7.3 -rasm . « L H T -L H T » va « M ijoz -L H T » x ilid a g i virtu a l
h im oyalartgan kanallar.
- lokal tarmoqlar orasidagi virtual himoyalangan kanal («LXT-LHT» kanal);
- uzel va lokal tarmoq orasidagi virtual himoyalangan kanal («mi-joz-LHT» kanali).
Ulanishning birinchi sxemasi alohida ofislar orasidagi qimmatli ajratilgan liniyalar o'rniga o‘tadi va ular orasida doimo foydalanuvchan, himoyalangan kanallarni yaratadi. Bu holda xavfsizlik shlyuzi tunnel va lokal tarmoq orasida interfeys vazifasini o‘taydi va lokal tarmoq foy-dalanuvchilari bir-birlari bilan muloqot qilishda tunneldan foydalanadi-lar. Aksariyat kompaniyalar VPNning bu xilidan global tarmoqning mavjud Frame Relay kabi ulanishlarni almashtirish uchun yoki ularga qo‘shimcha sifatida foydalanadilar.
VPN himoyalangan kanalning ikkinchi sxemasi masofadagi yoki mobil foydalanuvchilar bilan ulanishni o‘rnatishga atalgan. Tunnelni yaratishni mijoz (masofadan foydalanuvchi) boshlab beradi. Masofadagi tarmoqni himoyalovchi shlyuz bilan bog‘lanish uchun u o'zining kom-pyuterida maxsus mijoz dasturiy ta’minotini ishga tushiradi. VPNning bu turi kommutatsiyalanuvchi ulanishlarni o‘miga o‘tadi va masofadan foydalanishning an’anaviy usullari bilan bir qatorda ishlatilishi mumkin.
Virtual himoyalangan kanallaming qator variantlari mavjud. Umu-man, orasida virtual himoyalangan kanal shakllantiriluvchi korporativ tarmoqning har qanday ikkita uzeli himoyalanuvchi axborot oqimining oxirgi va oraliq nuqtasiga taalluqli boMishi mumkin. Axborot xavfsizligi nuqtai nazaridan himoyalangan tunnel oxirgi nuqtalarining himoyala nuvchi axborot oqimining oxirgi nuqtalariga mos kelishi varianti ma’qul hisoblanadi. Bu holda kanalning axborot paketlari o‘tishining barcha yoMlari bo‘ylab himoyalanishi ta’minlanadi. Ammo bu variant boshqar ishning detsentralizatsiyalanishiga va resurs sarflning oshishiga olib keladi. Agar virtual tarmoqdagi lokal tarmoq ichida trafikni himoyalash talab etilmasa, himoyalangan tunnelning oxirgi nuqtasi sifatida ushbu lokal tarmoqning tarmoqlararo ekrani yoki chegara marshrutizatori tanlanishi mumkin. Agar lokal tarmoq ichidagi axborot oqimi himoya lanishi shart bo‘lsa, bu tarmoq oxirgi nuqtasi vazifasini himoyalangan aloqada ishtirok etuvchi kompyuter bajaradi. Lokal tarmoqdan maso-fadan foydalanilganida foydalanuvchi kompyuteri virtual himoyalangan kanalning oxirgi nuqtasi boMishi shart.
Faqat paketlarni kommutatsiyalashli ochiq tarmoq, masalan, Inter net ichida o‘tkaziluvchi himoyalangan tunnel varianti yetarlicha keng tarqalgan. Ushbu variant ishlatilishi qulayligi bilan ajralib tursada, nis-batan past xavfsizlikka ega. Bunday tunnelning oxirgi nuqtalari vazi fasini, odatda Internet provayderlari yoki lokal tarmoq chegara mar-shrutizatorlari (tarmoqlararo ekranlar) bajaradi.
Lokal tarmoqlar birlashtirilganida tunnel faqat Intemetning chegara provayderlari yoki lokal tarmoqning marshrutizatorlari (tarmoqlararo ekranlari) orasida shakllantiriladi-. Lokal tarmoqdan masofadan foy dalanilganida tunnel Internet provayderining masofadan foydalanish serveri hamda Intemetning chegara provayderi yoki lokal tarmoq mar shrutizatori (tarmoqlararo ekran) orasida yaratiladi. Ushbu variant bo'yicha qurilgan korporativ tarmoqlar yaxshi masshtablanuvchanlik va boshqariluvchanlikka ega boMadi. Shakllantirilgan himoyalangan tun-nellar ushbu virtual tarmoqdagi mijoz kompyuterlari va serverlari uchun toMa shaffof hisoblanadi. Ushbu uzellarning dasturiy ta’minoti o'zgarmaydi. Ammo bu variant axborot aloqasining nisbatan past xavf sizligi bilan xarakterlanadi, chunki trafik qisman ochiq aloqa kanali bo'yicha himoyalanmagan holda o‘tadi. Agar shunday VPNni yaratish va ekspluatatsiya qilishni provayder ISP o‘z zimmasiga olsa, barcha virtual xususiy tarmoq uning shlyuzlarida, lokal tarmoqlar va korxonalaming masofadagi foydalanuvchilari uchun shaffof holda quril-
ishi mumkin. Ammo bu holda provayderga ishonch va uning xizmatiga doimo toMash muammosi paydo bo‘ldi.
Himoyalangan tunnel, orasida tunnel shakllantiriluvchi uzellardagi virtual tarmoq komponentlari yordamida yaratiladi. Bu komponentlarni tunnel initsiatorlari va tunnel terminatorlari, deb yuritish qabul qilingan.
Tunnel initsiatori dastlabki paketni yangi paketga, jo'natuvchi va qabul qiluvchi xususidagi axboroti boMgan yangi sarlavhali paketga inkapsulatsiyalaydi. Inkapsulatsiyalangan paketlar har qanday protokol turiga, jumladan, marshrutlanmaydigan protokollarga (masalan, Net BEUI) mansub boMishlari mumkin. Tunnel bo'yicha uzatiladigan barcha paketlar IP paketlari hisoblanadi. Tunnelning initsiatori va terminatori orasidagi marshrutni odatda Internetdan farqlanishi mumkin boMgan, oddiy marshrutlanuvchi tarmoq IP aniqlaydi.
Tunnelni initsiallash va uzish turli tarmoq qurilmalari va dasturiy ta’minot yordamida amalga oshirilishi mumkin. Masalan, tunnel maso-fadan foydalanish uchun ulashni ta’minlovchi modem va mos dasturiy ta’minot bilan jihozlangan mobil foydalanuvchining noutbuki to-monidan initsiallanishi mumkin. Initsiator vazifasini mos funksional imkoniyatlarga ega boMgan lokal tarmoq marshrutizatori ham bajarishi mumkin. Tunnel, odatda tarmoq kommutatori yoki xizmatlar provayderi shlyuzi bilan tugallanadi.
Tunnel terminatori inkapsulatsiyalash jarayoniga teskari jarayonni bajaradi. Terminator yangi sarlavhalami olib tashlab, har bir dastlabki paketni lokal tarmoqdagi adresatga yoMlaydi.
Inkapsulatsiyalanuvchi paketlarning konfidensialligi ularni shifr lash, yaxlitligi va haqiqiyligi esa elektron raqamli imzoni shakllantirish yoMi bilan ta’minlanadi. Ma’lumotlarni kriptografik himoyalashning juda ko‘p usullari va algoritmlari mavjud boMganligi sababli, tunnel init siatori va terminatori himoyaning bir xil usullaridan foydalanishga o‘z vaqtida kelishib olishlari maqsadga muvofiq hisoblanadi. Ma’lumotlami rasshifrovka qilish va raqamli imzoni tekshirish imkoniyatini ta’min-lash uchun tunnel initsiatori va terminatori kalitlami xavfsiz almashish vazifasini ham madadlashlari zarur. Undan tashqari, VPN tunnelarini vakolatli foydalanuvchilar tomonidan yaratilishini kafolatlash maqsadida axborot aloqasining asosiy taraflari autentifikatsiyalashdan o'tishlari lozim. Korporatsiyaning mavjud tarmoq infratuzilmalari VPNdan foydalanishga ham dasturiy, ham apparat ta’minot yordamida tayyorlanishlari mumkin.
Himoyalangan virtual xususiy tarmoqlar VPNni turkumlashni turli variantlari mavjud. Ko'pincha turkumlashning quyidagi uchta alomati ishlatiladi:
OSI modelining ish sathi;
VPN texnik yechimining arxitekturasi;
VPNni texnik amalga oshirish usuli.
Do'stlaringiz bilan baham: |