Kto prześle dane i głos

W ofercie operatorów można znaleźć usługi realizacji sieci VPN. Warto z nich skorzystać, gdy w firmie eksploatuje się wymagające aplikacje, telefonię VoIP czy transmisję wideo.

W ofercie operatorów można znaleźć usługi realizacji sieci VPN. Warto z nich skorzystać, gdy w firmie eksploatuje się wymagające aplikacje, telefonię VoIP czy transmisję wideo.

Firmy, zwłaszcza mniejsze, często realizują VPN samodzielnie, przy użyciu routerów wspierających IPSec. Taki VPN można łatwo zestawić, a przy odpowiedniej konfiguracji zapewnia dostateczne bezpieczeństwo i niezawodność. Zaletą IPSec, oprócz standardowej konfiguracji, jest wieloplatformowość. W większości przypadków można zestawić tunel pomiędzy urządzeniami różnych firm, o ile zachowane są standardy konfiguracji i opcji. W małych firmach z powodzeniem sprawdzą się tanie routery przeznaczone dla użytkowników domowych i małych biur (SOHO). Konfiguracja IPSec przy ich pomocy jest prosta, zapewniają podstawowy poziom bezpieczeństwa i umożliwiają budowę sieci przez ludzi, którzy nie posiadają dogłębnej wiedzy na jej temat.

Tunelowe ograniczenia

Prosty tunel realizowany za pomocą IPSec ma kilka wad. Najważniejszą z nich jest utrudnione przesyłanie w tym samym łączu danych od różnych usług w taki sposób, aby nie powodować między nimi konfliktów o pasmo. Najczęściej dane można podzielić na następujące grupy:

- Usługi o bardzo wysokiej wrażliwości na opóźnienia, gdzie zmiana opóźnień albo ich duży wzrost dyskwalifikuje całkowicie daną usługę. Ma to miejsce np. przy telefonii internetowej albo strumieniowanym wideo.
- Usługi o wysokiej wrażliwości, gdzie opóźnienia zmniejszają komfort pracy. Ten dział dotyczy np. usług terminalowych.
- Usługi, które wymagają dużego transferu, ale opóźnienia są mniej istotne. Do tej grupy można zaliczyć pocztę elektroniczną czy transfer dużych plików.
- Ruch o niskim priorytecie, który może zajmować resztę pasma. Takim ruchem jest np. przeglądanie stron WWW.

Aby móc zachować przyzwoitą jakość transmisji, należy użyć routerów, które wspierają QoS, ale nie zawsze uda się osiągnąć to, aby masowy transfer - np. dużych obiektów poczty elektronicznej - nie powodował zakłóceń w pracy usług, które mają szczególne wymagania. Wynika to m.in. stąd, że sieć IP działa na zasadzie hop-by-hop i każdy router musi samodzielnie zdecydować o przekazaniu pakietu dalej na podstawie adresu w jego nagłówku. Sprawne przekazywanie pakietów wymaga znajomości topologii sieci (do tego celu służą protokoły, takie jak OSPF) i podejmowania wielu decyzji w oparciu o własne tabele routingu, budowane na podstawie rozpoznanej topologii dla wszystkich znanych docelowych IP. Pomimo rozwoju sprzętu i oprogramowania, w dalszym ciągu są problemy z przewidywalnością zachowania sieci przy dużych obciążeniach.

Dopóki firma nie będzie korzystać z telefonii VoIP zorganizowanej centralnie, gdzie wszystkie połączenia muszą przechodzić przez VPN, zwykły IPSec się sprawdzi. W przypadku usług terminalowych, które zajmują niewiele stałego pasma, można zastosować opcję gwarantowania pasma dla usług działających na konkretnym porcie TCP/UDP. Nie jest to najsprawniejsza z metod zapewnienia jakości usług, ale w małych i średnich firmach może znaleźć zastosowanie. Zaletą samodzielnie realizowanego VPN jest możliwość zestawienia tunelu przy wykorzystaniu łącz różnych operatorów.