Virtuális magánhálózat Virtual Private Network (VPN)

Hasonló dokumentumok
Virtual Private Network (VPN)

Virtual Private Networks Virtuális magánhálózatok

Min. , ha =, , ha = 0 egyébként. Forrás és cél csp-ra vonatkozó kényszerek Köztes csp-ra vonatozó, folyammegmaradási kényszer

Adott: VPN topológia tervezés. Költségmodell: fix szakaszköltség VPN végpontok

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Virtuális magánházlózatok / VPN

VIRTUÁLIS LAN ÉS VPN

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont

Testnevelési Egyetem VPN beállítása és használata

Nagybiztonságú, több telephelyes kommunikációs hálózatok

Pantel International Kft. Általános Szerződési Feltételek bérelt vonali és internet szolgáltatásra

Fábián Zoltán Hálózatok elmélet

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Hálózati Technológiák és Alkalmazások

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

A HBONE+ projekt kapcsán megjelent új hálózati lehetıségek

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

Hálózati alapismeretek

III. előadás. Kovács Róbert

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT október 29. HSNLab SINCE 1992

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

Felhő alapú hálózatok (VITMMA02) Hálózati megoldások a felhőben

Hálózati architektúrák laborgyakorlat

Forgalomirányítás (Routing)

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Számítógépes munkakörnyezet II. Szoftver

Mobile network offloading. Ratkóczy Péter Konvergens hálózatok és szolgáltatások (VITMM156) 2014 tavasz

Újdonságok Nexus Platformon

IBM i. Szerviz és támogatás 7.1

Elosztott rendszerek. Az elıadás. Az elosztott rendszer definíciója. Köztesrétegként felépülı elosztott rendszer

Számítógépes hálózatok

Egy országos IP hálózat telepítésének tapasztalatai Szolgáltató születik

Új generációs hálózatok. Bakonyi Péter c.docens

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Internet Protokoll 6-os verzió. Varga Tamás

Hálózatok. Alapismeretek. A hálózatok célja, építőelemei, alapfogalmak

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió

A WINETTOU Távközlési Szolgáltató Korlátolt Felelısségő Társaság. Internet szolgáltatásra vonatkozó Általános Szerzıdéses Feltételek

Huawei Cisco Interworking Szolgáltatói környezetben

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT november 5. HSNLab SINCE 1992

Hálózatok I. A tárgy célkitűzése

8. A WAN teszthálózatának elkészítése

Tájékoztató. Használható segédeszköz: -

6.óra Hálózatok Hálózat - Egyedi számítógépek fizikai összekötésével kapott rendszer. A hálózat működését egy speciális operációs rendszer irányítja.

Információs szupersztráda Informatika. Hálózatok. Információ- és tudásipar Globalizáció

IP alapú kommunikáció. 6. Előadás MPLS Kovács Ákos

Internet ROUTER. Motiváció

A Magyar Telekom Nyrt. Általános szerződési feltételei IP Complex Plusz szolgáltatásra...1

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

A HBONE+ projekt kapcsán megjelent új hálózati lehetőségek

Hálózati alapismeretek

NIIF program és HBONE+ projekt mit nyújthat a kutatói és felsőoktatási hálózat

1. Mit jelent a /24 címmel azonosított alhálózat?

Advanced PT activity: Fejlesztési feladatok

Az intézményi hálózathoz való hozzáférés szabályozása

Hálózatok II. A hálózati réteg funkciói, szervezése

17. IPv6 áttérési technikák

Hálózati topológiák. Gerinchálózatok. Hálózati topológiák. Topológia mérıszámok

Szolgáltatások és alkalmazások (VITMM131)

Építsünk IP telefont!

Riverbed Sávszélesség optimalizálás

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

Információs szupersztráda Informatika. Információrobbanás. Információpolitika. Hálózatok ICT (IKT) Kibertér. Információs- és tudás társadalom

Hotspot környezetek gyakorlata

Tájékoztató. Értékelés. 100% = 100 pont A VIZSGAFELADAT MEGOLDÁSÁRA JAVASOLT %-OS EREDMÉNY: EBBEN A VIZSGARÉSZBEN A VIZSGAFELADAT ARÁNYA 40%.


Broadcast és Multicast. Számítógépes Hálózatok és Internet Eszközök. Multicasting. IP Multicast Címek

Vezetékes adat és internet szolgáltatások nyújtására vonatkozó Üzleti Általános Szerződési Feltételek. 1. számú Díjszabás Melléklet

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Symantec Firewall/VPN Appliance

HÁLÓZATOK I. Segédlet a gyakorlati órákhoz. Készítette: Göcs László mérnöktanár KF-GAMF Informatika Tanszék tanév 1.

Hálózati ismeretek. Az együttműködés szükségessége:

Hálózati architektúrák laborgyakorlat

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

HÁLÓZATI ISMERETEK GNS 3

A számítógép-hálózat egy olyan speciális rendszer, amely a számítógépek egymás közötti kommunikációját biztosítja.

Ethernet. Hozzáférési hálózatoktechnológiák. Moldován István. Department of Telecommunications and Media Informatics

A Jövő Internete - általános tervezési ajánlások

IP biztonság 2. rész

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt.

Felhő alapú hálózatok (VITMMA02) Hálózat virtualizálás: Overlay hálózatok OpenStack Neutron Networking

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. Kocsis Gergely, Supák Zoltán

ÚTMUTATÓ AZ ÜZLETI INTERNETKAPCSOLATRÓL

Számítógép hálózatok

Hálózatkezelés: Távoli elérés szolgáltatások - PPP kapcsolatok

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

2008 IV. 22. Internetes alkalmazások forgalmának mérése és osztályozása. Április 22.

SZÁMÍTÓGÉP-HÁLÓZATOK

Számítógép hálózatok 3. gyakorlat Packet Tracer alapok M2M Statusreport 1

Segesdi Dániel. OpenNebula. Virtualizációs technológiák és alkalmazásaik BMEVIMIAV ősz

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

IP multicast routing napjainkban. Jákó András BME EISzK

Hálózati szolgáltatások OpenStack környezetben

Távközlési informatika II.

routing packet forwarding node routerek routing table

Átírás:

Virtuális magánhálózat Virtual Private Network (VPN) Maliosz Markosz 10. elıadás 2008.03.12. Bevezetés VPN = Látszólagos magánhálózat Több definíció létezik Lényeges tulajdonságok: Biztonságos kommunikáció Zárt felhasználói csoport Erıforrásainak megosztására képes közös hálózaton Látszólagos magánhálózat a nyilvános fizikai hálózat felett A fizikai hálózat jellemzıen egy nagy gerinchálózat, e fölött alakítunk ki kisebb hálózatokat, és ezeket bocsájtja át a szolgáltató a felhasználóknak Összeköthet Távoli klienst a cég belsı hálózatával (pl. távmunka) LAN-okat pl. egy cég több telephellyel a telephelyek között legyen közvetlen hálózati kapcsolat, de mégis le legyen választva az Internetrıl 1 2 VPN elınyei Egyszerőbb kialakítani, mint a fizikait nem kell kábelezni egyszerően csak konfiguráljuk gyorsan kialakítható rugalmasság egy fizikai hálózat felett sok különbözı virtuális hálózatot lehet kialakítani Végfelhasználók számára ugyanúgy néz ki, mintha egy magánhálózat lenne A VPN-bıl nem látszik a külsı forgalom Mások nem látják a VPN forgalmát Erıforrás foglalás dinamikusan változtatható VPN elınyei Pl. ha a felhasználó azt mondja, hogy egy szakaszon 155Mbps helyett szeretne 622Mbps-ot, akkor nem kell az interfész kártyákat cserélni, nem kell újra lefektetni a vezetéket, hanem egyszerően csak átkonfigurálni. (Természetesen ehhez szükséges, hogy legyen elegendı szabad sávszélesség!) Költségmegtakarítás Nem kell nagytávolságú bérelt vonalat fizetni, mivel a nyilvános hálózati infrastruktúrát használjuk Nem a felhasználó foglalkozik a hálózat menedzsmentjével, hanem a szolgáltató 3 4

VPN forgalmi modellek VPN forgalmi modellek Pipe (csıvezeték) modell Végpont-végpont közötti forgalom nagysága egyenként Forgalmi mátrix Hose modell A felhasználó felülete (interface) a hálózat felé Egy végpont összes, aggregált bejövı és kimenı forgalma a többi végpont felé rugalmasság Hose modell elınyei a felhasználó szempontjából: Könnyebb megadni (egy /vagy kettı/ bitsebesség végpontonként) Összefogja az összes többi VPN végpont felé menı forgalmat Sávszélességet takaríthat meg a Pipe modellhez képest Viszont: a megvalósítása nagyobb feladat a szolgáltatónak! N. G. Duffield, Pawan Goyal, Albert Greenberg, K. K. Ramakrishnan, and Jacoubs E. van der Merwe, "A flexible model for resource management 5 in virtual private networks," in Proceedings of SIGCOMM, Aug. 1999. 6 Osztályozás Melyik rétegben valósítjuk meg? 1. réteg: pl. optikai VPN (OVPN) 2. réteg: pl. ATM, FR 3. réteg: pl. IPSec Felhasználó/szolgáltató szerepe PE vagy hálózat alapú CE alapú Osztályozás Kapcsolat szempontjából: Kapcsolatorientált Pont-pont összeköttetések a végpontok között Teljes vagy részleges szövevény Nem kapcsolatorientált Nincs elıre definiált logikai összeköttetés a végpontok között Peer-to-peer modell 7 8

Alagút technika (tunneling) Úgynevezett alagutakban halad a forgalom a VPN végpontjai között a nyilvános hálózat felett Ezzel biztosítjuk, hogy a VPN forgalma külön lesz választva A többi VPN forgalmától Egyéb forgalmaktól Végberendezések lehetnek pl.: IP útválasztó MPLS útválasztó IP switch VPN protokollok Alagút technika megvalósítása: becsomagolás, beágyazás, bekeretezés (encapsulation) Az egyik protokollcsomagot egy másik protokollcsomagba ágyazzuk Pl. IP over IP: Csomag kiegészül egy új fejléccel Belsı IP cím nem látszik: cím újrahasznosítás Kiemelt funkciók: Hitelesítés (authentication): a felhasználók beazonosítása Titkosítás (encryption): adat elrejtés 9 10 VPN protokollok Point-to Point Tunneling Protocol (PPTP) 2. réteg Nem csak IP protokollokat támogat 3 Nincs egységes hitelesítés és titkosítás Layer Two Tunneling Protocol (L2TP) 2. réteg Nem csak IP protokollokat támogat 3 Nincs egységes hitelesítés és titkosítás Multi Protocol Label Switching (MPLS) 2./3. réteg Forgalom elkülönítése alagút technika nélkül: egyszerőbb a VPN szolgáltatás üzembe helyezése Skálázható: nem kell egyesével virtuális pont-pont összeköttetéseket kialakítani VPN protokollok Generic Routing Encapsulation (GRE) 3.réteg Általános pont-pont alagút protokoll 3 Nincs titkosítás Internet Protocol Security (IPSec) 3.réteg Nagyon biztonságos Lehet teljes VPN megoldásként használni vagy csak mint titkosítás pl. PPTP-ben Elrejti az IP címet is SOCKS Network Security Protocol 5. réteg (viszony) Lehetséges a VPN forgalmat meghatározott alkalmazásokra korlátozni 3 Szükséges szoftver telepíteni a kliensekhez 3 Be kell konfigurálni a SOCKS proxy szervereket 11 12

VPN termékek Megvalósítás szerint: Hardver alapú: Leginkább útválasztók, amelyek titkosítanak Általában a szerver oldalon Szoftver alapú: Számítógépen fut, az egyedi viszonyokhoz kell igazítani Általában kliens oldalon Hálózati környezet szerint: Interneten nincs szolgáltatás garancia Nincs erıforrás-foglalás Torlódások, útválasztó meghibásodások miatt Egy szolgáltató hálózatán Minıségbiztosítás megoldható A VPN felhasználó Optikai VPN rendelkezik az optikai sávszélességgel dedikált optikai csatornák: VPλN Sávszélességek: 155 Mbps, 622 Mbps, 2.5 Gbps, 10 Gbps menedzseli az optikai összeköttetéseket anélkül, hogy saját fizikai hálózata lenne 13 14 Modellek: Overlay (lefedı) Optikai VPN Pont-pont összeköttetések A felhasználó feladata a VPN megtervezése A szolgáltató mindössze a felhasználó rendelkezésére bocsátja az optikai összeköttetéseit egyszerőbb Peer-to-Peer (egyenrangú) Optikai VPN Más jellegő megvalósítás: erıforrás felosztás A hálózati csomópontakat és összeköttetéseket elıre felosztják a VPN-ek között Virtuális útválasztók A VPN felhasználó látszólag egy teljes hálózatot birtokol, amihez teljeskörő hozzáférése van Közös útválasztás fut a felhasználó és a szolgáltató berendezésein A szolgáltató kiadja a fizikai topológiáját (erre nincs hajlandóság) 15 16

MPLS IP VPN MPLS IP VPN RFC 2547 alapján: A szolgáltató minden VPN-hez egyedi VPN azonosítót rendel Minden VPN interfészhez, ahol a VPN az MPLS hálózathoz csatlakozik egy-egy útazonosítót (Route Distinguisher RD) rendel MPLS felhın belül nem a csatlakozó alhálózat címét terjesztik, hanem az ún. VPN-IP címet, amely az útazonosító és alhálózat cím együttese Minden VPN interfészhez külön útválasztó tábla tartozik A VPN táblákat terjesztik az MPLS felhın belül 17 18 VPN tagok: A, C, K 1. megoldás: teljes szövevény Minden végpontot minden végponttal összekötünk: n 2 -tel arányos az élek száma Három alagút: A-C, C-K, A-K Teljesen összekötött Nem kell belsı útválasztás: a végpontok a megfelelı alagútba küldik a forgalmat Pl. MPLS 3 LSP Kényszer alapú útválasztás (nem feltétlenül min-hop) 2. megoldás: Csillag topológia Élek száma n-nel arányos Az egyik végpontot is kinevezhetjük a csillag középpontjának A központban kell útválasztás! 19 20

3. megoldás: Steiner-fa probléma (NP-nehéz) Közelítı megoldás Steiner-fa meghatározására, példa: VPN végpontok: a, c, i, k Ha nincsenek közvetlen élek a végpontokon kívül több köztes csomópont is részt vesz a VPN-ben Útválasztók az elágaztató csomópontoknál Heurisztika (gyors, de csak közelítı módszer): Minden VPN végpont párra felírjuk, hogy a fizikai hálózat alapján mi a minimális költségő út közöttük Ez alapján kapunk egy teljes szövevényt Ebben meghatározzuk a minimális feszítıfát (pl. Kruskal) A min. feszítıfát visszavezetjük az eredeti hálózatra a költségek növekvı sorrendjében http://carbon.cudenver.edu/~hgreenbe/sessions/dijkstra/dijkstraapplet.html 21 22 Közelítı megoldás Steiner-fa meghatározására Minimális költségő utak alapján a teljes szövevény: Közelítı megoldás Steiner-fa meghatározására Minimális feszítıfa a teljes szövevényre: 23 24

Közelítı megoldás Steiner-fa meghatározására A minimális feszítıfa visszavezetése az eredeti hálózatra: 25

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés