Виртуал сүлжээнүүд. Vpn холболт: энэ юу вэ, vpn суваг юунд зориулагдсан вэ? Сүлжээнд өгөгдөл дамжуулахад "хонгил" гэсэн ойлголт

Виртуал хувийн сүлжээ

Ихэнхдээ бий болгох виртуал сүлжээ PPP протоколыг бусад протоколд оруулахыг ашигладаг - Ethernet (Интернэтэд нэвтрэх боломжийг олгох "сүүлийн миль" үйлчилгээ үзүүлэгч.

Хэрэгжилтийн зохих түвшинд, тусгай хэрэглээтэй програм хангамж VPN хангах боломжтой өндөр түвшиндамжуулагдсан мэдээллийн шифрлэлт. At зөв тохиргооБүх бүрэлдэхүүн хэсгүүдийн хувьд VPN технологи нь вэб дээр нэрээ нууцлах боломжийг олгодог.

VPN бүтэц

VPN нь хэд хэдэн байж болох "дотоод" (хяналттай) сүлжээ, капсуллагдсан холболт дамждаг "гадаад" сүлжээ (ихэвчлэн интернет ашигладаг) гэсэн хоёр хэсгээс бүрдэнэ. Мөн нэг компьютерийг виртуал сүлжээнд холбох боломжтой. Алсын хэрэглэгч VPN-д дотоод болон гадаад (нийтийн) сүлжээнд холбогдсон хандалтын серверээр холбогддог. Алсын хэрэглэгчийг холбох үед (эсвэл өөр аюулгүй сүлжээнд холбогдох үед) хандалтын сервер нь таних процессыг дамжуулж, дараа нь баталгаажуулалтын процессыг шаарддаг. Хоёр процесс амжилттай дууссаны дараа алсын хэрэглэгч ( алсын сүлжээ) сүлжээнд ажиллах эрх мэдэлтэй, өөрөөр хэлбэл зөвшөөрлийн процесс явагдана.

VPN ангилал

VPN ангилал

VPN шийдлүүдийг хэд хэдэн үндсэн параметрийн дагуу ангилж болно.

Ашигласан орчны төрлөөр

• Хамгаалагдсан

Виртуал хувийн сүлжээнүүдийн хамгийн түгээмэл хувилбар. Түүний тусламжтайгаар найдваргүй сүлжээ, ихэвчлэн интернет дээр суурилсан найдвартай, найдвартай дэд сүлжээг бий болгох боломжтой. Аюулгүй VPN-ийн жишээ нь: IPSec, PPTP.

• Итгэл

Тэдгээрийг дамжуулах хэрэгслийг найдвартай гэж үзэж болох тохиолдолд ашигладаг бөгөөд зөвхөн том сүлжээн дэх виртуал дэд сүлжээг бий болгох асуудлыг шийдвэрлэхэд л шаардлагатай байдаг. Аюулгүй байдлын асуудал хамаагүй болж байна. Ийм VPN шийдлүүдийн жишээ нь: Олон протоколын шошгыг сэлгэх (L2TP (2-р давхаргын туннелийн протокол).

Хэрэгжүүлэх замаар

• Тусгай програм хангамж, техник хангамжийн хэлбэрээр

VPN сүлжээг хэрэгжүүлэх нь тусгай програм хангамж, техник хангамж ашиглан хийгддэг. Энэхүү хэрэгжилт нь өндөр гүйцэтгэлийг хангадаг бөгөөд дүрмээр бол өндөр зэрэгтэйаюулгүй байдал.

• Програм хангамжийн шийдэл болгон

Тэд VPN функцийг хангадаг тусгай программ хангамж бүхий хувийн компьютер ашигладаг.

• Нэгдсэн шийдэл

VPN функцийг шүүлтүүрийн ажлыг шийддэг цогцолбороор хангадаг сүлжээний урсгал, галт ханыг зохион байгуулж, үйлчилгээний чанарыг хангах.

Уулзалтаар

Эдгээр нь нэг байгууллагын хэд хэдэн тархсан салбарыг нэг аюулгүй сүлжээнд нэгтгэж, нээлттэй холбооны сувгаар мэдээлэл солилцоход ашиглагддаг.

• Алсын хандалтын VPN

Корпорацийн сүлжээний сегмент (төв оффис эсвэл салбар оффис) болон гэртээ ажиллаж байхдаа холбогдох нэг хэрэглэгчийн хооронд аюулгүй суваг үүсгэхэд ашигладаг. корпорацийн нөөц-тай гэрийн компьютер, байгууллагын зөөврийн компьютер, ухаалаг утас эсвэл интернет ТҮЦ.

• Экстранет VPN

"Гадны" хэрэглэгчид (жишээлбэл, үйлчлүүлэгч эсвэл үйлчлүүлэгчид) холбогдох сүлжээнд ашиглагддаг. Тэдэнд итгэх итгэлийн түвшин нь компанийн ажилчдаас хамаагүй доогуур байдаг тул сүүлийнх нь онцгой үнэ цэнэтэй зүйл рүү нэвтрэхээс урьдчилан сэргийлэх, хязгаарлах тусгай хамгаалалтын "хил" -ийг хангах шаардлагатай байна. нууц мэдээлэл.

• Интернет VPN

Үйлчилгээ үзүүлэгчдийн интернетэд нэвтрэх боломжийг олгоход ашигладаг.

• Үйлчлүүлэгч/Сервер VPN

Энэ нь корпорацийн сүлжээний хоёр зангилаа (сүлжээ биш) хооронд дамжуулагдсан өгөгдлийг хамгаалах боломжийг олгодог. Энэ сонголтын онцлог нь VPN нь ихэвчлэн ижил сүлжээний сегментэд байрладаг зангилааны хооронд, жишээлбэл, хооронд байрладаг. ажлын станцболон сервер. Ийм хэрэгцээ нь хэд хэдэн бий болгох шаардлагатай тохиолдолд ихэвчлэн үүсдэг логик сүлжээнүүд. Жишээлбэл, санхүүгийн хэлтэс болон хүний ​​​​нөөцийн хэлтэс хоёрын хооронд урсгалыг хуваах шаардлагатай үед ижил физик сегментэд байрлах серверт хандах. Энэ сонголт нь VLAN технологитой төстэй боловч траффикийг тусгаарлахын оронд шифрлэгдсэн байдаг.

Протоколын төрлөөр

TCP/IP, IPX болон AppleTalk дор виртуал хувийн сүлжээний хэрэгжилтүүд байдаг. Гэвч өнөөдөр TCP / IP протокол руу ерөнхий шилжих хандлага ажиглагдаж байгаа бөгөөд VPN шийдлүүдийн дийлэнх нь үүнийг дэмждэг.

Сүлжээний протоколын түвшинд

Сүлжээний протоколын давхаргаар, ISO/OSI сүлжээний лавлагааны загварын давхаргын зураглал дээр үндэслэсэн.

VPN жишээнүүд

Олон томоохон үйлчилгээ үзүүлэгчид өөрсдийн VPN үйлчилгээг бизнесийн үйлчлүүлэгчдэд санал болгодог.

Уран зохиол

• Иванов М.А. Криптографийн аргуудмэдээлэл хамгаалах компьютерийн системүүдболон сүлжээнүүд. - М.: КУДИЦ-ОБРАЗ, 2001. - 368 х.
• Кулгин М. Корпорацийн сүлжээний технологи. нэвтэрхий толь бичиг. - Санкт-Петербург: Петр, 2000. - 704 х.
• Олифер В.Г., Олифер Н.А. Компьютерийн сүлжээ. Зарчим, технологи, протокол: Их дээд сургуулиудад зориулсан сурах бичиг. - Санкт-Петербург: Петр, 2001. - 672 х.
• Романец Ю.В., Тимофеев П.А., Шангин В.Ф. Компьютерийн систем, сүлжээн дэх мэдээллийг хамгаалах. 2-р хэвлэл. - М: Радио холбоо, 2002. -328 х.
• Зогсоогчид В.Сүлжээг хамгаалах үндэс. Хэрэглээ ба стандартууд = Сүлжээний аюулгүй байдлын үндсэн. Хэрэглээ ба стандартууд. - М.: "Уильямс", 2002. - S. 432. - ISBN 0-13-016093-8
• Виртуал хувийн сүлжээний бүтээгдэхүүнүүд [ Цахим баримт бичиг] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
• Анита Карве Реал виртуал боломжууд//LAN. - 1999.- № 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
• Линуксийн MS-PPTP-д өгсөн хариулт [Цахим баримт бичиг] / Питер Гутманн. - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
• Жоэл Снайдер VPN: хуваалцсан зах зээл // Сүлжээ. - 1999.- № 11 http://www.citforum.ru/nets/articles/vpn.shtml
• VPN Primer [Цахим баримт бичиг] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
• PKI эсвэл PGP? [Цахим баримт бичиг] / Наталья Сергеева. - http://www.citforum.ru/security/cryptography/pki_pgp/
• IPSec - IP түвшний сүлжээний траффикийг хамгаалах протокол [Цахим баримт бичиг] / Станислав Коротигин. - http://www.ixbt.com/comm/ipsecure.shtml
• OpenVPN-н түгээмэл асуултууд [Цахим баримт бичиг] - http://openvpn.net/faq.html
• Шифрлэлтийн алгоритмын зорилго ба бүтэц [Цахим баримт бичиг] / Панасенко Сергей. - http://www.ixbt.com/soft/alg-encryption.shtml
• Орчин үеийн криптографийн тухай [Цахим баримт бичиг] / V. M. Сидельников. - http://www.citforum.ru/security/cryptography/crypto/
• Криптографийн танилцуулга / Ред. В.В.Ященко. - М.: MTsNMO, 2000. - 288 http://www.citforum.ru/security/cryptography/yaschenko/ сайтаас
• Криптограф дахь аюулгүй байдлын алдаа [Цахим баримт бичиг] / Брюс Шнайер. - http://www.citforum.ru/security/cryptography/pitfalls.shtml
• IPSec: эм уу эсвэл албадан арга хэмжээ? [Цахим баримт бичиг] / Евгений Патий. - http://citforum.ru/security/articles/ipsec_standard/
• VPN болон IPSec таны гарт [Цахим баримт бичиг] / Дру Лавин. - http://www.nestor.minsk.by/sr/2005/03/050315.html
• IP дээр суурилсан виртуал хувийн сүлжээний хүрээ [Цахим баримт бичиг] / B. Gleeson, A. Lin, J. Heinanen. - http://www.ietf.org/rfc/rfc2764.txt
• OpenVPN ба SSL VPN-ийн хувьсгал [Цахим баримт бичиг] / Чарли Хоснер. - http://www.sans.org/rr/whitepapers/vpns/1459.php
• Маркус Фейлнер Шинэ үеийн виртуал хувийн сүлжээ // LAN.- 2005.- № 11
• SSL гэж юу вэ [Цахим баримт бичиг] / Максим Дрогайцев. - http://www.ods.com.ua/win/rus/security/ssl.html
• Microsoft-ын PPTP баталгаажуулалтын өргөтгөлүүдийн крипт анализ (MS-CHAPv2) [Электрон баримт бичиг] / Брюс Шнайер. - http://www.schneier.com/paper-pptpv2.html
• Point to Point Tunneling Protocol (PPTP) Техникийн үзүүлэлтүүд [Цахим баримт бичиг] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little. - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
• Райан Норман VPN протокол сонгох нь // Windows IT Pro. - 2001. - № 7 http://www.osp.ru/win2000/2001/07/010.htm
• MPLS: IP сүлжээнд шинэ захиалга байна уу? [Цахим баримт бичиг] / Том Нолле. - http://www.emanual.ru/get/3651/
• Хоёр давхар туннелийн протокол "L2TP" [Цахим баримт бичиг] / W. Townsley, A. Valencia, A. Rubens. - http://www.ietf.org/rfc/rfc2661.txt
• Алексей Лукатский Үл мэдэгдэх VPN // Компьютерийн хэвлэл. - 2001. - № 10 http://abn.ru/inf/compress/network4.shtml
• Ханан дахь анхны тоосго VPN тоймнэвтрэх түвшний VPN төхөөрөмжүүд [Цахим баримт бичиг] / Валерий Лукин. - http://www.ixbt.com/comm/vpn1.shtml
• VPN техник хангамжийн тойм [Цахим баримт бичиг] - http://www.networkaccess.ru/articles/security/vpn_hardware/
• Цэвэр техник хангамжийн VPN нь өндөр хүртээмжтэй тестийг удирддаг [Цахим баримт бичиг] / Жоэл Снайдер, Крис Эллиотт. - http://www.networkworld.com/reviews/2000/1211rev.html
• VPN: VPN-ийн төрөл [Цахим баримт бичиг] - http://www.vpn-guide.com/type_of_vpn.htm
• KAME-ийн түгээмэл асуултууд [Цахим баримт бичиг] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
• Оросын VPN зах зээлийн онцлог [Цахим баримт бичиг] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
• Виртуал хувийн сүлжээг бий болгох дотоодын арга хэрэгсэл [?] / И.Гвоздев, В.Зайчиков, Н.Мошак, М.Пеленицын, С.Селезнев, Д.Шепелявы
• Сергей Петренко Аюулгүй виртуал хувийн сүлжээ: нууц мэдээллийг хамгаалах орчин үеийн үзэл бодол // Интернетийн ертөнц. - 2001. - No2

Виртуал локал сүлжээ (Virtual Local Area Network, VLAN) нь сүлжээний зангилааны бүлэг бөгөөд тэдгээрийн траффик, түүний дотор өргөн нэвтрүүлэг нь бусад сүлжээний зангилааны урсгалаас холбоосын түвшинд бүрэн тусгаарлагдсан байдаг.

Цагаан будаа. 14.10. Виртуал орон нутгийн сүлжээ.

Энэ нь хаягийн төрлөөс (өвөрмөц, олон дамжуулалт эсвэл цацалт) үл хамааран холбоосын давхаргын хаяг дээр суурилсан өөр өөр виртуал сүлжээнүүдийн хооронд фрейм дамжуулах боломжгүй гэсэн үг юм. Үүний зэрэгцээ виртуал сүлжээний хүрээнд фреймүүд шилжих технологийг ашиглан, дараа нь зөвхөн хүрээний очих хаягтай холбоотой порт дээр дамждаг.

Хэрэв нэг буюу хэд хэдэн компьютер нэгээс олон VLAN-ийн нэг хэсэг бол VLAN нь давхцаж болно. Зураг дээр. 14.10, цахим шуудангийн сервер нь 3 ба 4-р виртуал сүлжээнүүдийн нэг хэсэг юм. Энэ нь түүний хүрээ нь эдгээр сүлжээнд багтсан бүх компьютерт шилжүүлэгчээр дамждаг гэсэн үг юм. Хэрэв компьютер нь виртуал сүлжээ 3-ын зөвхөн нэг хэсэг бол түүний фреймүүд нь 4-р сүлжээнд хүрэхгүй, харин нийтлэг мэйл серверээр дамжуулан 4-р сүлжээний компьютеруудтай харилцах боломжтой. Ийм схем нь виртуал сүлжээг бие биенээсээ бүрэн хамгаалж чадахгүй, жишээлбэл, сервер дээр гарсан өргөн нэвтрүүлгийн шуурга. Имэйл, 3-р сүлжээ болон 4-р сүлжээг хоёуланг нь үерлэх болно.

Виртуал сүлжээ нь Ethernet давталтаар үүсгэгддэг мөргөлдөөний домэйнтэй төстэй өргөн нэвтрүүлгийн урсгалыг үүсгэдэг гэж хэлдэг.

Виртуал сүлжээний зорилго

Өмнөх хэсгийн жишээнээс харахад захиалгат шүүлтүүрүүд нь шилжүүлэгчийн хэвийн ажиллагаанд саад учруулж, зангилааны харилцан үйлчлэлийг хязгаарлаж болно. дотоод сүлжээшаардлагатай нэвтрэх дүрмийн дагуу. Гэсэн хэдий ч шилжүүлэгчийн тусгай шүүлтүүрийн механизм нь хэд хэдэн сул талуудтай:

Та төвөгтэй MAC хаягуудыг ашиглан сүлжээний зангилаа тус бүрт тусдаа нөхцөл тохируулах хэрэгтэй. Зангилаануудыг бүлэглэж, бүлгүүдийн харилцан үйлчлэлийн нөхцлийг нэг дор тайлбарлах нь илүү хялбар байх болно.

Өргөн нэвтрүүлгийн урсгалыг хаах боломжгүй. Өргөн нэвтрүүлгийн траффик нь сүлжээний зарим зангилаа нь санаатай эсвэл санамсаргүйгээр өргөн нэвтрүүлгийн фреймүүдийг өндөр хурдаар үүсгэсэн тохиолдолд сүлжээг ашиглах боломжгүй болгодог.

Виртуал локал сүлжээний техник нь сүлжээний зангилааны харилцан үйлчлэлийг өөр аргаар хязгаарлах асуудлыг шийддэг.

VLAN технологийн гол зорилго нь тусгаарлагдсан сүлжээг бий болгоход чиглүүлэгч ашиглан ихэвчлэн хоорондоо холбогддог. Энэхүү сүлжээний загвар нь нэг сүлжээнээс нөгөө сүлжээ рүү хүсээгүй урсгалд хүчтэй саад тотгор учруулдаг. Өнөөдөр аливаа том сүлжээ нь чиглүүлэгчийг агуулсан байх ёстой, эс тэгвээс өргөн нэвтрүүлэг гэх мэт алдаатай фреймийн урсгалууд нь бүхэл бүтэн сүлжээг тэдэнд ил тод байдаг унтраалгаар дамжуулан үе үе "үерлэж", ажиллах боломжгүй байдалд хүргэдэг.

Виртуал сүлжээний технологийн давуу тал нь физик бүтцийг өөрчлөхгүйгээр шилжүүлэгчийг логикоор тохируулах замаар бүрэн тусгаарлагдсан сүлжээний сегментүүдийг үүсгэх боломжийг олгодог.

VLAN технологи гарч ирэхээс өмнө биет байдлаар тусгаарлагдсан коаксиаль кабелийн сегментүүд эсвэл давтагч болон гүүрэн дээр баригдсан холболтгүй сегментүүдийг тусдаа сүлжээг бий болгоход ашигладаг байсан. Дараа нь эдгээр сүлжээг чиглүүлэгчид нэг нийлмэл сүлжээнд холбосон (Зураг 14.11).

Энэ аргын тусламжтайгаар сегментүүдийн найрлагыг өөрчлөх (хэрэглэгч өөр сүлжээнд шилжих, том сегментүүдийг хуваах) нь давталтын урд самбар эсвэл хөндлөн самбар дээрх холбогчийг физикээр дахин холбохыг шаарддаг бөгөөд энэ нь тийм ч тохиромжтой биш юм. том сүлжээнүүд- маш их бие махбодийн ажил, үүнээс гадна алдаа гарах магадлал өндөр байдаг.

Цагаан будаа. 14.11. Давталт дээр суурилсан сүлжээнээс бүрдэх нийлмэл сүлжээ

Виртуал сүлжээг нийтлэг сүлжээнд холбоход сүлжээний давхаргын сангуудын оролцоо шаардлагатай. Үүнийг тусдаа чиглүүлэгч дээр эсвэл шилжүүлэгчийн програм хангамжийн нэг хэсэг болгон хэрэгжүүлж болох бөгөөд дараа нь 3-р түвшний шилжүүлэгч гэж нэрлэгддэг хосолсон төхөөрөмж болно.

Виртуал сүлжээний технологи нь маш өргөн хүрээний шилжүүлэгч загварт хэрэгжсэн ч удаан хугацаанд стандартчилагдаагүй байна. янз бүрийн үйлдвэрлэгчид. IEEE 802.1Q стандартыг 1998 онд баталсны дараа нөхцөл байдал өөрчлөгдсөн бөгөөд энэ нь шилжүүлэгчийн дэмждэг холбоосын түвшний протоколоос хамаардаггүй виртуал локал сүлжээг бий болгох үндсэн дүрмийг тодорхойлдог.

Нэг шилжүүлэгч дээр суурилсан виртуал сүлжээг бий болгох

Нэг шилжүүлэгч дээр суурилсан виртуал сүлжээг үүсгэх үед шилжүүлэгч портын бүлэглэх механизмыг ихэвчлэн ашигладаг (Зураг 14.12). Үүнээс гадна порт бүрийг тодорхой виртуал сүлжээнд хуваарилдаг. Жишээлбэл, 1-р виртуал сүлжээнд хамаарах портоос ирсэн фрейм нь энэ виртуал сүлжээнд хамаарахгүй порт руу хэзээ ч дамжуулахгүй. Портыг хэд хэдэн виртуал сүлжээнд холбож болно, гэхдээ практик дээр үүнийг хийх нь ховор байдаг - сүлжээг бүрэн тусгаарлах үр нөлөө алга болдог.

Портуудыг бүлэглэх замаар виртуал сүлжээ үүсгэх нь администратороос маш их гар ажиллагаа шаарддаггүй - порт бүрийг хэд хэдэн урьдчилан нэртэй виртуал сүлжээнүүдийн аль нэгэнд хуваарилахад хангалттай. Ерөнхийдөө энэ үйлдлийг шилжүүлэгчтэй хамт ирдэг тусгай програм ашиглан гүйцэтгэдэг.

Виртуал сүлжээг үүсгэх хоёр дахь арга нь MAC хаягуудын бүлэгт суурилдаг. Шилжүүлэгчийн сурсан MAC хаяг бүрийг тодорхой виртуал сүлжээнд хуваарилдаг. Сүлжээнд олон зангилаа байгаа үед энэ арга нь администратороос маш их гар ажиллагаа шаарддаг. Гэсэн хэдий ч, олон шилжүүлэгч дээр суурилсан виртуал сүлжээг бий болгоход порт транкинг хийхээс илүү уян хатан байдаг.

Цагаан будаа. 14.12. Нэг шилжүүлэгч дээр баригдсан виртуал сүлжээнүүд

Олон шилжүүлэгч дээр суурилсан виртуал сүлжээг үүсгэ

Зураг 14.13-т порт транкинг техникийг дэмждэг олон унтраалга дээр суурилсан виртуал сүлжээг бий болгоход тулгарч буй асуудлыг харуулсан болно.

Цагаан будаа. 14.13. Порт транкинг бүхий олон шилжүүлэгч дээр виртуал сүлжээ байгуулах

Хэрэв аливаа виртуал сүлжээний зангилаанууд өөр өөр унтраалгатай холбогдсон бол ийм сүлжээ бүрийг холбохын тулд шилжүүлэгч дээр тусгай хос портуудыг хуваарилах шаардлагатай. Тиймээс порт транкинг шилжүүлэгч нь VLAN-г дэмждэг шигээ олон порттой холболт шаарддаг. Энэ тохиолдолд порт, кабелийг маш үрэлгэн ашигладаг. Нэмж дурдахад, виртуал сүлжээг чиглүүлэгчээр холбохдоо виртуал сүлжээ тус бүрд тусдаа кабель, тусдаа чиглүүлэгчийн порт хуваарилдаг бөгөөд энэ нь маш их ачаалал үүсгэдэг.

Шилжүүлэгч бүр дээрх MAC хаягуудыг виртуал сүлжээнд бүлэглэх нь MAC хаяг нь виртуал сүлжээний шошго болж хувирдаг тул тэдгээрийг олон портоор холбох шаардлагагүй болно. Гэсэн хэдий ч, энэ арга нь сүлжээнд байгаа шилжүүлэгч бүр дээр MAC хаягийг тэмдэглэхийн тулд маш олон гар ажиллагаа шаарддаг.

Тайлбарласан хоёр арга нь зөвхөн шилжүүлэгчийн хаягийн хүснэгтэд нэмэлт мэдээлэл нэмэхэд суурилдаг бөгөөд тэдгээр нь дамжуулагдсан фреймд виртуал сүлжээний хүрээний эзэмшлийн талаарх мэдээллийг оруулах чадваргүй байдаг. Бусад аргуудын хувьд хүрээний одоо байгаа эсвэл нэмэлт талбаруудыг сүлжээний шилжүүлэгч хооронд шилжих үед тухайн виртуал орон нутгийн сүлжээнд хамаарах хүрээний талаарх мэдээллийг хадгалахад ашигладаг. Энэ тохиолдолд нийлмэл сүлжээний бүх MAC хаягууд виртуал сүлжээнд харьяалагддаг гэдгийг шилжүүлэгч бүрт санах шаардлагагүй болно.

Виртуал сүлжээний дугаараар тэмдэглэгдсэн нэмэлт талбарыг зөвхөн фрэймийг шилжүүлэгчээс шилжүүлэгч рүү илгээх үед ашигладаг бөгөөд хүрээг төгсгөлийн зангилаа руу илгээх үед ихэвчлэн устгагддаг. Үүний зэрэгцээ "шилжүүлэгч" харилцан үйлчлэлийн протокол өөрчлөгдөж, програм хангамж болон Техник хангамжтөгсгөлийн зангилаа өөрчлөгдөөгүй хэвээр байна.

Ethernet нь VLAN хаяг гэж нэрлэгддэг нэмэлт толгойг нэвтрүүлдэг.

VLAN шошго нь Ethernet фреймийн хувьд нэмэлт юм. Ийм толгойтой фреймийг таглагдсан фрейм гэнэ. Шилжүүлэгч нь шошготой болон тэмдэглэгдээгүй фреймүүдтэй нэгэн зэрэг ажиллах боломжтой. Нэмэгдсэн шошготой учраас VLAN дээд тал ньөгөгдлийн талбарын урт 4 байтаар багассан.

LAN төхөөрөмж нь шошготой фреймүүдийг ялгаж, ойлгохын тулд тэдэнд зориулсан тусгай EtherType талбарын утгыг 0x8100 нэвтрүүлсэн. Энэ утга нь стандарт өгөгдлийн талбар биш харин TCI талбарыг дагаж байгааг харуулж байна. Шошгологдсон фрейм дэх VLAN хаягийн талбаруудын араас фрэймийн өгөгдлийн талбарт хийгдэж буй протоколын төрлийг зааж буй өөр EtherType талбар байгааг анхаарна уу.

TCI талбар нь VID гэж нэрлэгддэг 12 битийн VLAN дугаар (танигч) талбарыг агуулдаг. VID талбарын өргөн нь шилжүүлэгчид 4096 хүртэлх виртуал сүлжээ үүсгэх боломжийг олгодог.

Тэмдэглэгдсэн фрейм дэх VID утгыг ашиглан сүлжээний унтраалга нь бүлгийн траффик шүүлтүүрийг хийж, сүлжээг виртуал сегмент, өөрөөр хэлбэл VLAN болгон хуваадаг. Энэ горимыг дэмжихийн тулд шилжүүлэгч порт бүрийг нэг буюу хэд хэдэн VLAN-д хуваарилдаг, өөрөөр хэлбэл портын бүлэглэлтийг гүйцэтгэдэг.

Сүлжээний тохиргоог хялбарчлахын тулд 802.1Q стандарт нь хандалтын шугам ба их бие гэсэн ойлголтуудыг нэвтрүүлсэн.

Хандалтын шугам нь шилжүүлэгч портыг (энэ тохиолдолд хандалтын порт гэж нэрлэдэг) зарим VLAN-д хамаарах компьютерт холбодог.

Их бие нь хоёр шилжүүлэгчийн портуудыг холбодог холбооны шугам бөгөөд ерөнхий тохиолдолд хэд хэдэн виртуал сүлжээний урсгалыг их биеээр дамжуулдаг.

Эх сүлжээнд VLAN үүсгэхийн тулд эхлээд 1-ээс өөр VID утгыг сонгоод дараа нь шилжүүлэгчийн тохиргооны командуудыг ашиглан түүнд багтсан компьютерууд холбогдсон портуудыг энэ сүлжээнд оноох хэрэгтэй. Хандалтын портыг зөвхөн нэг VLAN-д оноож болно.

Хандалтын портууд нь сүлжээний төгсгөлийн цэгүүдээс тэмдэглэгээгүй фреймүүдийг хүлээн авч, тэдгээр портод оноосон VID утгыг агуулсан VLAN хаягаар тэмдэглэдэг. Таглагдсан фреймүүдийг төгсгөлийн зангилаа руу илгээх үед хандалтын порт нь VLAN хаягийг устгадаг.

Илүү харааны тайлбарыг авахын тулд өмнө нь хэлэлцсэн сүлжээний жишээ рүү буцъя. Зураг. 14.15 нь VLAN техник дээр тулгуурлан серверт сонгомол хандалтын асуудлыг хэрхэн шийдэж байгааг харуулж байна.

Цагаан будаа. 14.15. Сүлжээг хоёр VLAN болгон хуваах

Энэ асуудлыг шийдэхийн тулд та сүлжээнд VLAN2 ба VLAN3 гэсэн хоёр виртуал локал сүлжээг зохион байгуулж болно (VLAN1 нь анхдагчаар аль хэдийн байдаг гэдгийг санаарай - энэ бол бидний эх сүлжээ), нэг багц компьютер, серверүүд VLAN2-д хуваарилагдсан, нөгөө нь KVLAN3-д хуваарилагдсан.

Тодорхой VLAN-д төгсгөлийн зангилаа оноохын тулд холбогдох портуудыг тохирох VID-ээр нь тухайн сүлжээний хандалтын порт гэж сурталчилдаг. Жишээлбэл, SW1 шилжүүлэгчийн 1-р портыг VLAN2-ийн хандалтын порт гэж зарлах ёстой бөгөөд үүнд VID2-ийг оноож өгөх хэрэгтэй. Мөн SW1 шилжүүлэгчийн 5-р порт, SW2 шилжүүлэгчийн 1-р порт, SW3 шилжүүлэгчийн 1-р порттой ижил зүйлийг хийх ёстой. VLAN3 хандалтын портуудад VID3 оноогдсон байх ёстой.

Манай сүлжээнд та цахилгаан дамжуулагчийн портуудыг холбодог холболтын шугамуудыг зохион байгуулах хэрэгтэй. Их биетэй холбогдсон портууд нь шошго нэмж, хасдаггүй, зүгээр л фреймүүдийг байгаагаар нь дамжуулдаг. Бидний жишээн дээр эдгээр портууд нь SW1 ба SW2 шилжүүлэгчийн 6-р портууд, мөн шилжүүлэгчийн 3 ба 4-р портууд байх ёстой. Манай жишээн дээрх портууд нь VLAN2 ба VLAN3-ыг (мөн хэрэв сүлжээнд ямар нэгэн VLAN-д тодорхой хуваарилагдаагүй хостууд байгаа бол VLAN1) дэмжих ёстой.

VLAN технологийг дэмждэг унтраалга нь нэмэлт траффик шүүлтүүрийг хангадаг. Шилжүүлэгч дамжуулах хүснэгтэд ирж буй фреймийг тодорхой порт руу дамжуулах шаардлагатай гэж заасан тохиолдолд дамжуулахын өмнө шилжүүлэгч нь фреймийн VL AN шошго дахь VTD утга нь энэ портод хуваарилагдсан VLAN-тай таарч байгаа эсэхийг шалгадаг. Тохирсон тохиолдолд фрэймийг дамжуулж, таарахгүй бол устгана. Тэмдэглэгдээгүй фреймүүдийг ижил аргаар боловсруулдаг боловч нөхцөлт VLAN1 ашигладаг. MAC хаягуудыг сүлжээний свич тус тусад нь сурдаг боловч VLAN бүр.

VLAN техник нь серверт хандах хандалтыг хязгаарлахад маш үр дүнтэй байдаг. Виртуал локал сүлжээг тохируулах нь зангилааны MAC хаягийн талаар мэдлэг шаарддаггүй бөгөөд үүнээс гадна компьютерийг өөр шилжүүлэгчтэй холбох гэх мэт сүлжээнд гарсан аливаа өөрчлөлтөд зөвхөн энэ шилжүүлэгчийн порт болон бусад бүх сүлжээний свичийг тохируулах шаардлагатай байдаг. тохиргоонд өөрчлөлт оруулахгүйгээр үргэлжлүүлэн ажиллах.

Виртуал хувийн сүлжээ (VPN) үйлчилгээ үзүүлэгчийн хувьд ихээхэн анхаарал татаж байна сүлжээний үйлчилгээболон интернет үйлчилгээ үзүүлэгч, корпорацийн хэрэглэгчид. Infonetics Research-ийн таамаглаж буйгаар VPN зах зээл 2003 он хүртэл жил бүр 100 гаруй хувиар өсөж, 12 тэрбум долларт хүрнэ.

VPN-ийн түгээмэл байдлын талаар танд хэлэхээсээ өмнө зөвхөн хувийн (корпорацын) мэдээллийн сүлжээг ихэвчлэн нийтийн утасны сүлжээнүүдийн түрээсийн (зориулалтын) холбооны сувгуудыг ашиглан бүтээдэг гэдгийг сануулъя. Олон жилийн турш эдгээр хувийн сүлжээнүүд нь корпорацийн тусгай шаардлагуудыг харгалзан бүтээгдсэн бөгөөд үүний үр дүнд өмчлөлийн програмуудыг дэмждэг өмчийн протоколууд бий болсон (гэхдээ Frame Relay болон ATM протоколууд саяхан түгээмэл болсон). Зориулалтын сувгууд нь танд нууц мэдээллийг найдвартай хамгаалах боломжийг олгодог боловч зоосны нөгөө тал нь үйл ажиллагааны өндөр өртөг, сүлжээг өргөжүүлэхэд хүндрэлтэй байдаг, тэр дундаа гар утасны хэрэглэгч санамсаргүй цэгт холбогдох боломжтой байдаг. Үүний зэрэгцээ орчин үеийн бизнес нь ажиллах хүчний ихээхэн тархалт, хөдөлгөөнөөр тодорхойлогддог. Илүү олон хэрэглэгчид залгах сувгуудаар дамжуулан корпорацийн мэдээлэл авах шаардлагатай болж, гэрээсээ ажилладаг ажилчдын тоо нэмэгдсээр байна.

Цаашилбал, хувийн сүлжээнүүд нь интернет болон IP-д суурилсан программууд, тухайлбал, бүтээгдэхүүнийг сурталчлах, хэрэглэгчийн дэмжлэг үзүүлэх, ханган нийлүүлэгчидтэй байнгын харилцаа холбоо тогтоох зэрэг бизнесийн боломжийг хангаж чадахгүй. Энэхүү онлайн харилцан үйлчлэл нь ихэвчлэн өөр өөр протокол, программууд, өөр өөр сүлжээний удирдлагын систем, өөр өөр харилцаа холбооны үйлчилгээ үзүүлэгчдийг ашигладаг хувийн сүлжээнүүдийн харилцан холболтыг шаарддаг.

Тиймээс хувийн сүлжээг нэгтгэх шаардлагатай үед өндөр өртөгтэй, статик шинж чанар, бэрхшээлүүд гарч ирдэг. өөр өөр технологи, динамик хөгжиж буй бизнес, түүний төвлөрлийг сааруулах хүсэл, нэгдэх хандлагатай зөрчилдөж байна.

Үүний зэрэгцээ, эдгээр дутагдалгүй олон нийтийн мэдээлэл дамжуулах сүлжээ, "вэб" -ээрээ дэлхийг бүхэлд нь бүрхсэн интернет байдаг. Тэд хувийн сүлжээнүүдийн хамгийн чухал давуу талаасаа хасагдсан нь үнэн. найдвартай хамгаалалткорпорацийн мэдээлэл. Виртуал Хувийн Сүлжээний технологи нь уян хатан байдал, өргөтгөх боломжтой, хямд өртөгтэй, "хэзээ ч хаана ч байсан" интернет болон нийтийн сүлжээг хувийн сүлжээний аюулгүй байдалтай хослуулсан. Үндсэндээ VPN нь ашигладаг хувийн сүлжээ юм дэлхийн сүлжээнүүд нийтийн хүртээмж(Интернет, Frame Relay, ATM). Виртуал байдал нь корпорацийн хэрэглэгчийн хувьд тэдгээр нь тусгай зориулалтын хувийн сүлжээ мэт харагдснаар илэрдэг.

ТОХИРЧ БАЙНА

Хэрэв VPN нь Frame Relay болон ATM үйлчилгээг шууд ашигладаг бол нийцтэй байдлын асуудал үүсэхгүй, учир нь тэдгээр нь олон протоколын орчинд ажиллахад маш сайн зохицсон бөгөөд IP болон IP бус програмуудад тохиромжтой. Энэ тохиолдолд шаардлагатай бүх зүйл бол шаардлагатай газарзүйн бүсийг хамарсан зохих сүлжээний дэд бүтэцтэй байх явдал юм. Хамгийн түгээмэл хэрэглэгддэг хандалтын төхөөрөмжүүд нь Frame Relay Access Devices эсвэл Frame Relay болон ATM интерфейстэй чиглүүлэгчид юм. Олон тооны байнгын эсвэл сэлгэн залгасан виртуал хэлхээ нь ямар ч протокол, топологийн холимогтой (бараг) ажиллах боломжтой. Хэрэв VPN нь интернетэд суурилсан бол асуудал илүү төвөгтэй болно. Энэ тохиолдолд програмууд нь IP протоколтой нийцтэй байх шаардлагатай. Энэ шаардлагыг хангасан тохиолдолд та өмнө нь аюулгүй байдлын шаардлагатай түвшинг хангасан VPN-г бүтээхийн тулд интернетийг "байгаагаар нь" ашиглаж болно. Гэхдээ ихэнх хувийн сүлжээнүүд нь олон протокол эсвэл албан бус, дотоод IP хаяг ашигладаг тул зохих дасан зохицохгүйгээр интернетэд шууд холбогдож чадахгүй. Олон тооны нийцтэй шийдлүүд байдаг. Хамгийн алдартай нь дараахь зүйлүүд юм.
- одоо байгаа протоколуудыг (IPX, NetBEUI, AppleTalk болон бусад) албан ёсны хаягтай IP протокол болгон хөрвүүлэх;
- дотоод IP хаягийг албан ёсны IP хаяг руу хөрвүүлэх;
— сервер дээр тусгай IP гарц суурилуулах;
— виртуал IP чиглүүлэлт ашиглах;
— бүх нийтийн туннелийн техникийг ашиглах.
Эхний арга нь ойлгомжтой тул бусдыг нь товчхон харцгаая.
Хувийн сүлжээ нь IP протокол дээр суурилсан тохиолдолд дотоод IP хаягийг албан ёсны хаяг руу хөрвүүлэх шаардлагатай. Албан ёсны IP хаягууд нь аж ахуйн нэгжийн сүлжээн дэх свич, чиглүүлэгч дээрх дотоод хаягуудтай зэрэгцэн оршиж болох тул бүхэл бүтэн корпорацийн сүлжээнд хаягийн орчуулга хийх шаардлагагүй. Өөрөөр хэлбэл, албан ёсны IP хаягтай сервер нь дотоод дэд бүтцээр дамжуулан хувийн сүлжээний үйлчлүүлэгчдэд нээлттэй хэвээр байна. Хамгийн түгээмэл хэрэглэгддэг арга бол албан ёсны хаягийн жижиг блокийг олон хэрэглэгчид хуваах явдал юм. Энэ нь модемийн санг хуваахтай адил бөгөөд энэ нь бүх хэрэглэгчид нэгэн зэрэг интернетэд холбогдох шаардлагагүй гэсэн таамаглал дээр тулгуурладаг. Энд хоёр салбарын стандарт байдаг: Динамик хостын тохиргооны протокол (DHCP) ба өргөн нэвтрүүлэг сүлжээний хаягууд(Сүлжээний хаягийн орчуулга - NAT), арга барил нь бага зэрэг ялгаатай. DHCP нь сүлжээний администраторын тодорхойлсон хугацаанд хост руу хаягийг "түрээслүүлдэг" бол NAT нь дотоод IP хаягийг албан ёсны хаяг руу динамик байдлаар хөрвүүлдэг.
Интернет.

Хувийн сүлжээг интернетэд нийцүүлэх өөр нэг арга бол IP гарцыг суулгах явдал юм. Уг гарц нь IP бус протоколуудыг IP протокол руу хөрвүүлдэг ба эсрэгээр. Төрөлх протоколыг ашигладаг ихэнх сүлжээний үйлдлийн системүүд нь IP гарцын програм хангамжтай байдаг.

Виртуал IP чиглүүлэлтийн мөн чанар нь ISP-ийн дэд бүтцэд (чиглүүлэгч ба свич) хувийн чиглүүлэлтийн хүснэгт болон хаягийн орон зайг өргөтгөх явдал юм. Виртуал IP чиглүүлэгч нь үйлчилгээ үзүүлэгчийн эзэмшиж, ажиллуулдаг физик IP чиглүүлэгчийн логик хэсэг юм. Виртуал чиглүүлэгч бүр тодорхой бүлэг хэрэглэгчдэд үйлчилдэг.
Гэсэн хэдий ч, магадгүй хамгийн их хамгийн зөв замТуннелийн техникийг ашиглан харилцан ажиллах чадварыг бий болгож болно. Эдгээр техникийг олон протоколын багцын урсгалыг нийтлэг үндсэн шугамаар дамжуулахад удаан хугацааны турш ашиглаж ирсэн. Энэхүү батлагдсан технологийг одоогоор интернетэд суурилсан VPN-д зориулж оновчтой болгосон.
Хонгилын үндсэн бүрэлдэхүүн хэсгүүд нь:
— хонгил санаачлагч;
- чиглүүлсэн сүлжээ;
- хонгилын унтраалга (заавал биш);
- нэг буюу хэд хэдэн туннелийн терминал.
Туннелийг төгсгөл хоорондын холбоосын хоёр төгсгөлд хийх ёстой. Хонгил нь туннель үүсгэгчээр эхэлж, туннелийн төгсгөлийн төгсгөлтэй байх ёстой. Хонгилын үйл ажиллагааг эхлүүлэх, дуусгах ажлыг янз бүрийн аргаар хийж болно сүлжээний төхөөрөмжүүдболон програм хангамж. Жишээлбэл, модем болон шаардлагатай VPN программ хангамжийг суулгасан алсын хэрэглэгчийн компьютер, корпорацийн салбар оффисын урд талын чиглүүлэгч эсвэл үйлчилгээ үзүүлэгчийн сүлжээний хандалтын төвлөрсөн төхөөрөмж туннелийг эхлүүлж болно.

IP-ээс бусад пакетуудыг интернетээр дамжуулахад зориулагдсан сүлжээний протоколууд, тэдгээр нь эх сурвалжаас IP пакетуудад бүрхэгдсэн байдаг. VPN хонгил үүсгэх хамгийн түгээмэл арга бол IP бус пакетыг PPP (Point-to-Point Protocol) багцад багтааж, дараа нь IP пакетт оруулах явдал юм. PPP протоколыг цэгээс цэг рүү холбоход, тухайлбал, үйлчлүүлэгч-серверийн холболтод ашигладаг гэдгийг сануулъя. IP капсулжуулалтын процесс нь анхны пакет дээр стандарт IP толгойг нэмж оруулах бөгөөд дараа нь үүнийг дараах байдлаар авч үзнэ. хэрэгтэй мэдээлэл. Хонгилын нөгөө үзүүрт байгаа харгалзах процесс нь IP толгойг устгаж, анхны пакетыг өөрчлөхгүй. Хонгилын технологи нь маш энгийн тул зардлын хувьд хамгийн боломжийн юм.

АЮУЛГҮЙ БАЙДАЛ

Аюулгүй байдлын шаардлагатай түвшинг хангах нь корпораци интернетэд суурилсан VPN-г ашиглахад анхаарах гол асуудал байдаг. Олон мэдээллийн технологийн менежерүүд хувийн сүлжээний угаасаа нууцлалд дассан байдаг бөгөөд интернетийг хувийн сүлжээ болгон ашиглахад хэтэрхий "нийтийн" гэж үздэг. Хэрэв та англи нэр томъёог ашигладаг бол гурван "P" байдаг бөгөөд тэдгээрийн хэрэгжилт нь мэдээллийн бүрэн хамгаалалтыг хангадаг. Энэ:
Хамгаалалт - галт хана (галт хана) ашиглан нөөцийг хамгаалах;
Нотлох баримт - багцын таних (бүрэн бүтэн байдал) болон илгээгчийг баталгаажуулах (хандах эрхийг баталгаажуулах);
Нууцлал - шифрлэлт ашиглан нууц мэдээллийг хамгаалах.
Гурван P нь бүх корпорацийн сүлжээ, тэр дундаа VPN зэрэгт адил чухал юм. Хатуу хувийн сүлжээнд нөөц, мэдээллийн нууцлалыг хамгаалахын тулд маш их ашиглахад хангалттай. энгийн нууц үг. Харин хувийн сүлжээ нийтийн сүлжээнд холбогдсон бол гурван Р-ийн аль нь ч шаардлагатай хамгаалалтыг хангаж чадахгүй. Тиймээс аливаа VPN-ийн хувьд нийтийн сүлжээтэй харилцах бүх цэгүүдэд галт хана суурилуулсан байх ёстой бөгөөд пакетуудыг шифрлэж, баталгаажуулсан байх ёстой.

Галт хана нь ямар ч VPN-ийн чухал бүрэлдэхүүн хэсэг юм. Тэд зөвхөн итгэмжлэгдсэн хэрэглэгчдэд зориулсан урсгалыг зөвшөөрдөг бөгөөд бусад бүх зүйлийг блоклодог. Өөрөөр хэлбэл, үл мэдэгдэх эсвэл итгэлгүй хэрэглэгчдийн нэвтрэх бүх оролдлогыг давсан гэсэн үг. Хаана ч байхгүй гэдэг нь хаа сайгүй байхгүй гэсэн үг тул энэ төрлийн хамгаалалтын хэлбэрийг сайт, хэрэглэгч бүрт өгөх ёстой. Виртуал хувийн сүлжээний аюулгүй байдлыг хангахын тулд тусгай протоколуудыг ашигладаг. Эдгээр протоколууд нь хостуудад ашиглах шифрлэлт болон тоон гарын үсгийн техникийг "тохиролцох" боломжийг олгодог бөгөөд ингэснээр өгөгдлийн нууцлал, бүрэн бүтэн байдлыг хадгалж, хэрэглэгчийг баталгаажуулдаг.

Microsoft Point-to-Point Encryption Protocol (MPPE) нь үйлчлүүлэгч машин дээрх PPP пакетуудыг хонгил руу илгээхээс өмнө шифрлэдэг. Протоколыг ашиглан туннелийн терминалтай холбоо тогтоох үед шифрлэлтийн сессийг эхлүүлдэг
PPP.

Secure IP protocols (IPSec) нь Internet Engineering Task Force (IETF)-ийн боловсруулсан хэд хэдэн урьдчилсан стандартууд юм. Бүлэг нь Authentication Header (AH) болон Encapsulating Security Payload (ESP) гэсэн хоёр протоколыг санал болгосон. AH протокол нэмдэг цахим гарын үсэгхэрэглэгчийг баталгаажуулж, дамжих явцад гарсан аливаа өөрчлөлтийг бүртгэх замаар мэдээллийн бүрэн бүтэн байдлыг баталгаажуулдаг толгой хэсэг. Энэ протокол нь зөвхөн өгөгдлийг хамгаалж, IP пакетийн хаягийн хэсгийг өөрчлөхгүй. Нөгөө талаас ESP протокол нь багцыг бүхэлд нь (туннелийн горим) эсвэл зөвхөн өгөгдлийг (Тээвэрлэлтийн горим) шифрлэх боломжтой. Эдгээр протоколуудыг тусад нь болон хослуулан хэрэглэдэг.

Аюулгүй байдлыг удирдахын тулд салбарын стандарт RADIUS (Remote Authentication Dial-In User Service) ашигладаг бөгөөд энэ нь нууц үг (баталгаажуулалт) болон нэвтрэх эрх (зөвшөөрөл) агуулсан хэрэглэгчийн профайлын мэдээллийн сан юм.

Аюулгүй байдлын функцууд нь өгөгдсөн жишээнүүдээр хязгаарлагдахгүй. Олон чиглүүлэгч болон галт хана үйлдвэрлэгчид өөрсдийн шийдлүүдийг санал болгодог. Тэдгээрийн дотор Ascend, CheckPoint, Cisco зэрэг багтана.

БОЛОМЖТОЙ БАЙДАЛ

Бэлэн байдал нь үйлчилгээний хугацаа, дамжуулах чадвар, хоцролт гэсэн гурван чухал бүрэлдэхүүн хэсгийг агуулдаг. Үйлчилгээ үзүүлэх хугацаа нь үйлчилгээ үзүүлэгчтэй байгуулсан гэрээний сэдэв бөгөөд бусад хоёр бүрэлдэхүүн хэсэг нь үйлчилгээний чанарын элементүүдтэй холбоотой байдаг (Үйлчилгээний чанар - QoS). Орчин үеийн технологиудтээвэрлэлт нь одоо байгаа бараг бүх програмын шаардлагад нийцсэн VPN бүтээх боломжийг танд олгоно.

ХЯНАЛТЫН БАЙДАЛ

Сүлжээний администраторууд корпорацийн сүлжээг, тэр дундаа харилцаа холбооны компанитай холбоотой хэсгийг хооронд нь, төгсгөлөөс нь удирдах чадвартай байхыг үргэлж хүсдэг. VPN нь ердийн хувийн сүлжээнээс илүү олон сонголтыг өгдөг. Ердийн хувийн сүлжээг "хилээс хил хүртэл" удирддаг, өөрөөр хэлбэл. үйлчилгээ үзүүлэгч нь корпорацийн сүлжээний урд чиглүүлэгч хүртэл сүлжээг удирддаг бол захиалагч нь WAN хандалтын төхөөрөмж хүртэл корпорацийн сүлжээг өөрөө удирддаг. VPN технологиүйлчилгээ үзүүлэгч болон захиалагчийн аль алиныг нь хангаж, "нөлөөллийн хүрээ"-ийн ийм хуваагдлаас зайлсхийх боломжийг танд олгоно. нэг системсүлжээг бүхэлд нь, түүний корпорацийн хэсэг болон нийтийн сүлжээний сүлжээний дэд бүтцийг хоёуланг нь удирдах. Байгууллагын сүлжээний администратор нь сүлжээг хянах, дахин тохируулах, урд хандалтын төхөөрөмжүүдийг удирдах, сүлжээний статусыг бодит цаг хугацаанд тодорхойлох чадвартай.

VPN АРХИТЕКТУР

Виртуал хувийн сүлжээний архитектурын гурван загвар байдаг: хамааралтай, бие даасан, эрлийз гэсэн эхний хоёр хувилбарын хослол. Тодорхой загварт хамаарах нь VPN-д тавигдах дөрвөн үндсэн шаардлагыг хаана хэрэгжүүлж байгаагаас шалтгаална. Хэрэв дэлхийн сүлжээний үйлчилгээ үзүүлэгч бүрэн VPN шийдлээр хангадаг бол, i.e. хонгил, аюулгүй байдал, гүйцэтгэл, менежментийг хангадаг бөгөөд энэ нь архитектурыг үүнээс хамааралтай болгодог. Энэ тохиолдолд бүх VPN процессууд нь хэрэглэгчдэд ил тод байх бөгөөд тэрээр зөвхөн өөрийн төрөлх урсгал буюу IP, IPX эсвэл NetBEUI пакетуудыг хардаг. Захиалагчийн хувьд хамааралтай архитектурын давуу тал нь тэр одоо байгаа сүлжээний дэд бүтцийг "байгаагаар нь ашиглах боломжтой" бөгөөд зөвхөн VPN болон хувийн сүлжээний хооронд галт хана нэмж өгдөг.
WAN/LAN.

Байгууллага бүх зүйлийг хангасан тохиолдолд бие даасан архитектур хэрэгждэг технологийн шаардлагаөөрийн тоног төхөөрөмж дээр зөвхөн тээврийн функцийг үйлчилгээ үзүүлэгч рүү шилжүүлдэг. Энэ архитектур нь илүү үнэтэй боловч хэрэглэгч бүх үйлдлийг бүрэн хянах боломжийг олгодог.

Гибрид архитектур нь байгууллагаас (үйлчилгээ үзүүлэгчээс тус тус) хараат болон хараат бус сайтуудыг агуулдаг.

Корпорацийн хэрэглэгчдэд VPN-ийн амлалт юу вэ? Юуны өмнө, аж үйлдвэрийн шинжээчдийн үзэж байгаагаар энэ нь бүх төрлийн харилцаа холбооны зардлыг 30-аас 80% хүртэл бууруулж байна. Мөн түүнчлэн энэ нь корпораци эсвэл бусад байгууллагын сүлжээнд бараг хаа сайгүй нэвтрэх боломжтой байдаг; Энэ нь ханган нийлүүлэгчид болон үйлчлүүлэгчидтэй аюулгүй харилцаа холбооны хэрэгжилт юм; Энэ нь PSTN сүлжээнд байдаггүй сайжруулсан, сайжруулсан үйлчилгээ бөгөөд бусад олон зүйл юм. Мэргэжилтнүүд VPN-ийг шинэ үеийн сүлжээний харилцаа холбоо гэж үздэг бөгөөд олон шинжээчид VPN нь түрээсийн шугамд суурилсан ихэнх хувийн сүлжээг удахгүй орлох болно гэж үзэж байна.

Үүний үндсэн зорилгоос гадна - нэмэгдүүлэх зурвасын өргөнсүлжээн дэх холболтууд - шилжүүлэгч нь мэдээллийн урсгалыг нутагшуулах, түүнчлэн тусгай шүүлтүүр механизм ашиглан эдгээр урсгалыг хянах, удирдах боломжийг олгодог. Гэсэн хэдий ч хэрэглэгчийн шүүлтүүр нь фрэймийг зөвхөн тодорхой хаяг руу дамжуулахаас урьдчилан сэргийлэх боломжтой бөгөөд энэ нь бүх сүлжээний сегментүүдэд өргөн нэвтрүүлгийн урсгалыг дамжуулдаг. Энэ нь шилжүүлэгч дээр хэрэгжсэн гүүрний алгоритмын үйл ажиллагааны зарчим тул гүүр, унтраалга дээр суурилсан сүлжээг заримдаа хавтгай гэж нэрлэдэг - өргөн нэвтрүүлгийн хөдөлгөөнд саад тотгор байхгүйн улмаас.

Хэдэн жилийн өмнө нэвтрүүлсэн виртуал локал сүлжээний технологи (Virtual LAN, VLAN) энэ хязгаарлалтыг даван туулсан. Виртуал сүлжээ нь өгөгдлийн холбоосын түвшний бусад зангилаанаас бүрэн тусгаарлагдсан, түүний дотор дамжуулалтын урсгалыг багтаасан сүлжээний зангилааны бүлэг юм (1-р зургийг үз). Энэ нь хаягийн төрлөөс үл хамааран өөр өөр виртуал сүлжээнүүдийн хооронд шууд хүрээ дамжуулах боломжгүй гэсэн үг юм - өвөрмөц, олон дамжуулалт эсвэл өргөн нэвтрүүлэг. Үүний зэрэгцээ виртуал сүлжээний хүрээнд фреймүүд шилжих технологийн дагуу, өөрөөр хэлбэл зөвхөн хүрээний очих хаягийг зааж өгсөн порт руу дамжуулдаг.

Нэгээс олон виртуал сүлжээнд нэг буюу хэд хэдэн компьютер орсон тохиолдолд виртуал сүлжээнүүд давхцаж болно. Зураг 1-д цахим шуудангийн сервер нь 3 ба 4-р виртуал сүлжээнүүдийн нэг хэсэг тул түүний фреймүүд нь шилжүүлэгчээр эдгээр сүлжээний гишүүн бүх компьютерт илгээгддэг. Хэрэв компьютер зөвхөн 3-р виртуал сүлжээнд хуваарилагдсан бол фрэймүүд нь 4-р сүлжээнд хүрэхгүй, харин 4-р сүлжээнд байгаа компьютеруудтай нийтлэг сүлжээгээр харьцаж болно. шуудангийн сервер. Энэ схемнь виртуал сүлжээг бие биенээсээ бүрэн тусгаарладаггүй - иймээс и-мэйл серверийн эхлүүлсэн цацалтын шуурга 3-р сүлжээ болон 4-р сүлжээг хоёуланг нь дарах болно.

Виртуал сүлжээ нь Ethernet сүлжээний давталтуудаас бүрддэг мөргөлдөөн домэйнтэй адил өргөн нэвтрүүлгийн урсгалын домэйн (өргөн нэвтрүүлгийн домэйн) үүсгэдэг гэж ярьдаг.

VLAN ДААЛГАВАР

VLAN технологи нь IP зэрэг сүлжээний түвшний протоколыг дэмждэг чиглүүлэгчээр дамжуулан холбогдох тусгаарлагдсан сүлжээг бий болгоход хялбар болгодог. Энэхүү шийдэл нь нэг сүлжээнээс нөгөө сүлжээ рүү алдаатай урсгалд илүү хүчтэй саад бэрхшээлийг бий болгодог. Өнөөдөр аливаа том сүлжээ нь чиглүүлэгчийг агуулсан байх ёстой гэж үздэг, эс тэгвээс алдаатай фреймүүдийн урсгал, тухайлбал нэвтрүүлгүүд нь тэдгээрийн ил тод унтраалгаар дамжуулан үе үе бүхэлд нь "үерлэж", улмаар ажиллах боломжгүй байдалд хүргэдэг.

Виртуал сүлжээний технологи нь чиглүүлэгчид холбогдсон том сүлжээг бий болгох уян хатан суурийг бүрдүүлдэг, учир нь шилжүүлэгч нь физик сэлгэн залгалтгүйгээр программчлагдсан байдлаар бүрэн тусгаарлагдсан сегментүүдийг үүсгэх боломжийг олгодог.

VLAN технологи гарч ирэхээс өмнө нэг сүлжээг физикийн хувьд тусгаарлагдсан коаксиаль кабель эсвэл давталт, гүүрэн дээр суурилсан холболтгүй сегментүүдээр байрлуулсан байв. Дараа нь сүлжээг чиглүүлэгчээр дамжуулан нэг нийлмэл сүлжээнд нэгтгэв (Зураг 2-ыг үз).

Энэ аргын тусламжтайгаар сегментүүдийн найрлагыг өөрчлөх (хэрэглэгч өөр сүлжээнд шилжих, том хэсгүүдийг хуваах) нь давталтын урд самбар эсвэл хөндлөн самбар дээрх холбогчийг физикээр дахин холбох гэсэн үг бөгөөд энэ нь тийм ч тохиромжтой биш юм. том сүлжээнүүдЭнэ бол маш их цаг хугацаа шаардсан ажил бөгөөд алдаа гарах магадлал маш өндөр байдаг. Тиймээс зангилааны физик солих хэрэгцээг арилгахын тулд олон сегментийн төвүүдийг ашиглаж эхэлсэн бөгөөд ингэснээр хуваалцсан сегментийн бүрэлдэхүүнийг физик солихгүйгээр дахин програмчлах боломжтой болсон.

Гэсэн хэдий ч зангилааны тусламжтайгаар сегментүүдийн найрлагыг өөрчлөх нь сүлжээний бүтцэд маш их хязгаарлалт тавьдаг - ийм давталтын сегментийн тоо ихэвчлэн бага байдаг бөгөөд шилжүүлэгч ашиглан зангилаа бүрийг тусад нь хуваарилах нь бодитой бус юм. . Нэмж дурдахад, энэ аргын тусламжтайгаар сегментүүдийн хооронд өгөгдөл дамжуулах бүх ажил чиглүүлэгчид унадаг бөгөөд өндөр гүйцэтгэлтэй унтраалга нь "ажилгүй" хэвээр байна. Тиймээс тохиргооны сэлгэн залгагч давтан сүлжээнүүд шаардлагатай хэвээр байна хуваалцахолон тооны зангилаа бүхий дамжуулах орчинд ажилладаг тул шилжүүлэгч дээр суурилсан сүлжээнүүдтэй харьцуулахад гүйцэтгэл нь хамаагүй бага байдаг.

Шилжүүлэгчид виртуал сүлжээний технологийг ашиглахдаа хоёр ажлыг нэгэн зэрэг шийддэг.

• Шилжүүлэгч нь зөвхөн очих хост руу фрейм илгээдэг тул виртуал сүлжээ бүрийн гүйцэтгэлийг сайжруулах;
• Хэрэглэгчийн хандалтын эрхийг удирдахын тулд сүлжээг бие биенээсээ тусгаарлаж, цацах шуурганы эсрэг хамгаалалтын саадыг бий болгоно.

Виртуал сүлжээг нэгтгэх нийтлэг сүлжээТусдаа чиглүүлэгч эсвэл шилжүүлэгч программ хангамж ашиглан хандах боломжтой сүлжээний давхарга дээр хийгддэг. Энэ тохиолдолд сүүлийнх нь гурав дахь түвшний унтраалга гэж нэрлэгддэг хосолсон төхөөрөмж болдог.

Шилжүүлэгч ашиглан виртуал сүлжээг бий болгох, ажиллуулах технологи нь удаан хугацааны туршид стандартчилагдаагүй байсан ч янз бүрийн үйлдвэрлэгчдээс маш өргөн хүрээний свич загварт хэрэгжиж ирсэн. 1998 онд IEEE 802.1Q стандартыг баталсны дараа нөхцөл байдал өөрчлөгдсөн бөгөөд энэ нь свич нь аль холбоосын түвшний протоколыг дэмжиж байгаагаас үл хамааран виртуал локал сүлжээг бий болгох үндсэн дүрмийг тодорхойлдог.

VLAN стандарт байхгүй удаан хугацааны улмаас томоохон шилжүүлэгч компани бүр өөрийн гэсэн виртуал сүлжээний технологийг боловсруулсан бөгөөд дүрмээр бол бусад үйлдвэрлэгчдийн технологитой нийцэхгүй байна. Тиймээс, стандарт гарч ирсэн хэдий ч нэг үйлдвэрлэгчийн унтраалга дээр үндэслэн үүсгэсэн виртуал сүлжээг хүлээн зөвшөөрөхгүй, үүний дагуу нөгөө нийлүүлэгчийн унтраалгаар дэмжигдэхгүй байх тохиолдол цөөнгүй байдаг.

ГАНЦ СВИТЧИЙН ҮНДЭСЛЭЭР VLAN ҮҮСГЭХ

Нэг шилжүүлэгч дээр суурилсан виртуал сүлжээг үүсгэх үед шилжүүлэгч портын бүлэглэх механизмыг ихэвчлэн ашигладаг (Зураг 3-ыг үз). Түүнээс гадна тэдгээр нь тус бүрийг нэг эсвэл өөр виртуал сүлжээнд хуваарилдаг. Жишээлбэл, виртуал сүлжээ 1-д хамаарах портоос хүлээн авсан фрейм нь түүний нэг хэсэг биш порт руу хэзээ ч дамжуулахгүй. Хэд хэдэн виртуал сүлжээнд портыг хуваарилж болно, гэхдээ энэ нь практикт ховор тохиолддог - сүлжээг бүрэн тусгаарлах нөлөө алга болдог.

Нэг шилжүүлэгчийн портуудыг бүлэглэх нь VLAN үүсгэх хамгийн логик арга юм, учир нь энэ тохиолдолд портуудаас илүү виртуал сүлжээ байж болохгүй. Хэрэв давтагч нь зарим порт руу холбогдсон бол өөр өөр виртуал сүлжээнд холбогдох сегментийн зангилаануудыг оруулах нь утгагүй болно - бүгд адилхан, тэдгээрийн траффик нийтлэг байх болно.

Энэ арга нь администратороос их хэмжээний гарын авлагын ажил шаарддаггүй - порт бүрийг урьдчилан нэрлэсэн хэд хэдэн виртуал сүлжээнүүдийн аль нэгэнд хуваарилахад хангалттай. Ерөнхийдөө энэ үйлдлийг шилжүүлэгчтэй хамт ирдэг тусгай програм ашиглан гүйцэтгэдэг. Администратор нь портын дүрсүүдийг сүлжээний дүрс дээр чирж виртуал сүлжээ үүсгэдэг.

Виртуал сүлжээг үүсгэх өөр нэг арга бол MAC хаягийн бүлэгт суурилдаг. Шилжүүлэгчид мэдэгдэж буй MAC хаяг бүрийг нэг эсвэл өөр виртуал сүлжээнд хуваарилдаг. Сүлжээ нь олон зангилаатай бол администратор гар ажиллагаатай олон үйлдэл хийх шаардлагатай болно. Гэсэн хэдий ч, хэд хэдэн шилжүүлэгч дээр суурилсан виртуал сүлжээг бий болгоход энэ арга нь портыг бүлэглэхээс илүү уян хатан байдаг.

ОЛОН ШАЛТГАРЧИД ҮНДЭСЛЭГЧ VLAN ҮҮСГЭЖ БАЙНА

Зураг 4-т порт транкингээр дамжуулан олон шилжүүлэгч дээр суурилсан виртуал сүлжээг үүсгэхэд тохиолддог нөхцөл байдлыг харуулсан. Хэрэв аливаа виртуал сүлжээний зангилаанууд өөр өөр унтраалгатай холбогдсон бол ийм сүлжээ тус бүрийн шилжүүлэгчийг холбохын тулд тусдаа хос портуудыг хуваарилах шаардлагатай. Үгүй бол шилжүүлэгчээс шилжүүлэгч рүү дамжуулах явцад тодорхой виртуал сүлжээнд хамаарах хүрээний тухай мэдээлэл алга болно. Тиймээс портын транкинг арга нь VLAN-г дэмждэг шигээ олон портуудыг холбохыг шаарддаг бөгөөд үүний үр дүнд порт, кабелийг маш үрэлгэн ашигладаг. Нэмж дурдахад чиглүүлэгчээр дамжуулан виртуал сүлжээнүүдийн харилцан үйлчлэлийг зохион байгуулахын тулд сүлжээ бүр нь тусдаа кабель, тусдаа чиглүүлэгчийн порт шаарддаг бөгөөд энэ нь өндөр зардалд хүргэдэг.

Шилжүүлэгч бүр дээр MAC хаягуудыг виртуал сүлжээнд бүлэглэх нь тэдгээрийг олон портоор дамжуулан холбох шаардлагагүй болдог, учир нь энэ тохиолдолд виртуал сүлжээний шошго нь MAC хаяг юм. Гэсэн хэдий ч, энэ арга нь сүлжээнд байгаа шилжүүлэгч бүр дээр MAC хаягийн гарын авлагын тэмдэглэгээг их шаарддаг.

Тайлбарласан хоёр арга нь зөвхөн гүүрний хаягийн хүснэгтэд мэдээлэл нэмэхэд үндэслэсэн бөгөөд дамжуулсан фрейм дэх виртуал сүлжээнд хамаарах фреймийн мэдээллийг оруулаагүй болно. Бусад хандлага нь одоо байгаа эсвэл ашигладаг нэмэлт талбаруудСүлжээний свич хооронд шилжих үед фрэймийн эзэмшлийн талаарх мэдээллийг бүртгэх хүрээ. Нэмж дурдахад сүлжээний MAC хаягууд нь аль виртуал сүлжээнд харьяалагддагийг шилжүүлэгч бүр дээр санах шаардлагагүй болно.

Виртуал сүлжээний дугаараар тэмдэглэгдсэн нэмэлт талбарыг зөвхөн фрэймийг шилжүүлэгчээс шилжүүлэгч рүү илгээх үед ашигладаг бөгөөд хүрээг төгсгөлийн зангилаа руу илгээх үед ихэвчлэн устгагддаг. Үүний зэрэгцээ "шилжүүлэгч" харилцан үйлчлэлийн протокол өөрчлөгдсөн бол төгсгөлийн зангилааны програм хангамж, техник хангамж өөрчлөгдөөгүй хэвээр байна. Ийм өмчийн протоколуудын олон жишээ байдаг, гэхдээ тэдгээр нь нэг нийтлэг сул талтай байдаг - тэдгээрийг бусад үйлдвэрлэгчид дэмждэггүй. Cisco нь 802.10 протоколын толгой хэсгийг аливаа LAN протоколын фреймд стандарт нэмэлт болгон санал болгосон бөгөөд зорилго нь аюулгүй байдлын функцуудыг дэмжих явдал юм. компьютерийн сүлжээнүүд. FDDI протоколыг ашиглан унтраалга хоорондоо холбогдсон тохиолдолд компани өөрөө энэ аргыг хэлдэг. Гэсэн хэдий ч энэ санаачлагыг бусад тэргүүлэх унтраалга үйлдвэрлэгчид дэмжээгүй.

Виртуал сүлжээний дугаарыг хадгалахын тулд IEEE 802.1Q стандарт нь 802.1p протоколтой хамт хэрэглэгддэг нэмэлт хоёр байт толгойг өгдөг. 802.1p стандартын дагуу фрэймийн тэргүүлэх утгыг хадгалах гурван битээс гадна энэ толгой хэсэгт байрлах 12 бит нь фрейм хамаарах виртуал сүлжээний дугаарыг хадгалахад ашиглагддаг. Энэ Нэмэлт мэдээлэлвиртуал сүлжээний шошго (VLAN TAG) гэж нэрлэгддэг бөгөөд өөр өөр үйлдвэрлэгчдийн шилжүүлэгчид 4096 хүртэл хуваалцсан виртуал сүлжээ үүсгэх боломжийг олгодог. Ийм хүрээг "tagged" гэж нэрлэдэг. Тэмдэглэгдсэн Ethernet хүрээний урт нь 4 байтаар нэмэгддэг, учир нь тагийн хоёр байтаас гадна хоёр байт нэмэгддэг. Тэмдэглэгдсэн Ethernet хүрээний бүтцийг Зураг 5-д үзүүлэв. 802.1p/Q толгойг нэмэхэд өгөгдлийн талбар хоёр байтаар багасна.

Зураг 5. Тэмдэглэгдсэн Ethernet хүрээний бүтэц.

802.1Q стандарт гарч ирснээр хувийн VLAN хэрэгжилтийн ялгааг даван туулж, виртуал орон нутгийн сүлжээг бий болгоход нийцтэй байдалд хүрэх боломжтой болсон. VLAN техникийг шилжүүлэгч болон NIC үйлдвэрлэгчид дэмждэг. Сүүлчийн тохиолдолд NIC нь VLAN TAG талбарыг агуулсан шошготой Ethernet фреймүүдийг үүсгэж, хүлээн авах боломжтой. Хэрэв сүлжээний адаптер нь шошготой фреймүүдийг үүсгэдэг бол үүнийг хийснээр тэдгээр нь нэг эсвэл өөр виртуал локал сүлжээнд хамаарах эсэхийг тодорхойлдог тул шилжүүлэгч нь тэдгээрийг зохих ёсоор боловсруулах ёстой, өөрөөр хэлбэл портын эзэмшилээс хамааран гаралтын порт руу дамжуулах эсвэл дамжуулахгүй байх ёстой. Сүлжээний адаптер драйвер нь өөрийн VLAN дугаарыг (эсвэл өөрийн) сүлжээний администратороос (гарын авлагын тохиргоогоор) эсвэл хост дээр ажиллаж байгаа зарим програмаас авдаг. Ийм програм нь сүлжээний серверүүдийн аль нэг дээр төвлөрсөн байдлаар ажиллах боломжтой бөгөөд бүх сүлжээний бүтцийг удирдах боломжтой.

VLAN дэмждэг сүлжээний адаптеруудта тодорхой виртуал сүлжээнд порт оноож, статик тохиргоог тойрч гарах боломжтой. Гэсэн хэдий ч статик VLAN тохиргооны арга нь төгсгөлийн зангилааны програм хангамжийг оролцуулалгүйгээр бүтэцлэгдсэн сүлжээг үүсгэх боломжийг олгодог тул түгээмэл хэвээр байна.

Наталья Олифер бол Journal of Network Solutions/LAN сэтгүүлийн тоймч юм. Түүнтэй дараах хаягаар холбогдож болно:

Виртуал Хувийн Сүлжээ нь корпорацийн холболтууд болон интернетэд нэвтрэх найдвартай холболтыг хангахад ашигладаг виртуал хувийн сүлжээ юм. VPN-ийн гол давуу тал нь өгөгдөл дамжуулахад чухал ач холбогдолтой дотоод траффикийн шифрлэлтээс шалтгаалан өндөр хамгаалалт юм.

VPN холболт гэж юу вэ

Олон хүмүүс энэ товчлолтой тулгарахдаа: VPN - энэ юу вэ, яагаад хэрэгтэй вэ? Энэ технологибий болгох боломжийг нээж өгдөг сүлжээний холболтнөгөө дээр нь. VPN нь хэд хэдэн горимд ажилладаг:

• зангилаа сүлжээ;
• сүлжээний сүлжээ;
• зангилаа.

Сүлжээний түвшинд хувийн виртуал сүлжээг зохион байгуулах нь TCP болон UDP протоколуудыг ашиглах боломжийг олгодог. Компьютерээр дамждаг бүх өгөгдөл шифрлэгдсэн байдаг. Энэ нь таны холболтын нэмэлт хамгаалалт юм. VPN холболт гэж юу болох, яагаад үүнийг ашиглах ёстойг тайлбарласан олон жишээ бий. Доор дэлгэрэнгүй тайлбарлах болно энэ асуулт.

Яагаад танд VPN хэрэгтэй байна вэ?

Үйлчилгээ үзүүлэгч бүр холбогдох байгууллагуудын хүсэлтээр хэрэглэгчийн үйл ажиллагааны бүртгэлийг гаргаж өгөх боломжтой. Танай интернет компани таны сүлжээнд хийсэн бүх үйл ажиллагааг бүртгэдэг. Энэ нь үйлчилгээ үзүүлэгчийг үйлчлүүлэгчийн хийсэн үйлдлийнхээ хариуцлагаас чөлөөлөхөд тусалдаг. Өгөгдлөө хамгаалах, эрх чөлөөг олж авах шаардлагатай олон нөхцөл байдал байдаг, жишээлбэл:

1. VPN үйлчилгээг салбар хооронд компанийн нууц мэдээллийг дамжуулахад ашигладаг. Энэ нь хамгаалахад тусалдаг чухал мэдээлэлсаатуулахаас.
2. Хэрэв та газарзүйн бүсээр үйлчилгээний холболтыг тойрч гарах шаардлагатай бол. Жишээлбэл, Yandex Music үйлчилгээг зөвхөн ОХУ-ын оршин суугчид болон хуучин ТУХН-ийн орнуудын оршин суугчид ашиглах боломжтой. Хэрэв та АНУ-ын орос хэлээр ярьдаг хүн бол бичлэгийг сонсох боломжгүй болно. VPN үйлчилгээ нь сүлжээний хаягийг орос хаягаар сольж энэ хоригийг даван туулахад тусална.
3. Үйлчилгээ үзүүлэгчээс сайтын зочилсон мэдээллийг нуух. Хүн бүр интернет дэх үйл ажиллагаагаа хуваалцахад бэлэн байдаггүй тул VPN-ийн тусламжтайгаар зочлоо хамгаалах болно.

VPN хэрхэн ажилладаг

Таныг өөр VPN суваг ашиглах үед таны IP энэ аюулгүй сүлжээ байрладаг улсад харьяалагдах болно. Холбогдсон үед VPN сервер болон таны компьютерийн хооронд туннель үүснэ. Үүний дараа үйлчилгээ үзүүлэгчийн бүртгэлд (бичлэг) багц байх болно ойлгомжгүй дүрүүд. Мэдээллийн дүн шинжилгээ хийх тусгай хөтөлбөрүр дүн өгөхгүй. Хэрэв та энэ технологийг ашиглахгүй бол HTTP протокол нь таныг аль сайт руу холбогдож байгааг шууд зааж өгөх болно.

VPN бүтэц

Энэ холболт нь хоёр хэсгээс бүрдэнэ. Эхнийх нь "дотоод" сүлжээ гэж нэрлэгддэг, та эдгээрээс хэд хэдэн үүсгэж болно. Хоёр дахь нь "гадаад" холболт бөгөөд түүгээр дамжуулан капсул холболт үүсдэг бөгөөд дүрмээр бол интернет ашигладаг. Мөн сүлжээнд нэг компьютер холбох боломжтой. Хэрэглэгч гадаад болон дотоод сүлжээнд нэгэн зэрэг холбогдсон хандалтын серверээр дамжуулан тодорхой VPN-тэй холбогддог.

VPN програм нь алсын хэрэглэгчийг холбоход сервер нь хоёр чухал процессыг шаарддаг: эхлээд таних, дараа нь баталгаажуулалт. Энэ холболтыг ашиглах эрхийг олж авахад шаардлагатай. Хэрэв та эдгээр хоёр үе шатыг амжилттай давсан бол таны сүлжээ хүчирхэгжсэн бөгөөд энэ нь ажиллах боломжийг нээж өгдөг. Үндсэндээ энэ бол зөвшөөрлийн үйл явц юм.

VPN ангилал

Виртуал хувийн сүлжээний хэд хэдэн төрөл байдаг. Аюулгүй байдлын зэрэг, хэрэгжүүлэх арга, ISO / OSI загвар, холбогдох протоколын дагуу ажлын түвшин зэрэг сонголтууд байдаг. Та төлбөртэй хандалт эсвэл Google-ийн үнэгүй VPN үйлчилгээг ашиглаж болно. Аюулгүй байдлын зэрэгт үндэслэн сувгууд нь "аюулгүй" эсвэл "найдвартай" байж болно. Холболт нь өөрөө хүссэн хамгаалалтын түвшинтэй бол сүүлийнх нь шаардлагатай. Эхний сонголтыг зохион байгуулахын тулд дараахь технологийг ашиглах шаардлагатай.

• PPTP
• OpenVPN;
• IPSec.

VPN серверийг хэрхэн үүсгэх

Бүх компьютер хэрэглэгчдийн хувьд VPN-г өөрөө холбох арга бий. Мэс заслын өрөөний сонголтыг доор авч үзэх болно. Windows систем. Энэхүү гарын авлагад нэмэлт програм хангамж ашиглахыг заагаагүй болно. Тохиргоог дараах байдлаар гүйцэтгэнэ.

1. Шинэ холболт хийхийн тулд та харах самбарыг нээх хэрэгтэй сүлжээний хандалт. Хайлтын үгсийг бичиж эхлээрэй " Сүлжээний холболтууд».
2. "Alt" товчийг дараад цэсний "Файл" хэсгийг товшоод "Шинэ ирж буй холболт" -ыг сонгоно уу.
3. Дараа нь энэ компьютерт VPN холболт олгох хэрэглэгчийг тохируулна уу (хэрэв танд ганцхан байгаа бол). Данс PC дээр та түүнд нууц үг үүсгэх ёстой). Шувууг суулгаад "Дараах" дээр дарна уу.
4. Дараа нь та холболтын төрлийг сонгохыг хүсэх болно, та "Интернэт" -ийн өмнө тэмдэглэгээ үлдээж болно.
5. Дараагийн алхам бол энэ VPN дээр ажиллах сүлжээний протоколуудыг идэвхжүүлэх явдал юм. Хоёр дахь хайрцгаас бусад бүх хайрцгийг шалгана уу. Та IPv4-д тодорхой IP, DNS гарц, портуудыг тохируулж болно, гэхдээ автомат хуваарилалтыг орхих нь илүү хялбар байдаг.
6. "Хандалтыг зөвшөөрөх" товчийг дарахад үйлдлийн систем нь серверийг өөрөө үүсгэж, компьютерийн нэр бүхий цонхыг харуулна. Холбохын тулд танд хэрэгтэй болно.
7. Энэ нь гэрийн VPN серверийг үүсгэж дуусгана.

Android дээр VPN хэрхэн тохируулах талаар

Дээр тайлбарласан арга бол VPN холболтыг хэрхэн үүсгэх явдал юм Хувийн компьютер. Гэсэн хэдий ч олон хүмүүс утсыг ашиглан бүх үйлдлүүдийг удаан хугацаанд гүйцэтгэдэг. Хэрэв та Android дээрх VPN гэж юу болохыг мэдэхгүй байгаа бол дээрх бүх баримтуудыг уншина уу энэ төрөлхолболтууд нь ухаалаг гар утсанд ч хүчинтэй. Орчин үеийн төхөөрөмжүүдийн тохиргоо нь интернетийг өндөр хурдаар тав тухтай ашиглах боломжийг олгодог. Зарим тохиолдолд (тоглоом нээх, вэбсайт нээхэд) тэд прокси орлуулах эсвэл нэрээ нууцлагчийг ашигладаг боловч VPN нь тогтвортой, хурдан холболт хийхэд илүү дээр юм.

Хэрэв та утсан дээрх VPN гэж юу болохыг ойлгосон бол шууд хонгил үүсгэх боломжтой. Та үүнийг ямар ч Android төхөөрөмж дээр хийж болно. Холболтыг дараах байдлаар хийнэ.

1. Тохиргооны хэсэг рүү очоод "Сүлжээ" хэсгийг дарна уу.
2. "гэж нэрлэсэн зүйлийг хайж олоорой. Нэмэлт тохиргоо"болон "VPN" хэсэгт очно уу. Дараа нь танд сүлжээ үүсгэх боломжийг нээх пин код эсвэл нууц үг хэрэгтэй болно.
3. Дараагийн алхам бол VPN холболт нэмэх явдал юм. "Сервер" талбарт нэр, "хэрэглэгчийн нэр" талбарт нэрийг зааж, холболтын төрлийг тохируулна уу. "Хадгалах" товчийг дарна уу.
4. Үүний дараа жагсаалтад шинэ холболт гарч ирэх бөгөөд та стандарт холболтоо өөрчлөхөд ашиглаж болно.
5. Дэлгэц дээр холболт боломжтой болохыг харуулсан дүрс гарч ирнэ. Хэрэв та үүн дээр дарвал хүлээн авсан / дамжуулсан өгөгдлийн статистик мэдээллийг өгөх болно. Та эндээс VPN холболтыг идэвхгүй болгож болно.

Видео: Үнэгүй VPN үйлчилгээ