Джордж Гаулда, директор информационной службы компании Link Staffing, хотел организовать защищенные соединения между 49 офисами филиалов, расположенными в 23 штатах, со штаб-квартирой своей компании, которая находится в Хьюстоне. Гаулда пришел к выводу, что для этого ему необходимо создать виртуальную частную сеть (VPN). В самой фирме Link Staffing не оказалось необходимых специалистов для проектирования и управления такой системой, поэтому Гаулда выбрал фирму OpenReach для организации защищенной виртуальной частной сети через общедоступный Internet.
Link Staffing — одна из многих компаний, обращающихся при создании VPN к услугам независимых фирм. Некоторые из них решаются на этот шаг, потому что не имеют достаточного числа специалистов по защищенным сетям. Другие, в которых специалистов хватает, просто хотят разгрузить своих сотрудников и переложить заботы по управлению постоянно растущей инфраструктурой на плечи независимых служб сопровождения. Предложения последних, однако, сильно различаются, и пользователям необходимо тщательно оценить свои потребности при выборе провайдера.
Например, Гаулда пришел к выводу, что его фирме необходим сервис VPN, использующий Internet в качестве транспортного механизма. При этом он не хотел менять остальных провайдеров Internet, которые обеспечивают связь штаб-квартиры компании с ее удаленными офисами.
Хотя корпоративной сетью Link Staffing управляет фирма OpenReach, Гаулда не считает, что не имеет контроля над этой сетью. Он в любой момент может узнать, какова производительность каналов VPN-сети с помощью своей настольной системы (через Web-интерфейс). «Я способен «спуститься» до уровня рабочей станции в удаленном офисе, чтобы оценить, как работает предоставляемый нам сервис», — подчеркнул он.
Услуги OpenReach ежемесячно обходятся Link Staffing в 100 долл. в пересчете на одно рабочее место.
Снабженческая компания APL Logistics (подразделение сингапурской торговой корпорации Neptune Orient Lines) хотела заключить соглашение с одним из провайдеров, который мог бы предоставить услуги VPN по выделенной IP-сети, охватывающей 180 офисов в 32 странах мира. Надежность сети имеет для APL критически важное значение, поскольку, как подчеркнула директор информационной службы Синди Стоддард, планирование и выпуск продуктов зависят от временных затрат. APL выбрала голландскую фирму Equant, подписав трехлетнее соглашение стоимостью 23 млн долл. на аренду сетевых служб и VPN. По словам Стоддард, APL предпочла Equant из-за обеспечиваемых ею глобального охвата, широких возможностей управления и использования таких схем маршрутизации, которые максимально ускоряют транспортировку критичного ко времени трафика.
Джо Прзепиора, менеджер по ИТ глобальной сетевой службы сельскохозяйственной корпорации Cargill, оплачивает сервис VPN по часам провайдеру RemotePipes. Многие из сотрудников Cargill работают в сельских районах, которые остаются неохваченными локальными провайдерами Internet. При этом, как заметил Прзепиора, RemotePipes специализируется на предоставлении услуг частной виртуальной сети через общедоступный Internet и бесплатные телефонные номера. Прзепиора подчеркнул, что соединения аналоговых модемов работают намного медленнее, чем цифровая абонентская линия, но любой сотрудник его фирмы всегда может рассчитывать на связь с головным офисом.
За 6 долл. в час удаленные сотрудники Cargill могут подключиться к сети компании через VPN-доступ, при котором используется шифрование по протоколу IPSec. Чаще всего через VPN пользователи обращаются к электронной почте и системе автоматизации отдела продаж.
Виртуальные частные сети не всегда могут быть организованы поверх исходных IP-сетей, и, как заметил аналитик IDC Джейсон Смолек, это не позволяет увидеть, что с технической точки зрения представляет собой конкретная VPN-служба. К примеру, оператор AT&T предлагает услугу так называемой «частной IP-VPN», которая функционирует на базе сети frame relay. На первый взгляд, здесь возникает какая-то путаница, поскольку в данном случае VPN уже создается в выделенном сетевом сегменте, а последний является «частным» по определению.
Однако Тим Хелпин, менеджер AT&T по службам frame relay и ATM, отмечает, что термин «VPN» может употребляться в разных контекстах. Что касается частной IP-VPN компании AT&T, на самом деле эта служба дает возможность зарегистрированным пользователям frame relay передавать IP-пакеты по VPN. В данном случае клиенты могут использовать стандартные средства защиты в частных виртуальных сегментах frame relay, получая дополнительную функциональность, которую обеспечивает протокол IP.
Андреаса Беллака, директора по инжинирингу глобальных сетей компании Wireless Facilities, в предложении AT&T заинтересовала одна из функций — приоритизации сетевого трафика по классам приложения. Беллак считает самым приоритетным трафик видеоконференций, который чувствителен к задержкам передачи пакетов и помехам; для электронной почты он полагает достаточным принцип «по мере возможности». Именно такой термин применяется в AT&T для обозначения менее важного класса трафика.
Для приоритизации по классам трафика AT&T и Equant применяют маршрутизацию Multiprotocol Label Switching (MPLS). MPLS представляет собой спецификацию IETF, которая позволяет маршрутизаторам на границах сетей считывать специальные теги в IP-пакетах. Благодаря этому можно не анализировать адреса, по которым направляются пакеты на маршрутизаторах ядра сети. В результате ускоряется маршрутизация пакетов и обеспечивается качество обслуживания на уровне, приемлемом для различных видов критичного к задержкам трафика (в том числе видео).
Применение передовой технологии IP-MPLS вкупе с использованием среды передачи frame relay обеспечивает гарантированные уровни обслуживания по задержке пакетов при пропускной способности каналов до 120 Мбит/с на всем протяжении виртуальной частной сети. В этом и заключается одна из причин, по которой, с точки зрения Беллака, ежемесячные затраты на каждое соединение 1,5 Мбит/с, составляющие 1800 долл., являются вполне оправданными. Как и другие пользователи арендуемых служб VPN, он считает, что если компании удалось найти провайдера, способного удовлетворить все ее требования к производительности, надежности и защищенности сервисов, то такая находка поистине бесценна.
IPSec: сделаем VPN защищенной
Сегодня IPSec стал почти повсеместным стандартом защиты информации, передаваемой по виртуальной частной сети. Он применяется при организации VPN через общедоступный Internet, а также может реализоваться в гибридных сетях, основанных на виртуальных сегментах frame relay и Internet. IPSec — это протокол, созданный IETF для защиты передачи данных по IP-сетям. Он действует на сетевом уровне модели Open System Interconnection (OSI) и обеспечивает аутентификацию и шифрование всех пакетов, передаваемых по сети, вне зависимости от того, какое приложение является активным.
IPSec виртуально разделяет сетевой трафик, используя протоколы туннелирования и шифрования. Он позволяет сделать данные, которые транспортируются по разделяемым каналам, невидимыми для других пользователей, передающих свою информацию по тем же проводам или эфирным каналам.
Использование IPSec подразумевает два режима защиты. В режиме Transport Mode с помощью шифрования инкапсулируется только содержательная часть пакета (данные), но IP-заголовок остается открытым. В Tunnel Mode протокол IPSec инкапсулирует в зашифрованный пакет всю информацию, включая исходный IP-заголовок. Transport Mode обычно используется для организации соединений VPN между отдельными компьютерами, в то время как Tunnel Mode необходим для связи локальных сетей между собой.