Praktyczne aspekty wirtualnych sieci prywatnych

Jak głosi raport Infonetics, w roku 2001 ponad 90 proc. ekstranetów w Europie, Afryce i na Środkowym Wschodzie będzie działało na bazie połączeń VPN. Ponadto jedna trzecia połączeń punkt-punkt przeniesie się z linii dzierżawionych na VPN.

Jak głosi raport Infonetics, w roku 2001 ponad 90 proc. ekstranetów w Europie, Afryce i na Środkowym Wschodzie będzie działało na bazie połączeń VPN. Ponadto jedna trzecia połączeń punkt-punkt przeniesie się z linii dzierżawionych na VPN.

Gartner Group - po zakończeniu badań w maju bieżącego

roku - przepowiada duże problemy wynikające z połączeń klient-serwer VPN i radzi użytkownikom nabywanie sprzętu VPN (Virtual Private Network) dla uniknięcia kłopotów ze stabilnością i wydajnością swoich sieci.

Dylematy wyboru

Jak gdyby w odpowiedzi na te przepowiednie dostawcy systemów VPN prześcigają się ostatnio w dostarczaniu nowych produktów. Odnosi się wręcz wrażenie, że każdy tydzień przynosi kolejne rozwiązanie.

Rynek światowy jest jednak bardzo nasycony, a przy tym także rozdrobniony.

O ile znalezienie systemu zapewniającego szyfrowanie ruchu, a co za tym idzie zbudowanie sieci prywatnych nie jest już większym problemem, o tyle żaden z producentów nie dostarcza systemu rozwiązującego wszystkie problemy, a więc takiego, który skutecznie integruje tak istotne funkcje, jak: połączenie zdalnych użytkowników z korporacyjną siecią lokalną, tworzenie bezpiecznych tuneli będących przejściami z centrali do odgałęzionych w kilku miejscach biur, operacje handlowe z wykorzystaniem Internetu czy skuteczne szyfrowania wewnętrznego ruchu przedsiębiorstwa.

Obecnie rynek VPN obejmuje głównie produkty zapewniające tunelowanie i szyfrowanie. Inne własności, jak jakość usług, nie są już tak powszechnie reprezentowane. Tworzy to pewną dwoistość sytuacji - z jednej strony komplikuje życie administratora sieciowego pragnącego stworzyć prawdziwie prywatną sieć wirtualną, a z drugiej - ułatwia decyzję i obniża koszty tym wszystkim, którym zależy tylko na jednej funkcji, np. wydajnym szyfrowaniu.

Nieformalne kategorie

Wobec braku ogólnego porozumienia dotyczącego zasad tworzenia prywatnych sieci wirtualnych producenci sami ustanowili 3 kategorie, odpowiadające warstwom drugiej, trzeciej i czwartej siedmiowarstwowego modelu OSI (Open System Interconnection).

Na najniższym poziomie, tzn. odpowiadającym warstwie drugiej VPN, kapsułkuje się protokoły IP (Internet Protocol), jak również nie-IP, takie jak IPX (Internetwork Packet eXchange) czy AppleTalk. Warstwa ta stanowi także niezależną platformę, ponieważ typowe systemy klienta nie wymagają specjalnego oprogramowania lub innych urządzeń niż klasyczny adapter sieciowy. Jednak zastosowanie technologii VPN warstwy drugiej jest najbardziej uzasadnione w przypadku zdalnych komputerów, a nie odgałęzionego biura. Ponadto brakuje jej elastyczności wymaganej przez administratorów zajmujących się sprzęganiem sieci lokalnych.

Podczas gdy produkty warstwy drugiej kapsułkują wszystkie protokoły w IP, produkty warstwy trzeciej kapsułkują IP w IP. Dzisiaj rynek warstwy trzeciej VPN jest utożsamiany z pojęciami, takimi jak IPSec, szyfrowanie IP, protokoły uwierzytelniające (identyfikujące) i standaryzowane przez IETF (Internet Engineering Task Force) protokoły tunelujące. Łatwe szyfrowanie i standardy wymiany klucza, jak np. SKIP firmy Sun, są zastępowane przez odpowiednie wersje IETF. Jest to ważne, gdyż produkty oparte na standardach IETF są opracowywane przez grupy najlepszych specjalistów w branży. W świetle tak fundamentalnej funkcji VPN, jak szyfrowanie, jest to procedura bardzo ważna.

Może się wydawać, że normalizacja VPN IPSec daje możliwość harmonijnego łączenia produktów pochodzących od różnych dostawców. Teoretycznie można by było wybrać programowego klienta dla PC, Macintosha i system Unix, sprzęt odgałęzionego biura oraz sprzęt centralnego punktu VPN z kilku źródeł. Jednak przeprowadzone testy podważyły tę tezę, dowodząc niezbicie, że nigdy nie można być pewnym kompatybilności.

Podobnie jak systemy niższych warstw narzędzia VPN warstwy czwartej opierają swoje funkcjonowanie na kapsułkowaniu i szyfrowaniu. Jednak produkty związane z tą warstwą odnoszą się często do pojedynczej aplikacji, np. poczty elektronicznej.

Systemy VPN warstwy drugiej zawierają produkty oparte na starszych protokołach L2F (Layer 2 Forwarding) i PPTP (Point-to-Point Tunneling Protocol), ale wykorzystują również nowy standard L2TP (Layer 2 Tunneling Protocol). VPN warstwy trzeciej opierają się natomiast na IPSec.


TOP 200