а 192.168.0.2 (зовнішній інтерфейс шифратора центрального офісу), TCP-портом одержувача 23. Пакет слід на інтерфейс Ethernet маршрутизатора віддаленого офісу, де, відповідно до правил маршрутизації для мережі 192.168.0.0/24, направляється в центральний офіс, на маршрутизаторі якого налаштований список доступу - згідно з ним, пакет з адресою одержувача з мережі 192.168.0.0/24 передається на зовнішній інтерфейс шифратора (192.168.0.1). Далі він декапсуліруется, розшифровується і з внутрішнього інтерфейсу шифратора центрального офісу потрапляє в мережу з адресою відправника 10.0.1.22, адресою одержувача 10.0.0.44 і портом одержувача 23 ( telnet ), т. Е. з вихідними даними. Після надходження на маршрутизатор пакет передається далі згідно зі звичайними правилами маршрутизації в локальній мережі. У зворотному напрямку діалог сервера 10.0.0.44 з клієнтом 10.0.1.22 відбувається відповідно до аналогічної процедурою, за винятком того, що списки доступу умовної маршрутизації створюються на підставі TCP-порту відправника, а не одержувача.
. 4.3 Плюси і мінуси
Недолік наведеної схеми полягає в тому, що зростає навантаження на мережеве обладнання внаслідок триразового проходу одного і того ж трафіку через комутатор локальної мережі і маршрутизатор: у перший раз від клієнта до маршрутизатора з вихідними адресами відправника і одержувача, вдруге від ма?? шрутізатора до шифратору, і, нарешті, втретє інкапсульований трафік, знову ж через комутатор, потрапляє на маршрутизатор. У незавантажених мережах напевно простіше створити такі списки доступу умовної маршрутизації, щоб весь трафік для віддаленого офісу прямував через шифратор. У сильно завантажених мережах розумніше використовувати максимум можливостей маршрутизатора з написання списків доступу з правилами умовної маршрутизації, оскільки очевидно, що в шифруванні потребує далеко не весь міжмережевий трафік: наприклад, трафік SSH сам по собі вже зашифрований, і повторне шифрування покладає зайве навантаження на мережеве обладнання.
У даного підходу є ще одна незаперечна перевага - це велика стійкість мережі в цілому в порівнянні з підключенням шифратора на «горло» локальної мережі. Зокрема, протоколи динамічної маршрутизації дозволяють визначити доступність інтерфейсів шифратора і автоматично перебудувати таблицю маршрутизації в разі виходу з ладу одного з інтерфейсів або шифратора в цілому. Ніякої інкапсуляції проводитися не буде, так що офіси компанії стануть доступні один одному по мережі. Але подібне рішення має одну дуже неприємну особливість: якщо адміністратор не дізнається про зміну таблиць маршрутизації, то переданий у відкритому вигляді трафік може виявитися скомпрометованим. На такий випадок потрібно передбачити схему оповіщення адміністратора.
Може здатися, що при статичної маршрутизації схема паралельного включення шифратора в мережу нічим не відрізняється від схеми його підключення на «горло» мережі, так як зв'язок все одно пропаде, але це не так. Відкат конфігурації маршрутизатора (хоча б навіть віддалено) здійснити набагато простіше, ніж фізично перекомутувати обладнання на безпосередню маршрутизацію. У такого підходу є свої плюси - про захист трафіку нескладно подбати ще до того, як він потрапить в середу передачі даних, де може статися його компрометація.
Робота шифраторів може контролюватися дуже просто: у тому ж сегменті мережі, де встановлений шифратор, може бути розміщена машина під управлінням Linux з встановленою на ній програмою tcpdump. На порту комутатора, до якого підключений шифратор, може бути включена функція моніторингу. Трафік дублюється на порт комутатора, до якого підключена машина під управлінням Linux з програмою tcpdump. Мережевий інтерфейс машини може бути переведений в режим прийому всіх пакетів (promiscuous mode). Tcpdump може бути налаштований так, щоб відстежувати тільки пакети, у яких адреси джерела й одержувача належать до віртуальних мереж шифраторів. Таким чином, видно, що пакети инкапсулируются, а їх вміст зашифровано.
Природно, розроблена схема підключення не є єдино можливою і напевно в кожному конкретному випадку можна створити іншу, більшою мірою відповідає потребам організації. Однак ця схема має універсальність і є типовим рішенням для організації VPN для корпоративної мережі.
3.5 Застосування технології HDSL для ущільнення АЛ офісів
малоканальном системи ущільнення абонентських ліній (АЛ) засновані на технології DSL зі швидкістю потоку 160 кбіт/с. У масштабах великих офісів (найчастіше для центрального офісу) потрібно довести коефіцієнт ущільнення АЛ до рівня 30/60 раз без застосування концентрації. Для цього можна використовувати системи ущільнення АЛ з більш високою лінійною швидкістю, засновані на технологіях HDSL. Одним із прикладів таких сис...
