Asynchronous Transfer Mode Projektování distribuovaných systémů Lekce 1 Ing. Jiří ledvina, CSc

Úvod Architektura ATM Signalizace a adresování Směrování Propojení ATM a existujících LAN – LAN emulace Nativní režimy ATM Multiprotocol over ATM 2Projektování distribuovaných systémů (84)

Úvod Základní vlastnosti ATM Spojově orientované – složitost, stavovost Signalizační protokoly – navázání spojení Adresování Směrování Kooperace s existujícími protokoly 3Projektování distribuovaných systémů (84)

Architektura ATM ATM síť – soubor přepínačů propojených dvoubodovými spoji Podporuje dva typy rozhraní UNI – User Node Interface – propojení směrovačů, hostitelských systémů s ATM přepínači NNI – Network Node Interface – vzájemné propojení přepínačů 4Projektování distribuovaných systémů (84)

Architektura ATM 5Projektování distribuovaných systémů (84)

ATM spojení Propojení virtuálními okruhy Virtuální cesty (virtual path) – VPI (identifikátor) Virtuální kanály (virtual channel) – VCI (identifikátor) Virtuální cesta – obsahuje více virtuálních kanálů Přepínání virtuálních cest Přepínání virtuálních kanálů VPI a VCI mají pouze lokální význam (vztahují se k lince) 6Projektování distribuovaných systémů (84)

ATM přepínač 7Projektování distribuovaných systémů (84)

ATM přepínání 8Projektování distribuovaných systémů (84)

Typy spojení PVC - Permanent Virtual Circult VPI/VCI nastavováno administrátorem ručně SVC - Switched Virtual Circult Dynamické vytváření a rušení spojení (signalizační protokoly) Soft PVC – PVC vytvořeno manuálně na úrovni UNI Vytvořeno dynamicky mezi NNI 9Projektování distribuovaných systémů (84)

Typy spojení Spojení bod – bod Jednosměrné nebo obousměrné Spojení bod – multibod Rozeznává kořen a list (počátek, konec) Jednosměrné spojení Připojování (join) a odpojování (leave) listů k doručovacímu stromu 10Projektování distribuovaných systémů (84)

Broadcasting a Multicasting Broadcast neexistuje (pouze LAN emulace) Řešení multicastingu VP – multicasting – každý uzel dostane společné VCI Multicast server – uzel který množí pakety – převod na spoje typu bod – bod Překrytí spojením typu „bod - multibod“ – vytvoření spojení bod – multibod každý s každým 11Projektování distribuovaných systémů (84)

Multicast server 12Projektování distribuovaných systémů (84)

Překrytí spojením bod - multibod 13Projektování distribuovaných systémů (84)

Signalizace Využívá virtuální kanál VPI/VCI = 0/5 Vytvářené spojení je potvrzované (request – confirm/reject) Signalizační protokol zjednodušený Q Projektování distribuovaných systémů (84)

Modely adresování Každý signalizační protokol vyžaduje adresní schéma Potřebuje identifikovat zdrojové a cílové uzly Peer model Využívá adresování i směrovací protokoly „neseného“ protokolu (IP, OSPF) Složitější ATM přepínače (podpora směrování, směrovací tabulky) Subnetwork (Overlay) model Definuje nové adresní i směrovací schéma Existující protokoly operují nad ATM Obdoba IP nad X.25 nebo IP nad PPP Potřeba ARP (mapování IP adres na ATM adresy) Oddělení protokolu ATM od vyšších protokolů 15Projektování distribuovaných systémů (84)

Modely Peer model 16Projektování distribuovaných systémů (84)

Modely Overlay model 17Projektování distribuovaných systémů (84)

ATM adresy ATM adresa obsahuje AFI – Authority and Format Identifier (typ adresy a její formát) IDI – Initial Domain Identifier (autorita pro administraci a přidělování adres DSP – Domain Specific Part (směrovací informace) Existují 3 formáty ATM adres NSAP E.164 (ITU) DCC (Data Country Code) - státy ICD (BSI) - organizace 18Projektování distribuovaných systémů (84)

ATM adresy 19Projektování distribuovaných systémů (84)

Registrace adresy koncového zařízení Protokol ILMI (Interim Local Management Interface) – prozatímní Zjednodušení konfigurace ATM adresy koncového zařízení 20Projektování distribuovaných systémů (84)

Směrovací protokoly IISP – Interim Inter-Switch Signaling protocol Jednoduchý protokol směrování s manuálně konfigurovanými tabulkami prefixů v přepínačích Limitovaná rozlehlost sítě P-NNI – Private NNI Směrování v privátních sítích Podpora QoS B-ICI – Broadband Inter-Carrier Interface Směrování ve veřejných sítích 21Projektování distribuovaných systémů (84)

Hierarchie PNNI 22Projektování distribuovaných systémů (84)

PNNI vytváření spojení 23Projektování distribuovaných systémů (84)

Protokoly úrovně 3 nad ATM Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Protokoly L3 nad ATM Přenos nativního protokolu přes ATM síť Přenos LAN přes ATM síť Používá IP adres (ne ATM adresy) – požadavky na přenos protokolu L3 – odlišné od ATM (spojované služby kontra nespojované služby, bcast, mcast kontra unicast) Je nutné řešit dva problémy Zapouzdření paketu Resoluce adresy (IP – ATM) 25Projektování distribuovaných systémů (84)

Protokoly L3 nad ATM Existují tři řešení zapouzdření a resoluce adresy I. LANE (LAN Emulation) – MAC protokol použitý pro realizaci transparentních LAN služeb nad ATM Rozšíření LANE je Multiprotocol over ATM (MPOA) Používá LANE a cut-through směrování ke zlepšení výkonnosti v rozlehlých sítích II. Operace v původním režimu (native mode) Založeno na protokolech definujících IP konektivitu nad ATM s použitím Zapouzdření IP nad ATM (obecně protokol L3) Resoluce ATM adresy ze síťové adresy (IP) Tomuto řešení se říká Classical IP and Multiprotocol Encapsulation over ATM (Classical IP over ATM) III. Tag switching – technologie kombinuje výhody směrování s výkonností přepínání, a tím nabízí jiné řešení pro přenos IP paketů přes ATM síť 26Projektování distribuovaných systémů (84)

LANE – LAN Emulation Servery LEC – LANE Client LES – LANE Server LECS – LANE Configuration Server BUS – Broadcast and Unknown Server Projektování distribuovaných systémů (84)27

LANE – LAN Emulation Projektování distribuovaných systémů (84)28

LANE – LAN Emulation Projektování distribuovaných systémů (84)29

LANE – LAN Emulation Projektování distribuovaných systémů (84)30

MPOA – Multiprotocol over ATM Vývoj přenosů vede k jejich nárůstu mezi subsítěmi na 80% (původně 20%) Vznik ATM sítí vede k přepínání toků dat na 2. a 3. úrovni – switched virtual channels (SVC) Tradiční směrovače se zbavují zpracování všech paketů (funkce směrovačů se dělí na vlastní určení cesty a na propouštění – směrovače si ponechávají funkci určování cesty pro přenos toku dat a funkce propouštění se přenáší na přepínače) To vede k výraznému zvýšení průchodnosti a snížení zpoždění Sítě na bázi MPOA komunikují se směrovači RIP nebo OSPF Projektování distribuovaných systémů (84)31

MPOA – Multiprotocol over ATM Pracuje na síťové úrovni, je představována koncepcí virtuálního směrovače (virtual router) Emuluje tradiční směrované sítě Eliminuje směrování mezi sousedními uzly Vytvoření spojení v ATM síti – metoda cut through nebo zero – hop routing Architektura MPOA MPOA klient (MPC) – koncové zařízení, ATM host, provádí trafic forwarding MPOA server (MPS) – switch/router, samostatný ATM připojený směrovací server, provádí vyhledání cest (topology discovery) a přiřazování adres (address management) mezi IP a ATM Dochází k rozdělení funkce směrovače na Výpočet cesty Přenos dat Projektování distribuovaných systémů (84)32

MPOA – Multiprotocol over ATM Základní prvky: MPOA využívá tři doplňkové technologie LANE (LAN emulation) – podpora přirozeného LAN prostředí nad ATM ve smyslu transportu dat NHRP (Next Hope Resolution Protocol) – mechanizmus vytvoření cesty přes ATM páteř na základě síťového adresování Koncepce virtuálního směrovače – oddělení funkcí, zvýšení propustnosti LANE: MPOA překonává omezení LANE sítí LANE v2 je integrální součástí MPOA LANE se používá pro komunikaci uvnitř subsítí MPOA virtuální směrovač zajišťuje komunikaci mezi subsítěmi Projektování distribuovaných systémů (84)33

MPOA – Multiprotocol over ATM NHRP: Next Hope Resolution Protocol Vytváří podmínky pro obcházení nutnosti přenášet pakety mezi sousedními směrovači (přehazování paketů) Prostřednictvím rozšířeného ARP dovoluje NHC (NHRP klient) posílat dotazy mezi různými IP subsítěmi (LIS - ) ARP dotazy jsou přenášeny NHS (NHRP server) po cestách nalezených standardními směrovacími protokoly (RIP, OSPF). Důsledkem je vytváření ATM SVC (Switched Virtual Channels) mezi hranicemi ATM sítě bez použití mezilehlých směrovačů pro přenos dat Projektování distribuovaných systémů (84)34

NHRP (Next Hop Resolution Protocol) Projektování distribuovaných systémů (84)35

MPOA – Multiprotocol over ATM Virtuální směrovač: o Je soubor zařízení operujících nad sítí, společně zajišťujících funkčnost multiprotokolových směrovaných sítí. o Analogie: o Hraniční (hranová) zařízení ATM sítě – síťové karty klasického směrovače o ATM přepínač – sběrnice klasického směrovače o MPOA server – řídicí procesor klasického směrovače o MPOA protocol (protokol pro přenos dat mezi MPOA serverem a hranovými zařízeními) – přenos dat mezi porty uvnitř klasického směrovače Projektování distribuovaných systémů (84)36

MPOA – Multiprotocol over ATM Logické komponenty MPOA mohou být realizovány na různých zařízeních sítě. Hranové zařízení (Edge Devices) Laciná zařízení, která přenášejí pakety mezi klasickými LAN segmenty a ATM rozhraními Založená na cílových adresách síťové úrovně a MAC adresách MPOA klient (MPC) Pracuje na hranovém zařízení nebo na ATM hostitelském systému Představuje bod vstupu a výstupu toku dat pro SVC (Switched Virtual Channels) Čeká na datový tok Vyžádá si od MPS (MPOA serveru) informaci o cíli a o možnostech vytvořit SVC Vytvoří SVC a posílá po SVC data MPOA klient a MPOA server komunikují pomocí NHRP (vytvoření cesty) SVC je udržováno i po ukončení přenosu (do timeoutu), protože ze zdrojové strany toku neexistuje explicitní požadavek ani na vytvoření, ani na zrušení SVC (z hlediska koncových uzlů je to transparentní záležitost) Projektování distribuovaných systémů (84)37

MPOA – Multiprotocol over ATM MPOA směrovač – soubor funkcí, které zajišťují mapování subsítí síťové rovně na ATM Realizován jako samostatné zařízení, nebo zabudován do směrovačů či ATM přepínačů Kromě směrovacích tabulek udržuje v paměti lokální síťovou úroveň, MAC úroveň a ATM adresy Vzájemnou komunikaci MPOA směrovačů zajišťuje NHRP, aby MPOA klienti mohly na základě ATM adres vytvořit cesty MPOA směrovač pracuje s protokoly RIP a OSPF z důvodu zachování propojitelnosti ATM sítě s tradičními LAN a WAN Projektování distribuovaných systémů (84)38

MPOA – Multiprotocol over ATM MPOA server (MPS) Je logická komponenta MPOA směrovače, zajišťující přenos informací pro MPOA klienta na úrovni 3 (síťová vrstva) Zahrnuje též funkce NHRP serveru (NHS) Spolupracuje se směrovacími funkcemi a NHS při identifikaci cesty reprezentované cílovou ATM adresou Zapouzdřuje informaci úrovně 2 (linková vrstva), kterou dostává od MPOA klienta (MPC) Projektování distribuovaných systémů (84)39

MPOA – Multiprotocol over ATM Přenos paketů Paket vstupuje do MPOA v ingress MPC (hranové zařízení, vstup dat) Implicitně je paket přenášen přes LANE do implicitního směrovače, na kterém běží MPS Odtud je směrovači směrován do cíle (zařízení nebo hostitelský systém) Je-li paket součástí toku pro který byl vytvořen kanál (SVC), odstraní ingress MPC L2 obálku a pošle paket do SVC Není-li detekován tok dat, každý paket poslaný do MPS je o cílovou adresu na úrovni L3 jako by byl forwardován LANE Projektování distribuovaných systémů (84)40

MPOA – Multiprotocol over ATM Přenos paketů Pokud je překročen práh (n paketů s cílem IP adresy za dobu t), posílá MPC požadavek MPOA resoluce do MPS, odkud získá ATM adresu pro vytvoření cesty do egress MPC ( hranové zařízení, výstup dat) Půjde-li paket zkrácenou cestou do egress MPC, je porovnán s obsahem cache paměti v egress MPC. Je-li nalezen, je zapouzdřen a poslán do LAN SVC je vytvořeno pro specifický tok dat Projektování distribuovaných systémů (84)41

Classical IP and Multiprotocol Encapsulation over ATM Přenos IP a dalších L3 protokolů přes ATM Classical IP and ARP over ATM (RFC 2225) Používá přepínané virtuální okruhy (SVCC) a permanentní virtuální kanály (PVCC) Specifikuje mechanizmus pro resoluci a vyhledávání adres Multiprotocol Encapsulation over ATM adaptation layer 5 (RFC 2684) Definuje zapouzdření různých typů PDU pro transport nad ATM 42Projektování distribuovaných systémů (84)

43Projektování distribuovaných systémů (84) Classical IP and Multiprotocol Encapsulation over ATM

Classical IP and Multiprotocol Encapsulation over ATM - RFC 2225 ATM je použito k přímé náhradě propojení LAN segmentů obsahujících stanice s IP adresami a IP směrovači Tyto LAN segmenty se nazývají Logical IP Subnets (LIS) a jsou identické s konvenčními LAN subsítěmi ATM propojené systémy v různých LIS mají různé síťové adresy a mohou komunikovat pouze prostřednictvím směrovačů, i když jsou připojeny do téže ATM sítě Pro resoluci adres se používá ATMARP a InATMARP (Address Resolution Protocol a Inverse Address Resolution Protocol) 44Projektování distribuovaných systémů (84)

Mechanizmus ATMARP V ATM neexistují broadcasty – není možné použít obdobu ARP v broadcast sítích (broadcast může být realizován jako rozesílání kopií v unicast kanálech) Řešeno ATMARP serverem – obsahuje tabulku IP a ATM adres pro jednu subsíť Libovolný klient může získat ATM adresu zařízení a navázat přímo spojení 45Projektování distribuovaných systémů (84)

Mechanizmus ATMARP ARP klient registruje svoji IP a ATM adresu v ARP serveru Klient A hledá ATM adresu pro IP B, server vrací ATM adresu B Klient vytváří ATM SVCC na klienta B a posílá mu data Jakmile klient B odpovídá na paket z A, posílá též dotaz na ARP server Po obdržení ATM adresy A zjišťuje klient B, že SVCC již existuje a další nevytváří Klient B posílá data do A. V každé LIS musí být směrovač, konfigurovaný jako ATMARP klient nebo lépe ve směrovači může běžet ATMARP server. 46Projektování distribuovaných systémů (84)

ATMARP Projektování distribuovaných systémů (84)47

Mechanizmus InATMARP V tomto případě není třeba funkce ATM serveru Klienti si vyměňují informaci a vyhledávají ostatní protokolové adresy K vyhledání protokolové (IP) adresy na druhém konci spojení pošle klient InATMARP dotaz po existujícím spojení 48Projektování distribuovaných systémů (84)

InATMARP Projektování distribuovaných systémů (84)49

Multiprotocol Encapsulation over ATM - RFC 2684 Multiprotocol Encapsulation over ATM Mechanizmus zahrnuje i přenos jiných rámců než jsou IP pakety Existují 2 možnosti jak to zařídit LLC/SNAP zapouzdření – různé protokoly mohou být přenášeny jedním ATM spojením a identifikovány standardním LLC/SNAP záhlavím Multiplexování virtuálního spojení – přes ATM spojení je přenášen pouze jeden protokol – protokol je implicitně dán při vytváření spojení 50Projektování distribuovaných systémů (84)

Multiprotocol Encapsulation over ATM Projektování distribuovaných systémů (84)51

VLAN Projektování distribuovaných systémů Lekce 3 Ing. Jiří ledvina, CSc

VLAN Virtual LAN Cíl – rozdělení fyzicky propojených počítačů do skupin, které fungují tak, jako by nebyly fyzicky propojeny (na rozdíl od VPN) Logický segment sítě Jedna broadcastová doména Přenosy spojené s VLAN jsou chráněny před přístupem uživatelů jiných VLAN Jsou šířeny jen do VLAN Multicasty a broadcasty šířeny pouze ve VLAN 53Projektování distribuovaných systémů (84)

VLAN Virtual LAN Ve skupině jsou síťová zařízení, která Mohou být umístěna na více fyzických LAN Neexistují omezení vzhledem k fyzickému umístění Mohou komunikovat jako by byly všechny na jedné LAN 54Projektování distribuovaných systémů (84)

Důvody zavedení VLAN Nezávislost na umístění Mobilita uživatelů – zůstávají ve stejné LAN i po přemístění Lepší bezpečnost a vyšší výkonnost Přenosy ve VLAN jsou přepínané, mezi různými VLAN směrované Členství ve VLAN je definováno administrátorem LAN organizovány podle funkčních skupin, nikoliv podle fyzického umístění Uspořádání podle pravidla – přepínej pokud potřebuješ, směruj pokud musíš 55Projektování distribuovaných systémů (84)

Typy VLAN Členství ve VLAN může být podle Skupin portů (VLAN úroveň 1) MAC adres (VLAN úroveň 2) Protokolu 3 a vyšší úrovně (VLAN úroveň 3) 56Projektování distribuovaných systémů (84)

VLAN podle portů Port switching – přepínání portů Může být použito pro zvýšení bezpečnosti a zajištění izolovanosti Neumožňuje mobilitu uživatelů Přesunutý uživatel má novou sub-síť – nová IP adresa (směrovač) 57Projektování distribuovaných systémů (84)

VLAN založené na MAC adresách Vyžaduje předchozí registraci počítačů Členství ve VLAN je udržováno i při fyzickém přemístění Počítače různých VLAN mohou být připojeny do jednoho portu přepínače LAN je definována seznamem MAC adres Zajišťuje úplný pohyb uživatele Pokud je třeba, jsou klienti i servery stále na téže LAN Problém: potřeba udržovat příliš mnoho adres 58Projektování distribuovaných systémů (84)

VLAN úrovně 3 Členství ve VLAN odvozeno od pole TYPE protokolu a podle adresových polí IP VLAN konfigurace je určena přepínači Do VLAN nepřísluší stanice, ale pakety Více-protokolové stanice mohou být ve více VLAN Obecně pomalejší než předchozí 2 typy VLAN Členství ve VLAN je určováno podle úrovně 3, ale nemá nic společného se směrovači nebo směrováním IP adresa je použita pouze k mapování na VLAN, není jinak zpracovávána 59Projektování distribuovaných systémů (84)

VLAN trunk – vzdálené propojení lokálních sítí Podle doporučení IEEE 802.1q Přenos pro více VLAN jednou linkou – trunk (dálkové vedení) Rámce Ethernetu jsou označovány VLAN ID (tag) Schonost zpracovávat VLAN-ová i ne-VLAN-ová zařízení 60Projektování distribuovaných systémů (84)

VLAN tagging (značkování paketů VLAN) Hranový přepínač (Ingress switch) přidá značku obsahující ID VLAN do příchozích paketů Mezilehlé přepínače VLAN ID nepřepočítávají Poslední hranový přepínač (Egress switch) značku z odchozího rámce odstraní. Rámec TPID – Tag Protocol ID CFI – Canonical Format Indicator (přítomnost-nepřítomnost části RIF) RIF – Source Routing Information Field 01 – bez směrování max délka dat v IEEE slabik priorita 0 < 1 < 2 <... < 7 61Projektování distribuovaných systémů (84)

VLAN tagging (značkování paketů VLAN) Destination MAC Source MAC 802.1Q Tag Protocol type field DataFCS 6 bytes 4 bytes2 bytes46–1,500 bytes4 bytes PriorityCFIVLAN ID Tag protocol identifier Tag control field Proprietary 2-byte number 16 bits3 bits1 bit12 bits 62Projektování distribuovaných systémů (84)

Vlastnosti IEEE 802.1Q dovoluje až 4095 VLAN dovoluje port, MAC, L3 i vyšší VLAN dovoluje míchat klasické i VLAN přepínače rozšiřuje IEEE 802.1p (priority) na VLAN 63Projektování distribuovaných systémů (84)

Vlastnosti IEEE 802.Q High priority Medium priority Low priority 1010 Three priority levels 64Projektování distribuovaných systémů (84)

Filtrovací databáze Na daném LAN segmentu pro danou VLAN musí být všechny rámce značkovány Různé VLAN na tomtéž segmentu mohou využívat různé parametry Informace o členství ve VLAN je uložena ve filtrovací databázi Existují 2 typy položek VLAN registrační položky (port a VLAN) Skupinové registrační položky (posílání m-castů do VLAN) Oba typy mohou být statické nebo dynamické Statické položky – zařizuje management Dynamické položky – naučené, časově omezená platnost 65Projektování distribuovaných systémů (84)

Vytváření a propagace dynamických VLAN položek GVRP GVRP – GARP VLAN Registration Protocol GARP – Generic Attribute Registration Protocol GARP členové – vytváří/ruší členství ve VLAN (přidávání/rušení položek) VLAN přepínače musí propagovat změny členství ve VLAN na všechny aktivní porty GMRP – Group Multicast Registration Protocol Položky registrace skupin – indikují pro každý port má-li tam být multicast rámec pro VLAN poslán nebo ne 66Projektování distribuovaných systémů (84)

VPN - Virtual private networks Projektování distribuovaných systémů Lekce 4 Ing. Jiří Ledvina, CSc.

Virtual Private Networks 68Projektování distribuovaných systémů (84)

Virtual Private Networks Privátní sítě – používají pronajaté linky Virtuální privátní sítě – používají veřejný Internet VPN Dovolují vytvořit bezpečné privátní sítě nad veřejnými sítěmi jako je Internet Mohou být vytvářeny pomocí HW, SW nebo kombinací HW a SW Jsou realizovány jako propojení 2 sítí, 2 hostů nebo síť – host. 69Projektování distribuovaných systémů (84)

Bezpečnost VPN Authentication (ověřování pravosti) – zabezpečí, že data přicházejí ze zdroje, ze kterého tvrdí, že přicházejí Access Control (kontrola přístupu) – omezování neautorizovaných uživatelů – kontrola práv uživatelů Confidentality (důvěrnost) – ochrana dat přenášených veřejnou sítí před čtením nebo kopírováním neoprávněnými osobami Data Integrity (integrita dat) – zajištění, aby nikdo nemohl nepozorovaně měnit data při přenosu přes Internet 70Projektování distribuovaných systémů (84)

VPN - komponenty VPN – používané komponenty, principy Obranné valy (Firewalls) – povolení vstupu uživatelům VPN do sítě a zabránění vstupu nechtěným návštěvníkům (filtrace, proxy) Ověřování – používají se schémata založená na systémech se sdíleným klíčem, jako je Challenge Handshake Authentication Protocol (CHAP), RSA,.... Zajišťují také integritu dat. Šifrování – zajištění důvěrnosti i integrity - zapouzdření dat do bezpečné obálky (šifrování tajným klíčem) 71Projektování distribuovaných systémů (84)

VPN - komponenty VPN – používané komponenty, principy Tunelování – přizpůsobení nekompatibilních protokolů. Např. propojení LAN s NetBEUI nebo IPX přes Internet (IP) Překlad adres – použití privátních adres (RFC 1918) /8, /12, /16 Nedostatek IP adres Časté změny poskytovatele 72Projektování distribuovaných systémů (84)

Architektura VPN VPN funkce mohou být implementovány ve směrovačích, přepínačích, obranných valech, ve vybraných modulech, které zajišťují Ověřování Tunelování Šifrování/dešifrování Pracovních stanicích 73Projektování distribuovaných systémů (84)

Architektura VPN – varianta 1 Tunelování je iniciované klientem nad vytáčenou linkou Funkce VPN (tunelování, šifrování) běží na uživatelské stanici Ověřování probíhá ve dvou krocích ISP ověřování – přístup do Internetu (ISP RADIUS server) VPN ověřování – přístup do VPN 74Projektování distribuovaných systémů (84)

Architektura VPN – varianta 2 Mezi uživatelem a NAS (Network Access Server) není tunel, ale může být Může být i šifrováno ISP (Internet Service Provider) ověřuje uživatele pro přístup do Internetu i VPN (RADIUS server) 75Projektování distribuovaných systémů (84)

Architektura VPN – varianta 3 Varianta 3 (a další) – VPN typu LAN – LAN 76Projektování distribuovaných systémů (84)

Úrovně realizace VPN Packet oriented VPN (3 úroveň a výše) Application oriented VPN (5 úroveň a výše) Protokoly Secure Shell (6 – 7 úroveň) Socks v.5 (5 úroveň) IPSec (3 úroveň) PPTP/L2TP (2 úroveň) 77Projektování distribuovaných systémů (84)

Přehled VPN tunelovacích protokolů GRE – RFC 1701, RFC 1702 – Generic Routing Encapsulation PPTP Point-to-point Tunneling Protocol L2F – Layer 2 forwarding L2TP – Layer 2 Tunneling Protocol ATMP – Ascend Tunnel Management Protocol DLSW – Data Link Switching (SNA over IP) IPSec – Secure IP Mobil IP – IP pro mobilní hosty 78Projektování distribuovaných systémů (84)

PPTP – Point-to-point Tunneling Protocol Původně vyvinut pro vzdálený přístup do Internetu Microsoft, Ascend, USRobotics, 3COM, ECI Telematics Jednoduchá konstrukce VPN Ověřovací mechanizmus PAP (Password Authentication protocol), CHAP, MS CHAP Dovoluje tunelování IPX, AppleTalk Vytváří TCP spojení mezi PPTP klientem a serverem (port 1723) Datové pakety šifrovány, PPP pakety komprimovány GREv2 – vytváření IP datagramu (protokol ID v IP záhlaví 47) 79Projektování distribuovaných systémů (84)

L2TP – Layer 2 Tunneling Protocol L2F – Layer 2 Forwarding L2TP = L2F + PPTP Povoluje vytvořit více relací jedním tunelem, více QoS tunelů mezi 2 koncovými body Lepší komprese záhlaví, podpora řízení toku dat Použitelný i nad ne-IP sítěmi (ATM, FrameRelay, X.25) Nespecifikuje ověřování a šifrování 80Projektování distribuovaných systémů (84)

IPSec (RFC 2401 – RFC 2406) Zajišťuje ověřování a integritu dat – AH Authentication Header – pouze doplnění o zajištění integrity Zajišťuje důvěrnost a integritu dat – ESP Encapsulating Security Payload – zapouzdření paketu a šifrování jeho obsahu Pracuje v režimu Transportním – přenos paketu mezi koncovými uživateli. Používá originální IP adresy. Tunelovacím – přenos paketu mezi konci tunelu. Na portálech dochází k zapouzdření paketu přidáním nového IP záhlaví s IP adresami portálů tunelu. Transportní režim s AH Transportní režim s ESP Tunelovací režim s AH Tunelovací režim s ESP 81Projektování distribuovaných systémů (84)

IPsec – transportní režim 82Projektování distribuovaných systémů (84)

IPsec – tunelovací režim 83Projektování distribuovaných systémů (84)

IPsec a VPN 84Projektování distribuovaných systémů (84)