Jaringan maya. Koneksi vpn: apa itu dan untuk apa saluran vpn? Konsep "terowongan" dalam transmisi data dalam jaringan

Jaringan pribadi maya

Paling sering dibuat jaringan maya enkapsulasi protokol PPP ke beberapa protokol lain digunakan - Ethernet (penyedia "jarak terakhir" untuk menyediakan akses ke Internet.

Dengan tingkat implementasi yang tepat dan penggunaan khusus perangkat lunak VPN dapat menyediakan level tinggi enkripsi informasi yang dikirimkan. Pada pengaturan yang benar dari semua komponen, teknologi VPN memastikan anonimitas di Web.

Struktur VPN

VPN terdiri dari dua bagian: jaringan "internal" (terkontrol), yang mungkin ada beberapa, dan jaringan "eksternal" yang dilalui koneksi yang dienkapsulasi (biasanya Internet digunakan). Dimungkinkan juga untuk menghubungkan satu komputer ke jaringan virtual. Pengguna jarak jauh terhubung ke VPN melalui server akses yang terhubung ke jaringan internal dan eksternal (publik). Saat menghubungkan pengguna jarak jauh (atau saat membuat koneksi ke jaringan aman lain), server akses memerlukan proses identifikasi untuk dilalui, dan kemudian proses otentikasi. Setelah berhasil menyelesaikan kedua proses, pengguna jarak jauh ( jaringan jarak jauh) diberdayakan untuk bekerja di jaringan, yaitu proses otorisasi berlangsung.

klasifikasi VPN

klasifikasi VPN

Solusi VPN dapat diklasifikasikan menurut beberapa parameter utama:

Menurut jenis lingkungan yang digunakan

• Terlindung

Versi paling umum dari jaringan pribadi virtual. Dengan bantuannya, dimungkinkan untuk membuat subnet yang andal dan aman berdasarkan jaringan yang tidak dapat diandalkan, biasanya Internet. Contoh VPN yang aman adalah: IPSec, PPTP.

• Memercayai

Mereka digunakan dalam kasus di mana media transmisi dapat dianggap andal dan hanya diperlukan untuk menyelesaikan masalah pembuatan subnet virtual dalam jaringan yang lebih besar. Masalah keamanan menjadi tidak relevan. Contoh solusi VPN tersebut adalah: Multi-protocol label switching (L2TP (Layer 2 Tunneling Protocol)) (lebih tepatnya, protokol ini mengalihkan tugas keamanan ke yang lain, misalnya, L2TP biasanya digunakan bersamaan dengan IPSec).

Dengan cara implementasi

• Berupa software dan hardware khusus

Implementasi jaringan VPN dilakukan dengan menggunakan perangkat lunak dan perangkat keras khusus. Implementasi ini memberikan kinerja tinggi dan, sebagai aturan, derajat yang tinggi keamanan.

• Sebagai solusi perangkat lunak

Mereka menggunakan komputer pribadi dengan perangkat lunak khusus yang menyediakan fungsionalitas VPN.

• Solusi terintegrasi

Fungsionalitas VPN disediakan oleh kompleks yang juga menyelesaikan tugas pemfilteran lalu lintas jaringan, mengatur firewall dan memastikan kualitas layanan.

Dengan janji

Mereka digunakan untuk menggabungkan beberapa cabang terdistribusi dari satu organisasi ke dalam satu jaringan aman, bertukar data melalui saluran komunikasi terbuka.

• VPN Akses Jarak Jauh

Digunakan untuk membuat saluran aman antara segmen jaringan korporat (kantor pusat atau kantor cabang) dan satu pengguna yang, saat bekerja di rumah, terhubung ke sumber daya perusahaan Dengan komputer rumah, laptop perusahaan, smartphone atau kios internet.

• VPN ekstranet

Digunakan untuk jaringan tempat pengguna "eksternal" (misalnya, pelanggan atau klien) terhubung. Tingkat kepercayaan pada mereka jauh lebih rendah daripada karyawan perusahaan, oleh karena itu perlu untuk memberikan "batas" perlindungan khusus yang mencegah atau membatasi akses yang terakhir ke yang sangat berharga, informasi rahasia.

• VPN internet

Digunakan untuk menyediakan akses ke Internet oleh penyedia.

• VPN Klien/Server

Ini memastikan perlindungan data yang ditransmisikan antara dua node (bukan jaringan) dari jaringan perusahaan. Keunikan dari opsi ini adalah VPN dibangun di antara node yang biasanya terletak di segmen jaringan yang sama, misalnya antara stasiun kerja dan server. Kebutuhan seperti itu sangat sering muncul dalam kasus di mana beberapa perlu dibuat jaringan logis. Misalnya, bila perlu membagi lalu lintas antara departemen keuangan dan departemen sumber daya manusia, mengakses server yang terletak di segmen fisik yang sama. Opsi ini mirip dengan teknologi VLAN, tetapi alih-alih memisahkan lalu lintas, ini dienkripsi.

Menurut jenis protokol

Ada implementasi jaringan pribadi virtual di bawah TCP/IP, IPX dan AppleTalk. Tetapi hari ini ada kecenderungan transisi umum ke protokol TCP / IP, dan sebagian besar solusi VPN mendukungnya.

Dengan tingkat protokol jaringan

Berdasarkan lapisan protokol jaringan, berdasarkan pemetaan ke lapisan model referensi jaringan ISO/OSI.

Contoh VPN

Banyak penyedia besar menawarkan layanan VPN mereka untuk pelanggan bisnis.

literatur

• Ivanov M.A. metode kriptografi perlindungan informasi di sistem komputer dan jaringan. - M.: KUDITS-OBRAZ, 2001. - 368 hal.
• Kulgin M. Teknologi jaringan perusahaan. Ensiklopedi. - St.Petersburg: Peter, 2000. - 704 hal.
• Olifer V.G., Olifer N.A. Jaringan komputer. Prinsip, teknologi, protokol: Buku teks untuk universitas. - St.Petersburg: Peter, 2001. - 672 hal.
• Romanets Yu.V., Timofeev PA, Shangin VF Perlindungan informasi dalam sistem dan jaringan komputer. edisi ke-2. - M: Radio dan komunikasi, 2002. -328 hal.
• Stallings V. Dasar-dasar perlindungan jaringan. Aplikasi dan Standar = Esensi Keamanan Jaringan. Aplikasi dan Standar. - M.: "Williams", 2002. - S.432. - ISBN 0-13-016093-8
• Produk Jaringan Pribadi Virtual [ dokumen elektronik] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
• Anita Karve Nyata peluang maya//LAN. - 1999.- No. 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
• Jawaban Linux untuk MS-PPTP [Dokumen elektronik] / Peter Gutmann. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
• Joel Snyder VPN: pasar bersama // Jaringan. - 1999.- No. 11 http://www.citforum.ru/nets/articles/vpn.shtml
• VPN Primer [Dokumen Elektronik] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
• PKI atau PGP? [Dokumen elektronik] / Natalya Sergeeva. - http://www.citforum.ru/security/cryptography/pki_pgp/
• IPSec - protokol untuk melindungi lalu lintas jaringan pada tingkat IP [Dokumen elektronik] / Stanislav Korotygin. - http://www.ixbt.com/comm/ipsecure.shtml
• FAQ OpenVPN [Dokumen Elektronik] - http://openvpn.net/faq.html
• Tujuan dan struktur algoritma enkripsi [Dokumen elektronik] / Panasenko Sergey. - http://www.ixbt.com/soft/alg-encryption.shtml
• Tentang kriptografi modern [Dokumen elektronik] / V. M. Sidelnikov. - http://www.citforum.ru/security/cryptography/crypto/
• Pengantar Kriptografi / Ed. V. V. Yashchenko. - M.: MTsNMO, 2000. - 288 dari http://www.citforum.ru/security/cryptography/yaschenko/
• Jebakan keamanan dalam kriptografi [Dokumen elektronik] / Bruce Schneier. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
• IPSec: obat mujarab atau tindakan paksa? [Dokumen elektronik] / Yevgeny Patiy. - http://citforum.ru/security/articles/ipsec_standard/
• VPN dan IPSec di ujung jari Anda [Dokumen elektronik] / Dru Lavigne. - http://www.nestor.minsk.by/sr/2005/03/050315.html
• Kerangka Kerja untuk Jaringan Privat Virtual Berbasis IP [Dokumen elektronik] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
• OpenVPN dan Revolusi SSL VPN [Dokumen Elektronik] / Charlie Hosner. - http://www.sans.org/rr/whitepapers/vpns/1459.php
• Markus Feilner Generasi Baru Virtual Private Networks // LAN.- 2005.- No. 11
• Apa itu SSL [Dokumen elektronik] / Maxim Drogaytsev. - http://www.ods.com.ua/win/rus/security/ssl.html
• Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) [Dokumen Elektronik] / Bruce Schneier. - http://www.schneier.com/paper-pptpv2.html
• Spesifikasi Teknis Protokol Tunneling Titik ke Titik (PPTP) [Dokumen Elektronik] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
• Ryan Norman Memilih protokol VPN // Windows IT Pro. - 2001. - No. 7 http://www.osp.ru/win2000/2001/07/010.htm
• MPLS: tatanan baru dalam jaringan IP? [Dokumen elektronik] / Tom Nolle. - http://www.emanual.ru/get/3651/
• Protokol Tunneling Lapisan Dua "L2TP" [Dokumen elektronik] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
• Alexey Lukatsky VPN Tidak Dikenal // Computer Press - 2001. - No.10 http://abn.ru/inf/compress/network4.shtml
• Bata pertama di dinding Ikhtisar VPN perangkat VPN tingkat pemula [Dokumen elektronik] / Valery Lukin. - http://www.ixbt.com/comm/vpn1.shtml
• Ikhtisar perangkat keras VPN [Dokumen elektronik] - http://www.networkaccess.ru/articles/security/vpn_hardware/
• VPN perangkat keras murni mengatur tes ketersediaan tinggi [Dokumen elektronik] / Joel Snyder, Chris Elliott. - http://www.networkworld.com/reviews/2000/1211rev.html
• VPN: Jenis VPN [Dokumen Elektronik] - http://www.vpn-guide.com/type_of_vpn.htm
• FAQ KAME [Dokumen Elektronik] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
• Fitur pasar VPN Rusia [Dokumen elektronik] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
• Sarana domestik untuk membangun jaringan pribadi virtual [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy
• Sergey Petrenko Secure jaringan pribadi virtual: pandangan modern tentang perlindungan data rahasia // Dunia Internet. - 2001. - No.2

Jaringan area lokal virtual (Virtual Local Area Network, VLAN) adalah sekelompok node jaringan, yang lalu lintasnya, termasuk penyiaran, sepenuhnya diisolasi pada tingkat tautan dari lalu lintas node jaringan lainnya.

Beras. 14.10. Jaringan Area Lokal Virtual.

Ini berarti bahwa transfer bingkai antara jaringan virtual yang berbeda berdasarkan alamat lapisan tautan tidak dimungkinkan, apa pun jenis alamatnya (unik, multicast, atau siaran). Pada saat yang sama, dalam jaringan virtual, frame ditransmisikan menggunakan teknologi switching, kemudian hanya pada port yang terkait dengan alamat tujuan frame.

VLAN dapat tumpang tindih jika satu atau lebih komputer merupakan bagian dari lebih dari satu VLAN. Pada ara. 14.10, server email adalah bagian dari jaringan virtual 3 dan 4. Artinya, bingkainya ditransmisikan melalui sakelar ke semua komputer yang termasuk dalam jaringan ini. Jika komputer hanya merupakan bagian dari jaringan virtual 3, maka bingkainya tidak akan mencapai jaringan 4, tetapi dapat berinteraksi dengan komputer jaringan 4 melalui server email umum. Skema seperti itu tidak sepenuhnya melindungi jaringan virtual satu sama lain, misalnya, badai siaran yang terjadi di server Surel, akan membanjiri jaringan 3 dan jaringan 4.

Jaringan virtual dikatakan membentuk domain lalu lintas siaran yang mirip dengan domain tabrakan yang dibentuk oleh repeater Ethernet.

Tujuan dari jaringan virtual

Seperti yang kita lihat pada contoh dari bagian sebelumnya, filter kustom dapat mengganggu pengoperasian normal sakelar dan membatasi interaksi node. jaringan lokal sesuai dengan aturan akses yang diperlukan. Namun, mekanisme filter khusus sakelar memiliki beberapa kelemahan:

Anda harus mengatur kondisi terpisah untuk setiap node jaringan, menggunakan alamat MAC yang tidak praktis. Akan jauh lebih mudah untuk mengelompokkan node dan mendeskripsikan kondisi interaksi untuk grup sekaligus.

Tidak dapat memblokir lalu lintas siaran. Lalu lintas siaran dapat menyebabkan jaringan tidak tersedia jika beberapa nodenya secara sengaja atau tidak sengaja menghasilkan bingkai siaran dengan kecepatan tinggi.

Teknik jaringan lokal virtual memecahkan masalah pembatasan interaksi node jaringan dengan cara yang berbeda.

Tujuan utama dari teknologi VLAN adalah untuk memfasilitasi pembuatan jaringan yang terisolasi, yang kemudian biasanya saling berhubungan menggunakan router. Desain jaringan ini menciptakan penghalang yang kuat untuk lalu lintas yang tidak diinginkan dari satu jaringan ke jaringan lainnya. Saat ini dianggap jelas bahwa setiap jaringan besar harus menyertakan router, jika tidak, aliran bingkai yang salah, seperti siaran, secara berkala akan "membanjiri" seluruh jaringan melalui sakelar yang transparan, membawanya ke keadaan tidak dapat dioperasikan.

Keuntungan dari teknologi jaringan virtual adalah memungkinkan Anda membuat segmen jaringan yang benar-benar terisolasi dengan mengkonfigurasi sakelar secara logis tanpa harus mengubah struktur fisik.

Sebelum munculnya teknologi VLAN, segmen kabel koaksial yang terisolasi secara fisik atau segmen yang tidak terhubung yang dibangun di atas repeater dan jembatan digunakan untuk membuat jaringan terpisah. Kemudian jaringan ini dihubungkan oleh router menjadi jaringan komposit tunggal (Gbr. 14.11).

Mengubah komposisi segmen (transisi pengguna ke jaringan lain, membagi segmen besar) dengan pendekatan ini menyiratkan penyambungan kembali konektor secara fisik pada panel depan repeater atau pada panel silang, yang sangat tidak nyaman di jaringan besar- banyak pekerjaan fisik, selain itu kemungkinan kesalahannya tinggi.

Beras. 14.11. Jaringan komposit terdiri dari jaringan yang dibangun berdasarkan repeater

Menghubungkan jaringan virtual ke jaringan umum membutuhkan keterlibatan dana lapisan jaringan. Ini dapat diimplementasikan di router terpisah atau sebagai bagian dari perangkat lunak sakelar, yang kemudian menjadi perangkat gabungan - yang disebut sakelar lapisan 3.

Teknologi jaringan virtual sudah lama tidak distandarisasi, meskipun telah diimplementasikan dalam berbagai model sakelar yang sangat luas produsen yang berbeda. Situasi berubah setelah adopsi standar IEEE 802.1Q pada tahun 1998, yang menetapkan aturan dasar untuk membangun jaringan lokal virtual yang tidak bergantung pada protokol lapisan tautan yang didukung oleh sakelar.

Membuat jaringan virtual berdasarkan satu sakelar

Saat membuat jaringan virtual berdasarkan satu sakelar, mekanisme pengelompokan port sakelar biasanya digunakan (Gbr. 14.12). Selain itu, setiap port ditugaskan ke jaringan virtual tertentu. Bingkai yang berasal dari port milik, misalnya, ke jaringan virtual 1, tidak akan pernah dikirim ke port yang bukan milik jaringan virtual ini. Sebuah port dapat ditugaskan ke beberapa jaringan virtual, meskipun dalam praktiknya hal ini jarang dilakukan - efek dari isolasi total jaringan menghilang.

Membuat jaringan virtual dengan mengelompokkan port tidak memerlukan banyak pekerjaan manual dari administrator - cukup menetapkan setiap port ke salah satu dari beberapa jaringan virtual yang telah diberi nama sebelumnya. Biasanya, operasi ini dilakukan dengan menggunakan program khusus yang disertakan dengan sakelar.

Cara kedua untuk membentuk jaringan virtual didasarkan pada pengelompokan alamat MAC. Setiap alamat MAC yang dipelajari oleh sakelar ditugaskan ke jaringan virtual tertentu. Ketika ada banyak node dalam jaringan, metode ini membutuhkan banyak pekerjaan manual dari administrator. Namun, ketika membangun jaringan virtual berdasarkan beberapa switch, ini lebih fleksibel daripada port trunking.

Beras. 14.12. Jaringan virtual dibangun di atas satu sakelar

Buat jaringan virtual berdasarkan beberapa sakelar

Gambar 14.13 mengilustrasikan masalah saat membuat jaringan virtual berdasarkan beberapa switch yang mendukung teknik port trunking.

Beras. 14.13. Membangun jaringan virtual pada beberapa switch dengan port trunking

Jika node dari jaringan virtual mana pun terhubung ke sakelar yang berbeda, maka sepasang port khusus harus dialokasikan pada sakelar untuk menghubungkan setiap jaringan tersebut. Dengan demikian, switch port trunking membutuhkan banyak port untuk koneksinya karena mereka mendukung VLAN. Port dan kabel yang digunakan dalam hal ini sangat boros. Selain itu, saat menghubungkan jaringan virtual melalui router, setiap jaringan virtual dialokasikan kabel terpisah dan port router terpisah, yang juga menyebabkan banyak overhead.

Mengelompokkan alamat MAC ke dalam jaringan virtual pada setiap sakelar menghilangkan kebutuhan untuk mengikatnya di beberapa port, karena alamat MAC kemudian menjadi label jaringan virtual. Namun, metode ini memerlukan banyak operasi manual untuk menandai alamat MAC pada setiap sakelar di jaringan.

Dua pendekatan yang dijelaskan hanya didasarkan pada penambahan informasi tambahan ke tabel alamat sakelar dan mereka tidak memiliki kemampuan untuk menyematkan informasi tentang kepemilikan bingkai jaringan virtual ke dalam bingkai yang ditransmisikan. Dalam pendekatan lain, bidang bingkai yang ada atau tambahan digunakan untuk menyimpan informasi tentang bingkai milik jaringan area lokal virtual tertentu ketika berpindah di antara sakelar jaringan. Dalam hal ini, tidak perlu mengingat di setiap sakelar bahwa semua alamat MAC dari jaringan komposit adalah milik jaringan virtual.

Bidang ekstra yang ditandai dengan nomor jaringan virtual hanya digunakan saat frame dikirim dari switch ke switch, dan biasanya dihapus saat frame dikirim ke node akhir. Pada saat yang sama, protokol interaksi "switch-switch" dimodifikasi, dan perangkat lunak dan Perangkat keras simpul akhir tetap tidak berubah.

Ethernet memperkenalkan header tambahan yang disebut tag VLAN.

Tag VLAN bersifat opsional untuk frame Ethernet. Bingkai yang memiliki tajuk seperti itu disebut bingkai yang diberi tag. Sakelar dapat bekerja secara bersamaan dengan bingkai yang diberi tag dan yang tidak diberi tag. Karena tag tambahan maksimum VLAN panjang bidang data berkurang 4 byte.

Agar peralatan LAN dapat membedakan dan memahami bingkai yang diberi tag, nilai bidang EtherType khusus 0x8100 telah diperkenalkan untuknya. Nilai ini menunjukkan bahwa itu diikuti oleh bidang TCI dan bukan bidang data standar. Perhatikan bahwa dalam bingkai yang diberi tag, bidang tag VLAN diikuti oleh bidang EtherType lain yang menunjukkan jenis protokol yang dibawa oleh bidang data bingkai.

Bidang TCI berisi bidang nomor (pengidentifikasi) VLAN 12-bit, yang disebut VID. Lebar bidang VID memungkinkan sakelar membuat hingga 4096 jaringan virtual.

Menggunakan nilai VID dalam bingkai yang diberi tag, sakelar jaringan melakukan pemfilteran lalu lintas grup, membagi jaringan menjadi segmen virtual, yaitu menjadi VLAN. Untuk mendukung mode ini, setiap port switch ditetapkan ke satu atau lebih VLAN, yaitu pengelompokan port dilakukan.

Untuk menyederhanakan konfigurasi jaringan, standar 802.1Q memperkenalkan konsep jalur akses dan batang.

Jalur akses menghubungkan port switch (disebut port akses dalam kasus ini) ke komputer milik beberapa VLAN.

Trunk adalah jalur komunikasi yang menghubungkan port dari dua switch, dalam kasus umum, lalu lintas dari beberapa jaringan virtual ditransmisikan melalui trunk.

Untuk membentuk VLAN di jaringan sumber, pertama-tama Anda harus memilih nilai VID untuknya selain 1, dan kemudian, dengan menggunakan perintah konfigurasi sakelar, tetapkan ke jaringan ini port-port yang terhubung dengan komputer yang termasuk di dalamnya. Port akses hanya dapat ditetapkan ke satu VLAN.

Port akses menerima bingkai tanpa tanda dari titik akhir jaringan dan menandainya dengan tag VLAN berisi nilai VID yang ditetapkan ke port tersebut. Ketika frame yang diberi tag dikirim ke node akhir, port akses menghapus tag VLAN.

Untuk deskripsi yang lebih visual, mari kembali ke contoh jaringan yang telah dibahas sebelumnya. Ara. 14.15 menunjukkan bagaimana masalah akses selektif ke server diselesaikan berdasarkan teknik VLAN.

Beras. 14.15. Membagi jaringan menjadi dua VLAN

Untuk mengatasi masalah ini, Anda dapat mengatur dua jaringan lokal virtual di jaringan, VLAN2 dan VLAN3 (ingat bahwa VLAN1 sudah ada secara default - ini adalah jaringan sumber kami), satu set komputer dan server ditetapkan ke VLAN2, dan yang lainnya adalah ditugaskan ke KVLAN3.

Untuk menetapkan node akhir ke VLAN tertentu, port yang sesuai diiklankan sebagai port akses jaringan itu dengan menetapkan VID yang sesuai. Misalnya, port 1 switch SW1 harus dinyatakan sebagai port akses VLAN2 dengan menugaskan VID2 padanya, hal yang sama harus dilakukan dengan port 5 switch SW1, port 1 switch SW2 1 port 1 switch SW3. Port akses VLAN3 harus diberi VID3.

Di jaringan kami, Anda juga perlu mengatur trunk - jalur komunikasi yang menghubungkan port switch. Port yang terhubung ke trunk tidak menambah atau menghapus tag, mereka hanya mentransmisikan frame sebagaimana adanya. Dalam contoh kami, port ini harus menjadi port 6 dari switch SW1 dan SW2, serta port 3 dan 4 dari switchboard. Port dalam contoh kami harus mendukung VLAN2 dan VLAN3 (dan VLAN1 jika ada host di jaringan yang tidak ditetapkan secara eksplisit ke VLAN apa pun).

Sakelar yang mendukung teknologi VLAN menyediakan pemfilteran lalu lintas tambahan. Jika tabel penerusan sakelar mengatakan bahwa bingkai yang masuk perlu dikirim ke port tertentu, sebelum mentransmisikan, sakelar memeriksa apakah nilai VTD dalam tag VL AN bingkai cocok dengan VLAN yang ditetapkan ke port ini. Jika ada kecocokan, frame ditransmisikan; jika tidak cocok, maka akan dibuang. Bingkai tanpa tag diproses dengan cara yang sama, tetapi menggunakan VLAN1 bersyarat. Alamat MAC dipelajari oleh switch jaringan secara terpisah, tetapi masing-masing VLAN.

Teknik VLAN ternyata sangat efektif untuk membatasi akses ke server. Mengkonfigurasi jaringan area lokal virtual tidak memerlukan pengetahuan tentang alamat MAC node, selain itu, setiap perubahan dalam jaringan, seperti menghubungkan komputer ke sakelar lain, hanya memerlukan konfigurasi port sakelar ini, dan semua sakelar jaringan lainnya terus bekerja tanpa mengubah konfigurasinya.

Virtual Private Networks (VPNs) mendapatkan banyak perhatian sebagai penyedia layanan jaringan dan penyedia Internet, dan pengguna korporat. Riset Infonetika memperkirakan bahwa pasar VPN akan tumbuh lebih dari 100% per tahun hingga tahun 2003 dan mencapai $12 miliar.

Sebelum memberi tahu Anda tentang popularitas VPN, izinkan saya mengingatkan Anda bahwa hanya jaringan data pribadi (perusahaan) yang dibangun, sebagai aturan, menggunakan saluran komunikasi sewaan (khusus) dari jaringan telepon umum yang dialihkan. Selama bertahun-tahun, jaringan pribadi ini telah dirancang dengan mempertimbangkan kebutuhan perusahaan tertentu, menghasilkan protokol berpemilik yang mendukung aplikasi berpemilik (namun, protokol Frame Relay dan ATM baru-baru ini mendapatkan popularitas). Saluran khusus memungkinkan Anda untuk memberikan perlindungan informasi rahasia yang andal, tetapi sisi lain dari koin adalah biaya operasi yang tinggi dan kesulitan dalam memperluas jaringan, belum lagi kemampuan pengguna seluler untuk terhubung ke titik yang tidak diinginkan. Pada saat yang sama, bisnis modern dicirikan oleh penyebaran dan mobilitas tenaga kerja yang signifikan. Semakin banyak pengguna yang membutuhkan akses ke informasi perusahaan melalui saluran dial-up, dan jumlah karyawan yang bekerja dari rumah juga semakin meningkat.

Selanjutnya, jaringan pribadi tidak dapat menyediakan peluang bisnis yang sama yang disediakan oleh aplikasi berbasis Internet dan IP, seperti promosi produk, dukungan pelanggan, atau komunikasi berkelanjutan dengan pemasok. Interaksi online ini memerlukan interkoneksi jaringan pribadi, yang biasanya menggunakan protokol dan aplikasi yang berbeda, sistem manajemen jaringan yang berbeda, dan penyedia layanan komunikasi yang berbeda.

Dengan demikian, biaya tinggi, sifat statis, dan kesulitan yang muncul ketika perlu menggabungkan jaringan pribadi berdasarkan teknologi yang berbeda, bertentangan dengan bisnis yang berkembang secara dinamis, keinginannya untuk desentralisasi dan tren baru-baru ini menuju merger.

Pada saat yang sama, secara paralel, ada jaringan transmisi data publik tanpa kekurangan ini dan Internet, yang secara harfiah menyelimuti seluruh dunia dengan "web" -nya. Benar, mereka kehilangan keuntungan terpenting dari jaringan pribadi - perlindungan yang handal informasi perusahaan. Teknologi Virtual Private Network menggabungkan fleksibilitas, skalabilitas, biaya rendah, dan ketersediaan Internet "kapan saja di mana saja" secara harfiah dan jaringan publik dengan keamanan jaringan pribadi. Pada intinya, VPN adalah jaringan pribadi yang digunakan jaringan global akses publik(Internet, Frame Relay, ATM). Virtualitas dimanifestasikan dalam kenyataan bahwa untuk pengguna korporat mereka tampak seperti jaringan pribadi yang berdedikasi.

KESESUAIAN

Masalah kompatibilitas tidak muncul jika VPN secara langsung menggunakan layanan Frame Relay dan ATM, karena mereka beradaptasi dengan baik untuk bekerja di lingkungan multiprotokol dan cocok untuk aplikasi IP dan non-IP. Semua yang diperlukan dalam hal ini adalah tersedianya infrastruktur jaringan yang sesuai yang mencakup wilayah geografis yang dibutuhkan. Perangkat akses yang paling umum digunakan adalah Perangkat Akses Frame Relay atau router dengan antarmuka Frame Relay dan ATM. Banyak sirkuit virtual permanen atau yang diaktifkan dapat beroperasi (secara virtual) dengan campuran protokol dan topologi apa pun. Masalah menjadi lebih rumit jika VPN berbasis Internet. Dalam hal ini, aplikasi harus kompatibel dengan protokol IP. Asalkan persyaratan ini terpenuhi, Anda dapat menggunakan Internet "sebagaimana adanya" untuk membangun VPN, setelah sebelumnya memberikan tingkat keamanan yang diperlukan. Tetapi karena sebagian besar jaringan pribadi multiprotokol atau menggunakan alamat IP internal tidak resmi, mereka tidak dapat langsung terhubung ke Internet tanpa adaptasi yang sesuai. Ada banyak solusi kompatibilitas. Yang paling populer adalah sebagai berikut:
- konversi protokol yang ada (IPX, NetBEUI, AppleTalk atau lainnya) menjadi protokol IP dengan alamat resmi;
- konversi alamat IP internal ke alamat IP resmi;
— pemasangan gateway IP khusus di server;
— penggunaan perutean IP virtual;
- penggunaan teknik tunneling universal.
Cara pertama sudah jelas, jadi mari kita lihat secara singkat yang lain.
Mengubah alamat IP internal menjadi yang resmi diperlukan ketika jaringan pribadi didasarkan pada protokol IP. Terjemahan alamat untuk seluruh jaringan perusahaan tidak diperlukan, karena alamat IP resmi dapat hidup berdampingan dengan yang internal pada sakelar dan perute di jaringan perusahaan. Dengan kata lain, server dengan alamat IP resmi masih tersedia untuk klien jaringan pribadi melalui infrastruktur lokal. Teknik yang paling umum digunakan adalah pembagian blok kecil alamat resmi oleh banyak pengguna. Ini mirip dengan pemisahan kumpulan modem yang juga bergantung pada asumsi bahwa tidak semua pengguna memerlukan akses ke Internet pada saat yang bersamaan. Ada dua standar industri di sini: Protokol Konfigurasi Host Dinamis (DHCP) dan siaran alamat jaringan(Terjemahan Alamat Jaringan - NAT), yang pendekatannya sedikit berbeda. DHCP "menyewa" alamat ke host untuk waktu yang ditentukan oleh administrator jaringan, sementara NAT menerjemahkan alamat IP internal menjadi alamat resmi secara dinamis, selama sesi komunikasi dengan
Internet.

Cara lain untuk membuat jaringan pribadi kompatibel dengan Internet adalah dengan memasang gateway IP. Gateway menerjemahkan protokol non-IP ke protokol IP dan sebaliknya. Sebagian besar sistem operasi jaringan yang menggunakan protokol asli memiliki perangkat lunak gateway IP.

Inti dari perutean IP virtual adalah memperluas tabel perutean pribadi dan ruang alamat ke infrastruktur (router dan sakelar) ISP. Router IP virtual adalah bagian logis dari router IP fisik yang dimiliki dan dioperasikan oleh penyedia layanan. Setiap router virtual melayani sekelompok pengguna tertentu.
Namun, mungkin yang paling jalan terbaik interoperabilitas dapat dicapai dengan menggunakan teknik tunneling. Teknik-teknik ini telah digunakan sejak lama untuk mengirimkan aliran paket multiprotocol melalui tulang punggung yang sama. Teknologi yang terbukti ini saat ini dioptimalkan untuk VPN berbasis Internet.
Komponen utama terowongan adalah:
— pemrakarsa terowongan;
— jaringan yang dialihkan;
- sakelar terowongan (opsional);
— satu atau lebih terminator terowongan.
Tunneling harus dilakukan di kedua ujung link end-to-end. Terowongan harus dimulai dengan inisiator terowongan dan diakhiri dengan terminator terowongan. Inisialisasi dan penghentian operasi terowongan dapat dilakukan dengan berbagai cara perangkat jaringan dan perangkat lunak. Sebagai contoh, terowongan dapat diinisiasi oleh komputer pengguna jarak jauh yang memiliki modem dan perangkat lunak VPN yang diperlukan, router front-end di kantor cabang perusahaan, atau konsentrator akses jaringan di penyedia layanan.

Untuk transmisi melalui Internet paket selain IP protokol jaringan, mereka dikemas dalam paket IP dari sisi sumber. Metode yang paling umum digunakan untuk membuat tunnel VPN adalah dengan mengenkapsulasi paket non-IP dalam paket PPP (Point-to-Point Protocol) dan kemudian mengenkapsulasinya dalam paket IP. Izinkan saya mengingatkan Anda bahwa protokol PPP digunakan untuk koneksi point-to-point, misalnya untuk komunikasi client-server. Proses enkapsulasi IP melibatkan penambahan header IP standar ke paket asli, yang kemudian diperlakukan sebagai informasi yang bermanfaat. Proses yang sesuai di ujung lain terowongan menghapus header IP, membiarkan paket asli tidak berubah. Karena teknologi tunneling cukup sederhana, ini juga yang paling terjangkau dari segi biaya.

KEAMANAN

Memastikan tingkat keamanan yang diperlukan seringkali menjadi pertimbangan utama ketika sebuah perusahaan mempertimbangkan untuk menggunakan VPN berbasis Internet. Banyak manajer TI terbiasa dengan privasi yang melekat pada jaringan pribadi dan menganggap Internet terlalu "publik" untuk digunakan sebagai jaringan pribadi. Jika Anda menggunakan terminologi bahasa Inggris, maka ada tiga "P", implementasi yang bersama-sama memberikan perlindungan informasi yang lengkap. Ini:
Perlindungan - perlindungan sumber daya menggunakan firewall (firewall);
Bukti - verifikasi identitas (integritas) paket dan otentikasi pengirim (konfirmasi hak akses);
Privasi - perlindungan informasi rahasia menggunakan enkripsi.
Ketiga P sama pentingnya untuk jaringan perusahaan apa pun, termasuk VPN. Dalam jaringan yang sangat pribadi, untuk melindungi sumber daya dan kerahasiaan informasi, cukup menggunakan cukup kata sandi sederhana. Tapi begitu jaringan pribadi terhubung ke jaringan publik, tidak satu pun dari ketiga P itu dapat memberikan perlindungan yang diperlukan. Oleh karena itu, untuk VPN apa pun, firewall harus dipasang di semua titik interaksinya dengan jaringan publik, dan paket harus dienkripsi dan diautentikasi.

Firewall adalah komponen penting dalam VPN apa pun. Mereka hanya mengizinkan lalu lintas resmi untuk pengguna tepercaya dan memblokir yang lainnya. Dengan kata lain, semua upaya akses oleh pengguna yang tidak dikenal atau tidak dipercaya akan dilewati. Bentuk perlindungan ini harus disediakan untuk setiap situs dan pengguna, karena tidak memilikinya di mana pun berarti tidak memilikinya di mana pun. Protokol khusus digunakan untuk memastikan keamanan jaringan pribadi virtual. Protokol ini memungkinkan host untuk "menegosiasikan" teknik enkripsi dan tanda tangan digital yang akan digunakan, sehingga menjaga kerahasiaan dan integritas data serta mengotentikasi pengguna.

Microsoft Point-to-Point Encryption Protocol (MPPE) mengenkripsi paket PPP pada mesin klien sebelum dikirim ke tunnel. Sesi enkripsi diinisialisasi selama pembentukan komunikasi dengan tunnel terminator menggunakan protokol
PPP.

Protokol IP aman (IPSec) adalah serangkaian standar awal yang dikembangkan oleh Internet Engineering Task Force (IETF). Grup mengusulkan dua protokol: Authentication Header (AH) dan Encapsulating Security Payload (ESP). protokol AH menambahkan tanda tangan digital header yang mengautentikasi pengguna dan memastikan integritas data dengan melacak setiap perubahan saat transit. Protokol ini hanya melindungi data, membiarkan bagian alamat dari paket IP tidak berubah. Protokol ESP, di sisi lain, dapat mengenkripsi seluruh paket (Mode Tunnel) atau hanya data (Mode Transportasi). Protokol-protokol ini digunakan baik secara terpisah maupun dalam kombinasi.

Untuk mengelola keamanan, standar industri RADIUS (Layanan Pengguna Dial-In Otentikasi Jarak Jauh) digunakan, yang merupakan basis data profil pengguna yang berisi kata sandi (otentikasi) dan hak akses (otorisasi).

Fitur keamanan jauh dari terbatas pada contoh yang diberikan. Banyak produsen router dan firewall menawarkan solusi mereka sendiri. Diantaranya adalah Ascend, CheckPoint dan Cisco.

KETERSEDIAAN

Ketersediaan mencakup tiga komponen yang sama pentingnya: waktu layanan, throughput, dan latensi. Waktu penyediaan layanan merupakan subjek kontrak dengan penyedia layanan, dan dua komponen lainnya terkait dengan unsur kualitas layanan (Quality of Service - QoS). Teknologi modern transport memungkinkan Anda membangun VPN yang memenuhi persyaratan hampir semua aplikasi yang ada.

KONTROL

Administrator jaringan selalu ingin dapat melakukan manajemen end-to-end, end-to-end jaringan perusahaan, termasuk bagian yang berhubungan dengan perusahaan telekomunikasi. Ternyata VPN memberikan lebih banyak opsi dalam hal ini daripada jaringan pribadi biasa. Jaringan pribadi tipikal dikelola "dari perbatasan ke perbatasan", mis. penyedia layanan mengelola jaringan hingga router depan jaringan perusahaan, sementara pelanggan mengelola jaringan perusahaan itu sendiri hingga perangkat akses WAN. Teknologi VPN memungkinkan Anda untuk menghindari pembagian "lingkup pengaruh" semacam ini, menyediakan penyedia dan pelanggan sistem tunggal mengelola jaringan secara keseluruhan, baik bagian korporatnya maupun infrastruktur jaringan jaringan publik. Administrator jaringan perusahaan memiliki kemampuan untuk memantau dan mengkonfigurasi ulang jaringan, mengelola perangkat akses depan, dan menentukan status jaringan secara real time.

ARSITEKTUR VPN

Ada tiga model arsitektur jaringan pribadi virtual: dependen, independen, dan hybrid sebagai kombinasi dari dua alternatif pertama. Milik model tertentu ditentukan oleh di mana empat persyaratan utama untuk VPN diimplementasikan. Jika penyedia layanan jaringan global menyediakan solusi VPN lengkap, mis. menyediakan tunneling, keamanan, kinerja dan manajemen, itu membuat arsitektur bergantung padanya. Dalam hal ini, semua proses VPN bersifat transparan bagi pengguna, dan dia hanya melihat lalu lintas asalnya — paket IP, IPX, atau NetBEUI. Keuntungan dari arsitektur dependen untuk pelanggan adalah dia dapat menggunakan infrastruktur jaringan yang ada "sebagaimana adanya", hanya menambahkan firewall antara VPN dan jaringan pribadi.
WAN/LAN.

Arsitektur independen diimplementasikan ketika organisasi menyediakan semuanya persyaratan teknologi pada peralatannya, hanya mendelegasikan fungsi transportasi ke penyedia layanan. Arsitektur ini lebih mahal, tetapi memberi pengguna kendali penuh atas semua operasi.

Arsitektur hybrid mencakup situs yang bergantung dan independen dari organisasi (masing-masing, dari penyedia layanan).

Apa janji VPN untuk pengguna korporat? Pertama-tama, menurut analis industri, ini adalah pengurangan biaya untuk semua jenis telekomunikasi dari 30 menjadi 80%. Dan juga hampir di mana-mana akses ke jaringan perusahaan atau organisasi lain; itu adalah penerapan komunikasi yang aman dengan pemasok dan pelanggan; ini adalah layanan yang ditingkatkan dan disempurnakan yang tidak tersedia di jaringan PSTN, dan banyak lagi. Spesialis melihat VPN sebagai generasi baru komunikasi jaringan, dan banyak analis percaya bahwa VPN akan segera menggantikan sebagian besar jaringan pribadi berdasarkan jalur sewaan.

Selain tujuan utamanya - untuk meningkat bandwidth koneksi di jaringan - sakelar memungkinkan Anda untuk melokalkan aliran informasi, serta mengontrol dan mengelola aliran ini menggunakan mekanisme filter khusus. Namun, filter pengguna dapat mencegah transmisi bingkai hanya ke alamat tertentu, sementara itu mentransmisikan lalu lintas siaran ke semua segmen jaringan. Ini adalah prinsip pengoperasian algoritme jembatan yang diterapkan di sakelar, oleh karena itu, jaringan yang dibuat berdasarkan jembatan dan sakelar terkadang disebut datar - karena tidak adanya hambatan untuk lalu lintas siaran.

Diperkenalkan beberapa tahun yang lalu, teknologi jaringan area lokal virtual (Virtual LAN, VLAN) mengatasi keterbatasan ini. Jaringan virtual adalah sekelompok node jaringan yang lalu lintasnya, termasuk lalu lintas siaran, benar-benar terisolasi dari node lain pada lapisan data link (lihat Gambar 1). Ini berarti bahwa transfer bingkai langsung antara jaringan virtual yang berbeda tidak dimungkinkan, apa pun jenis alamatnya - unik, multicast, atau siaran. Pada saat yang sama, dalam jaringan virtual, frame ditransmisikan sesuai dengan teknologi switching, yaitu hanya ke port yang alamat tujuan frame ditetapkan.

Jaringan virtual dapat tumpang tindih jika satu atau lebih komputer disertakan dalam lebih dari satu jaringan virtual. Pada Gambar 1, server email adalah bagian dari jaringan virtual 3 dan 4, dan oleh karena itu bingkainya dikirim melalui sakelar ke semua komputer yang tergabung dalam jaringan ini. Jika komputer hanya ditugaskan ke jaringan virtual 3, maka bingkainya tidak akan mencapai jaringan 4, tetapi dapat berinteraksi dengan komputer di jaringan 4 melalui jaringan umum. server surat. Skema ini tidak sepenuhnya mengisolasi jaringan virtual satu sama lain - dengan demikian, badai siaran yang diprakarsai oleh server email akan membanjiri jaringan 3 dan jaringan 4.

Dikatakan bahwa jaringan virtual membentuk domain lalu lintas siaran (broadcast domain), dengan analogi dengan domain tabrakan, yang dibentuk oleh repeater jaringan Ethernet.

PENUGASAN VLAN

Teknologi VLAN memudahkan pembuatan jaringan terisolasi yang berkomunikasi melalui router yang mendukung protokol lapisan jaringan seperti IP. Solusi ini menciptakan penghalang yang jauh lebih kuat untuk lalu lintas yang salah dari satu jaringan ke jaringan lainnya. Saat ini diyakini bahwa jaringan besar mana pun harus menyertakan router, jika tidak, aliran bingkai yang salah, khususnya siaran, melalui sakelar yang transparan kepada mereka, secara berkala akan "membanjiri" seluruhnya, mengakibatkan keadaan tidak dapat dioperasikan.

Teknologi jaringan virtual memberikan dasar yang fleksibel untuk membangun jaringan besar yang dihubungkan oleh router, karena sakelar memungkinkan Anda membuat segmen yang sepenuhnya terisolasi secara terprogram tanpa harus beralih secara fisik.

Sebelum munculnya teknologi VLAN, satu jaringan digunakan baik dengan panjang kabel koaksial yang terisolasi secara fisik atau segmen yang tidak terhubung berdasarkan repeater dan jembatan. Kemudian jaringan digabungkan melalui router menjadi jaringan komposit tunggal (lihat Gambar 2).

Mengubah komposisi segmen (transisi pengguna ke jaringan lain, membagi bagian besar) dengan pendekatan ini menyiratkan penyambungan kembali konektor secara fisik di panel depan repeater atau di panel silang, yang sangat tidak nyaman di jaringan besar Ini adalah pekerjaan yang sangat memakan waktu, dan kemungkinan kesalahan sangat tinggi. Oleh karena itu, untuk menghilangkan kebutuhan untuk reswitching fisik node, hub multi-segmen mulai digunakan sehingga komposisi segmen bersama dapat diprogram ulang tanpa reswitching fisik.

Namun, mengubah komposisi segmen dengan bantuan hub memberlakukan batasan besar pada struktur jaringan - jumlah segmen dari pengulang seperti itu biasanya kecil, dan tidak realistis untuk mengalokasikan setiap node sendiri, seperti yang dapat dilakukan dengan menggunakan sakelar. . Selain itu, dengan pendekatan ini, semua pekerjaan mentransfer data antar segmen dilakukan pada router, dan sakelar dengan kinerja tinggi tetap "tidak berfungsi". Dengan demikian, jaringan pengulang konfigurasi-switched masih membutuhkan membagikan lingkungan transmisi dengan sejumlah besar node dan, oleh karena itu, memiliki kinerja yang jauh lebih rendah dibandingkan dengan jaringan berbasis switch.

Saat menggunakan teknologi jaringan virtual di sakelar, dua tugas diselesaikan secara bersamaan:

• peningkatan kinerja di masing-masing jaringan virtual, karena sakelar mengirimkan bingkai hanya ke host tujuan;
• mengisolasi jaringan satu sama lain untuk mengelola hak akses pengguna dan menciptakan penghalang pelindung terhadap badai siaran.

Konsolidasi jaringan virtual di jaringan umum dilakukan pada lapisan jaringan, yang dapat diakses menggunakan perangkat lunak router atau switch terpisah. Yang terakhir dalam hal ini menjadi perangkat gabungan - yang disebut sakelar tingkat ketiga.

Teknologi untuk pembentukan dan pengoperasian jaringan virtual menggunakan sakelar sudah lama tidak distandarisasi, meskipun telah diterapkan dalam berbagai model sakelar dari produsen yang berbeda. Situasi berubah setelah adopsi standar IEEE 802.1Q pada tahun 1998, yang menetapkan aturan dasar untuk membangun jaringan lokal virtual, terlepas dari protokol lapisan tautan mana yang didukung oleh sakelar.

Karena sudah lama tidak ada standar VLAN, setiap perusahaan sakelar besar telah mengembangkan teknologi jaringan virtualnya sendiri, dan, biasanya, tidak kompatibel dengan teknologi dari pabrikan lain. Oleh karena itu, terlepas dari munculnya standar, tidak jarang terjadi situasi di mana jaringan virtual yang dibuat berdasarkan sakelar dari satu vendor tidak dikenali dan, karenanya, tidak didukung oleh sakelar dari vendor lain.

MENCIPTAKAN VLAN BERDASARKAN SATU SWITCH

Saat membuat jaringan virtual berdasarkan satu sakelar, mekanisme pengelompokan port sakelar biasanya digunakan (lihat Gambar 3). Selain itu, masing-masing ditugaskan ke satu atau beberapa jaringan virtual. Bingkai yang diterima dari port milik, misalnya, jaringan virtual 1 tidak akan pernah dikirim ke port yang bukan bagian darinya. Sebuah port dapat ditugaskan ke beberapa jaringan virtual, meskipun dalam praktiknya hal ini jarang dilakukan - efek isolasi total jaringan menghilang.

Mengelompokkan port dari satu switch adalah cara paling logis untuk membentuk VLAN, karena dalam hal ini tidak boleh ada lebih banyak jaringan virtual daripada port. Jika pengulang terhubung ke beberapa port, maka tidak masuk akal untuk memasukkan node dari segmen yang sesuai di jaringan virtual yang berbeda - semuanya sama, lalu lintasnya akan umum.

Pendekatan ini tidak memerlukan banyak pekerjaan manual dari administrator - cukup menetapkan setiap port ke salah satu dari beberapa jaringan virtual yang telah diberi nama sebelumnya. Biasanya, operasi ini dilakukan dengan menggunakan program khusus yang disertakan dengan sakelar. Administrator membuat jaringan virtual dengan menyeret ikon port ke ikon jaringan.

Cara lain untuk membentuk jaringan virtual didasarkan pada pengelompokan alamat MAC. Setiap alamat MAC yang diketahui sakelar ditetapkan ke satu atau beberapa jaringan virtual. Jika jaringan memiliki banyak node, administrator harus melakukan banyak operasi manual. Namun, ketika membangun jaringan virtual berdasarkan beberapa switch, metode ini lebih fleksibel daripada port trunking.

MEMBUAT VLAN BERDASARKAN BERBAGAI SWITCH

Gambar 4 mengilustrasikan situasi yang terjadi saat membuat jaringan virtual berdasarkan beberapa switch melalui port trunking. Jika node dari jaringan virtual mana pun terhubung ke sakelar yang berbeda, maka sepasang port terpisah harus dialokasikan untuk menghubungkan sakelar dari setiap jaringan tersebut. Jika tidak, informasi tentang bingkai milik jaringan virtual tertentu akan hilang selama transmisi dari sakelar ke sakelar. Dengan demikian, metode port trunking membutuhkan banyak port untuk menghubungkan switch karena mereka mendukung VLAN, sehingga penggunaan port dan kabel menjadi sangat boros. Selain itu, untuk mengatur interaksi jaringan virtual melalui router, setiap jaringan memerlukan kabel terpisah dan port router terpisah, yang juga menyebabkan biaya overhead yang tinggi.

Mengelompokkan alamat MAC ke dalam jaringan virtual pada setiap sakelar menghilangkan kebutuhan untuk menghubungkannya melalui banyak port, karena dalam hal ini label jaringan virtual adalah alamat MAC. Namun, metode ini memerlukan banyak penandaan alamat MAC manual pada setiap sakelar di jaringan.

Dua pendekatan yang dijelaskan hanya didasarkan pada penambahan informasi ke tabel alamat jembatan dan tidak menyertakan informasi tentang bingkai milik jaringan virtual dalam bingkai yang ditransmisikan. Pendekatan lain menggunakan yang ada atau bidang tambahan frame untuk merekam informasi tentang kepemilikan frame saat bergerak di antara switch jaringan. Selain itu, tidak perlu mengingat pada setiap switch jaringan virtual mana yang dimiliki oleh alamat MAC internetwork.

Bidang ekstra yang ditandai dengan nomor jaringan virtual hanya digunakan saat frame dikirim dari switch ke switch, dan biasanya dihapus saat frame dikirim ke node akhir. Pada saat yang sama, protokol interaksi "switch-switch" dimodifikasi, sementara perangkat lunak dan perangkat keras node akhir tetap tidak berubah. Ada banyak contoh protokol berpemilik seperti itu, tetapi mereka memiliki satu kelemahan yang sama - tidak didukung oleh pabrikan lain. Cisco telah mengusulkan header protokol 802.10 sebagai tambahan standar untuk bingkai dari setiap protokol LAN, yang tujuannya adalah untuk mendukung fitur keamanan. jaringan komputer. Perusahaan itu sendiri mengacu pada metode ini jika sakelar saling berhubungan menggunakan protokol FDDI. Namun, inisiatif ini tidak didukung oleh produsen sakelar terkemuka lainnya.

Untuk menyimpan nomor jaringan virtual, standar IEEE 802.1Q menyediakan header dua byte tambahan yang digunakan bersama dengan protokol 802.1p. Selain tiga bit untuk menyimpan nilai prioritas frame, seperti yang dijelaskan oleh standar 802.1p, 12 bit dalam header ini digunakan untuk menyimpan nomor jaringan virtual tempat frame tersebut berada. Ini informasi tambahan disebut tag jaringan virtual (VLAN TAG) dan memungkinkan sakelar dari produsen berbeda untuk membuat hingga 4096 jaringan virtual bersama. Bingkai seperti itu disebut "tagged". Panjang frame Ethernet yang ditandai bertambah 4 byte, karena selain dua byte dari tag itu sendiri, dua byte lagi ditambahkan. Struktur frame Ethernet yang ditandai ditunjukkan pada Gambar 5. Ketika header 802.1p/Q ditambahkan, bidang data dikurangi dua byte.

Gambar 5. Struktur bingkai Ethernet yang ditandai.

Munculnya standar 802.1Q memungkinkan untuk mengatasi perbedaan dalam implementasi VLAN berpemilik dan mencapai kompatibilitas saat membangun jaringan area lokal virtual. Teknik VLAN didukung oleh produsen switch dan NIC. Dalam kasus terakhir, NIC dapat menghasilkan dan menerima bingkai Ethernet yang diberi tag yang berisi bidang VLAN TAG. Jika adaptor jaringan menghasilkan bingkai yang diberi tag, maka dengan melakukan itu ia menentukan apakah mereka termasuk dalam satu atau beberapa jaringan lokal virtual, sehingga sakelar harus memprosesnya sesuai, yaitu mengirimkan atau tidak mengirimkan ke port keluaran, tergantung pada kepemilikan port. Driver adaptor jaringan mendapatkan nomor VLAN-nya (atau nomornya sendiri) dari administrator jaringan (melalui konfigurasi manual) atau dari beberapa aplikasi yang berjalan di host. Aplikasi semacam itu dapat berfungsi secara terpusat di salah satu server jaringan dan mengelola struktur seluruh jaringan.

Didukung oleh VLAN adaptor jaringan Anda dapat melewati konfigurasi statis dengan menetapkan port ke jaringan virtual tertentu. Namun, metode konfigurasi VLAN statis tetap populer karena memungkinkan Anda membuat jaringan terstruktur tanpa melibatkan perangkat lunak end-node.

Natalya Olifer adalah kolumnis untuk Journal of Network Solutions/LAN. Dia bisa dihubungi di:

Virtual Private Network adalah jaringan pribadi virtual yang digunakan untuk menyediakan konektivitas yang aman dalam koneksi perusahaan dan akses Internet. Keuntungan utama VPN adalah keamanan tinggi karena enkripsi lalu lintas internal, yang penting saat mentransfer data.

Apa itu koneksi VPN

Banyak orang, dihadapkan pada singkatan ini, bertanya: VPN - apa itu dan mengapa diperlukan? Teknologi ini membuka kemungkinan penciptaan koneksi jaringan di atas yang lain. VPN berfungsi dalam beberapa mode:

• jaringan simpul;
• jaringan-jaringan;
• node-node.

Organisasi jaringan virtual pribadi di tingkat jaringan memungkinkan penggunaan protokol TCP dan UDP. Semua data yang melewati komputer dienkripsi. Ini adalah perlindungan tambahan untuk koneksi Anda. Ada banyak contoh yang menjelaskan apa itu koneksi VPN dan mengapa Anda harus menggunakannya. Di bawah ini akan dirinci pertanyaan ini.

Mengapa Anda membutuhkan VPN

Setiap penyedia dapat menyediakan, atas permintaan otoritas terkait, catatan aktivitas pengguna. Perusahaan Internet Anda mencatat semua aktivitas yang Anda lakukan di jaringan. Ini membantu membebaskan penyedia dari tanggung jawab apa pun atas tindakan yang dilakukan klien. Ada banyak situasi di mana Anda perlu melindungi data Anda dan mendapatkan kebebasan, misalnya:

1. Layanan VPN digunakan untuk mengirim data rahasia perusahaan antar cabang. Ini membantu melindungi informasi penting dari penyadapan.
2. Jika Anda perlu melewati pengikatan layanan berdasarkan wilayah geografis. Misalnya, layanan Musik Yandex hanya tersedia untuk penduduk Rusia dan penduduk negara-negara CIS sebelumnya. Jika Anda adalah penduduk Amerika Serikat yang berbahasa Rusia, Anda tidak akan dapat mendengarkan rekamannya. Layanan VPN akan membantu Anda melewati larangan ini dengan mengganti alamat jaringan dengan alamat Rusia.
3. Sembunyikan kunjungan situs dari penyedia. Tidak semua orang siap untuk membagikan aktivitasnya di Internet, jadi mereka akan melindungi kunjungan mereka dengan bantuan VPN.

Cara Kerja VPN

Saat Anda menggunakan saluran VPN lain, IP Anda akan menjadi milik negara tempat jaringan aman ini berada. Saat terhubung, terowongan akan dibuat antara server VPN dan komputer Anda. Setelah itu, di log (catatan) penyedia akan ada satu set karakter yang tidak dapat dipahami. Analisis data program khusus tidak akan memberikan hasil. Jika Anda tidak menggunakan teknologi ini, protokol HTTP akan langsung menunjukkan situs mana yang Anda sambungkan.

Struktur VPN

Sambungan ini terdiri dari dua bagian. Yang pertama disebut jaringan "internal", Anda dapat membuat beberapa di antaranya. Yang kedua adalah yang "eksternal", di mana koneksi yang dienkapsulasi terjadi, sebagai aturan, Internet digunakan. Dimungkinkan juga untuk menghubungkan satu komputer ke jaringan. Pengguna terhubung ke VPN tertentu melalui server akses yang terhubung secara bersamaan ke jaringan eksternal dan internal.

Ketika program VPN menghubungkan pengguna jarak jauh, server memerlukan dua proses penting untuk dilalui: identifikasi pertama, kemudian otentikasi. Ini diperlukan untuk mendapatkan hak untuk menggunakan koneksi ini. Jika Anda berhasil melewati dua tahap ini, jaringan Anda diberdayakan, yang membuka kemungkinan untuk bekerja. Intinya, ini adalah proses otorisasi.

klasifikasi VPN

Ada beberapa jenis jaringan pribadi virtual. Ada pilihan untuk tingkat keamanan, metode implementasi, tingkat pekerjaan sesuai model ISO/OSI, protokol yang terlibat. Anda dapat menggunakan akses berbayar atau layanan VPN gratis dari Google. Berdasarkan tingkat keamanannya, saluran dapat "aman" atau "tepercaya". Yang terakhir diperlukan jika koneksi itu sendiri memiliki tingkat perlindungan yang diinginkan. Untuk mengatur opsi pertama, teknologi berikut harus digunakan:

• PPTP
• OpenVPN;
• IPSec.

Cara membuat server VPN

Untuk semua pengguna komputer, ada cara untuk menyambungkan VPN sendiri. Opsi ruang operasi akan dipertimbangkan di bawah ini. sistem jendela. Panduan ini tidak menyediakan penggunaan perangkat lunak tambahan. Pengaturan dilakukan sebagai berikut:

1. Untuk membuat koneksi baru, Anda perlu membuka panel tampilan akses jaringan. Mulailah mengetik kata pencarian " Koneksi jaringan».
2. Tekan tombol "Alt", klik bagian "File" di menu dan pilih "Koneksi masuk baru".
3. Kemudian atur pengguna yang akan diberikan koneksi VPN ke komputer ini (jika Anda hanya memiliki satu Akun pada PC, Anda harus membuat kata sandi untuk itu). Instal burung dan klik "Berikutnya".
4. Selanjutnya Anda akan diminta untuk memilih jenis koneksi, Anda dapat meninggalkan tanda centang di depan "Internet".
5. Langkah selanjutnya adalah mengaktifkan protokol jaringan yang akan berfungsi pada VPN ini. Centang semua kotak kecuali yang kedua. Secara opsional, Anda dapat menyetel IP tertentu, gateway DNS, dan port di IPv4, tetapi akan lebih mudah untuk meninggalkan penetapan otomatis.
6. Saat Anda mengklik tombol "Izinkan akses", sistem operasi akan membuat server sendiri, menampilkan jendela dengan nama komputer. Anda akan membutuhkannya untuk terhubung.
7. Ini melengkapi pembuatan server VPN rumah.

Cara mengatur VPN di Android

Metode yang dijelaskan di atas adalah cara membuat koneksi VPN komputer pribadi. Namun, banyak yang sudah lama melakukan semua tindakan menggunakan ponsel. Jika Anda tidak tahu apa itu VPN di Android, maka semua fakta di atas tentang tipe ini koneksi juga berlaku untuk smartphone. Konfigurasi perangkat modern memberikan kenyamanan penggunaan Internet dengan kecepatan tinggi. Dalam beberapa kasus (untuk meluncurkan game, membuka situs web) mereka menggunakan substitusi proxy atau penganonim, tetapi VPN lebih baik untuk koneksi yang stabil dan cepat.

Jika Anda sudah memahami apa itu VPN di ponsel, maka Anda dapat langsung membuat terowongan. Anda dapat melakukan ini di perangkat Android apa pun. Koneksi dibuat sebagai berikut:

1. Buka bagian pengaturan, klik bagian "Jaringan".
2. Cari item bernama " Pengaturan tambahan" dan buka bagian "VPN". Selanjutnya, Anda memerlukan kode pin atau kata sandi yang membuka kemampuan untuk membuat jaringan.
3. Langkah selanjutnya adalah menambahkan koneksi VPN. Tentukan nama di bidang "Server", nama di bidang "nama pengguna", atur jenis koneksi. Ketuk tombol "Simpan".
4. Setelah itu, koneksi baru akan muncul dalam daftar, yang dapat Anda gunakan untuk mengubah koneksi standar Anda.
5. Ikon akan muncul di layar yang menunjukkan bahwa koneksi tersedia. Jika Anda mengetuknya, Anda akan diberikan statistik data yang diterima / dikirim. Anda juga dapat menonaktifkan koneksi VPN di sini.

Video: Layanan VPN Gratis