rezumat_cervit_etapa1

5/5/2018 rezumat_cervit_etapa1 - slidepdf.com

http://slidepdf.com/reader/full/rezumatcervitetapa1 1/11

Proiect 12-097 CERVITEtapa 1, ianuarie 2009

1

REŢEA VIRTUALĂ IT-C PENTRU UNITĂŢI DEÎNVĂŢĂMÂNT ŞI CERCETARE DISPERSATE GEOGRAFIC

- CERVIT

Structura reţelei virtuale IT-C pentru unităţi de învăţământ şi cercetare dispersategeografic are la bază principiile de realizare a VPN (Virtual Private Network ). VPN este oconexiune privată între două sau mai multe reţele sau calculatoare care trimit date protejateprintr-o o reţea publică de date sau prin Internet. Reţeaua virtuală privată oferă astfel

posibilitatea comunicării, folosind o infrastructură de reţea publică, aşa cum este Internetul.VPN conectează componentele şi resursele unei reţele private prin intermediul unei reţelepublice. Altfel spus, o reţea virtuală privată este o reţea a companiei implementată pe o

infrastructură comună, folosind aceleaşi politici de securitate, management şi performanţăcare se aplică de obicei într -o reţea privată. Practic, tehnologia reţelelor virtuale private permite unei firme să-şi extindă prin Internet, în condiţii de maximă securitate, serviciile dereţea la distanţă oferite utilizatorilor, reprezentanţelor sau companiilor partenere.

Deci, VPN este o „reţea de calculatoare” în care legăturile între noduri sunt asigurate prin „circuite virtuale” în cadrul unei reţele mai mari (în general Internet-ul) în locul unorlegături fizice (de exemplu cabluri). În reţeaua de transport, se realizează un tunel prin care setransmit datele. În general o reţea VPN are o topologie mai complexă decât „punct -la- punct”.

Tehnologiile VPN oferă o cale de a folosi infrastructurile reţelelor publice cum ar fi

Internetul pentru a asigura acces securizat şi privat la aplicaţii şi resurse ale companiei pentruangajaţii din birourile aflate la distanţă sau cei care lucrează de acasă, pentru partenerii deafaceri şi chiar pentru clienţi. Structura generală a unei reţele VPN este prezentată în figura 1.

Fig. 1 Structura generală a VPN




2

Reţea privată nu înseamnă neapărat un sistem fizic de comunicaţie privat. În cazulVPN comunicaţia privată are loc în cadrul unei infrastructuri distribuite. Astfel, o resursă

privată este creată mai mult prin utilizarea unor entităţi logice ale unor resurse comunedistribuite şi nu neapărat prin folosirea circuitelor fizice dedicate în corelaţie cu serviciile decomunicaţii.

O reţea VPN poate fi realizată pe diverse reţele de transport deja existente: Internetul public, reţeaua furnizorului de servicii IP, reţele Frame Relay şi ATM. Astăzi, tot mai multeVPN-uri sunt bazate pe reţele IP.

Tehnologia VPN foloseşte o combinaţie de tunelare, criptare, autentificare şimecanisme şi servicii de control al accesului, folosite pentru a transporta traficul pe Internet,o reţea IP administrată, sau reţeaua unui furnizor de servicii.

Realizarea comunicaţiilor rapide, fiabile şi sigure între sedii, filiale, birouri şi punctelede lucru necesită uzual folosirea unor reţele WAN (reţele de arie largă).

Primele două capitole ale studiului documentar rezultat ca urmare a realizării Etapei 1 prezintă obiectivul proiectului (obiectivele generale şi obiectivele specifice ale etapei) şi unrezumat al fazei.

Capitolul al treilea este consacrat studiului şi analizei realizărilor din domeniul VPN(Virtual Private Network ). VPN este o conexiune privată între două sau mai multe reţele saucalculatoare care trimit date protejate printr+o reţea publică de date sau prin Internet. Reţeauavirtuală privată oferă astfel posibilitatea comunicării, folosind o infrastructura de reţea

publică, aşa cum este Internetul. Deci VPN conectează componentele şi resursele unei reţele private prin intermediul unei reţele publice. În cadrul capitolului se realizează o prezentaregenerală a VPN. Beneficiile serviciilor oferite prin VPN sunt:

Convergenţa serviciilor voce, video, date se realizează cu costuri mic i;

Accesarea securizată de la distanţă a resurselor companiei; Costuri predictibile şi uşor de bugetat, independente de trafic; Posibilitatea transfer any-to-any pentru aplicaţii de date-voce-video;

Suport fiabil pentru integrarea LAN-urilor;

Securitatea transmisiei datelor;

Viteză de transfer constantă,, garantată tehnologic; Soluţii inteligenţe de management.

Capitolul conţine analiza structurii VPN, clasificări ale acestora din punct de vedereconstructiv şi funcţional, tehnologii şi protocoale folosite precum şi o trecere în revistă acerinţelor de bază pentru VPN-uri.

Tot în cadrul acestui capitol se realizează şi o analiză a tipurilor de reţele VPN şi amodurilor de utilizate a acestora.

Există trei tipuri principale de VPN-uri:

VPN-urile cu acces de la distanţă ( Remote Access VPN ) permit utilizatorilor (dial-up spre

exemplu) să se conecteze securizat la un site central printr -o reţea publică.




3

VPN-urile intranet ( Intranet VPN ) permit extinderea reţelelor private prin Internet sau altserviciu de reţea publică într -o manieră securizată.

VPN-urile extranet ( Extranet VPN ) permit conexiuni securizate între toate tipurile deutilizatori

Clasificări ale VPN-urilor se pot face şi în funcţie de alte criterii:

dacă sunt suprapuse sau punct la punct dacă sunt sau nu orientate pe conexiune, dacă sunt securizate şi de încredere

Tehnologiile şi protocoalele sunt utilizate cu scopul de activa diferite topologii VPN cumsunt accesul la distanţă şi VPN între amplasamente (site-to- site). Protocoalele VPN se

diferenţiază în funcţie de nivelul la care operează:

legăturilor de date; reţea.

Există şi furnizori de servicii VPN care extind facilităţile soluţiilor oferite prinfolosirea unor protocoale de nivel superior precum

SSL (Secure Socker Layer ),

S-HTTP (Secure-HTTP),

S-MIME (Secure-MIME ),

SET (Secure Electronic Transaction),

PGP (Pretty Good Privacy),

protocoale create în primul rând datorită dezvoltării deosebite a aplicaţiilor de comerţelectronic, dar şi altor categorii de e-aplicaţii (e-administration, e-government, e-health, e-

learning).

Principalele protocoale de tunel folosite astăzi în reţelele VPN rămân PPTP, L2TP şiIPsec:

PPTP (Point-to-Point Tunneling Protocol) - permite unei sesiuni PPP să fie deschisăprintr-un tunel IP existent. PPTP încapsulează pachete (IP, IPX, NetBEUI) în cadrul unui

pachet IP extins. La recepţie are loc procesul invers, fiind furnizat pachetul original.Încapsularea permite transportul pachetelor care în mod normal nu sunt conformestandardelor Internet. Tunelarea utilizează două tipuri de pachete: pachete de dateşipachete de control. Pachetele de control conţin informaţii de stare şi de semnalizare şisunt transmise şi recepţionate peste o conexiune TCP. Pachetele de date sunt încapsulateprin GREv2. Deşi PPTP nu conţinea elemente de autentificare şi criptare când a fostcreat, la ora actuală protocolul suportă criptare Windows RAS ( Remote Access Server )

şiprotocoale de autentificare. RAS suportă PAP, CHAP, MS-CHAP (protocol adaptat de

Microsoft pentru platformele NT), precum şi criptare RSA ( Rivest-Shamir-Adleman)

RC4. Cheia folosită pentru criptare provine din parola utilizatorului şi nu este transferatăde-a lungul conexiunii.

L2TP ( Layer 2 Transport Protocol) - combină protocolul Microsoft PPTP şi protocolulCisco L2F. L2TP nu include nici un mecanism de criptare şi autentificare, combină




4

canalele de date şi control, şi rulează peste o conexiune UDP, folosindu-se mai ales în prezenţa firewall-urilor care nu suporta GRE. IETF defineşte L2TP ca o modalitate deextindere a unei conexiuni PPP până la poarta de acces (gateway) a organizaţiei. Utilizând

protocolul IP, conexiunea PPP este trecută printr -un tunel delimitat de perechea LAC-

LNS. LAC ( L2TP Access Concentrator ) reprezintă clientul, iar LNS ( L2TP Network

Server ) serverul. Pachetele PPP sunt încapsulate într -un header L2TP, încapsulat la rândullui într -un pachet IP. Aceste pachete IP traversează reţeaua ca datagrame normale IP. Ladestinaţie, LNS demultiplexează sesiunea folosind informaţia din headerul L2TP şidezîncapsulează datele PPP. L2TP poate utiliza funcţionalităţi IPsec pentru securizareatunelului.

IPSec este un standard de protocoale al Internet, IEFT ( Internet Engineering Task Force)

care oferă autentificarea datelor, integritate şi confidenţialitate în timp ce datele sunttransferate între două sau mai mute puncte de comunicaţie într -o reţea bazată pe IP.Standardul pentru Arhitectura de Securitate IP, descris în RFC 2401, prezintămecanismele de securitate pentru IP versiunea 4 (IPv4) şi pentru IP versiunea 6 (IPv6).

Al patrulea capitol al studiului analizează modalităţile de interconectare în reţeaua decomunicaţii în condiţiile specifice VPN.

Scopul tehnologiei VPN este conectarea unor reţele LAN aflate în puncte geograficediferite. Acest lucru este realizat prin trimiterea de date protejate peste o reţea publică de datesau prin Internet. Conectarea mai multor reţele LAN între ele, folosind tehnologia VPN, serealizează utilizând două caracteristici de bază ale VPN: crearea de tunele (tunneling) şicriptarea. Primul pas în realizarea conectivităţii este crearea unui circuit „virtual” între

punctele care se doresc a fi conectate, prin intermediul Internetului sau a unei reţeleînchiriate. Apoi, se crează tunele în care datele sunt prelucrate în limbajul Internetului(TCP/IP). După crearea tunelului, informaţia care se doreşte a fi trimisă este codificată pentrua asigura confidenţialitatea transferului.

În cadrul capitolului se prezintă problemele interconectării, tehnologiile folosite pentru realizarea tunelurilor prin reţea, metodele de transmisie prin VPN, protocoalelefolosite, securitatea în VPN, securitatea prin IP etc. O atenţie specială este acordată tehniciiMPLS ( MultiProtocol Label Switching), care este o tehnică cu ajutorul căreia nodurileterminale din cadrul unei reţele adaugă o etichetă unui pachet IP. Pe baza acestei etichete,

pachetul este direcţionat prin reţea spre destinaţie fără a se mai face inspectarea antetuluipachetului IP. Capitolul se încheie cu prezentarea mai multor reţele realizate prin tehnica

MPLS. Scopul tehnologiei VPN este conectarea unor reţele LAN aflate în puncte geograficediferite. Acest lucru este realizat prin trimiterea de date protejate peste o reţea publică de datesau prin Internet.

Pachetele de date se transmit printr-un tunel, folosind operaţia de tunelare (figura 2).

Tehnologiile de tunelare există de câtva timp, printre cele mai cunoscute numărându -se:

Tunelare SNA (Secure Nomadic Access) peste IP. Când traficul SNA este trimis peste ointer-reţea IP de corporaţie, cadrul SNA este încapsulat în UDP ( User Datagram

Protocol) si i se adaugă antet IP. User Datagram Protocol, prescurtat UDP, reprezintă un protocol de comunicaţie pentru calculatoare ce aparţine stratului transport (stratul 4) almodelului standard OSI. Împreună cu protocolul IP, acesta face posi bilă livrarea

http://ro.wikipedia.org/wiki/OSI


http://ro.wikipedia.org/wiki/Internet_Protocol

http://ro.wikipedia.org/wiki/Internet_Protocol





5

mesajelor într -o reţea. Spre deosebire de protocolul TCP, UDP este un protocol ce nu

oferă siguranţa sosirii datelor la destinaţie.

Tunelare IPX ( Internetwork Packet Exchange) pentru Novell NetWare peste IP. Când unpachet IPX este trimis unui server NetWare sau unui ruter IPX, serverul sau ruterul

anvelopează pachetul IPX într -un UDP cu antet IP, şi îl trimite apoi peste inter -reţeaua IP.Ruterul IP-IPX destinaţie dă la o parte UDP-ul şi antetul IP, şi trimite pachetul cătredestinaţia IPX. Protocolul IPX este un protocol bazat pe datagrame (fără conexiune).Termenul fără conexiune înseamnă că atunci când o aplicaţie foloseşte IPX pentru acomunica cu alte aplicaţii din cadrul reţelei, nu este stabilită nici o conexiune sau cale dedate între cele două aplicaţii. Deci, pachetele IPX sunt trimise către destinaţiile lor, dar nuse garantează şi nici nu se verifică faptul că acestea ajung sau nu la destinaţie. Termenuldatagramă (datagram) desemnează faptul că un pachet este tratat ca o entitate individuală,care nu are nici o legătură sau relaţie secvenţială cu alte pachete. IPX execută funcţiiechivelente nivelului reţea din modelul OSI. Aceste funcţii includ adresare, rutare şitransfer de pachete pentru schimburi de informaţie, funcţiile IPX fiind dedicatetransmisiei de pachete în cadrul reţelei.

În ultimii ani au fost create noi tehnologii de tunelare, tehnologii care stau la baza

implementărilor de VPN existente:

Protocolul de tunelare punct-la-punct, PPTP. Acesta permite traficului IP, IPX şi

NetBEUI să fie criptat şi încapsulat într -un antet IP pentru a fi transmis printr-o reţea detranzit IP de corporaţie sau publică (Internet).

Protocolul de tunelare pe nivel 2, L2TP. Acesta permite traficului IP, IPX sau NetBEUI

să fie criptat şi transmis prin orice mediu care permite transmisia punct -la-punct a

datagramelor, cum ar fi: IP, X.25, Frame Relay sau ATM.

Tunel bazat pe securitatea IP, IPSec. Acesta permite conţinutului IP să fie criptat şiapoi încapsulat într -un antet IP pentru a fi transmis printr-o reţea de tranzit IP.

Implementarea VPN se poate realiza folosind:

Fig 2 Transmiterea pachetelor de date prin operaţia de tunelare

http://ro.wikipedia.org/wiki/TCP

http://ro.wikipedia.org/wiki/TCP




6

rutere;

firewall-uri;

prin echipamente şi software dedicate.

Pentru a asigura confidenţialitatea datelor într -o transmisie pe canale de comunicaţiinesigure, cum este Internetul, pot fi folosite diverse tehnici criptografice. Modul detransmisie utilizat în cazul unei soluţii VPN va determina care părţi ale unui mesaj suntcriptate. Unele soluţii criptează întregul mesaj (antetul IP şi datele din mesaj), în timp cealtele criptează doar datele. Cele patru moduri (metode) de transmisie întâlnite în soluţiileVPN sunt:

Modul de transmisie „in-place” ( In Place Transmission Mode) - este de obicei o soluţiespecifică unui anumit producător, în care doar datele sunt criptate. Dimensiunea

pachetelor nu este afectată, prin urmare mecanismele de transport nu sunt afectate.

Modul transport (Transport Mode) - doar segmentul de date este criptat, deci mărimea pachetului va creşte. Acest mod oferă o confidenţialitate adecvată a datelor pentru reţeleVPN de tip nod-la-nod.

Modul tunel criptat ( Encrypted Tunnel Mode) - informaţia din antetul IP şi datele suntcriptate, anexându-se o nouă adresă IP, mapată pe punctele terminale ale VPN. Se asigurăo confidenţialitate globală a datelor.

Modul tunel necriptat ( Non - encrypted Tunnel Mode) - nici o componentă nu estecriptată, toate datele sunt transportate în text clar. Nu se oferă nici un mijloc de asigurarea confidenţialităţii datelor.

MPLS ( MultiProtocol Label Switching) este o tehnică cu ajutorul căreia nodurileterminale din cadrul unei reţele adaugă o etichetă unui pachet IP. Pe baza ace stei etichete,

pachetul este direcţionat prin reţea spre destinaţie fără a se mai face inspectarea antetului pachetului IP. Avantajele aduse de această arhitectură rezolvă o serie de probleme referitoarela:

Scalabilitate;

Reduce complexitatea operaţiilor din reţea; Facilitează apariţia de noi posibilităţi de rutare, ce imbunătăţesc tehnicile de rutare

existente;

Oferă o soluţie standardizată ce are avantajul interoperabilităţii între diverşi furnizori deservicii.

Principiul MPLS este generarea unei etichete scurte, de dimensiune fixă (20 biţi), carese comportă ca o reprezentare simplificată a header -ului pachetului. Principiul folosit este

similar cu cel al codului poştal, care reprezintă o formă simplificată pentru întreaga adresă aunei străzi. Procesul tradiţional de rutare procesează informaţia cuprinsă în antetul pachetuluila fiecare nod din reţea (ruter). Spre deosebire de acest mod de rutare, în MPLS pachetelesunt încapsulate cu aceste etichete de către primul ruter MPLS pe care pachetul îl întâlneşteatunci când intră în reţea. Acest ruter de margine (edge ruter ) analizează conţinutul header -ului IP şi pe baza acestei informaţii selectează o etichetă potrivită cu care pachetul esteîncapsulat.




7

Se definesc trei modele de reţele bazate pe MPLS:

Modelul overlay, VPN de nivel 2;

Modelul în perechi (peer), VPN de nivel 3; Modelul perechi - MPLS VPN

Capitolul cinci prezintă metodologii şi instrumente software pentru crearea şianalizarea calităţii serviciilor prin VPN. Calitatea serviciilor, QoS, se referă la capacitateaunei reţele de a asigura servicii corespunzătoare prin diferite tehnologii.

Calitatea serviciilor QoS (Quality of Service) se referă la capacitatea unei reţele de aasigura servicii corespunzătoare prin diferite tehnologii. Scopul de bază al QoS este de aacorda priorităţi în funcţie de lărgimea de bandă, jitter şi întârziere, dar şi să îmbunătăţească

pierderile. Acordarea priorităţilor se face în aşa fel încât mărirea priorităţilor la una sau maimulte conexiuni să nu conducă la pierderea altor legături.

Mărimile menţionate anterior sunt utilizate pentru a caracteriza performanţele reţelei.Cerinţele referitoare la QoS variază în funcţie de cerinţele aplicaţiilor. Pentru VoIP mărimileimportante supravegheate sunt: întârzierea, jitterul şi numărul de pachete pierdute. Pentruaplicaţiile care implică transfer de date se analizează lărgimea de bandă.

Lărgimea de bandă

Lărgimea de bandă descrie capacitatea de transfer a unui anumit mediu, protocol sauconexiune. Descrie ordinul de mărime a benzii de frecvenţă necesar ca aplicaţia să comunice

prin reţea. O aplicaţie care necesită o lărgime de bandă garantată doreşte ca reţeaua să îi alocespecial un minimum de bandă pe toate legăturile pe care datele aplicaţiei îi sunt transmise prin reţea. În funcţie de tipul reţelei lărgimea de bandă garantată poate fi asigurată fie lastratul IP sau la stratul legături de date.

Întârzierea şi jitterul

Întârzierea pachetelor la fiecare secţiune (hop) constă din:

Întârzierea de transmisie: cât timp îi ia unui dispozitiv să trimită un pachet cu un anumitdebit de ieşire. Acest parametru depinde de dimensiunea pachetului şi lărgimea de bandă

a legăturii. De exemplu un pachet de 64 biţi este transmis pe o linie de 4 Mbit/s în 128 μs.Acelaşi pachet de 64 biţi este transmis pe o linie de 128 kbiţi în 4 ms.

Întârzierea de propagare: cât timp îi ia unui bit să fie transmis de emiţător şi să fierecepţionat la destinaţie. Acest parametru este în funcţie de tipul datelor şi distanţă, fiindindependent de lărgimea de bandă.

Întârzierea de comutaţie: cât timp îi ia unui dispozitiv să înceapă transmisia unui pachetdupă ce în prealabil l-a recepţionat. Depinde de starea reţelei şi de numărul de pachete întranzit la secţiunea respectivă.

Întârzierea între puncte terminale (end-to-end ) a unui pachet este suma tuturorîntârzierilor mai sus menţionate întâlnite la fiecare secţiune din reţea. Nu toate pachetele din




8

reţea vor avea aceiaşi întârziere. Dacă există congestie, atunci la fiecare nod se vor construicozi de aşteptare, ceea ce măreşte întărzierea totală de la un capăt la altu al reţelei. Acestevariaţii ale întârzierii se numesc jitter.

Pierderea pachetelor

Acest parametru specifică numărul de pachete care au fost pierdute prin reţea întimpul transmisiei. Pierderea pachetelor poate fi cauzată din cauza punctelor de congestieacolo unde spaţiul buffer -ului pe interfaţa de intrare sau ieşire este foarte mic. Pachetele maipot fi pierdute din cauza mediilor de transmisie realizate defectuos.

Arhitectura de bază introduce trei părţi fundamentale (figura 3) pentru implementarea

QoS:

Identificarea şi coordonarea QoS-ului de la un capăt la altul al transmisiei întreelementele reţelei;

QoS în cadrul unui singur element al reţelei; Funcţiilor de management, control şi administrare a traficului între puncte terminale, de-a

lungul reţelei.

Retea

Retea

Nodul Clientului

1. QoS in noduri

2. QoSsemnalizarilor 3. Management,

control, administrare

Scopul de bază al QoS este de a acorda priorităţi în funcţie de lărgimea de bandă, jitter şi întârziere, dar şi să îmbunătăţească pierderile. Acordarea priorităţilor se face în aşa fel

încât mărirea priorităţilor la una sau mai multe conexiuni să nu conducă la pierderea altor legături. Strategiile folosite pentru analizarea şi pentru menţinerea QoS sunt strâns legate demodul de transmitere a pachetelor de date. Se analizează modalităţi le de clasificare a

pachetelor în funcţie de servicii, se prezintă elemente de modelare a traficului şi de evitare acongestiei etc. Se acordă o atenţie sporită cazului folosirii VPN-MPLS.

Fig. 3 Componentele de bază ale arhitecturii QoS




9

Capitolul şase realizează specificarea cerinţelor sistemului. Se analizează mai multevariante de implementare a VPN la parteneri şi se stabilesc soluţiile fezabile, având în vedereechipamentele existente şi cele care urmează a fi procurate.

În vederea realizării infrastructurii VPN pentru proiectul CERVIT au fost studiate

principalele soluţii de realizare şi au fost selectate cele mai potrivite variante, în concordanţăcu obiectivele şi condiţiile proiectului.

Cu privire la modalitatea de implementare a reţelei VPN şi conectarea în sistemul decomunicaţii, s-a optat pentru o soluţie în care interconectarea între reţelele partenerilor serealizează pe baza reţelei publice Internet (accesibilă tuturor partenerilor), soluţia de„achiziţie de servicii” de la un furnizor ISP/NSP fiind inacceptabilă pentru resursele şispecificul proiectului.

Problema metodelor şi a instrumentelor pentru asigurarea calităţii serviciilor (QoS)este delicată. Utilizarea acestora este necesară în cazul soluţiei „VPN construit”, dar astfel de

produse nu sunt disponibile în gama GPL – Free software. În aceste condiţii sunt de luat înconsiderare imaginarea unor benchmark-uri particularizate pentru aplicaţiile experimentate încadrul proiectului.

Specificaţiile pentru reţeaua VPN au la bază principiul flexibilităţii maxime şirealizarea cât mai rapidă. În acest scop se au în vedere pentru implementare două soluţii:

soluţie bazată pe circuite virtuale PPTP, uşor de pus în funcţiune şi de utilizat, dar limitatăla SO Windows şi cu securitate mai redusă, dar acceptabilă,

evoluţia, în măsura posibilităţilor, către o soluţie mult mai performantă bazată pe o „reţea

virtuală OpenVPN”.În sistemul de operare Unix există mai multe modalităţi de configurare a conexiunilor

VPN:

IPSEC ( Internet Protocol SECurity) - este un standard creat de IETF ( Internet

Engineering Task Force) ca metodă obligatorie de codificare atunci când IP versiunea 6va deveni protocolul Internet standard (în prezent versiunea standard este IPV4). În

prezent există numeroase pachete software ce implementează IPSEC prin IPV411.

PPP over OpenSSH - prin utilizarea acestei metode se poate configura o interfaţă PPP

astfel încât să utilizeze SSH în vederea codificării tuturor datelor care traverseazăinterfaţa PPP1.

CIPE (Crypto IP Encapsulation) - prin intermediul acestei metode pachetele IP suntdirecţionate prin interfeţele IP selectate sub formă de pachete UDP codificate. CIPEimplică o suprasarcină mai redusă decât PPP over OpenSSH, deci este de aşteptatobţinerea unor performanţe superioare.

Datorită proiectului CIPE-Win32 se poate configura o conexiune VPN folosind CIPE

şi pe Windows. Scopul sistemului CIPE constă din configurarea unei legături securizate întredouă puncte terminale ale unei comunicaţii. Este posibilă autentificarea legăturii (fiecareextremitate a comunicaţiei îşi poate demonstra identitatea), iar datele care trec prin legăturarespectivă pot fi securizate(deoarece sunt codificate).




10

Tipul de VPN (figura 4) cel mai des implementat este IPSec, de când IPSec este bazatpe standard. Nu este vorba de un singur protocol ci de un întreg set de protocoale. Când sefoloseşte IPSec, este necesar să se verifice că routerele suportă un subset comun de

protocoale al IPSec, şi că acestea sunt documentate corespunzator. Dacă acest lucru estetrecut cu vederea, echipamentul se poate dovedi incompatibil sau extrem de dificil de

configurat.

Din mai 2004 ruterele SOHO compatibile cu IPSec cau şi cu QoS nu sunt desîntâlnite. Când se alege un ruter compatibil şi cu IPSec si QoS, trebuie verificat ca QoS-ul săfie compatibil prin IPSec VPN. Dacă pachetele sunt marcate pentru utilizarea QoS, dar apoisunt criptate pentru transportul prin VPN, marcajele QoS nu vor mai putea fi citite când esteaplicată politica QoS. Ruterul trebuie să accepte copierea marcajelor QoS de pe pacheteleoriginale pe headerul IPSec.

Pagina web a proiectului, prezentată în capitolul şapte, cuprinde două secţiuni:

una publică, în care sunt prezentate date generale despre proiect (obiective, parteneri,etape, stadiul realizării etc.)

o parte privată, destinată doar participanţilor la proiect, în care accesul se face pe bază denume de utilizator şi parolă, acordate de coordonatorul de proiect şi prin care se potrealiza dialoguri, schimb de documente, inclusiv transferul de fişiere de dimensiuni mari,de obicei restricţionate dacă se transmit ataşate la poşta electronică etc.

Din considerente de flexibilitate şi disponibilitate pentru o diversitate mare de posibileaplicaţii, se intenţionează dezvoltarea a două tipuri de reţele VPN după cum urmează:

1. CERVIT-VPN-PPTP - Reţea VPN construită pe bază de circuite virtuale (tunel) prinInternet, conformă standardului PPTP (Point-to-point Tunneling Protocol). Motivul este

larga utilizare în domeniul e-learning a sistemului de operare Windows, care are integrate

module specifice standardului PPTP pentruWindows 2000, XP, Vista

2. CERVIT-Open-VPN - Reţea VPN conform standardului OpenVPN (variantă de VPN bazată pe SSL). Motivul, este o soluţie completă “SSL VPN open source” care combină ogamă largă de configuraţii, incluzând acces la distanţă, VPN site -to-site, securitate Wi-Fi,

soluţii de acces la distanţă la nivel de organizaţie cu o încărcare echilibrată şi un controlgranular al accesului. OpenVP N oferă o alternativă simplă la alte tehnologii VPN având

ca ţintă organizaţiile mici şi mijlocii şi sunt disponibile implementări client şi server pentru toate sistemele de operare importante.

Fig. 4 Topologia unei reţele VPN




11

Concluzii

În vederea realizării infrastructurii VPN pentru proiectul CERVIT au fost studiate

principalele soluţii de realizare şi au fost selectate cele mai potrivite variante, în concordanţă

cu obiectivele şi condiţiile proiectului.

Cu privire la modalitatea de implementare a reţelei VPN şi conectarea în sistemul de

comunicaţii, s-a optat pentru o soluţie „construită” bazată pe reţeaua publică Internet(accesibilă tuturor partenerilor), soluţia de „achiziţie de servicii” de la un furnizor ISP/NSPfiind inacceptabilă pentru resursele şi specificul proiectului.

Problema metodelor şi instrumentelor pentru asigurarea calităţii serviciilor (QoS) estedelicată. Utilizarea acestora este necesară în cazul soluţiei „VPN construit”, dar astfel de

produse nu sunt disponibile în gama GPL – Free software. În aceste condiţii sunt de luat înconsiderare imaginarea unor benchmark-uri particularizate pentru aplicaţiile experimentate încadrul proiectului.

Specificaţiile pentru reţeaua VPN au la bază principiul flexibilităţii maxime şirealizarea cât mai rapidă. În acest scop se au în vedere implementarea a două soluţii:

soluţie bazată pe circuite virtuale PPTP, uşor de pus în funcţiune şi de utilizat, dar limitatăla SO Windows şi cu securitate mai redusă, dar acceptabilă,

evoluţia, în măsura posibilităţilor, către o soluţie mult mai performantă bazată pe o „reţeavirtuală OpenVPN”.

rezumat_cervit_etapa1

Documents