Σχεδιασμός Εικονικών Δικτύων Ενότητα 2: Κατηγορίες VPN Τεχνολογίες VPN Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ
Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2
Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα του ΤΕΙ Δυτικής Μακεδονίας και της Ανώτατης Εκκλησιαστικής Ακαδημίας Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3
Κατηγορίες Virtual Private Network (VPN) Τεχνολογίες VPN
Σκοποί ενότητας Σκοπός της ενότητας είναι η περιγραφή των κατηγοριών και των τεχνολογιών VPN. 5
Περιεχόμενα ενότητας Κατηγορίες VPN. Τεχνολογίες VPN. Site-to-Site VPNs. Remote Access VPNs. 6
Κατηγορίες VPN (1/8) Τα Εικονικά Ιδιωτικά Δίκτυα κατηγοριοποιούνται με διάφορους τρόπους, ανάλογα με την οπτική γωνία που τα εξετάζει κανείς. 7
Κατηγορίες VPN (2/8) Οι διάφοροι τρόποι κατηγοριοποίησής τους είναι οι εξής. Με βάση την αντιστοιχία τους με τα επίπεδα του μοντέλου αναφοράς Open Systems Interconnection (OSI). Με βάση το είδος της διόδου (tunnel) που αναπτύσσεται (όπου με τον όρο δίοδο εννοούμε πρακτικά το νοητό κύκλωμα που σχηματίζεται, μέσω του οποίου γίνεται η μετάδοση των δεδομένων στο VPN). Με βάση ποιοι είναι οι τελικοί χρήστες του VPN (δηλαδή ποια είναι τα δύο μέρη που συνομιλούν). 8
Κατηγορίες VPN (3/8) Με βάση την αντιστοιχία τους με τα επίπεδα του μοντέλου αναφοράς OSI, τα Εικονικά Ιδιωτικά Δίκτυα κατηγοριοποιούνται ως εξής. Στα Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Ζεύξης Δεδομένων (Data Link Layer). Σε αυτήν την κατηγορία εμπίπτουν τα VPN στα οποία χρησιμοποιείται κάποιο από τα πρωτόκολλα Layer 2 Forwarding (L2F), Point- Point - Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP). Επίσης VPN επιπέδου Ζεύξης Δεδομένων μπορούν να αναπτυχθούν πάνω στην τεχνολογία Multiprotocol Label Switching MPLS (AToM). 9
Κατηγορίες VPN (4/8) Με βάση την αντιστοιχία τους με τα επίπεδα του μοντέλου αναφοράς OSI, τα Εικονικά Ιδιωτικά Δίκτυα κατηγοριοποιούνται ως εξής (Συνέχεια). Στα Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Δικτύου (Network Layer). Σε αυτήν ανήκουν τα VPN που δομούνται πάνω σε Internet protocol (IP) δίκτυα και χρησιμοποιούν το πρωτόκολλο IP security (IPsec), Generic Routing Encapsulation (GRE), καθώς και τα VPN που δομούνται πάνω σε Layer 3 MPLS δίκτυα. 10
Κατηγορίες VPN (5/8) Με βάση την αντιστοιχία τους με τα επίπεδα του μοντέλου αναφοράς OSI, τα Εικονικά Ιδιωτικά Δίκτυα κατηγοριοποιούνται ως εξής (Συνέχεια). Στα Εικονικά Δίκτυα Επιπέδου Μεταφοράς (Transport Layer). Σε αυτήν την κατηγορία εμπίπτουν τα VPN στα οποία χρησιμοποιείται το πρωτόκολλο Secure Sockets Layer / Transport Layer Security (SSL/TLS). 11
Κατηγορίες VPN (6/8) Με βάση το είδος της διόδου (tunnel) που αναπτύσσεται (όπου με τον όρο δίοδο εννοούμε πρακτικά το νοητό κύκλωμα που σχηματίζεται, μέσω του οποίου γίνεται η μετάδοση των δεδομένων στο VPN). 12
Κατηγορίες VPN (7/8) Με βάση τo είδος της διόδου. Υπάρχουν δύο είδη διόδων που προσδιορίζουν και την αντίστοιχη κατηγορία στην οποία εμπίπτει ένα VPN. Οι «αυθόρμητες δίοδοι» (voluntary tunnels). Οι «αναγκαστικές» δίοδοι (compulsory ή mandatory tunnels). 13
Κατηγορίες VPN (8/8) Με βάση ποιοι είναι οι τελικοί χρήστες του VPN (δηλαδή ποια είναι τα δύο μέρη που συνομιλούν). Έτσι έχουμε. Τα VPN δομής «πελάτης-προς-δίκτυο» (client-to-lan), όπου στην ουσία ένας απλός χρήστης συνδέεται με τον υπολογιστή του σε ένα τοπικό δίκτυο. Αυτού του είδους τα VPN ονομάζονται επίσης και «Εικονικά Ιδιωτικά Δίκτυα Απομακρυσμένης Πρόσβασης». Αποκαλούνται και Remote Access VPN. Τα VPN δομής «δίκτυο-προς-δίκτυο» (LAN-to-LAN), όπου η δίοδος μεταφοράς των δεδομένων αναπτύσσεται μεταξύ δύο τοπικών δικτύων. Αποκαλούνται και Site-to-Site VPN. 14
Κατηγορίες VPN - Παράδειγμα Ένα Εικονικό Ιδιωτικό Δίκτυο περιγράφεται πλήρως αν αντιστοιχηθεί σε κάποιο είδος και για τις τρεις παραπάνω κατηγοριοποιήσεις. Για παράδειγμα, μπορούμε να αναφερθούμε σε ένα VPN ως εξής. Χρησιμοποιεί το πρωτόκολλο L2TP. Η δίοδος που αναπτύσσεται είναι αυθόρμητη. Είναι απομακρυσμένης πρόσβασης. 15
Άλλες μέθοδοι Κατηγοριοποίησης VPN Overlay and Peer-to-Peer VPNs. Connection-Oriented and Connectionless VPNs. Trusted and Secure VPNs. Transport/Application Layer VPNs. Internet VPNs. Multiservice VPNs. 16
Τεχνολογίες υλοποίησης Site-to-Site VPNs (1/4) H υλοποίηση Εικονικών Ιδιωτικών Δικτύων Site-to- Site VPNs είναι δυνατόν να βασίζεται στις ακόλουθες τεχνολογίες. Layer 2 Tunneling Protocol versions 2 and 3 (L2TPv2 / L2TPv3). IEEE 802.1Q tunneling (Q-in-Q). Any Transport over MPLS (AToM). 17
Τεχνολογίες υλοποίησης Site-to-Site VPNs (2/4) H υλοποίηση Εικονικών Ιδιωτικών Δικτύων Site-to- Site VPNs είναι δυνατόν να βασίζεται στις ακόλουθες τεχνολογίες (Συνέχεια). Border Gateway protocol (BGP)/MPLS ή Layer 3 MPLS GRE. IPsec. 18
Τεχνολογίες υλοποίησης Site-to-Site VPNs (3/4) Intranet VPNs. Extranet VPNs. 19
Τεχνολογίες υλοποίησης Site-to-Site VPNs (4/4) Εικόνα 1. Παράδειγμα τοπολογίας site-to-site VPN. 20
Τεχνολογίες υλοποίησης Remote Access VPNs (1/2) H υλοποίηση Εικονικών Ιδιωτικών Δικτύων Remote Access VPNs είναι δυνατόν να βασίζεται στις ακόλουθες τεχνολογίες. L2F Protocol. Point-to-Point Tunneling Protocol (PPTP). Layer 2 Tunneling Protocol versions 2 and 3 (L2TPv2 / L2TPv3). IPsec. SSL / TLS. 21
Τεχνολογίες υλοποίησης Remote Access VPNs (2/2) Εικόνα 2. Παράδειγμα τοπολογίας remote access VPN. 22
Τεχνολογίες υλοποίησης VPNs (1/8) Εικόνα 3. Σχήμα κατηγοριοποίησης VPN. 23
Τεχνολογίες υλοποίησης VPNs (2/8) Παραδείγματα VPNs διαχειριζόμενα από τους Παρόχους. Virtual Private Wire Service (VPWS) VPNs. Virtual Private LAN Service (VPLS) VPNs. IP-Only Private LAN Service (IPLS) VPNs. BGP/MPLS (είναι επίσης γνωστά ως MPLS Layer 3 VPNs). 24
Τεχνολογίες υλοποίησης VPNs (3/8) Παραδείγματα VPNs διαχειριζόμενα από τους Παρόχους (Συνέχεια). Virtual Router (VR)-based VPNs. IPsec VPNs. 25
Τεχνολογίες υλοποίησης VPNs (4/8) Παραδείγματα VPNs διαχειριζόμενα από τους Πελάτες: GRE VPNs. IPsec VPNs. 26
Τεχνολογίες υλοποίησης VPNs (5/8) Site-to-Site VPNs διαχειριζόμενα από τους Παρόχους. Generalized Multiprotocol Label Switching (GMPLS). Point-to-point (P2P) circuit-based VPNs (Virtual Private Wire Service, Virtual Leased Line Service). Draft Martini (MPLS). L2TPv3 pseudowires. 27
Τεχνολογίες υλοποίησης VPNs (6/8) Site-to-Site VPNs διαχειριζόμενα από τους Παρόχους (Συνέχεια). Multipoint-to-multipoint (M2M) VPNs. Virtual Private LAN Service (VPLS) VPNs. IP-Only LAN Service (IPLS) VPNs. 28
Τεχνολογίες υλοποίησης VPNs (7/8) Site-to-Site VPNs διαχειριζόμενα από τους Παρόχους (Συνέχεια). BGP-MPLS RFC4364/2547bis style. Virtual Router (VR) based. 29
Τεχνολογίες υλοποίησης VPNs (8/8) Site-to-Site VPNs διαχειριζόμενα από τους Παρόχους (Συνέχεια). Customer Edge CE-based VPNs. GRE. IPsec. 30
Τεχνολογίες υλοποίησης PE-Based Site-to-Site VPN Εικόνα 4. Τυπικό PE-based site-to-site VPN. 31
Τεχνολογίες υλοποίησης CE-Based Site-to-Site VPN Εικόνα 5. Τυπικό CE-based site-to-site VPN. 32
Τεχνολογίες υλοποίησης VPNs - Συνέχεια (1/6) Site-to-Site VPNs διαχειριζόμενα από τους Πελάτες. IPsec. GRE. IP-in-IP. 33
Τεχνολογίες υλοποίησης VPNs - Συνέχεια (2/6) Ανάπτυξη Site-to-Site VPNs. Point-to-point or multipoint. Provisioning topologies. Scalability. Geographic reach. Security. 34
Τεχνολογίες υλοποίησης VPNs - Συνέχεια (3/6) Ανάπτυξη Site-to-Site VPNs(Συνέχεια). Inherent multicast. Inherent multiprotocol. Quality of service (QoS) support. 35
Τεχνολογίες υλοποίησης VPNs - Συνέχεια (4/6) Remote Access VPNs διαχειριζόμενα από τους Παρόχους και από τους Πελάτες. Compulsory tunnel mode. L2F. PPTP. L2TP. 36
Τεχνολογίες υλοποίησης VPNs - Συνέχεια (5/6) Voluntary tunnel mode. PPTP. L2TP. IPsec. SSL/TLS. 37
Τεχνολογίες υλοποίησης VPNs - Συνέχεια (6/6) Ανάπτυξη Remote Access VPNs. Functionality. Security. Scalability. Inherent multiprotocol support. Inherent multicast support. 38
Βιβλιογραφία (1/2) 1. Building a Virtual Private Network by Meeta Gupta, Publisher: Premier Press, Pub Date: 2003, Print ISBN: 1-931841-81-0. 2. Comparing, Designing, and Deploying VPNs by Mark Lewis, Publisher: Cisco Press, Pub Date: April 12, 2006, Print ISBN: 1-58705-179-6. 3. The Complete Cisco VPN Configuration Guide by Richard Deal, Publisher: Cisco Press, Pub Date: December 15, 2005, ISBN: 1-58705-204-0. 39
Βιβλιογραφία (2/2) 4. Troubleshooting Virtual Private Networks by Mark Lewis, Publisher: Cisco Press, Pub Date: May 27, 2004, Print ISBN: 1-58705-104-4. 5. CCSP self-study : Cisco Secure Virtual Private Networks (CSVPN) 2nd Edition, by Andrew G. Mason, Publisher: Cisco Press, Pub Date: May 19, 2004, Print ISBN: 1-58705-145-1. 40
Τέλος Ενότητας 41