Статья посвящена построению VPN. В ней содержатся теоретические данные о виртуальных частных сетях, практическое руководство по созданию VPN-туннеля между двумя удалёнными офисами на базе маршрутизаторов DI-804HV, изложены некоторые идеи о возможном применении виртуальных частных сетей, а также представлены экспериментальные данные касающиеся производительности DI-804HV.
Теория VPN
Так исторически сложилось, что под одним термином VPN понимаются две различные по своим целям, задачам и используемым алгоритмам информационные технологии:
- технологии обеспечения гарантированного качества обслуживания для корпоративного трафика, транспортируемого через публичные сети;
- технологии обеспечения информационной безопасности корпоративного трафика передаваемого через публичные сети (например, интернет).
К первой группе VPN-технологий относятся различные специализированные технологии управления QoS (RSVP, DiffServ, MPLS), а также некоторые базовые сетевые технологии с уже встроенными элементами QoS (ATM, Frame relay). Вторая группа VPN-технологий выполняет функции авторизации абонентов корпоративных сетей и функции криптографической защиты передаваемых данных. Как правило, технологии этой группы представляют собой различные реализации механизма инкапсуляции стандартных сетевых пакетов канального (технологии PPTP, L2F, L2TP) сетевого (технологии SKIP, IPSec/IKE) и вышележащих уровней модели OSI/ISO (технологии SOCKS, SSL/TLS). Эти технологии стремительно развиваются и уже сегодня используются для создания распределённых защищённых сетей. В дальнейшем речь пойдёт именно о них.
Следует отметить, что существуют различные виды реализации VPN — туннелирования:
- VPN на базе маршрутизаторов;
- VPN на базе сетевых операционных систем;
- VPN на базе межсетевых экранов;
- VPN на базе специализированного программного обеспечения
У каждого из вышеперечисленных решений есть свои достоинства и недостатки. Так как мы собираемся строить VPN-туннель на базе маршрутизаторов D-Link DI-804HV, то в поговорим о решениях на базе маршрутизаторов.
До недавнего времени для создания VPN наиболее широко применялся протокол канального уровня L2TP. Он обеспечивает инкапсулирование протоколов сетевого уровня (NetBIOS, IPX, IP и др.) в пакеты канального уровня (PPP). Этот протокол обладает рядом преимуществ:
- независимость от транспортного уровня, позволяющая использовать его в гетерогенных сетях;
- поддержка в ОС Windows 2000, позволяющая строить комбинированные VPN.
Однако L2TP имеет очень серьёзный недостаток, обусловленный его "канальной природой": для гарантированной передачи защищённого пакета через составные сети все промежуточные маршрутизаторы должны поддерживать этот протокол, что является практически невыполнимым условием, ограничивающим его применение.
На сегодняшний день одним из самых проработанных и совершенных Интернет-протоколов для построения VPN является протокол IPSec (IP Security). Он обеспечивает аутентификацию, проверку целостности и шифрование сообщений на уровне каждого пакета. Для управления криптографическими ключами IPSec использует протокол IKE*.
Пожалуй, самым основным преимуществом IPSec является то, что это протокол сетевого уровня. VPN, построенные на его базе, работают абсолютно прозрачно для всех приложений, сетевых сервисов, а также для сетей передачи данных канального уровня. IPSec позволяет маршрутизировать зашифрованные пакеты сетям без дополнительной настройки промежуточных маршрутизаторов, поскольку он сохраняет, принятый в IPv4, стандартный IP-заголовок.
(*) IKE — Internet Key Exchange — протокол обмена Интернет-ключами. Этот протокол предусматривает три метода аутентификации для защиты данных и каналов связи и позволяет кодировать заголовки и содержимое пакетов с помощью ключа, обеспечивая практически абсолютную безопасность линии связи. В соответствии с протоколом IKE пакеты шифруются с помощью секретного ключа, заранее известного обеим сторонам, или с помощью стандартного открытого ключа. Кроме того, IKE поддерживает использование цифровых сертификатов, создаваемых такими специализированными организациями, как VeriSign, и обеспечивающих еще более высокий уровень защиты.
Маршрутизатор D-Link DI-804HV полностью поддерживает протокол IPSec. При помощи этого маршрутизатора возможно организовать до 40 туннелей IPSec. В последнюю версию прошивки DI-804HV (ver.1.3) включена поддержка Dynamic VPN, позволяющая осуществлять VPN подключение к корпоративной сети мобильным хостам с непостоянными IP-адресами. DI-804HV предоставляет гибкую и недорогую реализацию VPN для обеспечения сохранности корпоративных данных.
Практика
Итак, перед нами стоит задача: объединить при помощи VPN-туннеля сети главного и удалённого офисов, с тем, чтобы обеспечить безопасный обмен корпоративными данными, а также прозрачный защищённый доступ к Intranet-ресурсам сети главного офиса пользователям сети удалённого офиса через небезопасный Интернет. Оба офиса имеют выделенное подключение к Интернет с реальными статическими IP- адресами. Для осуществления задачи у нас есть два маршрутизатора D-link DI-804HV.
Вот как выглядит схема, которую нам предстоит реализовать. (Все IP-адреса и другие сетевые настройки выдуманы для примера. Естественно, вместо них нужно вписать свои соответствующие настройки.)
Реализация поставленных задач.
Конфигурируем первый DI-804HV:
Шаг 1. Запускаем браузер, заходим на наш маршрутизатор и настраиваем WAN (внешний IP) и LAN (внутренний IP маршрутизатора).
Примечание:
Выбираем статический IP — адрес. Указываем внешний IP, маску подсети, шлюз по умолчанию, первичный и вторичный DNS.
Задаём внутренний IP-адрес маршрутизатора, соответствующую маску подсети.
Шаг 2. Настраиваем VPN.
В маршрутизаторе DI-804HV возможно два метода настройки VPN : IKE и Manual. Настроим VPN используя IKE. Напротив ID1 в поле «Tunnel Name» вписываем название нашего туннеля, в выпадающем меню «Method» выбираем IKE, жмём кнопку «More».
Здесь мы задаём: адрес локальной подсети (Local Subnet), маску локальной подсети (Local Netmask), адрес удалённой подсети (Remote Subnet), маску удалённой подсети (Remote Netmask). В поле «Remote Gateway» задаём внешний IP-адрес удалённого VPN маршрутизатора. В поле «Preshare Key» — задаём первичный ключ, который будет использоваться механизмом IKE для организации VPN-туннеля. Этот ключ должен быть одинаковым на обоих концах VPN-туннеля.
Нажимаем на кнопку «Select IKE Proposal …» и попадаем в меню Set IKE Proposal. Заполняем соответствующие поля, как показано на рисунке. Выбираем в выпадающем меню «Proposal ID» — «1» и нажимаем кнопку «Add to». Далее «Apply», «Restart».
Теперь заходим в меню «Set IPSEC Proposal». Заполняем соответствующие поля, как показано на рисунке. Выбираем в выпадающем меню «Proposal ID» — «1» и нажимаем кнопку «Add to». Далее «Apply», «Restart».
Шаг 3. Аналогичным образом настраиваем второй DI-804HV.
Настройки «IKE Proposal» и «IPSEC Proposal» у двух маршрутизаторов совершенно идентичны. Настройки VPN-туннеля у второго маршрутизатора немного отличаются.
Теперь посмотрим как настроены наши компьютеры — Host1 и Host2.
Настройка Host1.
Настройка Host2.
Для того чтобы инициализировать VPN-туннель даём пинг с одного хоста на другой.
Как мы видим на скриншоте, наличие между хостами VPN-туннеля, проходящего через Интернет, остаётся совершенно незамеченным для утилиты ping. Более того, оно будет незаметно и для всех других сетевых приложений и служб. Это замечательное свойство протокола IPSec, обусловленное, как мы уже говорили, тем, что это протокол сетевого уровня, открывает огромные возможности перед системными администраторами компаний, имеющих более чем один офис. Поверх IPSec, например, можно развернуть доменную структуру, организовать работу почты, работу уже созданных систем внутреннего документооборота и других сетевых служб. Это избавляет от необходимости создания в каждом удалённом офисе своего отдельного почтового сервера, своего отдельного домена, избавляет от необходимости нанимать высококвалифицированный персонал для администрирования серверов и для модификации существующих систем документооборота. Всё это в значительной мере экономит средства компании, использующей VPN.
Тестовые стенды
Все тесты проводилось при помощи программы NetIQ Chariot (Version 4.4) и endpoints на компьютерах участвующих в эксперименте. Для тестов использовался скрипт Throughput. В некоторых случаях для наглядности экспериментов менялся параметр «file_size» (увеличивался размер прокачиваемого файла) и «number_of_timing_records» (тоже увеличивался до 400). В экспериментах принимало участие 3 компьютера с процессорами не ниже 1Ghz, один ноутбук с процессором 2Ghz, стомегабитный 5-портовый свитч (ну и 4 DI-804HV естественно).
Экспериментальные данные
Шифрование, применение сложных механизмов аутентификации и увеличение накладных расходов на передачу полезной информации замедляет общую скорость передачи данных. Однако производительности DI-804HV с лихвой хватает для организации полноценной виртуальной частной сети.
Итак, для начала несколько предварительных тестов для полноты общей картины. Посмотрим, какие скорости даёт DI-804HV без применения VPN.
Определим пропускную способность схемы с использованием двух DI-804HV: один из компьютеров использует NAT, другой находится в DMZ*. Фактически мы определим пропускную способность канала на двух маршрутизаторах без VPN.
(*) В режиме DMZ все запросы на внешний IP-адрес маршрутизатора пересылаются на определённый внутренний хост, IP-адрес которого задаётся в настройках DMZ.
Средняя пропускная способность этой схемы равна 36,545 Mbps .
И ещё один небольшой тест: определим производительность NAT DI-804HV. Вот так выглядит эта схема: один из компьютеров подключён к внутреннему порту маршрутизатора (LAN — порту), другой подключён к внешнему порту (WAN — порту).
Средняя пропускная способность этой схемы равна 40,519 Mbps (!).
Из проведённых тестов видно, что без применения VPN DI-804HV показывает очень серьёзные скоростные показатели, позволяющие применять его на высокоскоростных выделенных каналах интернет шириной до 40.5 Mbps.
Теперь перейдём к тестированию VPN. Оценим производительность маршрутизатора при использовании различных видов шифрования в VPN-туннеле. В DI-804HV возможно использовать два вида шифрования DES*и 3DES** .
(*) DES — Data Encryptiоn Standard — криптосистема принятая в США в качестве федерального стандарта шифрования, после освидетельствования Агентством национальной безопасности США.
(**) 3DES — Triple DES — заключается в троекратном применении алгоритма DES с использованием трех различных ключей для одних и тех же данных. Это эквивалентно использованию алгоритма с ключом в 112 бит, что приводит к резкому повышению уровня безопасности по сравнению с DES.
Вот так выглядит схема эксперимента:
Параметры (настройки) VPN: IKE — Group1/3DES/MD5/28800sec, IPsec — ESP/3DES/MD5/3600sec.
Режим передачи данных с использованием протокола инкапсуляции ESP и шифрованием 3DES. Средняя скорость передачи данных — 4.159 Mbps.
Параметры (настройки) VPN: IKE — Group1/3DES/MD5/28800sec, IPsec — ESP/DES/MD5/3600sec.
Режим передачи данных с использованием протокола инкапсуляции ESP и шифрованием DES. Средняя скорость передачи данных — 4.325 Mbps.
Оценим производительность VPN при использовании в качестве протокола инкапсуляции — протокола AH.*
(*) AH — аутентифицирующий заголовок (заголовок / протокол — в принципе это одно и тоже — ведь протоколы материализуются в пакетах в виде заголовков), его основная функция обеспечение защиты от атак, связанных с несанкционированным изменением содержимого пакета, и в том числе от подмены исходного адреса сетевого уровня. Он позволяет убедиться приемной стороне в том, что пакет был отправлен стороной, с которой установлена данная ассоциация, что содержимое пакета не было искажено в процессе передачи его по сети и что пакет не является дубликатом некоторого пакета, полученного ранее.
При организации VPN с использованием в качестве протокола инкапсуляции AH шифрование не используется, поэтому производительность такого VPN-туннеля будет выше, чем производительность туннеля на основе ESP, но и защищённость при этом будет поменьше. В первом мы сейчас наглядно убедимся. Схема эксперимента не изменилась, изменились только протоколы:
Настройка VPN: IKE — Group1/3DES/MD5/28800sec, IPsec — AH/none/MD5/3600sec.
Режим передачи данных с использованием протокола инкапсуляции AH. Средняя скорость передачи данных — 6.191 Mbps.
Средняя скорость без использования шифрования значительно выше (на 1.866 Mbps) скорости с использованием DES шифрования. Если вы готовы пожертвовать безопасностью ради повышения производительности VPN-туннеля, то этим можно воспользоваться.
И на последок проведём ещё один, на мой взгляд, очень интересный тест VPN на базе DI-804HV в условиях наиболее приближенных к реальным. Создадим на базе одного маршрутизатора сразу несколько туннелей и одновременно замерим скорость каждого из них. Напомню, при помощи DI-804HV можно создать до 40 VPN-туннелей. Вот схема эксперимента:
Мы создали два криптованных VPN-туннеля (1-2 и 1-3) и одновременно замерили их производительность. Получился вот такой вот график:
Распределение суммарной производительности, между двумя VPN-туннелями.
Средняя производительность первого VPN-туннеля (1-2) составила 2.907 Mbps, второго (1-3) — 2.604 Mbps. Интересный факт: суммарная средняя производительность обоих туннелей составила 5.511 Mbps, а когда мы тестировали работу одного VPN-туннеля с 3DES шифрованием — его производительность равнялась 4.159 Mbps. Скорость в каждом VPN-туннеле упала, но суммарная средняя производительность маршрутизатора увеличилась. Неужели DI-804HV начал работать быстрее с увеличением нагрузки? :)
Попробуем ответить на этот вопрос. Усложним схему эксперимента: добавим ещё один криптованный VPN-туннель (1-4) и одновременно замерим производительность уже трёх VPN-туннелей (1-2, 1-3 и 1-4).
Схема эксперимента
Результаты эксперимента
Распределение суммарной производительности, между тремя VPN-туннелями.
Средняя производительность туннеля 1-2 составила 1,963 Mbps, туннеля 1-3 — 2,048 Mbps, туннеля 1-4 — 1,743 Mbps. Суммарная средняя производительность составила 5,754 Mbps (в предыдущем эксперименте она равнялась 5,511 Mbps). Прежняя тенденция сохраняется: скорость в каждом VPN-туннеле упала, но и суммарная производительность DI-804HV снова увеличилась. Маршрутизатор отлично справляется с серьёзной нагрузкой и показывает хорошие скоростные показатели, позволяющие использовать его на выделенных каналах интернет шириной до 7 Mbps, а без использования VPN до 40,5 Mbps.
Выводы
Учитывая то, что организация VPN — это всего лишь одна из функциональных возможностей этого маршрутизатора, а также то, что его розничная цена равна приблизительно 100$ (на момент публикации статьи), можно с уверенностью сказать, что DI-804HV является неплохим выбором среди устройств подобного класса присутствующих на сегодняшний день на российском рынке SOHO маршрутизаторов.
