Virtuális magánhálózat Virtual Private Network (VPN) Maliosz Markosz 10. elıadás 2008.03.12. Bevezetés VPN = Látszólagos magánhálózat Több definíció létezik Lényeges tulajdonságok: Biztonságos kommunikáció Zárt felhasználói csoport Erıforrásainak megosztására képes közös hálózaton Látszólagos magánhálózat a nyilvános fizikai hálózat felett A fizikai hálózat jellemzıen egy nagy gerinchálózat, e fölött alakítunk ki kisebb hálózatokat, és ezeket bocsájtja át a szolgáltató a felhasználóknak Összeköthet Távoli klienst a cég belsı hálózatával (pl. távmunka) LAN-okat pl. egy cég több telephellyel a telephelyek között legyen közvetlen hálózati kapcsolat, de mégis le legyen választva az Internetrıl 1 2 VPN elınyei Egyszerőbb kialakítani, mint a fizikait nem kell kábelezni egyszerően csak konfiguráljuk gyorsan kialakítható rugalmasság egy fizikai hálózat felett sok különbözı virtuális hálózatot lehet kialakítani Végfelhasználók számára ugyanúgy néz ki, mintha egy magánhálózat lenne A VPN-bıl nem látszik a külsı forgalom Mások nem látják a VPN forgalmát Erıforrás foglalás dinamikusan változtatható VPN elınyei Pl. ha a felhasználó azt mondja, hogy egy szakaszon 155Mbps helyett szeretne 622Mbps-ot, akkor nem kell az interfész kártyákat cserélni, nem kell újra lefektetni a vezetéket, hanem egyszerően csak átkonfigurálni. (Természetesen ehhez szükséges, hogy legyen elegendı szabad sávszélesség!) Költségmegtakarítás Nem kell nagytávolságú bérelt vonalat fizetni, mivel a nyilvános hálózati infrastruktúrát használjuk Nem a felhasználó foglalkozik a hálózat menedzsmentjével, hanem a szolgáltató 3 4
VPN forgalmi modellek VPN forgalmi modellek Pipe (csıvezeték) modell Végpont-végpont közötti forgalom nagysága egyenként Forgalmi mátrix Hose modell A felhasználó felülete (interface) a hálózat felé Egy végpont összes, aggregált bejövı és kimenı forgalma a többi végpont felé rugalmasság Hose modell elınyei a felhasználó szempontjából: Könnyebb megadni (egy /vagy kettı/ bitsebesség végpontonként) Összefogja az összes többi VPN végpont felé menı forgalmat Sávszélességet takaríthat meg a Pipe modellhez képest Viszont: a megvalósítása nagyobb feladat a szolgáltatónak! N. G. Duffield, Pawan Goyal, Albert Greenberg, K. K. Ramakrishnan, and Jacoubs E. van der Merwe, "A flexible model for resource management 5 in virtual private networks," in Proceedings of SIGCOMM, Aug. 1999. 6 Osztályozás Melyik rétegben valósítjuk meg? 1. réteg: pl. optikai VPN (OVPN) 2. réteg: pl. ATM, FR 3. réteg: pl. IPSec Felhasználó/szolgáltató szerepe PE vagy hálózat alapú CE alapú Osztályozás Kapcsolat szempontjából: Kapcsolatorientált Pont-pont összeköttetések a végpontok között Teljes vagy részleges szövevény Nem kapcsolatorientált Nincs elıre definiált logikai összeköttetés a végpontok között Peer-to-peer modell 7 8
Alagút technika (tunneling) Úgynevezett alagutakban halad a forgalom a VPN végpontjai között a nyilvános hálózat felett Ezzel biztosítjuk, hogy a VPN forgalma külön lesz választva A többi VPN forgalmától Egyéb forgalmaktól Végberendezések lehetnek pl.: IP útválasztó MPLS útválasztó IP switch VPN protokollok Alagút technika megvalósítása: becsomagolás, beágyazás, bekeretezés (encapsulation) Az egyik protokollcsomagot egy másik protokollcsomagba ágyazzuk Pl. IP over IP: Csomag kiegészül egy új fejléccel Belsı IP cím nem látszik: cím újrahasznosítás Kiemelt funkciók: Hitelesítés (authentication): a felhasználók beazonosítása Titkosítás (encryption): adat elrejtés 9 10 VPN protokollok Point-to Point Tunneling Protocol (PPTP) 2. réteg Nem csak IP protokollokat támogat 3 Nincs egységes hitelesítés és titkosítás Layer Two Tunneling Protocol (L2TP) 2. réteg Nem csak IP protokollokat támogat 3 Nincs egységes hitelesítés és titkosítás Multi Protocol Label Switching (MPLS) 2./3. réteg Forgalom elkülönítése alagút technika nélkül: egyszerőbb a VPN szolgáltatás üzembe helyezése Skálázható: nem kell egyesével virtuális pont-pont összeköttetéseket kialakítani VPN protokollok Generic Routing Encapsulation (GRE) 3.réteg Általános pont-pont alagút protokoll 3 Nincs titkosítás Internet Protocol Security (IPSec) 3.réteg Nagyon biztonságos Lehet teljes VPN megoldásként használni vagy csak mint titkosítás pl. PPTP-ben Elrejti az IP címet is SOCKS Network Security Protocol 5. réteg (viszony) Lehetséges a VPN forgalmat meghatározott alkalmazásokra korlátozni 3 Szükséges szoftver telepíteni a kliensekhez 3 Be kell konfigurálni a SOCKS proxy szervereket 11 12
VPN termékek Megvalósítás szerint: Hardver alapú: Leginkább útválasztók, amelyek titkosítanak Általában a szerver oldalon Szoftver alapú: Számítógépen fut, az egyedi viszonyokhoz kell igazítani Általában kliens oldalon Hálózati környezet szerint: Interneten nincs szolgáltatás garancia Nincs erıforrás-foglalás Torlódások, útválasztó meghibásodások miatt Egy szolgáltató hálózatán Minıségbiztosítás megoldható A VPN felhasználó Optikai VPN rendelkezik az optikai sávszélességgel dedikált optikai csatornák: VPλN Sávszélességek: 155 Mbps, 622 Mbps, 2.5 Gbps, 10 Gbps menedzseli az optikai összeköttetéseket anélkül, hogy saját fizikai hálózata lenne 13 14 Modellek: Overlay (lefedı) Optikai VPN Pont-pont összeköttetések A felhasználó feladata a VPN megtervezése A szolgáltató mindössze a felhasználó rendelkezésére bocsátja az optikai összeköttetéseit egyszerőbb Peer-to-Peer (egyenrangú) Optikai VPN Más jellegő megvalósítás: erıforrás felosztás A hálózati csomópontakat és összeköttetéseket elıre felosztják a VPN-ek között Virtuális útválasztók A VPN felhasználó látszólag egy teljes hálózatot birtokol, amihez teljeskörő hozzáférése van Közös útválasztás fut a felhasználó és a szolgáltató berendezésein A szolgáltató kiadja a fizikai topológiáját (erre nincs hajlandóság) 15 16
MPLS IP VPN MPLS IP VPN RFC 2547 alapján: A szolgáltató minden VPN-hez egyedi VPN azonosítót rendel Minden VPN interfészhez, ahol a VPN az MPLS hálózathoz csatlakozik egy-egy útazonosítót (Route Distinguisher RD) rendel MPLS felhın belül nem a csatlakozó alhálózat címét terjesztik, hanem az ún. VPN-IP címet, amely az útazonosító és alhálózat cím együttese Minden VPN interfészhez külön útválasztó tábla tartozik A VPN táblákat terjesztik az MPLS felhın belül 17 18 VPN tagok: A, C, K 1. megoldás: teljes szövevény Minden végpontot minden végponttal összekötünk: n 2 -tel arányos az élek száma Három alagút: A-C, C-K, A-K Teljesen összekötött Nem kell belsı útválasztás: a végpontok a megfelelı alagútba küldik a forgalmat Pl. MPLS 3 LSP Kényszer alapú útválasztás (nem feltétlenül min-hop) 2. megoldás: Csillag topológia Élek száma n-nel arányos Az egyik végpontot is kinevezhetjük a csillag középpontjának A központban kell útválasztás! 19 20
3. megoldás: Steiner-fa probléma (NP-nehéz) Közelítı megoldás Steiner-fa meghatározására, példa: VPN végpontok: a, c, i, k Ha nincsenek közvetlen élek a végpontokon kívül több köztes csomópont is részt vesz a VPN-ben Útválasztók az elágaztató csomópontoknál Heurisztika (gyors, de csak közelítı módszer): Minden VPN végpont párra felírjuk, hogy a fizikai hálózat alapján mi a minimális költségő út közöttük Ez alapján kapunk egy teljes szövevényt Ebben meghatározzuk a minimális feszítıfát (pl. Kruskal) A min. feszítıfát visszavezetjük az eredeti hálózatra a költségek növekvı sorrendjében http://carbon.cudenver.edu/~hgreenbe/sessions/dijkstra/dijkstraapplet.html 21 22 Közelítı megoldás Steiner-fa meghatározására Minimális költségő utak alapján a teljes szövevény: Közelítı megoldás Steiner-fa meghatározására Minimális feszítıfa a teljes szövevényre: 23 24
Közelítı megoldás Steiner-fa meghatározására A minimális feszítıfa visszavezetése az eredeti hálózatra: 25