, что существуют следующие представления о сетях VPN:
? набор логических соединений между определенными пользователями ATM- или FR-сети, изолированных от других пользователей той же инфраструктуры. VPN заменяет другие типы выделенных линий между определенными узлами;
? туннели между узлами, которые основаны на IP-протоколах и реализуются в обособленной IP-инфраструктуре, не поддерживаемой ни одним из основных Internet-провайдеров;
? туннели между узлами, которые базируются на IP-протоколах и реализуются в общедоступной инфраструктуре Internet;
? туннели на основе IP-протоколов, которые соединяют поддерживаемые Internet-провайдером концентраторы удаленного доступа по коммутируемой линии и корпоративный брандмауэр. Этот провайдер определяет логику сети VPN и обеспечивает управление ею;
? туннели на основе IP-протоколов между удаленным пользователем и корпоративным брандмауэром; логические и управляющие функции распределены между брандмауэром и компьютером пользователя;
? туннели на базе IP-протоколов между программой-клиентом, выполняемой на компьютере пользователя, и сервером на том же или другом узле;
? основывающиеся на IP-протоколах туннели между провайдером специализированных услуг на базе Internet (например, пейджинговой компанией) и брандмауэром или сервером узла.
Первое из перечисленных определений кардинально отличается от остальных. Службы VPN на базе сети с трансляцией кадров или ATM, по сути, являются обычным телефонным сервисом. Они лишь слегка усовершенствованы по сравнению с традиционными выделенными линиями. В сетях VPN такого типа потребитель услуги отвечает за поддержку управления и других функций, выходящих за рамки канального уровня модели OSI/ISO. Эти соединения могут использоваться потребителем по своему усмотрению -- от организации учрежденческой АТС и видеоконференций до сетей передачи данных.
Во всех других определениях упоминается протокол IP, но они также весьма отличаются друг от друга. В одних случаях сеть VPN является особой услугой Internet-провайдера, в других -- чем-то вроде обычного IP-соединения в сети.
Дополнительную путаницу создает определение "туннели на основе IP-протокола". IP-туннелирование выполняется путем инкапсуляции пакета данных в обычный IP-пакет с целью рассылки через сеть на базе IP-протоколов. Инкапсулированный пакет не обязан быть IP-пакетом, а ради повышения уровня защищенности инкапсуляция может сопровождаться шифрованием.
Различные технические издания много пишут о сетях VPN, но из-за отсутствия однозначного определения самого термина складывается впечатление, что публикации нередко обуславливаются скорее маркетинговыми планами поставщиков, а не стремлением дать полное представление о проблеме. Оговорюсь: Гарвард не нуждается в маркетинге (во всяком случае, в новом маркетинге), и эти заметки -- плод моих собственных наблюдений.
ОБ АВТОРЕ Скот Браднер (Scott Bradner) -- консультант отдела информационных систем Гарвардского университета. С ним можно связаться по адресу sob@harvard.elu.