3.3.1. Топологии vpn с точки зрения беспроводной связи

Существует ряд классификаций VPN, применительно к беспроводным ТКС стандарта IEEE 802.11 определим три вида - это сеть-сеть, хост-сеть и хост-хост.

а) топология «сеть – сеть»

Этим термином иногда описывают VPN-туннель между двумя географически разнесенными частными сетями. VPN такого типа обычно применяются, когда нужно объединить локальные сети с помощью сети общего пользования так, как будто они находятся внутри одного здания. Основное достоинство такой конфигурации состоит в том, что сети выглядят как смежные, а работа VPN-шлюзов совершенно прозрачна для конечных пользователей. В этом случае важно также туннелирование, поскольку в частных сетях обычно используются описанные в RFC 1918 зарезервированные адреса, которые не могут маршрутизироваться через Internet. Поэтому для успешного взаимодействия трафик необходимо инкапсулировать в туннель. Типичным примером такой сети может быть соединение двух филиалов одной организации по двухточечному беспроводному каналу. Хотя трафик и не выходит за пределы внутренней инфраструктуры организации, но к ее беспроводной части нужно относиться так же внимательно, как если бы трафик маршрутизировался через сеть общего пользования в соответствии с рисунком 3.11.

Рис. 3.11. Топология VPN типа «сеть-сеть»

б) топология «хост-сеть»

При такой конфигурации удаленные пользователи подключаются к корпоративной сети через глобальную сеть Internet в соответствии с рисунком 3.12. Сначала мобильный клиент устанавливает соединение с Internet, а затем инициирует запрос на организацию зашифрованного туннеля с корпоративным VPN-шлюзом. После успешной аутентификации создается туннель поверх сети общего пользования и клиент становится просто еще одной машиной во внутренней сети. VPN. В отличие от VPN типа сеть-сеть, где число участников невелико и более или менее предсказуемо, VPN типа хост-сеть легко может вырасти до необъятных размеров. В связи с этим необходимо предусмотреть масштабируемый механизм аутентификации клиентов и управления ключами.

Механизмов безопасности на втором уровне может не хватить для защиты сетей на базе каналов точка-многоточка. Кроме того, при эксплуатации в таких сетях публичных хост-портов или устаревшего оборудования бывают проблемы из-за отсутствия совместимости и невозможности совместной работы. Если организация развертывает беспроводную сеть в офисе для доступа с ноутбуков или других беспроводных устройств сотрудников, то нужно применять масштабируемые средства сильного шифрования, аутентификации и учета. Возможно, придется установить центральный VPN-концентратор, способный осуществлять контроль доступа и учет работы пользователей по оканчивающемуся на нем VPN-туннелю[32].

Такое решение может составить приемлемую альтернативу RADIUS-серверу, базе данных о пользователях и всей инфраструктуре стандарта 802.1х. Топология хост-сеть предполагает, что беспроводные хосты, которые могут соединяться с VPN, должны иметь выход и в другие сети, например в Internet, через VPN-концентратор, но не могут обмениваться данными с другими беспроводными хостами в той же сети.

Рис. 3.12. Топология VPN типа «хост-хост»

в) топология хост-хост - При данной топологии информация передается между двумя хостами в соответствии с рисунком 3.13. В такой конфигурации туннель организуется между двумя хостами и весь трафик между ними инкапсулируется внутри VPN. В качестве примера можно назвать географически удаленный сервер резервного хранения. Оба хоста подключены к Internet, и данные с центрального сервера зеркально копируются на резервный.

Простые VPN типа хост-хост можно использовать для защиты независимых (ad hoc) сетей.

Рис. 3.13. Топология VPN типа «хост-хост»

г) топология типа «звезда»

Число участников VPN ограничено особенностями сетевых технологий. Самой распространенной из всех топологий VPN является звезда. Имеется VPN-концентратор, который организует туннель с удаленным клиентом в соответствии с рис. 3.14. Чтобы один хост мог взаимодействовать с другим, данные от хоста А должны попасть на концентратор, а затем уже на хост В. Масштабируемость такой сети ограничена пропускной способностью VPN-концентратора, который должен поддерживать достаточное число одновременных соединений. И общая производительность такой сети также лимитируется вычислительной мощностью концентратора, которая делится пополам для каждого соединения между двумя хостами, поскольку сначала нужно расшифровать принятые данные, а затем снова зашифровать перед отправкой.

Уязвимым местом в данной топологии является центральный узел - VPN-концентратор. Если он выйдет из строя, то перестанет работать вся сеть. Звездная топология применима в сетях с каналами точка - многоточка, но она менее безопасна, чем топология хост-сеть, поскольку позволяет беспроводным хостам взаимодействовать между собой (через концентратор).

Рис. 3.14. Топология VPN типа «звезда»

д) топология типа «сетка»

В случае сетчатой (mesh) топологии каждый узел напрямую соединен туннелем с любым другим узлом сети. При этом образуется «переплетение» соединений в соответствии с рисунком 3.15. Хотя недостатки топологии типа звезда и устраняются, но существенно увеличиваются временные затраты на обслуживание сети и становится трудно добавлять новые узлы. В данном случае накладываются определенные требования на производительность оконечных устройств (клиентов), они должны быть достаточно мощными компьютерами, поскольку им приходится поддерживать более одного туннеля.

Например, если нужно развернуть безопасную специальную беспроводную сеть, допустим, в составе крупного проекта беспроводной системы распределения (WDS). Эффективно реализовать решение на базе стандарта 802.1х в такой сети нельзя без выделенного аутентификатора (точки доступа). Поэтому механизмы аутентификации пользователей и ротации ключей, определенные в стандарте могут работать некорректно[23].

Рис. 3.15. Топология VPN типа «сетка»