Ci sono un certo numero di sensi categorizzare VPNs, ma le tre varietà principali di disegno sono rete-$$$-RETE, ospite-$$$-RETE ed ospite- all'ospite.
|
|
Inoltre riferito a come luogo-$$$-LUOGO, questo termine è usato spesso per descrivere un traforo di VPN fra due reti riservate geograficamente separate. Questo tipo di VPN è usato comunemente quando il LANs deve essere collegato attraverso una rete pubblica in moda da potere accedere gli utenti su entrambe le reti alle risorse situate sull'altra lan, come se siano stati situati all'interno della loro rete domestica. Un vantaggio importante è quello in questa configurazione che entrambe le reti sono adiacenti ed il funzionamento di priorità bassa dei Gateway di VPN è trasparente agli utilizzatori finali. In un tal piano d'azione, scavare una galleria è inoltre importante, poichè le reti riservate usano comunemente il RFC 1918, richiamo riservato della gamma che non è "routable" attraverso il Internet. Tale traffico deve essere incapsulato in un traforo per il interconnectivity riuscito. Un esempio comune di una tal applicazione di disegno può essere il collegamento di due uffici della stessa organizzazione sopra un punto per indicare il collegamento senza fili. Anche se il traffico in transito non lascia l'infrastruttura interna di un'organizzazione, la parte senza fili del viaggio deve essere trattata con la massima cura, come se il traffico sia stato diretto attraverso la rete pubblica. Avete visto quanto facile può dovere escludere WEP e perfino TKIP può essere vulnerabile, in modo da vi consigliamo fortemente usare gli strati supplementari della crittografia ove possibile quando usando 802.11 reti.
Il piano d'azione della ospite-$$$-RETE accade quando gli utenti a distanza collegano alla rete corporativa sopra il Internet. Il cliente mobile in primo luogo stabilisce la connettività del Internet ed allora inizia una richiesta per un'istituzione cifrata del traforo con il Gateway corporativo di VPN. Una volta che l'autenticazione è fatta, il traforo è stabilito su una rete pubblica ed il cliente si transforma in appena in un'altra macchina sulla rete interna. La pratica crescente degli impiegati che lavorano dalla sede sta stimolando un aumento in questo tipo di connettività di VPN. In contrasto con la situazione della rete-$$$-RETE, dove il numero di partecipanti di VPN è limitato ed è più o meno prevedibile, una ospite-$$$-RETE VPN può svilupparsi facilmente oltre i contorni controllabili. Di conseguenza, i coordinatori di sistema devono preparare un meccanismo scalable per l'autenticazione del cliente e un sistema di amministrazione chiave.
Riguardo ai collegamenti punto-$$$-MULTIPUNTO senza fili, la seconda sicurezza di strato potrebbe essere insufficiente per proteggere tali reti o potrebbe incontrare i problemi serii di interoperability e di compatibilità quando fa funzionare i punti caldi pubblici o per mezzo dei fissaggi dell'eredità. Dovreste usare la crittografia, l'autenticazione e la contabilità forti scalable dell'utente per tutta l'organizzazione che fa funzionare una rete senza fili nell'ufficio per i laptops ed altri dispositivi senza fili dei relativi impiegati. Ciò ha potuto coinvolgere regolare un concentratore centrale di VPN con controllo di accesso e possibilità di contabilità sopra i trafori di VPN che si concludono in esso. Ciò ha potuto essere un'alternativa possibile a schierare un assistente del RAGGIO, una base di dati dell'utente e un'infrastruttura 802.1x. La topologia della ospite-$$$-RETE VPN suppone che gli ospiti senza fili collegati via il VPN possono accedere alle reti differenti, quale il Internet, attraverso il concentratore di VPN, ma non può comunicare con altri ospiti senza fili sullo stesso WLAN.
l'Ospite-$$$-OSPITE è probabilmente il meno piano d'azione comune dai tre. Fa partecipare soltanto due ospiti che partecipano sia alla comunicazione cifrata che unencrypted. In una tal configurazione il traforo è stabilito fra i due ospiti e tutte le comunicazioni fra loro sono incapsulati all'interno del VPN. L'applicazione di tali reti non è comune, ma un esempio adatto potrebbe essere un assistente di riserva a distanza di immagazzinaggio situato in una posizione geograficamente distante. Entrambi gli ospiti sono collegati al Internet ed i dati dall'assistente centrale sono rispecchiati allo schiavo di riserva. In un mondo senza fili, l'ospite-$$$-OSPITE semplice VPNs può essere impiegato per proteggere WLANs ad-hoc.
Il mondo della rete limita il numero di partecipanti al VPN, in modo da discutendo le topologie semplici della rete ed ospite, lascili esaminano i casi più complessi. Si noti che la varietà di topologia di VPN progetta molto attentamente rispecchia il disegno fisico delle reti nonvirtual.
La stella è il più comune di tutte le topologie di VPN. Avete un concentratore di VPN che ha un traforo stabilito al cliente a distanza. Per uno degli ospiti da comunicare con l'altro ospite, i dati devono passare dall'elaboratore remoto A al concentratore di VPN ed allora dal concentratore di VPN all'elaboratore remoto il B. considera che lo scalability di una tal rete è limitato generalmente dal rendimento del concentratore di VPN. Il concentratore deve potere sostenere un numero sufficiente di collegamenti simultanei. Inoltre, le prestazioni generali di una tal rete sarebbero limitate dall'alimentazione di elaborazione del concentratore, che è diviso in due per ogni collegamento fra due ospiti, poichè i dati dovranno decrypted sulla ricevuta ed allora essere cifrati ancora prima della trasmissione. La facilità della configurazione, della manutenzione, del controllo di accesso e della contabilità centralizzati in questo piano d'azione è complicata dalla presenza di singolo punto di guasto. Quindi, se il concentratore di VPN è giù, non c'non è più comunicazione fra i nodi possibile. La topologia della stella è applicabile per i collegamenti senza fili punto-$$$-MULTIPUNTO, ma è meno sicura che la topologia della ospite-$$$-RETE perché gli ospiti senza fili possono comunicare con a vicenda (via il concentratore).
Nella topologia della maglia, ogni nodo direttamente è collegato da un traforo ad un altro nodo sulla rete, così generando "un wireframe" delle interconnessioni. Una tal topologia elimina gli svantaggi della topologia della stella, ma presenta uno svantaggio grande nell'aumento enorme in tempo e difficoltà di manutenzione nella aggiunta dei nodi nuovi alla rete. Si noti che i clienti dell'estremità ora devono essere macchine più potenti poichè il numero di trafori che simultanei ogni nodo deve maneggiare sarà più grande di uno. Immagini che dovete schierare una rete ad-hoc senza fili sicura, forse come componente di un progetto senza fili voluminoso del sistema di distribuzione (WDS). La topologia VPN della maglia è, forse, la soluzione che state cercando: Non potete effettuare una soluzione efficiente di sicurezza 802.1x-based su una tal rete che difetta del dispositivo di Authenticator (punto di accesso). Quindi, sia l'autenticazione dell'utente che la rotazione di chiave, come definita dal campione 802.11i, non possono funzionare correttamente.
|
|