Віртуальні приватні мережі Канального рівня

           Однам із найбільш прогресивних методів побудови VPN є використання передавальних систем і мережевих платформ для сполучності на Фізичному і Канальному рівнях. VPN Канального рівня є майже повним функційним аналогом звичайниїх приватних мереж.

(далі не перекладено)

 

 

           Організації, приміщення яких розташовані у різних місцях, можуть з’єднувати їх через окрему логічну мережу за допомогою раутерів та технологій WAN. Якщо використовується мережа з комутацією кіл, наприклад, телефонна мережа, то послуги постійних або комутованих кіл використовуються через емуляцію фізичного сполучення двох пунктів для бміну пакетами між раутерами. Незважаючи на те, що WAN-технології майже завжди використовують спільні “публічні” телекомунікаційні засоби, мережа, побудована таким чином, звичайно розглядається як “приватна”.

Рис. Глобальна мережа, базована на телефонній мережі або на Internet.

           Якщо мережа з комутацією пакетів, така як Internet, вживається як WAN для сполучення певних пунктів, то приватна природа комунікації раутер-раутер є під загрозою, оскільки мережа не гарантує захисту доручення пакетів. Раутери, які взаємодіють один з одним через логічні кола Internet, можуть виявляти, що пакети уведяться або вилучаються із цих кіл без обмежень. Щоб зберегти “приватність” таких кіл, пакети повинні бути зашифровані, так щоб раутер міг розпізнати і видалити уведені пакети, а вилучені пакети не могли бути використані неуповноваженим приймачем. Такі приватні зв’язки між раутерами називають “тунелями”. Для надійності операцій через цей тип “віртуальних” приватних мереж компоненти раутерів звичайно повинні походити від одного виготівника.

           Пересилання пакетів між раутерами могло би бути нормою для комунікації між “постійними” багатокористувацькими пунктами (sites) організацій, але виникає проблема, коли індивідуальні користувачі потребують мати доступ до LAN організації від інших зовнішніх пунктів. Коли користувач з’єднується через комутовані канали із своєї квартири або готелю, то він не має у своєму розпорядженні відповідного раутера. Сполучення може бути здійснене через телефон безпосередньо до організації або через Internet і пакети висилаються до організації через зовнішню мережу. У попередньому випадку із захистом інформації не було проблем, бо мережа розглядалася як повністю “приватна”. В останньому випадку захист інформації створює багато проблем, як це показано нижче.

Рис. Віддалений доступ до мережі організації через комутовані телефонні канали.

           Недавня тенденція великих організацій до забезпечення власної “повністю приватної” мережі з комутованими каналами (із модемними банками, серверами доступу і технічними персоналом, розташованими у кожній резиденції організації) тепер змінюється внаслідок повсюдної наявності пунктів доступу до Internet, що робить привабливим використання ресурсів надавачів послуг Internet (Internet Servi ce Provider – ISP). Користувач може зв’язатися через комутовані телефонні канали із сервером доступу у найближчому пункті ISP і висилати пакети через місцеву LAN до раутера для їх доручення через Internet до мережі своєї організації (рис.). Щоб зберегти захищеність комунікацій через комутовані канали, необхідно створити тунель для пересилання пакетів організації. Однак сьогодні виготівники раутерів поставлені у невигідне положення із розв’язаннями, які вони можуть запропонувати, бо їх модель тунелів працює між раутерами, а раутер з боку користувача відсутній. Для створення VPN вони можуть застосувати одну із таких моделей:

1. Передоручення (outsource) приватного пункту (Private Site).

2. Спільне використання передорученого пункту.

3. Передоручення приватного сервера доступу.

4. Спільне використання сервера доступу.

5. Обхід ISP.