Extensión de red-parte 1

Pubilicado 2019-1-28 09:30:28 107 0 0 0

Extensión de red-parte 1

 

Hay un viejo dicho que dice "todo tiene su lugar; cada uno tiene sus propias habilidades". Los cuatro servicios principales de SSL VPN son similares: los usuarios que desean acceder a los recursos web necesitan usar el servicio proxy web; para acceder a los recursos de archivos que necesita para usar el servicio de intercambio de archivos, etc. Teniendo esto en cuenta, estoy seguro de que habrá algunas preguntas, como por ejemplo: "¿En qué escenarios estará la extensión de red de la que habla hoy? ¿usado?" "¿Cuáles son sus principios de funcionamiento?" ¿Por qué este servicio se llama "extensión de red"? Quizás tenga aún más preguntas, pero está bien, ya que explicaré estas preguntas una por una en esta sección.

1 Escenarios de uso de extensiones de red

La Figura 1-1 es un escenario en el que un usuario remoto accede a los recursos de red internos de la empresa. Específicamente, el usuario remoto necesita acceder al servidor de voz interno de la compañía (servidor SIP) para participar en una teleconferencia. ¿Los tres primeros servicios de SSL VPN pueden satisfacer este tipo de necesidad?

 

Figura 1-1 Escenario de uso de la extensión de red

232516sh7h0y0ifvzgm7h0.png?image.png

Vamos a analizar esto primero. El usuario remoto quiere acceder al servidor de voz. La comunicación del protocolo SIP se utilizará entre los dos, y SIP es un tipo de protocolo de aplicación que normalmente se coloca sobre UDP. El proxy web y el uso compartido de archivos resuelven los problemas específicos de los usuarios remotos que acceden a los recursos web y los recursos de archivos, pero estos dos servicios no están relacionados con los recursos de voz, por lo que estos servicios no pueden ayudar a satisfacer esta necesidad. ¿Puede el servicio de reenvío de puertos resolver este problema? La respuesta también es no. La razón es que el reenvío de puertos solo puede ayudar con los protocolos de aplicación basados en TCP. Pero SIP es generalmente un protocolo basado en UDP, por lo que el servicio de reenvío de puertos no puede hacer nada para lograrlo. ¿Es posible que las SSL VPN no puedan ayudar a lograr incluso esta necesidad? Por supuesto que no, pueden, pero necesitan usar el servicio de extensión de red que estamos discutiendo hoy.

 

El inicio del servicio de extensión de red en un firewall es de gran valor, ya que el servicio de extensión de red puede satisfacer la necesidad del usuario remoto de acceder a todos los recursos de IP en la red interna de la empresa, y el recurso de voz basado en SIP mencionado anteriormente es un tipo de IP recurso.

 

Tal vez algunos lectores no entienden muy bien lo que queremos decir al decir que la extensión de red permite a los usuarios remotos acceder a todos los recursos de IP en las redes internas de la empresa, por lo que he usado la Figura 1-2 para ampliar mi explicación.

 

Figura 1-2 La extensión de red se encuentra en la capa de red

232527m0v6gb496bigpzg2.png?image.png

De la figura anterior se puede ver que el usuario tiene muchos tipos de sistemas de servicio, y de hecho hay demasiados para revisarlos por separado. Pero si profundizamos en varias capas, descubriremos que, independientemente de la cantidad de sistemas de servicio que tenga el usuario en las capas superiores, aún deben depender de los protocolos de capa inferior para proporcionar soporte de comunicación para ellos, es solo que la capa inferior Los tipos de protocolo utilizados por los diferentes sistemas de servicio son diferentes.

 

Los protocolos de capa de aplicación admitidos por los proxies web y el intercambio de archivos son muy específicos. Por ejemplo, el proxy web solo puede admitir aplicaciones basadas en el protocolo HTTP; el uso compartido de archivos solo admite aplicaciones de protocolo SMB y NFS; el reenvío de puertos ya es compatible con todas las aplicaciones basadas en el protocolo TCP. Sin embargo, tener el servicio de reenvío de puertos no significa que SSL VPN puede hacer todo: por ejemplo, el servicio de reenvío de puertos se encuentra en su cabeza cuando encuentra algunas aplicaciones basadas en el protocolo UDP (por ejemplo, el protocolo SIP usado por el usuario). El sistema de teleconferencia se basa en UDP. Si queremos que las VPN SSL puedan admitir más aplicaciones de usuario, esto requiere que proporcionemos soporte de protocolo en la capa debajo de esto, y la extensión de red es exactamente este tipo de función: ofrece soporte completo directamente en la capa IP. Por lo tanto, el servicio de extensión de red puede proporcionar tipos de recursos aún más variados para usuarios remotos.

2 Proceso de extensión de red

Cuando un usuario remoto usa la función de extensión de red para acceder a los recursos de la red interna, el proceso de intercambio interno involucrado se muestra en la Figura 1-3.

 

Figura 1-3 Flujo de la función de extensión de red

232538wvwn04knwzx0zrzl.png?image.png

1. Los usuarios remotos inician sesión en la puerta de enlace virtual utilizando un navegador IE.

 

2. Una vez que el usuario remoto inicia sesión correctamente en la puerta de enlace virtual, habilita la función de extensión de red.

 

Cuando el usuario remoto habilita la función de extensión de red, activará las siguientes acciones:

 

a. Se establecerá un nuevo túnel VPN SSL entre el usuario remoto y la puerta de enlace virtual.

 

segundo. La PC local del usuario remoto generará automáticamente una tarjeta de red virtual. La puerta de enlace virtual selecciona aleatoriamente una dirección IP del grupo de direcciones y asigna la dirección a la tarjeta de red virtual del usuario remoto, con esta dirección utilizada para la comunicación entre el usuario remoto y la red interna de la empresa. Con esta dirección IP privada, el usuario remoto puede acceder cómodamente a los recursos IP de la red interna como si fuera un usuario en la red interna de la empresa.

 

b. La puerta de enlace virtual emite información de enrutamiento para llegar al servidor de la red interna al usuario remoto.

 

3. El usuario remoto envía un paquete de solicitud de servicio al servidor de la red interna de la empresa. Este paquete llega a la puerta de enlace virtual a través del túnel SSL VPN.

 

4. Después de recibir el paquete, la puerta de enlace virtual lo desencapsula y luego envía el paquete de solicitud de servicio desencapsulado al servidor de red interno.

 

5. El servidor de red interno responde a la solicitud de servicio del usuario remoto.

 

6. Después de llegar a la puerta de enlace virtual, el paquete de respuesta ingresa al túnel VPN SSL.

 

7. Una vez que el usuario remoto recibe el paquete de respuesta de servicio, desencapsula el paquete para extraer el paquete de respuesta de servicio.

 

Lo anterior es el proceso básico de un usuario remoto que utiliza el servicio de extensión de red para acceder a los recursos IP de la red interna de la empresa. Si comparamos la extensión de la red con los otros tres métodos de implementación de servicios VPN SSL, no es difícil ver que los mecanismos por los cuales se llevan a cabo estos tres servicios (proxy web, uso compartido de archivos y reenvío de puertos) son prácticamente los mismos entre sí: asigne los recursos internos de la red de la empresa al firewall, y luego estos se presentan para que el firewall los vea al usuario remoto. Desde esta perspectiva, el firewall es simplemente una pieza de equipo proxy seguro, y el usuario remoto no se ha conectado realmente a la red interna de la empresa.

 

Sin embargo, la extensión de la red es diferente. Durante el servicio de extensión de red, el usuario remoto obtiene una dirección IP de red privada interna de la empresa desde el firewall y usa esta dirección IP para acceder a los recursos internos de la red empresarial. Cuando un usuario de Internet posee la dirección IP privada de la empresa, es como si el propio usuario se encuentra dentro de la red de la empresa. O, para cambiar nuestra perspectiva, esto es equivalente a los límites de la red empresarial que se extienden a la ubicación del usuario remoto. El área rodeada de guiones grises en la Figura 1-4 puede entenderse como la extensión de la red de la empresa a Internet, por lo que no es difícil entender por qué este servicio se llama extensión de red.

 

Figura 1-4 Esquema de extensión de red

232737yob8eek21gngxk8o.png?image.png

Para permitirnos comprender mejor los mecanismos de implementación interna para la extensión de la red, usaré el proceso de intercambio antes mencionado y agregaré una explicación de los principios detrás de la encapsulación y desencapsulación de los paquetes de solicitud de servicio que ingresan al túnel VPN y los paquetes que salen del túnel VPN.

 

3 Modo de transporte confiable y modo de transporte rápido

Hay dos métodos mediante los cuales la función de extensión de red puede establecer un túnel SSL VPN: modo de transporte confiable y modo de transporte rápido. En el modo de transporte confiable, la VPN SSL usa el protocolo SSL para encapsular el paquete, y usa el protocolo TCP como el protocolo de transporte; en el modo de transporte rápido, SSL VPN usa el protocolo QUIC (Quick UDP Internet Connections) para encapsular el paquete, y usa el protocolo UDP como el protocolo de transporte. QUIC también es un protocolo de cifrado de datos basado en los protocolos TLS / SSL, y su función es la misma que la de SSL, excepto que los paquetes encapsulados deben ser transportados utilizando el protocolo UDP.

 

La Figura 1-5 muestra el uso de un modo de transporte confiable para la encapsulación de paquetes. En la figura se puede ver que la dirección de origen (SRC: 192.168.1.1) para la comunicación entre el usuario remoto y la red interna de la empresa (el servidor SIP) es la dirección IP de su tarjeta de pasarela virtual. Los paquetes que se intercambian en el proceso llegan de manera segura a las dos partes que se comunican luego de una repetida encapsulación y desencapsulación. Cuando el usuario remoto accede al servidor SIP, el puerto de origen para la capa de paquete interno es 5880 (aleatorio), el puerto de destino es 5060 y el protocolo de transporte está basado en UDP. El protocolo de encapsulación utilizado para la capa de paquete externa es SSL, y el protocolo de transporte es TCP.

 

Figura 1-5 Proceso de encapsulación de paquetes cuando se usa un modo de transporte confiable

232750l60zg70joys7ybyr.png?image.png

 

La Figura 1-6 muestra el proceso de usar el modo de transporte rápido para realizar la encapsulación de paquetes. Los principios de encapsulación de paquetes en este modo son los mismos que los de la encapsulación de paquetes que utilizan el modo confiable, con la diferencia de que el protocolo de encapsulación de paquetes de la capa externa ha cambiado de SSL a QUIC y el protocolo de transporte de TCP a UDP.

 

Figura 1-6 Proceso de encapsulación de paquetes cuando se usa el modo de transferencia rápida

232759jeeblyeqn5ijqhyc.png?image.png

En entornos de red inestables, el modo de transporte confiable es el modo sugerido; sin embargo, cuando el entorno de red es relativamente estable, se sugiere un modo de encapsulación rápido, ya que esto mejora la eficiencia de transmisión de datos.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba