Istnieje wiele sposobów zapewnienia bezpieczeństwa danych przesyłanych przez łącza WAN. Wybór rozwiązania jest najczęściej podyktowany rozmiarem wdrożenia czy typem przesyłanego ruchu. W wypadku rozproszonych lokalizacji WAN połączenia są coraz częściej realizowane z wykorzystaniem rozwiązania określanego jako hybrydowy VPN (Hybrid Virtual Private Network).

VPN – MPLS czy IPSec?

Najczęściej spotykane rozwiązania VPN w sieciach rozproszonych wykorzystują technologie IPSec (IP Security) lub MPLS VPN (Multiprotocol Label Switching VPN). Jeżeli zależy nam na rozwiązaniu o wysokiej wydajności i dostępności, dedykowanego w szczególności do wydajnej transmisji głosu, wideo lub sesji wideokonferencyjnych, przeważnie rozważamy wykorzystanie MPLS VPN. MPLS to obecnie bardzo popularne rozwiązanie do transmisji i zarządzania usługami WAN. W technologii tej ruch zawsze jest kierowany przez sieć jednego operatora. Dane omijają publiczny Internet, a użytkownicy mogą kontaktować się z siecią Internet przez bramki realizujące dostęp do zewnętrznych zasobów. MPLS VPN rozdziela dane poszczególnych klientów w sieci z wykorzystaniem specjalnych znaczników MPLS. Problemem jest jednak brak szyfrowania przesyłanych danych, ponieważ technologia nie dostarcza mechanizmów zapewniających poufność transmisji.

W wielu lokalizacjach nie ma możliwości wykorzystania sieci MPLS i konieczne jest zapewnienie połączenia VPN z wykorzystaniem łącz dostarczanych przez różnych operatorów. Jeżeli jednak przyłączamy do sieci VPN lokalizację o niewielkiej ilości hostów, wdrażanie usługi MPLS VPN może być ekonomicznie nieopłacalne. W tego typu sytuacjach wykorzystujemy rozwiązania VPN IPSec, na przykład w popularnej ostatnio wersji dynamicznego VPN (Dynamic VPN). Transmisja w tym przypadku jest realizowana przez Internet, co znacznie utrudnia zapewnienie odpowiedniej jakości usługi. Mamy do czynienia z transmisją „best effort”. Zaletą tego rozwiązania jest jednak możliwość szyfrowania danych przy wykorzystaniu mechanizmów IPSec oraz uwierzytelniania komunikujących się punktów końcowych.

Obecnie rozwiązania MPLS VPN oraz IPSec VPN coraz częściej konkurują ze sobą. Do niedawna monopol, w przypadku wysokiej jakości usług, miał MPLS. Bezpośrednią przyczyną rosnącej popularności IPSec VPN jest coraz wyższa jakość usług transmisji danych przesyłanych przez Internet. Pozwala to, przy niskich kosztach, zapewnić poprawną jakość transmisji VPN w sieciach rozległych.

Zarówno MPLS VPN, jak i IPSec VPN posiadają referencje dotyczące dużych wdrożeń, a każdy z przedstawionych protokołów sprawdza się w różnych scenariuszach. Zaletą MPLS VPN jest realizacja wdrożenia przez operatora świadczącego usługi telekomunikacyjne, co pozwala na możliwość uzyskania pełnego wsparcia dla jakości usług QoS oraz dużą skalowalność systemu VPN. Z drugiej strony zaletą VPN IPSec jest niższa cena rozwiązania, ponieważ można korzystać ze standardowych łącz zapewniających dostęp do Internetu, a także bezpieczeństwo. Bo można zarządzać mechanizmami szyfrowania danych i uwierzytelniania użytkowników.

Hybryda VPN

W wielu wdrożeniach wykorzystuje się zarówno połączenia IPSec VPN przez Internet, jak i MPLS VPN, szczególnie w przypadku konieczności zapewnienia redundancji połączeń. Administratorzy wychodzą z założenia, że ruch do lokalizacji niestanowiących wrażliwych zasobów można kierować bezpośrednio przez trasę do Internetu, zamiast przesyłać przez względnie drogie łącza MPLS. Bezpośrednie połączenia redukują opóźnienia i są tańsze niż MPLS VPN.

Implementacja IPSec w ramach sieci MPLS VPN jest przeważnie realizowana na ruterach zdalnych, umieszczonych na brzegu sieci. W środowisku tym protokół IPSec może zostać zaimplementowany na kilka sposobów. Połączenie tych technologii często określane jest jako hybrydowy VPN.

Pierwszym przykładem jest wprowadzenia IPSec do MPLS VPN w celu zapewnienia bezpieczniejszej transmisji danych przez wykorzystanie mechanizmów poufności i integralności udostępnianych przez ten protokół. W tej konfiguracji implementacja IPSec jest realizowana pomiędzy poszczególnymi stronami VPN, które realizują transmisję przez sieć MPLS. Implementacja tego typu nie wpływa na sieć MPLS, ale zapewnia dodatkowy poziom bezpieczeństwa, dzięki wykorzystaniu szyfrowania i uwierzytelnieniu stron biorących udział w transmisji.

Sieć IPSec VPN może też być rozwiązaniem zapasowym dla podstawowych połączeń MPLS. Taka konfiguracja będzie zawierała urządzenia obsługujące dwa redundantne łącza dostępowe (MPLS oraz IP) skonfigurowane do automatycznego przełączania transmisji w przypadku awarii łącza uznawanego za podstawowe (przeważnie MPLS VPN).

Najbardziej rozbudowana hybrydą jest system, w którym realizowana jest współpraca w czasie rzeczywistym usług MPLS VPN oraz IPSec VPN. W tego typu wdrożeniu istnieje bramka bezpieczeństwa umieszczona między szkieletem MPLS oraz publiczną siecią IP. Bramka wspiera terminowanie tuneli IPSec i mapowanie ich na sieć MPLS VPN. Izoluje jednocześnie publiczną sieć Internet od sieci MPLS VPN.

Hybrydowy VPN powinien umożliwiać jednoczesny dostęp IPSec z sieci różnych dostawców do bramki zapewniającej komunikację z siecią MPLS VPN, która zapewnia strategiczne połączenia między oddziałami. Połączenia IPSec do bramy realizują dostęp do zasobów sieci MPLS VPN dla niewielkich zdalnych lokalizacji, m.in. w przypadku pracy zdalnej z domu.

Największą zaletą hybrydowych VPN jest elastyczność wykorzystywanych technologii, a jednocześnie możliwość centralnego zarządzania różnymi formami dostępu.

Co wybrać?

Prawidłowo skonfigurowane zarówno IPSec VPN oraz MPLS VPN dostarczają odpowiedniego poziomu prywatności sieci i bezpieczeństwa do zastosowań biznesowych. Przedstawione technologie stosowane są jednak w różnych scenariuszach wdrożeń.

IPSec jest przydatny w wypadku, gdy niezbędne jest bezpieczne podłączanie niewielkich, zdalnych biur z centralnymi zasobami firmy przez publiczny Internet. Nieoceniony okaże się także w przypadku, gdy w określonych lokalizacjach brakuje rozbudowanej infrastruktury telekomunikacyjnej, a dostępne są wyłącznie łącza internetowe.

Natomiast MPLS jest wykorzystywany do dostarczania połączeń o dużej wydajności w ramach sieci rozległej przedsiębiorstwa.

Z kolei hybrydowe rozwiązanie IPSec / MPLS umożliwia połączenie zdalnych lokalizacji z centralnym systemem MPLS VPN przez tunele IPSec, co zapewnia dużą elastyczność sieci VPN. Hybryda zapewnia także zwiększony poziom bezpieczeństwa oraz umożliwia centralne zarządzanie.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn