9. Мрежи за тънки клиенти

 Вместо директна комуникационна връзка между компютрите, при VPN се създава тунел през обществена мрежа, обикновено Интернет, през която комуникиращите компютри се свързват помежду си (фиг.46).

Данните се изпращат по обществената мрежа по начин, който емулира връзка от тип „от точка до точка”. VPN създава през обществената мрежа тунел, който е независим от местоположението на комуникиращите компютри. Тунелът е логическа връзка от точка до точка, която поддържа автентикация и криптиране на данните.

Терминът „виртуална частна мрежа” се състои от три думи. Думата „мрежа” означава компютри, които комуникират помежду си, „виртуална” показва, че мрежата не използва директна връзка (кабелна или безжична), а „частна”, че изпращаните данни са конфиденциални, понеже при VPNте са криптирани по време на тяхното преминаване през мрежата и ако друг потребител прихване информацията може да я отвори само с ключ за криптиране.

Тунелирането скрива оригиналния пакет във вътрешността на нов пакет. Процесът се нарича капсулиране на данните. За извършване на маршрутизация през тунела, адресът на крайната точка на тунела се указва в хедъра на новия (външния) пакет, наричан хедър на капсулацията. Тук следва да се отбележи, че адресът на крайното местоназначение се съдържа в хедъра на оригиналния пакет. Когато пакетът стигне до края на тунела, хедъра на капсулацията се премахва и оригиналният пакет се доставя до крайното му местоназначение. Всъщност тунелирането представлява процес на капсулация и декапсулация на данните. Изпълнява се от специално разработени за целта протоколи. Според това на какво ниво от OSI модела работи протоколът, съществува тунелиране на ниво 2 и тунелеране на ниво 3.

При тунелирането на ниво 2, протоколът работи в каналния слой. Такъв е например протоколът PPTP (Point-to Point Tunneling Protocol) наMicrosoft, който, както показва неговото название, осигурява виртуална връзка от една точка до друга. Друг такъв е протоколът L2F (Layer 2Forwarding), разработен от Cisco Systems. За разлика от PPTP той може да подържа повече от една връзка. Протоколът L2TP (Layer 2 TunnelingProtocol) комбинира елементи на PPTP и L2F. L2TP е в състояние да капсулира IP, IPX и други видове пакети при предаването им по IP мрежа.

Тунелирането на ниво 3, работи в мрежовия слой, поради което е в състояние да осигурява IP-базирани виртуални връзки. Тук IP пакетите биват капсулирани в протоколни обвивки, които използват IPSecurity (IPSec), Internet Key Exchange (IKE) и методи за автентикация и криптиране като:Message Digest 5 (MD5), Data Encryption Standard (DES) и Secure Hash Algorithm (SHA).

Протоколът IPSec може да капсулира единствено IP пакети. Той би могъл да се използва и съвместно с L2TP. В този случай L2TP изгражда тунела, а IPSec криптира, при което IPSec работи в транспортен режим.

Съвременните операционни системи притежават вградена подръжка на VPN. Те позволяват лесно създаване на връзка към VPN по начин, подобен на този, по който се изгражда една dialup връзка. Като се започне от Windows 95 всички следващи версии на Windows могат да функционират като VPN клиенти (фиг.47).

Linux подържа използването на IPSec и на PPTP. В допълнение Linux може да изпълнява протокола PPP (Point-to-Point Protocol) през Secure Shell(SSH), който използва RSA технология с публичен ключ за автентикация и управление на сигурността на връзката.

VPN могат да бъдат изграждани по няколко начина, в зависимост от конкретните нужди. VPN биват използвани най-често за следните цели:

• 
  За осигуряване на отдалечен достъп до мобилни служители или до такива, които работят вкъщи.
  
• 
  За създаване на екстранет мрежа (частна мрежа, използваща отдалечени връзки, най-често Интернет), до която имат достъп служители, клиенти и партньори на дадена бизнес организация.
  
• 
  За осъществяване на контакт между два офиса, разположени отдалечено един от друг, без да се изгражда за целта специална директна връзка.
  

VPN за отдалечен достъп до отделни потребители

На фиг.48 е показан един примерен вариант на реализация. VPN клиентът трябва да може да подържа протоколите, използани от VPN сървъра.

Мрежата работи по следния начин:

• 
  За да изгради Интернет връзка, мобилният или домашният клиент набира по телефона локалния доставчик на Интернет и се свързва с него посредством потребителски акаунт. Ако клиентът използва наета връзка, например ADSL адаптер, тази стъпка отпада.
  
• 
  След създаване на връзката с Интернет, клиентът извиква VPN сървъра на LAN, като използва неговия IP адрес. VPN сървърът е конфигуриран така, че да приема VPN заявки. В резултат от тази стъпка се изгражда тунелът.
  
• 
  Клиентът се автентикира в частната LAN и получава достъп до нея.
  

Изграждане на VPN връзки между офиси на фирма

На фиг.49 е показана схема на VPN от тип маршрутизатор-маршрутизатор. Тя е изградена с помощта на маршрутизирани връзки към Интернет.

Връзката на всеки офис към Интернет може да бъде набирана при необходимост (dial on demand) или да бъде постоянна. При връзка с набиране маршрутизаторът използва dialup връзка с Интернет. Другият маршрутизатор, този който бива повикван, трябва да има постоянна връзка с Интернет и да е конфигуриран за приемане на връзки от типа набиране при необходимост. В повикващия маршрутизатор се конфигурират две връзки с набиране при необходимост – едната за набиране на Интернет доставчик (ISP) и другата за свързване към VPN. Ако двата маршрутизатора имат постоянни връзки към Интернет, ако е необходимо, VPN връзката може да бъде установена и оставена постоянно открита.

VPN връзката от типа маршрутизатор-маршрутизатор може да бъде конфигурирана като еднопосочна или двупосочна. В първия случай единият маршрутизатор трябва да действа като клиент и да инициира връзката, а другият да функционира като VNP сървър. Във втория случай, при двупосочна връзка, двата маршрутизатора трябва да имат постоянна връзка с Интернет, да са настроени да работят като LAN и WANмаршрутизатори и всеки един от тях да е в състояние да иницира VPN връзка.