ВУЗ:
Составители:
Рубрика:
VPN находится в сети провайдера, во втором – в корпоративной сети. Во втором варианте управление
виртуальной частной сетью осуществляется в основном клиентом.
Сравнение моделей VPN. Клиент-инициируемая модель позволяет удалённым пользователям, на
рабочем месте которых установлена программа клиент-VPN, использовать телефонную линию для
формирования туннеля в корпоративную сеть. При этом не требуется наличия у провайдера программ-
ного обеспечения для VPN, т.е. провайдер может не обеспечивать функции NAS.
Рис. 2.16. Инициируемая клиентом модель VPN с применением протокола L2TP
В NAS-инициируемой модели провайдер должен обеспечивать функции сервера NAS. В отличие от
NAS-инициируемой схемы инициируемая клиентом модель не привязывает сеть корпорации к какому-
либо одному провайдеру услуг. Это позволяет организации выбирать провайдера, не изменяя при этом
схемы адресации. Несанкционированный доступ в клиент-образуемую модель весьма затруднён. При
реализации данной модели компания может не передавать базу данных проверки подлинности клиентов
провайдеру услуг. Поскольку организация сама контролирует оба конца туннеля, она же и определяет тре-
бования к аутентификации пользователей для предотвращения несанкционированного доступа к информа-
ционным ресурсам. В NAS-инициируемой модели компания вынуждена предоставлять свою базу аутенти-
фикации провайдеру услуг. В этом случае у злоумышленника есть возможность проникнуть в сеть провай-
дера, воспользовавшись ошибочным опознанием.
NAS-инициируемые сети VPN позволяют клиентам поддерживать туннелирование данных, не при-
бегая к модернизации аппаратуры и к установке соответствующего программного обеспечения. Однако
в этой модели провайдер сам управляет распределением адресного пространства и аутентификацией.
Корпорации, возможно, понадобится реструктурировать схему распределения адресов, с тем, чтобы со-
гласовать её с разработанной провайдером схемой. К тому же необходимо информировать провайдера
обо всех изменениях, осуществляемых в корпоративной сети.
Протоколы VPN уровня 3, например IРSес, более приспособлены для NAS-образуемой модели, по-
скольку их разработка изначально предусматривала обеспечение защиты между маршрутизатором и
межсетевым экраном.
На практике функции NAS встраиваются в маршрутизатор, а функции сервера VPN передаются
межсетевому экрану. IРSес входит в состав протокола IРv6. Таким образом, если клиент VPN не ис-
пользует протокол IРv6, то экономически неоправданно дополнять программное обеспечение его ко-
в
Страницы
- « первая
- ‹ предыдущая
- …
- 46
- 47
- 48
- 49
- 50
- …
- следующая ›
- последняя »
