СОВРЕМЕННАЯ ЭЛЕКТРОНИКА №2/2013

ПРИБОРЫ И СИСТЕМЫ между компьютерами, через которое передаются пакеты всех других соеди нений, включая IP, TCP, UDP и др. Эта схема подобна тоннелю, которым яв ляется первоначально созданное со единение на основе протокола IP. Не имеет значения, какая сторона иници ировала соединение, важно, что паке тыVPN свободно 1 пропускают серверы NAT и межсетевые экраны, не пытаясь их анализировать и модифицировать. Технология VPN появилась сразу же, как появились серверыNAT имежсете вые экраны, и быстро стандартизиро валась, ипотому тоннелиVPNприобре ли специальные номера портов назна чения в заголовках TCP и UDP, а также идентификаторы в заголовке IP, что позволяет отличать их пакеты от паке тов остальных протоколов. Всё сетевое оборудование должно распознавать протоколы VPN, если оно соответству ет рекомендациям IETF. Провайдеры мобильной связи в большинстве своём не блокируют протоколы VPN, следуя правиламостальных сетей, поскольку в противном случае они могут потерять значительную часть трафика. Хотя преимущества виртуальных частных сетей известны, приведём их ещё раз: ● узлы виртуальной частной сети не нуждаются в публичных IP адресах; ● внутри виртуальной частной сети открыты все порты TCP и UDP и до ступны любые конфигурации под ключений между узлами; ● первичное подключение IP, через ко торое осуществляется туннелирова ние, применяетшифрование данных, защищая пакеты от несанкциониро ванного просмотра и модификации. Протокол туннелирования PPTP В настоящее время применяется не сколькопротоколовVPN. Самыеизвест ныеизнихобозначают аббревиатурами PPTP (point to point tunneling protocol) и L2TP (Layer 2 Tunnelling Protocol). Это два конкурирующих протокола разли чаютсямеханизмамиработы. Протокол PPTPвозникнесколькораньшеипоэто му чаще встречается на старомили дав но выпускаемом оборудовании. Далее мы будем рассматривать только прото кол PPTP из за характеристик, делаю щих его привлекательным для исполь зования во встраиваемых устройствах. Во первых , протокол PPTP реализует повторное использование протокола PPP, который является первичнымпро токолом при «общении» с модемами GPRS. Во вторых , протокол PPTP под держивают все ПК c операционной системойWindows, начиная сWindows 95. Единственно доступное VPN под ключение в операционных системах Windows XP класса Home edition вы полняется именно по протоколу PPTP. В третьих , протокол PPTP использует очень быстрый алгоритмшифрования RC4, который в 3–7 раз быстрее алго ритмов, применяющихся в протоколе L2TP (DES3, AES), включая аутентифи кацию. Скорость и простота – важные факторы во встраиваемых системах. На рисунке 5 представленыформаты пакетов протокола PPTP, который ис пользует IP пакеты для организации двух каналов транспортного уровня: одного канала TCP для управления тон нелем и одного канала GRE для пере дачи данных туннелируемых прото колов. GRE (Generic Routing Encapsu lation, общая инкапсуляция маршру тов) – это протокол туннелирования, разработанный для инкапсуляции пакетов сетевого уровня. В случае с PPTP – это пакеты протокола PPP. Сначала протокол PPTP устанавли вает с удалённой стороной соедине ние TCP, через которое «договарива ется» о параметрах тоннеля; после до стижения договорённости начинают передаваться пакеты GRE, которые, в свою очередь, транспортируют паке ты PPP. С помощью последних внутри тоннеля организуется сетевое соеди нение по какому либо сетевому про токолу поверх PPP. Схема достаточно сложная, учитывая, что между PPP и пе реносимыми им пакетами может при сутствовать «прослойка» протокола MPPE, отвечающего за шифрование данных. Тем не менее, дополнитель ный объём заголовков, добавляемый протоколом PPTP к первичному IP по току данных, не превышает 36 байт, что составляет 2,5% максимального объёма пакета IP (1500 байт). Если по смотреть на типичный пакет данных, отправляемый на web сервер через модем GPRS с помощью тоннеля PPTP, мы увидим следующую цепочку вло женных заголовков: PPP → IP → GRE → → PPP → MPPE → IP → TCP → HTTP → → данные. Как правило, всё, что следует после заголовка MPPE, зашифровано. По умолчанию, на протяжении су ществования соединения PPTP, по управляющему каналу непрерывно (с периодичностью раз в минуту в кон фигурацииWindows) передаются эхо запросы (56 байт), в ответ на которые противоположная сторона должна по сылать эхо ответы (60 байт). В резуль тате создаётся дополнительный тра фик объёмом около 5 Мб в месяц. Во встраиваемых устройствах с целью экономии интервал эхо запросов мож но увеличить. Протокол PPTP не обя зывает использоватьшифрование дан ных; его можно отключить и, таким образом, наблюдать за пакетами в тон неле в процессе отладки. С ОЗДАНИЕ ВИРТУАЛЬНОЙ ЧАСТНОЙ СЕТИ НА ПРИМЕРЕ ВСТРАИВАЕМОЙ ПЛАТЫ ARMG EO S PYDER 2 Для использования преимуществ VPN необходимо иметь модем GPRS или модуль, поддерживающий прото колы VPN. Модули GPRS с поддержкой VPN– большая редкость. В составе уни версальных маршрутизаторов модемы 41 WWW.SOEL.RU СОВРЕМЕННАЯ ЭЛЕКТРОНИКА ◆ № 2 2013 1 Маршрутизаторы иногда фильтруют отдельные протоколы VPN. – Прим. ред. 0,4 0,14 0,12 0,10 0,08 0,06 0,04 0,02 0 0,6 0,8 1,0 1,2 1,4 1,6 1,8 2,0 Время, с 3,0 4,0 4,2 4,4 4,6 4,8 5,0 3,2 3,4 3,6 3,8 2,2 2,4 2,6 2,8 Рис. 4. Нормированная гистограмма распределения времени прохождения пакетов между объектами в системе «Полигон»