Virtuelle Netzwerke. VPN-Verbindung: Was ist das und wozu dient ein VPN-Kanal? Das Konzept des „Tunnels“ bei der Datenübertragung in Netzwerken

Virtuelles privates Netzwerk

Am häufigsten zum Erstellen virtuelles Netzwerk Das PPP-Protokoll ist in ein anderes Protokoll eingekapselt – Ethernet (von Last-Mile-Anbietern, um den Zugang zum Internet bereitzustellen).

Mit dem richtigen Grad der Umsetzung und dem Einsatz spezieller Software VPN-Netzwerk bereitstellen kann hohes Niveau Verschlüsselung der übertragenen Informationen. Bei richtige Einstellung Die VPN-Technologie aller Komponenten sorgt für Anonymität im Internet.

VPN-Struktur

Ein VPN besteht aus zwei Teilen: einem „internen“ (kontrollierten) Netzwerk, von dem es mehrere geben kann, und einem „externen“ Netzwerk, über das eine gekapselte Verbindung verläuft (normalerweise das Internet). Es ist auch möglich, einen separaten Computer mit einem virtuellen Netzwerk zu verbinden. Die Verbindung eines Remote-Benutzers zum VPN erfolgt über einen Zugangsserver, der sowohl mit dem internen als auch mit dem externen (öffentlichen) Netzwerk verbunden ist. Wenn ein Remote-Benutzer eine Verbindung herstellt (oder eine Verbindung zu einem anderen sicheren Netzwerk herstellt), erfordert der Zugriffsserver einen Identifizierungsprozess und anschließend einen Authentifizierungsprozess. Nach erfolgreichem Abschluss beider Prozesse wird der Remote-Benutzer ( Remote-Netzwerk) ist mit der Berechtigung ausgestattet, im Netzwerk zu arbeiten, d. h. es findet ein Autorisierungsprozess statt.

VPN-Klassifizierung

VPN-Klassifizierung

VPN-Lösungen können nach mehreren Hauptparametern klassifiziert werden:

Nach Art der verwendeten Umgebung

• Geschützt

Die gebräuchlichste Version virtueller privater Netzwerke. Mit seiner Hilfe ist es möglich, ein zuverlässiges und sicheres Subnetz basierend auf einem unzuverlässigen Netzwerk, normalerweise dem Internet, zu erstellen. Beispiele für sichere VPNs sind: IPSec, PPTP.

• Vertrauenswürdige

Sie werden dort eingesetzt, wo das Übertragungsmedium als zuverlässig angesehen werden kann und lediglich das Problem der Schaffung eines virtuellen Subnetzes innerhalb eines größeren Netzwerks gelöst werden muss. Sicherheitsfragen werden irrelevant. Beispiele für solche VPN-Lösungen sind: Multiprotokoll-Label-Switching (L2TP (Layer 2 Tunneling Protocol). (Genauer gesagt verlagern diese Protokolle die Aufgabe der Gewährleistung der Sicherheit auf andere, beispielsweise wird L2TP normalerweise in Verbindung mit IPSec verwendet).

Nach Implementierungsmethode

• In Form von spezieller Soft- und Hardware

Die Implementierung eines VPN-Netzwerks erfolgt mit einem speziellen Satz an Soft- und Hardware. Diese Implementierung bietet eine hohe Leistung und in der Regel hochgradig Sicherheit.

• Als Softwarelösung

Sie verwenden einen Personal Computer mit spezieller Software, die VPN-Funktionalität bietet.

• Integrierte Lösung

Die VPN-Funktionalität wird von einem Komplex bereitgestellt, der auch Filterprobleme löst Netzwerktraffic, Organisation einer Firewall und Sicherstellung der Servicequalität.

Nach Verwendungszweck

Sie werden verwendet, um mehrere verteilte Niederlassungen einer Organisation in einem einzigen sicheren Netzwerk zu vereinen und Daten über offene Kommunikationskanäle auszutauschen.

• Fernzugriffs-VPN

Wird verwendet, um einen sicheren Kanal zwischen einem Unternehmensnetzwerksegment (Zentrale oder Zweigstelle) und einem einzelnen Benutzer zu erstellen, der von zu Hause aus eine Verbindung herstellt Unternehmensressourcen Mit Heimcomputer, Firmenlaptop, Smartphone oder Internetkiosk.

• Extranet-VPN

Wird für Netzwerke verwendet, mit denen sich „externe“ Benutzer (z. B. Kunden oder Mandanten) verbinden. Das Vertrauen in sie ist viel geringer als in die Mitarbeiter des Unternehmens, daher ist es notwendig, spezielle „Schutzlinien“ bereitzustellen, die den Zugriff dieser auf besonders wertvolle, vertrauliche Informationen.

• Internet-VPN

Wird von Anbietern zur Bereitstellung des Internetzugangs verwendet.

• Client/Server-VPN

Es bietet Schutz für übertragene Daten zwischen zwei Knoten (nicht Netzwerken) eines Unternehmensnetzwerks. Die Besonderheit dieser Option besteht darin, dass das VPN zwischen Knoten aufgebaut wird, die sich in der Regel im selben Netzwerksegment befinden, beispielsweise zwischen Arbeitsplatz und der Server. Dieser Bedarf entsteht sehr oft dann, wenn mehrere erstellt werden müssen logische Netzwerke. Zum Beispiel, wenn es notwendig ist, den Datenverkehr zwischen der Finanzabteilung und der Personalabteilung aufzuteilen, die auf Server zugreifen, die sich im selben physischen Segment befinden. Diese Option ähnelt der VLAN-Technologie, jedoch wird der Datenverkehr nicht getrennt, sondern verschlüsselt.

Nach Protokolltyp

Es gibt Implementierungen virtueller privater Netzwerke für TCP/IP, IPX und AppleTalk. Heutzutage gibt es jedoch eine Tendenz zu einem allgemeinen Übergang zum TCP/IP-Protokoll, und die überwiegende Mehrheit der VPN-Lösungen unterstützt dieses.

Nach Netzwerkprotokollebene

Nach Netzwerkprotokollschicht basierend auf einem Vergleich mit den Schichten des ISO/OSI-Referenznetzwerkmodells.

VPN-Beispiele

Viele große Anbieter bieten ihre Dienste zur Organisation von VPN-Netzwerken für Geschäftskunden an.

Literatur

• Ivanov M. A. Kryptografische Methoden Informationsschutz in Computersysteme und Netzwerke. - M.: KUDITS-OBRAZ, 2001. - 368 S.
• Kulgin M. Technologien von Unternehmensnetzwerken. Enzyklopädie. - St. Petersburg: Peter, 2000. - 704 S.
• Olifer V. G., Olifer N. A. Computernetzwerke. Prinzipien, Technologien, Protokolle: Lehrbuch für Universitäten. - St. Petersburg: Peter, 2001. - 672 S.
• Romanets Yu. V., Timofeev P. A., Shangin V. F. Informationsschutz in Computersystemen und Netzwerken. 2. Aufl. - M: Radio und Kommunikation, 2002. −328 S.
• Stallings V. Grundlagen der Netzwerksicherheit. Anwendungen und Standards = Grundlagen der Netzwerksicherheit. Anwendungen und Standards. - M.: "Williams", 2002. - S. 432. - ISBN 0-13-016093-8
• Virtual Private Network-Produkte [ Elektronisches Dokument] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
• Anita Karve Real virtuelle Möglichkeiten// LAN. - 1999.- Nr. 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
• Linux's Antwort auf MS-PPTP [Elektronisches Dokument] / Peter Gutmann. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
• Joel Snyder VPN: geteilter Markt // Netzwerke. - 1999.- Nr. 11 http://www.citforum.ru/nets/articles/vpn.shtml
• VPN Primer [Elektronisches Dokument] – www.xserves.com/downloads/anexgate/VPNPrimer.pdf
• PKI oder PGP? [Elektronisches Dokument] / Natalia Sergeeva. - http://www.citforum.ru/security/cryptography/pki_pgp/
• IPSec – Protokoll zum Schutz des Netzwerkverkehrs auf IP-Ebene [Elektronisches Dokument] / Stanislav Korotygin. - http://www.ixbt.com/comm/ipsecure.shtml
• OpenVPN-FAQ [Elektronisches Dokument] – http://openvpn.net/faq.html
• Zweck und Struktur von Verschlüsselungsalgorithmen [Elektronisches Dokument] / Sergey Panasenko. - http://www.ixbt.com/soft/alg-encryption.shtml
• Zur modernen Kryptographie [Elektronisches Dokument] / V. M. Sidelnikov. - http://www.citforum.ru/security/cryptography/crypto/
• Einführung in die Kryptographie / Ed. V. V. Jaschtschenko. - M.: MTsNMO, 2000. - 288 von http://www.citforum.ru/security/cryptography/yaschenko/
• Sicherheitsfallen in der Kryptographie [Elektronisches Dokument] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
• IPSec: Allheilmittel oder notwendige Maßnahme? [Elektronisches Dokument] / Evgeniy Patiy. - http://citforum.ru/security/articles/ipsec_standard/
• VPN und IPSec immer zur Hand [Elektronisches Dokument] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
• Ein Framework für IP-basierte virtuelle private Netzwerke [Elektronisches Dokument] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
• OpenVPN und die SSL-VPN-Revolution [Elektronisches Dokument] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
• Markus Feilner Virtuelle private Netzwerke der neuen Generation // LAN.- 2005.- Nr. 11
• Was ist SSL [Elektronisches Dokument] / Maxim Drogaytsev. - http://www.ods.com.ua/win/rus/security/ssl.html
• Kryptoanalyse der PPTP-Authentifizierungserweiterungen (MS-CHAPv2) von Microsoft [Elektronisches Dokument] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
• Technische Spezifikationen des Point-to-Point Tunneling Protocol (PPTP) [Elektronisches Dokument] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
• Ryan Norman Auswahl eines VPN-Protokolls // Windows IT Pro. - 2001. - Nr. 7 http://www.osp.ru/win2000/2001/07/010.htm
• MPLS: eine neue Ordnung in IP-Netzwerken? [Elektronisches Dokument] / Tom Nolle. - http://www.emanual.ru/get/3651/
• Layer Two Tunneling Protocol „L2TP“ [Elektronisches Dokument] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
• Alexey Lukatsky Unbekanntes VPN // Computerpresse. - 2001. - Nr. 10 http://abn.ru/inf/compress/network4.shtml
• Erster Ziegelstein in der Wand VPN-Rezension VPN-Geräte der Einstiegsklasse [Elektronisches Dokument] / Valery Lukin. - http://www.ixbt.com/comm/vpn1.shtml
• Überprüfung der VPN-Hardware [Elektronisches Dokument] - http://www.networkaccess.ru/articles/security/vpn_hardware/
• Reine Hardware-VPNs bestimmen Hochverfügbarkeitstests [Elektronisches Dokument] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
• VPN: VPN-Typ [Elektronisches Dokument] – http://www.vpn-guide.com/type_of_vpn.htm
• KAME FAQ [Elektronisches Dokument] – http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
• Merkmale des russischen VPN-Marktes [Elektronisches Dokument] – http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
• Inländische Mittel zum Aufbau virtueller privater Netzwerke [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy
• Sergey Petrenko Sicheres virtuelles privates Netzwerk: eine moderne Sicht auf den Schutz vertraulicher Daten // Internet World. - 2001. - Nr. 2

Ein virtuelles lokales Netzwerk (VLAN) ist eine Gruppe von Netzwerkknoten, deren Datenverkehr, einschließlich Broadcast-Datenverkehr, auf Verbindungsebene vollständig vom Datenverkehr anderer Netzwerkknoten isoliert ist.

Reis. 14.10. Virtuelle lokale Netzwerke.

Dies bedeutet, dass Frames nicht zwischen verschiedenen virtuellen Netzwerken basierend auf einer Link-Layer-Adresse übertragen werden können, unabhängig von der Art der Adresse (einzigartig, Multicast oder Broadcast). Gleichzeitig werden Frames innerhalb des virtuellen Netzwerks mittels Switching-Technologie nur an den Port übertragen, der der Zieladresse des Frames zugeordnet ist.

VLANs können sich überlappen, wenn ein oder mehrere Computer Teil von mehr als einem VLAN sind. In Abb. 14.10 Der E-Mail-Server ist Teil der virtuellen Netzwerke 3 und 4. Das bedeutet, dass seine Frames über Switches an alle in diesen Netzwerken enthaltenen Computer übertragen werden. Wenn ein Computer nur Teil des virtuellen Netzwerks 3 ist, erreichen seine Frames Netzwerk 4 nicht, er kann jedoch über einen gemeinsamen Mailserver mit Computern im Netzwerk 4 interagieren. Dieses Schema schützt virtuelle Netzwerke nicht vollständig voreinander, beispielsweise vor einem Broadcast-Sturm, der auf dem Server auftritt Email, wird sowohl Netzwerk 3 als auch Netzwerk 4 überfluten.

Ein virtuelles Netzwerk soll eine Broadcast-Verkehrsdomäne bilden, ähnlich der Kollisionsdomäne, die von Ethernet-Repeatern gebildet wird.

Zweck virtueller Netzwerke

Wie wir im Beispiel aus dem vorherigen Abschnitt gesehen haben, können Sie mit benutzerdefinierten Filtern den normalen Betrieb von Switches stören und die Interaktion lokaler Netzwerkknoten gemäß den erforderlichen Zugriffsregeln einschränken. Der benutzerdefinierte Switch-Filtermechanismus hat jedoch mehrere Nachteile:

Es ist notwendig, für jeden Netzwerkknoten separate Bedingungen festzulegen und dabei umständliche MAC-Adressen zu verwenden. Es wäre viel einfacher, Knoten zu gruppieren und gleichzeitig die Interaktionsbedingungen für Gruppen zu beschreiben.

Es ist nicht möglich, den Broadcast-Verkehr zu blockieren. Broadcast-Verkehr kann zur Nichtverfügbarkeit des Netzwerks führen, wenn einer seiner Knoten absichtlich oder unabsichtlich Broadcast-Frames mit großer Intensität generiert.

Die Technik virtueller lokaler Netzwerke löst das Problem, die Interaktion von Netzwerkknoten auf andere Weise einzuschränken.

Der Hauptzweck der VLAN-Technologie besteht darin, den Aufbau isolierter Netzwerke zu ermöglichen, die dann meist über Router miteinander verbunden werden. Dieses Netzwerkdesign schafft starke Barrieren für unerwünschten Datenverkehr von einem Netzwerk zum anderen. Heutzutage gilt es als offensichtlich, dass jedes große Netzwerk Router enthalten muss, da andernfalls Ströme fehlerhafter Frames, wie z. B. Broadcasts, das gesamte Netzwerk regelmäßig über für sie transparente Switches „überfluten“ und es dadurch funktionsunfähig machen.

Der Vorteil der virtuellen Netzwerktechnologie besteht darin, dass Sie durch die logische Konfiguration von Switches vollständig isolierte Netzwerksegmente erstellen können, ohne die physische Struktur zu ändern.

Vor dem Aufkommen der VLAN-Technologie wurden entweder physisch isolierte Segmente eines Koaxialkabels oder nicht verbundene Segmente, die auf Repeatern und Brücken aufgebaut waren, verwendet, um ein separates Netzwerk zu erstellen. Diese Netzwerke wurden dann durch Router zu einem einzigen Verbundnetzwerk verbunden (Abb. 14.11).

Das Ändern der Zusammensetzung von Segmenten (Benutzer wechselt in ein anderes Netzwerk, Aufteilen großer Segmente) erfordert bei diesem Ansatz die physische Neuverbindung von Anschlüssen an den Frontplatten von Repeatern oder an Cross-Connect-Panels, was nicht sehr praktisch ist große Netzwerke- viel körperliche Arbeit und hohe Fehlerwahrscheinlichkeit.

Reis. 14.11. Zusammengesetztes Netzwerk, bestehend aus Netzwerken, die auf der Basis von Repeatern aufgebaut sind

Die Verknüpfung virtueller Netzwerke zu einem gemeinsamen Netzwerk erfordert den Einsatz von Tools auf Netzwerkebene. Es kann in einem separaten Router oder als Teil der Switch-Software implementiert werden, die dann zu einem kombinierten Gerät – einem sogenannten Layer-3-Switch – wird.

Die Technologie virtueller Netzwerke ist schon lange nicht mehr standardisiert, obwohl sie in den unterschiedlichsten Switch-Modellen implementiert ist verschiedene Hersteller. Die Situation änderte sich mit der Einführung des IEEE 802.1Q-Standards im Jahr 1998, der die Grundregeln für den Aufbau virtueller lokaler Netzwerke unabhängig vom vom Switch unterstützten Link-Layer-Protokoll definiert.

Erstellen virtueller Netzwerke basierend auf einem Switch

Beim Erstellen virtueller Netzwerke auf Basis eines einzelnen Switches wird üblicherweise der Switch-Port-Gruppierungsmechanismus verwendet (Abb. 14.12). In diesem Fall ist jeder Port dem einen oder anderen virtuellen Netzwerk zugeordnet. Ein Frame, der von einem Port kommt, der beispielsweise zum virtuellen Netzwerk 1 gehört, wird niemals an einen Port übertragen, der nicht zu diesem virtuellen Netzwerk gehört. Ein Port kann mehreren virtuellen Netzwerken zugewiesen werden, obwohl dies in der Praxis selten geschieht – der Effekt der vollständigen Isolierung von Netzwerken verschwindet.

Das Erstellen virtueller Netzwerke durch Gruppieren von Ports erfordert für den Administrator keinen großen manuellen Aufwand – es reicht aus, jeden Port einem von mehreren vorab benannten virtuellen Netzwerken zuzuweisen. Normalerweise wird dieser Vorgang mit einem speziellen Programm durchgeführt, das mit dem Switch geliefert wird.

Die zweite Methode zum Erstellen virtueller Netzwerke basiert auf der Gruppierung von MAC-Adressen. Jede vom Switch gelernte MAC-Adresse wird einem bestimmten virtuellen Netzwerk zugewiesen. Wenn es viele Knoten im Netzwerk gibt, erfordert diese Methode einen hohen manuellen Aufwand für den Administrator. Beim Aufbau virtueller Netzwerke auf Basis mehrerer Switches erweist es sich jedoch als flexibler als die Portgruppierung.

Reis. 14.12. Virtuelle Netzwerke, die auf einem einzigen Switch aufgebaut sind

Erstellen virtueller Netzwerke basierend auf mehreren Switches

Abbildung 14.13 veranschaulicht das Problem, das beim Erstellen virtueller Netzwerke auf Basis mehrerer Switches entsteht, die Port-Trunking-Techniken unterstützen.

Reis. 14.13. Aufbau virtueller Netzwerke auf mehreren Switches mit Portgruppierung

Wenn die Knoten eines virtuellen Netzwerks mit verschiedenen Switches verbunden sind, muss den Switches ein spezielles Portpaar zugewiesen werden, um jedes dieser Netzwerke zu verbinden. Daher benötigen Port-Trunking-Switches für ihre Verbindung so viele Ports, wie sie virtuelle Netzwerke unterstützen. Anschlüsse und Kabel werden in diesem Fall sehr verschwenderisch genutzt. Darüber hinaus wird bei der Verbindung virtueller Netzwerke über einen Router jedem virtuellen Netzwerk ein eigenes Kabel und ein eigener Router-Port zugewiesen, was ebenfalls zu hohen Overhead-Kosten führt.

Durch die Gruppierung von MAC-Adressen in einem virtuellen Netzwerk auf jedem Switch entfällt die Notwendigkeit, sie über mehrere Ports hinweg zuzuordnen, da die MAC-Adresse dann zur Bezeichnung des virtuellen Netzwerks wird. Diese Methode erfordert jedoch viel manuelle Arbeit, um MAC-Adressen auf jedem Switch im Netzwerk zu markieren.

Die beschriebenen beiden Ansätze basieren lediglich auf dem Hinzufügen zusätzlicher Informationen zu den Adresstabellen des Switches und verfügen nicht über die Möglichkeit, Informationen über den Besitz des virtuellen Netzwerkrahmens in den übertragenen Rahmen einzubetten. Bei anderen Ansätzen werden vorhandene oder zusätzliche Frame-Felder verwendet, um Informationen über die Mitgliedschaft des Frames in einem bestimmten virtuellen lokalen Netzwerk zu speichern, wenn er sich zwischen Netzwerk-Switches bewegt. In diesem Fall muss nicht bei jedem Switch berücksichtigt werden, dass alle MAC-Adressen des Verbundnetzwerks zu virtuellen Netzwerken gehören.

Das zusätzliche Feld mit der Bezeichnung „Virtual Network Number“ wird nur verwendet, wenn der Frame von Switch zu Switch übertragen wird, und wenn der Frame zum Endknoten übertragen wird, wird er normalerweise entfernt. In diesem Fall wird das „Switch-to-Switch“-Interaktionsprotokoll geändert und die Software und Hardware Die Endknoten bleiben unverändert.

Ethernet führt einen zusätzlichen Header ein, der als VLAN-Tag bezeichnet wird.

Das VLAN-Tag ist für Ethernet-Frames optional. Ein Frame mit einem solchen Header wird als getaggter Frame bezeichnet. Switches können getaggte und nicht getaggte Frames gleichzeitig verarbeiten. Aufgrund der Hinzufügung des Tags VLAN-Maximum die Länge des Datenfeldes hat sich um 4 Bytes verringert.

Damit lokale Netzwerkgeräte getaggte Frames unterscheiden und verstehen können, wird für sie ein spezieller EtherType-Feldwert von 0x8100 eingeführt. Dieser Wert gibt an, dass ihm ein TCI-Feld und kein Standarddatenfeld folgt. Beachten Sie, dass in einem getaggten Frame auf die VLAN-Tag-Felder ein weiteres EtherType-Feld folgt, das den Protokolltyp angibt, dessen Daten im Datenfeld des Frames übertragen werden.

Das TCI-Feld enthält ein 12-Bit-VLAN-Nummernfeld (Identifikator) namens VID. Durch die Breite des VID-Felds können Switches bis zu 4096 virtuelle Netzwerke erstellen.

Mithilfe des VID-Werts in getaggten Frames führen Netzwerk-Switches eine Filterung des Gruppenverkehrs durch und unterteilen das Netzwerk in virtuelle Segmente, also in VLANs. Um diesen Modus zu unterstützen, wird jeder Switch-Port einem oder mehreren virtuellen lokalen Netzwerken zugewiesen, d. h. es wird eine Portgruppierung durchgeführt.

Um die Netzwerkkonfiguration zu vereinfachen, führt der 802.1Q-Standard die Konzepte Zugangsleitung und Trunk ein.

Eine Zugangsleitung verbindet einen Switch-Port (in diesem Fall Access-Port genannt) mit einem Computer, der zu einem virtuellen lokalen Netzwerk gehört.

Ein Trunk ist eine Kommunikationsleitung, die die Ports zweier Switches verbindet; im Allgemeinen wird der Datenverkehr von mehreren virtuellen Netzwerken über einen Trunk übertragen.

Um im Quellnetzwerk ein virtuelles lokales Netzwerk zu erstellen, müssen Sie zunächst einen VID-Wert ungleich 1 dafür auswählen und diesem Netzwerk dann mithilfe der Switch-Konfigurationsbefehle die Ports zuweisen, mit denen die darin enthaltenen Computer verbunden sind . Ein Access-Port kann nur einem VLAN zugewiesen werden.

Zugriffsports empfangen ungetaggte Frames von Endhosts und kennzeichnen sie mit einem VLAN-Tag, das den diesem Port zugewiesenen VID-Wert enthält. Bei der Übertragung getaggter Frames an den Endknoten entfernt der Access-Port das VLAN-Tag.

Für eine klarere Beschreibung kehren wir zum zuvor besprochenen Netzwerkbeispiel zurück. Feige. Abbildung 14.15 zeigt, wie das Problem des selektiven Zugriffs auf Server auf Basis der VLAN-Technik gelöst wird.

Reis. 14.15. Aufteilung des Netzwerks in zwei virtuelle lokale Netzwerke

Um dieses Problem zu lösen, können wir zwei virtuelle lokale Netzwerke im Netzwerk organisieren, VLAN2 und VLAN3 (denken Sie daran, dass VLAN1 standardmäßig bereits vorhanden ist – dies ist unser ursprüngliches Netzwerk), und einen Satz von Computern und Servern VLAN2 und den anderen zuordnen KVLAN3.

Um Endknoten einem bestimmten VLAN zuzuordnen, werden die entsprechenden Ports als Zugangsports dieses Netzwerks deklariert, indem ihnen die entsprechende VID zugewiesen wird. Beispielsweise sollte Port 1 von SW1 als Zugangsport von VLAN2 deklariert werden, indem ihm VID2 zugewiesen wird. Dasselbe sollte mit Port 5 von SW1, Port 1 von SW2 und Port 1 von SW3 erfolgen. VLAN3-Zugriffsports müssen VID3 zugewiesen werden.

In Ihrem Netzwerk müssen Sie auch Trunks organisieren – jene Kommunikationsleitungen, die Switch-Ports miteinander verbinden. Mit Trunks verbundene Ports fügen keine Tags hinzu oder entfernen sie, sie übertragen Frames einfach unverändert. In unserem Beispiel sollten solche Ports die Ports 6 der Switches SW1 und SW2 sowie die Ports 3 und 4 des ShchZ-Switches sein. Die Ports in unserem Beispiel müssen VLAN2 und VLAN3 unterstützen (und VLAN1, wenn es Knoten im Netzwerk gibt, die keinem VLAN explizit zugeordnet sind).

Switches, die die VLAN-Technologie unterstützen, bieten eine zusätzliche Filterung des Datenverkehrs. Wenn die Weiterleitungstabelle des Switches besagt, dass der eingehende Frame an einen bestimmten Port übertragen werden muss, prüft der Switch vor der Übertragung, ob der VTD-Wert im VL AN-Tag des Frames dem virtuellen lokalen Netzwerk entspricht, das diesem Port zugewiesen ist. Bei Übereinstimmung wird der Frame übertragen, bei Nichtübereinstimmung wird er verworfen. Ungetaggte Frames werden auf die gleiche Weise verarbeitet, jedoch unter Verwendung des bedingten VLAN1. MAC-Adressen werden von Netzwerk-Switches separat gelernt, jedoch für jedes VLAN.

Die VLAN-Technik erweist sich als sehr effektiv, um den Zugriff auf Server zu beschränken. Die Konfiguration eines virtuellen lokalen Netzwerks erfordert keine Kenntnis der MAC-Adressen der Knoten. Darüber hinaus erfordert jede Änderung im Netzwerk, beispielsweise das Anschließen eines Computers an einen anderen Switch, nur die Konfiguration des Ports dieses Switches und aller anderen Switches im Netzwerk Das Netzwerk funktioniert weiterhin, ohne dass Änderungen an der Konfiguration vorgenommen werden müssen.

Virtuelle private Netzwerke (VPNs) erfreuen sich als Anbieter großer Beliebtheit Netzwerkdienste sowohl Internetprovider als auch Unternehmensanwender. Infonetics Research prognostiziert, dass der VPN-Markt bis 2003 jährlich um mehr als 100 % wachsen und 12 Milliarden US-Dollar erreichen wird.

Bevor ich Ihnen von der Beliebtheit von VPNs erzähle, möchte ich Sie daran erinnern, dass private (Unternehmens-)Datennetze in der Regel über gemietete (dedizierte) Kommunikationskanäle öffentlicher Telefonnetze aufgebaut werden. Diese privaten Netzwerke wurden viele Jahre lang unter Berücksichtigung spezifischer Unternehmensanforderungen entwickelt, was zu proprietären Protokollen führte, die proprietäre Anwendungen unterstützen (obwohl Frame Relay- und ATM-Protokolle in letzter Zeit an Popularität gewonnen haben). Dedizierte Kanäle ermöglichen einen zuverlässigen Schutz vertraulicher Informationen. Die Kehrseite der Medaille sind jedoch die hohen Betriebskosten und Schwierigkeiten beim Ausbau des Netzwerks, ganz zu schweigen von der Möglichkeit, einen mobilen Benutzer an einem unbeabsichtigten Punkt damit zu verbinden. Gleichzeitig sind moderne Unternehmen durch eine erhebliche Streuung und Mobilität der Belegschaft gekennzeichnet. Immer mehr Benutzer benötigen Zugriff auf Unternehmensinformationen über Einwahlkanäle, und auch die Zahl der Mitarbeiter, die von zu Hause aus arbeiten, nimmt zu.

Darüber hinaus bieten private Netzwerke nicht die gleichen Geschäftsmöglichkeiten wie das Internet und IP-basierte Anwendungen, beispielsweise Produktwerbung, Kundensupport oder laufende Kommunikation mit Lieferanten. Diese Online-Interaktion erfordert die Verbindung privater Netzwerke, die typischerweise unterschiedliche Protokolle und Anwendungen, unterschiedliche Netzwerkverwaltungssysteme und unterschiedliche Kommunikationsdienstanbieter verwenden.

Daher sind die hohen Kosten, die statische Natur und die Schwierigkeiten, die entstehen, wenn es notwendig ist, private Netzwerke basierend auf zu kombinieren verschiedene Technologien, geraten in Konflikt mit der sich dynamisch entwickelnden Wirtschaft, ihrem Wunsch nach Dezentralisierung und dem jüngsten Trend zu Unternehmensfusionen.

Parallel dazu gibt es öffentliche Datennetze und das Internet ohne diese Mängel, die buchstäblich den gesamten Globus in ihr „Netz“ einhüllen. Allerdings fehlt ihnen auch der wichtigste Vorteil privater Netzwerke – zuverlässiger Schutz Unternehmensinformationen. Mit der Virtual-Private-Network-Technologie können Sie die Flexibilität, Skalierbarkeit, niedrige Kosten und buchstäblich „jederzeit und überall“-Verfügbarkeit des Internets und öffentlicher Netzwerke mit der Sicherheitseigenschaft privater Netzwerke kombinieren. Im Kern sind VPNs private Netzwerke, die Folgendes nutzen globale Netzwerke öffentlicher Zugang(Internet, Frame Relay, ATM). Virtualität manifestiert sich darin, dass sie für einen Unternehmensbenutzer wie dedizierte private Netzwerke erscheinen.

KOMPATIBILITÄT

Kompatibilitätsprobleme treten nicht auf, wenn VPNs Frame Relay- und ATM-Dienste direkt nutzen, da sie sich recht gut für den Einsatz in einer Multiprotokollumgebung eignen und sowohl für IP- als auch für Nicht-IP-Anwendungen geeignet sind. Voraussetzung hierfür ist lediglich die Verfügbarkeit einer entsprechenden Netzwerkinfrastruktur, die das gewünschte geografische Gebiet abdeckt. Als Zugriffsgeräte werden am häufigsten Frame-Relay-Zugriffsgeräte oder Router mit Frame-Relay- und ATM-Schnittstellen verwendet. Mehrere permanente oder geschaltete virtuelle Verbindungen können (virtuell) über jede Mischung von Protokollen und Topologien betrieben werden. Komplizierter wird die Sache, wenn das VPN auf dem Internet basiert. In diesem Fall müssen die Anwendungen mit dem IP-Protokoll kompatibel sein. Sofern diese Voraussetzung erfüllt ist, können Sie das Internet „so wie es ist“ zum Aufbau eines VPN nutzen, nachdem Sie zuvor für das erforderliche Maß an Sicherheit gesorgt haben. Da die meisten privaten Netzwerke jedoch über mehrere Protokolle verfügen oder inoffizielle, interne IP-Adressen verwenden, können sie ohne entsprechende Anpassung keine direkte Verbindung zum Internet herstellen. Es stehen viele Lösungen zur Verfügung, um die Kompatibilität sicherzustellen. Am beliebtesten sind die folgenden:
— Konvertierung bestehender Protokolle (IPX, NetBEUI, AppleTalk oder andere) in ein IP-Protokoll mit offizieller Adresse;
— Umwandlung interner IP-Adressen in offizielle IP-Adressen;
— Installation spezieller IP-Gateways auf Servern;
— Verwendung von virtuellem IP-Routing;
— Einsatz universeller Tunnelbautechniken.
Die erste Methode ist klar, schauen wir uns also kurz die anderen an.
Die Umwandlung interner IP-Adressen in offizielle ist erforderlich, wenn das private Netzwerk auf dem IP-Protokoll basiert. Eine Adressübersetzung für das gesamte Unternehmensnetzwerk ist nicht erforderlich, da offizielle IP-Adressen mit internen in den Switches und Routern des Unternehmensnetzwerks koexistieren können. Mit anderen Worten: Der Server mit der offiziellen IP-Adresse ist für den privaten Netzwerkclient weiterhin über die lokale Infrastruktur erreichbar. Die am häufigsten verwendete Technik besteht darin, einen kleinen Block offizieller Adressen unter vielen Benutzern zu teilen. Es ähnelt der Modempoolfreigabe insofern, als es auch auf der Annahme beruht, dass nicht alle Benutzer gleichzeitig einen Internetzugang benötigen. Hier gibt es zwei Industriestandards: Dynamic Host Configuration Protocol (DHCP) und Broadcast Netzwerkadressen(Network Address Translation – NAT), deren Ansätze sich leicht unterscheiden. DHCP „vermietet“ die Adresse an den Host für eine vom Netzwerkadministrator festgelegte Zeit, während NAT die interne IP-Adresse dynamisch für die Dauer der Kommunikationssitzung mit in die offizielle übersetzt
Internet.

Eine weitere Möglichkeit, ein privates Netzwerk mit dem Internet kompatibel zu machen, ist die Installation eines IP-Gateways. Das Gateway übersetzt Nicht-IP-Protokolle in IP-Protokolle und umgekehrt. Die meisten Netzwerkbetriebssysteme, die native Protokolle verwenden, verfügen über IP-Gateway-Software.

Der Kern des virtuellen IP-Routings besteht darin, private Routing-Tabellen und Adressräume auf die Infrastruktur (Router und Switches) des Internetanbieters zu erweitern. Ein virtueller IP-Router ist ein logischer Teil eines physischen IP-Routers, der einem Dienstanbieter gehört und von diesem betrieben wird. Jeder virtuelle Router bedient eine bestimmte Benutzergruppe.
Allerdings vielleicht am meisten der beste Weg Kompatibilität kann mithilfe von Tunnelmethoden erreicht werden. Diese Methoden werden seit langem verwendet, um einen Multiprotokoll-Paketstrom über einen gemeinsamen Backbone zu übertragen. Diese bewährte Technologie ist jetzt für internetbasierte VPNs optimiert.
Die Hauptbestandteile des Tunnels sind:
— Tunnelinitiator;
— geroutetes Netzwerk;
— Tunnelschalter (optional);
— ein oder mehrere Tunnelterminatoren.
Das Tunneln muss an beiden Enden des End-to-End-Kanals erfolgen. Der Tunnel muss mit einem Tunnelinitiator beginnen und mit einem Tunnelterminator enden. Die Initialisierung und Beendigung von Tunnelvorgängen kann auf verschiedene Arten erfolgen. Netzwerkgeräte und Software. Ein Tunnel kann beispielsweise vom Computer eines Remote-Benutzers initiiert werden, auf dem ein Modem und die erforderliche VPN-Software installiert sind, von einem Front-End-Router in einer Unternehmensfiliale oder von einem Netzwerkzugriffskonzentrator bei einem Dienstanbieter.

Zur Übertragung von Nicht-IP-Paketen über das Internet Netzwerkprotokolle, sie werden auf der Quellseite in IP-Pakete gekapselt. Die am häufigsten verwendete Methode zum Erstellen von VPN-Tunneln besteht darin, ein Nicht-IP-Paket in ein PPP-Paket (Point-to-Point Protocol) einzukapseln und es dann in ein IP-Paket einzukapseln. Ich möchte Sie daran erinnern, dass das PPP-Protokoll für Punkt-zu-Punkt-Verbindungen verwendet wird, um beispielsweise einen Client mit einem Server zu verbinden. Der IP-Kapselungsprozess beinhaltet das Hinzufügen eines Standard-IP-Headers zum Originalpaket, der dann als behandelt wird eine nützliche Information. Der entsprechende Prozess am anderen Ende des Tunnels entfernt den IP-Header und lässt das ursprüngliche Paket unverändert. Da die Tunneltechnik recht einfach ist, ist sie auch preislich am günstigsten.

SICHERHEIT

Wenn ein Unternehmen den Einsatz internetbasierter VPNs in Betracht zieht, ist die Bereitstellung des erforderlichen Sicherheitsniveaus oft ein wichtiger Gesichtspunkt. Viele IT-Manager sind an den inhärenten Schutz vertraulicher Informationen durch private Netzwerke gewöhnt und betrachten das Internet als zu „öffentlich“, um als privates Netzwerk genutzt zu werden. Wenn wir die englische Terminologie verwenden, gibt es drei „Rs“, deren Umsetzung zusammen einen vollständigen Schutz der Informationen gewährleistet. Das:
Schutz – Ressourcenschutz durch Firewalls;
Nachweis – Überprüfung der Identität (Integrität) des Pakets und Authentifizierung des Absenders (Bestätigung der Zugriffsrechte);
Datenschutz – Schutz vertraulicher Informationen durch Verschlüsselung.
Alle drei Rs sind für jedes Unternehmensnetzwerk, einschließlich VPN, gleichermaßen wichtig. In rein privaten Netzwerken reicht es aus, Ressourcen und die Vertraulichkeit von Informationen zu schützen einfache Passwörter. Aber sobald ein privates Netzwerk mit einem öffentlichen verbunden ist, kann keines der drei Rs den nötigen Schutz bieten. Daher muss jedes VPN an allen Punkten, an denen es mit dem öffentlichen Netzwerk interagiert, über Firewalls verfügen und Pakete müssen verschlüsselt und authentifiziert werden.

Firewalls sind ein wesentlicher Bestandteil jedes VPN. Sie lassen nur autorisierten Datenverkehr für vertrauenswürdige Benutzer zu und blockieren alle anderen. Mit anderen Worten: Alle Zugriffsversuche unbekannter oder nicht vertrauenswürdiger Benutzer werden abgefangen. Diese Form des Schutzes muss für jede Site und jeden Benutzer bereitgestellt werden, denn wenn sie nirgends vorhanden ist, bedeutet dies, dass sie überall fehlt. Um die Sicherheit virtueller privater Netzwerke zu gewährleisten, werden spezielle Protokolle verwendet. Diese Protokolle ermöglichen es Hosts, sich auf die zu verwendenden Verschlüsselungs- und digitalen Signaturtechniken zu „einigen“, wodurch die Vertraulichkeit und Integrität der Daten gewahrt bleibt und der Benutzer authentifiziert wird.

Microsoft Point-to-Point Encryption (MPPE) verschlüsselt PPP-Pakete auf dem Client-Computer, bevor sie in den Tunnel weitergeleitet werden. Die Verschlüsselungssitzung wird während des Kommunikationsaufbaus mit dem Tunnelterminator mithilfe des Protokolls initialisiert
PPP.

Secure IP (IPSec)-Protokolle sind eine Reihe vorläufiger Standards, die von der Internet Engineering Task Force (IETF) entwickelt wurden. Die Gruppe schlug zwei Protokolle vor: Authentication Header (AH) und Encapsulated Security Payload (ESP). Das AH-Protokoll fügt hinzu Digitale Unterschrift zum Header, der den Benutzer authentifiziert und die Datenintegrität gewährleistet, indem alle Änderungen während der Übertragung verfolgt werden. Dieses Protokoll schützt nur die Daten und lässt den Adressteil des IP-Pakets unverändert. Das ESP-Protokoll hingegen kann entweder das gesamte Paket (Tunnelmodus) oder nur die Daten (Transportmodus) verschlüsseln. Diese Protokolle werden sowohl einzeln als auch in Kombination verwendet.

Zur Verwaltung der Sicherheit wird der Industriestandard RADIUS (Remote Authentication Dial-In User Service) verwendet, eine Datenbank mit Benutzerprofilen, die Passwörter (Authentifizierung) und Zugriffsrechte (Autorisierung) enthalten.

Sicherheitsfunktionen beschränken sich bei weitem nicht auf die angegebenen Beispiele. Viele Router- und Firewall-Hersteller bieten eigene Lösungen an. Darunter sind Ascend, CheckPoint und Cisco.

VERFÜGBARKEIT

Die Verfügbarkeit umfasst drei gleichermaßen wichtige Komponenten: Servicebereitstellungszeit, Durchsatz und Latenz. Die Zeit für die Bereitstellung von Diensten ist Gegenstand einer Vereinbarung mit dem Dienstanbieter, und die verbleibenden beiden Komponenten beziehen sich auf Elemente der Dienstqualität (QoS). Moderne Technologien Transport ermöglichen Ihnen den Aufbau von VPNs, die den Anforderungen nahezu aller vorhandenen Anwendungen gerecht werden.

KONTROLLIERBARKEIT

Netzwerkadministratoren möchten immer in der Lage sein, die End-to-End-Verwaltung des Unternehmensnetzwerks, einschließlich des Teils des Telekommunikationsunternehmens, zu verwalten. Es stellt sich heraus, dass VPNs in dieser Hinsicht mehr Möglichkeiten bieten als normale private Netzwerke. Typische private Netzwerke werden „Border to Border“ verwaltet, d. h. Der Dienstanbieter verwaltet das Netzwerk bis zu den Front-End-Routern des Unternehmensnetzwerks, während der Teilnehmer das Unternehmensnetzwerk selbst bis zu den WAN-Zugangsgeräten verwaltet. VPN-Technologie ermöglicht es Ihnen, diese eigentümliche Trennung der „Einflussbereiche“ zu vermeiden und sowohl den Anbieter als auch den Abonnenten bereitzustellen einheitliches System Verwaltung des Netzwerks als Ganzes, sowohl seines Unternehmensteils als auch der Netzwerkinfrastruktur des öffentlichen Netzwerks. Der Administrator des Unternehmensnetzwerks hat die Möglichkeit, das Netzwerk zu überwachen und neu zu konfigurieren, Front-End-Zugriffsgeräte zu verwalten und den Netzwerkstatus in Echtzeit zu bestimmen.

VPN-ARCHITEKTUR

Es gibt drei Modelle der virtuellen privaten Netzwerkarchitektur: abhängig, unabhängig und hybrid als Kombination der ersten beiden Alternativen. Die Zugehörigkeit zu dem einen oder anderen Modell hängt davon ab, wo die vier Grundvoraussetzungen für ein VPN umgesetzt werden. Wenn der globale Netzwerkdienstanbieter eine vollständige VPN-Lösung bereitstellt, d. h. Wenn Tunneling, Sicherheit, Leistung und Verwaltung bereitgestellt werden, ist die Architektur davon abhängig. In diesem Fall sind alle Prozesse im VPN für den Benutzer transparent und er sieht nur seinen nativen Datenverkehr – IP-, IPX- oder NetBEUI-Pakete. Der Vorteil einer abhängigen Architektur für den Teilnehmer besteht darin, dass er die vorhandene Netzwerkinfrastruktur „wie sie ist“ nutzen kann und lediglich eine Firewall zwischen dem VPN und dem privaten Netzwerk hinzufügt
WAN/LAN.

Eine unabhängige Architektur wird implementiert, wenn die Organisation alles bereitstellt technologische Anforderungen auf Ihrer Ausrüstung, indem Sie nur Transportfunktionen an den Dienstleister delegieren. Diese Architektur ist teurer, bietet dem Benutzer jedoch die vollständige Kontrolle über alle Vorgänge.

Die Hybridarchitektur umfasst Standorte, die von der Organisation (bzw. dem Dienstanbieter) abhängig und unabhängig sind.

Welche Vorteile verspricht VPN für Unternehmensanwender? Erstens handelt es sich laut Industrieanalysten um eine Kostensenkung für alle Arten der Telekommunikation von 30 auf 80 %. Und auch dies ist ein nahezu universeller Zugang zu den Netzwerken von Unternehmen oder anderen Organisationen; Dabei handelt es sich um die Umsetzung einer sicheren Kommunikation mit Lieferanten und Kunden. Dies ist ein verbesserter und erweiterter Dienst, der in PSTN-Netzwerken nicht erreichbar ist, und vieles mehr. Experten betrachten virtuelle private Netzwerke als eine neue Generation der Netzwerkkommunikation, und viele Analysten glauben, dass VPNs bald die meisten privaten Netzwerke auf Basis von Mietleitungen ersetzen werden.

Zusätzlich zu seinem Hauptzweck – der Steigerung Bandbreite Verbindungen im Netzwerk – mit dem Switch können Sie Informationsflüsse lokalisieren sowie diese Flüsse mithilfe eines benutzerdefinierten Filtermechanismus steuern und verwalten. Ein benutzerdefinierter Filter kann jedoch die Übertragung von Frames nur an bestimmte Adressen verhindern, während er Broadcast-Verkehr an alle Netzwerksegmente überträgt. Dies ist das Funktionsprinzip des im Switch implementierten Bridge-Algorithmus, weshalb Netzwerke, die auf der Basis von Bridges und Switches erstellt werden, manchmal als flach bezeichnet werden – aufgrund des Fehlens von Barrieren für den Broadcast-Verkehr.

Die vor einigen Jahren auf den Markt gekommene Technologie virtueller lokaler Netzwerke (Virtual LAN, VLAN) ermöglicht es, diese Einschränkung zu überwinden. Ein virtuelles Netzwerk ist eine Gruppe von Netzwerkknoten, deren Datenverkehr, einschließlich Broadcast-Datenverkehr, auf Datenverbindungsebene vollständig von anderen Knoten isoliert ist (siehe Abbildung 1). Dies bedeutet, dass eine direkte Übertragung von Frames zwischen verschiedenen virtuellen Netzwerken unabhängig von der Art der Adresse – eindeutig, Multicast oder Broadcast – nicht möglich ist. Dabei werden Frames innerhalb eines virtuellen Netzwerks nach der Switching-Technik übertragen, also nur an den Port, dem die Zieladresse des Frames zugeordnet ist.

Virtuelle Netzwerke können sich überlappen, wenn ein oder mehrere Computer in mehr als einem virtuellen Netzwerk enthalten sind. In Abbildung 1 ist der E-Mail-Server Teil der virtuellen Netzwerke 3 und 4 und daher werden seine Frames über Switches an alle Computer in diesen Netzwerken übertragen. Wenn ein Computer nur dem virtuellen Netzwerk 3 zugeordnet ist, erreichen seine Frames Netzwerk 4 nicht, er kann jedoch über eine gemeinsame Schnittstelle mit Computern im Netzwerk 4 interagieren Mail-Server. Dieses Schema isoliert virtuelle Netzwerke nicht vollständig voneinander – beispielsweise wird ein von einem E-Mail-Server initiierter Broadcast-Sturm sowohl Netzwerk 3 als auch Netzwerk 4 überfordern.

Ein virtuelles Netzwerk soll eine Broadcast-Verkehrsdomäne bilden, ähnlich der Kollisionsdomäne, die von Ethernet-Repeatern gebildet wird.

VLAN-ZUWEISUNG

Die VLAN-Technologie erleichtert die Erstellung isolierter Netzwerke, die über Router verbunden sind, die ein Netzwerkschichtprotokoll wie IP unterstützen. Diese Lösung schafft viel stärkere Barrieren für fehlerhaften Datenverkehr von einem Netzwerk zum anderen. Heutzutage geht man davon aus, dass jedes große Netzwerk Router enthalten muss, da andernfalls Ströme fehlerhafter Frames, insbesondere Broadcast-Frames, durch für sie transparente Switches das Netzwerk in regelmäßigen Abständen vollständig „überfluten“ und es dadurch funktionsunfähig machen.

Die virtuelle Netzwerktechnologie bietet eine flexible Grundlage für den Aufbau eines großen, über Router verbundenen Netzwerks, da Sie mit Switches programmgesteuert vollständig isolierte Segmente erstellen können, ohne auf physische Switches zurückgreifen zu müssen.

Vor dem Aufkommen der VLAN-Technologie wurden für den Einsatz eines separaten Netzwerks entweder physisch isolierte Koaxialkabelabschnitte oder nicht verbundene Segmente auf Basis von Repeatern und Brücken verwendet. Die Netzwerke wurden dann über Router zu einem einzigen Verbundnetzwerk verbunden (siehe Abbildung 2).

Das Ändern der Zusammensetzung von Segmenten (Benutzerwechsel in ein anderes Netzwerk, Aufteilen großer Abschnitte) erforderte bei diesem Ansatz die physische Neuverbindung von Anschlüssen an den Frontplatten von Repeatern oder in Crossover-Panels, was in dieser Hinsicht nicht sehr praktisch ist große Netzwerke- Dies ist eine sehr arbeitsintensive Aufgabe und die Fehlerwahrscheinlichkeit ist sehr hoch. Um die Notwendigkeit einer physischen Umschaltung von Knoten zu beseitigen, begann man mit der Verwendung von Multisegment-Konzentratoren, sodass die Zusammensetzung des gemeinsam genutzten Segments ohne physische Umschaltung neu programmiert werden konnte.

Die Änderung der Segmentzusammensetzung mithilfe von Hubs bringt jedoch große Einschränkungen für die Netzwerkstruktur mit sich – die Anzahl der Segmente eines solchen Repeaters ist normalerweise gering und es ist unrealistisch, jedem Knoten ein eigenes zuzuweisen, wie dies mit einem Switch möglich ist. Darüber hinaus fällt bei diesem Ansatz die gesamte Arbeit der Datenübertragung zwischen Segmenten den Routern zu, und Switches mit ihrer hohen Leistung bleiben „arbeitslos“. Daher sind konfigurationsgesteuerte, auf Repeatern basierende Netzwerke immer noch erforderlich Teilen Datenübertragungsmedien verfügen über eine große Anzahl von Knoten und weisen daher im Vergleich zu auf Switches basierenden Netzwerken eine deutlich geringere Leistung auf.

Durch den Einsatz virtueller Netzwerktechnologie in Switches werden zwei Probleme gleichzeitig gelöst:

• erhöhte Leistung in jedem der virtuellen Netzwerke, da der Switch Frames nur an den Zielknoten überträgt;
• Isolieren Sie Netzwerke voneinander, um Benutzerzugriffsrechte zu verwalten und Schutzbarrieren gegen Broadcast-Stürme zu schaffen.

Virtuelle Netzwerke kombinieren gemeinsames Netzwerk erfolgt auf der Netzwerkebene, die über einen separaten Router oder eine Switch-Software erreicht werden kann. Letzteres wird in diesem Fall zu einem kombinierten Gerät – dem sogenannten Third-Level-Switch.

Die Technologie zur Bildung und zum Betrieb virtueller Netzwerke mittels Switches ist schon lange nicht mehr standardisiert, obwohl sie in den unterschiedlichsten Switch-Modellen unterschiedlicher Hersteller implementiert ist. Die Situation änderte sich nach der Einführung des Standards IEEE 802.1Q im Jahr 1998, der die Grundregeln für den Aufbau virtueller lokaler Netzwerke definiert, unabhängig davon, welches Link-Layer-Protokoll vom Switch unterstützt wird.

Aufgrund des langen Fehlens eines VLAN-Standards hat jedes große Unternehmen, das Switches herstellt, eine eigene virtuelle Netzwerktechnologie entwickelt, die in der Regel nicht mit Technologien anderer Hersteller kompatibel ist. Daher kommt es trotz des Aufkommens des Standards nicht so selten vor, dass virtuelle Netzwerke, die auf der Grundlage von Switches eines Anbieters erstellt wurden, nicht erkannt werden und dementsprechend nicht von Switches eines anderen Anbieters unterstützt werden.

ERSTELLEN SIE EIN VLAN BASIEREND AUF EINEM SWITCH

Beim Erstellen virtueller Netzwerke basierend auf einem einzelnen Switch wird normalerweise ein Mechanismus zum Gruppieren von Switch-Ports in einem Netzwerk verwendet (siehe Abbildung 3). Darüber hinaus ist jeder von ihnen dem einen oder anderen virtuellen Netzwerk zugeordnet. Ein Frame, der von einem Port kommt, der beispielsweise zum virtuellen Netzwerk 1 gehört, wird niemals an einen Port übertragen, der nicht Teil davon ist. Ein Port kann mehreren virtuellen Netzwerken zugewiesen werden, obwohl dies in der Praxis selten geschieht – der Effekt der vollständigen Isolierung von Netzwerken verschwindet.

Die Gruppierung der Ports eines Switches ist die logischste Art, ein VLAN zu bilden, da es in diesem Fall nicht mehr virtuelle Netzwerke als Ports geben kann. Wenn ein Repeater an einen bestimmten Port angeschlossen ist, macht es keinen Sinn, die Knoten des entsprechenden Segments in verschiedene virtuelle Netzwerke einzubinden – ihr Verkehr wird weiterhin gemeinsam sein.

Dieser Ansatz erfordert keinen großen manuellen Aufwand für den Administrator – es reicht aus, jeden Port einem von mehreren vorab benannten virtuellen Netzwerken zuzuweisen. Normalerweise wird dieser Vorgang mit einem speziellen Programm durchgeführt, das im Lieferumfang des Switches enthalten ist. Der Administrator erstellt virtuelle Netzwerke, indem er Portsymbole auf Netzwerksymbole zieht.

Eine andere Möglichkeit, virtuelle Netzwerke zu bilden, basiert auf der Gruppierung von MAC-Adressen. Jede dem Switch bekannte MAC-Adresse ist einem bestimmten virtuellen Netzwerk zugeordnet. Wenn es viele Knoten im Netzwerk gibt, muss der Administrator viele manuelle Vorgänge durchführen. Beim Aufbau virtueller Netzwerke auf Basis mehrerer Switches ist diese Methode jedoch flexibler als die Portgruppierung.

Erstellen Sie ein VLAN basierend auf mehreren Switches

Abbildung 4 veranschaulicht die Situation, die sich beim Erstellen virtueller Netzwerke auf Basis mehrerer Switches durch Portgruppierung ergibt. Wenn die Knoten eines virtuellen Netzwerks mit verschiedenen Switches verbunden sind, muss ein separates Portpaar zugewiesen werden, um die Switches jedes dieser Netzwerke zu verbinden. Andernfalls gehen Informationen über den Besitz eines Frames an einem bestimmten virtuellen Netzwerk bei der Übertragung von Switch zu Switch verloren. Daher erfordert die Port-Trunking-Methode so viele Ports zum Verbinden von Switches, wie es virtuelle Netzwerke gibt, die sie unterstützen – was zu einer sehr verschwenderischen Nutzung von Ports und Kabeln führt. Darüber hinaus benötigt jedes Netzwerk ein separates Kabel und einen separaten Router-Port, um die Interaktion virtueller Netzwerke über einen Router zu organisieren, was ebenfalls zu hohen Overhead-Kosten führt.

Durch die Gruppierung von MAC-Adressen in einem virtuellen Netzwerk auf jedem Switch entfällt die Notwendigkeit, diese über mehrere Ports zu verbinden, da die Bezeichnung des virtuellen Netzwerks dann die MAC-Adresse ist. Diese Methode erfordert jedoch eine umfangreiche manuelle MAC-Adresskennzeichnung an jedem Switch im Netzwerk.

Die beiden beschriebenen Ansätze basieren lediglich auf dem Hinzufügen von Informationen zu den Bridge-Adresstabellen und enthalten keine Informationen über die Zugehörigkeit des Frames zu einem virtuellen Netzwerk im übertragenen Frame. Andere Ansätze nutzen vorhandene oder Weitere Felder Frame, um Informationen über den Besitz des Frames aufzuzeichnen, während dieser zwischen Netzwerk-Switches bewegt wird. Darüber hinaus ist es nicht erforderlich, sich auf jedem Switch zu merken, welche virtuellen Netzwerke die MAC-Adressen des Internetnetzwerks besitzen.

Das zusätzliche Feld mit der Bezeichnung „Virtual Network Number“ wird nur verwendet, wenn der Frame von Switch zu Switch übertragen wird, und wenn der Frame zum Endknoten übertragen wird, wird er normalerweise entfernt. In diesem Fall wird das Switch-zu-Switch-Interaktionsprotokoll geändert, während die Soft- und Hardware der Endknoten unverändert bleibt. Es gibt viele Beispiele für solche proprietären Protokolle, sie haben jedoch einen gemeinsamen Nachteil: Sie werden von anderen Herstellern nicht unterstützt. Cisco hat den 802.10-Protokoll-Header als Standardergänzung zu Frames aller lokalen Netzwerkprotokolle vorgeschlagen, dessen Zweck darin besteht, Sicherheitsfunktionen zu unterstützen Computernetzwerke. Das Unternehmen selbst greift auf diese Methode zurück, wenn Switches über das FDDI-Protokoll miteinander verbunden sind. Diese Initiative wurde jedoch von anderen führenden Schalterherstellern nicht unterstützt.

Zur Speicherung der virtuellen Netzwerknummer stellt der IEEE 802.1Q-Standard einen zusätzlichen Zwei-Byte-Header zur Verfügung, der in Verbindung mit dem 802.1p-Protokoll verwendet wird. Zusätzlich zu den drei Bits zum Speichern des Prioritätswerts des Frames, wie im 802.1p-Standard beschrieben, gibt es in diesem Header 12 Bits zum Speichern der Nummer des virtuellen Netzwerks, zu dem der Frame gehört. Das Weitere Informationen wird als virtuelles Netzwerk-Tag (VLAN TAG) bezeichnet und ermöglicht Switches verschiedener Hersteller die Erstellung von bis zu 4096 gemeinsam genutzten virtuellen Netzwerken. Ein solcher Rahmen wird „getaggt“ genannt. Die Länge des getaggten Ethernet-Frames erhöht sich um 4 Byte, da zusätzlich zu den zwei Bytes des Tags selbst zwei weitere Bytes hinzugefügt werden. Die Struktur eines getaggten Ethernet-Frames ist in Abbildung 5 dargestellt. Durch das Hinzufügen des 802.1p/Q-Headers wird das Datenfeld um zwei Bytes reduziert.

Abbildung 5. Struktur eines markierten Ethernet-Frames.

Das Aufkommen des 802.1Q-Standards ermöglichte es, Unterschiede bei proprietären VLAN-Implementierungen zu überwinden und Kompatibilität beim Aufbau virtueller lokaler Netzwerke zu erreichen. Die VLAN-Technik wird von Herstellern sowohl von Switches als auch von Netzwerkadaptern unterstützt. Im letzteren Fall kann der Netzwerkadapter getaggte Ethernet-Frames generieren und empfangen, die ein VLAN-TAG-Feld enthalten. Wenn der Netzwerkadapter markierte Frames generiert, bestimmt er deren Zugehörigkeit zu einem bestimmten virtuellen lokalen Netzwerk, sodass der Switch sie entsprechend verarbeiten muss, d. h. abhängig von der Zugehörigkeit des Ports an den Ausgangsport übertragen oder nicht übertragen muss. Der Netzwerkadaptertreiber erhält die Nummer seines (oder seiner) virtuellen lokalen Netzwerks vom Netzwerkadministrator (durch manuelle Konfiguration) oder von einer auf diesem Knoten ausgeführten Anwendung. Eine solche Anwendung kann zentral auf einem der Netzwerkserver funktionieren und die Struktur des gesamten Netzwerks verwalten.

VLAN unterstützt Netzwerkadapter Sie können eine statische Konfiguration vermeiden, indem Sie einen Port einem bestimmten virtuellen Netzwerk zuweisen. Die statische VLAN-Konfigurationsmethode bleibt jedoch weiterhin beliebt, da sie es Ihnen ermöglicht, ein strukturiertes Netzwerk ohne die Beteiligung von Endknotensoftware zu erstellen.

Natalya Olifer ist Kolumnistin für das Journal of Network Solutions/LAN. Sie ist erreichbar unter:

Ein virtuelles privates Netzwerk ist ein virtuelles privates Netzwerk, das zur Bereitstellung sicherer Verbindungen innerhalb von Unternehmensverbindungen und des Internetzugangs verwendet wird. Der Hauptvorteil eines VPN ist die hohe Sicherheit durch die Verschlüsselung des internen Datenverkehrs, was bei der Datenübertragung wichtig ist.

Was ist eine VPN-Verbindung?

Viele Menschen fragen sich, wenn sie auf diese Abkürzung stoßen: VPN – was ist das und warum wird es benötigt? Diese Technologie eröffnet die Möglichkeit zum Gestalten Netzwerkverbindungübereinander. VPN funktioniert in mehreren Modi:

• Knotennetzwerk;
• Netzwerk-Netzwerk;
• Knoten-Knoten.

Die Organisation eines privaten virtuellen Netzwerks auf Netzwerkebene ermöglicht die Verwendung von TCP- und UDP-Protokollen. Alle Daten, die Computer passieren, werden verschlüsselt. Dies ist ein zusätzlicher Schutz für Ihre Verbindung. Es gibt viele Beispiele, die erklären, was eine VPN-Verbindung ist und warum Sie sie verwenden sollten. Im Folgenden wird ausführlich darauf eingegangen diese Frage.

Warum brauchen Sie ein VPN?

Jeder Anbieter ist in der Lage, auf Anfrage der zuständigen Behörden Benutzeraktivitätsprotokolle bereitzustellen. Ihr Internetunternehmen zeichnet jede Aktivität auf, die Sie online ausführen. Dies trägt dazu bei, den Anbieter von jeglicher Verantwortung für die vom Kunden durchgeführten Handlungen zu entbinden. Es gibt viele Situationen, in denen Sie Ihre Daten schützen und Freiheit gewinnen müssen, zum Beispiel:

1. Der VPN-Dienst dient dem Versand vertraulicher Unternehmensdaten zwischen Niederlassungen. Dies trägt zum Schutz bei wichtige Informationen vom Abfangen.
2. Wenn Sie den geografischen Standort des Dienstes umgehen müssen. Beispielsweise steht der Yandex Music-Dienst nur Einwohnern Russlands und der ehemaligen GUS-Staaten zur Verfügung. Wenn Sie ein russischsprachiger Einwohner der Vereinigten Staaten sind, können Sie sich die Aufnahmen nicht anhören. Ein VPN-Dienst hilft Ihnen, dieses Verbot zu umgehen, indem er die Netzwerkadresse durch eine russische ersetzt.
3. Verstecken Sie Website-Besuche vor Ihrem Anbieter. Nicht jeder Mensch ist bereit, seine Aktivitäten im Internet zu teilen, daher schützt er seine Besuche mit einem VPN.

So funktioniert VPN

Wenn Sie einen anderen VPN-Kanal verwenden, gehört Ihre IP dem Land, in dem sich dieses sichere Netzwerk befindet. Sobald die Verbindung hergestellt ist, wird ein Tunnel zwischen dem VPN-Server und Ihrem Computer erstellt. Danach enthalten die Protokolle (Aufzeichnungen) des Anbieters eine Reihe von seltsame Charaktere. Datenanalyse Sonderprogramm wird keine Ergebnisse liefern. Wenn Sie diese Technologie nicht verwenden, zeigt das HTTP-Protokoll sofort an, zu welcher Site Sie eine Verbindung herstellen.

VPN-Struktur

Diese Verbindung besteht aus zwei Teilen. Das erste wird als „internes“ Netzwerk bezeichnet; Sie können mehrere davon erstellen. Die zweite ist die „externe“, über die in der Regel eine gekapselte Verbindung erfolgt; Es ist auch möglich, einen separaten Computer an das Netzwerk anzuschließen. Der Benutzer wird über einen Zugangsserver, der gleichzeitig mit dem externen und internen Netzwerk verbunden ist, mit einem bestimmten VPN verbunden.

Wenn ein VPN-Programm eine Verbindung zu einem Remote-Benutzer herstellt, muss der Server zwei wichtige Prozesse durchlaufen: zuerst die Identifizierung und dann die Authentifizierung. Dies ist notwendig, um die Rechte zur Nutzung dieser Verbindung zu erhalten. Wenn Sie diese beiden Schritte vollständig abgeschlossen haben, ist Ihr Netzwerk gestärkt, was die Möglichkeit einer Arbeit eröffnet. Im Wesentlichen handelt es sich hierbei um einen Autorisierungsprozess.

VPN-Klassifizierung

Es gibt verschiedene Arten von virtuellen privaten Netzwerken. Es gibt Optionen für den Sicherheitsgrad, die Implementierungsmethode, die Betriebsebene gemäß dem ISO/OSI-Modell und das beteiligte Protokoll. Sie können einen kostenpflichtigen Zugang oder einen kostenlosen VPN-Dienst von Google nutzen. Basierend auf dem Grad der Sicherheit können Kanäle „sicher“ oder „vertrauenswürdig“ sein. Letztere werden benötigt, wenn die Verbindung selbst über das erforderliche Schutzniveau verfügt. Um die erste Option zu organisieren, sollten die folgenden Technologien verwendet werden:

• PPTP;
• OpenVPN;
• IPSec.

So erstellen Sie einen VPN-Server

Für alle Computerbenutzer gibt es eine Möglichkeit, selbst ein VPN anzuschließen. Im Folgenden betrachten wir die Option im Operationssaal Windows-System. Die Verwendung zusätzlicher Software ist in dieser Anleitung nicht vorgesehen. Die Einrichtung erfolgt wie folgt:

1. Um eine neue Verbindung herzustellen, müssen Sie das Anzeigefeld öffnen Netzwerkzugang. Beginnen Sie mit der Eingabe der Wörter „ Netzwerkverbindungen».
2. Drücken Sie die „Alt“-Taste, klicken Sie im Menü auf den Abschnitt „Datei“ und wählen Sie „Neue eingehende Verbindung“.
3. Legen Sie dann den Benutzer fest, der eine Verbindung zu diesem Computer über VPN erhalten soll (falls Sie nur einen haben). Konto auf einem PC müssen Sie dafür ein Passwort erstellen). Aktivieren Sie das Kontrollkästchen und klicken Sie auf „Weiter“.
4. Als nächstes werden Sie aufgefordert, einen Verbindungstyp auszuwählen. Sie können ein Häkchen bei „Internet“ setzen.
5. Der nächste Schritt besteht darin, Netzwerkprotokolle zu aktivieren, die auf diesem VPN funktionieren. Markieren Sie alle Kästchen außer dem zweiten. Auf Wunsch können Sie im IPv4-Protokoll eine bestimmte IP, DNS-Gateways und Ports festlegen, einfacher ist es jedoch, die Zuweisung automatisch zu belassen.
6. Wenn Sie auf die Schaltfläche „Zugriff zulassen“ klicken, erstellt das Betriebssystem automatisch einen Server und zeigt ein Fenster mit dem Computernamen an. Sie benötigen es für die Verbindung.
7. Damit ist die Erstellung eines Heim-VPN-Servers abgeschlossen.

So richten Sie ein VPN auf Android ein

Mit der oben beschriebenen Methode erstellen Sie eine VPN-Verbindung persönlicher Computer. Allerdings erledigen viele längst alles über ihr Telefon. Wenn Sie nicht wissen, was ein VPN auf Android ist, finden Sie hier alle oben genannten Fakten dieser Typ Verbindungen gelten auch für ein Smartphone. Die Konfiguration moderner Geräte gewährleistet eine komfortable Nutzung des Internets mit hoher Geschwindigkeit. In einigen Fällen (um Spiele auszuführen, Websites zu öffnen) werden Proxy-Ersetzungen oder Anonymisierer verwendet, aber für eine stabile und schnelle Verbindung ist ein VPN besser geeignet.

Wenn Sie bereits wissen, was ein VPN auf einem Telefon ist, können Sie direkt mit dem Erstellen eines Tunnels fortfahren. Dies ist auf jedem Gerät möglich, das Android unterstützt. Der Anschluss erfolgt wie folgt:

1. Gehen Sie zum Abschnitt „Einstellungen“ und klicken Sie auf den Abschnitt „Netzwerk“.
2. Suchen Sie den Artikel mit dem Namen „ Zusätzliche Einstellungen" und gehen Sie zum Abschnitt „VPN“. Als nächstes benötigen Sie einen PIN-Code oder ein Passwort, mit dem Sie ein Netzwerk erstellen können.
3. Der nächste Schritt besteht darin, eine VPN-Verbindung hinzuzufügen. Geben Sie den Namen im Feld „Server“ an, den Namen im Feld „Benutzername“ und legen Sie den Verbindungstyp fest. Klicken Sie auf die Schaltfläche „Speichern“.
4. Anschließend erscheint in der Liste eine neue Verbindung, über die Sie Ihre Standardverbindung ändern können.
5. Auf dem Bildschirm erscheint ein Symbol, das anzeigt, dass eine Verbindung besteht. Wenn Sie darauf tippen, erhalten Sie eine Statistik der empfangenen/gesendeten Daten. Sie können hier auch die VPN-Verbindung deaktivieren.

Video: Kostenloser VPN-Dienst