Virtual Private Network (VPN)

Hasonló dokumentumok
Virtuális magánhálózat Virtual Private Network (VPN)

Virtual Private Networks Virtuális magánhálózatok

Min. , ha =, , ha = 0 egyébként. Forrás és cél csp-ra vonatkozó kényszerek Köztes csp-ra vonatozó, folyammegmaradási kényszer

Adott: VPN topológia tervezés. Költségmodell: fix szakaszköltség VPN végpontok

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Virtuális magánházlózatok / VPN

VIRTUÁLIS LAN ÉS VPN

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont

Fábián Zoltán Hálózatok elmélet

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Testnevelési Egyetem VPN beállítása és használata

Nagybiztonságú, több telephelyes kommunikációs hálózatok

Hálózati Technológiák és Alkalmazások

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

A HBONE+ projekt kapcsán megjelent új hálózati lehetıségek

Felhő alapú hálózatok (VITMMA02) Hálózati megoldások a felhőben

Hálózati alapismeretek

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT október 29. HSNLab SINCE 1992

Forgalomirányítás (Routing)

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

Pantel International Kft. Általános Szerződési Feltételek bérelt vonali és internet szolgáltatásra

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Egy országos IP hálózat telepítésének tapasztalatai Szolgáltató születik

IBM i. Szerviz és támogatás 7.1

Hálózati architektúrák laborgyakorlat

Huawei Cisco Interworking Szolgáltatói környezetben

Számítógépes hálózatok

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Internet Protokoll 6-os verzió. Varga Tamás

8. A WAN teszthálózatának elkészítése

Számítógépes munkakörnyezet II. Szoftver

Újdonságok Nexus Platformon

Információs szupersztráda Informatika. Hálózatok. Információ- és tudásipar Globalizáció

A WINETTOU Távközlési Szolgáltató Korlátolt Felelısségő Társaság. Internet szolgáltatásra vonatkozó Általános Szerzıdéses Feltételek

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Az intézményi hálózathoz való hozzáférés szabályozása


Hálózati alapismeretek

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT november 5. HSNLab SINCE 1992

A HBONE+ projekt kapcsán megjelent új hálózati lehetőségek

Mobile network offloading. Ratkóczy Péter Konvergens hálózatok és szolgáltatások (VITMM156) 2014 tavasz

NIIF program és HBONE+ projekt mit nyújthat a kutatói és felsőoktatási hálózat

Építsünk IP telefont!

Hálózatok. Alapismeretek. A hálózatok célja, építőelemei, alapfogalmak

Tájékoztató. Használható segédeszköz: -

III. előadás. Kovács Róbert

IP alapú kommunikáció. 6. Előadás MPLS Kovács Ákos

A Magyar Telekom Nyrt. Általános szerződési feltételei IP Complex Plusz szolgáltatásra...1

Hotspot környezetek gyakorlata

ÚTMUTATÓ AZ ÜZLETI INTERNETKAPCSOLATRÓL

IP biztonság 2. rész

Symantec Firewall/VPN Appliance

17. IPv6 áttérési technikák

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

IP multicast routing napjainkban. Jákó András BME EISzK

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió

Szolgáltatások és alkalmazások (VITMM131)

Internet ROUTER. Motiváció

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Segesdi Dániel. OpenNebula. Virtualizációs technológiák és alkalmazásaik BMEVIMIAV ősz

Új generációs hálózatok. Bakonyi Péter c.docens

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

1. Mit jelent a /24 címmel azonosított alhálózat?

Advanced PT activity: Fejlesztési feladatok

Lajber Zoltán. Bevezetés

Hálózatkezelés: Távoli elérés szolgáltatások - PPP kapcsolatok

13. gyakorlat Deák Kristóf

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

a.) Internet-hozzáférési szolgáltatás, tartalom-meghatározás és előfizetési díj:

Számítógép hálózatok, osztott rendszerek 2009

e SZKÖZÖK és ami mögöttük

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. Kocsis Gergely, Supák Zoltán

Felhő alapú hálózatok (VITMMA02) Hálózat virtualizálás: Overlay hálózatok OpenStack Neutron Networking

Hálózatok I. A tárgy célkitűzése

routing packet forwarding node routerek routing table

Számítógépes Hálózatok ősz Hálózati réteg IP címzés, ARP, Circuit Switching, Packet Switching

Mobil Internet és a tesztelésére szolgáló infrastruktúra

Tájékoztató. Értékelés. 100% = 100 pont A VIZSGAFELADAT MEGOLDÁSÁRA JAVASOLT %-OS EREDMÉNY: EBBEN A VIZSGARÉSZBEN A VIZSGAFELADAT ARÁNYA 40%.

HÁLÓZATI ISMERETEK GNS 3

Hálózatok II. A hálózati réteg funkciói, szervezése

Számítógép hálózatok

A Magyar Telekom Nyrt. Üzleti Általános Szerződési Feltételeinek

A Jövő Internete - általános tervezési ajánlások

Broadcast és Multicast. Számítógépes Hálózatok és Internet Eszközök. Multicasting. IP Multicast Címek

Hálózati architektúrák laborgyakorlat

IPv6 Elmélet és gyakorlat

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

1: Bevezetés: Internet, rétegmodell Alapok: aszimptótika, gráfok. HálózatokII, 2007

HÁLÓZATOK I. Segédlet a gyakorlati órákhoz. Készítette: Göcs László mérnöktanár KF-GAMF Informatika Tanszék tanév 1.

Hálózati ismeretek. Az együttműködés szükségessége:

SZÁMÍTÓGÉP-HÁLÓZATOK

Forgalmi grafikák és statisztika MRTG-vel

Vezetékes adat és internet szolgáltatások nyújtására vonatkozó Üzleti Általános Szerződési Feltételek. 1. számú Díjszabás Melléklet

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

Részletes tantárgyprogram és követelményrendszer

Átírás:

Hálózatok tervezése VITMM215 Virtuális magánh nhálózat Virtual Private Network (VPN) Dr. Maliosz Markosz elıad adás 2009.10. 0.06. 2 Bevezetés VPN = Látszólagos magánh nhálózat Több definíci ció létezik Lényeges tulajdonságok: Biztonságos kommunikáci ció Zárt felhasználói i csoport Erıforr forrásainak megosztására képes k közös k s hálózatonh Látszólagos magánh nhálózat a nyilvános nos fizikai hálózat h felett A fizikai hálózat h jellemzıen en egy nagy gerinchálózat, e fölött f alakítunk ki kisebb hálózatokat, h és s ezeket bocsájtja át t a szolgáltat ltató a felhasználóknak Összeköthet Távoli klienst a cég c g belsı hálózatával (pl. távmunka) t LAN-okat pl. egy cég c g több t telephellyel a telephelyek között k legyen közvetlen k hálózati h kapcsolat, de mégis m le legyen választva v az Internetrıl VPN elınyei Egyszerőbb kialakítani, mint a fizikait nem kell kábeleznik egyszerően en csak konfiguráljuk gyorsan kialakíthat tható rugalmasság egy fizikai hálózat h felett sok különbk nbözı virtuális hálózatot lehet kialakítani Végfelhasználók k számára ugyanúgy néz n z ki, mintha egy magánh nhálózat lenne A VPN-bıl nem látszik l a külsk lsı forgalom Mások nem látjl tják k a VPN forgalmát 3 4

VPN elınyei Erıforr forrás s foglalás dinamikusan változtathatv ltoztatható Pl. ha a felhasználó azt mondja, hogy egy szakaszon 155Mbps helyett szeretne 622Mbps-ot, akkor nem kell az interfész kártyk rtyákat cserélni, nem kell újra lefektetni a vezetéket, hanem egyszerően en csak átkonfigurálni. (Természetesen ehhez szüks kséges, hogy legyen elegendı szabad sávszs vszélesség!) Költségmegtakarítás Nem kell nagytávols volságú bérelt vonalat fizetni, mivel a nyilvános nos hálózati h infrastruktúrát t használjuk Nem a felhasználó foglalkozik a hálózat h menedzsmentjével, hanem a szolgáltat ltató VPN forgalmi modellek Pipe (csıvezet vezeték) modell Végpont-végpont közötti k forgalom nagysága ga egyenként nt Forgalmi mátrixm Hose modell A felhasználó felülete lete (interface)) a hálózat h felé Egy végpont v összes, aggregált bejövı és s kimenı forgalma a többi t végpont v felé rugalmasság 5 N. G. Duffield, Pawan Goyal, Albert Greenberg, K. K. Ramakrishnan, and Jacoubs E. van der Merwe, "A flexible model for resource management 6 in virtual private networks," in Proceedings of SIGCOMM, Aug. 1999. VPN forgalmi modellek Hose modell elınyei a felhasználó szempontjából: Könnyebb megadni (egy /vagy kettı/ / bitsebesség végpontonként) nt) Összefogja az összes többi t VPN végpont v felé menı forgalmat Sávszélességet takaríthat that meg a Pipe modellhez képest Viszont: a megvalósítása sa nagyobb feladat a szolgáltat ltatónak! Osztályoz lyozás Melyik rétegben r valósítjuk meg? 1. réteg: r pl. optikai VPN (OVPN) 2. réteg: r pl. ATM, FR 3. réteg: r pl. IPSec Felhasználó/szolg /szolgáltató szerepe PE vagy hálózat h alapú CE alapú 7 8

Alagút t technika (tunneling( tunneling) Úgynevezett alagutakban halad a forgalom a VPN végpontjai v között k a nyilvános nos hálózat h felett Ezzel biztosítjuk, tjuk, hogy a VPN forgalma külön k n lesz választva A többi t VPN forgalmától Egyéb b forgalmaktól Végberendezések lehetnek pl.: IP útválasztó MPLS útválasztó IP switch VPN protokollok Alagút t technika megvalósítása: sa: becsomagolás, s, beágyaz gyazás, bekeretezés s (encapsulation( encapsulation) Az egyik protokollcsomagot egy másik m protokollcsomagba ágyazzuk Pl. IP over IP: Csomag kiegész szül l egy új j fejléccel Belsı IP cím c m nem látszik: l cím c újrahasznosítás Kiemelt funkciók: k: Hitelesítés s (authentication( authentication): a felhasználók beazonosítása sa Titkosítás s (encryption( encryption): adat elrejtés 9 10 VPN protokollok Point-to Point Tunneling Protocol (PPTP) 2. réteg Nem csak IP protokollokat támogat Nincs egységes hitelesítés és titkosítás Layer Two Tunneling Protocol (L2TP) 2. réteg Nem csak IP protokollokat támogat Nincs egységes hitelesítés és titkosítás Multi Protocol Label Switching (MPLS) 2./3. réteg Forgalom elkülönítése alagút technika nélkül: egyszerőbb a VPN szolgáltatás üzembe helyezése Skálázható: nem kell egyesével virtuális pont-pont összeköttetéseket kialakítani VPN protokollok Generic Routing Encapsulation (GRE) 3.réteg Általános pont-pont alagút protokoll Nincs titkosítás Internet Protocol Security (IPSec) 3.réteg Nagyon biztonságos Lehet teljes VPN megoldásként használni vagy csak mint titkosítás pl. PPTP-ben Elrejti az IP címet is SOCKS Network Security Protocol 5. réteg (viszony) Lehetséges a VPN forgalmat ott alkalmazásokra korlátozni Szükséges szoftver telepíteni a kliensekhez Be kell konfigurálni a SOCKS proxy szervereket 11 12

Megvalósítás s szerint: Hardver alapú: VPN termékek Leginkább útválasztók, amelyek titkosítanak tanak Általában a szerver oldalon Szoftver alapú: Számítógépen fut, az egyedi viszonyokhoz kell igazítani Általában kliens oldalon Hálózati környezet k szerint: Interneten nincs szolgáltat ltatás s garancia Nincs erıforr forrás-foglalás Torlódások, útválasztó meghibásod sodások sok miatt Egy szolgáltat ltató hálózatán Minıségbiztos gbiztosítás s megoldható Optikai VPN A VPN felhasználó rendelkezik az optikai sávszs vszélességgel dedikált optikai csatornák: VPλN Sávszélességek: 155 Mbps,, 622 Mbps,, 2.5 Gbps, 10 Gbps menedzseli az optikai összeköttetéseket anélk lkül, l, hogy saját t fizikai hálózata h lenne 13 14 Modellek: Overlay (lefedı) Optikai VPN Pont-pont összeköttetések A felhasználó feladata a VPN megtervezése A szolgáltat ltató mindössze a felhasználó rendelkezésére bocsátja az optikai összeköttetéseit egyszerőbb Peer-to to-peer (egyenrangú) Közös útválasztás s fut a felhasználó és s a szolgáltat ltató berendezésein A szolgáltat ltató kiadja a fizikai topológi giáját t (erre nincs hajlandóság) Optikai VPN Más s jellegő megvalósítás: s: erıforr forrás felosztás A hálózati h csomópontakat és összeköttetéseket elıre felosztják k a VPN-ek között Virtuális útválasztók A VPN felhasználó látszólag egy teljes hálózatot birtokol, amihez teljeskörő hozzáférése van 15 16

MPLS IP VPN MPLS IP VPN RFC 2547 alapján: A szolgáltat ltató minden VPN-hez egyedi VPN azonosítót t rendel Minden VPN interfészhez, ahol a VPN az MPLS hálózathoz h csatlakozik egy-egy útazonosítót t (Route( Distinguisher RD) rendel MPLS felhın n belül l nem a csatlakozó alhálózat címét terjesztik, hanem az ún. VPN-IP címet, c amely az útazonosító és alhálózat cím m együttese Minden VPN interfészhez külön k útválasztó tábla tartozik A VPN táblt blákat terjesztik az MPLS felhın n belül 17 18 VPN tagok: A, C, K 1. megoldás: teljes szövev vevény Minden végpontot v minden végponttal összekötünk: n 2 -tel arányos az élek száma Három alagút: A-C, A C-K, C A-KA Teljesen összekötötttt Nem kell belsı útválasztás: s: a végpontok a megfelelı alagútba küldik k a forgalmat Pl. MPLS 3 LSP Kényszer alapú útválasztás s (nem feltétlen tlenül min- hop) 19 2. megoldás: Csillag topológia Élek száma n-nel n nel arányos Az egyik végpontot v is kinevezhetjük k a csillag középpontjánaknak A központban k kell útválasztás! s! 20

3. megoldás: Steiner-fa probléma (NP( NP-nehéz) Ha nincsenek közvetlen k élek a végpontokon v kívül k l több t köztes k csomópont is részt r vesz a VPN-ben Útválasztók k az elágaztat gaztató csomópontokn pontoknál Heurisztika (gyors, de csak közelk zelítı módszer): Minden VPN végpont v párra p felírjuk, hogy a fizikai hálózat h alapján n mi a minimális költsk ltségő út t közöttk ttük Ez alapján n kapunk egy teljes szövev vevényt Ebben zuk a minimális feszítıfát t (pl. Kruskal) A min. feszítıfát t visszavezetjük k az eredeti hálózatra h a költségek növekvn vekvı sorrendjében rozására, ra, példa: VPN végpontok: v a, c, i, k http://carbon.cudenver.edu/~hgreenbe/sessions/dijkstra/dijkstraapplet.html pplet.html 21 22 rozására ra Minimális költsk ltségő utak alapján n a teljes szövev vevény: rozására ra Minimális feszítıfa fa a teljes szövev vevényre: 23 24

rozására ra A minimális feszítıfa fa visszavezetése se az eredeti hálózatra: Másik közelítı módszer Steiner-fa rozásárara Az eredeti gráfban a minimális feszítıfa fa rozása (pl. Kruskal mohó algoritmussal) Ebbıl l az elhagyható élek eltávol volításával val megkapjuk a Steiner-fa közelítést 25 26

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés