7 .1 -rasm . T u n n ella sh g a ta yyo rla n g a n p a k e t m isoli.
Tashqi paket himoyalangan kanalning oxirgi nuqtasiga kelishi bilan undan ichki dastlabki paket chiqarib olinib, rasshifrovka qilinadi va
uning tiklangan sarlavhasi ichki tarmoq bo'yicha keyingi uzatish uchun ishlatiladi (7.2-rasm).
Ishchi S erv er D
stan tsiy a C
Xavfsizlik
shlyuzi SG1
Xavfsizlik
shlyuzi SG2
Jo'natuvchi
Q abul qiluvchi
7 .2 -rasm . V irtual h im o ya la n g a n tu n n el sxem asi.
Tunnellashdan paket tarkibini nafaqat konfidensialligini, balki un ing yaxlitligini va autentligini ta’minlashda foydalaniladi. Bunda elek tron raqamli imzoni paketning barcha hoshiyalariga tarqatish mumkin.
Internet bilan bog'lanmagan lokal tarmoq yaratilganda kompaniya o'zining tarmoq qurilmalari va kompyuterlari uchun xohlagan IP-adresdan foydalanishi mumkin. Oldin yakkalangan tarmoqlarni bir-lashtirishda bu adreslar bir-birlari va Internetda ishlatilayotgan adreslar bilan to'qnashishlari mumkin. Paketlami inkapsulatsiyalash bu muam-moni yechadi, chunki u dastlabki adreslarni berkitishga va Internet IP adreslari makonidagi noyob adreslarni qo'shishga imkon beradi. Bu adreslar keyin ma’lumotlarni ajratiluvchi tarmoqlar bo'yicha uzatishda ishlatiladi. Bunga lokal tarmoqqa ulanuvchi mobil foydalanuvchilaming IP-adreslarini va boshqa parametrlarini sozlash masalasi ham kiradi.
Tunellash mexanizmi himoyalanuvchi kanalni shakllantiruvchi turli protokollarda keng qo‘llaniladi. Odatda tunnel faqat ma’lumotlarning konfidensialligi va yaxlitligining buzilishi xavfi mavjud boMgan ochiq tarmoq qismida, masalan, ochiq Internet va korporativ tarmoq kirish nuqtalari orasida yaratiladi. Bunda tashqi paketlar uchun ushbu ikki nuq-tada o‘matilgan chegara marshrutizatorlarining adreslaridan foy-dalanilsa, oxirgi uzellarning ichki adreslari ichki dastlabki paketlarda himoyalangan holda saqlanadi. Ta’kidlash lozimki, tunellash mexaniz-mining o‘zi qanday maqsadlarda tunnellash qoMlanilayotganiga bogMiq emas. Tunnellash nafaqat uzatilayotgan barcha maMumotlarning kon-fidensialligi va yaxlitligini ta’minlashda, balki turli protokolli (masalan, IPv4 va IPv6) tarmoqlar orasida o‘tishni tashkil etishda ham qoMlaniladi. Tunnellash bir protokol paketini boshqa protokoldan foy dalanuvchi mantiqiy muhitda uzatishni tashkil etishga imkon beradi. Natijada bir necha turli xil tarmoqlaming o'zaro aloqalari muammosini hal etish imkoniyati paydo boMadi.
Tunnellash mexanizmini amalga oshirilishiga uch xil protokollar: protokol- «yoMovchi», protokol eltuvchi va tunnellash protokoli ishlashi natijasi deb qarash mumkin. Masalan, protokol - «yoMovchi» sifatida bitta korxona filiallarining. lokal tarmoqlarida ma’lumotlarni tashuvchi transport protokoli IPX ishlatilishi mumkin. Eltuvchi protokolning eng ko‘p tarqalgan varianti Internet tarmogMning IP protokoli hisoblanadi. Tunnellash protokoli sifatida kanal sathi protokolari PPTP va L2TP hamda tarmoq sathi protokoli IPSec ishlatilishi mumkin. Tunnellash tufayli Internet infratuzilmasini VPN-ilovalardan berkitish mumkin boMadi.
VPN tunnellari turli foydalanuvchilar uchun yaratilishi mumkin. Bular xavfsizlik shlyuzi boMgan lokal tarmoq LAN yoki masofadagi va mobil foydalanuvchilaming alohida kompyuterlari boMishi mumkin. Yirik korxonaning virtual xususiy tarmogMni yaratish uchun VPN-shlyuzlar, VPN-serverlar va VPN-mijozIar kerak boMadi. VPN-shlyuzlarni korxona lokal tarmoqlarini himoyalash uchun ishlatish maqsadga muvofiq boMsa, VPN-serverlar va VPN-mijozlardan maso fadagi va mobil foydalanuv-chilarni Internet orqali korporativ tarmoq bilan himoyalangan ulanishini tashkil etishda foydalaniladi.
Virtual himoyalangan kanallarni qurish variantlari VPN ni loyi-halashda, odatda, ikkita asosiy sxema ko‘riladi (7.3-rasm):
Himoyalangan
L H T
H im oyalangan kanal
« L H T -L H T »
Himoyalan-
LHT
Xavfsizlik
shlyuzi SGI
av fsizlik SG 2
limoyalangan kanal «Mijoz-LHT»
foydalanuvchi
Do'stlaringiz bilan baham: |