Виртуальная частная сеть
Основным недостатком и полностью закрытой сети, и гибридной системы является их высокая стоимость, поскольку аренда выделенного канала связи (например, типа Т1) — довольно дорогое удовольствие. Поэтому многие организации ищут более дешевые альтернативные варианты. Один из путей снижения стоимости заключается в использовании альтернативных сетевых технологий. Например, организация постоянного виртуального канала (permanent virtual circuit, или PVC) на основе технологий ретрансляции кадров (Frame Relay) или ATM через одного из национальных операторов связи может стоить гораздо дешевле, чем выделенный Т-канал с такой же пропускной способностью. Другой путь снижения стоимости состоит в использовании меньшего количества выделенных каналов. Очевидно, что минимальной стоимости системы удается достичь, отказавшись от использования выделенных каналов связи и пустив весь трафик через глобальную сеть Internet.
На первый взгляд может показаться, что использование глобальной сети Internet для взаимосвязи между сетевыми центрами не позволяет достичь такой
же секретности, как в случае полностью закрытой сети. Поэтому возникает следующий вопрос.
Как может организация, которая использует глобальную сеть Internet для
соединения своих центров, сохранить секретность передаваемых данных?
Этого можно достичь с помощью технологии, позволяющей конфигурировать виртуальную частную сеть (Virtual Private Network, или VPN)1. Технология VPN является полным аналогом реальной частной (или закрытой) сети, поскольку гарантирует, что соединение между любой парой компьютеров в VPN остается секретным для посторонних. Слово "виртуальная" в названии технологии VPN говорит о том, что для соединения сетевых центров не используется реальный выделенный канал связи. Вместо этого для передачи информации от одного узла VPN к другому используется глобальная сеть Internet.
В основе работы VPN лежат два фундаментальных понятия: туннелирование и шифрование. Туннелирование уже было описано в главах 17, "Режим многоадресатной передачи в объединенной сети", и 19, "Протокол мобильной связи с IP-сетями". Для построения виртуальных частных сетей используется та же идея. Между маршрутизаторами, находящимися в разных сетевых центрах, прокладывается туннель через глобальную сеть Internet. При этом для пересылки дейтаграмм по туннелю используется инкапсуляция типа 1Р-в-1Р.
