Файл: Принципы маршрутизации и преобразования ipтрафика в vpnсети, созданной с использованием технологии ViPNet.pdf

Принципы маршрутизации и преобразования IP-трафика в VPN-сети, созданной с использованием технологии ViPNet
О
ГЛАВЛЕНИЕ
1. Введение .................................................................................................................................................................... 1 2. Общие принципы взаимодействия узлов ViPNet в виртуальной сети. ............................................. 3 3. Работа клиентов в сети ViPNet .......................................................................................................................... 6 3.1. Соединение двух клиентских узлов, подключившиеся к сети Интернет через устройства с динамическим NAT .................................................................................................................................................. 6 3.2. Другие особенности работы клиентских узлов ............................................................................ 7 4. Работа координаторов в сети ViPNet ............................................................................................................. 7 4.1. Режим без использования межсетевого экрана. ......................................................................... 7 4.2. Режим межсетевого экрана «За координатором». ...................................................................... 8 4.3. Режим межсетевого экрана "Со статической трансляцией адресов"................................. 8 4.4. Режим межсетевого экрана "С динамической трансляцией адресов" .............................. 9 5. Туннелирование открытых ресурсов .............................................................................................................. 9 6. Маршрутизация трафика координатором с несколькими сетевыми интерфейсами ............... 10 7. Виртуальные адреса системы ViPNet .......................................................................................................... 10 8. Заключение ........................................................................................................................................................... 11 1.В
ВЕДЕНИЕ
В настоящей статье рассматриваются основные принципы маршрутизации и преобразования трафика, реализованные в виртуальной сети ViPNet, обеспечивающие взаимодействие узлов ViPNet при любых способах их подключения к телекоммуникационным сетям.
Принципы управления сетью ViPNet, ее ключевая структура, принципы служебного взаимодействия узлов ViPNet, технология фильтрации трафика, прикладные системы и почтовый транспорт технологии
ViPNet, технология создания инфраструктуры электронной цифровой подписи не являются предметом рассмотрения настоящей статьи.
Современные классические VPN-системы предназначены главным образом для безопасного соединения локальных сетей через Интернет и организации удаленного доступа к их ресурсам.
Однако далеко не все VPN-системы могут быть использованы для создания защищенной среды в разнородной сетевой инфраструктуре с непрозрачной IP-адресацией путем организации соединений непосредственно между источником и получателем информации (схема Peer to Peer). Другим принципиальным отличием технологии ViPNet от классических VPN-систем является отсутствие необходимости каких-либо процедур предварительной синхронизации между узлами ViPNet для начала обмена между ними информацией в зашифрованном виде.

Это свойство значительно повышает помехозащищенность системы и обеспечивает высокую надежность работы различных сетевых служб.
Задачей VPN-сети, развернутой с помощью технологии ViPNet, помимо типовой задачи VPN-сетей – защиты трафика в глобальных сетях, является задача обеспечить защиту трафика различных сетевых устройств в процессе информационного обмена между ними на всем пути от узла-источника к узлу- получателю независимо от расположения этих узлов. На этом пути может находиться разнородная сетевая инфраструктура, включающая Интернет, корпоративные, локальные сети и их сегменты.
Виртуальная сеть строится как с использованием программных компонентов ViPNet, путем установки на компьютеры ПО ViPNet Client, ПО ViPNet Coordinator, ПО ViPNet Coordinator Linux, а также программно-аппаратных комплексов ViPNet серии HW100/1000/2000/VPNM. В виртуальную сеть могут включаться также мобильные устройства на платформах IOS, Android c установленным специальным
ПО ViPNet Client под эти платформы.
Компьютеры и мобильные платформы с ПО ViPNet Client в дальнейшем именуются Клиентами.
Компьютер с ПО ViPNet Coordinator, ПО ViPNet Coordinator Linux, а также программно-аппаратные комплексы ViPNet серии HW100/1000/2000/VPNM в дальнейшем именуется Координаторами. Клиенты и Координаторы являются узлами виртуальной сети ViPNet или просто узлами ViPNet. Клиенты обеспечивают сетевую защиту и включение в VPN отдельных компьютеров и устройств.
Координаторы обеспечивают сетевую защиту туннелируемых ими сетевых ресурсов, включение в VPN защищенных компьютеров независимо от места их расположения и оповещение Клиентов и координаторов о способах доступа к другим сетевых узлам, связанных с ними.
Координаторы, как правило, устанавливаются на границе сетей, и выполняют функции:

Сервера IP-адресов — функция, которая в автоматическом режиме с помощью специального защищенного протокола динамической маршрутизации VPN-трафика обеспечивает обмен между узлами ViPNet актуальной информацией о топологии сети как внутри данной виртуальной сети, так и при взаимодействии с узлами других виртуальных сетей ViPNet.
Результатом работы данного протокола является возможность маршрутизации VPN-трафика между узлами сети ViPNet тем методом, который наиболее оптимален для используемого способа и места подключения узла к сети.

Маршрутизатора VPN-пакетов — функция, обеспечивающая маршрутизацию транзитного
VPN-трафика, проходящего через координатор на другие VPN-узлы. Маршрутизация осуществляется на основании идентификаторов защищенных узлов, находящихся в открытой части VPN-пакетов, которая защищена от подделки имитовставкой, и на основании данных, полученных в результате работы протокола динамической маршрутизации VPN-трафика.
Одновременно выполняется функция трансляции адресов для VPN-трафика, и все пакеты, поступающие на координатор, отправляются на другие узлы с использованием IP-адреса координатора.

VPN-шлюза — стандартная для классических VPN функция, реализующая создание защищенных каналов (туннелей) между локальными открытыми и удаленными защищенными или туннелируемыми узлами. Координатор такой канал может создавать через каскад других координаторов, выполняющих функцию маршрутизации VPN-пакетов.


Сервера соединений — функциональность координатора, обеспечивающая соединение клиентов и других координаторов друг с другом кратчайшим путем. Для каждого клиента можно выбрать свой сервер соединений. По умолчанию сервером соединений для клиента назначен сервер IP-адресов. Для координаторов также при необходимости может быть выбран сервер соединений.

Транспортного Сервера — функция, которая обеспечивает доставку обновлений ключевой, справочной информации, политик и ПО из программ управления сетью ViPNet на защищенные узлы.

Межсетевого экрана — функция фильтрации открытых, защищенных и туннелируемых транзитных и локальных сетевых соединений, трансляции адресов для открытых и туннелируемых соединений.
2. О
БЩИЕ ПРИНЦИПЫ ВЗАИМОДЕЙСТВИЯ УЗЛОВ
V
I
PN
ET В ВИРТУАЛЬНОЙ СЕТИ
Узлы сети ViPNet могут располагаться в сетях любого типа, поддерживающих IP-протокол. Способ подключения к сети может быть любой: сеть Ethernet, PPPoE через XDSL-подключение, PPP через подключение Dial-up или ISDN, сеть сотовой связи GPRS или UMTS, устройства Wi-Fi, сети MPLS или
VLAN. ПО ViPNet поддерживает разнообразные протоколы канального уровня.
Для создания защищенных соединений между сетевыми узлами используются IP-протоколы трех типов (IP/241, UDP и TCP), в которые упаковываются пакеты любых других IP-протоколов.
При появлении любого трафика в адрес других узлов он немедленно, без каких-либо протоколов предварительного установления соединений с узлом-получателем инкапсулируется в ViPNet-пакеты и передается через VPN-сеть на узел-получатель.
Основным условием успешного соединения клиента с любым конечным узлом является наличие при включении доступа к своему Координатору, который выполняет для него функцию Сервера IP-адресов и передает ему всю необходимую информацию о способе доступа к узлам, с которыми связан.
Координаторы взаимодействуют между собой напрямую или через другие координаторы.
Указанное взаимодействие клиентов и координаторов обеспечивается с помощью протокола динамической маршрутизации VPN-трафика, работающего на прикладном уровне системы через те же VPN-соединения, и заключающегося в следующем:

Каждый узел при включении в сеть или изменении параметров подключения:
- Сообщает на свой Сервер IP-адресов или другие Координаторы (если узел сам является Координатором), необходимую информацию о своих адресах и способах доступа к ним,
- Координаторы передают эту информацию на другие координаторы, в том числе координаторы других VPN-сетей с учетом заданных связей между узлами ViPNet,
- Каждый узел при включении в сеть, а также в процессе работы, получает от своего
Сервера IP-адресов или других Координаторов (если узел сам является
Координатором), необходимую информацию об адресах других узлов, связанных с ним, и способах доступа к этим адресам.


Для инкапсуляции в ViPNet-пакеты любых других IP-протоколов используются три типа IP- протокола:

IP/UDP с портом 55777 по умолчанию или любым другим портом, который автоматически регистрируется на других узлах,

IP/241

TCP с портом 443 по умолчанию или любым другим портом, который автоматически регистрируется на других узлах
В локальной сети при доступности узлов по широковещательному адресу, система автоматически использует более экономичный протокол IP/241 (не имеющий дополнительных UDP-заголовков).
В других случаях, при взаимодействии узлов, которые могут быть недоступны друг другу напрямую по реальному адресу узла (т.е. между ними могут быть устройства, выполняющие NAT, или координаторы), система автоматически использует протокол UDP, для которого легко организовать прохождение IP-пакетов через любые типы Firewall и другие устройства с NAT.
Бывают случаи, когда взаимодействие защищенных узлов по UDP-протоколу невозможно, передача
UDP-пакетов провайдером услуг запрещена. Например, при удаленном подключении к сети ViPNet из гостиниц или других общественных мест. В таком случае весь IP-трафик клиентов может передаваться через TCP-туннель, настроенный на координаторе, выполняющем для них роль сервера соединений, являющегося инициатором соединения. При настройке TCP-туннеля на сервере соединений может быть указан произвольный порт. По умолчанию используется порт 443.
Клиентские узлы в сети ViPNet автоматически выполняют соединения с другими узлами по кратчайшим доступным маршрутам. Для установки соединений они используют серверы (координаторы) соединений. Информацию о других узлах, параметрах доступа и их активности в данный момент клиенты получают от своего сервера IP-адресов. По умолчанию сервер IP-адресов является сервером соединений для клиента, но при необходимости сервером соединений может быть назначен другой координатор.

В зависимости от точки подключения координатора ViPNet к сети есть несколько режимов, в которые может быть установлен координатор:

Режим – «Без использования межсетевого экрана»;

Межсетевой экран - «За координатором»;

Межсетевой экран – устройство «Со статической трансляцией адресов», на котором возможна настройка статических правил для входящих соединений;

Межсетевой экран - устройство «С динамической трансляцией адресов», которое в большинстве случаев автоматически позволяет создавать исходящие соединения.
Если координатор имеет IP-адрес в Интернете, то к нему можно построить маршрут из любого места и на узле можно использовать режим «Без использования межсетевого экрана».
Если координатор расположен на границе сегмента локальной сети, которая в свою очередь защищена другим внешним координатором, то такой координатор обычно устанавливают в режим «За
Координатором», выбрав в качестве координатора этот внешний координатор. Такая установка координаторов в цепочку друг за другом (каскадирование) позволяет защитить трафик внутренних сегментов локальной сети, как в самой локальной сети, так при выходе трафика за ее пределы.
Количество координаторов в цепочке не ограничивается. За один координатор можно установить несколько координаторов и, тем самым обеспечить надежную защиту друг от друга и от общей локальной сети нескольких ее сегментов. В любом месте этой локальной сети могут находиться клиенты для защиты конкретных рабочих станций.
Если на границе локальной сети уже установлен межсетевой экран другого типа с возможностью настройки статических правил трансляции, то за ним можно установить координатор с внутренними адресами в режим межсетевого экрана «Со статической трансляцией адресов». Каждый из сетевых интерфейсов координатора может находиться за своим межсетевым экраном со статическими правилами трансляции. Через этот координатор будет обеспечено взаимодействие других узлов
ViPNet и открытых узлов в локальной сети с узлами за ее пределами. Координатор в данном режиме успешно работает и при отсутствии внешнего межсетевого экрана. Поэтому такой режим устанавливается на координаторах по умолчанию.
Если координатор устанавливается на выходе небольшой локальной сети, которая подключается к внешним сетям через NAT-устройства с динамической трансляцией адресов, то используется режим межсетевого экрана «С динамической трансляцией адресов». В этом случае для этого координатора выбирается в качестве сервера соединений один из координаторов, имеющий постоянный доступ из внешней сети. Сервер соединений обеспечивает такому координатору возможность инициативного соединения с защищаемыми им ресурсами со стороны любых других связанных с ним узлов.
По умолчанию Координаторы устанавливаются в режим работы через межсетевой экран «Со статической трансляцией адресов», который может быть изменен в центре управления сетью.
Для того, чтобы узлы могли начать взаимодействовать с другими узлами сети ViPNet без каких-либо дополнительных настроек со стороны пользователей достаточно в центре управления сетью задать IP- адреса доступа к координаторам или их DNS-имена, а для взаимодействия с узлами других сетей
ViPNet обменяться некоторой информацией экспорта/импорта между центрами управления этими сетями. Всю остальную информацию, необходимую для взаимодействия приложений, узлы получат с помощью протокола динамической маршрутизации VPN-трафика.

3.Р
АБОТА КЛИЕНТОВ В СЕТИ
V
I
PN
ET
3.1.Соединение двух клиентских узлов, подключившиеся к сети Интернет через устройства с динамическим NAT
Рассмотрим организацию соединений между двумя клиентскими узлами, подключившиеся к сети
Интернет через устройства с динамическим NAT. Например один из них (Клиент 1) находится в гостинице в Лондоне, а другой в гостинице в Санкт Петербурге (Клиент 2):

При включении компьютера каждый из клиентов определяет канал доступа к своему серверу соединений (сервер соединений может быть и общий). Если клиент определил, что работает через устройство NAT, то он продолжает поддерживать канал путем периодической отправки на сервер
IP-пакетов, тем самым открывая доступ к себе для инициативных соединений с других узлов через свой сервер соединений. Интервал отправки IP-пакетов на сервер соединений по умолчанию равен 25 секундам. Этого, как правило, достаточно для работы через большинство устройств NAT.
При необходимости интервал (тайм-аут) может быть изменен.

Если от некоторого приложения на Клиенте 1 появляется трафик в сторону Клиента 2 (например
Voice IP), то он начинает передавать первые пакеты через свой сервер соединений. Сервер соединений в свою очередь пересылает эти пакеты на сервер соединений Клиента 2, а тот уже –
Клиенту 2. Обратный трафик идет аналогичным маршрутом. Одновременно с этим Клиент 1, а при получении первого любого пакета и Клиент 2 делают попытку установить более прямое соединение с удаленным узлом путем передачи тестовых IP-пакетов напрямую на адрес доступа к
Клиенту и адрес доступа к серверу соединений Клиента. Информацию о прямых адресах и портах доступа к этим узлам клиент получил от своего сервера IP-адресов

Если тестовые прямые IP-пакеты сумели пройти через NAT хотя бы одного из клиентов, то этот клиент регистрирует у себя прямое соединение с другим клиентом и начинает передавать ему свой
Voice IP трафик напрямую через открывшееся соединение. Другой клиент при получении первого прямого пакета от удаленного узла весь свой трафик также начинает передавать ему напрямую.

Если тестовые IP-пакеты дошли только до сервера соединений удаленного узла, то сервер соединений регистрирует это соединение и отправляет напрямую клиенту ответные IP-пакеты удаленного узла.

Если клиенту не удается соединиться со своим сервером соединений (провайдер не пропускает
UDP трафик), то клиент пытается установить соединение со своим сервером соединений по TCP
(порт 443 по умолчанию, можно установить порт 80 и любой другой). Если ему это удается, то весь зашифрованный трафик с другими защищенными узлами автоматически передается через это TCP- соединение на сервер соединений, а уже оттуда на другие узлы в виде инкапсулированных UDP- пакетов. Если этот трафик предназначен другому клиенту, находящемуся в аналогичных условиях, то UDP-трафик, дойдя до его сервера соединений, пойдет к этому клиенту через установленное с ним TCP-соединение.

Если клиента необходимо расположить за устройством со статической трансляцией адресов, то в его настройках следует зафиксировать нужный порт инкапсуляции UDP-пакетов.