VPNs

VPNs - критическое требование для фирм, потому что они распределяют критический миссией и чувствительный трафик отдаленным местоположениям. Все более часто, клиенты смотрят на механизмы для того, чтобы обеспечить трафик и чтобы расширить досягаемость предприятия к географически рассеянным местоположениям. Технология VPN также расширяется на министерство внутренних дел, предоставляя дистанционным сотрудникам с организацией сети безопасности и работы, сопоставимой с этим доступный в офисе.

Большой драйвер интереса в VPNs был то, что клиенты должны общаться с людьми вне их предприятия, не только те в предприятии. Как упомянуто в Главе 5, "Основы Передачи данных," в 1980-ых, приблизительно 80 % информация, которая использовалась в пределах данного адреса бизнеса, прибыла изнутри того адреса. Только 20 % были обменены вне стен того местоположения. Сегодня, отношения полностью изменили: Целых 80 % обмененной информации - с пунктами вне данного делового адреса.

Другая причина для интереса в VPNs была то, что клиенты хотят к быстро и надежно изменяют их пункты доступа, поскольку изменения происходят в их фирмах. Много стратегических союзов и товариществ требуют, чтобы компании обменяли сообщения быстро. Некоторые из них - временный assignmentsfor пример, подрядчик, строящий оптическую волокном петлю или разработчика приложений, строящего новое составление счетов systemthat мог бы длиться несколько месяцев, в течение какого времени вовлеченные люди должны быть включены в сеть. Арендованные каналы позорны для того, чтобы требовать долгого ожидания для provisioningoften 6 - 18 месяцев. VPNs позволяют быстрое обеспечивание вместимости где и когда необходимо.

Трафик устойчиво мигрировал далеко от традиционных сетей, основанных на арендованных каналах (см. иллюстрацию 9.9) к общественным сетям. В результате мы видим устойчивый рост в псевдочастном царстве VPN (см. иллюстрацию 9.10). VPN - логическая сеть, которая изолирует трафик клиента на общедоступных средствах системной службы. Другими словами, трафик предприятия соединен с трафиком других компаний. VPNs были вокруг для некоторого timesince X.25 закрытые группы пользователей на сети коммутации пакетов и AT&T Определенная программным обеспечением Сеть (SDN) на переключенных схемой сетях. VPN похож на частную сеть, но это натыкается или на публику переключенная схемой сеть или на публику переключенные пакетом сети передачи данных. Таким образом, VPN не только решение в пределах царства IP; VPN - понятие, не определенный набор технологий, и это может быть развернуто по широкому диапазону сетевых технологий, включая переключенные схемой сети, X.25, IP, Создавать Реле, ATM, и MPLS.

С усовершенствованиями в VoIP и Видео по IP, потребители поняли, что они могут сходиться приложения в реальном времени, типа голоса, видео, и данных в одну схему доступа. Курьеры поняли, что с развитием сходившихся технологий, они больше не должны развернуть, поддерживать, и поддерживать и опорные сети IP и TDM. Однако, опорные сети IP курьеров не обеспечивают ни сегментацию трафика клиента, ни безопасность, обычно связанную с той сегментацией. При инициативе системных служб, организации стандартов признали значение стартовой работы над стандартизацией технологии VPN, через Группу по изучению ITU-T 13 и Провайдера IETF Обеспеченная группа VPNs (PPVPNs). Эти усилия по стандартизации сосредоточились на обеспеченном провайдером классе VPNs. Сегодня обеспечил провайдером и управлял провайдером, VPNs предназначены, чтобы подражать безотносительно LAN или БЛЕДНОГО обеспечения связи, которого клиент желает.

Следующие разделы обсуждают понятия клавиши VPN, типы VPNs, и безопасности VPN.

Ключевые Понятия VPN

VPN использует общедоступную инфраструктуру курьера. Это может обеспечить дополнительную полосу по требованию, которая является невероятным подвигом, по сравнению с неделями, к которым обычно требуется добавьте пропускную способность к посвященным сетям. Курьеры строят VPNs с расширенной жизнеспособностью и способностями восстановления, так же как сетевыми инструментами управления и поддержкой, так, чтобы QoS можно рассмотреть, и соглашениями сервисного уровня (SLAs) можно управлять и встречаться.

Есть две главных модели VPNs:

• Край клиента моделирует, Эта модель на основе клиента требует, чтобы CPE был полностью способным к конфигурированию и обеспечиванию VPN и таким образом приводит к более высоким эксплуатационным расходам для пользователя предприятия. Сведения маршрутизации постоянно находятся на сайте конечного пользователя. Системные службы устанавливают шлюзы, маршрутизаторы, и другое оборудование VPN по помещению клиента. Поскольку это требует, чтобы системная служба управляла локальным оборудованием, стоимость, связанная с локальными посещениями от наладчиков может быть высокой. Этот подход вообще предпочитается, где клиент хочет управлять всеми аспектами безопасности.

• Модель края провайдера В этой модели, сведения VPN постоянно находятся на краю провайдера, где это может быть расширено на многие местоположения конечного пользователя. Здания курьера все необходимое оборудование в месторасположении (POP) около местоположения клиента. Это предлагает преимущества масшабируемости, поддержка все более и более разнообразного диапазона УСЛУГ IP-ТЕЛЕФОНИИ, и эффективного установления приоритетов трафика. Это обеспечивает, фонд должен был объединить установленную и мобильную связь VPN в одну структуру без шва. Этот подход вообще предпочитается клиентами, которые хотят использовать в своих интересах экономию за счет роста производства курьера VPN.

Структуры VPN

Современный VPNs может быть описан как принадлежность одной из трех категорий: VPNs на основе Интернета, обеспеченный VPNs, и VPNs на основе IP. Следующие разделы определяют природу этих типов VPNs.

VPNs на основе Интернета

В VPN на основе Интернета (см. иллюстрацию 9.11), меньшие ISPs обеспечивают местное обслуживание доступа в определенных географических областях, требуя предприятия получить от начала до конца обслуживание от многократных поставщиков. VPN на основе Интернета использует кодирование, чтобы создать форму закрытой группы пользователей, таким образом изолируя трафик предприятия и обеспечивая приемлемую безопасность для предприятия поперек публики совместно использовал пакетную сеть. Однако, потому что это вовлекает многократный ISPs в поставку VPN, работа непредсказуема. Самая большая проблема наличия многократных поставщиков - неспособность определить и встречать последовательную непрерывную пропускную способность или цели работы.

Иллюстрация 9.12 показывает тому, что вовлечено в обеспечение VPN на основе Интернета. Клиент имеет внутри широкое разнообразие серверов, которые придумывают корпоративное содержание, системы финансов, системы обслуживания клиента, и так далее. VPN ответственный за формирование пакета информации и следовательно аспекты безопасности. Отдаленное Опознавательное Вызванное по телефону Пользовательское Обслуживание (РАДИУС), идентификация и сервер управления доступа, используется, чтобы подтвердить подлинность пользователя, который желает обратиться к корпоративным ресурсам. Сервер РАДИУСА соединяется с сервером каталога, который содержит учетные записи пользователя позволенных обратиться к сети. Трафик от сервера VPN обычно проходит через межсетевую защиту, которая определяет, позволяют ли в трафик или из сети. Маршрутизатор выбирает оптимальный путь для сообщений, чтобы взять, и схема физически заканчивается на модуле обслуживания модуля/данных обслуживания канала (CSU/DSU). Частная линия связывает с помощью интерфейса с POP интернет-провайдера. От того пункта, VPN или использует общественный Интернет, который включает многократный ISPs или полагается на опорные сети IP, обеспеченные индивидуальным провайдером или по крайней мере маленькой группой провайдеров. Пользователям, которые воздействуют на мобильные устройства, оборудовали портативные компьютеры с клиентом и обслуживанием VPN, необходимым для формирования пакета и для администрации безопасности.

Иллюстрация 9.12. Части VPN на основе Интернета

[Рассмотрите полное изображение размера]

Обеспеченный VPNs

VPNs полагаются на способность управлять льготной обработкой к приложениям, пользователям, и так далее. Общественный Интернет не поддерживает льготную обработку, потому что подчинено задержаться, дрожать, и потеря; это является поэтому неподходящим для обслуживания следующего поколения, которое требует высокой эффективности. В большинстве случаев, чтобы приспособить деловых клиентов, которые интересуются таким расширенным обслуживанием и что запрос SLAs, основной транспорт является Реле Рамки или ATM. Создайте Реле и ATM, который VPNs предлагают большим уровням QoS и могут выполнить SLAs, на который клиенты и продавцы соглашаются. Однако, они требуют, чтобы клиент приобрел интегрированное устройство доступа (IAD), чтобы иметь внутри, который может увеличить стоимость развертывания значительно. IADs дают возможность предприятию соединить голос, данные, и видео трафик на краю клиента.

Обеспеченный VPN (см. иллюстрацию 9.13) - переключенный пакетом VPN, который натыкается на опорную сеть системной службы, вообще используя Реле Рамки или ATM. Этот тип VPN основан на Уровне модели OSI на 2 виртуальных схемах, типа используемых Реле Рамки, ATM, или MPLS, и это обеспечено основанное на заказах клиента. Виртуальные схемы, основанные на предопределенных местоположениях создают закрытые группы пользователей и работают хорошо, чтобы вырезать VPN в разделенной сети публики, ограничивая доступ и использование к обеспеченному сообществу VPN. Однако, кодирование все еще обязано надежно защищать информацию от воровства или модификации злоумышленниками.

Иллюстрация 9.13. Обеспеченный VPN

[Рассмотрите полное изображение размера]

Обеспеченный VPN дифференцирован от VPN на основе IP его способностью поддержать многократные протоколы и фактом, что это предлагает улучшенную работу и управление. Эти VPNs характеризованы как наличие превосходной работы и безопасности, но отрицание - то, что единственный продавец, возможно, не предлагает необходимую досягаемость и широту в предложениях условий использования.

Иллюстрация 9.14 показывает тому, на что CPE похож для основанного VPN на Реле Рамки или ATM. Клиент имеет IAD, который позволяет голос и данные сходиться в помещении клиента. IAD кормит в оборудование передачи данных, который схема идет в POP системной службы. В POP системной службы - многофункциональное устройство доступа, которое дает возможность многократным протоколам и интерфейсам быть поддержанными, и это обеспечивает доступ к основной сети системной службы, которая является основанной на использовании Реле Рамки или ATM. Чтобы дифференцировать Реле Рамки и VPNs на основе ATM от VPNs на основе IP, системные службы подчеркивают, что многократные протоколы поддержаны и что они полагаются на использование виртуальных схем или меток MPLS, чтобы облегчить надлежащий путь, таким образом гарантируя лучшую работу и обеспечивая способности организации дорожного движения.

Иллюстрация 9.14. Реле Рамки - или на основе ATM обеспечивало VPN

[Рассмотрите полное изображение размера]

Далее дифференцировать Реле Рамки или VPNs на основе ATM от регулярного Реле Рамки или обслуживания ATM, дополнительный functionssuch как классификация пакета и изоляция трафика, способность обработать многократные отдельные отправляющие пакет таблицы и случаи маршрутизации протоколов для каждого customerreside на краю.

IP VPNs

Принимая во внимание, что VPNs на основе Интернета имеют тенденцию вовлекать многочисленный ISPs, VPNs на основе IP имеют тенденцию вовлекать опорные сети IP, которые находятся под управлением данной системной службой или находящейся в собственности клиента сетью предприятия. IP VPN - в основном частное, или ограниченный, система коммуникаций, созданная по общедоступным сетям на основе IP, обычно обслуживаемым на опорных сетях провайдеров, но с подключениями к общественному Интернету. VPNs на основе IP традиционно упомянулись как сети безопасных связей по общественной инфраструктуре IP. Однако, сегодня IP VPN, вероятно, будет MPLS-базируемой инфраструктурой. (ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ MPLS VPNs обсуждается позже в этой главе.) Однако, насколько пользователь заинтересован, опыт - то же самое, независимо от методики. IP, который обслуживание VPN обеспечивает безопасному доступу для того, чтобы подключить интранет с другим интранетом, мобильным телефоном поддержки и teleworker, обращается к их интранету предприятия, и предусматривает подключение extranets к частному предприятию, образованию, и правительственным сетям.

Как обсуждается позже в этой главе, есть две широких категории IP VPNs:

• VPNs на основе сети С VPN на основе сети, всеми сведениями маршрутизации и топологией VPN для VPN обеспечиваются на краю провайдера курьера. IP на основе сети VPNs делает жизнь намного легче для пользователей: поскольку вся топология VPN сохранена на краю провайдера курьера, провайдер имеет ответственность управления всей сложностью топологии VPN. Все потребности клиента - единственное подключение от CPE до края провайдера.

• CPE-базируемый VPNs В случае CPE-базируемых VPNs, которые являются чаще всего основанными на IPsec, сетевая топология, определен в маршрутизаторе края клиента. Очевидно, с большими или высоко пойманными в сети сетями, управление очень многими туннелями и правилами VPN может быть подавляющим и может строго затронуть способности маршрутизаторов края клиентов.

IP VPNs обсуждается подробно позже в этой главе.

Туннелирование VPN

Цель VPN состоит в том, чтобы обеспечить обеспечение связи по общедоступной инфраструктуре, которая является столь же безопасной и рентабельной как посвященная частная сеть, типа Реле Рамки или сети ATM. Кроме того, решение VPN должно быть масштабируемым, очень доступным, и простым справиться. И конечно, QoS - необходимая особенность. VPN работает при использовании общедоступной общественной инфраструктуры, поддерживая секретность через процедуры безопасности и протоколы туннелирования, типа Протокола Туннелирования Пункта-к-пункту (PPTP), Уровень 2 Протокола (L2TP) Туннелирования, Родовое Формирование пакета Маршрутизации (GRE), и Безопасность IP (IPsec).

В действительности, протоколы, зашифровав данные в конце посылки и расшифровке этого в конце получения, посылают данные через туннель, который не может быть введен данными, которые должным образом не зашифрованы. Дополнительный уровень безопасности вовлекает шифровку не только данные но также и возникновение и получение сетевых адресов. Туннелирование - передача данных, предназначенных для использования только в пределах частного, обычно предприятия, сеть через общественную сеть таким способом, что узлы маршрутизации в общественной сети не знают, что передача - часть частной сети.

Как показано в иллюстрации 9.15, туннелирование вообще делается, заключая в капсулу частные сетевые данные и информацию протокола в пределах общественных сетевых модулей передачи так, чтобы частная сетевая информация протокола появилась к общественной сети как данные. Туннелирование позволяет использование Интернета, который является общественной сетью, передавать данные от имени частной сети. Туннелирование VPN не предназначено вместо кодирования и расшифровки. В случаях, где высокий уровень безопасности необходим, самое сильное кодирование должно использоваться в пределах VPN, и туннелирование должно служить только как удобство. Некоторые протоколы туннелирования включают кодирование: PPTP включает MPPE (Кодирование Пункта-к-пункту Microsoft, основанное на ДИСТАНЦИОННОМ УПРАВЛЕНИИ 4), и IPsec определяет туннельный режим, типично используемый в шлюзе-к-шлюзу (но не клиенте-к-шлюзу) связь. (Безопасность VPN покрыта подробно позже в этой главе.)

Клиенты и провайдеры могут использовать различные разновидности туннелей пункта-к-пункту, чтобы служить логическими связями в IP VPN. IP туннель VPN подключает два сайта или пользователя к сайту, налагая отдельный туннельный заголовок на пакете данных VPN на исходном сайте и избавляясь от туннельного заголовка на сайте адресата. Это позволяет путешествию пакетов данных VPN непрозрачно через общественный Интернет, независимый от их полезного груза или содержания заголовка.

Приложения VPNs

VPN - архитектура, ряд продуктов и программных функций, связанных вместе и сильно калиброванный. Управление VPN влечет за собой контакт прежде всего с двумя проблемами: контроль политики безопасности и параметров, и обеспечения, что функция приложений в пределах требований времени ожидания. Важно быть в состоянии к эффективно и легко управлять окружающей средой VPN. Вы должны рассмотреть, как простой это должно проследить туннельный трафик VPN, управление политики поддержки, проследить QoS, нарушения безопасности дорожки, и поддержать общественные ключевые власти свидетельства (Калифорния). Управляемый VPN servicesthe подход с одним магазином останова к VPNsare намеревался блокировать в пользователях и уменьшать дорогостоящую маслобойку клиента, но с этим подходом, функциональная совместимость очень ограничена. Управляемые VPNs обеспечивают способности, типа подключения IP и транспортируют обслуживание, маршрутизаторы, межсетевые защиты, и коробку VPN на сайте клиента. Выгоды этого подхода включают факт, что это вовлекает единственного сервисного продавца, SLAs, гарантируемый время ожидания и пропускную способность, и безопасность трафика, являющегося ограниченным одной сетью.

Приложения VPN обеспечивают максимальные возможности экономить деньги и сделать moneyby, заменяющий арендованными каналами с интернет-обеспечением связи, уменьшая затраты модемной связи отдаленным доступом, и стимулируя новые приложения, используя extranets. Эти сбережения могут быть существенными.

Три главных приложения VPNsintranets (то есть, сайт к сайту VPNs), отдаленный доступ, и extranetsare, исследованный в следующих разделах.

Интранет VPNs

VPNs Интранета - подключения сайта к сайту (см. иллюстрацию 9.16). Ключевая цель интранета VPN состоит в том, чтобы заменить или уменьшить использование сетей арендованного канала, традиционных маршрутизаторов, и обслуживания Реле Рамки. Сбережения стоимости в перемещении от частных сетей до VPNs на основе Интернета могут быть очень высокими, в соседстве 50 % к 80 % ежегодно. Помните, что VPNs на основе Интернета позволяют, что меньше управления по качеству и работе приложений чем делает обеспеченный VPNs; это - что - то вроде средства устрашения, и много клиентов все еще хотят рассмотреть Реле Рамки или VPNs на основе ATM, которые обеспечивают лучше QoS. Сбережения могли бы понизиться немного, но стоимость обеспеченного VPN все еще будет существенно меньше чем стоимость использования арендованных каналов.

Есть два ключевых барьера к строительству большего количества интранета, основанного на VPNs: Сначала, есть разница между продуктами продавцов, которая приводит к проблемам функциональной совместимости, и секунде, сегодняшний Интернет неспособен обеспечить от начала до конца QoS.

Отдаленный Доступ VPNs

Самое интересное и непосредственное решение VPN для большинства клиентов - замена отдаленных серверов доступа. VPN отдаленное выполнение доступа может сохранить клиентов от 30 % до 70 % по традиционной модемной связи отдаленное развертывание сервера доступа. Отдаленные серверы доступа обеспечивают доступ к отдаленным пользователям, вообще через аналоговую обычную телефонную сеть (обычная телефонная сеть) линии, или, возможно, подключения цифровой сети комплексного обслуживания, включая протоколы модемной связи и управление доступа для идентификации (управляемый серверами). Однако, отдаленный сервер доступа требует, чтобы Вы поддержали стойки модемов, соответствующие оконечные адаптеры для обслуживания цифровой сети комплексного обслуживания, или модемов типа цифровой абонентской линии для обслуживания цифровой абонентской линии. Вы также нуждаетесь в отдаленных маршрутизаторах доступа, которые подключают отдаленные сайты через частную линию или государственные перевозчики и обеспечивают преобразование протокола между LAN и WANs. Чтобы иметь внутреннее выполнение отдаленного доступа, Вы должны приобрести все эти устройства, так же как талант поддержать их.

Если предприятие нуждается в отдаленных подключениях доступа вне местных областей запроса, и/ИЛИ если это нуждается в зашифрованной связи, вообще довольно просто выровнять обслуживание VPN, а не отдаленный сервер доступа на основе предприятия. Начальная стоимость из аппаратных средств для VPN подход - приблизительно 33 % меньше чем стоимость аппаратных средств для традиционной модемной связи отдаленное развертывание сервера доступа. Клиент также сохраняет по обвинениям для местных схем доступа, и дорогостоящие потери и международные обвинения устранены.

На основании поддержки большего диапазона клиентов, системная служба, которая предлагает VPN-базируемый отдаленный доступ, более вероятно, поддержит более широкое разнообразие широкополосных опций доступа, включая xDSL, кабельных модемов, и широкополосного радио. VPN-базируемый отдаленный доступ также уменьшает управление и обслуживание, требуемое с модемными банками и отдаленными проблемами удаленного доступа клиента. По этим причинам, отдаленный доступ представляет первичное приложение, для которого клиенты поворачиваются к VPNs. Иллюстрация 9.17 показывает примеру отдаленного доступа VPN.

Extranet VPNs

Extranet VPNs позволяют внешней организации определять доступ к внутренним сетям предприятия и ресурсам (см. иллюстрацию 9.18). Есть три главных категории extranets: поставщик extranets, которые сосредотачиваются на том, чтобы ускорять связь по цепочке поставки; дистрибьютер extranets, которые сосредотачиваются на стороне запроса и обеспечивают большой доступ к информации; и пэр extranets, которые создают увеличенное соревнование внутрипромышленности.

Иллюстрация 9.18. extranet VPN

[Рассмотрите полное изображение размера]

Ключевые приложения для extranets включают распределение маркетинга и информации продукта, онлайн упорядочения, объявляя и истории учетной записи, обучая политику и стандарты, управление инвентаря, совместные научные исследования, и электронная почта, чат, новости, и содержание.

Выгоды и Развитие VPNs

Главная выгода VPNs по сравнению с арендованным каналом или сетями Реле Рамки стоится сбережения. VPNs также оптимизируют окружающие среды тот IP использования; они имеют менее верхний чем Реле Рамки, и протоколы туннелирования могут устранить потребность в составляющем собственность формировании пакета протоколов. Обеспеченные VPNs также имеют дополнительные выгоды Реле Рамки и ATM в администрации виртуальных схем и QoS. VPNs также обеспечивают способность поддержать доступ модемной связи, и большая избыточность достигнута в сети на основании пойманных в сети сетей. Кроме того, VPNs не обязательно требуют непрерывную цифровую инфраструктуру волокна.

VPNs подвергаются развитию, и к различным параметрам все еще нужно обратиться. Среди тех - гарантии QoS. Эффективное установление приоритетов трафика - в основе QoS, и в настоящее время доступные механизмы включают Дифференцированное Обслуживание (DiffServ), Организация очереди на основе класса (CBQ), Общее Открытое Обслуживание Политики (ПОЛИЦЕЙСКИЕ), и MPLS. (Эти механизмы покрыты в Главе 10.) Другие области развития в VPNs - tiering обслуживания VPN (то есть, пропускная способность tiering и различное управление политики), способность поддержать автообеспечивание, и акцент на безопасности.

QoS и безопасность - два самых важных рассмотрения в управлении VPNs, таким образом продолжительности работы, задержки, и SLAs должны быть структурированы. Например, гарантии QoS могли обещать 100%-ую пригодность сети помещения-к-помещению, с максимальным временем ожидания 80 миллисекунд. Некоторые продавцы предлагают отдельный SLAs для посвященного и отдаленного доступа. Для посвященного доступа, SLA может предложить гарантию пригодности 99.9 % и максимальной гарантии времени ожидания 125 миллисекунд. На отдаленном доступе SLAs, может быть предусмотрена занято-без гарантия пригодности набора кода 97 %, и гарантия времени ожидания зависела бы от начальной модемной скорости подключения.

Сегодня, три основных типа управляемого курьером IP обслуживание VPN предлагаются:

• CPE-базируемый IPsec VPNs Эти VPNs вообще используются, чтобы поддержать предприятие сайта к сайту VPNs и, разными способами, стали золотым стандартом для безопасности VPN, особенно когда трафик переезжает общественный Интернет.

• IPsec на основе сети VPNs Эти VPNs может переехать Интернет или частные средства IP системной службы. Клиенты используют подключения арендованного канала от маршрутизатора помещения к POP системной службы.

• MPLS на основе сети VPNs Эти VPNs получают большинство внимания сегодня. Решения системных служб VPN могут быть развернуты, используя частичную петлю, полную петлю, и дизайны "центр и говорили". Они могут обеспечить пункт-к-пункту и многоточечное обеспечение связи. Они поддерживают множество обслуживания и доступны от многократных провайдеров во всем мире.

Стандарты VPN

Начальные усилия по стандартизации обслуживания VPN сосредоточились на Уровне системной службы 3 решения, где многократное конкурирующее выполнение было уже развито. Главные движущие силы инициатив стандартов включали сценарии функциональной совместимости и применимости мультипродавца каждого из тех Уровень 3 решения. Позже, интерес в Уровне 2 провайдера edgebased решения управлялся растущей привлекательностью рынка Сети Ethernet метро и способности предложить относительно простые пути перемещения от традиционного Уровня 2 ATM и обслуживание Реле Рамки к VPNs на основе сети по инфраструктуре IP.

ITU-T главным образом развил требования, элементы архитектуры, и Уровень 1 архитектура и в настоящее время воздействует на обобщенную архитектуру VPN и аспекты QoS. IETF сосредоточился на Уровне 3 и Уровне 2 решения и связал сценарии применимости. Наконец, Уровень на основе сети Ethernet 2 домена VPN покрывает области интереса для различных сообществ стандартов. Форум Сети Ethernet Метро (www.metroethernetforum.org) - одна из главных групп, воздействующих на решения предложить Уровню Сети Ethernet 2 VPNs использование метро Сети Ethernet или основных сетей.

Типы IP VPNs

VPNs на основе IP были первоначально развернуты, чтобы обратиться к двум определенным долям рынка:

• Виртуальные частные сети набора кода (VPDNs) VPDNs были развиты для дистанционных сотрудников и дорожных воинов, которые нуждались обеспечить и удобный доступ к их серверам предприятия (см. иллюстрацию 9.19). Этот подход включил использование PPTP, L2TP, или IPsec. С VPDN, конечный пользователь устанавливает пользователя "сеанса пункта-к-пункту к корпоративному шлюзу", который едет по комбинации двух связей: канал связи модемной связи к краю Провайдера услуг интернета и туннелю VPN (иногда называемый добровольным туннелем) от пользователя к шлюзу предприятия (менее обычный - обязательный туннель, установленный от края ISP до шлюза предприятия). L2TP поддерживает туннелирование сеансов PPP, содержащих пользовательские данные через Интернет, но отдельно не безопасен; подключения L2TP - ясный текст. L2TP обычно объединяется с IPsec, чтобы достигнуть необходимой секретности. Жилой доступ модемной связи к Интернету использует подобную технологию. Широкополосная сеть обеспечивает дополнительные опции, включая использование кабельных связей, связей цифровой абонентской линии, или 802.11 в беспроводном царстве.

• Сайт к сайту Сайт к сайту VPNs VPNs был развит для предприятий, желающих общаться по общественному Интернету, но требующих идентификации целостности данных и секретности. Главный подход включил использование IPsec или GRE. Однако, еще много опций теперь доступны, особенно в провайдере edgebased арена. Как показано в иллюстрации 9.20, провайдер edgebased VPNs доступен как Уровень 3 VPNs и Уровень 2 VPNs. Уровень 3 VPNs предлагает два выбора: запрос на комментарии 2547 и виртуальные маршрутизаторы. Уровень 2 VPNs также предлагает два выбора: виртуальное частное агентство новостей (VPWS) и Виртуальное Частное Обслуживание LAN (VPLS).

Следующие разделы описывают различные типы сайта к сайту VPNs.

IPsec VPNs

IPsec был вокруг в течение достаточно долгого времени и предлагается большинством системных служб как механизм для трафика туннелирования поперек Интернета к областям, где провайдер не имеет POP. Чтобы обращаться к усиленным требованиям безопасности, клиент или провайдер, управляющий маршрутизаторами CPE не могут строить ассоциации безопасности IPsec (не названный туннелями если используя определенный тип ассоциации безопасности, известной как туннельный режим, описанный коротко) поперек Интернета, чтобы связать CPE. Чтобы подтверждать подлинность и зашифровать пользовательские данные, пакеты отправлены поперек общедоступного Интернета. IPsec использует разнообразие обменов протокола и формирований пакета в конечных точках.

IPsec - набор протокола IETF, который обращается к целостности исходных данных и безопасности. Это покрывает кодирование, идентификацию, и ключевой обмен. Это поддерживает ключевые размеры переменных длин, в зависимости от способностей каждого конца подключения. IPsec подчеркивает безопасность, подтверждая подлинность обоих концов подключения, договариваясь о протоколе кодирования и клавише для зашифрованного сеанса, и зашифровав и расшифровывая данные учреждения сеанса. IPsec обеспечивает безопасную передачу пакетов в уровне IP, включая идентификацию и кодирование пакетов. Это достигнуто при использовании опознавательного заголовка и заключающих в капсулу особенностей полезного груза безопасности IPsec.

IPsec использует транспортные и туннельные режимы. В транспортном режиме, только зашифрован полезный груз IP. Нет никакого изменения к оригинальному заголовку IP. Это вообще используется между хостами или маршрутизаторами и также в VPNs клиент-сервер. В туннельном режиме, зашифрована вся датаграмма IP; оригинальный пакет заключен в капсулу в IPsec и дан новый заголовок IP. Этот режим вообще используется между шлюзами.

IPsec и ИКОНОСКОП в IPv4 и IPv6 Интернет-Ключевой Обмен (ИКОНОСКОП), который определен в запросе на комментарии 2409, является ключевым обменным протоколом, который Безопасность IP (IPsec) использует в компьютерах, которые должны вести переговоры, безопасность associationsthat, подключения между системами, установленными ради обеспечения пакетов, переданных поперек connectionswith друг друг. Хотя IPsec является дополнительным в IPv4, в IPv6, обеспечивая безопасность через IPsec и, в свою очередь, ИКОНОСКОП принудителен. С ИКОНОСКОПОМ, общественные ключевые методики используются, чтобы взаимно подтвердить подлинность сторон сообщения. ИКОНОСКОП поддерживает и цифровые свидетельства и предразделенные клавиши для идентификации. ИКОНОСКОП использует обмен клавиши Diffie-Hellman, чтобы установить общедоступную тайну сеанса, из которой получены оптовые шифровальные клавиши. Если Вы используете предразделенные клавиши, то каждый узел должен быть связан с каждым другим узлом уникальной клавишей, и число необходимых клавиш может стать неконтролируемым (например, два устройства нуждаются в 1 клавише, и восемь устройств нуждаются в 28 клавишах). Именно поэтому большинство выполнения производства IPsec использует цифровые свидетельства, выпущенные чаще всего внутренними властями свидетельства. Версия 2 (IKEv2) ИКОНОСКОПА, определенная в запросе на комментарии 4306, расширяется на IKEv1. (Общественные клавиши, цифровые свидетельства, и Калифорния обсуждаются позже в этой главе.)

Первоначально, IPsec стал преобладающим механизмом для того, чтобы обеспечить основную архитектуру VPN. Эта технология работает над Уровнем OSI 3, чтобы создать подключение в сеть так, чтобы, поскольку устройство вошло, это может действовать, как будто это физически присоединено к LAN. Зашифровав трафик, клиент может строить сети VPN по Интернету. Трафик клиента зашифрован, но не обязательно сегментирован. IPsec обеспечивает кодирование и идентификацию, но в работе есть обмен, хотя самые современные аппаратные средства могут обработать шифровальные требования достаточно хорошо. Вообще, IPsec неэффективен, потому что это требует существенный наверху зашифровать трафик. Это может быть приемлемым на медленных связях, но пропускная способность значительно затронута на быстродействующих связях. Большинство продавцов маршрутизатора обеспечивает способности IPsec, внедренные в операционные системы, но в маршрутизаторах есть существенная деградация работы.

Обработка IPsec Скорости линии все еще не то, где большинство клиентов хотело бы, чтобы это было. Вы должны взять это в рассмотрение, выбирая платформу маршрутизации, которая будет начинать ассоциации безопасности IPsec. В дополнение к воздействию работы, есть дополнительное управление наверху конфигурированием, поддержанием, и управлением IPsec поперек облака IP. IPsec, ключевое распределение, ключевое управление, и глядящая конфигурация могут стать сложными в большом развертывании IPsec.

GRE VPNs

Запрос на комментарии 2784 и запрос на комментарии 1702 определяет протокол GRE для того, чтобы использовать IP и как протокол полезного груза и поставка. В самом общем случае, система имеет пакет, который должен быть заключен в капсулу и поставлен некоторому адресату, называл пакет полезного груза. Полезный груз сначала заключен в капсулу в пакете GRE. Окончание пакет GRE может тогда быть заключено в капсулу в некотором другом протоколе и ускорено. Этот внешний протокол упоминается как протокол поставки.

GRE - простой не имеющий гражданства протокол, который учитывает туннелирование IP в IP. Туннели GRE могут использоваться, чтобы сформировать VPNs, подключая отдаленные сайты при использовании частных адресов IP через общественную сеть. Эти туннели конфигурированы между маршрутизаторами края провайдера и прозрачны к остальной части сети. GRE VPNs в настоящее время имеют простую поддержку QoS. По умолчанию, значение DSCP в каждом заголовке полезного груза скопировано в туннельный заголовок. Это означает, что любая политика QoS для пакетов IP может быть применена к GRE-скрытым пакетам также. Добавленная выгода - то, что GRE VPNs обеспечивают окрестности непосредственно между маршрутизаторами клиента.

GRE VPNs обеспечивают полное разделение между клиентом и маршрутизацией провайдера (см. иллюстрацию 9.21). Клиенты могут выполнить их собственные протоколы маршрутизации поперек VPN и не иметь никакого взаимодействия с протоколами провайдера. На внутренний межсетевой протокол, посвященный клиентам, типа OSPF или ISIS, можно натыкаться сеть провайдера со строгим разделением из внутренних или внешних протоколов маршрутизации провайдера. Если клиенты переходят от частной сети предприятия, они могут быть в состоянии использовать этот подход сохранить большую часть их внутренней межсетевой конфигурации протокола.

Ключевые понятия в GRE VPNs включают многократные контексты и многократные интерфейсы:

• Контексты решения маршрутизатора GRE VPN, все полагаются на контексты, которые являются виртуальными маршрутизаторами, выполняющимися в пределах единственных физических устройств. Контекст имеет его собственное место адреса IP, таблицу маршрутизации, пользовательскую идентификацию, регистрируя и отладка функций, и других признаков. Клиенты получают посвященный контекст для каждого VPN.

• Виртуальные или логические интерфейсы Интерфейсов дают возможность физическим портам или схемам быть индивидуально отображенными к различным контекстам через простые команды конфигурации. Интерфейс - логический объект, который держит адрес IP и конфигурирован как часть контекста. Интерфейсы независимы от физических портов и схем. Интерфейс может передать трафик только, когда это обязано к, или связанный с, физический порт или схема. Этот процесс переплета может быть изменен в любое время так, чтобы порт клиента мог легко быть отображен к одному контексту и затем повторно отображен к другому только с одной линией кода конфигурации.

Маршрутизаторы GRE могут нести трафик мультиприведения в туннелях GRE. Курьеры могут, поэтому, распределить трафик мультиприведения, типа видео, в GRE VPNs или использовать туннели GRE, чтобы нести трафик мультиприведения через unicast сеть. Последнее приложение идеально, когда курьер хочет поддержать способность мультиприведения в только определенных маршрутизаторах выбора или долях сети. Провайдер может поддержать GRE VPNs как только первый шаг в его стратегии VPN. Если провайдер хочет в конечном счете предложить Протокол Шлюза Границы (ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ) и MPLS VPNs, это может продолжить предлагать GRE VPNs, в то время как сеть мигрируется к MPLS, и петля ПОГРАНИЧНОГО МЕЖСЕТЕВОГО ПРОТОКОЛА между маршрутизаторами края провайдера конфигурирована. Тогда провайдер может мигрировать GRE VPN клиенты, чтобы быть ПОГРАНИЧНЫМ МЕЖСЕТЕВЫМ ПРОТОКОЛОМ MPLS VPNs (которые обсуждаются позже в этой главе, в разделе "запрос на комментарии 2547 (ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ MPLS) VPNs").

Уровень 3 VPNs

Цель Уровня 3 VPNs к virtualize кратному числу в - VPN отправляющие случаи в пределах единственной физической платформы. Это предлагает новому IP клиента обслуживание VPN, уменьшает основные и операционные расходы, предлагает масшабируемость, и обеспечивает percontrol защиту самолета, изоляцию, и безопасность. Провайдер вперед пакеты, основанные на Уровне клиента, 3 адреса, и клиент делают меньше маршрутизации, потому что провайдер помогает в распределении маршрутов клиента к сайтам VPN.

Основные компоненты Уровня 3 VPN - провайдер, край провайдера, и маршрутизаторы края клиента. Маршрутизаторы провайдера - IP или маршрутизаторы MPLS, найденные в ядре, и они связывают маршрутизаторы края провайдера на краю. Маршрутизатор края провайдера сидит на краю сети провайдера и обеспечивает интерфейс между маршрутизатором края клиента и IP или опорной сетью MPLS. Маршрутизаторы края клиента обменивают их таблицы маршрутизации с маршрутизаторами края провайдера через стандартные протоколы маршрутизации, типа РАЗРЫВА, OSPF, Усовершенствованный Внутренний Шлюз, Направляющий Протокол (EIGRP), и ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ.

Как показано в иллюстрации 9.22, устройства края провайдера, которые осуществляют функциональные возможности VPN, осуществляют ряд в - VPN виртуальные посылаемые случаи (VFIs). VFI - логический объект, который постоянно находится на краю провайдера, который включает основу информации маршрутизатора и отправление информационной основы для случая VPN. Отдельное отправление или переключение случая посвящены одному определенному VPN. Клиент edgesourced пакеты отправлен поперек опорной сети провайдера в туннеле, основанном на в - VPN VFI поиск Уровня клиента адресата 3 адреса. VFIs принимают посылаемые решения, основанные на Уровне пакета клиента VPN 3 информации (то есть, адрес IP адресата пакета).

Иллюстрация 9.22. Провайдер Уровень на основе края 3 модели справочной информации

[Рассмотрите полное изображение размера]

Объекты VFI, осуществленные в различных устройствах края провайдера на той же самой сети системной службы и принадлежащий тому же самому VPN связаны через туннели VPN. Как упомянуто ранее в этой главе, туннель VPN - виртуальная связь между двумя объектами, которые принадлежат тому же самому VPN. Эта виртуальная связь осуществлена посредством добавления заголовка формирования пакета к каждому отправленному пакету, и тот заголовок понят опорной сетью сети коммутации пакетов таким способом, что скрытый трафик может быть отправлен от объекта источника сети коммутации пакетов до объекта адресата сети коммутации пакетов. Исходный объект ответственен чтобы добавить заголовок формирования пакета, и объект адресата ответственен за то, что удалил это. Многократные туннели VPN, установленные между теми же самыми двумя устройствами края провайдера часто мультиплексируются в провайдере edgetoprovider туннель сети коммутации пакетов края и очевидно переносятся устройства ядра провайдера сети коммутации пакетов.

Сайт клиента - местный частный networkthat, ряд устройств коммуникации, которые не используют общедоступную опорную сеть, чтобы общаться друг с другом. Устройства края сайта, маршрутизаторов края клиента, связаны с одним из устройств края провайдера системной службы через подключение доступа или схему вложения через сеть доступа. Подключение доступа в этом контексте - посвященный Уровень 2 подключения, типа ATM виртуальная схема, идентификатор подключения канала связи Реле Рамки (DLCI), подключение PPP, интерфейс Сети Ethernet, или виртуальный LAN. Это мог также быть Уровень 3 туннеля, типа ассоциации безопасности IPsec по Интернету. Клиент edgetoprovider подключение доступа края конфигурирован, чтобы быть связанным с определенным VFI на краю провайдера, в зависимости от какого VPN сайт принадлежит.

Уровень 3 VPNs осуществлен двумя способами:

• Запрос на комментарии 2547 (ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ MPLS) запрос на комментарии VPNs 2547 - IETF информационный документ, который описывает ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ MPLS. Запрос на комментарии 2547bisthe вторая версия запроса на комментарии 2547is интернет-Проект. Запрос на комментарии 2547bis VPNs также известны как ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ MPLS VPNs, потому что ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ используется, чтобы распределить VPN, который маршрутизация информацию поперек опорной сети провайдера и MPLS используется, чтобы отправить трафику VPN от одного сайта VPN до другого. Запрос на комментарии 2547bis мультиплексирует много маршрутов VPN через единственную систему ПОГРАНИЧНОГО МЕЖСЕТЕВОГО ПРОТОКОЛА. В этом подходе, маршрутизация клиента закончена на краю провайдера.

• Виртуальный маршрутизатор VPNs С этими типами VPNs, каждый виртуальный маршрутизатор выполняет случай протокола маршрутизации, который является ответственным за то, что распространил информацию достижимости VPN между виртуальными маршрутизаторами. В этой модели, маршрутизация клиента расширена поперек сети провайдера.

Следующие разделы описывают эти два типа Уровня 3 VPNs подробно.

Запрос на комментарии 2547 (ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ MPLS) VPNs

IP VPNs, основанный на запросе на комментарии 2547 становится все более и более популярным. Как показано в иллюстрации 9.23, они используют комбинацию ПОГРАНИЧНОГО МЕЖСЕТЕВОГО ПРОТОКОЛА и MPLS, чтобы передать трафик IP через ядро MPLS. Предложение этого типа VPNs требует, чтобы провайдер конфигурировал MPLS на всем ядре и маршрутизаторах края. Кроме того, все маршрутизаторы края провайдера должны иметь ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ Мультипротокола (ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ ЧЛЕНА ПАРЛАМЕНТА) сеансы, установленные между ними, чтобы сообщить информацию VPN. Маршрутизаторы края провайдера хранят обновления маршрутизации от маршрутизатора края клиента каждого клиента в том, что называют виртуальной маршрутизацией, отправляющей (VRF) случай; проще говоря, это - таблица маршрутизации, заполненная маршрутами VPN.

Поскольку может быть большое число маршрутизаторов края провайдера в сети, курьеры могли бы также должны конфигурировать отражатели маршрута ПОГРАНИЧНОГО МЕЖСЕТЕВОГО ПРОТОКОЛА, чтобы упростить внутреннюю петлю ПОГРАНИЧНОГО МЕЖСЕТЕВОГО ПРОТОКОЛА. Отражатели маршрута уменьшают размер внутренней петли ПОГРАНИЧНОГО МЕЖСЕТЕВОГО ПРОТОКОЛА. Клиенты отражателя маршрута размножают маршруты до отражателей маршрута, которые, в свою очередь, посылают маршруты другим клиентам отражателя маршрута. Отражатели маршрута полезны в разделении полного места таблицы маршрутизации поперек многократных устройств. Это позволяет клиентам отражателя маршрута получать только маршруты они neednot все маршруты.

Каждый маршрутизатор края клиента имеет его собственный VRF на краю провайдера. Клиент рекламирует все маршруты, связанные с тем местоположением к краю провайдера. Когда все маршрутизаторы края провайдера, которые соединяются со специфическим клиентом, имеют информацию маршрутизации клиента в VRF, маршрутизаторы края провайдера обменивают информацию при использовании ПОГРАНИЧНОГО МЕЖСЕТЕВОГО ПРОТОКОЛА ЧЛЕНА ПАРЛАМЕНТА. Эти маршруты и передача VRFs составляют клиента VPN.

Клиенту, от перспективы маршрутизации, маршрутизаторы края клиента появляются, как будто они связаны через традиционный VPN. Клиент может рассмотреть таблицу маршрутизации на маршрутизаторе края клиента и видеть маршруты к отдаленным сайтам, так же, как это с традиционным VPN. Сформированные окрестности маршрутизации - между краем клиента и краем провайдера, не краем клиента и краем клиента. Край клиента имеет один интерфейс к облаку MPLS, и MPLS предоставляет полной или частичной ловли в сети маршрутизатор края клиента, приложенный к сети.

Одна из выгод Уровня, который 3 MPLS VPNs - то, что провайдер обрабатывает всю ловлю в сети и может обеспечить обеспечение связи "любой к любому" по множеству типов интерфейса. Предварительно, если бы клиент хотел поймать в сети его отдаленные местоположения, то это должно было бы купить арендованные каналы и строить петлю постоянных виртуальных схем (PVCs). Архитектура маршрутизации и распространение маршрутов были до клиента; провайдер только гарантировал обеспечение связи. С Уровнем 3 MPLS VPNs, все, что требуется, - реклама маршрутов к краю провайдера, и провайдер обрабатывает остальных. Единственный недостаток к этому решению состоит в том, что провайдер, возможно, не имеет географического следа, чтобы достигнуть всех местоположений клиента; это может быть препятствующим стоимостью для клиента, чтобы купить местную петлю самому близкому маршрутизатору края провайдера в POP провайдера. Это - ограничивающий фактор с развертыванием MPLS, специально для организаций, которые имеют международные местоположения.

Виртуальный Маршрутизатор VPNs

Цель Уровня 3 виртуальных маршрутизатора VPN, который является в настоящее время Проектом Интернета IETF, состоит в том, чтобы обеспечить в - VPN маршрутизация, отправление, QoS, и сервисные способности управления. Это обслуживание VPN основано на понятии виртуального маршрутизатора, который имеет точно те же самые механизмы как физический маршрутизатор и, поэтому, может унаследовать все существующие механизмы и инструменты для конфигурации, развертывания, операции, поиска неисправностей, контроля, и учета. Многократные виртуальные маршрутизаторы могут существовать в единственном физическом устройстве, и виртуальные маршрутизаторы могут быть развернуты в различных конфигурациях VPN.

Прямое виртуальное routertovirtual обеспечение связи маршрутизатора может быть конфигурировано через Уровень 2 связи или через разнообразие туннельных механизмов, используя IP - или MPLS-базируемые туннели. Кроме того, многократные виртуальные маршрутизаторы могут быть соединены по базовому виртуальному маршрутизатору. Эта архитектура приспосабливает различные базовые сценарии развертывания, включая ситуации, в которых системная служба VPN или имеет опорную сеть или получает базовое обслуживание от одной или более других системных служб.

Как показано в иллюстрации 9.24, сайт клиента VPN связан с опорной сетью провайдера посредством подключения между краем клиента devicewhich, могут быть один или более хостов и/ИЛИ routersand виртуальный маршрутизатор. Устройства края клиента предварительно сконфигурированы, чтобы соединиться с одним или более виртуальными маршрутизаторами. Многократные виртуальные маршрутизаторы могут сосуществовать на том же самом устройстве края системной службы или краю провайдера. Устройства края клиента могут быть присоединены к виртуальным маршрутизаторам по любому типу связи доступа (например, ATM, Создайте Реле, Сеть Ethernet, PPP), или механизмы туннелирования IP (например, IPsec, L2TP, или туннели GRE). Сайты края клиента могут быть статически связаны с сетью провайдера через посвященные схемы или могут использовать связи модемной связи. Таблицы маршрутизации, связанные с каждым виртуальным маршрутизатором определяют достижимость сайта к сайту для каждого VPN. Внутренние базовые маршрутизаторы провайдера не VPN, знающий и не сохраняют государство VPN.

Иллюстрация 9.24. Виртуальный маршрутизатор VPNs

[Рассмотрите полное изображение размера]

Вообще, опорная сеть - общедоступная сетевая инфраструктура, которая представляет или Уровень 2, ATM, или сеть Реле Рамки; сеть IP; или сеть MPLS. Не все VPNs, существующие на том же самом краю провайдера обязательно связаны через ту же самую опорную сеть, таким образом единственный край провайдера может быть связан с многократными опорными сетями. Индивидуальные виртуальные маршрутизаторы на краю провайдера могут также соединиться с многократными опорными сетями. Таким образом, единственный VPN может быть построен из многократных транспортных технологий в виртуальной архитектуре маршрутизатора.

Виртуальные маршрутизаторы имеют независимый IP направляющие и отправляющие таблицы, и они изолированы друг от друга. Это означает, что два виртуальных маршрутизатора на краю провайдера могут служить двум различным VPNs, которые могут иметь накладывающееся адресное пространство. Адреса должны только быть уникальным в пределах домена VPN. Виртуальный маршрутизатор имеет две главных функции: построение таблиц маршрутизации для путей между сайтами VPN, при использовании любой технологии маршрутизации (, типа OSPF, РАЗРЫВА, или протокола шлюза границы), и отправления пакетов к следующим перелетам в пределах домена VPN.

С точки зрения пользователя VPN, виртуальный маршрутизатор обеспечивает те же самые функциональные возможности как физический маршрутизатор. Отдельная маршрутизация и отправление способностей предоставляют каждому виртуальному маршрутизатору появление посвятившего себя маршрутизатора, который гарантирует изоляцию от трафика другого VPNs, выполняясь на общедоступном отправлении и ресурсах передачи. На устройство доступа края клиента, виртуальный маршрутизатор появляется как соседний маршрутизатор в клиенте edgebased сеть.

Три главных виртуальных сценария развертывания маршрутизатора могут использоваться для того, чтобы строить VPNs: виртуальное routertovirtual обеспечение связи маршрутизатора по Уровню 2 подключения, виртуальное routertovirtual обеспечение связи маршрутизатора tunneled по IP или сети MPLS, и скопление многократных виртуальных маршрутизаторов по базовому виртуальному маршрутизатору, чтобы обеспечить обеспечение связи по Уровню 2 IP или сеть MPLS. Эти виртуальные сценарии развертывания маршрутизатора могут сосуществовать на единственном краю провайдера или в пределах единственного VPN.

Запрос на комментарии 2547 VPNs Против Виртуального Маршрутизатора VPNs

Таблица 9.2 сравнивает запрос на комментарии 2547 VPN и виртуальный маршрутизатор архитектура VPN.

Таблица 9.2. Резюме запроса на комментарии 2547 и Виртуального Маршрутизатора VPNs

Характеристика	Запрос на комментарии 2547 VPNs	Виртуальный Маршрутизатор VPNs
Является простым осуществить	Нет	Да
Является масштабируемым	Да	Нет
Является простым обеспечить новое обслуживание	Да	Нет
Обеспечивает высокую безопасность	Нет	Да
Является securable сетью	Да	Да
Поддержки много подписчиков	Да	Нет
Требует MPLS/BGP	Да	Нет
Функциональная совместимость поддержек	Да	Нет
Обеспечивает от начала до конца QoS	Да	Нет
Уменьшает сложность CPE	Да	Да
Уменьшает обработку CPE	Да	Нет

Дебаты стандартов являются продолжающимися, с высококлассными компаниями с обеих сторон параметра. Пока, выбор выполнения VPN на основе сети - до провайдера. Все они IP обслуживание VPN более сложны, чтобы конфигурировать и требовать большего внимания и от курьеров и от клиентов чем Реле Рамки, частная линия, или обслуживание ATM. Без любого приложения или архитектурных спусковых механизмов для клиента, чтобы переместить в IP обслуживание VPN, сдвиг может быть очень постепенным.

Уровень 2 VPNs

Курьеры должны продолжить извлекать выгоду из обслуживания наследства, типа частных линий TDM, Создавать Реле, и ATM, в то время как они вводят новый транспорт метро Сети Ethernet и обслуживание доступа Сети Ethernet. Они нуждаются в общей инфраструктуре края, которая поддерживает и новый, и наследство обслуживает и позволяет всему обслуживанию без швов общаться. Чтобы достигать этой цели, большинство курьеров планирует упростить их сетевые инфраструктуры по общему MPLS, удаляют сердцевину и вводят MPLS-базируемое обслуживание.

MPLS был сначала развернут в ядре сетей курьера, чтобы увеличить работу и способности connectionless маршрутизации IP. Сегодня, там увеличен интерес в Уровне MPLS 2 обслуживания VPN. С Уровнем MPLS 2 обслуживания VPN, курьеры могут транспортировать протоколы, типа SNA, DECnet, или IPX и сохранить наследство TDM частные линии так же как Создать обслуживание ATM и Реле. С Уровнем 2 VPNs, провайдер вперед пакеты, основанные на Уровне 2 информации или информация порта. Это подражает Уровню 2 БЛЕДНЫЙ или обеспечению связи LAN между сайтами клиента. В этом случае, клиент ответственен за Уровень 3 маршрутизации. Уровень 2 MPLS VPNs являются идентичными частному сетевому VPNs, в котором клиент прикрепляет его маршрутизатор помещения клиента к облаку MPLS через традиционный Уровень 2 схемы и строит Уровень 3 топологии маршрутизации по обеспеченным схемам. Управление маршрутизацией обработано клиентом тем же самым способом, поскольку это было бы с традиционным частным VPN.

В Уровне 2 решения VPN, нет никакого обмена маршрутизацией информации между краем провайдера и краем клиента. Системная служба IP/MPLS удаляет сердцевину Уровня клиента транспортов сети 2 рамки от входного края провайдера до края провайдера выхода. Туннели VPN, которые транспортируют этот трафик между краями провайдера, называют псевдопроводами, поскольку они подражают поведению подключения или провода по connectionless инфраструктуре. Края провайдера осуществляют Уровень 2 VFIs, которые отправляют трафик клиента, основанный на Уровне 2 информации (например, ATM виртуальные идентификаторы пути и виртуальные идентификаторы схемы, или адреса МАКИНТОША Сети Ethernet, или Реле Рамки DLCIs). Это выгодно для организаций, которые нуждаются в поддержке протокола наследства и тех, что чувствует, что они могут эффективно и рентабельно управлять их собственной окружающей средой маршрутизации. Они, в действительности, покупают пропускную способность, не дополнительное обслуживание, предлагаемое Уровнем 3 MPLS VPN. Клиенты все еще имеют петлю поливинилхлорида, обеспечивание, и маршрутизацию проблем, как прежде, и могут быть ограничения на то, какие интерфейсы курьер поддержит. Курьерам, которые оценивают Уровень 2 VPNs, бросают вызов проблемы взаимосвязанности, связанные с Уровнем 2 VPNs. Поддержка обеспечению связи "любой к любому" по Уровню 2 опорных сети MPLS широко не развернут ни одним из главных курьеров. В большинстве случаев, маршрутизаторы края клиента требуют общих типов доступа, типа Рамки Реле RelaytoFrame или ATM-к-ATM. В конечном счете, однако, Уровень 2 MPLS VPNs позволят клиентам прикреплять любой Уровень 2 схемы доступа к облаку MPLS, учитывая разнообразные и рентабельные опции интерфейса.

Многократный Уровень 2 модели обслуживания VPN анализируется в промышленности и Провайдером Обеспеченная Виртуальная Частная Организация сети (PPVPN) рабочая группа и Псевдопроводной Край-к-краю Эмуляции (PWE3) рабочая группа. Группа PPVPN воздействует на проект Kompella, названный после Cureda Kompella. Проект Kompella использует ПОГРАНИЧНЫЙ МЕЖСЕТЕВОЙ ПРОТОКОЛ, чтобы позволить маршрутизаторам края провайдера общаться друг с другом об их подключениях клиента. Группа PWE3 воздействует на проект, названный проектом Мартини, после Лукаы Мартини. Проект Мартини использует Протокол Распределения Метки (ЛДП) между маршрутизаторами края провайдера. Два из самый важный Уровень 2 модели VPN, VPWS и VPLS, описан в следующих разделах.

VPWS

VPWS VPNs также известны как псевдопровода пункта-к-пункту. Псевдопровод подражает связи пункта-к-пункту и обеспечивает единственное обслуживание, воспринятое его пользователем как неразделенная связь или схема выбранного обслуживания. Используя скрытые псевдопроводные туннели, сайты клиентов могут быть связаны через схемы пункта-к-пункту, как будто они использовали их собственные частные арендованные каналы (см. иллюстрацию 9.25). VPWS VPNs типы трафика поддержки, типа Сети Ethernet, ATM, Создают Реле, SDH/SONET, и TDM. VPWS обеспечивает петлю клиента пункта-к-пункту edgetocustomer Уровень края 2 подключения по сети коммутации пакетов. Край провайдера делает отображение между схемой вложения и псевдопроводом.

VPWS замечен в значительной степени как соответствующий подход для пункта-к-пункту, ориентируемого на подключение на обслуживание, типа ATM, Создавать Реле, и Сеть Ethernet пункта-к-пункту. Для многоточечного-к-многоточечному обслуживания connectionless, типа Сети Ethernet и VLANs, требуется VPLS.

VPLS

Множество продавцов приняло подход VPLS, и развертывание VPLS - собирание грибов во всем мире. VPLS - растущее решение для того, чтобы обеспечить обслуживание Сети Ethernet. Это комбинирует выгоды Сети Ethernet и MPLS и для клиентов и для курьеров.

VPLS предлагает в Уровне 2, какой IP VPNs предлагают в Уровне 3: обслуживание с многоточечным обеспечением связи (см. иллюстрацию 9.26). Главное различие - интерфейс, используемый между оборудованием края клиента и оборудованием края провайдера. С IP VPNs, оборудование края клиента - маршрутизаторы IP, тогда как с VPLS, это может быть мост Сети Ethernet, выключатель, центр, или маршрутизатор, позволяя трафик не-IP так же как трафик IP быть обмененным между сайтами. Кроме этого основного различия, Уровень MPLS 2 VPNs и Уровень 3 VPN-базируемых подхода очень подобны в других областях. И совместно используйте те же самые общие протоколы MPLS и основную инфраструктуру IP/MPLS. В прошлом это обслуживание обычно поставляли на TDM, Создает Реле, и сети ATM. VPLS - один из наиболее инновационных и легко управляемых способов обеспечить Сеть Ethernet MPLS VPNs. Каждое местоположение клиента присоединено к узлу на сети MPLS. Для каждого клиента или VPN, полная петля логических подключений пункта-к-пункту установлена по базовой сети MPLS. Это позволяет местоположению клиента иметь прямую видимость к каждому другому местоположению, принадлежащему тому клиенту.

Уникальные метки MPLS используются, чтобы сегментировать трафик одного клиента от чей - либо и сегментировать одно обслуживание от другого. Эта сегментация позволяет клиенту приобретать связку обслуживания от ее провайдера, каждое из которого приспособлено для приложения конца. Например, связка клиента могла включить VoIP, Доступ в Интернет, и возможно два или больше обслуживания VPN. Первое обслуживание VPN могло должно быть обеспечить широкое обеспечение связи данных между всеми корпоративными местоположениями, доступными для всех служащих. Второе обслуживание VPN могло быть ограничено некоторым финансовым сделкам, проводимым между подмножеством местоположений. Каждое это обслуживание было бы уникально конфигурировано по VPLS, таким образом разрешая им иметь уникальное качество и признаки безопасности.

VPLS обеспечивает логическое соединение LAN или переключение функций по сети коммутации пакетов. Край провайдера выполняет виртуальное соединение или переключение для приложенных LAN узлов края клиента. VPLS поддерживает и пункт-к-многоточечному и многоточечное-к-многоточечному обслуживание, используя PWE3. PWE3 определяет формирование пакета, транспорт, управление, управление, взаимодействование, и безопасность обслуживания, эмулированного по сетям коммутации пакетов.

Выгоды к курьерам объединяющейся Сети Ethernet и MPLS являются многочисленными. Курьеры немедленно извлекают выгоду из более низкого капиталовложения, требуемого для того, чтобы развернуть инфраструктуру Сети Ethernet. Однако, переключенная сеть простой Сети Ethernet имеет ограничения на сервисную масшабируемость из-за ограничений логина VLAN так же как ограничений на надежность (например, Охватывая Протокол Дерева не масштабирует хорошо). Эти ограничения решены MPLS, который предлагает портфель решений, которые обеспечивают массивную масшабируемость и многократные опции надежности и также приносят другие выгоды. Например, динамическое сообщение MPLS способствует обеспечению более быстрых изменений и реконфигураций обслуживания. Его трафик технические способности позволяет провайдерам поддерживать гарантии сервисного уровня поперек всей сети. Таким образом, это не только встречает их потребности в масшабируемости и надежности но также и обеспечивает операционные преимущества, которые могут далее уменьшить расходы.

Появление Интернета и получающейся прибыли производительности, поощренной принятием новых технологий приводит к запросу на увеличенную пропускную способность и обслуживание. Корпорации требуют настроенное обслуживание в большей пропускной способности, и потребители ищут обслуживание, типа широкополосного обеспечения связи и VOD. Курьеры должны балансировать запросы их целевых рынков с фактами их бизнеса. Традиционные технологии (, типа ATM и SDH/SONET), будучи знакомым, просто не соответствуют видению, которое курьеры имеют для их сетей. Они основаны на дорогой инфраструктуре, которая не может масштабировать без больших инвестиций. Кроме того, сложное управление и многократный handoffs между всеми этими технологиями вызывают существенное действие наверху. Возможность рынка обслуживания Сети Ethernet ясна и существует сегодня. Многочисленные ранние приемные родители были успешны в развертывании этого обслуживания. Курьеры оказываются перед вызовом при том, как ответить на эти движущие силы рынка. VPLS с инфраструктурой Сети Ethernet может представить оптимальное решение для курьеров, чтобы выкатить новое обслуживание с пользой. Выгоды от уменьшенной прописной буквы и операционных расходов сводятся быстро, чтобы улучшить практический результат. Кроме того, способность усиливать существующие сети гарантирует курьерам, что инвестиции, сделанные в старших технологиях могут быть сохранены и что больше возвращений может быть произведено от них. Есть, однако, потенциальные недостатки, связанные с использованием Сети Ethernet в УКОМПЛЕКТОВЫВАЕТ и WANs. Самое большое беспокойство - нехватка способностей QoS, принуждая некоторых наблюдателей промышленности рассмотреть решения для Сети Ethernet как один из броска пропускной способности в проблеме и поэтому краткосрочная стратегия в лучшем случае

Безопасность VPN

Безопасность очень важна для надлежащей операции VPNs. Следующие разделы описывают доступные механизмы безопасности, включая межсетевые защиты; идентификация, разрешение, и объясняющий (ААА); кодирование; и цифровые свидетельства.

Межсетевые защиты

Межсетевая защита типично определяется как система или группа систем, которая предписывает и действует как политика управления между двумя сетями. Это может также быть определено, поскольку механизм имел обыкновение защищать сеть, которой доверяют, от недоверяемого networkusually, все еще позволяя трафик между двумя. Весь трафик изнутри к внешней стороне и наоборот должен пройти через межсетевую защиту. Только разрешенному трафику, как определено местной политикой безопасности, позволяют пройти через это. Сама система является очень стойкой к проникновению. Межсетевая защита выборочно разрешает или отрицает сетевой трафик.

Есть несколько изменений межсетевых защит, включая следующее:

• Межсетевая защита может использовать различные протоколы, чтобы отделить Серверы интернета от внутренних серверов.

• Маршрутизаторы могут быть запрограммированы, чтобы определить то, что протоколирует в приложении, сети, или транспортный уровень может войти, и из routerso маршрутизатор в основном действует как фильтр пакета.

• Серверы по доверенности могут отделить внутренних сетевых пользователей и обслуживание из общественного Интернета. Дополнительные функции могут быть включены через серверы по доверенности, включая перевод адреса, кэширование, кодирование, и вирусную фильтрацию.

Вирусы Вирус срока широко обращается к программе, проектированной, чтобы столкнуться с нормальными операциями компьютеров. Срок также может использоваться более узко, чтобы обратиться к злонамеренным программам, которые двигаются от одного файла до другого и могут быть переданы на другие PC через зараженный файл. Они вообще не ищут Интернет или посылают по электронной почте, чтобы распространиться. Другой тип malware - саморазмножающийся вирус. Саморазмножающиеся вирусы используют LAN или Интернет (особенно через электронную почту), чтобы копировать и отправить себя новым пользователям. Много людей адресата саморазмножающихся вирусов, не программное обеспечение. Наконец, троянская лошадь скрывается в пределах другой программы или файла и затем становится активной, когда кто - то открывает невольный хост. Большая часть управления безопасностью вовлекает сокращение угрозы malware. Факт, что мы можем развернуть malware обнаружение и технологии удаления на сервере по доверенности, очень привлекателен.

Идентификация, Разрешение, и Учет

Важный аспект безопасности - идентификация пользователей и управления доступа, которое обычно обрабатывается сервером ААА. Сервер ААА - сетевой сервер, используемый для управления доступа. Идентификация идентифицирует пользователя, разрешение осуществляет политику, которая определяет, какие ресурсы и обслуживает правильного пользователя, может обратиться, и учет сохраняет дорожку времени и ресурсов данных используемой для составления счетов и анализа. Сервер ААА, также названный 3A программное обеспечение, типично взаимодействует с сетевым сервером доступа (NAS) и шлюзы, так же как с базами данных и каталогами, которые содержат пользовательскую информацию.

РАДИУС, текущий стандарт, по которому устройства или приложения общаются с сервером ААА, является протоколом ААА для приложений, типа сетевого доступа или подвижности IP. Этот UDP-базируемый протокол предназначен, чтобы работать и в местных и в передвигающихся ситуациях и считается подходящим для приложений управления обслуживания большого объема, типа регулирования обслуживания VPN или модемной связи. Увеличенное использование РАДИУСА происходит из-за введения 802.1X безопасность порта (обсуждаемый в Главе 15, "WMANs, WLANs, и WPANs") для зашитых и беспроводных LAN. Фактически, Microsoft включил 802.1X безопасность в TCP/IP Windows, и каждый PC предприятия мог бы требовать идентификации прежде, чем быть предоставленным против доступа к LAN.

Серверы РАДИУСА проектированы, чтобы блокировать неправомочный доступ отдаленными пользователями, и они полагаются на опознавательные схемы, типа Протокола Идентификации Установления связи Вызова (ПАРЕНЬ), что означает, что есть назад и вперед диалог, чтобы проверить идентичность пользователя. Фактически, РАДИУС использует ПАРНЯ, который использует установление связи с тремя путями, чтобы периодически проверить идентичность пэра всюду по подключению. Сервер посылает случайную лексему отдаленной рабочей станции. Лексема тогда зашифрована, используя пароль пользователя, и послана назад серверу. Сервер выполняет поиск, чтобы видеть, признает ли это пароль. Если значения соответствуют, идентификация признана; если значения не соответствуют, подключение закончено. Поскольку различная лексема обеспечивается каждый раз, когда отдаленный пользователь набирает в, ПАРЕНЬ обеспечивает здравую идентификацию.

Более новый протокол, названный ДИАМЕТРОМ, служит заменой для РАДИУСА. ДИАМЕТР - также протокол ААА для тех же самых приложений сетевого доступа и подвижности IP. Главное изменение - то, что ДИАМЕТР расширяет РАДИУС, чтобы обеспечить обслуживание ААА к новым технологиям доступа.

Кодирование

Лучший способ защищать электронные данные состоит в том, чтобы использовать encryptionthat, закодировать данные, чтобы делать документ нечитабельным всеми кроме тех, кто уполномочен иметь доступ к этому. Кодирование и расшифровка выполнены при использовании шифра, который является алгоритмом, или рядом четких шагов, которые могут сопровождаться как процедура. Содержание оригинала документа упоминается как обычный текст. Когда кодирование применено к документу, обычный текст скремблируется, с помощью алгоритма и переменной, или клавиши; результат называют зашифрованным текстом. Клавиша - беспорядочно отобранная строка чисел. Вообще, чем дольше строка, тем более сильный безопасность.

Хотя кодирование может гарантировать секретность, другие методики требуются для полной безопасности связи, включая код идентификации сообщения или цифровые сигнатуры, оба имели обыкновение проверять подлинность и целостность сообщения. Код идентификации сообщения - тэг, или короткая информация, используемая, чтобы подтвердить подлинность сообщения. Используя секретную клавишу и сообщение произвольной длины, алгоритм кода идентификации сообщения вычисляет значение мусора, которое защищает целостность сообщения и подлинность, разрешая тем, кто также имеет секретную клавишу, чтобы обнаружить любые изменения, которые, возможно, были сделаны к содержанию сообщения. Та же самая секретная клавиша используется, чтобы и произвести и проверить значения кода идентификации сообщения. Цифровые сигнатуры, с другой стороны, используют два дополнительных алгоритма: один чтобы подписывать сообщение и другой для проверки. Цифровые сигнатуры полагаются на общественное ключевое шифрование (обсуждаемый позже в этой главе).

Есть две главных категории алгоритмов кодирования: симметрический и асимметричный.

Симметрическое Кодирование

В симметрическом кодировании, отправитель и получатель используют ту же самую ключевую или машинную установку. Есть два подхода к данным кодирования, используя симметрическое кодирование: блочный шифр и бегущий шифр. С подходом блочного шифра, алгоритм кодирует текст в неподвижно-битовых блоках, используя клавишу, длина которой также установлена в длине. С бегущим подходом шифра, алгоритм кодирует поток данных последовательно, не сегментируя это в блоки. Обе из этих методик требуют безопасного метода переобмена клавиш между участниками.

Симметрические алгоритмы кодирования включают следующее:

• Стандарт Кодирования Данных (DES) DES, который был развит в 1970-ых, является очень популярным в банковском деле. Это - блочный шифр, который кодирует текст в неподвижно-битовые блоки (типично 64 бита), используя 56-битовую клавишу. DES был заменен по Расширенному Стандарту Кодирования (AES).

• Утройтесь DES (3DES) 3DES - 168-битовое кодирование, которое использует три 56-битовых клавиши. 3DES применяется, алгоритм DES к обычному тексту блокируют три раза.

• Шифр Rivest 4 (RC4) RC4 - бегущая методика шифра; шифр потока добавляет вывод псевдослучайного генератора числа постепенно к последовательным битам цифрового обычного текста.

• Иглобрюхие Иглобрюхих - 64-битовый блочный код, который имеет ключевые длины 32 битов к 448 битам. Иглобрюхие используются в больше чем 100 продуктах и рассматриваются как один из лучших доступных алгоритмов.

• Международный Алгоритм Кодирования Данных (ИДЕЯ) ИДЕЯ, развитая ETH цюрихский (www.ethz.ch), является бесплатной для некоммерческого использования. Это рассматривается как хороший алгоритм и используется в Довольно Хорошей Секретности (PGP), и в Говорят Свободно, программа, которая позволяет зашифрованному цифровому голосу быть посланным по Интернету.

• Twofish Twofish, развитый Брюсом Шнеиром Безопасности Интернета Покрывала (www.counterpane.com), является очень сильным, и это был один из пяти начальных кандидатов на AES.

• Расширенный Стандарт Кодирования (AES) AES был принят Национальным Институтом Стандартов (NIST; www.nist.gov) в ноябре 2001 после пятилетнего процесса стандартизации.

Согласно NIST, занимать 149 триллионов лет, чтобы взломать AES американского правительства, который использует алгоритм Rijndael и определяет три бита клавиши lengths128, 192 бита, и 256 битов. На сравнении, DES, который использует 56-битовую клавишу, взял бы только вопрос часов, используя мощный компьютер, но, конечно, это полностью зависит от скорости аппаратных средств, используемых чтобы взломать код; типичный настольный PC требовал бы намного, чтобы больше чем несколько часов взломали 56-битовую клавишу DES.

Асимметричное Кодирование

Ключевое кодирование требует безопасного метода для того, чтобы обменять клавиши между участниками. Решение ключевого распределения прибыло, в 1975, с Diffie и общественной ключевой схемой шифрования Хеллмана. Это разрешает использование двух клавиш, одна из которых может быть открыто издана и все еще разрешить безопасную зашифрованную связь. Эта схема позже стала известной как асимметричное ключевое шифрование (также назвал общественное ключевое кодирование [PKE]).

Асимметричное шифрование может использоваться для идентификации. После шифровки сигнатуры при использовании частной клавиши, любой с доступом к общественной клавише может проверить, что сигнатура принадлежит владельцу частной клавиши. Как показано в иллюстрации 9.27, следующее - шаги в PKE:

Иллюстрация 9.27. Кодирование и идентификация

[Рассмотрите полное изображение размера]

Общественное ключевое управление вовлекает обмен тайнами что оба использования концов, чтобы произвести случайные краткосрочные клавиши сеанса для того, чтобы подтвердить подлинность друг друга. Это - метод шифровки данных при использовании двух отдельных клавиш или кодов. Отправитель использует общественную клавишу, вообще обеспечиваемую как часть свидетельства, выпущенного Калифорнией, чтобы зашифровать данных для передачи. Получатель тогда использует соответствующую частную клавишу, чтобы расшифровать данные относительно квитанции. Калифорния выпускает свидетельства, которые содержат данные о людях или предприятиях, который был проверен, чтобы быть подлинным (хотя не вся общественная Калифорния делает это). В основном, Калифорния ручается за подлинность других сторон так, чтобы их связь была обеспечена.

Идентификация сообщения проверяет целостность электронного сообщения и также проверяет, что электронное сообщение посылал специфический объект. Прежде, чем уходящее сообщение зашифровано, шифровальный мусор functionwhich походит на сложную версию checksumis, выполненного на этом. Функция мусора сжимает биты сообщения обычного текста в обзор неподвижного размера, или значение мусора, 128 или больше битов. Тогда чрезвычайно трудно изменить сообщение обычного текста, не лишая значение мусора законной силы.

Механизмы идентификации сообщения включают Обзор Сообщения 5 (MD5) и Обеспечивают Алгоритм Мусора 1 (SHA-1). Мусор MD5 файл произвольной длины в 128-битовое значение. Мусор SHA-1 файл произвольной длины в 160-битовое значение; это - больше интенсивного процессора, но это отдает большую безопасность.

Общественное ключевое управление обеспечивает безопасный метод чтобы получить человека или общественную клавишу организации, с достаточной гарантией, что клавиша является правильной. Есть три главных общественных ключевых алгоритма: RSA (названный по имени его создателей, Ривеста, Shamir, и Adelman), Diffie-Hellman, и PGP. RSA является самым старым из этих трех алгоритмов, и его безопасность происходит из трудности факторинга продукта двух больших главных целых чисел. Diffie-Hellman используется главным образом для того, чтобы обменять клавиши; его безопасность опирается на трудность вычисления дискретных алгоритмов в конечной области, произведенной большим главным числом. PGP (www.pgp.com), который был создан в 1991, является одной из самых популярных схем PKE.

Общественная Ключевая Инфраструктура

Без функционирующей универсальной общественной ключевой инфраструктуры (PKI), мы не можем надежно и легко приобрести свидетельства, которые содержат общественные клавиши для людей или организаций, с которыми мы хотим общаться. Одно из самого большого лица компаний электронной коммерции препятствий подтверждает идентичность вовлеченных сторон. Обеспечение идентичности требует зашифрованного объекта логина, который может быть выпущен третьим лицом, которому взаимно доверяют (то есть, Калифорния) и затем проверен и принят браузером пользователя. Личные цифровые логины, содержавшиеся в браузере пользователя достигают этого. Исторически, эти свидетельства клиента использовались, чтобы управлять доступом к ресурсам на деловой сети, но они могут также содержать другую пользовательскую информацию, включая дисконтный уровень идентичности или тип клиента. Браузер пользователя читает свидетельство сервера, и если это принято, браузер производит симметрическую клавишу сеанса, используя общественную клавишу сервера. Сервер тогда расшифровывает симметрическую клавишу, которая тогда используется, чтобы зашифровать остальную часть сделки. Сделка тогда подписана, используя цифровой логин пользователя, проверяя идентичность пользователя и юридически связывая пользователя к сделке.

PKI - система, которая обеспечивает протоколы и обслуживание для руководящих общественных клавиш в интранете или интернет-окружающей среде; это вовлекает клавиши распределения безопасным способом. PKI обеспечивает приложения электронной коммерции, типа частной электронной почты, заказов, и автоматизации технологического процесса. Это использует цифровые свидетельства и цифровые сигнатуры, чтобы подтвердить подлинность и зашифровать сообщения. Это разрешает создание юридически объектов идентификации поддающихся проверке, и это также диктует методику кодирования, чтобы защитить данные, переданные по Интернету.

Обычно, PKI вовлекает программное обеспечение клиента, программное обеспечение сервера, типа Калифорнии, аппаратные средства (например, шикарные карты), и операционные процедуры. Используя его или её частную клавишу, один пользователь в цифровой форме подписывает сообщение, и получатель, используя общественную клавишу, содержавшуюся в свидетельстве отправителя, выпущенном Калифорнией в пределах PKI, может проверить ту сигнатуру. Этим способом, два или больше пользователя могут установить конфиденциальность, целостность сообщения, и пользовательскую идентификацию, не имея необходимость обменивать любую специальную информацию заранее. Системы PKI, используемые в предприятии вообще близко связываются с системой каталога предприятия, где общественная клавиша каждого служащего часто сохраняется, наряду с его или её общей информацией о возможностях контактов. Ведущая технология каталога - LDAP, который обсуждается в Главе 10.

Стандарты абсолютно жизненно важны для надлежащей операции PKI, при условии, что есть иерархия свидетельства, составленная по крайней мере из нескольких компьютеров и часто больше чем одна организация, используя межоперационное программное обеспечение из различных источников. Группа, ответственная за то, чтобы развивать стандарты в этой области - IETF рабочая группа PKIX (www.imc.org/ietf-pkix). Цель этой группы состоит в том, чтобы развиться, интернет-стандарты должны были поддержать X.509-базируемый PKI. (X.509 обсуждается в следующем разделе.)

В целом, рынок для коммерческих операций PKI не цвел, поскольку его пионеры вообразили. Слишком много различий в предписанных законах и инструкциях, не говоря уже о технических и операционных проблемах, замедлили продвижение чрезвычайно.

Альтернативы PKI Есть некоторые альтернативы PKI, включая Сеть Трастовой, Простой Общественной Ключевой Инфраструктуры, и Властей Свидетельства Робота. Сеть Трастовой схемы использует самоподписанные свидетельства и третье лицо, которое засвидетельствовало те свидетельства. Два примера Сети Доверия - Охрана Секретности ГНУ (GPG) и PGP, который экстенсивно использовался в электронной почте и широко развернут. Простой PKI (SPKI) вышел из трех независимых усилий преодолеть растущую популярность Сети PGP Доверия и сложностей X.509. С SPKI, пользователи и системы связаны непосредственно с клавишами, используя местную трастовую модель, несколько как Сеть Доверия, но с дополнением разрешения. Поскольку название предлагает, Власти Свидетельства Робота (Робот Калифорния) - автоматизированные программы, которые утверждают определенные аспекты законности общественной клавиши и затем подписывают это, чтобы засвидетельствовать, что те аспекты действительно правильны. Общие утвержденные аспекты включают следующее: использование клавиши является текущим, держатель адреса электронной почты адресата знает, что его или её клавиша издана, и секретная клавиша, соответствующая общественной клавише обладает держателем почтового адреса. В этом пункте, самое успешное выполнение PKI находится в правительстве.

Цифровые Свидетельства

Цифровые свидетельства, основанные на ANSI спецификация X.509, стали фактическим интернет-стандартом чтобы установить доверчивые отношения при использовании технологии. X.509 прибывает от спецификации X.500 в обслуживание каталога, которая служит электронной телефонной книгой, позволяя допущенные приложения искать включенные объекты. Каждый объект имеет совпадающий отчет или свидетельство, и то свидетельство следует за ITU рекомендация X.509. Используя цифровые свидетельства - метод для того, чтобы регистрировать пользовательские тождества с третьим лицом, Калифорния (, типа Поручают или VeriSign). Цифровое свидетельство связывает пользователя с электронной сигнатурой, которой можно доверять как письменная сигнатура и включает идентификацию, права доступа, и информацию проверки. Калифорния готовит, выпускает, и управляет цифровыми свидетельствами, и они сохраняют базу данных каталога пользовательской информации, проверяют ее точность и законченность, и выпускают электронные свидетельства, основанные на той информации. Калифорния подписывает свидетельство, проверяя целостность информации в этом.

Становясь их собственной цифровой Калифорнией, системные службы могут упаковать электронную безопасность с предложениями, типа обслуживания приложений и VPN. Свидетельства сервера гарантируют интернет-покупателям идентичности Вебсайта продавца. Они содержат детали о Вебсайте, типа имени домена сайта и кто имеет это. Третьи лица, типа Thawte (www.thawte.com), затем гарантируют эту информацию. Сайты со свидетельствами сервера отправляют Калифорнию, и Интернет-каталоги принимают их свидетельства для безопасных сделок.

Есть все еще много событий безопасности, чтобы прибыть, особенно с постоянным введением новых сетевых технологий и систем. Стандарты должны быть определены и формализованы для подобных различному обслуживанию IP и беспроводным/мобильным сетям прежде, чем электронная коммерция действительно будет в состоянии функционировать с безопасностью, которую это передает под мандат. Пока, они - типы механизмов, необходимых гарантировать, что ваши данные остаются с Вами.