ВУЗ:
Составители:
Рубрика:
2.3. ТИПЫ СЕТЕЙ VPN
Есть два способа построения VPN второго уровня. Это
NAS
-
инициируемая VPN
и
инициируемая
клиентом VPN
. В обеих схемах VPN клиент инициирует удалённый вызов к провайдеру услуг связи по
телефонной линии. Главное различие систем заключается в протяжённости туннеля.
Инициируемая сервером доступа VPN. В NAS-инициируемой VPN клиент начинает сессию с
сервером доступа провайдера. В этом случае пользователю присваивается IР-адрес, который не зависит
от его IР-адреса в локальной сети. За туннелирование пакетов через Internet к сервер VPN отвечает NAS.
Эту схему взаимодействия иногда называют
принудительной
VPN, поскольку клиент не участвует в
её создании и при её использовании подчиняется принятым правилам. Криптографирование данных
осуществляется между серверами NAS и VPN и двумя функциональными единицами, образующими
концы туннеля. Принудительная схема VPN формируется без согласования с пользователем. Это озна-
чает, что для клиента VPN является прозрачной средой. Преимущество NAS-образуемой VPN состоит в
том, что схема поддерживает многоканальный режим обслуживания, а это сокращает расходы, связан-
ные с формированием отдельной VPN для каждого соединения. Однако подключение клиента к NAS
происходит вне границ туннеля. Это делает VPN уязвимой для атак.
Схема NAS-образуемой VPN с применением протокола L2ТР представлена на рис. 2.15. Данную
модель можно рассматривать и как VPN, использующую внешние ресурсы, в которой запросами на
удалённый доступ со стороны корпорации управляет провайдер. Эта модель наиболее приемлема для
организаций, в которых подразделения информационного обеспечения не имеют оборудования, необ-
ходимого для управления VPN.
Рис. 2.15. NAS-инициируемая модель VPN с применением протокола L2TP
Инициируемая клиентом VPN. Характерной особенностью данной схемы является то, что в рас-
поряжении клиента имеется служба VPN и, следовательно, у него установлено программное обеспече-
ние для работы с ней. Клиент VPN осуществляет вызов по телефонной линии провайдера услуг для
формирования сессии РРР.
Используя соединение с Internet, абонент устанавливает соединение с сервером VPN. В данной мо-
дели туннель проходит от VPN-клиента к VPN-серверу. Сервер доступа к сети не участвует в образова-
нии туннеля. Инициируемую клиентом VPN обычно называют добровольной, поскольку сам клиент оп-
ределяет, где и когда сформировать эту службу. Значит, клиент сам отвечает за необходимое крипто-
графирование данных при обмене между своим конечным оборудованием и VPN-сервером.
VPN-сервер может находиться как у провайдера услуг, так и в корпоративной сети. Если сервер
VPN находится внутри сети провайдера, то содержимое туннеля доставляется в корпоративную сеть че-
рез ГВС, которую маршрутизатор корпорации использует для доступа к провайдеру. В качестве ГВС
может выступать сеть ретрансляции кадра либо ISDN. Если сервер VPN находится в корпоративной се-
ти, то туннель проходит непосредственно от клиента в корпоративную сеть. Варианты схемы клиент-
образуемой VPN с использованием протокола L2ТР представлены на рис. 2.16. В первом случае сервер
Страницы
- « первая
- ‹ предыдущая
- …
- 45
- 46
- 47
- 48
- 49
- …
- следующая ›
- последняя »
