Allen:

Что такое VPN
Главная черта технологии VPN - использование Интернета в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN решают задачи подключения корпоративного пользователя к удаленной сети и соединения нескольких ЛВС. Структура виртуальной сети обязательно включает в себя каналы глобальной сети, защищенные протоколы и маршрутизаторы.

Для объединения удаленных ЛВС в виртуальную сеть используются так называемые виртуальные выделенные каналы. Для организации подобных соединений применяется механизм туннелирования. Инициатор туннеля инкапсулирует пакеты локальной сети (в том числе пакеты немаршрутизируемых протоколов) в IP-пакеты, содержащие в заголовке адреса инициатора и терминатора туннеля. Терминатор туннеля извлекает исходный пакет.

Как уже отмечалось, при подобной передачи требуется решать проблему конфиденциальности и целостности данных, что не обеспечивается простым туннелированием. Конфиденциальность передаваемой корпоративной информации достигается шифрованием (алгоритм, разумеется, одинаков на обоих концах туннеля).

Возможность построения VPN на оборудовании и ПО различных производителей достигается внедрением некоторого стандартного механизма. Таким механизмом выступает протокол Internet Protocol Security (IPSec), он описывает все стандартные методы VPN. Этот протокол IPSec определяет методы идентификации при инициализации туннеля, методы шифрования в конечных точках туннеля и механизмы обмена и управления ключами шифрования между этими точками. Из недостатков этого протокола следует отметить его ориентированность исключительно на IP-протокол.

В числе других механизмов построения VPN можно назвать протоколы PPTP (Point-to-Point Tunneling Protocol), разработанный компаниями Ascend Communications и 3Com, L2F (Layer-2 Forwarding) компании Cisco Systems и L2TP (Layer-2 Tunneling Protocol), объединивший оба вышеназванных протокола. Однако эти протоколы, в отличии от IPSec, нельзя назвать полнофункциональными (например PPTP не определяет метод шифрования), поэтому мы, в основном, будем ориентироваться на IPSec.

Говоря об IPSec, необходимо упомянуть протокол IKE (Internet Key Exchange), позволяющий защитить передаваемую информацию от вмешательства извне. Этот протокол решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами, тогда как IPSec кодирует и подписывает пакеты. Протокол IKE, основанный на алгоритме шифрования открытым ключом, автоматизирует обмен ключами и устанавливает безопасное соединение. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.