Виртуальные частные сети

Одно из преимуществ использования телефонных линий для удаленного доступа к сети состоит в том, что для них не нужно специального оборудования: только компьютер, модем и телефонный разъем. Это означает, что владелец портативного компьютера может подключиться к сети офиса откуда угодно. Однако, если сотрудники компании много разъезжают, их междугородные звонки будут обходиться компании очень недешево. Чтобы сократить подобные затраты, придуманы виртуальные частные сети (virtual private network, VPN).

Виртуальная частная сеть обеспечивает соединение между удаленным компьютером и сетью, в котором в качестве сетевой среды используется Интернет. Сама сеть при этом постоянно подключена к Интернету и располагает сервером, который сконфигурирован на прием входящих соединений через Интернет. Удаленный пользова-

тель подключается к Интернету с помощью модема через ближайшего провайдера. Многие провайдеры предоставляют свои услуги в разных городах и даже странах, поэтому подключение к Интернету, скорее всего, будет местным звонком. Затем удаленный компьютер и сетевой сервер устанавливают защищенное соединение, которое делает передачу данных по Интернету безопасной. Эта техника называется туннелированием (tunneling), поскольку связь через Интернет устанавливается по недоступному со стороны каналу, действительно похожему на туннель.

Туннелирование осуществляется, главным образом, с помощью протокола РРТР (Point-to-Point Tunneling Protocol). Соединение между компьютером-клиентом и сервером в целевой сети устанавливается с помощью протокола РРР и начинается с набора номера провайдера и подключения к Интернету, то есть с установки обычного РРР-соединения. Подключившись к Интернету, компьютер устанавливает управляющее соединение (control connection) с сервером с помощью протокола TCP. Это управляющее соединение и есть РРТР-туннель, через который компьютеры будут обмениваться данными.

Когда туннель создан, компьютеры инкапсулируют данные, которые при обычном соединении шли бы по телефонной линии, в IP-дейтаграммы. Затем компьютер по туннелю отправляет дейтаграммы другому компьютеру. В нарушение правил модели OSI, фактически кадр канального уровня передается внутри дейтаграммы сетевого уровня. Кадры РРР инкапсулируются IP, но они в то же время могут содержать другие IP-дейтаграммы уже с реальными данными, передаваемыми с компьютера на компьютер. Таким образом, сообщения, передаваемые по соединению TCP, то есть по туннелю, являются IP-дейтаграммами, которые содержат кадры РРР. А уже в кадрах РРР содержатся сообщения, сгенерированные любым протоколом сетевого уровня. Иными словами, поскольку данные РРР содержатся внутри IP-дейтаграмм, они сами могут быть IP-дейтаграммой, а также сообщением IPX или NetBEUI (рис. 12.2). Поскольку данные в туннеле зашифрованы и защищены протоколом аутентификации, перехватить их нельзя. Когда IP-дейтаграмма проходит по туннелю и достигает другого компьютера, кадры РРР извлекаются из нее и обрабатываются получателем обычным способом.