Протоколы VPN

В этом разделе рассматриваются три типа протоколов, применяемых в VPN.

• Протоколы туннелирования. Иногда их называют протоколами VPN. Используются для создания туннеля.
• Протоколы шифрования. Другое название — протоколы безопасности. Используются для обеспечения безопасности данных.
• Сетевые/транспортные протоколы. Иногда их называют локальными протоколами. Применяются для коммуникации в частной сети.

Протоколы туннелирования

Протоколы туннелирования инкапсулируют данные таким образом, что заголовки исходных протоколов оказываются внутри инкапсулирующих заголовков. Рассмотрим следующие протоколы туннелирования:

• РРТР (Point-to-Point Tunneling Protocol);
• L2F (Layer 2 Forwarding);
• L2TP (Layer 2 Tunneling Protocol);
• IPSec (IP Security);
• SSH (Secure Shell) и SSH2;
• CIPE (Crypto IP Encapsulation).

PPTP

Разработанный компанией Microsoft протокол PPTP стал стандартным протоколом туннелирования. Фактически он является расширением канального протокола РРР, используемым для создания каналов глобальных сетей посредством соединений удаленного доступа. Протокол РРТР работает следующим образом.

1. Пакеты РРР (это могут быть пакеты IP, IPX или NetBEUI) инкапсулируются в заголовок GRE (Generic Routing Encapsulation). Добавляется также заголовок IP, содержащий IP-адреса источника и получателя данных. Источник — это клиент VPN, получатель — сервер VPN.

2. Данные исходной дейтаграммы (пакета с адресной информацией) обычно зашифрованы, поэтому несанкционированные пользователи не смогут их прочитать. В сетях VPN компании Microsoft совместно с РРТР используется протокол МРРЕ, в котором для повышения безопасности данные дополнительно шифруются.

Программное обеспечение РРТР на компьютерах Linux или UNIX называется PPTP-linux. С его помощью компьютер Linux может устанавливать соединения с серверами РРТР. Разработано также программное обеспечение серверов РРТР (называемое РоРТоР) для Linux, Sun Solaris, FreeBSD и других реализаций UNIX. Распространяется оно бесплатно. Серверы на его основе могут обслуживать клиентов как Windows, так и PPTP-linux.

Клиенты Macintosh могут устанавливать соединение с серверами Windows РРТР с помощью программ других поставщиков, например Tunnel Builder компании Network Telesystems.

L2F

В 1996 году компания Cisco разработала протокол L2F и включила его в свою систему IOS. Будучи альтернативой РРТР, протокол L2F способен создавать туннели в каналах ATM и Frame Relay. Для РРТР необходимо использование IP, в то же время для L2F протокол IP не обязателен. Кроме того, в L2F выполняется дополнительная аутентификация в концах туннеля.

L2TP

На основе объединения РРТР и L2P компании Microsoft и Cisco создали протокол L2TP. Подобно РРТР, он инкапсулирует данные, передаваемые посредством IP. Протокол L2TP может также инкапсулировать данные для передачи по каналам ATM, Frame Relay или Х.25. Таким образом, L2TP можно использовать для туннелирования данных как по Internet, так и по специальным носителям глобальных сетей без применения IP. Перечислим некоторые преимущества L2TP по сравнению с РРТР.

• Поддерживает множественное туннелирование между двумя точками. Это позволяет создавать отдельные туннели, например с разными уровнями QoS (Quality of Service).
• Поддерживает сжатие заголовков, что повышает производительность.
• В отличие от РРТР, может выполнять аутентификацию туннелей.
• Может работать в межсетевых соединениях на основе виртуальных каналов ATM или Frame Relay без использования IP.

IPSec

Протокол IPSec можно использовать для шифрования данных, передаваемых по туннелю, созданному другим протоколом, таким, как L2TP. Его можно также использовать в режиме туннелирования, т.е. для создания туннеля. В режиме туннелирования IPSec используется для инкапсулирования пакетов IP. Туннель IPSec можно сконфигурировать на защиту данных как между двумя IP-адресами, так и между двумя подсетями IP.

В IPSec используются протоколы АН (Authentication Header) и ESP (Encapsulating Security Payload), причем может быть использован как один из них, так и оба.