Virtuális magánhálózat Virtual Private Network (VPN)

Bevezetés

Virtuális magánhálózat Virtual Private Network (VPN)


VPN = Látszólagos magánhálózat
Több definíció létezik
Lényeges tulajdonságok:
Biztonságos kommunikáció
Zá rt felhasználói csoport




Erıforrásainak megosztására képes közös hálózaton




A fizikai hálózat jellemzıen egy nagy gerinchálózat, e fölött alakítunk ki


Látszólagos magánhálózat a nyilvános fizikai hálózat felett

Maliosz Markosz 10. elıadás 2008.03.12.


Összeköthet

kisebb hálózatokat, és ezeket bocsájtja át a szolgáltató a felhasználóknak





Távoli klienst a cég belsı hálózatával (pl. távmunka) LAN-okat


pl. egy cég több telephellyel – a telephelyek között legyen közvetlen hálózati kapcsolat, de mégis le legyen választva az Internetrıl 2

1

VPN elınyei

VPN elınyei


Egyszerőbb kialakítani, mint a fizikait







Erıforrás foglalás

nem kell kábelezni egyszerően csak konfiguráljuk gyorsan kialakítható rugalmasság egy fizikai hálózat felett sok különbözı virtuális hálózatot lehet kialakítani


dinamikusan változtatható


Pl. ha a felhasználó azt mondja, hogy egy szakaszon 155Mbps helyett szeretne 622Mbps-ot, akkor nem kell

az interfész kártyákat cserélni,

nem kell újra lefektetni a vezetéket, hanem egyszerően csak átkonfigurálni. (Természetesen ehhez szükséges, hogy legyen


Költségmegtakarítás

elegendı szabad sávszélesség!)


Nem kell nagytávolságú bérelt vonalat fizetni, mivel a


Végfelhasználók számára ugyanúgy néz ki, mintha egy

nyilvános hálózati infrastruktúrát használjuk
Nem a felhasználó foglalkozik a hálózat menedzsmentjével, hanem a szolgáltató

magánhálózat lenne


A VPN-bıl nem látszik a külsı forgalom
Mások nem látják a VPN forgalmát 3

4

VPN forgalmi modellek


Pipe (csıvezeték) modell
Végpont-végpont közötti forgalom nagysága egyenként
Forgalmi mátrix

VPN forgalmi modellek


Hose modell


A felhasználó felülete

(interface) a hálózat felé
Egy végpont összes, aggregált bejövı és kimenı forgalma a többi végpont felé – rugalmasság


Hose modell elınyei a felhasználó szempontjából:


Könnyebb megadni (egy /vagy kettı/ bitsebesség

végpontonként)
Összefogja az összes többi VPN végpont felé menı forgalmat
Sávszélességet takaríthat meg a Pipe modellhez képest


Viszont: a megvalósítása nagyobb feladat a szolgáltatónak! N. G. Duffield, Pawan Goyal, Albert Greenberg, K. K. Ramakrishnan, and Jacoubs E. van der Merwe, "A flexible model for resource management 5 in virtual private networks," in Proceedings of SIGCOMM, Aug. 1999.

Osztályozás

6

Osztályozás


Melyik rétegben valósítjuk meg?


Kapcsolat szempontjából:


1. réteg: pl. optikai VPN (OVPN)
2. réteg: pl. ATM, FR
3. réteg: pl. IPSec


Kapcsolatorientált


Pont-pont összeköttetések a végpontok között
Teljes vagy részleges szövevény


Nem kapcsolatorientált


Felhasználó/szolgáltató szerepe


Nincs elıre definiált logikai összeköttetés a végpontok


PE vagy hálózat alapú
CE alapú

között
Peer-to-peer modell

7

8

Alagút technika (tunneling)

VPN protokollok


Úgynevezett alagutakban halad a forgalom a VPN


Alagút technika megvalósítása: becsomagolás,

végpontjai között a nyilvános hálózat felett

beágyazás, bekeretezés (encapsulation)


Ezzel biztosítjuk, hogy a VPN forgalma külön lesz választva




Az egyik protokollcsomagot egy másik protokollcsomagba ágyazzuk
Pl. IP over IP:
Csomag kiegészül egy új fejléccel
Belsı IP cím nem látszik: cím újrahasznosítás

A többi VPN forgalmától


Végberendezések lehetnek pl.: Egyéb forgalmaktól


IP útválasztó
MPLS útválasztó
IP switch


Kiemelt funkciók:


Hitelesítés (authentication): a felhasználók beazonosítása
Titkosítás (encryption): adat elrejtés

9

10

VPN protokollok

VPN protokollok


Point-to Point Tunneling Protocol (PPTP) – 2. réteg
Nem csak IP protokollokat támogat


Generic Routing Encapsulation (GRE) – 3 .réteg
Általános pont-pont alagút protokoll

Nincs egységes hitelesítés és titkosítás


Internet Protocol Security (IPSec) – 3 .réteg

3


Layer Two Tunneling Protocol (L2TP) – 2. réteg
Nem csak IP protokollokat támogat 3

Nagyon biztonságos

Nincs egységes hitelesítés és titkosítás

Lehet teljes VPN megoldásként használni vagy csak mint titkosítás pl.


Multi Protocol Label Switching (MPLS) – 2./3. réteg
Forgalom elkülönítése alagút technika nélkül: egyszerőbb a 3




Nincs titkosítás

PPTP-ben



SOCKS Network Security Protocol – 5. réteg (viszony)
Lehetséges a VPN forgalmat meghatározott alkalmazásokra korlátozni 3 Szükséges szoftver telepíteni a kliensekhez 3 Be kell konfigurálni a SOCKS proxy szervereket Elrejti az IP címet is

VPN szolgáltatás üzembe helyezése Skálázható: nem kell egyesével virtuális pont-pont összeköttetéseket kialakítani

11

12

VPN termékek

Optikai VPN


Megvalósítás szerint:


A VPN felhasználó


Hardver alapú:




rendelkezik az optikai sávszélességgel


dedikált optikai csatornák: VPλN
Sávszélességek: 155 Mbps, 622 Mbps, 2.5 Gbps, 10 Gbps

Leginkább útválasztók, amelyek titkosítanak


Szoftver alapú:



Általában a szerver oldalon


menedzseli az optikai összeköttetéseket
anélkül, hogy saját fizikai hálózata lenne

Számítógépen fut, az egyedi viszonyokhoz kell igazítani


Hálózati környezet szerint: Általában kliens oldalon


Interneten – nincs szolgáltatás garancia



Nincs erıforrás-foglalás


Egy szolgáltató hálózatán


Torlódások, útválasztó meghibásodások miatt

Minıségbiztosítás megoldható

13

Optikai VPN

Optikai VPN


Modellek:


Más jellegő megvalósítás: erıforrás felosztás


Overlay (lefedı)





A hálózati csomópontakat és összeköttetéseket elıre felosztják a VPN-ek között
Virtuális útválasztók
A VPN felhasználó látszólag egy teljes hálózatot birtokol, amihez teljeskörő hozzáférése van

Pont-pont összeköttetések A felhasználó feladata a VPN megtervezése A szolgáltató mindössze a felhasználó rendelkezésére bocsátja az optikai összeköttetéseit





Peer-to-Peer (egyenrangú)



14

egyszerőbb

Közös útválasztás fut a felhasználó és a szolgáltató berendezésein A szolgáltató kiadja a fizikai topológiáját (erre nincs hajlandóság)

15

16

MPLS IP VPN

MPLS IP VPN


RFC 2547 alapján:
A szolgáltató



minden VPN-hez egyedi VPN azonosítót rendel Minden VPN interfészhez, ahol a VPN az MPLS hálózathoz


MPLS felhın belül nem a csatlakozó alhálózat címét

csatlakozik egy-egy útazonosítót (Route Distinguisher – RD) rendel

terjesztik, hanem az ún. VPN-IP címet, amely az útazonosító és alhálózat cím együttese
Minden VPN interfészhez külön útválasztó tábla tartozik
A VPN táblákat terjesztik az MPLS felhın belül

17

18

VPN tervezés

VPN tervezés


VPN tagok: A, C, K
1. megoldás: teljes szövevény



2. megoldás:


Csillag topológia


Élek száma n-nel arányos
Az egyik végpontot is

Minden végpontot minden

2

végponttal összekötünk: n -tel arányos az élek száma

kinevezhetjük a csillag középpontjának
A központban kell útválasztás!


Három alagút: A-C, C-K, A-K
Teljesen összekötött


Nem kell belsı útválasztás: a végpontok a megfelelı alagútba küldik a forgalmat


Pl. MPLS


3 LSP
Kényszer alapú útválasztás (nem feltétlenül min-hop) 19

20

VPN tervezés

VPN tervezés
Közelítı megoldás Steiner-fa meghatározására, példa:


3. megoldás:


VPN végpontok: a, c, i, k


Steiner-fa probléma (NP-nehéz)


Ha nincsenek közvetlen élek a végpontokon kívül több köztes csomópont is részt vesz a VPN-ben




Útválasztók az elágaztató csomópontoknál




Minden VPN végpont párra felírjuk, hogy a fizikai hálózat alapján mi


Heurisztika (gyors, de csak közelítı módszer): a minimális költségő út közöttük






Ez alapján kapunk egy teljes szövevényt Ebben meghatározzuk a minimális feszítıfát (pl. Kruskal) A min. feszítıfát visszavezetjük az eredeti hálózatra a költségek növekvı sorrendjében




http://carbon.cudenver.edu/~hgreenbe/sessions/dijkstra/DijkstraApplet.html

21

VPN tervezés

22

VPN tervezés


Közelítı megoldás Steiner-fa meghatározására


Közelítı megoldás Steiner-fa meghatározására


Minimális költségő utak alapján a teljes szövevény:


Minimális feszítıfa a teljes szövevényre:

23

24

VPN tervezés
Közelítı megoldás Steiner-fa meghatározására
A minimális feszítıfa visszavezetése az eredeti hálózatra:

25