Βασικές Έννοιες

5.18 VPN (Virtual Private Network)

5.18.1 Εισαγωγή

Η εξάπλωση της δικτυωμένης οικονομίας έχει επιφέρει ουσιαστικές αλλαγές στον τρόπο λειτουργίας των επιχειρήσεων. Οι ομάδες εργασίας δεν ορίζονται πλέον τόσο από τον τόπο στον οποίο δουλεύουνε αλλά από την αποδοτικότητά τους στο έργο με το οποίο ασχολούνται. Ο ανταγωνισμός σε πολλές βιομηχανίες έχει οδηγήσει σε συμμαχίες και συνεταιρισμούς μεταξύ των επιχειρήσεων που όσο εκτεταμένες και αν είναι πάντα προβάλλονται ενιαία όταν έρχονται σε συναλλαγές με τους πελάτες τους. Αυτές οι εξελίξεις έχουν μεν αυξήσει την παραγωγικότητα και την κερδοφορία πολλών επιχειρήσεων,έχουν όμως ταυτόχρονα δημιουργήσει νέες απαιτήσεις για τις επιχειρήσεις αυτές. Ένα δίκτυο που επικεντρώνεται στο να συνδέει απλά σταθερά σημεία των συνεργαζόμενων επιχειρήσεων δεν είναι πλέον εφικτό για πολλές επιχειρήσεις. Οι απομακρυσμένοι χρήστες του δικτύου των επιχειρήσεων,όπως οι τηλε-εργαζόμενοι ή "μαχητές του δρόμου" και άλλοι εξωτερικοί συνεργάτες απαιτούν πλέον πρόσβαση στους πόρους του δικτύου της επιχείρησης. Το κλασικό WAN πρέπει λοιπόν να επεκταθεί ώστε να συμπεριλάβει και αυτού του τύπου τους εργαζόμενους. Συνεπώς ,πολλές επιχειρήσεις στρέφονται προς τα δίκτυα VPN για να συμπληρώσουν την υπάρχουσα WAN υποδομή τους.

Σύμφωνα με το Gartner Group,μια εταιρία έρευνας και υποστήριξης δικτύων,μέχρι το έτος 2003 περίπου το 100% των επιχειρήσεων θα συμπληρώσουν την υποδομή των WAN τους με VPNs. Από την οπτική γωνιά της αρχιτεκτονικής του δικτύου το κίνητρο είναι προφανές—τα VPN μπορούν να ανταποκριθούν καλύτερα στις σημερινές ποικίλες ανάγκες σύνδεσης. Τα πλεονεκτήματα των VPN είναι ορατά και στη τελική ανάλυση. Τα VPN είναι λιγότερο δαπανηρά στη λειτουργία τους από τα ιδιωτικά δίκτυα από άποψη διαχείρισης,εύρους ζώνης και κεφαλαίου. Κατά συνέπεια ο χρόνος απόσβεσης ενός VPN μετράται συνήθως σε μήνες αντί σε χρόνια. Ίσως ,το πιο σημαντικό πλεονέκτημα από όλα να είναι το ότι τα VPN επιτρέπουν στις επιχειρήσεις να επικεντρωθούν στο αντικείμενο ενασχόλησής τους και όχι στο πώς να κρατήσουν το δίκτυό τους ζωντανό και αποδοτικό.

5.18.2 Τι είναι τα VPN

Έχει αναπτυχθεί μία αρκετά μεγάλη φιλολογία γύρω από το τι είναι τα VPN , ποιά η λειτουργία τους και ποία η θέση τους στην αρχιτεκτονική των δικτύων. Για να το θέσουμε απλά το VPN είναι ένα δίκτυο επιχείρησης ανεπτυγμένο σε μία διανεμημένη υποδομή και έχει την ίδια ασφάλεια,διαχείριση και υφίσταται την ίδια πολιτική σε όλο το μήκος του σαν να επρόκειτο για ιδιωτικό δίκτυο. Τα VPN είναι μία εναλλακτική λύση της υποδομής που παρέχουν τα WAN και που αντικαθιστούν ή επαυξάνουν τα υπάρχοντα ιδιωτικά δίκτυα που χρησιμοποιούν μισθωμένες γραμμές ή Frame Relay/ATM δίκτυα που ανήκουν στην επιχείρηση. Τα VPN δεν έχουν άλλες απαιτήσεις από αυτές των WAN όπως υποστήριξη πολλαπλών πρωτοκόλλων,υψηλή αξιοπιστία και εκτεταμένη διαβάθμιση,απλά ικανοποιούν αυτές τις απαιτήσεις λιγότερο δαπανηρά. Ένα VPN μπορεί να αξιοποιήσει τις πιο γνωστές τεχνολογίες μεταφοράς που υπάρχουν σήμερα : το δημόσιο Internet, IP backbones διαφόρων παροχέων υπηρεσιών όπως επίσης και τα Frame Relay και ATM δίκτυά τους. Η λειτουργικότητα του VPN καθορίζεται κυρίως από τον εξοπλισμό που είναι ανεπτυγμένος στο δίκτυο και την ολοκλήρωση των χαρακτηριστικών του WAN και όχι από το πρωτόκολλο μεταφοράς που αυτό χρησιμοποιεί.

 

Τα VPN χωρίζονται σε τρεις κατηγορίες: απομακρυσμένης πρόσβασης ,intranets και extranets.

Τα remote access VPNs συνδέουν τηλεργαζόμενους, κινούμενους χρήστες ή ακόμα και μικρότερα απομακρυσμένα γραφεία με περιορισμένη κίνηση από και προς το WAN της επιχείρησης και των συλλογικών υπολογιστικών της πόρων.

Τα intranet VPNs συνδέουν σταθερά σημεία , παρακλάδια και γραφεία σπιτιών με το WAN της επιχείρησης.

Τα extranet VPNs επεκτείνουν την περιορισμένη πρόσβαση στους υπολογιστικούς πόρους της επιχείρησης στους διαφόρους συνεργάτες της που μπορεί να είναι προμηθευτές ή πελάτες επιτρέποντας πρόσβαση σε διαμοιράσιμη πληροφορία.

Κάθε τύπος VPN έχει διαφορετικά θέματα ασφάλειας και ποιότητας παρεχόμενων υπηρεσιών να αντιμετωπίσει.

5.18.3 Λόγοι Επιλογής των VPN από Επιχειρήσεις

Τα VPN προσφέρουν πολλά πλεονεκτήματα σε σχέση με τα παλιά – παραδοσιακά δίκτυα μισθωμένων γραμμών.Μερικά από αυτά είναι :

5.18.4 Συστατικά Μέρη των VPN

Οι VPN λύσεις ορίζονται από το εύρος των προσφερόμενων χαρακτηριστικών. Μία VPN πλατφόρμα πρέπει να είναι ασφαλής από εισβολή και λαθροχειρία,να μπορεί να παραδίδει κρίσιμα δεδομένα στο χρόνο που πρέπει και με αξιοπιστία και να είναι διαχειρίσιμο από κάθε σημείο της επιχείρησης.Αν κάποια από τις παραπάνω απαιτήσεις δεν εφαρμόζεται στην πράξη,η VPN λύση δεν είναι ολοκληρωμένη.

Τα ουσιαστικά στοιχεία ενός VPN μπορούν να χωριστούν σε πέντε αρκετά ανοιχτές κατηγορίες:

Αυτά τα πέντε συστατικά μέρη κλειδιά δίδονται από τη Cisco στο πλαίσιο του χαρακτηριστικού της διαβάθμισης των ανοιχτών συστημάτων παρέχοντας δυνατότητες από άκρη-σε-άκρη.

Η ικανοποίηση αυτών των απαιτήσεων δεν συνιστά απαραίτητα την αντικατάσταση μιας υπάρχουσας δικτυακής υποδομής WAN. Οι VPN λύσεις της Cisco επαυξάνουν τις υπάρχουσες δικτυακές υποδομές και τους δίνουν επιπλέον ασφάλεια , αξιοπιστία και δυνατότητα διαχείρισης – χαρακτηριστικά υπαρκτά σε ένα VPN περιβάλλον. Οι δρομολογητές της Cisco είναι "VPN-capable" δηλαδή έτοιμοι να υποστηρίξουν VPN λύσεις μέσα από το Cisco IOS. Σε μερικές περιπτώσεις τοπολογιών WAN όπου το ζητούμενο είναι υψηλή απόδοση κρυπτογράφησης και ασφάλειας συνίσταται η χρήση των "VPN-optimized" δρομολογητών,οι οποίοι προσφέρουν επιπλέον ασφάλεια μέσο καθαρά μηχανισμών hardware. Η εφαρμογή VPN λύσεων σε κάθε σύνολο από VPN routers δίνει τη δυνατότητα εύρωστης ανάπτυξης του VPN δικτύου μέσα από τις υπάρχουσες δικτυακές υποδομές χωρίς να υπάρχει η ανάγκη επενδύσεων σε νέες δομές από μέρους της επιχείρησης.

5.18.5 Ασφάλεια και Μηχανισμοί: Προστατεύοντας το Δίκτυο

Η ανάπτυξη των WAN σε ένα διαμοιρασμένο δίκτυο θέτει σοβαρά ζητήματα για την ασφάλειά του. Οι διάφορες επιχειρήσεις θέλουν να είναι σίγουρες για την ασφάλεια που τους παρέχει το VPN δίκτυό τους απέναντι σε εισβολείς που παρακολουθούν ή αλλοιώνουν κρίσιμα για την εταιρία δεδομένα που μετακινούνται στο δίκτυο και από χρήστες που κερδίζουν , παράνομα,πρόσβαση στους πόρους του δικτύου της εταιρίας. Η κρυπτογράφηση,η πιστοποίηση και ο έλεγχος πρόσβασης είναι οι διαδικασίες που διασφαλίζουν αυτές τις απαιτήσεις. Τα συστατικά στοιχεία—κλειδιά της ασφάλειας ενός VPN δικτύου είναι:

Αυτοί οι μηχανισμοί αλληλοσυμπληρώνονται παρέχοντας ασφάλεια σε διαφορετικά σημεία του δικτύου. Κάθε VPN λύση πρέπει να τους εφαρμόζει στην πράξη για να είναι βιώσιμη και αξιόπιστη.

Τούνελ και Κρυπτογράφηση

Τα VPN εφαρμόζουν την τεχνική των κρυπτογραφημένων τούνελ για να προστατέψουν τα δεδομένα από το να αλλοιωθούν και να παρακολουθηθούν από παράνομες οντότητες και για να πραγματοποιήσουν,εάν είναι αναγκαίο,ενθυλάκωση πολλαπλών πρωτοκόλλων. Τα Τούνελ παρέχουν λογική από άκρη-σε-άκρη σύνδεση σε ένα δίκτυο IP χωρίς μόνιμες συνδέσεις δίνοντας τη δυνατότητα εφαρμογής ανεπτυγμένων χαρακτηριστικών ασφάλειας σε ένα τέτοιο περιβάλλον. Η Κρυπτογράφηση εφαρμόζεται στη σύνδεση με τη διαδικασία των τούνελ με σκοπό το μπέρδεμα των δεδομένων κάνοντάς τα έτσι επεξεργάσιμα μόνο σε αυτούς για τους οποίους προορίζονται και από αυτούς που έχουν το δικαίωμα να τα στείλουν. Σε εφαρμογές όπου η ασφάλεια έρχεται σε δεύτερο λόγο,μπορεί να γίνει εφαρμογή της μεθόδου των τούνελ χωρίς τη χρήση κρυπτογράφησης για την παροχή υποστήριξης πολλαπλών πρωτοκόλλων χωρίς εξασφάλιση του απόρρητου. Τα VPN δίκτυα της Cisco χρησιμοποιούν την IPSec, δευτέρου επιπέδου πρωτόκολλο τουνελοποίησης (L2TP) το επίσης δευτέρου επιπέδου πρωτόκολλο προώθησης (L2F),το (GRE) πρωτόκολλο γενικής ενθυλάκωσης με υποστήριξη για τούνελ και τέλος τις πιο ισχυρές τεχνολογίες κρυπτογράφησης—DES και 3DES.Επιπλέον τα Cisco VPN χρησιμοποιούν μεγάλους διανομείς ηλεκτρονικών πιστοποιητικών όπως VeriSign, Entrust και Netscape για τη διαχείριση της ασφάλειας/κρυπτογράφησης.

Πιστοποίηση Πακέτων

Μεγάλη σημασία για την ασφάλεια της δικτυακά διακινούμενης πληροφορίας έχει η ακεραιότητά της. Σε ένα ανασφαλές δίκτυο,τα πακέτα μπορεί να υποκλαπούν ,να αλλοιωθούν τα δεδομένα τους και να επαναπροωθηθούν στον προορισμό τους με τη λανθασμένη πληροφορία. Για παράδειγμα μία παραγγελία σε ένα προμηθευτή μπορεί να αλλάξει από 1000 σε 100. Η προστασία που παρέχει η πιστοποίηση των πακέτων απέναντι σε αυτού του είδους τα προβλήματα είναι η επικόλληση επικεφαλίδων στα IP πακέτα για την εξασφάλιση της ακεραιότητάς τους. Συστατικά μέρη της IPSec όπως η επικεφαλίδα πιστoποίησης(Authentication Header-AH) και το πρωτόκολλο ασφάλειας ενθυλάκωσης(Encapsulation Security Protocol-ESP) χρησιμοποιούνται σε συνεργασία με αλγόριθμους όπως o MD5 και ο SHA(Secure Hash Algorithm), παραγωγής συναρτήσεων ενός δρόμου(hash functions),για να διασφαλίσουν την ακεραιότητα των δεδομένων των IP πακέτων σε ένα κοινό IP backbone.

Firewalls και Ανίχνευση Εισβολών, Καταγραφή Δεδομένων Ασφάλειας και Πιστοποίηση Χρηστών

Τα VPN χρησιμοποιούν τους Firewalls της Cisco(IOS Firewall και PIX), το σύστημα NetRanger για ανίχνευση εισβολών,το σύστημα NetSonar για καταγραφή δεδομένων ασφάλειας και ανίχνευση πιθανών ελλείψεων σε αυτήν, και τα συστήματα RADIUS και TACACS+ για πιστοποίηση χρηστών. Για όλα αυτά τα συστήματα υπάρχουν ειδικά κεφάλαια όπου αναλύονται διεξοδικά οι δυνατότητές τους και τα χαρακτηριστικά λειτουργίας τους.

5.18.6 Υπηρεσίες VPN

Διαχείριση της Δρομολόγησης και της Διασύνδεσης

Ένα ουσιώδες μέρος των χαρακτηριστικών λειτουργίας των VPN είναι η όσο το δυνατόν αποδοτικότερη χρήση του πολυτίμου εύρους ζώνης των WAN και η αξιόπιστη διασύνδεση κρίσιμων δεδομένων κατά την παροχή παραδοσιακών υπηρεσιών δρομολόγησης. Η φύση της δικτυακής κίνησης είναι τέτοια που δημιουργεί συμφορήσεις στο δίκτυο και κάνει κακή χρήση του διαθέσιμου εύρους ζώνης. Το τι αποκομίζουμε από αυτή τη κατάσταση είναι προφανές:οι διασυνδέσεις WAN υπολειτουργούν την ίδια στιγμή που η συμφόρηση του δικτύου,ιδιαίτερα τις ώρες αιχμής ,περιορίζει τη διακίνηση σημαντικών πληροφοριών.

Για τους παραπάνω λόγους αναπτύχθηκε και εφαρμόζεται η έννοια της ποιότητας των παρεχόμενων υπηρεσιών (Quality of Service-QoS). To QoS καθορίζει την ικανότητα του δικτύου να κατανέμει τους πόρους του συστήματος με σειρά προτεραιότητας σε κρίσιμες ή ευαίσθητες στην καθυστέρηση πληροφορίες και να ελαχιστοποιεί τους πόρους που προορίζονται για χρήση από μικρής προτεραιότητας πληροφορία. Το QoS θέτει δύο βασικές απαιτήσεις στις εφαρμογές που τρέχουν στα VPN:

    1. Προβλέψιμη Απόδοση
    2. Εφαρμογή Πολιτικής.Πολιτικές καθορίζονται για την κατανομή δικτυακών πόρων σε συγκεκριμένους χρήστες ,εφαρμογές και project groups ή σε servers με υψηλό βαθμό προτεραιότητας.Τα συστατικά μέρη του QoS όπως αυτά εφαρμόζονται στα επίπεδα 2 και 3 των VPN είναι:

Αυτοί οι μηχανισμοί του QoS αλληλοσυμπληρώνονται δουλεύοντας παράλληλα σε διαφορετικά σημεία του VPN και παράγοντας μία ολοκληρωμένη απ' άκρη-σ' άκρη QoS πρόταση.Το QoS πρέπει να εφαρμόζεται σε όλα τα μέρη των VPN για να είναι αποτελεσματικό διότι η αποσπασματική χρήση του δεν είναι ικανή να διασφαλίσει απόλυτα προβλέψιμα επίπεδα απόδοσης.Η απόδοση του δικτύου μπορεί να μετρηθεί με το Cisco Response Time Reporter (RTR),ένα χαρακτηριστικό παρακολούθησης του δικτύου από το Cisco IOS.Το RTR μετράει το χρόνο λειτουργίας του δικτύου,την καθυστέρηση και άλλα χαρακτηριστικά που βοηθούν στον καθορισμό πολιτικής και έλεγχο της εφαρμογής της.

Εκτός από τα πλεονεκτήματα της διαχείρισης του εύρους ζώνης, η Cisco αναγνώρισε και τη σπουδαιότητα της παροχής VPN υπηρεσιών δρομολόγησης που να συμπληρώνουν τους μηχανισμούς του QoS και παράλληλα να ενσωματώνονται στις ήδη υπάρχουσες. Δίδεται υποστήριξη στα πρωτόκολλα δρομολόγησης EIGRP και OSFP. Με αυτό το τρόπο παρέχεται η καλύτερη δυνατή μετανάστευση σε VPN υποδομές που παρέχουν σωστές υπηρεσίες QoS χωρίς να ενοχλείται η υπάρχουσα υποδομή.

Διαχείριση Δικτύου: Λειτουργώντας το VPN

Τα VPN περιλαμβάνουν πολλές υπηρεσίες ασφάλειας και QoS επιπρόσθετα αυτών των δικτυακών συσκευών.Οι επιχειρήσεις πρέπει να είναι σε θέση να διαχειρίζονται την VPN υποδομή συμπεριλαμβανομένων και των απομακρυσμένων χρηστών και των extranets. Λαμβάνοντας υπόψη όλα αυτά καταλαβαίνουμε τη σημασία της σωστής διαχείρισης των VPN. Ωστόσο μία VPN WAN αρχιτεκτονική είναι αρκετά ευέλικτη στη διαχείριση της και αντίθετα με οποιαδήποτε άλλη αρχιτεκτονική ιδιωτικού δικτύου προσφέρει τη δυνατότητα στις επιχειρήσεις να καθορίσουν το βαθμό του ελέγχου που θέλουν να έχουν πάνω στο δίκτυο οι ίδιες και να επιλέξουν λιγότερο ευαίσθητες υπηρεσίες που θα τις προωθήσουν σε παροχείς υπηρεσιών για να τις συντηρούν.

Πολλές επιχειρήσεις επιλέγουν την καθημερινή παρακολούθηση του VPN τους έχοντας έτσι την ανάγκη ενός συστήματος διαχείρισης και χάραξης πολιτικής.Ένα τέτοιο σύστημα επεκτείνει το υπάρχον πλαίσιο έτσι ώστε αυτό να συμπεριλάβει WAN κανόνες διαχείρισης. Η Cisco έχει αναπτύξει εργαλεία διαχείρισης συσκευών,υπηρεσιών και πολιτικών σε όλο το μήκος του VPN.

Όπως το WAN επεκτείνεται με τη τεχνολογία VPN ένα συγκεκριμένο πλαίσιο απαιτήσεων πρέπει να ικανοποιείται για να είναι επιτυχής η αποστολή του διαχειριστή του συστήματος. Αυτό είναι:

Η Cisco βοηθάει στην ικανοποίηση αυτών των απαιτήσεων μέσα από μία διαδικασία τριών βημάτων:κλιμακωτή διαχείριση συσκευών,υποστήριξη υβριδικών συστημάτων και αναβάθμιση των δικτύων που έχουν σαν βάση πλατφόρμες της Cisco.

  1. Kλιμακωτή Διαχείριση Συσκευών
  2. Εργαλεία που επιτρέπουν τη διαχείριση μιας συσκευής κάθε φορά δεν δίνουν τη δυνατότητα στους διαχειριστές να εφαρμόσουν πολιτική ευρείας κλίμακας όπως απαιτείται από τις επιχειρήσεις. Το δίκτυο πρέπει να διαχειρίζεται από κάποια πολιτική,ενιαία και όχι σαν μεμονωμένες συσκευές. Έτσι είναι δυνατή η διαχείριση των πόρων του δικτύου μαζικά.

  3. Υποστήριξη Υβριδικών Δικτυακών Αρχιτεκτονικών
  4. Σε ένα υβριδικό περιβάλλον λειτουργίας η διαχείριση του VPN θα πρέπει να γίνεται μέσα στην υπάρχουσα διαχειριστική αρχιτεκτονική. Τα διάφορα εργαλεία θα πρέπει να προσαρμοστούν και στις ανάγκες του VPN για να υπάρχει ομοιόμορφη διαχείριση.

  5. Οι παροχείς υπηρεσιών που χρησιμοποιούν τεχνολογία Cisco για παροχή VPN λύσεων,χρησιμοποιούν το Cisco Service Management (CSM) για να πραγματοποιήσουν τις εργασίες τους. Σαν μέρος του CSM έρχεται και η δυνατότητα της απόδοσης της VPN σύνδεσης στον πελάτη της επιχείρησης , δημιουργώντας μια γέφυρα μεταξύ των διαχειριστικών λύσεων της επιχείρησης και του CSM. Με αυτό το τρόπο οι διαχειριστές μπορούν να λάβουν πληροφορίες ρυθμίσεων από τον παροχέα υπηρεσιών,να διαπιστώσουν εάν οι παρεχόμενες υπηρεσίες και οι ρυθμίσεις τους ικανοποιούν τις απαιτήσεις της επιχείρησής τους ή και να παραδώσουν πολιτικές QoS στον παροχέα τους για να διασφαλίσουν απ' άκρη σ' άκρη QoS για κρίσιμες εφαρμογές τους. Τα εργαλεία διαχείρισης της Cisco, Cisco Internetwork Performance Monitor(IPM) και Service Level Agreement Manager(SLAM) λειτουργούν σε συνεργασία με το Cisco RTR δίνοντας τη δυνατότητα στη διαχείριση να διασφαλίσει και να ελέγξει την εφαρμογή των συμφωνηθέντων με τους παροχείς αυτών.

Η Στρατηγική Διαχείρισης Δικτύων της Cisco

Η Cisco έχει αναπτύξει ένα σχέδιο χωρισμένο σε φάσεις για την παραγωγή διαχειριστικών εργαλείων για VPNs επιχειρήσεων τα οποία αναβαθμίζουν τα χαρακτηριστικά του Cisco Powered Networks που έχουν αναπτυχθεί από τους παροχείς υπηρεσιών. Στις πρώτες φάσεις τα χαρακτηριστικά της διαχείρισης των VPN έχουν ενσωματωθεί στην οικογένεια προϊόντων CiscoWorks2000 δίνοντας τη δυνατότητα μιας διαχείρισης των Cisco δικτύων μέσα από το Web και με κάποιες αναβαθμίσεις του προϊόντος ,παρέχεται δυνατότητα διαχείρισης και της ασφάλειας και του QoS των VPN. Στις τελικές φάσεις η διαχείριση των VPN δικτύων και της ασφάλειάς τους βάση πολιτικής θα επεκταθεί ώστε να περιλαμβάνει διαχείριση βασισμένη στα directories(Directory Enabled Network-DEN) και εργαλεία μέτρησης της απόδοσης και σύγκρισής της με την και απαιτούμενη προσδοκώμενη (Service Level Agreement-SLA) από τον παροχέα υπηρεσιών.

5.18.7 Κοινές Αρχιτεκτονικές VPN Δικτύων

Το Σημερινό WAN:Το Ιδιωτικό Δίκτυο

Τα σημερινά WAN είναι τυπικά χτισμένα με τη χρήση ιδιωτικών γραμμών ή ιδιωτικού Frame Relay/ATM. Το μέρος της απομακρυσμένης σύνδεσης στο δίκτυο είναι επίσης μια ιδιωτική λύση με τις εταιρίες να αναπτύσσουν και να διαχειρίζονται τα δικά τους συστήματα απομακρυσμένης πρόσβασης. Εφαρμογές extranet συνήθως δεν υποστηρίζονται ή πραγματοποιούνται σαν μία ακριβή υπηρεσία σε συγκεκριμένες περιπτώσεις που απαιτείται.

 

 

Ένα τέτοιο ιδιωτικό δίκτυο περιορίζει την επεκτασιμότητα του σε απομακρυσμένους χρήστες και συνεργάτες,είναι δύσκολο στη διαχείριση και επιπλέον ακριβό στο εύρος ζώνης και στη διαχείριση του. Η μετανάστευση από ένα ιδιωτικό δίκτυο σε VPN επικεντρώνεται στο κάθε ξεχωριστό τμήμα του δικτύου-intranet και απομακρυσμένης πρόσβασης-και επεκτείνει το δίκτυο στους συνεργάτες της επιχείρησης.

VPNs Aπομακρυσμένης Πρόσβασης (Remote Access)

Τα VPN αυτού του τύπου επεκτείνουν το δίκτυο σε τηλεργαζόμενους,κινούμενους χρήστες ή ακόμα και μικρότερα απομακρυσμένα γραφεία με περιορισμένη κίνηση από και προς το WAN της επιχείρησης και των συλλογικών υπολογιστικών της πόρων. Επιτρέπουν στους χρήστες να συνδεθούν στα intranets και extranets των συνεργατών τους όταν,από όπου και όπως αυτοί θέλουν. Τα VPNs απομακρυσμένης πρόσβασης παρέχουν σύνδεση δίνουν δυνατότητα σύνδεσης μέσα από μία διαμοιρασμένη μορφή με τις ίδιες πολιτικές με το ιδιωτικό δίκτυο. Οι μέθοδοι πρόσβασης είναι ευέλικτες – ασύγχρονες κλήσεις, ISDN, DSL, κινητό IP και καλωδιακές τεχνολογίες. Τα πλεονεκτήματα της μετάβασης στα VPN είναι:

Κατά την υλοποίηση ενός VPN σημαντική είναι απόφαση για το που θα ξεκινάει η διαδικασία του τούνελ και της κρυπτογράφησης—στον dialup client ή στον server πρόσβασης (Network Access Server-NAS). Στο μοντέλο λειτουργίας όπου έχουμε έναρξη σύνδεσης από client το κρυπτογραφημένο τούνελ εγκαθιδρύεται στον client χρησιμοποιώντας IPSec, L2TP, PPTP κάνοντας έτσι το δίκτυο του παροχέα υπηρεσιών απλά ένα μέσο μεταφοράς στο δίκτυο των συνεργατών. Ένα πλεονέκτημα του μοντέλου αυτού είναι το ότι η χρήση του πρωτοκόλλου POP για την κλήση στον παροχέα υπηρεσιών είναι ασφαλισμένη. Ένα ζήτημα που πρέπει να προσεχθεί στην περίπτωση αυτή είναι το αν θα ενεργοποιηθεί το λογισμικό ασφάλειας του συστήματος ή θα προτιμηθεί κάποιο συμπληρωματικό πακέτο ασφάλειας. Η επιλογή της δεύτερης λύσης έχει μεν όλα τα θετικά στοιχεία που απορρέουν από την εφαρμογή ειδικού πακέτου ασφάλειας αλλά έχει και το αρνητικό της ανάγκης εγκατάστασης και συντήρησής του.

Εάν το μοντέλο, τώρα, είναι ότι κάποιος server (NAS) ξεκινά τη σύνδεση τότε τα θέματα που αφορούν το λογισμικό που τρέχει στον client περιορίζονται αισθητά.Ο απομακρυσμένος χρήστης επικοινωνεί με το POP server του παροχέα υπηρεσιών χρησιμοποιώντας μία PPP/SLIP σύνδεση,πιστοποιείται από τον παροχέα υπηρεσιών ο οποίος σε απάντηση ξεκινά ένα ασφαλές κρυπτογραφημένο τούνελ με την επιχείρηση από το POP κάνοντας χρήση των L2TP ή L2F. Με την αρχιτεκτονική αυτή όλη η "εξυπνάδα" του VPN βρίσκεται στη πλευρά του server του παροχέα υπηρεσιών—δεν υπάρχει λογισμικό τελικού χρήστη στην επιχείρηση που να χρειάζεται συντήρηση μειώνοντας έτσι την ανάγκη διαχείρισης των απομακρυσμένων συνδέσεων. Το μειονέκτημα, ωστόσο,αυτού του σεναρίου είναι η ανυπαρξία ασφάλειας στο τοπικό δίκτυο που ενώνει τον client με το δίκτυο του παροχέα υπηρεσιών. Για την επιλογή του τελικού μοντέλου που ταιριάζει σε μια επιχείρηση πρέπει να γίνει στάθμιση όλων αυτών των παραγόντων.

 

 

Intranet VPNs

Τα Intranet VPNs είναι η εναλλακτική λύση στη δομή WAN αφού μπορούν να αυξήσουν ή να αντικαταστήσουν τις ιδιωτικές γραμμές ή άλλες ιδιωτικές WAN υποδομές ενεργοποιώντας διαμοιρασμένες υποδομές που παρέχονται από τους παροχείς υπηρεσιών. Τα Intranet VPNs χτίζονται πάνω στο Internet ή σε IP, Frame Relay ή ATM του δικτύου του παροχέα υπηρεσιών.

Τα Intranet VPNs που χτίζονται πάνω σε IP WAN υποδομή χρησιμοποιούν IPSec ή GRE για τη δημιουργία ασφαλών τούνελ για τη μεταφορά της κίνησης του WAN. Όταν συνδυάζονται με τους μηχανισμούς QoS (WFQ, WRED, GTS, CAR) του παροχέα υπηρεσιών , τότε διασφαλίζεται η αποδοτικότερη χρήση του εύρους ζώνης και αξιόπιστη διασύνδεση. Τα πλεονεκτήματα των Intranet είναι:

 

 

To στήσιμο ενός Intranet VPN χρησιμοποιώντας το Internet είναι η πιο αποδοτική ,για τα χρήματα που διατίθονται και τα αποτελέσματα που έχουμε,τεχνολογία υλοποίησης των VPN.Τα επίπεδα των υπηρεσιών,ωστόσο,δεν εγγυώνται στο Internet. Όταν υλοποιούμε ένα intranet VPN,πρέπει να σταθμίζουμε ποία τα υπέρ και ποία τα κατά των διαφόρων λύσεων. Εάν για παράδειγμα θέλαμε εγγυημένη ποιότητα διασύνδεσης τότε θα ήταν καλύτερα να στήναμε το VPN πάνω από κάποιο IP/frame Relay/ATM δίκτυο ενός παροχέα υπηρεσιών.

Πίνακας 1:Σύγκριση Δικτυακών Υποδομών Μεταφοράς

Χαρακτηριστικό

Frame Relay

Internet

IP-VPN

Αδιάλειπτη Παρουσία Παντού

Χαμηλή

Υψηλή

Μέτρια

Κόστος

Μέτρια

Χαμηλή

Μέτρια

Ασφάλεια

Υψηλή

Χαμηλή

Υψηλή

Απόδοση

Υψηλή

Χαμηλή- Μέτρια

Υψηλή

Εγγυημένα Επίπεδα Υπηρεσιών

Ναι

Όχι

Ναι

Extranets

Το να επεκτείνει μια επιχείρηση τη σύνδεσή της με τους συνεργάτες και προμηθευτές της είναι ακριβή και δύσκολη υπόθεση σε ένα περιβάλλον ιδιωτικού δικτύου. Ακριβές αφιερωμένες συνδέσεις πρέπει να φτάσουν μέχρι τους συνεργάτες,πολιτικές διαχείρισης και πρόσβασης θα πρέπει να επιλεχθούν και να συντηρηθούν και συχνά υπάρχει η ανάγκη εγκατάστασης συμβατού εξοπλισμού στο site του συνεργάτη. Όταν επιπλέον υπεισέρχεται και ο παράγοντας "κλήση" τότε τα πράγματα μπλέκονται ακόμα περισσότερο διότι κάθε ξεχωριστό domain πρέπει να διαχειρίζεται ξεχωριστά. Χάρη σε αυτήν τη πολυπλοκότητα πολλές εταιρίες δεν επεκτείνουν τη σύνδεσή τους στους συνεργάτες τους και υπόκεινται σε ότι αυτό συνεπάγεται.

Ένα από τα πλεονεκτήματα της VPN WAN αρχιτεκτονικής είναι η ευκολία της ανάπτυξης και διαχείρισης των extranet. Η extranet σύνδεση επιτυγχάνεται χρησιμοποιώντας την ίδια αρχιτεκτονική και πρωτοκολλά με αυτά των intranet και απομακρυσμένων VPN δικτύων. Η κύρια διαφορά είναι το ότι η άδεια πρόσβασης στους χρήστες δίδεται μια φορά κατά τη σύνδεση στο δίκτυο του συνεργάτη τους.

 

Επιλογή Παροχέα Υπηρεσιών

Σε κάθε υλοποίηση VPN δικτύου οι παροχείς υπηρεσιών γίνονται συνεργάτες στη λύση. Η απόδοση του VPN δεν εξαρτάται μόνο από τον επιλεγμένο εξοπλισμό αλλά και από τη δυνατότητα παροχής εύρους ζώνης και dialup λειτουργίες από τον παροχέα υπηρεσιών. Για τους λόγους αυτούς οι παροχείς υπηρεσιών πρέπει να επιλέγονται προσεκτικά.

5.18.8 Περίληψη Χαρακτηριστικών και Πλεονεκτημάτων των Cisco VPN πλατφόρμων

χαρακτηριστικο

λειτουργια

πλεονεκτημα

Cisco IOS

Οι VPN συσκευές τρέχουν σε Cisco IOS λογισμικό

  • Διασφαλίζει την διαλειτουργικότητα με όλα τα προϊόντα Cisco
  • Αναβαθμίζει την υπάρχουσα υποδομή σε hardware για την ανάπτυξη VPN λύσεων
  • Απ' άκρη - σ' άκρη QoS

Ολοκληρωμένη Λύση

Ενοποιεί κάθε πλευρά του δικτύου της επιχείρησης: intranet, extranet, dial access

  • Μειώνει τη πολυπλοκότητα του δικτύου δημιουργώντας μια κοινή πλατφόρμα για το δίκτυο της επιχείρησης

Ανοικτή Αρχιτεκτονική

Τα Cisco VPN κάνουν χρήση των WAN δραστηριοτήτων επιπέδου 2 και 3

  • Επιτρέπει στις επιχειρήσεις να διαλέξουν το WAN τρόπο μεταφοράς που τους ταιριάζει

Δυνατά Χαρακτηριστικά Τουνελοποίησης,

Κρυπτογράφησης,

Πιστοποίησης Πακέτων/Χρηστών,

Firewall

Επιτρέπει στις επιχειρήσεις να χρησιμοποιούν με ασφάλεια τα backbones των παροχέων υπηρεσιών

  • Μειώνει το κόστος εύρους ζώνης,διαχείρισης και κεφαλαίου
  • Επιτρέπει στις επιχειρήσεις να επικεντρώνονται στο αντικείμενό τους και όχι στη διαχείριση του δικτύου τους

Eυέλικτο QoS

Διαχειρίζεται τη δικτυακή κίνηση βάση προτεραιοτήτων και σχεδίων κίνησης

  • Καλύτερη διαχείριση του ακριβού WAN εύρους ζώνης
  • Παρέχει αξιόπιστη διασύνδεση στα επίπεδα 2 και 3 των διαμοιρασμένων backbones

Ολοκλήρωση Οργάνων Συγκεκριμένου Σκοπού

Ολοκληρώνει τη διαχείριση των firewall και του εύρους ζώνης στους routers

  • Μειώνεται η πολυπλοκότητα του δικτύου
  • Πέφτει το TCO

Διαχείριση Δικτύου Επιχείρησης

Σύνολο εργαλείων διαχείρισης,

Ρύθμισης και διαχείρισης του δικτύου

  • Διασφάλιση διαχειριστικής ικανότητας σε όλο το μήκος του VPN

Λύσεις Βασισμένες στα Standards

IPSec,L2TP,GRE,

DES,3DES

  • Ολοκλήρωση με την υπαρκτή υποδομή
  • Διασφάλιση λογικής τεχνολογικής μετανάστευσης

Αρχιτεκτονική Ανοικτής Υλοποίησης

Τα Cisco VPN μπορούν να υλοποιηθούν σε hardware και σε software

  • Δεν χρειάζονται αναβαθμίσεις
  • Διατήρηση επενδύσεων στο δικτυακό μηχανισμό

Ισχυρές Σχέσεις με τους Παροχείς Υπηρεσιών

Η Cisco παρέχει το 80% του δικτυακού εξοπλισμού του Internet

  • Υψηλός βαθμός ολοκληρωμένων χαρακτηριστικών ανάμεσα στους παροχείς υπηρεσιών των υποδομών WAN

5.18.9 Περαιτέρω Πληροφορίες

Στο site της Cisco, ο αναγνώστης μπορεί να βρεί links για επιπλέον πληροφορίες: http://www.cisco.com.

Βασικές Έννοιες