VPN Сүлжээ

Орчин үеийн мэдээллийн технологийн дэд бүтцэд VPN нь байгууллага болон хувь хүмүүсийн мэдээлэл дамжуулах аюулгүй байдал, нууцлал болон хүртээмжийг хангах үндсэн тулгуур технологи болон хөгжсөн билээ. VPN гэдэг нь нийтийн эсвэл дундын сүлжээний дэд бүтэц (ихэвчлэн Интернэт) дээр логик холболт үүсгэж, тусгаарлагдсан, хамгаалагдсан сүлжээний орчныг бий болгох технологийн цогц шийдэл юм.

VPN-ийн Үндсэн Ангилал ба Удирдлагын Загвар

VPN-ийг хэн хариуцаж тохируулж байгаа болон удирдлагын төв цэг нь хаана байрлаж байгаагаас хамаарч үндсэн хоёр том салбарт хуваадаг. Энэхүү хуваагдал нь байгууллагын санхүүгийн чадамж, техникийн мэдлэг болон аюулгүй байдлын шаардлагаас шууд хамаардаг.   

Үйлчилгээ Үзүүлэгч Хариуцсан VPN (Provider Provisioned VPN – PPVPN)
PPVPN гэдэг нь холболтын үйлчилгээ үзүүлэгч (ISP) эсвэл харилцаа холбооны оператор компани өөрийн сүлжээний дэд бүтэц дээр хэрэглэгчид зориулан үүсгэж өгсөн виртуал сүлжээ юм. Энэ тохиолдолд хэрэглэгч нь сүлжээний нарийн төвөгтэй тохиргоог хийх шаардлагагүй бөгөөд зөвхөн үйлчилгээ үзүүлэгчийн цэгт холбогдоход л хангалттай байдаг. PPVPN-ийн гол давуу тал нь цар хүрээгээ тэлэх боломж (scalability) болон удирдлагын зардлыг хэмнэх явдал юм.   

PPVPN-ийн архитектур нь дараах үндсэн гурван төхөөрөмжийн үүрэг дээр тогтдог:

1. Хэрэглэгчийн Зааг (Customer Edge – CE): Хэрэглэгчийн талд байрлах рүүтэр эсвэл свич. Энэ төхөөрөмж нь VPN-ийн дотоод логикийг мэддэггүй, зөвхөн үйлчилгээ үзүүлэгчийн төхөөрөмж рүү өгөгдөл илгээдэг.   
2. Үйлчилгээ Үзүүлэгчийн Зааг (Provider Edge – PE): Үйлчилгээ үзүүлэгчийн сүлжээний зааг дээр байрлах, VPN-ийн “тархи” болсон төхөөрөмж. Энэ төхөөрөмж нь олон өөр хэрэглэгчийн VPN-ийг тусгаарлаж, чиглүүлэлтийг (routing) хариуцдаг.   
3. Үйлчилгээ Үзүүлэгчийн Гол Төхөөрөмж (Provider – P): Үйлчилгээ үзүүлэгчийн сүлжээний цөм хэсэгт байрлах, зөвхөн шошгоор (label) өгөгдөл дамжуулах үүрэгтэй төхөөрөмж.   

Хэрэглэгч Хариуцсан VPN (Customer Provisioned VPN)
Хэрэглэгч хариуцсан VPN-ийн хувьд байгууллага өөрөө VPN төхөөрөмжүүдийг худалдан авч, интернэт холболт дээр суурилан өөрийн туннелийг үүсгэдэг. Энэ нь үйлчилгээ үзүүлэгчээс хараат бус байх боломжийг олгох бөгөөд аюулгүй байдлын бодлого, шифрлэлтийн алгоритмыг хэрэглэгч бүрэн хянах давуу талтай.   

Түвшин хоорондын VPN холболтын төрлүүд (Layer 1, 2, 3)
Зураглал дээр харуулсны дагуу PPVPN нь ажиллаж буй OSI түвшингээсээ хамаарч гурав хуваагдана. Энэ нь сүлжээний инженерчлэлд “Аль түвшинд өгөгдлийг дамжуулах вэ?” гэдэг асуултад хариулдаг.

1-р түвшний VPN (Layer 1 VPN – L1VPN)
L1VPN нь физик түвшинд холболт үүсгэдэг технологи юм. Үүний гол төлөөлөгч нь GMPLS (Generalized Multi-Protocol Label Switching) юм. Энэ түвшинд өгөгдөл нь пакет эсвэл кадр хэлбэрээр биш, харин физик долгионы урт (wavelength) эсвэл цаг хугацааны завсар (time slot) хэлбэрээр дамждаг. 

• GMPLS-ийн үүрэг: Энэ нь зөвхөн IP пакет биш, харин оптик шилэн кабелийн гэрлийн долгион, SONET/SDH сүлжээний холболтыг удирдах боломжийг олгодог. Энэ нь маш том дата төвүүд эсвэл улс хоорондын интернэтийн гол зангилаануудад ашиглагддаг.

2-р түвшний VPN (Layer 2 VPN – L2VPN)
L2VPN нь хэрэглэгчийн хоёр цэгийг виртуал “свич” эсвэл “кабель”-аар шууд холбож байгаа мэт сэтгэгдэл төрүүлдэг. Энэ нь Layer 2 түвшний кадрыг (frame) дамжуулдаг тул хэрэглэгч өөрийн IP хаягжилт болон рүүтингийн бодлогыг ISP-ээс хамааралгүйгээр зохион байгуулах боломжтой.   

1. Point-to-Point (P2P) буюу VPWS: Хоёр цэгийг хооронд нь холбоно. Үүнийг техникийн хэлээр “Pseudowire” гэж нэрлэдэг.   
   • AToM (Any Transport over MPLS): Энэ нь Cisco-ийн технологи бөгөөд Ethernet, Frame Relay, ATM гэх мэт ямар ч төрлийн Layer 2 өгөгдлийг MPLS сүлжээгээр дамжуулах боломжийг олгодог. 
   • L2TPv3: IP сүлжээ дээгүүр Layer 2 туннель үүсгэх протокол. Энэ нь MPLS-гүй орчинд Layer 2 холболт хийхэд ашиглагддаг
2. Multipoint-to-Multipoint: Олон цэгийг нэг виртуал LAN-д холбоно.
   • VPLS (Virtual Private LAN Service): Олон салбар оффисуудыг нэг дотоод сүлжээнд байгаа мэт болгож харагдуулдаг. Энэ нь Ethernet дээр суурилсан маш уян хатан шийдэл юм.
   • IPLS (IP-Only LAN Service): VPLS-тэй төстэй боловч зөвхөн IP пакетуудыг дамжуулахыг дэмждэг, илүү хялбаршуулсан хувилбар юм.
   • 802.1Q Tunneling (Q-in-Q): Хэрэглэгчийн VLAN шошгыг өөр нэг операторын VLAN шошгоор бүрж дамжуулах технологи. Энэ нь ISP-үүд хэрэглэгчийн дотоод VLAN-г өөрчлөхгүйгээр дамжуулахад ашиглагддаг.

3-р түвшний VPN (Layer 3 VPN – L3VPN)
L3VPN нь өгөгдлийг IP пакет түвшинд чиглүүлдэг. Энэ төрлийн VPN-д үйлчилгээ үзүүлэгч нь хэрэглэгчийн рүүтинг буюу чиглүүлэлтийн процесст оролцдог. Хэрэглэгчийн салбар бүр ISP-ийн PE рүүтэр рүү рүүтинг протоколын мэдээллээ илгээж, ISP нь түүнийг бусад салбарууд руу дамжуулж өгдөг.   

• BGP/MPLS VPN: Энэ бол дэлхий дахинд хамгийн өргөн ашиглагдаж буй байгууллагын VPN технологи юм. Үүнд RD (Route Distinguisher) болон RT (Route Target) гэсэн хоёр чухал ойлголт байдаг. RD нь ижил IP хаягтай хэрэглэгчдийг хооронд нь ялгах үүрэгтэй бол RT нь аль салбар аль салбартайгаа мэдээлэл солилцохыг тодорхойлдог.   
• Virtual Router VPN: PE рүүтэр дээр хэрэглэгч бүрт зориулсан виртуал рүүтэр үүсгэдэг. Энэ нь BGP/MPLS-ээс илүү энгийн боловч олон хэрэглэгчтэй үед төхөөрөмжийн нөөцийг ихээр зарцуулдаг сул талтай.   

Remote Access VPN: Зохион Байгуулалтын Загварууд
Remote Access VPN нь гадуур явж буй ажилтан эсвэл гэрээсээ ажиллаж буй хэрэглэгч байгууллагын сүлжээнд холбогдох боломжийг олгодог. Үүнийг туннель хаана эхэлж байгаагаас хамаарч хоёр ангилдаг.   

Compulsory Tunnel Mode / NAS-initiated
Энэ загварт хэрэглэгч нь эхлээд өөрийн ISP-ийн зангилаанд (NAS – Network Access Server) холбогдоно. Тэрхүү ISP-ийн сервер нь хэрэглэгчийн өмнөөс байгууллагын VPN сервер рүү туннель үүсгэж өгдөг. Хэрэглэгч өөрөө туннель үүсгэж байгаагаа мэддэггүй тул “албадмал” гэж нэрлэдэг.   

Voluntary Tunnel Mode / Client-initiated
Энэ бол бидний хамгийн сайн мэдэх VPN-ийн төрөл юм. Хэрэглэгч өөрийн компьютер дээрээ VPN программ (Cisco AnyConnect, OpenVPN, NordVPN гэх мэт) суулгаж, интернэтээр дамжуулан VPN сервер рүү шууд туннель үүсгэдэг. Энэ тохиолдолд ISP нь зөвхөн интернэт холболтоор хангах бөгөөд туннель дотор юу болж байгааг мэдэх боломжгүй.   

Сүлжээний Зааг Дээр Суурилсан Хэрэгжүүлэлт (PE-based vs CE-based)
PE-based VPN (Provider Edge based)
VPN-ийн бүх “хүнд” ажлыг үйлчилгээ үзүүлэгчийн рүүтэр (PE) гүйцэтгэнэ. Хэрэглэгчийн рүүтэр (CE) нь маш энгийн, хямд төхөөрөмж байж болно.

• Давуу тал: Хэрэглэгчийн талд МТ-ийн мэргэжилтэн шаардлагагүй, тохиргоо хийхэд хялбар.   
• Сул тал: Хэрэглэгч өөрийн сүлжээг бүрэн хянах боломжгүй, ISP-ээс хамааралтай болно.

CE-based VPN (Customer Edge based)
VPN-ийн туннель болон шифрлэлтийг хэрэглэгчийн өөрийн рүүтэр (CE) гүйцэтгэнэ. Үйлчилгээ үзүүлэгч нь зөвхөн “дамжуулах хоолой” (IP transport) болон ажиллана. Энд дараах протоколууд гол үүрэгтэй:

1. IPsec (IP Security): Өгөгдлийг хамгийн найдвартай шифрлэдэг протоколуудын цогц. Энэ нь өгөгдлийг нууцлахаас гадна түүний бүрэн бүтэн байдал, илгээгчийн үнэн зөвийг баталгаажуулдаг.   
2. GRE (Generic Routing Encapsulation): Олон төрлийн протоколыг (жишээ нь, Multicast, Routing updates) IP сүлжээ дээгүүр дамжуулахад ашигладаг. Гэхдээ GRE нь өөрөө шифрлэлт хийдэггүй тул ихэвчлэн IPsec-тэй хамт ашиглагддаг.   
3. IP-in-IP: Нэг IP пакетыг өөр нэг IP пакет дотор багтааж дамжуулах маш энгийн арга. Энэ нь хамгийн бага ачаалал (overhead) үүсгэдэг боловч GRE шиг уян хатан биш.   

Техникийн Нарийвчилсан Хүчин Зүйлс: MTU, MSS ба Шошго
VPN холболтыг хэрэглэгчдэд хүндрэлгүй хүргэхэд сүлжээний инженерүүд “MTU” (Maximum Transmission Unit) гэх ойлголтыг заавал тооцох ёстой. Стандарт Ethernet сүлжээнд пакетын хэмжээ 1500 байт байдаг. Гэвч VPN ашиглах үед пакет дээр нэмэлт толгой (Header) нэмэгддэг.   

Жишээ нь:

• GRE толгой: 24 байт
• IPsec толгой: 50-70 байт
• MPLS шошго: Пакет бүрт 4 байт (ихэвчлэн 2 шошго ашиглагдана).   

Хэрэв эдгээр нэмэлтүүдийг тооцохгүй бол пакетын хэмжээ 1500 байтаас хэтэрч, сүлжээний зарим зангилаанууд дээр пакет “фрагментаци” буюу тасрах, эсвэл шууд устгагдах аюултай. Үүний үр дүнд хэрэглэгчийн интернэт удаашрах, зарим вэбсайт нээгдэхгүй байх зэрэг асуудлууд гардаг. Иймээс инженерүүд MSS (Maximum Segment Size) утгыг 1360-1400 орчимд тохируулахыг зөвлөдөг.   

Ирээдүйн Чиг Хандлага

Хэрэв байгууллага маш олон салбартай, удирдлагын зардлаа хэмнэхийг хүсвэл L3 MPLS VPN буюу PPVPN загварыг сонгох нь зөв. Харин аюулгүй байдал, нууцлалдаа дээд зэргийн ач холбогдол өгч, бүх хяналтыг гартаа авахыг хүсвэл IPsec суурилсан CE-based VPN хамгийн тохиромжтой.   
Одоогийн байдлаар уламжлалт VPN технологиуд нь SD-WAN (Software-Defined Wide Area Network) болон SASE (Secure Access Service Edge) гэх мэт илүү уян хатан, үүлэн технологид суурилсан шийдлүүд рүү шилжиж байна. Гэсэн хэдий ч энэхүү зураглалд заагдсан үндсэн протоколууд (IPsec, BGP, MPLS, GRE) нь тэдгээр шинэ технологиудын суурь тулгуур хэвээр байгаа билээ.   
VPN-ийг сонгохдоо зөвхөн “холбох” биш, харин “хэрхэн аюулгүй, тогтвортой, үр ашигтай холбох вэ?” гэдэг асуултад дээрх архитектурын шинжилгээ нь хариулт болно. Сүлжээний инженерүүд болон МТ-ийн шийдвэр гаргагчид өөрсдийн сүлжээний зураглалыг эдгээр ангилалтай харьцуулан үзсэнээр хамгийн оновчтой VPN стратегийг боловсруулах боломжтой юм.