Главная arrow Термины arrow Сетевые технологии arrow ВИРТУАЛЬНАЯ ЛВС, ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ [Virtual LAN, VLAN]

ВИРТУАЛЬНАЯ ЛВС, ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ [Virtual LAN, VLAN]

Виртуальная ЛВС - это, Что такое виртуальная ЛВС, Определение термина виртуальная ЛВС, Виртуальная частная сеть, VPN, Intranet VPN, Remote Access VPN, Client/Server VPN, Extranet VPN, NGN, MPLS, VPLS, SSH, SSL, STTPS, ЕАР, Tunneling

Разновидность Интрасети, представляющая собой логическое объединение узлов большой (распределенной) локальной вычислительной сети, которые могут принадлежать к ее различным физическим сегментам, подключенным к разным концентраторам. Организуется при помощи коммутирующих концентраторов или маршрутизаторов. Специальное программное обеспечение системы управления позволяет разделить сеть на несколько логических частей (виртуальных сегментов). Администратор сети может по своему усмотрению создавать виртуальные сегменты, добавлять или удалять отдельные узлы. Данные, предназначенные для конкретных узлов виртуальной сети, благодаря коммутации пакетов, передаются только в рамках заданного логического сегмента. Этим предотвращаются перегрузки в сети и обеспечивается повышение ее безопасности. Метод создания виртуальных ЛВС используется в сетях типа Ethernet. Принцип логического объединения узлов разнородных сетей (в том числе Token Ring, FDDI, ATM и т.д.) в виртуальные сегменты используется в распределенных и глобальных сетях, в частности в ATM.
VPN (Virtual Private Network) — "Виртуальная частная сеть": технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях, включая Интернет. С ее помощью решается ряд вспомогательных задач, включая защиту внутреннего трафика организации, поддерживающей VPN. В указанном смысле эта технология является конкурирующей по отношению к технологии Virtual LAN. Основным разработчиком технических решений, связанных с VPN-технологией, является фирма Check Point (52% рынка). В настоящее время имеются следующие их варианты:
1. Intranet VPN — предназначен для объединения в единую защищенную сеть нескольких распределенных филиалов одной организации (наиболее распространен);
2. Remote Access VPN —обеспечивает защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) с одиночным пользователем, который подключается к сети с собственного компьютера;
3. Client/Server VPN — обеспечивает защиту передаваемых данных между двумя узлами корпоративной сети;
4. Extranet VPN —предназначена для использования в сетях, к которым подключаются внешние пользователи, уровень доверия к которым ниже, чем к основным пользователям сети.
Для создания VPN-сетей, как правило, используются три протокола: сквозной туннельный протокол (РРТР), протокол Ipsec и туннельный протокол второго уровня (L2TP).
NGN (Next Generation Network, New Generation Network) —"Сеть следующего (нового) поколения": концепция построения многофункциональных и многопользовательских сетей с гибкими возможностями управления, а также создания новых услуг за счет унификации сетевых решений. В частности, под такой унификацией часто подразумевается использование коммутации для передачи речи, аудио- и видеоданных.
В России первой фирмой, объявившей в 2003 г. о создании сети NGN, стала компания Комстар (NGN Comstar). По утверждению руководства этой фирмы, число точек доступа в городе до конца 2003 г. должно было составить около 50. Стоимость услуг зависит от скорости передачи данных, качества предоставляемых услуг (пока предусмотрено три уровня) и пр. Первоначально предполагалось предоставлять клиентам широкополосный доступ в Интернет (канал до 100 Мбит/с), пакетную голосовую телефонию и построение мультисервисных виртуальных частных сетей. В дальнейшем этот список услуг должен быть расширен. На базе NGN Ком стар планирует обеспечить обслуживание с гарантированными параметрами качества QoS и SLA.
Технологии и протоколы, используемые в VPN
 - MPLS (Multi-Protocol Label Switching) — "Многопротокольная коммутация меток": пакетная технология передачи данных в виртуальных частных сетях, используемая централизованными службами управления для сквозной передачи потоков IP-пакетов через Интернет без предварительной упаковки в кадры асинхронного режима передачи данных. Обеспечивает высокое качество услуг (QoS) и гибкую привязку узлов сети к их местоположению. Сети, основанные на применении данной технологии, часто называют также сетями MPLS/IP VPN или сокращенно —IP VPN. MPLS принято относить к сетям нового поколения. MPLS позволяет: ускорять продвижение пакетов за счет замены на магистральной сети маршрутизацию на коммутацию; оптимизировать пути прохождения трафика по сети с целью максимально эффективного использования маршрутизаторов и каналов связи; обеспечивать требуемые параметры качества обслуживания (QoS) за счет резервирования пропускной способности для трафика. MPLS поддерживает стандартные протоколы маршрутизации: OSPF (Open Shortes Path First) —первоочередного выбора кратчайшего пути; IS-IS (Intermediate System to Intermediate System) — связи между промежуточными системами; LDP (Label Distribution Protocol) — распределения меток и RSVP (Resource Reservation Protocol) —резервирования ресурсов. Последние два протокола являются динамическими сигнальными. Они позволяют осуществлять туннелирование с использованием резервных маршрутов и ремаршрутизации. В результате, в случае разрыва соединения, на восстановление связи требуется не более одной секунды. Сфера применения MPLS постоянно расширяется. С помощью разрабатываемого стандарта GMPLS (Generalized MPLS) появились перспективы переноса методов выбора и установления путей, применяемых в MPLS, на первичные транспортные сети (например, SDH и DWDM). На основе MPLS развивается технология VPLS.
 - VPLS (Virtual Private LAN Service), Transparent LAN Service (TLS), E-LAN service — технология создания многоточечных соединений и услуг межсоединений локальных сетей, в соответствии с которой каждому пользователю VPLS операторы предоставляют широковещательные домены для связи с необходимыми узлами разнородных сетей (LAN/Ethernet/WAN/IP). Маршрутизаторы провайдерской сети, обработав многоадресный трафик как широковещательный, дублируют его на все порты, относящиеся к созданной клиентской VPLS-сети. Таким образом создается впечатление, что все клиенты подключены к единой локальной сети. Если число маршрутизаторов в провайдерской сети (Provider Edge, РЕ) становится слишком большим (от 40 до 60 и более), возникает необходимость перехода на многоуровневые архитектуры для масштабирования услуг VPN с использованием иерархических VPLS — HVPLS (Hierarchic(al) Virtual Private LAN Service).
 - SSH (Secure Shell), OpenSSH— наименование протокола и реализующих его программных средств, предназначенных для повышения безопасности при работе Unix-систем в Интернете. Наибольшее использование SSH получил в банковских и коммерческих приложениях. Исходная версия программного продукта SSH разработана Т. Ялоненом в 1995 г. Реализованные в ней решения и результаты их последующего развития рассматриваются как проект стандарта на набор протоколов для Интернета. Разработкой стандарта занимается специальная рабочая группа Secsh в подразделении IETF —Security Area. Однако SSH уже завоевал статус фактически используемого в Интернете стандарта на безопасные терминальные соединения. Стандарт SSH состоит из нескольких документов, которые описывают общую архитектуру протокола, а также протоколы трех уровней: протокол транспортного уровня, протокол аутентификации и протокол соединения. Их совместная задача —обеспечить безопасную сетевую службу, в том числе безопасный доступ к компьютерам и данным при работе в незащищенной сети.
1. Протокол транспортного уровня SSH предусматривает возможность шифрования и сжатия передаваемых данных (пароли также шифруются). Этот протокол работает поверх соединения TCP/IP
2. Протокол аутентификации SSH работает поверх протокола транспортного уровня, а протокол соединения —поверх протокола аутентификации. Протоколом аутентификации предусматривается процедура взаимной аутентификации клиента и сервера путем использования асимметричного шифрования открытым ключом. Это обеспечивает более высокую безопасность, чем при использовании симметричного шифрования, хотя и порождает дополнительную вычислительную нагрузку. При последующем обмене данными применяется симметричное шифрование, более экономичное по затратам процессорного времени.
3. Протокол соединения SSH мультиплексирует безопасный (шифруемый) канал, представляя его в виде нескольких логических каналов, которые используются для различных целей (различных видов служб). Дополнительные возможности SSH: обеспечивает защиту от атак с подделкой (spoofing) IP-адресов, а также DNS-сервера и маршрутизации от подслушивания паролей аутентификации, от подслушивания и манипуляции данными на хостах или в локальной сети. SSH не защищает, если атакующая сторона получила права доступа к одному из хостов или домашней директории.
Имеются две версии протоколов: SSH1 и SSH2. Это совершенно разные протоколы, причем использование SSH1 в настоящее время не рекомендуется. Разработкой программного продукта SSH2 занимается фирма SSH Communication Security. Кроме бесплатной версии SSH, имеется и ее усовершенствованный коммерческий вариант. Кроме того, с использованием этой программы разработаны и некоторые другие коммерческие продукты. Поставками коммерческой версии SSH занимается Data Fellows; эта фирма предлагает, в частности, программные продукты F-secure SSH Server и F-Secure SSH Tunell & Terminal.
 - SSL, STTPS (Secure Sockets Layer) —"Секретный уровень сокетов (соединений)": один из сетевых протоколов (в числе OpenSSL, SSH и др.), поддерживающих защищенные ("секретные") каналы передачи данных. Его назначение: обеспечение секретности и надежности связи между двумя программными приложениями путем реализации конфиденциального соединения за счет шифрования данных. Шифрование производится открытым ключом для подтверждения подлинности передатчика и получателя. Поддержка надежности передачи данных обеспечивается за счет использования корректирующих кодов и безопасных хэш-функций.
Весьма часто вместо аббревиатуры SSL используется другое обозначение — HTTPS. Это связано с тем, что протокол SSL широко применяется для защиты данных совместно с сервисными протоколами Интернета (HUP, NNTP, FTP и др.), а также транспортным протоколом TCP/IP. Латинская буква S показывает, что открытый канал передачи данных в Интернете по протоколу http преобразован в защищенный.
SSL состоит из двух подуровней. На нижнем подуровне многоуровневого транспортного протокола (например TCP/IP) он является протоколом записи и используется для инкапсуляции (т. е. формирования пакета) различных протоколов. Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять алгоритмы шифрования и производить обмен криптографическими ключами, прежде чем протокол прикладной программы начнет передавать и получать данные. Следует отметить, что SSL не только обеспечивает защиту данных в Интернете, но также производит аутентификацию сервера и клиента.
Протокол SSL разработан фирмой Netscape. В настоящее время он принят консорциумом W3C на рассмотрение, как основной протокол защиты для клиентов и серверов в сети Интернет. Его использование преимущественно связано с банками, Интернет-магазинами и другими приложениями, требующими защищать передаваемые по Интернету данные, например, при регистрации, когда пользователи должны сообщать свои паспортные данные, PIN-коды, пароли и т.п.
 - ЕАР (Extensible Authentication Protocol) —"Открытый протокол аутентификации": в отличие от протокола SSL, который в большинстве случаев ограничивается односторонней аутентификацией (только сервера), ЕАР на транспортном уровне —ЕАР TLS (ЕАР Transport Level Security) производит аутентификацию как сервера, так и клиента. После успешной аутентификации происходит (в зависимости от используемой архитектуры) назначение правил доступа к сети и параметров качества оказываемых услуг (QoS).
 - Tunneling — "Туннелирование": способ взаимодействия двух или более сетевых сред (например ЛВС) через транспортную среду, при котором программными средствами блокируются нежелательные соединения (например, входящие) и/или автоматизированным образом обеспечиваются определенные сервисные возможности соединения. Туннелирование используется для повышения безопасности сети (часто совместно с шифрованием), затруднения использования персоналом организаций запрещенных для него Интернет-сервисов, формирования виртуальных частных сетей, осуществления связи между сетями с разными протоколами, повышения пропускной способности сети при выполнении внешних соединений и т. п. В зависимости от используемых для туннелирования средств различают SSH-туннелирование, АСК-туннелирование, SNMP-туннелирование и т.д. Одним из специализированных средств туннелирования является свободно распространяемая программа с открытыми исходными текстами—Zebedee.