Virtual xususiy tarmoqlar. Olingan material bilan nima qilamiz. Ethernet tarmoq texnologiyalari. To'liq dupleks oqimni boshqarish. Port aks ettirish. Magistral liniyalarda portlarni yig'ish. Virtual tarmoqlar

Foydali dasturlar

Zamonaviy kalitlarning funksionalligi sizga moslashuvchan tarmoq infratuzilmasini yaratish uchun virtual tarmoqlarni (VLAN-tarmoqlar) tashkil qilish imkonini beradi. Hozirgi vaqtda VLAN-lar hali keng tarqalmagan, ayniqsa kichik korporativ tarmoqlarda. Bu, asosan, VLAN-larni tashkil qilish uchun kalitlarni sozlash qiyin vazifa ekanligi, ayniqsa tarmoq infratuzilmasi bir nechta kalitlarni o'z ichiga olgan bo'lsa. Bundan tashqari, VLAN-tarmoqlarni yaratish paytida kalitlarning konfiguratsiyasi, shuningdek boshqa funktsiyalarning konfiguratsiyasi turli kompaniyalarning kalitlarida sezilarli darajada farq qilishi mumkin, buning natijasida taniqli tarmoq uskunalari ishlab chiqaruvchilari: Cisco, HP, 3Com, Allied Telesyn, Avaya, maxsus tartibga soladilar. ularning jihozlari bilan ishlash kurslari. O'zingizning uskunangizning konfiguratsiyasini soddalashtirish, ushbu jarayonni intuitiv va sodda qilish, va bundan tashqari, turli xil ishlab chiqaruvchilar tomonidan uskunalarni o'rnatish uchun umumiy kelishuvlar va yagona interfeys ishlab chiqarish ishlab chiqaruvchilarning manfaatlariga to'g'ri kelmasligi aniq, ammo foydalanuvchilar juda ko'p imkoniyatlarni mustaqil ravishda tushunishga qodir. Shuning uchun ushbu maqolada biz virtual tarmoqlarni tashkil qilish uchun zamonaviy kalitlarning imkoniyatlarini ko'rib chiqamiz va ularning konfiguratsiyasining asosiy printsiplari haqida gaplashamiz.

  Virtual tarmoq tayinlash

virtual LAN (VLAN) - bu Broadcast Domainni tashkil etadigan tarmoq tugunlari guruhi. Ushbu ta'rif juda to'g'ri, ammo ma'lumotga ega emas, shuning uchun biz virtual tarmoq tushunchasini biroz boshqacha tarzda izohlashga harakat qilamiz.

Kommutatsiya asosida mahalliy tarmoqni yaratishda, trafikni cheklash uchun maxsus filtrlardan foydalanish imkoniyati mavjudligiga qaramay, tarmoqning barcha tugunlari bitta translyatsiya domenini anglatadi, ya'ni translyatsiya trafigi tarmoqning barcha tugunlariga uzatiladi. Shunday qilib, kalit dastlab translyatsiya trafigini cheklamaydi va ushbu printsip asosida qurilgan tarmoqlar tekis deb nomlanadi.

Virtual tarmoqlar tarmoq uzellari guruhini tashkil qiladi, unda barcha trafik, shu jumladan translyatsiya boshqa tarmoq tugunlaridan ma'lumotlar uzatish sathida to'liq izolyatsiya qilingan. Bu shuni anglatadiki, ulanish qatlami manzili asosida turli xil virtual tarmoqlarga tegishli tarmoq tugunlari o'rtasida ramka uzatish mumkin emas (garchi virtual tarmoqlar yo'riqnoma yordamida tarmoq sathida bir-biri bilan aloqa o'rnatsa ham).

Virtual tarmoq texnologiyasidan foydalangan holda kanal darajasida individual tarmoq tugunlarini izolyatsiya qilish bir vaqtning o'zida bir nechta muammolarni hal qilishga imkon beradi. Birinchidan, virtual tarmoqlar virtual tarmoq ichidagi translyatsiya trafikini lokalizatsiya qilish va translyatsiya bo'roniga to'sqinlik qilish orqali tarmoq ishini yaxshilashga yordam beradi. Virtual tarmoq ichida emas, balki uzatish paketlarini (shuningdek, ko'p tarmoqli va noma'lum manzillarga ega paketlarni) almashtiradi. Ikkinchidan, virtual darajadagi tarmoqlarni bir-biridan kanal darajasida izolyatsiya qilish tarmoq xavfsizligini oshirishga imkon beradi, ba'zi foydalanuvchilarning ayrim toifalari uchun ba'zi manbalarni ishlatib bo'lmaydi.

  Virtual tarmoqlarning turlari

iEEE 802.1Q virtual tarmoqlarini tashkil qilish uchun umume'tirof etilgan standartning paydo bo'lishi to'g'risida, har bir tarmoq uskunalarini ishlab chiqaruvchi o'z VLAN tashkil etish texnologiyasidan foydalangan. Ushbu yondashuv sezilarli kamchilikka ega edi - bitta ishlab chiqaruvchining texnologiyalari boshqa kompaniyalarning texnologiyalariga mos kelmadi. Shuning uchun, bir nechta kalitlarga asoslangan virtual tarmoqlarni qurishda faqat bitta ishlab chiqaruvchidan olingan uskunalardan foydalanish kerak edi. IEEE 802.1Q virtual tarmoq standartining qabul qilinishi nomutanosiblik muammosini bartaraf etdi, ammo hali ham IEEE 802.1Q standartini qo'llab-quvvatlamaydigan yoki IEEE 802.1Q standartiga muvofiq virtual tarmoqlarni tashkil qilish imkoniyatiga qo'shimcha ravishda boshqa texnologiyalarni taqdim etadi.

Virtual tarmoqlarni yaratishning bir necha yo'li mavjud, ammo bugungi kunda kalitlarga asosan portlarni guruhlash texnologiyasi qo'llaniladi yoki IEEE 802.1Q spetsifikatsiyasi qo'llaniladi.

  Port-asoslangan virtual tarmoqlar

portga asoslangan virtual tarmoqlar odatda IEEE 802.1Q standarti asosida VLAN-larni tashkil qilish qobiliyatiga qo'shimcha ravishda Smart kalitlari yoki boshqariladigan kalitlarda amalga oshiriladi.

Virtual tarmoqlarni yaratishning bu usuli juda oddiy va qoida tariqasida muammolarga olib kelmaydi. Har bir kommutatsiya porti ma'lum bir virtual tarmoqqa tayinlangan, ya'ni portlar virtual tarmoqlarga birlashtirilgan. Ushbu tarmoqdagi tarmoq paketini targ'ib qilish to'g'risidagi qaror qabul qiluvchining MAC manziliga va u bilan bog'liq portga asoslanadi. Agar siz foydalanuvchi kompyuterini ma'lum bir virtual tarmoqqa tegishli bo'lgan portga ulasangiz, masalan VLAN # 1, unda ushbu kompyuter avtomatik ravishda VLAN №1 ga tegishli bo'ladi. Agar kommutator ushbu portga ulangan bo'lsa, unda ushbu ulagichning barcha portlari ham VLAN №1 ga tegishli bo'ladi (1-rasm).

Shakl 1. Bitta kommutatsiya asosida portli guruhlash texnologiyasidan foydalangan holda yaratilgan virtual tarmoqlar

Portlarni guruhlash texnologiyasidan foydalangan holda, bir xil port bir vaqtning o'zida bir nechta virtual tarmoqlarga tayinlanishi mumkin, bu turli virtual tarmoqlarning foydalanuvchilari o'rtasida umumiy manbalarni amalga oshirishga imkon beradi. Masalan, VLAN # 1 va VLAN # 2 virtual tarmoqlaridan foydalanuvchilarning tarmoq printeriga yoki fayl serveriga umumiy ulanishlarni amalga oshirish uchun tarmoq printeri yoki fayl serveri ulangan ulanish portini VLAN # 1 va VLAN # ga bir vaqtning o'zida ulash kerak. 2 (2-rasm).

Shakl 2. Port guruhlash texnologiyasidan foydalangan holda bir nechta virtual tarmoqlar o'rtasida umumiy manba yaratish

Ta'riflangan texnologiya IEEE 802.1Q standartidan foydalanish bilan solishtirganda bir qator afzalliklarga ega, ammo uning kamchiliklari ham bor.

Afzalliklar virtual tarmoqlarni sozlashning soddaligini o'z ichiga oladi. Bunga qo'shimcha ravishda, tarmoqning so'nggi tugunlari IEEE 802.1Q standartini qo'llab-quvvatlashini talab qilmaydi va Ethernet tarmoq kontrollerlarining aksariyati ushbu standartni qo'llab-quvvatlamaganligi sababli, portlarni guruhlash asosida tarmoq o'rnatish osonroq bo'lishi mumkin. Bundan tashqari, virtual tarmoqlarning bunday tashkiloti bilan ular kesishishi mumkin, bu sizga umumiy tarmoq resurslarini yaratishga imkon beradi.

Portlarni guruhlash asosida virtual tarmoqlarni yaratish texnologiyasi bitta kalitdan foydalanganda yoki bitta boshqaruvli kalitlarning ustunlaridan foydalanganda qo'llaniladi. Ammo, agar tarmoq etarlicha katta bo'lsa va bir nechta kalitlarga o'rnatilgan bo'lsa, unda bir guruh portlarga asoslangan virtual tarmoqlarni tashkil qilish imkoniyatlari sezilarli cheklovlarga ega. Birinchidan, ushbu texnologiya yaxshi ko'lamga ega emas va ko'p hollarda faqat bitta kalit bilan cheklangan.

Masalan, portni guruhlash asosida virtual tarmoqlarni tashkil etish texnologiyasini qo'llab-quvvatlaydigan ikkita kalit asosida tarmoq qurilgan vaziyatni ko'rib chiqing (3-rasm).

Shakl 3. Ikkita kalit yordamida portlarni guruhlash asosida virtual tarmoqlarni amalga oshirish

Birinchi va ikkinchi kalitlarning portlarining bir qismi VLAN №1, \u200b\u200bboshqa qismi esa VLAN №2 ga tegishli bo'lishi kerak. Buning uchun, birinchidan, ikkala kommutator nafaqat portlarni guruhlash asosida virtual tarmoqlarni tashkil qilish, balki bunday tarmoqlarni bir nechta kalitlarga uzatishga imkon berish kerak (ikkinchidan, barcha kalitlar bunday funktsiyaga ega emas), ikkinchidan, kalitlar o'rtasida o'rnatilgan bo'lishi kerak. virtual tarmoqlar kabi ko'plab jismoniy ulanishlar yaratiladi. Ikkita olti portli kalitlarni ko'rib chiqing. Birinchi kalitdagi 1 va 2 portlar VLAN №1 ga, 3 va 4 portlar VLAN №2 ga tegishli bo'lsin; ikkinchi kalitda 1, 2 va 3 portlar VLAN №1, \u200b\u200bva 4 port VLAN №2 uchun. Birinchi kalitning VLAN-1 foydalanuvchilari ikkinchi kommutatorning VLAN # 1 foydalanuvchilari bilan aloqada bo'lishi uchun ushbu kalitlarni bir-biriga VLAN №1-ga tegishli portlar orqali ulash kerak (masalan, birinchi va ikkinchi kalitlarning 5 porti VLAN № 1 ga biriktirilgan). Shunga o'xshab, birinchi kommutatorning VLAN №2 foydalanuvchilari ikkinchi kommutatorning VLAN # 2 foydalanuvchilari bilan aloqa qilishlari uchun, ushbu kalitlarga VLAN № 2 ga ulangan portlar orqali ulanish kerak (ikkala kalitda ham 6 port bo'lishi mumkin). Shunday qilib, portlarni guruhlash texnologiyasiga asoslangan virtual tarmoqlarning kengayish muammosi (barcha holatlarda ham emas) kalitlar o'rtasida ortiqcha ulanishlarni o'rnatish orqali hal qilinadi.

  IEEE 802.1Q asosida virtual tarmoqlar

agar ko'plab kalitlarga ega rivojlangan tarmoq infratuzilmasi mavjud bo'lsa, IEEE 802.1Q texnologiyasi virtual tarmoqlarni yaratish uchun yanada samarali echim bo'ladi. IEEE 802.1Q standartiga asoslangan virtual tarmoqlarda, uzatilgan Ethernet ramkalarning ma'lum bir virtual tarmoqqa tegishliligi to'g'risidagi ma'lumotlar uzatilayotgan ramkaning o'zida joylashtirilgan. Shunday qilib, IEEE 802.1Q standarti tarmoq orqali VLAN ma'lumotlarini uzatish imkonini beruvchi Ethernet ramkasining tuzilishidagi o'zgarishlarni belgilaydi.

Ethernet freymiga 4 baytlik yorliq qo'shilgan - bu freymlarga tegli freymlar deyiladi. Qo'shimcha bitlarda virtual tarmoqqa tegishli Ethernet ramkasi va uning ustuvorligi to'g'risida ma'lumotlar mavjud (4-rasm).

Qo'shilgan ramka yorlig'i ikki baytli TPID (Tag Protocol Identifier) \u200b\u200bva ikki baytli TCI (Tag Control Information) maydonini o'z ichiga oladi. TCI maydoni, o'z navbatida, Priority, CFI va VID maydonlaridan iborat. 3 bitli Priotity maydoni sakkizta mumkin bo'lgan kvadrat ustuvorlik darajasini belgilaydi. 12 bitli VID (VLAN ID) maydoni virtual tarmoq identifikatoridir. Ushbu 12 bit 4096 turli xil virtual tarmoqlarni aniqlashga imkon beradi, ammo 0 va 4095 identifikatorlari maxsus foydalanish uchun ajratilgan, shuning uchun 802.1Q standartida 4094 virtual tarmoqlarni aniqlash mumkin. Ethernet magistraliga uzatiladigan boshqa turdagi tarmoqlarning (Token Ring, FDDI) ramkalarini ko'rsatish uchun 1 bitli CFI (Canonical Format Indicator) maydoni ajratilgan va Ethernet ramkalari uchun u har doim 0 bo'ladi.

Ethernet ramka formatini o'zgartirish IEEE 802.1Q standartini qo'llab-quvvatlamaydigan tarmoq qurilmalari (bunday qurilmalar Tag-bexabar deb nomlanadi) etiketkalar joylashtirilgan ramkalar bilan ishlay olmaydi va bugungi kunda tarmoq qurilmalarining katta qismi (xususan, Ethernet) -Tarmoqning so'nggi tugunlarini boshqaruvchilari) ushbu standartni qo'llab-quvvatlamaydi. Shuning uchun, IEEE 802.1Q standartini (Tag-know-құрылғылар) qo'llab-quvvatlaydigan qurilmalar bilan moslikni ta'minlash uchun IEEE 802.1Q kalitlari an'anaviy Ethernet ramkalarini, ya'ni etiketkalarsiz va ramkali freymlarni qo'llab-quvvatlashi kerak. .

Kiruvchi va chiquvchi trafik, manbaning turiga va maqsadga qarab, Tagged freymlar va Taglanmagan freymlar tomonidan shakllantirilishi mumkin - faqat bu holda kommutatordan tashqaridagi qurilmalar bilan moslikni ta'minlash mumkin. Kommutator ichidagi trafik har doim Tagged turidagi paketlar orqali hosil bo'ladi. Shuning uchun, har xil turdagi trafikni qo'llab-quvvatlash va kalitlarning ichki trafikini Tagged paketlardan hosil qilish uchun, oldindan belgilangan qoidalarga muvofiq, kommutatorning qabul qiluvchi va uzatuvchi portlariga konvertatsiya qilinishi kerak.

  Qo'llash qoidalari

Keling, ramkalarni kalit orqali uzatish jarayonini batafsil ko'rib chiqaylik (5-rasm). Trafikka nisbatan, har bir o'tish porti kirish yoki chiqish bo'lishi mumkin. Kommutatorning kirish porti qabul qilinganidan so'ng, uni keyinchalik qayta ishlash to'g'risida qaror kirish portining oldindan belgilangan qoidalari (Ingress qoidalari) asosida qabul qilinadi. Qabul qilingan freym Tagged tipi yoki Taglanmagan turi bo'lishi mumkinligi sababli, kirish portining qoidalari port tomonidan qaysi ramka turlarini qabul qilish kerakligini va qaysi qismini filtrlash kerakligini aniqlaydi. Quyidagi variantlardan foydalanish mumkin: faqat Tagged tipdagi freymlarni olish, faqat Taglangan turdagi freymlarni olish, ikkala turdagi freymlarni olish. Odatiy bo'lib, barcha kalitlarga kirish portining qoidalari ikkala turdagi freymlarni olish imkoniyatini o'rnatadi.

Shakl 5. IEEE 802.1Q mos keladigan kalitda freymni takomillashtirish jarayoni

Agar kirish portining qoidalari ma'lum bir virtual tarmoqqa (VID) a'zolik to'g'risidagi ma'lumotlarni o'z ichiga olgan Tagged kadrni qabul qilishi mumkinligini aniqlasa, u holda bu ramka o'zgartirmasdan uzatiladi. Va agar virtual tarmoqqa tegishliligi haqida ma'lumotni o'z ichiga olmasdan, tegsiz freymlar bilan ishlash qobiliyati aniqlansa, birinchi navbatda, bunday freym kalitning kirish porti orqali Tagged turiga o'zgartiriladi (esda tutingki, kommutator ichidagi barcha ramkalar virtual tarmoqqa tegishli yorliqlarga ega bo'lishi kerak). .

Ushbu o'zgartirishni amalga oshirish uchun har bir kommutator portiga noyob PVID (Port VLAN identifikatori) beriladi, u port kommutator ichidagi ma'lum bir virtual tarmoqqa tegishliligini aniqlaydi (sukut bo'yicha barcha kommutatsiya portlarida bir xil identifikator mavjud PVID \u003d 1). Belgilanmagan tipdagi ramka Taggedga o'zgartiriladi, buning uchun u VID yorlig'i bilan to'ldiriladi (6-rasm). Kiruvchi tegsiz freymning VID maydoni kirish portining PVID-ga teng ravishda o'rnatiladi, ya'ni barcha kirish tegsiz freymlari avtomatik ravishda kiruvchi port joylashgan kommutator ichidagi virtual tarmoqqa ulanadi.

  Paketlarni reklama qilish qoidalari (yo'naltirish jarayoni)

Kiruvchi port qoidalariga muvofiq barcha kiruvchi ramkalar filtrlanadi, o'zgartiriladi yoki o'zgarishsiz qoldiriladi, ularni chiqish portiga o'tkazish to'g'risida qaror paketlarni ilgari surish qoidalariga asoslanadi. Kommutator ichidagi paketlarni targ'ib qilish qoidasi shundaki, paketlarni faqat bitta virtual tarmoq bilan bog'langan portlar o'rtasida o'tkazish mumkin. Yuqorida ta'kidlab o'tilganidek, har bir portga PVID belgilanadi, u olingan yorliqsiz freymlarni o'zgartirish uchun, shuningdek VID \u003d PVID identifikatori bilan ulash ichidagi virtual tarmoqqa tegishli ekanligini aniqlash uchun ishlatiladi. Shunday qilib, bitta kalit ichidagi bir xil identifikatorlarga ega portlar bitta virtual tarmoq bilan bog'langan. Agar virtual tarmoq bitta kommutatsiya asosida qurilgan bo'lsa, uning virtual tarmoqqa tegishli ekanligini aniqlaydigan PVID port identifikatori etarli. To'g'ri, shu tarzda yaratilgan tarmoqlar bir-birini to'ldirolmaydi, chunki har bir o'tish portiga faqat bitta identifikator mos keladi. Shu ma'noda, yaratilayotgan virtual tarmoqlar portga asoslangan virtual tarmoqlar kabi moslashuvchan bo'lmaydi. Biroq, IEEE 802.1Q standarti boshidanoq kengaytiriladigan virtual tarmoq infratuzilmasini qurish uchun ishlab chiqilgan va portga asoslangan VLAN texnologiyasiga nisbatan uning asosiy ustunligi. Ammo tarmoqni bitta kalitdan tashqarida kengaytirish uchun faqat port identifikatorlari etarli emas, shuning uchun har bir port turli xil VID-larga ega bo'lgan bir nechta virtual tarmoqlar bilan bog'lanishi mumkin.

Agar paketning manzil manzili paketning o'zi bilan bir xil virtual tarmoqqa tegishli bo'lsa (paket VID va VID porti yoki VID paketi va PVID porti mos kelishi mumkin) bo'lsa, unda bunday paketni uzatish mumkin. Agar uzatilayotgan ramka chiqish porti hech qanday tarzda ulanmagan virtual tarmoqqa tegishli bo'lsa (VID paketi portning PVID / VIDiga mos kelmasa), u holda freymni uzatib bo'lmaydi.

  Egress qoidalari

Kommutator ichidagi freymlar chiqish portiga o'tkazilgandan so'ng, ularni keyingi konvertatsiya qilish chiqish portining qoidalariga bog'liq. Yuqorida aytib o'tilganidek, kommutator ichidagi trafik faqat Tagged tipdagi paketlar orqali yaratiladi va kiruvchi va chiquvchi trafik ikkala turdagi paketlar orqali ham shakllanishi mumkin. Shunga ko'ra, chiqish portining qoidalari (yorliqlarni boshqarish qoidasi - Tag boshqarish) Tagged freymni Etikatsiz formatga o'zgartirish yoki yo'qligini aniqlaydi.

Har bir almashtirish porti Tagged yoki Etikatsiz Port sifatida sozlanishi mumkin. Agar chiqish porti Tagged port sifatida belgilangan bo'lsa, chiquvchi trafik virtual tarmoqqa tegishliligi haqidagi ma'lumotlarga ega Tagged tipdagi freymlar tomonidan yaratiladi. Shuning uchun, chiqish porti freymlar turini o'zgartirmaydi, ularni kommutator ichidagi kabi qoldiradi. Belgilangan portga faqat IEEE 802.1Q standartiga mos keladigan qurilma ulanishi mumkin, masalan, ushbu standartning virtual tarmoqlari bilan ishlashni qo'llab-quvvatlaydigan kalit yoki tarmoq kartasi bilan server.

Agar kommutatorning chiqish porti "Belgilanmagan port" deb belgilangan bo'lsa, unda barcha chiquvchi ramkalar Untagged turiga o'zgartiriladi, ya'ni virtual tarmoqqa tegishli bo'lgan qo'shimcha ma'lumotlar ulardan o'chiriladi. Ushbu portga har qanday tarmoq moslamasini, jumladan IEEE 802.1Q standartiga mos kelmaydigan kalitni yoki tarmoq kartalari ushbu standartning virtual tarmoqlari bilan ishlashni qo'llab-quvvatlamaydigan oxirgi kompyuterlarni ulashingiz mumkin.

  IEEE 802.1Q virtual tarmoqlarini sozlash

IEEE 802.1Q virtual tarmoqlarini sozlashning aniq misollarini ko'rib chiqing.

IEEE 802.1Q standartiga muvofiq VLAN-tarmoqni yaratish uchun siz quyidagilarni bajarishingiz kerak:

  • virtual tarmoq nomini (masalan, VLAN # 1) o'rnating va uning identifikatorini (VID) aniqlang;
  • ushbu virtual tarmoqqa tegishli bo'lgan portlarni tanlang;
  • virtual tarmoqning kirish portlari uchun qoidalarni sozlash (barcha turdagi freymlar bilan, faqat etiketsiz freymlar bilan yoki faqat Tagged freymlar bilan ishlash imkoniyati);
  • virtual tarmoqqa kiritilgan bir xil PVID portlarni o'rnating;
  • virtual tarmoqdagi har bir port uchun chiqish portining qoidalarini Tagged Port yoki Tagged port sifatida sozlash orqali aniqlang.

Keyingi, keyingi virtual tarmoq uchun yuqoridagi amallarni takrorlashingiz kerak. Shuni esda tutish kerakki, har bir portga faqat bitta PVID tayinlanishi mumkin, lekin bir xil port turli xil virtual tarmoqlarning bir qismi bo'lishi mumkin, ya'ni bir vaqtning o'zida bir nechta VID bilan bog'lanishi mumkin.

1-jadval. Bitta kommutatsiya asosida virtual tarmoqlarni yaratishda port xususiyatlarini aniqlash

  IEEE 802.1Q standartiga mos keladigan kalitlarga asoslangan VLAN-larni qurish misollari

Endi IEEE 802.1Q standartini qo'llab-quvvatlaydigan kalitlarga asoslangan virtual tarmoqlarni qurishning odatiy misollarini ko'rib chiqaylik.

Agar oxirgi foydalanuvchi kompyuterlari ulangan portlarga faqat bitta kalit ulangan bo'lsa, u holda butunlay ajratilgan virtual tarmoqlarni yaratish uchun barcha portlar mijozlarning tarmoq Ethernet kontrollerlari bilan mosligini ta'minlash uchun Untagget Portlari deb e'lon qilinishi kerak. Tarmoq tugunlarining ma'lum bir VLANga aloqadorligi PVID port identifikatorini ko'rsatish orqali aniqlanadi.

Sakkiz portli kalitni oling, uning asosida uchta ajratilgan VLAN №1, \u200b\u200bVLAN # 2 va VLAN # 3 virtual tarmog'i yaratiladi (7-rasm). Kommutatorning birinchi va ikkinchi portlariga PVID \u003d 1 identifikator beriladi. Ushbu portlarning identifikatorlari birinchi virtual tarmoqning identifikatori bilan mos tushgani sababli (PVID \u003d VID), ushbu portlar VLAN №1 virtual tarmog'ini tashkil qiladi (1-jadval). Agar siz 3, 5 va 6-portlarga (agar VID VLAN №2 bilan bir xil) PVID \u003d 2-ni tayinlasangiz, unda ikkinchi virtual tarmoq 3, 4 va 8-portlar orqali hosil bo'ladi, VLAN №3 5, 6 va 7-portlar asosida xuddi shu tarzda hosil bo'ladi. so'nggi jihozlar bilan mosligini ta'minlash (tarmoq kompyuterlarining mijozlari kommutatsiya portlariga ulangan, tarmoq kartalari IEEE 802.1Q standartiga mos kelmaydi), barcha portlar etiketsiz deb konfiguratsiya qilinishi kerak.

Shakl 7. Bitta kommutatsiya asosida IEEE 802.1Q standartiga muvofiq uchta VLANni tashkil qilish

Agar tarmoq infratuzilmasi IEEE 802.1Q standartini qo'llab-quvvatlaydigan bir nechta kalitlarni o'z ichiga olsa, u holda bir-biri bilan aloqa qilish uchun siz biroz boshqacha konfiguratsiya printsipidan foydalanishingiz kerak. IEEE 802.1Q standartini qo'llab-quvvatlaydigan ikkita oltita portli kalitlarni ko'rib chiqing va ularning asosida uchta ajratilgan VLAN №1, \u200b\u200bVLAN # 2 va VLAN # 3 virtual tarmoqlarini sozlash kerak.

Birinchi kalitning 1 va 2-portlariga va ikkinchi kalitning 5 va 6-portlariga ulangan mijozlar birinchi virtual tarmoqqa tegishli bo'lishlariga ruxsat bering. VLAN №2 o'z ichiga birinchi kalitning 3 portiga va ikkinchi kommutatorning 1 portiga ulangan mijozlarni va VLAN №3 o'z ichiga birinchi kalitning 4 va 5 portlariga va ikkinchi kalitning 2 va 3 portlariga ulangan mijozlarni oladi. Birinchi kalitning 6 porti va ikkinchi kalitning 4 porti bir-biri bilan aloqa qilish uchun ishlatiladi (8-rasm).

Shakl 8. Ikki kalit asosida IEEE 802.1Q standartiga muvofiq uchta VLAN-tarmoqlarni tashkil qilish

Ushbu virtual tarmoqlarni sozlash uchun avval siz uchta identifikatorlarini o'rnatgan holda VLAN # 1, VLAN # 2 va VLAN # 3 uchta virtual tarmoqlarni aniqlashingiz kerak (VLAN # 1 uchun VID \u003d VLAN # 2 uchun VID \u003d 2 va VID # 3 uchun VID \u003d 3).

Birinchi kalitda 1 va 2-portlar VLAN №1-ning bir qismi bo'lishi kerak, buning uchun PVID \u003d 1 ushbu portlarga tayinlangan. Birinchi kalitning 2 porti VLAN №2 ga berilishi kerak, buning uchun port identifikatoriga PVID \u003d 2 qiymati beriladi. Xuddi shunday, birinchi kalitning 5 va 6-portlari uchun PVID \u003d 3 identifikatorlari o'rnatildi, chunki bu portlar VLAN №3 ga tegishli. Birinchi kommutatorda ko'rsatilgan barcha portlar mijozning tarmoq kartalari bilan muvofiqligi uchun Tagged port sifatida konfiguratsiya qilinishi kerak.

Birinchi kalitning 4 porti ikkinchi kalit bilan aloqa qilish uchun ishlatiladi va ikkinchi uchlikni o'zgartirmasdan barcha uchta virtual tarmoqlarning ramkalarini uzatishi kerak. Shuning uchun u Tagged porti sifatida konfiguratsiya qilinishi va barcha uchta virtual tarmoqqa (VID \u003d 1, VID \u003d 2 va VID \u003d 3 bilan bog'liq) qo'shilishi kerak. Bunday holda, port identifikatori ahamiyatga ega emas va har qanday bo'lishi mumkin (bizning holda, PVID \u003d 4).

Virtual tarmoqlarni sozlash uchun shunga o'xshash protsedura ikkinchi kalitda amalga oshiriladi. Ikkala kalitning port konfiguratsiyasi jadvalda keltirilgan. 2.

2-jadval. Ikkita kalit asosida virtual tarmoqlarni yaratishda port xususiyatlarini aniqlash

  IEEE 802.1Q standartidagi virtual tarmoqlarda avtomatik ro'yxatdan o'tish

virtual tarmoqlarning ko'rib chiqilgan misollari statik virtual tarmoqlar (Static VLAN) ga tegishli edi, unda barcha portlar qo'lda sozlangan, ular juda aniq bo'lsa-da, rivojlangan tarmoq infratuzilmasi bilan odatiy hisoblanadi. Bundan tashqari, tarmoq ichidagi foydalanuvchilarning har bir harakati bilan, ko'rsatilgan virtual tarmoqlarda a'zoligini saqlab qolish uchun tarmoqni qayta sozlash kerak va bu, albatta, juda istalmagan.

Virtual tarmoqlarni sozlashning alternativ usuli mavjud va bu holda yaratilgan tarmoqlar dinamik virtual tarmoqlar (Dynamic VLAN) deb nomlanadi. Bunday tarmoqlarda foydalanuvchilar VLAN-da avtomatik ravishda ro'yxatdan o'tishlari mumkin, buning uchun maxsus GVRP ro'yxatga olish protokoli (GARP VLAN Ro'yxatdan o'tish protokoli) mavjud. Ushbu protokol VLAN ma'lumotlarini almashishni VLAN a'zolarini tarmoq bo'ylab portlarda avtomatik ravishda ro'yxatdan o'tkazish usulini belgilaydi.

GVRP funktsiyasini qo'llab-quvvatlaydigan barcha kalitlar VLAN ro'yxatga olish ma'lumotlarini dinamik ravishda boshqa kalitlardan qabul qilishi mumkin (va shu sababli boshqa kalitlarga uzatiladi), shu jumladan joriy VLAN elementlari, VLAN elementlariga kirishingiz mumkin bo'lgan port haqida ma'lumot va hokazo. GVRP GVRP BPDU (GVRP Bridge Protocol Data Units) xabarlarini bir kommutatordan boshqasiga o'tkazish uchun foydalanadi. Bunday xabarni qabul qiladigan GVPR protokolini qo'llab-quvvatlaydigan har qanday qurilma VLAN-ga dinamik ravishda ulanishi mumkin.

VPN deb qisqartirilgan xususiy virtual tarmoqlar tushunchasi (ingliz tilidan kompyuter texnologiyasida nisbatan yaqinda paydo bo'ldi. Ushbu ulanishning yaratilishi ma'lum bir terminal joylashgan joyidan qat'i nazar, odatiy simlarsiz kompyuter terminallari va mobil qurilmalarni virtual tarmoqlarga birlashtirish imkonini berdi. Endi biz ushbu savolni ko'rib chiqamiz. VPN ulanishi qanday ishlaydi va shu bilan birga biz bunday tarmoqlarni va tegishli mijoz dasturlarini o'rnatish bo'yicha ba'zi tavsiyalarni beramiz.

VPN nima?

VPN allaqachon tushunilganidek, unga ulangan bir nechta qurilmalarga ega virtual xususiy tarmoqdir. O'zingizni xushnud etishning keragi yo'q - odatda bir vaqtning o'zida ishlaydigan o'nlab ikki yoki uchta kompyuter terminallarini ulash ishlamaydi (buni LANda qanday qilish mumkin). Bu tarmoq konfiguratsiyasida yoki hatto IP-manzillarni tayinlash uchun javobgar bo'lgan yo'riqnoma o'tkazish qobiliyatida cheklovlarga ega.

Biroq, dastlab ulanish texnologiyasida ilgari surilgan g'oya yangi emas. Ular buni uzoq vaqt davomida oqlashga harakat qilishdi. Ko'pgina zamonaviy kompyuter tarmoqlari foydalanuvchilari bu haqda nima bilganlarini tasavvur qilishmaydi, lekin masalaning mohiyatini o'rganishga urinishmagan.

VPN ulanishi qanday ishlaydi: asosiy tamoyillar va texnologiyalar

Yaxshiroq tushunish uchun biz har qanday zamonaviy odamga ma'lum bo'lgan eng oddiy misolni keltiramiz. Hech bo'lmaganda radio oling. Darhaqiqat, aslida, bu uzatish moslamasi (tarjimon), signalni uzatish va tarqatish uchun javob beradigan vositachi birlik (takrorlash moslamasi) va qabul qiluvchi moslama (qabul qiluvchi).

Yana bir narsa shundaki, signal mutlaqo barcha iste'molchilarga uzatiladi va virtual tarmoq faqat ma'lum qurilmalarni bitta tarmoqqa birlashtirgan holda tanlab ishlaydi. Shuni esda tutingki, birinchi va ikkinchi holatda ham ma'lumotlar uzatish va qabul qilish moslamalarini bir-biri bilan ulash uchun simlar talab qilinmaydi.

Ammo bu erda nozikliklar mavjud. Haqiqat shundaki, dastlab radio signal himoyalanmagan, ya'ni tegishli chastotada ishlaydigan asbob bilan har qanday radio havaskor tomonidan qabul qilinishi mumkin. VPN qanday ishlaydi? Ha, xuddi shunday. Faqat bu holda takrorlash qurilmasining o'rni yo'riqnoma (yo'riqnoma yoki ADSL modem), qabul qiluvchining o'rni esa simsiz ulanish (Wi-Fi) uchun maxsus modulga ega bo'lgan statsionar kompyuter terminali, noutbuk yoki mobil qurilma tomonidan ijro etiladi.

Bularning barchasi bilan, dastlab manbadan keladigan ma'lumotlar shifrlanadi va shundan keyingina maxsus dekoder yordamida maxsus qurilmada takrorlanadi. VPN aloqasining ushbu printsipi tunnellash deb ataladi. Va bu printsip ma'lum bir abonentga yo'naltirish sodir bo'lganda uyali aloqa bilan eng mos keladi.

VLAN tunneli

Keling, VPN tunnel rejimida qanday ishlashini ko'rib chiqaylik. Aslida, bu markaziy manbadan ma'lumotlarni uzatish paytida (server ulanishi bilan yo'riqnoma) barcha tarmoq qurilmalari oldindan aniqlangan konfiguratsiya bo'yicha avtomatik ravishda aniqlanganda, A nuqtadan "B" gacha bo'lgan to'g'ri chiziqni yaratishni o'z ichiga oladi.

Boshqacha aytganda, ma'lumotlar yuborishda kodlash va qabul qilishda dekodlash bilan tunnel yaratiladi. Ma'lum bo'lishicha, uzatish jarayonida ushbu turdagi ma'lumotlarni to'sib qo'yishga harakat qilgan boshqa hech kim ularni shifrlay olmaydi.

Amalga oshirish vositalari

Bir vaqtning o'zida ushbu turdagi ulanish va xavfsizlik uchun eng kuchli vositalardan biri bu Cisco tizimlari. To'g'ri, ba'zi tajribasiz ma'murlarda Cisco VPN uskunalari nima uchun ishlamayapti degan savol tug'iladi.

Bu birinchi navbatda faqat noto'g'ri konfiguratsiya va D-Link yoki ZyXEL kabi marshrutizatorlar uchun o'rnatilgan drayverlarga bog'liq bo'lib, ular faqat o'rnatilgan xavfsizlik devori bilan jihozlanganligi sababli sozlashni talab qiladi.

Bundan tashqari, ulanish sxemalariga e'tibor berishingiz kerak. Ikkita bo'lishi mumkin: marshrutdan yo'nalishga yoki uzoqdan kirish. Birinchi holda, biz bir nechta tarqatish moslamalarini birlashtirish, ikkinchisida esa ulanishni boshqarish yoki masofadan kirish yordamida ma'lumotlarni uzatish haqida gaplashamiz.

Kirish protokollari

Protokollarga kelsak, PCP / IP darajasida konfiguratsiya vositalari asosan bugungi kunda ishlatiladi, ammo VPN uchun ichki protokollar farq qilishi mumkin.

VPN ishlamay qoldimi? Ba'zi yashirin variantlarni ko'rib chiqishingiz kerak. Shunday qilib, masalan, TCP texnologiyasiga asoslangan qo'shimcha PPP va PPTP protokollar hali TCP / IP protokollar stankalariga tegishli, ammo ulanish uchun aytaylik, PPTP-dan foydalanishda bitta o'rniga ikkita IP-manzildan foydalanish kerak. Biroq, har qanday holatda ham tunnel, IPX yoki NetBEUI kabi ichki protokollar tarkibidagi ma'lumotlarni uzatishni o'z ichiga oladi va ularning barchasi ma'lumotlarni tegishli tarmoq drayveriga uzluksiz uzatish uchun maxsus PPP-ga asoslangan sarlavhalar bilan jihozlangan.

Uskuna qurilmalari

Endi VPN nima uchun ishlamayapti degan savol paydo bo'lgan vaziyatni ko'rib chiqaylik. Muammo uskunaning noto'g'ri konfiguratsiyasi bilan bog'liq bo'lishi mumkinligi haqiqatdir. Ammo boshqa vaziyat yuzaga kelishi mumkin.

Ulanishni kuzatib boradigan marshrutizatorlarning o'ziga e'tibor qaratish lozim. Yuqorida aytib o'tilganidek, faqat ulanish parametrlariga mos keladigan qurilmalardan foydalanish kerak.

Masalan, DI-808HV yoki DI-804HV kabi marshrutizatorlar bir vaqtning o'zida qirqtagacha qurilmalarni ulashlari mumkin. ZyXEL uskunasiga kelsak, ko'p holatlarda u hatto o'rnatilgan ZyNOS tarmoq operatsion tizimi orqali ham ishlashi mumkin, ammo faqat Telnet protokoli orqali buyruq satri rejimidan foydalangan holda. Ushbu yondashuv har qanday qurilmani umumiy ma'lumot chekilgan muhitida ma'lumotni IP-trafik uzatishi bilan uchta tarmoqqa uzatish bilan bir qatorda sozlash, shuningdek, qayta sozlangan trafikka ega marshrutizatorlarning standart jadvalini dastlab tuzilgan tizimlar uchun shlyuz sifatida ishlatish uchun yaratilgan noyob Any-IP texnologiyalaridan foydalanishga imkon beradi. boshqa pastki tarmoqlarda ishlash.

VPN ishlamasa nima qilish kerak (Windows 10 va undan keyingi versiyalar)?

Eng birinchi va eng muhim shart - bu chiqish va kirish tugmachalarining muvofiqligi (Oldindan ulangan kalitlar). Ular tunnelning har ikki uchida ham bir xil bo'lishi kerak. Shuningdek, autentifikatsiya funktsiyasi bilan yoki bo'lmagan kriptografik shifrlash algoritmlariga (IKE yoki Manual) e'tibor qaratish lozim.

Masalan, xuddi shu AH protokoli (ingliz tilidagi versiyada - Autentifikatsiya sarlavhasi) shifrlashdan foydalanmasdan faqat avtorizatsiyani ta'minlaydi.

VPN mijozlari va ularning konfiguratsiyasi

VPN mijozlariga kelsak, bu erda hamma narsa oddiy emas. Bunday texnologiyalarga asoslangan dasturlarning aksariyati standart konfiguratsiya usullaridan foydalanadi. Biroq, muammolar bor.

Muammo shundaki, mijozni qanday o'rnatganingizdan qat'iy nazar, xizmat "OT" da o'chirilganida, undan hech qanday yaxshi narsa kelmaydi. Shuning uchun avval ushbu parametrlarni Windows-da ishlatishingiz kerak, so'ngra ularni yo'riqnoma (yo'riqnoma) da yoqing va shundan keyingina mijozning o'zi sozlashda davom eting.

Tizimning o'zida, siz yangi ulanishni yaratishingiz kerak va mavjud aloqani ishlatmaysiz. Biz bu haqda to'xtalmaymiz, chunki protsedura standartdir, lekin yo'riqnoma o'zi qo'shimcha sozlamalarga o'tishi kerak (ko'pincha ular WLAN ulanish turi menyusida joylashgan) va VPN serveriga ulangan barcha narsalarni faollashtirishingiz kerak.

Shunisi e'tiborga loyiqki, uning o'zi tizimga qo'shimcha dastur sifatida o'rnatilishi kerak. Ammo keyin uni qo'lda sozlashsiz ham ishlatish mumkin, shunchaki eng yaqin joylashgan joyni tanlang.

Eng mashhur va ulardan foydalanish oson bo'lganlaridan biri bu SecurityKISS deb nomlangan VPN mijoz-serveridir. Dastur o'rnatilgan, ammo keyin distribyutorga ulangan barcha qurilmalar uchun normal aloqani ta'minlash uchun sozlamalarni kiritishingiz shart emas.

Bu taniqli va ommabop Kerio VPN Client to'plami ishlamayotganligi. Bu erda siz nafaqat "OS" ning o'ziga, balki mijoz dasturining parametrlariga ham e'tibor berishingiz kerak. Qoidaga ko'ra, to'g'ri parametrlarni kiritish muammoni bartaraf qiladi. Favqulodda holatlarda siz asosiy ulanish sozlamalarini va ishlatilgan TCP / IP protokollarini (v4 / v6) tekshirishingiz kerak bo'ladi.

Natijada nima bo'ldi?

Biz VPN qanday ishlashini ko'rib chiqdik. Aslida, ushbu turdagi tarmoqlarni yaratishda ulanishda murakkab narsa yo'q. Asosiy qiyinchiliklar maxsus uskunalarni o'rnatish va uning parametrlarini sozlashdir, bu, afsuski, ko'plab foydalanuvchilar butun jarayonni avtomatlashtirish darajasiga tushib qolishiga ishonmaydilar.

Boshqa tomondan, biz endi virtual VPN-larning ishlash texnikalari bilan bog'liq muammolar bilan ko'proq shug'ullanmoqdamiz, shuning uchun alohida ko'rsatmalar va tavsiyalardan foydalanib uskunani sozlash, qurilma drayverlarini o'rnatish va hk.


So'nggi paytlarda telekommunikatsiyalar dunyosida Virtual xususiy tarmoqlar (VPN) ga qiziqish ortib bormoqda. Bu uzoq ofislar va uzoq foydalanuvchilarning Internet orqali arzon ulanishi tufayli korporativ tarmoqlarni saqlash xarajatlarini kamaytirish zarurati bilan bog'liq (1-rasm). Darhaqiqat, Internet orqali bir nechta tarmoqlarni ulash xizmatlari narxini taqqoslashda, masalan, Frame Relay tarmoqlari bilan, siz narxlardagi sezilarli farqni sezishingiz mumkin. Biroq, shuni ta'kidlash kerakki, Internet orqali tarmoqlarni birlashtirganda, ma'lumot uzatish xavfsizligi to'g'risida darhol savol tug'iladi, shuning uchun uzatilayotgan ma'lumotlarning maxfiyligi va yaxlitligini ta'minlash mexanizmlarini yaratish zarurati tug'ildi. Bunday mexanizmlar asosida qurilgan tarmoqlarga VPN deyiladi.

1-rasm. Virtual xususiy tarmoq.

Men o'z inshomimda VPN nima ekanligini, ushbu texnologiyaning afzalliklari va kamchiliklari va VPNni amalga oshirish imkoniyatlari mavjudligini tushuntirishga harakat qilaman.

VPN nima?

VPN nima? Ko'p ta'riflar mavjud, ammo ushbu texnologiyaning asosiy ajralib turadigan xususiyati Internetdan korporativ IP-trafikni uzatish uchun tayanch sifatida foydalanish hisoblanadi. VPNlar oxirgi foydalanuvchini uzoq tarmoqqa ulash va bir nechta mahalliy tarmoqlarni ulash muammolarini hal qilish uchun mo'ljallangan. VPN tuzilishi WAN havolalarini, xavfsiz protokollar va marshrutizatorlarni o'z ichiga oladi.

Virtual shaxsiy tarmoq qanday ishlaydi? Uzoq lokal tarmoqlarni korporatsiyaning virtual tarmog'iga birlashtirish uchun virtual ajratilgan kanallar ishlatiladi. Bunday ulanishlarni yaratish uchun tunnel mexanizmidan foydalaniladi. Tunnel tashabbuskori LAN paketlarini (shu jumladan, o'zgartirilmaydigan protokol paketlarini) yangi IP paketlarga ushbu tunnel tashabbuskori va sarlavhasida tunnel terminatorining manzilini o'z ichiga oladi. Qarama-qarshi tomonda tunnel terminatori manba paketini olishning teskari jarayonini amalga oshiradi.

Yuqorida ta'kidlab o'tilganidek, bunday uzatishni amalga oshirishda oddiy tunnel yordamida erishib bo'lmaydigan ma'lumotlarning konfidentsialligi va yaxlitligini hisobga olish kerak. Berilgan korporativ ma'lumotlarning maxfiyligini ta'minlash uchun tunnelning ikkala uchida bir xil shifrlash algoritmidan foydalanish kerak.

Turli ishlab chiqaruvchilar tomonidan ishlab chiqarilgan apparat va dasturiy ta'minot asosida VPN yaratish imkoniyatiga ega bo'lish uchun ba'zi standart mexanizmlarga ehtiyoj seziladi. VPN yaratishning bunday mexanizmi Internet protokol xavfsizligi (IPSec). IPSec barcha standart VPN usullarini tavsiflaydi. Ushbu protokol tunnelni ishga tushirish uchun autentifikatsiya usullarini, tunnelning so'nggi nuqtalarida foydalaniladigan shifrlash usullarini va ushbu nuqtalar orasidagi shifrlash kalitlarini almashish va boshqarish mexanizmlarini belgilaydi. Ushbu protokolning kamchiliklaridan biri bu IP-ga yo'naltirilganligi.

VPN-ning boshqa protokollariga yuqorida aytilgan ikkala protokolni birlashtirgan Ascend Communications va 3Com, L2F (Layer-2 Forwarding) - Cisco Systems va L2TP (Layer-2 Tunneling Protocol) tomonidan ishlab chiqilgan PPTP (Point-to-Point Tunneling Protocol). Ammo, bu protokollar, IPSec-dan farqli o'laroq, to'liq ishlamaydi (masalan, PPTP shifrlash usulini aniqlamaydi), shuning uchun biz asosan IPSec-ga e'tibor qaratamiz.

IPSec haqida gap ketganda, biz tashqi shovqinlarni bartaraf etib, tunnel orqali ma'lumot uzatishga imkon beradigan IKE protokoli (Internet Key Exchange) haqida unutmasligimiz kerak. Ushbu protokol masofaviy qurilmalar o'rtasida kriptografik kalitlarni xavfsiz boshqarish va almashtirish vazifalarini hal qiladi, IPSec esa kodlarni to'playdi va paketlarni imzolaydi. IKE xavfsiz ulanishni o'rnatish uchun ochiq kalitlarni shifrlash mexanizmidan foydalangan holda kalitlarni uzatish jarayonini avtomatlashtiradi. Bundan tashqari, IKE sizga allaqachon o'rnatilgan ulanish uchun kalitni o'zgartirishga imkon beradi, bu esa uzatilayotgan ma'lumotlarning maxfiyligini sezilarli darajada oshiradi.

VPN-ni qanday yaratish kerak

VPN yaratish uchun turli xil variantlar mavjud. Yechimni tanlashda siz VPN qurilish vositalarining ishlash omillarini hisobga olishingiz kerak. Masalan, yo'riqnoma allaqachon protsessor quvvatining chegarasida ishlayotgan bo'lsa, VPN tunnellarini qo'shish va ma'lumotlarni shifrlash / parolini ochish ushbu tarmoq yo'riqchisini oddiy trafik bilan engishga qodir bo'lmasligi sababli, VPN haqida gapirmasa ham bo'ladi.

Tajriba shuni ko'rsatadiki, VPN-ni qurish uchun ixtisoslashgan uskunalardan foydalanish yaxshidir, ammo agar mablag 'cheklangan bo'lsa, unda siz sof dasturiy echimga e'tibor berishingiz mumkin.

VPN yaratish uchun ba'zi variantlarni ko'rib chiqing:

· Firewall-ga asoslangan VPN-lar

Aksariyat ishlab chiqaruvchilarning xavfsizlik devorlari tunnel va ma'lumotlarni shifrlashni qo'llab-quvvatlaydi. Bunday mahsulotlarning barchasi, agar trafik devordan o'tib ketsa, nima uchun uni bir vaqtning o'zida shifrlamasligingizga asoslanadi. Xavfsizlik devori dasturiy ta'minotiga shifrlash moduli qo'shilgan. Ushbu usulning nochorligi, ishlashning xavfsizlik devori ishlaydigan uskunaga bog'liqligi. Kompyuterga asoslangan xavfsizlik devorlaridan foydalanganda esda tutingki, ushbu echim faqat oz miqdordagi ma'lumot uzatiladigan kichik tarmoqlarda ishlatilishi mumkin.

Rasm 2. Xavfsizlik devori asosidagi VPN

Xavfsizlik devorlariga asoslangan yechimga misol sifatida biz Check Point Software Technologies-dan FireWall-1 nomini olamiz. FairWall-1 VPN yaratish uchun standart IPSec-ga asoslangan yondashuvdan foydalanadi. Xavfsizlik devoriga kiruvchi trafik shifrlangan, shundan so'ng unga kirishni boshqarishning standart qoidalari qo'llaniladi. FireWall-1 Solaris va Windows NT 4.0-da ishlaydi.

Router-ga asoslangan VPN

VPN-ni yaratishning yana bir usuli - xavfsiz kanallarni yaratish uchun yo'riqnoma ishlatishdan foydalanish. Mahalliy tarmoqdan keladigan barcha ma'lumotlar yo'riqnoma orqali o'tishi sababli, ushbu marshrutizatorga shifrlash vazifalarini topshirish tavsiya etiladi.

Routerlarda VPN yaratish uchun uskunalarning yorqin namunasi bu Cisco Systems uskunalari. IOS dasturiy ta'minotining 11.3 (3) T versiyasidan boshlab, Cisco routerlari L2TP va IPSec-ni qo'llab-quvvatlaydi. Axborot oqimini shunchaki shifrlashdan tashqari, Cisco boshqa VPN xususiyatlarini qo'llab-quvvatlaydi, masalan tunnelni autentifikatsiya qilish va kalitlarni almashish.


Rasm 3. Routerga asoslangan VPN

VPN yaratish uchun Cisco har qanday IP oqimini shifrlash bilan tunnelni ishlatadi. Bunday holda, tunnel manba va qabul qiluvchining manzillari, TCP port raqami (UDP) va ko'rsatilgan xizmat sifati (QoS) asosida o'rnatilishi mumkin.

Routerning ishlashini oshirish uchun ixtiyoriy shifrlash xizmati adapteridan (ESA) foydalanish mumkin.

Bundan tashqari, Cisco System Cisco 1720 VPN Access Router deb nomlangan ixtisoslashtirilgan VPN qurilmasini chiqardi, u kichik va o'rta kompaniyalarda, shuningdek yirik tashkilotlarning ofislarida o'rnatilishi uchun mo'ljallangan.

· VPN dasturiy ta'minotiga asoslangan

VPNni yaratishda keyingi yondashuv - bu faqat dasturiy echimlar. Bunday echimni amalga oshirishda maxsus kompyuterda ishlaydigan va ko'p hollarda proksi-server vazifasini bajaradigan ixtisoslashtirilgan dasturiy ta'minot qo'llaniladi. Bunday dasturiy ta'minotga ega kompyuter xavfsizlik devori orqasida joylashgan bo'lishi mumkin.


Rasm 4. Dasturga asoslangan VPN

AltaVista Tunnel 97 raqamli dasturiy ta'minot bunday echimning namunasidir. Ushbu dasturdan foydalanganda mijoz Tunnel 97 serveriga ulanadi, ulanganligini tekshiradi va kalitlarni almashadi. Shifrlash ulanish o'rnatilganda olingan 56 yoki 128 bitli Rivest-Cipher 4 kalitlariga asoslanadi. Bundan tashqari, shifrlangan paketlar boshqa IP-paketlarga biriktiriladi va ular o'z navbatida serverga yuboriladi. Ish paytida Tunnel 97 MD5 algoritmi yordamida ma'lumotlarning yaxlitligini tekshiradi. Bundan tashqari, ushbu dastur har 30 daqiqada yangi kalitlarni ishlab chiqaradi, bu ulanish xavfsizligini sezilarli darajada oshiradi.

AltaVista Tunnel 97 ning ijobiy fazilatlari bu o'rnatish qulayligi va foydalanish qulayligi. Ushbu tizimning kamchiliklari nostandart arxitekturani (o'z kalitlarini almashtirish algoritmini) va yomon ishlashni ko'rib chiqishi mumkin.

· Tarmoq VPN

Tarmoq OTga asoslangan echimlar Microsoft Windows NT tomonidan qoplanadi. VPN yaratish uchun Microsoft Windows NT bilan birlashtirilgan PPTP protokolidan foydalanadi. Ushbu echim Windows-ni korporativ operatsion tizim sifatida ishlatadigan tashkilotlar uchun juda jozibali. Shuni ta'kidlash kerakki, bunday echimning narxi boshqa echimlar narxidan ancha past. Windows NT-ga asoslangan VPN birlamchi domen boshqaruvchisida (PDC) saqlanadigan NT foydalanuvchi ma'lumotlar bazasidan foydalanadi. PPTP serveriga ulanganda foydalanuvchi PAP, CHAP yoki MS-CHAP protokollaridan foydalanib autentifikatsiya qilinadi. Uzatilgan paketlar GRE / PPTP paketlarida kapsulalangan. Paketlarni shifrlash uchun Microsoft Point-to-Point Encryption standart bo'lmagan protokoli ulanishni o'rnatish vaqtida olingan 40 yoki 128 bitli kalit bilan ishlatiladi. Ushbu tizimning kamchiliklari - ma'lumotlar yaxlitligini tekshirishning yo'qligi va ulanish paytida kalitlarni o'zgartirishning mumkin emasligi. Ijobiy jihatlar Windows bilan integratsiyalashuv qulayligi va arzon narxlardir.

Xususiy tarmoqlar tashkilotlar tomonidan uzoq saytlarga va boshqa tashkilotlarga ulanish uchun ishlatiladi. Xususiy tarmoqlar turli xil telefon kompaniyalari va Internet-provayderlardan ijaraga olingan aloqa kanallaridan iborat. Ushbu aloqa kanallari, ular boshqa trafikdan ajratilgan holda, faqat ikkita ob'ektni ulashlari bilan ajralib turadi, chunki ijaraga olingan kanallar ikki sayt o'rtasidagi aloqani ta'minlaydi. Xususiy tarmoqlar ko'plab afzalliklarga ega.

  • Ma'lumotlar sir saqlanadi.
  • Uzoq saytlar darhol ma'lumot almashishlari mumkin.
  • Masofadan foydalanuvchilar o'zlari kiradigan tizimdan ajratilgan deb hisoblamaydilar.

Afsuski, ushbu turdagi tarmoq bitta katta kamchilikka ega - uning yuqori narxi. Xususiy tarmoqlardan foydalanish juda qimmat zavq. Pastroq tezlikdagi aloqa kanallaridan foydalanish pulni tejashga imkon beradi, ammo keyin masofaviy foydalanuvchilar tezlikning etishmasligini sezishni boshlaydilar va yuqoridagi ba'zi afzalliklar kamroq aniq bo'ladi.

Internetdan foydalanuvchilar sonining ko'payishi bilan ko'plab tashkilotlar virtual xususiy tarmoqlardan (VPN) foydalanishga o'tdilar. Virtual xususiy tarmoqlar arzon narxlarda xususiy tarmoqlarning ko'plab afzalliklarini taqdim eting. Biroq, VPN joriy etilishi bilan tashkilot uchun ko'plab savollar va xavflar paydo bo'ladi. To'g'ri o'rnatilgan virtual xususiy tarmoq sizning tashkilotingizga katta foyda keltirishi mumkin. Agar VPN to'g'ri amalga oshirilmasa, VPN orqali uzatiladigan barcha ma'lumotlarga Internet orqali kirish mumkin.

Virtual xususiy tarmoqlarni aniqlash

Shunday qilib, biz tashkilotning yashirin ma'lumotlarini ijaraga olingan aloqa kanallaridan foydalanmasdan Internet orqali uzatishni rejalashtirmoqdamiz, shu bilan birga ta'minlash uchun barcha choralarni ko'rmoqdamiz. trafik daxlsizligi. Qanday qilib o'z trafikimizni global tarmoq foydalanuvchilari trafikidan ajratishimiz mumkin? Bu savolga javob shifrlashdir.

Internetda har qanday turdagi trafikni topishingiz mumkin. Ushbu trafikning sezilarli qismi aniq tarzda uzatiladi va ushbu trafikni tomosha qiladigan har qanday foydalanuvchi uni taniy oladi. Bu ko'pchilik pochta va veb-trafikka, shuningdek telnet va FTP aloqalariga tegishli. Xavfsiz Shell (SSH) va Hypertext Transfer Protocol Secure (HTTPS) trafigi shifrlangan trafikdir va paketni eng oddiy foydalanuvchi ko'ra olmaydi. Biroq, SSH va HTTPS kabi trafik VPN virtual shaxsiy tarmog'ini tashkil qilmaydi.

Virtual xususiy tarmoqlar  bir necha xususiyatlarga ega.

  • Trafik tinglashdan himoya qilish uchun shifrlangan.
  • Masofaviy sayt haqiqiyligini tekshirish davom etmoqda.
  • VPN bir nechta protokollarni qo'llab-quvvatlaydi.
  • Ulanish faqat ikkita aniq abonent o'rtasidagi aloqani ta'minlaydi.

SSH va HTTPS bir nechta protokollarni qo'llab-quvvatlay olmasligi sababli, haqiqiy virtual xususiy tarmoqlar uchun ham xuddi shunday. VPN paketlari Internetdagi oddiy trafik oqimi bilan aralashtirilgan va alohida mavjud, chunki ushbu trafik faqat ulanishning so'nggi nuqtalarida o'qilishi mumkin.

Izoh

Trafikni SSH sessiyasi orqali tunnel yordamida amalga oshirish mumkin. Biroq, ushbu ma'ruzada biz SSHni VPN deb hisoblamaymiz.

Keling, VPNning har bir xususiyatini batafsil ko'rib chiqaylik. Yuqorida aytilganidek, VPN trafigi quloq solishdan himoya qilish uchun shifrlangan. Shifrlash kafolat beradigan etarlicha kuchli bo'lishi kerak maxfiylik tegishli bo'lgan davr uchun ma'lumot uzatiladi. Parollarning amal qilish muddati 30 kun (parolni har 30 kunda bir marta o'zgartirish siyosatini nazarda tutadi); ammo, maxfiy ma'lumotlar ko'p yillar davomida o'z ahamiyatini yo'qotmasligi mumkin. Shuning uchun shifrlash algoritmi va VPN-larni ishlatish bir necha yil davomida trafikni noqonuniy dekodlashning oldini olishi kerak.

Ikkinchi belgi, masofadan turib sayt haqiqiyligi tasdiqlanganligidadir. Ushbu xususiyat markaziy serverdagi ba'zi foydalanuvchilarning autentifikatsiyasini yoki VPN ulanadigan har ikkala tugunning o'zaro autentifikatsiyasini talab qilishi mumkin. Foydalaniladigan autentifikatsiya qilish mexanizmi siyosat tomonidan boshqariladi. Siyosat foydalanuvchi autentifikatsiyasini ikki usulda yoki dinamik parollar yordamida ta'minlaydi. At o'zaro autentifikatsiya  Ikkala sayt ham ma'lum bir umumiy sirni bilishini namoyish etishi talab qilinishi mumkin (sir ikkala saytga oldindan ma'lum bo'lgan ba'zi ma'lumotlarni anglatadi) yoki talab qilinishi mumkin

Sizga maqola yoqdimi? Do'stlar bilan baham ko'ring:
Siz ham qiziqishingiz mumkin.