j'ai compris

[Dr.WoW] [No.43] Extension de réseau - partie 1

publié il y a  2020-4-28 22:53:26 11 0 0 0
Il y a un vieil adage qui dit "tout a sa place; chacun a ses propres capacités". Les quatre principaux services de SSL VPN sont similaires: les utilisateurs qui souhaitent accéder aux ressources Web doivent utiliser le service proxy Web; pour accéder aux ressources de fichiers dont vous avez besoin pour utiliser le service de partage de fichiers, etc. Dans cet esprit, je suis sûr qu'il y aura quelques questions, telles que: "Dans quels scénarios sera l'extension réseau dont vous parlez aujourd'hui utilisé?" "Quels sont ses principes de fonctionnement?" Pourquoi ce service est-il appelé "extension réseau"? Vous avez peut-être encore plus de questions, mais ça va, car je vais expliquer ces questions une par une dans cette section.

1 Scénarios d'utilisation des extensions réseau

La figure 1-1 est un scénario dans lequel un utilisateur distant accède aux ressources réseau internes de l'entreprise. Plus précisément, l'utilisateur distant doit accéder au serveur vocal interne d'une entreprise (serveur SIP) pour participer à une téléconférence. Les trois premiers services SSL VPN peuvent-ils répondre à ce type de besoin?

Figure 1-1 Scénario d'utilisation de l'extension réseau


[Dr.WoW] [No.43] Network Extension-part 1-1308865-1 

Voyons d'abord yze. L'utilisateur distant souhaite accéder au serveur vocal. La communication par protocole SIP sera utilisée entre les deux, et SIP est une sorte de protocole d'application qui est normalement superposé sur UDP. Le proxy Web et le partage de fichiers résolvent les problèmes spécifiques des utilisateurs distants accédant aux ressources Web et aux ressources de fichiers, mais ces deux services ne sont pas liés aux ressources vocales, et ces services ne peuvent donc certainement pas aider à répondre à ce besoin. Le service de transfert de port peut-il résoudre ce problème? La réponse est également non. La raison en est que la redirection de port ne peut aider qu'avec les protocoles d'application basés sur TCP. Mais SIP est généralement un protocole basé sur UDP, et donc le service de transfert de port est impuissant à accomplir cela. Est-il possible que les VPN SSL ne puissent pas aider à satisfaire même ce besoin? Bien sûr que non, ils peuvent,mais ils doivent utiliser le service d'extension de réseau dont nous discutons aujourd'hui.

Le lancement du service d'extension de réseau sur un pare-feu est d'une grande valeur ici, car le service d'extension de réseau peut répondre au besoin de l'utilisateur distant d'accéder à toutes les ressources IP sur le réseau interne de l'entreprise, et la ressource vocale basée sur SIP mentionnée ci-dessus est une sorte d'IP Ressource.

Certains lecteurs n'ont peut-être pas une compréhension très approfondie de ce que nous voulons dire en disant que l'extension réseau permet aux utilisateurs distants d'accéder à toutes les ressources IP sur les réseaux internes de l'entreprise, et j'ai donc utilisé la figure 1-2 pour approfondir mon explication.

Figure 1-2 L'extension réseau est située dans la couche réseau


[Dr.WoW] [No.43] Network Extension-part 1-1308865-2 

D'après la figure ci-dessus, on peut voir que l'utilisateur dispose de nombreux types de systèmes de service et qu'il y en a trop pour les examiner séparément. Mais si nous creusons plusieurs couches plus profondément, nous découvrirons que quel que soit le nombre de systèmes de service dont dispose l'utilisateur dans les couches supérieures, ils doivent toujours s'appuyer sur des protocoles de couche inférieure pour leur fournir un support de communication ― c'est juste que la couche inférieure les types de protocoles utilisés par différents systèmes de service sont différents.

Les protocoles de couche application pris en charge par les proxys Web et le partage de fichiers sont très spécifiques. Par exemple, le proxy Web ne peut prendre en charge que les applications basées sur le protocole HTTP; le partage de fichiers ne prend en charge que les applications de protocole SMB et NFS; la redirection de port prend déjà en charge toutes les applications basées sur le protocole TCP. Cependant, avoir le service de redirection de port ne signifie pas que le VPN SSL peut tout faire: par exemple, le service de redirection de port est au dessus de sa tête lorsqu'il rencontre certaines applications basées sur le protocole UDP (par exemple le protocole SIP utilisé par l'utilisateur système de téléconférence est basé sur UDP). Si nous voulons rendre les VPN SSL capables de prendre en charge davantage d'applications utilisateur, cela nécessite que nous fournissions un support de protocole au niveau inférieur, et l'extension de réseau est exactement ce genre de fonction:il offre un support complet directement au niveau de la couche IP. Par conséquent, le service d'extension de réseau est en mesure de fournir des types de ressources encore plus variés aux utilisateurs distants.

2 Processus d'extension du réseau

Lorsqu'un utilisateur distant utilise la fonction d'extension réseau pour accéder aux ressources réseau internes, le processus d'échange interne impliqué est illustré à la figure 1-3 .

Figure 1-3 Flux de la fonction d'extension du réseau


[Dr.WoW] [No.43] Network Extension-part 1-1308865-3 

1.         Les utilisateurs distants se connectent à la passerelle virtuelle à l'aide d'un navigateur IE.

2. Une         fois que l'utilisateur distant s'est connecté avec succès à la passerelle virtuelle, il active la fonction d'extension réseau.

Lorsque l'utilisateur distant active la fonction d'extension réseau, il déclenche les actions suivantes:

une.          Un nouveau tunnel VPN SSL sera établi entre l'utilisateur distant et la passerelle virtuelle.

b.          Le PC local de l'utilisateur distant générera automatiquement une carte réseau virtuelle. La passerelle virtuelle sélectionne au hasard une adresse IP dans le pool d'adresses et attribue l'adresse à la carte réseau virtuelle de l'utilisateur distant, cette adresse étant utilisée pour la communication entre l'utilisateur distant et le réseau interne de l'entreprise. Avec cette adresse IP privée, l'utilisateur distant peut facilement accéder aux ressources IP du réseau interne comme s'il était un utilisateur du réseau interne de l'entreprise.

c.          La passerelle virtuelle émet des informations de routage pour atteindre le serveur de réseau interne à l'utilisateur distant.

3.         L'utilisateur distant envoie un paquet de demande de service au serveur du réseau interne de l'entreprise. Ce paquet atteint la passerelle virtuelle via le tunnel VPN SSL.

4.         Après avoir reçu le paquet, la passerelle virtuelle le décapsule, puis envoie le paquet de demande de service décapsulé au serveur de réseau interne.

5.         Le serveur de réseau interne répond à la demande de service de l'utilisateur distant.

6. Une         fois arrivé à la passerelle virtuelle, le paquet de réponse entre dans le tunnel SSL VPN.

7. Une         fois que l'utilisateur distant a reçu le paquet de réponse de service, il décapsule le paquet pour extraire le paquet de réponse de service qu'il contient.

Ce qui précède est le processus de base d'un utilisateur distant utilisant le service d'extension de réseau pour accéder aux ressources IP du réseau interne de l'entreprise. Si nous comparons l'extension du réseau avec les trois autres méthodes de mise en œuvre des services VPN SSL, il n'est pas difficile de voir que les mécanismes par lesquels ces trois services (proxy Web, partage de fichiers et redirection de port) sont accomplis sont largement les mêmes les uns que les autres ― ils mappez les ressources internes du réseau d'entreprise sur le pare-feu, et celles-ci sont ensuite présentées à l'utilisateur distant par le pare-feu. De ce point de vue, le pare-feu est simplement un équipement proxy sécurisé et l'utilisateur distant ne s'est pas réellement connecté au réseau interne de l'entreprise.

Cependant, l'extension du réseau est différente. Pendant le service d'extension de réseau, l'utilisateur distant obtient une adresse IP du réseau privé interne de l'entreprise à partir du pare-feu et utilise cette adresse IP pour accéder aux ressources internes du réseau d'entreprise. Lorsqu'un utilisateur Internet possède l'adresse IP privée de l'entreprise, c'est comme si l'utilisateur lui-même se trouvait à l'intérieur du réseau d'entreprise. Ou, pour changer notre point de vue, cela équivaut à l'extension des frontières du réseau d'entreprise à l'emplacement de l'utilisateur distant. La zone entourée de tirets gris sur la figure 1-4 peut être comprise comme l'extension du réseau d'entreprise sur Internet, il n'est donc pas difficile de comprendre pourquoi ce service est appelé extension de réseau.

Figure 1-4 Schéma d' extension du réseau


[Dr.WoW] [No.43] Network Extension-part 1-1308865-4 

Pour nous permettre de mieux comprendre les mécanismes de mise en œuvre interne pour l'extension du réseau, j'utiliserai le processus d'échange susmentionné et ajouterai une explication des principes derrière l'encapsulation et la décapsulation des paquets de demande de service entrant dans le tunnel VPN et des paquets sortant du tunnel VPN.

3 Mode de transport fiable et mode de transport rapide

Il existe deux méthodes par lesquelles la fonction d'extension de réseau peut établir un tunnel VPN SSL: un mode de transport fiable et un mode de transport rapide. En mode de transport fiable, le VPN SSL utilise le protocole SSL pour encapsuler le paquet et utilise le protocole TCP comme protocole de transport; en mode de transport rapide, le VPN SSL utilise le protocole QUIC (Quick UDP Internet Connections) pour encapsuler le paquet et utilise le protocole UDP comme protocole de transport. QUIC est également un protocole de chiffrement de données basé sur les protocoles TLS / SSL, et son rôle est le même que SSL, sauf que les paquets qu'il encapsule doivent être transportés à l'aide du protocole UDP.

La figure 1-5 montre l'utilisation d'un mode de transport fiable pour l'encapsulation de paquets. Sur la figure, on peut voir que l'adresse source (SRC: 192.168.1.1) pour la communication entre l'utilisateur distant et le réseau interne de l'entreprise (le serveur SIP) est l'adresse IP de sa carte de passerelle virtuelle. Les paquets échangés au cours du processus parviennent en toute sécurité aux deux parties communicantes après encapsulation et décapsulation répétées. Lorsque l'utilisateur distant accède au serveur SIP, le port source de la couche de paquets interne est 5880 (aléatoire), le port de destination est 5060 et le protocole de transport est basé sur UDP. Le protocole d'encapsulation utilisé pour la couche de paquets externe est SSL et le protocole de transport est TCP.

Figure 1-5 Processus d'encapsulation de paquets lors de l'utilisation d'un mode de transport fiable


[Dr.WoW] [No.43] Network Extension-part 1-1308865-5 

La figure 1-6 illustre le processus d'utilisation du mode de transport rapide pour effectuer l'encapsulation des paquets. Les principes d'encapsulation des paquets dans ce mode sont les mêmes que ceux de l'encapsulation des paquets en utilisant le mode fiable, à la différence que le protocole d'encapsulation des paquets de la couche externe a été changé de SSL à QUIC, et le protocole de transport a été changé de TCP à UDP.

Figure 1-6 Processus d'encapsulation de paquets lors de l'utilisation du mode de transfert rapide


[Dr.WoW] [No.43] Network Extension-part 1-1308865-6 

Dans les environnements réseau instables, le mode de transport fiable est le mode suggéré; cependant, lorsque l'environnement réseau est relativement stable, un mode d'encapsulation rapide est suggéré, car cela améliore l'efficacité de la transmission de données.

 

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise