Сети VPN

Определение: Виртуальная частная сеть (VPN) - соединение, установленное между двумя или несколькими точками доступа в общедоступную часть Internet и защищенное от "прослушивания" и модификации с помощью средств шифрования. Между узлами VPN, разделенными общедоступной частью Internet, информация передается посредством IP-пакетов, в которых данные зашифрованы. Этот метод передачи данных называется туннелированием. Основная причина использования VPN - их относительно низкая стоимость: компаниям дешевле воспользоваться услугами провайдеров по созданию и независимому сопровождению распределенных корпоративных сетей (VPN часто проектируются и поддерживаются Internet-провайдерами), чем тратить деньги на построение собственных глобальных сетей. Структура VPN включает в себя каналы глобальной сети, защищенные протоколы и маршрутизаторы. Виртуальные частные сети впервые получили широкое распространение в прошлом году, в настоящее время они применяются главным образом в качестве альтернативы сетям удаленного доступа и международным сетям.

Сопровождаемые Internet-провайдерами, виртуальные частные сети (VPN) позволяют сократить затраты на работу в корпоративных локальных сетях и уменьшить число сотрудников, которые занимаются их обслуживанием. По мнению аналитиков, очень скоро многие потребители будут использовать VPN в качестве основного приложения для поддержки удаленных пользователей. "VPN - важнейший вопрос современного сетевого рынка, - считает Том Нолл, президент консалтинговой и исследовательской компании CIMI. - Это разновидность услуг для компаний, занимающихся сопровождением корпоративных сетей, которая коренным образом отличается от существовавших ранее". Ден Мерриман, аналитик Giga Information Group, считает, что "стандарты туннелирования и защиты информации в таких сетях должны быть утверждены к середине 1998 года". К этому времени сети VPN будут использоваться значительно большим числом компаний. По его словам, для работы высокопроизводительных приложений VPN начнут применяться несколько позже, когда повысится надежность Internet.

Высокопроизводительные каналы

Иногда VPN становятся заменой внутрикорпоративным каналам frame relay и арендованным линиям. VPN можно использовать для организации международной связи - в этом случае не будет нужды ждать, когда владельцы средств связи предоставят необходимые каналы для передачи информации. Тем не менее пока рано говорить о том, насколько популярны VPN. По этим сетям сейчас передается менее 3% всего корпоративного трафика.

По мнению аналитиков, немаловажно то, что провайдеры Internet модернизируют свои магистральные сети, дабы гарантировать более высокую производительность. Многие операторы уже предлагают договоры о качестве услуг, предусматривающие определенную степень готовности сети, но лишь немногие из них оговаривают в этих соглашениях задержку при передаче трафика. Как только провайдеры модернизируют свои сети, VPN будут использоваться не только для удаленного доступа. Замена сетей SNA сулит большую прибыль, чем в случае только удаленного доступа. "Сейчас на SNA тратится 58 центов с каждого доллара, выделяемого на всю работу в сети", - считает Нолл. Он утверждает, что потенциальные пользователи VPN вынудят своих провайдеров задуматься о реализации технологии поддержки качества услуг, которая расширит возможности провайдера по передаче данных через Internet.

Джон Моренси, аналитик компании Renaissance Worldwide, рекомендует пользователям протестировать эту службу с нескольких узлов, прежде чем решиться на работу с VPN. "Опытные пользователи избирательно тестируют службы VPN перед тем, как принять решение", - подчеркивает он.

Реализация

Обувная компания Decker Outdoor использует VPN для связи со своими представительствами, расположенными в различных странах.

Виртуальная частная сеть с оборотом в 100 млн. долл. позволяет 20 сотрудникам центрального офиса, расположенного в Голландии, вести совместные проекты с разработчиками, находящимися в офисе компании, находящемся в США. Создание VPN обошлось примерно в 31 тыс. долл., позволив компании Decker экономить по 10 тыс. долл. в месяц (и покончив тем самым с затратами, связанными с применявшейся ранее сетью frame relay).

Сотрудники обоих офисов используют VPN для изменения статуса проекта с помощью базы данных Notes. Виртуальная частная сеть поддерживает схему тиражирования, используемую в Notes и играющую важную роль при работе с этим пакетом.

VPN обеспечивает производительность, достаточную для интерактивного доступа к базе данных. По мнению сотрудников компании, с повышением качества услуг в Internet производительность может только возрасти.

Защита, одно из самых уязвимых мест VPN, существенно улучшена за счет использования пакета NetFortress VPN-1 компании Fortress Technologies. Пакет автоматически меняет пароль каждые 24 часа.

По словам руководства, в этом году к виртуальной частной сети будут подключены офисы компании, расположенные в Гонконге, Мексике и Макао. Кроме того, планируется использовать видеоконференц-связь, что позволит сократить затраты на международные перелеты.

Точка зрения

Когда вы говорите о виртуальных частных сетях (virtual private network, VPN), что вы подразумеваете под этим термином?

VPN едва ли можно назвать новостью в мире сетевых технологий, однако это тот случай, когда на каждые три высказывающихся на эту тему приходится четыре или больше представлений о том, что же на самом деле обсуждается.

Разговаривая со специалистами о VPN и читая профессиональную прессу, я вывел для себя следующие основные определения виртуальной частной сети.

• Совокупность соединений frame relay или ATM между узлами, изолированная от других пользователей той же самой инфраструктуры frame relay или ATM благодаря механизму виртуальных каналов. Данная разновидность VPN заменяет различные типы арендуемых линий для соединения определенных точек.
• IP-туннели между узлами, реализованные в отдельной IP-инфраструктуре - сети IP, которая не поддерживается ни одним из основных Internet-провайдеров.
• IP-туннели между узлами, реализованные в общей инфраструктуре Internet.
• IP-туннели, которые соединяют поддерживаемые Internet-провайдером концентраторы удаленного доступа по телефонному номеру с корпоративным брандмауэром. При этом всю логику и управление обеспечивает Internet-провайдер.
• IP-туннели между удаленным пользователем и корпоративным брандмауэром с распределением логических и управляющих функций между пользовательским компьютером и брандмауэром.
• IP-туннели между программой клиента, которая выполняется на пользовательском компьютере, и сервером, расположенным в том же самом или в другом узле.
• IP-туннели между провайдером специализированных услуг на базе Internet, - например, пейджинговой компанией, - и брандмауэром или сервером узла.

Дополнительную путаницу создает возможность использования в IP-туннелях протоколов, отличных от IP, а также наличие или отсутствие механизмов шифрования.

Между первым из приведенных выше определений и всеми остальными есть четкое различие. По существу, службы VPN на базе ATM или сети с трансляцией кадров - это общепринятые телефонные службы. Они лишь слегка усовершенствованы по сравнению с обычными выделенными линиями.

В виртуальных частных сетях этого типа обеспечение всех управляющих и других функций, выходящих за рамки возможностей соединений уровня 2, возлагается на покупателя услуги. Заказчик волен использовать эти каналы по своему усмотрению - от организации корпоративной АТС и видеоконференций до сетей передачи данных.

Во всех остальных определениях упоминается протокол IP, но на этом их сходство и заканчивается.

В одних случаях VPN представляет собой специальную услугу Internet-провайдера. В других это просто нечто подобное обычному IP-соединению в сети.

Образование туннелей на основе протокола IP тоже создает условия для дополнительной путаницы. IP-туннелинг - это инкапсуляция пакета данных в обычный IP-пакет и передача его по IP-сети. Инкапсулированный пакет не обязательно сам должен быть IP-пакетом, кроме того, инкапсуляция может сопровождаться шифрованием для большей безопасности.

О VPN написано много - не в этой заметке, а в других технических публикациях. Но поскольку нет определенности, что стоит за этим термином, основой для большей части этих писаний служат, скорее всего, маркетинговые планы поставщиков, а не стремление дать четкое представление о проблеме. Хотелось бы надеяться на изменение ситуации.

Замечу: Гарвард в маркетинге не нуждается, - во всяком случае, в дополнительном, и все вышесказанное - мои личные наблюдения.