الشبكات الافتراضية. اتصال Vpn: ما هو وما هي قناة vpn؟ مفهوم "النفق" في نقل البيانات في الشبكات

شبكة خاصة افتراضية

في أغلب الأحيان لخلق شبكة افتراضيةيتم استخدام تغليف بروتوكول PPP في بروتوكول آخر - إيثرنت (موفرو "الميل الأخير" لتوفير الوصول إلى الإنترنت.

مع المستوى المناسب للتنفيذ واستخدام خاص برمجةيمكن أن توفر VPN مستوى عالتشفير المعلومات المرسلة. في الإعداد الصحيحمن بين جميع المكونات ، تضمن تقنية VPN إخفاء الهوية على الويب.

هيكل VPN

تتكون الشبكة الظاهرية الخاصة من جزأين: شبكة "داخلية" (خاضعة للتحكم) ، قد يكون هناك العديد منها ، وشبكة "خارجية" يمر من خلالها الاتصال المغلف (عادةً ما يتم استخدام الإنترنت). من الممكن أيضًا توصيل جهاز كمبيوتر واحد بشبكة افتراضية. يتم توصيل مستخدم بعيد بشبكة VPN من خلال خادم وصول متصل بالشبكات الداخلية والخارجية (العامة). عند الاتصال بمستخدم بعيد (أو عند إنشاء اتصال بشبكة آمنة أخرى) ، يتطلب خادم الوصول عملية تحديد الهوية ، ثم عملية المصادقة. بعد الانتهاء بنجاح من كلتا العمليتين ، فإن المستخدم البعيد ( شبكة بعيدة) للعمل على الشبكة ، أي أن عملية التفويض تتم.

تصنيف VPN

تصنيف VPN

يمكن تصنيف حلول VPN وفقًا لعدة معايير رئيسية:

حسب نوع البيئة المستخدمة

  • محمي

الإصدار الأكثر شيوعًا من الشبكات الافتراضية الخاصة. بفضل مساعدتها ، من الممكن إنشاء شبكة فرعية موثوقة وآمنة تعتمد على شبكة غير موثوقة ، وعادة ما تكون الإنترنت. من أمثلة شبكات VPN الآمنة: IPSec و PPTP.

  • يثق

يتم استخدامها في الحالات التي يمكن فيها اعتبار وسيط الإرسال موثوقًا به ومن الضروري فقط حل مشكلة إنشاء شبكة فرعية افتراضية داخل شبكة أكبر. تصبح القضايا الأمنية غير ذات صلة. من أمثلة حلول VPN هذه: تبديل التسمية متعدد البروتوكولات (L2TP (بروتوكول نفق الطبقة الثانية). (بتعبير أدق ، تحول هذه البروتوكولات مهمة الأمان إلى أخرى ، على سبيل المثال ، يتم استخدام L2TP عادةً مع IPSec).

عن طريق التنفيذ

  • في شكل برامج وأجهزة خاصة

يتم تنفيذ شبكة VPN باستخدام مجموعة خاصة من البرامج والأجهزة. يوفر هذا التنفيذ أداءً عاليًا ، وكقاعدة عامة ، بدرجة عاليةحماية.

  • كحل برمجي

يستخدمون جهاز كمبيوتر شخصي مع برنامج خاص يوفر وظائف VPN.

  • حل متكامل

يتم توفير وظائف VPN من خلال مجمع يحل أيضًا مهام التصفية ازدحام انترنتوتنظيم جدار حماية وضمان جودة الخدمة.

بالميعاد

يتم استخدامها لدمج العديد من الفروع الموزعة لمؤسسة واحدة في شبكة واحدة آمنة ، وتبادل البيانات عبر قنوات الاتصال المفتوحة.

  • الوصول عن بعد VPN

تُستخدم لإنشاء قناة آمنة بين قطاع شبكة الشركة (المكتب المركزي أو المكتب الفرعي) ومستخدم واحد ، أثناء العمل في المنزل ، يتصل بـ موارد الشركةمع الكمبيوتر المنزليأو كمبيوتر محمول للشركات أو هاتف ذكي أو كشك إنترنت.

  • إكسترانت VPN

تُستخدم للشبكات التي يتصل بها المستخدمون "الخارجيون" (على سبيل المثال ، العملاء أو العملاء). مستوى الثقة فيهم أقل بكثير مما هو عليه في موظفي الشركة ، لذلك من الضروري توفير "حدود" خاصة للحماية تمنع أو تحد من وصول هؤلاء إلى الأشخاص ذوي القيمة الخاصة ، معلومات سرية.

  • الإنترنت VPN

تستخدم لتوفير الوصول إلى الإنترنت من قبل مقدمي الخدمات.

  • العميل / الخادم VPN

يضمن حماية البيانات المرسلة بين عقدتين (وليس شبكات) لشبكة الشركة. تكمن خصوصية هذا الخيار في أن الشبكة الظاهرية الخاصة مبنية بين العقد التي توجد عادةً في نفس قطاع الشبكة ، على سبيل المثال ، بين محطة العملوالخادم. غالبًا ما تنشأ مثل هذه الحاجة في الحالات التي يكون فيها من الضروري إنشاء العديد الشبكات المنطقية. على سبيل المثال ، عندما يكون من الضروري تقسيم حركة المرور بين الإدارة المالية وإدارة الموارد البشرية ، والوصول إلى الخوادم الموجودة في نفس المقطع المادي. يشبه هذا الخيار تقنية VLAN ، ولكن بدلاً من فصل حركة المرور ، يتم تشفيرها.

حسب نوع البروتوكول

هناك تطبيقات للشبكات الخاصة الافتراضية ضمن TCP / IP و IPX و AppleTalk. ولكن يوجد اليوم اتجاه نحو الانتقال العام إلى بروتوكول TCP / IP ، وتدعمه الغالبية العظمى من حلول VPN.

حسب مستوى بروتوكول الشبكة

حسب طبقة بروتوكول الشبكة ، بناءً على تعيين طبقات النموذج المرجعي لشبكة ISO / OSI.

أمثلة VPN

يقدم العديد من كبار المزودين خدمات VPN الخاصة بهم لعملاء الأعمال.

الأدب

  • إيفانوف م. طرق التشفيرحماية المعلومات في أنظمة الكمبيوتروالشبكات. - م: KUDITS-OBRAZ، 2001. - 368 ص.
  • Kulgin M. تقنيات شبكات الشركات. موسوعة. - سانت بطرسبرغ: بيتر ، 2000. - 704 ص.
  • أوليفر في جي ، أوليفر إن إيه. شبكات الحاسب. المبادئ والتقنيات والبروتوكولات: كتاب مدرسي للجامعات. - سان بطرسبرج: بيتر ، 2001. - 672 ص.
  • Romanets Yu. V. ، Timofeev PA ، Shangin VF حماية المعلومات في أنظمة وشبكات الكمبيوتر. الطبعة الثانية. - م: الراديو والاتصال 2002. -328 ص.
  • Stallings V.أساسيات حماية الشبكة. التطبيقات والمعايير = أساسيات أمان الشبكة. التطبيقات والمعايير. - م: "ويليامز" ، 2002. - S. 432. - ISBN 0-13-016093-8
  • منتجات الشبكة الخاصة الافتراضية [ وثيقة إلكترونية] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
  • أنيتا كارف ريال الفرص الافتراضية// LAN. - 1999. - رقم 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
  • إجابة Linux على MS-PPTP [مستند إلكتروني] / Peter Gutmann. - http://www.cs.a بجميع الأحوال .ac.nz/~pgut001/pubs/linux_vpn.txt
  • Joel Snyder VPN: سوق مشترك // الشبكات. - 1999. - رقم 11 http://www.citforum.ru/nets/articles/vpn.shtml
  • VPN التمهيدي [مستند إلكتروني] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
  • PKI أو PGP؟ [وثيقة إلكترونية] / ناتاليا سيرجيفا. - http://www.citforum.ru/security/cryptography/pki_pgp/
  • IPSec - بروتوكول لحماية حركة مرور الشبكة على مستوى IP [مستند إلكتروني] / Stanislav Korotygin. - http://www.ixbt.com/comm/ipsecure.shtml
  • الأسئلة الشائعة حول OpenVPN [مستند إلكتروني] - http://openvpn.net/faq.html
  • الغرض وهيكل خوارزميات التشفير [مستند إلكتروني] / باناسينكو سيرجي. - http://www.ixbt.com/soft/alg-encryption.shtml
  • حول التشفير الحديث [وثيقة إلكترونية] / ف. م. Sidelnikov. - http://www.citforum.ru/security/cryptography/crypto/
  • مقدمة في التشفير / إد. في. ياشينكو. - م: MTsNMO ، 2000. - 288 من http://www.citforum.ru/security/cryptography/yaschenko/
  • ثغرات أمنية في التشفير [مستند إلكتروني] / بروس شناير. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
  • IPSec: علاج شامل أم إجراء قسري؟ [وثيقة إلكترونية] / يفغيني باتي. - http://citforum.ru/security/articles/ipsec_standard/
  • VPN و IPSec في متناول يدك [مستند إلكتروني] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
  • إطار عمل للشبكات الخاصة الافتراضية القائمة على بروتوكول الإنترنت [وثيقة إلكترونية] / B. Gleeson، A. Lin، J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
  • OpenVPN وثورة SSL VPN [مستند إلكتروني] / تشارلي هوسنر. - http://www.sans.org/rr/whitepapers/vpns/1459.php
  • Markus Feilner New Generation Virtual Private Networks // LAN. - 2005. - No. 11
  • ما هو SSL [مستند إلكتروني] / مكسيم دروجايتسيف. - http://www.ods.com.ua/win/rus/security/ssl.html
  • تحليل تشفير امتدادات مصادقة Microsoft PPTP (MS-CHAPv2) [مستند إلكتروني] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
  • بروتوكول الاتصال النفقي من نقطة إلى نقطة (PPTP) المواصفات الفنية [مستند إلكتروني] / كوري حمزة ، غورديب سينغ بال ، ويليام فيرتين ، جيف تارود ، و. أندرو ليتل. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
  • Ryan Norman اختيار بروتوكول VPN // Windows IT Pro. - 2001. - رقم 7 http://www.osp.ru/win2000/2001/07/010.htm
  • MPLS: نظام جديد في شبكات IP؟ [مستند إلكتروني] / توم نول. - http://www.emanual.ru/get/3651/
  • بروتوكول نفق الطبقة الثانية "L2TP" [وثيقة إلكترونية] / دبليو تاونسلي ، أ. فالنسيا ، أ. روبنز. - http://www.ietf.org/rfc/rfc2661.txt
  • Alexey Lukatsky Unknown VPN // Computer Press. - 2001. - رقم 10 http://abn.ru/inf/compress/network4.shtml
  • أول لبنة في الجدار نظرة عامة على VPNأجهزة VPN للمبتدئين [مستند إلكتروني] / Valery Lukin. - http://www.ixbt.com/comm/vpn1.shtml
  • نظرة عامة على أجهزة VPN [مستند إلكتروني] - http://www.networkaccess.ru/articles/security/vpn_hardware/
  • تحكم الشبكات الافتراضية الخاصة للأجهزة النقية في اختبارات التوفر العالي [مستند إلكتروني] / جويل سنايدر ، كريس إليوت. - http://www.networkworld.com/reviews/2000/1211rev.html
  • VPN: نوع VPN [مستند إلكتروني] - http://www.vpn-guide.com/type_of_vpn.htm
  • الأسئلة الشائعة حول KAME [مستند إلكتروني] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ؟rev=HEAD&content-type=text/x-cvsweb-markup
  • ميزات سوق VPN الروسي [مستند إلكتروني] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
  • الوسائل المحلية لبناء شبكات خاصة افتراضية [؟] / I.Gvozdev، V. Zaichikov، N. Moshak، M.Pelenitsyn، S. Seleznev، D. Shepelyavy
  • Sergey Petrenko Secure Virtual Private Network: وجهة نظر حديثة حول حماية البيانات السرية // عالم الإنترنت. - 2001. - رقم 2

شبكة المنطقة المحلية الافتراضية (Virtual Local Area Network، VLAN) هي مجموعة من عقد الشبكة ، يتم عزل حركة مرورها ، بما في ذلك البث ، تمامًا على مستوى الارتباط عن حركة مرور عقد الشبكة الأخرى.

أرز. 14.10. شبكات المناطق المحلية الافتراضية.

هذا يعني أن نقل الإطارات بين الشبكات الظاهرية المختلفة بناءً على عنوان طبقة الارتباط غير ممكن ، بغض النظر عن نوع العنوان (فريد أو متعدد البث أو البث). في نفس الوقت ، داخل الشبكة الافتراضية ، يتم إرسال الإطارات باستخدام تقنية التبديل ، ثم فقط على المنفذ المرتبط بعنوان وجهة الإطار.

يمكن أن تتداخل شبكات VLAN إذا كان جهاز كمبيوتر واحد أو أكثر جزءًا من أكثر من شبكة محلية ظاهرية واحدة. على التين. 14.10 ، خادم البريد الإلكتروني هو جزء من الشبكات الافتراضية 3 و 4. وهذا يعني أن إطاراته تنتقل عن طريق المحولات إلى جميع أجهزة الكمبيوتر المضمنة في هذه الشبكات. إذا كان الكمبيوتر جزءًا فقط من الشبكة الافتراضية 3 ، فلن تصل إطاراته إلى الشبكة 4 ، ولكن يمكنه التفاعل مع أجهزة كمبيوتر الشبكة 4 من خلال خادم بريد مشترك. مثل هذا المخطط لا يحمي الشبكات الافتراضية بشكل كامل من بعضها البعض ، على سبيل المثال ، عاصفة البث التي حدثت على الخادم بريد إلكتروني، سوف تغمر كل من الشبكة 3 والشبكة 4.

يقال إن الشبكة الافتراضية تشكل مجال حركة بث مشابه لمجال التصادم الذي يتكون من مكررات إيثرنت.

      الغرض من الشبكات الافتراضية

كما رأينا في المثال من القسم السابق ، يمكن أن تتداخل المرشحات المخصصة مع التشغيل العادي للمفاتيح وتحد من تفاعل العقد. شبكه محليهوفقًا لقواعد الوصول المطلوبة. ومع ذلك ، فإن آلية التصفية المخصصة للمفاتيح لها عيوب عديدة:

    يجب عليك تعيين شروط منفصلة لكل عقدة شبكة ، باستخدام عناوين MAC المرهقة. سيكون من الأسهل بكثير تجميع العقد ووصف شروط التفاعل للمجموعات في وقت واحد.

    لا يمكن منع مرور البث. يمكن أن تتسبب حركة البث في عدم توفر الشبكة إذا قامت بعض العقد الخاصة بها عن قصد أو عن غير قصد بإنشاء إطارات بث بمعدل مرتفع.

تعمل تقنية الشبكات المحلية الافتراضية على حل مشكلة الحد من تفاعل عقد الشبكة بطريقة مختلفة.

الغرض الرئيسي من تقنية VLAN هو تسهيل إنشاء شبكات معزولة ، والتي عادة ما تكون مترابطة باستخدام أجهزة التوجيه. يخلق تصميم الشبكة هذا حواجز قوية أمام حركة المرور غير المرغوب فيها من شبكة إلى أخرى. من الواضح اليوم أن أي شبكة كبيرة يجب أن تشتمل على أجهزة توجيه ، وإلا فإن تدفقات الإطارات الخاطئة ، مثل عمليات البث ، سوف "تغمر" الشبكة بأكملها بشكل دوري من خلال محولات شفافة لها ، مما يجعلها في حالة غير قابلة للتشغيل.

تتمثل ميزة تقنية الشبكة الافتراضية في أنها تتيح لك إنشاء مقاطع شبكة معزولة تمامًا عن طريق تكوين المحولات منطقيًا دون اللجوء إلى تغيير الهيكل المادي.

قبل ظهور تقنية VLAN ، تم استخدام مقاطع الكابلات المحورية المعزولة ماديًا أو الأجزاء غير المتصلة المبنية على أجهزة إعادة الإرسال والجسور لإنشاء شبكة منفصلة. ثم تم توصيل هذه الشبكات بواسطة موجهات في شبكة مركبة واحدة (الشكل 14.11).

يعني تغيير تكوين المقاطع (انتقال المستخدم إلى شبكة أخرى ، وتقسيم المقاطع الكبيرة) باستخدام هذا النهج إعادة الاتصال المادي للموصلات على الألواح الأمامية للمكررات أو على الألواح المتقاطعة ، وهو أمر غير مناسب جدًا في شبكات كبيرة- الكثير من العمل البدني ، بالإضافة إلى أن احتمال الخطأ مرتفع.

أرز. 14.11. شبكة مركبة تتكون من شبكات مبنية على أساس مكررات

يتطلب ربط الشبكات الافتراضية بشبكة مشتركة مشاركة أموال طبقة الشبكة. يمكن تنفيذه في جهاز توجيه منفصل أو كجزء من برنامج التبديل ، والذي يصبح بعد ذلك جهازًا مشتركًا - ما يسمى بتبديل الطبقة 3.

لم يتم توحيد تقنية الشبكة الافتراضية لفترة طويلة ، على الرغم من تطبيقها في مجموعة واسعة جدًا من نماذج المحولات مختلف الشركات المصنعة. تغير الوضع بعد اعتماد معيار IEEE 802.1Q في عام 1998 ، والذي يحدد القواعد الأساسية لبناء شبكات محلية افتراضية لا تعتمد على بروتوكول طبقة الارتباط الذي يدعمه المحول.

      إنشاء شبكات افتراضية على أساس مفتاح واحد

عند إنشاء شبكات افتراضية على أساس مفتاح واحد ، عادة ما يتم استخدام آلية تجميع منفذ التبديل (الشكل 14.12). بالإضافة إلى ذلك ، يتم تعيين كل منفذ لشبكة افتراضية معينة. لن يتم نقل أي إطار قادم من منفذ ينتمي ، على سبيل المثال ، إلى الشبكة الافتراضية 1 ، إلى منفذ لا ينتمي إلى هذه الشبكة الافتراضية. يمكن تخصيص منفذ للعديد من الشبكات الافتراضية ، على الرغم من أنه نادرًا ما يتم ذلك عمليًا - يختفي تأثير العزل الكامل للشبكات.

لا يتطلب إنشاء شبكات افتراضية عن طريق تجميع المنافذ الكثير من العمل اليدوي من المسؤول - يكفي تعيين كل منفذ إلى إحدى الشبكات الافتراضية العديدة المسماة مسبقًا. عادةً ما يتم تنفيذ هذه العملية باستخدام برنامج خاص مرفق بالمفتاح.

الطريقة الثانية لتكوين شبكات افتراضية تعتمد على تجميع عناوين MAC. يتم تعيين كل عنوان MAC تعلمه المحول لشبكة افتراضية معينة. عندما يكون هناك العديد من العقد في الشبكة ، تتطلب هذه الطريقة الكثير من العمل اليدوي من المسؤول. ومع ذلك ، عند إنشاء شبكات افتراضية تعتمد على محولات متعددة ، يكون أكثر مرونة من توصيل المنافذ.

أرز. 14.12. شبكات افتراضية مبنية على مفتاح واحد

      إنشاء شبكات افتراضية على أساس مفاتيح متعددة

يوضح الشكل 14.13 المشكلة عند إنشاء شبكات افتراضية تعتمد على محولات متعددة تدعم تقنية توصيل المنفذ.

أرز. 14.13. بناء شبكات افتراضية على محولات متعددة مع توصيل المنافذ

إذا كانت عقد أي شبكة افتراضية متصلة بمفاتيح مختلفة ، فيجب تخصيص زوج خاص من المنافذ على المحولات لتوصيل كل شبكة من هذه الشبكات. وبالتالي ، تتطلب محولات توصيل المنافذ العديد من المنافذ للاتصال بها لأنها تدعم شبكات VLAN. يتم استخدام المنافذ والكابلات في هذه الحالة بشكل مبذر للغاية. بالإضافة إلى ذلك ، عند توصيل الشبكات الافتراضية من خلال جهاز توجيه ، يتم تخصيص كابل منفصل ومنفذ جهاز توجيه منفصل لكل شبكة افتراضية ، مما يتسبب أيضًا في زيادة الحمل.

يؤدي تجميع عناوين MAC في شبكة افتراضية على كل محول إلى التخلص من الحاجة إلى ربطها عبر منافذ متعددة ، حيث يصبح عنوان MAC بعد ذلك تسمية شبكة افتراضية. ومع ذلك ، تتطلب هذه الطريقة الكثير من العمليات اليدوية لتمييز عناوين MAC على كل محول في الشبكة.

الأسلوبان الموصوفان يعتمدان فقط على إضافة معلومات إضافية إلى جداول العناوين الخاصة بالمحول وليس لديهم القدرة على تضمين معلومات حول ملكية إطار الشبكة الافتراضية في الإطار المرسل. في مناهج أخرى ، يتم استخدام الحقول الموجودة أو الإضافية للإطار لحفظ المعلومات حول الإطار الذي ينتمي إلى شبكة منطقة محلية افتراضية معينة عندما ينتقل بين محولات الشبكة. في هذه الحالة ، ليست هناك حاجة لتذكر في كل محول أن جميع عناوين MAC الخاصة بالشبكة المركبة تنتمي إلى الشبكات الافتراضية.

يتم استخدام الحقل الإضافي الذي يحمل علامة رقم الشبكة الظاهرية فقط عند إرسال الإطار من مفتاح إلى جهاز تبديل ، وعادةً ما تتم إزالته عند إرسال الإطار إلى العقدة النهائية. في الوقت نفسه ، يتم تعديل بروتوكول التفاعل "مفتاح التبديل" ، ويتم تعديل البرنامج و المعداتالعقد النهائية تبقى دون تغيير.

يقدم Ethernet رأسًا إضافيًا يسمى علامة VLAN.

تعد علامة VLAN اختيارية لإطارات Ethernet. يسمى الإطار الذي يحتوي على مثل هذا الرأس بالإطار المميز. يمكن أن تعمل المحولات في وقت واحد مع كل من الإطارات المميزة وغير المميزة. بسبب العلامة المضافة VLAN كحد أقصىانخفض طول حقل البيانات بمقدار 4 بايت.

لكي تتمكن معدات LAN من تمييز وفهم الإطارات ذات العلامات ، تم تقديم قيمة حقل EtherType خاصة لها تبلغ 0x8100. تشير هذه القيمة إلى أنها متبوعة بحقل TCI وليس حقل بيانات قياسي. لاحظ أنه في إطار مميز ، يتم اتباع حقول علامة VLAN بواسطة حقل EtherType آخر يشير إلى نوع البروتوكول الذي يحمله حقل بيانات الإطار.

يحتوي حقل TCI على حقل رقم (معرف) VLAN 12 بت ، يسمى VID. يسمح عرض حقل VID للمفاتيح بإنشاء ما يصل إلى 4096 شبكة افتراضية.

باستخدام قيمة VID في الإطارات ذات العلامات ، تقوم محولات الشبكة بإجراء تصفية لحركة مرور المجموعة ، وتقسيم الشبكة إلى مقاطع افتراضية ، أي إلى شبكات VLAN. لدعم هذا الوضع ، يتم تعيين كل منفذ تبديل إلى شبكة محلية ظاهرية واحدة أو أكثر ، أي يتم تنفيذ تجميع المنافذ.

لتبسيط تكوين الشبكة ، يقدم معيار 802.1Q مفاهيم خط الوصول والجذع.

يربط خط الوصول منفذ تبديل (يسمى منفذ الوصول في هذه الحالة) بجهاز كمبيوتر ينتمي إلى بعض شبكات VLAN.

الجذع هو خط اتصال يربط منافذ محولين ؛ في الحالة العامة ، تنتقل حركة مرور العديد من الشبكات الافتراضية عبر الجذع.

لتكوين شبكة محلية ظاهرية (VLAN) في الشبكة المصدر ، يجب عليك أولاً تحديد قيمة VID لها بخلاف 1 ، وبعد ذلك ، باستخدام أوامر تكوين المحول ، قم بتعيين المنافذ التي يتم توصيل أجهزة الكمبيوتر المضمنة بها لهذه الشبكة. لا يمكن تعيين منفذ وصول إلا لشبكة محلية ظاهرية واحدة.

تتلقى منافذ الوصول إطارات غير مميزة من نقاط نهاية الشبكة وتمييزها بعلامة VLAN تحتوي على قيمة VID المعينة لذلك المنفذ. عند إرسال الإطارات ذات العلامات إلى العقدة النهائية ، يزيل منفذ الوصول علامة VLAN.

للحصول على وصف مرئي أكثر ، دعنا نعود إلى مثال الشبكة الذي تمت مناقشته مسبقًا. تين. يوضح الشكل 14.15 كيف يتم حل مشكلة الوصول الانتقائي للخوادم بناءً على تقنية VLAN.

أرز. 14.15. تقسيم الشبكة إلى شبكتين VLAN

لحل هذه المشكلة ، يمكنك تنظيم شبكتين محليتين ظاهريتين في الشبكة ، VLAN2 و VLAN3 (تذكر أن VLAN1 موجود بالفعل بشكل افتراضي - هذه هي شبكة المصدر الخاصة بنا) ، مجموعة واحدة من أجهزة الكمبيوتر والخوادم مخصصة لشبكة VLAN2 ، والأخرى هي المخصصة لـ KVLAN3.

لتعيين العقد النهائية لشبكة محلية ظاهرية معينة ، يتم الإعلان عن المنافذ المقابلة كمنافذ وصول لتلك الشبكة عن طريق تعيين VID المناسب لها. على سبيل المثال ، يجب إعلان المنفذ 1 للمحول SW1 كمنفذ وصول لـ VLAN2 عن طريق تعيين VID2 له ، ويجب أن يتم نفس الشيء مع المنفذ 5 من المحول SW1 ، المنفذ 1 للمحول SW2 1 المنفذ 1 من المحول SW3. يجب تعيين منافذ وصول VLAN3 إلى VID3.

في شبكتنا ، تحتاج أيضًا إلى تنظيم خطوط الاتصال - خطوط الاتصال التي تربط منافذ المحولات. لا تضيف المنافذ المتصلة بجذوع العلامات أو تزيلها ، بل تنقل الإطارات كما هي. في مثالنا ، يجب أن تكون هذه المنافذ هي المنفذين 6 من المحولين SW1 و SW2 ، بالإضافة إلى المنفذين 3 و 4 من لوحة التبديل. يجب أن تدعم المنافذ الموجودة في مثالنا VLAN2 و VLAN3 (و VLAN1 إذا كان هناك مضيفون على الشبكة لم يتم تعيينهم صراحةً لأي شبكة محلية ظاهرية (VLAN)).

توفر المحولات التي تدعم تقنية VLAN تصفية إضافية لحركة المرور. في حالة ما إذا ذكر جدول إعادة توجيه التبديل أن الإطار الوارد يحتاج إلى الإرسال إلى منفذ معين ، قبل الإرسال ، يتحقق المفتاح مما إذا كانت قيمة VTD في علامة VL AN للإطار تطابق VLAN المعينة لهذا المنفذ. في حالة وجود تطابق ، يتم إرسال الإطار ؛ إذا لم يتطابق ، يتم التخلص منه. تتم معالجة الإطارات غير المميزة بنفس الطريقة ، ولكن باستخدام VLAN1 الشرطي. يتم التعرف على عناوين MAC بواسطة محولات الشبكة بشكل منفصل ، ولكن كل VLAN.

تبين أن تقنية VLAN فعالة جدًا في تحديد الوصول إلى الخوادم. لا يتطلب تكوين شبكة محلية افتراضية معرفة عناوين MAC الخاصة بالعقد ، بالإضافة إلى أن أي تغيير في الشبكة ، مثل توصيل جهاز كمبيوتر بمحول آخر ، يتطلب تكوين منفذ هذا المحول فقط ، وجميع محولات الشبكة الأخرى مواصلة العمل دون إجراء تغييرات على تكوينها.

تحظى الشبكات الافتراضية الخاصة (VPN) باهتمام كبير كمزودي خدمات خدمات الشبكةومقدمي الإنترنت ومستخدمي الشركات. تتوقع Infonetics Research أن ينمو سوق VPN بأكثر من 100٪ سنويًا حتى عام 2003 وسيصل إلى 12 مليار دولار.

قبل إخبارك بشعبية الشبكات الافتراضية الخاصة ، اسمح لي أن أذكرك بأن شبكات البيانات الخاصة (للشركات) فقط مبنية ، كقاعدة عامة ، باستخدام قنوات اتصال مؤجرة (مخصصة) لشبكات الهاتف العامة المحولة. لسنوات عديدة ، تم تصميم هذه الشبكات الخاصة مع وضع متطلبات محددة للشركات في الاعتبار ، مما أدى إلى بروتوكولات خاصة تدعم تطبيقات الملكية (ومع ذلك ، اكتسبت بروتوكولات Frame Relay و ATM شعبية مؤخرًا). تسمح لك القنوات المخصصة بتوفير حماية موثوقة للمعلومات السرية ، ولكن الوجه الآخر للعملة هو التكلفة العالية للتشغيل والصعوبات في توسيع الشبكة ، ناهيك عن قدرة مستخدم الهاتف المحمول على الاتصال بها في نقطة غير مقصودة. في الوقت نفسه ، تتميز الأعمال الحديثة بتشتت القوى العاملة وتنقلها بشكل كبير. يحتاج المزيد والمزيد من المستخدمين إلى الوصول إلى معلومات الشركة عبر قنوات الاتصال الهاتفي ، كما يتزايد عدد الموظفين الذين يعملون من المنزل.

علاوة على ذلك ، لا تستطيع الشبكات الخاصة توفير نفس الفرص التجارية التي توفرها الإنترنت والتطبيقات القائمة على بروتوكول الإنترنت ، مثل الترويج للمنتجات أو دعم العملاء أو التواصل المستمر مع الموردين. يتطلب هذا التفاعل عبر الإنترنت الترابط بين الشبكات الخاصة ، والتي تستخدم عادةً بروتوكولات وتطبيقات مختلفة وأنظمة إدارة شبكات مختلفة وموفري خدمات اتصالات مختلفين.

وبالتالي ، التكلفة العالية والطبيعة الثابتة والصعوبات التي تنشأ عندما يكون من الضروري الجمع بين الشبكات الخاصة على أساس تقنيات مختلفة، تتعارض مع الأعمال التجارية النامية ديناميكيًا ، ورغبتها في اللامركزية والاتجاه الأخير نحو عمليات الدمج.

في الوقت نفسه ، وبالتوازي مع ذلك ، هناك شبكات عامة لنقل البيانات خالية من أوجه القصور هذه والإنترنت ، والتي غطت العالم بأسره "بشبكة الإنترنت" الخاصة به. صحيح أنهم محرومون من أهم ميزة للشبكات الخاصة - حماية موثوقةمعلومات الشركات. تجمع تقنية الشبكة الخاصة الافتراضية بين المرونة وقابلية التوسع والتكلفة المنخفضة والتوافر الحرفي للإنترنت والشبكات العامة "في أي وقت وفي أي مكان" مع أمان الشبكات الخاصة. الشبكات الخاصة الافتراضية هي في جوهرها شبكات خاصة تستخدم الشبكات العالمية الوصول العام(الإنترنت ، ترحيل الإطارات ، أجهزة الصراف الآلي). تتجلى الظاهرية في حقيقة أنه بالنسبة لمستخدم الشركة يبدو أنها شبكات خاصة مخصصة.

التوافق

لا تظهر مشكلات التوافق إذا كانت الشبكات الظاهرية الخاصة تستخدم خدمات Frame Relay و ATM بشكل مباشر ، حيث إنها مهيأة جيدًا للعمل في بيئة متعددة البروتوكولات ومناسبة لكل من تطبيقات IP وتطبيقات غير IP. كل ما هو مطلوب في هذه الحالة هو توافر بنية تحتية مناسبة للشبكة تغطي المنطقة الجغرافية المطلوبة. أجهزة الوصول الأكثر استخدامًا هي أجهزة الوصول إلى ترحيل الإطارات أو أجهزة التوجيه ذات واجهات ترحيل الإطارات وأجهزة الصراف الآلي. يمكن تشغيل العديد من الدوائر الافتراضية الدائمة أو المحولة (افتراضيًا) مع أي مزيج من البروتوكولات والطبولوجيا. يصبح الأمر أكثر تعقيدًا إذا كانت VPN تعتمد على الإنترنت. في هذه الحالة ، يجب أن تكون التطبيقات متوافقة مع بروتوكول IP. بشرط استيفاء هذا المطلب ، يمكنك استخدام الإنترنت "كما هي" لإنشاء شبكة ظاهرية خاصة ، بعد أن قدمت مسبقًا مستوى الأمان اللازم. ولكن نظرًا لأن معظم الشبكات الخاصة متعددة البروتوكولات أو تستخدم عناوين IP داخلية غير رسمية ، فلا يمكنها الاتصال مباشرة بالإنترنت دون تكييف مناسب. هناك العديد من حلول التوافق. الأكثر شيوعًا هي ما يلي:
- تحويل البروتوكولات الحالية (IPX أو NetBEUI أو AppleTalk أو غيرها) إلى بروتوكول IP بعنوان رسمي ؛
- تحويل عناوين IP الداخلية إلى عناوين IP الرسمية ؛
- تركيب بوابات IP خاصة على الخوادم ؛
- استخدام توجيه IP الظاهري ؛
- استخدام تقنية حفر الأنفاق الشاملة.
الطريقة الأولى واضحة ، لذا دعونا ننظر بإيجاز إلى الطرق الأخرى.
يعد تحويل عناوين IP الداخلية إلى عناوين رسمية أمرًا ضروريًا عندما تعتمد الشبكة الخاصة على بروتوكول IP. لا تعد ترجمة العناوين لشبكة الشركة بأكملها ضرورية ، حيث يمكن أن تتعايش عناوين IP الرسمية مع العناوين الداخلية على المحولات وأجهزة التوجيه في شبكة المؤسسة. بمعنى آخر ، لا يزال الخادم الذي يحتوي على عنوان IP الرسمي متاحًا لعميل الشبكة الخاصة من خلال البنية التحتية المحلية. الأسلوب الأكثر استخدامًا هو تقسيم مجموعة صغيرة من العناوين الرسمية بواسطة العديد من المستخدمين. إنه مشابه لتقسيم تجمع المودم من حيث أنه يعتمد أيضًا على افتراض أنه ليس كل المستخدمين بحاجة إلى الوصول إلى الإنترنت في نفس الوقت. هناك نوعان من معايير الصناعة هنا: بروتوكول التكوين الديناميكي للمضيف (DHCP) والبث عناوين الشبكة(ترجمة عنوان الشبكة - NAT) ، التي تختلف مناهجها قليلاً. يقوم DHCP "بتأجير" عنوان لمضيف لفترة يحددها مسؤول الشبكة ، بينما يترجم NAT عنوان IP الداخلي إلى عنوان رسمي ديناميكيًا ، طوال مدة جلسة الاتصال مع
إنترنت.

هناك طريقة أخرى لجعل شبكة خاصة متوافقة مع الإنترنت وهي تثبيت بوابة IP. تقوم البوابة بترجمة البروتوكولات غير IP إلى بروتوكولات IP والعكس صحيح. تحتوي معظم أنظمة تشغيل الشبكات التي تستخدم بروتوكولات أصلية على برنامج بوابة IP.

يتمثل جوهر توجيه IP الظاهري في توسيع جداول التوجيه الخاصة ومساحة العنوان إلى البنية التحتية (أجهزة التوجيه والمحولات) لمزود خدمة الإنترنت. يعد جهاز توجيه IP الظاهري جزءًا منطقيًا من جهاز توجيه IP مادي يمتلكه ويديره مزود الخدمة. يخدم كل جهاز توجيه افتراضي مجموعة محددة من المستخدمين.
ومع ذلك ، ربما أكثر أفضل طريقةيمكن تحقيق قابلية التشغيل البيني باستخدام تقنيات الأنفاق. تم استخدام هذه التقنيات لفترة طويلة لإرسال تدفق رزم متعدد البروتوكولات عبر عمود فقري مشترك. تم تحسين هذه التقنية التي أثبتت جدواها حاليًا لشبكات VPN المستندة إلى الإنترنت.
المكونات الرئيسية للنفق هي:
- بادئ النفق.
- شبكة موجهة ؛
- تبديل النفق (اختياري) ؛
- واحد أو أكثر من أجهزة إنهاء النفق.
يجب إجراء النفق على طرفي الارتباط من طرف إلى طرف. يجب أن يبدأ النفق ببادئ النفق وينتهي بحاجز النفق. يمكن تنفيذ عمليات بدء وإنهاء عمليات النفق من قبل مختلف أجهزة الشبكةوالبرمجيات. على سبيل المثال ، يمكن بدء نفق بواسطة كمبيوتر مستخدم بعيد يحتوي على مودم وبرنامج VPN ضروري مثبت ، أو جهاز توجيه أمامي في مكتب فرعي للشركة ، أو مركز وصول إلى الشبكة في مزود الخدمة.

لنقل الحزم بخلاف IP عبر الإنترنت بروتوكولات الشبكة، يتم تغليفها في حزم IP من جانب المصدر. الطريقة الأكثر شيوعًا لإنشاء أنفاق VPN هي تغليف حزمة غير IP في حزمة PPP (بروتوكول نقطة إلى نقطة) ثم تغليفها في حزمة IP. اسمحوا لي أن أذكرك أن بروتوكول PPP يُستخدم لاتصال من نقطة إلى نقطة ، على سبيل المثال ، للاتصال بخادم العميل. تتضمن عملية تغليف IP إضافة عنوان IP قياسي إلى الحزمة الأصلية ، والتي يتم التعامل معها بعد ذلك على أنها معلومات مفيدة. تزيل العملية المقابلة في الطرف الآخر من النفق رأس IP ، تاركة الحزمة الأصلية دون تغيير. نظرًا لأن تقنية حفر الأنفاق بسيطة جدًا ، فهي أيضًا أكثر تكلفة من حيث التكلفة.

أمان

غالبًا ما يكون ضمان المستوى المطلوب من الأمان هو الاعتبار الأساسي عندما تفكر الشركة في استخدام شبكات VPN القائمة على الإنترنت. اعتاد العديد من مديري تكنولوجيا المعلومات على الخصوصية المتأصلة للشبكات الخاصة ويعتبرون الإنترنت "عامة" جدًا بحيث لا يمكن استخدامها كشبكة خاصة. إذا كنت تستخدم المصطلحات الإنجليزية ، فهناك ثلاثة "P" ، والتي يوفر تنفيذها معًا حماية كاملة للمعلومات. هذا:
الحماية - حماية الموارد باستخدام جدران الحماية (جدار الحماية) ؛
إثبات - التحقق من هوية (سلامة) الحزمة والمصادقة على المرسل (تأكيد الحق في الوصول) ؛
الخصوصية - حماية المعلومات السرية باستخدام التشفير.
جميع P الثلاثة لها نفس القدر من الأهمية لأي شبكة شركة ، بما في ذلك الشبكات الافتراضية الخاصة. في الشبكات الخاصة تمامًا ، لحماية الموارد وسرية المعلومات ، يكفي الاستخدام تمامًا كلمات مرور بسيطة. ولكن بمجرد توصيل شبكة خاصة بشبكة عامة ، لا يمكن لأي من الشبكات الثلاثة توفير الحماية اللازمة. لذلك ، بالنسبة لأي VPN ، يجب تثبيت جدران الحماية في جميع نقاط تفاعلها مع الشبكة العامة ، ويجب تشفير الحزم والمصادقة عليها.

تعد جدران الحماية مكونًا أساسيًا في أي VPN. إنها تسمح فقط بالمرور المصرح به للمستخدمين الموثوق بهم وتحظر أي شيء آخر. بمعنى آخر ، يتم تجاوز جميع محاولات الوصول من قبل مستخدمين غير معروفين أو غير موثوق بهم. يجب توفير هذا الشكل من الحماية لكل موقع ومستخدم ، حيث إن عدم توفره في أي مكان يعني عدم وجوده في كل مكان. يتم استخدام بروتوكولات خاصة لضمان أمن الشبكات الافتراضية الخاصة. تسمح هذه البروتوكولات للمضيفين "بالتفاوض" بشأن تقنية التشفير والتوقيع الرقمي التي سيتم استخدامها ، وبالتالي الحفاظ على سرية وسلامة البيانات ومصادقة المستخدم.

يقوم بروتوكول Microsoft Point-to-Point Encryption Protocol (MPPE) بتشفير حزم PPP على جهاز العميل قبل إرسالها إلى النفق. تتم تهيئة جلسة التشفير أثناء إنشاء الاتصال مع فاصل النفق باستخدام البروتوكول
PPP.

بروتوكولات IP الآمنة (IPSec) هي سلسلة من المعايير الأولية التي يتم تطويرها بواسطة فريق عمل هندسة الإنترنت (IETF). اقترحت المجموعة بروتوكولين: رأس المصادقة (AH) وتغليف حمولة الأمان (ESP). يضيف بروتوكول AH توقيع إلكترونيالعنوان الذي يصادق على المستخدم ويضمن سلامة البيانات من خلال تتبع أي تغييرات أثناء النقل. يحمي هذا البروتوكول البيانات فقط ، تاركًا جزء العنوان من حزمة IP دون تغيير. من ناحية أخرى ، يمكن لبروتوكول ESP تشفير الحزمة بأكملها (وضع النفق) أو البيانات فقط (وضع النقل). يتم استخدام هذه البروتوكولات بشكل منفصل ومجتمعي.

لإدارة الأمان ، يتم استخدام معيار الصناعة RADIUS (خدمة المصادقة عن بُعد لمستخدم الطلب الهاتفي) ، وهي قاعدة بيانات لملفات تعريف المستخدمين التي تحتوي على كلمات مرور (مصادقة) وحقوق وصول (ترخيص).

ميزات الأمان بعيدة كل البعد عن أن تقتصر على الأمثلة المقدمة. يقدم العديد من مصنعي أجهزة التوجيه وجدار الحماية حلولهم الخاصة. من بينها Ascend و CheckPoint و Cisco.

التوفر

يتضمن التوفر ثلاثة مكونات لا تقل أهمية: وقت الخدمة ، والإنتاجية ، ووقت الاستجابة. وقت تقديم الخدمة هو موضوع العقد مع مزود الخدمة ، ويرتبط المكونان الآخران بعناصر جودة الخدمة (جودة الخدمة - جودة الخدمة). التقنيات الحديثةيتيح لك النقل إنشاء VPN يلبي متطلبات جميع التطبيقات الحالية تقريبًا.

القدرة على التحكم

يريد مسؤولو الشبكات دائمًا أن يكونوا قادرين على أداء إدارة شاملة وشاملة لشبكة الشركة ، بما في ذلك الجزء المتعلق بشركة الاتصالات. اتضح أن الشبكات الخاصة الافتراضية توفر المزيد من الخيارات في هذا الصدد أكثر من الشبكات الخاصة العادية. تدار الشبكات الخاصة النموذجية "من الحدود إلى الحدود" ، أي يدير مزود الخدمة الشبكة حتى الموجهات الأمامية لشبكة الشركة ، بينما يدير المشترك شبكة الشركة نفسها حتى أجهزة الوصول إلى WAN. تقنية VPNيسمح لك بتجنب هذا النوع من تقسيم "مجالات النفوذ" ، مما يوفر كلاً من المزود والمشترك نظام واحدإدارة الشبكة ككل ، سواء جزء الشركة أو البنية التحتية للشبكة العامة. يتمتع مسؤول شبكة المؤسسة بالقدرة على مراقبة الشبكة وإعادة تكوينها وإدارة أجهزة الوصول الأمامية وتحديد حالة الشبكة في الوقت الفعلي.

هندسة VPN

هناك ثلاثة نماذج معمارية للشبكات الخاصة الافتراضية: معتمدة ومستقلة ومختلطة كمزيج من أول بديلين. يتم تحديد الانتماء إلى نموذج معين من خلال مكان تنفيذ المتطلبات الرئيسية الأربعة للشبكة الافتراضية الخاصة. إذا كان مزود خدمة الشبكة العالمية يوفر حل VPN كاملًا ، أي يوفر النفق والأمان والأداء والإدارة ، مما يجعل الهندسة المعمارية تعتمد عليها. في هذه الحالة ، تكون جميع عمليات VPN شفافة للمستخدم ، ولا يرى سوى حركة المرور الأصلية الخاصة به - حزم IP أو IPX أو NetBEUI. تتمثل ميزة البنية التابعة للمشترك في أنه يمكنه استخدام البنية التحتية للشبكة الحالية "كما هي" ، مضيفًا جدار حماية فقط بين VPN والشبكة الخاصة.
WAN / LAN.

يتم تنفيذ العمارة المستقلة عندما توفر المنظمة كل شيء المتطلبات التكنولوجيةعلى معداتها ، وتفويض وظائف النقل فقط لمزود الخدمة. تعتبر هذه البنية أكثر تكلفة ، ولكنها تمنح المستخدم التحكم الكامل في جميع العمليات.

تتضمن البنية الهجينة مواقع تابعة ومستقلة عن المنظمة (على التوالي ، من مزود الخدمة).

ما هي وعود VPN لمستخدمي الشركات؟ بادئ ذي بدء ، وفقًا للمحللين الصناعيين ، يمثل هذا انخفاضًا في تكاليف جميع أنواع الاتصالات السلكية واللاسلكية من 30 إلى 80٪. وأيضًا الوصول في كل مكان تقريبًا إلى شبكات شركة أو منظمات أخرى ؛ هو تنفيذ اتصالات آمنة مع الموردين والعملاء ؛ إنها خدمة محسّنة ومحسّنة غير متوفرة على شبكات PSTN وأكثر من ذلك بكثير. يرى المتخصصون أن الشبكات الافتراضية الخاصة هي جيل جديد من اتصالات الشبكة ، ويعتقد العديد من المحللين أن الشبكات الافتراضية الخاصة ستحل قريبًا محل معظم الشبكات الخاصة القائمة على الخطوط المؤجرة.

بالإضافة إلى غرضه الرئيسي - زيادة عرض النطاقالاتصالات في الشبكة - يسمح لك المحول بترجمة تدفقات المعلومات ، فضلاً عن التحكم في هذه التدفقات وإدارتها باستخدام آلية تصفية مخصصة. ومع ذلك ، فإن مرشح المستخدم قادر على منع إرسال الإطارات إلى عناوين محددة فقط ، بينما ينقل حركة البث إلى جميع قطاعات الشبكة. هذا هو مبدأ تشغيل خوارزمية الجسر المطبقة في المحول ، وبالتالي ، فإن الشبكات التي تم إنشاؤها على أساس الجسور والمفاتيح تسمى أحيانًا مسطحة - نظرًا لعدم وجود حواجز أمام حركة البث.

تم طرح تقنية شبكات المنطقة المحلية الافتراضية (Virtual LAN، VLAN) التي تم طرحها قبل بضع سنوات للتغلب على هذا القيد. الشبكة الافتراضية هي مجموعة من عقد الشبكة التي تكون حركة مرورها ، بما في ذلك حركة البث ، معزولة تمامًا عن العقد الأخرى في طبقة ارتباط البيانات (انظر الشكل 1). هذا يعني أن النقل المباشر للإطار بين الشبكات الافتراضية المختلفة غير ممكن ، بغض النظر عن نوع العنوان - فريد أو متعدد البث أو البث. في نفس الوقت ، داخل الشبكة الافتراضية ، يتم إرسال الإطارات وفقًا لتقنية التبديل ، أي فقط إلى المنفذ الذي تم تعيين عنوان وجهة الإطار إليه.

يمكن أن تتداخل الشبكات الظاهرية إذا تم تضمين جهاز كمبيوتر واحد أو أكثر في أكثر من شبكة افتراضية واحدة. في الشكل 1 ، يعد خادم البريد الإلكتروني جزءًا من الشبكات الافتراضية 3 و 4 ، وبالتالي يتم إرسال إطاراته عن طريق المحولات إلى جميع أجهزة الكمبيوتر الأعضاء في هذه الشبكات. إذا تم تخصيص جهاز كمبيوتر لشبكة افتراضية 3 فقط ، فلن تصل إطاراته إلى الشبكة 4 ، ولكن يمكنه التفاعل مع أجهزة الكمبيوتر الموجودة في الشبكة 4 من خلال عنصر مشترك خادم البريد. هذا المخططلا يعزل الشبكات الافتراضية تمامًا عن بعضها البعض - وبالتالي ، فإن عاصفة البث التي بدأها خادم البريد الإلكتروني سوف تطغى على كل من الشبكة 3 والشبكة 4.

يقال أن الشبكة الافتراضية تشكل مجال حركة البث (مجال البث) ، عن طريق القياس مع مجال التصادم ، والذي يتكون من مكررات شبكات Ethernet.

تعيين VLAN

تسهل تقنية VLAN إنشاء شبكات معزولة تتواصل من خلال أجهزة التوجيه التي تدعم بروتوكول طبقة الشبكة مثل IP. يخلق هذا الحل حواجز أقوى بكثير لحركة المرور الخاطئة من شبكة إلى أخرى. يُعتقد اليوم أن أي شبكة كبيرة يجب أن تشتمل على أجهزة توجيه ، وإلا فإن تدفقات الإطارات الخاطئة ، ولا سيما عمليات البث ، من خلال المحولات الشفافة بالنسبة لها ، سوف "تغمرها" بشكل دوري ، مما يؤدي إلى حالة غير قابلة للتشغيل.

توفر تقنية الشبكة الافتراضية أساسًا مرنًا لبناء شبكة كبيرة متصلة بواسطة أجهزة التوجيه ، حيث تتيح لك المفاتيح إنشاء مقاطع معزولة تمامًا برمجيًا دون اللجوء إلى التبديل المادي.

قبل ظهور تقنية VLAN ، تم نشر شبكة واحدة إما بأطوال معزولة ماديًا للكابل المحوري أو بأجزاء غير متصلة تعتمد على أجهزة إعادة الإرسال والجسور. ثم تم دمج الشبكات من خلال أجهزة التوجيه في شبكة مركبة واحدة (انظر الشكل 2).

يعني تغيير تكوين المقاطع (انتقال المستخدم إلى شبكة أخرى ، وتقسيم الأقسام الكبيرة) باستخدام هذا النهج إعادة الاتصال المادي للموصلات على الألواح الأمامية للمكررات أو في اللوحات المستعرضة ، وهو أمر غير مناسب جدًا في شبكات كبيرةهذه مهمة تستغرق وقتًا طويلاً ، واحتمال الخطأ مرتفع جدًا. لذلك ، للتخلص من الحاجة إلى إعادة التبديل المادي للعقد ، بدأ استخدام المحاور متعددة الأجزاء بحيث يمكن إعادة برمجة تكوين الجزء المشترك دون إعادة التبديل المادي.

ومع ذلك ، فإن تغيير تكوين المقاطع بمساعدة المحاور يفرض قيودًا كبيرة على بنية الشبكة - فعادة ما يكون عدد مقاطع هذا المكرر صغيرًا ، ومن غير الواقعي تخصيص كل عقدة خاصة بها ، كما يمكن القيام به باستخدام مفتاح . بالإضافة إلى ذلك ، مع هذا النهج ، تقع جميع أعمال نقل البيانات بين الأجزاء على أجهزة التوجيه ، وتظل المحولات ذات الأداء العالي "عاطلة عن العمل". وبالتالي ، لا تزال شبكات إعادة الإرسال بتبديل التكوين تتطلب مشاركةبيئات الإرسال التي تحتوي على عدد كبير من العقد ، وبالتالي ، يكون أداءها أقل بكثير مقارنة بالشبكات القائمة على المحول.

عند استخدام تقنية الشبكة الافتراضية في المحولات ، يتم حل مهمتين في وقت واحد:

  • تحسين الأداء في كل شبكة افتراضية ، حيث يرسل المحول الإطارات إلى المضيف الوجهة فقط ؛
  • عزل الشبكات عن بعضها البعض لإدارة حقوق وصول المستخدم وإنشاء حواجز وقائية ضد عواصف البث.

توحيد الشبكات الافتراضية في شبكة مشتركةيتم إجراؤها على طبقة الشبكة ، والتي يمكن الوصول إليها باستخدام جهاز توجيه منفصل أو برنامج تبديل. يصبح الأخير في هذه الحالة جهازًا مشتركًا - ما يسمى بمفتاح المستوى الثالث.

لم يتم توحيد تقنية تشكيل وتشغيل الشبكات الافتراضية باستخدام المحولات لفترة طويلة ، على الرغم من تطبيقها في مجموعة واسعة جدًا من نماذج التبديل من مختلف الصانعين. تغير الوضع بعد اعتماد معيار IEEE 802.1Q في عام 1998 ، والذي يحدد القواعد الأساسية لبناء شبكات محلية افتراضية ، بغض النظر عن بروتوكول طبقة الارتباط الذي يدعمه المحول.

نظرًا للغياب الطويل لمعيار VLAN ، طورت كل شركة تبديل رئيسية تقنية الشبكة الافتراضية الخاصة بها ، وكقاعدة عامة ، لا تتوافق مع تقنيات الشركات المصنعة الأخرى. لذلك ، على الرغم من ظهور المعيار ، فليس من غير المألوف حدوث موقف لا يتم فيه التعرف على الشبكات الافتراضية التي تم إنشاؤها على أساس محولات من بائع واحد ، وبالتالي لا يتم دعمها بواسطة محولات من بائع آخر.

إنشاء شبكة محلية ظاهرية على أساس مفتاح واحد

عند إنشاء شبكات افتراضية على أساس مفتاح واحد ، عادة ما يتم استخدام آلية تجميع منفذ التبديل (انظر الشكل 3). علاوة على ذلك ، يتم تعيين كل منهم لشبكة افتراضية واحدة أو أخرى. لن يتم نقل الإطار المستلم من منفذ ينتمي ، على سبيل المثال ، إلى الشبكة الافتراضية 1 إلى منفذ ليس جزءًا منه. يمكن تخصيص منفذ للعديد من الشبكات الافتراضية ، على الرغم من أن هذا نادرًا ما يتم في الممارسة العملية - يختفي تأثير العزلة الكاملة للشبكات.

يعد تجميع منافذ محول واحد هو الطريقة الأكثر منطقية لتكوين شبكة محلية ظاهرية (VLAN) ، لأنه في هذه الحالة لا يمكن أن يكون هناك شبكات افتراضية أكثر من المنافذ. إذا كان المكرر متصلاً ببعض المنافذ ، فليس من المنطقي تضمين عقد المقطع المقابل في شبكات افتراضية مختلفة - كل نفس ، ستكون حركة المرور الخاصة بهم شائعة.

لا يتطلب هذا النهج قدرًا كبيرًا من العمل اليدوي من المسؤول - يكفي تعيين كل منفذ إلى واحدة من عدة شبكات افتراضية مسماة مسبقًا. عادةً ما يتم تنفيذ هذه العملية باستخدام برنامج خاص مرفق بالمفتاح. يقوم المسؤول بإنشاء شبكات افتراضية عن طريق سحب رموز المنفذ على أيقونات الشبكة.

هناك طريقة أخرى لتشكيل شبكات افتراضية تعتمد على تجميع عناوين MAC. يتم تعيين كل عنوان MAC معروف للمحول لشبكة افتراضية واحدة أو أخرى. إذا كانت الشبكة تحتوي على العديد من العقد ، فسيتعين على المسؤول إجراء الكثير من العمليات اليدوية. ومع ذلك ، عند إنشاء شبكات افتراضية تعتمد على عدة محولات ، تكون هذه الطريقة أكثر مرونة من توصيل المنافذ.

إنشاء شبكة محلية ظاهرية تعتمد على مفاتيح متعددة

يوضح الشكل 4 الموقف الذي يحدث عند إنشاء شبكات افتراضية بناءً على محولات متعددة من خلال توصيل المنفذ. إذا كانت عقد أي شبكة افتراضية متصلة بمفاتيح مختلفة ، فيجب تخصيص زوج منفصل من المنافذ لتوصيل محولات كل شبكة من هذه الشبكات. خلاف ذلك ، ستفقد المعلومات المتعلقة بالإطار الذي ينتمي إلى شبكة افتراضية معينة أثناء الإرسال من التبديل إلى التبديل. وبالتالي ، تتطلب طريقة توصيل المنفذ العديد من المنافذ لتوصيل المحولات لأنها تدعم شبكات VLAN ، مما يؤدي إلى إهدار كبير في استخدام المنافذ والكابلات. بالإضافة إلى ذلك ، لتنظيم تفاعل الشبكات الافتراضية من خلال جهاز التوجيه ، تتطلب كل شبكة كبلًا منفصلاً ومنفذًا لجهاز التوجيه منفصلًا ، مما يؤدي أيضًا إلى ارتفاع التكاليف العامة.

يؤدي تجميع عناوين MAC في شبكة افتراضية على كل محول إلى التخلص من الحاجة إلى توصيلها عبر منافذ متعددة ، لأنه في هذه الحالة ، يكون عنوان الشبكة الافتراضية هو عنوان MAC. ومع ذلك ، تتطلب هذه الطريقة الكثير من علامات عنوان MAC اليدوية على كل محول في الشبكة.

الأسلوبان الموصوفان يعتمدان فقط على إضافة معلومات إلى جداول عناوين الجسر ولا يتضمنان معلومات حول الإطار الذي ينتمي إلى شبكة افتراضية في الإطار المرسل. النهج الأخرى تستخدم القائمة أو حقول إضافيةإطار لتسجيل المعلومات حول ملكية الإطار عندما ينتقل بين محولات الشبكة. بالإضافة إلى ذلك ، ليست هناك حاجة لتذكر الشبكات الافتراضية التي تنتمي إليها عناوين MAC الخاصة بشبكة الإنترنت على كل محول.

يتم استخدام الحقل الإضافي الذي يحمل علامة رقم الشبكة الظاهرية فقط عند إرسال الإطار من مفتاح إلى جهاز تبديل ، وعادةً ما تتم إزالته عند إرسال الإطار إلى العقدة النهائية. في الوقت نفسه ، يتم تعديل بروتوكول التفاعل "مفتاح التبديل" ، بينما تظل البرامج والأجهزة الخاصة بالعقد الطرفية دون تغيير. هناك العديد من الأمثلة على مثل هذه البروتوكولات الاحتكارية ، لكن لها عيبًا واحدًا مشتركًا - فهي غير مدعومة من قبل الشركات المصنعة الأخرى. اقترحت Cisco عنوان بروتوكول 802.10 كإضافة قياسية لإطارات أي بروتوكولات LAN ، والغرض منها هو دعم ميزات الأمان. شبكات الحاسب. تشير الشركة نفسها إلى هذه الطريقة في الحالات التي تكون فيها المفاتيح مترابطة باستخدام بروتوكول FDDI. ومع ذلك ، لم يتم دعم هذه المبادرة من قبل الشركات المصنعة الرائدة الأخرى للمفاتيح.

لتخزين رقم الشبكة الظاهرية ، يوفر معيار IEEE 802.1Q رأسًا إضافيًا ثنائي البايت يتم استخدامه مع بروتوكول 802.1p. بالإضافة إلى البتات الثلاثة لتخزين قيمة أولوية الإطار ، كما هو موضح في معيار 802.1p ، يتم استخدام 12 بت في هذا الرأس لتخزين رقم الشبكة الافتراضية التي ينتمي إليها الإطار. هذا معلومات إضافيةتسمى علامة الشبكة الافتراضية (VLAN TAG) وتسمح للمفاتيح من مختلف الشركات المصنعة بإنشاء ما يصل إلى 4096 شبكة افتراضية مشتركة. يسمى هذا الإطار "الموسومة". يتم زيادة طول إطار Ethernet المحدد بمقدار 4 بايت ، لأنه بالإضافة إلى وحدتي بايت للعلامة نفسها ، تتم إضافة وحدتي بايت أخرى. يظهر هيكل إطار Ethernet المميز في الشكل 5. عند إضافة رأس 802.1p / Q ، يتم تقليل حقل البيانات بمقدار 2 بايت.

الشكل 5. هيكل إطار Ethernet المحدد.

أتاح ظهور معيار 802.1Q التغلب على الاختلافات في تطبيقات VLAN الخاصة وتحقيق التوافق عند إنشاء شبكات منطقة محلية افتراضية. يتم دعم تقنية VLAN بواسطة كل من مصنعي المحولات و NIC. في الحالة الأخيرة ، يمكن لبطاقة واجهة الشبكة (NIC) إنشاء واستقبال إطارات إيثرنت ذات علامات تحتوي على حقل VLAN TAG. إذا كان محول الشبكة ينشئ إطارات ذات علامات ، فإنه من خلال القيام بذلك يحدد ما إذا كانت تنتمي إلى شبكة محلية افتراضية واحدة أو أخرى ، لذلك يجب على المحول معالجتها وفقًا لذلك ، أي الإرسال أو عدم الإرسال إلى منفذ الإخراج ، اعتمادًا على ملكية المنفذ. يحصل برنامج تشغيل محول الشبكة على رقم VLAN الخاص به (أو رقمه الخاص) من مسؤول الشبكة (عن طريق التكوين اليدوي) أو من بعض التطبيقات التي تعمل على المضيف. مثل هذا التطبيق قادر على العمل مركزيًا على أحد خوادم الشبكة وإدارة بنية الشبكة بالكامل.

بدعم من VLAN محولات الشبكةيمكنك تجاوز التكوين الثابت عن طريق تعيين منفذ لشبكة افتراضية محددة. ومع ذلك ، تظل طريقة تكوين VLAN الثابتة شائعة لأنها تتيح لك إنشاء شبكة منظمة دون إشراك برنامج العقدة النهائية.

ناتاليا أوليفر كاتبة عمود في Journal of Network Solutions / LAN. يمكن الاتصال بها على:

الشبكة الافتراضية الخاصة هي شبكة خاصة افتراضية تُستخدم لتوفير اتصال آمن داخل اتصالات الشركة والوصول إلى الإنترنت. الميزة الرئيسية لشبكة VPN هي الأمان العالي بسبب تشفير حركة المرور الداخلية ، وهو أمر مهم عند نقل البيانات.

ما هو اتصال VPN

يسأل الكثير من الناس عند مواجهة هذا الاختصار: VPN - ما هو ولماذا هو مطلوب؟ هذه التكنولوجيايفتح إمكانية إنشاء إتصال شبكةفوق الآخر. تعمل VPN في عدة أوضاع:

  • شبكة العقدة
  • شبكة الشبكة
  • عقدة عقدة.

يسمح تنظيم شبكة افتراضية خاصة على مستويات الشبكة باستخدام بروتوكولات TCP و UDP. يتم تشفير جميع البيانات التي تمر عبر أجهزة الكمبيوتر. هذه حماية إضافية لاتصالك. هناك العديد من الأمثلة التي تشرح ماهية اتصال VPN ولماذا يجب عليك استخدامه. أدناه سيتم تفصيلها هذا السؤال.

لماذا تحتاج إلى VPN

كل مزود قادر على تقديم ، بناءً على طلب السلطات المختصة ، سجلات لأنشطة المستخدم. تسجل شركة الإنترنت الخاصة بك جميع الأنشطة التي قمت بها على الشبكة. هذا يساعد على إعفاء مقدم الخدمة من أي مسؤولية عن الإجراءات التي قام بها العميل. هناك العديد من المواقف التي تحتاج فيها إلى حماية بياناتك والحصول على الحرية ، على سبيل المثال:

  1. تُستخدم خدمة VPN لإرسال بيانات الشركة السرية بين الفروع. هذا يساعد على الحماية معلومات مهمةمن الاعتراض.
  2. إذا كنت بحاجة إلى تجاوز ربط الخدمة حسب المنطقة الجغرافية. على سبيل المثال ، خدمة Yandex Music متاحة فقط للمقيمين في روسيا والمقيمين في بلدان رابطة الدول المستقلة السابقة. إذا كنت مقيمًا ناطقًا باللغة الروسية في الولايات المتحدة ، فلن تتمكن من الاستماع إلى التسجيلات. ستساعدك خدمة VPN في تجاوز هذا الحظر عن طريق استبدال عنوان الشبكة بعنوان روسي.
  3. إخفاء زيارات الموقع من المزود. ليس كل شخص مستعدًا لمشاركة أنشطته على الإنترنت ، لذلك سيحمي زياراته بمساعدة VPN.

كيف يعمل VPN

عند استخدام قناة VPN أخرى ، سينتمي عنوان IP الخاص بك إلى البلد الذي توجد فيه هذه الشبكة الآمنة. عند الاتصال ، سيتم إنشاء نفق بين خادم VPN وجهاز الكمبيوتر الخاص بك. بعد ذلك ، سيكون هناك مجموعة في سجلات (سجلات) المزود شخصيات غير مفهومة. تحليل البيانات برنامج خاصلن يعطي نتائج. إذا كنت لا تستخدم هذه التقنية ، فسيقوم بروتوكول HTTP على الفور بالإشارة إلى الموقع الذي تتصل به.

هيكل VPN

يتكون هذا الاتصال من جزأين. الأول يسمى الشبكة "الداخلية" ، يمكنك إنشاء العديد من هذه. والثاني هو "الخارجي" ، والذي يحدث من خلاله الاتصال المغلف ، كقاعدة عامة ، يتم استخدام الإنترنت. من الممكن أيضًا توصيل جهاز كمبيوتر واحد بالشبكة. المستخدم متصل بشبكة VPN معينة من خلال خادم وصول متصل بالشبكات الخارجية والداخلية في نفس الوقت.

عندما يقوم برنامج VPN بتوصيل مستخدم بعيد ، يتطلب الخادم عمليتين مهمتين للقيام بهما: التعريف الأول ، ثم المصادقة. يعد ذلك ضروريًا للحصول على حقوق استخدام هذا الاتصال. إذا نجحت في اجتياز هاتين المرحلتين ، فسيتم تمكين شبكتك ، مما يفتح إمكانية العمل. في جوهرها ، هذه هي عملية الترخيص.

تصنيف VPN

هناك عدة أنواع من الشبكات الخاصة الافتراضية. هناك خيارات لدرجة الأمان وطريقة التنفيذ ومستوى العمل وفقًا لنموذج ISO / OSI والبروتوكول المعني. يمكنك استخدام الوصول المدفوع أو خدمة VPN المجانية من Google. بناءً على درجة الأمان ، يمكن أن تكون القنوات "آمنة" أو "موثوقة". هذا الأخير ضروري إذا كان الاتصال نفسه لديه مستوى الحماية المطلوب. لتنظيم الخيار الأول ، يجب استخدام التقنيات التالية:

  • PPTP
  • OpenVPN ؛
  • IPSec.

كيفية إنشاء خادم VPN

لجميع مستخدمي الكمبيوتر ، هناك طريقة لتوصيل VPN بنفسك. سيتم النظر في خيار غرفة العمليات أدناه. نظام ويندوز. لا ينص هذا الدليل على استخدام برامج إضافية. يتم الإعداد على النحو التالي:

  1. لإجراء اتصال جديد ، تحتاج إلى فتح لوحة العرض الوصول إلى الشبكة. ابدأ في كتابة كلمات البحث " اتصالات الشبكة».
  2. اضغط على زر "Alt" ، وانقر على قسم "ملف" في القائمة وحدد "اتصال وارد جديد".
  3. ثم قم بتعيين المستخدم الذي سيتم منحه اتصال VPN بهذا الكمبيوتر (إذا كان لديك اتصال واحد فقط حسابعلى جهاز كمبيوتر ، يجب عليك إنشاء كلمة مرور له). قم بتثبيت الطائر وانقر فوق "التالي".
  4. بعد ذلك ، سيُطلب منك تحديد نوع الاتصال ، ويمكنك ترك علامة اختيار أمام "الإنترنت".
  5. الخطوة التالية هي تمكين بروتوكولات الشبكة التي ستعمل على شبكة VPN هذه. حدد جميع المربعات باستثناء المربع الثاني. يمكنك اختياريًا تعيين IP وبوابات DNS ومنافذ محددة في IPv4 ، ولكن من الأسهل ترك التعيين التلقائي.
  6. عند النقر فوق الزر "السماح بالوصول" ، سيقوم نظام التشغيل بإنشاء الخادم من تلقاء نفسه ، وعرض نافذة تحمل اسم الكمبيوتر. سوف تحتاجه للاتصال.
  7. هذا يكمل إنشاء خادم VPN منزلي.

كيفية إعداد VPN على Android

كانت الطريقة الموضحة أعلاه هي كيفية إنشاء اتصال VPN على كمبيوتر شخصي. ومع ذلك ، كان الكثيرون يؤدون جميع الإجراءات منذ فترة طويلة باستخدام الهاتف. إذا كنت لا تعرف ما هي VPN على Android ، فكل الحقائق المذكورة أعلاه عنها هذا النوعالاتصالات صالحة للهاتف الذكي أيضًا. يوفر تكوين الأجهزة الحديثة استخدامًا مريحًا للإنترنت بسرعة عالية. في بعض الحالات (لبدء الألعاب ، وفتح مواقع الويب) يستخدمون بديل الوكيل أو المجهولين ، لكن VPN أفضل من أجل اتصال مستقر وسريع.

إذا كنت تفهم بالفعل ماهية VPN على الهاتف ، فيمكنك الانتقال مباشرة إلى إنشاء نفق. يمكنك القيام بذلك على أي جهاز يعمل بنظام Android. يتم الاتصال على النحو التالي:

  1. انتقل إلى قسم الإعدادات ، وانقر على قسم "الشبكة".
  2. ابحث عن عنصر يسمى " إعدادات إضافية"وانتقل إلى قسم" VPN ". بعد ذلك ، ستحتاج إلى رمز PIN أو كلمة مرور لإلغاء تأمين القدرة على إنشاء شبكة.
  3. الخطوة التالية هي إضافة اتصال VPN. حدد الاسم في حقل "الخادم" ، والاسم في حقل "اسم المستخدم" ، واضبط نوع الاتصال. اضغط على زر "حفظ".
  4. بعد ذلك ، سيظهر اتصال جديد في القائمة ، يمكنك استخدامه لتغيير اتصالك القياسي.
  5. سيظهر رمز على الشاشة يشير إلى توفر الاتصال. إذا قمت بالنقر فوقه ، فسيتم تزويدك بإحصاءات البيانات المستلمة / المرسلة. يمكنك أيضًا تعطيل اتصال VPN هنا.

فيديو: خدمة VPN مجانية



تحميل...
قمة