Протоколы виртуальных частных сетей

В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи (Point-to-Point Tunnelling Protocol – PPTP). Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР.
РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера (в отличие от специализированных серверов удаленного доступа) позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows NT Server. В результате пользователь использует виртуальную частную сеть, не нанося при этом ущерба функциональным возможностям общедоступной сети. Все службы домена NT, включая DHCP, WINS и доступ к Network Neighborhood, безо всяких оговорок предоставляются удаленному пользователю.
Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.
В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня (Layer 2 Tunneling Protocol – L2TP). Этот протокол позволяет объединить функционирующие на втором уровне PPTP и L2F (Layer 2 Forwarding – протокол пересылки второго уровня) и расширить их возможности. Одной из них является многоточечное Туннелирование, позволяющее пользователям инициировать создание нескольких сетей VPN, например, для одновременного доступа к Интернету и корпоративной    сети.

Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:
1. Предоставление корпорациям возможности самостоятельно выбирать способ аутентификации пользователей и проверки их полномочий – на собственной «территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую для идентификации пользователей.
2. Поддержка коммутации туннелей – завершения одного туннеля и инициирования другого к одному из множества потенциальных терминаторов. Коммутация туннелей позволяет как бы продлить PPP-соединение до необходимой  конечной точки.
3. Предоставление системным администраторам корпоративной сети возможности реализации стратегий назначения пользователям прав доступа непосредственно на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля получают пакеты PPP со сведениями о пользователях, они в состоянии применять сформулированные администраторами стратегии безопасности к трафику отдельных пользователей. (Туннелирование третьего уровня не позволяет различать поступающие от провайдера пакеты, поэтому фильтры стратегии безопасности приходится применять на конечных рабочих станциях и сетевых устройствах.) Кроме того, в случае использования туннельного коммутатора появляется возможность организовать «продолжение» туннеля второго уровня для непосредственной трансляции трафика отдельных пользователей к соответствующим внутренним серверам. На такие серверы может быть возложена задача дополнительной фильтрации пакетов.

Плюсы VPN

   Преимущества технологии VPN настолько убедительны, что многие компании начинают строить свою стратегию с учетом использования Интернета в качестве главного средства передачи информации, даже той, которая является уязвимой. Преимущества VPN уже оценены по достоинству многими предприятиями.
При правильном  выборе VPN:
1.  мы получаем защищенные каналы связи по цене доступа в Интернет, что в   несколько  раз  дешевле выделенных линий;
2. при установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей - все это значительная экономия;
3.  обеспечивается масштабирование, поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;
4.   вы независимы от криптографии и можете использовать модули криптографии любых производителей в соответствии с национальными стандартами  той  или  иной    страны;
5.   открытые интерфейсы позволяют интегрировать вашу сеть с другими программными продуктами и бизнес-приложениями.

Минусы VPN

   К ним можно отнести сравнительно низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame relay виртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По мнению западных аналитиков, это не остановит продажу VPN, поскольку лишь пяти процентам пользователей, торгующих, например, на рынке ценных бумаг, требуются такие высокие стандарты. Остальные 95% не столь серьезно относятся к проблемам со связью, а затраты большего количества времени на получение информации не приводят к колоссальным убыткам.
В силу того, что услуга VPN предоставляется и поддерживается внешним оператором, могут возникать проблемы со скоростью внесения изменений в базы доступа, в настройки firewall, а также с восстановлением вышедшего из строя оборудования. В настоящее время проблема решается указанием в договорах максимального времени на устранение неполадок и внесение изменений. Обычно это время составляет несколько часов, но встречаются провайдеры, гарантирующие устранение неполадок в течение суток.
Еще один существенный недостаток - у потребителей нет удобных средств управления VPN. Хотя в последнее время разрабатывается оборудование, позволяющее автоматизировать управление VPN. Среди лидеров этого процесса - компания Indus River Networks Inc., дочерняя компания MCI WorldCom и Novell. Как говорят аналитики Forester Research, VPN должны контролироваться пользователями, управляться компаниями-операторами, а задача разработчиков программного обеспечения - решить эту проблему.

Перспективы VPN

  По мере своего развития VPN превратятся в системы взаимосвязанных сетей, которые будут соединять мобильных пользователей, торговых партнеров и поставщиков с критически важными корпоративными приложениями, работающими в протоколе IP. VPN станут фундаментом для новых коммерческих операций и услуг, которые будут стимулировать рынок и  помогать  модернизировать    производство.
Вероятно, первым из основных компонентов завтрашних VPN будет сервер каталогов, содержащий профили конечных пользователей и данные о конфигурации сети. Это будет отдельная компьютерная система в корпоративной и частично в общедоступной сети, которой будет управлять провайдер VPN. При наличии сетевых каталогов, а также обеспечения безопасности информации и качества обслуживания конечные пользователи смогут практически мгновенно устанавливать соединения по    VPN.
Вполне возможно, что будет использоваться протокол IpV6, работы над которым активно продолжаются. Данный протокол обладает всеми возможностями взаимодействия с VPN, каких только могут пожелать себе сетевые разработчики, включая управление полосой пропускания. Также можно будет определять принадлежность IpV6-пакетов к определенному потоку, например, высший приоритет будут получать пакеты мультимедийных данных для передачи в реальном времени.
Главные игроки сетевого рынка, такие, как Cisco Systems, Cabletron Systems, 3Com, Bay Networks, HCL Comnet, уже активно готовятся к грядущему буму VPN. Нынешние вендоры программного обеспечения и оборудования предлагают наборы устройств для того, чтобы создать и эксплуатировать VPN.
Выгоду от развертывания VPN следующего поколения получат не только сетевые разработчики - не менее заинтересованы в них и операторы. Фирмы AT&T Level 3 Communications, MCI Worldcom и Sprint создают высокоскоростные IP-каналы в АТМ-сетях для передачи видео, голоса и данных. VPN в настоящее время оказывают едва ли не решающее влияние на разработку стратегии глобальных операторов, таких, как Unisource (AT&T, Telia, PTT Suisse и PTT Netherlands), Concert (BT/MCI) и Global One (Deutsche Telekom, France Telekom). Чем больше компаний будут предлагать VPN-услуги, тем заметнее будет расти их качество и падать цены, что, в свою очередь, повлияет на число клиентов.
Каждая революция в бизнесе начиналась с изобретения, которое резко увеличивало частную инициативу. Например, разделение перевозчиков и компаний, эксплуатирующих государственную железную дорогу, привело к резкому росту коммерческих перевозок. То же самое происходит при создании VPN поверх национальных и международных телекоммуникационных инфраструктур. Ближайшее время покажет, к каким изменениям это приведет.