[Dr.WoW] [No.43] Extension de réseau - partie 1

2 0 0 0


Il y a un vieil adage qui dit "tout a sa place; chacun a ses propres capacités". Les quatre principaux services du VPN SSL sont similaires: les utilisateurs qui souhaitent accéder aux ressources Web doivent utiliser le service proxy Web; pour accéder aux ressources de fichiers dont vous avez besoin pour utiliser le service de partage de fichiers, etc. Dans cet esprit, je suis sûr qu'il y aura quelques questions, telles que: "Dans quels scénarios l'extension de réseau dont vous parlez aujourd'hui sera-t-elle utilisé?" "Quels sont ses principes de travail?" Pourquoi ce service est-il appelé "extension réseau"? Vous avez peut-être encore plus de questions, mais ça va, je vais les expliquer une à une dans cette section.

1 Scénarios d'utilisation des extensions réseau
La figure 1-1 illustre un scénario dans lequel un utilisateur distant accède aux ressources du réseau interne de l'entreprise. En particulier, l'utilisateur distant doit accéder au serveur de voix interne d'une entreprise (serveur SIP) pour participer à une téléconférence. Les trois premiers services SSL VPN peuvent-ils répondre à ce type de besoin?

Figure 1-1 Scénario d'utilisation d'une extension réseau


562755e22afd5.png

Foutons cette première fois. L'utilisateur distant veut accéder au serveur vocal. La communication de protocole SIP sera utilisée entre les deux, et SIP est un type de protocole d’application qui est normalement superposé à UDP. Le proxy Web et le partage de fichiers résolvent les problèmes spécifiques des utilisateurs distants accédant aux ressources Web et aux ressources de fichier, mais ces deux services ne sont pas liés aux ressources vocales. Ces services ne peuvent donc certainement pas répondre à ce besoin. Le service de redirection de port peut-il résoudre ce problème? La réponse est également non. La raison en est que la redirection de port ne peut aider qu'avec les protocoles d'application basés sur TCP. Mais SIP est généralement un protocole basé sur UDP et le service de redirection de port est donc impuissant à le faire. Est-il possible que les VPN SSL ne puissent pas répondre à ce besoin? Bien sûr que non, ils le peuvent, mais ils doivent utiliser le service d'extension de réseau dont nous discutons aujourd'hui.

Le lancement du service d’extension réseau sur un pare-feu revêt une grande valeur, car ce service peut répondre aux besoins de l’utilisateur distant d’accéder à toutes les ressources IP du réseau interne de la société et la ressource vocale SIP mentionnée ci-dessus est une sorte d’IP Ressource.

Certains lecteurs ne comprennent peut-être pas très bien ce que nous entendons par ceci: l'extension de réseau permet aux utilisateurs distants d'accéder à toutes les ressources IP sur les réseaux internes de l'entreprise. J'ai donc utilisé la figure 1-2 pour approfondir mes explications.

Figure 1-2 L'extension réseau est située dans la couche réseau


562755ee358e1.png

La figure ci-dessus montre que l'utilisateur dispose de nombreux types de systèmes de service et, en réalité, ils sont trop nombreux pour être analysés séparément. Mais si nous creusons plusieurs couches plus profondément, nous découvrirons que quel que soit le nombre de systèmes de service que l'utilisateur possède au niveau des couches supérieures, il doit toujours faire appel à des protocoles de couche inférieure pour leur fournir un support de communication - c'est simplement la couche inférieure les types de protocole utilisés par différents systèmes de service sont différents.

Les protocoles de couche d'application pris en charge par les mandataires Web et le partage de fichiers sont très spécifiques. Par exemple, le proxy Web ne peut prendre en charge que les applications basées sur le protocole HTTP; le partage de fichiers ne prend en charge que les applications de protocole SMB et NFS; la redirection de port prend déjà en charge toutes les applications basées sur le protocole TCP. Cependant, avoir le service de transfert de port ne signifie pas que le VPN SSL peut tout faire: par exemple, le service de transfert de port est dépassé lorsqu'il rencontre certaines applications basées sur le protocole UDP (par exemple le protocole SIP utilisé par l'utilisateur). système de téléconférence est basé sur UDP). Si nous voulons que les VPN SSL puissent prendre en charge davantage d'applications utilisateur, cela nécessite que nous fournissions un support de protocole au niveau inférieur, et que l'extension réseau corresponde exactement à ce type de fonction: elle offre un support complet directement à la couche IP. Par conséquent, le service d’extension réseau est en mesure de fournir des types de ressources encore plus variés aux utilisateurs distants.

2 processus d'extension du réseau
Lorsqu'un utilisateur distant utilise la fonction d'extension réseau pour accéder aux ressources du réseau interne, le processus d'échange interne impliqué est illustré à la figure 1-3.

Figure 1-3 Flux des fonctions d'extension de réseau


562755fd254dd.png

1. Les utilisateurs distants se connectent à la passerelle virtuelle à l'aide d'un navigateur IE.

2. Une fois que l'utilisateur distant s'est connecté avec succès à la passerelle virtuelle, il active la fonction d'extension de réseau.

Lorsque l'utilisateur distant active la fonction d'extension réseau, les actions suivantes sont déclenchées:

une. Un nouveau tunnel SSL VPN sera établi entre l'utilisateur distant et la passerelle virtuelle.

b. Le PC local de l'utilisateur distant générera automatiquement une carte réseau virtuelle. La passerelle virtuelle sélectionne de manière aléatoire une adresse IP dans le groupe d'adresses et attribue cette adresse à la carte réseau virtuelle de l'utilisateur distant. Cette adresse est utilisée pour la communication entre l'utilisateur distant et le réseau interne de l'entreprise. Avec cette adresse IP privée, l'utilisateur distant peut facilement accéder aux ressources IP du réseau interne, tout comme s'il s'agissait d'un utilisateur du réseau interne de l'entreprise.

c. La passerelle virtuelle envoie des informations de routage pour atteindre le serveur de réseau interne à l'utilisateur distant.

3. L'utilisateur distant envoie un paquet de demande de service au serveur du réseau interne de l'entreprise. Ce paquet atteint la passerelle virtuelle via le tunnel SSL VPN.

4. Après avoir reçu le paquet, la passerelle virtuelle le décapsule, puis envoie le paquet de demande de service décapsulé au serveur de réseau interne.

5. Le serveur de réseau interne répond à la demande de service de l'utilisateur distant.

6. Une fois arrivé à la passerelle virtuelle, le paquet de réponse entre dans le tunnel SSL VPN.

7. Une fois que l'utilisateur distant a reçu le paquet de réponse de service, il décapsule le paquet pour en extraire le paquet de réponse de service.

Ce qui précède est le processus de base d’un utilisateur distant utilisant le service d’extension réseau pour accéder aux ressources IP du réseau interne de la société. Si nous comparons l’extension réseau aux trois autres méthodes d’implémentation des services SSL VPN, il n’est pas difficile de voir que les mécanismes par lesquels ces trois services (proxy Web, partage de fichiers et redirection de port) sont utilisés sont en grande partie les mêmes. mappez les ressources internes du réseau d'entreprise sur le pare-feu, qui sont ensuite présentées à l'utilisateur distant pour être visualisées par le pare-feu. De ce point de vue, le pare-feu est simplement un équipement proxy sécurisé, et l'utilisateur distant ne s'est pas connecté au réseau interne de l'entreprise.

Cependant, l'extension du réseau est différente. Au cours du service d'extension réseau, l'utilisateur distant obtient l'adresse IP d'un réseau privé interne à l'entreprise à partir du pare-feu et utilise cette adresse IP pour accéder aux ressources internes du réseau d'entreprise. Lorsqu'un utilisateur Internet possède l'adresse IP privée de l'entreprise, c'est comme si l'utilisateur lui-même se trouvait sur le réseau de l'entreprise. Ou, pour changer de perspective, cela équivaut à l'extension des frontières du réseau d'entreprise à l'emplacement de l'utilisateur distant. La zone entourée de tirets gris dans la figure 1-4 peut être comprise comme l'extension du réseau d'entreprise sur Internet. Il n'est donc pas difficile de comprendre pourquoi ce service s'appelle extension réseau.

Figure 1-4 Schéma d'extension du réseau


56275616d58d0.png

Pour nous permettre de mieux comprendre les mécanismes de mise en œuvre internes de l'extension de réseau, je vais utiliser le processus d'échange susmentionné et ajouter une explication des principes sous-jacents à l'encapsulation et à la décapsulation des paquets de demande de service entrant dans le tunnel VPN et des paquets sortant du tunnel VPN.

3 Mode de transport fiable et mode de transport rapide
Il existe deux méthodes permettant à la fonction d’extension réseau d’établir un tunnel SSL VPN: le mode de transport fiable et le mode de transport rapide. En mode de transport fiable, le VPN SSL utilise le protocole SSL pour encapsuler le paquet et utilise le protocole TCP comme protocole de transport. en mode de transport rapide, le VPN SSL utilise le protocole QUIC (Quick UDP Internet Connections) pour encapsuler le paquet et utilise le protocole UDP comme protocole de transport. QUIC est également un protocole de cryptage de données basé sur les protocoles TLS / SSL. Son rôle est identique à celui de SSL, à la différence près que les paquets encapsulés doivent être transportés à l'aide du protocole UDP.

La figure 1-5 illustre l'utilisation du mode de transport fiable pour l'encapsulation de paquets. La figure montre que l'adresse source (SRC: 192.168.1.1) pour la communication entre l'utilisateur distant et le réseau interne de l'entreprise (le serveur SIP) est l'adresse IP de sa carte de passerelle virtuelle. Les paquets échangés au cours du processus parviennent en toute sécurité aux deux parties en communication après une encapsulation et une décapsulation répétées. Lorsque l'utilisateur distant accède au serveur SIP, le port source de la couche de paquets interne est 5880 (aléatoire), le port de destination est 5060 et le protocole de transport est basé sur UDP. Le protocole d'encapsulation utilisé pour la couche de paquets externe est SSL et le protocole de transport est TCP.

Figure 1-5 Processus d'encapsulation de paquets lors de l'utilisation du mode de transport fiable 


56275631cf5f2.png


La figure 1-6 illustre le processus d'utilisation du mode de transport rapide pour effectuer une encapsulation de paquets. Les principes d'encapsulation de paquet dans ce mode sont identiques à ceux de l'encapsulation de paquet utilisant le mode fiable, à la différence que le protocole d'encapsulation de paquet de couche externe a été modifié de SSL à QUIC et que le protocole de transport de TCP à UDP.

Figure 1-6 Processus d'encapsulation de paquets lors de l'utilisation du mode de transfert rapide


56275647966a2.png

Dans les environnements de réseau instables, le mode de transport fiable est le mode suggéré. Cependant, lorsque l'environnement réseau est relativement stable, il est suggéré d'utiliser un mode d'encapsulation rapide, ce qui améliore l'efficacité de la transmission des données.


 

Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page