VPN, предоставляемый провайдером

VPN , предоставляемая поставщиком (PPVPN), представляет собой виртуальную частную сеть (VPN), реализуемую поставщиком услуг подключения или крупным предприятием в сети, которой они управляют самостоятельно, в отличие от «VPN, предоставляемой клиентом», где VPN реализуется клиентом, который приобретает услугу подключения в дополнение к техническим особенностям поставщика.

Когда поставщики интернет-услуг внедряют PPVPN в своих собственных сетях, модель безопасности типичных протоколов PPVPN оказывается слабее по сравнению с протоколами туннелирования, используемыми в предоставляемых клиентами VPN, особенно в плане конфиденциальности, поскольку конфиденциальность данных может не потребоваться.

Структурные элементы VPN, предоставляемые провайдером

В зависимости от того, работает ли VPN, предоставляемая провайдером (PPVPN), на уровне 2 (L2) или 3 (L3), описанные ниже строительные блоки могут быть только L2, только L3 или комбинацией обоих. Функциональность многопротокольной коммутации меток (MPLS) размывает идентичность L2–L3. ^[1]^{[ оригинальное исследование? ]}

RFC 4026 обобщил следующие термины для охвата L2 MPLS VPN и L3 ( BGP ) VPN, но они были введены в RFC 2547. ^[2]^[3]

Клиентские устройства: Устройство, которое находится в сети клиента и не подключено напрямую к сети поставщика услуг. Клиентские устройства не знают о VPN.
Устройство на границе клиента: Устройство на границе сети клиента, которое обеспечивает доступ к PPVPN. Иногда это просто точка разграничения ответственности провайдера и клиента. Другие провайдеры позволяют клиентам настраивать его.
Периферийное устройство провайдера: Устройство или набор устройств на границе сети провайдера, которые подключаются к сетям клиентов через устройства на границе клиента и представляют вид провайдера на сайт клиента. PE знают о VPN, которые подключаются через них, и поддерживают состояние VPN.
Устройство провайдера: Устройство, работающее внутри базовой сети провайдера и не взаимодействующее напрямую с какой-либо конечной точкой клиента. Например, оно может обеспечивать маршрутизацию для многих туннелей, управляемых провайдером, которые принадлежат к PPVPN разных клиентов. Хотя устройство P является ключевой частью внедрения PPVPN, оно само по себе не поддерживает VPN и не поддерживает состояние VPN. Его основная роль заключается в том, чтобы позволить поставщику услуг масштабировать свои предложения PPVPN, например, выступая в качестве точки агрегации для нескольких PE. Подключения P-to-P в такой роли часто представляют собой оптические каналы с высокой пропускной способностью между основными местоположениями провайдеров.

Видимые пользователю услуги PPVPN

Услуги уровня 2 OSI

ВЛС

VLAN — это метод уровня 2, который позволяет сосуществовать нескольким широковещательным доменам локальной сети (LAN), соединенным через каналы с использованием протокола транкинга IEEE 802.1Q . Другие протоколы транкинга использовались, но устарели, включая Inter-Switch Link (ISL), IEEE 802.10 (первоначально протокол безопасности, но подмножество было введено для транкинга) и ATM LAN Emulation (LANE).

Служба виртуальной частной локальной сети (VPLS)

Разработанные Институтом инженеров по электротехнике и электронике , VLAN позволяют нескольким тегированным локальным сетям совместно использовать общий транкинг. VLAN часто включают только принадлежащие клиентам объекты. В то время как VPLS, как описано в предыдущем разделе (службы OSI уровня 1), поддерживает эмуляцию как топологий «точка-точка», так и топологий «точка-многоточка», обсуждаемый здесь метод расширяет технологии уровня 2, такие как транкинг локальных сетей 802.1d и 802.1q, для работы через транспорты, такие как Metro Ethernet .

В этом контексте VPLS — это Layer 2 PPVPN, эмулирующий полную функциональность традиционной LAN. С точки зрения пользователя VPLS позволяет соединять несколько сегментов LAN таким образом, который прозрачен для пользователя, заставляя отдельные сегменты LAN вести себя как одна единая LAN. ^[4]

В VPLS сеть провайдера эмулирует обучающий мост, который может опционально включать службу VLAN.

Псевдопровод (PW)

PW похож на VPLS, но может предоставлять различные протоколы L2 на обоих концах. Обычно его интерфейсом является протокол WAN, такой как Asynchronous Transfer Mode или Frame Relay . Напротив, когда вы хотите обеспечить видимость локальной сети, непрерывной между двумя или более местоположениями, служба виртуальной частной локальной сети или IPLS будет подходящей.

Туннелирование Ethernet-over-IP

EtherIP ( RFC 3378) ^[5] — это спецификация протокола туннелирования Ethernet-over-IP. EtherIP имеет только механизм инкапсуляции пакетов. Он не имеет конфиденциальности или защиты целостности сообщений. EtherIP был представлен в сетевом стеке FreeBSD ^[6] и серверной программе SoftEther VPN ^[7] .

IP-только LAN-подобная служба (IPLS)

Подмножество VPLS, устройства CE должны иметь возможности уровня 3; IPLS представляет пакеты, а не кадры. Он может поддерживать IPv4 или IPv6.

Виртуальная частная сеть Ethernet (EVPN)

Ethernet VPN (EVPN) — это передовое решение для предоставления услуг Ethernet через сети IP-MPLS. В отличие от архитектур VPLS, EVPN обеспечивает обучение MAC (и MAC, IP) на уровне управления в сети. PE, участвующие в экземплярах EVPN, изучают маршруты MAC (MAC, IP) клиента на уровне управления с помощью протокола MP-BGP. Обучение MAC на уровне управления обеспечивает ряд преимуществ, которые позволяют EVPN устранять недостатки VPLS, включая поддержку множественного подключения с балансировкой нагрузки по потоку и предотвращение ненужного затопления через основную сеть MPLS для нескольких PE, участвующих в P2MP/MP2MP L2VPN (например, при возникновении запроса ARP). Это определено RFC 7432.

Архитектуры OSI Layer 3 PPVPN

В этом разделе обсуждаются основные архитектуры для PPVPN, одна из которых, где PE устраняет неоднозначность дублирующих адресов в одном экземпляре маршрутизации, и другая, виртуальный маршрутизатор, в котором PE содержит экземпляр виртуального маршрутизатора для каждой VPN. Первый подход и его варианты привлекли наибольшее внимание.

Одна из проблем PPVPN заключается в том, что разные клиенты используют одно и то же адресное пространство, особенно частное адресное пространство IPv4. ^[8] Провайдер должен иметь возможность устранять неоднозначность перекрывающихся адресов в PPVPN нескольких клиентов.

BGP/MPLS PPVPN: В методе, определенном RFC 2547, расширения BGP объявляют маршруты в семействе адресов IPv4 VPN, которые имеют форму 12-байтовых строк, начинающихся с 8-байтового отличительного признака маршрута (RD) и заканчивающихся 4-байтовым адресом IPv4. RD устраняют неоднозначность в противном случае дублирующих адресов в одном и том же PE. ^[^{необходима цитата}^]

PE понимают топологию каждой VPN, которая напрямую или через маршрутизаторы P связана с туннелями MPLS. В терминологии MPLS маршрутизаторы P являются маршрутизаторами с коммутацией меток без понимания VPN. ^{[ необходима цитата ]}

Виртуальный маршрутизатор PPVPN: Архитектура виртуального маршрутизатора ^[9]^[10], в отличие от методов BGP/MPLS, не требует никаких изменений в существующих протоколах маршрутизации, таких как BGP. Благодаря предоставлению логически независимых доменов маршрутизации, клиент, работающий с VPN, полностью отвечает за адресное пространство. В различных туннелях MPLS различные PPVPN устраняются неоднозначностью по их меткам, но не нуждаются в отличительных признаках маршрутизации. ^{[ необходима цитата ]}

Незашифрованные туннели

Некоторые виртуальные сети используют протоколы туннелирования без шифрования для защиты конфиденциальности данных. Хотя VPN часто обеспечивают безопасность, незашифрованная оверлейная сеть не вписывается в безопасную или доверенную категоризацию. ^[11] Например, туннель, установленный между двумя хостами с Generic Routing Encapsulation (GRE), является виртуальной частной сетью, но не является ни безопасной, ни доверенной. ^[12]^[13]

Собственные протоколы туннелирования открытого текста включают протокол туннелирования уровня 2 (L2TP), когда он настроен без IPsec и протокола туннелирования точка-точка (PPTP) или шифрования точка-точка Microsoft (MPPE). ^[14]

Смотрите также

Ссылки

^ "Настройка PFC3BXL и многопротокольной коммутации меток в режиме PFC3B" (PDF) . Архивировано (PDF) из оригинала 24 ноября 2020 г. . Получено 24 октября 2020 г. .
^ E. Rosen & Y. Rekhter (март 1999 г.). "BGP/MPLS VPNs". Internet Engineering Task Force (IETF). RFC 2547. Архивировано из оригинала 1 сентября 2022 г. Получено 8 октября 2022 г.
^ Льюис, Марк (2006). Сравнение, проектирование и развертывание VPN (1-е издание. ред.). Индианаполис, Индиана: Cisco Press. стр. 5–6 . ISBN 1587051796.
^ Ethernet Bridging (OpenVPN), архивировано из оригинала 8 октября 2022 г. , извлечено 8 октября 2022 г.
^ Холленбек, Скотт; Хаусли, Рассел (сентябрь 2002 г.). «EtherIP: туннелирование кадров Ethernet в IP-дейтаграммах». Архивировано из оригинала 8 октября 2022 г. Получено 8 октября 2022 г.
↑ Глин М. Бертон: RFC 3378 EtherIP с FreeBSD Архивировано 23 марта 2018 г. на Wayback Machine , 3 февраля 2011 г.
^ Новости net-security.org: Многопротокольный SoftEther VPN становится открытым исходным кодом Архивировано 8 октября 2022 г. на Wayback Machine , январь 2014 г.
^ Распределение адресов для частных интернетов. Архивировано 8 октября 2022 г. на Wayback Machine , RFC 1918, Y. Rekhter et al. , февраль 1996 г.
^ RFC 2917, Основная архитектура MPLS IP VPN
^ RFC 2918, Э. Чен (сентябрь 2000 г.)
^ Ян, Яньян (2006). «Правильность и гарантия политики безопасности IPsec/VPN». Журнал высокоскоростных сетей . 15 : 275–289 . CiteSeerX 10.1.1.94.8561 .
^ "Обзор виртуальных частных сетей, предоставляемых поставщиком (PPVPN)". Secure Thoughts. Архивировано из оригинала 16 сентября 2016 года . Получено 29 августа 2016 года .
↑ RFC 1702: Общая инкапсуляция маршрутизации в сетях IPv4. Октябрь 1994 г.
^ IETF (1999), RFC 2661, Протокол туннелирования второго уровня "L2TP"

Внешние ссылки

«Развертывание сети ISP для интегрированного доступа на крупных предприятиях». support.huawei.com . Получено 2024-07-12 .

[1] "Настройка PFC3BXL и многопротокольной коммутации меток в режиме PFC3B" (PDF) . Архивировано (PDF) из оригинала 24 ноября 2020 г. . Получено 24 октября 2020 г. .

[:2-2] E. Rosen & Y. Rekhter (март 1999 г.). "BGP/MPLS VPNs". Internet Engineering Task Force (IETF). RFC 2547. Архивировано из оригинала 1 сентября 2022 г. Получено 8 октября 2022 г.

[3] Льюис, Марк (2006). Сравнение, проектирование и развертывание VPN (1-е издание. ред.). Индианаполис, Индиана: Cisco Press. стр. 5–6 . ISBN 1587051796.

[4] Ethernet Bridging (OpenVPN), архивировано из оригинала 8 октября 2022 г. , извлечено 8 октября 2022 г.

[5] Холленбек, Скотт; Хаусли, Рассел (сентябрь 2002 г.). «EtherIP: туннелирование кадров Ethernet в IP-дейтаграммах». Архивировано из оригинала 8 октября 2022 г. Получено 8 октября 2022 г.

[6] Глин М. Бертон: RFC 3378 EtherIP с FreeBSD Архивировано 23 марта 2018 г. на Wayback Machine , 3 февраля 2011 г.

[net-security.org-7] Новости net-security.org: Многопротокольный SoftEther VPN становится открытым исходным кодом Архивировано 8 октября 2022 г. на Wayback Machine , январь 2014 г.

[8] Распределение адресов для частных интернетов. Архивировано 8 октября 2022 г. на Wayback Machine , RFC 1918, Y. Rekhter et al. , февраль 1996 г.

[9] RFC 2917, Основная архитектура MPLS IP VPN

[10] RFC 2918, Э. Чен (сентябрь 2000 г.)

[11] Ян, Яньян (2006). «Правильность и гарантия политики безопасности IPsec/VPN». Журнал высокоскоростных сетей . 15 : 275–289 . CiteSeerX 10.1.1.94.8561 .

[12] "Обзор виртуальных частных сетей, предоставляемых поставщиком (PPVPN)". Secure Thoughts. Архивировано из оригинала 16 сентября 2016 года . Получено 29 августа 2016 года .

[13] RFC 1702: Общая инкапсуляция маршрутизации в сетях IPv4. Октябрь 1994 г.

[14] IETF (1999), RFC 2661, Протокол туннелирования второго уровня "L2TP"