Виртуальный компьютер и виртуальная сеть

Несколько забегая вперед, рассмотрим вариант доступа к отдельным ресурсам сети с помощью программ, которые будут описаны в главе 6. Там будет приведено описание программы Microsoft Virtual PC, которая позволяет организовать на реальном компьютере еще один — виртуальный; и программы OpenVPN, позволяющей создать виртуальную сеть. Читая в главе 6 описание названных программ, вы уже будете представлять, зачем они вам нужны.

В ряде случаев доступ к отдельным ресурсам сети или к ресурсам вне ее должен быть организован таким образом, чтобы некий пользователь не имел возможности получить доступ к другим ресурсам сети, а другие пользователи этой сети не могли получить доступ к компьютеру, для которого организован такой специальный доступ. Задача напоминает ту, что рассматривалась выше, когда разговор шел об изолированных подсетях. Но в данном случае речь идет о доступе, который допустимо организовать даже через Интернет, а информация, передаваемая по сети, не может быть перехвачена и прочитана. Здесь мы рассмотрим пример общей схемы организации такого доступа. Подробности для решения конкретных задач описаны в главе 6.

Суть решения заключается в том, что можно организовать виртуальную сеть, состоящую как из реальных, так и из виртуальных компьютеров, которая физически может быть частью вашей сети или же выходить за ее пределы, как бы пересекаясь с ней. При этом система адресов и способ идентификации компьютеров несколько отличается от того, что применяется в обычной сети. В обычной сети рабочие станции и сервер "узнают" друг друга по IP-адресам, именам и принадлежности к домену или рабочей группе. Доступ к ресурсам сети и к компьютерам определяется политиками доступа, существующими в сети. Виртуальная сеть имеет в своем распоряжении дополнительные средства идентификации и ограничения доступа, перечисленные ниже:

каждый компьютер такой сети может быть сервером и/или клиентом виртуальной сети;

  каждая пара или большая группа компьютеров виртуальной сети может иметь общий секретный ключ доступа;

доступ к компьютерам может быть определен не только адресом, но портом (подобно тому, как к Web-серверу можно обращаться по разным портам, попадая на разные страницы сайта);

  сами компьютеры могут быть как реальными, так и виртуальными;

  виртуальные компьютеры могут находиться на реальных машинах как принадлежащих одной из сетей, так и не принадлежащих им;

  на каждом компьютере может находиться несколько виртуальных адаптеров, каждый из которых обеспечивает связь с определенным VPN-сервером или клиентом.

Строя виртуальную сеть, вы можете обеспечить абсолютную конфиденциальность связи внутри любой группы компьютеров.

Практически невероятно, чтобы посторонний смог перехватить информацию, которой обмениваются машины в виртуальной сети, основанной на VPN (Virtual Private Network, виртуальная частная сеть). Этой устойчивостью виртуальных сетей к взлому в последнее время широко пользуются организаторы районных или городских сетей, предоставляя пользователям доступ в Интернет.

Если вы имеете такой доступ в Интернет дома, то можете через существующий VPN-канал в Интернете проложить свой VPN-канал к вашей локальной сети. При таком варианте связи вы будете защищены от любых попыток перехвата паролей и данных, которыми вы обмениваетесь с вашей сетью. Обычно опасность перехвата паролей существует в сеансах Telnet, где пароли передаются в открытом виде при авторизации на почтовых серверах, а также в других случаях, когда пароли пересылаются в открытом виде. Обмен данными внутри локальной сети также становится безопасным, если применяется защищенный VPN-канал.

На рис. 4.22 показан вариант организации виртуальной сети с применением виртуальных компьютеров. Виртуальные компьютеры имеют букву "V" на экране монитора, как и виртуальные сетевые адаптеры, которые необходимы для работы виртуальной сети. Светлые стрелки обозначают связи между компьютерами в виртуальной сети. Виртуальные компьютеры, конечно, находятся на реальных машинах, но ведут они себя так, как если бы были самостоятельными компьютерами. Виртуальные связи между машинами показаны таким образом, как будто они не требуют физических линий связи. Именно так они будут восприниматься пользователями компьютеров. Например, рабочая станция, находящаяся вне локальной сети и связанная с ней по виртуальному каналу через Интернет, реально связана через физические линии связи и коммуникационное оборудование, но после установления виртуальной связи вся физическая сеть становится несуществующей для пользователя. Даже команда tracert [ip-адрес], выводящая на экран командной строки информацию о маршруте соединения, не покажет ни одного промежуточного узла между машинами, работающими в виртуальной сети. Количество виртуальных сетевых адаптеров, которые допускается устанавливать на одной машине, может быть ограничено особенностями конфигурации конкретного компьютера и системы. Но в большинстве случаев вам не потребуется более двух-трех адаптеров. С таким числом сетевых плат может нормально работать любой современный компьютер.

Рис. 4.22. Вариант организации виртуальной сети

Как и в реальной сети, при построении виртуальной необходимо соблюдать уникальность IP-адресов, а на каждом компьютере — и номеров портов, через которые устанавливаются соединения. Дело, правда, облегчается тем, что число виртуальных связей существенно меньше, чем реальных, а маска виртуальной подсети отличается от маски реальной подсети. В реальной сети необходимо обеспечить маршруты для портов, применяемых в виртуальных соединениях извне. Эти маршруты устанавливаются для реальных адресов машин.