Virtual Private Networks Virtuális magánhálózatok Hálózati és Szolgáltatási Architektúrák Mérnök informatikus szak, MSc képzés Hálózatok és szolgáltatások szakirány, Hétfı, IB.138, 8:30-10:00 9. elıadás Dr. Maliosz Markosz, TMIT
Történelem Nagyvállalatok: komplex magánhálózatok kiépítése nagy ráfordítással (intranet) Állandó fizikai összeköttetés Saját tulajdonú hálózat: WAN kiépítése Dedikált bérelt vonal (költséges) Távközlési- vagy internetszolgáltatótól adatátvitel célra bérelt magánvonal. 0-24 óráig rendelkezésre álló, nagysebességő adatforgalomra alkalmas átviteli közeg, bérleti díja általában forgalomtól független. Internet elterjedése sávszélesség növekedés nyilvános hálózat felett virtuális magánhálózat csökkentett költségek probléma: biztonság Maliosz Markosz 2
VPN fogalma VPN = Látszólagos magánhálózat Virtual = nem önálló fizikai hálózat Private = saját címzés és útvonalválasztás Network = egymással kommunikáló eszközök Több hasonló definíció létezik Lényeges tulajdonságok: Biztonságos kommunikáció Zárt felhasználói csoport Erıforrásainak megosztására képes közös (nyilvános) hálózaton Látszólagos magánhálózat a nyilvános fizikai hálózat felett Pl. egy országos hálózati szolgáltatótól tudunk igénybe venni virtuális hálózat szolgáltatást A fizikai hálózat jellemzıen egy nagy gerinchálózat, e fölött alakítunk ki kisebb hálózatokat, és ezeket bocsátja át a szolgáltató a felhasználóknak Maliosz Markosz 3
VPN funkciói Távoli hozzáférés a cég belsı hálózatához (pl. távmunka) Intranetek összekötése pl. egy cég több telephellyel a telephelyek között legyen közvetlen hálózati kapcsolat, de mégis le legyen választva az Internetrıl Extranet Különbözı szervezetek Intranetjeinek összekapcsolása Maliosz Markosz 4
VPN elınyei Kiváltja a saját tulajdonú vagy bérelt összeköttetéseket, amelyeket csak egy adott hálózat használhat Egyszerőbb kialakítani, mint a fizikait nem kell kábelezni egyszerően csak konfiguráljuk gyorsan kialakítható rugalmasság egy fizikai hálózat felett sok különbözı virtuális hálózatot lehet kialakítani Maliosz Markosz 5
VPN elınyei Végfelhasználók számára ugyanúgy néz ki, mintha egy magánhálózat lenne A VPN-bıl nem látszik a külsı forgalom Mások nem látják a VPN forgalmát Költségmegtakarítás Nem kell nagytávolságú bérelt vonalat fizetni, mivel a nyilvános hálózati infrastruktúrát használjuk Nem a felhasználó foglalkozik a hálózat menedzsmentjével, hanem a szolgáltató Maliosz Markosz 6
Osztályozás 1. Melyik rétegben valósítjuk meg? 1. réteg: dedikált csatorna és sávszélesség pl. pont-pont bérelt vonal, optikai VPN (OVPN) (fibre, wavelength) 2. réteg: osztott infrastruktúra VPN forgalom leválasztás: VC (FR, ATM), VP (ATM), VLAN (Ethernet) Moldován István elıadása 3. réteg: minden forgalom ugyanazokon az útválasztókon halad VPN forgalom leválasztás: tunneling (Internet based IP VPN), LSP (IP+MPLS) Maliosz Markosz 7
Szolgáltatói VPN a 2. és 3. rétegben VPN a 2. rétegben Elınyök Felhasználó: útvonalválasztás saját kézben tetszıleges 3. rétegbeli protokoll Szolgáltató: áramkörök létrehozása, törlése, változtatása könnyen megoldható Hátrányok Felhasználó: szakértelem szükséges az útvonalválasztáshoz Csak az adott L2 technológia használható VPN a 3. rétegben Elınyök Felhasználó: útvonalválasztás terhétıl megszabadul Szolgáltató: érték növelt szolgáltatások Hátrányok Felhasználó: kevésbé rugalmas nincs beleszólása az útvonalválasztásba Szolgáltató: növekvı terhelés a VPN felhasználók növekvı számával Maliosz Markosz 8
VPN alkalmazások Forrás: Next Generation Optical Networks for Broadband European Leadership: NOBEL, http://www.ist-nobel.org Maliosz Markosz 9
Osztályozás 2. Felhasználó/szolgáltató szerepe PE vagy hálózat alapú CE alapú Maliosz Markosz 10
Osztályozás 3. Kapcsolat szempontjából: Kapcsolatorientált Pont-pont összeköttetések a végpontok között Teljes vagy részleges szövevény Nem kapcsolatorientált Nincs elıre definiált logikai összeköttetés a végpontok között Dinamikus VPN: a VPN-en belül lehet kapcsolatokat felépíteni és bontani Peer-to-peer modell Maliosz Markosz 11
Osztályozás 4. Megvalósítás szerint Hardver alapú Leginkább útválasztók, amelyek titkosítanak Általában a szerver oldalon Szoftver alapú Számítógépen fut, az egyedi viszonyokhoz kell igazítani Általában kliens oldalon Hálózati környezet szerint Interneten nincs szolgáltatás garancia Nincs erıforrás-foglalás Torlódások, útválasztó meghibásodások miatt Egy szolgáltató hálózatán Minıségbiztosítás megoldható Szolgáltató célja: VPN forgalmak maximalizálása a QoS követelmények betartása mellett, valamint a gerinchálózat optimális kihasználása Maliosz Markosz 12
Alagút technika (tunneling) CE alapú VPN-eknél az alagutak létrehozása és menedzselése a CE feladata Úgynevezett alagutakban halad a forgalom a VPN végpontjai között a nyilvános hálózat felett Ezzel biztosítjuk, hogy a VPN forgalma külön lesz választva A többi VPN forgalmától Egyéb forgalmaktól Végberendezések lehetnek pl.: IP útválasztó MPLS útválasztó Maliosz Markosz 13
VPN protokollok Alagút technika megvalósítása: becsomagolás, beágyazás, bekeretezés (encapsulation) Az egyik protokollcsomagot egy másik protokollcsomagba ágyazzuk 3 protokoll: a fizikai hálózat hordozó protokollja: IP a beágyazást megvalósító protokoll: GRE, L2TP, PPTP, IPSec, SSL a hordozott protokoll: IP, IPX, stb. A csomag kiegészül egy új fejléccel A belsı cím nem látszik: cím újrahasznosítás Kiemelt funkciók: Hitelesítés (authentication): a felhasználók beazonosítása Titkosítás (encryption): adat elrejtés Maliosz Markosz 14
Optikai VPN OVPN Layer 1 VPN: Látszólagosan leválasztott hálózat, amely Layer 1 szolgáltatást nyújt, azaz optikai átvitelt Több felhasználói csoport, közösség számára Egy közös, nyilvános fizikai optikai hálózat felett Lehetıség van VPN-enkénti külön vezérlésre és menedzsmentre Maliosz Markosz 15
Optikai VPN OVPN A forgalom eleve szeparált ezért nincs szükség protokoll alapú alagutakra és titkosításra kisebb komplexitás, gyorsabb szolgáltatás kiépítés A VPN felhasználó rendelkezik az optikai sávszélességgel (2.5, 10, 40 Gbps) dedikált optikai csatornák: VPλN menedzseli az optikai összeköttetéseket anélkül, hogy saját fizikai hálózata lenne OVPN felhasználók jellemzıi Nagy átviteli kapacitást igényelnek Igénylik a hálózati topológia megváltoztatását Különféle forgalmakat akarnak továbbítani Pl.: multi-service gerinchálózati szolgáltatók Szolgáltatók szolgáltatói (carrier s carrier) Maliosz Markosz 16
Internet VPN és OVPN Internet VPN Széles körben elterjedt Költséghatékony Flexibilis Skálázható OVPN QoS Megbízhatóság Felesleges hálózati rétegek nélkül Kisebb komplexitás Maliosz Markosz 17
Internet VPN példák BME VPN szolgáltatás: remote access VPN szolgáltatás segítségével az Internet tetszıleges pontjáról elérhetı a BMENET ahhoz hasonló módon, mint ha a (valóságban a Mőegyetem hálózatán kívül található) távoli számítógép a Mőegyetem hálózatában lenne T-Systems IPsec VPN vállalati adatátvitel szolgáltatás saját hálózat kiépítési és üzemeltetési költségeinek a töredékéért UPC business IP-VPN az elıfizetı telephelyei között az Interneten keresztül biztonságos adatkapcsolat országos lefedettségő IP-VPN hálózat kiépíthetı Maliosz Markosz 18
Több különbözı OVPN Fizikai és virtuális topológiák Felhasználó specifikus részhálózatok Maliosz Markosz 19
Optikai VPN Modellek: Overlay (lefedı) Pont-pont összeköttetések A felhasználó feladata a VPN megtervezése A szolgáltató mindössze a felhasználó rendelkezésére bocsátja az optikai összeköttetéseit egyszerőbb Peer-to-Peer (egyenrangú) Közös útválasztás fut a felhasználó és a szolgáltató berendezésein A szolgáltató kiadja a fizikai topológiáját (erre nincs hajlandóság) Maliosz Markosz 20
OVPN erıforrás menedzsment Hozzárendelt (Dedicated, pre-assigned) fényút Garantált elıre lefoglalt erıforrások minden egyes VPN-hez Saját VPN-en belül a felhasználó gazdálkodhat az erıforrásokkal, útvonalat is számíthat Megosztott (shared) fényút /idıosztás/ Foglalás összeköttetés kérés esetén Nincs garantált erıforrás Többugrásos fényút (Multi Hop Path) Több fényút összekapcsolásával Maliosz Markosz 21
OVPN példa 1. Maliosz Markosz 22
OVPN példa 2. Maliosz Markosz 23
Optikai VPN Más jellegő megvalósítás: erıforrás felosztás A hálózati csomópontokat és összeköttetéseket (OXC portok és hullámhosszak) elıre felosztják a VPN-ek között Virtuális kapcsolók A VPN felhasználó látszólag egy teljes hálózatot birtokol, amihez teljeskörő vezérlési hozzáférése van Maliosz Markosz 24
Szolgáltatói és felhasználói funkciók Szolgáltató (OVPN adminisztrátor) OVPN felhasználó menedzsment OVPN végpontok megadása OVPN-en belüli kapcsolat-létrehozási jogok menedzselése Monitorozás Paraméterek (védelem, útválasztás) specifikálása Felhasználó (OVPN kliens) Fényutak menedzsmentje az OVPN-en belül Monitorozás Paraméterek (sávszélesség, védelem) kiválasztása További OVPN felhasználók menedzsmentje a szolgáltatás továbbértékesítése céljából Maliosz Markosz 25
VPN forgalmi modellek Pipe (csıvezeték) modell Végpont-végpont közötti forgalom nagysága egyenként Forgalmi mátrix Hose modell A felhasználó felülete (interface) a hálózat felé Egy végpont összes, aggregált bejövı és kimenı forgalma a többi végpont felé rugalmasság N. G. Duffield, Pawan Goyal, Albert Greenberg, K. K. Ramakrishnan, and Jacoubs E. van der Merwe, "A flexible model for resource management in virtual private networks," in Proceedings of SIGCOMM, Aug. 1999. Maliosz Markosz 26
VPN forgalmi modellek Hose modell elınyei a felhasználó szempontjából: Könnyebb megadni (egy /vagy kettı/ bitsebesség végpontonként) Összefogja az összes többi VPN végpont felé menı forgalmat Sávszélességet takaríthat meg a Pipe modellhez képest Viszont: a megvalósítása nagyobb feladat a szolgáltatónak! Maliosz Markosz 27
Források Photonic Network Communications, Volume 7, Number 3, May 2004: Zhang Z., Zhang Y-Q., Chu X., Li B., An Overview of Virtual Private Network (VPN): IP VPN and Optical VPN, pp. 213-225 French S., Pendarakis D., Optical Virtual Private Networks: Applications, Functionality and Implementation, pp. 227-238 History of VPN, Technology Overview, Marc Debaerdemaeker (BELNET), VLL Workshop, Brussels, June 8th 2006 http://intranet.bme.hu/bmenet/ravpn/ http://www.t-systems.hu/nv/adatatvitel/ip_sec_vpn http://www.upcbusiness.hu/ipvpn.html Maliosz Markosz 28