Virtual Private Networks Virtuális magánhálózatok

Virtual Private Networks – Virtuális magánhálózatok Hálózati és Szolgáltatási Architektúrák Mérnök informatikus szak, MSc képzés Hálózatok és szolgáltatások szakirány 2009. április 6., Hétfı, IB.138, 8:30-10:00

9. elıadás Dr. Maliosz Markosz, TMIT

Történelem


Nagyvállalatok: komplex magánhálózatok kiépítése nagy ráfordítással (intranet)   

Állandó fizikai összeköttetés Saját tulajdonú hálózat: WAN kiépítése Dedikált bérelt vonal (költséges)





Távközlési- vagy internetszolgáltatótól adatátvitel célra bérelt magánvonal. 0-24 óráig rendelkezésre álló, nagysebességő adatforgalomra alkalmas átviteli közeg, bérleti díja általában forgalomtól független.

Internet elterjedése    

sávszélesség növekedés nyilvános hálózat felett virtuális magánhálózat csökkentett költségek probléma: biztonság

2009. április 6.

Maliosz Markosz

2

VPN fogalma


VPN = Látszólagos magánhálózat   





Több hasonló definíció létezik Lényeges tulajdonságok:   




Virtual = nem önálló fizikai hálózat Private = saját címzés és útvonalválasztás Network = egymással kommunikáló eszközök

Biztonságos kommunikáció Zárt felhasználói csoport Erıforrásainak megosztására képes közös (nyilvános) hálózaton

Látszólagos magánhálózat a nyilvános fizikai hálózat felett  

Pl. egy országos hálózati szolgáltatótól tudunk igénybe venni virtuális hálózat szolgáltatást A fizikai hálózat jellemzıen egy nagy gerinchálózat, e fölött alakítunk ki kisebb hálózatokat, és ezeket bocsátja át a szolgáltató a felhasználóknak

2009. április 6.

Maliosz Markosz

3

VPN funkciói



Távoli hozzáférés a cég belsı hálózatához (pl. távmunka) Intranetek összekötése  pl.

egy cég több telephellyel – a telephelyek között legyen közvetlen hálózati kapcsolat, de mégis le legyen választva az Internetrıl




Extranet  Különbözı

szervezetek Intranetjeinek összekapcsolása

2009. április 6.

Maliosz Markosz

4

VPN elınyei





Kiváltja a saját tulajdonú vagy bérelt összeköttetéseket, amelyeket csak egy adott hálózat használhat Egyszerőbb kialakítani, mint a fizikait  nem

kell kábelezni  egyszerően csak konfiguráljuk  gyorsan kialakítható  rugalmasság  egy fizikai hálózat felett sok különbözı virtuális hálózatot lehet kialakítani

2009. április 6.

Maliosz Markosz

5

VPN elınyei


Végfelhasználók számára ugyanúgy néz ki, mintha egy magánhálózat lenne A

VPN-bıl nem látszik a külsı forgalom  Mások nem látják a VPN forgalmát


Költségmegtakarítás  Nem

kell nagytávolságú bérelt vonalat fizetni, mivel a nyilvános hálózati infrastruktúrát használjuk  Nem a felhasználó foglalkozik a hálózat menedzsmentjével, hanem a szolgáltató

2009. április 6.

Maliosz Markosz

6

Osztályozás 1.


Melyik rétegben valósítjuk meg?  1.

réteg: dedikált csatorna és sávszélesség pl. pont-pont bérelt vonal, optikai VPN (OVPN) (fibre, wavelength)





 2.

réteg: osztott infrastruktúra VPN forgalom leválasztás: VC (FR, ATM), VP (ATM), VLAN (Ethernet) – Moldován István elıadása





 3.

réteg:





2009. április 6.

minden forgalom ugyanazokon az útválasztókon halad VPN forgalom leválasztás: tunneling (Internet based IP VPN), LSP (IP+MPLS) Maliosz Markosz

7

Szolgáltatói VPN a 2. és 3. rétegben


VPN a 2. rétegben 

VPN a 3. rétegben

Elınyök









Felhasználó: 

Elınyök


útvonalválasztás saját kézben tetszıleges 3. rétegbeli protokoll áramkörök létrehozása, törlése, változtatása könnyen megoldható












2009. április 6.

Felhasználó:  

szakértelem szükséges az útvonalválasztáshoz

Csak az adott L2 technológia használható

Maliosz Markosz

érték növelt szolgáltatások

Hátrányok

Felhasználó: 

útvonalválasztás terhétıl megszabadul

Szolgáltató: 

Hátrányok


Felhasználó: 

Szolgáltató: 









kevésbé rugalmas nincs beleszólása az útvonalválasztásba

Szolgáltató: 

növekvı terhelés a VPN felhasználók növekvı számával

8

VPN alkalmazások

Forrás: Next Generation Optical Networks for Broadband European Leadership: NOBEL, http://www.ist-nobel.org 2009. április 6.

Maliosz Markosz

9

Osztályozás 2.


Felhasználó/szolgáltató szerepe  PE

vagy hálózat alapú  CE alapú

2009. április 6.

Maliosz Markosz

10

Osztályozás 3.


Kapcsolat szempontjából:  Kapcsolatorientált



Pont-pont összeköttetések a végpontok között Teljes vagy részleges szövevény

 Nem








2009. április 6.

kapcsolatorientált

Nincs elıre definiált logikai összeköttetés a végpontok között Dinamikus VPN: a VPN-en belül lehet kapcsolatokat felépíteni és bontani Peer-to-peer modell

Maliosz Markosz

11

Osztályozás 4.


Megvalósítás szerint 

Hardver alapú





Szoftver alapú






Leginkább útválasztók, amelyek titkosítanak Általában a szerver oldalon Számítógépen fut, az egyedi viszonyokhoz kell igazítani Általában kliens oldalon

Hálózati környezet szerint 

Interneten – nincs szolgáltatás garancia





Nincs erıforrás-foglalás Torlódások, útválasztó meghibásodások miatt

Egy szolgáltató hálózatán



2009. április 6.

Minıségbiztosítás megoldható Szolgáltató célja: VPN forgalmak maximalizálása a QoS követelmények betartása mellett, valamint a gerinchálózat optimális kihasználása Maliosz Markosz

12

Alagút technika (tunneling)


CE alapú VPN-eknél 




az alagutak létrehozása és menedzselése a CE feladata

Úgynevezett alagutakban halad a forgalom a VPN végpontjai között a nyilvános hálózat felett 

Ezzel biztosítjuk, hogy a VPN forgalma külön lesz választva






A többi VPN forgalmától Egyéb forgalmaktól

Végberendezések lehetnek pl.:  

IP útválasztó MPLS útválasztó

2009. április 6.

Maliosz Markosz

13

VPN protokollok


Alagút technika megvalósítása: becsomagolás, beágyazás, bekeretezés (encapsulation) 

Az egyik protokollcsomagot egy másik protokollcsomagba ágyazzuk


3 protokoll:   








a fizikai hálózat hordozó protokollja:  IP a beágyazást megvalósító protokoll:  GRE, L2TP, PPTP, IPSec, SSL a hordozott protokoll:  IP, IPX, stb.

A csomag kiegészül egy új fejléccel A belsı cím nem látszik: cím újrahasznosítás

Kiemelt funkciók:  

Hitelesítés (authentication): a felhasználók beazonosítása Titkosítás (encryption): adat elrejtés

2009. április 6.

Maliosz Markosz

14

Optikai VPN – OVPN


Layer 1 VPN:  Látszólagosan

leválasztott hálózat, amely  Layer 1 szolgáltatást nyújt, azaz optikai átvitelt  Több felhasználói csoport, közösség számára  Egy közös, nyilvános fizikai optikai hálózat felett  Lehetıség van VPN-enkénti külön vezérlésre és menedzsmentre

2009. április 6.

Maliosz Markosz

15

Optikai VPN – OVPN





A forgalom eleve szeparált ezért nincs szükség protokoll alapú alagutakra és titkosításra  kisebb komplexitás, gyorsabb szolgáltatás kiépítés A VPN felhasználó   




rendelkezik az optikai sávszélességgel (2.5, 10, 40 Gbps) dedikált optikai csatornák: VPλN menedzseli az optikai összeköttetéseket anélkül, hogy saját fizikai hálózata lenne

OVPN felhasználók jellemzıi    

Nagy átviteli kapacitást igényelnek Igénylik a hálózati topológia megváltoztatását Különféle forgalmakat akarnak továbbítani Pl.:



2009. április 6.

multi-service gerinchálózati szolgáltatók Szolgáltatók szolgáltatói (carrier’s carrier) Maliosz Markosz

16

Internet VPN és OVPN Internet VPN
Széles körben elterjedt
Költséghatékony
Flexibilis
Skálázható

2009. április 6.

OVPN
QoS
Megbízhatóság
Felesleges hálózati rétegek nélkül
Kisebb komplexitás

Maliosz Markosz

17

Internet VPN példák


BME VPN szolgáltatás: 




T-Systems IPsec VPN 




remote access VPN szolgáltatás segítségével az Internet tetszıleges pontjáról elérhetı a BMENET ahhoz hasonló módon, mint ha a (valóságban a Mőegyetem hálózatán kívül található) távoli számítógép a Mőegyetem hálózatában lenne

vállalati adatátvitel szolgáltatás saját hálózat kiépítési és üzemeltetési költségeinek a töredékéért

UPC business IP-VPN  

az elıfizetı telephelyei között az Interneten keresztül biztonságos adatkapcsolat országos lefedettségő IP-VPN hálózat kiépíthetı

2009. április 6.

Maliosz Markosz

18

Több különbözı OVPN



Fizikai és virtuális topológiák Felhasználó specifikus részhálózatok

2009. április 6.

Maliosz Markosz

19

Optikai VPN


Modellek:  Overlay







(lefedı)

Pont-pont összeköttetések A felhasználó feladata a VPN megtervezése A szolgáltató mindössze a felhasználó rendelkezésére bocsátja az optikai összeköttetéseit egyszerőbb

 Peer-to-Peer





2009. április 6.

(egyenrangú)

Közös útválasztás fut a felhasználó és a szolgáltató berendezésein A szolgáltató kiadja a fizikai topológiáját (erre nincs hajlandóság) Maliosz Markosz

20

OVPN erıforrás menedzsment


Hozzárendelt (Dedicated, pre-assigned) fényút  Garantált

elıre lefoglalt erıforrások minden egyes

VPN-hez  Saját VPN-en belül a felhasználó gazdálkodhat az erıforrásokkal, útvonalat is számíthat


Megosztott (shared) fényút /idıosztás/  Foglalás

összeköttetés kérés esetén  Nincs garantált erıforrás


Többugrásos fényút (Multi Hop Path)  Több

2009. április 6.

fényút összekapcsolásával Maliosz Markosz

21

OVPN példa 1.

2009. április 6.

Maliosz Markosz

22

OVPN példa 2.

2009. április 6.

Maliosz Markosz

23

Optikai VPN


Más jellegő megvalósítás: erıforrás felosztás A

hálózati csomópontokat és összeköttetéseket (OXC portok és hullámhosszak) elıre felosztják a VPN-ek között  Virtuális kapcsolók  A VPN felhasználó látszólag egy teljes hálózatot birtokol, amihez teljeskörő vezérlési hozzáférése van

2009. április 6.

Maliosz Markosz

24

Szolgáltatói és felhasználói funkciók Szolgáltató (OVPN adminisztrátor)
OVPN felhasználó menedzsment
OVPN végpontok megadása
OVPN-en belüli kapcsolat-létrehozási jogok menedzselése
Monitorozás
Paraméterek (védelem, útválasztás) specifikálása

2009. április 6.

Felhasználó (OVPN kliens)
Fényutak menedzsmentje az OVPN-en belül
Monitorozás
Paraméterek (sávszélesség, védelem) kiválasztása
További OVPN felhasználók menedzsmentje a szolgáltatás továbbértékesítése céljából

Maliosz Markosz

25

VPN forgalmi modellek


Pipe (csıvezeték) modell 






Hose modell

Végpont-végpont közötti forgalom nagysága egyenként Forgalmi mátrix

 

A felhasználó felülete (interface) a hálózat felé Egy végpont összes, aggregált bejövı és kimenı forgalma a többi végpont felé – rugalmasság

N. G. Duffield, Pawan Goyal, Albert Greenberg, K. K. Ramakrishnan, and Jacoubs E. van der Merwe, "A flexible model for resource management in virtual private networks," in Proceedings of SIGCOMM, Aug. 1999. 2009. április 6.

Maliosz Markosz

26

VPN forgalmi modellek


Hose modell elınyei a felhasználó szempontjából:  Könnyebb

megadni (egy /vagy kettı/ bitsebesség végpontonként)  Összefogja az összes többi VPN végpont felé menı forgalmat  Sávszélességet takaríthat meg a Pipe modellhez képest


Viszont: a megvalósítása nagyobb feladat a szolgáltatónak!

2009. április 6.

Maliosz Markosz

27

Források


Photonic Network Communications, Volume 7, Number 3, May 2004:  







Zhang Z., Zhang Y-Q., Chu X., Li B., „An Overview of Virtual Private Network (VPN): IP VPN and Optical VPN”, pp. 213-225 French S., Pendarakis D., „Optical Virtual Private Networks: Applications, Functionality and Implementation”, pp. 227-238

History of VPN, Technology Overview, Marc Debaerdemaeker (BELNET), VLL Workshop, Brussels, June 8th 2006 http://intranet.bme.hu/bmenet/ravpn/ http://www.t-systems.hu/nv/adatatvitel/ip_sec_vpn http://www.upcbusiness.hu/ipvpn.html

2009. április 6.

Maliosz Markosz

28