เครือข่ายเสมือน การเชื่อมต่อ VPN: มันคืออะไรและช่อง VPN มีไว้เพื่ออะไร? แนวคิดของ "อุโมงค์" ในการส่งข้อมูลในเครือข่าย

เครือข่ายส่วนตัวเสมือน

ส่วนใหญ่มักจะสร้าง เครือข่ายเสมือนใช้การห่อหุ้มโปรโตคอล PPP เป็นโปรโตคอลอื่น - อีเธอร์เน็ต (ผู้ให้บริการ "ไมล์สุดท้าย" เพื่อให้การเข้าถึงอินเทอร์เน็ต

ด้วยระดับการใช้งานที่เหมาะสมและการใช้งานพิเศษ ซอฟต์แวร์ VPN สามารถให้ได้ ระดับสูงการเข้ารหัสข้อมูลที่ส่ง ที่ การตั้งค่าที่ถูกต้องในบรรดาองค์ประกอบทั้งหมด เทคโนโลยี VPN ช่วยให้มั่นใจได้ถึงความเป็นนิรนามบนเว็บ

โครงสร้าง VPN

VPN ประกอบด้วยสองส่วน: เครือข่าย "ภายใน" (ควบคุม) ซึ่งอาจมีหลายส่วน และเครือข่าย "ภายนอก" ที่การเชื่อมต่อแบบห่อหุ้มผ่าน (โดยปกติจะใช้อินเทอร์เน็ต) นอกจากนี้ยังสามารถเชื่อมต่อคอมพิวเตอร์เครื่องเดียวกับเครือข่ายเสมือน ผู้ใช้ระยะไกลเชื่อมต่อกับ VPN ผ่านเซิร์ฟเวอร์การเข้าถึงที่เชื่อมต่อกับเครือข่ายทั้งภายในและภายนอก (สาธารณะ) เมื่อเชื่อมต่อผู้ใช้ระยะไกล (หรือเมื่อสร้างการเชื่อมต่อกับเครือข่ายที่ปลอดภัยอื่น) เซิร์ฟเวอร์การเข้าถึงกำหนดให้ต้องผ่านกระบวนการระบุตัวตน จากนั้นจึงเข้าสู่กระบวนการรับรองความถูกต้อง หลังจากดำเนินการทั้งสองกระบวนการสำเร็จแล้ว ผู้ใช้ระยะไกล ( เครือข่ายระยะไกล) ได้รับอำนาจให้ทำงานบนเครือข่าย กล่าวคือ กระบวนการอนุญาตจะเกิดขึ้น

การจำแนกประเภท VPN

การจำแนกประเภท VPN

โซลูชัน VPN สามารถจำแนกตามพารามิเตอร์หลักหลายประการ:

ตามประเภทของสภาพแวดล้อมที่ใช้

• มีการป้องกัน

เครือข่ายส่วนตัวเสมือนเวอร์ชันที่พบมากที่สุด ด้วยความช่วยเหลือของมัน จึงเป็นไปได้ที่จะสร้างเครือข่ายย่อยที่เชื่อถือได้และปลอดภัยตามเครือข่ายที่ไม่น่าเชื่อถือ ซึ่งโดยปกติแล้วจะเป็นอินเทอร์เน็ต ตัวอย่างของ VPN ที่ปลอดภัย ได้แก่ IPSec, PPTP

• เชื่อมั่น

ใช้ในกรณีที่สื่อกลางในการรับส่งข้อมูลมีความน่าเชื่อถือและจำเป็นเท่านั้นในการแก้ปัญหาในการสร้างเครือข่ายย่อยเสมือนภายในเครือข่ายขนาดใหญ่ ปัญหาด้านความปลอดภัยจะไม่เกี่ยวข้อง ตัวอย่างของโซลูชัน VPN เช่น: การสลับป้ายกำกับหลายโปรโตคอล (L2TP (Layer 2 Tunneling Protocol) (ให้แม่นยำยิ่งขึ้น คือ โปรโตคอลเหล่านี้เปลี่ยนงานด้านความปลอดภัยไปเป็นอย่างอื่น เช่น โดยปกติแล้ว L2TP จะใช้ร่วมกับ IPSec)

โดยวิธีปฏิบัติ

• ในรูปแบบของซอฟต์แวร์และฮาร์ดแวร์พิเศษ

การใช้งานเครือข่าย VPN ดำเนินการโดยใช้ชุดซอฟต์แวร์และฮาร์ดแวร์พิเศษ การใช้งานนี้ให้ประสิทธิภาพสูงและตามกฎแล้ว ระดับสูงความปลอดภัย.

• เป็นโซลูชันซอฟต์แวร์

พวกเขาใช้คอมพิวเตอร์ส่วนบุคคลกับซอฟต์แวร์พิเศษที่มีฟังก์ชัน VPN

• โซลูชันแบบบูรณาการ

ฟังก์ชัน VPN มีให้โดยคอมเพล็กซ์ที่ช่วยแก้ปัญหาการกรอง การรับส่งข้อมูลเครือข่ายจัดระเบียบไฟร์วอลล์และรับประกันคุณภาพการบริการ

โดยได้รับการแต่งตั้ง

ใช้เพื่อรวมสาขากระจายหลายแห่งขององค์กรเดียวเป็นเครือข่ายเดียวที่ปลอดภัย แลกเปลี่ยนข้อมูลผ่านช่องทางการสื่อสารแบบเปิด

• VPN การเข้าถึงระยะไกล

ใช้เพื่อสร้างช่องทางที่ปลอดภัยระหว่างส่วนเครือข่ายขององค์กร (สำนักงานกลางหรือสำนักงานสาขา) กับผู้ใช้รายเดียวที่เชื่อมต่อระหว่างทำงานที่บ้าน ทรัพยากรขององค์กรกับ คอมพิวเตอร์ที่บ้านแล็ปท็อปขององค์กร สมาร์ทโฟน หรือตู้อินเทอร์เน็ต

• เอ็กซ์ทราเน็ต VPN

ใช้สำหรับเครือข่ายที่ผู้ใช้ "ภายนอก" (เช่น ลูกค้าหรือไคลเอนต์) เชื่อมต่อ ระดับความไว้วางใจในตัวพวกเขานั้นต่ำกว่าพนักงานของ บริษัท มากดังนั้นจึงจำเป็นต้องให้การป้องกัน "ชายแดน" พิเศษที่ป้องกันหรือ จำกัด การเข้าถึงสิ่งมีค่าโดยเฉพาะ ข้อมูลลับ.

• อินเทอร์เน็ต VPN

ใช้เพื่อให้การเข้าถึงอินเทอร์เน็ตโดยผู้ให้บริการ

• ไคลเอ็นต์/เซิร์ฟเวอร์ VPN

ช่วยให้มั่นใจในการป้องกันข้อมูลที่ส่งระหว่างสองโหนด (ไม่ใช่เครือข่าย) ของเครือข่ายองค์กร ลักษณะเฉพาะของตัวเลือกนี้คือ VPN ถูกสร้างขึ้นระหว่างโหนดที่มักจะอยู่ในส่วนเครือข่ายเดียวกัน เช่น ระหว่าง เวิร์กสเตชันและเซิร์ฟเวอร์ ความต้องการดังกล่าวมักเกิดขึ้นในกรณีที่จำเป็นต้องสร้างหลายรายการ เครือข่ายเชิงตรรกะ. ตัวอย่างเช่น เมื่อจำเป็นต้องแบ่งการรับส่งข้อมูลระหว่างแผนกการเงินและแผนกทรัพยากรบุคคล การเข้าถึงเซิร์ฟเวอร์ที่อยู่ในเซ็กเมนต์ทางกายภาพเดียวกัน ตัวเลือกนี้คล้ายกับเทคโนโลยี VLAN แต่แทนที่จะแยกทราฟฟิก จะถูกเข้ารหัส

ตามประเภทของโปรโตคอล

มีการใช้งานเครือข่ายส่วนตัวเสมือนภายใต้ TCP/IP, IPX และ AppleTalk แต่ปัจจุบันมีแนวโน้มไปสู่การเปลี่ยนไปใช้โปรโตคอล TCP / IP โดยทั่วไป และโซลูชัน VPN ส่วนใหญ่รองรับ

ตามระดับโปรโตคอลเครือข่าย

ตามเลเยอร์โปรโตคอลเครือข่าย ตามการแมปกับเลเยอร์ของโมเดลอ้างอิงเครือข่าย ISO/OSI

ตัวอย่าง VPN

ผู้ให้บริการรายใหญ่หลายรายเสนอบริการ VPN สำหรับลูกค้าธุรกิจ

วรรณกรรม

• Ivanov M. A. วิธีการเข้ารหัสการป้องกันข้อมูลใน ระบบคอมพิวเตอร์และเครือข่าย. - ม.: KUDITS-OBRAZ, 2544. - 368 น.
• Kulgin M. Technologies ของเครือข่ายองค์กร สารานุกรม. - เซนต์ปีเตอร์สเบิร์ก: ปีเตอร์ 2543 - 704 น.
• โอลิเฟอร์ วี.จี., โอลิเฟอร์ เอ็น.เอ. เครือข่ายคอมพิวเตอร์. หลักการ เทคโนโลยี ระเบียบการ: หนังสือเรียนสำหรับมหาวิทยาลัย - เซนต์ปีเตอร์สเบิร์ก: ปีเตอร์ 2544 - 672 น.
• Romanets Yu. V. , Timofeev PA, Shangin VF การปกป้องข้อมูลในระบบคอมพิวเตอร์และเครือข่าย แก้ไขครั้งที่ 2 - M: วิทยุและการสื่อสาร, 2545. -328 น.
• สตอลลิงส์ วี.พื้นฐานของการป้องกันเครือข่าย แอปพลิเคชันและมาตรฐาน = Network Security Essentials การใช้งานและมาตรฐาน - M.: "Williams", 2002. - S. 432. - ISBN 0-13-016093-8
• ผลิตภัณฑ์เครือข่ายส่วนตัวเสมือน [ เอกสารอิเล็กทรอนิกส์] - http://www.citforum.ru/nets/articles/vpn_tab.shtml
• แอนนิต้า คาร์ฟ เรียล โอกาสเสมือนจริง//แลน. - 2542.- ฉบับที่ 7-8 http://www.osp.ru/lan/1999/07-08/107.htm
• คำตอบของ Linux สำหรับ MS-PPTP [เอกสารอิเล็กทรอนิกส์] / Peter Gutmann - http://www.cs.auckland.ac.nz/~pgut001/pubs/linux_vpn.txt
• Joel Snyder VPN: ตลาดที่ใช้ร่วมกัน // เครือข่าย - 1999.- ฉบับที่ 11 http://www.citforum.ru/nets/articles/vpn.shtml
• VPN Primer [เอกสารอิเล็กทรอนิกส์] - www.xserves.com/downloads/anexgate/VPNPrimer.pdf
• PKI หรือ PGP? [เอกสารอิเล็กทรอนิกส์] / Natalya Sergeeva - http://www.citforum.ru/security/cryptography/pki_pgp/
• IPSec - โปรโตคอลสำหรับป้องกันการรับส่งข้อมูลเครือข่ายที่ระดับ IP [เอกสารอิเล็กทรอนิกส์] / Stanislav Korotygin - http://www.ixbt.com/comm/ipsecure.shtml
• คำถามที่พบบ่อยเกี่ยวกับ OpenVPN [เอกสารอิเล็กทรอนิกส์] - http://openvpn.net/faq.html
• วัตถุประสงค์และโครงสร้างของอัลกอริธึมการเข้ารหัส [เอกสารอิเล็กทรอนิกส์] / Panasenko Sergey - http://www.ixbt.com/soft/alg-encryption.shtml
• ในการเข้ารหัสสมัยใหม่ [เอกสารอิเล็กทรอนิกส์] / V. M. Sidelnikov - http://www.citforum.ru/security/cryptography/crypto/
• รู้เบื้องต้นเกี่ยวกับการเข้ารหัส / เอ็ด วี. วี. ยาชเชนโก. - ม.: MTsNMO, 2000 - 288 จาก http://www.citforum.ru/security/cryptography/yaschenko/
• ข้อผิดพลาดด้านความปลอดภัยในการเข้ารหัส [เอกสารอิเล็กทรอนิกส์] / Bruce Schneier - http://www.citforum.ru/security/cryptography/pitfalls.shtml
• IPSec: ยาครอบจักรวาลหรือมาตรการบังคับ? [เอกสารอิเล็กทรอนิกส์] / Yevgeny Patiy. - http://citforum.ru/security/articles/ipsec_standard/
• VPN และ IPSec ที่ปลายนิ้วของคุณ [เอกสารอิเล็กทรอนิกส์] / Dru Lavigne - http://www.nestor.minsk.by/sr/2005/03/050315.html
• กรอบงานสำหรับเครือข่ายส่วนตัวเสมือนที่ใช้ IP [เอกสารอิเล็กทรอนิกส์] / B. Gleeson, A. Lin, J. Heinanen - http://www.ietf.org/rfc/rfc2764.txt
• OpenVPN และการปฏิวัติ SSL VPN [เอกสารอิเล็กทรอนิกส์] / Charlie Hosner - http://www.sans.org/rr/whitepapers/vpns/1459.php
• Markus Feilner เครือข่ายส่วนตัวเสมือนรุ่นใหม่ // LAN.- 2005.- หมายเลข 11
• SSL คืออะไร [เอกสารอิเล็กทรอนิกส์] / Maxim Drogaytsev. - http://www.ods.com.ua/win/rus/security/ssl.html
• การเข้ารหัสลับของ Microsoft's PPTP Authentication Extensions (MS-CHAPv2) [Electronic Document] / Bruce Schneier - http://www.schneier.com/paper-pptpv2.html
• ข้อมูลจำเพาะทางเทคนิคของโปรโตคอลอุโมงค์แบบจุดต่อจุด (PPTP) [เอกสารอิเล็กทรอนิกส์] / Kory Hamzeh, Gurdeep Singh Pall, William Verthein, Jeff Taarud, W. Andrew Little - http://infodeli.3com.com/infodeli/tools/remote/general/pptp/pptp.htm
• Ryan Norman การเลือกโปรโตคอล VPN // Windows IT Pro - พ.ศ. 2544 - ฉบับที่ 7 http://www.osp.ru/win2000/2001/07/010.htm
• MPLS: ลำดับใหม่ในเครือข่าย IP? [เอกสารอิเล็กทรอนิกส์] / ทอม โนลล์. - http://www.emanual.ru/get/3651/
• Layer Two Tunneling Protocol "L2TP" [เอกสารอิเล็กทรอนิกส์] / W. Townsley, A. Valencia, A. Rubens - http://www.ietf.org/rfc/rfc2661.txt
• Alexey Lukatsky VPN ที่ไม่รู้จัก // Computer Press - 2544 - หมายเลข 10 http://abn.ru/inf/compress/network4.shtml
• อิฐก้อนแรกในผนัง ภาพรวม VPNอุปกรณ์ VPN ระดับเริ่มต้น [เอกสารอิเล็กทรอนิกส์] / Valery Lukin - http://www.ixbt.com/comm/vpn1.shtml
• ภาพรวมของฮาร์ดแวร์ VPN [เอกสารอิเล็กทรอนิกส์] - http://www.networkaccess.ru/articles/security/vpn_hardware/
• VPN ฮาร์ดแวร์บริสุทธิ์กฎการทดสอบความพร้อมใช้งานสูง [เอกสารอิเล็กทรอนิกส์] / Joel Snyder, Chris Elliott - http://www.networkworld.com/reviews/2000/1211rev.html
• VPN: ประเภทของ VPN [เอกสารอิเล็กทรอนิกส์] - http://www.vpn-guide.com/type_of_vpn.htm
• คำถามที่พบบ่อยเกี่ยวกับ KAME [เอกสารอิเล็กทรอนิกส์] - http://orange.kame.net/dev/cvsweb2.cgi/kame/FAQ?rev=HEAD&content-type=text/x-cvsweb-markup
• คุณสมบัติของตลาด VPN ของรัสเซีย [เอกสารอิเล็กทรอนิกส์] - http://www.cnews.ru/reviews/free/security2006/articles/vpnmarket/
• วิธีการในประเทศในการสร้างเครือข่ายส่วนตัวเสมือน [?] / I. Gvozdev, V. Zaichikov, N. Moshak, M. Pelenitsyn, S. Seleznev, D. Shepelyavy
• Sergey Petrenko เครือข่ายส่วนตัวเสมือนที่ปลอดภัย: มุมมองที่ทันสมัยเกี่ยวกับการปกป้องข้อมูลที่เป็นความลับ // Internet World - 2544. - ครั้งที่ 2

เครือข่ายท้องถิ่นเสมือน (Virtual Local Area Network, VLAN) คือกลุ่มของโหนดเครือข่าย ซึ่งการรับส่งข้อมูลรวมถึงการแพร่ภาพจะถูกแยกออกจากการรับส่งข้อมูลของโหนดเครือข่ายอื่นอย่างสมบูรณ์ที่ระดับลิงก์

ข้าว. 14.10 น. เครือข่ายท้องถิ่นเสมือน

ซึ่งหมายความว่าการถ่ายโอนเฟรมระหว่างเครือข่ายเสมือนต่างๆ ตามที่อยู่ของเลเยอร์ลิงก์นั้นเป็นไปไม่ได้ โดยไม่คำนึงถึงประเภทของที่อยู่ (เฉพาะ มัลติคาสต์ หรือการแพร่ภาพ) ในเวลาเดียวกัน ภายในเครือข่ายเสมือน เฟรมจะถูกส่งโดยใช้เทคโนโลยีสวิตชิ่ง จากนั้นจะส่งเฉพาะบนพอร์ตที่เชื่อมโยงกับที่อยู่ปลายทางของเฟรมเท่านั้น

VLAN สามารถซ้อนทับกันได้หากคอมพิวเตอร์ตั้งแต่หนึ่งเครื่องขึ้นไปเป็นส่วนหนึ่งของ VLAN มากกว่าหนึ่งเครื่อง บนมะเดื่อ 14.10 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ซึ่งหมายความว่าเฟรมของมันจะถูกส่งผ่านสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องที่รวมอยู่ในเครือข่ายเหล่านี้ หากคอมพิวเตอร์เป็นเพียงส่วนหนึ่งของเครือข่ายเสมือน 3 ดังนั้นเฟรมของคอมพิวเตอร์จะไม่ไปถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์เครือข่าย 4 ผ่านเซิร์ฟเวอร์อีเมลทั่วไปได้ รูปแบบดังกล่าวไม่ได้ปกป้องเครือข่ายเสมือนอย่างเต็มที่จากกันและกัน ตัวอย่างเช่น พายุออกอากาศที่เกิดขึ้นบนเซิร์ฟเวอร์ อีเมลจะเกิดน้ำท่วมทั้งโครงข่ายที่ 3 และโครงข่ายที่ 4

เครือข่ายเสมือนได้รับการกล่าวขานว่าเป็นโดเมนทราฟฟิกแบบกระจายเสียงซึ่งคล้ายกับโดเมนการชนกันที่เกิดขึ้นจากตัวทำซ้ำอีเทอร์เน็ต

วัตถุประสงค์ของเครือข่ายเสมือน

ดังที่เราเห็นในตัวอย่างจากส่วนก่อนหน้านี้ ตัวกรองแบบกำหนดเองอาจรบกวนการทำงานปกติของสวิตช์และจำกัดการโต้ตอบของโหนด เครือข่ายท้องถิ่นตามกฎการเข้าถึงที่จำเป็น อย่างไรก็ตาม กลไกตัวกรองแบบกำหนดเองของสวิตช์มีข้อเสียหลายประการ:

คุณต้องกำหนดเงื่อนไขแยกต่างหากสำหรับแต่ละโหนดเครือข่าย โดยใช้ที่อยู่ MAC ที่ยุ่งยาก การจัดกลุ่มโหนดและอธิบายเงื่อนไขการโต้ตอบสำหรับกลุ่มพร้อมกันจะง่ายกว่ามาก

ไม่สามารถบล็อกการรับส่งข้อมูลได้ ปริมาณการออกอากาศอาจทำให้เครือข่ายใช้งานไม่ได้หากโหนดบางโหนดตั้งใจหรือไม่ตั้งใจสร้างเฟรมออกอากาศด้วยอัตราที่สูง

เทคนิคของเครือข่ายท้องถิ่นเสมือนช่วยแก้ปัญหาการจำกัดการโต้ตอบของโหนดเครือข่ายด้วยวิธีอื่น

วัตถุประสงค์หลักของเทคโนโลยี VLAN คือการอำนวยความสะดวกในการสร้างเครือข่ายแยก ซึ่งโดยปกติแล้วจะเชื่อมต่อกันโดยใช้เราเตอร์ การออกแบบเครือข่ายนี้สร้างอุปสรรคที่มีประสิทธิภาพในการรับส่งข้อมูลที่ไม่ต้องการจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง ทุกวันนี้ถือว่าเห็นได้ชัดว่าเครือข่ายขนาดใหญ่ใดๆ ต้องมีเราเตอร์ ไม่เช่นนั้นสตรีมของเฟรมที่ผิดพลาด เช่น การออกอากาศ จะ "ท่วม" เครือข่ายทั้งหมดเป็นระยะผ่านสวิตช์ที่โปร่งใส นำไปสู่สถานะใช้งานไม่ได้

ข้อได้เปรียบของเทคโนโลยีเครือข่ายเสมือนคือช่วยให้คุณสร้างส่วนเครือข่ายที่แยกได้อย่างสมบูรณ์โดยการกำหนดค่าสวิตช์แบบลอจิคัลโดยไม่ต้องหันไปใช้การเปลี่ยนแปลงโครงสร้างทางกายภาพ

ก่อนการกำเนิดของเทคโนโลยี VLAN ทั้งการแยกส่วนของสายโคแอกเชียลหรือส่วนที่ไม่ได้เชื่อมต่อที่สร้างขึ้นบนตัวทวนสัญญาณและบริดจ์ถูกนำมาใช้เพื่อสร้างเครือข่ายแยกต่างหาก จากนั้นเครือข่ายเหล่านี้เชื่อมต่อโดยเราเตอร์เป็นเครือข่ายคอมโพสิตเดียว (รูปที่ 14.11)

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (การเปลี่ยนผู้ใช้ไปยังเครือข่ายอื่น, การแยกเซกเมนต์ขนาดใหญ่) ด้วยวิธีการนี้แสดงถึงการเชื่อมต่อทางกายภาพของคอนเน็กเตอร์บนแผงด้านหน้าของตัวทำซ้ำหรือบนแผงแบบไขว้ซึ่งไม่สะดวกนัก เครือข่ายขนาดใหญ่- การทำงานทางกายภาพจำนวนมาก นอกจากนี้ ความน่าจะเป็นของข้อผิดพลาดสูง

ข้าว. 14.11 น. เครือข่ายคอมโพสิตประกอบด้วยเครือข่ายที่สร้างขึ้นบนพื้นฐานของตัวทำซ้ำ

การเชื่อมโยงเครือข่ายเสมือนเข้ากับเครือข่ายทั่วไปจำเป็นต้องอาศัยกองทุนเลเยอร์เครือข่ายเข้ามาเกี่ยวข้อง สามารถนำไปใช้ในเราเตอร์แยกต่างหากหรือเป็นส่วนหนึ่งของซอฟต์แวร์สวิตช์ซึ่งจะกลายเป็นอุปกรณ์รวม - สวิตช์เลเยอร์ 3 ที่เรียกว่า

เทคโนโลยีเครือข่ายเสมือนไม่ได้มาตรฐานมาเป็นเวลานาน แม้ว่าจะมีการใช้งานในสวิตช์รุ่นต่างๆ มากมาย ผู้ผลิตที่แตกต่างกัน. สถานการณ์เปลี่ยนไปหลังจากเริ่มใช้มาตรฐาน IEEE 802.1Q ในปี 1998 ซึ่งกำหนดกฎพื้นฐานสำหรับการสร้างเครือข่ายท้องถิ่นเสมือนที่ไม่ขึ้นอยู่กับโปรโตคอลเลเยอร์ลิงก์ที่สวิตช์รองรับ

การสร้างเครือข่ายเสมือนโดยใช้สวิตช์เดียว

เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์เดียว โดยปกติจะใช้กลไกการจัดกลุ่มพอร์ตสวิตช์ (รูปที่ 14.12) นอกจากนี้ แต่ละพอร์ตถูกกำหนดให้กับเครือข่ายเสมือนโดยเฉพาะ เฟรมที่มาจากพอร์ตที่เป็นของเครือข่ายเสมือน 1 จะไม่มีวันถูกส่งไปยังพอร์ตที่ไม่ใช่ของเครือข่ายเสมือนนี้ สามารถกำหนดพอร์ตให้กับเครือข่ายเสมือนหลายเครือข่ายได้แม้ว่าในทางปฏิบัติจะทำได้ยาก - ผลกระทบของการแยกเครือข่ายทั้งหมดจะหายไป

การสร้างเครือข่ายเสมือนโดยการจัดกลุ่มพอร์ตไม่จำเป็นต้องใช้งานด้วยตนเองมากนักจากผู้ดูแลระบบ - ก็เพียงพอแล้วที่จะกำหนดแต่ละพอร์ตให้กับเครือข่ายเสมือนที่มีชื่อล่วงหน้าหลายเครือข่าย โดยทั่วไปแล้ว การดำเนินการนี้จะดำเนินการโดยใช้โปรแกรมพิเศษที่มาพร้อมกับสวิตช์

วิธีที่สองในการสร้างเครือข่ายเสมือนขึ้นอยู่กับการจัดกลุ่มที่อยู่ MAC ที่อยู่ MAC แต่ละรายการที่สวิตช์เรียนรู้ถูกกำหนดให้กับเครือข่ายเสมือนเฉพาะ เมื่อมีโหนดจำนวนมากในเครือข่าย วิธีนี้ต้องใช้การทำงานด้วยตนเองจำนวนมากจากผู้ดูแลระบบ อย่างไรก็ตาม เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว จะมีความยืดหยุ่นมากกว่าพอร์ตเดินสายไฟ

ข้าว. 14.12 น. เครือข่ายเสมือนที่สร้างขึ้นบนสวิตช์เดียว

สร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว

รูปที่ 14.13 แสดงปัญหาเมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัวที่สนับสนุนเทคนิคการเดินสายไฟของพอร์ต

ข้าว. 14.13 น. สร้างเครือข่ายเสมือนบนสวิตช์หลายตัวพร้อมพอร์ตเดินสาย

หากโหนดของเครือข่ายเสมือนเชื่อมต่อกับสวิตช์ต่างๆ จะต้องจัดสรรพอร์ตคู่พิเศษบนสวิตช์เพื่อเชื่อมต่อแต่ละเครือข่ายดังกล่าว ดังนั้น สวิตช์เดินสายของพอร์ตจึงต้องการพอร์ตจำนวนมากสำหรับการเชื่อมต่อเนื่องจากรองรับ VLAN พอร์ตและสายเคเบิลถูกใช้อย่างสิ้นเปลืองในกรณีนี้ นอกจากนี้ เมื่อเชื่อมต่อเครือข่ายเสมือนผ่านเราเตอร์ เครือข่ายเสมือนแต่ละเครือข่ายจะได้รับการจัดสรรสายเคเบิลแยกต่างหากและพอร์ตเราเตอร์แยกต่างหาก ซึ่งทำให้เกิดค่าใช้จ่ายจำนวนมากเช่นกัน

การจัดกลุ่มที่อยู่ MAC ลงในเครือข่ายเสมือนบนสวิตช์แต่ละตัวช่วยลดความจำเป็นในการผูกที่อยู่ข้ามพอร์ตต่างๆ เนื่องจากที่อยู่ MAC จะกลายเป็นป้ายกำกับเครือข่ายเสมือน อย่างไรก็ตาม วิธีนี้ต้องใช้การดำเนินการด้วยตนเองจำนวนมากเพื่อทำเครื่องหมายที่อยู่ MAC บนสวิตช์แต่ละตัวในเครือข่าย

วิธีที่อธิบายไว้สองวิธีขึ้นอยู่กับการเพิ่มข้อมูลเพิ่มเติมลงในตารางที่อยู่ของสวิตช์เท่านั้น และไม่มีความสามารถในการฝังข้อมูลเกี่ยวกับความเป็นเจ้าของของเฟรมเครือข่ายเสมือนลงในเฟรมที่ส่ง ในแนวทางอื่นๆ ฟิลด์ที่มีอยู่หรือเพิ่มเติมของเฟรมจะถูกใช้เพื่อบันทึกข้อมูลเกี่ยวกับเฟรมที่เป็นของเครือข่ายท้องถิ่นเสมือนเฉพาะเมื่อย้ายระหว่างสวิตช์เครือข่าย ในกรณีนี้ ไม่จำเป็นต้องจำในแต่ละสวิตช์ว่าที่อยู่ MAC ทั้งหมดของเครือข่ายคอมโพสิตเป็นของเครือข่ายเสมือน

ฟิลด์พิเศษที่ระบุหมายเลขเครือข่ายเสมือนจะใช้เฉพาะเมื่อเฟรมถูกส่งจากสวิตช์ไปยังสวิตช์ และมักจะถูกลบออกเมื่อเฟรมถูกส่งไปยังโหนดปลายทาง ในขณะเดียวกันก็มีการปรับเปลี่ยนโปรโตคอลการโต้ตอบ "สวิตช์ - สวิตช์" และซอฟต์แวร์และ ฮาร์ดแวร์โหนดสุดท้ายยังคงไม่เปลี่ยนแปลง

อีเทอร์เน็ตแนะนำส่วนหัวเพิ่มเติมที่เรียกว่าแท็ก VLAN

แท็ก VLAN เป็นทางเลือกสำหรับเฟรมอีเทอร์เน็ต เฟรมที่มีส่วนหัวดังกล่าวเรียกว่าเฟรมแท็ก สวิตช์สามารถทำงานร่วมกับทั้งเฟรมที่ติดแท็กและไม่ติดแท็กได้พร้อมกัน เนื่องจากแท็กที่เพิ่มเข้ามา VLAN สูงสุดความยาวของฟิลด์ข้อมูลลดลง 4 ไบต์

เพื่อให้อุปกรณ์ LAN สามารถแยกแยะและทำความเข้าใจกับเฟรมที่แท็กได้ จึงมีการนำค่าฟิลด์ EtherType พิเศษเป็น 0x8100 มาใช้ ค่านี้บ่งชี้ว่าตามด้วยฟิลด์ TCI ไม่ใช่ฟิลด์ข้อมูลมาตรฐาน โปรดทราบว่าในเฟรมที่แท็ก ฟิลด์แท็ก VLAN จะตามด้วยฟิลด์ EtherType อื่นซึ่งระบุประเภทของโปรโตคอลที่ดำเนินการโดยฟิลด์ข้อมูลของเฟรม

ฟิลด์ TCI มีฟิลด์หมายเลข VLAN (ตัวระบุ) 12 บิตที่เรียกว่า VID ความกว้างของฟิลด์ VID ช่วยให้สวิตช์สร้างเครือข่ายเสมือนได้สูงสุด 4096 เครือข่าย

การใช้ค่า VID ในเฟรมที่แท็ก สวิตช์เครือข่ายจะทำการกรองการรับส่งข้อมูลกลุ่ม โดยแบ่งเครือข่ายออกเป็นเซกเมนต์เสมือน นั่นคือ ออกเป็น VLAN เพื่อรองรับโหมดนี้ พอร์ตสวิตช์แต่ละพอร์ตถูกกำหนดให้กับ VLAN ตั้งแต่หนึ่งตัวขึ้นไป นั่นคือ ดำเนินการจัดกลุ่มพอร์ต

เพื่อให้การกำหนดค่าเครือข่ายง่ายขึ้น มาตรฐาน 802.1Q แนะนำแนวคิดของสายการเข้าถึงและสายสัญญาณ

สายการเข้าถึงเชื่อมต่อพอร์ตสวิตช์ (ในกรณีนี้เรียกว่าพอร์ตการเข้าถึง) กับคอมพิวเตอร์ที่เป็นของ VLAN บางตัว

ลำต้นเป็นสายสื่อสารที่เชื่อมต่อพอร์ตของสวิตช์สองตัว ในกรณีทั่วไป การรับส่งข้อมูลของเครือข่ายเสมือนหลายเครือข่ายจะถูกส่งผ่านลำต้น

ในการสร้าง VLAN ในเครือข่ายต้นทาง ก่อนอื่นคุณต้องเลือกค่า VID สำหรับค่าอื่นที่ไม่ใช่ 1 จากนั้นใช้คำสั่งกำหนดค่าสวิตช์ กำหนดพอร์ตที่คอมพิวเตอร์รวมอยู่ในนั้นให้กับเครือข่ายนี้ พอร์ตการเข้าถึงสามารถกำหนดให้กับ VLAN เดียวเท่านั้น

พอร์ตการเข้าถึงได้รับเฟรมที่ไม่ติดแท็กจากจุดสิ้นสุดของเครือข่ายและแท็กด้วยแท็ก VLAN ที่มีค่า VID ที่กำหนดให้กับพอร์ตนั้น เมื่อเฟรมที่ถูกแท็กถูกส่งไปยังโหนดปลายทาง พอร์ตการเข้าถึงจะลบแท็ก VLAN

สำหรับคำอธิบายภาพเพิ่มเติม ให้กลับไปที่ตัวอย่างเครือข่ายที่กล่าวถึงก่อนหน้านี้ รูปที่. 14.15 แสดงให้เห็นว่าปัญหาของการเข้าถึงแบบเลือกไปยังเซิร์ฟเวอร์ได้รับการแก้ไขตามเทคนิค VLAN อย่างไร

ข้าว. 14.15 น. การแบ่งเครือข่ายออกเป็นสอง VLAN

เพื่อแก้ปัญหานี้ คุณสามารถจัดระเบียบเครือข่ายท้องถิ่นเสมือนสองเครือข่ายในเครือข่าย VLAN2 และ VLAN3 (จำได้ว่า VLAN1 มีอยู่แล้วตามค่าเริ่มต้น - นี่คือเครือข่ายต้นทางของเรา) คอมพิวเตอร์และเซิร์ฟเวอร์ชุดหนึ่งถูกกำหนดให้กับ VLAN2 และอีกชุดหนึ่งคือ กำหนดให้กับ KVLAN3

ในการกำหนดโหนดปลายทางให้กับ VLAN เฉพาะ พอร์ตที่เกี่ยวข้องจะถูกโฆษณาเป็นพอร์ตการเข้าถึงของเครือข่ายนั้นโดยการกำหนด VID ที่เหมาะสม ตัวอย่างเช่น พอร์ต 1 ของสวิตช์ SW1 ควรประกาศพอร์ตการเข้าถึงของ VLAN2 โดยกำหนด VID2 ให้กับพอร์ต ควรทำเช่นเดียวกันกับพอร์ต 5 ของสวิตช์ SW1 พอร์ต 1 ของสวิตช์ SW2 1 พอร์ต 1 ของสวิตช์ SW3 พอร์ตการเข้าถึง VLAN3 จะต้องกำหนด VID3

ในเครือข่ายของเรา คุณต้องจัดระเบียบสายสัญญาณ - สายสื่อสารที่เชื่อมต่อพอร์ตของสวิตช์ พอร์ตที่เชื่อมต่อกับสายสัญญาณจะไม่เพิ่มหรือลบแท็ก แต่จะส่งผ่านเฟรมอย่างที่เป็นอยู่ ในตัวอย่างของเรา พอร์ตเหล่านี้ควรเป็นพอร์ต 6 ของสวิตช์ SW1 และ SW2 รวมถึงพอร์ต 3 และ 4 ของสวิตช์บอร์ด พอร์ตในตัวอย่างของเราต้องรองรับ VLAN2 และ VLAN3 (และ VLAN1 หากมีโฮสต์บนเครือข่ายที่ไม่ได้กำหนดให้กับ VLAN ใด ๆ อย่างชัดเจน)

สวิตช์ที่รองรับเทคโนโลยี VLAN ให้การกรองทราฟฟิกเพิ่มเติม ในกรณีที่ตารางส่งต่อสวิตช์แจ้งว่าเฟรมขาเข้าจำเป็นต้องส่งไปยังพอร์ตใดพอร์ตหนึ่ง ก่อนส่งสัญญาณ สวิตช์จะตรวจสอบว่าค่า VTD ในแท็ก VL AN ของเฟรมตรงกับ VLAN ที่กำหนดให้กับพอร์ตนี้หรือไม่ ในกรณีที่ตรงกัน เฟรมจะถูกส่ง ถ้าไม่ตรงกัน จะถูกยกเลิก เฟรมที่ไม่ได้ติดแท็กจะถูกประมวลผลด้วยวิธีเดียวกัน แต่ใช้ VLAN1 แบบมีเงื่อนไข ที่อยู่ MAC ได้รับการเรียนรู้โดยสวิตช์เครือข่ายแยกกัน แต่เป็นแต่ละ VLAN

เทคนิค VLAN มีประสิทธิภาพมากในการจำกัดการเข้าถึงเซิร์ฟเวอร์ การกำหนดค่าเครือข่ายท้องถิ่นเสมือนไม่จำเป็นต้องมีความรู้เกี่ยวกับที่อยู่ MAC ของโหนด นอกจากนี้ การเปลี่ยนแปลงใดๆ ในเครือข่าย เช่น การเชื่อมต่อคอมพิวเตอร์กับสวิตช์อื่น จำเป็นต้องกำหนดค่าพอร์ตของสวิตช์นี้เท่านั้น และสวิตช์เครือข่ายอื่นๆ ทั้งหมด ทำงานต่อไปโดยไม่ทำการเปลี่ยนแปลงการกำหนดค่า

Virtual Private Networks (VPN) กำลังได้รับความสนใจอย่างมากในฐานะผู้ให้บริการ บริการเครือข่ายและผู้ให้บริการอินเทอร์เน็ต และผู้ใช้ระดับองค์กร การวิจัยของอินโฟเนติกส์คาดการณ์ว่าตลาด VPN จะเติบโตมากกว่า 100% ต่อปีจนถึงปี 2546 และสูงถึง 12 พันล้านดอลลาร์

ก่อนที่จะบอกคุณเกี่ยวกับความนิยมของ VPN ฉันขอเตือนคุณว่าโดยปกติแล้วเครือข่ายข้อมูลส่วนตัว (องค์กร) จะถูกสร้างขึ้นโดยใช้ช่องทางการสื่อสารที่เช่า (เฉพาะ) ของเครือข่ายโทรศัพท์สาธารณะ เป็นเวลาหลายปีที่เครือข่ายส่วนตัวเหล่านี้ได้รับการออกแบบโดยคำนึงถึงข้อกำหนดเฉพาะขององค์กร ส่งผลให้มีโปรโตคอลที่เป็นกรรมสิทธิ์ซึ่งรองรับแอปพลิเคชันที่เป็นกรรมสิทธิ์ (อย่างไรก็ตาม โปรโตคอล Frame Relay และ ATM เพิ่งได้รับความนิยมเมื่อไม่นานมานี้) ช่องทางเฉพาะช่วยให้คุณสามารถปกป้องข้อมูลที่เป็นความลับได้อย่างน่าเชื่อถือ แต่ด้านตรงข้ามของเหรียญคือค่าใช้จ่ายในการดำเนินการสูงและความยากลำบากในการขยายเครือข่าย ไม่ต้องพูดถึงความสามารถของผู้ใช้มือถือในการเชื่อมต่อกับมันในจุดที่ไม่ได้ตั้งใจ ในขณะเดียวกัน ธุรกิจสมัยใหม่มีลักษณะเด่นคือการกระจายตัวและความคล่องตัวของพนักงาน ผู้ใช้จำนวนมากขึ้นจำเป็นต้องเข้าถึงข้อมูลองค์กรผ่านช่องทางการเรียกผ่านสายโทรศัพท์ และจำนวนพนักงานที่ทำงานจากที่บ้านก็เพิ่มขึ้นเช่นกัน

นอกจากนี้ เครือข่ายส่วนตัวไม่สามารถมอบโอกาสทางธุรกิจแบบเดียวกับที่อินเทอร์เน็ตและแอปพลิเคชันบน IP มีให้ เช่น การส่งเสริมการขายผลิตภัณฑ์ การสนับสนุนลูกค้า หรือการสื่อสารอย่างต่อเนื่องกับซัพพลายเออร์ การโต้ตอบออนไลน์นี้ต้องการการเชื่อมต่อระหว่างกันของเครือข่ายส่วนตัว ซึ่งโดยทั่วไปจะใช้โปรโตคอลและแอปพลิเคชันที่แตกต่างกัน ระบบการจัดการเครือข่ายที่แตกต่างกัน และผู้ให้บริการการสื่อสารที่แตกต่างกัน

ดังนั้นค่าใช้จ่ายสูง ลักษณะคงที่ และความยากลำบากที่เกิดขึ้นเมื่อจำเป็นต้องรวมเครือข่ายส่วนตัวตาม เทคโนโลยีที่แตกต่างกันกำลังขัดแย้งกับธุรกิจที่กำลังพัฒนาแบบไดนามิก ความต้องการในการกระจายอำนาจและแนวโน้มล่าสุดไปสู่การควบรวมกิจการ

ในเวลาเดียวกัน มีเครือข่ายการรับส่งข้อมูลสาธารณะที่ปราศจากข้อบกพร่องเหล่านี้และอินเทอร์เน็ตซึ่งล้อมรอบโลกทั้งใบด้วย "เว็บ" จริงอยู่ที่พวกเขาขาดข้อได้เปรียบที่สำคัญที่สุดของเครือข่ายส่วนตัว - การป้องกันที่เชื่อถือได้ข้อมูลองค์กร. เทคโนโลยี Virtual Private Network รวมความยืดหยุ่น ความสามารถในการปรับขนาด ต้นทุนต่ำ และความพร้อมใช้งานของอินเทอร์เน็ต "ทุกที่ทุกเวลา" และเครือข่ายสาธารณะเข้ากับความปลอดภัยของเครือข่ายส่วนตัว โดยพื้นฐานแล้ว VPN เป็นเครือข่ายส่วนตัวที่ใช้ เครือข่ายทั่วโลก การเข้าถึงสาธารณะ(อินเทอร์เน็ต, เฟรมรีเลย์, ATM) Virtuality เป็นที่ประจักษ์ในข้อเท็จจริงที่ว่าสำหรับผู้ใช้ในองค์กรนั้นดูเหมือนว่าจะเป็นเครือข่ายส่วนตัวโดยเฉพาะ

ความเข้ากันได้

ปัญหาความเข้ากันได้จะไม่เกิดขึ้นหาก VPN ใช้บริการ Frame Relay และ ATM โดยตรง เนื่องจากมีการปรับเปลี่ยนค่อนข้างดีให้ทำงานในสภาพแวดล้อมแบบหลายโปรโตคอล และเหมาะสำหรับทั้งแอปพลิเคชัน IP และไม่ใช่ IP สิ่งที่จำเป็นในกรณีนี้คือความพร้อมใช้งานของโครงสร้างพื้นฐานเครือข่ายที่เหมาะสมซึ่งครอบคลุมพื้นที่ทางภูมิศาสตร์ที่ต้องการ อุปกรณ์การเข้าถึงที่ใช้บ่อยที่สุดคือ Frame Relay Access Devices หรือเราเตอร์ที่มีอินเตอร์เฟส Frame Relay และ ATM วงจรเสมือนแบบถาวรหรือแบบสลับจำนวนมากสามารถทำงานได้ (เสมือน) ด้วยส่วนผสมของโปรโตคอลและโทโพโลยี เรื่องจะซับซ้อนมากขึ้นหาก VPN ใช้อินเทอร์เน็ต ในกรณีนี้ แอปพลิเคชันจำเป็นต้องเข้ากันได้กับโปรโตคอล IP หากเป็นไปตามข้อกำหนดนี้ คุณสามารถใช้อินเทอร์เน็ตได้ “ตามที่เป็นอยู่” เพื่อสร้าง VPN โดยได้จัดเตรียมระดับความปลอดภัยที่จำเป็นไว้ก่อนหน้านี้แล้ว แต่เนื่องจากเครือข่ายส่วนตัวส่วนใหญ่เป็นหลายโปรโตคอลหรือใช้ที่อยู่ IP ภายในอย่างไม่เป็นทางการ จึงไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้โดยตรงหากไม่มีการปรับให้เหมาะสม มีโซลูชันที่เข้ากันได้มากมาย ความนิยมมากที่สุดมีดังต่อไปนี้:
- การแปลงโปรโตคอลที่มีอยู่ (IPX, NetBEUI, AppleTalk หรืออื่น ๆ ) เป็นโปรโตคอล IP พร้อมที่อยู่อย่างเป็นทางการ
- การแปลงที่อยู่ IP ภายในเป็นที่อยู่ IP อย่างเป็นทางการ
— การติดตั้งเกตเวย์ IP พิเศษบนเซิร์ฟเวอร์
- การใช้การกำหนดเส้นทาง IP เสมือน
- การใช้เทคนิคการขุดอุโมงค์สากล
วิธีแรกนั้นชัดเจน ดังนั้นเรามาดูวิธีอื่นๆ กันโดยสังเขป
การแปลงที่อยู่ IP ภายในเป็นที่อยู่อย่างเป็นทางการเป็นสิ่งจำเป็นเมื่อเครือข่ายส่วนตัวใช้โปรโตคอล IP การแปลที่อยู่สำหรับเครือข่ายองค์กรทั้งหมดนั้นไม่จำเป็น เนื่องจากที่อยู่ IP อย่างเป็นทางการสามารถอยู่ร่วมกับที่อยู่ภายในบนสวิตช์และเราเตอร์ในเครือข่ายองค์กรได้ กล่าวอีกนัยหนึ่ง เซิร์ฟเวอร์ที่มีที่อยู่ IP อย่างเป็นทางการยังคงพร้อมใช้งานสำหรับไคลเอนต์เครือข่ายส่วนตัวผ่านโครงสร้างพื้นฐานในเครื่อง เทคนิคที่ใช้บ่อยที่สุดคือการแบ่งบล็อกที่อยู่อย่างเป็นทางการโดยผู้ใช้หลายคน มันคล้ายกับการแยกโมเด็มพูลตรงที่มันยังอาศัยสมมติฐานที่ว่าผู้ใช้บางคนไม่จำเป็นต้องเข้าถึงอินเทอร์เน็ตในเวลาเดียวกัน มีสองมาตรฐานอุตสาหกรรมที่นี่: Dynamic Host Configuration Protocol (DHCP) และการออกอากาศ ที่อยู่เครือข่าย(การแปลที่อยู่เครือข่าย - NAT) ซึ่งมีแนวทางแตกต่างกันเล็กน้อย DHCP "เช่า" ที่อยู่ไปยังโฮสต์ตามระยะเวลาที่กำหนดโดยผู้ดูแลระบบเครือข่าย ในขณะที่ NAT แปลที่อยู่ IP ภายในเป็นที่อยู่ทางการแบบไดนามิกสำหรับช่วงระยะเวลาของเซสชันการสื่อสารกับ
อินเทอร์เน็ต.

อีกวิธีหนึ่งในการทำให้เครือข่ายส่วนตัวเข้ากันได้กับอินเทอร์เน็ตคือการติดตั้งเกตเวย์ IP เกตเวย์จะแปลโปรโตคอลที่ไม่ใช่ IP เป็นโปรโตคอล IP และในทางกลับกัน ระบบปฏิบัติการเครือข่ายส่วนใหญ่ที่ใช้โปรโตคอลดั้งเดิมมีซอฟต์แวร์เกตเวย์ IP

สาระสำคัญของการกำหนดเส้นทาง IP เสมือนคือการขยายตารางเส้นทางส่วนตัวและพื้นที่ที่อยู่ไปยังโครงสร้างพื้นฐาน (เราเตอร์และสวิตช์) ของ ISP เราเตอร์ IP เสมือนเป็นส่วนตรรกะของเราเตอร์ IP จริงที่ผู้ให้บริการเป็นเจ้าของและดำเนินการ เราเตอร์เสมือนแต่ละตัวให้บริการกลุ่มผู้ใช้เฉพาะ
อย่างไรก็ตามอาจจะมากที่สุด วิธีที่ดีที่สุดสามารถทำงานร่วมกันได้โดยใช้เทคนิคการขุดอุโมงค์ เทคนิคเหล่านี้ถูกใช้มาเป็นเวลานานในการส่งสตรีมแพ็กเก็ตแบบหลายโปรโตคอลผ่านแกนหลักทั่วไป เทคโนโลยีที่ได้รับการพิสูจน์แล้วนี้ได้รับการปรับให้เหมาะสมสำหรับ VPN บนอินเทอร์เน็ต
ส่วนประกอบหลักของอุโมงค์คือ:
— ผู้ริเริ่มอุโมงค์
— เครือข่ายกำหนดเส้นทาง
- สวิตช์อุโมงค์ (ไม่จำเป็น);
— ตัวยุติอุโมงค์หนึ่งตัวหรือมากกว่า
ต้องดำเนินการอุโมงค์ที่ปลายทั้งสองด้านของลิงค์จากต้นทางถึงปลายทาง อุโมงค์ต้องเริ่มต้นด้วยตัวเริ่มต้นอุโมงค์และสิ้นสุดด้วยตัวสิ้นสุดอุโมงค์ การเริ่มต้นและการยุติการทำงานของอุโมงค์สามารถดำเนินการได้หลากหลาย อุปกรณ์เครือข่ายและซอฟต์แวร์ ตัวอย่างเช่น อุโมงค์สามารถเริ่มต้นโดยคอมพิวเตอร์ของผู้ใช้ระยะไกลที่ติดตั้งโมเด็มและซอฟต์แวร์ VPN ที่จำเป็น เราเตอร์ฟรอนต์เอนด์ที่สำนักงานสาขาของบริษัท หรือตัวรวมการเข้าถึงเครือข่ายที่ผู้ให้บริการ

สำหรับการส่งผ่านอินเทอร์เน็ตของแพ็กเก็ตอื่นที่ไม่ใช่ IP โปรโตคอลเครือข่ายซึ่งถูกห่อหุ้มไว้ในแพ็กเก็ต IP จากฝั่งต้นทาง วิธีที่ใช้บ่อยที่สุดในการสร้างอุโมงค์ VPN คือการห่อหุ้มแพ็กเก็ตที่ไม่ใช่ IP ในแพ็กเก็ต PPP (Point-to-Point Protocol) จากนั้นจึงห่อหุ้มไว้ในแพ็กเก็ต IP ฉันขอเตือนคุณว่าโปรโตคอล PPP ใช้สำหรับการเชื่อมต่อแบบจุดต่อจุด เช่น สำหรับการสื่อสารระหว่างไคลเอนต์กับเซิร์ฟเวอร์ กระบวนการห่อหุ้ม IP เกี่ยวข้องกับการเพิ่มส่วนหัว IP มาตรฐานให้กับแพ็กเก็ตดั้งเดิม ซึ่งจะถือว่าเป็น ข้อมูลที่เป็นประโยชน์. กระบวนการที่เกี่ยวข้องที่ปลายอีกด้านของอุโมงค์จะลบส่วนหัวของ IP ทิ้งแพ็กเก็ตเดิมไว้ไม่เปลี่ยนแปลง เนื่องจากเทคโนโลยีการขุดอุโมงค์นั้นค่อนข้างง่าย จึงเป็นเทคโนโลยีที่มีราคาย่อมเยาที่สุด

ความปลอดภัย

การตรวจสอบระดับความปลอดภัยที่จำเป็นมักเป็นข้อพิจารณาหลักเมื่อบริษัทพิจารณาใช้ VPN บนอินเทอร์เน็ต ผู้จัดการฝ่ายไอทีหลายคนคุ้นเคยกับความเป็นส่วนตัวตามธรรมชาติของเครือข่ายส่วนตัว และมองว่าอินเทอร์เน็ตเป็น "สาธารณะ" เกินกว่าที่จะใช้เป็นเครือข่ายส่วนตัวได้ หากคุณใช้คำศัพท์ภาษาอังกฤษแสดงว่ามี "P" สามตัวซึ่งการใช้งานร่วมกันจะช่วยป้องกันข้อมูลได้อย่างสมบูรณ์ นี้:
การป้องกัน - การปกป้องทรัพยากรโดยใช้ไฟร์วอลล์ (ไฟร์วอลล์);
หลักฐาน - การตรวจสอบตัวตน (ความสมบูรณ์) ของแพ็คเกจและการรับรองความถูกต้องของผู้ส่ง (การยืนยันสิทธิ์ในการเข้าถึง)
ความเป็นส่วนตัว - การปกป้องข้อมูลที่เป็นความลับโดยใช้การเข้ารหัส
P ทั้งสามมีความสำคัญเท่าเทียมกันสำหรับเครือข่ายองค์กร รวมถึง VPN ในเครือข่ายส่วนตัวอย่างเคร่งครัด เพื่อปกป้องทรัพยากรและความลับของข้อมูล ก็เพียงพอที่จะใช้ รหัสผ่านง่ายๆ. แต่เมื่อเครือข่ายส่วนตัวเชื่อมต่อกับเครือข่ายสาธารณะแล้ว ไม่มี P ตัวใดในสามตัวที่สามารถให้การป้องกันที่จำเป็นได้ ดังนั้นสำหรับ VPN ใด ๆ จะต้องติดตั้งไฟร์วอลล์ในทุกจุดของการโต้ตอบกับเครือข่ายสาธารณะ และแพ็คเก็ตจะต้องได้รับการเข้ารหัสและรับรองความถูกต้อง

ไฟร์วอลล์เป็นส่วนประกอบที่สำคัญใน VPN ใดๆ พวกเขาอนุญาตเฉพาะทราฟฟิกที่ได้รับอนุญาตสำหรับผู้ใช้ที่เชื่อถือได้และบล็อกทุกอย่างที่เหลือ กล่าวอีกนัยหนึ่ง ความพยายามในการเข้าถึงทั้งหมดโดยผู้ใช้ที่ไม่รู้จักหรือไม่น่าเชื่อถือจะถูกข้ามไป ต้องมีการป้องกันรูปแบบนี้สำหรับทุกไซต์และผู้ใช้ เนื่องจากการไม่มีการป้องกันนี้หมายความว่าไม่มีในทุกที่ มีการใช้โปรโตคอลพิเศษเพื่อความปลอดภัยของเครือข่ายส่วนตัวเสมือน โปรโตคอลเหล่านี้อนุญาตให้โฮสต์ "เจรจา" เทคนิคการเข้ารหัสและลายเซ็นดิจิทัลที่จะใช้ได้ ดังนั้นจึงรักษาความลับและความสมบูรณ์ของข้อมูลและรับรองความถูกต้องของผู้ใช้

Microsoft Point-to-Point Encryption Protocol (MPPE) เข้ารหัสแพ็กเก็ต PPP บนเครื่องไคลเอนต์ก่อนที่จะส่งไปยังทันเนล เซสชันการเข้ารหัสเริ่มต้นระหว่างการสร้างการสื่อสารกับตัวยุติอุโมงค์โดยใช้โปรโตคอล
พรรคพลังประชาชน

โปรโตคอล IP ที่ปลอดภัย (IPSec) เป็นชุดมาตรฐานเบื้องต้นที่พัฒนาโดย Internet Engineering Task Force (IETF) กลุ่มเสนอสองโปรโตคอล: Authentication Header (AH) และ Encapsulating Security Payload (ESP) เพิ่มโปรโตคอล AH ลายเซ็นดิจิทัลส่วนหัวที่รับรองความถูกต้องของผู้ใช้และรับประกันความสมบูรณ์ของข้อมูลโดยการติดตามการเปลี่ยนแปลงใดๆ ระหว่างทาง โปรโตคอลนี้ปกป้องเฉพาะข้อมูล โดยปล่อยให้ส่วนที่อยู่ของแพ็กเก็ต IP ไม่เปลี่ยนแปลง ในทางกลับกัน โปรโตคอล ESP สามารถเข้ารหัสทั้งแพ็คเก็ต (โหมดอุโมงค์) หรือเฉพาะข้อมูล (โหมดขนส่ง) โปรโตคอลเหล่านี้ใช้ทั้งแยกกันและรวมกัน

ในการจัดการความปลอดภัย RADIUS มาตรฐานอุตสาหกรรม (Remote Authentication Dial-In User Service) จะใช้ ซึ่งเป็นฐานข้อมูลของโปรไฟล์ผู้ใช้ที่มีรหัสผ่าน (การรับรองความถูกต้อง) และสิทธิ์การเข้าถึง (การให้สิทธิ์)

คุณลักษณะด้านความปลอดภัยไม่ได้ถูกจำกัดไว้ตามตัวอย่างที่ให้ไว้ ผู้ผลิตเราเตอร์และไฟร์วอลล์หลายรายนำเสนอโซลูชันของตนเอง หนึ่งในนั้นคือ Ascend, CheckPoint และ Cisco

ความพร้อมใช้งาน

ความพร้อมใช้งานประกอบด้วยสามองค์ประกอบที่สำคัญเท่าๆ กัน: เวลาในการให้บริการ ทรูพุต และเวลาแฝง เวลาในการให้บริการเป็นเรื่องของสัญญากับผู้ให้บริการ และอีกสององค์ประกอบเกี่ยวข้องกับองค์ประกอบของคุณภาพของบริการ (Quality of Service - QoS) เทคโนโลยีที่ทันสมัยการขนส่งช่วยให้คุณสร้าง VPN ที่ตรงตามข้อกำหนดของแอปพลิเคชันที่มีอยู่เกือบทั้งหมด

ความสามารถในการควบคุม

ผู้ดูแลระบบเครือข่ายมักต้องการให้สามารถดำเนินการจัดการเครือข่ายองค์กรตั้งแต่ต้นทางถึงปลายทาง รวมถึงส่วนที่เกี่ยวข้องกับบริษัทโทรคมนาคม ปรากฎว่า VPN มีตัวเลือกในเรื่องนี้มากกว่าเครือข่ายส่วนตัวทั่วไป เครือข่ายส่วนตัวทั่วไปจะได้รับการจัดการ "จากชายแดนหนึ่งไปยังอีกชายแดนหนึ่ง" นั่นคือ ผู้ให้บริการจัดการเครือข่ายจนถึงเราเตอร์ด้านหน้าของเครือข่ายองค์กร ในขณะที่ผู้ใช้บริการจัดการเครือข่ายขององค์กรเองจนถึงอุปกรณ์เข้าถึง WAN เทคโนโลยี VPNช่วยให้คุณหลีกเลี่ยงการแบ่ง "ขอบเขตของอิทธิพล" ประเภทนี้โดยให้ทั้งผู้ให้บริการและสมาชิก ระบบเดียวการจัดการเครือข่ายโดยรวม ทั้งในส่วนขององค์กรและโครงสร้างพื้นฐานเครือข่ายของเครือข่ายสาธารณะ ผู้ดูแลระบบเครือข่ายขององค์กรมีความสามารถในการตรวจสอบและกำหนดค่าเครือข่ายใหม่ จัดการอุปกรณ์การเข้าถึงด้านหน้า และกำหนดสถานะเครือข่ายแบบเรียลไทม์

สถาปัตยกรรม VPN

มีโมเดลสถาปัตยกรรมเครือข่ายส่วนตัวเสมือนสามแบบ: แบบพึ่งพา แบบอิสระ และแบบไฮบริด เป็นการรวมทางเลือกสองแบบแรกเข้าด้วยกัน การเป็นของรุ่นใดรุ่นหนึ่งนั้นถูกกำหนดโดยข้อกำหนดหลักสี่ข้อสำหรับ VPN ที่ถูกนำมาใช้ หากผู้ให้บริการเครือข่ายทั่วโลกมีโซลูชัน VPN ที่สมบูรณ์ เช่น ให้การสร้างช่องสัญญาณ ความปลอดภัย ประสิทธิภาพ และการจัดการ ทำให้สถาปัตยกรรมขึ้นอยู่กับมัน ในกรณีนี้ กระบวนการ VPN ทั้งหมดจะโปร่งใสสำหรับผู้ใช้ และเขาเห็นเฉพาะทราฟฟิกดั้งเดิมของเขา — แพ็กเก็ต IP, IPX หรือ NetBEUI ข้อได้เปรียบของสถาปัตยกรรมที่ต้องพึ่งพาสำหรับผู้สมัครสมาชิกคือเขาสามารถใช้โครงสร้างพื้นฐานเครือข่ายที่มีอยู่ "ตามสภาพ" โดยเพิ่มเพียงไฟร์วอลล์ระหว่าง VPN และเครือข่ายส่วนตัว
WAN/แลน

สถาปัตยกรรมอิสระจะดำเนินการเมื่อองค์กรจัดเตรียมทั้งหมด ข้อกำหนดทางเทคโนโลยีบนอุปกรณ์ของตน มอบหน้าที่การขนส่งให้กับผู้ให้บริการเท่านั้น สถาปัตยกรรมนี้มีราคาแพงกว่า แต่ให้ผู้ใช้ควบคุมการทำงานทั้งหมดได้อย่างเต็มที่

สถาปัตยกรรมแบบไฮบริดประกอบด้วยไซต์ที่พึ่งพาและเป็นอิสระจากองค์กร (ตามลำดับ จากผู้ให้บริการ)

สัญญาของ VPN สำหรับผู้ใช้องค์กรคืออะไร? ประการแรก นักวิเคราะห์อุตสาหกรรมกล่าวว่านี่คือการลดต้นทุนสำหรับการสื่อสารโทรคมนาคมทุกประเภทจาก 30 เป็น 80% และยังเป็นการเข้าถึงเครือข่ายขององค์กรหรือองค์กรอื่นๆ เป็นการใช้การสื่อสารที่ปลอดภัยกับซัพพลายเออร์และลูกค้า เป็นบริการที่ได้รับการปรับปรุงและปรับปรุงซึ่งไม่มีในเครือข่าย PSTN และอื่นๆ อีกมากมาย ผู้เชี่ยวชาญเห็นว่า VPN เป็นเครือข่ายการสื่อสารยุคใหม่ และนักวิเคราะห์หลายคนเชื่อว่า VPN จะเข้ามาแทนที่เครือข่ายส่วนตัวส่วนใหญ่ที่ใช้สายเช่าในไม่ช้า

นอกเหนือจากวัตถุประสงค์หลัก - เพื่อเพิ่ม แบนด์วิธการเชื่อมต่อในเครือข่าย - สวิตช์ช่วยให้คุณแปลโฟลว์ข้อมูลเป็นภาษาท้องถิ่น ตลอดจนควบคุมและจัดการโฟลว์เหล่านี้โดยใช้กลไกตัวกรองแบบกำหนดเอง อย่างไรก็ตาม ตัวกรองผู้ใช้สามารถป้องกันการส่งเฟรมไปยังที่อยู่ที่ระบุเท่านั้น ในขณะที่ส่งทราฟฟิกที่ออกอากาศไปยังทุกส่วนของเครือข่าย นี่คือหลักการทำงานของอัลกอริทึมบริดจ์ที่ใช้ในสวิตช์ดังนั้นบางครั้งเครือข่ายที่สร้างขึ้นบนพื้นฐานของบริดจ์และสวิตช์จึงเรียกว่าแฟลต - เนื่องจากไม่มีสิ่งกีดขวางในการออกอากาศทราฟฟิก

เปิดตัวเมื่อไม่กี่ปีที่ผ่านมา เทคโนโลยีของเครือข่ายท้องถิ่นเสมือน (Virtual LAN, VLAN) สามารถเอาชนะข้อจำกัดนี้ได้ เครือข่ายเสมือนคือกลุ่มของโหนดเครือข่ายซึ่งทราฟฟิกซึ่งรวมถึงทราฟฟิกแบบกระจายเสียงจะถูกแยกออกจากโหนดอื่นๆ ที่ชั้นดาต้าลิงค์อย่างสมบูรณ์ (ดูรูปที่ 1) ซึ่งหมายความว่าการถ่ายโอนเฟรมโดยตรงระหว่างเครือข่ายเสมือนต่างๆ นั้นเป็นไปไม่ได้ โดยไม่คำนึงถึงประเภทของที่อยู่ - เฉพาะ มัลติคาสต์ หรือการแพร่ภาพ ในเวลาเดียวกัน ภายในเครือข่ายเสมือน เฟรมจะถูกส่งตามเทคโนโลยีสวิตชิ่ง กล่าวคือ ไปยังพอร์ตที่กำหนดแอดเดรสปลายทางของเฟรมเท่านั้น

เครือข่ายเสมือนสามารถทับซ้อนกันได้หากมีคอมพิวเตอร์ตั้งแต่หนึ่งเครื่องขึ้นไปรวมอยู่ในเครือข่ายเสมือนมากกว่าหนึ่งเครื่อง ในรูปที่ 1 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ดังนั้นเฟรมจึงถูกส่งโดยสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องที่เป็นสมาชิกของเครือข่ายเหล่านี้ หากคอมพิวเตอร์ถูกกำหนดให้กับเครือข่ายเสมือน 3 เท่านั้น เฟรมของมันจะไม่ถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์ในเครือข่าย 4 ผ่านเครือข่ายทั่วไป เมลเซิร์ฟเวอร์. รูปแบบนี้ไม่ได้แยกเครือข่ายเสมือนออกจากกันโดยสิ้นเชิง ดังนั้น พายุการออกอากาศที่เริ่มต้นโดยเซิร์ฟเวอร์อีเมลจะครอบงำทั้งเครือข่าย 3 และเครือข่าย 4

ว่ากันว่าเครือข่ายเสมือนสร้างโดเมนทราฟฟิกการแพร่ภาพ (โดเมนการแพร่ภาพ) โดยการเปรียบเทียบกับโดเมนการชน ซึ่งเกิดจากตัวทำซ้ำของเครือข่ายอีเทอร์เน็ต

การกำหนด VLAN

เทคโนโลยี VLAN ทำให้ง่ายต่อการสร้างเครือข่ายแยกที่สื่อสารผ่านเราเตอร์ที่รองรับโปรโตคอลชั้นเครือข่าย เช่น IP โซลูชันนี้สร้างอุปสรรคที่มีประสิทธิภาพมากขึ้นในการรับส่งข้อมูลที่ผิดพลาดจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง ทุกวันนี้เชื่อกันว่าเครือข่ายขนาดใหญ่ใด ๆ จะต้องมีเราเตอร์ มิฉะนั้นสตรีมของเฟรมที่ผิดพลาด โดยเฉพาะการแพร่ภาพผ่านสวิตช์ที่โปร่งใส จะ "ท่วม" เฟรมทั้งหมดเป็นระยะ ส่งผลให้เกิดสถานะใช้งานไม่ได้

เทคโนโลยีเครือข่ายเสมือนให้พื้นฐานที่ยืดหยุ่นสำหรับการสร้างเครือข่ายขนาดใหญ่ที่เชื่อมต่อด้วยเราเตอร์ เนื่องจากสวิตช์ช่วยให้คุณสร้างส่วนที่แยกได้อย่างสมบูรณ์โดยทางโปรแกรมโดยไม่ต้องอาศัยการสลับทางกายภาพ

ก่อนการกำเนิดของเทคโนโลยี VLAN เครือข่ายเดียวถูกปรับใช้ไม่ว่าจะด้วยความยาวของสายโคแอกเชียลที่แยกตามร่างกายหรือส่วนที่ไม่ได้เชื่อมต่อตามตัวทวนสัญญาณและบริดจ์ จากนั้นจึงรวมเครือข่ายผ่านเราเตอร์เป็นเครือข่ายคอมโพสิตเดียว (ดูรูปที่ 2)

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (การเปลี่ยนผู้ใช้ไปยังเครือข่ายอื่น, การแยกส่วนขนาดใหญ่) ด้วยวิธีนี้โดยนัยของการเชื่อมต่อใหม่ทางกายภาพของตัวเชื่อมต่อบนแผงด้านหน้าของตัวทำซ้ำหรือในแผงแบบไขว้ซึ่งไม่สะดวก เครือข่ายขนาดใหญ่นี่เป็นงานที่ใช้เวลานานมาก และมีโอกาสเกิดข้อผิดพลาดสูงมาก ดังนั้น เพื่อลดความจำเป็นในการเปลี่ยนโหนดทางกายภาพใหม่ จึงเริ่มใช้ฮับหลายเซกเมนต์เพื่อให้สามารถตั้งโปรแกรมองค์ประกอบของเซกเมนต์ที่ใช้ร่วมกันใหม่ได้โดยไม่ต้องทำการรีสวิตช์จริง

อย่างไรก็ตาม การเปลี่ยนองค์ประกอบของเซ็กเมนต์ด้วยความช่วยเหลือของฮับทำให้เกิดข้อ จำกัด อย่างมากในโครงสร้างเครือข่าย - จำนวนเซ็กเมนต์ของตัวทำซ้ำดังกล่าวมักจะน้อย และการจัดสรรแต่ละโหนดของตัวเองนั้นไม่สมจริง ซึ่งสามารถทำได้โดยใช้สวิตช์ . นอกจากนี้ ด้วยวิธีการนี้ งานทั้งหมดของการถ่ายโอนข้อมูลระหว่างเซกเมนต์จะตกอยู่ที่เราเตอร์ และสวิตช์ที่มีประสิทธิภาพสูงจะยังคง "ไม่ทำงาน" ดังนั้น เครือข่ายทวนสัญญาณแบบเปลี่ยนการตั้งค่ายังคงต้องการ การแบ่งปันสภาพแวดล้อมการส่งข้อมูลที่มีโหนดจำนวนมาก ดังนั้นจึงมีประสิทธิภาพต่ำกว่ามากเมื่อเทียบกับเครือข่ายแบบสวิตช์

เมื่อใช้เทคโนโลยีเครือข่ายเสมือนในสวิตช์ งานสองอย่างจะได้รับการแก้ไขพร้อมกัน:

• การปรับปรุงประสิทธิภาพในแต่ละเครือข่ายเสมือน เนื่องจากสวิตช์จะส่งเฟรมไปยังโฮสต์ปลายทางเท่านั้น
• แยกเครือข่ายออกจากกันเพื่อจัดการสิทธิ์การเข้าถึงของผู้ใช้และสร้างเกราะป้องกันจากพายุออกอากาศ

การรวมเครือข่ายเสมือนใน เครือข่ายทั่วไปดำเนินการที่เลเยอร์เครือข่าย ซึ่งสามารถเข้าถึงได้โดยใช้ซอฟต์แวร์เราเตอร์หรือสวิตช์แยกต่างหาก ในกรณีนี้จะกลายเป็นอุปกรณ์รวม - สวิตช์ระดับที่สามที่เรียกว่า

เทคโนโลยีสำหรับการก่อตัวและการทำงานของเครือข่ายเสมือนโดยใช้สวิตช์ไม่ได้มาตรฐานมาเป็นเวลานาน แม้ว่าจะมีการนำไปใช้ในสวิตช์รุ่นต่างๆ จากผู้ผลิตหลายราย สถานการณ์เปลี่ยนไปหลังจากเริ่มใช้มาตรฐาน IEEE 802.1Q ในปี 1998 ซึ่งกำหนดกฎพื้นฐานสำหรับการสร้างเครือข่ายท้องถิ่นเสมือน โดยไม่คำนึงว่าโปรโตคอลลิงก์เลเยอร์ใดได้รับการสนับสนุนโดยสวิตช์

เนื่องจากไม่มีมาตรฐาน VLAN มาเป็นเวลานาน บริษัทสวิตช์รายใหญ่แต่ละแห่งจึงได้พัฒนาเทคโนโลยีเครือข่ายเสมือนของตนเอง และตามกฎแล้วจะไม่รองรับเทคโนโลยีจากผู้ผลิตรายอื่น ดังนั้นแม้จะมีมาตรฐานเกิดขึ้น แต่ก็ไม่ใช่เรื่องแปลกสำหรับสถานการณ์ที่ไม่รู้จักเครือข่ายเสมือนที่สร้างขึ้นบนพื้นฐานของสวิตช์จากผู้จำหน่ายรายหนึ่งและด้วยเหตุนี้จึงไม่ได้รับการสนับสนุนโดยสวิตช์จากอีกราย

การสร้าง VLAN บนพื้นฐานของสวิตช์ตัวเดียว

เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์ตัวเดียว โดยปกติจะใช้กลไกการจัดกลุ่มพอร์ตสวิตช์ (ดูรูปที่ 3) ยิ่งกว่านั้นแต่ละเครือข่ายถูกกำหนดให้กับเครือข่ายเสมือนหนึ่งเครือข่าย เฟรมที่ได้รับจากพอร์ตที่เป็นของ ตัวอย่างเช่น เครือข่ายเสมือน 1 จะไม่ถูกส่งไปยังพอร์ตที่ไม่ได้เป็นส่วนหนึ่งของมัน สามารถกำหนดพอร์ตให้กับเครือข่ายเสมือนหลายเครือข่ายได้แม้ว่าจะไม่ค่อยทำในทางปฏิบัติ - ผลกระทบของการแยกเครือข่ายทั้งหมดจะหายไป

การจัดกลุ่มพอร์ตของสวิตช์ตัวเดียวเป็นวิธีที่สมเหตุสมผลที่สุดในการสร้าง VLAN เนื่องจากในกรณีนี้จะไม่มีเครือข่ายเสมือนมากกว่าพอร์ต หากมีการเชื่อมต่อตัวทวนสัญญาณเข้ากับพอร์ตบางพอร์ต ก็ไม่มีเหตุผลที่จะรวมโหนดของเซ็กเมนต์ที่เกี่ยวข้องในเครือข่ายเสมือนที่แตกต่างกัน - การรับส่งข้อมูลจะเหมือนกันทั้งหมด

วิธีนี้ไม่ต้องการการทำงานด้วยตนเองจำนวนมากจากผู้ดูแลระบบ - ก็เพียงพอแล้วที่จะกำหนดแต่ละพอร์ตให้กับเครือข่ายเสมือนที่มีชื่อล่วงหน้าหลายเครือข่าย โดยทั่วไปแล้ว การดำเนินการนี้จะดำเนินการโดยใช้โปรแกรมพิเศษที่มาพร้อมกับสวิตช์ ผู้ดูแลระบบสร้างเครือข่ายเสมือนโดยการลากไอคอนพอร์ตไปยังไอคอนเครือข่าย

อีกวิธีหนึ่งในการสร้างเครือข่ายเสมือนขึ้นอยู่กับการจัดกลุ่มที่อยู่ MAC ที่อยู่ MAC แต่ละตัวที่สวิตช์รู้จักถูกกำหนดให้กับเครือข่ายเสมือนหนึ่งเครือข่ายหรือเครือข่ายอื่น หากเครือข่ายมีหลายโหนด ผู้ดูแลระบบจะต้องดำเนินการด้วยตนเองจำนวนมาก อย่างไรก็ตาม เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว วิธีนี้มีความยืดหยุ่นมากกว่าการจัดกลุ่มพอร์ต

การสร้าง VLAN จากสวิตช์หลายตัว

รูปที่ 4 แสดงสถานการณ์ที่เกิดขึ้นเมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัวผ่านพอร์ตเดินสายไฟ หากโหนดของเครือข่ายเสมือนเชื่อมต่อกับสวิตช์ต่างๆ จะต้องจัดสรรพอร์ตคู่แยกต่างหากเพื่อเชื่อมต่อสวิตช์ของแต่ละเครือข่ายดังกล่าว มิฉะนั้น ข้อมูลเกี่ยวกับเฟรมที่เป็นของเครือข่ายเสมือนเฉพาะจะสูญหายระหว่างการส่งจากสวิตช์ไปยังสวิตช์ ดังนั้น วิธีการเดินสายไฟของพอร์ตจึงต้องใช้พอร์ตจำนวนมากเพื่อเชื่อมต่อสวิตช์เนื่องจากรองรับ VLAN ส่งผลให้ใช้พอร์ตและสายเคเบิลอย่างสิ้นเปลือง นอกจากนี้ ในการจัดระเบียบการโต้ตอบของเครือข่ายเสมือนผ่านเราเตอร์ แต่ละเครือข่ายต้องใช้สายเคเบิลแยกต่างหากและพอร์ตเราเตอร์แยกต่างหาก ซึ่งนำไปสู่ค่าใช้จ่ายสูงเช่นกัน

การจัดกลุ่มที่อยู่ MAC ลงในเครือข่ายเสมือนบนสวิตช์แต่ละตัวช่วยลดความจำเป็นในการเชื่อมต่อผ่านพอร์ตต่างๆ เนื่องจากในกรณีนี้ ป้ายกำกับของเครือข่ายเสมือนคือที่อยู่ MAC อย่างไรก็ตาม วิธีนี้ต้องใช้การติดแท็กที่อยู่ MAC ด้วยตนเองจำนวนมากในแต่ละสวิตช์ในเครือข่าย

วิธีการที่อธิบายไว้สองวิธีขึ้นอยู่กับการเพิ่มข้อมูลลงในตารางที่อยู่ของบริดจ์เท่านั้น และไม่รวมข้อมูลเกี่ยวกับเฟรมที่เป็นของเครือข่ายเสมือนในเฟรมที่ส่ง วิธีการอื่นๆ ใช้ที่มีอยู่หรือ ฟิลด์เพิ่มเติมเฟรมเพื่อบันทึกข้อมูลเกี่ยวกับการเป็นเจ้าของเฟรมเมื่อย้ายระหว่างสวิตช์เครือข่าย นอกจากนี้ ไม่จำเป็นต้องจดจำสวิตช์แต่ละตัวว่าเครือข่ายเสมือนใดที่มีที่อยู่ MAC ของเครือข่ายอินเทอร์เน็ต

ฟิลด์พิเศษที่ระบุหมายเลขเครือข่ายเสมือนจะใช้เฉพาะเมื่อเฟรมถูกส่งจากสวิตช์ไปยังสวิตช์ และมักจะถูกลบออกเมื่อเฟรมถูกส่งไปยังโหนดปลายทาง ในเวลาเดียวกัน โปรโตคอลการโต้ตอบ "สวิตช์-สวิตช์" ได้รับการแก้ไข ในขณะที่ซอฟต์แวร์และฮาร์ดแวร์ของโหนดปลายทางยังคงไม่เปลี่ยนแปลง มีตัวอย่างมากมายของโปรโตคอลที่เป็นกรรมสิทธิ์ดังกล่าว แต่มีข้อเสียเปรียบทั่วไปอย่างหนึ่งคือ ผู้ผลิตรายอื่นไม่รองรับ Cisco ได้เสนอส่วนหัวของโปรโตคอล 802.10 เป็นส่วนเสริมมาตรฐานสำหรับเฟรมของโปรโตคอล LAN ใดๆ ซึ่งมีวัตถุประสงค์เพื่อสนับสนุนคุณลักษณะด้านความปลอดภัย เครือข่ายคอมพิวเตอร์. บริษัทอ้างถึงวิธีนี้ในกรณีที่สวิตช์เชื่อมต่อกันโดยใช้โปรโตคอล FDDI อย่างไรก็ตาม ความคิดริเริ่มนี้ไม่ได้รับการสนับสนุนจากผู้ผลิตสวิตช์ชั้นนำรายอื่น

ในการจัดเก็บหมายเลขเครือข่ายเสมือน มาตรฐาน IEEE 802.1Q ให้ส่วนหัวสองไบต์เพิ่มเติมที่ใช้ร่วมกับโปรโตคอล 802.1p นอกจากสามบิตสำหรับเก็บค่าลำดับความสำคัญของเฟรมตามที่อธิบายไว้ในมาตรฐาน 802.1p แล้ว 12 บิตในส่วนหัวนี้ยังใช้เก็บหมายเลขของเครือข่ายเสมือนที่เฟรมเป็นเจ้าของ นี้ ข้อมูลเพิ่มเติมเรียกว่าแท็กเครือข่ายเสมือน (VLAN TAG) และอนุญาตให้สวิตช์จากผู้ผลิตหลายรายสร้างเครือข่ายเสมือนที่ใช้ร่วมกันได้มากถึง 4096 เครือข่าย เฟรมดังกล่าวเรียกว่า "แท็ก" ความยาวของเฟรมอีเทอร์เน็ตที่ทำเครื่องหมายจะเพิ่มขึ้น 4 ไบต์ เนื่องจากนอกเหนือจากแท็ก 2 ไบต์แล้ว ยังมีการเพิ่มไบต์อีก 2 ไบต์ โครงสร้างของเฟรมอีเธอร์เน็ตที่ทำเครื่องหมายไว้แสดงในรูปที่ 5 เมื่อเพิ่มส่วนหัว 802.1p/Q ฟิลด์ข้อมูลจะลดลงสองไบต์

รูปที่ 5 โครงสร้างของเฟรมอีเธอร์เน็ตที่ทำเครื่องหมายไว้

การถือกำเนิดของมาตรฐาน 802.1Q ทำให้สามารถเอาชนะความแตกต่างในการใช้งาน VLAN ที่เป็นกรรมสิทธิ์และบรรลุความเข้ากันได้เมื่อสร้างเครือข่ายท้องถิ่นเสมือน เทคนิค VLAN ได้รับการสนับสนุนโดยทั้งผู้ผลิตสวิตช์และ NIC ในกรณีหลัง NIC สามารถสร้างและรับอีเทอร์เน็ตเฟรมที่ติดแท็กซึ่งมีฟิลด์ VLAN TAG หากอะแดปเตอร์เครือข่ายสร้างเฟรมที่ติดแท็ก การทำเช่นนั้นจะเป็นตัวกำหนดว่าเฟรมเหล่านั้นอยู่ในเครือข่ายท้องถิ่นเสมือนหนึ่งเครือข่ายหรือไม่ ดังนั้นสวิตช์จึงต้องประมวลผลตามนั้น เช่น ส่งหรือไม่ส่งไปยังพอร์ตเอาต์พุต ทั้งนี้ขึ้นอยู่กับเจ้าของพอร์ต ไดรเวอร์การ์ดเชื่อมต่อเครือข่ายได้รับหมายเลข VLAN (หรือของตัวเอง) จากผู้ดูแลระบบเครือข่าย (โดยการกำหนดค่าด้วยตนเอง) หรือจากแอปพลิเคชันบางตัวที่ทำงานบนโฮสต์ แอปพลิเคชันดังกล่าวสามารถทำงานจากส่วนกลางบนหนึ่งในเซิร์ฟเวอร์เครือข่ายและจัดการโครงสร้างของเครือข่ายทั้งหมด

รองรับโดย VLAN อะแดปเตอร์เครือข่ายคุณสามารถข้ามการกำหนดค่าแบบคงที่ได้โดยกำหนดพอร์ตให้กับเครือข่ายเสมือนเฉพาะ อย่างไรก็ตาม วิธีการกำหนดค่า VLAN แบบสแตติกยังคงได้รับความนิยมเนื่องจากช่วยให้คุณสร้างเครือข่ายที่มีโครงสร้างโดยไม่ต้องใช้ซอฟต์แวร์ end-node

Natalya Olifer เป็นคอลัมนิสต์ของ Journal of Network Solutions/LAN สามารถติดต่อเธอได้ที่:

Virtual Private Network คือเครือข่ายส่วนตัวเสมือนที่ใช้เพื่อให้การเชื่อมต่อที่ปลอดภัยภายในการเชื่อมต่อขององค์กรและการเข้าถึงอินเทอร์เน็ต ข้อได้เปรียบหลักของ VPN คือความปลอดภัยสูงเนื่องจากการเข้ารหัสการรับส่งข้อมูลภายใน ซึ่งเป็นสิ่งสำคัญเมื่อถ่ายโอนข้อมูล

การเชื่อมต่อ VPN คืออะไร

หลายคนเมื่อเผชิญกับตัวย่อนี้ถามว่า: VPN - คืออะไรและทำไมจึงจำเป็น เทคโนโลยีนี้เปิดโอกาสในการสร้าง การเชื่อมต่อเครือข่ายด้านบนของที่อื่น ๆ VPN ทำงานในหลายโหมด:

• โหนดเครือข่าย
• เครือข่ายเครือข่าย
• โหนดโหนด

องค์กรของเครือข่ายเสมือนส่วนตัวที่ระดับเครือข่ายอนุญาตให้ใช้โปรโตคอล TCP และ UDP ข้อมูลทั้งหมดที่ผ่านคอมพิวเตอร์จะถูกเข้ารหัส นี่เป็นการป้องกันเพิ่มเติมสำหรับการเชื่อมต่อของคุณ มีตัวอย่างมากมายที่อธิบายว่าการเชื่อมต่อ VPN คืออะไร และเหตุใดคุณจึงควรใช้ ด้านล่างจะมีรายละเอียด คำถามนี้.

ทำไมคุณต้องใช้ VPN

ผู้ให้บริการแต่ละรายสามารถจัดทำบันทึกกิจกรรมของผู้ใช้ได้ตามคำร้องขอของหน่วยงานที่เกี่ยวข้อง บริษัทอินเทอร์เน็ตของคุณบันทึกกิจกรรมทั้งหมดที่คุณดำเนินการบนเครือข่าย สิ่งนี้ช่วยบรรเทาความรับผิดชอบใด ๆ ของผู้ให้บริการสำหรับการดำเนินการที่ลูกค้าดำเนินการ มีหลายสถานการณ์ที่คุณจำเป็นต้องปกป้องข้อมูลของคุณและได้รับอิสรภาพ ตัวอย่างเช่น:

1. บริการ VPN ใช้เพื่อส่งข้อมูลลับของบริษัทระหว่างสาขา ซึ่งช่วยป้องกัน ข้อมูลสำคัญจากการสกัดกั้น
2. หากคุณต้องการข้ามการผูกบริการตามพื้นที่ทางภูมิศาสตร์ ตัวอย่างเช่น บริการ Yandex Music ให้บริการเฉพาะผู้ที่อาศัยอยู่ในรัสเซียและผู้ที่อาศัยอยู่ในประเทศ CIS เดิมเท่านั้น หากคุณเป็นผู้อาศัยที่พูดภาษารัสเซียในสหรัฐอเมริกา คุณจะไม่สามารถฟังการบันทึกได้ บริการ VPN จะช่วยให้คุณหลีกเลี่ยงการแบนนี้โดยแทนที่ที่อยู่เครือข่ายด้วยที่อยู่รัสเซีย
3. ซ่อนการเข้าชมไซต์จากผู้ให้บริการ ไม่ใช่ทุกคนที่พร้อมจะแบ่งปันกิจกรรมของพวกเขาบนอินเทอร์เน็ต ดังนั้นพวกเขาจะปกป้องการเยี่ยมชมของพวกเขาด้วยความช่วยเหลือของ VPN

VPN ทำงานอย่างไร

เมื่อคุณใช้ช่องทาง VPN อื่น IP ของคุณจะเป็นของประเทศที่เครือข่ายที่ปลอดภัยนี้ตั้งอยู่ เมื่อเชื่อมต่อแล้ว จะมีการสร้างช่องสัญญาณระหว่างเซิร์ฟเวอร์ VPN และคอมพิวเตอร์ของคุณ หลังจากนั้นในบันทึก (บันทึก) ของผู้ให้บริการจะมีการตั้งค่า ตัวละครที่เข้าใจยาก. การวิเคราะห์ข้อมูล โปรแกรมพิเศษจะไม่ให้ผล หากคุณไม่ใช้เทคโนโลยีนี้ โปรโตคอล HTTP จะระบุทันทีว่าคุณกำลังเชื่อมต่อกับไซต์ใด

โครงสร้าง VPN

การเชื่อมต่อนี้ประกอบด้วยสองส่วน เครือข่ายแรกเรียกว่าเครือข่าย "ภายใน" คุณสามารถสร้างเครือข่ายเหล่านี้ได้หลายอย่าง ประการที่สองคือ "ภายนอก" ซึ่งการเชื่อมต่อแบบห่อหุ้มเกิดขึ้นตามกฎแล้วจะใช้อินเทอร์เน็ต นอกจากนี้ยังสามารถเชื่อมต่อคอมพิวเตอร์เครื่องเดียวกับเครือข่าย ผู้ใช้เชื่อมต่อกับ VPN เฉพาะผ่านเซิร์ฟเวอร์การเข้าถึงที่เชื่อมต่อกับเครือข่ายภายนอกและภายในพร้อมกัน

เมื่อโปรแกรม VPN เชื่อมต่อผู้ใช้ระยะไกล เซิร์ฟเวอร์ต้องการกระบวนการที่สำคัญสองขั้นตอน: การระบุตัวตนก่อน จากนั้นการตรวจสอบสิทธิ์ นี่เป็นสิ่งจำเป็นเพื่อรับสิทธิ์ในการใช้การเชื่อมต่อนี้ หากคุณผ่านขั้นตอนทั้งสองนี้ได้สำเร็จ แสดงว่าเครือข่ายของคุณได้รับการเสริมศักยภาพ ซึ่งเปิดโอกาสในการทำงาน โดยพื้นฐานแล้วนี่คือกระบวนการอนุญาต

การจำแนกประเภท VPN

มีเครือข่ายส่วนตัวเสมือนหลายประเภท มีตัวเลือกสำหรับระดับความปลอดภัย วิธีการดำเนินการ ระดับการทำงานตามแบบจำลอง ISO / OSI โปรโตคอลที่เกี่ยวข้อง คุณสามารถใช้การเข้าถึงแบบชำระเงินหรือบริการ VPN ฟรีจาก Google ขึ้นอยู่กับระดับความปลอดภัย ช่องสามารถ "ปลอดภัย" หรือ "เชื่อถือได้" จำเป็นต้องใช้อย่างหลังหากการเชื่อมต่อมีระดับการป้องกันที่ต้องการ ในการจัดระเบียบตัวเลือกแรก ควรใช้เทคโนโลยีต่อไปนี้:

• ปชป
• โอเพ่นVPN;
• ไอ.พี.เอส.

วิธีสร้างเซิร์ฟเวอร์ VPN

สำหรับผู้ใช้คอมพิวเตอร์ทุกคน มีวิธีการเชื่อมต่อ VPN ด้วยตัวคุณเอง ตัวเลือกห้องผ่าตัดจะได้รับการพิจารณาด้านล่าง ระบบวินโดวส์. คู่มือนี้ไม่มีให้สำหรับการใช้ซอฟต์แวร์เพิ่มเติม การตั้งค่าดำเนินการดังนี้:

1. ในการเชื่อมต่อใหม่ คุณต้องเปิดแผงมุมมอง การเข้าถึงเครือข่าย. เริ่มพิมพ์คำค้นหา " เชื่อมต่อเครือข่าย».
2. กดปุ่ม "Alt" คลิกที่ส่วน "ไฟล์" ในเมนูแล้วเลือก "การเชื่อมต่อขาเข้าใหม่"
3. จากนั้นตั้งค่าผู้ใช้ที่จะได้รับการเชื่อมต่อ VPN กับคอมพิวเตอร์เครื่องนี้ (หากคุณมีเพียงเครื่องเดียว บัญชีบนพีซี คุณต้องสร้างรหัสผ่านสำหรับมัน) ติดตั้งนกแล้วคลิก "ถัดไป"
4. ถัดไป คุณจะได้รับแจ้งให้เลือกประเภทการเชื่อมต่อ คุณสามารถทำเครื่องหมายถูกหน้า "อินเทอร์เน็ต"
5. ขั้นตอนต่อไปคือการเปิดใช้งานโปรโตคอลเครือข่ายที่จะทำงานบน VPN นี้ ทำเครื่องหมายที่ช่องทั้งหมดยกเว้นช่องที่สอง คุณสามารถเลือกตั้งค่า IP, เกตเวย์ DNS และพอร์ตเฉพาะใน IPv4 ได้ แต่การออกจากการกำหนดโดยอัตโนมัติจะง่ายกว่า
6. เมื่อคุณคลิกที่ปุ่ม "อนุญาตการเข้าถึง" ระบบปฏิบัติการจะสร้างเซิร์ฟเวอร์ขึ้นมาเอง แสดงหน้าต่างพร้อมชื่อคอมพิวเตอร์ คุณจะต้องใช้มันเพื่อเชื่อมต่อ
7. เสร็จสิ้นการสร้างเซิร์ฟเวอร์ VPN ภายในบ้าน

วิธีตั้งค่า VPN บน Android

วิธีการที่อธิบายไว้ข้างต้นคือวิธีสร้างการเชื่อมต่อ VPN คอมพิวเตอร์ส่วนบุคคล. อย่างไรก็ตามหลายคนดำเนินการทุกอย่างโดยใช้โทรศัพท์มานานแล้ว หากคุณไม่ทราบว่า VPN บน Android คืออะไร ข้อเท็จจริงข้างต้นทั้งหมดเกี่ยวกับ ประเภทนี้การเชื่อมต่อใช้ได้กับสมาร์ทโฟนเช่นกัน การกำหนดค่าของอุปกรณ์สมัยใหม่ช่วยให้ใช้อินเทอร์เน็ตความเร็วสูงได้อย่างสะดวกสบาย ในบางกรณี (สำหรับการเปิดเกม การเปิดเว็บไซต์) พวกเขาใช้การแทนที่พร็อกซีหรือการไม่ระบุตัวตน แต่ VPN นั้นดีกว่าสำหรับการเชื่อมต่อที่เสถียรและรวดเร็ว

หากคุณเข้าใจแล้วว่า VPN คืออะไรบนโทรศัพท์ คุณสามารถไปที่การสร้างอุโมงค์ได้โดยตรง คุณสามารถทำได้บนอุปกรณ์ Android ทุกเครื่อง ทำการเชื่อมต่อดังนี้:

1. ไปที่ส่วนการตั้งค่า คลิกที่ส่วน "เครือข่าย"
2. ค้นหารายการที่ชื่อว่า " การตั้งค่าเพิ่มเติม" และไปที่ส่วน "VPN" ถัดไป คุณต้องใช้รหัสพินหรือรหัสผ่านเพื่อปลดล็อกความสามารถในการสร้างเครือข่าย
3. ขั้นตอนต่อไปคือการเพิ่มการเชื่อมต่อ VPN ระบุชื่อในช่อง "เซิร์ฟเวอร์" ชื่อในช่อง "ชื่อผู้ใช้" กำหนดประเภทการเชื่อมต่อ แตะที่ปุ่ม "บันทึก"
4. หลังจากนั้น การเชื่อมต่อใหม่จะปรากฏในรายการ ซึ่งคุณสามารถใช้เพื่อเปลี่ยนการเชื่อมต่อมาตรฐานของคุณได้
5. ไอคอนจะปรากฏขึ้นบนหน้าจอเพื่อระบุว่ามีการเชื่อมต่อ หากคุณแตะมัน คุณจะได้รับสถิติการรับ/ส่งข้อมูล คุณยังสามารถปิดการเชื่อมต่อ VPN ได้ที่นี่

วิดีโอ: บริการ VPN ฟรี