EFEKTYWNOŚĆ TECHNIKI DMVPN W ZAPEWNIANIU POUFNOŚCI DANYCH W SIECIACH KOMPUTEROWYCH



Podobne dokumenty
VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

System Kancelaris. Zdalny dostęp do danych

Sieci VPN SSL czy IPSec?

Zakresy prywatnych adresów IPv4: / / /24

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

IP VPN. 1.1 Opis usługi

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Tworzenie połączeń VPN.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

PODSTAWOWE PODZIAŁY SIECI KOMPUTEROWYCH

BRINET Sp. z o. o.

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

SIECI KOMPUTEROWE Adresowanie IP

Podstawy sieci komputerowych. Technologia Informacyjna Lekcja 19

router wielu sieci pakietów

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Metody zabezpieczania transmisji w sieci Ethernet

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Konfigurowanie sieci VLAN

Protokoły sieciowe - TCP/IP

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Plan wykładu. Wyznaczanie tras. Podsieci liczba urządzeń w klasie C. Funkcje warstwy sieciowej

pasja-informatyki.pl

PORADNIKI. Routery i Sieci

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Protokoły zdalnego logowania Telnet i SSH

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Funkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)

Wykład 3: Internet i routing globalny. A. Kisiel, Internet i routing globalny

WDS tryb repeater. Aby utworzyć WDS w trybie repeater należy wykonać poniższe kroki:

Komunikacja przemysłowa zdalny dostęp.

Technologie informacyjne (5) Zdzisław Szyjewski

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Laboratorium 2.8.2: Zaawansowana konfiguracja tras statycznych

12. Wirtualne sieci prywatne (VPN)

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Warstwy i funkcje modelu ISO/OSI

Routing - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv Konfiguracja routingu statycznego IPv6...

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN


ZiMSK. VLAN, trunk, intervlan-routing 1

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Technologie sieciowe

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Badanie bezpieczeństwa IPv6

Zdalne logowanie do serwerów

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

VPN IPSec LAN-LAN pomiędzy routerami serii: Vigor 2700 oraz Vigor 2910

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Routing i protokoły routingu

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

MASKI SIECIOWE W IPv4

Sieci komputerowe - administracja

Koncentrator VPN. Konfiguracja OpenVPN. +Sieci hybrydowe. Dotyczy wersji oprogramowania 3.7 Wersja dokumentu: 1.0

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Sieci wirtualne VLAN cz. I

Badanie tunelowania. lp wykonawca grupa (g) 1. Grzegorz Pol 2. Michał Grzybowski 3 3. Artur Mazur

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Połączenie LAN-LAN ISDN

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

7. zainstalowane oprogramowanie zarządzane stacje robocze

Integral over IP. Integral over IP. SCHRACK SECONET POLSKA K.Kunecki FIRE ALARM

BRINET Sp. z o. o.

Agenda. Firma TOSIBOX OY. Co to jest TOSIBOX? Jak działa TOSIBOX? TOSIBOX zarządzanie. Interfejs KLUCZA/LOCK-a.

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

Systemy bezpieczeństwa sieciowego

INSTRUKCJA ŁĄCZENIA Z SIECIĄ VPN WYDZIAŁU INŻYNIERII PROCESOWEJ I OCHRONY ŚRODOWISKA POLITECHNIKI ŁÓDZKIEJ

Podstawowe protokoły transportowe stosowane w sieciach IP cz.1

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

5R]G]LDï %LEOLRJUDğD Skorowidz

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Praca dyplomowa magisterska

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Router Vigor jako serwer/gateway VPN

Bezpieczeństwo systemów informatycznych

Podstawowe protokoły transportowe stosowane w sieciach IP cz.2

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Plan realizacji kursu

Urządzenia sieciowe. Tutorial 1 Topologie sieci. Definicja sieci i rodzaje topologii

KARTA PRZEDMIOTU. Management of networks and ICT resources

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Transkrypt:

RADOSŁAW WIELEMBOREK rwielemborek7@gmail.com DARIUSZ LASKOWSKI dlaskowski71@gmail.com Wydział Elektroniki i Telekomunikacji Wojskowa Akademia Techniczna w Warszawie EFEKTYWNOŚĆ TECHNIKI DMVPN W ZAPEWNIANIU POUFNOŚCI DANYCH W SIECIACH KOMPUTEROWYCH Streszczenie: Dane przesyłane przez sieć publiczną narażone są na niepowołany dostęp z zewnątrz i wyciek prywatnych informacji. Ważne jest, aby ich bezpieczeństwo było możliwie jak największe przy optymalizacji działań ograniczających użytkownika. W tym celu między oddziałami organizacji (filiami korporacji) wykorzystywane są wirtualne sieci prywatne (VPN). Obecnie coraz częściej implementuje się ich kolejną wersję zwaną DMVPN wprowadzającą wiele udogodnień. Dlatego też w artykule zostanie przedstawiona ocena efektywności techniki DMVPN dla usług przesyłu danych z wykorzystaniem komercyjnych i open source-owych mechanizmów. Słowa kluczowe: DMVPN, kanał wirtualny, NHRP, GRE, poufność 1. Tunele VPN i DMVPN W większości przedsiębiorstw używane topologie sieci bazują na łączeniu zdalnych oddziałów firm (na przykład pracowników mobilnych) z oddziałem centralnym (na przykład serwerem danych czy określonych usług). Nierzadko też potrzebna jest łączność między oddziałami zdalnymi w celu wymiany informacji. Połączenia takie najczęściej zestawiane są za pośrednictwem publicznej sieci Internet. W celu zwiększenia bezpieczeństwa najczęściej używanym protokołem jest IPSec pozwalający na tworzenie bezpiecznych, szyfrowanych połączeń pomiędzy punktami końcowymi transmisji. Jednak ma on pewne ograniczenia.

124 Radosław Wielemborek, Dariusz Laskowski Tworzone przez niego tunele mogą być tylko typu point-to-point. Rozwiązaniem tego problemu jest łączenie tuneli IPSec w topologie Hub & Spoke lub full/partial mesh. Topologia full meshed VPN pozwala na bezpośrednie zestawianie tuneli VPN między wszystkimi urządzeniami VPN. Jednak technika ta sprawdza się tylko w mniejszych sieciach, gdzie liczba tuneli VPN jest mała. Konfiguracja wszystkich połączeń w większych sieciach byłaby niepraktyczna. W topologii Hub & Spoke, gdzie węzeł centralny pośredniczy w zestawianiu tuneli dla innych urządzeń VPN, konfigurowanie i zestawianie bezpośrednich połączeń ze wszystkimi urządzeniami VPN przy dużej liczbie tuneli VPN jest również mało efektywne. Natomiast podstawowym problemem występującym w topologiach VPN wykorzystujących IPSec jest brak możliwości wykorzystania protokołów dynamicznego routingu ze względu na to, że korzystają one z komunikacji multicastowej lub broadcastowej a protokół IPSec nie umożliwia przenoszenia takich pakietów. Problemy te rozwiązano przez użycie protokołu GRE w połączeniu z tunelami IPSec. Protokół ten wymaga statycznej adresacji końców tunelu oraz istnienia routingu pomiędzy punktami końcowymi. W dużych sieciach konfiguracja węzła centralnego byłaby bardzo długa i skomplikowana, dlatego też stosowane są topologie full mesh w połączeniach bezpośrednich pomiędzy oddziałami Spoke. DMVPN łączy zalety protokołu GRE z NHRP. Wiąże się z tym wiele zalet. Technika ta zapewnia uzyskanie większej skalowalności i elastyczności działania sieci VPN IPSec. Rys. 1. Topologia Hub & Spoke [3] Minimalizowany jest rozmiar konfiguracji routerów koncentrujących ruch z wielu lokalizacji. Szyfrowanie między routerami, które początkowo nic

Efektywność techniki DMVPN w zapewnianiu poufności danych 125 o sobie nie wiedzą, następuje automatycznie. DMVPN umożliwia także zestawianie połączeń z routerami, którym adres IP został nadany dynamicznie przez DHCP, co jest niewątpliwym uproszczeniem. W konfiguracji podstawowej pokazanej na rysunku poniżej można wyróżnić węzeł centralny Hub i oddziały zdalne Spoke. Każdy oddział zdalny posiada stałe połączenie z oddziałem centralnym za pomocą statycznego tunelu IPSec. Każdy z routerów typu Spoke rejestruje się jako klient do serwera NHRP. Gdy wystąpi komunikacja z jednego oddziału zdalnego do innego, wtedy router w oddziale źródłowym wysyła zapytanie do serwera NHRP (Hub) o rzeczywisty adres IP oddziału docelowego. Po odpowiedzi serwera może zostać zestawiony bezpośredni tunel IPSec pomiędzy tymi oddziałami zdalnymi z pominięciem urządzenia centralnego. Jest to możliwe, gdy istnieją odpowiednie wpisy w tablicy routingu oraz tablicy mapowania NHRP. DMVPN wspiera ruch multicastowy obsługiwany przez protokół GRE jak i protokoły routingu dynamicznego. Aby możliwe było zestawienie bezpośredniego tunelu między oddziałami Spoke-to-Spoke, konieczne jest wykorzystanie protokołu Multipoint-GRE. Protokoły routingu dynamicznego działają w tunelach GRE pomiędzy oddziałem centralnym (router Hub) a filiami (routery Spoke). Dzięki aktualizacjom protokołu routingu dynamicznego wysyłanym przez urządzenie centralne Hub, urządzenia typu Spoke uzyskują informacje o topologii poszczególnych sieci LAN we wszystkich oddziałach oraz w centrali. Protokoły dynamicznego routingu nie działają bezpośrednio między oddziałami, lecz zawsze poprzez urządzenia centralne typu Hub. Wykorzystywanymi protokołami routingu dynamicznego w topologiach DMVPN są OSPF, BGP oraz RIP. Protokół NHRP zapewnia urządzeniu typu Spoke możliwość dynamicznego uzyskiwania informacji o rzeczywistych adresach interfejsów innych oddziałów. Oznacza to, że każdy router oddziałowy może dynamicznie uzyskać informację, wystarczającą do zestawienia bezpośredniego tunelu IPSec z innym oddziałem Spoke. Jest to możliwe dzięki współpracy protokołów routingu dynamicznego, mapowania oraz rozwiązywaniu adresów interfejsów tuneli do rzeczywistych adresów interfejsów fizycznych (NHRP). Technologia DMVPN umożliwia łączenie węzłów IPSec z adresami IP przydzielanymi dynamicznie. DMVPN obsługuje także funkcję dzielonego tunelowania (ang. split tunneling) dla Spoke, co oznacza jednoczesne kierowanie nieszyfrowanych pakietów do Internetu i zaszyfrowanych przez tunel IPSec. Konfiguracja każdego z węzłów typu Spoke jest bardzo podobna. Jedyną różnicą jest adres IP lokalnego interfejsu. Pozwala to na łatwą i szybką konfigurację węzłów używając tego samego wzorca oraz dodawanie nowych urządzeń do istniejącej topologii DMVPN. Dla nowego oddziału typu Spoke, należy wykonać podstawową konfigurację jak dla

126 Radosław Wielemborek, Dariusz Laskowski każdego węzła oraz dodać informacje konieczne dla autoryzacji ISAKMP nowego oddziału w konfiguracji urządzenia centralnego. Protokół dynamicznego routingu roześle informację o nowej sieci docelowej do wszystkich urządzeń końcowych. Technologia DMVPN znacznie zmniejsza rozmiar pliku konfiguracyjnego w każdym węźle sieci VPN. Oprócz opisanych powyżej zalet techniki DMVPN warto również wspomnieć o niezmiennej konfiguracji węzła Hub przy dołączaniu nowych urządzeń Spoke. DMVPN umożliwia także łączenie węzłów IPSec z adresami IP przydzielanymi dynamicznie a także rozgraniczenie ruchu polegające na jednoczesnym kierowaniu nieszyfrowanych pakietów do Internetu i zaszyfrowanych przez tunel IPSec. W celu zapewnienia odporności na awarie, typowa topologia Hub & Spoke sieci DMVPN może zostać rozszerzona o dodatkowe urządzenia centralne typu Hub lub kolejne sieci DMVPN bazujące na łączach innego operatora ISP. W pierwszym przypadku, z kilkoma urządzeniami typu Hub, każde urządzenie typu Spoke używa pojedynczego tunelu mgre wskazującego na kilka urządzeń typu Hub nazywane NHS (ang. Next-Hop-Server). Urządzenia centralne także używają pojedynczych tuneli mgre. W przypadku dwóch sieci DMVPN każde z urządzeń Spoke posiada po dwa tunele mgre, przy czym każdy tunel GRE jest połączony z innym urządzeniem typu Hub. Hub'y używają po jednym tunelu mgre [3]. 2. Koncepcja środowiska badawczego Środowisko testowe techniki DMVPN swoim zakresem obejmuje szeroką tematykę poczynając od różnorodnych urządzeń sieciowych przez media transmisyjne po mechanizmy konfiguracji sieci takie jak protokoły routingu czy tunele VPN. Urządzeniami użytymi do realizacji środowiska badawczego były urządzenia sieciowe: Access Point Drytek Vigor 2930n, routery Cisco 1812, 2811, 2951, firewalle Cisco ASA 5515, LANForge Fire i ICE, serwery HP DL380 oraz switche. Do platformy programowej można zaliczyć: LANforge Manager, Wireshark, JPerf oraz CCP. W badaniu wykorzystana została platforma LANForge, włączona w sieci szkieletowej, jako emulator ruchu sieciowego pozwalający na możliwie jak najdokładniejsze odwzorowanie rzeczywistych warunków występujących w sieciach teleinformatycznych poprzez dowolną regulację parametrów sieciowych. Efektywność i jakość usługi DMVPN badana była na podstawie określenia wpływu zmiany opóźnienia i straty pakietów na przepływność sieci w po-

Efektywność techniki DMVPN w zapewnianiu poufności danych 127 równaniu ze zwykłą siecią teleinformatyczną LAN (czyli bez mechanizmów bezpieczeństwa). Pożądany rodzaj ruchu sieciowego generowany był przez program JPerf zainstalowany na urządzeniach końcowych sieci (PC1 oraz Serwerze). Natomiast ruch sieciowy zbierany był przez analizator protokołów Wireshark zainstalowany na komputerze PC3 podłączonym do sieci przez koncentrator. Topologia testowanej sieci przedstawiona została na poniższym rysunku. Rys. 2. Testbed badania wydajności techniki DMVPN Warto wspomnieć, że żaden z pomiarów nie był wolny od wpływu czynników zniekształcających wyniki badań. Na sieć miały wpływ jakość instalacji kablowej, błędy wynikające z długotrwałego działania urządzeń, obciążenie sieci ruchem IP oraz zakłócenia od wszystkich innych pracujących urządzeń. Wpływ wyżej wymienionych czynników na wyniki badań był znikomy i oddziaływał na wszystkie pomiary w równym stopniu. 3. Testy wydajnościowe sieci Testowanie sieci odbywało się poprzez przesłanie przez sieć 1000 pakietów o wielkości 256 kb. Testy te były wykonane dla sieci podstawowej oraz techni-

128 Radosław Wielemborek, Dariusz Laskowski ki DMVPN z użyciem algorytmów szyfrujących DES, 3DES i AES256. Wyniki testu zostały przedstawione w poniższej tabeli oraz wykresie. Tab. 1. Przepływność jednostki strumienia danych dla 1000 pakietów wielkości 256 kb Interval [sec] Bez DMVPN DMVPN AES256 DMVPN 3DES DMVPN DES Bandwidth [Mbits/sec] 1 88,1 86,0 88,1 92,7 2 90,2 88,1 88,1 87,9 3 90,2 90,2 90,2 90,7 4 91,8 91,8 90,2 90,0 5 90,7 88,6 88,1 87,9 6 90,2 89,6 88,1 88,7 7 90,2 88,6 90,2 89,5 8 90,2 90,1 90,2 88,2 9 90,2 90,2 88,0 90,9 10 88,1 88,1 88,1 87,6 11 90,2 90,2 90,1 88,8 12 90,2 90,2 90,2 88,9 13 90,2 90,2 88,1 88,8 14 91,8 90,2 90,2 87,9 15 90,7 90,2 88,1 89,8 16 90,2 88,1 90,2 88,4 17 90,2 90,2 88,1 89,0 18 90,2 90,2 88,1 89,2 19 90,2 88,0 90,2 89,2 20 90,2 88,1 90,2 88,4 21 90,2 90,1 88,1 88,3 Sieć LAN po uruchomieniu techniki DMVPN przy wykorzystaniu któregokolwiek algorytmu szyfrowania charakteryzowała się niższą przepływnością. Przyczyną tego są zachodzące w niej procesy zabezpieczania strumienia danych protokołem IPSec. Dane wysyłane są od stacji nadawczej do stacji odbiorczej. Na drodze tej pakiety najpierw natrafiają na router Spoke 1. W routerze tym pakiety danych są enkapsulowane przy użyciu protokołu mgre, aby umożliwić protokołowi IPSec zabezpieczenie poprzez szyfrowanie przesyłanych pakietów, gdyż protokół ten nie obsługuje ruchu multicastowego. Użytymi protokołami

Efektywność techniki DMVPN w zapewnianiu poufności danych 129 były DES, 3DES oraz AES z 256 bitowym kluczem. Następnie tak zaszyfrowane pakiety trafiają do routera Hub, który przeprowadza te same czynności w odwrotnej kolejności a następnie rozszyfrowane pakiety docierają do miejsca przeznaczenia. Procesy związane z zestawianiem tunelu DMVPN i przygotowywaniem pakietów do przejścia przez sieć (wyżej wspomniana szyfracja i enkapsulacja) wykonywane są w routerach z włączoną techniką DMVPN (Hub i Spoke i). Sprawia to, że routery te muszą poświęcić część swojej mocy obliczeniowej na te procesy. Może to też powodować spadki przepływności i zwiększenie strat pakietów związanych z wykonywaniem przez te routerów również innych procesów. Rys. 3. Wykres przepływności jednostki strumienia danych 1000 pakietów wielkości 256 kb Z powyższych zestawień widać, że sieć z zaimplementowaną techniką DMVPN z algorytmem szyfrowania AES 256 charakteryzuje się najwyższą średnią przepływnością. Wadą natomiast są duże zmienności wahające się od 86 Mb/s do 91,8 Mb/s dla 1000 pakietów o wielkości 256 kb. Niższą średnią charakteryzują się natomiast algorytmy DES i 3DES, ale za to stałość wartości przepływności przez nieoferowanych jest wyższa (wynosi ona 2,2 dla 3DES oraz 3,3 dla DES przy 5,8 dla AES256). W stosunku do zwykłej sieci LAN najlepiej, więc wypada technika DMVPN z wykorzystaniem szyfrowania AES

130 Radosław Wielemborek, Dariusz Laskowski z 256 bitową długością klucza. Jest ona gorsza od zwykłej sieci LAN zaledwie o około 0,8% dla przesyłania 1000 pakietów wielkości 256 kb. Jednak różnice te w porównaniu do zwykłej sieci LAN są tak niewielkie, że użytkownik w żaden sposób nie będzie w stanie odczuć niedogodności w pracy z tunelem czy bez niego. Wielkości te zgodnie z teorią mogą wynosić nawet do 10%, więc otrzymane wyniki z nawiązką mieszczą się w danych teoretycznych. Wprowadzenie techniki DMVPN w niewielkim stopniu wydłuża proces otrzymywania pożądanych danych w stacji końcowej, ale nie sprawia to problemu, gdyż wielkości te są za małe by być odczuwalnymi. W celu dokładniejszego zbadania wydajności sieci z techniką DMVPN przeprowadzono drugi test polegający na zbadaniu przepływności sieci między klientem PC1 a serwerem znajdującym się w domenie serwerowej w warunkach narastającej wartości opóźnienia generowanej przez urządzenia LANForge. Badanie polegało na przesłaniu 250 MB danych przez sieć oraz wyciągnięciu średniej ze wszystkich próbek przepływności pobieranych, co sekundę w sieci z różnymi tunelami i bez niego. Wyniki pomiarów przedstawione zostały poniżej. Tab. 2. Przepływności w funkcji zmiany opóźnienia Opóźnienie [ms] C [Mb/s] bez DMVPN DMVPN AES256 DMVPN 3DES DMVPN DES 10 43,7 42,0 42,2 42,2 20 43,0 41,8 42,1 42,1 30 43,5 40,9 41,9 41,9 40 43,3 41,1 41,8 41,8 50 41,8 41,4 40,4 40,4 80 38,9 40,8 37,1 37,4 90 37,3 29,1 36,1 36,6 100 39,9 20,2 38,2 38,5 200 35,9 17,6 38,7 28,9 Z rysunku 4 wynika, iż sieć LAN z zaimplementowaną techniką DMVPN jest bardziej podatna na zwiększające się wartości opóźnienia. Do opóźnienia wynoszącego około 80 ms różnice te są praktyczne niezauważalne (strata maksymalnie 2 Mb/s). Powyżej tej wartości odnotowano ogromny spadek wartości przepływności dla tunelu DMVPN z algorytmem szyfrowania AES256. Pozostałe algorytmy wypadły lepiej gdyż spadek przepływności w całym zakresie wykonanych pomiarów (wybrane wartości opóźnienia od 10 do 200 ms) nie był większy niż 2 Mb/s.

Efektywność techniki DMVPN w zapewnianiu poufności danych 131 Rys. 4. Wykres przepływności jednostki strumienia danych w funkcji opóźnienia Warto dodać, że występujące w sieci publicznej opóźnienia nie osiągają wartości powyżej 80 ms. Średnie ich wielkości mieszczą się w 30 ms. Oznacza to, że praca z tunelem i wykorzystaniem któregokolwiek algorytmu szyfrowania nie nastręczy żadnych trudności użytkownikowi, gdyż występująca 2% różnica w przepływności dla wszystkich testowanych algorytmów szyfrowania dla opóźnień do 80 ms w porównaniu do zwykłej sieci LAN jest niezauważalna. W rzeczywistych warunkach sieciowych - gdy dąży się do zapewnienia jak najlepszych warunków użytkowania sieci, wpływ DMVPN jest zupełnie niezauważalny, a zapewniane przez niego poziom bezpieczeństwa i skalowalność w dowolnych warunkach sieciowych są wyższe niż dla zwykłej sieci LAN. 4. Wnioski Celem artykułu było zbadanie istoty działania dynamicznych skalowalnych sieci VPN oraz analizy poufności przesyłanych za ich pomocą danych w sieciach szkieletowych o stosie protokołów TCP/IP.

132 Radosław Wielemborek, Dariusz Laskowski W niniejszej publikacji zostało opisane rozwiązanie sieci DMVPN typu Hub and Spoke, gdzie tunele są zestawiane na drodze Spoke- Hub. Tryb ten powoduje, że Hub- węzeł centralny jest w pełni funkcjonalnym nadzorcą i pośrednikiem w każdej transmisji danych. W celu oceny wpływu dynamicznych skalowalnych wirtualnych sieci prywatnych na jakość połączenia dokonano próby transmisji danych poprzez tunel IPSec z wykorzystaniem platformy LANForge jako emulatora rzeczywistych warunków sieciowych. Dane przedstawione w punkcie poprzednim dotyczącym analizy badawczej świadczą o minimalnym, praktycznie niezauważalnym wpływie tej techniki na czas otrzymania danych. Technika DMVPN w żaden zauważalny sposób nie utrudnia pracy zwykłemu użytkownikowi, jest przez niego niezauważalna. Podsumowując technika DMVPN jest bardzo dobrym i wygodnym rozwiązaniem dla dużych firm, gdzie mobilność pracowników i bezpieczeństwo danych odgrywają główne role. Przez charakter działania technika ta daje możliwość bezpiecznej transmisji danych nie zmuszając do utrzymywania ciągle aktywnych zwykłych połączeń VPN a dzięki dostępności oprogramowania CCP każdy jest w stanie szybko i skutecznie ustanowić takie połączenia nawet w domowych warunkach. Literatura 1. Kabaciński W., Żal M.: Sieci telekomunikacyjne; WKŁ, Warszawa, 2008 2. 2 H. Osterloh: Szkoła programowania TCP/IP; Helion, Gliwice, 2006 3. www.integrator.solidex.com.pl/integrator/archiwum/archiwum-wydaniaonline/copy_of_wydanie-2007/nr-11-12-2007-95/dynamic-multipoint-vpndmvpn

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres