OpenVPN Należy pamiętać, że OpenVPN podobnie jak inne rozwiązania SSL zapewniają tunelowanie na poziomie warstwy transportowej. Ze względu na to mogą wystapić prblemy np. w działania serwera DHCP (w trybie routera). OpenVPN może być także stosowany w systemach Windows Mobile (PDA).
33
SSL VPN Dla rozwiązań SSL VPN pojawiły się ostatnio także „wtyczki” (Active-X, Java) do przeglądarek internetowych, zamiast instalowania specjalnym programów-klientów. Po pobraniu wtyczki i uwierzytelnieniu przeglądarka obsługuje nie tylko ruch TCP, ale też FTP czy VoIP przez bezpieczny tunel transmisyjny.
34
SSL VPN (rozwiązania komercyjne sprzętowe)
Check Point Connectra Zapewnia bezpieczny dostęp poprzez tunele SSL zarówno do usług http, jak i aplikacji TCP/IP. Umożliwia szybką i łatwą implementację wirtualnej sieci prywatnej w już istniejącej infrastrukturze sieciowej.
35
SSL VPN (rozwiązania komercyjne sprzętowe)
Nortel VPN Gateway 3050 Dodawanie nowych użytkowników:
36
SSL VPN (rozwiązania komercyjne sprzętowe)
Juniper Networks NetScreen-SA 5000
37
SSL VPN (rozwiązania komercyjne sprzętowe)
Ocena rozwiązań sprzętowych SSL VPN Uwaga: Dane z roku 2006 !!!
38
Protokół PPTP (RFC 2637) Point to Point Tunneling Protocol (w skrócie PPTP) to protokół komunikacyjny umożliwiający tworzenie wirtualnych sieci prywatnych wykorzystujących technologię tunelowania. Jest rozszerzeniem protokołu PPP. Ma zapewnić jednocześnie zachowanie bezpieczeństwa przy zdalnym przesyłaniu danych. Inicjalizacja połączenia wykonywana jest na port 1723. Ponieważ PPP funkcjonuje w warstwie drugiej, to połączenie PPTP, umożliwiające kapsułkowanie pakietów PPP, pozwala użytkownikom wysyłać nie tylko pakiety IP, ale także IPX i NetBEUI (NetBIOS Extended User Interface) Najbardziej rozpowszechniona i jednocześnie zawierająca najwięcej podatności implementacja protokołu PPTP została opracowana przez firmę Microsoft. Protokół PPTP stanowi standardowe wyposażenie systemu operacyjnego Windows od wersji 98 i NT. Od momentu powstania protokół PPTP, w implementacji firmy Microsoft, był wielokrotnie łamany i jego stosowanie w poważnych zastosowaniach nie gwarantuje odpowiedniego poziomu bezpieczeństwa przesyłanych danych. W celu zapewnienia kompatybilności z popularnymi systemami Windows konfiguracja serwera PPTP możliwa jest również w innych systemach operacyjnych. Przykładem może być PoPToP dedykowany systemom Linux, OpenBSD oraz FreeBSD.
39
Protokół L2TP L2TP (Layer 2 Tunnelling Protocol) powstał w wyniku współpracy firm Cisco i Microsoft, łącząc funkcje protokołów PPTP i L2F (Layer 2 Forwarding). Ten drugi został opracowany wcześniej przez Cisco. L2TP działa w warstwie łącza danych modelu OSI. Klient L2TP jest wbudowany w Windows 2000/XP/ Server 2003, ale do starszych wersji systemu można pobrać odpowiednie oprogramowanie. L2TP ma kilka przewag nad PPTP, który zapewnia poufność danych, ale L2TP idzie dalej i sprawdza także spójność danych oraz zapewnia autoryzację ich pochodzenia. Jednak dodatkowe informacje przesyłane w pakietach, potrzebne do działania tych funkcji mogą mieć mniejszą wydajność niż PPTP.
40
IPSec (RFC 2041, 2402, 2406) IP Security Protocol - zbiór protokołów realizujących funkcje uwierzytelniania i szyfrowania w celu ochrony przed nieautoryzowanym przejęciem danych, przesyłanych niezabezpieczoną siecią. Założeniem było zapewnienie integralności (poprzez „skróty”) i poufności (szyfrowanie) danych przesyłanych przez IP niezależnie od protokołów warstw wyższych. IPSec działa w trzeciej warstwie TCP/IP - sieciowej.
41
IPSec Wiele sprzętowych rozwiązań VPN używa implementacji IPSec.
IPSec obejmuje protokół transportowy ESP i AH. Autoryzacja odbywa się z wykorzystaniem protokołu IKE (Internet Key Exchange, RFC 2409, domyślny protokół zarządzania kluczami w IPSec) z cyfrowymi certyfikatami lub współużytkowanymi kluczami. Tworzenie i usuwanie tzw. skojarzeń realizuje protokół ISAKM (Internet Security Association and Key Management Protokol). Klienty IPSec często umożliwiają administratorom określenie, jakie oprogramowanie ochronne jest zainstalowane w komputerze (np. antywirus), zanim IPSec zezwoli na nawiązanie połączenia. IPSec nie jest korzystny dla użytkowników mobilnych - koszt instalacji oprogramowania, konfiguracji administrowania może być znaczny.
42
Dwie podstawowe konfiguracje:
IPSec Dwie podstawowe konfiguracje: 1) Zdalny dostęp - umożliwia zdalny i bezpieczny dostęp klientów do centralnie umieszczonych zasobów sieci przez bramę VPN. Wymaga przeważnie klienta programowego, zainstalowanego na komputerze. 2) Połączenie punkt-punkt - konfiguracja wykorzystywana w przypadku dwóch bram IPSec, łączących sieci znajdujące się w różnych geograficznie lokalizacjach.
43
IPSec Dwa podstawowe protokoły: AH i ESP
AH – Authentication Header – zapewnia integralność danych (jest obecnie zastępowany przez ESP). Nagłówek AH zawiera m.in. Podpis cyfrowy wiadomości oraz numer sekwencji. ESP – Encapsulated Security Payload – zapewnia poufność i integralność danych. Obejmuje podpis cyfrowy, numer sekwencyjny oraz całkowite szyfrowanie orginalnego datagramu IP (wstawiany jest jako pole danych do nowego datagramu IP wraz z nagłówiem ESP.)
44
IPSec Przed komunikacją strony nawiązują połączenie w warstwie sieci (tzw. skojarzenie bezpieczeństwa SA. Obejmuje: Identyfikator protokołu bezpieczeństwa AH lub ESP; Źródłowy i docelowy adres IP połączenia; 32bitowy identyfikator połączenia. Dla potrzeb komunikacji dwustronnej tworzy się dwa kanały, po jednym w każdym kierunku.
45
IPSec Konfiguracja i uruchomienie jest dość złożone. W większości przypadków wymagają na serwerze kompilacji jądra systemu (Linux) z funkcjami IPSec. Po kompilacji należy skonfigurować i uruchomić kilka programów (demon) obsługujących wymianę kluczy i zestawianie połączeń. Programy te zawiera jedna z implementacji, np. OpenSWAN. Obsługa klientów posiadających Windows wymaga dodatkowo instalacji serwera L2TP dla obsługi odpowiedniej enkapsulacji. Problematyczna obsługa hostów za NAT-em (szyfrowany jest cały pakiet, a więc nie można podmienić adresu źródłowego). Istnieją jednak pewne rozwiązania IPSec, które umożliwiają wykorzystanie NAT.
47
VPN w systemie Windows Oparte o PPTP (Point-to-Point Tunneling Protocol) i L2TP (Layer Two Tunneling Protocol); Zgodne z IPSec;
48
Konfiguracja klienta VPN w systemie Windows XP
Najprostsze rozwiązanie:
49
Konfiguracja klienta VPN w systemie Windows XP
50
Konfiguracja klienta VPN w systemie Windows XP
51
Konfiguracja klienta VPN w systemie Windows XP
52
Konfiguracja klienta VPN w systemie Windows XP
53
Konfiguracja klienta VPN w systemie Windows XP
54
Konfiguracja klienta VPN w systemie Windows XP
55
Konfiguracja klienta VPN w systemie Windows XP
56
Konfiguracja klienta VPN w systemie Windows XP
57
Konfiguracja klienta VPN w systemie Windows XP
58
Konfiguracja klienta VPN w systemie Windows
Klient Windows obsługuje także połączenie zgodne z IPSec:
59
Konfiguracja klienta VPN w systemie Windows XP
Specyfika tych połączeń VPN jest taka, że cały ruch internetowy trafia do sieci z którą nawiązaliśmy połączenie (jest „przepychana” przez kanał VPN. Rozwiązaniem tego problemu jest technika „split tunelling” czyli możliwość przesyłania przez tunel VPN jedynie tego ruchu, który adresowany jest bezpośrednio do sieci firmowej. Cała reszta przesyłana jest istniejącym łączem internetowym klienta z pominięciem VPN. Administrator sieci podejmuje decyzje o udostępnieniu (lub nie) połączeń typu „split tunelling”. Administrator, udostępniający zdalnym użytkownikom VPN za pośrednictwem Internetu, musi również podjąć decyzję, czy zostanie wykorzystana funkcja Split Tunneling. Jeśli jest ona wyłączona, to wszystkie pakiety sieciowe generowane przez komputer zdalnego użytkownika lub zdalną sieć, bez względu na to, czy są adresowane do innych komputerów w firmie czy znajdujących się poza nią, będą kierowane do firmowego serwera VPN. W przypadku wykorzystania trybu Split Tunneling zdalny użytkownik może równocześnie korzystać za pośrednictwem tego samego łącza zarówno z dostępu do firmy poprzez kanał VPN, jak i bezpośredniego dostępu do Internetu. Rozwiązanie to wiąże się z obniżeniem poziomu bezpieczeństwa. W tej sytuacji należy zainstalować na komputerach użytkowników bądź na granicy zdalnej sieci dodatkowe oprogramowanie firewall.
60
Konfiguracja serwera VPN w systemie Windows
Wersje Windows Serwer posiadają oprogramowanie pozwalające na stosowanie ich jako serwerów z dostępem przez VPN.
61
Konfiguracja serwera VPN w systemie Windows
Dodawanie użytkownika oprogramowanie firewall.
62
MPLS
63
MPLS MPLS (ang. Multi-Protocol Label Switching) został opracowany pod koniec lat 90-tych. Technika MPLS dodaje do IP wiele nowych funkcji. Jest to odpowiedz na rosnące zapotrzebowanie na zwiększenie szybkości przetwarzania pakietów, oferowanie różnych poziomów jakości obsługi QoS (Quality of Service) oraz budowę rozległych połączeń typu VPN. Technika MPLS współpracuje z tradycyjna siecią IP przyśpieszając przetwarzanie datagramów oraz umożliwiając odpowiednie zarządzanie ruchem Technika ta jest obecnie coraz częściej używana (nie tylko w sieciach szkieletowych) znacznie upraszcza proces zarządzania i sterowania siecią oraz zmniejsza koszty utrzymania sieci. Podstawowa idea techniki MPLS jest komutowanie pakietów na podstawie 20-bitowej etykiety dołączanej do pakietu IP.
64
Idea przełączania pakietów w MPLS
65
MPLS MPLS stanowi doskonałą bazę do tworzenia szybkich, izolowanych kanałów VPN z gwarantowanymi parametrami QoS.
66
Podsumowanie VPN – brak jednoznacznego określenia, brak jednego konkretnego produktu. Pojawiają się nowe rozwiązania technologiczne. Rozwiązania powinny odzwierciedlać potrzeby firmy. Połączenia VPN w dużym stopniu obciążają procesor, a większość routerów szerokopasmowych jest wyposażona w procesory o małej wydajności. Przy szybkim połączeniy szerokopasmowym większość urządzeń ma maksymalną przepustowość VPN w okolicach 600 Kb/s.
67
Podsumowanie Dla zainteresowanych:
Strona poświęcona bezpieczeństwu sieci i VPN:
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.