Виртуални мрежи. Vpn връзка: какво е това и за какво е vpn канал? Концепцията за "тунел" при предаване на данни в мрежи

Виртуална частна мрежа

Най-често за създаване виртуална мрежаизползва се капсулиране на PPP протокола в друг протокол - Ethernet (доставчици на "последната миля" за осигуряване на достъп до Интернет.

С правилното ниво на изпълнение и използването на специални софтуер VPN може да осигури високо нивокриптиране на предаваната информация. При правилна настройкаот всички компоненти VPN технологията гарантира анонимност в мрежата.

VPN структура

VPN се състои от две части: "вътрешна" (контролирана) мрежа, от които може да има няколко, и "външна" мрежа, през която минава капсулираната връзка (обикновено се използва Интернет). Също така е възможно да свържете един компютър към виртуална мрежа. Отдалечен потребител е свързан към VPN чрез сървър за достъп, който е свързан както към вътрешната, така и към външната (публична) мрежа. Когато свързвате отдалечен потребител (или когато установявате връзка с друга защитена мрежа), сървърът за достъп изисква да премине процесът на идентификация и след това процесът на удостоверяване. След успешно завършване на двата процеса, отдалеченият потребител ( отдалечена мрежа) е упълномощен да работи в мрежата, т.е. протича процесът на оторизация.

VPN класификация

VPN класификация

VPN решенията могат да бъдат класифицирани според няколко основни параметъра:

По вид на използваната среда

• Защитен

Най-често срещаната версия на виртуални частни мрежи. С негова помощ е възможно да се създаде надеждна и сигурна подмрежа, базирана на ненадеждна мрежа, обикновено Интернет. Примери за защитени VPN са: IPSec, PPTP.

• Доверие

Те се използват в случаите, когато предавателната среда може да се счита за надеждна и е необходимо само да се реши проблемът със създаването на виртуална подмрежа в рамките на по-голяма мрежа. Проблемите със сигурността стават без значение. Примери за такива VPN решения са: Превключване на многопротоколни етикети (L2TP (Layer 2 Tunneling Protocol). (по-точно, тези протоколи прехвърлят задачата за сигурност към други, например L2TP обикновено се използва заедно с IPSec).

По начин на изпълнение

• Под формата на специален софтуер и хардуер

Внедряването на VPN мрежата се осъществява с помощта на специален набор от софтуер и хардуер. Тази реализация осигурява висока производителност и, като правило, висока степенсигурност.

• Като софтуерно решение

Те използват персонален компютър със специален софтуер, който осигурява VPN функционалност.

• Интегрирано решение

Функционалността на VPN се осигурява от комплекс, който също решава задачи за филтриране мрежов трафик, организиране на защитна стена и осигуряване на качеството на услугата.

С уговорка

Те се използват за комбиниране на няколко разпределени клона на една организация в една защитена мрежа, обменяща данни чрез отворени комуникационни канали.

• VPN за отдалечен достъп

Използва се за създаване на защитен канал между корпоративния мрежов сегмент (централен офис или клон) и отделен потребител, който, докато работи у дома, се свързва с корпоративни ресурсис домашен компютър, корпоративен лаптоп, смартфон или интернет павилион.

• Екстранет VPN

Използва се за мрежи, към които се свързват „външни“ потребители (например клиенти или клиенти). Нивото на доверие в тях е много по-ниско, отколкото в служителите на компанията, следователно е необходимо да се осигурят специални „граници“ на защита, които предотвратяват или ограничават достъпа на последните до особено ценни, конфиденциална информация.

• Интернет VPN

Използва се за осигуряване на достъп до интернет от доставчици.

• Клиент/сървър VPN

Той гарантира защитата на предаваните данни между два възела (не мрежи) на корпоративна мрежа. Особеността на тази опция е, че VPN се изгражда между възли, които обикновено се намират в един и същ мрежов сегмент, например между работна станцияи сървър. Такава нужда много често възниква в случаите, когато е необходимо да се създадат няколко логически мрежи. Например, когато е необходимо да се раздели трафика между финансовия отдел и отдела за човешки ресурси, достъп до сървъри, разположени в същия физически сегмент. Тази опция е подобна на VLAN технологията, но вместо да разделя трафика, тя е криптирана.

По вид на протокола

Има реализации на виртуални частни мрежи под TCP/IP, IPX и AppleTalk. Но днес има тенденция към общ преход към TCP / IP протокола и по-голямата част от VPN решенията го поддържат.

На ниво мрежов протокол

По слой на мрежовия протокол, въз основа на картографиране към слоевете на мрежовия референтен модел ISO/OSI.

Примери за VPN

Много големи доставчици предлагат своите VPN услуги за бизнес клиенти.

Литература

• Иванов М. А. Криптографски методизащита на информацията в компютърни системии мрежи. - М.: КУДИЦ-ОБРАЗ, 2001. - 368 с.
• Кулгин М. Технологии на корпоративните мрежи. Енциклопедия. - Санкт Петербург: Питър, 2000. - 704 с.
• Олифер В. Г., Олифер Н. А. Компютърни мрежи. Принципи, технологии, протоколи: Учебник за ВУЗ. - Санкт Петербург: Питър, 2001. - 672 с.
• Романец Ю. В., Тимофеев П. А., Шангин В. Ф. Защита на информацията в компютърни системи и мрежи. 2-ро изд. - М: Радио и комуникация, 2002. -328 с.
• Сталингс В.Основи на мрежовата защита. Приложения и стандарти = Основи за мрежова сигурност. Приложения и стандарти. - М.: "Уилямс", 2002. - С. 432. - ISBN 0-13-016093-8
• Продукти за виртуална частна мрежа [ Електронен документ] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
• Анита Карве Реал виртуални възможности//LAN. - 1999.- № 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
• Отговорът на Linux на MS-PPTP [Електронен документ] / Питър Гутман. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
• Джоел Снайдер VPN: споделен пазар // Мрежи. - 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
• VPN Primer [Електронен документ] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
• PKI или PGP? [Електронен документ] / Наталия Сергеева. - http://www.citforum.ru/security/cryptography/pki_pgp/
• IPSec - протокол за защита на мрежовия трафик на ниво IP [Електронен документ] / Станислав Коротигин. - http://www.ixbt.com/comm/ipsecure.shtml
• Често задавани въпроси за OpenVPN [Електронен документ] - http://openvpn.net/faq.html
• Цел и структура на алгоритмите за криптиране [Електронен документ] / Панасенко Сергей. - http://www.ixbt.com/soft/alg-encryption.shtml
• За съвременната криптография [Електронен документ] / В. М. Сиделников. - http://www.citforum.ru/security/cryptography/crypto/
• Въведение в криптографията / Изд. В. В. Ященко. - М.: МЦНМО, 2000. - 288 от http://www.citforum.ru/security/cryptography/yaschenko/
• Капаните на сигурността в криптографията [Електронен документ] / Брус Шнайер. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
• IPSec: панацея или принудителна мярка? [Електронен документ] / Евгений Патий. - http://citforum.ru/security/articles/ipsec_standard/
• VPN и IPSec на една ръка разстояние [Електронен документ] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
• Рамка за IP базирани виртуални частни мрежи [Електронен документ] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
• OpenVPN и SSL VPN революцията [Електронен документ] / Чарли Хоснър. - http://www.sans.org/rr/whitepapers/vpns/1459.php
• Markus Feilner Ново поколение виртуални частни мрежи // LAN.- 2005.- No. 11
• Какво е SSL [Електронен документ] / Максим Дрогайцев. - http://www.ods.com.ua/win/rus/security/ssl.html
• Криптоанализ на разширенията за удостоверяване на PPTP на Microsoft (MS-CHAPv2) [Електронен документ] / Брус Шнайер. - http://www.schneier.com/paper-pptpv2.html
• Технически спецификации на протокола за тунелиране от точка до точка (PPTP) [Електронен документ] / Кори Хамзех, Гурдип Сингх Пал, Уилям Вертейн, Джеф Тааруд, У. Андрю Литъл. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
• Райън Норман Избор на VPN протокол // Windows IT Pro. - 2001. - № 7 http://www.osp.ru/win2000/2001/07/010.htm
• MPLS: нов ред в IP мрежите? [Електронен документ] / Том Ноле. - http://www.emanual.ru/get/3651/
• Layer Two Tunneling Protocol "L2TP" [Електронен документ] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
• Алексей Лукацки Unknown VPN // Computer Press.- 2001. - № 10 http://abn.ru/inf/compress/network4.shtml
• Първата тухла в стената Общ преглед на VPN VPN устройства от начално ниво [Електронен документ] / Валерий Лукин. - http://www.ixbt.com/comm/vpn1.shtml
• Преглед на VPN хардуера [Електронен документ] - http://www.networkaccess.ru/articles/security/vpn_hardware/
• Чистите хардуерни VPN управляват тестове за висока наличност [Електронен документ] / Джоел Снайдер, Крис Елиът. - http://www.networkworld.com/reviews/2000/1211rev.html
• VPN: Тип VPN [Електронен документ] - http://www.vpn-guide.com/type_of_vpn.htm
• Често задавани въпроси за KAME [Електронен документ] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
• Характеристики на руския VPN пазар [Електронен документ] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
• Домашни средства за изграждане на виртуални частни мрежи [?] / И. Гвоздев, В. Зайчиков, Н. Мошак, М. Пеленицин, С. Селезнев, Д. Шепеляви
• Сергей Петренко Сигурна виртуална частна мрежа: модерен поглед върху защитата на поверителни данни // Интернет свят. - 2001. - № 2

Виртуална локална мрежа (Virtual Local Area Network, VLAN) е група от мрежови възли, чийто трафик, включително излъчването, е напълно изолиран на ниво връзка от трафика на други мрежови възли.

Ориз. 14.10. Виртуални локални мрежи.

Това означава, че прехвърлянето на кадри между различни виртуални мрежи въз основа на адреса на слоя за връзка не е възможно, независимо от вида на адреса (уникален, мултикаст или излъчван). В същото време във виртуалната мрежа кадрите се предават с помощта на комутационна технология, а след това само на порта, който е свързан с адреса на дестинацията на рамката.

VLAN мрежите могат да се припокриват, ако един или повече компютри са част от повече от една VLAN. На фиг. 14.10 имейл сървърът е част от виртуални мрежи 3 и 4. Това означава, че неговите рамки се предават от комутатори до всички компютри, включени в тези мрежи. Ако компютърът е само част от виртуална мрежа 3, тогава неговите кадри няма да достигнат мрежа 4, но той може да взаимодейства с компютри от мрежа 4 чрез общ пощенски сървър. Такава схема не защитава напълно виртуалните мрежи една от друга, например, излъчвана буря, възникнала на сървъра електронна поща, ще наводни както мрежа 3, така и мрежа 4.

Твърди се, че една виртуална мрежа образува домейн за излъчван трафик, подобен на домейна на сблъсък, който се формира от Ethernet ретранслатори.

Предназначение на виртуалните мрежи

Както видяхме в примера от предишния раздел, персонализираните филтри могат да попречат на нормалната работа на комутаторите и да ограничат взаимодействието на възлите. локална мрежаспоред изискваните правила за достъп. Въпреки това персонализираният филтърен механизъм на превключвателите има няколко недостатъка:

Трябва да зададете отделни условия за всеки мрежов възел, като използвате тромави MAC адреси. Би било много по-лесно да се групират възли и да се опишат условията за взаимодействие за групите наведнъж.

Не може да блокира излъчвания трафик. Излъчваният трафик може да доведе до недостъпност на мрежата, ако някои от нейните възли умишлено или неволно генерират разпръснати кадри с висока скорост.

Техниката на виртуалните локални мрежи решава проблема с ограничаването на взаимодействието на мрежовите възли по различен начин.

Основната цел на VLAN технологията е да улесни създаването на изолирани мрежи, които след това обикновено се свързват чрез рутери. Този мрежов дизайн създава мощни бариери пред нежелания трафик от една мрежа към друга. Днес се смята за очевидно, че всяка голяма мрежа трябва да включва рутери, в противен случай потоци от грешни кадри, като излъчвания, периодично ще „наводнят“ цялата мрежа чрез комутатори, които са прозрачни за тях, довеждайки я до неработещо състояние.

Предимството на виртуалната мрежова технология е, че ви позволява да създавате напълно изолирани мрежови сегменти чрез логическо конфигуриране на комутатори, без да прибягвате до промяна на физическата структура.

Преди появата на технологията VLAN за създаване на отделна мрежа са използвани или физически изолирани коаксиални кабелни сегменти, или несвързани сегменти, изградени върху повторители и мостове. След това тези мрежи бяха свързани чрез рутери в една съставна мрежа (фиг. 14.11).

Промяната на състава на сегментите (преминаване на потребителя към друга мрежа, разделяне на големи сегменти) с този подход предполага физическо повторно свързване на конекторите на предните панели на повторителите или на кръстосаните панели, което не е много удобно в големи мрежи- много физическа работа, освен това вероятността от грешка е висока.

Ориз. 14.11. Композитна мрежа, състояща се от мрежи, изградени на базата на повторители

Свързването на виртуални мрежи в обща мрежа изисква участието на средства от мрежовия слой. Може да се внедри в отделен рутер или като част от софтуера на комутатора, който след това се превръща в комбинирано устройство – т. нар. слой 3 суич.

Технологията за виртуална мрежа не е стандартизирана от дълго време, въпреки че е внедрена в много широка гама от модели комутатори различни производители. Ситуацията се промени след приемането през 1998 г. на стандарта IEEE 802.1Q, който определя основните правила за изграждане на виртуални локални мрежи, които не зависят от протокола на слоя за връзка, поддържан от комутатора.

Създаване на виртуални мрежи на базата на един комутатор

При създаване на виртуални мрежи, базирани на един комутатор, обикновено се използва механизмът за групиране на портове на комутатора (фиг. 14.12). Освен това всеки порт е присвоен на определена виртуална мрежа. Кадър, идващ от порт, който принадлежи например към виртуална мрежа 1, никога няма да бъде предаден към порт, който не принадлежи към тази виртуална мрежа. Един порт може да бъде присвоен на няколко виртуални мрежи, въпреки че на практика това се прави рядко - ефектът от пълната изолация на мрежите изчезва.

Създаването на виртуални мрежи чрез групиране на портове не изисква много ръчна работа от администратора - достатъчно е да присвоите всеки порт към една от няколко предварително наименувани виртуални мрежи. Обикновено тази операция се извършва с помощта на специална програма, доставена с превключвателя.

Вторият начин за формиране на виртуални мрежи се основава на групирането на MAC адреси. Всеки MAC адрес, научен от комутатора, се присвоява на определена виртуална мрежа. Когато има много възли в мрежата, този метод изисква много ръчна работа от администратора. Въпреки това, когато се изграждат виртуални мрежи, базирани на множество комутатори, това е по-гъвкаво от свързването на портове.

Ориз. 14.12. Виртуални мрежи, изградени на един комутатор

Създавайте виртуални мрежи на базата на множество комутатори

Фигура 14.13 илюстрира проблема при създаване на виртуални мрежи, базирани на множество комутатори, които поддържат техниката за свързване на портове.

Ориз. 14.13. Изграждане на виртуални мрежи на множество комутатори с свързване на портове

Ако възлите на която и да е виртуална мрежа са свързани към различни комутатори, тогава на комутаторите трябва да се разпредели специална двойка портове за свързване на всяка такава мрежа. По този начин превключвателите за свързване на портове изискват толкова портове за тяхната връзка, колкото поддържат VLAN. Портовете и кабелите се използват в този случай много разточително. Освен това, когато свързвате виртуални мрежи чрез рутер, на всяка виртуална мрежа се разпределя отделен кабел и отделен порт на рутера, което също причинява много режийни разходи.

Групирането на MAC адреси във виртуална мрежа на всеки превключвател елиминира необходимостта от свързването им през множество портове, тъй като MAC адресът след това се превръща във виртуален мрежов етикет. Този метод обаче изисква много ръчни операции за маркиране на MAC адреси на всеки комутатор в мрежата.

Двата описани подхода се основават само на добавяне на допълнителна информация към адресните таблици на превключвателя и те нямат възможност да вградят информация за собствеността на рамката на виртуалната мрежа в предаваната рамка. При други подходи съществуващи или допълнителни полета на рамката се използват за запазване на информация относно принадлежността на рамката към конкретна виртуална локална мрежа, когато се движи между мрежови комутатори. В този случай няма нужда да помните във всеки комутатор, че всички MAC адреси на съставната мрежа принадлежат към виртуални мрежи.

Допълнителното поле, означено с номер на виртуална мрежа, се използва само когато рамката се изпраща от комутатор на комутатор и обикновено се премахва, когато рамката се изпрати до крайния възел. В същото време протоколът за взаимодействие "превключвател-превключвател" е модифициран, а софтуерът и Хардуеркрайните възли остават непроменени.

Ethernet въвежда допълнителен хедър, наречен VLAN таг.

VLAN тагът не е задължителен за Ethernet рамки. Рамка, която има такъв хедър, се нарича тагирана рамка. Превключвателите могат едновременно да работят с маркирани и немаркирани рамки. Заради добавения таг VLAN максимумдължината на полето с данни е намаляла с 4 байта.

За да може LAN оборудването да различава и разбира маркирани рамки, за тях е въведена специална стойност на полето EtherType 0x8100. Тази стойност показва, че е последвана от TCI поле, а не от стандартно поле за данни. Обърнете внимание, че в маркиран кадър полетата на VLAN тага са последвани от друго поле EtherType, указващо типа на протокола, носен от полето за данни на кадъра.

Полето TCI съдържа 12-битово поле за VLAN номер (идентификатор), наречено VID. Ширината на VID полето позволява на комутаторите да създават до 4096 виртуални мрежи.

Използвайки стойността на VID в маркирани рамки, мрежовите комутатори извършват групово филтриране на трафика, разделяйки мрежата на виртуални сегменти, тоест на VLAN. За да поддържа този режим, всеки порт на комутатора се присвоява на една или повече VLAN, т.е. се извършва групиране на портове.

За да опрости мрежовата конфигурация, стандартът 802.1Q въвежда концепциите за линия за достъп и магистрала.

Линия за достъп свързва порт за превключване (наречен в този случай порт за достъп) към компютър, който принадлежи към някаква VLAN.

Магистралата е комуникационна линия, която свързва портовете на два комутатора; в общия случай трафикът на няколко виртуални мрежи се предава през магистралата.

За да формирате VLAN в изходната мрежа, първо трябва да изберете стойност на VID за нея, различна от 1, и след това, като използвате командите за конфигуриране на превключвателя, присвоете на тази мрежа онези портове, към които са свързани компютрите, включени в нея. Порт за достъп може да бъде присвоен само на една VLAN.

Портовете за достъп получават немаркирани кадри от мрежови крайни точки и ги маркират с VLAN таг, съдържащ VID стойността, присвоена на този порт. Когато маркирани рамки се изпращат до крайния възел, портът за достъп премахва VLAN тага.

За по-визуално описание, нека се върнем към предишния пример за мрежа. Фиг. 14.15 показва как проблемът със селективния достъп до сървърите се решава въз основа на VLAN техниката.

Ориз. 14.15. Разделяне на мрежа на две VLAN

За да разрешите този проблем, можете да организирате две виртуални локални мрежи в мрежата, VLAN2 и VLAN3 (припомнете си, че VLAN1 вече съществува по подразбиране - това е нашата изходна мрежа), един набор от компютри и сървъри е присвоен на VLAN2, а другият е присвоен на KVLAN3.

За да присвоите крайни възли към конкретна VLAN, съответните портове се рекламират като портове за достъп на тази мрежа, като им се присвои подходящият VID. Например, порт 1 на превключвател SW1 трябва да бъде деклариран като порт за достъп на VLAN2 чрез присвояване на VID2 към него, същото трябва да се направи с порт 5 на превключвател SW1, порт 1 на превключвател SW2 1 порт 1 на превключвател SW3. Портовете за достъп до VLAN3 трябва да имат VID3.

В нашата мрежа също трябва да организирате стволове - тези комуникационни линии, които свързват портовете на комутаторите. Портовете, свързани към канали, не добавят или премахват етикети, те просто предават кадри такива, каквито са. В нашия пример тези портове трябва да са портове 6 на комутаторите SW1 и SW2, както и портове 3 и 4 на разпределителното табло. Портовете в нашия пример трябва да поддържат VLAN2 и VLAN3 (и VLAN1, ако има хостове в мрежата, които не са изрично присвоени на нито една VLAN).

Превключвателите, които поддържат VLAN технология, осигуряват допълнително филтриране на трафика. В случай, че таблицата за пренасочване на превключвателя казва, че входящият кадър трябва да бъде предаден към определен порт, преди предаване, превключвателят проверява дали VTD стойността във VL AN тага на кадъра съвпада с VLAN, присвоен на този порт. В случай на съвпадение, рамката се предава; ако не съвпада, се изхвърля. Немаркираните рамки се обработват по същия начин, но с помощта на условната VLAN1. MAC адресите се научават от мрежовите комутатори отделно, но всяка VLAN.

VLAN техниката се оказва много ефективна за ограничаване на достъпа до сървъри. Конфигурирането на виртуална локална мрежа не изисква познаване на MAC адресите на възлите, освен това всяка промяна в мрежата, като например свързване на компютър към друг комутатор, изисква конфигуриране само на порта на този комутатор и всички други мрежови комутатори продължават да работят, без да правят промени в конфигурацията си.

Виртуалните частни мрежи (VPN) получават много внимание като доставчици мрежови услугии интернет доставчици, и корпоративни потребители. Infonetics Research прогнозира, че пазарът на VPN ще расте с повече от 100% годишно до 2003 г. и ще достигне 12 милиарда долара.

Преди да ви разкажа за популярността на VPN, нека ви напомня, че само частните (корпоративни) мрежи за данни се изграждат, като правило, с помощта на наети (специализирани) комуникационни канали на обществени комутируеми телефонни мрежи. В продължение на много години тези частни мрежи са проектирани с оглед на специфични корпоративни изисквания, което води до патентовани протоколи, които поддържат патентовани приложения (обаче, Frame Relay и ATM протоколите наскоро придобиха популярност). Специализираните канали ви позволяват да осигурите надеждна защита на поверителна информация, но обратната страна на монетата е високата цена на работа и трудностите при разширяване на мрежата, да не говорим за възможността мобилен потребител да се свърже с нея в непредвидена точка. В същото време съвременният бизнес се характеризира със значителна разпръснатост и мобилност на работната сила. Все повече и повече потребители се нуждаят от достъп до корпоративна информация чрез комутируеми канали, а броят на служителите, работещи от вкъщи, също се увеличава.

Освен това, частните мрежи не са в състояние да осигурят същите бизнес възможности, които интернет и IP-базираните приложения предоставят, като промоция на продукти, поддръжка на клиенти или текуща комуникация с доставчици. Това онлайн взаимодействие изисква взаимно свързване на частни мрежи, които обикновено използват различни протоколи и приложения, различни системи за управление на мрежата и различни доставчици на комуникационни услуги.

По този начин високата цена, статичността и трудностите, които възникват, когато е необходимо да се комбинират частни мрежи, базирани на различни технологии, са в противоречие с динамично развиващия се бизнес, желанието му за децентрализация и тенденцията напоследък към сливания.

В същото време, паралелно, съществуват обществени мрежи за предаване на данни, лишени от тези недостатъци и Интернет, който буквално обгърна цялото земно кълбо със своята „мрежа“. Вярно, те са лишени от най-важното предимство на частните мрежи - надеждна защитакорпоративна информация. Технологията за виртуална частна мрежа съчетава гъвкавостта, скалируемостта, ниската цена и наличността на Интернет и публичните мрежи буквално „по всяко време навсякъде“ със сигурността на частните мрежи. В основата си VPN мрежите са частни мрежи, които използват глобални мрежи публичен достъп(Интернет, Frame Relay, ATM). Виртуалността се проявява във факта, че за корпоративен потребител те изглеждат като специализирани частни мрежи.

СЪВМЕСТИМОСТ

Проблеми със съвместимостта не възникват, ако VPN директно използват Frame Relay и ATM услуги, тъй като те са доста добре адаптирани за работа в многопротоколна среда и са подходящи както за IP, така и за не-IP приложения. Всичко, което се изисква в този случай, е наличието на подходяща мрежова инфраструктура, покриваща необходимата географска област. Най-често използваните устройства за достъп са Frame Relay Access Devices или рутери с Frame Relay и ATM интерфейси. Множество постоянни или комутирани виртуални вериги могат да работят (виртуално) с произволна комбинация от протоколи и топологии. Въпросът става по-сложен, ако VPN се базира на интернет. В този случай се изисква приложенията да са съвместими с IP протокола. При условие, че това изискване е спазено, можете да използвате Интернет „какъвто е“ за изграждане на VPN, като предварително сте осигурили необходимото ниво на сигурност. Но тъй като повечето частни мрежи са многопротоколни или използват неофициални вътрешни IP адреси, те не могат директно да се свържат с интернет без подходяща адаптация. Има много решения за съвместимост. Най-популярните са следните:
- конвертиране на съществуващи протоколи (IPX, NetBEUI, AppleTalk или други) в IP протокол с официален адрес;
- преобразуване на вътрешни IP адреси в официални IP адреси;
— инсталиране на специални IP-шлюзове на сървъри;
— използване на виртуално IP-маршрутизиране;
— използване на универсална техника за тунелиране.
Първият начин е ясен, така че нека да разгледаме накратко останалите.
Преобразуването на вътрешни IP адреси в официални е необходимо, когато частната мрежа е базирана на IP протокола. Не е необходимо преобразуване на адреси за цялата корпоративна мрежа, тъй като официалните IP адреси могат да съществуват заедно с вътрешните на комутаторите и рутерите в корпоративната мрежа. С други думи, сървърът с официалния IP адрес все още е достъпен за клиента на частната мрежа чрез локалната инфраструктура. Най-често използваната техника е разделянето на малък блок от официални адреси от много потребители. Подобно е на разделянето на модемен пул по това, че също разчита на предположението, че не всички потребители се нуждаят от достъп до интернет едновременно. Тук има два индустриални стандарта: протокол за динамична конфигурация на хост (DHCP) и излъчване мрежови адреси(Network Address Translation - NAT), чиито подходи се различават леко. DHCP „дава под наем“ адрес на хост за време, определено от мрежовия администратор, докато NAT преобразува вътрешен IP адрес в официален динамично, за продължителността на комуникационна сесия с
Интернет.

Друг начин да направите частна мрежа съвместима с интернет е да инсталирате IP шлюз. Шлюзът преобразува не-IP протоколи в IP протоколи и обратно. Повечето мрежови операционни системи, които използват естествени протоколи, имат софтуер за IP шлюз.

Същността на виртуалното IP маршрутизиране е да разшири частните таблици за маршрутизиране и адресното пространство до инфраструктурата (рутери и комутатори) на ISP. Виртуалният IP рутер е логическа част от физически IP рутер, притежаван и управляван от доставчик на услуги. Всеки виртуален рутер обслужва определена група потребители.
Въпреки това, може би най по най-добрия начиноперативната съвместимост може да се постигне с помощта на техники за тунелиране. Тези техники се използват дълго време за предаване на многопротоколен пакетен поток през обща опорна мрежа. Тази доказана технология в момента е оптимизирана за интернет базирани VPN.
Основните компоненти на тунела са:
— тунелен инициатор;
— маршрутизирана мрежа;
- тунелен превключвател (опция);
— един или повече тунелни крайници.
Тунелирането трябва да се извърши в двата края на връзката от край до край. Тунелът трябва да започва с инициатор на тунел и да завършва с терминатор на тунел. Инициализирането и прекратяването на тунелни операции може да се извърши от различни мрежови устройстваи софтуер. Например, тунелът може да бъде иницииран от компютър на отдалечен потребител, който има инсталиран модем и необходим софтуер за VPN, рутер за преден край в корпоративен клон или концентратор за мрежов достъп при доставчик на услуги.

За предаване през интернет на пакети, различни от IP мрежови протоколи, те са капсулирани в IP пакети от страната на източника. Най-често използваният метод за създаване на VPN тунели е да се капсулира не-IP пакет в PPP (протокол от точка до точка) пакет и след това да се капсулира в IP пакет. Нека ви напомня, че PPP протоколът се използва за връзка от точка до точка, например за комуникация клиент-сървър. Процесът на IP капсулиране включва добавяне на стандартен IP хедър към оригиналния пакет, който след това се третира като полезна информация. Съответният процес в другия край на тунела премахва IP хедъра, оставяйки оригиналния пакет непроменен. Тъй като технологията за тунелиране е доста проста, тя е и най-достъпна по отношение на разходите.

БЕЗОПАСНОСТ

Осигуряването на необходимото ниво на сигурност често е основното съображение, когато една корпорация обмисля използването на интернет базирани VPN. Много ИТ мениджъри са свикнали с присъщата поверителност на частните мрежи и гледат на Интернет като на твърде „обществен“, за да бъде използван като частна мрежа. Ако използвате английската терминология, тогава има три "P", изпълнението на които заедно осигурява пълна защита на информацията. Това:
Защита - защита на ресурсите с помощта на защитни стени (защитна стена);
Доказателство - проверка на идентичността (целостта) на пакета и удостоверяване на подателя (потвърждение на правото на достъп);
Поверителност - защита на поверителна информация чрез криптиране.
И трите P са еднакво важни за всяка корпоративна мрежа, включително VPN. В строго частни мрежи, за да защитите ресурсите и поверителността на информацията, е достатъчно да използвате доста прости пароли. Но след като частна мрежа е свързана с публична, нито едно от трите P не може да осигури необходимата защита. Следователно за всяка VPN трябва да се инсталират защитни стени във всички точки на нейното взаимодействие с публичната мрежа, а пакетите трябва да бъдат криптирани и удостоверени.

Защитните стени са съществен компонент във всяка VPN. Те позволяват само разрешен трафик за доверени потребители и блокират всичко останало. С други думи, всички опити за достъп от неизвестни или ненадеждни потребители се пресичат. Тази форма на защита трябва да бъде осигурена за всеки сайт и потребител, тъй като липсата никъде означава липса навсякъде. Специални протоколи се използват за гарантиране на сигурността на виртуалните частни мрежи. Тези протоколи позволяват на хостовете да "договарят" техниката за криптиране и цифров подпис, която да се използва, като по този начин поддържат поверителността и целостта на данните и удостоверяват потребителя.

Microsoft Point-to-Point Encryption Protocol (MPPE) криптира PPP пакети на клиентската машина, преди да бъдат изпратени към тунела. Сесията за криптиране се инициализира по време на установяване на комуникация с терминатора на тунела, използвайки протокола
ПЧП.

Защитените IP протоколи (IPSec) са поредица от предварителни стандарти, разработвани от Internet Engineering Task Force (IETF). Групата предложи два протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP). AH протокол добавя цифров подписзаглавка, която удостоверява потребителя и гарантира целостта на данните, като следи всички промени в транзита. Този протокол защитава само данните, оставяйки адресната част на IP пакета непроменена. ESP протоколът, от друга страна, може да криптира или целия пакет (тунелен режим), или само данните (транспортен режим). Тези протоколи се използват както отделно, така и в комбинация.

За управление на сигурността се използва индустриалният стандарт RADIUS (Remote Authentication Dial-In User Service), който е база данни от потребителски профили, които съдържат пароли (удостоверяване) и права за достъп (упълномощаване).

Функциите за сигурност далеч не се ограничават до дадените примери. Много производители на рутери и защитни стени предлагат свои собствени решения. Сред тях са Ascend, CheckPoint и Cisco.

НАЛИЧНОСТ

Наличността включва три еднакво важни компонента: време за обслужване, пропускателна способност и латентност. Времето за предоставяне на услугата е предмет на договора с доставчика на услугата, а другите два компонента са свързани с елементите на качеството на услугата (Quality of Service – QoS). Съвременни технологиитранспорт ви позволява да изградите VPN, който отговаря на изискванията на почти всички съществуващи приложения.

УПРАВЛЯЕМОСТ

Мрежовите администратори винаги искат да могат да извършват управление от край до край на корпоративната мрежа, включително частта, която се отнася до телекомуникационната компания. Оказва се, че VPN предоставят повече възможности в това отношение от обикновените частни мрежи. Типичните частни мрежи се администрират "от граница до граница", т.е. доставчикът на услуги управлява мрежата до предните рутери на корпоративната мрежа, докато абонатът управлява самата корпоративна мрежа до устройствата за достъп до WAN. VPN технологияви позволява да избегнете този вид разделение на "сфери на влияние", предоставяйки както доставчика, така и абоната единна системауправление на мрежата като цяло, както нейната корпоративна част, така и мрежовата инфраструктура на публичната мрежа. Мрежовият администратор на предприятието има способността да наблюдава и преконфигурира мрежата, да управлява устройствата за преден достъп и да определя състоянието на мрежата в реално време.

VPN АРХИТЕКТУРА

Има три модела на архитектура на виртуална частна мрежа: зависим, независим и хибриден като комбинация от първите две алтернативи. Принадлежността към определен модел се определя от това къде са изпълнени четирите основни изисквания за VPN. Ако глобален доставчик на мрежови услуги предоставя цялостно VPN решение, т.е. осигурява тунелиране, сигурност, производителност и управление, прави архитектурата зависима от него. В този случай всички VPN процеси са прозрачни за потребителя и той вижда само собствения си трафик - IP, IPX или NetBEUI пакети. Предимството на зависимата архитектура за абоната е, че той може да използва съществуващата мрежова инфраструктура „както е“, като добави само защитна стена между VPN и частната мрежа.
WAN/LAN.

Независимата архитектура се прилага, когато организацията предоставя всичко технологични изискванияна своето оборудване, като делегира само транспортни функции на доставчика на услугата. Тази архитектура е по-скъпа, но дава на потребителя пълен контрол върху всички операции.

Хибридната архитектура включва зависими и независими от организацията (съответно от доставчика на услуги) сайтове.

Какви са обещанията на VPN за корпоративните потребители? На първо място, според индустриални анализатори, това е намаляване на разходите за всички видове телекомуникации от 30 до 80%. Освен това това е почти повсеместен достъп до мрежите на корпорация или други организации; това е осъществяване на защитени комуникации с доставчици и клиенти; това е подобрена и подобрена услуга, която не е достъпна в PSTN мрежи, и много повече. Специалистите виждат VPN като ново поколение мрежова комуникация и много анализатори смятат, че VPN скоро ще замени повечето частни мрежи, базирани на наети линии.

Освен основното си предназначение – да увеличава честотна лентавръзки в мрежата - превключвателят ви позволява да локализирате информационните потоци, както и да контролирате и управлявате тези потоци с помощта на персонализиран филтърен механизъм. Потребителският филтър обаче е в състояние да предотврати предаването на кадри само към определени адреси, докато предава излъчван трафик към всички мрежови сегменти. Това е принципът на работа на мостовия алгоритъм, внедрен в комутатора, следователно мрежите, създадени на базата на мостове и комутатори, понякога се наричат ​​плоски - поради липсата на бариери за излъчване на трафик.

Въведена преди няколко години, технологията на виртуалните локални мрежи (Virtual LAN, VLAN) преодолява това ограничение. Виртуалната мрежа е група от мрежови възли, чийто трафик, включително излъчван трафик, е напълно изолиран от други възли на слоя на връзката за данни (вижте Фигура 1). Това означава, че не е възможно директно прехвърляне на кадри между различни виртуални мрежи, независимо от вида на адреса – уникален, мултикаст или броукаст. В същото време във виртуалната мрежа кадрите се предават в съответствие с комутационната технология, т.е. само до порта, към който е присвоен целевият адрес на рамката.

Виртуалните мрежи могат да се припокриват, ако един или повече компютри са включени в повече от една виртуална мрежа. На фигура 1 имейл сървърът е част от виртуални мрежи 3 и 4 и следователно неговите рамки се изпращат от комутатори до всички компютри, които са членове на тези мрежи. Ако даден компютър е присвоен само към виртуална мрежа 3, тогава неговите кадри няма да достигнат мрежа 4, но той може да взаимодейства с компютри в мрежа 4 чрез общ пощенски сървър. Тази схемане изолира напълно виртуалните мрежи една от друга - по този начин излъчваната буря, инициирана от имейл сървъра, ще затрупа както мрежа 3, така и мрежа 4.

Казано е, че виртуалната мрежа формира домейн за излъчван трафик (broadcast домейн), по аналогия с домейна на сблъсък, който се формира от повторители на Ethernet мрежи.

ЗАДАВАНЕ НА VLAN

VLAN технологията улеснява създаването на изолирани мрежи, които комуникират чрез рутери, които поддържат протокол на мрежовия слой като IP. Това решение създава много по-мощни бариери пред грешен трафик от една мрежа към друга. Днес се смята, че всяка голяма мрежа трябва да включва рутери, в противен случай потоците от грешни кадри, по-специално излъчвания, през прозрачни за тях комутатори, периодично ще я „наводнят“ изцяло, което ще доведе до неработещо състояние.

Технологията на виртуалната мрежа предоставя гъвкава основа за изграждане на голяма мрежа, свързана с рутери, тъй като комутаторите ви позволяват да създавате напълно изолирани сегменти програмно, без да прибягвате до физическо превключване.

Преди появата на технологията VLAN, една мрежа беше разгърната или с физически изолирани дължини на коаксиален кабел, или несвързани сегменти, базирани на повторители и мостове. След това мрежите бяха комбинирани чрез рутери в една съставна мрежа (вижте Фигура 2).

Промяната на състава на сегментите (преминаване на потребителя към друга мрежа, разделяне на големи секции) с този подход предполага физическо повторно свързване на конектори на предните панели на ретранслатори или в кръстосани панели, което не е много удобно в големи мрежиТова е много времеемка работа и вероятността от грешка е много висока. Следователно, за да се елиминира необходимостта от физическо повторно превключване на възли, започнаха да се използват многосегментни хъбове, така че съставът на споделен сегмент да може да бъде препрограмиран без физическо повторно превключване.

Промяната на състава на сегментите с помощта на хъбове обаче налага големи ограничения върху структурата на мрежата - броят на сегментите на такъв ретранслатор обикновено е малък и е нереалистично да се разпредели всеки възел сам, както може да се направи с помощта на комутатор . В допълнение, с този подход цялата работа по прехвърлянето на данни между сегментите пада върху рутерите, а комутаторите с тяхната висока производителност остават "без работа". По този начин ретранслаторните мрежи с комутирана конфигурация все още изискват споделянепредавателни среди с голям брой възли и следователно имат много по-ниска производителност в сравнение с мрежите, базирани на комутатори.

Когато се използва виртуална мрежова технология в комутатори, две задачи се решават едновременно:

• подобряване на производителността във всяка от виртуалните мрежи, тъй като комутаторът изпраща кадри само до целевия хост;
• изолирайте мрежите една от друга, за да управлявате правата за достъп на потребителите и да създавате защитни бариери срещу излъчване на бури.

Консолидация на виртуални мрежи в обща мрежаизвършвани на мрежовия слой, до които може да се достигне с помощта на отделен софтуер за рутер или комутатор. Последният в този случай се превръща в комбинирано устройство - така нареченият превключвател от трето ниво.

Технологията за формиране и работа на виртуални мрежи с помощта на комутатори не е стандартизирана от дълго време, въпреки че е внедрена в много широка гама модели комутатори от различни производители. Ситуацията се промени след приемането през 1998 г. на стандарта IEEE 802.1Q, който определя основните правила за изграждане на виртуални локални мрежи, независимо кой протокол на ниво връзка се поддържа от комутатора.

Поради дългото отсъствие на VLAN стандарт, всяка голяма компания за комутатори е разработила своя собствена технология за виртуална мрежа и като правило е несъвместима с технологии от други производители. Следователно, въпреки появата на стандарта, не е необичайно ситуацията, при която виртуални мрежи, създадени на базата на комутатори от един доставчик, не се разпознават и съответно не се поддържат от комутатори от друг.

СЪЗДАВАНЕ НА VLAN НА БАЗАТА НА ЕДИН СУИЧ

Когато създавате виртуални мрежи, базирани на един комутатор, обикновено се използва механизмът за групиране на портове на комутатора (вижте Фигура 3). Освен това всеки от тях е присвоен на една или друга виртуална мрежа. Рамка, получена от порт, принадлежащ например на виртуална мрежа 1, никога няма да бъде предадена на порт, който не е част от нея. Един порт може да бъде присвоен на няколко виртуални мрежи, въпреки че това рядко се прави на практика - ефектът от пълната изолация на мрежите изчезва.

Групирането на портовете на един комутатор е най-логичният начин за формиране на VLAN, тъй като в този случай не може да има повече виртуални мрежи от портовете. Ако повторител е свързан към някакъв порт, тогава няма смисъл да включвате възлите на съответния сегмент в различни виртуални мрежи - все пак техният трафик ще бъде общ.

Този подход не изисква голямо количество ръчна работа от администратора - достатъчно е да присвоите всеки порт към една от няколко предварително наименувани виртуални мрежи. Обикновено тази операция се извършва с помощта на специална програма, доставена с превключвателя. Администраторът създава виртуални мрежи чрез плъзгане на иконите на портовете върху иконите на мрежата.

Друг начин за формиране на виртуални мрежи е базиран на групиране на MAC адреси. Всеки MAC адрес, известен на комутатора, се присвоява на една или друга виртуална мрежа. Ако мрежата има много възли, администраторът ще трябва да извърши много ръчни операции. Въпреки това, когато се изграждат виртуални мрежи, базирани на няколко комутатора, този метод е по-гъвкав от свързването на портове.

СЪЗДАВАНЕ НА VLAN БАЗИРАН НА МНОЖЕСТВО СУИЧА

Фигура 4 илюстрира ситуацията, която възниква при създаване на виртуални мрежи, базирани на множество комутатори чрез свързване на портове. Ако възлите на която и да е виртуална мрежа са свързани към различни комутатори, тогава трябва да се разпредели отделна двойка портове за свързване на комутаторите на всяка такава мрежа. В противен случай информацията за рамката, принадлежаща към определена виртуална мрежа, ще бъде загубена по време на предаване от комутатор към комутатор. По този начин методът за свързване на портове изисква толкова много портове за свързване на комутатори, колкото поддържат VLAN, което води до много разточително използване на портове и кабели. Освен това, за да се организира взаимодействието на виртуални мрежи през рутера, всяка мрежа изисква отделен кабел и отделен порт на рутера, което също води до високи режийни разходи.

Групирането на MAC адреси във виртуална мрежа на всеки комутатор елиминира необходимостта от свързването им през множество портове, тъй като в този случай етикетът на виртуалната мрежа е MAC адресът. Този метод обаче изисква много ръчно маркиране на MAC адрес на всеки комутатор в мрежата.

Двата описани подхода се основават само на добавяне на информация към адресните таблици на моста и не включват информация за принадлежността на кадъра към виртуална мрежа в предавания кадър. Други подходи използват съществуващите или допълнителни полетарамка за запис на информация за собствеността на рамката, когато се движи между мрежови комутатори. В допълнение, няма нужда да запомняте на всеки превключвател към кои виртуални мрежи принадлежат MAC адресите на мрежата.

Допълнителното поле, означено с номер на виртуална мрежа, се използва само когато рамката се изпраща от комутатор на комутатор и обикновено се премахва, когато рамката се изпрати до крайния възел. В същото време протоколът за взаимодействие „превключвател-превключвател“ е модифициран, докато софтуерът и хардуерът на крайните възли остават непроменени. Има много примери за такива патентовани протоколи, но те имат един общ недостатък - не се поддържат от други производители. Cisco предложи заглавката на протокола 802.10 като стандартно допълнение към фреймовете на всякакви LAN протоколи, чиято цел е да поддържа функции за сигурност. компютърни мрежи. Самата компания се позовава на този метод в случаите, когато комутаторите са свързани помежду си с помощта на протокола FDDI. Тази инициатива обаче не беше подкрепена от други водещи производители на комутатори.

За съхраняване на номера на виртуалната мрежа стандартът IEEE 802.1Q предоставя допълнителен двубайтов хедър, който се използва във връзка с протокола 802.1p. В допълнение към трите бита за съхраняване на стойността на приоритета на рамката, както е описано от стандарта 802.1p, 12 бита в този хедър се използват за съхраняване на номера на виртуалната мрежа, към която принадлежи рамката. Това Допълнителна информациянаречен маркер за виртуална мрежа (VLAN TAG) и позволява на комутатори от различни производители да създават до 4096 споделени виртуални мрежи. Такава рамка се нарича "маркирана". Дължината на маркирания Ethernet кадър се увеличава с 4 байта, тъй като в допълнение към двата байта на самия таг се добавят още два байта. Структурата на маркираната Ethernet рамка е показана на Фигура 5. Когато се добави заглавката 802.1p/Q, полето за данни се намалява с два байта.

Фигура 5. Структурата на маркираната Ethernet рамка.

Появата на стандарта 802.1Q направи възможно преодоляването на разликите в внедряването на собствени VLAN и постигане на съвместимост при изграждането на виртуални локални мрежи. VLAN техниката се поддържа както от производители на комутатори, така и от производители на мрежови карти. В последния случай NIC може да генерира и получава маркирани Ethernet рамки, съдържащи VLAN TAG поле. Ако мрежовият адаптер генерира маркирани рамки, тогава по този начин той определя дали те принадлежат към една или друга виртуална локална мрежа, така че комутаторът трябва да ги обработи съответно, т.е. да предава или да не предава към изходния порт, в зависимост от собствеността на порта. Драйверът на мрежовия адаптер получава своя VLAN номер (или свой собствен) от мрежовия администратор (чрез ръчна конфигурация) или от някое приложение, работещо на хоста. Такова приложение може да функционира централно на един от мрежовите сървъри и да управлява структурата на цялата мрежа.

Поддържа се от VLAN мрежови адаптериможете да заобиколите статичната конфигурация, като присвоите порт към конкретна виртуална мрежа. Въпреки това методът за конфигуриране на статичен VLAN остава популярен, тъй като ви позволява да създадете структурирана мрежа, без да включвате софтуер на краен възел.

Наталия Олифер е колумнист за Journal of Network Solutions/LAN. С нея може да се свържете на:

Виртуалната частна мрежа е виртуална частна мрежа, която се използва за осигуряване на сигурна свързаност в рамките на корпоративни връзки и достъп до Интернет. Основното предимство на VPN е високата сигурност поради криптирането на вътрешния трафик, което е важно при прехвърляне на данни.

Какво е VPN връзка

Много хора, когато се сблъскат с това съкращение, питат: VPN - какво е това и защо е необходимо? Тази технологияотваря възможност за създаване мрежова връзкавърху другия. VPN работи в няколко режима:

• възел-мрежа;
• мрежа-мрежа;
• възел-възел.

Организацията на частна виртуална мрежа на мрежови нива позволява използването на TCP и UDP протоколи. Всички данни, които преминават през компютрите, са криптирани. Това е допълнителна защита за вашата връзка. Има много примери, които обясняват какво е VPN връзка и защо трябва да я използвате. По-долу ще бъде описано подробно този въпрос.

Защо имате нужда от VPN

Всеки доставчик може да предостави, при поискване от съответните органи, регистрационни файлове на потребителските дейности. Вашата интернет компания записва всички дейности, които сте извършили в мрежата. Това спомага за освобождаването на доставчика от всякаква отговорност за действията, извършени от клиента. Има много ситуации, в които трябва да защитите данните си и да спечелите свобода, например:

1. VPN услугата се използва за изпращане на поверителни фирмени данни между клоновете. Това помага за защита важна информацияот прихващане.
2. Ако трябва да заобиколите обвързването на услугата по географски район. Например услугата Yandex Music е достъпна само за жители на Русия и жители на бившите страни от ОНД. Ако сте рускоговорящ жител на Съединените щати, тогава няма да можете да слушате записите. VPN услугата ще ви помогне да заобиколите тази забрана, като замените мрежовия адрес с руски.
3. Скрийте посещенията на сайта от доставчика. Не всеки човек е готов да споделя своите дейности в Интернет, така че ще защити посещенията си с помощта на VPN.

Как работи VPN

Когато използвате друг VPN канал, вашият IP ще принадлежи на държавата, в която се намира тази защитена мрежа. Когато се свържете, ще бъде създаден тунел между VPN сървъра и вашия компютър. След това в дневниците (записите) на доставчика ще има набор неразбираеми знаци. Анализ на данни специална програманяма да даде резултат. Ако не използвате тази технология, тогава HTTP протоколът веднага ще покаже към кой сайт се свързвате.

VPN структура

Тази връзка се състои от две части. Първата се нарича "вътрешна" мрежа, можете да създадете няколко от тях. Вторият е „външният“, чрез който се осъществява капсулираната връзка, като правило се използва Интернет. Също така е възможно да свържете един компютър към мрежата. Потребителят е свързан към конкретна VPN чрез сървър за достъп, свързан едновременно към външната и вътрешната мрежа.

Когато VPN програма свързва отдалечен потребител, сървърът изисква да премине през два важни процеса: първо идентификация, след това удостоверяване. Това е необходимо, за да получите права за използване на тази връзка. Ако сте преминали успешно тези два етапа, вашата мрежа е овластена, което отваря възможност за работа. По същество това е процесът на оторизация.

VPN класификация

Има няколко вида виртуални частни мрежи. Има опции за степен на сигурност, начин на изпълнение, ниво на работа по ISO/OSI модел, включен протокол. Можете да използвате платен достъп или безплатна VPN услуга от Google. В зависимост от степента на сигурност, каналите могат да бъдат „сигурни“ или „доверени“. Последните са необходими, ако самата връзка има желаното ниво на защита. За да организирате първия вариант, трябва да използвате следните технологии:

• PPTP
• OpenVPN;
• IPSec.

Как да създадете VPN сървър

За всички потребители на компютри има начин сами да свържат VPN. Опцията за операционната зала ще бъде разгледана по-долу. Windows система. Това ръководство не предвижда използването на допълнителен софтуер. Настройката се извършва по следния начин:

1. За да направите нова връзка, трябва да отворите панела за преглед достъп до мрежата. Започнете да въвеждате думите за търсене " Интернет връзка».
2. Натиснете бутона "Alt", щракнете върху секцията "Файл" в менюто и изберете "Нова входяща връзка".
3. След това задайте потребителя, на когото ще бъде предоставена VPN връзка с този компютър (ако имате само един Сметкана компютър, трябва да създадете парола за него). Инсталирайте птицата и щракнете върху "Напред".
4. След това ще бъдете подканени да изберете типа връзка, можете да оставите отметка пред „Интернет“.
5. Следващата стъпка е да активирате мрежови протоколи, които ще работят на тази VPN. Поставете отметки във всички квадратчета с изключение на второто. По желание можете да зададете конкретни IP, DNS шлюзове и портове в IPv4, но е по-лесно да оставите автоматичното присвояване.
6. Когато щракнете върху бутона "Разрешаване на достъп", операционната система ще създаде сървъра сама, ще покаже прозорец с името на компютъра. Ще ви трябва, за да се свържете.
7. Това завършва създаването на домашен VPN сървър.

Как да настроите VPN на Android

Методът, описан по-горе, беше как да създадете VPN връзка на персонален компютър. Мнозина обаче отдавна извършват всички действия с помощта на телефона. Ако не знаете какво е VPN на Android, тогава всички факти по-горе този видвръзките са валидни и за смартфон. Конфигурацията на съвременните устройства осигурява удобно използване на интернет с висока скорост. В някои случаи (за стартиране на игри, отваряне на уебсайтове) те използват заместване на прокси или анонимизатори, но VPN е по-добър за стабилна и бърза връзка.

Ако вече разбирате какво е VPN на телефон, тогава можете да преминете директно към създаването на тунел. Можете да направите това на всяко устройство с Android. Връзката се осъществява по следния начин:

1. Отидете в секцията с настройки, щракнете върху секцията „Мрежа“.
2. Потърсете елемент, наречен " Допълнителни настройки" и отидете в секцията "VPN". След това ще ви е необходим пин код или парола, които отключват възможността за създаване на мрежа.
3. Следващата стъпка е да добавите VPN връзка. Посочете името в полето "Сървър", името в полето "потребителско име", задайте типа връзка. Докоснете бутона „Запазване“.
4. След това в списъка ще се появи нова връзка, която можете да използвате, за да промените стандартната си връзка.
5. На екрана ще се появи икона, която показва, че връзката е налична. Ако го докоснете, ще ви бъде предоставена статистика за получените / предадените данни. Можете също да деактивирате VPN връзката тук.

Видео: Безплатна VPN услуга