Virtual Private Network (VPN)

Virtuális magánhálózat Virtual Private Network (VPN)

Hálózatok tervezése VITMM215 Dr. Maliosz Markosz elıadás 2009.10.06.

2

Bevezetés




VPN elınyei

VPN = Látszó tszólagos magá magánhá nhálózat Több definí definíció ció létezik Lényeges tulajdonsá tulajdonságok:




– – – – –

– Biztonsá Biztonságos kommuniká kommunikáció ció – Zárt felhaszná felhasználói csoport – Erı Erıforrá forrásainak megosztá megosztására ké képes kö közös há hálózaton


Látszó tszólagos magá magánhá nhálózat a nyilvá nyilvános fizikai há hálózat felett – A fizikai há hálózat jellemzı jellemzıen egy nagy gerinchá gerinchálózat, e fö fölött alakí alakítunk ki kisebb há hálózatokat, és ezeket bocsá bocsájtja át a szolgá szolgáltató ltató a felhaszná felhasználóknak




Egyszerőbb kialakítani, mint a fizikait

Összekö sszeköthet




– Távoli klienst a cé cég belsı belsı hálózatá zatával (pl. tá távmunka) – LANLAN-okat  pl. egy cé cég tö több telephellyel – a telephelyek kö között legyen kö közvetlen há hálózati kapcsolat, de mé mégis le legyen vá választva az Internetrı Internetrıl

3

nem kell ká kábelezni egyszerő egyszerően csak konfigurá konfiguráljuk gyorsan kialakí kialakítható tható rugalmassá rugalmasság egy fizikai há hálózat felett sok kü különbö nbözı virtuá virtuális hálózatot lehet kialakí kialakítani

Végfelhasználók számára ugyanúgy néz ki, mintha egy magánhálózat lenne – A VPNVPN-bıl nem lá látszik a kü külsı lsı forgalom – Mások nem lá látjá tják a VPN forgalmá forgalmát 4

VPN elınyei


VPN forgalmi modellek


Erıforrás foglalás




– Végpontgpont-végpont kö közötti forgalom nagysá nagysága egyenké egyenként – Forgalmi má mátrix

– dinamikusan vá változtatható ltoztatható  Pl. ha a felhaszná felhasználó azt mondja, hogy egy szakaszon 155Mbps helyett szeretne 622Mbps622Mbps-ot, akkor nem kell az interfé interfész ká kártyá rtyákat cseré cserélni, nem kell újra lefektetni a vezeté vezetéket, hanem egyszerő egyszerően csak átkonfigurá tkonfigurálni. (Termé (Természetesen ehhez szü szüksé kséges, hogy legyen elegendı elegendı szabad sá sávszé vszélessé lesség!)




Pipe (csı (csıvezeté vezeték) modell

Hose modell – A felhaszná felhasználó felü felülete (interface) interface) a há hálózat felé felé – Egy vé végpont összes, aggregá aggregált bejö bejövı és kimenı kimenı forgalma a tö többi vé végpont felé felé – rugalmassá rugalmasság

Költségmegtakarítás – Nem kell nagytá nagytávolsá volságú bérelt vonalat fizetni, mivel a nyilvá nyilvános há hálózati infrastruktú infrastruktúrát haszná használjuk – Nem a felhaszná á l ó foglalkozik a há á felhaszn h lózat menedzsmentjé menedzsmentjével, hanem a szolgá szolgáltató ltató

5

N. G. Duffield, Pawan Goyal, Albert Greenberg, K. K. Ramakrishnan, and Jacoubs E. van der Merwe, "A flexible model for resource management 6 in virtual private networks," in Proceedings of SIGCOMM, Aug. 1999.

VPN forgalmi modellek


Osztályozás
Melyik

Hose modell elınyei a felhasználó szempontjából:

– 1. réteg: pl. optikai VPN (OVPN) – 2. réteg: pl. ATM, FR – 3. réteg: pl. IPSec

– Könnyebb megadni (egy /vagy kettı kettı/ bitsebessé bitsebesség végpontonké é nt) gpontonk – Összefogja az összes tö többi VPN vé végpont felé felé menı menı forgalmat – Sávszé vszélessé lességet takarí takaríthat meg a Pipe modellhez képest


rétegben valósítjuk meg?


Felhasználó/szolgáltató

szerepe

– PE vagy hálózat alapú – CE alapú

Viszont: a megvalósítása nagyobb feladat a szolgáltatónak! 7

8

Alagút technika (tunneling)


VPN protokollok

Úgynevezett alagutakban halad a forgalom a VPN végpontjai között a nyilvános hálózat felett




– Az egyik protokollcsomagot egy má másik protokollcsomagba ágyazzuk – Pl. IP over IP:

– Ezzel biztosí biztosítjuk, hogy a VPN forgalma kü külön lesz választva  A tö többi VPN forgalmá forgalmától  Egyé Egyéb forgalmaktó forgalmaktól




Alagút technika megvalósítása: becsomagolás, beágyazás, bekeretezés (encapsulation)

 Csomag kiegé kiegészü szül egy új fejlé fejléccel  Belsı Belsı IP cí cím nem lá látszik: cí cím újrahasznosí jrahasznosítás

Végberendezések lehetnek pl.:




– IP útvá tválasztó lasztó – MPLS útvá tválasztó lasztó – IP switch

Kiemelt funkciók: – Hitelesí ): a felhaszná Hitelesítés (authentication (authentication): felhasználók beazonosí beazonosítása – Titkosí ): adat elrejté Titkosítás (encryption (encryption): elrejtés

9

10

VPN protokollok


VPN protokollok

Point-to Point Tunneling Protocol (PPTP) – 2. réteg





Nem csak IP protokollokat támogat 3 Nincs egységes hitelesítés és titkosítás



Általános pont-pont alagút protokoll 3 Nincs titkosítás

Layer Two Tunneling Protocol (L2TP) – 2. réteg





Nem csak IP protokollokat támogat 3 Nincs egységes hitelesítés és titkosítás


Generic Routing Encapsulation (GRE) – 3 .réteg


Nagyon biztonságos
Lehet teljes VPN megoldásként használni vagy csak mint titkosítás pl. PPTP-ben
Elrejti az IP címet is

Multi Protocol Label Switching (MPLS) – 2./3. réteg
Forgalom elkülönítése alagút technika nélkül: egyszerőbb a VPN szolgáltatás üzembe helyezése
Skálázható: nem kell egyesével virtuális pont-pont összeköttetéseket kialakítani

11

Internet Protocol Security (IPSec) – 3 .réteg




SOCKS Network Security Protocol – 5. réteg (viszony)
Lehetséges a VPN forgalmat meghatározott alkalmazásokra korlátozni 3 Szükséges szoftver telepíteni a kliensekhez 3 Be kell konfigurálni a SOCKS proxy szervereket 12

VPN termékek


Optikai VPN

Megvalósítás szerint:


A

– Hardver alapú alapú:

– rendelkezik az optikai sávszélességgel

 Leginká Leginkább útvá tválasztó lasztók, amelyek titkosí titkosítanak  Általá ltalában a szerver oldalon

 dediká dedikált optikai csatorná csatornák: VPλ VPλN  Sávszé vszélessé lességek: 155 Mbps, Mbps, 622 Mbps, Mbps, 2.5 Gbps, Gbps, 10 Gbps

– Szoftver alapú alapú:  Szá Számítógépen fut, az egyedi viszonyokhoz kell igazí igazítani  Általá ltalában kliens oldalon




VPN felhasználó

Hálózati környezet szerint:

– menedzseli az optikai összeköttetéseket – anélkül, hogy saját fizikai hálózata lenne

– Interneten – nincs szolgá szolgáltatá ltatás garancia  Nincs erı erıforrá forrás-foglalá foglalás  Torló Torlódások, útvá tválasztó lasztó meghibá meghibásodá sodások miatt

– Egy szolgá szolgáltató ltató hálózatá zatán  Minı Minıségbiztosí gbiztosítás megoldható megoldható 13

14

Optikai VPN


Optikai VPN

Modellek:


Más

jellegő megvalósítás: erıforrás felosztás

– Overlay (lefedı (lefedı) PontPont-pont összekö sszekötteté ttetések A felhaszná felhasználó feladata a VPN megtervezé megtervezése A szolgá szolgáltató ltató mindö mindössze a felhaszná felhasználó rendelkezé rendelkezésére bocsá bocsátja az optikai összekö sszekötteté ttetéseit  egyszerő egyszerőbb   

– A hálózati csomópontakat és összeköttetéseket elıre felosztják a VPN-ek között – Virtuális útválasztók – A VPN felhasználó látszólag egy teljes hálózatot birtokol, amihez teljeskörő hozzáférése van

– PeerPeer-toto-Peer (egyenrangú (egyenrangú)  Közös útvá tválasztá lasztás fut a felhaszná felhasználó és a szolgá szolgáltató ltató berendezé berendezésein  A szolgá szolgáltató ltató kiadja a fizikai topoló topológiá giáját (erre nincs hajlandó hajlandóság)

15

16

MPLS IP VPN


MPLS IP VPN

RFC 2547 alapján: – A szolgá szolgáltató ltató  minden VPNVPN-hez egyedi VPN azonosí azonosítót rendel  Minden VPN interfé interfészhez, ahol a VPN az MPLS há hálózathoz csatlakozik egyegy-egy útazonosí tazonosítót (Route (Route Distinguisher – RD) rendel

– MPLS felhı felhın belü belül nem a csatlakozó csatlakozó alhá alhálózat címét terjesztik, hanem az ún. VPNVPN-IP cí címet, amely az útazonosí tazonosító és alhá alhálózat cím együ együttese – Minden VPN interfé interfészhez kü külön útvá tválasztó lasztó tábla tartozik – A VPN tá táblá blákat terjesztik az MPLS felhı felhın belü belül 17

18

VPN tervezés



VPN tervezés

VPN tagok: A, C, K 1. megoldá megoldás: teljes szö szövevé vevény


2.

– Csillag topológia

– Minden vé végpontot minden végponttal összekö sszekötünk: n2-tel ará arányos az élek szá száma – Három alagú alagút: AA-C, CC-K, AA-K – Teljesen összekö sszekötött

 Élek szá száma nn-nel ará arányos  Az egyik vé végpontot is kinevezhetjü kinevezhetjük a csillag középpontjá ppontjának  A kö központban kell útvá tválasztá lasztás!

 Nem kell belsı belsı útvá tválasztá lasztás: a végpontok a megfelelı megfelelı alagú alagútba kü küldik a forgalmat




megoldás:

Pl. MPLS – 3 LSP – Kényszer alapú alapú útvá tválasztá lasztás (nem felté feltétlenü tlenül minminhop) hop) 19

20

VPN tervezés


VPN tervezés

3. megoldás:




– SteinerSteiner-fa problé probléma (NP (NP--nehé nehéz)

Közelítı megoldás Steiner-fa meghatározására, példa: – VPN vé végpontok: a, c, i, k

 Ha nincsenek kö közvetlen élek a vé végpontokon kí kívül tö több kö köztes csomó csomópont is ré részt vesz a VPNVPN-ben  Útvá tválasztó lasztók az elá elágaztató gaztató csomó csomópontokná pontoknál

– Heurisztika (gyors, de csak kö közelí zelítı módszer):  Minden VPN vé végpont pá párra felí felírjuk, hogy a fizikai há hálózat alapjá alapján mi a minimá minimális kö költsé ltségő út kö közöttü ttük  Ez alapjá alapján kapunk egy teljes szö szövevé vevényt  Ebben meghatá meghatározzuk a minimá minimális feszí feszítıfát (pl. Kruskal) Kruskal)  A min. feszí feszítıfát visszavezetjü visszavezetjük az eredeti há hálózatra a költsé ltségek nö növekvı vekvı sorrendjé sorrendjében


http://carbon.cudenver.edu/~hgreenbe/sessions/dijkstra/DijkstraApplet.html http://carbon.cudenver.edu/~hgreenbe/sessions/dijkstra/DijkstraApplet.html

21

22

VPN tervezés

VPN tervezés


Közelítı

megoldás Steiner-fa meghatározására


Közelítı

megoldás Steiner-fa meghatározására

– Minimális költségő utak alapján a teljes szövevény:

– Minimális feszítıfa a teljes szövevényre:

23

24

Másik közelítı módszer Steiner-fa meghatározására

VPN tervezés
Közelítı

megoldás Steiner-fa meghatározására


Az

– A minimális feszítıfa visszavezetése az eredeti hálózatra:

25

eredeti gráfban a minimális feszítıfa meghatározása (pl. Kruskal mohó algoritmussal)
Ebbıl az elhagyható élek eltávolításával megkapjuk a Steiner-fa közelítést

26