OSI modelining ish sathi bo'yicha VPNning turkumlanishi Ushbu turkumlash anchagina qiziqish tug'diradi, chunki amalga oshiriluvchi VPNning funksionalligi va uning korporativ axborot tizim-lari ilovalari hamda himoyaning boshqa vositalari bilan birgalikda ishla tilishi ko‘p hollarda tanlangan OSI sathiga bog'liq boMadi.
OSI modelining ish sath alomati bo'yicha kanal sathidagi VPN, tarmoq sathidagi VPN va seans sathidagi VPN farqlanadi. Demak, VPNlar, odatda OSI modelining pastki sathlarida quriladi. Buning sa-babi shuki, himoyalangan kanal vositalari qanchalik pastki sathda amalga oshirilsa, ularni ilovalargb va tatbiqiy protokollarga shunchalik shaffof qilish soddalashadi. Tarmoq va kanal sathlarida ilovalaming himoya protokollariga bog'liqligi umuman yo'qoladi. Shu sababli, foy-dalanuvchilar uchun universal va shaffof himoyani faqat OSI modeli ning pastki sathlarida qurish mumkin. Ammo bunda biz boshqa muam-moga-himoya protokolining muayyan tarmoq texnologiyasiga bog'liqligi muammosiga duch kelamiz.
Kanal sathidagi VPN. OSI modelining kanal sathida ishlatiluvchi VPN vositalari uchinchi (va yuqoriroq) sathning turli xil trafigini inkap-sulatsiyalashni ta’minlashga va «nuqta-nuqta» xilidagi virtual tunnel-larni (marshrutizatordan marshrutizatorga yoki shaxsiy kompterdan lo kal hisoblash tarmog'ining shlyuzigacha) qurishga imkon beradi. Bu guruhga L2F (Layer 2 Forwarding) va PPTP (Point-to-Point Tunneling Protocol) protokollari hamda Cisco Systems! MicroSoft firmalarining birga ishlab chiqqan L2TP(Layer 2 Tunneling Protocol) standartidan foydalanuvchi VPN-mahsulotlar taalluqli.
Himoyalangan kanalning protokoli PPTP «nuqta-nuqta» ulanish-larida, masalan, ajratilgan liniyalarda ishlaganda keng qo'llaniluvchi
protokoliga asoslangan. PPTP protokoli ilovalari va tatbiqiy sath xizmatlari uchun himoya vositalarining shaffofligini ta’minlaydi va tar moq sathida ishlatiluvchi protokolga bog'liq emas. Xususan, PPTP pro tokoli ham IP tarmoqlarida, ham IPX, DECnet yoki NetBEUL protokol-
lari asosida ishlovchi tarmoqlarda paketlarni tashishi mumkin. Ammo
protokoli hamma tarmoqlarda ham ishlatilmasligi sababli (aksariyat lokal tarmoqlarida kanal sathida Ethernet protokoli ishlasa, global tar moqlarda ATM, Frame Relay protokollari ishlaydi), uni universal vosita deb bo‘lmaydi. Yirik birikma tarmoqning turli qismlarida, umuman ayt-ganda, turli kanal protokollari ishlatiladi. Shu sababli, bu geterogen mu-hit orqali kanal sathining yagona protokoli yordamida himoyalangan kanalni o‘tkazish mumkin emas.
L2TP protokoli, ehtimol, lokal hisoblash tarmoqlaridan foydalan-ishni tashkil etishda ustunlik qiluvchi yechim bo‘lib qolishi mumkin (chunki u, asosan, Windows operatsion tizimiga tayanadi.)
Tarmoq sathidagi VPN. Tarmoq sathidagi VPN-mahsulotlar IPni IPga inkapsulatsiyalashni bajaradi. Bu sathdagi keng tarqalgan protokol-lardan biri SKIP protokolidir. Ammo bu protokolni autentifikatsiyalash, tunnellash va IP-paketlarni shifrlash uchun atalgan IPSec(IPSecurity) protokoli asta-sekin surib chiqarmoqda.
Tarmoq sathida ishlovchi IPSec protokoli murosaga asoslangan variant hisoblanadi. Bir tomondan u ilovalar uchun shaffof, ikkinchi tomondan keng tarqalgan IP protokoliga asoslanganligi sababli barcha tarmoqlarda ishlashi mumkin. Shu orada esdan chiqarmaslik lozimki, IPSecning spetsifikatsiyasi IPga mo‘ljallanganligi sababli u tarmoq sathining boshqa protokollari trafigi uchun to‘g‘ri kelmaydi. IPSec pro tokoli L2TP protokoli bilan birgalikda ishlashi mumkin. Natijada, bu ikki protokol ishonchli identifikatsiyalashni, standartlangan shifrlashni va ma’lumotlar yaxlitligini ta’minlaydi. Ikkita lokal tarmoq orasidagi IPSec tunneli ma’lumotlar uzatuvchi yakka tarmoqlar to‘plamini madad-lashi mumkin. Natijada, bu xildagi ilovalar masshtablanish nuqtai nazaridan ikkinchi sath texnologiyalariga nisbatan ustunlikka ega bo‘Iadi.
IPSec protokoli bilan masofadagi qurilmalar orasida kriptografik kalitlarni xavfsiz boshqarish va almashish masalalarini yechuvchi IKE (Internet Key Exchange) protokoli bog‘langan. IKE protokoli kalitlami almashishni avtomatlashtiradi va himoyalangan ulanishni o‘ranatadi, IPSec esa paketlarni kodlaydi va «imzo chekadi». Undan tashqari, IKE o'matilgan ulanish uchun kalitni o‘zgartirish imkoniyatiga ega. Bu uza-tiluvchi axborotning konfidensialligini oshiradi.
Seam sathidagi VPN. Ba’zi VPNlar «kanal vositachilari» (circuit proxy) deb ataluvchi usuldan foydalanadi. Bu usul transport sathi ustida ishlaydi va har bir soket uchun alohida trafikni himoyalangan tarmoqdan
umumfoydanuvchi Internet tarmog'iga retranslatsiyalaydi. (IP soketi TCP-uIanishning va muayyan port yoki berilgan port UDP kombinatsi-yasi orqali identifikatsiyalanadi. TCP/IP stekida beshinchi-seans sathi bo‘lmaydi, ammo soketlarga mo'ljallangan amallarni ko‘pincha seans sathi amallari deb yuritishadi.)
Tunnelning initsiatori va terminatori orasida uzatiluvchi axborotni shifrlash transport sathi TLS(Transport Layer Security) yordamida amalga oshiriladi. Tarmoqlararo ekran orqali autentifikatsiyalangan o‘tishni standartlash uchun SOCKS deb ataluvchi protokol aniqlangan va hozirda SOCKS protokolining 5-versiyasi kanal vositachilarini stan-dart amalga oshirilishida ishlatiladi.
SOCKS protokolining 5-versiyasida mijoz kompyuteri vositachi (proxy) vazifalarini bajaruvchi server bilan autentifikatsiyalangan soket (yoki seans) o‘rnatadi. Bu vositachi-tarmoqlararo ekran orqali bogManishning yagona usuli. Vositachi, o‘z navbatida, mijoz tomonidan so'ralgan har qanday amalni bajaradi. Vositachiga soket sathidagi trafik ma’lumligi sababli, u sinchiklab nazorat qilishi, masalan, muayyan ilovalami, agar ular zaruriy vakolatlarga ega bo'lmasa, blokirovka qil ishi mumkin.
Agar IPSec protokoli mohiyati bo'yicha, IP tarmoqni himoyalangan tunnelga tarqatsa, SOCKS protokoli asosidagi mahsulotlar uni alohida har bir ilova va har bir soketga kengaytiradi. Ikkinchi va uchinchi sath-ning yaratilgan tunnellari ikkala yo‘nalishda birday ishlasa, 5 sathning VPN tarmog'i har bir yo‘nalishda uzatishni mustaqil boshqarishga rux sat beradi. IPSec protokolga va ikkinchi sath protokollariga o'xshab 5 sathning VPN tarmoqlari virtual xususiy tarmoqlaming boshqa turlari bilan birga ishlatilishi mumkin, chunki bu texnologiyalar bir-birini inkor qilmaydi.
Texnik yechimining arxitekturasi bo'yicha VPNning turkumlan-ishi Ushbu turkumlash bo'yicha virtual xususiy tarmoqlar quyidagi uch turga bo‘linadi:
korporatsiya ichidagi VPN tarmoq;
masofadan foydalaniluvchi VPN tarmoq;
korporatsiyalararo VPN tarmoq.
Korporatsiya ichidagi VPN tarmoq. Korporatsiya ichidagi VPN tar moqlar (Intranet VPN) korxona ichidagi bo'linmalar yoki aloqaning korporatsiya tarmoqlari (shu jumladan, ajratilgan liniyalar) yordamida birlashtirilgan korxonalar guruhi orasida himoyalangan aloqani tashkil etish uchun ishlatiladi. O'zining filiallari va bo'limlari uchun axborot-
ning markazlashtirilgan omboridan foydalanishga ehtiyoj sezgan kom-paniyalar masofadagi uzellami ajratilgan liniyalar yoki frame relay tex-nologiyasi yordamida ulaydilar. Ammo ajratilgan liniyalaming ishlatil ishi egallanadigan o‘tkazish polosasining va obyektlar orasidagi maso-faning kattalashgani sari joriy sarf-xarajatlaming oshishiga sabab boMadi. Bulami kamaytirish uchun kompaniya uzellarini virtual xususiy tarmoq yordamida ulashi mumkin (7.4-rasm).
Intranet VPN tarmoqlar Intemetdan yoki servis-provayderlar to monidan taqdim etiluvchi boMinuvchi tarmoq infratuzilmalaridan foy-dalangan holda quriladi. Kompaniya narxi qimmat ajratilgan liniyalar-dan voz kechib, ularni arzonroq Internet orqali aloqa bilan almashtiradi. Bu oMkazish polosasidan foydalanishdagi sarf-xarajatni jiddiy kamayti-radi, chunki Intemetda masofa ulanish narxiga hech ta’sir etmaydi.
Do'stlaringiz bilan baham: |