Плюсы и минусы - Разработка корпоративной сети на основе технологий xDSL

Недостаток приведенной схемы состоит в том, что возрастает нагрузка на сетевое оборудование вследствие троекратного прохода одного и того же трафика через коммутатор локальной сети и маршрутизатор: в первый раз от клиента к маршрутизатору с исходными адресами отправителя и получателя, во второй раз от маршрутизатора к шифратору, и, наконец, в третий раз инкапсулированный трафик, опять же через коммутатор, попадает на маршрутизатор. В незагруженных сетях наверняка проще создать такие списки доступа условной маршрутизации, чтобы весь трафик для удаленного офиса следовал через шифратор. В сильно загруженных сетях разумнее использовать максимум возможностей маршрутизатора по написанию списков доступа с правилами условной маршрутизации, так как очевидно, что в шифровании нуждается далеко не весь межсетевой трафик: к примеру, трафик SSH сам по себе уже зашифрован, и повторное шифрование возлагает лишнюю нагрузку на сетевое оборудование.

У данного подхода есть еще одно неоспоримое преимущество -- это большая устойчивость сети в целом по сравнению с подключением шифратора на "горло" локальной сети. В частности, протоколы динамической маршрутизации позволяют определить доступность интерфейсов шифратора и автоматически перестроить таблицу маршрутизации в случае выхода из строя одного из интерфейсов либо шифратора в целом. Никакой инкапсуляции проводиться не будет, так что офисы компании станут доступны друг другу по сети. Но подобное решение имеет одну очень неприятную особенность: если администратор не узнает об изменении таблиц маршрутизации, то передаваемый в открытом виде трафик может оказаться скомпрометированным. На такой случай нужно предусмотреть схему оповещения администратора.

Может показаться, что при статической маршрутизации схема параллельного включения шифратора в сеть ничем не отличается от схемы его подключения на "горло" сети, так как связь все равно пропадет, но это не так. Откат конфигурации маршрутизатора (хотя бы даже удаленно) осуществить гораздо проще, чем физически перекоммутировать оборудование на непосредственную маршрутизацию. У такого подхода есть свои плюсы -- о защите трафика несложно позаботиться еще до того, как он попадет в среду передачи данных, где может произойти его компрометация.

Работа шифраторов может контролироваться очень просто: в том же сегменте сети, где установлен шифратор, может быть размещена машина под управлением Linux с установленной на ней программой tcpdump. На порту коммутатора, к которому подключен шифратор, может быть включена функция мониторинга. Трафик дублируется на порт коммутатора, к которому подключена машина под управлением Linux с программой tcpdump. Сетевой интерфейс машины может быть переведен в режим приема всех пакетов (promiscuous mode). Tcpdump может быть настроен так, чтобы отслеживать только пакеты, у которых адреса источника и получателя принадлежат к виртуальным сетям шифраторов. Таким образом, видно, что пакеты инкапсулируются, а их содержимое зашифровано.

Естественно, разработанная схема подключения не является единственно возможной и наверняка в каждом конкретном случае можно создать другую, в большей степени отвечающую нуждам организации. Однако эта схема имеет универсальность и является типовым решением для организации VPN для корпоративной сети.

Похожие статьи




Плюсы и минусы - Разработка корпоративной сети на основе технологий xDSL

Предыдущая | Следующая