Cesta: Info / Tiskové centrum / Články / VPN (Virtual Private Networking)

• Manuál ServiceDesk ANECT
• HelpDesk
• ServiceDesk

• Tiskové centrum
• Zaměstnání
• Logo ke stažení

VPN je zkratka pro "Virtual Private Networking" a označuje zvláštní způsob realizace privátních sítí, ve kterém se místo klasického způsobu pomocí pronajatých fyzických drátů nebo okruhů využívá veřejný Internet. Ke slovu "privátní" se připojuje slovo "virtuální", aby se zdůraznilo, že nejde o fyzické, ale logické komunikační kanály

Poznamenejme, že s označením VPN se setkáme i ve smyslu sítí vytvořených nad veřejnými sítěmi ATM, ISDN, X.25 a frame relay, zpravidla pomocí technologie PVC (Permanent Virtual Circuits). V nejstarších z těchto sítí - X.25 se např. prodává služba CUG (Closed User Group), která umožňuje vzájemnou komunikaci přes SVC (Switched Virtual Circuits) v rámci izolované skupiny uzlů. Tímto významem slova VPN se zde nebudeme zabývat a zajímá nás pouze Internet jako nosné komunikační médium.

Následující řádky přiblíží technologii VPN přes Internet jak z pohledu možných aplikací, tak z pohledu realizace. Výklad samozřejmě není vyčerpávající, ale dostatečně konkrétní, aby čtenář mohl odhadnout možnosti využití VPN, vykalkulovat náklady, komunikovat s poskytovatelem Internetu o podmínkách VPN apod.

Motivace

Základní motivací pro VPN je ekonomika komunikací.
Představme si organizaci - výrobní, nebo distributorský podnik, který má své prodejny umístěné po celé republice. V každé prodejně je počítač PC a v centrále podniku je lokální síť a servery. Jedno známé řešení úlohy datového propojení prodejen s centrálou je, že se do centrály nainstaluje RAS (Remote Access Server) na Microsoft Windows NT, s multiportovou kartou a modemovým rackem. K personálním počítačům na vzdálených prodejnách (Windows 98) se připojí modemy a spojení s RAS-em se bude uskutečňovat přímou telefonní volbou, většinou ve II. nebo III. pásmu.

Cena spojení se řídí následující tabulkou:

Uvažujme nyní o následující alternativě. Předpokládejme, že centrála již má pevnou přípojku do Internetu. Navrhneme, aby se pro všechny prodejny pořídila u místních poskytovatelů služba Internet dial-up. Ať prodejny komunikují s centrálou přes Internet za místní telefonní hovorné. Provozní náklady se rozdělí na poplatky za Internet a za místní telefon. Výsledný součet vyjde níž, než výdaje za telefon ve výchozím řešení.

Půlhodinová relace v místním, nebo I. pásmu bude stát zhruba 40 Kč. Pro 20 dní v měsíci to dává 800 Kč, plus poplatek cca 500 Kč za Internet = 1,300 Kč. Čím delší budou denní relace, tím víc se tyto hodnoty budou blížit limitní hodnotě jedné třetiny nákladů klasického řešení.

Udělejme teď obdobnou analýzu pro případ propojení lokálních sítí přes dedikované okruhy a pak alternativně přes Internet. Opět řešíme problém distribubované organizace, tentokrát chceme propojit mezi sebou větší jednotky.

Nejprve klasické řešení: Uvažujme (n-1) poboček připojených přes frame relay do hvězdy k centrále. Předpokládejme, že shodou okolností centrála má přípojku do Internetu pro komunikaci se světem taky přes frame relay. Na provozní náklady přispívá n přístupových okruhů, n kanálů frame relay PVC (platíme za CIR) a jedna přípojka Internet (platíme poskytovateli Internetu).

Jestliže totéž budeme chtít realizovat přes Internet, pomocí VPN, budeme mít n přístupových okruhů, n kanálů PVC a n přípojek Internet. Vypadá, že takto spíš proděláme, než ušetříme. Potvrzují to následující cenové tabulky:

*) bez pronájmu mikrovlnného zařízení

Závěr je tedy takový, že z ekonomického hlediska stojí za to uvažovat o VPN při řešení privátní komunikace. Konečné rozhodnutí však ještě mohou ovlivnit další aspekty - technické, bezpečnostní a provozní.

Intranetový VPN

Obecně metoda VPN je založená na technice zvané tunelování, která možná trochu souvisí s technikou, o které se někdy píše v novinách. Představme si rozsáhlou síť. Chceme přenést nějaký paket, nebo rámec z výchozí podsítě do vzdálené cílové podsítě. Nejde nám přitom o jednoduchý přenos dat, obsažených v paketu (payload), ale skutečně o přenos celého paketu se vším všudy (i s hlavičkami).

Za tím účelem paket / rámec zabalíme do paketu sousední "mezisítě", jako by to byla data a necháme tento transportní paket putovat podle směrovacích tabulek směrem k cílové podsíti. Těsně před cílovou podsítí necháme "pasažéra" vystoupit z transportního paketu tak, aby do cílové podsítě veplul ve své původní podobě.

Jako transportní síť se pro tyto účely universálně používá síť IP, tj. pakety / rámce jsou baleny do IP paketů. Můžeme takto přenášet např. pakety IPX, SNA, rámce X.25, rámce PPP, i pakety IP. Poslední případ nás teď bude zajímat. Toto tunelování "IP over IP" zde označujeme jako intranetový VPN, protože zpravidla slouží na propojení lokálních sítí přes Internet za účelem rozšíření podnikového Intranetu na vzdálené pobočky (viz druhý příklad aplikace v předcházející sekci). Standard, který se používá pro "IP přes IP" nese označení GRE (Generic Routing Encapsulation).

Na obrázku vidíme, že na směrovačích R1 a R2 kromě rozhraní Ethernet a sériového rozhraní (předpokládáme přípojku přes modem) je definováno rozhraní tunnel 0 . Tato konstrukce je běžná pro všechny implementace VPN. Rozhraní tunnel je pouze logické, nicméně mu můžeme přiřadit adresu IP a případně další parametry. Hlavně pak definujeme, na kterém fyzickém rozhraní tunel začíná a na kterém končí. K vyznačení těchto rozhraní můžeme použít (Internetové) IP adresy. Aby tunel fungoval, musí být funkční spojení přes Internet, tj. musí fungovat ping z R1 na R2.

To je vše. Propojili jsme dvě privátní sítě s privátními adresami 10.x.x.x a rozšířili tak podnikový intranet. Všimněme si, že na směrovačích R1, R2 nepotřebujeme překlad adres. Privátní intranet 10.0.0.0 je nedostupný z Internetu - už proto, že taková adresa se v Internetu vůbec nepoužívá a neexistuje pro ni směrovací informace (ale to není hlavní důvod).

Samozřejmě chceme-li, aby uživatelé ve vnitřní síti měli přístup na veřejný Internet, musíme do směrovačů R1, R2 nainstalovat překlad adres a také firewall. Firewall musíme mít v každém případě, i když nepotřebujeme komunikovat s veřejným Internetem (teoreticky je možné se dostat do vnitřní sítě 10.0.0.0). Obecně platí, že nejlepší je, když tunel VPN začíná / končí na firewallu. Podrobnostmi se zde nebudeme zabývat, ale o bezpečnosti se ještě zmíníme.

Přístupový VPN

Podívejme se nyní na realizaci systému prodejen a distribuční centrály pomocí VPN (náš první příklad).
Klasické řešení s RAS-em funguje takto. Nejprve vzdálená stanice PC na prodejně dá pokyn svému modemu, aby volil číslo protějšího modemu v centrále. Když se modemy spojí, stanice zahájí komunikaci přes protokol PPP (2. protokolová vrstva) a hned na začátku provede autentikaci CHAP. V dalším kroku negociace PPP dostane od přístupového serveru IP adresu, nejspíš z některého vymezeného bloku IP adres patřících lokální síti v centrále. Pak následuje fáze vlastní datové komunikace. Do rámců PPP se vkládají pakety IP, vzdálená stanice MS Windows 98 se stane součástí lokální sítě centrály, přihlásí se do domény NT atd.

Z uvedeného je zřejmé, že jestliže mezi PC a RAS má stát Internet a přitom se má komunikace chovat stejně, jak v klasickém případě, musíme tunelovat PPP, tedy protokol 2. vrstvy. Microsoft poměrně brzy (1996) vytvořil pro tyto účely PPTP (Point-to-Point Tunneling Protocol), který je nyní součástí Windows 98 a Windows NT (po instalaci Option Packu). Princip komunikace ilustruje následující obrázek.

Stejně jako v případě intranetového VPN máme i zde logická rozhraní typu tunnel, která doprovázejí fyzická rozhraní. Na Windows 98 se toto rozhraní označuje vpn, na Windows NT jich může být více: vpn1, vpn2, ... . Uživatel Windows 98 se nejprve standardním způsobem, přes fyzické rozhraní com2 a modem připojí na přístupový server místního poskytovatele Internetu a autentikuje se - proběhne CHAP. Nyní může normálně používat služby Internetu. Pak se uživatel připojí podruhé - tentokrát přes rozhraní vpn, tj. přes tunel vpn - vpn1. Druhá autentikace a další komunikace proběhne přesně jak v klasickém případě.

Všimněme si, že RAS již nepotřebuje multiportovou kartu a modemový rack. Protokol PPP je schován uvnitř IP a ten je na posledním úseku enkapsulován do Ethernetu.

Na co tedy vlastně potřebujeme RAS? Nemohl by tunel končit na směrovači? Mohl, kdyby směrovač (Cisco) uměl PPTP. Firma Cisco Systems vyvinula svůj vlastní tunelovací protokol L2F (Layer 2 Forwarding) přibližně ve stejné době jako Microsoft svůj PPTP. Samozřejmě tyto dva protokoly spolu nespolupracují. Nyní má Cisco vylepšenou verzi L2TP (Layer 2 Tunneling Protocol), která byla přijata jako standard IETF a měla by fungovat také na MS Windows 2000.

Protokol L2F, případně L2TP používají někteří poskytovatelé Internetu (např. Telecom) pro službu VPN v konfiguraci podle následujícího obrázku.

Podívejme se, jak toto nyní funguje: Uživatel Windows 98 dostane od poskytovatele speciální jméno a heslo na přihlášení. Jakmile přístupový směrovač rozezná toto speciální přihlášení jako vstup do VPN, vytvoří tunel L2F ve směru na domovskou bránou (home gateway). Provoz z/do stanice PC se přesměrovává do/z tunelu až na pšístupovém směrovači u poskytovatele.

Bezpečnost a QoS

Notoricky známá otázka ohrožení soukromí z pochopitelných důvodů nedává spát, jakmile se rozhoduje o možnosti permanentního přenášení citlivých podnikových dat přes Internet. V popsaném řešení Microsoftu najdeme na W98 a WNT volbu pro enkrypci, za kterou stojí standard RSA RC4. Šifrují se celé rámce PPP přenášené pomocí IP. Samotná úvodní autentikace pomocí CHAP se považuje za bezpečnou.

Na komunikaci mezi zařízeními Cisco, speciálně na tunelu GRE lze použít proprietární systém CET (Cisco Encryption Technology). Pakety se šifrují pomocí DES (40, nebo 56), přičemž za autentikací směrovačů a za výměnou klíčů stojí standardy DSS a DH.

Budoucnost bezpečného VPN se spojuje s novým standardem IPSec, který je již implemetován jak v operačních systémech IOS Cisco Systems, tak v Microsoft Windows 2000.

Otázka zabezpečení kvality služeb (QoS, Quality of Service) zajímá zvláště ty potenciální uživatele VPN přes Internet, kteří by rádi měli něco jako CIR v sítích frame relay. Někteří poskytovatelé již nabízejí takové záruky pro přístupový VPN (Telecom). Zřejmě bude záležet na investicích do nových zařízení na hranách a na páteři Internetu a na aplikaci správných metod QoS. Problém je skutečně složitý. Jako příklad uveďme, že jestliže výchozí stanice v síti uživatele žádá určitou prioritu, tento požadavek se musí přenést na tunel, který nese pakety ze stanice, jinak je takový požadavek neúčinný.