Наведіть Основні вимоги, що висуваються до загальнодоступних мереж на базі яких будуються VPN мережі.

Вимоги:

v Магістральна мережа має бути добре захищена

v Мережа повинна гарантувати клієнтською VPN певний рівень продуктивності

v Накладні витрати на забезпечення приватного характеру сервісів не мають бути занадто великі

v Повинне існувати розділення адрес і маршрутів - клієнти не повинні знати один про одного

v Магістральна мережа провайдера прихована від зовнішнього світу. Клієнтові слід знати тільки ту інформацію, яка йому потрібна для отримання сервісу

v Мережа, що розділяється, має бути стійка до атак –відмова в обслуговуванні DoS

 

v Магістральна мережа має бути добре захищена

v На базі орендованих каналів в TDM- мережі (вироджений випадок VPN)

v На базі мережі зі встановленням віртуальних каналів - ATM, Frame Relay

v На базі публічної IP- мережі з використанням протоколів:

IPSec (IP security);

PPTP (point-to-point tunneling protocol);

openVPN;

L2TPv3 (Layer 2 Tunnelling Protocol).

v На базі багатопротокольної комутації за мітками (Multiprotocol Label Switching, MPLS)

№55 Технологія трансляції мережевих адрес (NAT). Технологія трансляції мережевих адрес і номерів портів.

NAT (від англ. Network Address Translation - «перетворення мережних адрес») - це механізм в мережах TCP / IP, що дозволяє перетворювати IP-адреси транзитних пакетів. Також має назви IP Masquerading, Network Masquerading і Native Address Translation.

Перетворення адрес методом NAT може проводитися майже будь-яким маршрутизує пристроєм - маршрутизатором, сервером доступу, міжмережевим екраном. Найбільш популярним є SNAT, суть механізму якого полягає в заміні адреси джерела (англ. source) при проходженні пакета в одну сторону і зворотної заміні адреси призначення (англ. destination) у відповідному пакеті. Поряд з адресами джерело / призначення можуть також замінюватися номери портів джерела і призначення.

Приймаючи пакет від локального комп'ютера, роутер дивиться на IP-адресу призначення. Якщо це локальний адресу, то пакет пересилається іншому локального комп'ютера. Якщо ні, то пакет треба переслати назовні в інтернет. Але ж зворотною адресою у пакеті вказано локальну адресу комп'ютера, який з інтернету буде недоступний. Тому роутер «на льоту» виробляє трансляцію IP-адреси і порту і запам'ятовує цю трансляцію у себе в тимчасовій таблиці. Через деякий час після того, як клієнт і сервер закінчать обмінюватися пакетами, роутер зітре у себе в таблиці запис про n-ом порте за строком давності.

Крім source NAT (надання користувачам локальної мережі з внутрішніми адресами доступу до мережі Інтернет) часто застосовується також destination NAT, коли звернення ззовні транслюються міжмережевим екраном на комп'ютер користувача в локальній мережі, що має внутрішній адресу і тому недоступний ззовні мережі безпосередньо (без NAT).

Існує 3 базових концепції трансляції адрес: статична (Static Network Address Translation), динамічна (Dynamic Address Translation), маскарадна (NAPT, NAT Overload, PAT).

Статичний NAT - Відображення незареєстрованого IP-адреси на зареєстрований IP-адресу на підставі один до одного. Особливо корисно, коли пристрій повинен бути доступним ззовні мережі.

Динамічний NAT - Відображає незареєстрований IP-адресу на зареєстровану адресу від групи зареєстрованих IP-адрес. Динамічний NAT також встановлює безпосереднє відображення між незареєстрованим та зареєстрованим адресою, але відображення може мінятися в залежності від зареєстрованої адреси, доступного в пулі адрес, під час комунікації.

Перевантажений NAT (NAPT, NAT Overload, PAT, маськарадінг) - форма динамічного NAT, який відображає кілька незареєстрованих адрес в єдину зареєстрований IP-адресу, використовуючи різні порти. Відомий також як PAT (Port Address Translation). При перевантаженні кожен комп'ютер в приватної мережі транслюється в той же самий адрес, але з різним номером порту.