10.1. Централизация функций предоставления услуг

10.2. Концепция и архитектура интеллектуальной сети (IN)

10.3. Протокол INAP

10.4. Классификация и характеристика интеллектуальных услуг

10.5. Особенности и преимущества VPN3

10.6. Защита данных VPN

10.1. Централизация функций предоставления услуг

Этапы развития телекоммуникационных технологий

В историческом развитии сетей и услуг связи можно выделить четыре основных этапа (рисунок 10.1) [76]. Каждый этап имеет свою логику развития, взаимосвязь с предыдущими и последующими этапами. Кроме того, каждый этап зависит от уровня развития экономики и национальных особенностей отдельного государства.


Рисунок 10.1. Этапы развития сетей и услуг связи

Интеллектуальная сеть, в соответствии с рекомендациями Международного Союза Электросвязи, может создавать новые службы и приложения быстро, эффективно, гибко и экономно, не требуя изменения структуры существующей сети. Благодаря этому происходит отделение управления услугами (централизация) от услуг коммутации, сигнализации и доставки информации, использующих стандартизированные структуры и протоколы. Интеллектуальная надстройка ответственна за создание новых услуг и поддержку существующих интеллектуальных услуг.

Благодаря этому ускоряется создание новых служб и услуг. При использовании стандартных интерфейсов продукты различных изготовителей могут взаимодействовать гибко и конкурировать на равноправной основе. Трехуровневая архитектура интеллектуальной сети приведена на рисунке 10.2.


Рисунок 10.2. Уровневая архитектура интеллектуальной сети

10.2. Концепция и архитектура интеллектуальной сети (IN)

Архитектура интеллектуальной сети приведена на рисунке 10.3.


Рисунок 10.3. Архитектура интеллектуальной сети

Обмен между объектами ИС – пунктом коммутации услуги (ПКУ – Service Switching Point, SSP) и интерпретатором услуг (ИВУ – Service Control Point, SCP) реализуется подсистемой поддержки пользователя интеллектуальной сети (ПП ИС – Intelligent Network Application Part, INAP) в реальном масштабе времени.

Пункт коммутации услуг (SSP) обеспечивает доступ абонентов сети связи общего пользования к услугам IN и поддерживает протоколы взаимодействия с другими элементами IN [76]. В этом пункте происходит фиксация того, что принятый вызов от абонента требует обращения к услугам IN и направление соответствующего запроса к узлу интерпретации услуг (SCP). После оснащения коммутационного оборудования узла сети функциями SSP услуги IN могут вводиться и удаляться путем соответствующих изменений конфигурации SSP, производимых техническим персоналом через обычный интерфейс оператора. Никаких изменений системного прикладного программного обеспечения (версии ПО) узла сети при этом не требуется.

Пункт интерпретации услуг (SCP) содержит программы, централизованно реализующие логику услуг, программные средства, поддерживающие протоколы взаимодействия с другими элементами сети, системное программное обеспечение, а также базу данных реального времени.

Интеллектуальная периферия (IN Peripherals, IP) выполняет вспомогательные функции, поддерживающие диалог с абонентом, такие как передача приглашения к набору дополнительных цифр номера, прием цифр, передаваемых абонентом многочастотным способом (DTMF), распознавание речи и некоторые другие. Интеллектуальная периферия может либо быть встроена в SSP, либо реализована в обособленном оборудовании. Интеллектуальная периферия управляется со стороны SCP по протоколу INAP.

Для подключения IP к SSP используются соединительные линии с сигнализацией, поддерживаемой подсистемой ISUP системы сигнализации ОКС № 7, или линии первичного доступа ISDN с цифровой абонентской сигнализацией DSS1.

Система эксплуатационного управления и среда создания услуг SMP/SCEP (Service management point/Service creation environment point) предоставляют оператору сети возможности контроля и управления параметрами и конфигурацией услуг IN. Среда создания услуг содержит средства конструирования, модификации и тестирования услуг до начала коммерческой эксплуатации и средства загрузки соответствующих программ в SMP. Пункт управления услугами (SMP) обеспечивает эксплуатационное управление действующими услугами, а также управление подготовкой новых услуг и их вводом в эксплуатацию.

Взаимодействие между SMP SCEP и SCP обеспечивается с помощью протоколов TCP/IP.

Для каждого этапа ITU-T определяет те услуги, которые можно реализовать на базе имеющейся технологии. Перечни услуг (и их составных элементов), определяемые для разных этапов, получили название наборов возможностей (Capability Sets, CS). Для каждого такого набора предусмотрен отдельный пакет рекомендаций ITU-T, причем все возможности, определенные для предыдущего набора, обязательно входят в следующий набор.

Верхняя плоскость модели (плоскость услуг) представляет услуги так, как они “видны” конечному пользователю. Такое представление не содержит информации, относящейся к способу и деталям реализации услуги в телекоммуникационной сети. То, что услуга реализована в рамках IN, при представлении ее на плоскости услуг невидимо. На этой плоскости услуги (services) компонуются из одной или из нескольких разных стандартизованных составляющих (модулей), каждую из которых пользователь воспринимает как одно из характерных свойств. Для каждого этапа стандартизации определяются совокупность таких составляющих и правила их использования.

Архитектура протоколов интеллектуальной сети базируется на объектно-ориентированном подходе к распределенной обработке информации и новейших технологиях предоставления услуг связи [82, 83]. Для организации обработки информации при предоставлении интеллектуальных услуг каждый программный компонент (ПК) строится по принципам объектно-ориентированного программирования. В программном компоненте содержится четыре составляющих (рисунок 10.4):

  • ядро (Core), описывающее объект обработки (вычислений) безотносительно к применению и управлению;
  • применение (Use), определяющее интерфейс с пользователем;
  • управление (Management);
  • указатель связей (Pointer Relationship), определяющий зависимости данного компонента от других.

Такой компонент называют моделью универсального компонента услуги (Universal Service Component Model, USCM). Если программа предоставления интеллектуальной услуги сложна, то она может включать другие компоненты, каждый из которых имеет модель USCM (рис. 10.5). Услуга ИС описывается в таких понятиях как:

    • пользователь,
    • абонент,
    • поставщик услуг доставки информации,
    • поставщик интеллектуальной услуги,
    • создатель сети доставки информации,
    • создатель услуги (программист),
    • менеджер сети/услуги.

Для уменьшения затрат на разработку новых интеллектуальных услуг создается библиотека компонентов: агентов пользователей, агентов терминалов, менеджеров сессий услуги и транспортного соединения.

Каждая телекоммуникационная услуга в соответствии с моделью USCM определяется ядром компонента. Ядро отвечает на вопрос “Что делать?”. Ядро определяет:

  1. Контекст (смысловой ряд действий), в котором оно участвует при реализации данной услуги;
  2. Множество операций и атрибутов услуги.

Смысловая последовательность действий, определяемая ядром, называется “сессией”. При реализации услуги может участвовать несколько менеджеров, каждый из которых ответствен за определенную сессию, например:

  • предоставления услуги;
  • пользователя относительно всех сессий услуги;
  • связи между участниками сеанса.

Управление в ИС реализуется тремя уровнями:

  • управления услугой;
  • управления интеллектуальной сетью;
  • управления вычислениями.


Рисунок 10.4. Программный компонент реализации услуг ИС


Рисунок 10.5. Связь компонентов, обеспечивающих предоставление ус-луг ИС

10.3. Протокол INAP

Коммутационные станции, дооснащенные необходимыми функциональными модулями, и обособленные специализированные программно-аппаратные комплексы с другими функциональными модулями, оказывающие таким станциям содействие в предоставлении новых услуг, называются узлами IN. Стандартные интерфейсы между узлами IN поддерживаются системой сигнализации ОКС-7 с использованием прикладного протокола интеллектуальной сети INAP (IN Application Protocol) [84], который определяет синтаксис и семантику вызываемых операций, назначение и порядок их обработки. Этот протокол предоставляет услуги поддержки взаимодействия прикладных процессов (Application process, АР) в узлах IN (например, в SSP, SCP, IP).

В процессе предоставления услуг IN функциональные объекты из разных физических элементов взаимодействуют друг с другом, причем взаимодействие происходит в форме диалога: один функциональный объект запрашивает выполнение операции, а другой выполняет ее и возвращает первому результат. Все необходимые для этого связи между физическими элементами сети осуществляются через стандартизованные интерфейсы.

Прикладной процесс является самым верхним уровнем абстрактного представления в INAP и описывает обработку запроса услуги в узле сети. Один прикладной процесс может использовать несколько прикладных объектов (Application entity, АЕ), каждый из которых поддерживает специфический набор функций, обеспечивающих взаимодействие с удаленными прикладными процессами.

Пример предоставления услуги интеллектуальной сети

Функции коммутации и доставки информации отделены от функций предоставления интеллектуальной услуги (рисунок 10.6) [76]. К уровню физической сети относятся узел SSP и интеллектуальная периферия (Intelligent Peripheral, IP). Лишь эти два объекта имеют жесткую связь с ТфОП с помощью каналов связи. Взаимодействие других узлов осуществляется только через сеть сигнализации.

Процесс предоставления “обобщенной” интеллектуальной услуги можно представить в виде последовательных действий:

  • Набор номера абонентом А;
  • Установление соединения: терминал абонент А – SSP;
  • Функционирование IP (обмен речевой информацией с абонентом А);
  • Передача информации об услуге через сеть ОКС №7 с помощью протокола INAP от SSP к SCP;
  • Обработка информации в интеллектуальной надстройке и формирование управляющих воздействий на SSP;
  • Установление соединения между абонентами А и Б;
  • Функционирование IP;
  • Разговор абонентов;
  • Завершение разговора. Передача информации о завершении разговора от SSP к SCP через сеть ОКС №7;
  • Разъединение соединения. Завершение выполнения услуги. Освобождение SSP.

Для другой интеллектуальной услуги процесс обработки может иметь другую последовательность этапов.


Рисунок 10.6. Упрощенная схема взаимосвязи интеллектуальной надстройки с телекоммуникационной сетью

Для понимания процессов, происходящих в SSP при установлении соединения и при наблюдении за ним вплоть до разъединения, удобно использовать модель базового процесса обслуживания вызова (рис. 10.7).


Рисунок 10.7. Модель процесса обслуживания вызова

Модель содержит последовательность точек, отображающих состояния этого процесса (Point in call, PIC), между которыми могут присутствовать точки обнаружения (Detection point, DP) обращений к услугам IN или событий, которые представляют интерес с точки зрения логики услуг IN.

Интерпретатор услуг (SCP) принимает запрос от SSP и возвращает ему инструкции для дальнейшей обработки вызова в соответствии с логикой затребованной услуги. До приема от SCP нужных инструкций обслуживание вызова в SSP приостанавливается. SCP отвечает за обслуживание вызова до тех пор, пока управление соединением не будет передано обратно в SSP.

В течение того времени, когда за обслуживание вызова отвечает SCP, SSP может передавать ему сообщения о результатах выполнения требуемых операций.

Узел коммутации услуг SSP представляет собой обычную коммутационную станцию, в которой сохраняются все функции управления процессом предоставления основных услуг связи, оснащенную дополнительными программными средствами. Узел коммутации услуг обеспечивает доступ абонентов сети связи к услугам IN и поддерживает протоколы взаимодействия с другими элементами IN. SSP определяет, что принятый им от абонента вызов требует обращения к услугам IN и направляет соответствующий запрос SCP.

Запрос может содержать номер вызывающего абонента, набранные им цифры номера, код требуемой услуги и другие параметры. После оснащения коммутационного оборудования функциями SSP услуги IN могут вводиться и удаляться путем соответствующих изменений конфигурации SSP, производимых техническим персоналом через обычный интерфейс оператора. Никаких изменений системного прикладного программного обеспечения (версии ПО) при этом не требуется.

Точки обнаружения обращений к услугам IN - триггерные точки - (Trigger Detection Points, TDP) отмечают приостановку базового процесса обслуживания вызова для обращения к логике услуг IN, происходящую в соответствии с заранее назначенным критерием. Таким критерием могут быть определенное сочетание цифр в набранном абонентом номере, префикс, категория вызывающей абонентской линии и т.д.

В последовательности точек (Point in call), отображающих состояния процесса обслуживания вызова, могут присутствовать точки обнаружения (Detection point, DP) обращений к услугам IN или событий, которые представляют интерес сточки зрения логики услуг IN.

Точки PIC являются представлениями обычных действий, выполняемых коммутационной станцией во время установления соединения, и состояний, через которые проходит процесс обслуживания вызова с момента, когда абонент снял трубку, до окончания связи. Например, нулевое состояние - это состояние, в котором SSP следит за свободной абонентской линией.

В качестве других состояний (или точек PIC) можно назвать состояние вызова абонентом станции (“трубка снята”), состояние, когда станция принимает набираемые абонентом цифры номера (“накопление информации”), “анализ информации”, “маршрутизация”, “оповещение” и т.д.

10.4. Классификация и характеристика интеллектуальных услуг

В Рекомендациях ITU-T специфицировано четыре набора интеллектуальных услуг: CS-1, CS-2, CS-3, CS-4 [85-87]. В таблице 10.1 приведена характеристика услуг набора CS-1 (Capability sets, CS).

Таблица 10.1. Набор услуг CS-1

Наименование интеллектуальной услуги

Возможности

1. FPH

Бесплатный вызов (Freephone). Бесплатная телефонная служба, или "свободный телефон". Разговор при данном типе вызова состоится, если вызываемый абонент согласится его оплатить (в США эта услуга называется "Служба 800").

2. AAB

Автоматический альтернативный биллинг (Automatic Alternative Billing). Предоставляет возможность вести учет стоимости разговора с любого ТА с помощью специальной системы биллинга, не имеющей отношения к линиям вызывающего и вызываемого абонентов.

3. ABD

Сокращенный набор (Abbreviated Dialing). Услуга предоставляет пользователю осуществление вызова, используя, например, номер из 4-х цифр, даже в том случае, когда вызывающий и вызываемый абоненты обслуживаются разными коммутационными станциями

4. ACC

Вызов по предоплаченной карте (Account Card Calling). Предоставляет возможность оплачивать разговор с любого ТА с помощью счета, указываемого набором дополнительного номера.

5. CCC

Вызов по кредитной карте (Credit Card Calling). Позволяет выполнять вызовы с любого ТА, оплачивая их по кредитной карте

6. CD

Распределение вызовов (Call Distribution). Дает возможность направлять вызовы на другие номера в соответствии с программой переадресации и приоритетами

7. CF

Направленный вызов (Call forwarding). Пользователь может направлять поступившие к нему вызовы на терминал с другим номером. Включение и отключение услуги осуществляется самим пользователем.

8. CON

Конференцсвязь (Conference calling). Позволяет соединить несколько абонентов для организации телефонной конференцсвязи. Число участников, соединяемых одновременно, может быть разным, в зависимости от характеристик "моста", объединяющего речевые сигналы, и от требований к качеству обслуживания

9. CRD

Перемаршрутизация вызова (Call Rerouting Distribution). Позволяет получать все входящие вызовы даже при занятом номере или других трудностях с установлением соединения (все вызовы, включая пейджерные сообщения и электронную почту, переводятся на другой номер и устанавливаются на автоответчик или в очередь)

10. CCBS

Завершение вызова, встретившего занятость вызываемого абонента (Call Completion To Busy Subsciber). Позволяет информировать вызывавшего абонента об освобождении того абонента, который был квалифицирован после попытки вызова как занятый, не требуя нового набора номера

11. DCR

Маршрутизация вызовов по условию (Destination Call Routing). Позволяет заказавшему услугу абоненту задавать маршрутизацию направленных к нему вызовов к разным терминалам

12. FMD

Функция "следуй за мной" (Follow-me diversion). Позволяет сохранить доступ к абоненту при его перемещении

13. MAS

Опрос населения (Mass Calling). Позволяет проводить опросы населения по телефону. Абонент после вызова слышит объявление и просьбу набрать одну из нескольких цифр на телефоне, чтобы выразить свое предпочтение. Все ответы регистрируются

14. MCI

Идентификация вызова злоумышленников (Malicious Call Identification). Позволяет выявить злоумышленников, записывая коды вызывающего и вызываемого абонентов и время вызова, удерживая вызов и сообщая оператору

15. OCS

Ограничение исходящей связи (Originating Call Screening). Дает возможность вводить ограничения на исходящую связь в определенное время или в соответствии с другими условиями

16. PRM

Приплата, передача части оплаты вызываемому абоненту (Premium Rate). Позволяет пользоваться информационными услугами с дополнительной оплатой (часть стоимости сеанса оплачивает вызывающая сторона, выступающая в роли поставщика дополнительной услуги, т.е. пользователь оплачивает стандартные телефонные услуги и дополнительные услуги. В США эта услуга называется "Служба 900"

17. SCF

Избирательная переадресация вызовов при занятости/отсутствии ответа (Selective Call Forwarding On Busy/no answer). Дает вызываемому абоненту возможность переадресовывать на другой номер часть вызовов, поступивших к нему, когда он занят или не отвечает в течение Y секунд или X посылок вызова

18.SEC

Защитное просеивание (Security screening). Услуга предусматривает проверку прав абонента перед предоставлением ему доступа к сети, к системе или приложению. Проверка производится на основе набираемого абонентом PIN-кода

19. SPL

Перераспределение оплаты (Split charging). Позволяет распределять оплату за разговор между абонентами

20. TCS

Просеивание входящих вызовов (Terminating call screening). Услуга запрещает входящие вызовы в соответствии со списком запретов и, как опция, в зависимости от времени суток

21. UAN

Универсальные номер доступа (Universal Access Number). Данная услуга дает возможность пользователю, имеющему несколько географически распределенных терминальных устройств, быть доступным другим пользователям по единому универсальному номеру в соответствии с определенной им маршрутизацией входящих вызовов

22. UDR

Маршрутизация, определяемая абонентом (User defined routing). Позволяет абоненту задать несколько разных маршрутов для исходящих от него вызовов (через частную сеть, через сеть общего пользования, через виртуальную или смешанную сеть) с тем, чтобы выбор одного из нескольких возможных маршрутов производился всякий раз с учетом списка их предпочтительности

23. UPT

Универсальная персональная связь (Universal Personal Telecommunication ). Позволяет абоненту пользоваться входящей и исходящей связью по единому номеру при его перемещении, вне зависимости от сетевой инфраструктуры и местоположения

24. VOT

Телефонное голосование (Televoting). Дает возможность посылать вызов на конкретный номер с последующим речевым сообщением или дополнительным набором определенного кода

25. VPN

Виртуальная частная сеть (Virtual Private Network). Часть имеющихся линий связи и коммутаторов объединяются в частную сеть, функционирование которых определяется пользователем, в том числе номера для пользователей этой сети, их права и приоритеты, маршрутизация вызовов и т.д.

10.5. Особенности и преимущества VPN

В основе концепции частных виртуальных сетей (Virtual Private Network, VPN) и сетей Extranet может лежать применение Internet.

Internet можно использовать при взаимодействии локальных сетей предприятий, но проблемы защиты, доступности и надежности такой сети заставляют многие организации отказаться от этой идеи.

Обычная частная сеть - это такая сеть, где каждый из удаленных пунктов связан с другими с помощью выделенных или арендуемых линий [78].

На рисунке 10.8 показана простая сеть подобного типа, состоящая из сети одного центрального офиса и сетей двух дочерних офисов. Основные затраты на содержание частной сети - это ежемесячная плата за арендуемые или выделенные линии.


Рисунок 10.8. Пример простой частной сети

Если в подобной сети вместо арендуемых линий использовать обмен через Internet, то мы получим сетевую топологию, аналогичную представленной на рисунке 10.9. Здесь каждый удаленный пункт имеет собственный доступ к Internet, обычно предоставляемый местным провайдером.


Рисунке 10.9. Взаимодействие частных сетей через Internet

Брандмауэр (Firewall, FW) – это программно-аппаратный комплекс, создающий защитный барьер (межсетевой экран) между сетями. Он предназначен для предотвращения несанкционированного доступа к защищаемой сети извне и для контроля потоков входящих и исходящих данных. Брандмауэр устанавливается на границе защищаемой сети, но его присутствие не должно быть заметно для сетевых узлов.

Сеть каждого дочернего отделения имеет собственное соединение с Internet (через шлюз местного провайдера).

Пользователи этих дочерних отделений могут с помощью такого соединения получить доступ к любому узлу Internet. Важные ресурсы корпоративной сети защищаются от доступа извне с помощью брандмауэров, обеспечивающих охрану каждого соединения с Internet.

Информационный обмен пользователей частной сети через Internet ставит вопросы защиты и качества услуг. Что касается безопасности, то каждый удаленный пункт, имеющий доступ к Internet, обычно защищен с помощью брандмауэра. Брандмауэр, как правило, настраивается таким образом, чтобы пользователи локальной сети могли свободно обращаться к узлам Internet, но сторонний пользователь не мог бы получить доступ извне к серверам или другим ресурсам корпоративной сети.

Подобная схема предохраняет каждый удаленный офис от несанкционированного доступа извне, но никак не защищает информационные потоки, передаваемые между этими пунктами. Потоки информации проходят через Internet без шифрования. Кроме проблем защиты, немаловажное значение для пользователей VPN имеет также надежность соединения с Internet каждого удаленного офиса и скорость передачи данных.

Многие проблемы защиты информационных потоков опираются на брандмауэры с дополнительными функциями поддержки VPN, расширения которых для виртуальных частных сетей позволяют установить через Internet шифрованное соединение с другим брандмауэром. Шифрование обеспечивает гарантию того, что даже если некто, вооружившись анализатором протоколов, перехватит сообщение из магистральной сети, то он не сможет прочитать данные.

Как показано на рисунке 10.10, брандмауэры с поддержкой VPN создают логические каналы - "коридоры" в Internet. Коридоры не позволяют никому извне "проникнуть внутрь".


Рисунке 10.10. Обмен частных сетей по логическим каналам через Internet

Брандмауэры со средствами VPN создают шифрованные соединения, связывающие каждый пункт с другими. Концептуально это напоминает стены, окружающие каждый филиал, и коридоры, соединяющие штаб-квартиру с дочерними отделениями в единое целое. Брандмауэры со средствами VPN дают пользователям возможность получить защищенный доступ к сетям других филиалов.

Такой подход основывается на допущении, что если пользователь подтвердил свои полномочия в одном из филиалов, то ему можно (или следует) предоставить доступ к сетям других филиалов компании. Между тем, корпоративная политика защиты не всегда разрешает доступ к любой части сети всем сотрудникам организации. Более того, сегодня компании все чаще предоставляют доступ к своей сети партнерам по бизнесу, но при этом они обычно ограничивают сферу их доступа.

Расходы на VPN обычно складываются из оплаты стоимости линий связи между компанией и точкой доступа к Internet и оплаты услуг провайдера Internet. Вместо оплаты определенной пропускной способности (независимо от того, нужна она вам постоянно или нет), Internet позволяет по мере надобности создавать между точками сети защищенные виртуальные туннели.

Частная виртуальная сеть создается между инициатором туннеля и завершителем (терминатором) туннеля (Рисунок 10.11).


Рисунок 10.11. VPN

Инициатор туннеля (ИТ) инкапсулирует пакеты, например, IP-пакеты, в новый пакет, содержащий, наряду с исходными данными, новый заголовок с информацией об отправителе и получателе. Терминатор туннеля (ТТ) выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в сеть IP или адресату в локальной сети.

Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных. Конфиденциальность обеспечивается с помощью шифрования.

Поскольку существует множество методов шифрования данных, очень важно, чтобы инициатор и терминатор туннеля использовали один и тот же метод. Кроме того, для успешной дешифрации данных источник и получатель должны иметь возможность обмена ключами шифрования. Чтобы туннели создавались только между уполномоченными пользователями, конечные точки требуется идентифицировать.

Целостность туннелируемых данных можно обеспечить с помощью некоей формы выборки сообщения или хэш-функции для выявления искажений или потерь. Хэширование (Hashing) – метод отображения открытого (незашифрованного) сообщения в шифрованную строку фиксированной длины. В криптографии такая функция служит для обнаружения модификации (искажения, подмены) шифрованных сообщений.

Технически реализация VPN стала возможной уже достаточно давно. Инкапсуляция используется для передачи кадров локальных сетей, в которых доставка обеспечивается без маршрутизации, через сети с маршрутизаторами пакетов, а также для доставки мультимедийной информации с помощью одного протокола.

Для реализации унифицированного способа инкапсуляции пакетов третьего и более высоких уровней разработан протокол туннелирования второго уровня (Layer-2 Tunneling Protocol, L2TP). Спецификация L2TP не описывает методы идентификации и шифрования. Представляя собой расширение протокола PPP (Point-to-Point Protocol) уровня звена данных, L2TP может поддерживать любые высокоуровневые протоколы (не только IP). Туннели на основе PPP требуют, чтобы конечные точки поддерживали информацию о состоянии каждого канала (такую, как тайм-ауты), и, следовательно, не обладают хорошей масштабируемостью при необходимости организации нескольких туннелей с общими конечными точками.

Для взаимодействия локальных сетей используются и технологии маршрутизации третьего уровня. Спецификацией, где описаны стандартные методы для всех компонентов VPN, является протокол Internet Protocol Security, или IPSec (иногда его называют протоколом туннелирования третьего уровня (Layer-3 Tunneling)).

Набор услуг, предоставляемых VPN

Протокол IPSec предусматривает:

  • стандартные методы идентификации пользователей или компьютеров при создании туннеля;
  • стандартные способы шифрования, используемые конечными точками туннеля;
  • стандартные методы обмена и управления ключами шифрования между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи.

Протокол IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Спецификация IPSec ориентирована на IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня.

Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.

10.6. Защита данных VPN

Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью протокола защиты транспортного уровня (Transport Layer Security, TLS). Существует довольно тонкая взаимосвязь между брандмауэрами (firewall) и VPN. Если туннели завершаются на оборудовании провайдера Internet, то потоки информации будут передаваться по локальной сети или по линии связи с провайдером Internet в незащищенном виде.

Если же конечная точка туннеля находится на территории локальной сети, но расположена за брандмауэром, то туннелируемые потоки можно контролировать с помощью средств контроля доступа брандмауэра, но никакой дополнительной защиты при передаче по локальной сети это не даст. Более того, конечную точку будет связывать с брандмауэром канал с незашифрованной информацией.

Расположение конечной точки внутри защищаемой брандмауэром зоны обычно означает открытие прохода через брандмауэр (как правило, через конкретный порт TCP).

Некоторые компании предпочитают применять реализуемый брандмауэром контроль доступа ко всему трафику, в том числе и к туннелируемому, особенно если другую сторону туннеля представляет партнер, заказчик или поставщик, стратегия защиты которого неизвестна или не внушает доверия.

Одно из преимуществ тесно интегрированных с брандмауэром продуктов туннелирования состоит в том, что можно:

  • открывать туннель;
  • применять к туннелю правила защиты брандмауэра;
  • перенаправлять потоки данных до конечной точки на конкретном компьютере или до защищаемой брандмауэром подсети.

Конструктивные решения

VPN реализуется с помощью специального программного обеспечения. Программное обеспечение для VPN может функционировать на самых разных аппаратных платформах. Маршрутизаторы или коммутаторы могут поддерживать функции VNP по умолчанию (или в качестве дополнительной возможности, предлагаемой за отдельную плату).

Аппаратно и программно реализуемые брандмауэры нередко предусматривают модули VPN со средствами управления трафиком или без таковых. Некоторые пограничные комбинированные устройства включают в себя маршрутизатор, брандмауэр, средства управления пропускной способностью и функции VPN (а также режим конфигурации).

Идентификация источника

Виртуальная частная сеть немыслима без идентификации. Вероятно, инфраструктура с открытыми ключами (Public Key Infrastructure, PKI) для электронной идентификации и управления открытыми ключами будет приобретать все большую значимость. Данные о PKI лучше всего хранить в глобальном каталоге, обращаться к которому можно по упрощенному протоколу доступа к каталогу (Lightweight Directory Access Protocol, LDAP).

Телекоммуникационная отрасль постепенно переходит к хранению информации идентификации и PKI в центральном каталоге или каталоге, способном полностью взаимодействовать с другими каталогами и приложениями, не только данных, имеющих отношение к политике защиты, но и информации о приоритетах (для управления производительностью), а также о выделении вычислительных ресурсов.

Шифрование

Шифрование требует значительных вычислительных ресурсов. Например, обычные серверы класса Pentium имеют достаточную производительность шифрования для канала на 10 Мбит/с, но не 100 Мбит/с. Для обеспечения высокой скорости шифрования некоторые изготовители предлагают специальные аппаратные дополнения к платформе общего назначения.