Туннелирование – это процесс инкапсуляции одного типа пакета внутри другого с целью получения некоторого преимущества при его транспортировке. Например, туннелирование можно использовать, чтобы послать широковещательный трафик через маршрутизируемую сетевую среду или трафик протокола NetBEUI через сеть Интернет, или чтобы применить шифрование для обеспечения безопасности IP-пакетов. Использование технологии туннелирования в качестве средства шифрования можно проиллюстрировать на примере виртуальной частной сети типа шлюз-шлюз. На рис. 14 представлены две сети связанные через виртуальную частную сеть, которая располагается между двумя брандмауэрами.
В приведенном примере брандмауэр переводит все пакеты, предназначенные для удаленной сети, в зашифрованный вид и добавляет к ним новый IP-заголовок со своим собственным IP-адресом в качестве адреса отправителя и адресом удаленного брандмауэра в качестве IP-адреса получателя пакета. Шифрование скрывает фактическую информацию IP-заголовка оригинального пакета. Когда удаленный брандмауэр получает пакет, он расшифровывает его снова в первоначальный вид и передает узлу сети, для которого он изначально предназначался. Виртуальный сегмент сети, создаваемый между двумя шлюзовыми оконечными точками, называют туннелем (tunnel). Узлы сети не имеют ни малейшего представления ни о том, что пакеты зашифровывались, ни о том, что их посылали через общественную сеть. При этом от узлов сети не требуется ни наличия специального программного обеспечения, ни дополнительной настройки. Все, что должно присутствовать, так это пакет, предназначенный для узла удаленной подсети и процесс, полностью контролируемый шлюзовыми устройствами.
Несмотря на то, что при использовании процесса туннелирования системные IP-адреса узлов сети замаскированы от внешнего мира, они все же не обладают полной анонимностью. Поскольку доступны IP-адреса шлюзовых устройств, то подслушивающие все еще могут определить, кто с кем поддерживает связь.
Виртуальный туннель
Применение шифрования, инкапсуляции и туннелирования не обеспечивает недоступность отправляемых пакетов. Пакеты все еще могут собираться и анализироваться. Однако если используется должным образом реализованный, адекватно сильный алгоритм шифрования, то содержимое пакетов находится в безопасности.
Достоинства VPN.
Главной выгодой от использования виртуальной частной сети для удаленного доступа можно считать совокупность стоимостной эффективности возможного использования общественной сетевой среды для транспортирования частной информации и достижение высокого уровня безопасности. Виртуальная частная сеть (VPN) может предоставить множество уровней безопасности в общедоступной сетевой среде, включая усовершенствование конфиденциальности, целостности и аутентификации. Поскольку виртуальная частная сеть использует существующую сетевую инфраструктуру, ее можно реализовать без промедления, не ожидая прокладки линий связи или других факторов, которые обычно сдерживают подобные проекты. Если виртуальные частные сети используются для подключения удаленных пользователей, то они могут предложить безопасное и более рентабельное решение "дорожному воину". Этим способом люди, нуждающиеся в удаленном доступе, могут использовать в своих интересах местный доступ к Интернет везде, где бы они ни находились, вместо того, чтобы делать дорогостоящие междугородные звонки. Комбинация безопасности, быстрой установки и рентабельности с точки зрения стоимости может сделать виртуальную частную сеть превосходным коммуникационным решением.
Недостатки виртуальной частной сети.
Несмотря на все свои положительные стороны, виртуальные частные сети не избавлены от недостатков. Нужно взвесить множество факторов, чтобы подтвердить то, что виртуальная частная сеть является подходящим решением для сетевой среды. Использование шифрования вызывает дополнительную сетевую нагрузку, которая, наиболее вероятно, не сможет быть обработана существующими шлюзовыми устройствами или другим оборудованием, поэтому эти аппаратные средства должны быть закуплены дополнительно. Встраивание виртуальной частной сети в существующую сеть может также быть в некоторых сетевых средах сложной задачей из-за дополнительных накладных расходов на пакет. Существуют определенные проблемы с проектированием виртуальных частных сетей, которыми новичок (так же, как и посредники), вероятно, не захочет заниматься самостоятельно. А проблема ликвидации конфликтов формируемого трафика может бросить вызов даже самым опытным практикам.