VPN (1) - historie, definice a důvody budování

Termín "VPN" nebo "Virtual Private Network" se používá k popisu širokého spektra řešení, i když přitom není sám předmět přesně specifikován. Tato volnost v terminologii vede ke stavu, kdy termín "VPN" je používán pro označení i dosti různých technologií. V tomto seriálu jsou teoreticky rozebrány různé typy virtuálních privátních sítí z hlediska vhodnosti použití pro specifické účely, jejich přednosti a nedostatky.

Termín "VPN" nebo "Virtual Private Network" se používá k popisu širokého spektra řešení, i když přitom není sám předmět přesně specifikován. Tato volnost v terminologii vede ke stavu, kdy termín "VPN" je používán pro označení i dosti různých technologií. Existence spousty definicí virtuálních sítí umožňuje pak mnoha výrobcům komunikačních produktů směle tvrdit, že jejich produkt je právě VPN.

V tomto seriálu jsou teoreticky rozebrány různé typy virtuálních privátních sítí z hlediska vhodnosti použití pro specifické účely, jejich přednosti a nedostatky.

Historický úvod

Na začátek bych chtěl zmínit několik historických souvislostí. Pojem virtuální sítě se ve větším měřítku začal používat u přepínačů, kde umožňoval na jediné fyzické infrastruktuře (kabeláži) vytvořit několik vzájemně oddělených sítí. Ačkoliv dnešní využití těchto virtuálních sítí je trošku odlišné od původních představ, kdy se předpokládalo, že každé oddělení bude mít svou vlastní virtuální síť napříč celým podnikem, ve své podstatě představují myšlenkového předchůdce virtuálních privátních sítí, kde kabeláž je nahrazena veřejným poskytovatelem datových služeb.

Hlavním impulsem rozvoje VPN pak byl mohutný rozvoj Internetu. Dokud byly firemní pobočky propojeny pevnými linkami nebo frame-relay spoji od zpravidla státního telekomu (tzv. plně privátní sítě), nikdo necítil zvláštní potřebu chránit svá data. Situace se ale výrazně změnila, když vznikla možnost a nabídka levného propojení poboček (nebo připojení uživatele k centrále) přes internet.

Ve své podstatě pak velice podobný problém představuje bezpečné připojení uživatelů na WWW server. Používají se zde podobné techniky virtualizace s tím rozdílem, že zde zpravidla není dopředu jasné, kteří uživatelé se budou připojovat. V případě extranetu se pak volí jeden z těchto dvou přístupů.

Definice

Úplně obecná definice virtuální privátní sítě by mohla znít:

VPN je privátní sít, kde privátnost je vytvořena nějakou metodou virtualizace. VPN může být vytvořena v mnoha variantách - mezi dvěma koncovými systémy, mezi dvěma organizacemi, mezi několika koncovými systémy v rámci jedné organizace nebo mezi více organizacemi pomocí např. globální sítě Internet. Může být vytvořena také přímo mezi aplikacemi a samozřejmě také libovolnou kombinací všech uvedených možností.

Poněkud formální, ale jasná a asi nejpřesnější definice VPN zní:

VPN je komunikační prostředí, ve kterém je řízen přístup ke komunikaci mezi jednotlivými entitami z definovaného souboru, je vytvořeno nějakou formou rozdělení společného komunikačního média, a kde tato nižší vrstva komunikačního média poskytuje síťové služby na ne-exkluzivní bázi.

Jednodušší, tedy jen přibližná, ale zato mnohem méně formální definice by mohla znít:

VPN je privátní síť, vybudovaná v rámci veřejné síťové infrastruktury, jakou je např. globální Internet.

Důvody budování VPN

Pro budování VPN existuje několik důvodů, jejich společným jmenovatelem je požadavek "virtualizace" jisté části komunikace v dané organizaci. Řečeno jinými slovy, požadavek "skrýt" jistou část komunikace (možná i celou) před "ostatním světem" a přitom využít efektivity společné komunikační infrastruktury.

Základní motivace pro budování virtuálních privátních sítí leží v ekonomice. Dnešní komunikační systémy se vyznačují vysokými fixními náklady a relativně nízkými variabilními náklady, závislými na přenosové kapacitě či šířce pásma. V takovémto ekonomickém prostředí je pak finančně výhodné spojit větší počet diskrétních komunikačních služeb do společné výkonné platformy a "rozpustit" tak vysoké pevné náklady mezi velký počet klientů. V duchu této myšlenky je pak vybudování i provoz celé sady virtuálních sítí na společné fyzické komunikační základně levnější než vybudování a provoz fyzicky samostatných diskrétních sítí.

Spojování jednotlivých komunikačních služeb do jedné společné a veřejné platformy má ale své limity, a těmi jsou právě výše zmíněné požadavky na "privátnost" komunikace - požadavky na vzájemné "odstínění" komunikace mezi jednotlivými uživateli či skupinami uživatelů. Náročnost řešení tohoto vzájemného odstínění je pak úměrná výši požadavků na bezpečnost a integritu dat jednotlivých komunikujících klientů či skupin.